帶入侵檢測(cè)的Linux個(gè)人防火墻的研究與實(shí)現(xiàn)1貴州大學(xué)計(jì)算機(jī)軟件與理論研究所2選題背景及意義隨著Internet高速發(fā)展，個(gè)人、企業(yè)以及政府部門(mén)越來(lái)越多地依靠網(wǎng)絡(luò)傳遞信息，然而網(wǎng)絡(luò)的開(kāi)放性與共享性容易使它受到外界的攻擊與破壞，信息的安全保密性受到嚴(yán)重影響。網(wǎng)絡(luò)安全問(wèn)題已成為世界各國(guó)政府、企業(yè)及廣大網(wǎng)絡(luò)用戶最關(guān)心的問(wèn)題之一。

雖然防火墻是阻止黑客攻擊的一種有效手段，但隨著攻擊技術(shù)的發(fā)展，這種單一的防護(hù)手段已不能確保網(wǎng)絡(luò)的安全，它存在以下的弱點(diǎn)和不足：

1）防火墻對(duì)信息流的控制缺乏靈活性

2）在攻擊發(fā)生后，利用防火墻保存的信息難以調(diào)查和取證

為了確保計(jì)算機(jī)網(wǎng)絡(luò)安全，必須建立一整套的安全防護(hù)體系，進(jìn)行多層次、多手段的檢測(cè)和防護(hù)。入侵檢測(cè)就是安全防護(hù)體系中重要的一環(huán)，它能夠及時(shí)識(shí)別網(wǎng)絡(luò)中發(fā)生的入侵行為并實(shí)時(shí)報(bào)警。入侵檢測(cè)所具有的實(shí)時(shí)性、動(dòng)態(tài)檢測(cè)和主動(dòng)防御等特點(diǎn)，彌補(bǔ)了防火墻等靜態(tài)防御工具的不足。將入侵檢測(cè)與防火墻配合使用，可以極大地提高網(wǎng)絡(luò)的安全防御能力，對(duì)信息安全的防范有參考價(jià)值。貴州大學(xué)計(jì)算機(jī)軟件與理論研究所3Netfilter是Linux內(nèi)核實(shí)現(xiàn)數(shù)據(jù)包過(guò)濾/數(shù)據(jù)包處理/NAT等的功能框架，它在Linux內(nèi)核中的IPv4、IPv6和DECnet等網(wǎng)絡(luò)協(xié)議棧中都有相應(yīng)的實(shí)現(xiàn)，基于netfilter內(nèi)核更加安全可靠，且運(yùn)行時(shí)占用資源較少。討論了在此框架上如何實(shí)現(xiàn)防火墻，以及如何將入侵檢測(cè)的功能融合進(jìn)防火墻中。iptables是專(zhuān)門(mén)針對(duì)Linux內(nèi)核的Netfilter制作的核外配置工具，通過(guò)socket接口對(duì)Netfilter進(jìn)行操作，是操作核內(nèi)Netfilter的用戶界面。使用iptables及Netfilter可進(jìn)行數(shù)據(jù)包過(guò)濾，但在現(xiàn)實(shí)中由于其配置較復(fù)雜，iptables經(jīng)常被束之高閣。設(shè)計(jì)的軟件向用戶屏蔽掉晦澀復(fù)雜的iptables配置語(yǔ)法，取而代之的是提供方便、簡(jiǎn)易的操作模式。對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行實(shí)時(shí)監(jiān)控，當(dāng)檢測(cè)到攻擊信息時(shí)及時(shí)通知用戶。完善的訪問(wèn)記錄功能，可顯示所有被攔截的訪問(wèn)記錄，包括訪問(wèn)的時(shí)間、來(lái)源、類(lèi)型等都詳細(xì)地記錄下來(lái)，您可以清楚地看到是否有入侵者想連接到您的機(jī)器，從而制定更有效的防護(hù)規(guī)則。并且可將所有訪問(wèn)記錄進(jìn)行保存，以便用戶在日后進(jìn)行深入分析或者作為證據(jù)提交給用戶的ISP。

