防火应用

防火应用（共12篇）

防火应用 篇1

伴随互联网的普及, 网络安全问题日益成为社会关注的焦点。确保企业的重要数据的安全性, 已成为各行业信息安全建设所要考虑的重要事情。防火墙是现代信息安全环境的常用设备, 也是每个企业信息安全环境中都必不可少的组成部分。

1 防火墙技术介绍

防火墙是一项协助确保信息安全的设备, 会依照特定的规则, 允许或是限制传输的数据通过。设计防火墙的目的室限制和阻止未经授权或限制授权的访问者进入被严格控制的网络区域。防火墙的主要功能有:控制进出网络的信息流向和信息包;提供使用和流量的日志和审计;隐藏内部IP地址及网络结构的细节;执行和强化网络的安全策略。

2 防火墙的分类

根据信息安全体系结构分类, 可将防火墙分为以下几种类型的防火墙:网络级防火墙, 应用级防火墙, 电路级防火墙。

3 Linux防火墙发展历史

Linux作为开源操作系统其系统本身内置了一个非常优秀的防火墙工具, 它就是Netfi lter/Iptables (http://www.Netfi lter.org/) 。它完全是免费的, 并且可以在一台低配置的老机器上很好地运行。Netfi lter/Iptables功能强大, 使用灵活, 并且可以对流入和流出的信息进行细化的控制。

第一代是Linux内核1.1版本所使用的是由Alan Cox从BSD Unix中移植过来的Ipfw。

在Linux 2.0版的内核中, Jos Vos和其它一些程序员对Ipfw进行了扩展, 并且添加了Ipfwadm用户工具。在2.2版内核中, Russell和Michael Neuling做了一些非常重要的改进, 也就是在该内核中, Russell添加了帮助用户控制过虑规则的Ipchains工具, 后来又完成了Netfi lter (http://www.Netfi lter.org) 的内核框架。这些防火墙软件套件一般都比其前任有所改进, 表现越来越出众。

4 Linux防火墙的具体应用

在下面的章节中会讨论应用Linux防火墙进行网络安全防范的例子。对网络进行攻击的手段目前主要有扫描式攻击、IP欺骗 (伪造源地址的IP数据包) 、DDOS攻击等

4.1 防止扫描攻击

阻止黑客利用扫描工具来扫描我们的应用服务器的方法如下:

有了这样的设置, 扫描工具就扫不到服务器的tcp端口和操作系统的版本号了, 而服务器的80端口还可以提供http服务。

4.2 防止Ip欺骗

(1) 在IP欺骗的攻击中, Localhost IP (127.0.0.1) 这个IP也是常被拿来伪装的对象, 我们可以在防火墙规则中加入以下的规则, 以滤除这类的IP欺骗的攻击。

Iptables-A INPUT-i!lo-s 127.0.0.0/8-jDROP

(2) 在Internet IP的划分上, 都有保留一段Private IP, 如果我们从因特网上收到从Private IP区段送来的封包, 皆可视为不正常的来源封包, 因此, 我们可以在防火墙规则中加入以下的规则, 以滤除这类的IP欺骗的攻击。

Iptables-A INPUT-p all-s网段地址-jDROP

(3) MULTICAST通常用于音讯或视讯讯号的传送, 其封包所使用的IP网段为224.0.0.0/4, 滤除这类IP欺骗的攻击方法如下:

Iptables-A INPUT-p!udp-s 224.0.0.0/4-j DROP。

4.3 防止DDOS攻击

DDOS攻击即“分布式拒绝服务”, 凡是能导致合法用户不能够访问正常网络服务的行为都算是拒绝服务攻击。拒绝服务攻击的目的非常明确, 就是要阻止合法用户对正常网络资源的访问, 从而造成网络故障。防止DDOS攻击方法如下:

Iptables-A FORWARD-p tcp--syn-m limit--limit 1/s--limit-burst 5-j ACCEPT

每秒中最多允许5个新连接

4.4 防止钓鱼式攻击

钓鱼式攻击是一种欺骗用户为网上账号提供认证证书的攻击, 例如欺骗用户将网上银行账号的认证信息发送到一个不受信任的地址。这种攻击通常会发送一个貌似官方的电子邮件给用户, 要求用户访问自己的网上账号, 并执行一些安全方面的“紧急”任务, 电子邮件中提供的WEB页面的链接, 表面上合法, 实际上则是一个攻击者控制的网站。一旦上钩用户访问了这些网站并输入了他们的证书, 攻击者就偷取了他们账号的认证信息。防止钓鱼式攻击方法如下:

Iptables–I forword 1–p–dport 25–m state–state Establishd–m string–string“网址“–algo bm–m string–hex–string“匹配字段”-j log–log-prefi x“citibank phish”

4.5 防止SQL注入攻击

SQL注入攻击利用的是在将用户输入写进数据库查询语句之前未经合法性验证或过滤的漏洞。攻击者利用SQL语言嵌套的能力构建一个新的查询, 修改和提取数据库的信息。

4.6 过滤某个MAC

iptables-A FORWARD-m mac--mac-source MAC地址-j DROP

报文经过路由后, 数据包中原有的MAC信息会被替换, 所以在路由后的iptables中使用mac匹配没有意义。

4.7 地址伪装, 动态ip的NAT

iptables-t nat-A POSTROUTING-s192.168.0.0/24-j MASQUERADE

masquerade和snat的主要区别在于, sna是把源地址转换为固定的IP地址或者是地址池, 而masquerade在adsl等方式拨号上网时候非常有用, 因为是拨号上网所以网卡的外网IP经常变化, 这样在进行地址转换的时候就要在每次都要修改转换策略里面的ip, 使用masquerade就很好的解决了这个问题, 他会自己去探测外网卡获得的ip地址然后自动进行地址转换, 这样就算外网获得的ip经常变化也不用人工干预了。

参考文献

[1][美]Michael Rash著, 陈健译.Linux防火墙[M].北京:人民邮电出版社, 2009.

[2]吴晓烁, 陈蜀宇, 刘巍.嵌入式Linux环境下高效率GUI的设计与实现[J].重庆工学院学报 (自然科学版) , 2009.

[3]赵洁, 丁香乾.嵌入式Linux网络驱动程序的开发及实现原理[J].微计算机信息, 2008.

防火应用 篇2

3、拒绝的规则一定要放在允许的规则前面。

4、当需要使用拒绝时，显式拒绝是首要考虑的方式。

5、在不影响防火墙策略执行效果的情况下，请将匹配度更高的规则放在前面。

6、在不影响防火墙策略执行效果的情况下，请将针对所有用户的规则放在前面。

7、尽量简化你的规则，执行一条规则的效率永远比执行两条规则的效率高。

8、永远不要在商业网络中使用Allow 4 ALL规则(Allow all users use all protocols from all networks to all networks)，这样只是让你的ISA形同虚设，

9、如果可以通过配置系统策略来实现，就没有必要再建立自定义规则。

10、ISA的每条访问规则都是独立的，执行每条访问规则时不会受到其他访问规则的影响。

11、永远也不要允许任何网络访问ISA本机的所有协议。内部网络也是不可信的。

12、SNat客户不能提交身份验证信息。所以，当你使用了身份验证时，请配置客户为Web代理客户或防火墙客户。

13、无论作为访问规则中的目的还是源，最好使用IP地址。

14、如果你一定要在访问规则中使用域名集或URL集，最好将客户配置为Web代理客户。

15、请不要忘了，防火墙策略的最后还有一条DENY 4 ALL.

森林防火中的应用 篇3

关键词：钉耙；秦岭林区；森林防火；应用

钉耙，农村里农耕时松土的一种农具。钉耙自身为铁制作，后面的把子多用木棒制作。经过改造后的钉耙，外型尺寸：长×宽×高为1470mm×330m×125mm，耙齿数量为11个，耙齿长度为50mm，由1470mmx20mm镀锌钢管，65号锰钢钢板，325mm×50mmx15mm的热轧钢板和5个铆钉共同构成。具有钩、剁、刨、锯、搂等五种使用方法，能开挖取土，割除地面杂草，开设地面防火隔离带，消灭中弱度地表火和余火复燃，效果十分明显。

钉耙为中程灭火工具，在灭火前期的防火线开设、灭火当中消灭中弱度地表火、灭火后期清理余火都能用到，不需要添加能源，使用安全，价格低廉，物贮成本小，轻巧灵活，并兼有锨、镢、锯、钩、耙的功能，尤其是在开挖防火隔离带中，效率较锨镢高5倍以上，切断由藤本所引起的地面火向树冠火蔓延，齐崖自下而上林火通过藤本蔓延的途径的利器，无工具能替代。成为扑救森林火灾不可缺的工具之一。

1 刨

1.1 利用其挖土功能，覆盖灭火。在扑救中弱度地表火常被用到。“土攻”是秦岭森林火灾扑救过程中办法之一，就是在坡度大林分，林相差，传播速度慢，林火顽固燃烧，人员难以到达火场直接投入扑救，灭火队员站在火场上部，通过大量挖土，向下方的火场抛土，从而达到用土覆盖灭火的目的。钉耙在这里显示出其灵活性。

1.2 利用其挖土功能，构筑防火土挡墙。秦岭林区山高坡陡，火场燃烧过程中原来的平衡被打破，不断用带火的树枝、枯立木、焦棒向下滚动，借助强大的惯性不断突破下层的防火线，下层的防火线上方，一定要开设防火土挡墙。防火挡墙还有一个作用就是防止山坡向下的飞石砸伤下部的扑火队员。钉耙能快速挖土，刨堆，和大石头一块垒成防火挡墙。

2 钩

2.1 利用齿能钩的功能，切断藤本，避免由地面火向树冠火蔓延。秦岭林区土肥条件非常好，林中生长着大量的藤本，犬牙交错，形成一个宠大的复式林分。藤本长十余米，缠绕在树冠周围，直达树梢。藤本含水率低，搭挂在上面的枯枝落叶多，一但下部燃烧，可能引发成树冠火。利用钉耙把藤本从树冠上钩下来砍断，或者先砍断再钩走，切断了传播途径。避免了平面火演化为立体火。

3 搂

3.1 利用齿能搂的功能，搂开针叶木树干周围的聚积物，避免由地面火向树冠火蔓延。秦岭林区发生树冠火的机会并不多见，发生的地形是针叶木、天然整枝力差、坡度大，在树干上部和坡的夹角处聚积大量的松叶，含油率高，从地表引燃后，进而向上引燃下层树冠形成立体火。防止这类火的最主要方法是搂开树干周围的可燃物。钉耙自然派上用场。

