防火墙技术-几种防护墙概念介绍

第七讲：几种防火墙介绍简单包过滤/分组过滤防火墙状态检测包过滤防火墙应用代理防火墙电路中继防火墙传输层网络层数据链路层物理层数据链路层物理层传输层网络层1一、状态检测防火墙

对于新建立的应用连接，状态检测型防火墙先检查预先设置的安全规则，允许符合规则的连接通过，并记录下该连接的相关信息，生成状态表。对该连接的后续数据包，只要符合状态表，就可以通过。

状态检测防火墙保留状态连接表，并将进出网络的数据当成一个个的会话，利用状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅根据规则表，更考虑了数据包是否符合会话所处的状态，因此提供了完整的对传输层的控制能力。2过滤规则实例顺序协议源地址源端口目的地址目的端口动作方向1TCP192.168.1.*any*.*.*.*80permitOut2TCPany3623permitOut4TCP*.*.*.*any*.*.*.*anydenyOut5UDP*.*.*.*any36161permitOut6UDP*.*.*.*any*.*.*.*anydenyOut3过滤规则配置的两种方式（一）限制策略：接受信任的数据包，拒绝其它所有数据包顺序协议源地址源端口目的地址目的端口动作方向1TCP192.168.1.*any*.*.*.*80permitOut2TCPany192.168.2..23623permitOut3UDP*.*.*.*any192.168.2..236161permitOut4**.*.*.*any*.*.*.*anydeny*4过滤规则配置的两种方式（二）宽松策略：拒绝不受信任的数据包，接受其它所有数据包顺序协议源地址源端口目的地址目的端口动作方向1TCP192.168.1.*any*.*.*.*80denyOut2TCP192.168.1.*any*.*.*.*21denyOut3TCP*.*.*.*any192.168.1.*445denyIn5UDP*.*.*.*any9000denyOut6**.*.*.*any*.*.*.*anypermit*5针对包过滤防火墙的攻击IP地址欺骗，例如，假冒内部的IP地址

对策：在外部接口上禁止内部地址小碎片攻击，利用IP分片功能把TCP头部切分到不同的分片中

对策：丢弃分片太小的分片利用规则设置漏洞

对策：采用状态检测防火墙1anyanyanypermit2anyany80deny源路由攻击，即由源指定路由

对策：禁止这样的选项6源路由攻击1,B,permit2,C,denyB,DataC,DataB,DataR3,R1B,R3,R1,Data7作业1：根据条件编写防火墙规则内网所有设备之间都能相互访问内网所有设备，除了以外，都能访问外网的Web服务只有能访问外网的应用A，其它设备都不能访问应用A内网Web服务和邮件服务能被外网所有设备访问内网文件服务能被外网的访问，其它网外设备不能访问其它访问被禁止内网外网8作业1：要求11月6日前通过邮件递交(jliao@)Word文件，文件名：学号-作业1.doc按以下格式编写规则：顺序方向In/out/*协议TCP/UDP/*源地址源端口目的地址目的端口动作Permit/deny123459第七讲：几种防火墙介绍简单包过滤/分组过滤防火墙状态检测包过滤防火墙应用代理防火墙电路中继防火墙传输层网络层数据链路层物理层应用层数据链路层物理层应用层传输层网络层10二、应用代理防火墙也称为应用层网关特点所有的内外网之间的连接都通过防火墙，防火墙作为网关在应用层上实现可以监视数据包的应用层内容可以实现基于用户的认证，防止IP欺骗所有的应用需要单独实现可以提供理想的日志功能非常安全，但是开销比较大11应用代理防火墙技术介绍优点：安全性高提供应用层的安全缺点：性能差伸缩性差只支持有限的应用不透明12应用代理防火墙应用代理防火墙实际上并不允许在它连接的网络之间直接通信。相反，它是接受来自内部/外部网络特定用户应用程序的通信，然后建立与外部/内部网络主机单独的连接。网络内部/外部的用户不直接与外部/内部的服务器通信，所以内部/外部主机不能直接访问外部/内部网络的任何一部分。DD13应用代理防火墙工作原理14Telnet应用代理远程登录Telnet应用代理的过程：用户首先Telnet到应用代理主机，并输入内部目标主机的名字（域名、IP地址）应用代理检查用户的源IP地址等，并根据事先设定的访问规则来决定是否转发或拒绝数据然后进行用户验证应用代理服务器为用户建立在网关与内部主机之间的Telnet连接应用代理服务器在两个连接（用户/应用网关，代理服务器/内部主机）之间传送数据应用网关对本次连接进行日志记录15Telnet“会话”在终端上的显示Outside-Host>telnetfwhostUsername:JohnSmithPassword:

######ChallengeNumber"237936"ChallengeResponse:723456Trying7...ConnectingtofwhostEscapecharacteris'^]'fwhosttelnetproxy(version1.4)ready:fw-telnet>connectinsidehostSunOSUNIX(insidehost)login:JohnSmithPassword:######Lastlogin:WednesdayDec1311:17:15WelcomeInside-Host>16应用代理防火墙优点可以检查应用层的协议特征，对数据包的检测能力较强。在网络连接建立之前可以对用户身份进行认证所有通过防火墙的信息流可以被记录下来传输内容的全面检查支持内部网络的信息隐藏易于控制和管理17应用代理防火墙缺点配置困难：由于每个应用都要求单独的代理进程，这就要求网管人员能理解每项应用协议的弱点，并能合理的配置安全策略。配置繁琐，容易出现配置失误，最终影响内网的安全防范能力。处理速度非常慢，网络性能低对每种类型的服务都需要一个代理防火墙对用户不透明18三、电路中继防火墙也叫电路层网关拓扑结构同应用层网关相同接收客户端连接请求，代理客户端完成网络连接在客户和服务器间中转数据通用性强19电路中继防火墙功能电路中继防火墙可针对每个TCP、UDP会话进行识别和过滤。在会话的建立过程中，除了检查传统的过滤规则之外，还要求发起会话的客户端向防火墙发送用户名和口令，只有通过验证的用户才被允许建立会话。会话一旦建立，则报文流可不加检验直接穿透防火墙。电路中继防火墙通过对客户端的用户名和口令进行验证，有效地避免了网络传送过程中源地址被冒充等问题，可有效地防御IP/UDP/TCP欺骗，并可快速定位TCP/UDP的攻击发起者。20电路中继防火墙工作协议应用层传输层网络层数据链路层物理层物理层数据链路层网络层应用层传输层网络层数据链路层物理层外部网络主机内部网络主机电路中继防火墙应用层传输层身份验证21电路中继防火墙22电路中继技术：Socks专门设计用于防火墙在应用层和传输层之间增加了一层Sockslib和socksserver基于用户的认证方案正在普及和流行应用层传输层网络层数据链路层clientSocksserverpolicyserver23TCP客户的处理过程客户首先与socks服务建立一个TCP连接，通常SOCKS端口为1080然后客户与服务器协商认证方案然后进行认证过程认证完成之后客户发出请求服务器送回应答一旦服务器应答指示成功，客户就可以传送数据了24四种防火墙的比较简单包过滤防火墙状态检测包过滤防火墙应用代理防火墙电路中继防火墙检测内容网络层、传输层网络层、传输层应用层网络层、传输层、应用层规则访问控制列表访问控制列表连接状态表身份认证内容控制列表身份认证优点简单、高效、用户透明简单、高效、用户透明，安全性较高身份认证功能、内容控制、安全性高身份认证功能、安全性较高、具有通用性缺点不能提供有效用户认证及应用层数据控制，存在较多漏洞不能提供有效用户认证及应用层数据控制效率低、对用户不透明、通用性差对用户不透明效率较低25案例分析：如何保护网络系统，避免受到入侵攻击？26问题防火墙的共同特征包括：

A.数据过滤 B.访问控制 C.病毒防御 D.身份认证包过滤防火墙主要依据下列哪些因素进行过滤：

A.物理地址 B.