本文所做的主要工作與創(chuàng)新之處貴州大學(xué)計(jì)算機(jī)軟件與理論研究所4檢測(cè)引擎是入侵檢測(cè)實(shí)現(xiàn)的核心，準(zhǔn)確性和快速性是衡量其性能的重要指標(biāo)，前者主要取決于對(duì)入侵行為特征碼提煉的精確性和規(guī)則撰寫(xiě)的簡(jiǎn)潔實(shí)用性，后者主要取決于引擎的組織結(jié)構(gòu)，是否能夠快速地進(jìn)行規(guī)則匹配。到目前為止共有3066個(gè)可用的規(guī)則，并且還在不斷加入更多規(guī)則，同時(shí)提供規(guī)則描述語(yǔ)言，這種語(yǔ)言靈活而強(qiáng)大，以便用戶可以添加自己的檢測(cè)規(guī)則。入侵檢測(cè)能夠進(jìn)行協(xié)議分析，內(nèi)容的搜索/匹配?，F(xiàn)在能夠分析的協(xié)議有TCP、UDP、ICMP、IP和ARP。能夠檢測(cè)多種方式的攻擊和探測(cè)，例如：緩沖區(qū)溢出、秘密端口掃描、CGI攻擊、SMB探測(cè)、探測(cè)操作系統(tǒng)指紋特征的企圖等等。入侵檢測(cè)模塊支持各種形式的插件、擴(kuò)充和定制。目前有三類(lèi)插件：預(yù)處理插件、檢測(cè)插件和輸出插件，包括數(shù)據(jù)庫(kù)日志輸出插件、破碎數(shù)據(jù)包檢測(cè)插件、端口掃描檢測(cè)插件、HTTPURInormalization插件、XML插件等。預(yù)處理插件是在捕獲分組時(shí)對(duì)分組作的一些“預(yù)處理”動(dòng)作，比如探測(cè)過(guò)小的IP碎片，重組IP分組，重組TCP報(bào)文等；檢測(cè)插件則是按照規(guī)則文件中定義的規(guī)則依次地分析每個(gè)數(shù)據(jù)包；輸出插件負(fù)責(zé)信息的輸出。本文所做的主要工作與創(chuàng)新之處貴州大學(xué)計(jì)算機(jī)軟件與理論研究所5

個(gè)人防火墻概述關(guān)鍵技術(shù)詳解與實(shí)現(xiàn)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)論文工作的實(shí)際應(yīng)用、進(jìn)一步研究構(gòu)想內(nèi)容提要貴州大學(xué)計(jì)算機(jī)軟件與理論研究所6個(gè)人防火墻的概念在邏輯上講，個(gè)人防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，有效地監(jiān)控了個(gè)人主機(jī)和Internet之間的任何活動(dòng)，保證了個(gè)人主機(jī)的安全。進(jìn)一步說(shuō)，個(gè)人防火墻是一個(gè)位于單臺(tái)PC之上的軟件。它可以截取PC上進(jìn)行的入站和出站TCP/IP網(wǎng)絡(luò)連接嘗試，并使用預(yù)先定義的規(guī)則允許或禁止其連接。貴州大學(xué)計(jì)算機(jī)軟件與理論研究所7個(gè)人防火墻的特點(diǎn)防火墻強(qiáng)化了網(wǎng)絡(luò)安全策略，實(shí)現(xiàn)了快速方便的安全管理。防火墻能防止非授權(quán)用戶進(jìn)入用戶主機(jī)。防火墻可以方便的監(jiān)視網(wǎng)絡(luò)的安全性并報(bào)警。由于所有的訪問(wèn)都經(jīng)過(guò)防火墻，防火墻是審計(jì)和記錄網(wǎng)絡(luò)的訪問(wèn)和使用的最佳位置。一個(gè)好的個(gè)人防火墻具備：1）所有的入站和出站網(wǎng)絡(luò)數(shù)據(jù)流必須經(jīng)過(guò)防火墻2）只有符合安全策略的數(shù)據(jù)流才能通過(guò)防火墻3）防火墻自身應(yīng)具有非常強(qiáng)的抗攻擊免疫力貴州大學(xué)計(jì)算機(jī)軟件與理論研究所8個(gè)人防火墻策略在構(gòu)筑防火墻之前，需要制定一套完整有效的安全策略。網(wǎng)絡(luò)服務(wù)訪問(wèn)策略：--一種高層次的具體到事件的策略，主要用于定義在網(wǎng)絡(luò)中允許或禁止的服務(wù)。防火墻設(shè)計(jì)策略：

--一種是”一切未被允許的都是禁止的”，一種是“一切未被禁止的都是允許的”。第一種的特點(diǎn)是安全性好，但是用戶所能使用的服務(wù)范圍受到嚴(yán)格限制。第二種的特點(diǎn)是可以為用戶提供更多的服務(wù)，但是在日益增多的網(wǎng)絡(luò)服務(wù)面前，很難為用戶提供可靠的安全防護(hù)。貴州大學(xué)計(jì)算機(jī)軟件與理論研究所9個(gè)人防火墻概述關(guān)鍵技術(shù)詳解與實(shí)現(xiàn)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)論文工作的實(shí)際應(yīng)用、進(jìn)一步研究構(gòu)想內(nèi)容提要貴州大學(xué)計(jì)算機(jī)軟件與理論研究所10靜態(tài)包過(guò)濾技術(shù)根據(jù)流經(jīng)防火墻的數(shù)據(jù)包地址信息，決定是否允許該數(shù)據(jù)包通過(guò)。判斷依據(jù)有（只考慮IP包）：

--數(shù)據(jù)包協(xié)議類(lèi)型：TCP、UDP、ICMP、IGMP等

--源、目的IP地址

--源、目的端口：FTP、HTTP、DNS等

--IP選項(xiàng)：源路由、記錄路由等

--TCP選項(xiàng)：SYN、ACK、FIN、RST等

--其它協(xié)議選項(xiàng)：ICMPECHO、ICMPECHOREPLY等

--數(shù)據(jù)包流向：in或out--數(shù)據(jù)包流經(jīng)網(wǎng)絡(luò)接口：eth0、eth1貴州大學(xué)計(jì)算機(jī)軟件與理論研究所11Linux中的靜態(tài)包過(guò)濾系統(tǒng)

