防火施工設(shè)計(jì)實(shí)用資料

防火施工設(shè)計(jì)實(shí)用資料(可以直接使用，可編輯優(yōu)秀版資料，歡迎下載）

一、概述防火施工設(shè)計(jì)實(shí)用資料(可以直接使用，可編輯優(yōu)秀版資料，歡迎下載）我公司結(jié)合多年來對電纜溝、電纜盒及附屬設(shè)施防火施工的施工經(jīng)驗(yàn)，嚴(yán)格按照ISO9001質(zhì)量管理體系/ISO14001環(huán)境管理體系/GB/T28001職業(yè)健康安全管理體系進(jìn)行過程監(jiān)測和控制。為保證中原油田采油三廠明一聯(lián)合站防火工程的施工質(zhì)量，根據(jù)中原油田采油三廠明一聯(lián)合站電纜防火工程情況，結(jié)合我公司多年來這方面的施工經(jīng)驗(yàn)、參照技術(shù)要求和結(jié)合現(xiàn)場實(shí)際情況,特編制本施工文件,用于嚴(yán)格指導(dǎo)本工程施工。編制依據(jù)1《火力發(fā)電廠與變電所設(shè)計(jì)防火規(guī)范》GB50229-962《電力設(shè)備典型消防規(guī)程》DL527-933《建筑設(shè)計(jì)防火規(guī)范》GB50229-964《電纜防火措施設(shè)計(jì)和施工驗(yàn)收標(biāo)準(zhǔn)》DLGJ154-20005《電力工程電纜設(shè)計(jì)規(guī)范》GB50217-936《發(fā)電廠、變電所電纜選擇與敷設(shè)設(shè)計(jì)規(guī)范》SDJ278-907《供配電系統(tǒng)設(shè)計(jì)規(guī)范》GB50166-968《鋼結(jié)構(gòu)防火涂料通用技術(shù)條件》GB14907-20029《水利水電工程設(shè)計(jì)規(guī)范》SDJ278-9010《爆炸和火災(zāi)危險(xiǎn)環(huán)境電力裝置設(shè)計(jì)規(guī)范》GB50166-92三、施工部署3.1施工人員機(jī)構(gòu)及其安排接到甲方開工通知后，我們將組織全體施工人員和管理人召開全員動(dòng)員大會(huì)，并邀請各方領(lǐng)導(dǎo)現(xiàn)場指導(dǎo)工作，作出整個(gè)工程部署和規(guī)劃工作，本著“安全第一、質(zhì)量至上”的原則，為確保工程安全、優(yōu)質(zhì)、按期、高效、順利完成，根據(jù)實(shí)際需要，決定組建“工程施工”項(xiàng)目部，負(fù)責(zé)整個(gè)工程項(xiàng)目防火工程施工管理工作，以確保工程安全、優(yōu)質(zhì)按期順利投產(chǎn)，爭創(chuàng)省優(yōu)質(zhì)工程。項(xiàng)目組織機(jī)構(gòu)：項(xiàng)目經(jīng)理項(xiàng)目經(jīng)理施工各班組項(xiàng)目副經(jīng)理項(xiàng)目總工（技術(shù)負(fù)責(zé)人）施工隊(duì)長技術(shù)員計(jì)劃員質(zhì)檢員材料員預(yù)算員保管員財(cái)務(wù)員ISO管理部工程技術(shù)部質(zhì)安部綜管部物資部安全環(huán)保員3.2施工人員的準(zhǔn)備接到施工通知后，成立以公司項(xiàng)目經(jīng)理為主的施工隊(duì)伍，由公司指派一名主抓工程施工的公司副經(jīng)理作為項(xiàng)目經(jīng)理親自帶隊(duì)，再配備2名公司管理人員前往工地，保證在工程開工時(shí)全部工作人員提前一周進(jìn)駐工地，充分作好施工的一切準(zhǔn)備。32.1勞動(dòng)力計(jì)劃安排（見下表）具體的勞動(dòng)力配置根據(jù)安裝施工進(jìn)度和甲方對工期的要求合理按排和調(diào)配。按我公司的裝備能力，根據(jù)工程量、特殊工序施工難度、潛在問題、工程成本控制的需要施工器具和人員可以隨時(shí)增減，我們有能力按照業(yè)主的要求按期完工。時(shí)期數(shù)量工種按工程施工階段投入勞動(dòng)力情況初始期高峰期竣工期噴涂工131切割工232涂裝工343配合工222電工111合計(jì)9139序號姓名性別年齡身份證號職務(wù)從事專業(yè)年限專業(yè)資格證書編號1宗志峰男33項(xiàng)目經(jīng)理1003112301072樊鳳軒男36工程師1203112301133郭理強(qiáng)男28技術(shù)員303112301234郭玉豪男28預(yù)算員403112301245郭增臣男42質(zhì)檢員1300112301876韓洪朝男41安全員1000112301997韓西勝男32材料員300112318高紅敏女25資料員300112303033.3技術(shù)準(zhǔn)備防火工程施工應(yīng)具備完整的施工資料和設(shè)計(jì)文件。3.3施工單位對施工材料文件進(jìn)行自審、專業(yè)審核和綜合會(huì)審，并及時(shí)對所提出的問題給予解決，結(jié)合工程實(shí)際情況，提出施工方案并進(jìn)行技術(shù)交底。3.3.4防火施工組織準(zhǔn)備3.43.5.施工現(xiàn)場準(zhǔn)備現(xiàn)場準(zhǔn)備主要有：施工臨時(shí)設(shè)施、施工機(jī)具、施工材料、檢測儀器、施工用電以及必要的消防器材。3.5.3準(zhǔn)備足夠的檢查和檢測儀器和施工工具。材料分類存放，室內(nèi)應(yīng)設(shè)置防爆照明。3.6、施工機(jī)械設(shè)備、檢測儀器計(jì)劃配置本工程擬投入的機(jī)械設(shè)備情況一覽表序號機(jī)械或設(shè)備名稱型號規(guī)格數(shù)量國別產(chǎn)地制造年份1漆膜測厚儀器FT-Q31鄭州20072臺(tái)秤大號1長垣20073壁紙刀中號3長垣20074剪刀中號3長垣20075橡膠手套中號20新鄉(xiāng)20076護(hù)目鏡中號15長垣20077軸流風(fēng)機(jī)7.5kW6江蘇20028角向磨光機(jī)MGJ～25河南20079切割機(jī)250L5河南20033.7、材料采購及供應(yīng)計(jì)劃3.7.1一旦接到施工3.7.2測算工程材料用量，材料應(yīng)分批采購，第一批計(jì)劃采購本工程用量的3.7.3第二批采購工程用量的30%，并在第一批材料使用3.73.7從公司合格供方名錄中選擇材料廠家從公司合格供方名錄中選擇材料廠家簽訂供貨合同書材料管理員采購施工用主材及輔材我公司質(zhì)檢人員對材料全面質(zhì)量驗(yàn)收及輔材材料運(yùn)輸?shù)浆F(xiàn)場甲方質(zhì)檢人員檢查驗(yàn)收入施工現(xiàn)場材料庫四、電線電纜發(fā)生火險(xiǎn)特點(diǎn)4.1、起火迅速，火勢兇猛，極易蔓延擴(kuò)大。電線電纜無論是塑絕緣、橡皮絕緣，還是油侵線絕緣，其絕緣層或護(hù)套層大都是高分子有機(jī)材料，本身就是一種可燃物，尤其是發(fā)電廠、化工廠、鋼鐵廠、通信樞紐、高層建筑及地下鐵道等使用數(shù)量多，在電纜夾層、電纜隧道、電纜豎井和電纜排價(jià)等處都是集束敷設(shè)，有的還處在高溫、粉塵、腐蝕、潮濕的環(huán)境中，再加上電纜豎井形成的自然通風(fēng)，即煙囪效應(yīng)，一旦發(fā)生火災(zāi)，就會(huì)迅速燃燒，很快蔓延擴(kuò)大，而且火勢兇猛，不易控制。