发布时间:
你好,你的论文还在吗?
你好,你的这篇论文还在吗?谢谢!
现成的要吗,我这里有!
土建结构工程的安全性与耐久性一、土建结构工程的安全性 结构安全性是结构防止破坏倒塌的能力,是结构工程最重要的质量指标。结构工程的安全性主要决定于结构的设计与施工水准,也与结构的正确使用(维护、检测)有关,而这些又与土建工程法规和技术标准(规范、规程、条例等)的合理设置及运用相关联。 1.我国结构设计规范的安全设置水准 对结构工程的设计来说,结构的安全性主要体现在结构构件承载能力的安全性、结构的整体牢固性与结构的耐久性等几个方面。我国建筑物和桥梁等土建结构的设计规范在这些方面的安全设置水准,总体上要比国外同类规范低得多。 1.1构件承载能力的安全设置水准 与结构构件安全水准关系最大的二个因素是:1)规范规定结构需要承受多大的荷载(荷载标准值),比如同样是办公楼,我国规范自1959年以来均规定楼板承受的活荷载是每平方米150公斤(现已确定在新的规范里将改回到200公斤),而美、英则为240和250公斤;2) 规范规定的荷载分项系数与材料强度分项系数的大小,前者是计算确定荷载对结构构件的作用时,将荷载标准值加以放大的一个系数,后者是计算确定结构构件固有的承载能力时,将构件材料的强度标准值加以缩小的一个系数。这些用量值表示的系数体现了结构构件在给定标准荷载作用下的安全度,在安全系数设计方法(如我国的公路桥涵结构设计规范)中称为安全系数,体现了安全储备的需要;而在可靠度设计方法(如我国的建筑结构设计规范)中称为分项系数,体现了一定的名义失效概率或可靠指标。安全系数或分项系数越大,表明安全度越高。我国建筑结构设计规范规定活荷载与恒载(如结构自重)的分项系数分别为1.4和1.2,而美国则分别为1.7和1.4,英国1.6和 1.4 ;这样根据我国规范设计办公楼时,所依据的楼层设计荷载(荷载标准值与荷载分项系数的乘积)值大约只有英美的52%(考虑人员和设施等活载)和85%(对结构自重等恒载。一些发展中国家的结构设计多根据发达国家的规范,就如我国解放前和建国初期的结构设计方法参照美国规范一样。至于中国的香港和台湾,至今仍分别以英国和参考美国规范为依据。这里需要说明的是,在其他建筑物的活荷载标准值上,与国外的差别并没有象办公楼、公寓、宿舍中这样大。不同材料、不同类型的结构在安全设置水准上与国际间的差距并不相同,比如钢结构的差距可能相对小些。 公路桥梁结构的情况也与房屋建筑结构类似,除车载标准外,荷载分项安全系数(我国规范对车载取1.4,比国际著名的美国AASHTO规范的1.75约低25%)与材料强度分项安全系数均规定较低。 尽管我国设计规范所设定的安全贮备较低,但是某些工程的材料用量反而有高于国外同类工程的,这里的问题主要在于设计墨守陈规,在结构方案、材料选用、分析计算、结构构造上缺乏创新。 1.2 结构的整体牢固性 除了结构构件要有足够承载能力外,结构物还要有整体牢固性。结构的整体牢固性是结构出现某处的局部破坏不至于导致大范围连续破坏倒塌的能力,或者说是结构不应出现与其原因不相称的破坏后果。结构的整体牢固性主要依靠结构能有良好的延性和必要的冗余度,用来对付地震、爆炸等灾害荷载或因人为差错导致的灾难后果,可以减轻灾害损失。唐山地震造成的巨大伤亡与当地房屋结构缺乏整体牢固性有很大关系。2001年石家庄发生故意破坏的恶性爆炸事件,一栋住宅楼因土炸药爆炸造成的墙体局部破坏,竟导致整栋楼的连续倒塌,也是房屋设计牢固性不足的表现。 1.3 结构的耐久安全性 我国土建结构的设计与施工规范,重点放在各种荷载作用下的结构强度要求,而对环境因素作用(如干湿、冻融等大气侵蚀以及工程周围水、土中有害化学介质侵蚀)下的耐久性要求则相对考虑较少。混凝土结构因钢筋锈蚀或混凝土腐蚀导致的结构安全事故,其严重程度已远过于因结构构件承载力安全水准设置偏低所带来的危害,所以这个问题必须引起格外重视。我国规范规定的与耐久性有关的一些要求,如保护钢筋免遭锈蚀的混凝土保护层最小厚度和混凝土的最低强度等级,都显著低于国外规范。损害结构承载力的安全性只是耐久性不足的后果之一;提高结构构件承载能力的安全设置水准,在一些情况下也有利于结构的耐久性与结构使用寿命。 2.调整结构安全设置水准的不同见解 我国结构设计规范的安全设置水准较低,与我国建国后长期处于短缺经济和计划体制的历史条件有关。但是,能够对土建结构取用较低的安全水准并基本满足了当时的生产与生活需求,而且业已历经了较长时间的考验,这是国内土建科技人员经过巨大努力所取得的重大成就;但是,由于安全储备较低,抵御意外作用的能力相对不足。如果适当提高安全设置水准将有利于减少事故的发生频率和提高工程抗御灾害的能力。国内发生的大量工程安全事故,主要是由于管理上的腐败和不善以及严重的人为错误所致。现在提出要重新审视结构的安全设置水准,主要是基于客观形势的变化,是由于我们现在从事的基础设施建设要为今后的现代化奠定基础,要满足今后几十年、上百年内人们生产生活水平发展的需要,有些土建结构如商品房屋则更要满足市场经济条件下具备商品属性的需要。国内近几年来已对建筑结构安全度的设置水准组织过几次讨论,在如何调整的问题上存在较大的意见分歧,这次科技论坛上同样反映了这些不同的见解: 1)认为我国现行规范的安全设置水准是足够的,并已为长期实践所证明,而国外就没有这种经验。我国取得的这一成功经验决不能轻易丢掉,在安全度上不能跟着英美的高标准走;安全度高了是浪费,除个别需调整外,总体上不必变动。 2)认为我国规范的安全度设置水准尽管不高,但在全面遵守标准规范有关规定,即在正常设计、正常施工和正常使用的“三正常”条件下,据此建成的上百亿平米的建筑物绝大多数至今仍在安全使用,表明这些规范规定的水准仍然适用;但是理想的“三正常”很难做到,同时为了缩小与先进国际标准的差距以及鉴于可持续发展和提高耐久性的需要,在物质供应条件业已改善的市场经济条件下,结构的安全设置水准应适当提高。这种提高只能适度,因为我国目前尚属发展中国家。 3)认为我国规范的安全设置水准应该大体与国际水准接近,需要大幅度提高。这是由于随着我国经济发展和生活水平不断提高,土建工程特别是重大基础设施工程出现事故所造成的风险损失后果将愈益严重,而为了提高工程安全程度所需要的经费投入在整个工程(特别是建筑工程)造价中所占的比重现在已愈来愈低,材料供应也十分充裕。过去的低安全水准只是适应了以往短缺型计划经济年代的需要,但决不是没有风险,如果规范的安全水准较高,曾经发生过的有些安全事故本来是可以避免的,而规范的这一缺陷在一定程度上为“三正常”的提法所掩盖。在建的工程要为将来的现代化社会服务,安全性上一定要有高标准。低的安全质量标准在参与将来的国际竞争中也难以被承认,即使结构设计的安全设置水准能够提高到与发达国家一样,由于我们的施工质量总体较差,结构的安全性依然会有差距。 3、结构设计规范的概率可靠度设计方法 对我国规范的可靠度设计方法持肯定意见的专家认为这是重大的科技进步,可靠度方法对安全度的概率定义要比定值的安全系数更清晰、更科学、更合理,当然概率可靠度设计方法本身尚有不少缺陷,有待进一步修改完善。持相反意见的人则认为,结构设计规范所面向的是类型多样的复杂群体,在安全度上需要考虑的不确定性与不确知性非常复杂,并不是“从统计数学观点出发的概率定义”所能科学描述或处理;规范可靠度方法在我国十多年的实践表明,它并没有给结构设计的安全性带来明显实效,反而造成了安全概念上的某些混乱;对工程技术人员来说,结构的安全度用可靠指标和虚假的失效概率表达后变得更加不可揣摩和模糊不清,不如安全系数那样从安全储备出发的度量方法更为直观和便于处理具体工程的安全问题;现行设计规范中的可靠度方法很不成熟,存在不少根本缺陷;他们认为半概率的多安全系数方法更适用于规范,也不排斥可靠度分析的结果可以作为一种参考,在综合判断安全系数的合理取值时予以考虑。 二、土建结构工程的耐久性 土建结构工程的耐久性与工程的使用寿命相联系,是使用期内结构保持正常功能的能力,这一正常功能包括结构的安全性和结构的适用性,而且更多地体现在适用性上。 1、土建结构工程的耐久性现状 大多数土建结构由混凝土建造。混凝土结构的耐久性是当前困扰土建基础设施工程的世界性问题,并非我国所特有,但是至今尚未引起我国政府主管部门和广大设计与施工部门的足够重视。 长期以来,人们一直以为混凝土应是非常耐久的材料。直到70年代末期,发达国家才逐渐发现原先建成的基础设施工程在一些环境下出现过早损坏。美国许多城市的混凝土基础设施工程和港口工程建成后不到二、三十年甚至在更短的时期内就出现劣化;据1998年美国土木工程学会的一份材料估计,他们需要有1.3万亿美元来处理美国国内基础设施工程存在的问题,仅修理与更换公路桥梁的混凝土桥面板一项就需800亿美无,而现在联邦政府每年为此的拨款只有50~60亿美元。另有资料指出,美国因除冰盐引起钢筋锈蚀需限载通行的公路桥梁已占这一环境下桥梁的1/4。发达国家为混凝土结构耐久性投入了大量科研经费并积极采取应对措施,如加拿大安大略省的公路桥梁为对付除冰盐侵蚀及冻融损害,钢筋的混凝土保护层最小厚度从50年代的2.5cm逐渐增加到4cm、6cm直到80年代后的7cm,而混凝土强度的最低等级也从50年代的C25增到后来的C40,桥面板混凝土从不要求外加引气剂、不设防水层到必须引气以及需要设置高级防水胶膜并引入环氧涂膜钢筋。而我国遭受盐冻侵蚀地区的公路桥梁在耐久性设计方面至今仍无明确要求,对混凝土保护层和强度的要求仅为2.5cm与C25,与上面提到的加拿大50年代水准一致。我国建设部于80年代的一项调查表明,国内大多数工业建筑物在使用25~30年后即需大修,处于严酷环境下的建筑物使用寿命仅15~20年。民用建筑和公共建筑的使用环境相对较好,一般可维持50年以上,但室外的阳台、雨罩等露天构件的使用寿命通常仅有30~40年。桥梁、港工等基础设施工程的耐久性问题更为严重,由于钢筋的混凝土保护层过薄且密实性差,许多工程建成后几年就出现钢筋锈蚀、混凝土开裂。海港码头一般使用十年左右就因混凝土顺筋开裂和剥落,需要大修。京津地区的城市立交桥由于冬天洒除冰盐及冰冻作用,使用十几年后就出现问题,有的不得不限载、大修或拆除。盐冻也对混凝土路面造成伤害,东北地区一条高等级公路只经过一个冬天就大面积剥蚀。我国铁路隧道用低强度的C15混凝土作衬砌材料,密实度和抗渗性差,不耐地下水与机车废气侵蚀,开裂与渗漏严重;对几个路局所辖的隧道进行抽样调查表明,漏水的占50.4%,其中1/3渗漏严重,并导致钢轨等配件锈蚀以及电力牵引地段漏电,影响正常运行,而1999年颁布的铁路隧道设计规范仍未能对隧道的耐久性问题采取适当的对策,如适当提高混凝土的最低强度等级和在混凝土中掺入化学纤维等。 