防火墙的主要性能参数和测试方法
防火墙的主要性能参数和测试方法
防火墙的主要性能参数
分为两个部分,第一部分是通用性能指标,定义在RFC2544。第二部分是专用部分,定义在RFC2647。
通用性能指标,包括Throughput,FrameLoss,Latency,BacktoBack等。这些性能参数与其它网络设备是相同的,不做详细描述。
专用性能指标,主要指RFC2647中定义的几个关键指标。包括Concurrent Connections,Connection Establishment,Connection Establishment time,Connection Teardown,Connection Teardown time,Goodput。
首先讲什么是connections。Connections一般是指两个网络实体进行数据交换前后对协议参数进行协商和确认的过程。交换数据前的协商称为连接建立过程,即Connection establishment。交换数据后的协商成为连接拆除过程,即Connection teardown。典型的连接是tcp连接。
ConCurrecnt Connections或者maximum number of concurrent connections,就是我们常说的最大并发连接数。是指防火墙中最多可以建立并保持的连接,只有这些连接的数据是可以被转发的,其它连接的数据讲被丢弃。这个指标用来衡量防火墙可以承载多少主机同时在线,也就表示可以支持什么规模的网络。
Connection establishment或者Maximum number of connections establishment per second,是每秒新建连接数。指防火墙建立连接的速率,如果1秒钟内最多有5000个连接握手过程被成功转发,则每秒新建连接数是5000。
Connection establishment time,连接建立时间。指从连接建立请求发出,到连接成功建立所花费的时间,这其中也包括两个网络实体自身需要的处理时间。在网络实体自身处理时间可以忽略的情况下,防火墙就是连接时延的主要原因。这个参数与每秒新建连接其实是相关的。
Connection teardown或者Maximum number of connections teardown per second,是每秒拆除连接数。指防火墙拆除连接的速率。
Connection teardown time,连接拆除时间。指从连接拆除请求发出,到连接删除所花费的时间,这其中也包括两个网络实体自身需要的处理时间。
Goodput,正确转发率。首先这个转发率是指allowed traffic,即只有防火墙规则允许的流才能衡量转发率,被drop的数据是不能作为测量标准的。其次这个转发率是指有连接协议中连接建立后的数据转发率。最后这个转发率中必须减去重传的数据。这个参数与throughput很些相似,但一般的测量方法中throughput使用udp测试,但goodput必须使用tcp等有连接协议测试。
防火墙的性能参数测试方法。
通用性能参数的测试方法与其它网络设备如路由器,交换机相同,不做详细介绍。专用性能指标的测试工具常用的有Smartbits WebSuit和Ixia Ixweb(新的版本叫Ixload)。个人认为WebSuit比较好用,了解的也比较多,所以这里就介绍如何使用WebSuit测试防火
墙的性能。
WebSuit可以测试的性能参数包括:Concurrent connections,Maximum Connection Rate,Maximum Session Rate,Mixed Traffic,Goodput。其中concurrent connections 和Maximum Connection Rate中可以测试Connnection establishment time。Max Session Rate中可以测试connection teardown 和connection teardown time。Concurrent connections和Maximum Connection Rate的测试一般使用tcp connection traffic或者tcp connection/http traffic。Maximum Session Rate使用tcp session traffic。Goodput 使用http。
下面重点介绍一下这四中流的发送原理,以三次tcpconnection握手和三次tcp close 拆除为例。
Tcp session traffic:根据指定速率建立连接,每个连接建立后立即拆除连接。不能确认连接。
tcp session traffic
Tcp connection traffic:根据指定速率,建立所有连接,如果选择确认和拆除,在所有连接建立后在进行连接确认和拆除。
tcp connection traffic
http traffic:根据指定速率建立连接,每个连接建立后立即发送http数据并拆除连接。
http traffic
Tcp connection/HTTP traffic:与http traffic好像一样,没看出差别。
tcp connection/http traffic
Websuit除了使用tcp/http过程测试上述性能指标外,还可以测试同样情况下存在http 流量或者udp流量对性能参数的影响,有攻击情况下对性能的影响,可以测试的攻击类型包括SynFlood,Smurf,PingofDeath,Teardrop,land-based,pingsweep,pingflood,udpflood,udpscan,tcpscan,arp attack,jolt2 。
WebSuit测试配置方法:
1、配置smartbits上的网络接口,特别是NAT选项。
2、选择测试项
3、使用traffic Wizard选择测试所用的网络接口,NAT模式,pair或者backbone,
traffic type。其中traffic type一般选择tcp connection。
4、a dd session。这个主要是对Client接口,1个session就表示一个client ip host,
10个session就表示10个client。如果此时有2个server,则就会最终模拟10*2=20对主机ip进行连接,每个session还可以通过端口范围定义连接数,这样就可以计算出整个测试例所用的连接总数,如pair模式下连接总数=server数*session数*每个session的连接数。
5、配置traffic。对tcp流来说,常用参数包括握手方式,包括三次握手还是四次握手,