Netfilter是Linux核心中一個(gè)抽象、通用化的框架，該框架定義的的一個(gè)子功能的實(shí)現(xiàn)就是包過(guò)濾子系統(tǒng)，它提供了一系列的“表”(tables)，每個(gè)表由若干“鏈”(chains)組成，而每條鏈中可以有一條或數(shù)條“規(guī)則”(rule)組成。我們可以這樣來(lái)理解，netfilter是表的容器，表是鏈的容器，而鏈又是規(guī)則的容器，如下圖所示貴州大學(xué)計(jì)算機(jī)軟件與理論研究所12Linux中的靜態(tài)包過(guò)濾系統(tǒng)

Netfilter框架包含以下三部分：

1．為每種網(wǎng)絡(luò)協(xié)議(IPv4、IPv6等)定義一套鉤子函數(shù)（IPv4定義了5個(gè)鉤子函數(shù))，這些鉤子函數(shù)在數(shù)據(jù)包流過(guò)協(xié)議棧的幾個(gè)關(guān)鍵點(diǎn)被調(diào)用。在這幾個(gè)點(diǎn)中，協(xié)議棧將把數(shù)據(jù)包及鉤子函數(shù)標(biāo)號(hào)作為參數(shù)調(diào)用netfilter框架。

2．內(nèi)核的任何模塊可以對(duì)每種協(xié)議的一個(gè)或多個(gè)鉤子進(jìn)行注冊(cè)，實(shí)現(xiàn)掛接，這樣當(dāng)某個(gè)數(shù)據(jù)包被傳遞給netfilter框架時(shí)，內(nèi)核能檢測(cè)是否有任何模塊對(duì)該協(xié)議和鉤子函數(shù)進(jìn)行了注冊(cè)。若注冊(cè)了，則調(diào)用該模塊在注冊(cè)時(shí)使用的回調(diào)函數(shù)，這樣這些模塊就有機(jī)會(huì)檢查(可能還會(huì)修改)該數(shù)據(jù)包、丟棄該數(shù)據(jù)包及指示netfilter將該數(shù)據(jù)包傳入用戶空間的隊(duì)列。

3．那些排隊(duì)的數(shù)據(jù)包被傳遞給用戶空間異步地進(jìn)行處理。一個(gè)用戶進(jìn)程能檢查數(shù)據(jù)包，修改數(shù)據(jù)包，甚至可以重新將該數(shù)據(jù)包通過(guò)離開(kāi)內(nèi)核的同一個(gè)鉤子函數(shù)中注入到內(nèi)核中。貴州大學(xué)計(jì)算機(jī)軟件與理論研究所13Linux中的靜態(tài)包過(guò)濾系統(tǒng)Netfilter在IPv4中的結(jié)構(gòu)數(shù)據(jù)包按照下圖所示過(guò)程通過(guò)Netfilter系統(tǒng)：

圖二、NetfilterHOOK位置

貴州大學(xué)計(jì)算機(jī)軟件與理論研究所14Linux中的靜態(tài)包過(guò)濾系統(tǒng)

從圖中可以看到IPv4一共有5個(gè)鉤子函數(shù)，分別為：［1］NF_IP_PRE_ROUTING

［2］NF_IP_LOCAL_IN

［3］NF_IP_FORWARD

［4］NF_IP_POST_ROUTING

［5］NF_IP_LOCAL_OUT

數(shù)據(jù)包從左邊進(jìn)入系統(tǒng)，進(jìn)行IP校驗(yàn)以后，數(shù)據(jù)包經(jīng)過(guò)第一個(gè)鉤子函數(shù)NF_IP_PRE_ROUTING[1]進(jìn)行處理；然后就進(jìn)入路由代碼，其決定該數(shù)據(jù)包是需要轉(zhuǎn)發(fā)還是發(fā)給本機(jī)的；若該數(shù)據(jù)包是發(fā)給本機(jī)的，則該數(shù)據(jù)經(jīng)過(guò)鉤子函數(shù)NF_IP_LOCAL_IN[2]處理以后然后傳遞給上層協(xié)議；若該數(shù)據(jù)包應(yīng)該被轉(zhuǎn)發(fā)則它被NF_IP_FORWARD[3]處理；經(jīng)過(guò)轉(zhuǎn)發(fā)的數(shù)據(jù)包經(jīng)過(guò)最后一個(gè)鉤子函數(shù)NF_IP_POST_ROUTING[4]處理以后，再傳輸?shù)骄W(wǎng)絡(luò)上。本地產(chǎn)生的數(shù)據(jù)經(jīng)過(guò)鉤子函數(shù)NF_IP_LOCAL_OUT[5]處理以后，進(jìn)行路由選擇處理，然后經(jīng)過(guò)NF_IP_POST_ROUTING[4]處理以后發(fā)送到網(wǎng)絡(luò)上。