3.2 利用齿能搂的功能，搂走防火线的一切可燃物，提高其安全性。防火线是秦岭最常用的灭火办法，几乎每场大的林火都要用到。开设防火线的目的就是切断林火的传播途径。防火线内不能有任何细小可燃物，否则千里之堤，毁于蚁穴。钉耙能拉能推，不受地形限制，能双手操作，又能单手操作，使用起来得心应手，来去自如。是开设防火线最主要的利器。

4 锯

利用齿能锯的功能，锯开枯树桩，消灭余火。秦岭林区清理余火最常用的工具是钉耙。余火大部分依靠枯树桩、清林堆、山洪漂流聚积堆、风折木、雪压木等，灭火主要靠水彻底浇灭。由于角度的原因，不锯开，水枪无法施展，水根本无法浇透，潜伏期长达数天，可能造成林火复燃。火场温度高，中程灭火工具在清理余火时恰到好处。用钉耙的齿，对付已经燃烧的枯枝桩绰绰有余。或刨、或锯、或搂、或钩，一个钉耙都能办到，一堆堆聚积可燃物都可分隔成小块、小段，化整为零，然后逐个消灭。

5 其他

5.1 利用长长的铁把柄搭桥。秦岭林区每个沟都有常流河，随着天然林保护工程的纵深开展，林区原有的采伐道路逐渐水毁消失。扑火时进一条沟，不时随着河道的地形反复过河，一会过到河的左边，一会过到河的右边。过河是扑水队员最头痛的问题之一。找不到一个好的位置，就需要搭桥。经过多年的摸索，钉耙是最好的搭桥工具。把钉耙一头钩在石头上，一头搭在石头，两个一组，牢固，轻便。

5.2 利用长长的铁把柄当拐杖。秦岭林区扑火队员人持拐杖，一时利用过河时保持平衡，二是可以支撑身体的上半部分，减低腿部的压力。一天的劳累，脚很困，拿个拐杖，轻松很多。在陡度大的地方，钉耙还可以当作绳索，挂在树上，帮助扑火队员爬上去、吊下去。

防火应用 篇4

梭子鱼Web应用防火 墙和梭子鱼下一代防火墙现已在新的Microsoft Azure Government中上线 ,Microsoft Azure Government是一个政府 专用云 ,它旨在满足美国政府机构的战略性使用场景对速度、规模、合规性和经济效益的要求;

梭子鱼Web应用防火墙为那些在Azure上部署应用程序的客户提供先进的威胁防护、自动化资源调配和配置,以及Azure Active Directory集成;

梭子鱼下一代防火墙可提供下一代 防火墙功 能以及对Azure高速(>1Gbps) 的站点对站点远程访问,并让政府机构能够安全部署互联的多区网络架构。

根据Gartner调查 ,政府面临的压力是服务不断变化的人口并满足他们的高期望值,同时削减成本并更高效地运营。反过来,这将导致需要采用更多的解决方案,而这些解决方案的购买并不受到不堪重压的IT部门的控制,云计算和Saa S助长了这一增长趋势。

梭子鱼全 球营销高 级副总裁Michael Hughes表示 :“政府机 构同样也被敦促减少与应用程序上线相关的时间和成本,同时还必须遵守一套严格的安全和合规要求。将梭子鱼的安全产品整 合到Microsoft Azure Government中,可为这些客户简化流程,并提供可随政府机构需求而扩展的动态、弹性基础架构。”

微软国家 云计划高 级总监ChrisNiehaus表示 :“通过真 正的地理 性备援以及网络与数据中心的隔离,Azure Government可满足严格的政府安 全与合规性要求。

梭子鱼是Azure上的首批 安全提供商之一,并且真正了解客户需求和部署场景。我们非常高兴能够让梭子鱼将企业安全产品组合延伸到我们的政府客户那里。”

针对应用 层攻击的 安全和DDo S保护方案

梭子鱼Web应用防火 墙可用于那 些希望保 护其Web应用或Azure上部署的 业务负载 的政府机 构。通过针 对如Microsoft Share Point这些Web应用和第 三方打包 应用而预 定义的安全 模板 , 政府机构 能够不需要 学习、配 置并管理 复杂的技 术就可以使 用完整的Web应用威胁 防护方案。亮点包括:

应用安全 和DDo S保护 :提供有针对性、自动化的攻击保护措施,防御SQL注入、XSS跨站脚本、CSRF跨站请求伪造、DDo S和僵尸网络攻击;并且提供更加复杂的攻击防御机制,如:URL加密、XML防火墙、漏洞扫描集成,以及针对Exchange和Share Point等应用的安全模板。还可以通过LDAP和RSA Secur ID/Radius、IP信誉和CAPTCHA双因素验 证的方式 来强制执行合规和身份管理。

自动化资 源调配 :通过一套强大的功能加入自动化资源调配,这些功能可通过 友好的API接口界面 来使用,从而让客户能够充分利用Systems Center和Powershell等工具。

简化的验 证和访问 :为客户提供一个移植到Azure平台的简单,安全的途径,在允许使用应用之前强制进行验证。梭子鱼Web应用防火墙是首个在Azure上提供该功能的基础架构提供商。

安全远程 访问内部 应用和负 载

梭子鱼下一代防火墙可提供下一代防火墙功能,以及高速(>1 Gbps)的点对点远程 访问从硬件设 备到Azure或在Azure的Vnets之间,并让政府机构能够安全部署互联的多区域网络架构。亮点包括:

简化云迁 移 :帮助客户简化多层架构的物理据中心迁移,包括对新的应用程序支持Lift&Shift,同时提供从分支机构和客户端到Azure的高性能连接。

高性能和 可用性 :支持智能流量控制、Qo S、可靠性和冗余来提高流量识别和控制,并实现高性能和高可用。

全面管理 :以较低的管理成本对用户的网络架构提供集中控管,支持硬件设备部署模式和云端部署模式。

梭子鱼整 体威胁防 护计划

防火应用 篇5

个人防火墙的选择及其使用技巧(2)

防火墙的使用技巧

今年的中美黑客大战激起了千千万万爱国志士的雄心斗志，无论在现实社会还是在网络社会，我们中华民族都必须有自强不息的精神。我们关心国内网络安全业的发展，我们支持民族IT产业的发展。因此，在这里，我们向大家推介已经相当流行的“天网个人版防火墙”。

“天网个人版防火墙”是由广州众达天网技术有限公司独立开发，“天网个人版防火墙 V1.0”的面世，填补了国内在该领域的一项空白，深受广大网民的喜爱。从“天网个人版防火墙 V1.0”到现在的“天网个人版防火墙 V2.03”都可以从 或各大网站上获得免费下载。

“天网个人版防火墙”的安装过程很简单，这里就不加赘述了，关键问题是如何认识“安全规则”，如何设定“安全规则”。

图1

天网防火墙的安全规则设置

“天网”的安装和注册都很轻易就能完成，但是防火墙软件，只有你合理地配置它才能实现你的安全愿望，“天网”也是如此。

“天网”在启动后的默认窗口是“安全规则设置”窗口，在如图1中的大对话框中你可以自行指定防火墙的安全规则，针对每一项规则，在窗口底部的对话框中都有详细的注释，因为“天网”是以对数据包进行监控为基础的，所以在对话框中也包括了对数据包的发送方向，遵从的协议，对方的地址，对方的端口都作出了说明。

我们可以看如图2的放大图。

图2

可以看到，在最下面还有若干的“空规则”，这是“天网”设计的一个自行升级的方法，用户可以到网站上下载新制定的规则来完善防火墙的功能。

关于各项设置的具体意义，我们这里只拣几项重要的来解释，实际上“天网”本身已经默认设置好了相当的安全级别，一般用户，并不需要自行更改。

防御ICMP攻击：

选择时，即别人无法用 PING 的方法来确定你的存在。但不影响你去 PING 别人。由于ICMP协议现在也被用来作为蓝屏攻击的一种方法，而且该协议对于普通用户来说，是很少使用到的。

防御IGMP攻击：

IGMP是用于传播的一种协议，对于MS WINDOWS 的用户是没有什么用途的，但现在也被用来作为蓝屏攻击的一种方法，建议选择此设置，不会对用户造成影响。

TCP数据包监视：

选择时，可以监视你机器上所有的TCP端口服务。这是一种对付特洛依木马客户端程序的有效方法，因为这些程序也一种服务程序，如果关闭了TCP端口的服务功能，外部几乎不可能与这些程序进行通讯。而且，对于普通用户来说，在互联网上只是用于WWW浏览，关闭此功能不会影响用户的操作。但要注意，如果你的机器要执行一些服务程序，如FTP SERVER，HTTP SERVER 时，一定不要关闭功能，而且，如果你用ICQ来接受文件，也一定要将该功能正常，否则，你将无法收到别人的文件。另外，选择监视TCP数据包，也可以防止许多端口扫描程序的扫描。

UDP数据包监视：

选择时，可以监视你机器上所有的UDP服务功能。不过通过UDP方式来进行蓝屏攻击比较少见，但有可能会被用来进行激活特洛依木马的客户端程序。注意，如果你使用了采用UDP数据包发送的ICQ和OICQ，就不可以选择阻止该项目，否则，你将无法收到别人的ICQ信息。

通过对话窗口上的功能按钮，我们可以方便地存储目前设定的安全规则，同时，也可以将之前设定的规则调用，适应不同的场合，省却重新设定的时间。如图3

图3

对于规则的条目，我们也可以进行排序，删除，修改的操作，修改操作的按钮是图3中左起第2个按钮，操作的界面如图4。

图4

防火应用 篇6

1.人防工程商业应用的火灾特点

1.1火灾蔓延速度快

人防工程系由钢筋混凝土浇筑而成，上面有几米厚覆土保护，通风不良，热量不易散发，着火后温度上升快。据有关资料介绍，人防工程内起火后一般在3～8min内就会出现轰燃。实践证明，人防工程发生火灾后，蔓延速度往往高于地面。同时，人防工程因通风、除湿等需要，往往设有大量通风管道、洞口、竖井，火灾发生后，烟火将迅速沿风道、洞口、竖井向四周特别是上方蔓延。

