第七講：幾種防火墻介紹簡單包過濾/分組過濾防火墻狀態檢測包過濾防火墻應用代理防火墻電路中繼防火墻傳輸層網絡層數據鏈路層物理層數據鏈路層物理層傳輸層網絡層1一、狀態檢測防火墻

對于新建立的應用連接，狀態檢測型防火墻先檢查預先設置的安全規則，允許符合規則的連接通過，并記錄下該連接的相關信息，生成狀態表。對該連接的后續數據包，只要符合狀態表，就可以通過。

狀態檢測防火墻保留狀態連接表，并將進出網絡的數據當成一個個的會話，利用狀態表跟蹤每一個會話狀態。狀態監測對每一個包的檢查不僅根據規則表，更考慮了數據包是否符合會話所處的狀態，因此提供了完整的對傳輸層的控制能力。2過濾規則實例順序協議源地址源端口目的地址目的端口動作方向1TCP192.168.1.*any*.*.*.*80permitOut2TCPany3623permitOut4TCP*.*.*.*any*.*.*.*anydenyOut5UDP*.*.*.*any36161permitOut6UDP*.*.*.*any*.*.*.*anydenyOut3過濾規則配置的兩種方式（一）限制策略：接受信任的數據包，拒絕其它所有數據包順序協議源地址源端口目的地址目的端口動作方向1TCP192.168.1.*any*.*.*.*80permitOut2TCPany192.168.2..23623permitOut3UDP*.*.*.*any192.168.2..236161permitOut4**.*.*.*any*.*.*.*anydeny*4過濾規則配置的兩種方式（二）寬松策略：拒絕不受信任的數據包，接受其它所有數據包順序協議源地址源端口目的地址目的端口動作方向1TCP192.168.1.*any*.*.*.*80denyOut2TCP192.168.1.*any*.*.*.*21denyOut3TCP*.*.*.*any192.168.1.*445denyIn5UDP*.*.*.*any9000denyOut6**.*.*.*any*.*.*.*anypermit*5針對包過濾防火墻的攻擊IP地址欺騙，例如，假冒內部的IP地址

對策：在外部接口上禁止內部地址小碎片攻擊，利用IP分片功能把TCP頭部切分到不同的分片中

對策：丟棄分片太小的分片利用規則設置漏洞

對策：采用狀態檢測防火墻1anyanyanypermit2anyany80deny源路由攻擊，即由源指定路由

對策：禁止這樣的選項6源路由攻擊1,B,permit2,C,denyB,DataC,DataB,DataR3,R1B,R3,R1,Data7作業1：根據條件編寫防火墻規則內網所有設備之間都能相互訪問內網所有設備，除了以外，都能訪問外網的Web服務只有能訪問外網的應用A，其它設備都不能訪問應用A內網Web服務和郵件服務能被外網所有設備訪問內網文件服務能被外網的訪問，其它網外設備不能訪問其它訪問被禁止內網外網8作業1：要求11月6日前通過郵件遞交(jliao@)Word文件，文件名：學號-作業1.doc按以下格式編寫規則：順序方向In/out/*協議TCP/UDP/*源地址源端口目的地址目的端口動作Permit/deny123459第七講：幾種防火墻介紹簡單包過濾/分組過濾防火墻狀態檢測包過濾防火墻應用代理防火墻電路中繼防火墻傳輸層網絡層數據鏈路層物理層應用層數據鏈路層物理層應用層傳輸層網絡層10二、應用代理防火墻也稱為應用層網關特點所有的內外網之間的連接都通過防火墻，防火墻作為網關在應用層上實現可以監視數據包的應用層內容可以實現基于用戶的認證，防止IP欺騙所有的應用需要單獨實現可以提供理想的日志功能非常安全，但是開銷比較大11應用代理防火墻技術介紹優點：安全性高提供應用層的安全缺點：性能差伸縮性差只支持有限的應用不透明12應用代理防火墻應用代理防火墻實際上并不允許在它連接的網絡之間直接通信。相反，它是接受來自內部/外部網絡特定用戶應用程序的通信，然后建立與外部/內部網絡主機單獨的連接。網絡內部/外部的用戶不直接與外部/內部的服務器通信，所以內部/外部主機不能直接訪問外部/內部網絡的任何一部分。DD13應用代理防火墻工作原理14Telnet應用代理遠程登錄Telnet應用代理的過程：用戶首先Telnet到應用代理主機，并輸入內部目標主機的名字（域名、IP地址）應用代理檢查用戶的源IP地址等，并根據事先設定的訪問規則來決定是否轉發或拒絕數據然后進行用戶驗證應用代理服務器為用戶建立在網關與內部主機之間的Telnet連接應用代理服務器在兩個連接（用戶/應用網關，代理服務器/內部主機）之間傳送數據應用網關對本次連接進行日志記錄15Telnet“會話”在終端上的顯示Outside-Host>telnetfwhostUsername:JohnSmithPassword:

######ChallengeNumber"237936"ChallengeResponse:723456Trying7...ConnectingtofwhostEscapecharacteris'^]'fwhosttelnetproxy(version1.4)ready:fw-telnet>connectinsidehostSunOSUNIX(insidehost)login:JohnSmithPassword:######Lastlogin:WednesdayDec1311:17:15WelcomeInside-Host>16應用代理防火墻優點可以檢查應用層的協議特征，對數據包的檢測能力較強。在網絡連接建立之前可以對用戶身份進行認證所有通過防火墻的信息流可以被記錄下來傳輸內容的全面檢查支持內部網絡的信息隱藏易于控制和管理17應用代理防火墻缺點配置困難：由于每個應用都要求單獨的代理進程，這就要求網管人員能理解每項應用協議的弱點，并能合理的配置安全策略。配置繁瑣，容易出現配置失誤，最終影響內網的安全防范能力。處理速度非常慢，網絡性能低對每種類型的服務都需要一個代理防火墻對用戶不透明18三、電路中繼防火墻也叫電路層網關拓撲結構同應用層網關相同接收客戶端連接請求，代理客戶端完成網絡連接在客戶和服務器間中轉數據通用性強19電路中繼防火墻功能電路中繼防火墻可針對每個TCP、UDP會話進行識別和過濾。在會話的建立過程中，除了檢查傳統的過濾規則之外，還要求發起會話的客戶端向防火墻發送用戶名和口令，只有通過驗證的用戶才被允許建立會話。會話一旦建立，則報文流可不加檢驗直接穿透防火墻。電路中繼防火墻通過對客戶端的用戶名和口令進行驗證，有效地避免了網絡傳送過程中源地址被冒充等問題，可有效地防御IP/UDP/TCP欺騙，并可快速定位TCP/UDP的攻擊發起者。20電路中繼防火墻工作協議應用層傳輸層網絡層數據鏈路層物理層物理層數據鏈路層網絡層應用層傳輸層網絡層數據鏈路層物理層外部網絡主機內部網絡主機電路中繼防火墻應用層傳輸層身份驗證21電路中繼防火墻22電路中繼技術：Socks專門設計用于防火墻在應用層和傳輸層之間增加了一層Sockslib和socksserver基于用戶的認證方案正在普及和流行應用層傳輸層網絡層數據鏈路層clientSocksserverpolicyserver23TCP客戶的處理過程客戶首先與socks服務建立一個TCP連接，通常SOCKS端口為1080然后客戶與服務器協商認證方案然后進行認證過程認證完成之后客戶發出請求服務器送回應答一旦服務器應答指示成功，客戶就可以傳送數據了24四種防火墻的比較簡單包過濾防火墻狀態檢測包過濾防火墻應用代理防火墻電路中繼防火墻檢測內容網絡層、傳輸層網絡層、傳輸層應用層網絡層、傳輸層、應用層規則訪問控制列表訪問控制列表連接狀態表身份認證內容控制列表身份認證優點簡單、高效、用戶透明簡單、高效、用戶透明，安全性較高身份認證功能、內容控制、安全性高身份認證功能、安全性較高、具有通用性缺點不能提供有效用戶認證及應用層數據控制，存在較多漏洞不能提供有效用戶認證及應用層數據控制效率低、對用戶不透明、通用性差對用戶不透明效率較低25案例分析：如何保護網絡系統，避免受到入侵攻擊？26問題防火墻的共同特征包括：

A.數據過濾 B.訪問控制 C.病毒防御 D.身份認證包過濾防火墻主要依據下列哪些因素進行過濾：

A.物理地址 B.

