防火原理范文

防火原理范文（精选6篇）

防火原理 第1篇

关键词：钢结构,防火涂料,防火原理

1 钢结构防火涂料防火原理及组成

钢结构防火保护的原理是采用绝热或吸热的材料阻隔火焰直接灼烧钢结构, 降低热量向钢材传递的速度, 推迟钢结构温升和强度减弱的时间。钢结构防火涂料定义为施涂于建筑物及构筑的钢结构表面, 能形成耐火隔热保护层以提高钢结构耐火极限的涂料。目前, 国内外钢结构防火涂料主要有基体树脂、催化剂、成碳剂、发泡剂等组成。

1.1 基体树脂。

基体树脂与其它组分配伍, 既保证了涂料在正常条件下具有各种使用功能, 又能在火焰灼烧或高温条件下具有难燃性和优良的膨胀发泡性能。通常情况下, 丙烯酸树脂防火涂料的炭化层质量较高, 故通常采用丙烯酸树脂作为主成膜物, 并对其进行改性, 以提高涂料的整体效果。

1.2 催化剂。

催化剂是一种能在一定条件下分解出磷酸的物质, 分解出的酸使多元醇脱水, 从而使之形成不易燃的三维空间结构的炭化层。通常, 磷酸三聚氰胺的水溶性较聚磷酸胺小, 且兼具催化和发泡双重功效, 目前主要选用磷酸三聚氰胺为催化剂。

1.3 成碳剂。

成碳剂是涂层在高温下形成不易燃三维空间结构的泡沫碳化层的物质基础, 对泡沫炭化层起骨架作用。成碳剂在分解温度上要和催化剂相匹配, 当采用聚磷酸胺作催化剂时就应用热稳定性高的含高碳多羟基化合物作成碳剂。但其缺点是施工时气味大、涂层易老化, 淀粉等。使用淀粉做成碳剂, 涂层的耐水性问题不易解决, 而二季戊四醇由于其价格原因, 在国内也很少使用, 目前国内普遍采用季戊四醇作为防火涂料的成碳剂。

1.4 发泡剂。

膨胀型防火涂料只有在发泡剂的作用下, 才能在高温火焰下产生膨胀层。发泡剂遇火分解并释放出氨、水、二氧化碳、卤化氢等不燃性气体, 使涂层在到达软化点的情况下发泡膨胀, 形成海绵状结构。

2 存在的技术问题

2.1 耐久性。

由于厚型防火涂料存在自重大, 装饰性差, 因此只能应用在某些对外观要求不高的室外钢结构。广泛应用的是薄型和超薄型钢结构防火涂料, 特别是超薄型。此两类涂料所使用的主要原料聚磷酸铵、三聚氰胺和季戊四醇均耐水性不良, 存在随着环境、时间等溶出、分解、降解和老化等问题。

2.2 安全性。

目前的膨胀型钢结构防火涂料遇火有可能释放出氨、HCN、卤化氢、一氧化氮、二氧化氮、一氧化碳、二氧化碳、氯、溴等有毒有害气体。如果这些气体的浓度超过了人体忍受极限, 便会对未逃离火场的人员以及消防人员造成危害。

2.3 测试方法。

钢结构防火涂料作为一类功能性涂料, 其性能主要有理化和耐火两方面组成。同样耐火极限的防火涂料因其应用环境不同、受火类型不同, 对基材的保护作用也就不同。

2.4 检测标准构件与实际工程构件的差异性。

耐火极限检验中使用的基材是Q235的标准I36b或I40b热轧普通工字钢梁, 而实际工程运用中, 钢构件的截面尺寸各种各样。检验报告中描述的钢梁与实际工程中的钢构件并无完全的对应关系, 实际使用的钢构件和标准钢梁间应该如何进行换算, 如何确定实际使用的钢构件的涂层厚度, 国家尚无规定。