貴州大學(xué)計(jì)算機(jī)軟件與理論研究所15Linux中的靜態(tài)包過(guò)濾系統(tǒng)

從上面關(guān)于IPv4的netfilter的討論，可以看到鉤子函數(shù)是如何被激活的。內(nèi)核模塊可以對(duì)一個(gè)或多個(gè)這樣的鉤子函數(shù)進(jìn)行注冊(cè)掛接，并且在數(shù)據(jù)包經(jīng)過(guò)這些鉤子函數(shù)時(shí)被調(diào)用，從而模塊可以修改這些數(shù)據(jù)包，并向netfilter返回如下值：NF_ACCEPT繼續(xù)正常傳輸數(shù)據(jù)包NF_DROP丟棄該數(shù)據(jù)包，不再傳輸NF_STOLEN模塊接管該數(shù)據(jù)包，不要繼續(xù)傳輸該數(shù)據(jù)包NF_QUEUE對(duì)該數(shù)據(jù)包進(jìn)行排隊(duì)(通常用于將數(shù)據(jù)包給用戶空間的進(jìn)程進(jìn)行處理)NF_REPEAT再次調(diào)用該鉤子函數(shù)貴州大學(xué)計(jì)算機(jī)軟件與理論研究所16Linux中的靜態(tài)包過(guò)濾系統(tǒng)圖三、數(shù)據(jù)包過(guò)濾過(guò)程

貴州大學(xué)計(jì)算機(jī)軟件與理論研究所17入侵檢測(cè)模塊

軟件中的檢測(cè)模塊是基于規(guī)則檢測(cè)的數(shù)據(jù)包檢測(cè)，即針對(duì)每一種入侵行為，都提煉出它的特征值并按照規(guī)范寫(xiě)成檢驗(yàn)規(guī)則，從而形成一個(gè)規(guī)則數(shù)據(jù)庫(kù)。其次將捕獲得數(shù)據(jù)包按照規(guī)則庫(kù)逐一匹配，若匹配成功，則認(rèn)為該入侵行為成立。入侵檢測(cè)模塊通過(guò)鉤子函數(shù)注冊(cè)到內(nèi)核中去，并設(shè)置優(yōu)先級(jí)使得netfilter先調(diào)用檢測(cè)程序進(jìn)行數(shù)據(jù)檢測(cè)，再調(diào)用iptables進(jìn)行數(shù)據(jù)攔截。也就是將入侵檢測(cè)引擎放在防火墻模塊之前在這種情況下，入侵檢測(cè)模塊能接收到防火墻外網(wǎng)絡(luò)接口的所有信息，管理員可以清楚地看到所有來(lái)自Internet的攻擊，當(dāng)與防火墻聯(lián)動(dòng)時(shí)，防火墻可以動(dòng)態(tài)阻斷發(fā)生攻擊的連接。

貴州大學(xué)計(jì)算機(jī)軟件與理論研究所18入侵檢測(cè)模塊入侵檢測(cè)模塊運(yùn)行的一個(gè)流程如下：-----------------------------------------------------------------------------------------獲取數(shù)據(jù)分組---->TCP/IP協(xié)議棧分析---->規(guī)則檢測(cè)---->日志和報(bào)警

|||||||預(yù)處理插件||檢測(cè)插件||輸出插件|-----------------------------------------------------------------------------------------圖四、入侵檢測(cè)處理流程預(yù)處理是模塊在捕獲分組時(shí)對(duì)分組作的一些“預(yù)處理”動(dòng)作，比如探測(cè)過(guò)小的IP碎片，重組IP分組，重組TCP報(bào)文等。檢測(cè)部分則是按照模塊規(guī)則文件中定義的規(guī)則依次的分析每個(gè)數(shù)據(jù)包。輸出插件負(fù)責(zé)信息的輸出，觸發(fā)告警或日志事件。貴州大學(xué)計(jì)算機(jī)軟件與理論研究所19入侵檢測(cè)模塊根據(jù)其流程檢測(cè)模塊的結(jié)構(gòu)主要分為三個(gè)部分：解析子系統(tǒng)該子系統(tǒng)的功能為對(duì)獲取的數(shù)據(jù)按照TCP/IP協(xié)議的不同層次將數(shù)據(jù)包進(jìn)行解析。對(duì)于解析機(jī)制來(lái)說(shuō)，能夠處理數(shù)據(jù)包的類(lèi)型的多樣性非常重要。檢測(cè)引擎檢測(cè)引擎的工作流程可以用預(yù)處理、規(guī)則處理兩大模塊劃分。入侵檢測(cè)模塊的核心還是單數(shù)據(jù)包檢測(cè)，因此可以想像為數(shù)據(jù)包在進(jìn)入檢測(cè)引擎后，先進(jìn)入預(yù)處理模塊，最后進(jìn)入規(guī)則處理模塊日志及報(bào)警子系統(tǒng)入侵檢測(cè)系統(tǒng)的輸出結(jié)果系統(tǒng)的必要特征是實(shí)時(shí)性和多樣性，前者指能夠在檢測(cè)到入侵行為的同時(shí)及時(shí)記錄和報(bào)警，后者是指能夠根據(jù)需求選擇多種方式進(jìn)行記錄和報(bào)警。