4.2、煙火有毒，撲救困難，且伴有二次危害產(chǎn)生。絕緣電線電纜線路著火燃燒時(shí)產(chǎn)生大量煙氣，其中一氧化炭、二氧化碳含量很高，特別是普通塑料電纜不僅容易著火，而且產(chǎn)生氯化氫氣體，當(dāng)它們達(dá)到一定濃度后，就會(huì)危及人的生命安全。另外氯化氫氣體通過縫隙、孔洞會(huì)附著在電氣裝置、自動(dòng)控制設(shè)備和監(jiān)測儀表上，溶于水后成為稀鹽酸，形成一層導(dǎo)電膜，嚴(yán)重降低了電氣設(shè)備、電子儀器和電氣線路的絕緣，使之無法正常運(yùn)行，造成二次危害。4.3損失嚴(yán)重，恢復(fù)時(shí)間長，電線電纜火災(zāi)事故，造成嚴(yán)重?fù)p失的同時(shí)，還有它的特殊危害性，就是控制回路失靈，使事故進(jìn)一步擴(kuò)大，甚至損壞主設(shè)備并造成人員重大傷亡，且修復(fù)十分困難。據(jù)對全國電線電纜發(fā)生火災(zāi)事故的調(diào)查，修復(fù)時(shí)間最長達(dá)2年之久。五、材料性能特點(diǎn)5.1、4.1YA-BFG型不燃防火隔板是由玻璃纖維布增強(qiáng)無機(jī)材料和無機(jī)粘結(jié)劑制成的新式防火產(chǎn)品，主要適用于多層電纜支架間的耐火分隔或電纜貫穿孔洞處的阻火分隔，該產(chǎn)品不僅質(zhì)輕強(qiáng)度高，且利于現(xiàn)場安裝時(shí)的切、鋸等加工，安裝使用方便。5.2、S60-I電纜防火涂料是涂敷于電纜表面的膨脹型防火涂層，當(dāng)受到火星或火種作用時(shí)，很難被引燃，當(dāng)受到高溫或明火作用時(shí)，涂層則吸收熱能，其中部分物質(zhì)因熱分解，高速率地產(chǎn)生不燃?xì)怏wCO2和水蒸氣，使涂層薄膜發(fā)泡，慢慢鼓起，形成致密的碳化發(fā)泡。該泡沫具有排除氧氣和對電纜基材的隔熱作用，從而阻止了熱量傳遞，推遲了電纜著火時(shí)間，在一定條件下還可將火阻熄，產(chǎn)生白色乳狀體。

5、3、防火包形如枕頭狀，外包裝由編織緊密、經(jīng)特殊處理的玻璃纖維組成，內(nèi)部填充無機(jī)不燃型材料及特種添加劑。1)防火包與有機(jī)防火、防火隔板等組合使用，可用于下列場所：a)電纜穿樓板孔洞、穿墻孔洞封堵；b)構(gòu)筑阻火墻、阻火段；c)豎井及槽盒端頭封堵。2)特殊適用于電纜經(jīng)常變更的場所或作為施工中的臨時(shí)防火措施。3)適用于戶內(nèi)外各種環(huán)境條件。5.4、RXF有機(jī)防火堵料（防火泥）其主要特點(diǎn)是具有可塑性，施工、維修時(shí)比較方便；具有良好的阻火、堵煙功能，耐火時(shí)間達(dá)到3小時(shí)；主要用于電線電纜等貫穿件過墻、樓板等孔洞封堵，能有效的防止電線電纜發(fā)生火災(zāi)時(shí)由孔洞向鄰市蔓延，避免事故的擴(kuò)大。(1)有機(jī)防火堵料(俗稱“防火泥”)。以合成樹脂作粘接劑,配以防火劑、填料等經(jīng)碾壓而成的材料,產(chǎn)品分為膨脹型(5倍～10倍)和非膨脹型兩種。具有可塑性和柔韌性;長久不固化,可以切割、搓揉,封堵各種形狀的孔洞,施工、維修比較方便。為保證如電纜類貫穿物的散熱性,可以使用膨脹型堵料,不必封堵嚴(yán)密。當(dāng)火災(zāi)發(fā)生時(shí),堵料膨脹,將縫隙或較小的孔口封堵嚴(yán)密,有效地阻止火災(zāi)蔓延和煙氣的傳播。有些耐火時(shí)間可達(dá)3h,這種堵料主要用于管道或電線、電纜貫穿孔洞的防火封堵工程中,多數(shù)情況下與無機(jī)防火堵料、阻火包配合使用。使用時(shí)將該堵料揉勻后均勻地嵌滿孔洞。5.5、無機(jī)防火堵料,也稱速固防火堵料。是以快干水泥為基料,配以防火劑、耐火材料等經(jīng)研磨、混合均勻而成。該防火堵料無毒,無氣味,有較好的耐水、耐油性能,施工方法簡單。其氧指數(shù)為100,系不燃材料。耐火時(shí)間可達(dá)3h以上。產(chǎn)品對管道或電線、電纜貫穿孔洞,尤其是較大的孔洞、樓層間孔洞的封堵效果較好。它不僅具有所需的耐火極限,而且還具有較高的機(jī)械強(qiáng)度。在封堵時(shí),管道或電線、電纜表皮需要堵一層有機(jī)堵料配合,以便貫穿物的檢修和更換。該堵料在施工時(shí)先根據(jù)需封堵孔洞的大小,估算堵料的用量,然后把堵料放人容器內(nèi)按1∶(0.6～0.7)的比例加入清水?dāng)嚢璩珊隣盍⒓词褂?如用量較大時(shí),通常分?jǐn)?shù)次完成。每次攪拌量在5kg左右。對較大的孔洞封堵時(shí),可用適量的鋼筋以增加其強(qiáng)度,封堵厚度根據(jù)需要確定,一般不少于15cm。六、施工方案根據(jù)現(xiàn)行的電纜防火規(guī)程規(guī)范和電線電纜夾層電纜防火設(shè)計(jì)和施工的幾種類型，以及幾年來參與電纜防火工程設(shè)計(jì)、現(xiàn)場實(shí)際施工的經(jīng)驗(yàn)，提出以下電纜夾層電纜防火設(shè)計(jì)和施工的方案。6.1在電纜夾層內(nèi)，對所有電纜穿越樓板和墻壁孔洞進(jìn)行嚴(yán)密的陰火封堵。防火隔板根據(jù)電纜隧道的規(guī)格裁料，用專用螺絲（或膨脹螺絲）將其固定在鋼橋架上。防火隔板下料應(yīng)精量尺寸，防火隔板與隧道邊沿用無機(jī)防火堵料封閉，電纜支架上的電纜，則電纜層間用防火隔板進(jìn)行阻火分隔，每隔兩層電纜裝設(shè)防火隔板每30～60米要設(shè)一道防火墻和防火門，豎井中分層設(shè)置防火隔板，電力電纜與控制電纜之間應(yīng)設(shè)防火隔板等。另外，夾層中的電纜在水平方向上每一直線段的兩端裝設(shè)一套2m長防火槽盒(防火槽盒的兩端用柔性堵料嚴(yán)密封堵)，作為防火區(qū)段。防火封堵由防火隔板、耐火柔性堵料和速固堵料構(gòu)成，柔性堵料包在電纜周圍厚度不得小于3cm6.2對自盤柜穿過樓板下來的豎向電纜應(yīng)涂刷防火涂料，以增加該處阻火區(qū)段的長度，減少火災(zāi)發(fā)生時(shí)對主控室盤柜電纜和電器熱量的輻射。這部分的電纜也設(shè)想過裝入防火槽盒，但由于自盤柜穿過樓板下來的電纜較為凌亂，不易裝入防火槽盒內(nèi)。防火涂料涂刷工藝：電纜表面清理自檢合格刷涂S60-I膨脹型電纜防火涂第一遍檢驗(yàn)合格刷涂S60-I膨脹型電纜防火涂料第二遍檢驗(yàn)合格刷涂S60-I膨脹型電纜防火涂料第三遍檢驗(yàn)合格刷涂S60-I膨脹型電纜防火涂料第四遍交工驗(yàn)收（總干膜厚度≥1㎜）6.3電纜豎井的上、下兩端口及進(jìn)出電纜的孔洞應(yīng)進(jìn)行防火封堵：1)敷設(shè)110kV以下電纜的豎井，當(dāng)高度大于7m時(shí)，宜每隔7m進(jìn)行防火封堵；宜在豎井的每一樓層處進(jìn)行防火封堵。2)敷設(shè)110kV及以上電纜的豎井，在同一井道內(nèi)敷設(shè)2回及以上電纜時(shí)，不同回路之間應(yīng)用防火隔板進(jìn)行分割；當(dāng)高度較大時(shí)，豎井中間可每隔60m～100m設(shè)一封堵層。