八防火墙技术及应用-

第8章防火墙(Firewall)技术及应用移动

用户Internet

用户Internet企业网分公司各式各样的操作系统统一的安全策略防火墙技术概述防火墙的概念防火墙是指设置在不同网络（如可信赖的企业内部局域网和不可信赖的公共网络）之间或网络安全域之间的一系列部件的组合，通过监测、限制、更改进入不同网络或不同安全域的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以防止发生不可预测的、潜在破坏性的入侵，实现网络的安全保护。

防火墙=硬件+软件+控制策略防火墙是实现网络和信息安全的基础设施，一个高效可靠的防火墙应用具备以下的基本特性：防火墙是不同网络之间，或网络的不同安全域之间的唯一出入口，从里到外(inbound)和从外到里(outbound)的所有信息都必须通过防火墙；通过安全策略来控制不同网络或网络不同安全域之间的通信，只有本地安全策略授权的通信才允许通过；防火墙本身是免疫的，即防火墙本身具有较强的抗攻击能力。

Internet外部(不可信)的网络Intranet内部(受保护)网络不能随便进来，当然也不能随便出去防火墙的基本功能监控并限制访问控制协议和服务保护内部网络网络地址转换（NAT）虚拟专用网（VPN）日志记录与审计防火墙的基本原理所有的防火墙功能的实现都依赖于对通过防火墙的数据包的相关信息进行检查，而且检查的项目越多、层次越深，则防火墙越安全。由于现在计算机网络结构采用自顶向下的分层模型，而分层的主要依据是各层的功能划分，不同层次功能的实现又是通过相关的协议来实现的。所以，防火墙检查的重点是网络协议及采用相关协议封装的数据。防火墙提供的机制

-服务控制(servicecontrol)确定可以访问的Internet服务类型(双向的)。防火墙可以基于IP地址、协议和TCP端口号对流量进行过滤；或者提供代理软件，对收到的每个服务请求进行解释，然后才允许通过防火墙用来控制访问和执行站点安全策略的四种通用技术。防火墙提供的机制

-方向控制(directioncontrol)确定特点服务请求发起和允许通过防火墙的方向。防火墙提供的机制

-用户控制(usercontrol)根据试图访问服务器的用户来控制服务器的访问权限。通常这个功能应用于在防火墙周界以内的用户(即本地用户)。也可以用于来自外部用户的流量。防火墙提供的机制

-行为控制(behaviorcontrol)控制特点服务的使用方法。过滤垃圾邮件；控制外部用户只能对本地Web服务器上的部分信息进行访问。防火墙的基本准则默认丢弃-所有未被允许的就是禁止的

所有未被允许的就是禁止的，这一准则是指根据用户的安全管理策略，所有未被允许的通信禁止通过防火墙。默认转发-所有未被禁止的就是允许的

所有未被禁止的就是允许的，这一准则是指根据用户的安全管理策略，防火墙转发所有信息流，允许所有的用户和站点对内部网络的访问，然后网络管理员按照IP地址等参数对未授权的用户或不信任的站点进行逐项屏蔽。先否定一切先肯定一切防火墙的应用防火墙在网络中的位置-多应用于一个局域网的出口处或置于两个网络中间。财务处实验室使用了防火墙后的网络组成-三部分防火墙是构建可信赖网络域的安全产品。当一个网络在加入了防火墙后，防火墙将成为不同安全域之间的一个屏障，原来具有相同安全等级的主机或区域将会因为防火墙的介入而发生变化.信赖域和非信赖域信赖主机和非信赖主机DMZ(Demilitarizedzone)称为“隔离区”或“非军事化区”，它是介于信赖域和非信赖域之间的一个安全区域。

防火墙应用的局限性防火墙不能防范未通过自身的网络连接对于有线网络来说，防火墙是进出网络的唯一节点。但是如果使用无线网络（如无线局域网），内部用户与外部网络之间以及外部用户与内部网络之间的通信就会绕过防火墙，这时防火墙就没有任何用处。防火墙不能防范全部的威胁防火墙安全策略的制定建立在已知的安全威胁上，所以防火墙能够防范已知的安全威胁。防火墙不能防止感染了病毒的软件或文件的传输

