时间:2023-06-19 16:14:57
关键词:防火墙 深度检测 研究分析
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9416(2016)04-0000-00
传统的防火墙主要在访问控制列表为基础进行过滤的,它有专门的内部网络入口,也被人称作“边界防火墙”。在近几年来防火墙技术的地位越来越重要,其最新改进的技术――深度包检测技术,是可以看到传统防火墙的入侵检测与阻止的整合,也是解决传统防火墙所遇到问题的新技术,在防火墙发展过程中具有重要的作用。
1 防火墙技术发展历程
1.1 包过滤防火墙
第一代防护墙包过滤是没有相关状态的概念,管理工作人员只需要通过过滤就可以允许或是禁止访问控制列表中的选项。包过滤防火墙在发展中其安全属性具有一定的缺陷,应用层的信息是系统没有办法获取的,防火墙没有办法理解通信的内容是非常容易被黑客攻击的。正是因为这个原因,人们更多的人们包过滤防火墙技术不够安全,在发展中慢慢被状态检测防火墙技术取代了。
2.2 状态检测防火墙
相对于包过滤防火墙技术来说,状态防火墙技术在性能、扩展等方面的表现出来的优势使其很快就成为防火墙技术的佼佼者。在上个世纪九十年代推出第一台商用的状态检测防火墙产品,随后得到快速的发展。状态检测防火墙主要是在网络层工作,对包过滤防火墙比较看,它所做出的决策是在会话信息基础上而不是包的信息。状态检测防火墙在验证数据包时候会先判定这个数据是否符合当前的会话,同时还可以在状态中保存这些信息。状态检测防火墙技术对异常的TCP网络层的攻击有着一定的阻止作用。有些网络设备是可以将数据包分解成更小的数据帧。该种防火墙技术在一定的时间内是人们使用最广泛的技术,用来保护计算机网络不受到黑客的攻击,但是专门对应用层网络攻击的现象越来越多时候,状态检测防火墙技术的有效性也在不断的下降。由于状态防火墙在设计的时候并没有专门的根据Web应用程序的攻击进行设计,这样深度包检测防火墙技术应用而生。
2.3 深度包检测防火墙
深度包检测防火墙技术可以更好的处理应用程序上的流量问题,可以很好的防范目标系统受到各种复杂的攻击,将状态检测的优势很好的结合起来。它可以对数据流量进行分析同时还可以做出访问的控制判决,根据允许的数据流量对负载做出相关的决策。
3 深度包检测技术特点
随着科技的发展,深度包检测技术在不断的更新换代中进而实现深度包检测的功能。深度包检测防火墙技术在一定的程度上融合了包过滤与状态检测防火墙技术的功能,主要具有以下4个功能特征。
3.1 应用层加密与解密
SSL通常被运用在Web浏览器与服务器之间认证身份的加密数据传输,进而确保数据的安全性。该种技术在运用的时候对防火墙也就提出了更高的要求――要对数据的加密与解密进行处理。若是不能够对SSL加密的数据进行解密的话吗,那么防火墙就没有办法对负载的信息进行相关的分析,更没有办法判断出数据中是否具有相关应用层的攻击信息,同时没有办法体现出深度包检测的优势。SSL的加密性能非常高,当前很多企业使用来保证应用程序数据的安全,若是深度包检测技术没有办法对企业中的关键应用程序提高安全性能的化,那么也就是说整个深度包检测失去它的意义。
3.2 正常化技术
为了可以很好的防范应用层的攻击通常情况下主要是依赖字符串的匹配,但是不正常的匹配在很大的程度上会造成安全漏洞。例如,为了能知道某种请求是否可以启用,防火墙的请求就会与安全策略来匹配,只有匹配成功了,防火墙才会采用安全策略。在解决字符匹配的时候是需要利用正常化技术的,只有深度包检测才具备这样的功能,可以识别与阻止大量的危险攻击。
3.3 协议一致性
应用层协议一致性通常在应用程序中会用到,协议都是由RFC进行规范建设的。因为深度包检测是在应用层中进行状态检测的,因而就必须要明确应用层中的数据是否与这些协议一致,这样才会防止隐藏的攻击。
3.4 双向负载检测
与包过滤检测、状态检测来说,深度包检测具有很强大的功能,它是可以允许与拒绝数据包的通过,通常主要是检查与修改四到七层的数据包,主要有包头、负载。深度检测防火墙是可以自动的进行匹配,这样能正确检测出服务质量如何。若是请求不匹配那么深度包检测就会自动将其丢掉,同时将其写入到日志中,也会向管理员发出警告。另外,深度包检测技术是可以进行修改URL,这一点是与应用层的NAT相似。在复杂的网络环境中,为了可以提供全面的防护,进行深度包检测是一定的。深度包检测技术还在不断的发展中,但其基本具有以上的特点。最近几年里,随着编程ASIC技术发展与有效的规则算法出现使得深度包检测引擎的执行能力加强,应用深度检测技术越来越受到好评,很多防火墙的供应商都在不断的增加对防火墙产品中应用数据进行分析。
4 结语
虽然深度包检测技术受到越来越多好评,但是其也具有相当多的缺点。当前的深度包检测产品通常都是一体化的安全设备,这样就会由于单个安全组件的瘫痪而引起整个网络处于安全漏洞的状态下。同时将更多的功能集中在一起,也就越可能的限制单个产品供应商,这样在一定的程度上就会使我们丧失了灵活性。网络安全问题正在处于复杂的境地,有着各种各样的传统防火墙与入侵技术,因而当深度包检测的融合能否降低复杂性,还是需要不断的发展观察。
参考文献
[1] 刘坤灿.防火墙深度包检测技术的研究与实现[D].北京邮电大学,2013(01).
[2] 芦志朋.深度包检测主机防火墙的研究与实现[D].电子科技大学,2010(03).
[3] 艾鑫.众核环境下深度包检测系统的设计与优化[D].哈尔滨工业大学,2013(06).
关键词:IPv6;分布式防火墙 ;Linux
引言
随着Internet的快速发展,网络安全问题是人们最为关注的问题,基于IPv4协议边界式防火墙存在着日益突出的问题,主要体现在IP地址空间缺乏和骨干路由器中路由表“爆炸”的等突出问题。边界式防火墙在保护企业内部网络的情况下,确实是一种有效的网络安全技术,而随着网络应用规模的日益扩大,它的缺陷也不断呈现出来,很难实现网络的安全性和网络性能的均衡性。为了弥补IPv4和传统边界式防火墙的缺陷性及网络安全性等问题,此文提出了基于Linux的IPv6分布式防火墙网络体系架构的设计与实现。IPv6作为下一代互联网的基础协议存在很多优势。IPv6解决了IPv4存在的地址空间缺乏和路由表“爆炸”等问题,并且在安全性、移动性以及QoS等方面有着强有力的支持,IPv6协议由于包头设计得更加合理,使得路由器在处理数据包时更加快捷。此外,IPv6将IPSec集成到了协议内部,使得IPSec不再单独存在等等。
1 分布式防火墙网络体系结构
1.1分布式防火墙技术
分布式防火墙分为安全策略管理服务器[Server]、客户端防火墙[Client]两部分. 安全策略管理服务器主要负责安全策略、用户、日志、审计等管理作用。该服务器是集中管理控制中心,统一制定和分发安全策略,负责管理系统日志、多主机的统一管理,使终端用户“零”负担。客户端防火墙主要作用于各个服务器、工作站、个人计算机上,按照安全策略文件的内容,必须通过包过滤、特洛伊木马过滤和脚本过滤的三层过滤检测,保护计算机在正常情况下连接网络时不会受到黑客恶意的入侵与攻击,从而大大提高了网络安全性能。多台基于主机但集中管理与配置的防火墙组成了分布式防火墙。在分布式防火墙中,安全策略仍然被集中定义,但是在每一个单独的网络端点(如主机、路由器)上实施。
分布式防火墙包括安全策略语言、安全策略机制及应用、实施安全策略机制。安全策略的法则严格地规定了允许通过的通讯文件和禁止通过的通讯的文件,它可以在多种类型的情况下应用,还必须有权利委派和身份鉴别的功能。策略制定之后就可以至网络端点上去了。在传输过程中,策略系统必须保证策略法则的完整性、真实性。策略有多种形式,可以直接“推”到终端系统上,可以由终端按照需求截取,也可以提供给用户(以证书的形式)。策略实施机制系统在主机上,在处理进出的通讯之前,它需要查询本地策略才能做出允许或者禁止的决定。
1.2分布式防火墙体系架构
图1分布式防火墙体系架构
针对边界式防火墙的缺陷,提出了“分布式防火墙”(Distributed Firewalls)作为新的防火墙体系结构,因为它主要负责网络边界、每个子网和网络内部每一个节点之间的安全防护,所以分布式防火墙为一个完整的体系,而不仅仅是单一的产品。依据它所需完成的功能,包括三部分:网络防火墙(Network Firewall)、主机防火墙(Host Firewall)、中心管理(Central Managerment),如图1所示。
(1)网络防火墙(Network Firewall)
网络防火墙一般是纯软件方式,有时候需要硬件的支持。它作用于外部网与内部网之间,及内部网下各个小子网之间的防护,这也是与传统边界式防火墙不同之处,这样以来整个网络的安全防护体系就会更加全面、可靠。
网络防火墙包括入侵检测模块、防火墙模块和管理模块。入侵检测模块所用的是snort_inLine,防火墙模块在Linux环境下所用的是基于Netfilter框架的Iptables,为了使网络防火墙更好的安全防护整个网络,防火墙模块和入侵检测模块内嵌式互动,防火墙实时截取网络数据包,假如是信赖的网段或主机的数据包,就直接通过网络防火墙,减少入侵检测系统的匹配次数;如果不是,数据包通过内核态至用户态,入侵检测系统接收到数据包再检测,如果发现入侵,就通知防火墙截断,如果没有发现入侵,就依照防火墙配置的法则处理。管理模块包含数据发送程序(向管理中心发送防火墙和入侵检测系统日志)、数据接受程序(接受管理中心发放的法则)两部分,数据发送程序的作用是:先与自己机器的SSH端口建立TCP连接,之后从日志文件读出一行数据发送,直到文件完成。数据接受程序的作用是: 监听SSH端口,把接收到的法则代替原来的法则,让它运用新的法则。
(2)主机防火墙(Host Firewall)
与网络防火墙的设计一样,主要对网络中的服务器和桌面机进行防护,这是在边界式防火墙安全体系方面的改进。它主要作用于同一内部子网之间的工作站与服务器之间,来确保内部网络服务器的安全,这样就安全防护应用层了,比起网络层来更加全面。