3)當(dāng)豎井內(nèi)設(shè)有固定式水噴霧等滅火系統(tǒng)時(shí)，豎井內(nèi)的防火封堵可不受上述要求的限制。4)電纜豎井封堵應(yīng)采用防火封堵材料、防火隔板等防火材料組合封堵。封堵層應(yīng)能承受巡視人員的荷載?；顒?dòng)人孔可采用承重型防火隔板制作。5）電纜進(jìn)入盤、柜、屏、臺(tái)的孔洞應(yīng)采用防火封堵材料、防火隔板和防火涂料等防火材料組合封堵，洞口一側(cè)電纜宜涂刷防火涂料或纏繞阻燃包帶，長度不小于1m。七、施工進(jìn)度及工期保證措施7.1工期：按照甲方工期要求。7.2進(jìn)度：施工前根據(jù)甲方的進(jìn)度計(jì)劃網(wǎng)絡(luò)及甲方的進(jìn)度要求制定相應(yīng)的進(jìn)度計(jì)劃網(wǎng)絡(luò)，進(jìn)行施工進(jìn)度的安排與實(shí)施。7.3、保證工期措施7.3.1、7.3.2、7.3.3、7.3.4、7.3.5、運(yùn)用科學(xué)手段管理工程。以招標(biāo)方的控制進(jìn)度為依據(jù)，編制詳7.3.6、八、質(zhì)量管理控制體系8.1.質(zhì)量方針精心施工，優(yōu)質(zhì)服務(wù)，提供滿足合同需求的產(chǎn)品。8.2.質(zhì)量目標(biāo)工程合格率達(dá)100%，工程優(yōu)良率達(dá)98%以上。8.3.質(zhì)量體系建立基本原則8.3.1我方將充分理解發(fā)包方在質(zhì)量、工期及其它方面的需求，努力滿足發(fā)包方要求并爭取超越發(fā)包方的期望。8.3.2管理者是工程項(xiàng)目質(zhì)量體系有效運(yùn)行的決定性因素，我方在建立質(zhì)量體系過程中將充分發(fā)揮各級管理部門的作用，明確各級各崗位質(zhì)量職責(zé)和權(quán)限，使工程項(xiàng)目的管理者將質(zhì)量方針、質(zhì)量目標(biāo)和內(nèi)、外部環(huán)境有機(jī)地統(tǒng)一起來，創(chuàng)造全體員工都能充分參與實(shí)現(xiàn)質(zhì)量目標(biāo)的良好環(huán)境。8.3.3將充分調(diào)動(dòng)全體員工共同參與質(zhì)量工作的積極性，充分發(fā)揮其聰明才干為工程質(zhì)量做出應(yīng)有的貢獻(xiàn)，確保穩(wěn)定、優(yōu)良的工程質(zhì)量。8.3.4從施工階段開始，包括人員進(jìn)場、原材料采購、設(shè)備材料進(jìn)貨檢驗(yàn)、施工，直至完工退場、工程保證等全過程科學(xué)地分成若干子過程進(jìn)行控制，將質(zhì)量目標(biāo)逐項(xiàng)分解，從而確保總的質(zhì)量目標(biāo)順利實(shí)現(xiàn)。8.3.5針對設(shè)定的質(zhì)量目標(biāo)，對質(zhì)量體系實(shí)施系統(tǒng)管理，努力提高質(zhì)量體系整體運(yùn)行的有效性和效率。8.3.6持續(xù)改進(jìn)是質(zhì)量體系建設(shè)永恒的目標(biāo)，是質(zhì)量體系不斷健全和完善的內(nèi)在動(dòng)力。8.3.7對工程施工過程中的質(zhì)量信息和資料進(jìn)行收集、整理，并應(yīng)用數(shù)理統(tǒng)計(jì)技術(shù)進(jìn)行邏輯分析和判斷，為質(zhì)量管理科學(xué)決策提供事實(shí)依據(jù)。8.4.質(zhì)量保證體系為保證工程施工進(jìn)度和質(zhì)量目標(biāo)的順利實(shí)施，公司組織建立本項(xiàng)目質(zhì)量保證體系（見下圖），并在項(xiàng)目經(jīng)理領(lǐng)導(dǎo)下獨(dú)立行使其職能。項(xiàng)目經(jīng)理是工程質(zhì)量第一責(zé)任人，質(zhì)檢科及專業(yè)技術(shù)人員專職施工過程中的監(jiān)督與檢查，嚴(yán)格按ISO9001質(zhì)量體系及公司（質(zhì)量/環(huán)境/職業(yè)健康安全）《管理手冊》及公司（質(zhì)量/環(huán)境/職業(yè)健康安全）《程序文件匯編》中的標(biāo)準(zhǔn)、規(guī)范進(jìn)行施工管理。項(xiàng)目部對工程施工過程中每道工序進(jìn)行監(jiān)督檢驗(yàn)和檢查，確保工程質(zhì)量達(dá)到技術(shù)要求。項(xiàng)目質(zhì)量保證體系圖項(xiàng)目經(jīng)理項(xiàng)目經(jīng)理各班班長工程師SHAPE各班班長工程師施工班長運(yùn)輸班長材料管理員施工班長運(yùn)輸班長材料管理員施工方案施工方案中間檢查竣工驗(yàn)收質(zhì)保工程師中間檢查竣工驗(yàn)收質(zhì)保工程師技術(shù)交底技術(shù)交底崗前培訓(xùn)崗前培訓(xùn)8.5.組織措施..28.6.質(zhì)量管理.28.6.3認(rèn)真及時(shí)做好“三檢一評”工作。“三檢”即自檢、互檢、專業(yè)檢，“一評”.5的試驗(yàn)，督察評定工作。108.6.10九、安全管理控制體系9.1.控制目標(biāo).2事故發(fā)生頻率小于8‰9.2.安全保證組織措施.2認(rèn)真貫徹安全管理制度，在任何時(shí)候任何情況下都要始終如一地堅(jiān)持“安全第一”..安全技術(shù)措施9.3.1嚴(yán)格執(zhí)行國19.3.1安全事故應(yīng)急（預(yù)案）組織機(jī)構(gòu)圖領(lǐng)導(dǎo)小組組長（項(xiàng)目經(jīng)理兼）領(lǐng)導(dǎo)小組組長（項(xiàng)目經(jīng)理兼）醫(yī)療救治組組織協(xié)調(diào)組安全保衛(wèi)組現(xiàn)場搶救組后勤服務(wù)組副組長(技術(shù)負(fù)責(zé)人兼)副組長(安全負(fù)責(zé)人兼)醫(yī)療救治組組織協(xié)調(diào)組安全保衛(wèi)組現(xiàn)場搶救組后勤服務(wù)組副組長(技術(shù)負(fù)責(zé)人兼)副組長(安全負(fù)責(zé)人兼)9.4.現(xiàn)場施工管理8十、工期保證方案工期承諾：若我公司中標(biāo)，我方將按貴方要求開竣工日期進(jìn)行施工，建立完善的進(jìn)度保證體系，做好人員合理的安排、后勤供應(yīng)、特殊時(shí)期施工措施，積極做好與貴方的現(xiàn)場配合工作，保證能夠按質(zhì)提前完成本項(xiàng)施工任務(wù)。10.1.用科學(xué)的方法編制總進(jìn)度計(jì)劃10.1.1編制作業(yè)計(jì)劃和施工任務(wù)書.310.2.實(shí)行項(xiàng)目經(jīng)理例會(huì)制度.2協(xié)調(diào)主要工程和附表工程、主要次序和次要次序、主要事件和次要事件之間的關(guān)系，本著“有主有次，確定重點(diǎn)”10.2.310.2.4十一、竣工資料：11.1．開工報(bào)告；11.2.施工總結(jié)及現(xiàn)場施工總結(jié)記錄；11.3.工程實(shí)施進(jìn)度及措施記錄；11.4.工程質(zhì)量檢查記錄和單元工程質(zhì)量評定表；11.5.設(shè)計(jì)變更書和材料換用通知；11.6.竣工報(bào)告；目錄TOC\o"1-2"\h\u1.