1.2有毒有害烟气严重影响安全疏散

人防工程无天然采光，烟气可以使事故照明灯的光度迅速降到安全点以下，因而，人防工程发生火灾后疏散非常困难。由于火灾初期供氧不足，物质不能完全燃烧，产生浓重的烟雾和大量有毒气体，造成人员中毒或窒息，影响人员安全疏散。加之出口数量有限，疏散距离长，增加了人员疏散的难度。另一方面，在人防工程中，人员疏散与烟气扩散均沿同一垂直方向。而根据有关资料介绍，人员的疏散速度应以人群步行速度为准。当人群密度<1.5人/㎡，人群水平步行速度为1m/s，在楼梯间的垂直步行速度为0.5m/s，如果人群密度>1.5人/㎡时速度则更慢。而烟在高温下热对流所产生的水平扩散速度为0.3～0.8m/s，在楼梯间的垂直上升速度为2～3m/s。由此可见，人员在水平方面的疏散速度一般大于烟气的扩散速度，在垂直方向的疏散速度则大大低于煙气的上升速度。这样人防工程内发生火灾后势必造成“烟追人”的现象。

1.3火灾扑救难度大

人防工程发生火灾后，由于烟雾浓、温度高，火场侦察困难，无法及时了解火场内的具体情况。同时，受通道、出入口的限制，战斗的展开和人员、物资的抢救工作不易进行。另外，在火灾扑救过程中，一般无线通信器材在地下建筑内发挥不了作用，只能依靠通信人员来实施信息联络，从时间上、质量上都无法保证命令的及时性和有效性。

2.人防工程防火设计的技术措施

2.1严格防火分区的设计

根据《人民防空工程设计防火规范》第4.1.1条及第4.1.2条规定“应采用防火墙划分防火分区，每个防火分区允许最大建筑面积不应大于500㎡”。第4.1.6条规定“每个防烟分区的建筑面积不应大于500㎡（当从室内地坪至顶棚或顶板的高度在6m以上时，可不受此限），防烟分区不得跨越防火分区”。设有自动喷水设备的，每个防火分区不能超过1000㎡。当大型人防工程因营业需要不能用防火墙划分防火分区时，可采用防火卷帘加水幕作防火分隔。但水幕系统用水量太大，工程造价较高，故可采用复合防火卷帘作防火分隔，但必须保证卷帘在火灾发生时的迅速启动。

2.2安全疏散设计

为达到人员安全疏散的目标，要保证安全出口数量、安全疏散距离和疏散通道宽度等符合相关规范要求。火灾疏散照明灯、火灾疏散标志灯的选型、安装也应符合相关规范要求。每个防火分区都要保证有一个直接通向室外的安全出口。

2.3实现人防工程的“非燃化”

根据《建筑内部装修设计防火规范》的要求，人防工程的内部装修不应采用易燃材料，顶棚应用不燃材料，墙面、地面等可采用难燃或不燃材料，其他装饰等应严格控制可燃材料的数量。

2.4建立以自救为中心，以消防队扑救为外援的火灾扑救模式

人防工程一旦发生火灾，外部扑救很困难。高温、浓烟、无照等将严重影响消防队的扑救行动，因此，应建立以自救为中心的火灾扑救模式。为达到目的，要按规定设置火灾自动报警系统、自动喷水灭火系统、各类灭火器材等。目前，人们已广泛认识到“快速响应当，早期灭火”的火灾预防模式的重要，因而采用先进的智能性火灾报警监控系统非常重要。应设置报警控制中心，报警控制中心具备两项功能：接收烟温探头、水流指示器、压力开关、手动等发出的报警信号；自动启动水泵、风机、排烟口、送风口、防火阀、防火门、防火卷、挡烟垂壁，开通事故广播，接通事故照明、疏散指示标志电源，控制消防电梯复位，显示各设备启闭状态和各系统运行情况，并能发出消防设备故障状态报警信号。同时设置自动喷水系统，适当增加设计喷水强度，缩小作用面积，提早响应时间，以求在火灾初期较易扑救的情况下迅速将火扑灭。

2.5规范电气安装

严格按照规定安装电气设备，导线要符合使用场所的要求，不得有受潮湿和腐蚀的情况，消防电气线路敷设时要穿钢管，且钢管应刷防火涂料处理，其它线路也应穿管保护，并应设置漏电保护设施，照明灯不应直接安装在可燃装修物或构件上，其表面的高温部位靠近可燃物时应采取隔热、散热等防火措施。整个供电系统要设置漏电火灾报警系统，对电气火灾实行严密监控。

2.6要系统设计人防工程的防排烟系统

地下建筑不采用自然排烟方式，应采用机械防排烟方式。地下建筑物根据其出入口的数量分为单通道和多通道。为了使地下建筑取得较好的通风排烟效果，地下建筑的机械防排烟宜采用全面通风排烟的方式，而且排烟和进气必须形成一个良好的对流循环系统。单通道地下建筑的全面通风排烟，送风机出口的送风管应伸入到远离地下建筑出入口的尽心下部，而排烟机的吸入口则应设置在地下建筑出入口内侧上部。这种布置，可形成良好的对流，新鲜空气从里向外驱赶烟气，有利于排烟。多通道地下建筑的全面通风排烟，一般是从一个出入口向里送风，而从另一个出入口向外排烟。送风口应尽量远离排烟口，以便使送风和排烟形成良好的对流。

2.7要系统设计人防工程的通风空调系统

高校网络防火墙部署应用 篇7

近年来教育主管部门对教育信息化建设高度重视。作为信息化网络安全基本防护设备的防火墙, 其安全性已经越来越受到重视[1]。由于信息化基于互联网, 因此, 隔离内部网络与外部不信任网络的防御技术是网络安全中的一个重要部分。本文通过对具体网络防火墙产品的部署, 实现对外部网络攻击的防御和对内部网络的保护。

1网络防火墙的部署

1.1防火墙拓扑结构及其相关接口信息

防火墙透明部署在负载均衡和核心交换机之间, 设计防火墙拓扑结构见图1。设置系统时钟信息, 该时间是记录日志、访问控制、报警等事件的时间基准。共使用了五个接口, ETH1为管理接口, ETH10、ETH12连接出口链路负载, ETH11、ETH13连接核心交换机, 接口统计信息内容:interface eth n receive packets、receive bytes、tcp receive packets、tcp receive bytes、udp receive packets、udp receive bytes、icmp receive packets、icmp receive bytes、transmit packets、transmit bytes、input rate、output rate、input rate pps、output rate pps。网络管理二层网络配置ARP、VLAN、MAC地址信息。配置VLAN001包含接口eth11、eth10, 配置VLAN002包含接口eth12、eth13。

1.2管理页面地址配置

本防火墙支持IE5.0, IE6.0, Mozilla firefox 1.0.2, Mozilla firefox1.0.3, Mozilla firefox 1.0.4, Mozilla firefox 1.0.5, Netscape7.1等, 使用安全套接字层超文本传输协议HTTPS访问, 在防火墙物理接口eth1配置特定的远程管理IP地址202.100.100.106, 此地址将作为防火墙的管理地址, 子网掩码255.255.255.0, 使用命令为命令如下network interface<eth1>ip add<202.100.100.106>mask<255.255.255.0>。在浏览器上输入防火墙的管理URL (https://202.100.100.106) 即可进入管理页面。

1.3防火墙账号配置

由管理页面添加并设置管理员账号和密码, 配置三级管理员权限, 三级权限分别为超级管理员、安全管理员和安全审计管理员。超级管理员具有最高权限, 能修改超级用户的相关信息, 能修改或删除配置信息。安全管理员可以访问除系统维护外的所有命令, 可以对访问规则进行调整, 对管理员的权限不能分配。安全审计管理员只能查看系统配置信息, 无权修改现有配置信息。具体配置信息见表1。

1.4系统可管理主要服务配置

配置系统可管理的主要服务GUI、WEBUI、SSH、UP-DATE、TELNET、PING。GUI服务允许通过防火墙管理器对设备进行配置和管理, WEBUI服务通过WEBUI的443端口对设备进行配置和管理, SSH实现以SSH方式管理配置设备, UPDATE服务实现远程升级, TELNET服务实现TELNET方式配置管理、PING服务实现PING到设备的物理地址。

1.5防火区IP规划

规划不同区域防火区IP地址见表2。

2管理页面服务配置

2.1开放服务

依据业务需要自行定义资源管理的相关服务, 服务参数包括服务名称、服务类型和端口。创建服务对象名称有:监控服务、WEB服务等, 协议类型按照开放服务所需协议选择TCP、UDP、ICMP、以太网协议等相关协议。选定协议后, 按照服务需求选择相应端口, 输入自定义服务占用的单个端口或端口范围。开放服务如见表3。

2.2路由配置

天融信防火墙的策略路由方式可以实现内部网络的指定对象使用特定外部线路与外部网络通信, 从而进一步增强网络的通信安全。策略路由优先于静态路由。为了由终端能够管理防火墙而设置添加路由, 添加目的地址202.100.100.106, 目的掩码32位的路由, 该路由只做管理使用, 不走别的数据。ISP路由表有中国电信、中国联通、中国移动、教育网带宽、中国铁通等信息。

2.3定义主机

添加主机资源, 主机属性包括主机名称、物理地址、IP地址。主机资源见表4。

该防火墙内置了IDS (入侵防御检测系统) 模块, 可以为防火墙及其所保护网络内的主机提供简单的抗网络攻击的功能。配置IDS规则, 并且在访问控制规则中引用规则, 实现对统计型攻击和异常包攻击的防护功能。对匹配ACL规则的数据包, 将按照所引用的IDS规则的配置, 保护设定的“目的地址对象”免于受到攻击。设置后可保护指定的网络主机免于受到以下类型的攻击: (1) 统计型攻击, 包括:SYN Flood、UDP Flood、ICMP Flood、IP Sweep和Port Scan; (2) 异常包攻击, 包括:Land、Smurf、Ping of Death、Win Nuke、TCP Scan、IP Option、Tear Of Drop和Targa3。

2.4病毒防御设置

为了避免病毒进入网络内部很快地在网络环境中传播, 造成网络阻塞甚至瘫痪。利用本产品的反病毒功能, 对通过HTTP、FTP传输的文件, 以及使用SMTP、POP3和IMAP协议传送的邮件正文、附件进行病毒检查过滤, 根据文件扩展名选择过滤的附件类型。同时, 开启APT (高级持续性威胁) 功能进行高级威胁防御检测, 增强病毒防御能力。

2.5其他设置

防火墙配置管理功能项除以上设置外还有访问控制、日志配置等。通过访问控制规则实现三到七层的访问控制, 还可以设置深度过滤策略针对应用层的内容进行更细颗粒度的访问控制。在管理页面选择日志与报警项, 设置已部署日志服务器地址202.100.101.X, 设置服务器端口, 选择日志类型:配置管理、系统运行、连接、访问控制、防攻击、端口流量、入侵防御、防病毒、反垃圾邮电等项。

3结语

防火墙配置管理的重要性对整个防火墙的功能执行和管理效率来说都是不言而喻的[2]。本文就高校信息化建设中网络安全建设的网络防火墙产品做了部署介绍, 设计了校园防火墙的拓扑结构, 对防火墙部署和服务配置做了介绍, 通过对防火墙合理部署, 实现了内网和外网的访问控制策略, 并有效阻止非法连接和外部攻击。提高了校园网络的安全防护能力。

摘要：为抵御互联网上的攻击, 保障数字校园网络安全, 部署天融信硬件防火墙。在部署过程中合理设计防火墙拓扑结构, 将防火墙透明部署在负载均衡和核心交换机之间, 通过防火墙防护网络边界这种安全保护机制, 保证了校园网络的安全防护能力。该机制具备安全防护能力, 是一种有效的网络安全机制。

关键词：防火墙,网络安全,校园网络,VLAN

参考文献

[1]谭湘.基于防火墙的企业网络安全设计与实现[D].西安电子科技大学, 2013.

