防火特性(精选4篇)
防火特性 篇1
摘要:本文从精细化工与基本石油化工、火灾危险属性、精细化工的特性、精细化工防火安全间距的思考四大点对当今精细化工类企业进行分析和思考, 规划出一套有效的精细化企业的特性与防火措施, 其中重点是防火安全间距方案。
关键词:特性,设计标准,防火安全间距
在当今工业科技快速发展中, 精细化工成为化学工业快速发展的一个重点项目, 无论是在政策还是资金都是重中之重。但至今唯一的不足就是精细化企业并没有想象中的那么完善, 还是有一定的缺陷和不足, 面对这些不足和缺陷, 国家已经实施了三年计划来弥补这些问题, 进行合理的改革和防护, 并进行精细化工列入研制目录之中。将《化学工业区精细化工项目消防安全技术咨询报告》作为一个模子, 来完善细化工的特性与防火间距的首要标准。
1 精细化工与基本石油化工
精细化工产品主要有两大类, 第一类是精细化工产品, 第二类是基本石油化工产品。第一类精细化工产品首要是对于石油的特定功能和用途进行划分, 多种技术密集, 额外附加值, 小量批量, 较多品种的精细化工产品, 这类精细化工产品为了不一样的工业区所大量应用的必要的消费产品和辅助产品, 这类产品有医药及涂料、试剂等功能高分子材料在内。基本石油化工产品这一类产品主要是原料经初级或者次级制作成大吨位重要化工产品, 比如苯、乙烯、甲醇、丙烯、环氧乙烷、醋酸等等产品, 是制作很多大吨位重要化工产品的中间体或者原料。精细化工产品和这些石油化工产品虽然都是化工产品, 但不同的是一者是上游产品另外一者是下游深加工产品, 两者相互依赖又有一定区别。精细化工和基本石油化工之间是延伸关系, 精细化工和基本石油化工既有相同的部分, 又有一定的区别所在。
2 火灾危险程度
在工业生产中所使用的生产过程中的产品或者副产物的成分或者原材料决定了火灾危险级别。在一些大的工园区精细化工项目中, 例如上海化工园区精细化工项目, 火灾的危险属性甲、乙类各占80%左右。有机精细化工产品基本是将石油化工进行深加工作为原材料, 一些工业精细化工加工的原材料有五百种之多的划分, 甚至一个产品原材料就多达十几种, 主要是聚氨酯、醇、烯、酮、氯、烃、烷、醚、氟、等, 有的产品还包含了一些试剂、助剂以及表面活性剂和抗氧化剂等等一些易燃的有机溶剂材料。还需要注意的一点事原料火灾危险类别即使不属于高级别, 但是副产物归类为甲类或乙类, 所以需要一视同仁。很多爆炸案都可以得出一个结论, 基本石油化工和精细化工都是易燃易爆的产品, 这是制定探析精细化工的特性与防火间距的重要环节。
3 精细化工的特性
3.1 多品种
我国目前的精细化工产品已有十万多种, 精细化工产品具有不同的特点, 根据《关于精细化工产品分类的暂行规定》, 精细化工产品包括了染料、农药、颜料、涂料 (包括油漆和油墨) 及高纯物和试剂、磁性材料、感光材料等等) 、日用化学品、化学药品和功能高分子材料、食品和饲料添加剂等等十一大类, 两万至三万的品种合计三十多个类别划分, 超过了我国的四万个化工行业产品品种一半之多。企业其精细化工产品包含农药、医药、涂料、表面活性剂、功能性高分子材料、粘胶剂、阻燃剂等六十多个品种, 十四个大类。
3.2 小规模
(1) 当今的工业精细化产品的用量不大、专用性强、效能高, 在市场中寿命比较短、有十分快的更新速度。较小批量的化工工业试剂较少, 跟较大吨位规模基本化工相比较不一样, 基本只是较大化工试剂的很少一部分, 例如上海一家精细化工企业, 这家小工业的试剂仅8t左右, 却是数千吨级的大生产规模。
(2) 一些精细化工企业设置容量较小的可燃液体储罐, 位于上海某地区的一家化工园区包含甲和乙两种类别液体储罐, 甲、乙两种储量只有200m3左右, 按照《石油化工企业设计防火规范》来区分, 只相当于条例规范的装置储罐。但是根据国家标准《建筑设计防火规范》划分可燃液体的容质量。
(3) 精细化工企业占地面积相对较小, 据统计一般精细化企业占地面只有积2-3h a左右, 更小的精细化工企业才1h a, 大的精细化工企业不到5ha, 场地都留有一定的发展用地。
3.3 操作条件温和
相比石油化工的高压高温的特点, 精细化工企业操作条件更加温和。而且多为间歇式、复配型生产。大量采用不同剂型和复配技术及其商品化的物理过程, 且精细化工企业多以封闭式厂 (库) 房建筑形式为主, 这几点特征是制定精细化工设计防火标准的基础方面。