耐久性问题的严重性和迫切性在于我们许多正在建设的工程仍未吸取国际和国内的大量惨痛教训,还沿着老路重蹈覆辙。一些北方城市新建成的立交桥和高速公路桥,仍没有在材料性能和结构构造等方面采取必要的防治冻融和盐害的综合措施。甚至大型工程如2000年投入运行的珠海莲花跨海大桥,其主体结构在浪溅区仍采用不耐海水干湿交替侵蚀的C30混凝土与3~4cm厚的保护层厚度。 有专家估计,我国“大干”基础设施工程建设的高潮还可延续20年,由于忽视耐久性,迎接我们的还会有“大修”20年的高潮,这个高潮可能不用很久就将到来,其耗费将倍增于当初这些工程施工建设时的投资。 使混凝土结构的耐久性问题进一步加剧的原因有: 1) 由于混凝土的质量检验习惯上以单一的强度指标作为衡量标准,导致水泥工业对水泥强度的不适当追求,使水泥细度增加,早强的矿物成份比例提高,这些都不利于混凝土的耐久性。我国对水泥质量的检验在强度上只要求不低于规定的最低许可值,而国外则同时还要求不高于规定的最高值,如果强度超过了也被认为不合格,这种要求还有利于水泥产品质量的均匀性。 2) 工程施工单位不适当地加快施工进度,尤其是政府行政领导对工程进度的不适当干预。混凝土的耐久性质量尤其需要有足够的施工养护期加以保证,早产有损生命健康的概念同样适用于混凝土。国内媒体上大加宣传的所谓几个月就修成一条大路、建成一座大桥、或盖成一幢高楼的工程以及抢工献礼工程,很可能就是今后注定要花掉更多资金进行大修的短命工程。提前完成合同规定施工期的在国外要被罚款,因为意味着工程质量有遭到损害的可能。 3) 环境的不断恶化,如废气、酸雨,我国的酸雨面积已超过国土的30% 。 当前迫切需要进行的工作是尽快编制桥梁、隧道、港工等基础设施工程耐久性设计的技术条例,修订补充现行规范中对结构耐久性的要求。首先需要明确的是各种基础设施工程的设计工作寿命,在重要工程的设计文件中必须有使用寿命的要求和论证。当前在建的众多工程在耐久性上之所以仍然沿着重蹈覆辙的道路走,很重要的一个原因是工程设计施工技术人员在耐久性上没有可资遵循的新依据。更为严重的是现行规范中的有些条文,本身就对耐久性有害。为了提高混凝土耐久性,在混凝土中合理使用粉煤灰、矿渣等矿物掺合料是重要的技术手段,国外有的规范甚至规定在桥梁等混凝土结构中必须加入粉煤灰等掺合料,而我国的铁路混凝土桥隧施工规范仍在明文禁止使用。此外,工程技术界还存在长期形成的一些过时的看法,对改善混凝土的耐久性能造成阻力。例如,顾虑会影响混凝土强度而不愿使用引气剂,而引气本应作为改善混凝土耐久性和工作性的常规手段;又如,希望加大水泥用量来保证混凝土强度,而尽可能低的水泥用量本应是提高混凝土抗裂和耐久性能的重要途径。 在修订规范的耐久性要求上,交通部于2001年颁布的港工混凝土结构防腐蚀技术规范已为其它土建工程行业起到较好的示范作用。我们一方面要参照国内外已有的资料和经验,尽快编写出相应的设计施工技术文件以应急需,另一方面则要安排系统的研究项目,加大耐久性研究工作的支持力度;混凝土结构的耐久性是当前国际上结构工程学科最为重要的前沿研究领域之一,而我国在这一方面相当落后。混凝土的耐久性研究离不开原材料和环境等特定条件,需要考虑本国的特点,是不能完全依赖国外研究成果的。 重视混凝土结构的耐久性也是可持续发展的需要。生产混凝土所需的水泥、砂、石等原材料均需大量消耗国土资源并破坏植被与河床,水泥生产排放的二氧化碳已占人类活动排放总量的1/5~1/6,而我国排放的二氧化碳量已居世界第二。我国现在每年生产5亿多吨水泥,与之相伴的是年耗20多亿方的砂石,长此以往实难以为继。延长结构使用寿命意味着节约材料,而耐久的混凝土一般又应是水泥用量较低和矿物掺合料(工业废料)用量较高的混凝土,所以耐久的混凝土正适应环境保护的需要。国际上对桥梁、隧道等土木工程的设计工作寿命多为100年,有的如英国为120年。考虑到耐久性不足所造成的巨大经济损失和资源浪费,国际上近年来有要求将这些工程的最低工作寿命进一步延长的趋势,如提出城市环境中的桥梁至少应有150年。 2.土建结构工程使用阶段的正常检测与维护 结构耐久性和使用寿命的概念,与使用阶段的检测、维护和修理不能分割,对处于露天和恶劣环境下的基础设施工程来说尤其如此。为了保证结构安全性和耐久性,一些工程在建成后的使用过程中,应该进行定期检测和维护。我国有结构工程的设计规范与施工规范,但没有如何使用的规范。有些工程倒塌事故,例如最近四川宜宾的南门大桥发生桥面坍落事故,就是因为桥面结构与主拱之间的吊杆在连接处发生锈蚀,如果有定期的检测要求,这样的事故很有可能避免。有些国家对于结构的损坏可能导致公众安全的建筑物与桥、隧等公共工程,强制规定必须定期检测;即使是建筑物的玻璃幕墙和外墙面砖等建筑部件,因其坠落后容易伤及公众,也有强制定期检测的要求。我国由于施工管理水平和事故操作人员的素质相对较差,质量控制与质量保证制度不够健全,规范对结构安全与耐久性的设置水准又相对较低,已建的工程中往往存在较多隐患,所以更有必要从法制上确定土建工程的正常使用和定期检测的要求。对于土建结构工程的安全质量,虽然政府已作出了设计与施工的责任单位和个人需对其“终身负责”的规定,但是这种要求执行起来缺乏可操作性。要将结构安全质量事故减少到最低程度,还应以预防为主,通过例行检测及时发现问题。 从国家对公共工程建设的投资和对工程设计的要求来看,需要有工程整个使用期限即全寿命费用支出的论证。只注意工程项目建设的一次投资支出,很少考虑工程建成后需要正常维护与修理的长期费用,不但可能损害工程使用寿命和正常使用功能,而且经济上算总账会很不合算。在发达国家,由于新建工程少,用于维修的费用往往更为主要,英国1978年的土建维修费上升到1965年的3.7倍,1980年的维修费占当年土建费用总支出的2/3。我国虽是发展中国家,现在正大兴土木,可是过去建成的大量工程已经或过早老化。国内40%公路桥梁的桥龄已大于25年,加上进入90年代以后交通量猛增,超载严重,以往的设计标准又低,路、桥的维修问题十分突出。由于养护维修费用得不到保证,造成工程安全隐患并在以后需要支出更多的大修费用。在土建工程的投资上,希望有关部门能加大已建工程维修的费用。 为加速路桥等公共工程建设,国家现在鼓励投资公司出资并给以一定期限如30年的经营收入作为补偿。如果对重要土建工程有必须进行定期检测与评估的法规,就能保证这些工程在一定期限后归还国家管理和经营时的良好功能,对于设计工作寿命为100年的桥梁,至少还可正常使用70年,而不至于30年到期后国家接收的已是一个破旧的工程。 三、技术规范的作用与管理 这次科技论坛对于土建结构工程技术规范的定位、作用与管理也进行了讨论并提出了一些看法。 长期以来,受计划经济体制的影响,我们往往视技术规范为法,将规范的具体规定和要求等同于法律条文来对待。技术规范或规程,与各种技术条例、技术要求、工法、指南等技术文件一样都是技术标准,本身不具有法律作用,只当工程各方(业主、设计、施工企业)认同作为设计与施工的依据并在契约的基础上,才能作为法律仲裁的依据。将技术问题法制化并强制执行,不利于技术进步和创造性的发挥,反而容易成为推卸责任的借口。当然,政府部门从国家和公众的整体利益出发,需要在安全、环保等重大原则上对土建工程的设计施工提出必须满足的最低要求并制定相应的法规,但法规一般并不需要提供如何达到这些要求的具体技术途径和方法,后者是技术标准的任务。政府也可以原则认可或批准某些重要的技术规范或其中某些内容使用。 企图不断加强技术规范的强制性来解决屡禁不止的工程事故,不是解决问题的有效途径。现在,有关主管部门将建筑结构设计规范中的部分条文抽出来,明确列为强制性条文,同时规定各个设计单位完成的设计,须通过有关部门或其授权委任的其他企事业设计单位的审查,而审查的主要内容就在于对照规范强制性条文的要求,其任务已类似于执法;这种做法是否明智似可商榷。我国土建工程事故频繁的原因,主要在于管理不善,特别是管理环节上的腐败;其次是施工操作人员素质低,又难以短期解决;过分强调规范的地位与作用,未能建立与规范配套的完整标准体系,比如缺乏指南、工法等更为详尽具体的技术文件,可以用来指导和规范设计与施工的各个具体环节,也有一定的关系。从设计角度看,出现事故主要不是由于没有按照规范强制性条文的规定,而是方案性的错误或忽略主要的设计条件;也有一些工程则因过去的设计标准过低,耐久性不足,在使用过程中又缺乏应有的例行检测而导致失效。其实,要做到设计规范强制条文的要求最为容易,为此请专业人士审查似无必要。重要的工程设计应规定请专业单位全面审核,其要点也应在结构方案、构造方法与计算分析的原则上。从结构设计的国家规范中抽出的强制性条文不免支离破碎,个别条文的规定也不一定适合某些地区和某些工程的具体特点,反而造成麻烦。 我国幅员广阔,各地经济发展很不平衡,技术力量悬殊,环境条件各异,客观上要求规范能给设计人员更多灵活性,少一些强制性,这样才能更好地在规范的指导下,根据工程的特点和具体条件去解决问题。总之,在规范标准上,要摆脱计划经济年代遗留下来的过分强求统一、较少考虑个性和缺乏实事求是灵活性的倾向。要提倡和鼓励各省市编制地方性规范,在工程的安全性和耐久性标准上,可有不同的设置水准。比如上海、北京、广州这些大城市应该高些,在抗震防灾要求上,更应区别对待。 全国性的规范订得愈详细,其适用性可能变得愈差,造成的混乱也可能愈多;特别象岩土工程那样的规范更是如此。 发达国家有关土建结构工程的规范及与之配套的各类技术标准多由行业协会或专业学会编制及管理,规范的翻新周期短,不象我们要长达10年以上。我国的学会与协会重复设置,分工不明,并且至今还依附于某一政府部门,基本上只起到政府职能部门非官方代言人的作用,距离独立和富有活力的健全机构还差的很远,如何发挥这些机构在技术标准编写和管理中的作用也是值得探讨的一个问题。建议随着改革的深入,整顿合并有关的学会、协会,加强其职能,并逐渐成为技术标准编制管理的主体。 四、准备提交政府有关部门考虑的建议 为了改善我国土建结构工程的安全性与耐久性,这次论坛中提出了以下建议供政府有关部门考虑,: 1、桥梁、隧道、道路、港口等基础设施工程的混凝土结构耐久性,已是当前亟待采取措施应对的重大问题。否则,一些工程的正常使用功能和安全性将得不到有效保证,我国的现代化建设和国民经济会蒙受巨大损失,并将给生产和公众生活带来长期困扰。 建议国家建设部、交通部、铁道部主管土建工程设计标准的部门,能对工程的耐久性要求作重点审查,明确土建工程的设计应有最低使用寿命的要求,重要工程的设计文件中应有正常使用寿命和耐久性设计的独立章节与论证; 建议国家自然科学基金委员会能在今后一段时期内对混凝土工程耐久性的基础理论研究给予重点支持; 建议国家安全生产监督管理局为在近期内编订有关法规标准给以立项资助; 建议中国工程院土木水利建筑学部在其咨询研究项目中,联络国内有关专家,促进土建结构耐久性设计指导性技术条例的编制。 