第一篇:铝钎焊技术在电子产品中的应用-真空钎焊
铝钎焊技术在电子产品中的应用
作者:电子36研究所余红华
摘要:主要介绍了电子产品中使用的铝合金散热器、冷板和平板缝隙天线等工件的铝钎焊技术,对钎焊接头与夹具、工艺参数和加工过程进行了较详细的论述。关键词:铝合金;炉中钎焊;夹具
1引言
由于铝合金密度小、耐腐蚀、导热和导电性好,且具有一定的比强度,铝合金材料应用范围不断扩大,电子设备中散热器、冷板和平板缝隙天线基本上采用铝合金钎焊结构。
散热器、冷板体积大,对钎缝成形和变形有一定要求,液冷系统中的冷板要求能承受0.4MPa的工作水压,根据不同要求可选用炉焊、真空钎焊工艺,其中真空钎焊适合质量要求高的零件。
平板缝隙天线由1mm厚的辐射板、隔板、底板组成的共壁波导阵和馈电波导焊接成形,该天线结构复杂,目前国内外对此零件通常以数控加工成形,装配后采用盐浴焊、真空钎焊等几种焊接方式整体焊接,在制造工艺上存在一系列问题,尤其是天线的组合钎焊,波导作为微波传输通道,它要求有严格的截面尺寸、形位公差要求,钎焊后不仅要有合适的内腔圆角,同时不能在内腔形成金属堆积、熔蚀等缺陷,更不能有未焊上的钎缝和截面的翘曲变形,任何加工不合适都会影响天线的相位和驻波,所以这些结构特点给平板缝隙天线加工带来了很大的难度。铝钎焊原理
2.1 空气炉中钎焊
空气炉中钎焊是最简单的炉中钎焊方法。钎焊时把装配好并加上钎料及钎剂的工件放入电炉中,工件被加热到钎焊温度后,依靠钎剂去除母材表面的氧化膜,使钎料流入接头间隙。取出冷却后便形成钎焊接头。
由于炉中钎焊的加热周期较长,为了减少工件氧化,防止钎剂蒸发和丧失活性,应尽量缩短工件在高温下停留时间,钎焊工件的加热时间根据工件和夹具的大小而不同,一般通过试验确定。空气炉中钎焊设备简单,成本较低,加热均匀,变形小。但最大的缺点是钎焊过程中母材暴露在空气中,钎剂会发生严重的氧化,如果采用氮气保护效果会更好。另外由于氯化物钎剂钎渣的强烈吸潮性,钎焊接头易发生腐蚀,所以铝钎焊使用的钎剂最好是无腐蚀钎剂,其中QF型[1,2]钎剂是氟化物钎剂,它由KF及ALF3组成,当KF为45.8%、ALF3为54.2%时,钎剂中将不存在KF及ALF3,而全部形成 K3AlF6-KAlF4,由相图可知其共晶温度为562℃。该种钎剂不吸潮,在室温下不与水和铝发生反应,仅在钎焊温度附近有活性,焊后残渣不会引起腐蚀,在钎焊过程中去膜能力强,钎焊后接头耐蚀性好,钎缝致密性好,能用于铝合金空气炉中钎焊,但如果在潮湿的空气中加热这种钎剂时,钎剂成分要发生变化而影响去膜能力。另外,各个厂家生产的钎剂质量相差较大,在加热时间较长时尤其明显,有的钎剂根本不能完成钎焊,文献[3]指出,在加热温度、焊前清洗等正常情况下,钎剂质量波动是造成钎焊质量大幅度波动的主要原因。
2.2 真空钎焊
真空钎焊是为适应宇宙航空、海洋开发、原子能、电子工业及化学工业的需要而发展起来的一种较新的钎焊方法。真空焊接过程不需要钎剂即能连接铝钛等高活性金属,同时能保证获得精密光亮的接头,此接头具备优良的机械性能和抗腐蚀性能。真空钎焊是在真空炉中进行,随着真空炉性能价格比的不断提高,铝真空钎焊炉已在民品、军品工业中得到大量应用,铝真空钎焊相比盐浴钎焊和钎剂钎焊具有明显的优点:1)无毒和无污染;2)不使用钎剂,不存在焊渣,无需焊后清洗,节约人力物力;3)在真空中加热,没有氧化问题,可以加工很大的工件;4)加热均匀,变形量小,可以做到焊后不修整,这对于焊后难于清洗和修整的高精度铝波导是非常必要的,同时对于风冷散热器、水冷冷板的钎焊也比较适合。真空炉由真空室、加热器、控制系统和配套的真空系统组成。现在主流的铝真空钎焊为冷壁炉,采用水冷炉壁,生产条件好,钎焊的工件质量高,适用于小批量、多品种零件的加工。工艺过程