4 精细化工防火安全间距的思考
4.1 目前状况
《建筑设计防火规范》这一类的规范没有十分清楚的区分精细化工企业之间的防火安全间距条例, 留有一定的问题和漏洞, 但是在《石油化工企业设计防火规范》中, 对于石油化工企业与其他企业和相同企业间的防火间距划分了条文规定。不足的是只是对于石油化工厂、石油生产化纤厂或储运各种石油化工产品的炼油厂等等之类的工厂进行了区分。没有较明确规划出相关内容区分。《石油化工企业设计防火规范》中规定附近工厂之间的防火间距大于40m, 相比占地少、较小规模的一些精细化工, 太大的间距导致没有很好利用可用面积。《工业项目建设用地控制指标》中相关的投资力度、容积率、建筑系数等各项指标要求也没有达到标准, 显现出制定精细化工设计防火安全标准的必要性和紧迫性。
4.2 建议
(1) 品种多, 范围广, 对精细化工企业定性明确的同时, 还需要针对定量界定, 如罐区总容量和单罐容量界定设置应该参考液化烃和可燃液体储罐的工厂。
(2) 除了制定精细化工企业之间防火安全间距外。还应该制定出精细化工企业与园区外部公共设施的防火安全间距确保附近环境的安全, 是我们义不容缓的责任。
(3) 工厂平面布置应根据不同的生产建筑形式, 即按厂房之间、厂房与开敞式生产建筑含半开敞式/全开敞式) 之间、开敞式生产建筑 (含半开敞式/全开敞式) 之间厂房之间的防火间距参照《工业项目建设用地控制指标》制定。对于甲类厂房的划分, 不应该不小于12m。厂房与开敞式生产建筑之间, 按照相关防火规定, 之间距离不应小于15m。
5 结语
综上所述, 我国产业结构处于整顿大好时机, 精细化工产业也是大好发展前程。在发展精细化工同时处理好防火间距, 是企业义不容辞的责任。
参考文献
[1]李鑫, 顿文涛, 郭延廷, 李勉, 谢黎霞, 李伟, 郭海燕, 袁超.《精细化工》课程教学改革的思考[J].科技信息.2011 (01) [1]李鑫, 顿文涛, 郭延廷, 李勉, 谢黎霞, 李伟, 郭海燕, 袁超.《精细化工》课程教学改革的思考[J].科技信息.2011 (01)
[2]许秋塘.我国精细化工的现状与发展展望 (下) [J].上海化工, 2009 (09) [2]许秋塘.我国精细化工的现状与发展展望 (下) [J].上海化工, 2009 (09)
[3]刘卫兵, 陈翠, 张庆.精细化工工艺学课程教学改革与探索[J].中国科教创新导刊, 2011 (31) [3]刘卫兵, 陈翠, 张庆.精细化工工艺学课程教学改革与探索[J].中国科教创新导刊, 2011 (31)
[4]孙玉平, 郭敏.上海精细化工产业园消防调研的思考[J].消防技术与产品信息, 2011 (04) [4]孙玉平, 郭敏.上海精细化工产业园消防调研的思考[J].消防技术与产品信息, 2011 (04)
地弹簧防火玻璃门的特性与应用 篇2
随着经济的发展, 装修要求的提高, 玻璃防火门的应用越来越多, 特别是在高层商住楼、高级办公场所、高级酒店等项目装修中, 为了达到装修和防火的效果, 经常使用玻璃防火门代替普通防火门, 用地弹簧防火玻璃门代替常规玻璃防火门, 地弹簧防火玻璃门是一种新型的防火门, 相对于其它防火门, 在生产和使用上有着其特别之处, 为了满足市场的需要, 为了满足设计方、施工方、用户和接触到此产品的人仕更清晰、更深入地了解和认识地弹簧防火玻璃门, 本文章就地弹簧防火门的特性和应用作了详细的介绍。
2 传统防火门、防火玻璃门
防火门是指能够共同提供开口部一定程度防火保护的任何防火门扇、门樘、五金及其它配件的组合体, 防火玻璃门是指在门上取用了防火玻璃, 如果采用的是小面积的玻璃视口, 普通称之为“带玻璃防火门”, 如果采用的玻璃面积较大, 则普通称之为“玻璃防火门”。
防火门有很多种类的, 比如按材料分:有木质防火门、钢质防火门、钢木防火门、防火玻璃门、其他防火门等。
木质防火门是用难燃木材或难燃木材制品作门框、门扇骨架、门扇面板, 门扇内若填充材料, 内填充对人体无毒无害的防火隔热材料, 并配以防火五金配件所组成的具有一定耐火性能的门。
钢质防火门是用钢质材料制作门框、门扇骨架和门扇面板, 门扇内若填充材料, 内填充对人体无毒无害的防火隔热材料, 并配以防火五金配件所组成的具有一定耐火性能的门。