主机防火墙由防火墙模块、主机管理模块组成,防火墙模块在Linux环境下用的是基于Netfilter框架的Iptables,按照管理中心的安全策略过滤数据包;主机管理模块包括数据发送程序(向管理中心发送日志)、数据接受程序(接受管理中心发放的法则)两部分,数据发送程序的作用是:先与自己机器的SSH端口建立TCP连接,之后从日志文件读出一行数据发送,直到文件完成。数据接受程序的作用是: 监听SSH端口,把接收到的法则代替原来的法则,让它运用新的法则。
(3)管理中心(Managerment Central)
它作为服务器软件,主要负责总体安全策略的策划、管理、分发及日志的汇总,还有远程管理、系统设置、系统安全等其它辅助功能。它也是在边界式防火墙功能的一个完善。它具有智能管理的功能,提高了防火墙的安全防护灵活性、管理性。网络防火墙和主机防火墙把日志发送给日志分析系统之后保存到日志文件之中,网络管理维护中心发放法则给网络防火墙和主机防火墙,管理中心与主机防火墙和边界防火墙之间的通信必须通过身份验证之后运用openssH数据安全通道加密通讯,这样管理中心与主机防火墙和网络防火墙的通信才会更加安全。此外管理中心还有用户图形界面(GUI)功能,负责管理网络中的所有端点、制定和分发安全策略,而且要分析从主机防火墙、网络防火墙接收的日志,依据分析的结果再修改安全策略。
2主机防火墙的设 计与实现
Linux广泛地应用到世界各地服务器网络当中,由于它是开源的。Linux版本2.4内核中已采用了Netfilter的防火墙框架,而且内核中还支持IPv6协议栈。所以此文采用Linux作为目标环境下的系统的开发和运行平台。
2.1主机管理模块
主机管理模块包括数据发送程序(向管理中心发送日志)、数据接受程序(接受管理中心发放的法则)两部分,数据发送程序的作用:首先要跟自己机器的SSH端口建立TCP连接,之后从日志文件读出一行数据再发送,直到文件完成。数据接受程序的作用:监听SSH端口,把接收到的法则代替原来的法则,让它运用新的法则。
2.2主机防火墙模块
Linux版本2.4内核中集成了Netfilter框架,基于Linux平台下,该框架具有新的网络安全功能:网络数据包过滤、状态保持、NAT及抗攻击等。Iptables作为Netfilter框架在用户空间的配置工具的任务:负责从用户命令行界面接收命令之后转化成内核认识的结构体,调用相应的内核操作函数,将法则插入到内核中去。运用Iptables,一定在编译Linux内核时(版本一定比2.4大)选择跟Netfilter相关的内核模块。Netfilter作为内核空间的实现模块,Iptables作为用户空间的控制命令解析器,只有它们合起来才能完成整体的工作。因此首先必须对内核进行裁剪和编译,选择与Netfilter相关的项目,(位于“Networking options”子项下)。
Netfilter是由一系列基于协议栈的钩子组成,这些钩子都对应某一具体的协议。Netfilter支持IPv4、IPv6与IPx等协议,具有协议对应的钩子函数。这些钩子函数在数据包通过协议栈的几个关键点时被调用,协议栈把数据包与钩子标号作为参数传递给Netfilter钩子;可以编写内核模块来注册一个或多个钩子,以挂钩自己的处理函数,这样当数据包被传递给某个钩子时,内核就会依次调用挂钩在这个钩子上的每一个处理函数,这些处理函数就能对数据包进行各种处理(修改、丢弃或传递给用户进程等);接收到的数据包,用户进程也可以对它进行各种处理。一个IPV6数据包在通过Netfilter防火墙框架时,它将经过如图2所示的流程。
图2 IPv6网络数据包处理流程
每一个IPv6数据包经过Netfilter框架时,必须通过5个钩子函数处理:
(1)HOOK1(NF_IP6_PRE_ROUTING),数据包在抵达路由之前经过这个钩子。目前,在这个钩子上只对数据包作包头检测处理,一般应用于防止拒绝服务攻击和NAT;(2)HOOK2(NF_IP6_LOCAL_IN),目的地为本地主机的数据包经过这个钩子。防火墙一般建立在这个钩子上;(3)HOOK3(NF_IP6_FORWARD),目的地非本地主机的数据包经过这个钩子;(4)HOOK4(NF_IP6_POST_ROUTING),数据包在离开本地主机之前经过这个钩子,包括源地址为本地主机和非本地主机的;(5)HOOK5(NF_IP6_LOCAL_OUT),本地主机发出的数据包经过这个钩子。
IP网络数据包处理流程:数据报从左边进入系统,进行IPv6校验以后,数据报经过第一个钩子NF_IP_PRE_ROUTING注册函数进行处理;然后就进入路由代码,其决定该数据包是需要转发还是发给本机的;若该数据包是发被本机的,则该数据经过钩子NF_IP6_LOCAL_IN注册函数处理以后然后传递给上层协议;若该数据包应该被转发则它被NF_IP6_FORWARD注册函数处理;经过转发的数据报经过最后一个钩子NF_IP6_POST_ROUTING注册函数处理以后,再传输到网络上。
本地产生的数据经过钩子函数NF_IP6_LOCAL_OUT注册函数处理以后,进行路由选择处理,然后经过NF_IP6_POST_ROUTI NG注册函数处理以后发送到网络上。
3 结论
针对本文设计的Linux环境下IPv6分布式防火墙的测试中,用两台IPv6主机对防火墙保护下的内网主机进行访问,来测试防火墙。外网主机的环境一台为WINXP,另一台是Linux。通过对外网主机访问记录的验证来检测防火墙的性能。测试的实验结果表明:系统都能按照规则对数据包进行处理,实现了IPv6分布式防火墙的功能。随着网络的不断发展,传统的边界式防火墙的弊端越来越暴露出来了,Linux作为一种开放源代码的操作系统,在世界各地有着广泛的应用。Linux内核版本2.4中已经采用了Netfilter的防火墙框架,而且内核中已支持IPv6协议栈,而下一代通信协议IPv6是未来网络发展的趋势。本文在Linux环境下设计并实现了一个分布式防火墙具有重大意义。
参考文献:
[1]范振岐.基于Linux的IPv6复合防火墙的设计[J].网络安全技术与使用,2006,2:35-37.
[2]蒋雄伟.Linux下的分布式防火墙设计与实现:[硕士学位论文].南京:南京理工大学.2006.
[3]张科.IPv6防火墙状态检测技术的研究与实现:[硕士学位论文].重庆:重庆大学.2007.
[4]杨刚,陈蜀宇.Linux中基于Nctfilter/IPtables的防火墙研究[J].计算机工程与设计,2007,(28):4124-4132.
[5]高鸿峰,王一波,傅光轩.Netfilter框架下IPv6防火墙的设计与实现[J].电子科技大学学报,2007,36(6):1427-1429.
[关键词] 防火墙技术 入侵检测技术 系统联动 加密技术
一、防火墙和IDS联动的接口技术
本文设计了一个通用加密的平台模型,来进行防火墙和入侵检测系统的通信,在这个平台上可以实现整个入侵防护系统的加密通信。如下图:
其实现的技术原理:
1.基于ACE和SSL的可移植安全通信平台。
基于ACE(Access Control Element)和SSL(Secure Socket Layer)构建的通信平台不仅保证了通信的安全性,还具有高效率和可移植性强的特点,可以应用到多种网络安全技术和设备的相互通信中。
2.联动在启动和关闭时分别向联动控制模块进行注册和注销,负责联动信息的交换,并对所的安全产品实施策略设置。
二、接口通信的技术研究
1.基于ACE和SSL的网络通信平台
由于ACE具有高可移植性和较强的软件质量的优点,使得基于它开发的通信平台和联动等网络模块能方便地在常用系统进行移植,并保持良好的效率。
SSL安全协议为网络应用层通信提供了认证、数据保密和数据完整性的服务,较好地解决了Internet上数据传输的安全问题。联动系统中SSL的实现是利用了OpenSSL提供的开发库,其通信过程和HTTP协议类似,在客户端和服务器建立TCP连接(connect and accept)成功之后,SSL开始运行。
在联动系统中联动控制模块作为服务器运行,并开放事先约定的通信端口,当防火墙和IDS启动时,其联动作为客户端向服务器发送连接,只有通过服务器认证,连接才能建立,SSL会话建立后,联动系统就可以安全稳定地进行通信了。
2.基于XML的数据封装
XML(eXtensible Markup Language)是 一种数据交换格式,允许在不同的系统或应用程序之间交换数据。XML为数据交换提供了一种新的信息传输和信息表达方法,其特点在于它的简单性、灵活性和可扩展性。
三、结语
本文通过对防火墙与IDS联动系统中的重点关键性技术进行研究,设计了基于ACE和SSL技术的加密通讯平台,解决了防火墙与IDS联动系统的接口通信问题,这样,就为设计和实现防火墙与IDS联动系统提供了较好的解决方案。
参考文献:
[1]范 涛:网络安全与防火墙.中国科技信息,2008年7期
关键词:防火墙 入侵检测 联动
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9416(2015)05-0000-00
1 技术简介
(1)防火墙技术 防火墙是在内部网络与外部网络之间实施安全防范的系统,是一种访问控制机制。通常安装在被保护的内部网与互联网的连接点上,从互联网或从内部网上产生的活动都必须经过防火墙,如电子邮件、文件传输、远程登录或其他的特定活动等。它通过建立一整套规则和策略来监测、限制、转换跨越防火墙的数据流,实现保护内部网络的目的。
(2)入侵检测系统 入侵检测系统是一个能够对网络或计算机系统的活动进行实时监控的系统,它能够发现并报告网络或系统中存在的可疑迹象,为网络管理员及时采取对策提供有价值的信息。
2 防火墙与入侵检测系统联动的原理
防火墙是遏制攻击的一种手段,但它存在一些明显的不足:一是防火墙保护的是网络边界安全,对网络内部主动发起的攻击行为无法阻止。二是防火墙是根据静态的策略进行访问检查,根据管理员定义的过滤规则对进出网络的信息流进行过滤和控制的,无法根据情况的变化进行动态调整,对于隐藏于正常访问后的网络攻击却无能为力,因为防火墙不能正确识别这种攻击。三是正确配置防火墙访问规则比较困难。