是否需要http连接确认,是否close connections。如果是第一次测试可以选择http 连接确认,保证连接建立后是可以转发数据的。Close connections过程也可以检验经过一段时间后,连接有没有被异常关闭的。
6、配置测试参数,如arp报文如何发送,reset报文如何发送,step模式或者search
模式。需要注意的是,step模式下,测试concurrent connections时每个Trial增加的是连接数,测试maximum connection rate时每个Trial增加的是连接速率。如总数都是50万的测试,step=10,测试concurrent connections时,trial1,2,3发送的连接总数是5万,10万,15万,每秒发送的连接数是5000,5000,5000。测试maximum connection rate时,trial1,2,3发送的连接总数是50万,50万,50万,每秒发送的连接数是500,1000,1500。
防火墙的功能
入侵检测与防火墙防火墙的功能 第五组 黄晨辉20131070141 郑东亮20131070123 颜串怀20131070131 罗维念20131070114
防火墙的主要功能 从宏观方面对防火墙的功能进行综合描述,防火墙的主要功能有以 下4个方面: 1、创建一个阻塞点: 防火墙在一个公司内部网络和外部网络间建立一个检查点。这种实 现要求所有的流量都要通过这个检查点。一旦这些检查点清楚的建立,防火墙设备就可以监视,过滤和检查所有进出的流量。这样一 个检查点,在网络安全行业里就叫做“阻塞点”。通过强制所有进 出流量都通过这些检查点,网络管理员可以集中在较少的地方来实 现安全目的。 2、隔离不同网络,防止内部信息泄露: 防火墙最基本的功能,它通过隔离内、外部网络来确保内部网络的安全,也限制了局部重点或敏感网络安全问题对全局网络造成的影响,比如可隐藏那些能透露内部细节的如Finger,DNS等服务。 3、强化安全策略: 通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分 散到各个主机相比,防火墙的集中安全管理更经济。各种安全措施 的有机结合,更能有效地对网络安全性能起到加强作用。 4、有效地审计和记录内、外部网络上的活动: 防火墙可以对内外部网络存取和访问进行监控审计。如果所有的访 问都经过防火墙,那么,防火墙就能记录下这些访问并进行日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,
防火墙能进行适当报警,并提供网络是否受到监测和攻击的详细信息。 从微观方面对防火墙的功能进行综合描述,防火墙的主要功能有以 下5个方面: 1、包过滤: 包过滤是防火墙所要实现的最基本的功能,现在的防火墙已经由最 初的地址、端口判断控制,发展到判断通信报文协议头的各部分, 以及通信协议的应用层命令、内容、用户认证、用户规则甚至状态 检测等。 2、审计和报警机制: 在防火墙结合网络配置和安全策略对相关数据分析完成以后,就要 做出接受、拒绝、丢弃或加密等决定。如果某个访问违反安全策略,审计和报警机制就开始起作用,并作记录和报告。审计是一种重要 的安全举措,用以监控通信行为和完善安全策略,检查安全漏洞和 错误配置。报警机制是在通信违反相关安全策略后,防火墙可以有 多种方式及时向管理员进行报警,如声音、邮件、电话、手机短信等。 3、NAT(网络地址转换): 网络地址转换功能现在也成为防火墙的标准配置之一。通过此项功 能就可以很好地屏蔽内部网络的IP地址,对内部网络用户起到保护作用。 4、Proxy(代理): 在防火墙代理服务中,主要有如下两种实现方式:
用材料的性能参数
用材料的性能参数(硬铝、铸铁、Q235、不锈钢.....) ①YL108(YZAlSi12Cu2) 化学成分(质量分数)(%): 硅(11.0~13.0)、铜(1.0~2.0)、锰(0.3~0.9)、镁(0.4~1.0)、铁(≤1.0)、镍(≤0.05)、锌(≤1.0)、铅(≤0.05)、锡(≤0.01)、铝(余量) 抗拉强度 σb≥240 MPa 、伸长率δ(L0=50)≥1% 、布氏硬度HBS5/250/3≥ 90 ②YL112(YZAlSi9Cu4)化学成分(质量分数)(%): 硅(7.5~9.5)、铜(3.0~4.0)、锰(≤0.5)、镁(≤0.3)、铁(≤1.2)、镍(≤0.5)、锌(≤1.2)、铅(≤0.1)、锡(≤0.1)、铝(余量) 抗拉强度 σb≥240 MPa 、伸长率δ(L0=50)≥1% 、布氏硬度HBS5/250/3≥85 压铸铝合金主要特性:压铸的铁点是生产率高、铸件的精度高和合金的强度、硬度高,是少、无切削加工的重要工艺;发展压铸是降低生产成本的重要途径。③T7化学成分(质量分数)(%): C(0.65~0.75)、Si(≤0.35)、Mn(≤0.4)、S(≤0.030)、P(≤0.035) 主要特性:经热处理(淬火、回火)之后,可得到较高的强度和韧性以及相当的硬度,但淬透性低,淬火变形,而且热硬性低。 试样淬火:淬火温度(800~820℃)冷却介质(水)硬度值HRC≥62 ④T8化学成分(质量分数)(%): C(0.75~0.84)、Si(≤0.35)、Mn(≤0.4)、S(≤0.030)、P(≤0.035) 主要特性:经淬火回火处理后,可得到较高的硬度和良好的耐磨性,但强度和塑
主要材料设备及关键部件主要技术性能
主要材料设备及关键部件主要技术性能、配置情况、 技术参数的详述细描述 一、光源及灯具 为保证灯具和光源的产品质量和原装性能,现场设备安装之前,向发包人和监理提供整套的生产厂家出厂证明等资料。 1、光源 采用高效、节能、长寿命直管形高压钠灯。色温2100K。光源的性能要求应满足GB/T13259《高压钠灯》的规定。 配套提供符合国家标准的优质镇流器和启动器。 配套提供符合国家标准的优质补偿电容器,单灯经补偿后其功率因素≥0.95。 供货商应提供通过质量体系认证、保险公司责任保险等有效证件。 投标光源品牌:飞利浦(招标文件约定),NG250W高压钠灯,含单灯补偿电容。 2、灯具 功率:250W,高压钠灯 灯体:采用重型高压合金铸铝,表面经静电喷塑处理。 反光器:宽幅度多面体组合式设计,材质采用进口高纯铝板,壁厚应大于1.2mm;表面经氧化处理后镀膜,膜厚应大于7mm。 透明罩:采用高强度钢化玻璃,厚度大于5mm。 灯具采用硅橡胶密封圈,防护等级IP65. 灯体应能有效阻止外部污染物进入灯具。 灯具为快开结构,坚固件防腐等级符合户外0类要求。 灯具效率>70%。 投标人应提供所采用灯具的技术参数、性能指标及配光曲线等作为投标文件的附件。 灯具应配套小电容补偿装置,补偿后灯具功率因素应不小于0.95。 投标灯具品牌:凌燕,长1308mm,宽375mm,高396mm。 二、灯杆 灯杆高度10m(主杆9.1m),悬挑长度1.0m。 灯杆技术条件符合行业标准CJ/T3076-1998《高杆照明设施技术