即使是最先进的数据包过滤技术在病毒防范上也是不适用的，因为病毒的种类太多，操作系统多种多样，而且目前的病毒编写技术很容易将病毒隐藏在数据中。防火墙不能防范内部用户的恶意破坏据相关资料统计，目前局域网中有80%以上的网络破坏行为是由内部用户所为(80/20规则)，如在局域网中窃取其他主机上的数据、对其他主机进行网络攻击、散布计算机病毒等。这些行为都不通过位于局域网出口处的防火墙，防火墙对其无能为力。防火墙本身也存在安全问题防火墙的工作过程要依赖于防火墙操作系统，与我们平常所使用的Windows、Linux等操作系统一样，防火墙操作系统也存在安全漏洞，而且防火墙的功能越强、越复杂，其漏洞就会越多。加密笔记本防火墙的基本类型包过滤防火墙-CHeckpoint代理防火墙-Cauntlet状态检测防火墙-CiscoPIX分布式防火墙防火墙的基本类型包过滤(packetfiltering)防火墙包过滤防火墙是最早使用的一种防火墙技术，它在网络的进出口处对通过的数据包进行检查，并根据已设置的安全策略决定数据包是否允许通过。IP分组IP分组组成=IP头部+高层数据里面有TCP或UDP端口号包过滤防火墙的工作原理包过滤是在网络层中根据事先设置的安全访问策略（过滤规则），检查每一个数据包的源IP地址、目的IP地址以及IP分组头部的其他各种标志信息（如协议、服务类型等）源、目的端口，确定是否允许该数据包通过防火墙。当网络管理员在防火墙上设置了过滤规则(访问控制列表AccessControlList,ACL)后，在防火墙中会形成一个过滤规则表。当数据包进入防火墙时，防火墙会将IP分组的头部信息与过滤规则表进行逐条比对，根据比对结果决定是否允许数据包通过。

denyiphost00any过滤规则举例第一条规则：内部主机任何端口访问任何主机的任何端口，基于TCP协议的数据包都允许通过。第二条规则：任何主机的20端口访问主机的任何端口，基于TCP协议的数据包允许通过。第三条规则：任何主机的20端口访问主机小于1024的端口，如果基于TCP协议的数据包都禁止通过（与1、2作为系列规则时该规则无效）。组序号动作源IP目的IP源端口目的端口协议类型1允许***TCP2允许*20*TCP3禁止*20<1024TCP包过滤防火墙的应用特点过滤规则表事先人工设置-根据用户的安全要求来定。进行检查时，首先从第1个条目开始逐条进行，所以条目先后顺序非常重要。由于包过滤防火墙工作在OSI参考模型的网络层和传输层，所以包过滤防火墙对通过的数据包的速度影响不大，实现成本较低。包过滤防火墙在网络层上进行监测-并没有考虑连接状态信息，仅考虑单个IP数据报通常在路由器上实现-实际上是一种网络层的访问控制（ACL）优点：实现简单对用户透明效率高缺点：正确制定规则并不容易不可能引入认证机制举例：ipchainsandiptables基本思想对于每个进来的包，适用一组规则，然后决定转发或者丢弃该包往往配置成双向的(出站和入站)如何过滤如果匹配到一条规则，则根据此规则决定转发或者丢弃,如果所有规则都不匹配，则根据缺省策略包过滤原理安全网域HostC

HostD

数据包数据包数据包数据包查找对应的规则拆开数据包根据规则决定如何处理该数据包防火墙规则数据包过滤依据主要是单个数据包TCP/IP报头里面的信息，不能对应用层数据进行处理数据TCP头IP头分组过滤判断信息HostA包过滤防火墙的设置(1)

从内往外的telnet服务往外包的特性(用户操作信息)IP源是内部地址目标地址为serverTCP协议，目标端口23源端口>1023连接的第一个包ACK=0，其他包ACK=1往内包的特性(显示信息)IP源是server目标地址为内部地址TCP协议，源端口23目标端口>1023所有往内的包都是ACK=1包过滤防火墙的设置(2)