3 相应对策

3.1 对钢结构建筑进行科学的防火保护。

目前, 我们通常使用的方法有:钢结构表面喷涂防火涂料;用现浇混凝土作外包层;钢构件内充水等, 其中应用最为广泛的是钢结构表面喷涂防火涂料。

3.2 加大宣传培训教育的力度。

防火工程造成的火险隐患原因是多方面的, 但很重要的一个原因是思想认识不到位, 轻视火灾预防, 对违规施工存在侥幸心理。

3.3 加强对防火涂料市场的规范管理。

凡是防火涂料的生产厂家必须有国家检测机构检测合格的报告, 方准出厂销售, 并应附有使用说明书, 标明技术性能、制造批号、储存期限、适用范围;消防监督部门应对每批防火涂料进行出厂前的质量抽检, 并检验其包装、标贴、说明等是否符合规定要求。对于防火涂料的施工单位, 明确要求持有相关施工资质。

3.4 严把审核关。

在受理钢结构审核项目时, 要求设计单位在图纸中明确建筑物的使用性质、耐火等级、火灾危险性分类、生产工艺流程、防火涂料的施工方法等消防设计内容。承担消防工程的施工单位应具有相应的资质, 并在施工前将施工方案报消防部门审核。对于设计不全、无施工方案的, 消防部门可以下发不受理通知单并注明不受理的理由。

3.5 及时进行施工现场检查。

防火涂料工程施工较快, 加强对施工现场的监督检查非常重要。通过施工现场检查, 可以掌握施工队伍的情况、工程的进度、施工质量和产品质量。只有实地检查, 才能发现隐患并及时督促整改, 避免不必要的损失。有条件的地方, 还可以从施工现场取样并对样品进行热性能分析、比较、检验, 确保工程质量。

3.6 严格验收标准。

在工程竣工验收前, 消防部门应让建设、施工、监理单位出具质量检测报告, 掌握工程施工情况。在工程验收时, 不仅要重视消防设施的验收, 还应把钢结构防火涂料的验收放在重要位置。消防监督人员不仅要眼看、手摸, 还应配置测厚仪等必要的检测设备。对于施工质量达不到要求的, 该返工的要返工, 该处罚的处罚, 确保钢结构消防工程的质量, 从根本上消除钢结构工程存在的火灾隐患。

结束语

钢结构防火涂料的防火原理是什么? 第2篇

钢结构防火涂料的防火原理有三个:一是涂层对钢基材起屏蔽作用，使钢构件不至于直接暴露在火焰高温中，二是涂层吸热后部分物质分解放出水蒸气或其他不燃气休，起到消耗热量、降

低火焰温度和燃烧速度、稀释氧气的作用，

三是涂层本身多孔轻质和受热后形成碳化泡沫层，阻止了热量迅速向钢基材传递，推迟了钢基材强度的降低，从而提高了钢结构的耐火极限

薄涂型钢结构防火涂料的主要品种有LB钢结构膨胀防火涂料、SG--1钢结构膨胀防火涂料、SB一2钢结构膨胀防火涂料、55一1钢结构膨胀防火涂料。厚涂型钢结构防火涂料主要品种有:

防火墙的工作原理与选择 第3篇

在现今的网络安全环境下，木马、病毒肆虐，黑客攻击频繁，而各种流氓软软件、间谍软件也兴风作浪。随着技术的成熟防火墙作为内网和外网之间的第一道防护有人越来越受到人们的重视。

一、防火墙的分类及工作原理

所谓防火墙指的是在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。是一种获取安全性方法的形象说法，它可以由软件构成也可以由硬件组成是一种计算机硬件和软件的结合。根据防火墙所采用的技术不同，我们可以将它分为四种基本类型:包过滤型、网络地址转换NAT、代理型和监测型。

1. 包过滤型

包过滤型是防火墙的初级产品，其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的，数据被分割成为一定大小的数据包，每一个数据包中都会包含一些特定信息，如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点，一旦发现来自危险站点的数据包，防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。包过滤技术的优点是简单实用，实现成本较低，在应用环境比较简单的情况下，能够以较小的代价在一定程度上保证系统的安全。但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术，只能根据数据包的来源、目标和端口等网络信息进行判断，无法识别基于应用层的恶意侵入，如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址，骗过包过滤型防火墙。

2. 网络地址转化NAT

网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。在内部网络通过安全网卡访问外部网络时，将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口，让这个伪装的地址和端口通过非安全网卡与外部网络连接，这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时，它并不知道内部网络的连接情况，而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时，防火墙认为访问是安全的，可以接受访问请求，也可以将连接请求映射到不同的内部计算机中。当不符合规则时，防火墙认为该访问是不安全的，不能被接受，防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的，不需要用户进行设置，用户只要进行常规操作即可。