条件》,并符合工程设计文件要求。 灯杆供货商必须持有生产许可证,其设计与制造必须符合国家标准GB50135《高耸结构设计规范》及GB50017《钢结构设计规范》。 灯杆采用材质其技术参数、性能指标不低于Q235-A;灯杆壁厚应大于4.5mm;灯杆为多边形椎体,灯杆焊接成型后应整体热镀锌后喷塑。要求在灯杆内预穿好路线用BV-2.5电线。 杆体截面各内角偏差不超过+1.5℃,边长误差不超过2mm,每10m灯杆,其轴线测量的直线度误差不超过0.5‰,灯杆的全长直线被误差不超过1‰。 多边形杆体由高强度优质钢板压制而成,为8边行椎体。材质及焊接质量符合相关标准要求。 灯杆底部设有维护门,应反防盗防水,配挂专用耐蚀锁。 灯杆底座带有法兰盘,法兰盘厚度应大于20mm,通过地销螺栓安装在基础上。 灯杆杆座内应焊有接地排架、接地螺栓等。 所有螺栓、螺帽等紧固件应采用不锈钢材质。 承包人应提供整体路灯样品一套,安装到位接线亮灯,经发包人认可后方可批量生产。 三、照明控制 在照明控制柜内设有微电脑路灯控制装置,对照明实现自动和手动控制。 路灯控制装置应以高速微处理器为核心,大屏幕LCD显示屏,轻触按钮操作,并带有背光,方便夜间观察和操作。 控制装置具有断电数据保存,时钟不间断工作,无需更换电池,维持时钟行十年以上。 控制装置应能根据经纬度计算开关时间,随季节变化合理控制,最小步长1分钟。 控制装置应具备光强度控制开关功能。 控制装置应具有独立检修按钮。 控制装置抗干扰能力强,能抵御从电网输入的幅值达2000伏的干扰脉冲。 路灯维护门内设有照明分路开关。 四、照明控制柜 配电柜采用不锈钢板弯制焊接制成,板厚不小于2.0mm。门打
状态检测防火墙原理
浅谈状态检测防火墙和应用层防火墙的原理(结合ISA SERVER) 防火墙发展到今天,虽然不断有新的技术产生,但从网络协议分层的角度,仍然可以归为以下三类: 1,包过滤防火墙; 2,基于状态检测技术(Stateful-inspection)的防火墙; 3,应用层防火墙。 这三类防火墙都是向前包容的,也就是说基于状态检测的防火墙也有一般包过滤防火墙的功能,而基于应用层的墙也包括前两种防火墙的功能。在这里我将讲讲后面两类防火墙的实现原理。 先从基于状态检测的防火墙开始吧,为什么会有基于状态检测的防火墙呢?这就要先看看第一类普通包过滤防火要缺点,比如我们要允许内网用户访问公网的WEB服务,来看看第一类普通包过滤防火墙是怎样处理的呢?那们应该建立一条类似图1所示的规则: 但这就行了吗?显然是不行的,因为这只是允许我向外请求WEB服务,但WEB服务响应我的数据包怎么进来呢还必须建立一条允许相应响应数据包进入的规则。好吧,就按上面的规则加吧,在动作栏中我们填允许,由于现据包是从外进来,所以源地址应该是所有外部的,这里不做限制,在源端口填80,目标地址也不限定,这个这端口怎么填呢?因为当我访问网站时本地端口是临时分配的,也就是说这个端口是不定的,只要是1023以上的有可能,所以没有办法,那只有把这些所有端口都开放了,于是在目标端口填上1024-65535,这样规则就如图示了,实际上这也是某些第一类防火墙所采用的方法。 想一想这是多么危险的,因为入站的高端口全开放了,而很多危险的服务也是使用的高端口啊,比如微软的终端远程桌面监听的端口就是3389,当然对这种固定的端口还好说,把进站的3389封了就行,但对于同样使用高但却是动态分配端口的RPC服务就没那么容易处理了,因为是动态的,你不便封住某个特定的RPC服务。 上面说了这是某些普通包过滤防火墙所采用的方法,为了防止这种开放高端口的风险,于是一些防火墙又根据T 接中的ACK位值来决定数据包进出,但这种方法又容易导致DoS攻击,何况UDP协议还没有这种标志呢?所包过滤防火墙还是没有解决这个问题,我们仍然需要一种更完美的方法,这时就有了状态检测技术,我们先不解么是状态检测防火墙,还是来看看它是怎样处理上面的问题的。同上面一样, 首先我们也需要建立好一条类似图1的规则(但不需要图2的规则),通常此时规则需要指明网络方向,即是进还是出,然后我在客户端打开IE向某个网站请求WEB页面,当数据包到达防火墙时,状态检测检测到这是一个发起连接的初始数据包(由SYN标志),然后它就会把这个数据包中的信息与防火墙规则作比较没有相应规则允许,防火墙就会拒绝这次连接,当然在这里它会发现有一条规则允许我访问外部WEB服务,于允许数据包外出并且在状态表中新建一条会话,通常这条会话会包括此连接的源地址、源端口、目标地址、目标连接时间等信息,对于TCP连接,它还应该会包含序列号和标志位等信息。当后续数据包到达时,如果这个数
防火墙的作用是什么 六
防火墙的作用是什么六 防火墙的作用是什么,IDS的作用是什么 业界的同行曾经说过“安全,是一种意识,而不是某种的技术就能实现真正的安全。”随着工作的时间渐长,对这句话的体会就越深。再防守严密的网络,利用人为的疏忽,管理员的懒惰和社会工程学也可能被轻易攻破。 因此,在这里我介绍的防火墙和IDS技术,只是我们在网络安全环节中进行的一个防御步骤。在网络内进行防火墙与IDS的设置,并不能保证我们的网络就绝对安全了,但是设置得当的防火墙和IDS,至少会使我们的网络更为坚固一些,并且能提供更多的攻击信息供我们分析。 接下来,让我们正确地认识一下防火墙和IDS的作用吧。 防火墙 一、防火墙能够作到些什么? 1.包过滤 具备包过滤的就是防火墙?对,没错!根据对防火墙的定义,凡是能有效阻止网络非法连接的方式,都算防火墙。早期的防火墙一般就是利用设置的条件,jian 测通过的包的特征来决定放行或者阻止的,包过滤是很重要的一种特性。虽然防火墙技术发展到现在有了很多新的理念提出,但是包过滤依然是非常重要的一环,如同四层交换机首要的仍是要具备包的快速转发这样一个交换机的基本功能一样。通过包过滤,防火墙可以实现阻挡攻击,禁止外部/内部访问某些站点,限制每个ip的流量和连接数。 2.包的tou明转发 事实上,由于防火墙一般架设在提供某些服务的服务器前。如果用示意图来表示就是Server—FireWall—Guest 。用户对服务器的访问的请求与服务器反馈给用户的信息,都需要经过防火墙的转发,因此,很多防火墙具备网关的能力。 3.阻挡外部攻击 如果用户发送的信息是防火墙设置所不允许的,防火墙会立即将其阻断,避免其进入防火墙之后的服务器中。 4.记录攻击
材料性能参数