2、土建工程使用过程中的安全性,应有定期的检测和正常的维护修理加以保证。对于重要土建工程,我国尚无必须进行安全检测的法规。在基础设施工程的投资上有重新建、轻维修的倾向,不利于工程寿命和投资效益。 建议对桥、隧等重要公共基础设施和公共建筑物,在其使用期内实施强制性的定期安全检测。为此,需要制定法规,编制相应的技术标准;对于土建结构工程的检测与评估,需要建立从业人员的注册制度和从业机构的资质认证与监管体制。凡属已建工程的安全诊断也可一并归入这一行业。 建议政府有关部门在桥、隧、道路等土建基础设施工程投资上,根据需要,加大工程维修费的比例。 3、完善技术标准体系与管理体制,发挥学会、协会在技术标准编制、修订和管理中的作用;逐步淡化技术规范条文的强制性质;鼓励编制地方性规范(标准)和企业标准,适应不同地区在环境地质和经济、技术水平上的差异,并鼓励科技创新和技术进步。 4、合理设置土建结构设计的安全水准,必须考虑工程失效的风险后果、社会的财富与资源供给、乃至公众的意向等多种因素。随着我国经济形势的巨大变化,有必要重新审视现行土建结构工程设计规范的安全设置水准,建议主管部门组织论证。桥梁等交通土建结构的风险后果较大,且由于车流、车载、车速的快速发展,在设计荷载标准值和承载力安全度的设置水准上似乎应比一般的建筑结构有更高的安全贮备。在建筑结构的安全设置水准上,建议进一步收集不同意见,包括商品房消费者的意向。我国不同地区的经济发展水平悬殊,在建筑物安全性和耐久性的要求上是否需要区别对待也值得探讨。 5我国建筑结构设计规范采用可靠度设计方法的经验及问题值得总结。可靠度方法用于不同类型结构的先决条件和难度不一,不必强求一律。建议有关部门在推广可靠度方法于各类设计规范时,广泛征集各种看法,实事求是,稳慎对待,不宜急于求成。
可以结合防火墙基本特性来写(一)内部网络和外部网络之间的所有网络数据流都必须经过防火墙这是防火墙所处网络位置特性,同时也是一个前提。因为只有当防火墙是内、外部网络之间通信的唯一通道,才可以全面、有效地保护企业网内部网络不受侵害。根据美国国家安全局制定的《信息保障技术框架》,防火墙适用于用户网络系统的边界,属于用户网络边界的安全保护设备。所谓网络边界即是采用不同安全策略的两个网络连接处,比如用户网络和互联网之间连接、和其它业务往来单位的网络连接、用户内部网络不同部门之间的连接等。防火墙的目的就是在网络连接之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。典型的防火墙体系网络结构如下图所示。从图中可以看出,防火墙的一端连接企事业单位内部的局域网,而另一端则连接着互联网。所有的内、外部网络之间的通信都要经过防火墙。(二)只有符合安全策略的数据流才能通过防火墙防火墙最基本的功能是确保网络流量的合法性,并在此前提下将网络的流量快速的从一条链路转发到另外的链路上去。从最早的防火墙模型开始谈起,原始的防火墙是一台“双穴主机”,即具备两个网络接口,同时拥有两个网络层地址。防火墙将网络上的流量通过相应的网络接口接收上来,按照OSI协议栈的七层结构顺序上传,在适当的协议层进行访问规则和安全审查,然后将符合通过条件的报文从相应的网络接口送出,而对于那些不符合通过条件的报文则予以阻断。因此,从这个角度上来说,防火墙是一个类似于桥接或路由器的、多端口的(网络接口>=2)转发设备,它跨接于多个分离的物理网段之间,并在报文转发过程之中完成对报文的审查工作。(三)防火墙自身应具有非常强的抗攻击免疫力这是防火墙之所以能担当企业内部网络安全防护重任的先决条件。防火墙处于网络边缘,它就像一个边界卫士一样,每时每刻都要面对黑客的入侵,这样就要求防火墙自身要具有非常强的抗击入侵本领。它之所以具有这么强的本领防火墙操作系统本身是关键,只有自身具有完整信任关系的操作系统才可以谈论系统的安全性。其次就是防火墙自身具有非常低的服务功能,除了专门的防火墙嵌入系统外,再没有其它应用程序在防火墙上运行。当然这些安全性也只能说是相对的。目前国内的防火墙几乎被国外的品牌占据了一半的市场,国外品牌的优势主要是在技术和知名度上比国内产品高。而国内防火墙厂商对国内用户了解更加透彻,价格上也更具有优势。防火墙产品中,国外主流厂商为思科(Cisco)、CheckPoint、NetScreen等,国内主流厂商为东软、天融信、山石网科、网御神州、联想、方正等,它们都提供不同级别的防火墙产品。
随着internet的迅猛发展,安全性已经成为网络互联技术中最关键的问题。本文——计算机与信息技术论文Internet防火墙技术综述,全面介绍了internet防火墙技术与产品的发展历程;详细剖析了第四代防火墙的功能特色、关键技术、实现方法及抗攻击能力;同时简要描述了internet防火墙技术的发展趋势。 关键词:internet 网路安全 防火墙 过滤 地址转换 1. 引言 防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互连环境之中,尤以internet网络为最甚。internet的迅猛发展,使得防火墙产品在短短的几年内异军突起,很快形成了一个产业:1995年,刚刚面市的防火墙技术产品市场量还不到1万套;到1996年底,就猛增到10万套;据国际权威商业调查机构的预测,防火墙市场将以173%的复合增长率增长,今年底将达到150万套,市场营业额将从1995年的�1.6�亿美元上升到今年的9.8亿美元。� 为了更加全面地了解internet防火墙及其发展过程,特别是第四代防火墙的技术特色,我们非常有必要从产品和技术角度对防火墙技术的发展演变做一个详细的考察。� 2. internet防火墙技术简介� 防火墙原是指建筑物大厦用来防止火灾蔓延的隔断墙。从理论上讲,internet防火墙服务也属于类似的用来防止外界侵入的。它可以防 止internet上的各种危险(病毒、资源盗用等)传播到你的网络内部。而事实上,防火墙并不像现实生活中的防火墙,它有点像古代守护城池用的护城河,服务于以下多个目的:� 1)限定人们从一个特定的控制点进入;� 2)限定人们从一个特定的点离开;� 3)防止侵入者接近你的其他防御设施;� 4)有效地阻止破坏者对你的计算机系统进行破坏。� 在现实生活中,internet防火墙常常被安装在受保护的内部网络上并接入internet。 所有来自internet的传输信息或你发出的信息都必须经过防火墙。这样,防火墙就起到了保护诸如电子邮件、文件传输、远程登录、在特定的系统间进行信息交换等安全的作用。从逻辑上讲,防火墙是起分隔、限制、分析的作用,这一点同样可以从图1中体会出来。那么,防火墙究竟是什么呢?实际上,防火墙是加强internet(内部网)之间安全防御的一个或一组系统,它由一组硬件设备(包括路由器、服务器)及相应软件构成。3. 防火墙技术与产品发展的回顾� 防火墙是网络安全策略的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。从总体上看,防火墙应该具有以下五大基本功能:� ●过滤进、出网络的数据;� ●管理进、出网络的访问行为;� ●封堵某些禁止行为;� ●记录通过防火墙的信息内容和活动;� ●对网络攻击进行检测和告警。� 为实现以上功能,在防火墙产品的开发中,人们广泛地应用了网络拓扑、计算机操作系统、路由、加密、访问控制、安全审计等成熟或先进的技术和手段。纵观防火墙近年来的发展,可以将其划分为如下四个阶段(即四代)。� 3.1 基于路由器的防火墙� 由于多数路由器本身就包含有分组过滤功能,故网络访问控制可能通过路控制来实现,从而使具有分组过滤功能的路由器成为第一代防火墙产品。第一代防火墙产品的特点是:� 1)利用路由器本身对分组的解析,以访问控制表(access list)方式实现对分组的过滤;� 2)过滤判断的依据可以是:地址、端口号、ip旗标及其他网络特征;� 3)只有分组过滤的功能,且防火墙与路由器是一体的。这样,对安全要求低的网络可以采用路由器附带防火墙功能的方法,而对安全性要求高的网络则需要单独利用一台路由器作为防火墙。� 第一代防火墙产品的不足之处十分明显,具体表现为:� ●路由协议十分灵活,本身具有安全漏洞,外部网络要探寻内部网络十分容易。例如,在使用Ftp协议时,外部服务器容易从20号端口上与内部网相连,即使在路由器上设置了过滤规则,内部网络的20号端口仍可以由外部探寻。� ●路由器上分组过滤规则的设置和配置存在安全隐患。对路由器中过滤规则的设置和配置十分复杂,它涉及到规则的逻辑一致性。作用端口的有效性和规则集的正确性,一般的网络系统管理员难于胜任,加之一旦出现新的协议,管理员就得加上更多的规则去限制,这往往会带来很多错误。� ●路由器防火墙的最大隐患是:攻击者可以“假冒”地址。由于信息在网络上是以明文方式传送的,黑客(hacker)可以在网络上伪造假的路由信息欺防火墙。� ●路由器防火墙的本质缺陷是:由于路由器的主要功能是为网络访问提供动态的、灵活的路由,而防火墙则要对访问行为实施静态的、固态的控制,这是一对难以调和的矛盾,防火墙的规则设置会大大降低路由器的性能。 � 可以说基于路由器的防火墙技术只是网络安全的一种应急措施,用这种权宜之计去对付黑客的攻击是十分危险的。 3.2 用户化的防火墙工具套� 为了弥补路由器防火墙的不足,很多大型用户纷纷要求以专门开发的防火墙系统来保护自己的网络,从而推动了用户防火墙工具套的出现。� 作为第二代防火墙产品,用户化的防火墙工具套具有以下特征:� 1)将过滤功能从路由器中独立出来,并加上审计和告警功能;� 2)针对用户需求,提供模块化的软件包;� 3)软件可以通过网络发送,用户可以自己动手构造防火墙;� 4)与第一代防火墙相比,安全性提高了,价格也降低了。� 由于是纯软件产品,第二代防火墙产品无论在实现上还是在维护上都对系统管理员提出了相当复杂的要求,并带来以下问题:� 配置和维护过程复杂、费时;� 对用户的技术要求高;� 全软件实现,使用中出现差错的情况很多。� 3.3 建立在通用操作系统上的防火墙� 基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推出了建立在通用操作系统上的商用防火墙产品。近年来市场上广泛使用的就是这一代产品,它们具有如下一些特点:� 1)是批量上市的专用防火墙产品;� 2)包括分组过滤或者借用路由器的分组过滤功能;� 3)装有专用的代理系统,监控所有协议的数据和指令;� 4)保护用户编程空间和用户可配置内核参数的设置; 5)安全性和速度大大提高。