課題研究的目的和意義 11.1防火墻安全控制的背景 11.2防火墻安全控制的目的 11.3防火墻安全控制的意義 22.防火墻安全控制程序原理 42.1防火墻安全控制概念 42.2防火墻安全控制基本原理 42.3防火墻安全控制常用技術(shù) 52.4防火墻安全控制程序的IP過濾功能 7A3.防火墻安全控制程序總體結(jié)構(gòu) 93.1防火墻安全控制程序設(shè)計(jì)整體架構(gòu) 93.2防火墻安全控制拓?fù)鋱D及其分析 93.3防火墻防火墻安全控制部署方案 114.防火墻安全控制程序詳細(xì)設(shè)計(jì) 144.1開發(fā)環(huán)境 144.2防火墻安全控制程序的實(shí)現(xiàn)方法 144.3主要模塊的程序?qū)崿F(xiàn) 155.系統(tǒng)結(jié)果與分析 186.總結(jié)與展望 206.1總結(jié) 206.2展望 20參考文獻(xiàn) 221.課題研究的目的和意義1.1防火墻安全控制的背景據(jù)了解，從1997年底至今，我國的政府部門、證券公司、銀行等機(jī)構(gòu)的計(jì)算機(jī)網(wǎng)絡(luò)相繼遭到多次攻擊。公安機(jī)關(guān)受理各類信息網(wǎng)絡(luò)違法犯罪案件逐年劇增，尤其以電子郵件、特洛伊木馬、文件共享等為傳播途徑的混合型病毒愈演愈烈。由于我國大量的網(wǎng)絡(luò)基礎(chǔ)設(shè)施和網(wǎng)絡(luò)應(yīng)用依賴于外國的產(chǎn)品和技術(shù)，在電子政務(wù)、電子商務(wù)和各行業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用尚處于發(fā)展階段，以上這些領(lǐng)域的大型計(jì)算機(jī)網(wǎng)絡(luò)工程都由國內(nèi)一些較大的系統(tǒng)集成商負(fù)責(zé)。有些集成商仍缺乏足夠?qū)I(yè)的安全支撐技術(shù)力量，同時(shí)一些負(fù)責(zé)網(wǎng)絡(luò)安全的工程技術(shù)人員對許多潛在風(fēng)險(xiǎn)認(rèn)識不足。缺乏必要的技術(shù)設(shè)施和相關(guān)處理經(jīng)驗(yàn)。也正是由于受技術(shù)條件的限制，很多人對網(wǎng)絡(luò)安全的意識僅停留在如何防范病毒階段，對網(wǎng)絡(luò)安全缺乏整體意識。隨著網(wǎng)絡(luò)的逐步普及，網(wǎng)絡(luò)安全的問題已經(jīng)日益突。它關(guān)系到互連網(wǎng)的進(jìn)一步發(fā)展和普及，甚至關(guān)系著互連網(wǎng)的生存。目前在互連網(wǎng)上大約有將近80%以上的用戶曾經(jīng)遭受過黑客的困擾，而與此同時(shí)，更讓人不安的是，互連網(wǎng)上病毒和黑客的聯(lián)姻、不斷增多的黑客網(wǎng)站，使學(xué)習(xí)黑客技術(shù)、獲得黑客攻擊工具變的輕而易舉。這樣，使原本就十分脆弱的互連網(wǎng)越發(fā)顯得不安全。1.2防火墻安全控制的目的一般的防火墻都可以達(dá)到以下目的：①限制他人進(jìn)入內(nèi)部網(wǎng)絡(luò)，過濾掉不安全的服務(wù)和非法用戶；②防止入侵者接近內(nèi)部網(wǎng)絡(luò)的防御設(shè)施；③限制人們訪問特殊站點(diǎn)；④為監(jiān)視Internet安全提供方便。由于防火墻是一種被動(dòng)技術(shù)，因此對內(nèi)部的非法訪問難以有效控制，防火墻適合于相對獨(dú)立的網(wǎng)絡(luò)。由于防火墻是網(wǎng)絡(luò)安全的一個(gè)屏障，因此一個(gè)防火墻能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)來降低風(fēng)險(xiǎn)。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)安全環(huán)境變得更安全。例如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進(jìn)出受保護(hù)的網(wǎng)絡(luò)，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)。防火墻還可以同時(shí)保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊。而網(wǎng)絡(luò)安全控制是指網(wǎng)絡(luò)系統(tǒng)的硬、軟件及系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然或惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)、可靠、正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)具有的復(fù)雜性和多樣性，使得計(jì)算機(jī)和網(wǎng)絡(luò)安全成為一個(gè)需要持續(xù)更新和提高的領(lǐng)域。1.3防火墻安全控制的意義現(xiàn)在網(wǎng)絡(luò)的觀念已經(jīng)深入人心，越來越多的人們通過網(wǎng)絡(luò)來了解世界，人們的日常生活也越來越依靠網(wǎng)絡(luò)進(jìn)行。同時(shí)網(wǎng)絡(luò)攻擊也愈演愈烈，時(shí)刻威脅著用戶上網(wǎng)安全，網(wǎng)絡(luò)與信息安全已經(jīng)成為當(dāng)今社會(huì)關(guān)注的重要問題之一。正是因?yàn)榘踩{的無處不在，為了解決這個(gè)問題防火墻出現(xiàn)了。在互連網(wǎng)上防火墻是一種非常有效的網(wǎng)絡(luò)安全模型，通過它可以隔離風(fēng)險(xiǎn)區(qū)域(即Internet或有一定風(fēng)險(xiǎn)的網(wǎng)絡(luò))與安全區(qū)域(局域網(wǎng))的連接，同時(shí)不會(huì)妨礙人們對風(fēng)險(xiǎn)區(qū)域的訪問，而有效的控制用戶的上網(wǎng)安全。防火墻是實(shí)施網(wǎng)絡(luò)安全控制得一種必要技術(shù)，它是一個(gè)或一組系統(tǒng)組成，它在網(wǎng)絡(luò)之間執(zhí)行訪問控制策略。實(shí)現(xiàn)它的實(shí)際方式各不相同，但是在原則上，防火墻可以被認(rèn)為是這樣同一種機(jī)制：攔阻不安全的傳輸流，允許安全的傳輸流通過。特定應(yīng)用程序行為控制等獨(dú)特的自我保護(hù)機(jī)制使它可以監(jiān)控進(jìn)出網(wǎng)絡(luò)的通信信息，僅讓安全的、核準(zhǔn)了的信息進(jìn)入；它可以限制他人進(jìn)入內(nèi)部網(wǎng)絡(luò)，過濾掉不安全服務(wù)和非法用戶；它可以封鎖特洛伊木馬，防止機(jī)密數(shù)據(jù)的外泄；它可以限定用戶訪問特殊站點(diǎn)，禁止用戶對某些內(nèi)容不健康站點(diǎn)的訪問；它還可以為監(jiān)視互聯(lián)網(wǎng)的安全提供方便。