貴州大學(xué)計(jì)算機(jī)軟件與理論研究所20個(gè)人防火墻概述關(guān)鍵技術(shù)詳解與實(shí)現(xiàn)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)論文工作的實(shí)際應(yīng)用、進(jìn)一步研究構(gòu)想內(nèi)容提要貴州大學(xué)計(jì)算機(jī)軟件與理論研究所21個(gè)人防火墻的體系結(jié)構(gòu)

使用入侵檢測(cè)技術(shù)和防火墻技術(shù)共同構(gòu)建網(wǎng)絡(luò)安全防護(hù)體系有多種組合方法，可以根據(jù)需要進(jìn)行選擇。

1）入侵檢測(cè)引擎放在防火墻模塊之前

在這種情況下，入侵檢測(cè)模塊能接收到防火墻外網(wǎng)絡(luò)接口的所有信息，用戶可以清楚地看到所有來(lái)自Internet的攻擊，當(dāng)與防火墻聯(lián)動(dòng)時(shí)，防火墻可以動(dòng)態(tài)阻斷發(fā)生攻擊的連接。在Firestarter個(gè)人防火墻中將會(huì)采用這種組合方法。

2）入侵檢測(cè)引擎放在防火墻模塊之后

在這種情況下，只有穿透了防火墻的攻擊才能被入侵檢測(cè)模塊監(jiān)聽(tīng)到，用戶可以清楚地看到哪些攻擊真正對(duì)自己的網(wǎng)絡(luò)構(gòu)成了威脅。如果入侵檢測(cè)模塊檢測(cè)到了本應(yīng)該被防火墻過(guò)濾掉的攻擊，就可以判斷防火墻的配置存在失誤。貴州大學(xué)計(jì)算機(jī)軟件與理論研究所22個(gè)人防火墻的體系結(jié)構(gòu)

3）防火墻模塊前后都裝有入侵檢測(cè)引擎在這種情況下，可以檢測(cè)來(lái)自內(nèi)部和外部的所有攻擊，用戶可以清楚地看出是否有攻擊穿透防火墻，對(duì)自己網(wǎng)絡(luò)所面對(duì)的安全威脅了如指掌。

貴州大學(xué)計(jì)算機(jī)軟件與理論研究所23Firestarter個(gè)人防火墻的工作流程根據(jù)防火墻軟件構(gòu)架的分析，構(gòu)建其第一級(jí)工作流程如圖所示：圖五、Firestarter一級(jí)工作流程貴州大學(xué)計(jì)算機(jī)軟件與理論研究所24Firestarter個(gè)人防火墻的工作流程其第二級(jí)工作流程如圖所示：圖六、Firestarter二級(jí)工作流程貴州大學(xué)計(jì)算機(jī)軟件與理論研究所25Firestarter個(gè)人防火墻

Firestarter是一個(gè)Linux內(nèi)核防火墻模塊（Netfilter/Iptables）的GTK+前端。它的作用就是為現(xiàn)代先進(jìn)的防火墻技術(shù)提供一個(gè)安全、易用的圖形前端，讓用戶更方便地配置自己的防火墻。

Firestarter具有以下特點(diǎn)：支持Linux2.4/2.6內(nèi)核，基于netfilter框架更加安全可靠，且運(yùn)行時(shí)占用資源較少。完善的訪問(wèn)記錄，可顯示所有被攔截的訪問(wèn)記錄，包括訪問(wèn)的時(shí)間、來(lái)源、類(lèi)型等都詳細(xì)地記錄下來(lái)，您可以清楚地看到是否有入侵者想連接到您的機(jī)器，從而制定更有效的防護(hù)規(guī)則。并且可將所有訪問(wèn)記錄進(jìn)行保存，以便用戶在日后進(jìn)行深入分析。貴州大學(xué)計(jì)算機(jī)軟件與理論研究所26Firestarter個(gè)人防火墻實(shí)時(shí)監(jiān)控，在檢測(cè)到非法訪問(wèn)時(shí)會(huì)給出告警提示?？梢蕴幚鞩P、TCP、UPD、ICMP和IGMP協(xié)議，完全管控TCP/IP網(wǎng)絡(luò)封包。靈活方便的規(guī)則設(shè)置，可以設(shè)置了一系列安全規(guī)則，允許特定主機(jī)的相應(yīng)服務(wù)，拒絕其它主機(jī)的訪問(wèn)要求。用戶還可以根據(jù)自已的實(shí)際情況，添加、刪除、修改安全規(guī)則，保護(hù)本機(jī)安全。方便快捷的斷開(kāi)/連接網(wǎng)絡(luò)功能，可以通過(guò)單擊鼠標(biāo)來(lái)停止或恢復(fù)所有互聯(lián)網(wǎng)通信。為你的局域網(wǎng)設(shè)置網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT，NetworkAddressTranslation）或端口轉(zhuǎn)發(fā)。安裝十分容易，有安裝向?qū)б龑?dǎo)，即使是對(duì)Linux軟件不熟悉的用戶也能通過(guò)向?qū)лp松完成防火墻的安裝和配置。貴州大學(xué)計(jì)算機(jī)軟件與理論研究所27個(gè)人防火墻概述關(guān)鍵技術(shù)詳解與實(shí)現(xiàn)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)論文工作的實(shí)際應(yīng)用、進(jìn)一步研究構(gòu)想內(nèi)容提要貴州大學(xué)計(jì)算機(jī)軟件與理論研究所28本文工作的實(shí)際應(yīng)用本文軟件產(chǎn)品已經(jīng)在北京共創(chuàng)開(kāi)源軟件有限公司得到實(shí)際應(yīng)用，應(yīng)用于北京市多個(gè)區(qū)委，并已經(jīng)成功運(yùn)用。貴州大學(xué)計(jì)算機(jī)軟件與理論研究所29軟件截圖貴州大學(xué)計(jì)算機(jī)軟件與理論研究所30發(fā)表論文及科研課題研究在讀研究生期間，已在國(guó)家中文核心期刊《微機(jī)發(fā)展》、《網(wǎng)絡(luò)安全技術(shù)與應(yīng)用》發(fā)表兩篇科研論文。參與研究的課題北京市科委課題《Linux下的防火墻》北京市科委課題《數(shù)字版權(quán)管理（DRM，DigitalRightsManagement）》北京市科委課題《下一代安全計(jì)算基礎(chǔ)（NGSCB，Next-GenerationSecureComputingBase）》