联动本质上是安全产品之间一种信息互通的机制,其理论基础是:安全事件的意义不是局部的,将安全事件及时通告给相关的安全系统, 有助于从全局范围评估安全事件的威胁,并在适当的位置采取动作。只要在某个节点发生了安全事件,无论是一个简单系统捕捉到的原始事件,还是一些具有分析能力的系统“判断”出来的,它都可能需要将这个事件通过某种机制传递给相关的系统,因此“联动”是安全产品间实现互操作的一种表现。联动系统具有几种基本特性:一是有效性,针对具体的入侵行为,联动采取的响应措施应该能够有效阻止入侵的延续和最大限度降低系统损失;二是及时性,要求系统能够及时地采取有效响应措施,尽最大可能地缩短从入侵发现到响应执行的时间;三是合理性,响应措施的选择应该在技术可行的前提下,综合考虑法律、道德、制度、代价、资源约束等因素,采用合理可行的响应措施;四是安全性,联动系统的作用在于保护网络及主机免遭非法入侵,显然它自身的安全性是最基本的要求。
总之,防火墙与入侵检测系统进行联动就是为了实现动、静结合,防火墙提供静态防护,而入侵检测系统提供动态防护。因此防火墙和入侵检测系统的结合,构建一个动态的防御体系,将一切已知的可能的攻击行为进行阻断,给网络带来全面的防护。
3 防火墙与入侵检测系统联动在内网中的实现
(1)网络结构 防火墙和入侵检测系统在单位内网中的部署如图1 所示。
当防火墙和入侵检测系统实现联动后,若单位内网的用户区域有攻击行为发生时,入侵检测系统会检测到该攻击行为,马上通知防火墙,防火墙会阻断该攻击行为,以确保服务器区及整个网络的数据信息安全。
(2) 联动系统的功能模块 联动系统由入侵检测、联动控制和防火墙三大模块组成,总体框架如图2 所示。当数据流经过防火墙过滤后,进入内网,入侵检测系统将其捕获,然后经过解码、预处理,再交由检测引擎进行检测。检测引擎将当前数据与已初始化的规则链进行匹配,当检测到有匹配数据时,即检测到攻击行为,交给联动控制模块。联动控制模块判断是否需要联动,若需要,则启动防火墙接口组件改变防火墙过滤规则,进行实时阻断。
联动系统主要由如下功能模块组成:①IDS接口组件。它主要用于统一入侵检测系统报警格式。它负责将不同的报警格式翻译为联动系统所能理解的统一格式,使系统具有良好的扩展性。②联动控制模块。该模块是联动系统的核心,由分析组件、策略日志、策略响应组件和策略响应信息库组成。当IDS接口组件把转换为统一格式的入侵信息传递到分析组件后,该组件调用策略日志的入侵检测系统可信性数据,包括误报/漏报率等信息,根据这些信息生成可信性矩阵,判断是否需要联动。若需要,则提交给策略响应组件,此组件从策略响应信息库中选择具体响应策略并将其传给防火墙接口组件。在此过程中,首先制定一个初步的响应策略并执行实现联动。但是开始时的响应策略未必是最优响应,通过评估响应策略,并把响应策略的不同响应效果存储于响应策略信息库中,当系统遇到相同类型入侵时就可以调用具有最佳响应效果的策略并执行,使系统能够随着运行时间的增长而逐渐提高抗入侵能力,实现系统的自适应性。③防火墙接口组件。它主要负责接收策略响应组件发来的信息,生成新的防火墙规则,引起防火墙动作。其设计重点是正确修改防火墙规则集,防止防火墙规则集自身产生异常或隐患。防火墙技术的基础是包过滤技术,其依据就是一条条的防火墙规则,将通过防火墙的数据包与防火墙规则集中的规则逐条比较,遇到匹配规则就按规则中定义的动作处理,若没有匹配规则则按防火墙缺省策略处理。这就意味着配置防火墙规则时必须谨慎处理防火墙规则的顺序以及它们之间的关系,未经正确性检验的规则集中很可能含有无效规则甚至冲突规则,从而导致预期的安全目标不能实现。既然需要通过联动修改防火墙规则,防火墙接口就必须正确地修改防火墙规则,确保对防火墙的修改不会与其现有的策略产生冲突。目前防火墙接口组件主要着眼于解决接收入侵信息并将其翻译为防火墙可以理解的规则,然后发送给防火墙进行相应处理。
(3)联动在单位内网中的实施过程 防火墙与入侵检测系统之间的联动主要是通过开放接口来实现,即防火墙或者入侵检测系统开放一个接口供对方使用,双方按照固定的SSL协议进行通信,完成网络安全事件的传输。这种方式比较灵活,不影响防火墙和入侵检测系统的性能。
①防火墙的联动配置 根据单位内网的网络安全需求配置好了访问策略,对不同区域之间的访问进行了控制。防火墙根据这些定义的策略对网络的信息流进行过滤和控制,但对于隐藏于正常访问后的网内主动发起的攻击却无法识别,因此需要和入侵检测系统进行联动,通过入侵检测系统及时发现其策略之外的攻击行为,通知防火墙进行访问控制,以保证网内的信息安全。
防火墙联动的配置过程为:在防火墙管理器中选择“入侵防御”的“IDS联动”菜单,将弹出“IDS联动配置”对话框,在对话框里输入防火墙和入侵检测系统的IP地址后将自动生成一个联动密钥文件,然后将防火墙产生的密钥保存为.key文件,以便将该密钥导入到入侵检测系统中去。②入侵检测系统的联动配置 入侵检测系统由管理控制中心、网络引擎和显示中心组成。管理控制中心主要是进行用户、组件、多级、策略任务、系统更新、日志维护等方面的管理。网络引擎是由策略驱动的网络监听和分析系统,采用旁路侦听方式全面侦听网上信息流,进行实时分析,将分析结果与网络引擎上运行的策略集相匹配,执行报警、阻断、日志等功能,完成对控制中心指令的接收和响应工作。显示中心主要是进行入侵事件定位、入侵风险评估、流量监测等。入侵检测系统的联动配置过程为:在“组件管理”中选择“联动设置”,将弹出“联动信息设置”的对话框,在对话框中输动的防火墙设备名称、IP地址及端口号,然后将防火墙自动生成的密钥文件导入,与防火墙的联动配置完成。入侵检测系统时时对单位内网的各种事件进行着监测。侵检测系统和防火墙进行了联动后,当它检测到单位内网防火墙策略之外的攻击行为的时候,就会马上通知防火墙,防火墙立即会对该行为进行阻断,增强了网络的安全防御能力。
4 结语
综上所述,防火墙和入侵检测系统的功能特点和局限性决定了它们彼此非常需要对方,且不可能相互取代,防火墙侧重于控制,而入侵检测系统则侧重于主动发现入侵的信号。防火墙不能检测出攻击行为,对单位内网内部主动发起的攻击行为无法阻止,一些攻击会利用防火墙合法的通道进入网络。而入侵检测系统检测到攻击行为,如不能及时有效地阻断或者过滤,这种攻击行为仍将对单位内网内部安全造成危害。因此,防火墙和入侵检测系统之间十分合适建立紧密的联动关系,以将两者的能力充分发挥出来,相互弥补不足,相互提供保护。从信息安全整体防御的角度出发,这种联动是十分必要的,它能够极大地提高单位内网安全体系的防护能力。
参考文献
關键词:防火墙防火墙技术包过滤应用
一、引言
随着计算机网络技术的不断更新及发展,使得信息技术得到一定的改革,在信息化时代中,计算机在我国得到了普遍的运用,这使得计算机技术及信息资源可以进行一定的融合,但这也需要一定的防护措施进行安全保障。这种情况下,防火墙技术应然而生,并取得了相当巨大的成果,这是因为防火墙技术可以保障计算机网络安全的正常运行,使得为信息化发展做出巨大贡献。
二、防火墙技术的主要分类
1.包过滤防火墙。包过滤防火墙,主要工作在开放式系统互联网络中的传输层及网络层,它是否允许通过主要是依据各种标志来确定的。只有将数据包满足过滤的条件,才能将其转发到相应地点,而其他数据则会被阻拦及丢弃。
2.应用型防火墙。应用型防火墙,主要工作在开放式系统互联网络中的应用层。它主要是将网络通信流进行完全的阻隔,然后将其应用进行编制专业程序,使其应用层中网络通信流可以受到监控。除了以上两点,防火墙还可以安装应用位置进行划分:有边界防火墙、混合防火墙及个人防火墙;安装性能可以划分为:千兆防火墙及百兆防火墙等等。
三、防火墙技术的优缺点
1.包过滤防火墙的优缺点。(1)优点:包过滤防火墙是可以进行过滤的方式,将整体网络进行协助保护;在数据包进行过滤时,保障对用户的透明度,使得效率得到提升,并且速度较快。(2)缺点:无法将地址欺骗进行彻底的防护,部分应用协议适合将数据进行包过滤。许多正常数据在运行时,无法进行包过滤防火请的保护,使得黑客攻击不能被及时的防范,并且应用层中的协议并不得到支持,使得新的安全威胁不能够被及时处理。
2.应用型防火墙。(1)优点:应用型防火墙可以将内外网的直接通信进行彻底的隔断,这使得当内网进行外网访问时,可以直接转变成向防火墙进行访问,然后在有防火墙向外网访问后传回给内网。这使得所以应用都是由防火墙进行转发的,内网与外网没有直接的管理,使得安全系数有所提升。在应用型防火墙运行时,可以及时将网络协议进行检查,对数据检测的能力也较强,这都大大提升计算机网络的安全。(2)缺点:应用性防火墙,主要是要运用,但速度较慢,并且不对用户进行透明操作,这使得部分应用可能会受到协议的限制,使得部分数据无法进行正常的运行。
四、防火墙技术在计算机网络安全中的应用
综合我国计算机网络安全出现的多种问题进行分析,找寻出防火墙技术在计算机有以下两方面的主要应用:
1.访问策略的应用。访问策略是防火墙技术应用的中心,其在计算机网络安全中占有主导作用。在访问策略中主要是进行计算机配置,在进过一定的计划后,将计算机运行的整体过程进行深化及统计,使其形成一套科学的防护系统。而防火墙主要在计算机实际运用中,进行访问策略的规划,使其保障了计算机网络的安全。一般情况下,流程有以下四个步骤:第一步,防火墙技术先将计算机按照运行信息将其划分为不同单位,在针对单位进行内与外两部分的访问保护规划,使其流通访问中的安全可以得到保障;第二步,在计算机运行时,防火墙技术要通过访问策略将其运行的各项地址进行主动了解,使其清楚计算机网络运行的整体特征,使其更好的将安全保护凡是进行规划;第三步,防火墙技术,要依照计算机对安全的需求度及访问的具体情况进行适当的调整,使其既可以保障安全,又可以不影响数据正常的使用。并且防火墙技术,还可以通过自主进行调节,而调节的具体要求,就要与具体操作环境及内容进行相应的设置,这使得计算机网络安全可以更加人性化。第四步,当防火墙技术在访问策略中运行完成后,可以将漏洞进行及时的更新,然后最为防火墙技术的最新配置,使得防火墙技术在使用中可以得到不断的提升,进而更好的将计算机网络进行安全保护。
2.安全配置的应用。在所用防火墙技术中,安全配置则是整体的重点,其主要将计算机网络安全进行不同模块的划分,划分出可以进行安全防护的模块,并将其作为隔离区进行驻华,这也是进行重点的安全保护。防火墙技术中的隔离区,本是属于单独的局域网内,也可以成为计算机中内部网络的组成部分,但最为主要的是隔离区可以将网络服务器内部中的信息安全得到保护,使得计算机可以在更加稳定剂安全的环境下运行。在运行防火墙技术时,对安全配置的要求较高,这也使得计算机网络安全应用的效率有所提升。