現(xiàn)在國外的優(yōu)秀防火墻不但能完成以上介紹的基本功能，還能對獨(dú)特的私人信息保護(hù)如防止密碼泄露、對內(nèi)容進(jìn)行管理以防止小孩子或員工查看不合適的網(wǎng)頁內(nèi)容，允許按特定關(guān)鍵字以及特定網(wǎng)地進(jìn)行過濾等、同時(shí)還能對DNS緩存進(jìn)行保護(hù)、對Web頁面的交互元素進(jìn)行控制如過濾不需要的GIF，F(xiàn)lash動(dòng)畫等界面元素。隨著時(shí)代的發(fā)展和科技的進(jìn)步防火墻功能日益完善和強(qiáng)大，但面對日益增多的網(wǎng)絡(luò)安全威脅防火墻仍不是完整的解決方案。但不管如何變化防火墻仍然是網(wǎng)絡(luò)安全必不可少的工具之一。2.防火墻安全控制程序原理2.1防火墻安全控制概念防火墻【1】的本義原是指古代人們在建造木制結(jié)構(gòu)的房屋時(shí)，為防止火災(zāi)時(shí)不會(huì)蔓延到別的房屋而在房屋周圍堆砌的石塊，而計(jì)算機(jī)網(wǎng)絡(luò)中所說的防火墻，是指隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)，是這一類防范措施的總稱。所謂防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障.是一種獲取安全性方法的形象說法，它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個(gè)安全網(wǎng)關(guān)【2】（SecurityGateway），從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務(wù)訪問規(guī)則、驗(yàn)證工具、包過濾和應(yīng)用網(wǎng)關(guān)4個(gè)部分組成，防火墻就是一個(gè)位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件或硬件。該計(jì)算機(jī)流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過此防火墻。2.2防火墻安全控制基本原理最簡單的防火墻是以太網(wǎng)橋，一些應(yīng)用型的防火墻只對特定類型的網(wǎng)絡(luò)連接提供保，還有一些基于硬件的防火墻產(chǎn)品其實(shí)應(yīng)該歸入安全路由器一類。因?yàn)樗麄兊墓ぷ鞣绞蕉际且粯拥模悍治龀鋈敕阑饓Φ臄?shù)據(jù)包，決定接受還是拒絕。所有的防火墻都具有IP地址過濾功能。這項(xiàng)任務(wù)要檢查IP包頭，根據(jù)其IP源地址和目標(biāo)地址作出放行／丟棄決定。防火墻就如一道墻壁，把內(nèi)部網(wǎng)絡(luò)（也稱私人網(wǎng)絡(luò)）和外部網(wǎng)絡(luò)（也稱公共網(wǎng)絡(luò)）隔離開，起到區(qū)域網(wǎng)絡(luò)不同安全區(qū)域的防御性設(shè)備的作用。例如：互聯(lián)網(wǎng)絡(luò)（internet）與企業(yè)內(nèi)部網(wǎng)絡(luò)（intranet）之間，如圖2-1所示。圖2-1內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)其中DMZ(demilitarizedzone)【3】的縮寫中文名稱為“隔離區(qū)”，也稱“非軍事化區(qū)”。它是為了解決安裝防火墻后外部網(wǎng)絡(luò)不能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題，而設(shè)立的一個(gè)非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)，這個(gè)緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi)，在這個(gè)小網(wǎng)絡(luò)區(qū)域內(nèi)可以放置一些必須公開的服務(wù)器設(shè)施，如企業(yè)Web服務(wù)器、FTP服務(wù)器和論壇等。另一方面，通過這樣一個(gè)DMZ區(qū)域，更加有效地保護(hù)了內(nèi)部網(wǎng)絡(luò)，因?yàn)檫@種網(wǎng)絡(luò)部署，比起一般的防火墻方案，對攻擊者來說又多了一道關(guān)卡。根據(jù)已經(jīng)設(shè)置好的安全規(guī)則，決定是允許（allow）或者拒絕（deny）內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的連接，如圖2-2所示。2.3防火墻安全控制常用技術(shù)防火墻技術(shù)網(wǎng)絡(luò)安全所說的防火墻(FireWall)是指內(nèi)部網(wǎng)和外部網(wǎng)之間的安全防范系統(tǒng)。它使得內(nèi)部網(wǎng)絡(luò)與因特網(wǎng)之間或與其它外部網(wǎng)絡(luò)之間互相隔離、限制網(wǎng)絡(luò)互訪，用來保護(hù)內(nèi)部網(wǎng)絡(luò)。防火墻通常安裝在內(nèi)部網(wǎng)與外部網(wǎng)的連接點(diǎn)上。所有來自Internet（外部網(wǎng)）的傳輸信息或從內(nèi)部網(wǎng)發(fā)出的信息都必須穿過防火墻。圖2-2內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的連接數(shù)據(jù)加密技術(shù)數(shù)據(jù)加密【4】技術(shù)就是對信息進(jìn)行重新編碼，從而隱藏信息內(nèi)容，使非法用戶無法獲取信息、的真實(shí)內(nèi)容的一種技術(shù)手段。數(shù)據(jù)加密技術(shù)是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性，防止秘密數(shù)據(jù)被外部破析所采用的主要手段之一。數(shù)據(jù)加密技術(shù)按作用不同可分為數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)傳輸、數(shù)據(jù)完整性的鑒別以及密匙管理技術(shù)4種。數(shù)據(jù)存儲(chǔ)加密技術(shù)是以防止在存儲(chǔ)環(huán)節(jié)上的數(shù)據(jù)失密為目的，可分為密文存儲(chǔ)和存取控制兩種;數(shù)據(jù)傳輸加密技術(shù)的目的是對傳輸中的數(shù)據(jù)流加密，常用的有線路加密和端口加密兩種方法;數(shù)據(jù)完整性鑒別技術(shù)的目的是對介入信息的傳送、存取、處理人的身份和相關(guān)數(shù)據(jù)內(nèi)容進(jìn)行驗(yàn)證，達(dá)到保密的要求，系統(tǒng)通過對比驗(yàn)證對象輸入的特征值是否符合預(yù)先設(shè)定的參數(shù)，實(shí)現(xiàn)對數(shù)據(jù)的安全保護(hù)。系統(tǒng)容災(zāi)技術(shù)集群技術(shù)是一種系統(tǒng)級的系統(tǒng)容錯(cuò)技術(shù)，通過對系統(tǒng)的整體冗余和容錯(cuò)來解決系統(tǒng)任何部件失效而引起的系統(tǒng)死機(jī)和不可用問題。集群系統(tǒng)可以采用雙機(jī)熱備份、本地集群網(wǎng)絡(luò)和異地集群網(wǎng)絡(luò)等多種形式實(shí)現(xiàn)，分別提供不同的系統(tǒng)可用性和容災(zāi)性。其中異地集群網(wǎng)絡(luò)的容災(zāi)性是最好的。存儲(chǔ)、備份和容災(zāi)技術(shù)的充分結(jié)合，構(gòu)成的數(shù)據(jù)存儲(chǔ)系統(tǒng)，是數(shù)據(jù)技術(shù)發(fā)展的重要階段。隨著存儲(chǔ)網(wǎng)絡(luò)化時(shí)代的發(fā)展，傳統(tǒng)的功能單一的存儲(chǔ)器，將越來越讓位于一體化的多功能網(wǎng)絡(luò)存儲(chǔ)器。入侵檢測技術(shù)