貴州大學(xué)計(jì)算機(jī)軟件與理論研究所31論文工作總結(jié)本文對(duì)防火墻技術(shù)以及入侵檢測(cè)技術(shù)進(jìn)行了概述，重點(diǎn)討論了Linux下的防火墻及入侵檢測(cè)技術(shù)，包括其基本原理、體系結(jié)構(gòu)、網(wǎng)絡(luò)數(shù)據(jù)包的攔截、檢測(cè)引擎如何對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行檢測(cè)，防火墻與入侵檢測(cè)的聯(lián)動(dòng)。結(jié)合桌面操作系統(tǒng)用戶的需求，利用這兩項(xiàng)技術(shù)開(kāi)發(fā)了Linux桌面系統(tǒng)的個(gè)人防火墻。貴州大學(xué)計(jì)算機(jī)軟件與理論研究所32論文工作的進(jìn)一步研究構(gòu)想防火墻日趨走向一個(gè)大而全、協(xié)同工作的趨勢(shì)，單一的純防火墻已經(jīng)不復(fù)存在，網(wǎng)絡(luò)安全的概念不僅包括網(wǎng)絡(luò)安全產(chǎn)品，而且還涉及用戶的管理和維護(hù)方面的問(wèn)題。技術(shù)發(fā)展也因此具備智能化、高速度、分布式、復(fù)合型、專(zhuān)業(yè)化等發(fā)展趨勢(shì)。設(shè)計(jì)一個(gè)既完整，效率又高的規(guī)則生成和查找機(jī)制、規(guī)則管理機(jī)制以及Linux系統(tǒng)下的連接跟蹤機(jī)制。保證將安全組件的運(yùn)行對(duì)系統(tǒng)效率的影響降到最低。實(shí)現(xiàn)對(duì)數(shù)據(jù)流的深包檢測(cè)必將成為防火墻技術(shù)的主流方向。加強(qiáng)同各大高校、學(xué)院的合作，建立網(wǎng)絡(luò)安全實(shí)驗(yàn)室也是我們的工作方向之一。時(shí)代在變化，技術(shù)在提高，防火墻技術(shù)也在不斷的發(fā)展，因此，進(jìn)一步提高防火墻的穩(wěn)定性、多變性、適應(yīng)力。貴州大學(xué)計(jì)算機(jī)軟件與理論研究所33致謝

衷心感謝我的導(dǎo)師李祥教授！從論文的選題、可行性研究、文獻(xiàn)的收集到研究工作的開(kāi)展，特別是論文的撰寫(xiě)，導(dǎo)師都給予了無(wú)微不至的關(guān)懷，提出了許多寶貴的建設(shè)性意見(jiàn)。感謝答辯委員會(huì)主席，感謝各位評(píng)委，感謝在座的各位來(lái)賓！最后，我還要感謝我的家人及朋友對(duì)我的學(xué)習(xí)工作的全力支持。