浅谈Web应用防火墙 篇8

近年来, 随着互联网的快速发展, Web网络服务以其特有的高效性、易用性、交互性和及时性博得大量企业机构的青睐, 纷纷将业务转到Web应用层。而企业的网络应用也随着网络的发展变得复杂多样, 比如邮件处理、数据存储、网络管理软件的应用等。特别是近几年Web 2.0的发展, 更使得Web服务无所不在。Web应用成为人们生活中不可缺少的一部分。然而伴随着互联网的这种飞速的发展, 网络安全却不容乐观, 网络攻击也大量转向Web应用层面。而传统防火墙不能有效阻止应用层的网络攻击, 这就需要一个能提供面向应用层的网络防护系统。

1 WAF功能及特点

1.1 WAF概述

Web服务的开放性在为企业带来丰富资源、高效率、全新工作方式的同时, 也使企业机构面临越来越多的威胁。据统计数据表明, 75%的网络攻击都发生在Web应用层[1], 可见形势非常严峻。Web应用防火墙在这种形势下应运而生, 成为防护Web应用层网络攻击最有力的武器。

Web应用防火墙, 也称为网站应用级入侵防御系统 (Web Application Firewall, 简称:WAF) 。按照国际上公认的定义, WAF是指通过执行一系列针对HTTP/HTTPS的安全策略专门为Web应用提供保护的一款产品。

据资料显示WAF早在2004年, 就被国外一些安全厂商提出, 但由于当时Web应用并不很普遍, 所面临的安全威胁也比较小, 所以很多企业用户对此的认识还比较模糊。但随着互联网的普及, 如今企业的Web应用越来越多, 面临的来自Web的信息安全风险越发突出, 因此Web应用防火墙广泛地被企业机构用户重视起来。

1.2 WAF的功能

作为一种专业的Web应用安全防护工具, WAF能应对Web应用中的各类安全威胁, 如SQL注入、跨站脚本攻击 (XSS) 、跨站请求伪造攻击 (CSRF) 、Cookie篡改以及应用层DDo S等, 并且能有效解决网页篡改、网页挂马、敏感信息泄露等安全问题, 充分保障Web应用的高可用性和可靠性[2]。

一般来讲, WAF具有以下四个组成部分, 各组成部分具有各自不同的功能, 它们协同工作, 构成一个完整的Web应用层防御系统。

(1) 审计设备:用于截获所有HTTP数据或仅满足某些规则的会话数据。

(2) 访问控制设备:实现对Web应用的访问控制, 包括主动和被动安全模式。

(3) 架构/网络设计工具:当运行在反向代理模式中时, 他们被用来分配职能、集中控制、虚拟基础结构等。

(4) Web应用加固工具:增强Web应用的安全性, 它不仅能够屏蔽Web应用固有弱点, 还能够保护由于编程错误而来带的Web应用安全隐患。

需要特别强调的是, 并非每种WAF都同时具备以上四个组成部分及其功能。

1.3 WAF的特点

WAF具有多方面的特性。1) 全面防护:能够检测和防御各类常见的Web应用攻击, 如蠕虫、黑客攻击、跨站脚本、网页盗链等;2) 深入检测:细粒度地检测并防御SYN Flood、UDPFlood、ICMP Flood、HTTP Get Flood等常见的拒绝服务攻击行为, 基于智能关联分析技术对CC攻击进行检测、防护;提供针对常见的假人攻击、创建帐号攻击、数据库攻击等;3) 高可靠性, 提供硬件BYPASS或HA等可靠性保障措施, 确保Web应用核心业务的连续性;4) 管理灵活:提供基于IP、端口、协议类型、时间及域名的灵活访问控制;基于对象的虚拟防护, 为每位用户量身定制安全防护策略, 轻松增值;支持规则的在线升级和离线升级; (5) 强大的审计功能:其能够详细记录统日志、应用访问日志以及攻击统计报, 支持标准的SYSLOG日志服务器[3]。

此外, WAF还具有多面性的特点:从网络入侵检测的角度, 可以把WAF看成运行在HTTP层上的IDS设备;从防火墙角度, WAF是防火墙系统的一个模块;从用户感知角度, 有人把WAF看作工作在网络的第三层及更高层次的“深度检测防火墙”的增强。

2 与传统防火墙的比较

作为网络中最常用的安全设备, 防火墙无处不在, 从个人PC机到企业巨型机, 防火墙都成为计算机网络系统中必不可少的组成部分。

传统防火墙工作在ISO七层模型中的网络层和传输层, 很少有涉及到网络层以上的安全防御。而如今大部分网络攻击发生在应用层, 并非网络层。传统防火墙通常使用的安全控制手段主要有包过滤、状态监测、代理服务所提供的安全防御机制是一种被动的安全模式。传统防火墙采用逐一匹配的方法, 使得计算量十分庞大。安全性越高, 检查的越多, 效率越低, 并且会导致网络传输速率减慢, 成为防火墙内外网络传输的瓶颈。安全性与效率成反比。

Web应用防火墙与传统防火墙不同, 它工作在应用层, 起着监视和隔绝应用层通信流的作用, 它可以解决传统防火墙设备束手无策的Web应用安全问题[3]。基于WAF对来自Web应用程序客户端的各类请求进行内容检测和验证, 其可以确保这些请求的安全性与合法性, 对非法的请求将予以实时阻断, 从而对各类网站站点进行有效防护[3]。国际权威测评机构NSS对WAF有着详细的测试方案, 国际组织Web应用安全联盟WASC (Web Application Security Consortium) 也发布了WAF产品评估标准, 这些都为技术人员进行产品技术选型时提供了参考, 帮助其选择最为适合自身应用环境的WAF产品[3]。

熊猫卫士软件 (中国) 有限公司总经理何支涛认为:只要有网络就需要有一个防火墙, 而原有的防火墙只是针对一些底层的信息, 比如说网络层, 传输层这样一些信息进行过滤, 进行阻断, 而应用防火墙则深究到应用层, 会对所有应用信息进行过滤, 这是本质的区别。

需要特别提醒的是, WAF是传统安全设备对应用层防护的一个有效补充, 它与传统防火墙是一个有机统一的整体, 而不是对立的个体。

3 WAF发展前景展望

Web服务已经深入到人们生活中的各个领域, 基于应用的网络攻击日益增多, 网络安全方面面临着严峻的挑战。对此, Web应用防火墙有着十分良好的发展前景与广阔的发展空间, 从2008年开始国内陆续有不少公司开发Web应用防火墙, 如传统的网络安全厂商, 新兴的专业开发Web应用防火墙的公司今年也在不断的增加, 可供用户选择的WAF产品也越来越多。目前, WAF的发展有两个方向:一是向高性能专业设备方面发展, 二是朝Web应用综合网关方面发展。

最早从事Web应用防火墙研究公司之一的杭州安恒公司认为Web应用防火墙市场即将进入井喷时期。

参考文献

[1]王宇, 陆松年.Web应用防火墙的设计与实现[J].信息安全与通信保密, 2011, (5) :104-106.

[2]葛鹏.浅谈Web应用防火墙对基于Web业务系统的保护[J].江苏科技信息, 2010, (10) :43-45.

防火墙技术及其应用研究 篇9

随着网络的迅速普及, 网络安全问题也日益突出。虽然网络安全技术得到了迅速发展, 但网络安全问题也增加了新的内容 , 主要是由网络的开放性、无边界性、自由性造成的, 包括以下一些因素:①计算机操作系统本身的一些缺陷;②各种服务, 如TELNET NFS, DNS, Active X 等存在bug和漏洞;③TCPIP协议本身的安全因素;④黑客攻击, 追查比较困难, 因为攻击可以来自Internet的任何地方。

目前, 保护内部网免遭外部入侵的有效方法是采用防火墙。防火墙技术已成为网络安全领域中最为重要、最为活跃的领域之一, 成为保护网络安全、网络数据的重要手段和必选的网络安全设备之一。防火墙主要涉及软件技术、密码技术、安全技术、计算机网络技术、网络标准化组织的安全规范、安全操作系统和安全协议等多方面。近年来, 防火墙产品多, 更新快, 且不断有新的信息安全技术应用到防火墙的开发上, 如代理服务器、包过滤、状态检测、用户身份鉴别、加密技术、虚拟专用网等技术。

那么, 什么是防火墙呢?在古代, 人们在构筑木制结构房屋时, 常在住所之间砌一道砖墙, 防止火灾蔓延。在网络中, 防火墙就是防止Internet上的不安全因素蔓延到企业或组织的内部网, 犹如一道护栏, 置于不安全的非信任的网络与被保护网络之间, 阻断外部对内网的威胁和入侵, 保护内网的安全。

一般来说, 防火墙是一种置于不同网络安全域之间的一系列部件的组合, 是不同网络安全域间的唯一通道。它能根据有关的安全访问策略来控制 (包括允许、拒绝、记录和监视) 通过网络的访问行为, 是一种高级的访问控制设备。狭义上, 防火墙是指装了防火墙软件的路由器系统或者主机;广义上, 防火墙是指整个网络的安全行为和安全策略。