从外往内的telnet服务往内包的特性(用户操作信息)IP源是外部地址目标地址为本地serverTCP协议，目标端口23源端口>1023连接的第一个包ACK=0，其他包ACK=1往外包的特性(显示信息)IP源是本地server目标地址为外部地址TCP协议，源端口23目标端口>1023所有往的包都是ACK=1包过滤防火墙的设置规则服务方向包的方向源地址目的地址协议源端口目的端口是否通过A出出内部外部TCP>102323允许B出入外部内部TCP23>1023允许C入入外部内部TCP>102323允许D入出内部外部TCP23>1023允许双向允许规则包的方向源地址目的地址协议源端口目的端口是否通过A出内部外部TCP>102323允许B入外部内部TCP23>1023允许C双向任意任意任意任意任意拒绝只允许出站针对包过滤防火墙的攻击IP地址欺骗，例如，假冒内部的IP地址对策：在外部接口上禁止内部地址源路由攻击，即由源指定路由（通常针对路由器的攻击）对策：禁止这样的选项小碎片攻击，利用IP分片功能把TCP头部切分到不同的分片中,绕过基于TCP头信息的过滤规则对策：丢弃分片太小的分片Linux中IP包处理的体系结构IP包接收器IP转发器IP本地分发器Linux中IP包处理的体系结构NetFilter网络过滤器钩子数据报经过协议栈的几个关键点Linux中IP包处理的体系结构检测IP数据报头处理包选项决定包的路由选择网络设备组装以太帧做准备以太帧协议类型字段为0X0800Linux内核2.4中网络层的处理流程Prerouting的作用是数据包刚刚到达防火墙时，改变其目的地址，可以在这里定义进行目的NAT的规则，因为路由器进行路由时只检查数据包的目的ip地址，所以为了使数据包得以正确路由，我们必须在路由之前就进行目的NAT。Postrouting的作用是数据包就要离开防火前之前改变其源地址；可以在这里定义进行源NAT的规则，系统在决定了数据包的路由以后在执行该链中的规则。Linux中的包过滤防火墙-NetFilter(iptables)

iptables实现的功能

-通过三种表来体现包过滤（packetfilter）-对数据报进行过滤-连接跟踪（新增功能）网络地址转换（NAT）-对需要转发的数据包的目的地址进行地址转换-源NAT（SNAT）、目的NAT（DNAT）、伪装IP透明代理数据报更改处理(Mangle)--可以实现对数据报的修改：服务类型字段、生存时间等。iptables结构图

-五种内置链(规则)组合成三个表Filter-默认的表包含真正的防火墙过滤规则NAT包含源和目的地址和端口转换的规则mangle包含用于设置特殊的数据包路由标志的规则服务类型字段/TTL等包进入规则表及规则链图05454iptables的命令格式一个iptables命令基本上包含如下五部分：希望工作在哪个表上、希望使用该表的哪个链、进行的操作(插入，添加，删除，修改)、对特定规则的目标动作、匹配数据报条件。-基本的语法为：iptables-ttable-Operationchain-jtargetmatch例如：希望添加一个规则，允许所有从任何地方到本地smtp端口的连接：iptables-tfilter-AINPUT-jACCEPT-ptcp--dportsmtpiptables-ttable-Operationchain-jtargetmatch

iptables-tfilter-AINPUT-jACCEPT-ptcp--dportsmtp基本的Operation-A在链尾添加一条规则-I插入规则；-D删除规则-R替代一条规则；-L列出规则。表tableFilterNATmangle-j基本的target处理动作•适用于所有的链：ACCEPT接收该数据报；DROP丢弃该数据报；QUEUE排队该数据报到用户空间；RETURN返回到前面调用的链所有的规则链chainINPUTOUTPUTFORWARDPREROUTINGPOSTROUTING基本的match•适用于所有的链：-p指定协议(tcp/icmp/udp/...)；-s源地址(ipaddress/masklen)；-d目的地址(ipaddress/masklen)；-i数据报输入接口；-o数据报输出接口；规则：允许所有从任何地方到本地smtp端口的连接命令和应用举例将分配给A、B单位的真实IP绑定到防火墙的外网接口，以root权限执行以下命令：ifconfigeth0add00netmaskifconfigeth0add00netmaskInternetWWW服务器A私有IP：00真实IP：00WWW服务器B伪IP：00真实IP：00linux防火墙的ip地址分别为：内网接口eth1：外网接口eth0：命令和应用举例对防火墙接收到的源ip地址为00和00的数据包进行源NAT(SNAT):iptables-tnat-APOSTROUTING-oeth0-s00-jSNAT--to00iptables-tnat-APOSTROUTING-oeth0-s00-jSNAT--to00InternetWWW服务器A伪IP：00真实IP：00WWW服务器B伪IP：00真实IP：00linux防火墙的ip地址分别为：内网接口eth1：外网接口eth0：命令和应用举例对防火墙接收到的目的ip为00和00的所有数据包进行目的NAT(DNAT):iptables-tnat-APREROUTING-ieth0-d00-jDNAT--to00iptables-tnat-APREROUTING-ieth0-d00-jDNAT--to00InternetWWW服务器A伪IP：00真实IP：00WWW服务器B伪IP：00真实IP：00linux防火墙的ip地址分别为：内网接口eth1：外网接口eth0：注意事项-在使用iptables防火墙之前，必须先打开IP转发功能。