3.1 基体材料、钎料及使用
表1是几种常用钎焊基体材料、钎料的物理和机械性能。由于LF21、LD31铝合金材料的固相线温度比其他铝合金高,比较适合铝合金高温钎焊,LF21铝合金适用于各种结构件,而LD31铝合金可热处理强化,其加工性能、抗腐蚀性能、力学性能良好,适用于真空钎焊后需热处理强化的结构件,如平板缝隙天线等。在散热器、冷板加工过程中发现10mm左右的铝合金原材料有一定的变形,会影响装配过程和钎焊质量,也增大后续铣加工量,冷校平很难解决这一问题,通过试验采用热校平工艺很好地解决了此问题。
钎料是钎焊工艺中的关键连接材料,Al-Si、Al-Si-Sr-La共晶钎料适合于空气炉、气体保护炉有钎剂钎焊,目前使用的为Φ1.5mm的盘状钎料,为了使钎料贴近钎缝形成满意的焊缝,要求钎料必须直,在校直过程中我们采用退火工艺后拉直,现在钎料可以做的很直,有利于钎焊质量的提高。Al-Si-Mg钎料及复合钎料板适用于真空钎焊,在钎料中加入一定量的Mg,可以提高局部去膜效果。
3.2 钎剂和活化剂
铝合金表面氧化膜致密稳定、熔点高,在普通钎焊温度下不易分解,在空气炉、气体保护炉钎焊必须使用钎剂,QF型氟化物钎剂有较强的去氧化膜能力,但其机理目前尚不清楚,有人认为主要是氟铝酸钾能溶解氧化铝膜,且常温下不与水反应,我们用的就是带水的浆状钎剂。铝的真空钎焊由于铝的氧化膜在真空中也很难分解,所以在很长的一段时间内没有取得进展,直到提出采用所谓金属活化剂后,铝的真空钎焊才被实现。试验表明,Mg是铝真空钎焊最好的活化剂,通过加入镁可以获得良好的钎焊性能和优良的钎焊接头。
3.3 工件结构特点的分析和加工过程
3.3.1 工件结构特点的分析
由于各工件技术要求不同,加工工艺也不一样,合理的钎焊接头设计十分必要,通过对散热器、冷板和平板缝隙天线各自特点的分析,提出如图2的结构形式。
空气、氮气炉钎焊散热器采用铣定位槽结构,该结构定位可靠,钎剂和钎料添加位置合理,大面为整体材料,变形易控制,已在生产中大量采用。
真空钎焊散热器、冷板采用复合钎料板夹在基材中的夹层结构,该结构由于利用了复合钎料板良好的钎焊性能,只要控制好工艺,钎焊质量易保证,但对上面结构的散热器要兼顾钎料流淌和强度,温度过高,钎料流淌严重,温度过低,强度不易保护。真空钎焊平板缝隙天线采用扭式榫头,中间夹钎料箔的结构,该接头相比目前常用的胀铆榫头结构,减少铆接应力,加工也比较方便。
3.3.2 典型工件的加工过程
空气(氮气)炉钎焊散热器、冷板的工序为:1)热校平;2)焊前清洗、零件铣成形;3)装配、加钎剂钎料(不需要烘干);4)钎焊;5)清洗;6)机加工成形。
真空钎焊散热器、冷板的工序:1)零件成形; 2)焊前清洗、钎焊; 3)机加工成形。平板缝隙天线的工序为:1)数冲阵面板成形、波导等零件铣或线切割成形;2)焊前工件、钎料表面处理,尤其线切割面的处理;3)装配钎焊成形,包括夹具设计;4)校形;5)电性能测试。
3.4 夹具设计