五、结语
关键词:网络安全;防火墙
Network Firewall Technology Applicationin Network Security
Pang Huan
(Xingning Employment Service Center,Xingning514500,China)
Abstract:The paper describes the principles of the firewall deployment and deployment location of the firewall,described in details of firewall selection criteria and the composition of the security system from the location of the firewall deployment
Keywords:Network Security;Firewall
一、概述
网络防火墙技术作为内部网络与外部网络之间的第一道安全屏障,是最先受到人们重视的网络安全技术,就其产品的主流趋势而言,大多数服务器(也称应用网关)也集成了包滤技术,这两种技术的混合应用显然比单独使用更具有大的优势。那么我们究竟应该在哪些地方部署防火墙呢?首先,应该安装防火墙的位置是公司内部网络与外部Internet的接口处,以阻挡来自外部网络的入侵;其次,如果公司内部网络规模较大,并且设置有虚拟局域网(VLAN),则应该在各个VLAN之间设置防火墙;第三,通过公网连接的总部与各分支机构之间也应该设置防火墙,如果有条件,还应该同时将总部与各分支机构组成虚拟专用网(VPN)。
安装防火墙的基本原则是:只要有恶意侵入的可能,无论是内部网络还是与外部公网的连接处,都应该安装防火墙。
二、防火墙的选择
选择防火墙的标准有很多,但最重要的是以下几条:
(一)防火墙为网络系统的安全屏障
总拥有成本防火墙产品作为网络系统的安全屏障,其总拥有成本(TCO)不应该超过受保护网络系统可能遭受最大损失的成本。以一个非关键部门的网络系统为例,假如其系统中的所有信息及所支持应用的总价值为10万元,则该部门所配备防火墙的总成本也不应该超过10万元。当然,对于关键部门来说,其所造成的负面影响和连带损失也应考虑在内。如果仅做粗略估算,非关键部门的防火墙购置成本不应该超过网络系统的建设总成本,关键部门则应另当别论。
(二)防火墙本身是安全的
作为信息系统安全产品,防火墙本身也应该保证安全,不给外部侵入者以可乘之机。如果像马其顿防线一样,正面虽然牢不可破,但进攻者能够轻易地绕过防线进入系统内部,网络系统也就没有任何安全性可言了。
通常,防火墙的安全性问题来自两个方面:其一是防火墙本身的设计是否合理,这类问题一般用户根本无从入手,只有通过权威认证机构的全面测试才能确定。所以对用户来说,保守的方法是选择一个通过多家权威认证机构测试的产品。其二是使用不当。一般来说,防火墙的许多配置需要系统管理员手工修改,如果系统管理员对防火墙不十分熟悉,就有可能在配置过程中遗留大量的安全漏洞。
(三)管理与培训
管理和培训是评价一个防火墙好坏的重要方面。我们已经谈到,在计算防火墙的成本时,不能只简单地计算购置成本,还必须考虑其总拥有成本。人员的培训和日常维护费用通常会在TCO中占据较大的比例。一家优秀的安全产品供应商必须为其用户提供良好的培训和售后服务。
(四)防火墙的安全性
防火墙产品最难评估的方面是防火墙的安全性能,即防火墙是否能够有效地阻挡外部入侵。这一点同防火墙自身的安全性一样,普通用户通常无法判断。即使安装好了防火墙,如果没有实际的外部入侵,也无从得知产品性能的优劣。但在实际应用中检测安全产品的性能是极为危险的,所以用户在选择防火墙产品时,应该尽量选择占市场份额较大同时又通过了权威认证机构认证测试的产品。
三、安全技术的研究现状和动向
我国信息网络安全研究历经了通信保密、数据保护两个阶段,正在进入网络信息安全研究阶段,现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。但因信息网络安全领域是一个综合、交叉的学科领域它综合了利用数学、物理、生化信息技术和计算机技术的诸多学科的长期积累和最新发展成果,提出系统的、完整的和协同的解决信息网络安全的方案,目前应从安全体系结构、安全协议、现代密码理论、信息分析和监控以及信息安全系统五个方面开展研究,各部分相互协同形成有机整体。
国际上信息安全研究起步较早,力度大,积累多,应用广,在70年代美国的网络安全技术基础理论研究成果“计算机保密模型”(Beu&Lapadula模型)的基础上,指定了“可信计算机系统安全评估准则”(TCSEC),其后又制定了关于网络系统数据库方面和系列安全解释,形成了安全信息系统体系结构的准则。安全协议作为信息安全的重要内容,其形式化方法分析始于80年代初,目前有基于状态机、模态逻辑和代数工具的三种分析方法,但仍有局限性和漏洞,处于发展的提高阶段。作为信息安全关键技术密码学,近年来空前活跃,美、欧、亚各洲举行的密码学和信息安全学术会议频繁。1976年美国学者提出的公开密钥密码体制,克服了网络信息系统密钥管理的困难,同时解决了数字签名问题,它是当前研究的热点。而电子商务的安全性已是当前人们普遍关注的焦点,目前正处于研究和发展阶段,它带动了论证理论、密钥管理等研究,由于计算机运算速度的不断提高,各种密码算法面临着新的密码体制,如量子密码、DNA密码、混沌理论等密码新技术正处于探索之中。
因此网络安全技术在21世纪将成为信息网络发展的关键技术,21世纪人类步入信息社会后,信息这一社会发展的重要战略资源需要网络安全技术的有力保障,才能形成社会发展的推动力。在我国信息网络安全技术的研究和产品开发仍处于起步阶段,仍有大量的工作需要我们去研究、开发和探索,以走出有中国特色的产学研联合发展之路,赶上或超过发达国家的水平,以此保证我国信息网络的安全,推动我国国民经济的高速发展。
参考文献:
关键词: 外墙外保温;火灾危险性;防火措施
近年来,南京中环国际广场、哈尔滨经纬360度双子星大厦、济南奥体中心、北京央视新址附属文化中心、上海胶州教师公寓、沈阳皇朝万鑫大厦等相继发生建筑外墙外保温材料火灾,造成严重人员伤亡和财产损失,建筑外墙采用易燃可燃保温材料已成为一类新的火灾隐患,由此引发的火灾已呈多发势头。因此,科学地研究解决建筑外墙外保温的防火问题已经成为亟待解决和特别重要的一项课题。
1、建筑外墙外保温的现状及火灾危险性
1.1外墙外保温的一般做法
建筑外墙外保温是将保温材料粘结或锚固于建筑物墙体外侧,并在其外侧施工装饰层的方法,具有很好的建筑节能作用,已成为当下建筑业节能减排最重要措施之一。与建筑外墙内保温技术相比,建筑外墙外保温技术适用范围广,技术含量高,可有效减少建筑结构的热桥,提高居住的舒适度。
建筑外墙外保温构造主要由固定层、保温层、纤维增强防护层和饰面层等四部分组成。防护层多为聚合物水泥砂浆,中间铺设防裂短切玻璃纤维或玻璃纤维网格布构成,本身不具有燃烧性;保温层多采用密度小、导热系数低的物质构成,按照物质组成,目前的保温层材料主要为有机保温材料、有机无机复合保温材料和无机保温材料。目前国内应用较多的有机保温材料主要有EPS 板、挤塑板和聚氨酯等。无机保温材料包括岩棉和膨胀玻化微珠保温浆料等。胶粉聚苯颗粒保温浆料、保温装饰板等则属于有机无机复合保温材料。
1.2外墙外保温的火灾危险性
外墙保温所采用的有机保温材料, 防火安全性差, 特别是普通的泡沫板、挤塑板, 在80℃就熔融变形滴落, 一旦起火, 火势蔓延速度特别快, 而且会产生大量有毒烟气, 致使建筑物存在很大的火灾危险性。建筑物在施工阶段, 由于外墙保温材料容易被施工明火或高温点燃, 所以这些材料进入施工现场后和贴墙施工时极易发生火灾。而且由于施工现场一般消防供水、消火栓等扑救设施尚未安装到位, 起火后单凭灭火器难以控制, 加之施工现场情况比较复杂, 疏散通道、出口不明, 特别是贴在外墙上的保温材料向上燃烧蔓延很快, 一般消防车到场后也难以及时发挥作用, 所以灭火扑救难度大, 往往会造成很大的经济损失和人员伤亡。
建筑物投入使用后, 建筑墙体虽然是不燃材料, 但采用上述有机保温材料后, 仍存在较大的火灾危险性。因为保温材料外面有饰面层保护一般不会燃烧起火, 但是发生火灾时, 由于受高温的作用, 保护层容易龟裂乃至脱落, 保温材料很快会被引燃, 火势会迅速蔓延到整个保温层,并形成烟囱效应,迅速扩大火势,引发建筑物火灾;同时, 外墙保温材料着火之后, 由于室内的自动喷淋灭火设施不能覆盖外墙, 无法阻止火势蔓延。同时,燃烧的聚苯乙烯泡沫塑料和聚氨酯泡沫塑料会释放大量有毒气体,易造成人员的窒息伤亡。这种情况下建筑内人员是非常不安全的, 严重影响楼内人员的疏散以及灭火救援工作。发生在北京的央视火灾, 除了违规燃放烟花爆竹的人为原因外, 就是因为大楼使用的新型保温材料遇火快速燃烧, 致使火势迅速蔓延, 被专家称为新中国成立以来建筑物燃烧最快的一例, 造成重大经济损失和负面影响。但是,从两者的生产成本及目前国内技术水平来衡量,外墙保温层材料仍然以聚苯乙烯泡沫塑料和聚氨酯泡沫塑料等有机保温材料应用最多,这也是火灾频发的症结所在。因此,建筑外墙外保温的防火安全性现状依然严峻。
2、国内、国外的外墙外保温防火技术现状
2.1国外外墙外保温防火技术现状
从国外外墙外保温系统的发展历史可以看到,对外墙外保温防火安全性的要求一直被作为该技术应用的首选条件。欧美等外墙外保温技术应用先进的国家,对外墙外保温系统均有严格的防火安全等级要求,不同的外墙外保温系统和保温材料设有防火测试方法和分级标准(考虑燃烧时烟气及毒性释放),并对不同防火等级的外墙外保温系统在建筑的使用范围有严格规定。在德国有因聚苯板薄抹灰系统防火安全性达不到要求而不能在22 米以上建筑使用的相关规定;在英国有18 米以上建筑不允许使用聚苯板薄抹灰外墙外保温系统的规定;在美国纽约州建筑指令中明确规定耐火极限低于两个小时的聚苯板薄抹灰外墙外保温系统不允许用在高于75 英尺即22.86 米的住宅建筑中。而由岩棉等不燃材料组成的外墙外保温系统则可广泛应用在各种类型的建筑中,该系统已经成为目前世界上应用范围最广的外墙保温作法之一。