IP地址 C.端口 D.协议关于状态检测技术，说法错误的是：

A.跟踪流经防火墙的所有通信信息

B.对通信连接的状态进行跟踪与分析

C.需要配制过滤规则

D.工作在协议最底层，所以不能有效监测应用层数据应用代理技术的特点包括：

A.提供透明的应用层安全 B.对数据包的检测能力较强 C.性能高 D.安全性高电路中继的特点包括： A.在应用层上实现 B.通用性强

C.性能高 D.对用户透明27第一节活塞式空压机的工作原理第二节活塞式空压机的结构和自动控制第三节活塞式空压机的管理复习思考题单击此处输入你的副标题，文字是您思想的提炼，为了最终演示发布的良好效果，请尽量言简意赅的阐述观点。第六章活塞式空气压缩机

piston-aircompressor压缩空气在船舶上的应用：

1.主机的启动、换向；

2.辅机的启动；

3.为气动装置提供气源；

4.为气动工具提供气源；

5.吹洗零部件和滤器。

排气量:单位时间内所排送的相当第一级吸气状态的空气体积。单位：m3/s、m3/min、m3/h第六章活塞式空气压缩机

piston-aircompressor空压机分类：按排气压力分：低压0.2～1.0MPa；中压1～10MPa；高压10～100MPa。按排气量分：微型<1m3/min；小型1～10m3/min；中型10～100m3/min；大型>100m3/min。第六章活塞式空气压缩机

piston-aircompressor第一节活塞式空压机的工作原理容积式压缩机按结构分为两大类：往复式与旋转式两级活塞式压缩机单级活塞压缩机活塞式压缩机膜片式压缩机旋转叶片式压缩机最长的使用寿命-

----低转速（1460RPM），动件少（轴承与滑片），润滑油在机件间形成保护膜，防止磨损及泄漏，使空压机能够安静有效运作；平时有按规定做例行保养的JAGUAR滑片式空压机，至今使用十万小时以上，依然完好如初，按十万小时相当于每日以十小时运作计算，可长达33年之久。因此，将滑片式空压机比喻为一部终身机器实不为过。滑(叶)片式空压机可以365天连续运转并保证60000小时以上安全运转的空气压缩机1.进气2.开始压缩3.压缩中4.排气1.转子及机壳间成为压缩空间，当转子开始转动时，空气由机体进气端进入。2.转子转动使被吸入的空气转至机壳与转子间气密范围，同时停止进气。3.转子不断转动，气密范围变小，空气被压缩。4.被压缩的空气压力升高达到额定的压力后由排气端排出进入油气分离器内。4.被压缩的空气压力升高达到额定的压力后由排气端排出进入油气分离器内。1.进气2.开始压缩3.压缩中4.排气1.凸凹转子及机壳间成为压缩空间，当转子开始转动时，空气由机体进气端进入。2.转子转动使被吸入的空气转至机壳与转子间气密范围，同时停止进气。3.转子不断转动，气密范围变小，空气被压缩。螺杆式气体压缩机是世界上最先进、紧凑型、坚实、运行平稳，噪音低，是值得信赖的气体压缩机。螺杆式压缩机气路系统：

A

进气过滤器

B

空气进气阀

C

压缩机主机

D

单向阀

E

空气/油分离器

F

最小压力阀

G

后冷却器

H

带自动疏水器的水分离器油路系统：

J

油箱

K

恒温旁通阀

L

油冷却器

M

油过滤器

N

回油阀

O

断油阀冷冻系统：

P

冷冻压缩机

Q

冷凝器

R

热交换器

S

旁通系统

T

空气出口过滤器螺杆式压缩机涡旋式压缩机

涡旋式压缩机是20世纪90年代末期开发并问世的高科技压缩机，由于结构简单、零件少、效率高、可靠性好，尤其是其低噪声、长寿命等诸方面大大优于其它型式的压缩机，已经得到压缩机行业的关注和公认。被誉为“环保型压缩机”。由于涡旋式压缩机的独特设计，使其成为当今世界最节能压缩机。涡旋式压缩机主要运动件涡卷付，只有磨合没有磨损，因而寿命更长，被誉为免维修压缩机。