入侵檢測【5】技術(shù)是從各種各樣的系統(tǒng)和網(wǎng)絡(luò)資源中采集信息（系統(tǒng)運(yùn)行狀態(tài)、網(wǎng)絡(luò)流經(jīng)的信息等），并對這些信息進(jìn)行分析和判斷。通過檢測網(wǎng)絡(luò)系統(tǒng)中發(fā)生的攻擊行為或異常行為，入侵檢測系統(tǒng)可以及時(shí)發(fā)現(xiàn)攻擊或異常行為并進(jìn)行阻斷、記錄、報(bào)警等響應(yīng)，從而將攻擊行為帶來的破壞和影響降至最低。同時(shí)，入侵檢測系統(tǒng)也可用于監(jiān)控分析用戶和系統(tǒng)的行為、審計(jì)系統(tǒng)配置和漏洞、識別異常行為和攻擊行為（通過異常檢測和模式匹配等技術(shù)）、對攻擊行為或異常行為進(jìn)行響應(yīng)、審計(jì)和跟蹤等。2.4防火墻安全控制程序?qū)υ碔P地址和目的IP過濾功能所有基于Windows操作系統(tǒng)的個(gè)人防火墻核心技術(shù)在于Windows操作系統(tǒng)下數(shù)據(jù)包攔截技術(shù)。包過濾系統(tǒng)工作在OSI模型中的網(wǎng)絡(luò)層，可以根據(jù)數(shù)據(jù)包報(bào)頭等信息來制定規(guī)則。數(shù)據(jù)包過濾是包過濾路由器可以決定對它所收到的每個(gè)數(shù)據(jù)包的取舍。是基于路由器技術(shù)的，建立在網(wǎng)絡(luò)層、傳輸層上。路由器對每發(fā)送或接收來的數(shù)據(jù)包審查是否與某個(gè)包過濾規(guī)則相匹配。包過濾規(guī)則即訪問控制表，通過檢查每個(gè)分組的源IP地址、目的地址來決定該分組是否應(yīng)該轉(zhuǎn)發(fā)。如果找到一個(gè)匹配，且規(guī)則允許該數(shù)據(jù)包通過，則該數(shù)據(jù)包根據(jù)路由表中的信息向前轉(zhuǎn)發(fā)。如果找到一個(gè)與規(guī)則不相匹配的，且規(guī)則拒絕此數(shù)據(jù)包，則該數(shù)據(jù)包將被舍棄。包過濾系統(tǒng)的工作流程圖如圖2-3所示圖2-3防火墻過濾系統(tǒng)工作流程3.防火墻安全控制程序總體結(jié)構(gòu)3.1防火墻安全控制程序設(shè)計(jì)整體架構(gòu)如圖3-1所示，如果內(nèi)部網(wǎng)絡(luò)地址為的主機(jī)希望訪問Internet上地址為的Web服務(wù)器，那么它就會(huì)產(chǎn)生一個(gè)源地址，目的地址為的分組為1。NAT常與代理、防火墻技術(shù)一起使用。在防火墻中起到了重要的作用。圖3-1工作原理圖防火墻安全控制程序設(shè)計(jì)的實(shí)現(xiàn)框圖如圖3-2所示:3.2防火墻安全控制拓?fù)鋱D及其分析分層設(shè)計(jì)將一個(gè)規(guī)模較大的網(wǎng)絡(luò)系統(tǒng)分為幾個(gè)較小的層次，這些層次之間既相對獨(dú)立又相對關(guān)聯(lián)，他們之間可以看做是一個(gè)層次疊加的關(guān)系。每一層都有自己特定的作用。核心層主要高速處理數(shù)據(jù)流，提供節(jié)點(diǎn)之間的高速數(shù)據(jù)轉(zhuǎn)發(fā)，優(yōu)化傳輸鏈路，并實(shí)現(xiàn)安全通信。從網(wǎng)絡(luò)設(shè)計(jì)來看，它的結(jié)構(gòu)相對簡單，但是對核心層的設(shè)備性能的十分嚴(yán)格。一般采用高性能的多層模塊化交換機(jī)，并要盡量減少核心層的路由器配置的復(fù)雜程度，并且核心層設(shè)備應(yīng)該具有足夠的路由信息，將數(shù)據(jù)包發(fā)往網(wǎng)絡(luò)中的任意目的主機(jī)。圖3-2防火墻安全控制程序設(shè)計(jì)實(shí)現(xiàn)框圖匯聚層主要提供基于策略的網(wǎng)絡(luò)連接，負(fù)責(zé)路由聚合，收斂數(shù)據(jù)流量，將網(wǎng)絡(luò)服連接到接入層。匯聚層是核心層與接入層的分界面，接入層經(jīng)常處于變化之中，為了避免接入層的變化對核心層的影響，可以利用匯聚層隔離接入層拓?fù)浣Y(jié)構(gòu)的變化，是核心層的交換機(jī)處于穩(wěn)定，不受外界的干擾。圖3-3防火墻安全控制拓?fù)鋱D接入層為用戶提供網(wǎng)絡(luò)訪問功能，并負(fù)責(zé)將網(wǎng)絡(luò)流量饋入到匯聚層，執(zhí)行用戶認(rèn)證和訪問控制，并提供相關(guān)的網(wǎng)絡(luò)服務(wù)。接入層一般采用星型的拓?fù)浣Y(jié)構(gòu)，而且一般不提供路由功能，也不進(jìn)行路由信息的交換。通過這樣三層的網(wǎng)絡(luò)設(shè)計(jì)，可以將網(wǎng)絡(luò)分解程序多的小單元，降低了網(wǎng)絡(luò)的整體復(fù)雜性；可以使網(wǎng)絡(luò)更容易的處理廣播風(fēng)暴、信號循環(huán)問題；而且分層的設(shè)計(jì)模型降低了設(shè)備配置的復(fù)雜性，網(wǎng)絡(luò)故障也會(huì)更容易的排除，是網(wǎng)絡(luò)更容易的管理，使企業(yè)的網(wǎng)絡(luò)更安全、穩(wěn)定。3.3防火墻防火墻安全控制部署方案防火墻是一個(gè)或一組系統(tǒng),隔離堡壘主機(jī)通過運(yùn)行在其上面的防火墻軟件，控制應(yīng)用程序的轉(zhuǎn)發(fā)以及提供其他服務(wù)，它在網(wǎng)絡(luò)之間執(zhí)行訪問控制策略,同時(shí)也是一種綜合性的技術(shù)，涉及計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)、密碼技術(shù)安全技術(shù)、軟件技術(shù)、安全協(xié)議、網(wǎng)絡(luò)標(biāo)準(zhǔn)化組織的服務(wù)。防火墻的主要實(shí)現(xiàn)功能：1.防止外部的IP地址欺騙：IP地址欺騙是一種常見的對企業(yè)內(nèi)部服務(wù)器的攻擊手段外部網(wǎng)的攻擊者將其數(shù)據(jù)包的源地址偽裝成內(nèi)部網(wǎng)合法的IP地址或Loopback地址，以繞過防火墻，實(shí)現(xiàn)非法訪問。