铝合金钎焊一般要加热到600℃左右,在这个过程中,工件易变形,尺寸精度不易保证,同时为了保证钎焊间隙通常要采用夹具,铝合金钎焊夹具材料一般采用不锈钢,有特殊要求时也可以选用其他材料作为夹具材料。采用不锈钢夹具材料时,由于不锈钢和铝合金的热膨胀系数不同,LF21的热膨胀系数为25×10-6/℃,1Cr18Ni9Ti的热膨胀系数为18×10-6/℃,工件从25℃加热到600℃时,当所限制尺寸为100mm(散热器)时,铝合金与不锈钢的膨胀量差为0.4mm,当所限制尺寸为600mm(如平板缝隙天线)时,膨胀量差为2.4mm,在钎焊温度时由于不锈钢的刚性远大于铝合金,所以铝合金会产生变形。另外,工件在加热和冷却过程中由于速度不均匀也会产生变形。夹具设计时根据工件不同要求,在考虑定位需要的同时还必须考虑以上因素。
散热器、冷板钎焊主要对加工大面的平面度、侧板与底板垂直度、焊缝间隙有要求,其他要求不十分严格,采用强制变形夹具可以满足使用要求,图3为强制变形夹具的使用状态,待焊件依配合尺寸而紧固于夹具体内,在钎焊过程中,被焊件的变形行为始终受夹具的限制,即随夹具的变形而变形,这样在焊后其配合尺寸即为夹具尺寸。由于夹具的刚性远大于铝合金,因而配合尺寸基本可以保证。另外为了降低工件的冷却速度,设计一个冷却罩,在工件出炉后立即罩上,使工件与冷空气热交换减少,达到使工件均匀冷却,减少变形的目的。
对于平板缝隙天线这类工件,不仅有配合尺寸要求而且对外形尺寸精度要求高的零件,采用强制变形夹具就不能满足要求,当所限制长度方向尺寸为600mm(天线)时,膨胀量差为2.4mm,可能引起的变形量就达2.4mm,而厚度方向尺寸为10mm时,可能的变形量为0.04mm,这对于壁厚为1mm,尺寸公差为0.05mm的波导来说,这种变形是不允许的,必须考虑别的结构形式的夹具,如文献[4]提出的柔性夹具。
3.5钎焊设备
(1)KBC-L型铝钎焊空气炉的主要结构组成,该炉由控制系统、可动炉体和推车三部分组成,如图4所示。钎焊炉工作方式为:炉体预热→炉罩上升→推车移出→工件放置→推车复位→炉罩下降→钎焊出炉。
该炉温测控系统主要由Al人工智能工业调节器、小型圆图温度记录仪、可控硅模块、各功能按钮及仪表等组成。将设定值输入Al人工智能工业调节器(温度和时间),由调节器控制可控硅模块,通过调整一个固定的时间内可控硅通断比例来实现输出功率大小变化,从而达到连续调节加热炉功率的目的。小型圆图温度记录仪通过热电偶的转换,可分别记录炉膛温度和钎焊工件温度(模拟)与时间的曲线,有利于钎焊工艺的分析和参数的调整。该控制系统具有测温精度高,控温性能好,操作方便等优点。现在采用三温区控温的氮气炉性能更好,钎焊的散热器质量更高。
(2)铝真空钎焊炉,这类钎焊炉采用多温区控温,炉温均匀性为±5℃,工作真空度≤1.3×10-3Pa,最适用于复合板(带钎料)结构工件的钎焊。在民品、军品生产中得到广泛应用,如空分设备中的换热器、汽车和电子设备的散热器等,但对于特殊结构工件(如平板缝隙天线)的钎焊需要采用特殊工艺。
3.6 钎焊规范
3.6.1 空气炉加热规范和清洗工艺的确定
由于该工件厚度较厚、体积较大,采用硬加热规范,把炉膛温度预置到650℃,然后把安置好钎料和钎剂的工件放入炉膛进行加热,待工件温度上升到600℃即可出炉冷却。钎焊后的工件在20%左右的硝酸溶液清洗,可以得到满意的清洗效果。
3.6.2 真空钎焊规范
为保证工件钎焊质量,要严格控制工件、钎料焊前表面处理(包括必要的机械清理),缩短焊前装配时间,在真空钎焊过程中,真空度控制在1.3×10-3Pa左右,钎焊温度为600℃,加适量镁,钎焊时钎料的润湿和接头形成是一快速过程,约需要1秒钟,因此保温时间主要由整个零件加热到钎焊温度所需的时间及氧化膜层消散所需时间决定,如果保温时间过长,工件易形成熔蚀。试验结果及讨论
4.1 外观检验