3. 代理型

代理型防火墙也可以被称为代理服务器，它的安全性要高于包过滤型产品，并已经开始向应用层发展。代理服务器位于客户机与服务器之间，完全阻挡了二者间的数据交流。当客户机需要使用服务器上的数据时，首先将数据请求发给代理服务器，代理服务器再根据这一请求向服务器索取数据，然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道，外部的恶意侵害也就很难伤害到企业内部网络系统。

代理型防火墙的优点是安全性较高，可以针对应用层进行侦测和扫描，对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响，而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置，大大增加了系统管理的复杂性。

4. 监测型

监测型防火墙是新一代的产品，这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测，在对这些数据加以分析的基础上，监测型防火墙能够有效地判断出各层中的非法侵入。

虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙，但由于监测型防火墙技术的实现成本较高，也不易管理，所以目前在实用中的防火墙产品仍然以第二代代理型产品为主，但在某些方面也已经开始使用监测型防火墙。

二、防火墙的选择

选择防火墙的标准有很多，但最重要的是以下几条:

1. 总拥有成本

防火墙产品作为网络系统的安全屏障，其总拥有成本 (TCO) 不应该超过受保护网络系统可能遭受最大损失的成本。例如：假如其系统中的所有信息及所支持应用的总价值为10万元，则该部门所配备防火墙的总成本也不应该超过10万元。当然，对于关键部门来说，其所造成的负面影响和连带损失也应考虑在内。如果仅做粗略估算，非关键部门的防火墙购置成本不应该超过网络系统的建设总成本，关键部门则应另当别论。

2. 防火墙本身是安全的

作为信息系统安全产品，防火墙本身也应该保证安全，不给外部侵入者以可乘之机。如果像马其顿防线一样，正面虽然牢不可破，但进攻者能够轻易地绕过防线进入系统内部，网络系统也就没有任何安全性可言了。

3. 管理与培训

管理和培训是评价一个防火墙好坏的重要方面。，在计算防火墙的成本时，不能只简单地计算购置成本，还必须考虑其总拥有成本。人员的培训和日常维护费用通常会在TCO中占据较大的比例。一家优秀秀的安全产品供应商必须为其用户提供良好的培训和售后服务。

4. 可扩充性

Arp防火墙的突破方法以及原理 第4篇

​

1、绑定本机 Arp 缓存表中网关的 Mac、IP 地址(使用“arp -a”命令，可以看到网关 Mac、IP 状态是静态的)，作用：防止别的机器对本机发包，伪装成网关欺骗本机。

2、使用驱动过滤本机接收及发送原始的数据包，分析其中的 Arp 数据包，判断是否是伪造或错误的数据包。作用：从底层拦截 Arp 欺骗数据，防止别的机器对本机发包，欺骗本机，同时还拦截本机对外发送 Arp 欺骗数据包。

3、疯狂的对网关发送正常的 Arp 数据包，发送的数据内容为“我才是 IP：***.***.***.***，我的 Mac 地址是：**-**-**-**-**-**!”，发送数据包的间隔时间极短，几毫秒一次。作用：不停地给网关说“我才是真的机器”，防止别的机器伪装成 本机，去欺骗网关。

4、其他的非主要防御手段，不重要，就不做介绍了。

--------------------------------------------------------------------------------

Arp 防火墙的突破方案：

从上边的防御方案来看，唯一存在缺陷的地方，便是网关。

如果网关没有绑定的话，那么你可以欺骗网关，但是，目标机器也在不停的给网管发包，说他才是真的机器，那么

如何才能成功欺骗网关呢?

So，你发包?我也发!我比你发的还快!

那么，形势就变成了这样，目标机器和 机器都争着给网关说：“我才是真的!!!”，口水淹没大法，哈哈，是不是有点真假美猴王的感觉呢?