� 第三代防火墙有以纯软件实现的,也有以硬件方式实现的,它们已经得到了广大用户的认同。但随着安全需求的变化和使用时间的推延,仍表现出不少问题,比如:� 1)作为基础的操作系统及其内核往往不为防火墙管理者所知,由于源码的保密,其安全性无从保证;� 2)由于大多数防火墙厂商并非通用操作系统的厂商,通用操作系统厂商不会对操作系统的安全性负责;� 3)从本质上看,第三代防火墙既要防止来自外部网络的攻击,还要防止来自操作系统厂商的攻击;� 4)在功能上包括了分组过滤、应用网关、电路级网关且具有加密鉴别功能;� 5)透明性好,易于使用。� 4. 第四代防火墙的主要技术及功能� 第四代防火墙产品将网关与安全系统合二为一,具有以下技术功能。� 4.1 双端口或三端口的结构� 新一代防火墙产品具有两个或三个独立的网卡,内外两个网卡可不做ip转化而串接于内部与外部之间,另一个网卡可专用于对服务器的安全保护。 � 4.2 透明的访问方式� 以前的防火墙在访问方式上要么要求用户做系统登录,要么需通过socks等库路径修改客户机的应用。第四代防火墙利用了透明的代理系统技术,从而降低了系统登录固有的安全风险和出错概率。� 4.3 灵活的代理系统� 代理系统是一种将信息从防火墙的一侧传送到另一侧的软件模块,第四代防火墙采用了两种代理机制:一种用于代理从内部网络到外部网络的连接;另一种用于代理从外部网络到内部网络的连接。前者采用网络地址转接(nit)技术来解决,后者采用非保密的用户定制代理或保密的代理系统技术来解决。� 4.4 多级过滤技术� 为保证系统的安全性和防护水平,第四代防火墙采用了三级过滤措施,并辅以鉴别手段。在分组过滤一级,能过滤掉所有的源路由分组和假冒ip地址;在应用级网关一级,能利用Ftp、smtp等各种网关,控制和监测internet提供的所有通用服务;在电路网关一级,实现内部主机与外部站点的透明连接,并对服务的通行实行严格控制。� 4.5 网络地址转换技术� 第四代防火墙利用nat技术能透明地对所有内部地址做转换,使得外部网络无法了解内部网络的内部结构,同时允许内部网络使用自己编的ip源地址和专用网络,防火墙能详尽记录每一个主机的通信,确保每个分组送往正确的地址。� 4.6 internet网关技术� 由于是直接串联在网络之中,第四代防火墙必须支持用户在internet互联的所有服务,同时还要防止与internet服务有关的安全漏洞,故它要能够以多种安全的应用服务器(包括ftp、finger、mail、ident、news、www等)来实现网关功能。为确保服务器的安全性,对所有的文件和命令均要利用“改变根系统调用(chroot)”做物理上的隔离。� 在域名服务方面,第四代防火墙采用两种独立的域名服务器:一种是内部dns服务器,主要处理内部网络和dns信息;另一种是外部dns服务器,专门用于处理机构内部向internet提供的部分dns信息。在匿名ftp方面,服务器只提供对有限的受保护的部分目录的只读访问。在www服务器中,只支持静态的网页,而不允许图形或cgi代码等在防火墙内运行。在finger服务器中,对外部访问,防火墙只提可由内部用户配置的基本的文本信息,而不提供任何与攻击有关的系统信息。smtp与pop邮件服务器要对所有进、出防火墙的邮件做处理,并利用邮件映射与标头剥除的方法隐除内部的邮件环境。ident服务器对用户连接的识别做专门处理,网络新闻服务则为接收来自isp的新闻开设了专门的磁盘空间。 4.7 安全服务器网络(ssn)� 为了适应越来越多的用户向internet上提供服务时对服务器的需要,第四代防火墙采用分别保护的策略对用户上网的对外服务器实施保护,它利用一张网卡将对外服务器作为一个独立网络处理,对外服务器既是内部网络的一部分,又与内部网关完全隔离,这就是安全服务器网络(ssn)技术。而对ssn上的主机既可单独管理,也可设置成通过Ftp、tnlnet等方式从内部网上管理。� ssn方法提供的安全性要比传统的“隔离区(dmz)”方法好得多,因为ssn与外部网之间有防火墙保护,ssn与风部网之间也有防火墙的保护,而dmz只是一种在内、外部网络网关之间存在的一种防火墙方式。换言之,一旦ssn受破坏,内部网络仍会处于防火墙的保护之下,而一旦dmz受到破坏,内部网络便暴露于攻击之下。� 4.8 用户鉴别与加密� 为了减低防火墙产品在tnlnet、ftp等服务和远程管理上的安全风险,鉴别功能必不可少。第四代防火墙采用一次性使用的口令系统来作为用户的鉴别手段,并实现了对邮件的加密。� 4.9 用户定制服务� 为了满足特定用户的特定需求,第四代防火墙在提供众多服务的同时,还为用户定制提供支持,这类选项有:通用tcp、出站udp、ftp、smtp等,如果某一用户需要建立一个数据库的代理,便可以利用这些支持,方便设置。� 4.10 审计和告警� 第四代防火墙产品采用的审计和告警功能十分健全,日志文件包括:一般信息、内核信息、核心信息、接收邮件、邮件路径、发送邮件、已收消息、已发消息、连接需求、已鉴别的访问、告警条件、管理日志、进站代理、ftp代理、出站代理、邮件服务器、名服务器等。告警功能会守住每一个tcp或udp探寻,并能以发出邮件、声响等多种方式报警。� 此外,第四代防火墙还在网络诊断、数据备份保全等方面具有特色。� 5. 第四代防火墙技术的实现方法 在第四代防火墙产品的设计与开发中,安全内核、代理系统、多级过滤、安全服务器、鉴别与加密是关键所在。� 5.1 安全内核的实现� 第四代防火墙是建立在安全操作系统之上的,安全操作系统来自对专用操作系统的安全加固和改造,从现在的诸多产品看,对安全操作系统内核的固化与改造主要从以下几个方面进行:� 1)取消危险的系统调用;� 2)限制命令的执行权限;� 3)取消ip的转发功能;� 4)检查每个分组的接口;� 5)采用随机连接序号;� 6)驻留分组过滤模块;� 7)取消动态路由功能;� 8)采用多个安全内核。� 5.2 代理系统的建立� 防火墙不允许任何信息直接穿过它,对所有的内外连接均要通过代理系统来实现,为保证整个防火墙的安全,所有的代理都应该采用改变根目录方式存在一个相对独立的区域以安全隔离。� 在所有的连接通过防火墙前,所有的代理要检查已定义的访问规则,这些规则控制代理的服务根据以下内容处理分组:� 1)源地址;� 2)目的地址;� 3)时间;� 4)同类服务器的最大数量。� 所有外部网络到防火墙内部或ssn的连接由进站代理处理,进站代理要保证内部主机能够了解外部主机的所有信息,而外部主机只能看到防火墙之外或ssn的地址。� 所有从内部网络ssn通过防火墙与外部网络建立的连接由出站代理处理,出站代理必须确保完全由它代表内部网络与外部地址相连,防止内部网址与外部网址的直接连接,同时还要处理内部网络ssn的连接。� 5.3 分组过滤器的设计� 作为防火墙的核心部件之一,过滤器的设计要尽量做到减少对防火墙的访问,过滤器在调用时将被下载到内核中执行,服务终止时,过滤规则会从内核中消除,所有的分组过滤功能都在内核中ip堆栈的深层运行,极为安全。分组过滤器包括以下参数。� 1)进站接口;� 2)出站接口;� 3)允许的连接;� 4)源端口范围;� 5)源地址;� 6)目的端口的范围等。� 对每一种参数的处理都充分体现设计原则和安全政策。� 5.4 安全服务器的设计� 安全服务器的设计有两个要点:第一,所有ssn的流量都要隔离处理,即从内部网和外部网而来的路由信息流在机制上是分离的;第二,ssn的作用类似于两个网络,它看上去像是内部网,因为它对外透明,同时又像是外部网络,因为它从内部网络对外访问的方式十分有限。� ssn上的每一个服务器都隐蔽于internet,ssn提供的服务对外部网络而言好像防火墙功能,由于地址已经是透明的,对各种网络应用没有限制。实现ssn的关键在于:� 1)解决分组过滤器与ssn的连接;� 2)支持通过防火对ssn的访问; 3)支持代理服务。 5.5鉴别与加密的考虑 鉴别与加密是防火墙识别用户、验证访问和保护信息的有效手段,鉴别机制除了提供安全保护之外,还有安全管理功能,目前国外防火墙产品中广泛使用令牌鉴别方式,具体方法有两种:一种是加密卡(cryptocard);另一种是secure id,这两种都是一次姓口令的生成工具。 对信息内容的加密与鉴别测涉及加密算法和数字签名技术,除pem、pgp和kerberos外,目前国外防火墙产品中尚没有更好的机制出现,由于加密算法涉及国家安全和主权,各国有不同的要求。 6. 第四代防火墙的抗攻击能力 作为一种安全防护设备,防火墙在网络中自然是众多攻击者的目标,故抗攻击能力也是防火墙的必备功能。在internet环境中针对防火墙的攻击很多,下面从几种主要的攻击方法来评估第四代防火墙的抗攻击能力。 6.1 抗ip假冒攻击 ip假冒是指一个非法的主机假冒内部的主机地址,取服务器的“信任”,从而达到对网络的攻击目的。由于第四代防火墙已经将网内的实际地址隐蔽起来,外部用户很难知道内部的ip地址,因而难以攻击。 6.2 抗特洛伊木马攻击 特洛伊木马能将病毒或破坏性程序传入计算机网络,且通常是将这些恶意程序隐蔽在正常的程序之中,尤其是热门程序或游戏,一些用户下载病执行这一程序,其中的病毒便会发作。第四代防火墙是建立在安全的操作系统之上的,其内核中不能执行下载的程序,故而可以防止特洛伊木马的发生。必须指出的是,防火墙能抗特洛伊木马的攻击并并不表明其保护的某个主机也能防止这类攻击。事实上,内部用户可以通过防火墙下载程序,并执行下载的程序。 6.3 抗口令字探寻攻击 在网络中探寻口令的方法很多,最常见的是口令嗅探和口令解密。嗅探是通过监测网络通信,截获用户转给服务器的口令字,记录下来,以便使用;解密是指采用强力攻击、猜测或截获含有加密口令的文件,并设法解密。此外,攻击者还常常利用一些常用口令直接登录。 第四代防火墙采用了一次性口令字和禁此直接登录防火墙措施,能够有效防止对口令字的攻击。 6.4 抗网络安全性分析 网络安全性分析工具是提供管理人员分析网络安全性之用,一旦这类工具用作攻击网络的手段,则能够比较方便地探测到内部网络的安全缺陷和弱点所在。目前,sata软件可以从网上免费获得,internet scanner可以从市面上购买,这些分析工具给网路安全构成了直接的威胁。第四代防火墙采用了地主转换技术,将内部网络隐蔽起来,使网路安全分析工具无法从外部对内部网络做分析。 6.5 抗邮件攻击 邮件也是越来越突出的攻击方式,第四代防火墙不接收任何邮件,故难以采用这种方式对它攻击,同样值得一提的是,防火墙不接收邮件,并不表示它不让邮件通过,实际上用户仍可收发邮件,内部用户要防邮件,最终的解决办法是对邮件加密。 7. 防火墙技术展望 伴随着internet的飞速发展,防火墙技术产品的更新步伐必然会加强,而要全面展望防火墙技术的发展几乎是不可能的。但是,从产品及功能上,却又可以看出一些动向和趋势。下面诸点可能是下一步的走向和选择: 1)防火墙将从目前对子网或内部网管理的方式向远程上网集中管理是方式发展。 2)过滤深度会不断加强,从目前的地址、服务过滤,发展到url(页面)过滤、关键字过滤和对activex、java等的过滤,并逐渐有病毒扫描功能。 3)利用防火墙建立专用网是较长一段时间用户使用的主流,ip的加密需求越来越强,安全协议的开发是一大热点。� 4)单向防火墙(又叫做网络二极管)将作为一种产品门类而出现。� 5)对网络攻击的检测和各种告警将成为防火墙的重要功能。 6)安全管理工具不断完善,特别是可以活动的日志分析工具等将成为防火墙产品中的一部分。� 另外值得一提的是,伴随着防火墙技术的不断发展,人们选择防火墙的标准将主要集中在易于管理、应用透明性、鉴别与加密功能、操作环境和硬件要求、vpn的功能与ca的功能、接口的数量、成本等几个方面。