在空气炉中钎焊散热器的过程中也发现部分工件有少量熔蚀、钎缝成形欠好和变形等缺陷,经试验分析认为产生熔蚀的主要原因为加热时间过长,钎缝成形欠好的原因是钎剂质量不稳定,产生变形原因为夹具设计不完善,针对产生问题的原因采取相应措施后钎焊的散热器、冷板,钎缝经目测检验,圆角形成良好,钎料熔化完全,无熔蚀现象,钎焊后工件大面的平面度≤1mm。平板缝隙天线20根波导阵中的波导内圆角≤0.5mm,波导内表面光滑,钎缝成形较好,辐射面平面度≤0.2mm,基本达到设计要求,其中馈电部分有所欠缺,主要问题是部分尺寸有偏差和部分钎缝结合不好,大小H-T组成的功分网络钎焊质量有待提高。
4.2 钎焊接头机械性能和金相组织
钎焊接头按国标GB2651-89、GB2653-89进行拉伸和弯曲试验,钎焊接头的抗拉强度为100MPa,冷弯角为145°,拉伸试样断裂部位都在母材,表明钎缝的强度比母材高,弯曲试验表明钎焊接头塑性较好。分析钎缝的金相组织,该组织为典型的α~Al+Si共晶组织。
4.3 交变湿热试验
结合整机要求,将空气炉中钎焊的散热器清洗后按GJB367.2-87进行交变湿热试验,周期为48小时,钎缝表面保持金属光泽,无腐蚀现象发生。
4.4 冷板致密性检查
4.4.1 水压试验
将水通过手动试压泵徐徐加压充入冷板内(试验压力为0.8MPa),未见泄露。水压试验结果表明,采用上述工艺制造的冷板能满足0.4MPa压力的冷却液在使用过程中不漏水的要求。
4.4.2 断面检查
为检查钎缝内部的致密性,将冷板试样用铣加工的方法从中间剖开,腐蚀后观测钎缝,空气炉钎焊冷板上可以看到有不致密缺陷存在,但由于这些缺陷是相对孤立的,只要不形成从内到外灌通的通道,就是安全的,这一点也可以从水压试验冷板不漏水中得到证实。而真空钎焊冷板内部十分致密,无任何缺陷存在,这是因为真空钎焊不需要钎剂,钎焊过程中又采用复合板,不会有钎剂残渣留在钎焊面上。
4.5 天线电性能测试
真空钎焊的平板缝隙天线,1/16子阵天线经测试近、远场方向图良好和驻波比小于1.5。全阵天线驻波比小于1.9,增益为30dB,方向图良好,达到了设计要求。结束语
空气炉中钎焊散热器和冷板,工件钎焊质量良好,工艺过程稳定,设备投资少,综合成本小,采用该工艺已生产散热器、冷板等工件300多套,氮气保护炉钎焊质量更好。采用合理的真空钎焊工艺可以加工出满足设计要求的平板缝隙天线,而真空钎焊的冷板的质量相比于空气炉钎焊有明显提高,对于尺寸大、质量要求高的工件采用真空钎焊工艺是合适的。
参考文献 四机部铝波导钎焊攻关组.铝波导钎焊QF型氟化物钎剂研究.电子工艺技术,1981(10)2 钱乙余.铝钎焊技术在我国的发展与应用.焊接,1984 3 郑建生.微波元件铝钎焊质量控制.第四届全国电子工业焊接学术会议论文集,1992 4 郭万林.铝合金钎焊用柔性夹具的设计.论文集,1996(end)
第二篇:2014年中国钎焊铝轧制材行业发展不利因素分析
2014年中国钎焊铝轧制材行业发展不利因素分析 智研咨询网讯:
内容提示:我国钎焊铝轧制材行业是伴随着学习外资企业先进技术、引进国外先进设备并不断消化吸收发展起来的。
内容选自智研咨询发布的《2014-2019年中国铝合金拉链市场调查及投资前景分析报告》
(1)原材料价格波动剧烈
钎焊铝轧制材生产所用的原材料主要是铝锭,特别是2008 年国内外铝锭价格波动剧烈,虽然行业内产品的定价方式为“基准铝价+加工费”,当铝锭价格波动时具备一定的转嫁成本的能力,但是如果未来铝锭价格持续大幅波动,将会增加行业生产企业资金周转、成本控制和库存控制的难度,对经营业绩造成不利影响。