这下网关就懵了，这可如何是好呢，所以网关会把 Arp 缓存表一会改成这个，一会改成那个

由于 机器比目标机器发包速度快，所以在一个很短的时间段内，网关的 Arp 缓存表中的地址， 机器占得几率比较高，所以网关对 机器发出去的数据包，就要比目标机器多一些，

所以 机器就拿到了目标机器的部分数据包，从而达到了欺骗的目的

但是，这种方案后遗症很大，由于双方都在争网关，在很短的一个时间片内，被 机器争到了，那么目标机器会掉线，最典型的现象就是：疯狂的丢包、掉线，所以这种方法是万不得已的时候才用的

这就是很热的疯狂发包的破墙方法，你用 Arp Emp v1.0 可以轻松搞定

实际上，在实战中，这种方法很少有效，而且还容易引起掉线，十分不推荐使用

防火原理 第5篇

1 弹性闭合结构概述

以安全防护对象为中心, 将网络安全威胁的各个方面构成一种环状闭合结构被称为“弹性闭合结构”。随着时间和其他各种条件的变化, 这些安全威胁在闭合的环状结构中的比例、影响程度是动态可变的;必须根据这种闭合的环状结构制定相应的安全防护对策并部署安全措施, 且根据时间及其它条件的变化而进行弹性适应。因此, 网络安全防护不是单纯平面的层次化, 而是一个弹性的闭合结构, 层次化必须建立在弹性闭合结构基础之上。

传统的防护思想已经渐渐不能适应新的安全问题, 为了解决网络安全防护和安全管理方面的不周密问题, 提出了弹性闭合结构思想。该思想指出了安全问题中用户个体和群体的安全应用能力在整体安全框架中的重要性, 解决了层次化方法下无法实现的周密化和灵活性两大难题。以闭合结构取代传统的层次化结构, 可以解决传统层次化结构长期以来无法解决的周密性问题[2]。根据弹性闭合结构思想对安全防护体系架构进行分析得出的结论表明:直接影响安全防护效果的要素主要反映在“安全环境”和“安全应用能力”两方面。从这两方面考察一个网络安全体系的脆弱性, 可以发现在脆弱性因素中安全环境只占一小部分, 而安全应用能力则占大部分。结论表明, 无论按照什么标准进行层次化划分, 如果它们之间的关系是纵向层叠的而不是横向连接封闭的, 就不是周密的, 即不安全的。按“木桶理论”来衡量, 传统的层次化结构解决的只是木桶的短板问题, 没有考虑木桶板块缺失的问题, 而弹性闭合结构则首先保证木桶理论中的周密性 (不会留下空缺的板) , 然后才是对构成弹性闭合结构状态下的各个因素的层次化考察 (即板的长短) 。从这种简单的木桶原理即可看出改进的弹性闭合结构的优点是显而易见的[3]。

2 防火墙无关性攻击模型

防火墙无关性, 是指在通用的防火墙功能和防护范围的基础上, 防火墙因部署方式、工作模式等方面而形成的安全防护死角, 这些超出防火墙功能和性能之外因素的总和即防火墙无关性因素。防火墙无关性的入侵攻击是指因防火墙的部署、功能、性能等因素而导致的潜在安全威胁。既包括边界防火墙防御能力之外的各种入侵攻击, 同时也包含部分本地防火墙防御能力之外的入侵攻击。这些攻击以看似正常的访问方式进入系统, 防火墙无法按访问规则明确区分入侵攻击与正常访问, 从而导致典型网络环境下入侵攻击的成功机率极大地提高。

在图1模型中, 传统防火墙能够阻挡一部分基于网络层的攻击, 但仍然有部分溢出、注入以及操作错误等导致的攻击可以成功进入系统和数据/应用。防火墙无关性安全威胁因素可以按照多种标准进行分类, 传统漏洞检测系统的体系结构从逻辑上可分为集中式、层次式和分布式三种, 但无论是哪种方式, 都是从漏洞威胁的检测本身入手来考察的[4]。而事实上考察一个系统的安全性并不能单纯地从漏洞威胁本身进行考察, 因此这里提出三层逻辑化防火墙无关性攻击模型结构。防火墙无关性攻击来源可分为来自外部和来自内部两大类别。外部的攻击主要是利用防火墙的盲区、弱点来进行的。而来自内部的攻击, 主要包括用户或管理员的滥用、误用、人为漏洞等, 内部攻击与外部攻击相比更具危险性。这内外两大攻击类别中, 还存在一个时间因素, 即在某个特定时间段内, 其中一个类别的威胁占据更多的比例。因此, 来自外部和来自内部的两类攻击中哪一部分对系统安全影响更为严重的结论不能给出, 实际结论是在特定时期、特定环境下二者的威胁严重性会存在一定幅度的动态改变。