去购买一套卡巴斯基企业版杀毒软件套装,里面包括有杀毒,防御及防火墙,可以进行局域网的设置。
硬件,软件,混合式硬件就是成本高,但是安全性好软件就是便宜,安全性当然没有硬件的好最好的是混合式,但是也最贵
模拟器实现的,要将配置文件发给师肯定知道更多了解的
网络安全是一个不容忽视的问题,当人们在享受网络带来的方便与快捷的同时,也要时时面对网络开放带来的数据安全方面的新挑战和新危险。为了保障网络安全,当园区网与外部网连接时,可以在中间加入一个或多个中介系统,防止非法入侵者通过网络进行攻击,非法访问,并提供数据可靠性、完整性以及保密性等方面的安全和审查控制,这些中间系统就是防火墙(Firewall)技术。它通过监测、限制、修改跨越防火墙的数据流,尽可能地对外屏蔽网络内部的结构、信息和运行情况、阻止外部网络中非法用户的攻击、访问以及阻挡病毒的入侵,以此来实现内部网络的安全运行。2 防火墙的概述及其分类 网络安全的重要性越来越引起网民们的注意,大大小小的单位纷纷为自己的内部网络“筑墙”、防病毒与防黑客成为确保单位信息系统安全的基本手段。防火墙是目前最重要的一种网络防护设备,是处于不同网络(如可信任的局域内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的惟一出入口,能根据企业的安全策略控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。2.1 概述 在逻辑上,防火墙其实是一个分析器,是一个分离器,同时也是一个限制器,它有效地监控了内部网间或Internet之间的任何活动,保证了局域网内部的安全。 1)什么是防火墙 古时候,人们常在寓所之间砌起一道砖墙,一旦火灾发生,它能够防止火势蔓延到别的寓所。现在,如果一个网络接到了Internet上面,它的用户就可以访问外部世界并与之通信。但同时,外部世界也同样可以访问该网络并与之交互。为安全起见,可以在该网络和Internet之间插入一个中介系统,竖起一道安全屏障。这道屏障的作用是阻断来自外部通过网络对本网络的威胁和入侵,提供扼守本网络的安全和审计的关卡,它的作用与古时候的防火砖墙有类似之处,因此就把这个屏障叫做“防火墙”。 防火墙可以是硬件型的,所有数据都首先通过硬件芯片监测;也可以是软件型的,软件在计算机上运行并监控。其实硬件型也就是芯片里固化了UNIX系统软件,只是它不占用计算机CPU的处理时间,但价格非常高,对于个人用户来说软件型更加方便实在。 2)防火墙的功能 防火墙只是一个保护装置,它是一个或一组网络设备装置。它的目的就是保护内部网络的访问安全。它的主要任务是允许特别的连接通过,也可以阻止其它不允许的连接。其主体功能可以归纳为如下几点: ·根据应用程序访问规则可对应用程序联网动作进行过滤; ·对应用程序访问规则具有学习功能; ·可实时监控,监视网络活动; ·具有日志,以记录网络访问动作的详细信息; ·被拦阻时能通过声音或闪烁图标给用户报警提示。 3)防火墙的使用 由于防火墙的目的是保护一个网络不受来自另一个网络的攻击。因此,防火墙通常使用在一个被认为是安全和可信的园区网与一个被认为是不安全与不可信的网络之间,阻止别人通过不安全与不可信的网络对本网络的攻击,破坏网络安全,限制非法用户访问本网络,最大限度地减少损失。2.2 防火墙的分类 市场上的硬件防火墙产品非常之多,分类的标准比较杂,从技术上通常将其分为“包过滤型”、“代理型”和“监测型”等类型。 1)包过滤型 包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP(传输控制协议/用户数据报协议)源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。 2)代理型 代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。 3)监测型 监测型防火墙是新一代的产品,这一技术实际上已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种监测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品。3 防火墙的作用、特点及优缺点 防火墙通常使用在一个可信任的内部网络和不可信任的外部网络之间,阻断来自外部通过网络对局域网的威胁和入侵,确保局域网的安全。与其它网络产品相比,有着其自身的专用特色,但其本身也有着某些不可避免的局限。下面对其在网络系统中的作用、应用特点和其优缺点进行简单的阐述。3.1 防火墙的作用 防火墙可以监控进出网络的通信量,仅让安全、核准了的信息进入,同时又抵制对园区网构成威胁的数据。随着安全性问题上的失误和缺陷越来越普遍,对网络的入侵不仅来自高超的攻击手段,也有可能来自配置上的低级错误或不合适的口令选择。因此,防火墙的作用是防止不希望的、未授权的通信进出被保护的网络,迫使单位强化自己的安全策略。一般的防火墙都可以达到如下目的:一是可以限制他人进入内部网络,过滤掉不安全服务和非法用户;二是防止入侵者接近防御设施;三是限定用户访问特殊站点;四是为监视Internet安全提供方便。3.2 防火墙的特点 我们在使用防火墙的同时,对性能、技术指标和用户需求进行分析。包过滤防火墙技术的特点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。包过滤技术是一种基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒;代理型防火墙的特点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。当然代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性;虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙。 防火墙一般具有如下显著特点: ·广泛的服务支持 通过动态的、应用层的过滤能力和认证相结合,可以实现WWW浏览器、HTTP服务器、FTP等; ·对私有数据的加密支持 保证通过Internet进行虚拟私人网络和商业活动不受损坏; ·客户端只允许用户访问指定的网络或选择服务 企业本地网、园区网与分支机构、商业伙伴和移动用户等安全通信的信息; ·反欺 欺是从外部获取网络访问权的常用手段,它使数据包类似于来自网络内部。防火墙能监视这样的数据包并能丢弃; ·C/S模式和跨平台支持 能使运行在一个平台的管理模块控制运行在另一个平台的监视模块。3.3 防火墙的优势和存在的不足 防火墙在确保网络的安全运行上发挥着重要的作用。但任何事物都不是完美无缺的,对待任何事物必须一分为二,防火墙也不例外。在充分利用防火墙优点为我们服务的同时,也不得不面对其自身弱点给我们带来的不便。 1) 防火墙的优势 (1)防火墙能够强化安全策略。因为网络上每天都有上百万人在收集信息、交换信息,不可避免地会出现个别品德不良或违反规则的人。防火墙就是为了防止不良现象发生的“交通警察”,它执行站点的安全策略,仅仅允许“认可的”和符合规则的请求通过。 (2)防火墙能有效地记录网络上的活动。因为所有进出信息都必须通过防火墙,所以防火墙非常适合用于收集关于系统和网络使用和误用的信息。作为访问的唯一点,防火墙能在被保护的网络和外部网络之间进行记录。 (3)防火墙限制暴露用户点。防火墙能够用来隔开网络中的两个网段,这样就能够防止影响一个网段的信息通过整个网络进行传播。 (4)防火墙是一个安全策略的检查站。所有进出的信息都必须通过防火墙,防火墙便成为安全问题的检查点,使可疑的访问被拒绝于门外。 2) 防火墙存在的不足 (1)不能防范恶意的知情者。防火墙可以禁止系统用户经过网络连接发送专有的信息,但用户可以将数据复制到磁盘、磁带上,放在公文包中带出去。如果入侵者已经在防火墙内部,防火墙是无能为力的。内部用户可以偷窃数据,破坏硬件和软件,并且巧妙地修改程序而不接近防火墙。对于来自知情者的威胁,只能要求加强内部管理。 (2)不能防范不通过它的连接。防火墙能够有效地防止通过它传输的信息,然而它却不能防止不通过它而传输的信息。例如,如果站点允许对防火墙后面的内部系统进行拨号访问,那么防火墙绝对没有办法阻止入侵者进行拨号入侵。 (3)不能防备全部的威胁。防火墙被用来防备已知的威胁,如果是一个很好的防火墙设计方案,就可以防备新的威胁,但没有一台防火墙能自动防御所有新的威胁。4 防火墙的管理与维护 如果已经设计好了一个防火墙,使它满足了你的机构的需要,接下来的工作就是防火墙的管理与维护了。在防火墙设计建造完成以后,使它正常运转还要做大量的工作。值得注意的是,这里许多维护工作是自动进行的。管理与维护工作主要有4个方面,它们分别是:建立防火墙的安全策略、日常管理、监控系统、保持最新状态。4.1 建立防火墙的安全策略 要不要制定安全上的策略规定是一个有争议的问题。有些人认为制定一套安全策略是相当必须的,因为它可以说是一个组织的安全策略轮廓,尤其在网络上以及网络系统管理员对于安全上的顾虑并没有明确的策略时。 安全策略也可以称为访问上的控制策略。它包含了访问上的控制以及组织内其他资源使用的种种规定。访问控制包含了哪些资源可以被访问,如读取、删除、下载等行为的规范,以及哪些人拥有这些权力等信息。