2.2国内外墙外保温系统防火技术现状
目前,国内对外墙外保温系统防火技术的研究和重视程度还远远不够,几乎所有提及的内容都是关于系统所采用保温材料的燃烧性能,即使在外保温行业标准中对有机保温材料的要求也仅仅是氧指数和可燃性试验指标。目前我国现行的《高层民用建筑设计防火规范》中尚无针对外墙保温的防火设计内容,对外墙外保温系统缺乏分级标准和使用范围限定,外墙保温防火技术也没有国家或行业标准及规范,生产企业的产品说明书中一般缺少防火性指标。在国内外墙外保温系统中占有主导地位的聚苯板薄抹灰系统在发达国家因其防火性能较差,而对其使用范围有严格的限制,但在国内没有标准对此作出规定。有些企业利用我国外墙外保温市场不规范的现状,在高层甚至在超过170 米的超高层建筑物上依然采用此种产品,这种欺瞒行为应引起国内相关部门的高度重视。
我国的城市建筑不同于以低、多层建筑为主的欧美国家,多是中高层、高层甚至超高层建筑,外墙保温防火性能的影响因素和力度要比国外建筑大得多。但是,在我国,外保温发展处于粗放式发展的初期,虽然意识到外墙外保温系统防火安全性应该得到重视并且在标准中有所体现,但由于当时基础研究薄弱,缺乏试验研究的基础数据支撑,受技术水平所限,在已经的JG 149-2003 、JG 158-2004 、JG/J 144-2005 标准中只是提到了保温材料的防火性能。可见,无论是从国内已经频繁发生的火灾事故还是从国外对该问题的研究,如何提高国内各类建筑的防火安全是事关民生安全的重要课题。
3、降低外墙外保温火灾危险性的措施
3.1科学评定保温材料和系统的燃烧性能等级,合理选择保温材料
外墙外保温系统使用的保温材料中,有机保温材料自重轻、导热系数小、耐水性能好,但其容易燃烧,对其进行阻燃处理较为困难,阻燃处理的成本也比较高;各种无机保温材料属于不燃材料,自身不存在防火安全性问题,但是此类材料普遍存在强度低、整体性差,吸水率高、冻融性差等问题,且制备工艺复杂,生产成本较高;胶粉聚苯颗粒保温浆料、保温装饰板等有机无机复合保温材料的防火性能显然要好于有机保温材料,但不能认为其防火性能一定符合要求,应该通过试验测试其燃烧性能,经过燃烧性能评价后方能使用。如胶粉聚苯颗粒保温浆料中,若有机保温材料的比例过大,复合保温材料仍有可能引发火灾,并产生浓烟和有毒气体。
外墙外保温系统火灾中,着火物质主要是保温材料, 所以首先要对保温材料的燃烧性能进行分级。保温材料燃烧性能分级不仅要考虑可燃性和不燃性,还要考虑燃烧热、发烟量和烟气毒性等因素,并通过试验确定。可以按照国家标准《建筑材料及制品燃烧性能分级》( GB 8624 -2006) 对保温材料的燃烧性能进行科学分级,该标准考虑到了材料的上述因素,将建筑材料及制品分成A1 、A2 、B 、C、D 、E、F 7 个等级。
考虑到建筑外墙火灾的实际情况,我们对外墙外保温系统的燃烧性能也应该进行分级。我国现行的外墙外保温系统标准规定了保温材料的燃烧性能等级,但对系统的燃烧性能等级却少有要求。事实上, 系统作为最终使用的产品形式,更应该科学地评定其燃烧性能等级,国外一些标准也要求对保温材料和外墙外保温系统进行燃烧性能分级测试。不过GB8624-2006规定的试验方法都使用小试样和中试样,不能完全反应系统大“空间”的火灾情况,应该在该标准规定的试验基础上,参照国外的墙角火试验和窗口火试验,并结合真实火灾案例增加对系统燃烧性能的评定。
所以,在高层建筑和重要的公共建筑应尽量推广使用无机保温材料及系统。对于其他建筑, 应根据建筑物的高度、使用性质、火灾危险性、疏散和扑救难度等因素,选择燃烧性能合适的外保温材料及系统。
3.2合理设计外墙外保温系统的防火构造,提高系统的整体防火安全性能
根据目前的技术条件, 在满足相关标准对保温材料要求的前提下, 不需要也不能对有机保温材料的阻燃性指标提出过高的要求, 而应更加重视与强调系统的整体防火安全性能。若不能选择无机防火保温材料,就必须合理设计外墙外保温系统的防火构造,提高系统的整体防火安全性能。构造方式是影响建筑外墙外保温防火安全性的主要因素之一,包括:粘结或固定方式(空腔问题),防火保护面层的厚度, 防火隔断(分仓)的构造等。保温层的粘结或固定方式若以点粘的方式与墙体粘结,则两者之间会存在空腔构造,可能为保温材料燃烧及火焰蔓延提供充足的氧。保温材料一旦被引燃,将迅速蔓延,并且不易扑灭。可见建筑外墙外保温中贯通的空腔构造和封闭的空腔构造对系统的防火安全性能的影响程度也是相当大的。保护面层可以减少和消除火灾对保温材料的侵袭,外墙外保温防护层以抹面浆料为主,其厚度和质量稳定性,决定建筑外墙外保温层面构造的抗火能力。建筑外墙外保温的防火隔离带构造或分仓构造的存在, 能够有效地阻止火焰蔓延,防止外墙外保温系统墙面整体燃烧。按照保温材料不同的燃烧性及建筑物不同的建筑高度,防火隔离带的材质、尺寸和设计层数均有不同。由此可见,在外墙外保温工程设计过程中,要求保温层粘贴不形成贯通的空气通道,所用产品具有一定厚度的防火保护层,以及设计合理的防火隔离带, 对建筑外保温系统的防火安全性能将起到非常重要的作用。
3.3完善外墙保温防火技术的标准规范
尽管目前我国已出台部分法规及设计标准, 但是外墙保温行业亟需一整套产品标准、施工技术规程和验收规范, 对外墙保温技术有总的要求和使用范围规定, 并通过统一的国家标准来设计、施工和验收建筑保温工程。国外对外墙外保温防火安全性的要求一直作为技术应用的首选条件,其主要思路是:在对保温材料燃烧性进行分级的同时,对保温系统燃烧性也进行分级,不同的系统对应应用在不同防火等级的建筑物上。对可燃材料保温系统严格而明确地规定了其应用高度,基本上都是规定在22m(不同国家略有差异,美国22.86m,德国22m,英国18m)以上只允许使用不燃保温材料外保温系统,22m以下可使用可燃材料外保温系统,即使在22m以下使用时,当聚苯板厚度较厚(如德国超过100mm)时,或对防火提出更高要求时,要采取一定的构造防火措施,如用不燃材料在门窗洞口做防火构造,并设置防火隔离带等。我国的外墙外保温技术尽采管推广应用多年,现行标准中除了对保温材料的燃烧性能有所规定外,并没有对系统的燃烧性能、适用范围作具体的规定。所以,我们应该结合中国国情,制定相关技术标准火规范,对外墙外保温材料及系统的燃烧性能、实验方法、构造要求、适用范围及施工要求作出具体规定,确保外墙外保温系统的防火安全。3.4加强对外墙保温防火技术的研究
我国在外保温发展处于粗放式发展的初期,虽然意识到外墙外保温系统防火安全性应该得到重视并且在标准中有所体现,但由于当时基础研究薄弱, 缺乏试验研究的基础数据支撑,同时受技术水平所限,在已经的《膨胀聚苯板薄抹灰外墙外保温系统》(J G 149-22003) 、《胶粉聚苯颗粒外墙外保温系统》(J G 15822004) 、《外墙外保温工程技术规程》(J GJ 144-22005) 标准中,也只是提到了保温材料的防火性能而未过多展开。随着外保温技术的发展和火灾事故的频繁发生,高层建筑防火问题迫在眉睫,各外保温标准编制组也意识到必须在新修编的标准中重点突出防火技术指标要求,并给予外保温防火技术研究更多的关注和支持。
根据我国外墙保温系统应用的实际,我们应该从两个方面的技术研究来解决外保温防火问题: (1)通过对国外先进技术的借鉴和针对国情的自主创新标准,开发出具有独立知识产权的,能彻底解决大部分现有外墙外保温系统防火性差等弊病的外墙外保温系统,这也是外墙外保温行业未来的发展方向。 (2)通过对各种外保温系统和材料的防火性能进行试验研究,建立适合中国国情的外墙外保温防火试验方法;通过这些试验和对发达国家相关标准的借鉴,对不同外保温系统进行防火安全性能分级评价和应用范围限定,形成具有强制力的标准,逐步达到并超过发达国家外墙外保温的防火技术水平。3.5加强外墙保温施工过程中的安全管理
外墙外保温很多火灾事故多是发生在施工期间,因为施工期间,易燃的保温材料没有被覆盖,钢材切割和电焊施工时,火星会溅到保温材料上引起燃烧,济南奥体中心体育馆发生火灾事故原因就是施工人员电焊操作引燃材料保温层所致。施工现场电气设备、生活用火、甚至是施工工人乱扔的烟头都可能导致火灾。所以应该加强施工现场管理,并确定相应的施工方案。可燃保温材料存放现场应远离可燃物及火源,并配有足够的消防灭火设备;要有明显的禁烟、禁火标志;附近不得有明火作业,且不得堆放易燃、易爆等危险物品。外保温工程施工区域动用电焊、切割等明火时,必须确认明火作业涉及区域内没有的可燃性保温材料,并设专人监督,做好应急措施。必要时可在保温材料表面设置水泥砂浆等不燃材料作为保护层。无此外,还要对保温材料的燃烧性能进行现场复验,确保保温材料的燃烧性能合格。
4、结束语
我国外墙外保温系统的发展刚刚开始十几年 , 在建筑节能政策、法规的推动下 ,从国外引进及自主开发的外保温技术正表现出蓬勃发展的趋势 ,但外墙保温在防火安全性方面一直都存在巨大的安全隐患,近年来频繁发生的火灾事故为我们敲响了警钟,建筑外墙外保温防火安全性已经成为社会热议的焦点,更成为制约外墙外保温,甚至建筑节能进一步深化和发展的桎梏。为此,我们在加强这方面防火技术研究、建立健全相关技术规范制定的同时,在目前的技术条件下,不需要也不能对有机保温材料的阻燃性指标提出过高的要求,而应更加重视与强调从提高外墙保温系统整体防火性能方面作出相应的技术改进与研究,进而减少外墙外保温存在的消防安全隐患,减少因外墙保温发生的火灾事故。
参考文献:
[1]北京振利高新技术有限公司. 外墙保温防火试验及建筑应用的研究[N].中国建设报,2007,10,31(005版).
[2]程昱. 浅谈建筑外墙保温防火的重要性和对策[J]. 江西:江西化工,2010.
[3]欧志华, 马保国, 蹇守卫. 建筑外墙外保温系统防火的原则与思路 [J]. 天津: 消防科学与技术, 2010.
[4]李 南 ,高子栋,胡宝柱,李国忠. 建筑外墙外保温防火安全性现状与应对策略[J]. 21世纪建筑材料,2010 .
[5]石金柱 . 外墙外保温系统的防火措施分析 [J].建筑节能, 2009.
[6]JG149-2003, 膨胀聚苯板薄抹灰外墙保温系统[S].
[7]JG158-2004, 胶粉聚苯颗粒外墙外保温系统[S].