#echo1>/proc/sys/net/ipv4/ip_forward-保存到/etc/sysconfig/iptables文件中。-每修改一次iptables文件后，都要重启iptalbes#serviceiptablesrestart包过滤防火墙规则集的例子SMTP(简单邮件传递协议)-通过TCP协议在主机之间传递邮件的标准协议。在用户代理端和服务器程序间建立一个TCP连接。服务器监视TCP端口25来查看是否有连接请求。假设你要做一个包过滤策略来允许进出的SMTP通信量，并且生成以下规则集。规则包的方向源地址目的地址协议目的端口是否通过A出内部外部TCP25允许B入外部内部TCP>1023允许C入外部内部TCP25允许D出内部外部TCP>1023允许E双向任意任意任意任意拒绝

假设你的主机IP地址是，某人想从IP地址为的远程主机发邮件给你。如果成功将会在远程主机和你机器上建立的SMTP服务之间建立一个由SMTP命令和邮件组成的SMTP会话。另外你主机上的一个用想发送电子邮件到远程主机上的SMTP服务器。这一过程将产生四个包。包过滤防火墙规则集的例子规则包的方向源地址目的地址协议目的端口是否通过A出内部外部TCP25允许B入外部内部TCP>1023允许C入外部内部TCP25允许D出内部外部TCP>1023允许E双向任意任意任意任意拒绝

假设你的主机IP地址是，某人想从IP地址为的远程主机发邮件给你。如果成功将会在远程主机和你机器上建立的SMTP服务之间建立一个由SMTP命令和邮件组成的SMTP会话。另外你主机上的一个用想发送电子邮件到远程主机上的SMTP服务器。这一过程将产生四个包。规则包的方向源地址目的地址协议目的端口是否通过A入TCP25？B出TCP1234？C出TCP25？D入TCP1357？作业典型的包过滤防火墙使用了什么信息？防火墙的局限性是什么？作业：分析：假设外部的某人试图从IP地址为的远程主机通过该主机上的5150端口建立一个到本地主机上运行的WEB代理服务器（端口为8080）的连接（防火墙规则如下），从而发动一个远程攻击。能成功吗？为什么？为了更好地实施保护，如何改进？第一节活塞式空压机的工作原理第二节活塞式空压机的结构和自动控制第三节活塞式空压机的管理复习思考题单击此处输入你的副标题，文字是您思想的提炼，为了最终演示发布的良好效果，请尽量言简意赅的阐述观点。第六章活塞式空气压缩机

piston-aircompressor压缩空气在船舶上的应用：

1.主机的启动、换向；

2.辅机的启动；

3.为气动装置提供气源；

4.为气动工具提供气源；

5.吹洗零部件和滤器。

排气量:单位时间内所排送的相当第一级吸气状态的空气体积。单位：m3/s、m3/min、m3/h第六章活塞式空气压缩机

piston-aircompressor空压机分类：按排气压力分：低压0.2～1.0MPa；中压1～10MPa；高压10～100MPa。按排气量分：微型<1m3/min；小型1～10m3/min；中型10～100m3/min；大型>100m3/min。第六章活塞式空气压缩机

piston-aircompressor第一节活塞式空压机的工作原理容积式压缩机按结构分为两大类：往复式与旋转式两级活塞式压缩机单级活塞压缩机活塞式压缩机膜片式压缩机旋转叶片式压缩机最长的使用寿命-

----低转速（1460RPM），动件少（轴承与滑片），润滑油在机件间形成保护膜，防止磨损及泄漏，使空压机能够安静有效运作；平时有按规定做例行保养的JAGUAR滑片式空压机，至今使用十万小时以上，依然完好如初，按十万小时相当于每日以十小时运作计算，可长达33年之久。因此，将滑片式空压机比喻为一部终身机器实不为过。滑(叶)片式空压机可以365天连续运转并保证60000小时以上安全运转的空气压缩机1.进气2.开始压缩3.压缩中4.排气1.转子及机壳间成为压缩空间，当转子开始转动时，空气由机体进气端进入。2.转子转动使被吸入的空气转至机壳与转子间气密范围，同时停止进气。3.转子不断转动，气密范围变小，空气被压缩。4.被压缩的空气压力升高达到额定的压力后由排气端排出进入油气分离器内。4.被压缩的空气压力升高达到额定的压力后由排气端排出进入油气分离器内。1.进气2.开始压缩3.压缩中4.排气1.凸凹转子及机壳间成为压缩空间，当转子开始转动时，空气由机体进气端进入。2.转子转动使被吸入的空气转至机壳与转子间气密范围，同时停止进气。3.转子不断转动，气密范围变小，空气被压缩。螺杆式气体压缩机是世界上最先进、紧凑型、坚实、运行平稳，噪音低，是值得信赖的气体压缩机。螺杆式压缩机气路系统：