钢木质防火门是用钢质和难燃木质材料或难燃木材制品制作门框、门扇骨架、门扇面板, 门扇内若填充材料, 内填充对人体无毒无害的防火隔热材料, 并配以防火五金配件所组成的具有一定耐火性能的门。
防火玻璃门是由钢质边框、防火板、防火密封条等制作门框, 防火玻璃制作门扇, 并配以防火五金配件组成的具有一定耐火性能的门。
其他材质防火门是指采用除钢质、难燃木材或难燃木材制品之外的无机不燃材料或部分采用钢质、难燃木材、难燃木材制品制作门框、门扇骨架、门扇面板, 门扇内若填充材料, 内填充对人体无毒无害的防火隔热材料, 并配以防火五金配件所组成的具有一定耐火性能的门。
其它的分类还有:按使用功能分有门禁防火门、室内防火门等;按技术分:有电子防火门等;
防火门的耐火性能是一种在规定的耐火试验中能够保持其完整性和隔热性能的能力。按耐火性能分类, 防火门可分为:A类防火门、B类防火门、C类防火门。耐火时间分为:0.5h、1.0h、1.5h、2.0h、3.0h。
3 传统防火门存在的不足
对木质防火门而言, 特别要注意的是木材的阻燃处理, 由于生产工艺需要, 致使原材料成本高, 而有些商家为了节省成本, 在对木材进行防火处理时, 处理不到位, 很难保证其防火质量, 致使防火门根本达不到所要求的防火效果, 质量难以保证。
铁、钢质防火门是中低档门产品开发最早, 应用面也最广, 使用时间较长。其缺点是:容易被腐蚀, 因而使用一段时间就会出现生锈、掉色, 会影响整扇门的外形美观, 造型线条坚硬, 与现代家居装饰风格不很协调。
另外传统防火门不管是钢质、木质还是钢木质, 均是使用盖板封堵门扇与门扇, 门扇与门框, 而在使用上双开门还需配上顺序器, 用户使用一段时间后经常出现顺序器损坏、盖板变形、门扇与门扇门框间隙增大等现象, 用户要么经常返修, 要么致之不理留下消防隐患。
传统的防火门使用门胶链作关门装置, 而防火门的重量较重, 致使胶链变形, 门扇关闭困难或关闭不严, 致使火灾发生时未能达到应有的消防效果, 往往这样的防火门使用不到3个月就要维修, 给用户带来不便。
4 地弹簧防火玻璃门及其优点
地弹簧防火玻璃门, 是一种新型的防火门, 它解决了普通地弹簧门不能作防火门用, 又解决了普通防火门不能制成地弹簧防火玻璃门, 是一种新型的防火门, 它是由门框钢骨架、门扇钢骨架、五金配件和防火玻璃制作门扇, 不锈钢、防火板等制作门框, 配以防火五金配件组成的具有一定耐火性能的新型防火门。
地弹簧防火玻璃门是以地弹簧作为关门装置, 地弹簧的使用稳定性、耐用性和使用寿命比闭门器强得多, 正确安装后基本上长年不需要维修, 使用寿命超过50万次, 经久耐用, 深受海内外用户的喜欢。地弹簧防火玻璃门使用地弹簧作为关门装置, 门的连接受力点在上下两点, 设计科学, 较轻易就可以连接起重质量的门, 安装调节方便, 正确安装后维修少, 使用方便。地弹簧防火玻璃门的门扇与门扇、门框与门扇之间没有主口、没有盖板, 留有空隙, 在使用时门扇与门扇、门框与门扇没有接触和碰撞, 避免了因碰撞而令门扇门框变形, 设计更加合理和人性化。门扇间的间隙设置防烟、防火密封条, 在火灾发生初期可以有效起到防烟作用, 火灾发生后随着周围的温度升高防火条膨胀, 有效切断火焰和热浪的传播, 防火效果好。地弹簧防火门是我司的一项专利, 专利号: (ZL200520065382.2) 这种新型防火门深受国内外客商欢迎, 开始被广泛使用。
地弹簧防火玻璃门的分类:
地弹簧防火玻璃门按性能分为:完全隔热地弹簧防火玻璃门 (A类) 、部分隔热地弹簧防火玻璃门 (B类) 与非隔热地弹簧防火玻璃门 (C类) 。完全隔热地弹簧防火玻璃门, 是采用隔热的门扇门框、隔热防火玻璃制作而成, 在标准的耐火试验中满足防火完整性、耐火隔热性要求的地弹簧防火门。部分隔热地弹簧防火玻璃门, 是采用隔热的门扇门框、隔热防火玻璃制作而成, 在标准的耐火试验中, 其耐火隔热性要求为不少于0.5h, 满足防火完整性、耐火隔热性要求的地弹簧防火门。非隔热地弹簧防火玻璃门, 是采用非隔热的钢骨架门扇门框、非隔热C类防火玻璃制作而成, 在标准的耐火试验中满足防火完整性的地弹簧防火门。
地弹簧防火玻璃门的耐火极限:
耐火极限:在标准耐火试验条件下, 玻璃构件从受火的作用时起, 到失去完整性或隔热性要求时止的这段时间, 地弹簧防火玻璃门的耐火极限分为以下几个等级:30分钟、60分钟、90分钟、120分钟、180分钟。具体说明如下:
A类地弹簧防火玻璃门, 又称为完全隔热地弹簧防火玻璃门, 在规定的时间内能同时满足耐火隔热性和耐火完整性要求, 耐火等级分别为0.5h (丙级) 、1.0h (乙级) 、1.5h (甲级) 和2.0h、3.0h。
B类地弹簧防火玻璃门, 又称为部分隔热地弹簧防火玻璃门, 其耐火隔热性要求为不少于0.5h, 耐火完整性等级分别为1.0h、1.5h、2.0h、3.0h。
C类地弹簧防火玻璃防火门, 又称为非隔热地弹簧防火玻璃门, 对其耐火隔热性没有要求, 在规定的耐火时间内仅满足耐火完整性的要求, 耐火完整性等级分别为1.0h、1.5h、2.0h、3.0h。
5 地弹簧防火玻璃门的耐火性试验
恒保地弹簧防火玻璃门通过国家防火建筑材料质量监督检验中心的耐火完整性、耐火隔热性试验, 防烟、防火、隔热性好, 以下是耐火试验中的检测过程图片:
检测初期, 温度迅速升高, 玻璃、门框、门扇受热, 防火条受热膨胀封堵门扇间间隙 (图1) , 随着温度的进一步升高, 受火面玻璃脱落, 防火胶层吸热发泡, 形成不透明的防火隔热层 (图2) , 防火胶进一步发泡 (图3) , 防火层发泡完全形成至密的防火隔热层, 直至失去防火完整性、防火隔热性 (图4) 。本检测案例用的是隔热型地弹簧防火玻璃门, 具有非常好的隔热性能, 向火面 (受火面) 按标准的耐火试验从200℃多开始升温, 一直到1100℃多, 背火面平均升温始终一直保持在140℃以下。直到检测试验结束时背火面仍没有变化, 保持其原有的形态。
图5是检测时向火面、背火面的升温曲线:
6 地弹簧防火玻璃门的应用
地弹簧防火玻璃门可广泛应用于写字楼、商场、机房防火分区、电梯间等有防火、隔热、防烟、隔音需求的场所。
地弹簧防火玻璃门的优点:高档、简洁、通透性好、防火、防烟、隔热、可选用密码锁、管理方便、可配备自动开启系统与消防控制中心联动。
7 结语
防火特性 篇3
网络安全问题伴随着互联网络发展一直存在, 并在不断发展和升级。在局域网频繁发生的攻击行为中, 利用ARP协议的漏洞进行攻击是主要手段之一。ARP攻击不受操作系统的限制, Windows、Linux和Unix无一幸免。目前网络安全研究大多数基于Windows操作系统, 对Linux操作系统的防护, 特别是抗ARP攻击的防御特性的研究较少[1]。首先对ARP攻击和Linux中的Netfilter工作原理进行分析, 然后详细说明了基于Netfilter防火墙的抗ARP攻击的防御特性的设计方案。
1 ARP攻击原理
ARP协议是“AddressResolutionProtocol” (地址解析协议) 的缩写。在以太网中, 主机之间的直接通信必须知道目标主机的MAC地址, 而ARP协议的基本功能就是把逻辑地址 (IP地址) 映射为物理地址 (MAC地址) , 以保证通信的顺利进行[2]。ARP协议是局域网协议, 设计之初出于传输效率的考虑, 在数据链路层没有做安全上的防范, 所以存在以下缺陷。
(1) ARP应答是无需验证的, 任何应答报文都是合法的。收到ARP应答报文的主机不会检测该应答包是否为真实主机回复, 且不在乎之前自己是否发送过ARP请求。ARP应答报文中包括了回复者的IP地址和MAC地址以及目的主机的IP地址和MAC地址。一旦主机收到ARP应答报文, 就检查高速缓存表中寻找对应于这个ARP分组的项目即回复者的IP地址记录。若找到这样的项目, 就用新的应答包中提供的MAC地址刷新原来的MAC地址。若找不到这样的项目, 就提取其中应答报文的IP地址和MAC地址创建一个新的项目。
(2) 主机的ARP高速缓存表中创建一个项目后, 该项目中的IP对应的计算机就被当作可信任的计算机, 主机不提供检验IP与MAC地址对应表真实性的机制。大多数主机保存通过ARP得到的映射, 不考虑其有效性也不维护一致性。ARP高速缓存表有可能把几个IP地址映射到同一个MAC地址上。