[8]JGJ 144-2004, 外墙外保温工程技术规程[S].
关键词:建筑外墙;保温;防火
中图分类号:TU352.59文献标识码: A
0 引言
我国人口众多,对建筑的需求量较大。近些年,我国的建筑形式以高层建筑和群体性建筑为主,建筑区域较为集中,建筑单位面积比较大。针对我国的建筑情况,建筑节能措施的采用十分必要,而建筑外墙保温材料的应用是建筑节能的重要措施,因此,将建筑外墙保温材料普遍运用到各地区各种风格的新建建筑中,是建筑节能的重大举措。然而,随着外墙保温材料的广泛运用,建筑的火灾隐患也愈来愈严重,因此,运用保温材料节能的同时也应该更加注重保证其安全性。
1 建筑外墙保温消防安全现状
近些年,外墙保温技术在建筑中的应用日渐广泛,但是由于多种原因导致其所采用的保温材料多为易燃性材料,这就增加了火灾情况发生的可能性,使得建筑外墙保温防火问题成为重点,同时也是一个技术性难点问题。下面就对国内外建筑行业在此难点问题方面的发展现状进行简单的介绍。
1.1我国建筑外墙保温防火技术发展现状
我国建筑外墙保温材料主要包括三种类别,第一类为无机保温材料,其本身不具有可燃性,但其保温性能较差,岩棉、玻璃棉等均属此类;第二类为有机材料与无机材料混合制成的复合材料,这种保温材料可燃性也较差,此类型的代表材料有胶粉聚苯颗粒;第三类为有机高分子保温材料,这种类型的保温材料多具有较高的可燃性,为易燃材料,引发火灾的可能性较大。其中此类别的保温材料以聚苯乙烯泡沫塑料和聚氨酯硬泡最为常见。此类材料的应用最为广泛,主要因为它的保温性能较好,质量较小,具有较好的经济性。但在使用中其易燃性应该得到足够的重视并采取相应的防护措施。总体来说,国内建筑外墙保温技术的结构相对比较简单,有机可燃材料为主材料的保温材料占保温材料的总体的五分之四,且主要以聚苯板薄抹灰为主,总体防火性能不佳。
1.2国外建筑外墙保温防火技术发展现状
国外对于建筑外墙保温材料一直将材料的使用安全性作为最重要的选择原则。在外墙保温防火技术较为成熟的国家,对建筑外墙保温防火的性能进行了等级化划分。其对于各种建筑外墙保温性能和保温材料的防火性能的测定规定了合理的测定方法,并制定了严谨科学的等级化划分原则和使用要求。例如,英国的建筑物只有高度在0m~18m之间时,才可以使用聚苯板薄抹灰外墙保温系统,而对于不易燃的保温材料的使用则无建筑物高度的限制。
2 提高建筑外墙保温材料防火性能的原因
2.1外墙保温材料存在火灾隐患
如今容纳人员较多的高层写字楼以及住宅小区内的居民楼多采用外墙保温材料,这不仅改善了建筑的性能,也有利于建筑节能。但是这些建筑物所采用的外墙保温材料多为在墙体外加有机保温层的方法,其有机保温层的材料多为棉岩、玻璃纤维等易燃性物质。这些物质一般在较低的温度下就会熔融,因此,采用这种材料防火安全性能很差,并且在这种人员密集的建筑物中发生火灾,其火势相对难控制,会造成人员和财产的巨大损失。所以,外墙保温材料的应用会使建筑物存在较严重的火灾隐患,需要进一步提高保温材料的防火性能。
2.2国家对建筑物保温防火问题的重视
近些年来,众多国外外墙保温防火惬意进驻我国,由于钻政策的洞子来追逐更高的商业利益,而发生了一些由建筑外墙保温材料引起火灾所造成的重大建筑安全事故。因此,国家对于建筑物保温防火问题日渐重视起来。与此同时,国外专业建筑外墙保温企业的入驻,使得我们国家发现了我们与发达国家在外墙保温防火问题上的差距,在逐步通过立法等方式来填补此方面的管理空缺,提高人们对于建筑外墙保温防火问题的关注,并加大在此方面的技术研究支持力度。
3 建筑外墙保温防火措施
解决国内建筑行业整体存在的外墙保温防火问题,不仅需要国家法律、规范和制度的约束,也需要先进的技术作为支撑。
3.1保温材料的合理选择
建筑物的设计施工方,应该在对建筑外墙保温问题进行设计时,综合考虑保温材料的保温性能、防火性能、经济性以及可靠性等多方面性能,尽可能在满足各方面性能的条件下设计选用具有较好防火性能的外墙保温材料。保温材料的燃烧性能等级要符合标准规范要求,并应进行现场抽样检验。保温材料进场后,要远离火源。露天存放时,应采用不燃材料安全覆盖,或将保温材料涂抹防护层后再进入施工现场。严禁使用不符合国家现行标准规范规定以及没有产品标准的外墙保温材料。而在建筑物的施工过程中,应该严格按照设计单位给出的设计方案进行,不得私自更换保温材料种类。这不仅是为了防止建筑物自身引起火灾,也是为了避免其他火源靠近时引燃外墙保温材料而对建筑物及建筑物使用者造成不便和损失。由于外墙保温材料应用在建筑外墙上,其容易接触外部火源,因此,不但要考虑到其自身是否易燃,还有考虑到其在接触火源时是否易燃,这就要求设计方都要合理选择保温材料,并按照选择方案进行施工。
3.2制定外墙保温防火规范
在国家政策方面,需要制度处建筑物外墙保温防火规范,对建筑物防火要求以及保温材料的防火性能均进行等级划分。并要求建筑设计、施工单位均按照此规范进行外墙保温防火的设计和施工,监督设计单位、施工单位以及保温材料生产单位对其建筑外墙保温防火系统进行升级,以满足防火性能的要求。
3.3增强消防系统的安全保障性
依据消防条例以及消防安全等相关内容,针对建筑外墙保温施工中的消防安全做出相关规定。在装有保温材料且必须进行焊接等可能发生明火的区域和部位,装配好相关的消防设施,并配备专业消防人员团队进行管理。一旦出现火灾情况,应由专业消防人员进行及时处理。由此将火灾的发生性降至最低,一旦灾情发生,也要将火灾发生后的损失降至最低。通过消防系统的设置,保障建筑外墙保温施工过程中的安全性。
3.4提高建筑外墙保温防火综合技术
从技术层次改善建筑外墙保温防火的问题,需要从两个方面进行考虑。一方面,通过对目前保温材料的保温系统构造进行技术优化,以增强保温材料的防火性能。比如,设置防火隔断的结构设计,需要保证适当的防火宽度。再如,先在保温材料的外层涂抹高性能的防火涂料,再将其运用到建筑施工中,这样就会明显提高保温材料的防火性能。另一方面,加强技术研究,研制新型保温防火性能俱佳的保温材料。酚醛泡沫就是国外已经研制成功的兼有良好的保温性和防火性的一种材料。因此,需要加大科研力度,寻找和研发更加适用于建筑外墙保温防火性能的新型保温材料。
4 结论
总之,外墙保温材料的应用对于建筑节能十分重要,然而,易燃性的有机保温材料的使用使得建筑施工和使用中存在很大的安全隐患。因此,建筑外墙保温防火问题需要引起各方的注意,并从自身出发,为解决这一问题不断努力。同时,人们也需要不断普及消防安全知识,使保温材料的应用真正的造福于人类。
参考文献
[1]郭国旗,陈少松,朱国庆.建筑外墙保温防火问题探讨.消防科学与技术,2009(4).
[2]孙波.建筑外墙保温防火问题探讨.城市建设理论研究(电子版),2012(30).
[3]王泽珍,张晓敏.建筑外墙保温防火问题探讨.城市建设理论研究(电子版),2012(35).
[4],张广群,秦晓荃.一种新型建筑外墙防火材料.低温建筑技术,2011(10).
网包分类性能
为什么重要?