IP地址 C.端口 D.協議關于狀態檢測技術，說法錯誤的是：

A.跟蹤流經防火墻的所有通信信息

B.對通信連接的狀態進行跟蹤與分析

C.需要配制過濾規則

D.工作在協議最底層，所以不能有效監測應用層數據應用代理技術的特點包括：

A.提供透明的應用層安全 B.對數據包的檢測能力較強 C.性能高 D.安全性高電路中繼的特點包括： A.在應用層上實現 B.通用性強

C.性能高 D.對用戶透明27第一節活塞式空壓機的工作原理第二節活塞式空壓機的結構和自動控制第三節活塞式空壓機的管理復習思考題單擊此處輸入你的副標題，文字是您思想的提煉，為了最終演示發布的良好效果，請盡量言簡意賅的闡述觀點。第六章活塞式空氣壓縮機

piston-aircompressor壓縮空氣在船舶上的應用：

1.主機的啟動、換向；

2.輔機的啟動；

3.為氣動裝置提供氣源；

4.為氣動工具提供氣源；

5.吹洗零部件和濾器。

排氣量:單位時間內所排送的相當第一級吸氣狀態的空氣體積。單位：m3/s、m3/min、m3/h第六章活塞式空氣壓縮機

piston-aircompressor空壓機分類：按排氣壓力分：低壓0.2～1.0MPa；中壓1～10MPa；高壓10～100MPa。按排氣量分：微型<1m3/min；小型1～10m3/min；中型10～100m3/min；大型>100m3/min。第六章活塞式空氣壓縮機

piston-aircompressor第一節活塞式空壓機的工作原理容積式壓縮機按結構分為兩大類：往復式與旋轉式兩級活塞式壓縮機單級活塞壓縮機活塞式壓縮機膜片式壓縮機旋轉葉片式壓縮機最長的使用壽命-

----低轉速（1460RPM），動件少（軸承與滑片），潤滑油在機件間形成保護膜，防止磨損及泄漏，使空壓機能夠安靜有效運作；平時有按規定做例行保養的JAGUAR滑片式空壓機，至今使用十萬小時以上，依然完好如初，按十萬小時相當于每日以十小時運作計算，可長達33年之久。因此，將滑片式空壓機比喻為一部終身機器實不為過。滑(葉)片式空壓機可以365天連續運轉并保證60000小時以上安全運轉的空氣壓縮機1.進氣2.開始壓縮3.壓縮中4.排氣1.轉子及機殼間成為壓縮空間，當轉子開始轉動時，空氣由機體進氣端進入。2.轉子轉動使被吸入的空氣轉至機殼與轉子間氣密范圍，同時停止進氣。3.轉子不斷轉動，氣密范圍變小，空氣被壓縮。4.被壓縮的空氣壓力升高達到額定的壓力后由排氣端排出進入油氣分離器內。4.被壓縮的空氣壓力升高達到額定的壓力后由排氣端排出進入油氣分離器內。1.進氣2.開始壓縮3.壓縮中4.排氣1.凸凹轉子及機殼間成為壓縮空間，當轉子開始轉動時，空氣由機體進氣端進入。2.轉子轉動使被吸入的空氣轉至機殼與轉子間氣密范圍，同時停止進氣。3.轉子不斷轉動，氣密范圍變小，空氣被壓縮。螺桿式氣體壓縮機是世界上最先進、緊湊型、堅實、運行平穩，噪音低，是值得信賴的氣體壓縮機。螺桿式壓縮機氣路系統：

A

進氣過濾器

B

空氣進氣閥

C

壓縮機主機

D

單向閥

E

空氣/油分離器

F

最小壓力閥

G

后冷卻器

H

帶自動疏水器的水分離器油路系統：

J

油箱

K

恒溫旁通閥

L

油冷卻器

M

油過濾器

N

回油閥

O

斷油閥冷凍系統：

P

冷凍壓縮機

Q

冷凝器

R

熱交換器

S

旁通系統

T

空氣出口過濾器螺桿式壓縮機渦旋式壓縮機

渦旋式壓縮機是20世紀90年代末期開發并問世的高科技壓縮機，由于結構簡單、零件少、效率高、可靠性好，尤其是其低噪聲、長壽命等諸方面大大優于其它型式的壓縮機，已經得到壓縮機行業的關注和公認。被譽為“環保型壓縮機”。由于渦旋式壓縮機的獨特設計，使其成為當今世界最節能壓縮機。渦旋式壓縮機主要運動件渦卷付，只有磨合沒有磨損，因而壽命更長，被譽為免維修壓縮機。