ARP攻击利用了ARP协议的缺陷, 通过伪造的报文刷新目的主机的ARP高速缓存表来达到攻击目的。常见的ARP协议攻击手段包括ARP欺骗攻击 (ARP-Spoofing) 和ARP洪泛攻击 (ARP-Flood) 。ARP欺骗是通过仿冒网关、中间人攻击以及攻击网关等方式达到网络监听和使受害主机无法上网或网络瘫痪等目的。ARP洪泛攻击则是通过向目的主机或路由器灌入大量的虚假ARP表项, 这些ARP表项中提供的MAC地址都是虚假的, 从而导致通信失败, 并且攻击者发送ARP报文的数量超过受害主机的处理能力, 耗尽其系统资源, 从而使正常的用户请求得不到应答, 以实现其攻击目的。
2 Netfilter工作原理
Linux中有一个功能强大的联网子系统Netfilter。Netfilter使得诸如数据包过滤、网络连接跟踪以及网络地址转换 (NAT) 等技巧成为可能, 这些功能仅通过使用内核网络代码提供的各式各样的钩子 (HOOK) 既可以完成。由于Netfilter是一个柔性的、可扩展的框架, 抗ARP攻击的防御特性正是根据此得以实现的。
2.1 Netfilter的数据包处理流程
Netfilter提供了一个抽象、通用性的框架, 在Netfilter中, 协议栈每种协议都定义了若干钩子。数据包在进入Netfilter后, 首先进行效验和、完整性检查, 然后在流过协议栈的几个关键点时被钩子函数调用, 钩子标号和数据包作为参数被传递给Netfilter钩子。通过编写内核模块可以对每种协议的一个或多个钩子进行注册, 以实现对自己的处理函数的挂接, 当数据包被传递给某个钩子时, 若内核检测到有模块对该协议和钩子进行了注册, 内核就会调用挂接在这个钩子上的处理函数。处理函数将对数据包进行丢弃、修改或者按照用户需求进行进一步处理。函数处理后, 根据一定的策略返回给内核进行下一步处理。
网络报文按照来源的方向, 可以分为三类:流入的、流出的和流经的。Netfilter根据这三类报文为ARP协议提供了三个钩子:NF ARP IN、NF ARP OUT和NF ARP FORWARD。这三个钩子掌管了全部ARP数据包的可能出入口, 只要通过编写内核对相应钩子进行注册, 使内核调用处理函数对数据包进行处理并返回一个整形常量, 内核根据该返回值对数据包进行下一步处理。Netfilter内核定义了以下五个常量: (1) NF DROP 0:丢弃此数据包, 不进行此后的处理; (2) NF ACCEPT 1:接受此数据包, 进行下一步的处理; (3) NF STOLEN 2:告诉内核, 该数据包已被处理, 不要继续传输该数据包; (4) NF QUEUE 3:排队到用户空间, 等待用户处理; (5) NF REPEAT 4:再次调用该HOOK[3]。
2.2 基于Netfilter的抗ARP攻击的防御特性框架
为了实现抗ARP攻击的防御特性, 在Netfilter中需要对以下函数进行定义。
(1) initArpDefendInit (void) :这是模块的初始化函数, 完成对钩子函数参数的指定。为了能够对数据包进行处理, Netfilter提供了接口nf register hook (structnf hook ops*reg) , 参数reg为nf hook ops结构体类型指针。内核模块在初始化时调用这个接口来注册处理函数, 而自定义的函数指针则保存在指针reg所指向的nf hook ops。可以在内核代码中netfilter.h看到结构体nf hook ops的定义。
(2) unsigned intarp in (unsignedinthooknum, structsk buff*skb, conststructnet device*in, conststructnet device*out, int (*okfn) (structsk buff*) ) :钩子函数arp in () 的定义, 该函数分别针对ARP请求和应答报文进行了相应的防御方案设计。
(3) voidexitArpDefendExit (void) :模块注销函数, 完成对钩子函数的注销。注销钩子函数, 只需要调用nf unregister hook () 函数, 并且以之前注册这个hook时用到的相同的数据结构的地址作为参数。
通过这三个函数, 就搭建起了基于Netfilter的抗ARP攻击的防御特性的框架, 通过协议栈的数据包将被钩子函数调用进行相应处理。
3 ARP欺骗和洪泛攻击防范方案设计