謝謝！

2006年5月第一節(jié)活塞式空壓機(jī)的工作原理第二節(jié)活塞式空壓機(jī)的結(jié)構(gòu)和自動(dòng)控制第三節(jié)活塞式空壓機(jī)的管理復(fù)習(xí)思考題單擊此處輸入你的副標(biāo)題，文字是您思想的提煉，為了最終演示發(fā)布的良好效果，請(qǐng)盡量言簡(jiǎn)意賅的闡述觀點(diǎn)。第六章活塞式空氣壓縮機(jī)

piston-aircompressor壓縮空氣在船舶上的應(yīng)用：

1.主機(jī)的啟動(dòng)、換向；

2.輔機(jī)的啟動(dòng)；

3.為氣動(dòng)裝置提供氣源；

4.為氣動(dòng)工具提供氣源；

5.吹洗零部件和濾器。

排氣量:單位時(shí)間內(nèi)所排送的相當(dāng)?shù)谝患?jí)吸氣狀態(tài)的空氣體積。單位：m3/s、m3/min、m3/h第六章活塞式空氣壓縮機(jī)

piston-aircompressor空壓機(jī)分類(lèi)：按排氣壓力分：低壓0.2～1.0MPa；中壓1～10MPa；高壓10～100MPa。按排氣量分：微型<1m3/min；小型1～10m3/min；中型10～100m3/min；大型>100m3/min。第六章活塞式空氣壓縮機(jī)

piston-aircompressor第一節(jié)活塞式空壓機(jī)的工作原理容積式壓縮機(jī)按結(jié)構(gòu)分為兩大類(lèi)：往復(fù)式與旋轉(zhuǎn)式兩級(jí)活塞式壓縮機(jī)單級(jí)活塞壓縮機(jī)活塞式壓縮機(jī)膜片式壓縮機(jī)旋轉(zhuǎn)葉片式壓縮機(jī)最長(zhǎng)的使用壽命-

----低轉(zhuǎn)速（1460RPM），動(dòng)件少（軸承與滑片），潤(rùn)滑油在機(jī)件間形成保護(hù)膜，防止磨損及泄漏，使空壓機(jī)能夠安靜有效運(yùn)作；平時(shí)有按規(guī)定做例行保養(yǎng)的JAGUAR滑片式空壓機(jī)，至今使用十萬(wàn)小時(shí)以上，依然完好如初，按十萬(wàn)小時(shí)相當(dāng)于每日以十小時(shí)運(yùn)作計(jì)算，可長(zhǎng)達(dá)33年之久。因此，將滑片式空壓機(jī)比喻為一部終身機(jī)器實(shí)不為過(guò)?；?葉)片式空壓機(jī)可以365天連續(xù)運(yùn)轉(zhuǎn)并保證60000小時(shí)以上安全運(yùn)轉(zhuǎn)的空氣壓縮機(jī)1.進(jìn)氣2.開(kāi)始?jí)嚎s3.壓縮中4.排氣1.轉(zhuǎn)子及機(jī)殼間成為壓縮空間，當(dāng)轉(zhuǎn)子開(kāi)始轉(zhuǎn)動(dòng)時(shí)，空氣由機(jī)體進(jìn)氣端進(jìn)入。2.轉(zhuǎn)子轉(zhuǎn)動(dòng)使被吸入的空氣轉(zhuǎn)至機(jī)殼與轉(zhuǎn)子間氣密范圍，同時(shí)停止進(jìn)氣。3.轉(zhuǎn)子不斷轉(zhuǎn)動(dòng)，氣密范圍變小，空氣被壓縮。4.被壓縮的空氣壓力升高達(dá)到額定的壓力后由排氣端排出進(jìn)入油氣分離器內(nèi)。4.被壓縮的空氣壓力升高達(dá)到額定的壓力后由排氣端排出進(jìn)入油氣分離器內(nèi)。1.進(jìn)氣2.開(kāi)始?jí)嚎s3.壓縮中4.排氣1.凸凹轉(zhuǎn)子及機(jī)殼間成為壓縮空間，當(dāng)轉(zhuǎn)子開(kāi)始轉(zhuǎn)動(dòng)時(shí)，空氣由機(jī)體進(jìn)氣端進(jìn)入。2.轉(zhuǎn)子轉(zhuǎn)動(dòng)使被吸入的空氣轉(zhuǎn)至機(jī)殼與轉(zhuǎn)子間氣密范圍，同時(shí)停止進(jìn)氣。3.轉(zhuǎn)子不斷轉(zhuǎn)動(dòng)，氣密范圍變小，空氣被壓縮。螺桿式氣體壓縮機(jī)是世界上最先進(jìn)、緊湊型、堅(jiān)實(shí)、運(yùn)行平穩(wěn)，噪音低，是值得信賴的氣體壓縮機(jī)。螺桿式壓縮機(jī)氣路系統(tǒng)：

A

進(jìn)氣過(guò)濾器

B

空氣進(jìn)氣閥

C

壓縮機(jī)主機(jī)

D

單向閥

E

空氣/油分離器

F

最小壓力閥

G

后冷卻器

H

帶自動(dòng)疏水器的水分離器油路系統(tǒng)：

J

油箱

K

恒溫旁通閥

L

油冷卻器

M

油過(guò)濾器

N

回油閥

O

斷油閥冷凍系統(tǒng)：

P

冷凍壓縮機(jī)

Q

冷凝器

R

熱交換器

S

旁通系統(tǒng)

T

空氣出口過(guò)濾器螺桿式壓縮機(jī)渦旋式壓縮機(jī)