由于涡旋式压缩机运行平稳、振动小、工作环境安静，又被誉为“超静压缩机”。

涡旋式压缩机零部件少，只有四个运动部件,压缩机工作腔由相运动涡卷付形成多个相互封闭的镰形工作腔，当动涡卷作平动运动时，使镰形工作腔由大变小而达到压缩和排出压缩空气的目的。活塞式空气压缩机的外形第一节活塞式空压机的工作原理一、理论工作循环（单级压缩）工作循环：4—1—2—34—1吸气过程

1—2压缩过程

2—3排气过程第一节活塞式空压机的工作原理一、理论工作循环（单级压缩）

压缩分类：绝热压缩：1—2耗功最大等温压缩：1—2''耗功最小多变压缩：1—2'耗功居中功＝P×V（PV图上的面积）加强对气缸的冷却，省功、对气缸润滑有益。二、实际工作循环（单级压缩）1.不存在假设条件2.与理论循环不同的原因：1）余隙容积Vc的影响Vc不利的影响—残存的气体在活塞回行时，发生膨胀，使实际吸气行程（容积）减小。Vc有利的好处—

（1）形成气垫，利于活塞回行；（2）避免“液击”（空气结露）；（3）避免活塞、连杆热膨胀，松动发生相撞。第一节活塞式空压机的工作原理表征Vc的参数—相对容积C、容积系数λv合适的C：低压0.07-0.12

中压0.09-0.14

高压0.11-0.16

λv＝0.65—0.901）余隙容积Vc的影响C越大或压力比越高，则λv越小。保证Vc正常的措施：余隙高度见表6-1压铅法—保证要求的气缸垫厚度2.与理论循环不同的原因：二、实际工作循环（单级压缩）第一节活塞式空压机的工作原理2）进排气阀及流道阻力的影响吸气过程压力损失使排气量减少程度，用压力系数λp表示：保证措施：合适的气阀升程及弹簧弹力、管路圆滑畅通、滤器干净。λp

（0.90-0.98）2.与理论循环不同的原因：二、实际工作循环（单级压缩）第一节活塞式空压机的工作原理3）吸气预热的影响由于压缩过程中机件吸热，所以在吸气过程中，机件放热使吸入的气体温度升高，使吸气的比容减小，造成吸气量下降。预热损失用温度系数λt来衡量（0.90-0.95）。保证措施：加强对气缸、气缸盖的冷却，防止水垢和油污的形成。2.与理论循环不同的原因：二、实际工作循环（单级压缩）第一节活塞式空压机的工作原理4）漏泄的影响内漏：排气阀（回漏）；外漏：吸气阀、活塞环、气缸垫。漏泄损失用气密系数λl来衡量（0.90-0.98）。保证措施：气阀的严密闭合，气缸与活塞、气缸与缸盖等部件的严密配合。5）气体流动惯性的影响当吸气管中的气流惯性方向与活塞吸气行程相反时，造成气缸压力较低，气体比容增大，吸气量下降。保证措施：合理的设计进气管长度，不得随意增减进气管的长度，保证滤器的清洁。2.与理论循环不同的原因：二、实际工作循环（单级压缩）第一节活塞式空压机的工作原理上述五条原因使实际与理论循环不同。4）漏泄的影响5）气体流动惯性的影响1）余隙容积Vc的影响2）进排气阀及流道阻力的影响3）吸气预热的影响2.与理论循环不同的原因：二、实际工作循环（单级压缩）第一节活塞式空压机的工作原理3.排气量和输气系数理论排气量Vt----单位时间内活塞所扫过的气缸容积。实际排气量Q：Q=Vt

λ输气系数λ

：λ＝λtλv

λ

pλl漏泄的影响余隙容积Vc的影响进排气阀及流道阻力的影响吸气预热的影响二、实际工作循环（单级压缩