A

进气过滤器

B

空气进气阀

C

压缩机主机

D

单向阀

E

空气/油分离器

F

最小压力阀

G

后冷却器

H

带自动疏水器的水分离器油路系统：

J

油箱

K

恒温旁通阀

L

油冷却器

M

油过滤器

N

回油阀

O

断油阀冷冻系统：

P

冷冻压缩机

Q

冷凝器

R

热交换器

S

旁通系统

T

空气出口过滤器螺杆式压缩机涡旋式压缩机

涡旋式压缩机是20世纪90年代末期开发并问世的高科技压缩机，由于结构简单、零件少、效率高、可靠性好，尤其是其低噪声、长寿命等诸方面大大优于其它型式的压缩机，已经得到压缩机行业的关注和公认。被誉为“环保型压缩机”。由于涡旋式压缩机的独特设计，使其成为当今世界最节能压缩机。涡旋式压缩机主要运动件涡卷付，只有磨合没有磨损，因而寿命更长，被誉为免维修压缩机。

由于涡旋式压缩机运行平稳、振动小、工作环境安静，又被誉为“超静压缩机”。

涡旋式压缩机零部件少，只有四个运动部件,压缩机工作腔由相运动涡卷付形成多个相互封闭的镰形工作腔，当动涡卷作平动运动时，使镰形工作腔由大变小而达到压缩和排出压缩空气的目的。活塞式空气压缩机的外形第一节活塞式空压机的工作原理一、理论工作循环（单级压缩）工作循环：4—1—2—34—1吸气过程

1—2压缩过程

2—3排气过程第一节活塞式空压机的工作原理一、理论工作循环（单级压缩）

压缩分类：绝热压缩：1—2耗功最大等温压缩：1—2''耗功最小多变压缩：1—2'耗功居中功＝P×V（PV图上的面积）加强对气缸的冷却，省功、对气缸润滑有益。二、实际工作循环（单级压缩）1.不存在假设条件2.与理论循环不同的原因：1）余隙容积Vc的影响Vc不利的影响—残存的气体在活塞回行时，发生膨胀，使实际吸气行程（容积）减小。Vc有利的好处—

（1）形成气垫，利于活塞回行；（2）避免“液击”（空气结露）；（3）避免活塞、连杆热膨胀，松动发生相撞。第一节活塞式空压机的工作原理表征Vc的参数—相对容积C、容积系数λv合适的C：低压0.07-0.12

中压0.09-0.14

高压0.11-0.16

λv＝0.65—0.901）余隙容积Vc的影响C越大或压力比越高，则λv越小。保证Vc正常的措施：余隙高度见表6-1压铅法—保证要求的气缸垫厚度2.与理论循环不同的原因：二、实际工作循环（单级压缩）第一节活塞式空压机的工作原理2）进排气阀及流道阻力的影响吸气过程压力损失使排气量减少程度，用压力系数λp表示：保证措施：合适的气阀升程及弹簧弹力、管路圆滑畅通、滤器干净。λp

（0.90-0.98）2.与理论循环不同的原因：二、实际工作循环（单级压缩）第一节活塞式空压机的工作原理3）吸气预热的影响由于压缩过程中机件吸热，所以在吸气过程中，机件放热使吸入的气体温度升高，使吸气的比容减小，造成吸气量下降。预热损失用温度系数λt来衡量（0.90-0.95）。保证措施：加强对气缸、气缸盖的冷却，防止水垢和油污的形成。2.与理论循环不同的原因：二、实际工作循环（单级压缩）第一节活塞式空压机的工作原理4）漏泄的影响内漏：排气阀（回漏）；外漏：吸气阀、活塞环、气缸垫。漏泄损失用气密系数λl来衡量（0.90-0.98）。保证措施：气阀的严密闭合，气缸与活塞、气缸与缸盖等部件的严密配合。5）气体流动惯性的影响当吸气管中的气流惯性方向与活塞吸气行程相反时，造成气缸压力较低，气体比容增大，吸气量下降。保证措施：合理的设计进气