(2)市场竞争激烈,低端产品无序竞争
由于钎焊铝轧制材行业的良好前景,中国市场强大的需求以及原材料和人力资源优势,许多生产钎焊铝轧制材的国际铝业公司纷纷在国内建立生产基地和研发中心,通过本土化研发和生产,降低产品成本。这将使得国内钎焊铝轧制材行业的竞争更加激烈。同时因为铝合金复合材料的附加值相对较高,国内传统的铝加工企业也纷纷进入此行业,短期内,造成行业中的小企业较多,生产规模小,缺乏核心技术,在低端产品领域,利用低价方式进行竞争,这种只注重短期利益而忽视长远发展的模式造成了铝合金复合材料的质量出现下降,对钎焊铝轧制材行业的发展造成一定的负面影响。
(3)整体技术水平和研发创新能力不足
我国钎焊铝轧制材行业是伴随着学习外资企业先进技术、引进国外先进设备并不断消化吸收发展起来的。近年来,钎焊铝轧制材的产量迅速增长,行业中以银邦金属复合材料股份有限公司为代表的内资领先企业通过多年的经验积累和技术攻关,具备了较强的技术研发实力,独立研发出差异化的新产品,增强了公司竞争力。但是行业整体研发创新能力不足,核心关键生产设备仍需进口,存在一定的低水平重复建设,技术含量高、附加值较高的产品比例仍然偏低,整体产品质量与性能与外资企业以及国外先进水平还存在一定差距,行业整体技术水平和研发创新能力有待进一步提高。
第三篇:DSP在音视频信号处理及消费电子产品 中的应用
文献综述
题
目DSP在音/视频信号处理及消费电子产品
中的应用
课程名称 DSP系统设计
一、DSP的基本概念
DSP(digital signal processor)是一种独特的微处理器,是以数字信号来处理大量信息的器件。是以数字信号来处理大量信息的器件。其工作原理是接收模拟信号模拟信号,转换为0或1的数字信号。再对数字信号进行修改、删除、强化,并在其他系统芯片中把数字数据解译回模拟数据或实际环境格式。它不仅具有可编程性,而且其实时运行速度可达每秒数以千万条复杂指令程序,远远超过通用微处理器,是数字化电子世界中日益重要的电脑芯片。它的强大数据处理能力和高运行速度,是最值得称道的两大特色。
二、DSP学科发展状况以及特点、发展状况:当今数字化时代的背景下, DSP已成为通信、计算机、消费类电子产品等领域的基础器件,DSP将是未来集成电路中发展最快的电子产品,并将成为电子产品更新换代的决定因素。而且DSP系统具有接口方便易于编程、稳定性好、精度高、可重复性好和集成方便等特点,因此可以说基于DSP的信号处理系统是信号处理领域的发展方向。
具体特性如下:(1)运算速度快。DSP 的总线采用哈佛结构, 即独立的程序总线和数据总线, 流水线处理技术, 使运算速度特别快, 甚至比有些 PC 机的 CP U 还要快。而且 DSP 在处理乘加运算时比其它处理器都要快得多。
(2)接口方便。DSP 系统与其它以现代数字技术为基础的系统或设备都相互兼容, 这样的系统接口以实现某种功能要比模拟系统与这些系统接口要容易得多。具有并行 I/ O, 异步串口, 同步串口等 I / O 接口;有些 DSP 芯片内有双 十位的 A/ D 接口, 例如 T MS32 0F 2 40;有通 用定时器、多路 P WM、看门狗定时器和实时中断定时器等事件处理接口;还具有仿真接口等。(3)编程方便。DSP 系统中的可编程 DSP 芯片可使设计人员在开发过程中灵活方便地对软件进行修改和升级。(4)稳定性好。DSP系统以数字处理为基础, 受环境温度以及噪声的影响较小, 可靠性高。(5)精度高。定点DSP芯片字长16位, CALU(中央算术逻辑单元)和累加器32位。浮点 DS P 芯片字长32位,累加器40位.三、该领域所应用DSP芯片