可以在防火墻的全局和接口配置中，通過命令來實(shí)現(xiàn)防止外部IP地址的欺騙.2.控制內(nèi)部網(wǎng)的非法IP地址進(jìn)入外部網(wǎng);通過設(shè)置訪問列表，可以控制內(nèi)部網(wǎng)的哪些機(jī)器可以進(jìn)入外部網(wǎng)，哪些機(jī)器不可以進(jìn)入外部網(wǎng)，保障內(nèi)部網(wǎng)的安全和可靠。3.對內(nèi)部網(wǎng)資源主機(jī)的訪問控制：企業(yè)內(nèi)部網(wǎng)的服務(wù)器是非法訪問者的重點(diǎn)攻擊對象，同時(shí)它又必須為外部用戶提供一定的服務(wù)，對于特定的服務(wù)器，可以只允許訪問特定的服務(wù)。也就是說，對于Web服務(wù)器只允許訪問Web服務(wù)；而對FTP服務(wù)器，只允許訪問FTP服務(wù)。4.防止外部的ICMP重定向欺騙5.防止外部的資源路由選擇欺騙6.對撥號上網(wǎng)用戶的訪問控制7.防止內(nèi)部用戶盜用IP方法8.防止對路由器的攻擊9.內(nèi)部網(wǎng)絡(luò)流量的控制防火墻的核心技術(shù)：包過濾防火墻【6】。包過濾防火墻也稱為訪問控制表或屏蔽路由器，它通過查看所流經(jīng)的數(shù)據(jù)包，根據(jù)定義好的過濾規(guī)則審查每個(gè)數(shù)據(jù)包，并根據(jù)是否與規(guī)則匹配來決定是否讓該數(shù)據(jù)包通過。包過濾防火墻將對每一個(gè)接收到的包做出允許或拒絕的決定。具體地講，它針對每一個(gè)數(shù)據(jù)報(bào)的報(bào)頭，按照包過濾規(guī)則進(jìn)行判定，與規(guī)則相匹配的包依據(jù)路由信息繼續(xù)轉(zhuǎn)發(fā)，否則就丟棄。包過濾是在IP層實(shí)現(xiàn)的，包過濾根據(jù)數(shù)據(jù)包的源IP地址、目的IP地址、協(xié)議類型（TCP包、UDP包、ICMP包）、源端口、目的端口等報(bào)頭信息及數(shù)據(jù)包傳輸方向等信息來判斷是否允許數(shù)據(jù)包通過。包過濾也包括與服務(wù)相關(guān)的過濾，這是指基于特定的服務(wù)進(jìn)行包過濾，由于絕大多數(shù)服務(wù)的監(jiān)聽都駐留在特定TCP/UDP端口，因此，為阻斷所有進(jìn)入特定服務(wù)的鏈接，防火墻只需將所有包含特定TCP/UDP目的端口的包丟棄即可。包過濾的原則：(1)包過濾規(guī)則必須被包過濾設(shè)備端口存儲(chǔ)起來。(2)當(dāng)包到達(dá)端口時(shí)，對包報(bào)頭進(jìn)行語法分析。大多數(shù)包過濾設(shè)備只檢查IP、TCP、或UDP報(bào)頭中的字段。(3)包過濾規(guī)則以特殊的方式存儲(chǔ)。應(yīng)用于包的規(guī)則的順序與包過濾器規(guī)則存儲(chǔ)順序必須相同。(4)若一條規(guī)則阻止包傳輸或接收，則此包便不被允許。(5)若一條規(guī)則允許包傳輸或接收，則此包便可以被繼續(xù)處理。(6)若包不滿足任何一條規(guī)則，則此包便被阻塞。4.防火墻安全控制程序詳細(xì)設(shè)計(jì)4.1開發(fā)環(huán)境VisualC++6.0【7】簡稱VC或者VC6.0.是一個(gè)基于Windows操作系統(tǒng)的可視化集成開發(fā)環(huán)境（integrateddevelopmentenvironment，IDE）。VisualC++6.0由許多組件組成，包括編輯器、調(diào)試器以及程序向?qū)ppWizard、類向?qū)lassWizard等開發(fā)工具。這些組件通過一個(gè)名為DeveloperStudio的組件集成為和諧的開發(fā)環(huán)境。VisualC++它大概可以分成三個(gè)主要的部分：DeveloperStudio，這是一個(gè)集成開發(fā)環(huán)境，我們?nèi)粘９ぷ鞯?9%都是在它上面完成的，DeveloperStudio提供了一個(gè)很好的編輯器和很多Wizard，但實(shí)際上它沒有任何編譯和鏈接程序的功能。MFC，從理論上來講，MFC也不是專用于VisualC++，BorlandC++，C++Builder和SymantecC++同樣可以處理MFC。PlatformSDK，這才是VisualC++和整個(gè)VisualStudio的精華和靈魂，PlatformSDK是以MicrosoftC/C++編譯器為核心，配合MASM，輔以其他一些工具和文檔資料。4.2防火墻安全控制程序的實(shí)現(xiàn)方法這次設(shè)計(jì)的重點(diǎn)在于防火墻安全控制程序的配置，在配置防火墻的過程中，重點(diǎn)在于設(shè)置NAT和ACL，NAT用來配置內(nèi)網(wǎng)計(jì)算機(jī)訪問外網(wǎng)時(shí)的地址轉(zhuǎn)換，保證內(nèi)網(wǎng)與外網(wǎng)的計(jì)算機(jī)相互之間能夠成功地訪問對方。ACL是訪問控制，主要用來設(shè)置內(nèi)網(wǎng)計(jì)算機(jī)的訪問權(quán)限，通過配置ACL，可以禁止或允許內(nèi)網(wǎng)中的計(jì)算機(jī)之間的相互訪問以及內(nèi)網(wǎng)計(jì)算機(jī)訪問外網(wǎng)。防火墻是在內(nèi)網(wǎng)和外網(wǎng)中設(shè)置的氣到網(wǎng)絡(luò)安全的。實(shí)現(xiàn)防火墻技術(shù)的實(shí)驗(yàn)就需要建立內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)，內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)中的局域網(wǎng)都是通過交換機(jī)來設(shè)計(jì)的。首先是內(nèi)部網(wǎng)絡(luò)是將PC2、Edge和Core連接起來，然后利用超級終端軟件對各個(gè)設(shè)備進(jìn)行配置，配置如下：首先在PC2計(jì)算機(jī)中對網(wǎng)絡(luò)地址進(jìn)行配置，IP地址設(shè)置為，子網(wǎng)掩碼為；其次對交換機(jī)2626B進(jìn)行配置，將其分為多個(gè)局域網(wǎng)，此次實(shí)驗(yàn)只分配Vlan1，其IP地址的范。其次是對HPProCurve5308xl三層交換機(jī)，其背板交換引擎速度為76.8Gbps，吞吐量高達(dá)48mpps，并配置雙冗余電影，保證核心層高速、可靠的三層交換；給它配置兩個(gè)Vlan，Vlan1的地址為，Vlan10的地址為10.，并在vlan10上配置中繼端口B1，在vlan1上配置中繼端口在vlan10上配置中繼端口B2，啟用三層轉(zhuǎn)發(fā)協(xié)議。在內(nèi)部網(wǎng)絡(luò)的各個(gè)設(shè)備設(shè)置完后，嘗試使用PC2ping7102A的出口地址，但是因?yàn)槿鄙俾酚?，所以ping不通。