1 防火墙的发展

1986年, 在Internet上, 美国Digital公司安装了全球第一个防火墙系统。这之后, 防火墙产品成为安全领域发展最快的安全技术产品之一, 它先后经历了如下发展阶段:

第一代防火墙, 又称为包过滤路由器或屏蔽路由器, 是基于路由器的防火墙, 通过检查经由路由器的数据包的地址 (源地址、目的地址) 、端口号 (源端口号、目的端口号) 、协议等参数, 来决定是否让数据包通过, 如Cisco路由器提供的接入控制表。这种防火墙的缺点是很难抵御地址欺骗等攻击, 而且审计功能差。

第二代防火墙, 是用户化的防火墙工具套, 它用来提供应用服务级的控制, 起到外部网络向被保护的内部网申请服务时的中间转接作用。它的缺点是对于每一种网络应用服务都必须为其设计一个代理软件模块来进行安全控制, 而每一种网络应用服务的安全问题各不相同, 分析困难, 因此实现也困难, 且代理的时间延迟也较大。

第三代防火墙, 是建立在通用操作系统上的商用防火墙产品, 有以硬件方式实现的, 也有以纯软件方式实现的。采用这种防火墙, 用户必须依赖防火墙厂商和操作系统厂商这两方面的安全支持。

第四代防火墙, 是建立在安全操作系统上的防火墙。各种新的信息安全技术被广泛应用在防火墙系统中, 同时也采用了一些主动的网络安全技术, 比如网络安全性分析、网络信息安全监测等。总之, 它将网关和安全系统合二为一。

2 防火墙的基本类型

按使用技术, 防火墙主要分为包过滤型防火墙 (又可分为静态包过滤、状态动态检测包过滤) 、应用代理、复合型和核检测这几大类;按照实现方式可分为硬件防火墙、软件防火墙。

2.1 按使用技术分类

2.1.1 包过滤型防火墙

静态包过滤防火墙是最简单的防火墙。静态包过滤被应用于路由器的访问控制列表, 在网络层对数据包实施有选择的通过。根据系统内的过滤逻辑, 在收到网络数据包后, 检查数据流中的每个数据包, 根据这数据包的源IP 地址、目的IP 地址和目的TCP/UDP 端口及数据包头的各种标志位等因素, 以确定是转发还是丢弃, 它的核心是安全策略即过滤算法的设计。静态包过滤的优点是逻辑简单、对网络性能影响小、有较强的透明性、与应用层无关, 所以无须改应用程序。它也存在一些不足:不检查数据区、不建立连接状态、前后报文无关、对应用层的控制弱。

状态动态检测包过滤防火墙直接对数据分组进行处理, 而且结合前后的数据分组进行综合判断, 来确定是否让数据包通过。如思科的pix系列防火墙和checkpoint公司的防火墙都采用了这种技术。它的优点在于支持几乎所有的服务, 并能动态地打开服务端口, 且能减少端口的开放时间。所以状态动态检测防火墙安全性高, 能够检测所有进入防火墙网关的数据包, 并能根据通信和应用程序状态确定是否允许包的通行。它性能高, 在数据包进入防火墙时就进行识别和判断;伸缩性好, 可以识别不同的数据包;已经支持160多种应用, 包括Internet应用、数据库应用、多媒体应用等, 用户可方便添加新应用, 而且对用户、应用程序透明。

2.1.2 应用代理型防火墙

代理型防火墙, 又可分为电路级代理和应用级代理。

应用代理技术是在网络的应用层提供网络数据流保护功能, 用来过滤应用层的服务, 是内部网与外部网的隔离点, 起着内外网之间申请服务时的中间转接作用, 监视并隔绝应用层的通信流。应用代理服务是运行在防火墙主机上的特殊的应用程序或者服务器程序, 不同服务的代理功能需要开发不同的代理服务程序, 而对大多数代理服务来说, 要求要有合适的代理服务器软件。由于代理提供替代连接并充当服务的网关, 所以, 应用代理有时也被称为应用级网关。它的优点在于:不允许内外主机直接连接、能提供详细的日志和安全审计功能、隐藏内部IP地址、支持用户认证。但是, 它的代理速度比包过滤慢, 且对用户不透明, 对于一些服务不适用, 而且不能保护所有协议。

电路级代理适用于多个协议, 能接收客户端的各种服务请求, 建立一个回路, 对数据包只起转发的作用, 工作在OSI模型的会话层或TCP/IP模型的TCP层。它的优点是可满足多种协议设置, 并能隐藏内网的信息, 但它不能识别同一个协议栈上运行的不同应用程序。

2.1.3 复合型防火墙

所谓复合型防火墙, 就是将包过滤和代理服务整合在一起使用, 以实现如网络安全性、性能和透明度的优势互补。复合型防火墙, 可以检查整个数据包的内容, 并根据需要建立状态连接表, 网络层和应用层的保护强, 会话层的控制较弱。目前出现的新技术类型主要有以下几种:智能IP识别技术、零拷贝流分析、快速搜索算法、实时侵入检测系统等, 突破了复合型防火墙效率较低的瓶颈。混合使用这些技术和包过滤技术及代理服务技术是未来防火墙的趋势。

2.1.4 核检测防火墙

核检测防火墙, 检查整个数据包, 当数据包到达防火墙时, 建立连接状态, 重写会话, 检查多个报文组成的会话。核检测防火墙对网络层、会话层和应用层的控制强, 而且前后报文有联系, 上下文相关。

2.2 按实现方式分类

硬件防火墙, 是指采用ASIC芯片设计实现的复杂指令专用系统, 它的指令、操作系统、过滤软件都采用定制的方式, 一般采取纯硬件设计即嵌入式或者固化计算机的方式, 而固化计算机的方式是当前硬件防火墙的主流技术, 通常将专用的Linux操作系统和特殊设计的计算机硬件相结合, 从而达到内外网数据过滤的目的。

软件防火墙, 一般安装在隔离内外网的主机或服务器上, 一般来说, 这台主机或服务器就是整个网络的网关。国内外有许多网络安全软件厂商开发的面向家庭用户的纯软件防火墙, 俗话叫“个人防火墙”, 因为它是装在个人主机上的, 只对个人主机进行保护。而防火墙厂商中做网络版软件防火墙最出名的莫过于CheckPoint及微软的ISA软件防火墙。

3 防火墙的主要功能

防火墙能提高网络、主机 (主机群) 以及应用系统的安全性, 它主要有以下功能:

(1) 网络安全的屏障。对网络存取和访问进行监控和审计, 提供内部网络的安全性, 过滤不安全的服务, 对网络攻击进行检测和报警, 比如说, 它可以禁止NFS (网络文件系统) 服务。把防火墙作为网络通信的阻塞点, 为网络安全起到了把关的作用, 所以, 我们就可以把网络安全防范集中在这个阻塞点上。

(2) 强化网络安全策略。通过集中的安全管理, 在防火墙上可以实现安全技术应用 (加密、身份鉴别与认证、口令密码等) , 过滤掉不安全的服务和非法用户。

(3) 防止内部信息外泄。对于内部网络, 可以根据不同的服务设置不同的安全级别, 从而实现内部重点网段的隔离与保护, 限制敏感的安全问题影响整个网络。

(4) 限制暴露用户。封堵禁止的访问行为, 有效记录Internet上的活动, 管理进出网络的访问行为。

(5) 实现虚拟专用网的连接。防火墙支持因特网服务特性的内部网络技术系统——虚拟专用网。

虽然, 防火墙能对网络威胁起到极好的防范作用, 但它不能解决所有的网络安全问题。某些威胁如恶意的知情者、不通过它的连接、一些病毒等, 防火墙也是无能为力的。

4 防火墙的设计策略

防火墙的设计策略是基于特定的防火墙, 通常有两种基本的设计策略:限制策略, 拒绝任何服务除非被明确允许;宽松策略, 接受任何服务除非被明确禁止。第一种相对保守, 也相对安全;第二种可能造成安全隐患。一般建议采用限制型包过滤策略。

在配置防火墙时, 必须要遵循一定的原则, 首要的原则是安全且实用。从这个角度, 在防火墙的配置过程需要坚持3个原则:①简单实用, 越简单, 越容易理解和使用, 越不容易出错, 管理也越可靠、简便;②全面深入, 只有采用全面的、多层次的防御战略体系才能实现真正的系统安全, 系统地对待整个网络的安全防护体系, 使各方面的配置相互加强, 进而从深层次上保护整个系统;③内外兼顾, 每种产品都有它的主要功能定位, 在配置时要针对具体的网络环境进行配置, 不必对每一种功能都进行配置。

在站点上配置安全策略, 防火墙可提供服务控制、方向控制、用户控制和行为控制。服务控制是指确定防火墙内外可以防火的网络服务类型, 可以提供代理软件, 也可直接运行服务器软件;方向控制主要是启动特定的有方向性的服务请求并允许它通过防火墙;用户控制是指根据访问请求的用户来确定是否为该用户提供他要的服务;行为控制是控制用户如何使用某种特定的服务, 如过滤垃圾邮件、限制外部访问, 只允许他们访问本地web服务器的一些信息等。

在大型网络系统中, 可在如下位置部署防火墙:局域网内的VLAN之间、内联网与外网之间、总部的局域网与各分支机构之间构成虚拟专用网VPN、远程用户拨号访问时加入VPN等。

防火墙主要包括5个部分:安全操作系统、过滤器、网关、域名服务、函件处理。

5 防火墙的选型和实施

5.1 选型原则

防火墙产品众多, 如国内的天融信网络卫士、联想的网御防火墙、东软的网眼防火墙、国外Cisco的PIX系列和ASA系列、CheckPoint的FireWall-1、NetScreen公司的NetScreen防火墙等。而每一种防火墙都有它的独特功能和技术, 都有自己的定位, 让用户眼花缭乱, 难以选择。一般来说, 防火墙选型时的基本原则有以下几点:

安全和功能需求分析:选择合适产品的一个前提条件就是明确用户的具体需求。因此, 选择产品的第一个步骤就是针对用户的网络结构、业务应用系统、用户及通信流量规模、防攻击能力、可靠性、可用性、易用性等具体需求进行分析。