防范方案主要针对局域网中发起的ARP欺骗和ARP洪泛攻击进行防范, 防止被攻击者的动态ARP表项被恶意修改, 防止动态ARP表被打满而无法学习新的ARP表项。该方案包括ARP欺骗攻击防范方案和ARP洪泛攻击防范方案两部分。
3.1 ARP欺骗攻击防御方案
该方案基于不信任原则处理收到的ARP报文, 采取ARP报文过滤的原则, 进行ARP报文合法性效验: (1) ARP请求的目的MAC必须是广播; (2) ARP应答报文的目的MAC必须是单播; (3) ARP报文的报文源MAC地址必须和报文中发送者MAC地址一致。
不符合以上三点规则的ARP报文进行丢弃处理。符合合法性效验的ARP请求报文、ARP应答报文分别进入各自的处理流程:
(1) 对于ARP请求报文不主动添加ARP表项, 其防范实现流程设计如图1所示。
(2) 对于ARP应答报文不主动添加ARP表项, 其防范实现流程设计如图2所示。
(3) ARP表项添加方案
ARP表项的添加功能在本机发送报文时才能被激活。当本机发送报文进入Netfilter, 经过钩子ARP OUT时首先进行判断对应的下一跳是否有ARP表项, 若有, 直接发送;若没有, 则主动向源发送一个ARP请求;添加相应的ARP表项并打上标志STATE 1, 最后将进入Netfilter的本机发送报文丢弃。
以上方案设计中提及的状态STATE 1、STATE2区别如下:处于状态STATE 1时, 在经过相应触发后可更新MAC地址和老化时间, 或者切换至STATE 2状态;处于状态STATE 2, 在经过相应触发后可更新老化时间或切换至STATE 1状态。
3.2 ARP洪泛攻击防范方案
对于ARP-FLOOD攻击, 采用“基于MAC的速率统计”和“全局速率统计”两种处理流程相结合的方式做速率限制, 同时对可信的ARP报文不做限制。收到ARP报文后进行如下处理。
(1) 判断收到报文的源MAC是否在本机的MAC表中存在。若存在, 就进入“基于MAC的速率统计”处理流程;若不存在, 就进入“全局速率统计”处理流程。
(2) “基于MAC的速率统计”处理流程:判断设定时间内的该MAC的ARP报文个数是否超过阈值。超过阈值的话就更新MAC表中该MAC的ARP报文计数, 然后将收到的ARP报文丢弃;若没有超过阈值则更新MAC表中该MAC的ARP报文计数, 然后判断该MAC的真实性, 若该MAC可信就不再进行后续检查, 若不可信则进入“全局速率统计”处理流程。其中真实性判断的依据是该MAC在MAC表中的状态是否为STATE 1, 状态STATE1为可信。状态STATE 1已在ARP欺骗攻击防御方案中做出详细说明。
(3) “全局速率统计”处理流程:判断全局报文速率是否超标, 超标就在更新全局MAC计数后将收到的ARP报文丢弃;若没有超标则判断该MAC在MAC表中是否存在, 存在就仅更新全局MAC计数, 不再进行后续检查, 若不存在则主动向源发送一个ARP请求, 在MAC表中添加相应的ARP表项并打上标志STATE 1, 最后将收到的ARP报文丢弃。
4 结论
通过分析ARP攻击原理和Netfilter防火墙工作原理, 提出了基于Linux内核防火墙Netfilter的抗ARP攻击的防御特性的整体设计方案。通过测试表明, 设计的防火墙能对ARP欺骗和ARP洪泛攻击做出有效防御, 保证主机正常工作, 成功防止了动态ARP表项被恶意篡改, 能够将ARP-FLOOD攻击报文丢弃, 防止动态ARP表被打满。
参考文献
[1]孙名松, 刘鑫, 耿姝.基于Linux的ARP防火墙的研究与实现.自动化技术与应用, 2008;12:63—66
[2]Wehrle K, Phlke F, Ritter H, et al.The Linux networking architec-ture.US A:Prentice Hall, 2004
防火特性 篇4
关键词:Cisco ASA防火墙,网络安全,QoS 技术,NAT技术,合理性
一、介绍防火墙ASA的特性
防火墙ASA是Cisco公司的一款集防火墙、VPN集中器和入侵检测 (IDS) 于一体的安全产品。Cisco ASA防火墙是一款很出色的企业级的防火墙, 不仅提供了防火墙的基本功能, 还适用于各种的网络环境, 方便企业的管理、监控和维护。以下就是我们为您介绍防火墙Cisco ASA的特性:
(1) 防火墙Cisco ASA基本网络访问控制。防火墙Cisco ASA的应用层感知状态包过滤, 对应用层的数据进行深度过滤, 对穿越的用户进行认证, 在只有通过认证的情况下, 用户才能访问网络资源, 并且可以对用户进行授权限制其对特定资源的访问, 对系统配置的修改和对穿越防火墙的流量进行细致的审计, 并且可以把审计信息发到外部服务器, 这对于企业内部网络安全的稳定起到很大的作用。
(2) 防火墙Cisco ASA高级网络访问控制。防火墙Cisco ASA高级网络访问控制中其安全服务模块, 可以扩展IPS和有着内容过滤功能。它把IPS模块内嵌到防火墙中, 操作时只需授权激活就能使用。Cisco ASA还利用第三方的URL地址过滤服务器, 对企业内用户上网流量进行过滤, Cisco ASA使用TCP Intercept技术对Do S进行攻击防护, 使用MPF技术对特定的流量连接数进行限制。这就可以保障公司的关键应用在60个节点中可以稳定运行, 其流量不受阻碍。而且在防火墙Cisco ASA高级网络访问控制中还可以用威胁检查技术, 发现试图穿越ASA的可疑行为, 并且对攻击产生自动的抵御的功能, 维护企业网络的安全。
(3) 防火墙Cisco ASA网络整合性。防火墙Cisco ASA网络整合性, 防火墙Cisco ASA可以为一个小型网络中的客户分配地址, 也可以为一个DHCP和PPPo E的客户动态获取地址。Cisco ASA支持多种路由协议 (RIP, OSPF和EIGRP) , 这都是为保障公司机房、网络设备、服务器等安全稳定运行;和60个节点的大型企业网络部署VPN的正常运行。防火墙Cisco ASA还能够把一个物理防火墙划分为多个虚拟防火墙, 支持路由和透明两种类型的防火墙操作模式。而且防火墙还具有冗余Failover技术, 实现了防火墙的冗余。公司60个节点运行时, 当一个防火墙出现故障后, 防火墙Cisco ASA就会有备用的防火墙, 以此来满足公司网络的安全和稳定。
(4) 防火墙Cisco ASA管理特性。防火墙Cisco ASA管理特性中, 有强大的AAA管理功能, 可支持多种AAA协议对拨入ASA的各类远程访问VPN、登录ASA的管理会话和穿越ASA的网络流量进行AAA的认证、授权。防火墙Cisco ASA配备了专用的带外网管口, 可以通过这个接口实现带外网管, 还支持Object技术对网络地址和服务进行归类, 提高了配置的灵活与扩展性, 可以重复的被访问控制列表和NAT策略调用, 提高了企业的网络服务质量。
(5) 防火墙Cisco ASA的VPN特性。防火墙Cisco ASA的VPN特性包括无客户端模式SSL VPN、强大的AAA与网络准入控制、站点到站点IPSec VPN、传统L2TP over IPSec、隧道模式IPSec VPN、隧道模式SSL VPN。无客户端模式SSL VPN的客户无需安装任何的VPN客户端, 提供了很好的易用性, 使用网页游览器就能建立SSLVPN;隧道模式SSL VPN可以实现对企业内网的IP可达性;隧道模式IPSec VPN的客户易用性较差, 可以支持企业内网的IP可达性跟所有的TCP/IP运用。而且, 防火墙Cisco ASA的VPN特性可以是企业内的网络达到很好VPN部署, 维护企业网络的安全。
二、网络中NAT技术的优点
NAT技术也称为IP伪装, 是网络地址转换, 它可以将内部主机的IP地址翻译到外部网络中, 在维护企业的网络安全中起到很重要的作用。我们在企业的网络组建时, 可以安装一些代理服务器和包过滤, 这样不仅不用增加管理上的开销, 还能使企业的网络获取很好的安全性。NAT技术可以节约IP地址, 让内网共享Internet资源, 还可以使外网隐藏内网的体系结构, 增强了企业内部网络的安全性。
还有一个优点就是, 可以代替DNS系列服务器实现真正的负载平衡。基于NAT技术的负载平衡就可以避免消弱DNS服务器的作用, NAT技术设备可以负载平衡多个内部IP地址将其转化为一个合法的IP, 再把每个IP分配连接一个TCP, 然后把TCP再送到NAT设备中的下一个IP地址。NAT技术减缓了地址耗尽和缩小了路由规模, 提供了解决私有网络和Internet互联问题的方法, 维护了企业内部网络的安全。
三、防火墙ASA和NAT技术相结合的好处