网包分类性能是防火墙对每一个网流的第一个网包的处理能力。这一性能指标,直接反映了防火墙在处理新的网络流量时的速度。这一性能低,就反映了防火墙的性能低。网络管理员都知道,网络上大量出现的都是新的网络流量,而很少有现成的,因此,一些采用固定流量的评测方法,很难反映防火墙真实的性能。具体来说,对网络上的合法流量而言,防火墙的工作原理通常是要为合法流量建立连接,并通过快速通道的精确匹配进行高速转发,但新建连接都需要对网流的首包进行分类,因此网包分类性能直接影响新建连接的速率; 其次,对非法流量而,防火墙的主要工作是拒绝为非法流量建立连接,所以非法流量的网包即使属于同一网流,也需要进行分类,网包分类性能反映了防火墙处理大量非法流量的能力。
因此,在现实应用中,影响网包分类性能最大的两个因素是: 防火墙的规则设定和网络上非法流量的数量。
防火墙的主要功能除了对数据包进行转发,还要按照规则对数据包进行过滤。因此,规则的数量就会直接影响防火墙的使用性能,如果过滤一个包要查几千条规则的话,防火墙的负担就会很重。如果防火墙查规则的性能不高,防火墙的整体性能就会严重受损,会影响防火墙的新建连接速度。关于这一点,我们已经研究了2~3年的时间,我们发现业界已有的大量算法并不成熟,很多防火墙声称可以处理多少条规则,但都是一些很简单的规则,很容易处理。但在现实应用中,防火墙规则的设定是用户根据自己的安全策略来定的,用户安全策略的不同造成了规则的千差万别,也造成了规则数量的庞大,因此,真正实用的规则是很不好处理的。以前我们测过很多厂家的防火墙产品,不用说用了几千条规则,就是用几十条规则,就使很多防火墙设备陷于瘫痪状态。这也是防火墙设备研发领域的关键技术含量所在,目前的防火墙设备,在这一点上处理得很好的并不多见,这是体现防火墙技术实力的一个重要指标。
网络上的非法流量同样很多,这是网络管理员很难控制的。在现实应用中,非法流量一多,防火墙必须有效处理这些流量,并同时让正常流量通过,这对防火墙的性能同样将产生巨大的影响,这也是在防火墙设备出厂时,用户很难检测到的一个关键指标,必须通过第三方公开的评测才能检测到。
网包分类性能比较
清华大学信息技术研究院网络安全实验室是做网络安全研发的事业单位,目前正在从事的一个科研项目是国家的863项目中的高端防火墙技术研发,需要考察目前市场上主流的高端防火墙设备,以此确定未来的研发方向。为此,我们选择了目前市场上最主流的几款电信级防火墙进行了性能的评测。这几款设备分别是: Juniper网络公司的NetScreen5200防火墙,软件版本为NS5000-5.0R8; Hillstone公司的SA-5050防火墙,软件版本SA5000-1.1R1d4; Fortinet公司的Fortigate3600A防火墙,软件版本为FortiOS3.0 build559。它们都是电信级防火墙,拥有4GB~8GB的标称性能。测试除了考察以往人们一般最关注的防火墙的吞吐率、平均时延以及最大新建连接速率外,还主要考察了防火墙在大规模防火墙规则――即网包分类规则下,对不同比例的合法、非法流量的总体处理能力。
为了测试网包分类性能,测试中采用了具有相同五元组――源IP、目标IP、源端口、目标端口、传输层协议的一系列网包作为网流。
测试中,被测防火墙的所有端口均配置在一个域中并分别连接到测试设备SmartBit6000C上,输入流量选取1518字节的网包。
为了考察合法、非法流量对网包分类性能的不同影响,测试流量包括不同比例的合法流量(防火墙允许通过的流量,GOOD_TRAFIC)和非法流量(防火墙拒绝通过的流量,BAD_TRAFFIC)。
(建筑材料工业技术情报研究所,中国 北京 100024)
【摘 要】随着我国综合国力的提升,人民生活水平有了显著的提高。计算机在人们的学习生活中普及度也越来越高。与此同时,计算机系统的安全技术也受到了广泛的关注。本文基于作者多年的学习工作经验,首先向大家概述了计算机信息系统安全技术,并在此基础上介绍了该项技术的实际应用。本文的研究成果将对我国计算机技术的发展具有一定贡献。
http://
关键词 计算机信息系统;安全技术;应用;数据加密;防火墙;VPN技术
0 引言
计算机技术在我国已经得到了充分的发展。看看我们的周围,无论是个人、团队,甚至是一个国家,计算机技术都拥有其明显的优势。如今的计算机技术不仅可以高效的完成各种任务,而且在信息安全方面也能得到保障。发展计算机信息系统安全技术对我们生活质量的提高起着促进作用。因此,在进行计算机系统应用的时候,一定要将安全问题重视起来,并积极的开展安全技术的研究工作。
1 计算机信息系统安全技术
计算机安全性的保护,主要是对计算机各种运行环境而言的,其中也包括了与计算机配套的各种硬件设备安全性的保护。在拥有安全性的前提条件下,计算机才能将自身的功能很好的发挥出来。信息安全问题的存在使得计算机使用中多了许多不确定的风险,严重影响计算机技术的发展进程。在计算机的实际应用中,信息安全的问题值得提出。
1.1 数据加密技术
计算机的发展离不开编程技术,由编程联想到数据。计算机编程主要通过一些代码完成,数据的加密也是通过EFS完成,当然数据有很多组成部分。具体讲,在进行NTFS文件系统保护时,需要建立一些新的文件,这些文件都是EPS提供的。EPS也会提供不同级别的加密保护。但是默认配置的管理是不需要EPS的,因为在计算机使用的时候,已经存在了相关的加密文件。并且由于安全主体的特殊性,加密保护时采用公私钥进行。加密时,公钥策略起主要作用。对文件或者文件夹加密时,系统主动生成FEK,加密完成之后如果用户需要访问该对象,系统又会通过用户私钥进行解密工作。值得提出的是,EFS的加密工作并不是相对独立的,其联系非常紧密,这也是不能够随意打乱顺序的原因。
1.2 防火墙技术
谈及计算机信息系统安全问题,不得不提到病毒侵袭。计算机信息系统工作时,经常会出现中病毒现象,对病毒做好预防工作是计算机网络运行正常的保证。为了尽可能的避免病毒的威胁,计算机技术人员研发了防火墙技术。防火墙在计算机信息系统中扮演的是一层保护膜,它可以保护内网,防止病毒侵袭造成用户信息不安全的事情发生。其主要通过监督并控制相关信息访问,避免信息外泄来对系统进行保护,而且防火墙可以支持网络地址以及VPN功能的转换。当信息在计算机网络中流通的时候,内外数据都得经过防火墙。经过防火墙审核并且可以流通的数据流,才是安全可靠的数据。由此可见,防火墙有一定的抗攻击能力,这也正是人们用它来预防病毒侵袭的原因。
计算机信息系统利用防火墙技术之后,仍有可能感染病毒。这说明了防火墙虽然可以进行一定的网络防护,但也存在局限性。研究表明:如果病毒采用拨号连接的方式进攻计算机,防火墙的审核就能轻松通过。还有防火墙的网络协议不够完善,存在一定问题,导致服务器出现漏洞,让病毒有了空子可钻。这些问题的存在使得防火墙的防护效果不能很好的保证。但我们应该知道,包括防火墙在内的任何系统都不可能做到完美的极致,安全性的漏洞完全避免也是不太可能的。我们所要做的就是及时发现威胁的漏洞并对其修复,最大程度的保护信息系统的安全。
1.3 VPN 技术
VPN技术指的是虚拟专用网络的代称,和上面提到的两种技术不同,VPN技术的加密使用的是特殊的加密手段,并且该技术需要通过通讯协议建立专门的信息通讯线路。所谓的通讯线路并不是实体的线路,只要保证信息的连接和沟通就可以。我们现实生活中的路由器中VPN技术扮演着重要的角色。
2 计算机信息系统安全技术的实际应用
对计算机信息系统进行保护,就是要保护系统中的数据信息以及各种配件。保护工作不到位,就有可能另计算机信息系统遭到病毒威胁,进而使信息泄露影响计算机正常的性能。结合实际生活来谈,如今人们越来越离不开计算机的使用,娱乐、购物、学习、工作中都要依赖于计算机。各种信息的安全工作显得尤为重要,倘若用户的个人信息外泄,轻者影响心情,严重者会造成各种损失。因此,注重信息系统安全的实际应用显得尤为重要。
现在用户的角度看,EPS加密系统的透明度还是比较高的,用户自己加密的文件会受到专门的保护,而且自己下次访问文件时没有其他的限制。其他人未经用户本人允许是不会被授予访问权利的。EFS加密验证其实并不是多难,只要顺利的进入系统登陆,就可以按照自己的意愿去打开所加密的文件,而且自身的抗干扰能力也是比较强的。
计算机信息系统在进行内外部信息交换的时候,需要经历信息扫描。此过程中,防火墙的作用得到很好的体现。首先,这面“墙”对攻击信息的免疫功能是非常好的。这种免疫功能能够让计算机信息系统有效的抵御病毒。VPN技术放在路由器上面,就一定程度上具有了路由器的某些功能。现在的企业中,将VPN技术应用到工作中去已经很普遍。这是因为如今的计算机信息系统安全保护都需要VPN技术的参与。但应注意,该技术只有拥有自身的一定的开放标准才能吸引第三方合作进来。
3 结语
随着计算机的普及以及人们对安全问题的重视程度不断提高。我国的相关技术人员没有停止过对计算机信息系统安全的研究,并且已经取得了一定的成绩。但是计算机信息安全事故仍然经常发生,所以我们发展的路还很漫长,只有解决好计算机信息系统的安全问题,计算机的发展才能不被影响。
http://
参考文献
[1]郭先清.计算机信息系统安全技术的研究及其应用[J].电子技术与软件工程,2013(19):246-247.
[2]彭秋蓉.计算机信息系统安全技术的研究及其应用[J].中小企业管理与科技:下旬刊,2014(1):311.
[3]廖海光.刍议计算机信息系统安全技术的研究及其应用[J].信息与电脑:理论版,2011(11):46-47.
关键词:外墙外保温;技术;防火
Abstract: This paper describes the thermal insulation technology present situation, and on the building’s exterior wall external insulation and fire protection to all aspects of the analysis.
Key words: exterior insulation technology; fire
中图分类号:G267文献标识码: A 文章编号:2095-2104(2012)07-0020-02
前言:当前,建筑节能备受关注,特别是哥本哈根会议后又提出了低碳经济的理念,建筑节能的高度得到了进一步的提升。因为拥有全球最大的建筑市场,我国面临节能减排的极大压力。从大处来看是为全球全人类生存发展的环境,从局域而言是为了我国经济持续稳定的高速发展,所以建筑节能工作是非常光荣的一项事业。近两年,由于墙体保温引发的各类火灾频频发生,如:央视火灾,美院火灾,科技馆火灾,上海胶州路大火等,给人们的生命财产造成极大丢失,使人们对我国整个外墙外保温行业形成信任危机,建筑外墙保温防火再次成为人们关注的焦点。目前对建筑物内饰物材料的防火性能和指标有规范可遵循,但对外墙保温防火技术的重视却远远不够。因此保温材料防火性能受到质疑,目前保温市场上普遍使用的保温材料主要有模塑聚苯板,挤塑聚苯板、聚氨脂泡沫等,其防火性能不能够完全满足使用要求,如何才能科学有效的防止因外墙外保温材料引发的建筑火灾,达到节能减排的标准,从如下几个方面着手谈点看法。
1、保温技术现状
目前建筑外墙外保温系统有机保温层设防火隔离带、有机保温材料表面设防火保护面层及保证面层厚度,采用外墙外保温系统无机保温层,外墙外保温系统防火性能的的防护方式仅此而已。保温板材根据材质主要可以分为三类:有机高分子材料:主要有聚苯乙稀泡沫板(简称聚苯板,EPS,XPS),酚醛树脂泡沫保温材料板,发泡聚氨脂板材等。无机非金属材料:主要有岩(矿)棉板,玻璃棉保温板,陶瓷纤维保温板,,泡沫玻璃保温板,膨胀珍珠岩保温板,微孔硅酸钙保温板,发泡水泥保温板等。多层复合材料:由保温材料与具有防火、保护或装饰功能的面层材料经层状复合面成,主要金属复合保温板,波美复合保温板,铝塑复合保温板,发泡菱镁复合保温板,保温装饰板等。