摘 要:随着技术革新的不断发展,产业融合正日益成为产业经济发展中的重要现象。产业融合产生的前提是技术融合、业务融合、市场融合以及产业管制环境的变化。按照技术发展的方向,产业融合有产业渗透、产业交叉和产业重组三种形式。由于信息技术的渗透性、带动性、倍增性、网络性和系统性等特征,信息产业的产业融合呈现加速发展的趋势。
摘要:香农于1948年10月发表于《贝尔系统技术学报》上的论文《A Mathematical Theory of Communication》(通信的数学理论)作为现代信息论研究的开端。1984年贝尔研究所的香农在题为《通讯的数学理论》的论文中系统地提出了关于信息的论述,创立了信息论。信息论主要研究信息的本质和度量方法。它是系统论和控制论的理论基础,也是信息科学的理论基础。关键字:信息概念,熵,美国数学家香农参考书目:1。《信息论》 南丰公益书院; 2.《安全科学技术百科全书》(中国劳动社会保障出版社,2003年6月出版);3.《安全工程大辞典》(化学工业出版社,1995年11月出版)(安全文化网);4.部分资料摘取自互联网。(一)信息的内涵1948—1949年,美国数学家香农(C.E.Shannon)发表了《通信的数学理论》和《在噪声中的通信》两篇论文,提出了度量信息的数学公式,标志着信息论这门学科的诞生。信息论主要研究信息的本质和度量方法。它是系统论和控制论的理论基础,也是信息科学的理论基础。它是关于事物运动状态的规律的表征,其特点是: (1)信息源于物质运动,又不是物质和运动;(2)信息具有知识的秉性,是任何一个系统的组织程度和有序程度的标志;(3)只有变化着的事物和运动着的客体才会有信息,孤立静止的客体或永不改变的事物不会有信息;(4)信息不遵守物质和能量的“守恒与转化定律”, 同样的信息,大家可以共同使用,信息不会减少,相同的信息,能够用不同物质载体进行传播,同一种物质,也可以携带不同的信息,信息不会变化。信息论是一门研究信息传输和信息处理系统中一般规律的学科。香农在他的《通讯的数学理论》中明确提出:“通讯的基本问题是在通讯的一端精确地或近似地复现另一端所挑选的消息。”信息是“人们在选择一条消息时选择的自由度的量度”。消息所带的信息可以解释为负熵,即概率的负对数。威沃尔指出,‘信息’一词在此理论中只在一种专门的意义上加以使用,我们一定不要把它和其通常用法混淆起来”。也就是说,这里的信息不是我们通常使用的概念(各种消息、情报和资料的总称),而是一个变量,它表示信息量的大小。而信息量则是某种不确定性趋向确定的一种量度,消息的可能性越大,信息就越少。如果一个系统是有序的,它不具有很高的混乱度或选择度,其信息(或熵)是低的。信息论是一门用数理统计方法来研究信息的度量、传递和变换规律的科学。它主要是研究通讯和控制系统中普遍存在着信息传递的共同规律以及研究最佳解决信息的获限、度量、变换、储存和传递等问题的基础理论。 信息论的研究范围极为广阔。一般把信息论分成三种不同类型: (1)狭义信息论是一门应用数理统计方法来研究信息处理和信息传递的科学。它研究存在于通讯和控制系统中普遍存在着的信息传递的共同规律,以及如何提高各信息传输系统的有效性和可靠性的一门通讯理论。 (2)一般信息论主要是研究通讯问题,但还包括噪声理论、信号滤波与预测、调制与信息处理等问题。(3)广义信息论不仅包括狭义信息论和一般信息论的问题,而且还包括所有与信息有关的领域,如心理学、语言学、神经心理学、语义学等。信息有以下性质:客观性、广泛性、完整性、专一性。首先,信息是客观存在的,它不是由意志所决定的,但它与人类思想有着必然联系。同时,信息又是广泛存在的,四维空间被大量信息子所充斥。信息的一个重要性质是完整性,每个信息子不能决定任何事件,须有两个或两个以上的信息子规则排布为完整的信息,其释放的能量才足以使确定事件发生。信息还有专一性,每个信息决定一个确定事件,但相似事件的信息也有相似之处,其原因的解释需要信息子种类与排布密码理论的进一步发现。信息论是一门具有高度概括性、综合性,应用广泛的边缘学科。信息论是信息科学的理论基础,它是一门应用数理统计方法研究信息传输和信息处理的科学,是利用数学方法来研究信息的计量、传递、交换和储存的科学。随着科学技术的发展,信息论研究范围远远超出了通信及类似的学科,已延伸到生物学、生理学、人类学、物理学、化学、电子学、语言学、经济学和管理学等学科。(二)信息论发展历史香农被称为是“信息论之父”。人们通常将香农于1948年10月发表于《贝尔系统技术学报》上的论文《A Mathematical Theory of Communication》(通信的数学理论)作为现代信息论研究的开端。1984年贝尔研究所的香农在题为《通讯的数学理论》的论文中系统地提出了关于信息的论述,创立了信息论。维纳提出的关于度量信息量的数学公式开辟了信息论的广泛应用前景。1951年美国无线电工程学会承认信息论这门学科,此后得到迅速发展。20世纪50年代是信息论向各门学科冲击的时期,60年代信息论不是重大的创新时期,而是一个消化、理解的时期,是在已有的基础上进行重大建设的时期。研究重点是信息和信源编码问题。到70年代,由于数字计算机的广泛应用,通讯系统的能力也有很大提高,如何更有效地利用和处理信息,成为日益迫切的问题。人们越来越认识到信息的重要性,认识到信息可以作为与材料和能源一样的资源而加以充分利用和共享。信息的概念和方法已广泛渗透到各个科学领域,它迫切要求突破香农信息论的狭隘范围,以便使它能成为人类各种活动中所碰到的信息问题的基础理论,从而推动其他许多新兴学科进一步发展。目前,人们已把早先建立的有关信息的规律与理论广泛应用于物理学、化学、生物学等学科中去。一门研究信息的产生、获取、变换、传输、存储、处理、显示、识别和利用的信息科学正在形成。香农把“熵”这个概念引入信息的度量。1965年法国物理学家克劳修斯首次提出这一概念,后来这一概念由19世纪奥地利物理学家L.玻尔茨曼正式提出。信息论和控制论又赋予了“熵”更新更宽的含义。 熵是一个系统的不确定性或无序的程度,系统的紊乱程度越高,熵就越大;反之,系统越有序,熵就越小。控制论创始人维纳曾说:“一个系统的熵就是它的无组织程度的度量。”熵这个概念与信息联系在一起后,获得这样的思路:信息的获得永远意味着熵的减少,要使紊乱的系统(熵大的系统)有序化(减少熵)就需要有信息,当一个系统获得信息后,无序状态减少或消除(熵减少);而如果信息丢失了,则系统的紊乱程度增加。一个系统有序程度越高,则熵就越小,所含信息量就越大,反之无序程度越高,则熵越大,信息量就越小,信息与熵是互补的,信息就是负熵,两者互为负值。 信息量=系统状态原有的熵-系统状态确定后的熵 电讯系统不存在功能性因素,即人的主观能动因素,因此不能照搬,但对计算社会信息的量,仍有参考价值。如研究新闻的信息量时就非常有意义。一则新闻讯息中所含信息量的大小是不确定程度的大小决定的,能够最大限度地消除人们对新闻事件认识上的不确定性的讯息,信息量就大,而不能减少受众对新闻事件的认识的不确定的,信息量就小,这与讯息的长度、字数和篇幅无关,不是版面大小、字数多寡、“本报讯”多少就能说明信息的大小的。信息科学是人们在对信息的认识与利用不断扩大的过程中,在信息论、电子学、计算机科学、人工智能、系统工程学、自动化技术等多学科基础上发展起来的一门边缘性新学科。它的任务主要是研究信息的性质,研究机器、生物和人类关于各种信息的获取、变换、传输、处理、利用和控制的一般规律,设计和研制各种信息机器和控制设备,实现操作自动化,以便尽可能地把人脑从自然力的束缚下解放出来,提高人类认识世界和改造世界的能力。信息科学在安全问题的研究中也有着重要应用。1949年,香农和韦弗提出了有关传播的数学模式。 信源—>消息—>编码—>信号—>信道—>信号+噪声—>译码—>消息—>信宿 噪声—>信道 对上图的概念解释如下: 信源:信源就是信息的来源,可以是人、机器、自然界的物体等等。信源发出信息的时候,一般以某种讯息的方式表现出来,可以是符号,如文字、语言等,也可以是信号,如图像、声响等等。 编码:编码就是把信息变换成讯息的过程,这是按一定的符号、信号规则进行的。按规则将信息的意义用符码编排起来的过程就是编码过程,这种编码通常被认为是编码的第一部分。编码的第二部分则是针对传播的信道,把编制好的符码又变换成适于信道中传输的信号序列,以便于在信道中传递,如声音信号、电信号、光信号等等。如信息源产生的原始讯息是一篇文章,用电报传递的时候,就要经过编码,转换成电报密码的信号,然后才能经过信道传播。 信道:就是信息传递的通道,是将信号进行传输、存储和处理的媒介。信道的关键问题是它的容量大小,要求以最大的速率传送最大的信息量。 噪音:是指信息传递中的干扰,将对信息的发送与接受产生影响,使两者的信息意义发生改变。 译码:是对信息进行与编码过程相反的变换过程,就是把信号转换为讯息,如文字、语言等,这是第一步。第二步译码则是指将讯息还原为信息意义的过程。 信宿:是信息的接受者,可以是人也可以是机器,如收音机、电视机等。作为方法论,香农的这一信息系统模式可以被适用于许多系统,如通信系统、管理系统、社会系统等。传播学学者对这一模式进行改造之后,成为表述人类信息传播的基本模式之一,成为传播学领域最基本的研究范式,而信源、编码、译码、信宿等概念也成为传播学研究的基本概念。 香农的信息论为传播学领域提供了基本的范式,它使以前模糊的信息概念变得在数学上可以操纵。香农的信息论与维纳的控制论是相互影响的,维纳也是最早认识信息论价值的学者,并与香农共同发明了有关信息的熵度量法则。
各种广告哈哈。。。。找你们还不如去知网下啊?密码学,网络攻防,信息管理都可以写,题目得找导师要,难道你们导师要你自个人想题目?太扯了吧