防火墙在企业网络的安全管理上起到了很大的作用, 防火墙技术和NAT技术的结合, 而NAT技术可以使外部网络无法了解企业内部网络的内部结构, 极大的提高了企业内部网络的安全性。下面就为您介绍防火墙ASA和NAT技术相结合, 对企业内部网络的好处。
3.1增强企业网络的安全性
防火墙Cisco ASA设备就是专为中小企业 (SMB) 和大型企业应用开发的, 它支持更多的并发连接数、支持更多的VLAN, 还有最多25个IPSec VPN用户, 以及能够为更多区域提供安全服务。Cisco ASA防火墙作为专用VPN平台, 用于基于防火墙、入侵防御系统 (IPS) 、网络防病毒功能。在NAT内部网络、公网、中立区中都连接各自的防火墙端口, 当数据懂端口流入企业网络内部的时候, 防火墙就会对其进行过去和筛选。防火墙也将转换网络地址, 进一步的保证企业内部网络安全和正常运行。
3.2保证企业网络的VP N部署
防火墙ASA和NAT技术相结合, Cisco ASA防火墙不仅支持多种永续性, 还可以实现VPN部署的可靠性和最高性能。在Cisco ASA防火墙中, 永续性集群功能可以把VPN会话均匀地分布到Cisco ASA设备中, 因而可以实现高效地扩展远程接入部署。Cisco ASA防火墙的集中器不同型号也可以共存同一个集群, 高度灵活的容量消除了单故障点, 保护客户的投资, 它不需要外部负载的分布, 就能够分布远程接入。防火墙ASA和NAT技术相结合保证VPN部署不会变成网络攻击的导体, 如病毒、蠕虫、坏件、黑客等, 还可以控制VPN的流量和应用的访问策略, 让个人和用户组可以访问他们有权的应用和网络资源。也可以用来部署外部的无线AP, 扩展网络的移动性, 保障公司的关键应用在60个节点中可以稳定运行。
3.3节省网络的地址资源
防火墙ASA技术和NAT技术的结合, 使得企业内部网络的大量主机可以顺利的访问Internet网络, 节省了网络的地址资源。在NAT作用下的内部网络中, 通过防火墙的地址转换, 内部网络的真实IP地址得以隐藏, 黑客在不知道防火墙地址转换表的情况下是不能知道企业内部网络数据的, 因此也无法向内网中发送攻击包, 降低了黑客的入侵率, 保障公司机房还有网络设备和服务器的安全稳定运行, 使公司的内部网络得以正常。
3.4网络的安全管理更灵活
在Cisco ASA防火墙设备中, 其提供16个可以定制的管理角色, 这样使企业内部的管理员和操作员分别授予不同的访问等级, 比如对于每种设备只允许执行VPN服务配置, 或者只允许执行防火墙的服务配置, 或许监控和对配置对象的只读访问等。这样使得企业内部网络的管理上, 显得更加灵活, 使得在安排管理人员和操作人员时有更大的选择空间。可以选择更好的人员通过Qo S技术提高网络服务质量, 管理公司SAP企业管理系统的不间断服务。
3.5公司应用的稳定性得到保障
防火墙ASA技术和NAT技术的结合, 使得公司网络的基础设施建设中公司机房、网络设备、服务器都能安全稳定的运行;采用防火墙Cisco ASA在Internet平台上实现的VPN链接。在NAT技术中, 每一条进入内部网络的信息都要经过防火墙的过滤, 防火墙的网络综合性、高级访问控制、VPN特性等此时都将发挥作用, 故此, 防火墙可以防止未经授权应用对主机的访问, 确保企业内部网络的安全运行, 保障了公司的关键应用在60个节点上的稳定运行。
四、结论
由上可知, 防火墙ASA技术和NAT技术的结合, 是非常合理的, 防火墙ASA技术作为一种安全防护设备, 维护了企业网络的安全运行。而且防火墙ASA技术和NAT技术的结合, 不仅使企业内部的主机可以顺利接入Internet节省了大量的网络地址资源, 还增强了防火墙的的防御策略, 大大降低了外部网络对企业内网的攻击和破坏。
参考文献
[1]龚晓华.基于NAT的网络防护技术及安全网关的研究[J].电脑知识与技术.2009, (21)
[2]曹淼, 李健, 张烨, 李园花.基于SIP的VoIP穿透NAT方法的研究与实现[J].网络安全技术与应用.2009, (04)
[3]张园园, 郭裕顺.流量监管和流量整形技术的实现和应用[J].中国水运 (下半月刊) .2010, (11)
[4]王建新, 王捷, 徐涛, 郭振华, 董苹苹.广域网加速网关设计与实现[J].中南大学学报 (自然科学版) .2012, (10)