材料物理性能参数 表征材料在力、热、光、电等物理作用下所反映的各种特性。常用的材料物理性能参数有内耗、热膨胀系数、热导率、比热容、电阻率和弹性模量等。 内耗材料本身的机械振动能量在机械振动时逐渐消耗的现象。其基本度量是振动一个周期所消耗的能量与原来振动能量之比。测量内耗的常用方法有低频扭摆法和高频共振法。内耗测量多用于研究合金中相的析出和溶解。 热膨胀系数材料受热温度上升1℃时尺寸的变化量与原尺寸之比。常用的有线膨胀系数和体膨胀系数两种。热膨胀系数的测量方法主要有:①机械记录法;②光学记录法;③干涉仪法;④X射线法。材料热膨胀系数的测定除用于机械设计外,还可用于研究合金中的相变。 热导率单位时间内垂直地流过材料单位截面积的热量与沿热流方向上温度梯度的负值之比。热导率的测量,一般可按热流状态分为稳态法和非稳态法两类。热导率对于热机,例如锅炉、冷冻机等用的材料是一个重要的参数。 比热容使单位质量的材料温度升高1℃时所需要的热量。比热容可分为定压比热容cp 和定容比热容cV。对固体而言,cp和cV的差别很小。固体比热容的测量方法常用的有比较法、下落铜卡计法和下落冰卡计法等。比热容可用于研究合金的相变和析出过程。 电阻率具有单位截面积的材料在单位长度上的电阻。它与电导率互为倒数,通常用单电桥或双电桥测出电阻值来进行计算。电阻率除用于仪器、仪表、电炉设计等外,其分析方法还可用于研究合金在时效初期的变化、固溶体的溶解度、相的析出和再结晶等问题。 弹性模量又称杨氏模量,为材料在弹性变形范围内的正应力与相应的正应变之比(见拉伸试验)。弹性模量的测量有静态法(拉伸或压缩)和动态法(振动)两种。它是机械零部件设计中的重要参数之一。
防火墙的高级检测技术IDS
防火墙的高级检测技术IDS 更多防火墙相关文章:防火墙应用专区 多年来,企业一直依靠状态检测防火墙、入侵检测系统、基于主机的防病毒系统和反垃圾邮件解决方案来保证企业用户和资源的安全。但是情况在迅速改变,那些传统的单点防御安全设备面临新型攻击已难以胜任。为了检测出最新的攻击,安全设备必须提高检测技术。本文着重介绍针对未知的威胁和有害流量的检测与防护,在防火墙中多个前沿的检测技术组合在一起,提供启发式扫描和异常检测,增强防病毒、反垃圾邮件和其它相关的功能。 新一代攻击的特点 1、混合型攻击使用多种技术的混合-—如病毒、蠕虫、木马和后门攻击,往往通过Email 和被感染的网站发出,并很快的传递到下一代攻击或攻击的变种,使得对于已知或未知的攻击难以被阻挡。这种混合型攻击的例子有Nimda、CodeRed和Bugbear等。 2、现在针对新漏洞的攻击产生速度比以前要快得多。防止各种被称之为“零小时”(zero-hour)或“零日”(zero-day)的新的未知的威胁变得尤其重要。 3、带有社会工程陷阱元素的攻击,包括间谍软件、网络欺诈、基于邮件的攻击和恶意Web站点等数量明显的增加。攻击者们伪造合法的应用程序和邮件信息来欺骗用户去运行它们。 图1 Gartner发布的漏洞与补丁时间表 传统的安全方法正在失效 如今最流行的安全产品是状态检测防火墙、入侵检测系统和基于主机的防病毒软件。但是它们面对新一代的安全威胁却作用越来越小。状态检测防火墙是通过跟踪会话的发起和状态来工作的。状态检测防火墙通过检查数据包头,分析和监视网络层(L3)和协议层(L4),基于一套用户自定义的防火墙策略来允许、拒绝或转发网络流量。传统防火墙的问题在于黑客已经研究出大量的方法来绕过防火墙策略。这些方法包括: (1)利用端口扫描器的探测可以发现防火墙开放的端口。 (2)攻击和探测程序可以通过防火墙开放的端口穿越防火墙。 (3)PC上感染的木马程序可以从防火墙的可信任网络发起攻击。由于会话的发起方来自于内部,所有来自于不可信任网络的相关流量都会被防火墙放过。当前流行的从可信任网络发起攻击应用程序包括后门、木马、键盘记录工具等,它们产生非授权访问或将私密信息发送给攻击者。 较老式的防火墙对每一个数据包进行检查,但不具备检查包负载的能力。病毒、蠕虫、木马和其它恶意应用程序能未经检查而通过。 当攻击者将攻击负载拆分到多个分段的数据包里,并将它们打乱顺序发出时,较新的深度包检测防火墙往往也会被愚弄。 对深度检测的需求 现今为了成功的保护企业网络,安全防御必须部署在网络的各个层面,并采用更新的检测和防护机制。用于增强现有安全防御的一些新型安全策略包括: 设计较小的安全区域来保护关键系统。 增加基于网络的安全平台,以提供在线(“in-line”)检测和防御。 采用统一威胁管理(Unified Threat Management,简称UTM),提供更好的管理、攻击关联,降低维护成本。 研究有效的安全策略,并培训用户。 增加基于网络的安全 基于网络的安全设备能够部署在现有的安全体系中来提高检测率,并在有害流量进入公
防火墙三方面基本特性
典型的防火墙应具有哪三方面的基本特征 (一)内部网络和外部网络之间的所有网络数据流都必须经过防火墙,这是防火墙所处网络位置特性,同时也是一个前提。应为只有当防火墙是内,外部网络之间通信的唯一通道,才可以全面,有效地保护企业网络不受侵害。根据美国国家安全局制定的《信息保障技术框架》,防火墙适用于用户网络系统的边界,属于用户网络边界的安全保护设备。所谓网络边界即是采用不同安全策略的两个网络连接,比如用户网络和互联网之间连接、和其它业务往来单位的网络连接、用户内部网络不同部门之间的连接。防火墙的目的就是在网络连接之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。 (二)只有符合安全策略的数据流才能通过防火墙,防火墙最基本的功能是确保网络流量的合法性,并在此前提下将网络的流量快速的从一条链路转发到另外的链路上去。从最早的防火墙模型开始谈起,原始的防火墙是一台“双穴主机”,即具备两个网络接口,同时拥有两个网络层地址。防火墙将网络上的流量通过相应的网络接口接收上来,按照OSI协议栈的七层结构顺序上传,在适当的协议层进行访问规则和安全审查,然后将符合通过条件的报文从相应的网络接口送出,对于那些不符合通过调节的报文则予以阻断。因此,从这个角度上来说,防火墙shiite一个类似于桥或路由器的、多端口的转发设备,它跨接于多个分离的物理网段之间,并在报文转发过程之中完成对报文的审查工作。 (三)防火墙自身应具有非常强的抗攻击免疫力,这是防火墙只所以能担当企业内部网络安全防护重任的先决条件。防火墙处于网络边缘,它就像一个边界卫士一样,每时每刻都要面对黑客的入侵,这样就要求防火墙自身要具有非常强的抗击入侵本领。它之所以具有这么浅的本领,防火墙操作系统本身是关键,只有自身具有完整信任关系的操作系统才可以谈论系统的安全性。其次就是防火墙自身具有非常低的服务功能,除了专门的防火墙嵌入系统外,再也没有其它应用程序在防火墙上运行。当然安全性也只能说是相对的。
防火墙测试实施方案{项目}
防火墙测试方案测试项目 测试一、NAT/PAT 拓扑图 FTP Client LoadRunner LoadRunner PC3 测试要求