3 防火墙无关性威胁因素

防火墙无关性因素有以下几大类型:入侵检测回避、针对服务器和操作系统的入侵攻击、针对应用和数据的入侵攻击、用户和管理的错误与缺陷、来自内部的攻击、跳板攻击[5]。

3.1 入侵检测回避

入侵攻击的防火墙无关性在所有攻击类型上有一个共同表现, 这就是入侵检测回避。攻击者根据防火墙的工作原理, 采取一切的可能手段, 来绕过或欺骗防火墙的检测, 从而实现成功的入侵攻击。其中, 网络层和应用层是最容易被攻击者采取回避措施的部位。攻击者可以采取伪造数据包、盗用MAC或IP地址、DNS欺骗、添加垃圾干扰信息等手段来实现避开防火墙系统检查的目的。

3.2 针对服务器和操作系统的入侵攻击

在运行多套虚拟机的服务器环境中, 虚拟机与主机之间的信任关系和管理模式配置不当所造成的安全部署的弱点很可能被充当跳板来对其它系统进行攻击。由于操作系统最新漏洞的不确定性, 以及管理员安全部署实施的迟滞, 这类入侵攻击是传统防火墙难以阻挡的。尽管部分硬件防火墙具备了一定的IPS能力, 但由于高带宽、高流量的巨大压力, 较深层次的应用层检测在目前技术条件下几乎无法实现, 直接导致了防火墙在针对新型漏洞方面的继发性缺陷。

3.3 针对应用和数据的入侵攻击

针对应用和数据的入侵攻击中, 最典型的就是针对数据库的注入式攻击、对应用系统数据库的窥探和下载获取。应用的复杂性导致了其安全的不确定性, 而在客观上, 又无法杜绝应用上的代码漏洞以及由代码和配置的漏洞导致的数据库被偷窥。因此, 针对应用和数据的攻击在某种程度上是有可能被预见的但却难以被具体预见的。

3.4 用户和管理的错误与缺陷

用户操作错误带来的不确定性的安全负面因素同样显而易见, 比如弱口令或口令更新周期过短、管理权限滥用、其它不可预见的操作失误等, 都可能导致入侵攻击的成功。与用户相关的, 管理缺陷也是防火墙无关性重要因素之一。很多网络系统在开始规划时都很难预见到加固防御体系的所有方面;或者由于投入或人员的客观限制而无法让安全措施接近理想化;或者内部缺乏严格而科学的管理制度, 使得设备及人员都无法发挥到最佳效能。

3.5 来自内部的攻击

来自内部的攻击也属于与用户和管理相关、但可能与边界防火墙无关的攻击。专业防火墙在安全部署规划中通常被部署在边界或主要的网络节点, 而不可能实行广泛的分布式部署, 因此总有一定数量的主机不通过防火墙来进行内部访问。这种内部的入侵攻击也是防火墙无关性因素之一。主要表现为:管理员身份的泄密和不当委托、应用平台的其他验证措施不严密、应用程序本身的缺陷导致的账户跨权限操作、操作系统的最新漏洞出现、利用无线接入的便利而进行网络渗透等。

3.6 跳板攻击

跳板攻击是来自内部的一种特殊的攻击情形。网络内部的主机之间可能存在级别相对比较高的信任关系, 当外部入侵者企图入侵某台主机时, 可以不直接对该目标主机发起攻击, 而是先取得其内部网络中其它某些特定主机的控制权, 以此为跳板进行攻击。