明确投资范围和标准, 以此来衡量防火墙的性价比。

在相同条件下, 比较不同防火墙的各项指标和参数。

综合考虑安全管理人员的经验、能力和技术素质, 考查防火墙产品的管理和维护的手段与方法。

根据实际应用的需求, 了解防火墙附加功能的定义和日常系统的维护手段与策略。

5.2 防火墙的测试与管理

为更好地了解防火墙产品的特点, 选择适合自己应用需求的产品, 必须先对防火墙产品进行测试, 测试的主要内容包括管理测试、功能测试、性能测试和抗攻击能力的测试。其中, 管理是网络安全的关键, 功能是防火墙应用的基础, 性能保证了网络的传输效率, 而抗攻击能力是网络安全的保证。

选择安装适合的防火墙后, 还要对防火墙进行管理与维护, 目的是为了让防火墙正常发挥作用, 并延长使用寿命。这要求管理维护人员必须接受一定的专业培训, 且对本单位的网络有一个清晰的认识和了解;定期地对防火墙进行扫描与检测, 及时发现问题, 堵上漏洞;保证通信线路畅通, 当发生网络安全问题时能及时报警, 并及时处理;与厂家保持联系, 及时获得防火墙有关的升级与维护信息。

6 结语

防火墙虽是一项比较成熟的产品, 但也在不断地完善与发展。怎样让防火墙具有高安全性、高透明性和高网络性三高为一体的性能, 是网络安全人员面临的一个艰巨课题。

摘要：防火墙技术是网络安全的重要技术之一, 是防御非法入侵和非法访问的有效手段之一。简述了防火墙技术的基本原理、分类、功能和设计及其选型, 并探讨了在实际中如何管理防火墙。

关键词：网络安全,防火墙技术,防火墙应用

参考文献

[1]阎慧.防火墙原理与技术[M].北京:机械工业出版社, 2004.

[2]杨文虎.网络安全技术与实训[M].北京:人民邮电出版社, 2011.

[3]刘渊.因特网防火墙技术[M].北京:机械工业出版社, 1998.

防火线缆在工程中的应用 篇10

随着科学技术的深入发展, 人们对事物客观规律的认识不断完善, 对材料燃烧特性内涵的理解和定义也从仅指火焰蔓延、火焰传播扩展到燃烧过程的热释放速率、热释放量、烟浓度和燃烧生成物的毒性等。因此人们在线缆的阻燃技术开发研究中, 除了考虑降低线缆的火焰传播速度外, 还同时考虑如何降低燃烧中烟的浓度以及烟气产生的毒性。日前常见的阻燃线缆有普通阻燃线缆、低烟阻燃线缆、低烟无卤阻燃线缆、氟塑料阻燃线缆。其中普通阻燃线缆目前在应用中占最大的比例, 而氟塑料阻燃线缆是目前综合性能最优异的阻燃线缆, 但是其成本亦远远高于其他线缆, 这类线缆在美国、日本等发达国家使用较多, 在发展中国家大量应用还有待时日。

近年来, 根据消防部门对发生火灾的有关状况、数据进行分析, 火灾中产生的有害气体以及烟气是造成人员窒息而伤亡的原因之一。可见, 建筑物本体与建筑物内各类设施, 以及敷设的各类线缆的防火设计对消防安全是何等的重要。本期将以“防火线缆在工程中的应用”为专题, 通过访谈、技术文章以及行业应用来多方面展示, 期望对您有所帮助。

防火应用 篇11

自改革开放以来，我国的社会经济水平持续高速增长，各类建筑体量不断增大，设施数量不断增多，结合近年来高层建筑、三合一场所等场所发生较为严重的火灾事故的现实因素，建筑设施的防火问题逐渐进入了公众和研究人员的视野。为了夯实建筑火灾防护体系，除了提高人们的防火安全意识以外，从建筑材料的角度进行考虑也是一个十分重要的思路。基于上述背景，本文主要介绍了建筑防火材料的相关情况以及对于预防火灾的相关原理。

建筑火灾事故的主要原因

防火分隔问题。建筑防火设计的相关规范和标准在对于防火设计进行相关规定时，其基本思路是对于防火能力进行分区管理，目的是即使火灾发生，也能够将损失控制在某一范围内，而不是使得火灾能够肆意蔓延乃至造成整栋建筑物的损失。如果在建筑平面范围较大，就应该在防火分区的或者是各个楼层之间的连接处进行防火隔离。然而，目前的建筑设施现状表明，大多连接数层甚至几十层的竖向通道（如手扶电梯、升降电梯）等都未进行防火隔离处理，即使部分建筑有相关处理，也仅仅是停留在表面工作。在这样的防火措施布置现状下，火灾事故很容易引起无法估量的损失和伤害。

可燃易燃物数量增加。随着社会经济水平的不断提高，人们对于建筑内部的装修要求也随之增加，市场上出现了许多新型、美观、易清洁的装修材料，然而这些装修材料的耐火性如何，却很少有人去关注。这无疑为建筑物火灾的发生和发展提供了物质基础和先决条件。建筑物火灾的发生往往是一些可燃物质受到高温作用而燃烧，由于建筑物内部空间封闭性较好，很容易使得燃烧后的热量迅速提升室内空气温度。同时建筑装修材料往往集中在墙壁、天花板等内部空间边缘处，随着室内温度的上升，其被引燃的几率也逐渐增大。此外，火灾荷载（建筑物内可燃物质的数量）也是火灾事故发展的重要因素，通常认为，可燃货物、装修材料、部分结构部件都属于火灾荷载的范畴，火灾荷载的数量与火灾事故的损失程度成正比。

目前建筑市场中，装修材料的主流产品仍然是以可燃或易燃性材质为主，耐火性普遍较差，例如：厨卫装修大量使用的木质龙骨、泡沫数量等；墙壁或者天花板使用的墙纸；客厅或者卧室窗户安装的窗帘；地面采用的木质地板乃至沙发、卧室上布置的床上用品，几乎都属于火灾荷载的范围，并且分布较为集中，一旦其中一个物品引燃，很容易导致火势迅速蔓延。

电器设备线路隐患。此外，一方面，我国在改革开放初期，兴建了许多房屋，当时的电路或者电器设备设计及施工水平还相对落后，这些房屋经过多年的使用，大多存在线路承受荷载能力过小或者线路老化等安全问题，与之相对的是现代家庭或者公司相比以前都增加了许多用电设备如空调、微波炉等。在这样的情况下，建筑内部的电路长时间承受较大负荷、线路布置不合理，很容易产生大量热量甚至发生燃烧。如果这些自燃的线路与装修材料距离较近，则会引起火灾事故的发生。

建筑装修材料的耐火性意义

建筑设施如果装修完成后，几乎内部空间的装修材料都处于连接的状态，当火灾事故发生时，火源处的火苗很可能会顺着装修材料进行蔓延。如果此时装修材料的耐火性能较高，对于火势蔓延的情况就能起到缓冲甚至是阻止效果。此外，可燃装修材料如果遇到室内发生火灾的情况，也有可能发生爆燃的物理现象，其具体过程是：由于可燃装修材料的氧化还原反应释放出大量的热量，使得火灾事故房间内的环境温度迅速上升，使得爆燃现象发生所要求的高温环境很容易满足。当室内其他暂未发生燃烧的可燃物品温度上升到燃点时，就会起火导致爆燃。并且，建筑室内发生的火灾产生的烟柱和火焰往往向墙壁、天花板处延伸或者集中，使得这两处的温度往往上升较快。然后这两处地方往往又是建筑装修材料较为集中的地方，如果装修材料是运用的可燃材料或者易燃材料，火灾事故的后果会更为严重。

在以往的火灾事故中，由于许多建筑内部采用的装修材料耐火性较差，导致火势能顺着装修区域四处蔓延，造成巨大的损失。这种火势蔓延的情况十分严重，蔓延速度快、方向广，往往在较短的时间内就会使得整个房间内部形成火海一片。一旦建筑内部的火势发展到一定程度，还会导致建筑内部的各公共区域如走廊、天井等弥漫高温气流、烟雾，使得建筑内部的电力、通风、给排水系统等设施受到高温影响，严重的话更会成为火势蔓延的新通道。

装修防火材料的类型

对于建筑装修防火材料的划分，我国的国家标准《建筑内部装修防火施工及验收规范》中有比较明确的规定。该规范对于防火材料的划分主要从材料的装修应用情况进行划分，主要分为7个大类。如果根据材料的耐火特点进行划分，则需要参考国家标准《建筑材料及制品燃烧性能分级》的相关内容，该规范中装修材料主要分为A级不燃材料、B1级难燃材料、B2级可燃材料以及B3级易燃材料。对于材料的耐火性能，国际上通用的是做法是运用燃烧试验方法进行判断和划分。对于试验结果达到相应要求的，才能按照划分的耐火等级进行实际运用。对于严格执行装修材料的耐火性检测，是保障建筑防火安全的重要手段。

鉴于上述情况，研究人员针对装修材料的特性，根据材料的不同提出了阻燃成型法、阻燃加工法以及综合处理法，来提高装修材料的耐火性能。上述阻燃方法的机理大致相同，都是用难燃或不燃性的涂料将可燃物表面封闭起来，避免其与空气接触，使可燃物表面变成难燃或不燃的表面；将难燃或不燃的阻燃性物质添加到材料中去，实现材料自身的难燃性或不燃性；或以两者结合的方式通过在材料的表面形成保护层，隔绝氧气并阻止热量向基材的传导，或者利用某些材料在高温下的脱水、分解等化学吸热反应及熔融、蒸发等物理吸热过程，冲淡可燃气体和氧气浓度，降低材料表面的温度，并以不燃的脱水物或熔融体形成的覆盖层隔绝空气，以延缓或阻止火势蔓延。

在现代社会，人们的消防安全意识在不断地增强，研究人员也在从装修材料的角度出发，提高建筑物的被动防火能力。相信通过各方面的不懈努力，一定能够提升我国消防事业的整体水平，更好的保护国家和人民的生命财产安全。

酒厂防火防爆关键技术研究及应用 篇12

截至2009年, 我国有白酒生产企业1.8万余家、啤酒生产企业510余家、葡萄酒 (含白兰地) 生产企业600余家、黄酒生产企业700余家。其中, 白酒、啤酒的生产规模和年产量均居世界第一。白酒、葡萄酒、白兰地酒、黄酒和啤酒的主营业务收入、利税总额分别占全国饮料酒的97.3%、98.0%。我国规模以上酒厂概况见表1。