计算机应用专业毕业论文题目1、局域网的组建方法2、图书管理系统的设计3、计算机网络安全及防火墙技术4、校园网站设计4、数据库语言编写学生学籍管理5、个人电脑安全意识如何提高6、浅析计算机病毒及防范的措施7、浅谈计算机网络安全漏洞及防范措施8、二十一世纪的计算机硬件技术9、计算机最新技术发展趋势10、计算机病毒的研究与防治11、论述磁盘工作原理以及相关调度算法12、高校计算机机房管理的维护和探索13、C语言教学系统设计14、浅谈子网掩码与子网划分15、微机黑屏故障与防治研究16、虚拟局域网的组建与应用17、学校图书管理系统的设计18、计算机网络安全管理19、浅谈搜索软件对网络安全的影响20、浅谈办公自动化网络安全21、防火墙技术的研究22、计算机科学与技术学习网站23、单片机的应用24、磁盘阵列的安装、设置、技巧25、多媒体课件或网络课件制作26、嵌入式Internet互联网技术的应用及研究27、Web服务应用研究与设计28、数字逻辑课程多媒体课件设计与实现29、因特网的出现及发展对教育技术的影响30、C++课程设计报告31、局域网的安全攻防测试与分析32、无线局域网的组建与应用33、windows 2003 server操作系统探讨34、网页的设计与应用35、office各组件的相互数据交换36、多媒体课件与传统教学方法比较分析37、linux操作系统的安装调试38、个人网站的设计与实现39、计算机网络故障的一般识别与解决方法40、计算机辅助设计现状及展望41、浅谈auto cad绘制二维图形的方法及技巧42、音频功率放大器43、安全网络环境构建(网络安全)44、图书馆信息管理系统的设计与实现45、数据库应用46、当前企业信息系统安全的现状及前景分析47、企业信息化与数据环境的重建48、基于VFP的小型超市管理系统49、网站建设中故障分类和排除方法50、计算机工具软件使用实战技巧51、组建小型局域网络52、电子小产品设计与制作53、80C51单片机控制LED点阵显示屏设计54、单片微型计算机与接口技术55、嵌入式系统56、linux注:你们可以在这些给定的里面选择也可以自己选其他的。(这个就是给你们参考参考。)你们选好题目后就把所选题目发给我(5月20号之前)。
[1] 杨波,朱秋萍. Web安全技术综述[J]. 计算机应用研究, 2002,(10) . [2] 罗铁坚,徐海智,董占球. Web安全问题[J]. 计算机应用, 2000,(04) . [3] 张霆,王亚东,陈玉华. Web安全技术与防火墙的功能[J]. 黑龙江水专学报, 2000,(03) . [4] 苏莹莹. Web安全技术[J]. 牙膏工业, 2003,(04) . [5] 赵伟,贾卓生. 应用级的Web安全[J]. 铁路计算机应用, 2004,(01) . [6] 谭云松,史燕. 一种新的Web安全与防火墙技术[J]. 计算机时代, 2002,(03) . [7] 邓谱. Web安全技术与防火墙[J]. 重庆电力高等专科学校学报, 2000,(04) . [8] 刘大勇. Web的安全威胁与安全防护[J]. 大众科技, 2005,(06) . [9] 杨继东. 浅析密码与Web安全[J]. 甘肃农业, 2005,(05) . [10] 李文锋. Web攻击方法及其安全研究[J]. 科学技术与工程, 2005,(04) . [1] 边娜. Web安全技术与防火墙[J]. 山西财经大学学报, 2000,(S2) [1] 邓谱. Web安全技术与防火墙[J]. 重庆电力高等专科学校学报, 2000,(04) [2] 张洪霞 , 刘仁涛. 浅谈安全的网络城墙——防火墙[J]. 应用能源技术, 2002,(04) [3] 沈芳阳, 阮洁珊, 李振坤, 黄智勇, 邓静, 刘怀亮, 柳正青. 防火墙选购、配置实例及前景[J]. 广东工业大学学报, 2003,(03) [4] 史晓龙. 防火墙技术在网络中的应用[J]. 公安大学学报(自然科学版), 2001,(03) [5] Web应用防火墙来势汹汹[J]. 电力信息化, 2009,(07) [6] 闫宝刚. 防火墙组网方案分析[J]. 大众标准化, 2004,(08) [7] 潘登. 浅析防火墙技术[J]. 株洲工学院学报, 2004,(02) [8] 芦军, 丁敏. 浅谈防火墙设计[J]. 房材与应用, 2004,(01) [9] 陈冰. 企业计算机网络防火墙的选择[J]. 供用电, 2004,(04) [10] 徐文海. 防火墙技术及虚拟专用网络的建立[J]. 铁道运营技术, 2003,(04)
随着internet的迅猛发展,安全性已经成为网络互联技术中最关键的问题。本文——计算机与信息技术论文Internet防火墙技术综述,全面介绍了internet防火墙技术与产品的发展历程;详细剖析了第四代防火墙的功能特色、关键技术、实现方法及抗攻击能力;同时简要描述了internet防火墙技术的发展趋势。 关键词:internet 网路安全 防火墙 过滤 地址转换 1. 引言 防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互连环境之中,尤以internet网络为最甚。internet的迅猛发展,使得防火墙产品在短短的几年内异军突起,很快形成了一个产业:1995年,刚刚面市的防火墙技术产品市场量还不到1万套;到1996年底,就猛增到10万套;据国际权威商业调查机构的预测,防火墙市场将以173%的复合增长率增长,今年底将达到150万套,市场营业额将从1995年的�1.6�亿美元上升到今年的9.8亿美元。� 为了更加全面地了解internet防火墙及其发展过程,特别是第四代防火墙的技术特色,我们非常有必要从产品和技术角度对防火墙技术的发展演变做一个详细的考察。� 2. internet防火墙技术简介� 防火墙原是指建筑物大厦用来防止火灾蔓延的隔断墙。从理论上讲,internet防火墙服务也属于类似的用来防止外界侵入的。它可以防 止internet上的各种危险(病毒、资源盗用等)传播到你的网络内部。而事实上,防火墙并不像现实生活中的防火墙,它有点像古代守护城池用的护城河,服务于以下多个目的:� 1)限定人们从一个特定的控制点进入;� 2)限定人们从一个特定的点离开;� 3)防止侵入者接近你的其他防御设施;� 4)有效地阻止破坏者对你的计算机系统进行破坏。� 在现实生活中,internet防火墙常常被安装在受保护的内部网络上并接入internet。 所有来自internet的传输信息或你发出的信息都必须经过防火墙。这样,防火墙就起到了保护诸如电子邮件、文件传输、远程登录、在特定的系统间进行信息交换等安全的作用。从逻辑上讲,防火墙是起分隔、限制、分析的作用,这一点同样可以从图1中体会出来。那么,防火墙究竟是什么呢?实际上,防火墙是加强internet(内部网)之间安全防御的一个或一组系统,它由一组硬件设备(包括路由器、服务器)及相应软件构成。3. 防火墙技术与产品发展的回顾� 防火墙是网络安全策略的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。从总体上看,防火墙应该具有以下五大基本功能:� ●过滤进、出网络的数据;� ●管理进、出网络的访问行为;� ●封堵某些禁止行为;� ●记录通过防火墙的信息内容和活动;� ●对网络攻击进行检测和告警。� 为实现以上功能,在防火墙产品的开发中,人们广泛地应用了网络拓扑、计算机操作系统、路由、加密、访问控制、安全审计等成熟或先进的技术和手段。纵观防火墙近年来的发展,可以将其划分为如下四个阶段(即四代)。� 3.1 基于路由器的防火墙� 由于多数路由器本身就包含有分组过滤功能,故网络访问控制可能通过路控制来实现,从而使具有分组过滤功能的路由器成为第一代防火墙产品。第一代防火墙产品的特点是:� 1)利用路由器本身对分组的解析,以访问控制表(access list)方式实现对分组的过滤;� 2)过滤判断的依据可以是:地址、端口号、ip旗标及其他网络特征;� 3)只有分组过滤的功能,且防火墙与路由器是一体的。这样,对安全要求低的网络可以采用路由器附带防火墙功能的方法,而对安全性要求高的网络则需要单独利用一台路由器作为防火墙。� 第一代防火墙产品的不足之处十分明显,具体表现为:� ●路由协议十分灵活,本身具有安全漏洞,外部网络要探寻内部网络十分容易。例如,在使用Ftp协议时,外部服务器容易从20号端口上与内部网相连,即使在路由器上设置了过滤规则,内部网络的20号端口仍可以由外部探寻。� ●路由器上分组过滤规则的设置和配置存在安全隐患。对路由器中过滤规则的设置和配置十分复杂,它涉及到规则的逻辑一致性。作用端口的有效性和规则集的正确性,一般的网络系统管理员难于胜任,加之一旦出现新的协议,管理员就得加上更多的规则去限制,这往往会带来很多错误。� ●路由器防火墙的最大隐患是:攻击者可以“假冒”地址。由于信息在网络上是以明文方式传送的,黑客(hacker)可以在网络上伪造假的路由信息欺防火墙。� ●路由器防火墙的本质缺陷是:由于路由器的主要功能是为网络访问提供动态的、灵活的路由,而防火墙则要对访问行为实施静态的、固态的控制,这是一对难以调和的矛盾,防火墙的规则设置会大大降低路由器的性能。 � 可以说基于路由器的防火墙技术只是网络安全的一种应急措施,用这种权宜之计去对付黑客的攻击是十分危险的。 3.2 用户化的防火墙工具套� 为了弥补路由器防火墙的不足,很多大型用户纷纷要求以专门开发的防火墙系统来保护自己的网络,从而推动了用户防火墙工具套的出现。� 作为第二代防火墙产品,用户化的防火墙工具套具有以下特征:� 1)将过滤功能从路由器中独立出来,并加上审计和告警功能;� 2)针对用户需求,提供模块化的软件包;� 3)软件可以通过网络发送,用户可以自己动手构造防火墙;� 4)与第一代防火墙相比,安全性提高了,价格也降低了。� 由于是纯软件产品,第二代防火墙产品无论在实现上还是在维护上都对系统管理员提出了相当复杂的要求,并带来以下问题:� 配置和维护过程复杂、费时;� 对用户的技术要求高;� 全软件实现,使用中出现差错的情况很多。� 3.3 建立在通用操作系统上的防火墙� 基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推出了建立在通用操作系统上的商用防火墙产品。近年来市场上广泛使用的就是这一代产品,它们具有如下一些特点:� 1)是批量上市的专用防火墙产品;� 2)包括分组过滤或者借用路由器的分组过滤功能;� 3)装有专用的代理系统,监控所有协议的数据和指令;� 4)保护用户编程空间和用户可配置内核参数的设置; 5)安全性和速度大大提高。� 第三代防火墙有以纯软件实现的,也有以硬件方式实现的,它们已经得到了广大用户的认同。但随着安全需求的变化和使用时间的推延,仍表现出不少问题,比如:� 1)作为基础的操作系统及其内核往往不为防火墙管理者所知,由于源码的保密,其安全性无从保证;� 2)由于大多数防火墙厂商并非通用操作系统的厂商,通用操作系统厂商不会对操作系统的安全性负责;� 3)从本质上看,第三代防火墙既要防止来自外部网络的攻击,还要防止来自操作系统厂商的攻击;� 4)在功能上包括了分组过滤、应用网关、电路级网关且具有加密鉴别功能;� 5)透明性好,易于使用。� 4. 第四代防火墙的主要技术及功能� 第四代防火墙产品将网关与安全系统合二为一,具有以下技术功能。� 4.1 双端口或三端口的结构� 新一代防火墙产品具有两个或三个独立的网卡,内外两个网卡可不做ip转化而串接于内部与外部之间,另一个网卡可专用于对服务器的安全保护。 � 4.2 透明的访问方式� 以前的防火墙在访问方式上要么要求用户做系统登录,要么需通过socks等库路径修改客户机的应用。