所以我們還需要在5308上寫上內(nèi)網(wǎng)默認(rèn)路由，在7102A上添加網(wǎng)絡(luò)的出口路由，指令如下：Core(config)#NAT(config)#Iproute添加上默認(rèn)路由后，內(nèi)部網(wǎng)絡(luò)即構(gòu)建完畢。如果從PC2ping7102A的出口地址，不通的話，還需要認(rèn)真的檢查確保各vlan或端口之間的tagged和untagged配置是否正確。4.3主要模塊的程序?qū)崿F(xiàn)具體程序如下：typedefstructIpHeader{UCHARiphVerLen；//版本號和頭長度UCHARipTos；//服務(wù)類型USHORTipLength；//總的數(shù)據(jù)包大小USHORTipID；//特殊標(biāo)識符USHORTipFlags；//標(biāo)志USHORTipTTL；//生存期UCHARipProtocol；//協(xié)議USHORTipChecksum；//數(shù)據(jù)包檢驗(yàn)和ULONGipSource；//源地址ULONGipDestination；//目的地址}IPPacket；（2）TCP數(shù)據(jù)包數(shù)據(jù)結(jié)構(gòu)TCP數(shù)據(jù)定義：typedefstruct_TCPHeader{USHORTsourcePort；//源端口號USHORTdestinationPort；//目的端口號ULONGsequenceNumber；//序號ULONGacknowledgeNumber；//確認(rèn)序號UCHARdataoffset；//數(shù)據(jù)指針UCHARflags；//標(biāo)志USHORTwindows；//窗口大小USHORTchecksum；//校驗(yàn)和USHORTurgentPointer；//緊急指針}TCPHeader；（3）UDP數(shù)據(jù)包數(shù)據(jù)結(jié)構(gòu)UDP數(shù)據(jù)定義：typedefstruct_UDPHeader{USHORTsourcePort；//源端口號USHORTdestinationPort；//目的端口號USHORTlen；//封包長度USHORTchecksum；//校驗(yàn)和}UDPHeader；（4）過濾規(guī)則的設(shè)計(jì)過濾規(guī)則定義：structCIPFilter{USHORTprotocol；//使用的協(xié)議ULONGsourceIP；//源IP地址ULONGdestinationIP；//目標(biāo)IP地址ULONGsourceMask；//源地址屏蔽碼ULONGdestinationMask；//目的地址屏蔽碼USHORTsourcePort；//源端口號USHORTdestinationPort；//目的端口號BOOLEANbDrop；//是否丟棄此封包}；規(guī)則列表定義：structCFilterList{CIPFilteripf；//過濾規(guī)則CFilterList*pNext；//指向下一個(gè)CFilterList結(jié)構(gòu)}；5.系統(tǒng)結(jié)果與分析在超級終端上的命令是：2626B(config)#Vlan12626B(Vlan-1)#ipaddress2626B(Vlan-1)#Vlan110tagged25調(diào)試結(jié)果如圖5-1所示：圖5-1調(diào)試結(jié)果設(shè)置局域網(wǎng)Vlan1：Core(config)#Vlan1Core（Vlan-1）#ipaddressCore（Vlan-1）#taggedB2設(shè)置局域網(wǎng)Vlan10：Core(config)#Vlan10ipaddress10.Core(config)#Vlan110taggedB1調(diào)試結(jié)果如圖5-2所示：給7102的兩個(gè)以太網(wǎng)口配置地址，并激活。ETH0/1的地址為，ETH0/2的地址為，指令如下：NAT(config)#interfaceEthernet0/1NAT(config-eth0/1)#ipaddressNAT(config-eth0/1)#noshutdownNAT(config)#interfaceEthernet0/2NAT(config-eth0/2)#ipaddress運(yùn)行如圖5-3所示：圖5-2調(diào)試結(jié)果圖5-3調(diào)試結(jié)果6.總結(jié)與展望6.1總結(jié)課程設(shè)計(jì)是培養(yǎng)學(xué)生綜合運(yùn)用所學(xué)知識,發(fā)現(xiàn),提出,分析和解決實(shí)際問題,鍛煉實(shí)踐能力的重要環(huán)節(jié),是對學(xué)生實(shí)際工作能力的具體訓(xùn)練和考察過程.回顧起此次課程設(shè)計(jì)，至今我仍感慨頗多，從理論到實(shí)踐，在整整兩星期的日子里，不僅鞏固了以前所學(xué)過的知識，而且學(xué)到了很多在書本上所沒有學(xué)到過的知識。這次課程設(shè)計(jì)使我懂得了理論與實(shí)際相結(jié)合是很重要的，只有把所學(xué)的理論知識與實(shí)踐相結(jié)合起來，才能提高自己的實(shí)際動(dòng)手能力和獨(dú)立思考的能力。我們通過查閱大量有關(guān)資料，并在小組中互相討論，交流經(jīng)驗(yàn)和自學(xué)，若遇到實(shí)在搞不明白的問題就會(huì)及時(shí)請教老師，使自己學(xué)到了不少知識，收獲同樣巨大。也使我也發(fā)現(xiàn)了自身存在的不足之處，理論知識掌握不夠，運(yùn)用到實(shí)踐的過程中就會(huì)有很多困惑，經(jīng)過一番努力才得以解決。這也激發(fā)了我今后努力學(xué)習(xí)的興趣，我想這將對我以后的學(xué)習(xí)產(chǎn)生積極的影響。通過這次設(shè)計(jì)，我懂得了學(xué)習(xí)的重要性，了解到理論知識與實(shí)踐相結(jié)合的重要意義，學(xué)會(huì)了堅(jiān)持、耐心和努力，這將為自己今后的學(xué)習(xí)和工作做出了最好的榜樣6.2展望網(wǎng)絡(luò)已成為人們生活當(dāng)中信息來源不可缺少的一部分，網(wǎng)絡(luò)的安全是每位用戶必須了解的常識，可見人們追求的操作系統(tǒng)不僅僅是新鮮、易用，更多的是安全、穩(wěn)定、高效、免費(fèi)、開源。未來防火墻的發(fā)展方向：第一，防火墻的性能將不斷突破。隨著網(wǎng)絡(luò)應(yīng)用的不斷豐富，網(wǎng)絡(luò)帶寬需求會(huì)不斷的增長，并對防火墻的性能提出更高的要求，滿足千兆、萬兆以及更高的帶寬要求是防火墻發(fā)展的一個(gè)方向。第二，防火墻將不斷的深入應(yīng)用防護(hù)。隨著網(wǎng)絡(luò)安全技術(shù)的發(fā)展，網(wǎng)絡(luò)層和操作系統(tǒng)的漏洞將越來越少，但應(yīng)用層的安全問題卻越來越突出，防火墻將會(huì)把更多的注意力放在深度應(yīng)用防護(hù)上，不斷挖掘應(yīng)用防護(hù)的深度。第三，防火墻將支持更多的應(yīng)用層協(xié)議。對應(yīng)用協(xié)議支持的廣度，也是防火墻的發(fā)展趨勢，它將支持更多新的