4 章鱼式防火墙体系设计

本文涉及的防火墙为广义的防火墙概念, 具体可包括狭义上的边界防火墙、入侵检测以及各种系统的本地防火墙等。在实际应用中存在大量的与传统防火墙功能/性能无关的因素, 单一的防火墙产品已经完全不能满足日益严峻的安全防护的需要, 取而代之的必须是一个综合化、关联化、立体化的防火墙体系。从分立式的防火墙系统过渡到综合化的防火墙体系, 是解决当前大量防火墙无关性安全威胁因素的必由之路[6]。这里提出一种适用于多接入点网络的集群防火墙系统方案, 方案中设计的章鱼式防火墙体现结构见图2。该集群防火墙系统以分布式的方式执行统一的网络安全策略, 减少网络查询管理信息发布的数量和次数, 降低网络失效的风险, 实现网络流量平衡, 降低单个网络节点的负载强度。防火墙各模块在独立工作的同时又接受系统的统一协调, 使其真正能够统一地置于组织的整体运行策略之下, 从而提高防火墙系统的可管理性, 并可为网络安全审计和管理提供多种数据。

在章鱼式防火墙体系架构中, 不再采用传统的一台台独立的防火墙硬件, 而代之以管理控制中心为网络中心节点的一套综合体系, 其软硬件部分无论是功能模块、还是硬件系统, 都进行分布式部署, 管理上又都接受管理控制中心的统一管理。管理控制中心就仿佛是章鱼的大脑, 每个组成模块就仿佛章鱼的触手, 虽然其功能和部署方式相对独立, 但都受控于管理控制中心。章鱼式防火墙体系架构与已经应用的多功能防火墙系统有所不同, 多功能防火墙系统是不同功能的安全产品高度集成在一台硬件平台上, 而章鱼式防火墙体系架构不但功能多样化, 能够针对传统防火墙所无法全部顾及的防火墙无关性威胁因素分别一一提供防护模块, 而且还可以将每个模块相对独立地部署, 它们可以针对不同的安全问题被部署在网络的不同部位, 通过多个硬件模块的有机协同, 实现理论上安全周密的防护效果。

章鱼式防火墙体系架构按功能可粗略划分为网络层防护和应用层防护。网络层防护功能包括:深度入侵检测功能、压力分摊与分流功能、分布式响应功能。深度入侵检测用于解决传统防火墙在入侵回避等行为下的盲区问题;压力分摊与分流用于解决Dos/DDos攻击问题, 采用专门硬件设计来分担Dos/DDos攻击时对服务器带来的巨大压力;分布式响应功能可将控制响应模块部署在防火墙不同物理位置, 能够接受管理控制中心的统一指令而对各自负责的区域采取适当的响应动作。应用层防护功能包括:系统/应用的漏洞自动防护、数据库防护、协议分类检测及处理。系统/应用的漏洞自动防护是指针对应用层攻击的特征采取自动补丁、自动阻止可疑行为的响应;数据库防护是指专门针对数据库攻击的特征而进行的应用层攻击特征分析, 针对数据库服务器进行部署;协议分类检测与处理是指对应用层数据包重组后, 根据协议类型进行分组, 然后反馈给管理控制中心进行分类处理[7]。

章鱼式防火墙体系架构要求防火墙设计者必须从传统的单一功能的防火墙硬件产品的框架中跳出来, 从系统的角度来进行产品的系列设计, 并设计一个统一管理控制中心来进行统一管理。目前很多网络安全设备产品都己经具备了章鱼式防火墙体系架构中的上述功能模块, 只是没有把它们按照统一、统筹的方法形成一个严谨的防火墙体系。

5 结束语

防火墙无关性攻击威胁因素相互之间是有联系的, 分析防火墙无关性因素的意义在于让决策者在进行安全规划时, 从全局而非片面的技术措施上来把握网络的安全。在安全策略具体实施上, 可以采取多代理分布式入侵检测技术, 以求最大限度地消除防火墙无关性入侵攻击因素。对于网络管理者而言, 章鱼式防火墙体系架构对现有的安全产品的部署同样具有指导性意义。作为网络的规划者和管理者, 只有充分明确了防火墙无关性威胁因素, 才能对自己的网络进行量体裁衣式的整体安全部署, 从网络结构、软硬件投入比例、管理制度、人员培训等方面综合考虑, 实现比只注重防火墙类防护措施要安全得多的安全环境。

参考文献

[1]宿洁, 袁军鹏.防火墙技术及其进展[J].计算机工程与应用, 2004, 40 (9) :147-149, 160.

[2]郝文江.基于防火墙技术的网络安全防护[J].通信技术, 2007, 15 (7) :24-26.