(如防火墙inside 接口不够,则使用交换机连接内部三台pc 并将内部网络合并为192.168.0.0/16) 1. 将19 2.168.1.1(pc1)静态翻译(地址翻译)为58.135.192.55 2. 将192.168.2.0-192.168.4.254动态翻译(端口翻译)为58.135.192.56 检查方法及检查项目 ● PC1通过FTP 方式从教育网下载数据 ● PC2和PC3使用LoadRunner 分别模拟500台电脑浏览网页 ● 查看设备负载和网络延迟 测试二、Site-to-Site IPSec/VPN 拓扑图 5540 测试防火墙 PC1 PC2 测试要求 1. ISAKMP 配置 2. IPSec 配置 3. 只对10.0.1.1和10.0.2.2之间互访的流量进行IPSEC 的加密 检查方法及检查项目
● PC1和PC2能否相互PING 通,在ASA5540上检测数据是否为加密数据。 ● 修改PC2的ip 地址为10.0.2.22,使用pc1 PING pc2,在asa5540上检 查数据是否为明文。 测试三、Dynamic Remote-Access IPSec/VPN 拓扑图 .2. 0/2 416 8. 1.0/24PC1PC2 测试要求 1. ISAKMP 配置 2. IPSec 配置 3. 其他 4. 防火墙Outside 外任何主机都可以与防火墙建立IPSec/VPN 连接。 5. 只对PC1和PC2互访的数据加密。
防火墙功能简介
防火墙功能简介 摘要文章给出了防火墙的定义和作用,对其相关的构造和要求做了解释,并针对国内《高层民用建筑设计防火规范》、《建筑设计防火规范》和国外规范中对防火墙的有关规定提出了在建筑实际规范中确定防火墙的构造和耐火极限要求的几点建议。 关键词防火防火墙建筑防火建筑防火设计 1,防火墙的定义和作用 在建筑防火设计中,主要考虑的是建筑物的主动、被动防火能力和人员安全疏散措施。在主动防火措施中,防火分区是一项主要内容。而防火墙是针对建筑物内外的不同部位和火势蔓延途径,在平面上设置的划分防火区段的建筑结构,是水平防火分区的主要防火分隔物。其主要作用是防止火势和烟气从建筑物外部向内部或由内部向外部或内部之间蔓延,在满足使用需要的同时,把建筑物的内部或外部空间合理地分隔策划能够若干防火区域,有效地减少人员伤亡和火灾损失。它是一种具有较高耐火极限的重要防火分隔物,是阻止火势蔓延的有力设施。 我国建筑设计防火规范中尚无对防火墙作过定义。因此,有必要对其进行定义。 从国外的标准看,防火墙的定义围绕其作用和应具有的性能来定义。如《澳大利亚建筑规范》中定义:防火墙是将楼层或建筑物分隔开,阻止火势和烟气蔓延,并具有规范规定的耐火极限(该规范将建筑物分别按功能分为10类,不同类建筑物中防火墙的耐火极限分别为1.5h,2h,3h,4h)的墙体。美国《标准建筑规范》(SBC)中定义:防火墙是从基础一直砌筑到屋顶或穿过屋顶,具有4h耐火极限,能限制火势蔓延,且在火灾条件下具有足够的结构稳定性,使得其两侧的建筑倒塌时不影响该墙的稳定的墙体(其中的开口采取防护措施)。美国《标准防火规范》(SFC)定义:防火墙是具有保护的开口,能限制火势蔓延,且从基础一直砌筑到屋顶的墙体。美国消防协会(NFPA)《防火手册》中定义:防火墙是具有足够的耐火极限、稳定性和耐久性,能抵御可使该墙两侧建筑结构倒塌的火灾的影响(如在墙上开口,必须采取防护措施)的墙体。美国消防协会标准(NFPA 221)《防火墙和防火隔墙标准》中定义:防火墙是设置在建筑物之间或在建筑物内部用以防火分隔以阻止火势蔓延,并具有一定耐火极限和结构稳定性的墙体。 因此,本人认为对防火墙可从其作用和性能进行定义,即防火墙是具有一定耐火极限、稳定性、耐久性、隔热性和抗变形能力,用于隔断火灾和烟气及其辐射热,能防止火势和烟气向其他防火区域蔓延的墙体。 2.防火墙的构造要求 防火墙从其走向可分为纵向防火墙与横向防火墙;从设置位置可分为内墙防火墙、外墙防火墙和室外独立防火墙;从其结构性能可分为:防火墙和防火隔墙。在规范中涉及较多的通常是防火墙和防火隔墙。 防火隔墙有:独立式防火隔墙、悬臂防火隔墙、承重墙、双防火隔墙、束缚式防火隔墙、单防火隔墙、翼墙等。这些墙体具有4 h的耐火极限时可作为防火墙。防火隔墙具有较低的耐火极限,且不需象防火墙一样从基础开始一直砌筑到屋顶。一般是从建筑物内的地板面到上一层顶板底。 防火墙所起作用大小主要取决于防火墙的强度、耐久性和隔绝性。防火墙上不应有任何开口孔洞。
磁性材料的基本特性及分类参数
一. 磁性材料的基本特性 1. 磁性材料的磁化曲线 磁性材料是由铁磁性物质或亚铁磁性物质组成的,在外加磁场H 作用下,必有相应的磁化强度M 或磁感应强度B,它们随磁场强度H 的变化曲线称为磁化曲线(M~H或B~H曲线)。磁化曲线一般来说是非线性的,具有2个特点:磁饱和现象及磁滞现象。即当磁场强度H足够大时,磁化强度M达到一个确定的饱和值Ms,继续增大H,Ms保持不变;以及当材料的M值达到饱和后,外磁场H降低为零时,M并不恢复为零,而是沿MsMr曲线变化。材料的工作状态相当于M~H曲线或B~H曲线上的某一点,该点常称为工作点。 2. 软磁材料的常用磁性能参数 饱和磁感应强度Bs:其大小取决于材料的成分,它所对应的物理状态是材料内部的磁化矢量整齐排列。 剩余磁感应强度Br:是磁滞回线上的特征参数,H回到0时的B值。 矩形比:Br∕Bs 矫顽力Hc:是表示材料磁化难易程度的量,取决于材料的成分及缺陷(杂质、应力等)。 磁导率μ:是磁滞回线上任何点所对应的B与H的比值,与器件工作状态密切相关。 初始磁导率μi、最大磁导率μm、微分磁导率μd、振幅磁导率μa、有效磁导率μe、脉冲磁导率μp。 居里温度Tc:铁磁物质的磁化强度随温度升高而下降,达到某一温度时,自发磁化消失,转变为顺磁性,该临界温度为居里温度。它确定了磁性器件工作的上限温度。 损耗P:磁滞损耗Ph及涡流损耗Pe P = Ph + Pe = af + bf2+ c Pe ∝ f2 t2 / ,ρ降低,磁滞损耗Ph的方法是降低矫顽力Hc;降低涡流损耗Pe 的方法是减薄磁性材料的厚度t 及提高材料的电阻率ρ。在自由静止空气中磁芯的损耗与磁芯的温升关系为: 总功率耗散(mW)/表面积(cm2)
防火墙的作用是什么