第四代防火墙利用了透明的代理系统技术,从而降低了系统登录固有的安全风险和出错概率。� 4.3 灵活的代理系统� 代理系统是一种将信息从防火墙的一侧传送到另一侧的软件模块,第四代防火墙采用了两种代理机制:一种用于代理从内部网络到外部网络的连接;另一种用于代理从外部网络到内部网络的连接。前者采用网络地址转接(nit)技术来解决,后者采用非保密的用户定制代理或保密的代理系统技术来解决。� 4.4 多级过滤技术� 为保证系统的安全性和防护水平,第四代防火墙采用了三级过滤措施,并辅以鉴别手段。在分组过滤一级,能过滤掉所有的源路由分组和假冒ip地址;在应用级网关一级,能利用Ftp、smtp等各种网关,控制和监测internet提供的所有通用服务;在电路网关一级,实现内部主机与外部站点的透明连接,并对服务的通行实行严格控制。� 4.5 网络地址转换技术� 第四代防火墙利用nat技术能透明地对所有内部地址做转换,使得外部网络无法了解内部网络的内部结构,同时允许内部网络使用自己编的ip源地址和专用网络,防火墙能详尽记录每一个主机的通信,确保每个分组送往正确的地址。� 4.6 internet网关技术� 由于是直接串联在网络之中,第四代防火墙必须支持用户在internet互联的所有服务,同时还要防止与internet服务有关的安全漏洞,故它要能够以多种安全的应用服务器(包括ftp、finger、mail、ident、news、www等)来实现网关功能。为确保服务器的安全性,对所有的文件和命令均要利用“改变根系统调用(chroot)”做物理上的隔离。� 在域名服务方面,第四代防火墙采用两种独立的域名服务器:一种是内部dns服务器,主要处理内部网络和dns信息;另一种是外部dns服务器,专门用于处理机构内部向internet提供的部分dns信息。在匿名ftp方面,服务器只提供对有限的受保护的部分目录的只读访问。在www服务器中,只支持静态的网页,而不允许图形或cgi代码等在防火墙内运行。在finger服务器中,对外部访问,防火墙只提可由内部用户配置的基本的文本信息,而不提供任何与攻击有关的系统信息。smtp与pop邮件服务器要对所有进、出防火墙的邮件做处理,并利用邮件映射与标头剥除的方法隐除内部的邮件环境。ident服务器对用户连接的识别做专门处理,网络新闻服务则为接收来自isp的新闻开设了专门的磁盘空间。 4.7 安全服务器网络(ssn)� 为了适应越来越多的用户向internet上提供服务时对服务器的需要,第四代防火墙采用分别保护的策略对用户上网的对外服务器实施保护,它利用一张网卡将对外服务器作为一个独立网络处理,对外服务器既是内部网络的一部分,又与内部网关完全隔离,这就是安全服务器网络(ssn)技术。而对ssn上的主机既可单独管理,也可设置成通过Ftp、tnlnet等方式从内部网上管理。� ssn方法提供的安全性要比传统的“隔离区(dmz)”方法好得多,因为ssn与外部网之间有防火墙保护,ssn与风部网之间也有防火墙的保护,而dmz只是一种在内、外部网络网关之间存在的一种防火墙方式。换言之,一旦ssn受破坏,内部网络仍会处于防火墙的保护之下,而一旦dmz受到破坏,内部网络便暴露于攻击之下。� 4.8 用户鉴别与加密� 为了减低防火墙产品在tnlnet、ftp等服务和远程管理上的安全风险,鉴别功能必不可少。第四代防火墙采用一次性使用的口令系统来作为用户的鉴别手段,并实现了对邮件的加密。� 4.9 用户定制服务� 为了满足特定用户的特定需求,第四代防火墙在提供众多服务的同时,还为用户定制提供支持,这类选项有:通用tcp、出站udp、ftp、smtp等,如果某一用户需要建立一个数据库的代理,便可以利用这些支持,方便设置。� 4.10 审计和告警� 第四代防火墙产品采用的审计和告警功能十分健全,日志文件包括:一般信息、内核信息、核心信息、接收邮件、邮件路径、发送邮件、已收消息、已发消息、连接需求、已鉴别的访问、告警条件、管理日志、进站代理、ftp代理、出站代理、邮件服务器、名服务器等。告警功能会守住每一个tcp或udp探寻,并能以发出邮件、声响等多种方式报警。� 此外,第四代防火墙还在网络诊断、数据备份保全等方面具有特色。� 5. 第四代防火墙技术的实现方法 在第四代防火墙产品的设计与开发中,安全内核、代理系统、多级过滤、安全服务器、鉴别与加密是关键所在。� 5.1 安全内核的实现� 第四代防火墙是建立在安全操作系统之上的,安全操作系统来自对专用操作系统的安全加固和改造,从现在的诸多产品看,对安全操作系统内核的固化与改造主要从以下几个方面进行:� 1)取消危险的系统调用;� 2)限制命令的执行权限;� 3)取消ip的转发功能;� 4)检查每个分组的接口;� 5)采用随机连接序号;� 6)驻留分组过滤模块;� 7)取消动态路由功能;� 8)采用多个安全内核。� 5.2 代理系统的建立� 防火墙不允许任何信息直接穿过它,对所有的内外连接均要通过代理系统来实现,为保证整个防火墙的安全,所有的代理都应该采用改变根目录方式存在一个相对独立的区域以安全隔离。� 在所有的连接通过防火墙前,所有的代理要检查已定义的访问规则,这些规则控制代理的服务根据以下内容处理分组:� 1)源地址;� 2)目的地址;� 3)时间;� 4)同类服务器的最大数量。� 所有外部网络到防火墙内部或ssn的连接由进站代理处理,进站代理要保证内部主机能够了解外部主机的所有信息,而外部主机只能看到防火墙之外或ssn的地址。� 所有从内部网络ssn通过防火墙与外部网络建立的连接由出站代理处理,出站代理必须确保完全由它代表内部网络与外部地址相连,防止内部网址与外部网址的直接连接,同时还要处理内部网络ssn的连接。� 5.3 分组过滤器的设计� 作为防火墙的核心部件之一,过滤器的设计要尽量做到减少对防火墙的访问,过滤器在调用时将被下载到内核中执行,服务终止时,过滤规则会从内核中消除,所有的分组过滤功能都在内核中ip堆栈的深层运行,极为安全。分组过滤器包括以下参数。� 1)进站接口;� 2)出站接口;� 3)允许的连接;� 4)源端口范围;� 5)源地址;� 6)目的端口的范围等。� 对每一种参数的处理都充分体现设计原则和安全政策。� 5.4 安全服务器的设计� 安全服务器的设计有两个要点:第一,所有ssn的流量都要隔离处理,即从内部网和外部网而来的路由信息流在机制上是分离的;第二,ssn的作用类似于两个网络,它看上去像是内部网,因为它对外透明,同时又像是外部网络,因为它从内部网络对外访问的方式十分有限。� ssn上的每一个服务器都隐蔽于internet,ssn提供的服务对外部网络而言好像防火墙功能,由于地址已经是透明的,对各种网络应用没有限制。实现ssn的关键在于:� 1)解决分组过滤器与ssn的连接;� 2)支持通过防火对ssn的访问; 3)支持代理服务。 5.5鉴别与加密的考虑 鉴别与加密是防火墙识别用户、验证访问和保护信息的有效手段,鉴别机制除了提供安全保护之外,还有安全管理功能,目前国外防火墙产品中广泛使用令牌鉴别方式,具体方法有两种:一种是加密卡(cryptocard);另一种是secure id,这两种都是一次姓口令的生成工具。 对信息内容的加密与鉴别测涉及加密算法和数字签名技术,除pem、pgp和kerberos外,目前国外防火墙产品中尚没有更好的机制出现,由于加密算法涉及国家安全和主权,各国有不同的要求。 6. 第四代防火墙的抗攻击能力 作为一种安全防护设备,防火墙在网络中自然是众多攻击者的目标,故抗攻击能力也是防火墙的必备功能。在internet环境中针对防火墙的攻击很多,下面从几种主要的攻击方法来评估第四代防火墙的抗攻击能力。 6.1 抗ip假冒攻击 ip假冒是指一个非法的主机假冒内部的主机地址,取服务器的“信任”,从而达到对网络的攻击目的。由于第四代防火墙已经将网内的实际地址隐蔽起来,外部用户很难知道内部的ip地址,因而难以攻击。 6.2 抗特洛伊木马攻击 特洛伊木马能将病毒或破坏性程序传入计算机网络,且通常是将这些恶意程序隐蔽在正常的程序之中,尤其是热门程序或游戏,一些用户下载病执行这一程序,其中的病毒便会发作。第四代防火墙是建立在安全的操作系统之上的,其内核中不能执行下载的程序,故而可以防止特洛伊木马的发生。必须指出的是,防火墙能抗特洛伊木马的攻击并并不表明其保护的某个主机也能防止这类攻击。事实上,内部用户可以通过防火墙下载程序,并执行下载的程序。 6.3 抗口令字探寻攻击 在网络中探寻口令的方法很多,最常见的是口令嗅探和口令解密。嗅探是通过监测网络通信,截获用户转给服务器的口令字,记录下来,以便使用;解密是指采用强力攻击、猜测或截获含有加密口令的文件,并设法解密。此外,攻击者还常常利用一些常用口令直接登录。 第四代防火墙采用了一次性口令字和禁此直接登录防火墙措施,能够有效防止对口令字的攻击。 6.4 抗网络安全性分析 网络安全性分析工具是提供管理人员分析网络安全性之用,一旦这类工具用作攻击网络的手段,则能够比较方便地探测到内部网络的安全缺陷和弱点所在。目前,sata软件可以从网上免费获得,internet scanner可以从市面上购买,这些分析工具给网路安全构成了直接的威胁。第四代防火墙采用了地主转换技术,将内部网络隐蔽起来,使网路安全分析工具无法从外部对内部网络做分析。 6.5 抗邮件攻击 邮件也是越来越突出的攻击方式,第四代防火墙不接收任何邮件,故难以采用这种方式对它攻击,同样值得一提的是,防火墙不接收邮件,并不表示它不让邮件通过,实际上用户仍可收发邮件,内部用户要防邮件,最终的解决办法是对邮件加密。 7. 防火墙技术展望 伴随着internet的飞速发展,防火墙技术产品的更新步伐必然会加强,而要全面展望防火墙技术的发展几乎是不可能的。但是,从产品及功能上,却又可以看出一些动向和趋势。下面诸点可能是下一步的走向和选择: 1)防火墙将从目前对子网或内部网管理的方式向远程上网集中管理是方式发展。 2)过滤深度会不断加强,从目前的地址、服务过滤,发展到url(页面)过滤、关键字过滤和对activex、java等的过滤,并逐渐有病毒扫描功能。 3)利用防火墙建立专用网是较长一段时间用户使用的主流,ip的加密需求越来越强,安全协议的开发是一大热点。� 4)单向防火墙(又叫做网络二极管)将作为一种产品门类而出现。� 5)对网络攻击的检测和各种告警将成为防火墙的重要功能。 6)安全管理工具不断完善,特别是可以活动的日志分析工具等将成为防火墙产品中的一部分。� 另外值得一提的是,伴随着防火墙技术的不断发展,人们选择防火墙的标准将主要集中在易于管理、应用透明性、鉴别与加密功能、操作环境和硬件要求、vpn的功能与ca的功能、接口的数量、成本等几个方面。