[3]范国闯, 朱寰, 黄涛, 等.Web应用服务器自适应负载平衡服务[J].软件学报, 2003, 14 (6) :1134-1141.

[4]阎波, 李广军.一种状态检测防火墙的攻击防御机制[J].电子科技大学学报, 2005, 34 (4) :509-512.

[5]鲜继清, 谭丹, 陈辉.局域网中个人防火墙与入侵检测系统联动技术研究[J].计算机应用研究, 2006, 23 (5) :105-106.

[6]黄力.混合型防火墙的研究与设计[J].微计算机信息, 2006, 22 (3) :34-36.

防火原理 第6篇

1吞吐量是选型关键, 立足应用层看“吞吐”

防火墙作为内部网与外部网之间的一种访问控制设备, 通常安装在内部网和外部网的交界点上。从技术原理的角度看, 防火墙经历了从早期的简单包过滤到今天的状态包过滤技术和应用代理的发展, 一步步从被动走向主动, 即能够执行不依赖于IP、端口的应用、用户和内容控制策略。实时检测网络流量中的恶意网址、病毒、漏洞利用、间谍软件等行为。

主动式防火墙的基础原理, 是对网络应用层中的数据包执行深度检测, 也就是将数据包解封到应用层。对于这样的防火墙产品, 数据包封装和解封层次越多, CPU的计算负载就会越高。因此, 设备的吞吐量成为评估防火墙的主要指标。

在实际工作中, 吞吐量的评估指标与测试方法可以如下检测。

(1) UDP裸包处理性能 (Raw Packet Processing Performance (UDP Traffic) ) 。

(2) 延迟 (Latency) 。

(3) 最大性能 (Maximum Capacity) 。

(4) 无延时情况下的HTTP性能 (HTTP Capacity With No Transaction Delays) 。

(5) 应用平均响应时间 (Application Average Response Time: HTTP) 。

(6) 有延时情况下的HTTP性能 (HTTP Capacity With Transaction Delays) 。

(7) “逼近真实”的通信 (“Real-World” Traffic) 。

在实际的防火墙设备选型中, 笔者建议主要考核设备在进行应用层处理情况下的转发性能, 也就是俗称的应用层吞吐量, 如HTTP性能、应用平均响应时间等参数。

2让应用识别成为管理核心, 简化人工干预

新的主动式防火墙能提供基于用户、应用和内容作为管控平台, 功能更加强大, 这已经意味着访问控制能力由原先的五元组扩充至了八元组, 控制一个数据包的访问和转发, 可基于用户、 源IP、目的IP、源端口、目的端口、协议 (端口) 、应用类型以及数据内容进行更加精细的过滤, 这给管理人员带来了新的难题。笔者在日常维护防火墙策略时, 面对网络中大量的防火墙策略, 常常也会有很多疑问:哪台主机已经失陷?哪些安全策略从来没被使用过?哪些安全策略被使用得最频繁?

不同的网络技术人员, 配置防火墙安全的策略也会不同, 这就导致甲配置的安全策略在乙看来是可以删除的, 乙配置的安全策略在甲看来是影响效率的。如何才能尽可能减少人为因素, 使防火墙安全策略最优化呢?笔者认为, 关键还是需要建立具备真正的应用识别能力的防火墙管理系统, 笔者认为以下举措值得借鉴:

(1) 建立中心化可扩展的防火墙系统结构

建立一个中心化的, 能够管理整个系统数据并给予安全管理团队快速响应能力的管理系统, 才能化繁为简, 用起来得心应手。中心化管理可以在一个应用界面下部署、查看和控制所有的防火墙活动, 还可以自动化日常任务、复用元素、部署快速路径和深度调查, 以最小的工作成本产生最大的工作成果。

建立中心化可扩展的防火墙体系机构的另一个隐性作用是保护防火墙主机自身的安全。现在, 针对防火墙本身的攻击越来越多, 防火墙中心化可扩展体系可以结合主机型防火墙和个人计算机型防火墙及传统防火墙功能, 取长补短, 全方位的优化防火墙的防卫结构。 其目的是利用各区域的加强防卫动作来化解对手的攻击行为。各终端设置相应的防护功能, 彼此之问相互防护, 从而保护个人和企业的业务安全。