防火墙的作用是什么 1.什么是防火墙 防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。 在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和I nternet之间的任何活动,保证了内部网络的安全。 2.使用Firewall的益处 保护脆弱的服务 通过过滤不安全的服务,Firewall可以极大地提高网络安全和减少子网中主机的风险。例如, Firewall可以禁止NIS、NFS服务通过,Firewall同时可以拒绝源路由和ICMP重定向封包。 控制对系统的访问 Firewall可以提供对系统的访问控制。如允许从外部访问某些主机,同时禁止访问另外的主机。例如, Firewall允许外部访问特定的Mail Server和Web Server。 集中的安全管理 Firewall对企业内部网实现集中的安全管理,在Firewall定义的安全规则可以运行于整个内部网络系统,而无须在内部网每台机器上分别设立安全策略。Firewall可以定义不同的认证方法,而不需要在每台机器上分别安装特定的认证软件。外部用户也只需要经过一次认证即可访问内部网。 增强的保密性
使用Firewall可以阻止攻击者获取攻击网络系统的有用信息,如Figer和DNS。 记录和统计网络利用数据以及非法使用数据 Firewall可以记录和统计通过Firewall的网络通讯,提供关于网络使用的统计数据,并且,Firewall可以提供统计数据,来判断可能的攻击和探测。 策略执行 Firewall提供了制定和执行网络安全策略的手段。未设置Firewall时,网络安全取决于每台主机的用户。 3.防火墙的种类 防火墙总体上分为包过滤、应用级网关和代理服务器等几大类型。 数据包过滤 数据包过滤(Packet Filtering)技术是在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,被称为访问控制表(Access Control Table)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素,或它们的组合来确定是否允许该数据包通过。数据包过滤防火墙逻辑简单,价格便宜,易于安装和使用,网络性能和透明性好,它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备,因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。 数据包过滤防火墙的缺点有二:一是非法访问一旦突破防火墙,即可对主机上的软件和配置漏洞进行攻击;二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部,很有可能被窃听或假冒。 应用级网关 应用级网关(Application Level Gateways)是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行
防火墙测试验收方案
防火墙测试方案 引言 防火墙是实现网络安全体系的重要设备,其目的是要在内部、外部两个网络之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。 随着网上黑客活动的日益猖獗,越来越多的上网企业幵始重视网络安全问题。特别是近两三年来,以防火墙为核心的安全产品需求市场迅速成长起来,瞬间出现了众多提供防火墙产品的厂家,光国内就有几十家。各种防火墙品种充斥市场,良莠不齐,有软件的防火墙,硬件的防火墙,也有软硬一体化的防火墙;有面向个人的防火墙,面向小企业的低档防火墙,也有中高档的防火墙,技术实现上有包过滤的防火墙、应用代理的防火墙,也有状态检测的防火墙。由于防火墙实现方式灵活,种类多,而且往往要与复杂的网络环境整合在一起使用, 因此,对防火墙进行测试评估是选购防火墙产品的一个重要环节。 评估测试防火墙是一个十分复杂的工作。一般说来,防火墙的安全和性能是最重要的指标,用户接口(管理和配置界面)和审计追踪次之,然后才是功能上的扩展性。但是安全和性能之间似乎常常构成一对矛盾。在防火墙技术的发展方面,业界一直在致力于为用户提供安全性和性能都高的防火墙产品。沿着这一方向,防火墙产品经历了以软件实现为主的代理型防火墙,以硬件实现为主的包过滤防火墙,以及兼有包过滤型防火墙的高速性特点和代理性防火墙高安
全性特点的状态检测防火墙。另外,为了使灵活多变,难以掌握的防火墙安全
技术能更有效地被广大用户使用,直观易用的界面和详尽明晰的报表审计能力被越来越多的防火墙产品采用,同时,防火墙产品在与网络应用环境整合的过程中也在不断地集成和加入新的网络功能。因此,当前必须从安全性、性能、可管理性和辅助功能等方面综合进行评测,才能客观反映一个防火墙产品的素质。 测试的背景和目的 在防火墙产品市场上,产品一般分为咼、中、低三档。考虑到,咼档防火墙普遍是各公司最新或计划推出的产品,证券作为大型的安全产品使用者,使用的防火墙产品以中、高档为主,为了便于横向比较各公司的产品,在本次测试中将统一以中档防火墙产品作为测评的对象。 为了较全面地评估各公司的防火墙产品,本次防火墙产品的测试分成以下几个 部分:功能测试、安全防范能力测试、性能测试和设备可靠性测试。 参考资料 GB/T 18020-1999信息技术应用级防火墙安全技术要求 GB/T 18019-1999信息技术包过滤防火墙安全技术要求 FWPD Firewall Product Certification Criteria Version 3.0a 测试项目 ?测试项目 包过滤,NAT地址绑定,本地访问控制,多播,TRUNK代理路由,内容过滤,报警,审计实时监控,攻击,双机热备,性能。 ?测试环境简略拓扑图 ).20
防火墙的功能
防火墙的功能 防火墙是网络安全的屏障: 一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。 防火墙可以强化网络安全策略: 通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙一身上。 对网络存取和访问进行监控审计: 如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。 防止内部信息的外泄: 通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。Finger显示了主机的所有用户的注册名、真名,最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息,这样一台主机的域名和IP地址就不会被外界所了解。 除了安全作用,防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN。通过VPN,将企事业单位在地域上分布在全世界各地的LAN或专用子网,有机地联成一个整体。不仅省去了专用通信线路,而且为信息共享提供了技术保障。
防火墙测试验收方案.