渦旋式壓縮機(jī)是20世紀(jì)90年代末期開(kāi)發(fā)并問(wèn)世的高科技?jí)嚎s機(jī)，由于結(jié)構(gòu)簡(jiǎn)單、零件少、效率高、可靠性好，尤其是其低噪聲、長(zhǎng)壽命等諸方面大大優(yōu)于其它型式的壓縮機(jī)，已經(jīng)得到壓縮機(jī)行業(yè)的關(guān)注和公認(rèn)。被譽(yù)為“環(huán)保型壓縮機(jī)”。由于渦旋式壓縮機(jī)的獨(dú)特設(shè)計(jì)，使其成為當(dāng)今世界最節(jié)能壓縮機(jī)。渦旋式壓縮機(jī)主要運(yùn)動(dòng)件渦卷付，只有磨合沒(méi)有磨損，因而壽命更長(zhǎng)，被譽(yù)為免維修壓縮機(jī)。

由于渦旋式壓縮機(jī)運(yùn)行平穩(wěn)、振動(dòng)小、工作環(huán)境安靜，又被譽(yù)為“超靜壓縮機(jī)”。

渦旋式壓縮機(jī)零部件少，只有四個(gè)運(yùn)動(dòng)部件,壓縮機(jī)工作腔由相運(yùn)動(dòng)渦卷付形成多個(gè)相互封閉的鐮形工作腔，當(dāng)動(dòng)渦卷作平動(dòng)運(yùn)動(dòng)時(shí)，使鐮形工作腔由大變小而達(dá)到壓縮和排出壓縮空氣的目的?；钊娇諝鈮嚎s機(jī)的外形第一節(jié)活塞式空壓機(jī)的工作原理一、理論工作循環(huán)（單級(jí)壓縮）工作循環(huán)：4—1—2—34—1吸氣過(guò)程

1—2壓縮過(guò)程

2—3排氣過(guò)程第一節(jié)活塞式空壓機(jī)的工作原理一、理論工作循環(huán)（單級(jí)壓縮）

壓縮分類(lèi)：絕熱壓縮：1—2耗功最大等溫壓縮：1—2''耗功最小多變壓縮：1—2'耗功居中功＝P×V（PV圖上的面積）加強(qiáng)對(duì)氣缸的冷卻，省功、對(duì)氣缸潤(rùn)滑有益。二、實(shí)際工作循環(huán)（單級(jí)壓縮）1.不存在假設(shè)條件2.與理論循環(huán)不同的原因：1）余隙容積Vc的影響Vc不利的影響—?dú)埓娴臍怏w在活塞回行時(shí)，發(fā)生膨脹，使實(shí)際吸氣行程（容積）減小。Vc有利的好處—

（1）形成氣墊，利于活塞回行；（2）避免“液擊”（空氣結(jié)露）；（3）避免活塞、連桿熱膨脹，松動(dòng)發(fā)生相撞。第一節(jié)活塞式空壓機(jī)的工作原理表征Vc的參數(shù)—相對(duì)容積C、容積系數(shù)λv合適的C：低壓0.07-0.12

中壓0.09-0.14

高壓0.11-0.16

λv＝0.65—0.901）余隙容積Vc的影響C越大或壓力比越高，則λv越小。保證Vc正常的措施：余隙高度見(jiàn)表6-1壓鉛法—保證要求的氣缸墊厚度2.與理論循環(huán)不同的原因：二、實(shí)際工作循環(huán)（單級(jí)壓縮）第一節(jié)活塞式空壓機(jī)的工作原理2）進(jìn)排氣閥及流道阻力的影響吸氣過(guò)程壓力損失使排氣量減少程度，用壓力系數(shù)λp表示：保證措施：合適的氣閥升程及彈簧彈力、管路圓滑暢通、濾器干凈。λp

（0.90-0.98）2.與理論循環(huán)不同的原因：二、實(shí)際工作循環(huán)（單級(jí)壓縮）第一節(jié)活塞式空壓機(jī)的工作原理3）吸氣預(yù)熱的影響由于壓縮過(guò)程中機(jī)件吸熱，所以在吸氣過(guò)程中，機(jī)件放熱使吸入的氣體溫度升高，使吸氣的比容減小，造成吸氣量下降。預(yù)熱損失用溫度系數(shù)λt來(lái)衡量（0.90-0.95）。保證措施：加強(qiáng)對(duì)氣缸、氣缸蓋的冷卻，防止水垢和油污的形成。2.與理論循環(huán)不同的原因：二、實(shí)際工作循環(huán)（單級(jí)壓縮）第一節(jié)活塞式空壓機(jī)的工作原理4）漏泄的影響內(nèi)漏：排氣閥（回漏）；外漏：吸氣閥、活塞環(huán)、氣缸墊。漏泄損失用氣密系數(shù)λl來(lái)衡量（0.90-0.98）。保證措施：氣閥的嚴(yán)密閉合，氣缸與活塞、氣缸與缸蓋等部件的嚴(yán)密配合。5）氣體流動(dòng)慣性的影響當(dāng)吸氣管中的氣流慣