外墙外保温技术保温性能优于内保温,外墙外保温延长了建筑物的寿命,外保温要比内保温的热损失减少约20%,从面节约了热能。采用外保温则可以与室内工程平等作业,有利于回快施工进度。外保温可以使建筑更为美观,只要做好建筑立面设计,建筑外貌会十分出色。特别在旧楼改造时,外保温能使房屋外貌大为改观。外墙外保温适用范围十分广泛,适用于各种建筑。外保温的统合经济效益很高。外保温比内保温增加了使用面积近2%,使单位使用面积造价得到降低。加上有节约能源、改善热环境等一系列好处,综合疚十分明显。但保温材料与建筑防火的矛盾的确难以解决,去年上海市“11.15火灾刚去,兔年正月初一零时沈阳皇朝万鑫国际大厦大火又瞬起。这场大火,把沈阳第一高楼的五星级酒店B座10层以上几乎烧成废墟,仅剩主体框架,A座也被殃及多层。事实后建筑专家们普遍认为,易燃的外墙保温材料是这场大火的帮凶。”央视大火“。”“上海11.15”大火、沈阳“2.3”大火,分析事故原因,“外墙保温材料易燃助火热迅速蔓延”,火灾发生时外墙外保温系统对意外火灾起了助长作用,造成火热迅速升级,着火面积瞬间增大,超高层的大厦着火消防队也是望火莫及。外墙外保温材料与建筑防火之间的矛盾显而易见。在外墙保温材料的选择上确实有个两难的扫把、综合考虑技术、成本、节能等方面因素,现阶段防火性能好的材料,保温性能相对较差,面保温性能好的材料,阻燃性就差。应当指出“以人为本”比保温更重要,但把这个问题具体到建筑保温施工中,就很难选择了。要提高中现有外墙保温材料的防火性能就必须添加阻燃剂及选择无机保温材料等,这样做成本肯定成倍增加。由于没有严格的法律规定,大部分建筑都采用相对便宜的保温材料。面一旦发生火灾,防火性能差的材料更易燃烧,会造成更大损失,只是这种损失真不知道谁来买单。在当前经济条件及技术水平上,无机保温材料完全取代可燃的有机保温材料还不太现实,应制定严格的保温材料防火法规,提高现有保温材料的防火性能。建设消防等部分应共同解决高层建筑消防安全问题,共同推出保温材料的防火性能的相关标准规范。对于现有建筑外墙饰面破损、出易燃保温材料层的建筑,要及时修补,增加防火涂层。
2、重点开发高耐火性外墙外保温系统
2009年9月25日公安部与住房和城乡建设部联合颁发了《民用建筑外保温系统及外墙装饰防火暂行规定》,要求高层建筑限制使用EPS、XPS、PU等材料,高层建筑需要增加防火隔离带。由于目前无机多孔防火保温材料还不能迅速普及,因此防火隔离带信用证是高层建筑外墙防火的主要技术手段。但目前市场上还没有一种相对完善的建筑材料能够完全保证高层建筑外墙防火。目前的高性能外墙保温多元无机发光防火隔离带产品具有的几大优势:高耐火性:多元无机发光材料属于A1级防火材料,具有良好的耐火性,耐火度达到1000度以上,完全满足了防火隔离带的耐火要求。高保温性:由于多元无机发光材料闭孔率大于95%,高闭孔率减少对流传热,是高隔热的先决条件。目前防火隔离带导热系数能达到0.045W/m.k,与聚苯板的导热系数基本相当,可满足建筑保温隔热的需求。强度相对好,不易碎裂:防火隔离带抗压、抗折、强度指标均较高,达到了低密度较高强度的相对统一,使用与运输不易碎裂,并符合耐火完全性。质轻:是该产品的又一优势。当密度在100-300KG/立方完全可以达到防火隔离带的各项指标要求。同时可以大大降低成本。无毒无害:外墙保温多元无机发光防火隔离带的原材料在高潮下还会燃烧且不释放有互气体,以属于安全、环保的建筑材料。寿命长:外墙保温多元无机发光防火隔离带的使用寿命大于50年,与建筑的寿命能保持同步。耐水性好:由于多元无机发光材料属于硅酸盐类材料,所以耐水性非常好,施工过程中不像有机或棉类那些保温材料一样需要锚固,直接粘贴即可。节能安全:生产安装过程不排放有害气体和废物,也没有像无机棉类的残丝类可漂浮物,污染环境。
3、完善外墙外保温系统和材料的防火试验方法
外墙外保温防火安全性问题已经开始得到重视,外墙外保温防火安全性逐渐为行业内和用户所认识,面解决外墙外保温系统防火安全性的途径主要有:通过对国外先进技术的借鉴和针对国情的自主创新,开发出具有独立知识产权的,能彻底解决大部分现有外墙外保温系统耐火性差等弊病的外墙外保温系统,也是外墙外保温技术示来的发展方向。针对我国当前广泛应用的外保温系统组成材料、构造与技术现状,通过对各种外墙外保温系统的防火性能进行试验研究,确定各种影响外墙外保温系统防火安全性的材料和构造要素,建立适合于中国国情的外墙外保温防火试验方法,然后通过大量的试验和对发达国家相关标准的借鉴,对不同外墙外保温系统进行分级评价与建筑应用范围限定,形成具有强制力的标准和规范,尤其注意在高层和超高层外墙上的使用限制,鼓励推广使用防火安全发到高的外墙外保温系统,减少火灾发生的隐患,降低火灾发生时外墙外保温系统对火灾的助长作用。针对目前外墙外保温防火安全性问题,完善现有外墙外保温防火系统更为迫切和有效。
4、制订新的符合我国国情的外墙外保温系统防火等级规范
外墙外保温防火安全性的要求一直是外墙外保温系统的首要条件。在外墙外保温技术先进的国家,对外墙保温系统均有严格的防火要求:对不同外墙外保温系统和保温材料均有防火测试方法和分级标准,并限制燃烧时产生的有毒气体的毒性,同时对不同防火等级的外墙保温系统在建筑的使用范围进行规定。其防火技术和标准已经十分规范,非常重视保温材料和保温体系在防火测试方面的防火技术和标准、规范的制定,外墙外保温的标准制定的重点是对保温体系的防火性能进行规范。
关键词:网络安全;技术;现状;前景
中图分类号:TP393 文献标识码:A 文章编号:1007-9599 (2011) 23-0000-01
Network Security Technology Status and Development Prospects Study
Wang Honggang
(Computer Science of the Qufu Normal University,Qufu 273165,China)
Abstract:This paper on the status of network security technology to do further study,on this basis,predict the development trend of network security technology.
Keywords:Network security;Technology;Status;Prospects
当前互联网已经成为我国重要的基础设施,但是网络安全的形式却越来越复杂,网络间谍、身份窃取以及僵死网络等各种恶意代码日渐成为最大威胁,网络仿冒以及垃圾邮件等安全事件越来越多。总的来说,网络安全问题整体数量保持明显上升趋势,也表现出动机趋利化,技术复杂化的特点。因此全面的考虑网络安全问题是必要的。
一、网络安全技术相关概念
网络安全主要是保护网络及其服务,阻止任何非授权的修改、泄露以及破坏行为。它的研究内容涵盖了整个系统,从系统外部来说包括法律以及安全管理,站在系统外部看,则包括了系统的实体安全、计算机安全、操作安全以及系统资源安全。网络安全技术主要关注有效进行介入控制以及确保数据传输安全。在实际中一种安全机制可以由多种安全技术实现,而多种安全机制则有可能通用一种安全技术。当使用安全技术时要从各个角度分析,发挥其最大功效。
二、网络安全技术的现状与发展前景分析
(一)防火墙技术。防火墙是内网与外网的第一道安全屏障,安装防火墙的原则是在内网或者外网的连接处,只要有恶意入侵的可能,就应该安装防火墙。目前常见的防火墙有三大类:1.复合型防火墙。主要将服务与数据包的过滤相结合,一起使用。2.分组过滤型防火墙。主要是数据分组过滤以及包过滤,一般认为这是网络防火墙的基础部分。3.应用型防火墙。是内网与外网的隔离点,监视与隔绝应用层的通信流。防火墙往往是硬件以及软件的结合,由于本身的特定功能的限制,明显存在很多不足的地方,例如不能防范防火墙以外的攻击行为,不能防止内部攻击与拒绝服务攻击,无法完全阻止感染病毒的文件或者软件。
但是随着网络安全技术的飞速发展,防火墙技术已走向网络层外的安全层次,既能够承担传统的过滤任务,还要服务于各种网络应用,为其提供高效的安全管理。数据加密技术使得合法访问变得更加安全。一体化设计的采用,推广了network processor的应用。新的IP协议的研究将对防火墙的运行产生重要影响。嵌入式系统的采用使得系统更加安全。还有引入了分布式防火墙将会解决有关分布技术的管理难题,确保系统的可扩展性以及稳定性。智能防火墙的产生使得可以利用统计、概率以及决策的智能方法识别数据,有效应对拒绝服务器攻击、高级应用入侵以及病毒传播等问题。还有其他的产品将会用于防止病毒、确保数据安全与用户认证,以及预防黑客攻击等方向。
(二)加密技术。主要用于解决数据完整性、数据原发鉴别以及信息的机密性等问题。20世纪70年代IBM公司开发出DES私钥密码体制,把信息分成64字节的块,然后进行加密,其中加密与解密拥有同一个密码,是世界上最早的私钥密码体制。1978年RSA出现,是第一个可以在实践中运用的公开密钥加密与签名的方案,其优点在于整数因子分解的困难。接着另一个具有很强实用性的公钥密码ELGamal产生。但是计算机处理能力与传输技术的不断提升使得DES受到严重的威胁,于是美国政府制定了AES,是一种新型的信息处理标准,2004年将Rijndael作为AES标准。Rijndael支持3种长度的密钥:128位、192位以及256位,是一种对称密码体制,具有反馈与非反馈实现模式。同时出于可操作性以及安全性的目的,现在的密码工作人员正研究一种新型的公钥密码体制:椭圆密码公钥体制,是一种基于椭圆曲线以及超椭圆曲线的有理点组成的基础交换群。
现今国际流行的MD5、SHA-1标准,是国际电子签名以及其他密码领域的关键技术,主要应用于证券以及金融领域,但是从理论上讲电子签名是可以被伪造的,因此就要及时选取更加安全的密码标准或添加限制条件,在以后,重点就是加强基础理论研究。
(三)入侵检测技术。入侵检测技术是新一代的安全保障技术,主动检测与分析网络或者系统中的某些关键点,发现是否存在反安全策略的行为,为内部供给以及外部攻击行为提供实时保护,以达到在受到实质性危害之前拦截入侵行为,是一种积极主动防御技术。1986年,第一个实时入侵检测系统IDES出现,是一种异常检测以及专家系统的混合体,之后20世纪80年代出现了许多的原型系统例如:Discovery。而商业化的入侵检测技术知道80年代后期才出现,其中比较有影响的公司有ISS。大致上,当前入侵检测系统一般分为异常检测与特征检测,市场上则较多使用特征检测,因为这类检测技术往往有较高的检测准确度,但是其缺点也是明显的:无法阻止那些未知的或者没有经验知识的攻击行为。而且入侵检测系统一般无法应用于纯交换环境中,而只能在处理过的交换环境中处理数据。再加上随着网络宽带的不断增大,入侵检测系统要分析越来越多的数据包,以致无法确保检测的有效性以及实时性。因此新一代的IDS主要用以解决这些问题,朝着基于负载均衡、基于安全协议、基于以及其它安全技术相结合的方向前进。由基于HIDS与NIDS的应用入侵系统能够检测更加细微的异常行为,尤其是检测用户偏离正常行为的滥用。而且出于克服现有系统的缺陷,一些智能方法,例如:神经网络、智能体以及数据挖掘技术等等将会大量应用到IDS研究中去。
三、结束语
众所周知,网络安全涉及到技术、管理等多个方面问题,是一个综合性课题。一般来说新的入侵手段不能攻击那些基于特征的防护措施,因此目前基于行为的防护技术成为一个发展的方向。各种网络安全技术的结合也将为越来越复杂的网络安全情况带来希望,网络容错、反攻击、陷阱、诱骗等主动防御技术也将进一步得到发展。新的应用需求越来越多,全新的解决方案也将适时而生。
参考文献:
[1]郝文江.基于防火墙技术的网络安全防护[J].通信技术,2007,7
[2]刘岳启.量子密码学研究的现状及其发展趋势[J].通信技术,2007,11