防火墙测试方案 一、引言 防火墙是实现网络安全体系的重要设备,其目的是要在内部、外部两个网络之间建立
一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。 随着网上黑客活动的日益猖獗,越来越多的上网企业开始重视网络安全问题。特别是近两三年来,以防火墙为核心的安全产品需求市场迅速成长起来,瞬间出现了众多提供防火墙产品的厂家,光国内就有几十家。各种防火墙品种充斥市场,良莠不齐,有软件的防火墙,硬件的防火墙,也有软硬一体化的防火墙;有面向个人的防火墙,面向小企业的低档防火墙,也有中高档的防火墙,技术实现上有包过滤的防火墙、应用代理的防火墙,也有状态检测的防火墙。由于防火墙实现方式灵活,种类多,而且往往要与复杂的网络环境整合在一起使用,因此,对防火墙进行测试评估是选购防火墙产品的一个重要环节。 评估测试防火墙是一个十分复杂的工作。一般说来,防火墙的安全和性能是最重要的指标,用户接口(管理和配置界面)和审计追踪次之,然后才是功能上的扩展性。但是安全和性能之间似乎常常构成一对矛盾。在防火墙技术的发展方面,业界一直在致力于为用户提供安全性和性能都高的防火墙产品。沿着这一方向,防火墙产品经历了以软件实现为主的代理型防火墙,以硬件实现为主的包过滤防火墙,以及兼有包过滤型防火墙的高速性特点和代理性防火墙高安全性特点的状态检测防火墙。另外,为了使灵活多变,难以掌握的防火墙安全技术能更有效地被广大用户使用,直观易用的界面和详尽明晰的报表审计能力被越来越多的防火墙产品采用,同时,防火墙产品在与网络应用环境整合的过程中也在不断地集成和加入新的网络功能。因此,当前必须从安全性、性能、可管理性和辅助功能等方面综合进行评测,才能客观反映一个防火墙产品的素质。 测试的背景和目的 在防火墙产品市场上,产品一般分为高、中、低三档。考虑到,高档防火墙普遍是各公司最新或计划推出的产品,证券作为大型的安全产品使用者,使用的防火墙产品以中、高档为主,为了便于横向比较各公司的产品,在本次测试中将统一以中档防火墙产品作为测评的对象。 为了较全面地评估各公司的防火墙产品,本次防火墙产品的测试分成以下几个部分:功能测试、安全防范能力测试、性能测试和设备可靠性测试。 参考资料 GB/T 18020-1999信息技术应用级防火墙安全技术要求 GB/T 18019-1999 信息技术包过滤防火墙安全技术要求 FWPD:Firewall Product Certification Criteria Version 3.0a 测试项目 一.测试项目 包过滤,NA T,地址绑定,本地访问控制,多播,TRUNK,代理路由,内容过滤,报警,审计实时监控,攻击,双机热备,性能。 二.测试环境简略拓扑图
防火墙的设计与实现
课程设计报告 课程名称计算机网络 课题名称1、防火墙技术与实现 2、无线WLAN的设计与实现 专业计算机科学与技术 班级0802班 学号200803010212 姓名王能 指导教师刘铁武韩宁 2011年3 月6 日
湖南工程学院 课程设计任务书 一.设计内容: 问题1:基于802.1X的认证系统 建立为了便于集中认证和管理接入用户,采用AAA(Authentication、Authorization 和Accounting)安全体系。通过某种一致的办法来配置网络服务,控制用户通过网络接入服务器的访问园区网络,设计内容如下: 1.掌握IEEE820.1X和RADIUS等协议的工作原理,了解EAP协议 2.掌握HP5308/HP2626交换机的配置、调试方法 3.掌握WindowsIAS的配置方法和PAP,CHAP等用户验证方法 4.建立一个基于三层交换机的模拟园区网络,用户通过AAA方式接入园区网络 问题2:动态路由协议的研究与实现 建立基于RIP和OSPF协议的局域网,对RIP和OSPF协议的工作原理进行研究,设计内容如下: 1.掌握RIP和OSPF路由协议的工作原理 2.掌握HP5308三层交换机和HP7000路由器的配置、调试方法 3.掌握RIP和OSPF协议的报文格式,路由更新的过程 4.建立基于RIP和OSPF协议的模拟园区网络 5.设计实施与测试方案 问题3:防火墙技术与实现 建立一个园区网络应用防火墙的需求,对具体实施尽心设计并实施,设计内容如下:1.掌握防火墙使用的主要技术:数据包过滤,应用网关和代理服务
2.掌握HP7000路由器的配置、调试方法 3.掌握访问控制列表ACL,网络地址转换NAT和端口映射等技术 4.建立一个基于HP7000路由器的模拟园区网络出口 5.设计实施与测试方案 问题4:生成树协议的研究与实现 建立基于STP协议的局域网,对STP协议的工作原理进行研究,设计内容如下:1.掌握生成树协议的工作原理 2.掌握HP5308三层交换机和HP2626交换机的配置、调试方法 3.掌握STP/RSTP/MSTP协议的的工作过程 4.建立基于STP协议的模拟园区网络 5.设计实施与测试方案 问题5:无线WLAN的设计与实现 建立一个小型的无线局域网,设计内容如下: 1.掌握与无线网络有关的IEEE802规范与标准 2.掌握无线通信采用的WEP和WPA加密算法 3.掌握HP420无线AP的配置方法 4.建立基于Windows server和XP的无线局域网络 5.设计测试与维护方案 二.设计要求: 1.在规定时间内完成以上设计内容。 2.画出拓扑图和工作原理图(用计算机绘图) 3.编写设计说明书 4. 见附带说明。
磁性材料的基本特性及分类参数
一.磁性材料的基本特性 1.磁性材料的磁化曲线 磁性材料是由铁磁性物质或亚铁磁性物质组成的,在外加磁场H作用下,必有相应的磁化强度M或磁感应强度B,它们随磁场强度H的变化曲线称为磁化曲线(M~H或B~H曲线)。磁化曲线一般来说是非线性的,具有2个特点:磁饱和现象及磁滞现象。即当磁场强度H足够大时,磁化强度M达到一个确定的饱和值Ms,继续增大H,Ms保持不变;以及当材料的M值达到饱和后,外磁场H降低为零时,M并不恢复为零,而是沿MsMr曲线变化。材料的工作状态相当于M~H曲线或B~H曲线上的某一点,该点常称为工作点。 2.软磁材料的常用磁性能参数 饱和磁感应强度Bs:其大小取决于材料的成分,它所对应的物理状态是材料内部的磁化矢量整齐排列。 剩余磁感应强度Br:是磁滞回线上的特征参数,H回到0时的B值。 矩形比:Br∕Bs 矫顽力Hc:是表示材料磁化难易程度的量,取决于材料的成分及缺陷(杂质、应力等)。 磁导率μ:是磁滞回线上任何点所对应的B与H的比值,与器件工作状态密切相关。 初始磁导率μi、最大磁导率μm、微分磁导率μd、振幅磁导率μa、有效磁导率μe、脉冲磁导率μp。 居里温度Tc:铁磁物质的磁化强度随温度升高而下降,达到某一温度时,自发磁化消失,转变为顺磁性,该临界温度为居里温度。它确定了磁性器件工作的上限温度。 损耗P:磁滞损耗Ph及涡流损耗Pe P = Ph + Pe = af + bf2+ c Pe ∝ f2 t2 / ,ρ降低,磁滞损耗Ph的方法是降低矫顽力Hc;降低涡流损耗Pe的方法是减薄磁