(2) 部署更多单向防火墙或给防火墙加智能芯片

由于现在网络需求的不断增加, 防火墙也有向专业化、硬件化发展的趋势。单向防火墙是为了让信息单向流动, 只能从外网流入内网, 而不能从内网流出到外网, 从而达到一定的保密功能。当然如果将其固化到硬件中, 不但会提高防火墙的执行速度, 也会大大降低防火墙导致的网络延时。而且如果防火墙嵌入智能芯片则会更有效的识别恶意数据流量和阻断恶意数据攻击且切断恶意病毒的流量攻击。如果防火墙可以基于MAC设计访问控制机制的话, 则可以更好的支持MAC过滤, 从而将其访问控制发展到数据链路层, 这样便可防止MAC欺骗。

(3) 为防火墙配置优秀的应用识别引擎

互联网应用程序越来越复杂, 增加了防火墙应用识别的难度。比如说, 如何识别员工是在用社交应用程序 (如Facebook) 工作还是游戏?这就需要防火墙具备更强大的识别引擎。如果其不能识别应用则根本谈不上应用层威胁的防御。好的防火墙需要配备一个真正优秀的应用识别引擎, 借此知道通过的流量信号是什么, 并且知道是谁在使用这个流量信号访问这个程序。应用程序控制要比端口和协议控制高级的多, 它可以基于用户身份、角色, 网页应用的特征来建立详细的控制策略, 更高级的控制还包括扩充用户组、域名、安全传输层协议 (TLS) 的匹配, 以及用报告、日志和统计报表形式表现出来的用户信息和应用程序使用细节。

3立足现在关注未来, 心中始终存有“防火墙”

当今时代是一个云计算和大数据的时代, 海量信息被封装为一个个数据包在网络上高速流转, 就好像把不同信件装在同样的信封里, 大量威胁藏身其中。所以有人说, 云计算时代将会意味着防火墙的终结, 也有人说, 云计算时代代表着防火墙的新一轮繁荣。笔者认为, 问题的核心不是防火墙还有没有必要, 而是如何让防火墙变得更加强大。 比如说提高防火墙的应用“透视化”技术, 能够透过信封看到信件, 可以根据应用的行为和特征实现对应用的识别和控制;能够实现与多种认证系统 (AD、 LDAP等) 无缝对接, 还可以进一步自动识别出网络中当前IP所对应的用户信息, 勾画出人—内容—应用的立体画像。

移动互联网时代, 任何人都可以拿起手机, 在任何时间、地点都可以上网, 这还会导致企业将大量敏感资产存储在智能终端上。此时, 移动信息泄密的风险远非一道简单的防火墙所能堵住:员工安全意识欠缺、设备被盗丢失, 存储数据外泄、不安全的网页浏览、不安全的Wi Fi、蓝牙连接以及补丁升级不及时导致被入侵等, 都可能带来安全隐患。所以说, 移动应用无论从产品上还是意识上都在面临一个安全的空窗期, 恶意攻击者往往利用这一时期发起更多攻击, 亟需新的基于移动互联网的新型防火墙保护安全。

在云计算、大数据和移动互联面前, 防火墙技术新一轮挑战也许才刚刚开始!

摘要：随着网络规模进一步扩大和网络资源日趋丰富, 云计算、大数据等创新技术蓬勃发展, 防火墙作为一种和互联网共生共荣的主流安全技术, 在新的互联网+时代将会迎来新的挑战和机遇, 基于此, 本文对主动式防火墙的技术原理进行分析, 并提出创新观点, 以供参考。

关键词：网络安全,包过滤,主动式防火墙,下一代防火墙新型防火墙

参考文献

[1]许一凡.防火墙新技术分析[J].计算机安全, 2003 (11) .

[2]廉育功.立体防护体系的新手段——联动防火墙[J].电脑知识与技术 (经验技巧) , 2002 (6) .

[3]王晓聪, 黄赪东, 毕建权, 庞训龙, 李智强.探析防火墙的现状与发展[J].信息与电脑 (理论版) , 2013 (5) .

[4]孔佳泉.浅谈下一代防火墙及其应用[J].信息安全与技术, 2012 (11) .