由于渦旋式壓縮機運行平穩、振動小、工作環境安靜，又被譽為“超靜壓縮機”。

渦旋式壓縮機零部件少，只有四個運動部件,壓縮機工作腔由相運動渦卷付形成多個相互封閉的鐮形工作腔，當動渦卷作平動運動時，使鐮形工作腔由大變小而達到壓縮和排出壓縮空氣的目的。活塞式空氣壓縮機的外形第一節活塞式空壓機的工作原理一、理論工作循環（單級壓縮）工作循環：4—1—2—34—1吸氣過程

1—2壓縮過程

2—3排氣過程第一節活塞式空壓機的工作原理一、理論工作循環（單級壓縮）

壓縮分類：絕熱壓縮：1—2耗功最大等溫壓縮：1—2''耗功最小多變壓縮：1—2'耗功居中功＝P×V（PV圖上的面積）加強對氣缸的冷卻，省功、對氣缸潤滑有益。二、實際工作循環（單級壓縮）1.不存在假設條件2.與理論循環不同的原因：1）余隙容積Vc的影響Vc不利的影響—殘存的氣體在活塞回行時，發生膨脹，使實際吸氣行程（容積）減小。Vc有利的好處—

（1）形成氣墊，利于活塞回行；（2）避免“液擊”（空氣結露）；（3）避免活塞、連桿熱膨脹，松動發生相撞。第一節活塞式空壓機的工作原理表征Vc的參數—相對容積C、容積系數λv合適的C：低壓0.07-0.12

中壓0.09-0.14

高壓0.11-0.16

λv＝0.65—0.901）余隙容積Vc的影響C越大或壓力比越高，則λv越小。保證Vc正常的措施：余隙高度見表6-1壓鉛法—保證要求的氣缸墊厚度2.與理論循環不同的原因：二、實際工作循環（單級壓縮）第一節活塞式空壓機的工作原理2）進排氣閥及流道阻力的影響吸氣過程壓力損失使排氣量減少程度，用壓力系數λp表示：保證措施：合適的氣閥升程及彈簧彈力、管路圓滑暢通、濾器干凈。λp

（0.90-0.98）2.與理論循環不同的原因：二、實際工作循環（單級壓縮）第一節活塞式空壓機的工作原理3）吸氣預熱的影響由于壓縮過程中機件吸熱，所以在吸氣過程中，機件放熱使吸入的氣體溫度升高，使吸氣的比容減小，造成吸氣量下降。預熱損失用溫度系數λt來衡量（0.90-0.95）。保證措施：加強對氣缸、氣缸蓋的冷卻，防止水垢和油污的形成。2.與理論循環不同的原因：二、實際工作循環（單級壓縮）第一節活塞式空壓機的工作原理4）漏泄的影響內漏：排氣閥（回漏）；外漏：吸氣閥、活塞環、氣缸墊。漏泄損失用氣密系數λl來衡量（0.90-0.98）。保證措施：氣閥的嚴密閉合，氣缸與活塞、氣缸與缸蓋等部件的嚴密配合。5）氣體流動慣性的影響當吸氣管中的氣流慣性方向與活塞吸氣行程相反時，造成氣缸壓力較低，氣體比容增大，吸氣量下降。保證措施：合理的設計進氣管長度，不得隨意增減進氣管的長度，保證濾器的清潔。2.與理論循環不同的原因：二、實際工作循環（單級壓縮）第一節活塞式空壓機的工作原理上述五條原因使實際與理論循環不同。4）漏泄的影響5）氣體流動慣性的影響1）余隙容積Vc的影響2）進排氣閥及流道阻力的影響3）吸氣預熱的影響2.與理論循環不同的原因：二、實際工作循環（單級壓縮）第一節活塞式空壓機的工作原理3.排氣量和輸氣系數理論排氣量Vt----單位時間內活塞所掃過的氣缸容積。實際排氣量Q：Q=Vt

λ輸氣系數λ

：λ＝λtλv

λ

pλl漏泄的影響余隙容積Vc的影響進排氣閥及流道阻力的影響吸氣預熱的影響二、實際工作循環（單級壓縮