1 研究酒厂防火防爆技术是酒类行业可持续发展需要

近年来, 随着酒厂生产规模的迅速扩大, 昔日小作坊式的手工生产为机械化、半机械化的大规模工业化生产所取代, 但由于国内外没有专门的酒厂防火技术规范, 防火防爆技术仍然停滞在小作坊式的手工生产阶段, 酒厂的防火防爆设计、消防设施设备的运行维护和日常的消防安全管理只能参照相关规范执行, 加之管理不严或操作不当等原因, 导致酒厂火灾、尤其是白酒厂火灾时有发生, 且后果十分严重, 成为影响该行业可持续发展的突出问题。据不完全统计, 仅1985年到1990年6年间, 在我国最重要的白酒产区川黔两省就发生白酒火灾27起, 死伤48人。2005年8月4日四川宫阙老窖集团公司在向酒罐注酒作业过程中因静电放电引发白酒蒸气爆炸, 见图1所示。这次火灾导致6人死亡, 1人重伤 (送医后不治死亡) 。泄漏的白酒和扑救火灾的泡沫液及消防用水在一定地域范围内造成了严重的环境污染。灾后工厂濒临倒闭, 大批工人失业引发了不容忽视的社会问题。专题研究酒厂的防火防爆技术, 对促进我国酒类行业的可持续发展是十分必要的。

四川省公安消防总队从酒类行业消防安全的现实需求出发, 立足自身技术力量, 组成课题组完成了酒厂防火防爆技术专题研究。整个研究工作前后历时18年, 主要研究对象涉及四川、贵州、山西、山东、浙江和江苏等6省酒厂, 覆盖了中国最重要的饮料酒产区。主要研究成果改写了三部国家标准和一部行业标准的相关结论, 制订了四川省地方标准DB51/T5050-2007《白酒厂设计防火规范》 (备案号J11087-2007) 并完成了国家标准《酒厂设计防火规范》报批稿, 填补了我国酒类工程建设规范的相关空白, 为四川省和全国酒类行业的安全生产和可持续发展提供了极为重要的科学依据和技术保障。研究成果自2006年推广应用以来, 四川省的酒厂至今未发生较大以上火灾或爆炸事故。显著的社会效益得到了酒类生产企业、设计单位和政府相关部门的一致认可和高度评价, 主要研究成果《白酒厂防火防爆技术研究》获四川省2009年科技进步一等奖, DB51/T5050-2007获2010年中国标准创新贡献二等奖。

2 主要研究内容

课题组主要对白酒、葡萄酒、白兰地、黄酒的火灾危险性属类、适用于白酒库的灭火系统、酒厂灭火器配置场所危险等级、防爆和生产工艺装置防静电、陶坛酒库的建筑防火设计参数以及白酒厂消防站的设置和消防装备的配置等专题进行了研究。

2.1 白酒、葡萄酒、白兰地、黄酒的火灾危险性属类

课题组首先要解决的关键技术问题是确定酒厂产品生产和储存的火灾危险性。我国根据液体的闪点划分其火灾危险性属类。闪点指在规定的试验条件下, 液体挥发的蒸气与空气形成的混合物, 遇火源能够闪燃的液体最低温度, 是判定液体火灾危险性最重要的技术参数。

2.1.1 白 酒

白酒为中国独创, 由于国外饮用酒多为40度以下低度酒, 其火灾危险性与我国白酒不具可比性。此前国内外均无专业的白酒厂防火规范, 没有可供借鉴的技术、标准和成熟经验。因此, 确定白酒的火灾危险性属类是我国消防工程领域中的一个独特课题。

酒精度是指乙醇在饮料酒中所占的体积百分比。乙醇是白酒的主要成分, 一般占白酒体积50%～60%左右。乙醇与汽油的火灾危险性参数见表2。

GB50016-2006《建筑设计防火规范》未测定白酒的闪点, 直接将60度及以上的划归甲类, 将大于50度、小于60度的划为丙类 (见表3) , 使得甲、丙类之间缺失了乙类的合理连续过渡, 并产生了极为严重的问题。因为, 60度以下白酒所适用的防火防爆措施偏于不安全, 导致爆炸和火灾时有发生。

经研究分析白酒所含物质的火灾危险性, 发现酸、酯、醛等微量物质对白酒火灾危险性属类的影响可忽略不计, 而乙醇的含量, 即酒的度数是决定性因素。经实验, 测得了不同品牌、不同度数白酒的闪点以及不同度数乙醇水溶液的闪点, 并运用数学分析方法, 解决了白酒火灾危险性属类这一关键技术问题。其主要技术路径是:

(1) 测定不同品牌、不同度数白酒的闪点, 见表4。

(2) 建立白酒闪点-度数学模型, 见式 (1) :

undefined (1)

式中:x为白酒度数, x∈[38, 60];undefined为闪点, ℃。

(3) 测定不同度数乙醇水溶液的闪点, 见表5。

(4) 建立乙醇水溶液闪点-度数学模型, 见式 (2) :

undefined (2)

式中:x为乙醇水溶液度数, x∈[5];undefined为闪点, ℃。

(5) 比较白酒和乙醇水溶液的闪点-度数学模型, 见图2所示。

(6) 对比分析国外液体火灾危险性的分类原则。在运输、废物处理、贮存以及紧急情况的处置中, 国外对液体的火灾危险性一般以液体的闪点Tf和沸点Tb为基础进行分类。目前常见的分类体系有化学品的分类与标注全球协调系统GHS、美国消防协会NFPA、美国交通部门DOT系统、美国国家标准研究院ANSI系统等。在美国, 常见的分类系统是NFPA出版的NFPA30《可燃和易燃液体法规》。NFPA对液体和化学品遵照NFPA325《易燃液体、气体与易挥发固体的火灾危险性指南》和NFPA49《危险化学品数据》进行分类, 见表6。

其中, IBP为起始沸点;Tb为沸点;Tf为闭杯闪点;Tig为着火温度。NFPA型30/704中, 对于单组分液体, 蒸气压力等于一大气压时的温度。对于没有固定沸点的混合物, 根据ASTM E 86, 蒸馏20%时作为沸点。ANSI型Z129.1分类中, 假定沸点为IBP。

结合表4和表6并对比分析可知, 按照GHS所列的指标, 白酒危险性分类应属2～3类之间, 即“非常易燃的液体或蒸气”或“易燃的液体或蒸气”;按 NFPA所列分类指标, 白酒危险性当属IB～IC, 危险性评价3, 仅低于最高危险级4;按DOT所列的分类指标, 白酒危险性应属Ⅱ～Ⅲ级之间;按ANSI分类指标, 白酒危险性水平为“易燃的”。

我国现行标准GB50016-2006对液体生产和储存的火灾危险性则根据其闪点进行分类, 不考虑沸点的影响。

(7) 通过以上分析可知, 38～60度白酒的闪点几乎等同于相同度数乙醇水溶液的闪点。38度及以上白酒的火灾危险性属甲类。白酒闪点-度数学模型在99.9%置信度下, 自变量与因变量之间线性相关显著, 在消防工程中具有应用价值。

2.1.2 葡萄酒、白兰地、黄酒

经测试, 酒精度12度的张裕葡萄酒闪点为47～48 ℃, 酒精度40度的张裕白兰地闪点为28 ℃;酒精度16度的绍兴黄酒闪点为39 ℃。

葡萄酒、白兰地、黄酒的火灾危险性均属乙类。但白兰地陈酿库的酒精度一般为65～70度, 白兰地陈酿库的火灾危险性应划归甲类。

2.2 研发白酒库自动灭火系统

由公安部消防局编写、黑龙江科学技术出版社出版的《可燃气体、蒸气、粉尘火灾危险性参数手册》在乙醇的灭火方法一栏中明确指出:水无效, 需用抗溶泡沫。研究和实验结果证明, 这一结论并非完全正确。如前所述, 乙醇是白酒的主要成分, 而白酒属水溶性液体, 水可以用于扑救白酒火灾, 不过直流水的冷却和窒息效果差, 灭火效果差, 射流可能导致陶瓷和玻璃容器破损, 致使火势扩大。此外, 应注意到白酒能溶解、吸收泡沫的水分, 破坏泡沫的稳定, 从理论上讲, 一般泡沫不宜用于酒类火灾, 只有抗溶泡沫才有较好的灭火效果。干粉、CO2等灭火剂也可用于扑救白酒初起火灾。但选用灭火剂应尽量考虑食品安全要求, 不到万不得已时, 切忌选用化学灭火剂导致酒库和周围环境受到污染。

泡沫灭火剂不符合食品安全要求且灭火后会造成严重的环境污染, 泡沫管枪射流会导致陶坛破损, 易形成大规模流淌火, 见图3所示。扑救四川宫阙老窖集团公司8·4爆炸火灾采用的抗溶泡沫, 就造成了不容忽视的环境污染。因此, 不宜选用泡沫灭火剂灭火, 更不应采用泡沫灭火系统保护价值高达数十亿元的名酒库。

直流水枪射流亦会导致陶坛破损, 致使火势迅速蔓延。扑救贵州福泉酒厂和芙蓉江窖酒厂火灾的失败战例表明, 数千个陶坛在直流水枪的冲击下四分五裂、数百吨白酒四处流淌并迅速构成失控的立体火场, 最后导致重大人员伤亡和酒厂的彻底毁灭。在图4中, 芙蓉江窖酒厂酒库1 241个陶坛被直流水枪毁损, 流淌的白酒火焰烧穿了现浇钢筋混凝土楼梯。

2.2.1 技术路径

水喷雾的灭火机理是:水以细小的雾滴喷射到燃烧物表面, 产生冷却、窒息、乳化和稀释作用。1991年开展该项目研究工作时, 我国尚无水喷雾灭火系统的设计标准和相关配套产品, 当时国内仿效英、美等发达国家仅尝试将水喷雾灭火系统用于灭变压器火和液化石油气储罐的防护冷却。1995年发布的国家标准GB 50219《水喷雾灭火系统设计规范》套用了英、美等国的技术参数, 规定水喷雾灭火系统不能用于扑救闪点低于60 ℃的液体火灾。研究结果证明, 从理论上水喷雾灭火系统用于扑救白酒火灾有冷却、窒息和稀释作用。为此, 笔者通过进一步的实验确认水喷雾灭火系统适用于扑救白酒火灾, 其主要技术路径如下:

(1) 抽样检测结果表明, 白酒的沸点均大于80 ℃。对沸点高于80 ℃的液体, 用水喷雾扑救其火灾可起到冷却作用;水雾可稀释白酒中的醇类;水雾受热汽化后体积扩大1 680倍, 可有效降低燃烧区的氧含量, 抑制或中断燃烧。

(2) 对于白酒火灾, 水喷雾灭火的效果主要取决于水雾的冷却、稀释和窒息的综合效应。灭火所需时间与雾滴直径和响应时间成正比, 与燃烧温度和喷雾强度成反比, 见式 (3) :

undefined (3)

式中:t为灭火所需时间, s;k为常数;d为雾滴平均直径, mm;Y为响应时间, s;W为喷雾强度, L/ (min·m2) ;ΔT为燃烧温度与周围介质的温差, ℃。

(3) 组装系统进行模拟试验, 见图5所示。结果表明, 水喷雾灭火系统用于扑救白酒火灾可行 (见表7) , 雾滴直径为0.4～0.6 mm, 喷雾强度为20～40 L/ (min·m2) 时, 灭火效果最好。

(4) 提出设计参数并建造我国第一套白酒库水喷雾灭火系统。综合考虑雾滴直径、最大有效射程、工作压力和经济技术指标, 1992年设计、1994年投入使用了我国第一套白酒库水喷雾灭火系统 (见图6所示) 。该3层陶坛白酒库建筑面积7 000 m2, 主要设计参数为:雾滴平均直径为0.6 mm, 喷雾强度20 L/ (min·m2) , 喷头实际流量2.5～3.4 L/s, 持续喷雾时间0.5 h, 工作压力0.4 MPa, 响应时间30 s。竣工验收灭火试验证明, 水喷雾灭火系统能够在1～3 min内有效地扑灭白酒库火灾。

(5) 在推广应用过程中优选确定关键设计参数 (见表8) , 并经多次验证试验确认安全可靠性 (见图7所示) 。

在上述研究实验和实践基础上, 经省级建设行政主管部门和公安消防机构组织有关专家多次论证后, 四川五粮液酒厂4万t酒库、全兴酒厂85扩建工程半成品库、丰谷酒业永兴开发区技改工程、剑南春酒厂98技改工程陶瓷坛酒库均设计了自动喷雾灭火系统, 供水强度为20 L/ (min·m2) , 喷头工作压力为0.4 MPa, 响应时间<30 s或<45 s, 水雾喷头的实际流量3.4 L/s或2.5 L/s, 喷头呈矩形布置, 一般的布置为2.8 m×2.5 m或3.3 m×3.5 m不等, 视喷头特性而定。最大防火分区为256、550、582 m2不等, 火灾延续时间按0.5 h考虑。水喷雾灭火系统与泡沫灭火系统、直流水枪扑救白酒火灾对比结果见表9。目前, 水喷雾灭火系统已经在一些国家名酒企业经过实验论证并通过了多年的工程实践, 此系统用于白酒库的灭火、控火是可行的。

2.2.2 解决的问题

(1) 解决了国家标准GB50140《建筑灭火器配置设计规范》灭火器配置的危险等级偏于不安全、且未考虑生产场所的问题。GB 50140划分工业建筑灭火器配置场所危险等级的基本原则主要有三条:一是按照GB 50016对工业建筑中可燃物的火灾危险性分类来划分其配置场所的危险等级 (见表10) 。二是根据配置场所内火灾荷载的大小来确定相应的危险等级。三是根据配置场所内可燃物的火灾蔓延速度来确定相应的危险等级。而国外在考虑液体的危险等级时, 不仅根据其闪点Tf和沸点Tb值进行分级, 同时也需要根据液体的燃烧特性进行分级。GB 50140将60度以上的白酒库房划为严重危险级, 低于60度的白酒库房划分为中危险级的划分方法仅仅参照了前述第一条基本原则, 而没有考虑其余两条重要的划分原则, 更没有考虑液体的燃烧特性。事实上, 38度及以上白酒库、白兰地陈酿库的火灾危险性属甲类, 葡萄酒库、白兰地酒库、黄酒库的火灾危险性均属乙类。所以, 综合分析考虑, 38度及以上白酒库、白兰地陈酿库, 葡萄酒库、白兰地酒库、黄酒库灭火器配置场所的危险等级应划为严重危险级。灭火器类型应选用干粉、抗溶性泡沫、卤代烷、CO2型。每具灭火器最小配置灭火级别为8 B, 最大保护面积为5 m2/B。由于酒库设置了消火栓系统和水喷雾系统, 经计算所得灭火器配置数量可按相关规定减少, 但最低配置数量和最大保护距离均应满足相关配置规定。为有效地抑制和扑灭白酒初起火灾, 可适当考虑配置推车式灭火器。

表11给出了本项目研究成果和GB 50140的灭火器配置危险等级主要技术内容对比情况。

(2) 证明并解决了工艺装置的静电积累与放电导致爆炸事故的问题。此前业内一直认为, 因乙醇的半衰期≪0.012 s, 白酒不能产生静电积累, 在公安部行业标准GA/T812《火灾原因调查指南》和相关教材指出:“大气湿度超过70%, 就不能发生静电积累和放电事故”。而模拟试验表明, 在四川宫阙老窖集团公司“8·4”爆炸案例相同工况和大气湿度77%的环境条件下, 输酒管管口静电电压高达6 000 V以上。研究结果确认:大气湿度超过70%, 白酒在管道输送和喷溅过程中仍有可能发生静电积累和放电事故。对此, 采取了相应的防静电技术措施 (见表12) 。

2.3 确定陶坛白酒库的允许层数、最大允许占地面积和防火分区最大允许建筑面积

对全部采用陶坛存放白酒的陶坛酒库, 储存物品的火灾危险性为甲类, 如果全部按现行国家标准GB 50016规定的甲类仓库的层数、占地面积和防火分区建筑面积要求, 实际执行有困难, 也不符合酒厂现状。经调研, 陶坛酒库储存的白酒大都在70度左右, 最低也在52度以上, 但一般储存周期较长, 酒的进出作业相对较少。其建筑有单层和多层两种形式, 建筑规模较大, 占地面积可达6 000 m2左右, 酒库内设有水喷雾等自动灭火设施, 防火分区面积约为200～700 m2。因此, 结合酒厂现状, 在采用分组存放、设置不燃烧体隔堤、事故排酒口、事故存液池和其他防止液体流散、防止火灾蔓延措施, 以及设置自动报警、自动灭火设施等条件下, 对陶坛酒库单独作出规定, 既能适当顾及现状, 又能最大限度地保证安全。

2.4 确定白酒厂消防站的设置和消防装备的配置

根据对全国最重要白酒产区的调研, 结合白酒厂的生产经营条件和企业的经济实力, 确定常储量大于等于10 000 m3的白酒厂应建立消防站;当常储量大于等于1 000 m3, 小于10 000 m3的白酒厂位于城市消防站接到火警后5 min内能够抵达火灾现场的区域时, 可不建消防站。课题组参照建设部、国家发展和改革委员会批准的《城市消防站建设标准》 (建标[2006]42号) 普通消防站建设标准, 规定了白酒厂消防站及消防车的设置原则。考虑到抗溶性泡沫对于扑救白酒火灾特别是流淌火灾效果显著, 规定白酒厂消防站应配备一定数量的泡沫消防车。

3 主要技术参数与同类技术先进性对比

研究成果首次建立了用白酒度数求闪点的数学模型, 提出了新的白酒火灾危险性分类;确定了葡萄酒、白兰地、黄酒的火灾危险性属类;确认水喷雾适用于扑救白酒火灾, 建成了我国第一套白酒库水喷雾灭火系统, 优选提出并验证了系统的关键设计参数;重新确定、完善了白酒厂灭火器配置场所的危险等级;确认白酒在管道输送和喷溅过程中有可能发生静电积累和放电事故并提出了相应防范措施;结合酒厂现状确定了陶坛酒库的建筑防火设计参数;确定了白酒厂消防站的设置和消防装备的配置。研究成果改写了三部国家标准和一部行业标准的相关结论, 制订了一部地方标准, 该标准被应用于编制一部国家标准。

四川省科技厅组织的成果鉴定认为 “该项目研究成果国内首创, 整体技术水平国内领先。”泸州市人民政府指出:“该项目研究成果解决了多年来无专门酒类防火技术标准的难题, 使白酒生产企业的消防安全工作有章可循, 有法可依, 是确保泸州酒业安全快速发展的重要技术标准。”公安部消防局评价DB 51/T 5050-2007“是全国第一部关于白酒厂设计防火的消防技术标准, 为国内白酒厂防火设计提供了重要的技术参照。”

与相关国家标准对比, 研究成果的主要技术参数在11个方面体现了先进性, 见表13。

4 应用概况

项目研究成果推动了酒类行业防火防爆技术的进步, 促成了国家标准《酒厂设计防火规范》的编制。自研究成果逐步推广以来, 极大地推动了四川省常储量100 m3及以上的白酒厂 (占全省取得生产许可证的白酒厂的63%) 的消防安全技改工作, 全省218家规模以上白酒厂均严格执行DB51/T5050-2007。尤其是汶川“5·12”地震之后, 剑南春酒厂投资20亿元的灾后重建项目全部按照DB51/T5050-2007进行防火防爆设计。消防机构将DB51/T5050-2007作为监督酒厂消防工作的重要技术法规。两年来, 检查发现、整改酒厂火灾隐患8 700余起。尤其是防静电研究成果的应用, 彻底避免了类似四川宫阙老窖集团公司“8·4”爆炸惨剧的再次发生, 避免了灾后工人失业、尤其是死伤带来的社会问题, 为酒类行业可持续发展、构建和谐社会提供有力的消防安全技术保障。

近两年来, 先后有多个省、自治区的酒厂、消防和建设行政管理部门专程赴四川考察学习。相关国家标准修订、制订时已采纳或正在借鉴本项目研究成果, 整合相关技术内容。由住房和城乡建设部批准立项的国家标准《酒厂设计防火规范》日前已完成报批稿, 发布后必将为全国酒类产业的安全生产和可持续发展提供有力的消防安全技术保障。

摘要：论述饮料酒的火灾危险性属类、适用于酒库的灭火系统和关键设计参数、酒厂灭火器配置场所的危险等级、电气防爆和生产工艺装置防静电、陶坛酒库的建筑防火设计参数以及酒厂消防站和消防装备的配置等关键技术, 对比分析主要技术参数与相关国家标准同类技术之间的先进性, 并简介研究成果的推广应用概况。