性材料的厚度t及提高材料的电阻率ρ。在自由静止空气中磁芯的损耗与磁芯的温升关系为: 总功率耗散(mW)/表面积(cm2) 3.软磁材料的磁性参数与器件的电气参数之间的转换 在设计软磁器件时,首先要根据电路的要求确定器件的电压~电流特性。器件的电压~电流特性与磁芯的几何形状及磁化状态密切相关。设计者必须熟悉材料的磁化过程并拿握材料的磁性参数与器件电气参数的转换关系。设计软磁器件通常包括三个步骤:正确选用磁性材料;合理确定磁芯的几何形状及尺寸;根据磁性参数要求,模拟磁芯的工作状态得到相应的电气参数。 二、软磁材料的发展及种类 1.软磁材料的发展 软磁材料在工业中的应用始于19世纪末。随着电力工及电讯技术的兴起,开始使用低碳钢制造电机和变压器,在电话线路中的电感线圈的磁芯中使用了细小的铁粉、氧化铁、细铁丝等。 到20世纪初,研制出了硅钢片代替低碳钢,提高了变压器的效率,降低了损耗。直至现在硅钢片在电力工业用软磁材料中仍居首位。到20年代,无线电技术的兴起,促进了高导磁材料的发展,出现了坡莫合金及坡莫合金磁粉芯等。从40年代到60年代,是科学技术飞速发展的时期,雷达、电视广播、集成电路的发明等,对软磁材料的要求也更高,生产出了软磁合金薄带及软磁铁氧体材料。进入70年代,随着电讯、自动控制、计算机等行业的发展,研制出了磁头用软磁合金,除了传统的晶态软磁合金外,又兴起了另一类材料—非晶态软磁合金。 2.常用软磁磁芯的种类 铁、钴、镍三种铁磁性元素是构成磁性材料的基本组元。 按(主要成分、磁性特点、结构特点)制品形态分类:
防火墙测试方法
防火墙测试方法 我们使用的测试仪器是思博伦通信公司的SmartBits 6000B。控制台使用一台配置为PIII 1GHz/128M 内存/20G硬盘的惠普台式机。 在测试百兆防火墙性能时,使用SmartBits 6000B的10/100M Ethernet SmartMetrics模块的两个10/100Base-TX端口,将其分别与防火墙的内外网口直连,如图1所示。测试千兆防火墙性能与百兆防火墙基本一样,使用1000Base-X SmartMetrics模块的两个1000Base-SX GBIC,通过光纤将其分别与千兆防火墙的内外网口直连。 图1 测试防火墙防攻击能力时,使用SmartBits 6000B的10/100M Ethernet SmartMetrics模块的4个10/100Base-TX端口,分别连接到港湾的礖ammer24交换机上(该交换机经过我们测试达到线速),防火墙的内外网口也连接到交换机上(千兆防火墙通过光纤与交换机连接)。如图2所示。
图2 测试软件为SmartFlow 1.50和WebSuite Firewall 1.10。 性能测试 我们的性能测试主要依照RFC2544、RFC 2647以及中华人民共和国国家标准GB/T 18019-1999《信息技术包过滤防火墙安全技术要求》、GB/T18020-1999《信息技术应用级防火墙安全技术要求》和 GB/T17900-1999《网络代理服务器的安全技术要求》。 测试吞吐量、延迟和丢包率使用的是SmartFlow 1.50,测试双向性能时,每一个方向设置一个流(flow),单向性能测试设置一个流,测试使用的是UDP包。测试百兆防火墙与千兆防火墙的测试方法相同。测试防火墙双向、单向性能与最大并发连接数时,我们要求防火墙配置为内外网全通,测试起NAT功能后的性能时,防火墙只增加了NAT功能。测试双向性能时,我们选用了64字节、128字节、256字节、512字节、1518字节5种长度的帧,测试单向性能时,选用了64字节、512字节、1518字节3种长度的帧。吞吐量的测试时间为60s,允许的帧丢失率(Acceptable loss)设置为0(我们认为这样测得的数据才是真正意义上的吞吐量),测试延迟和丢包率的时间为120s,测试延迟的压力为10%和该种帧长的吞吐量。测试防火墙的最大并发连接数时,我们使用的是WebSuite Firewall 1.10,通过防火墙建立带HTTP请求的TCP 连接(TCP Connection/HTTP),速率为500个请求/秒。防火墙启动NAT功能以后的性能测试方法与单向性能测试相同。 防攻击测试 在测试防火墙防攻击能力时,我们要求防火墙允许内外网相互访问,允许ping。每种攻击设置5个session,在100%压力下发攻击包,同时测试防火墙能否建立50000个HTTP连接(称之为背景流),连接速率也为500请求/秒。攻击由外网向内网发起,背景流为外网向内网建立HTTP请求。 测试SynFlood、Smurf、Land-based、Ping Sweep、Ping Flood 5种攻击时,共发送1000个攻击包;在测试 Ping of Death攻击时5个session发送5个超长包,每个超长包分成45个攻击包,共225个攻击包;测试TearDrop攻击时5个session共发送5个攻击,每个攻击由3段组成,一共发送15个攻击包。 我们使用NAI公司的Sniffer Pro 4.70对SmartBits 6000B的模拟受攻击端口进行抓包,过滤掉一些广播包、ARP包等非攻击包后,得到的就是透过防火墙的攻击包。 我们每种测试都进行三遍,取三次的平均值作为最后的结果。 功能考察 在防火墙的功能考察测试中,我们的工程师详细地阅读了送测防火墙随机提供的说明文档,实际地对每款防火墙进行了安装和配置。根据不同防火墙的差异性,我们通过Console口、Web方式以及某些防火墙特定的管理软件对防火墙进行了配置和尝试。我们在防火墙中实际考察了功能表中的功能,同时也考察了每种防火墙各种管理方式的易用程度、界面友好程度。