DSP(TMS320C5409)
四、典型应用方案
(一)、dsp在音频信号处理中的应用
1、在外语多媒体教学中,要求对语速进行快慢控制,以适应不同程度学生的需求。语音变速系统应当具备调整语速的同时,还需要保证原说话者语调不失真。基于DSP(TMS320C5409)的语音实时变速系统能够任意调整语音语速,达到外语多媒体教学的需求。
2、声音数字压缩技术早已获得应用,其中以脉冲编码调制(PCM)的方法最普遍。但由于它只能压缩50%数字,有缺陷。DSP已经在音效应用中得到广泛采用,而且大部分应用于音效产品的技术,例如应用于多媒体音效卡。NEC公司推出了控制声音区域的DSP,可以应用于音效卡。新加坡音效卡供应商Creative Technology的技术销售专家Ian Skelton强调指出,DSP面市后,语音便成了工作重点。改进DSP,就能改进语音的吞吐量,从而减轻PC的负荷及改进语音。
(二)、dsp在视频信号处理中的应用
1、DVD里应用的活动图像压缩/解压缩用MPEG2编码/译码器,同时也广泛地应用于视频点播VOD、高品位有线电视和卫星广播等诸多领域。在这些领域里,应用的DSP应该具备更高的处理速度和功能。而且,活动图像压缩/解压技术也日新月异,例如,DCT变换域编码很难提高压缩比与重构图像质量,于是出现了对以视觉感知特性为指导的小波分析图像压缩方法。新的算法出现,要求相应的高性能DSP。
2、基于DSP的智能视频监控系统 传统的视频监视系统是简单的非智能闭路电视(CCTV)系统,这样的监控需要安保人员实时监视画面以捕捉关键事件,或者需要在事后对视频记录进行回放并进行人工分析。耗时耗力,成本高而效率低。近几年,DSP在智能视频监控系统方面的应用不断完善,正在逐渐取代传统的模拟非智能系统。iSuppli公司2006年的一份分析报告曾指出,IP视频监控系统市场到2010年将增长近十倍。IP监控的创新技术之一是“智能摄像机”,它拥有强大的数字信号处理器,能探测威胁并触发自动响应。可见,DSP芯片是智能监控的核心。
(三)、dsp在电子消费品中的应用
未来10年,全球DSP产品将向着高性能、低功耗、加强融合和拓展多种应用的趋势发展,DSP芯片将越来越多地渗透到各种电子产品当中,成为各种电子产品尤其是通信类电子产品的技术核心,将会越来越受到业界的青睐。据TI预测,到2010年,DSP芯片的集成度将会增加11倍,在单个芯片内将能集成5亿只晶体管。目前DSP的生产工艺已开始从0.35mm转向0.25mm、0.18mm、0.10mm,预计到2005年,TI生产DSP芯片的工艺将达到 0.075mm 的更高水平,届时,将能够在一块仅有拇指大小的单个芯片上集成8个TMS320DSP内核。DSP产品在不断地提高性能和增加功能的同时,正在不断地降低功耗和减小体积,以便适应市场的需求。如数字移动/无绳电话的基带信号处理和数字电视中的多信道音频解码等,要求每秒几百万次以上的信号处理能力。无线基站、手机、Internet接入高速调制解调器、IP Phone、MP3、硬盘控制器、DVD驱动器、快速彩色打印机、数字相机芯片、FLEX解码芯片、STB芯片组、DVD解码芯片、电机控制芯片、IP GATEWAY芯片、MP3播放机芯片组等也需要具有极强数字信号处理能力的器件支持。
例如汽车电子系统,诸如装设红外线和毫米波雷达,将需用DSP进行分析。利用摄像机拍摄的图像数据需要经过DSP处理,才能在驾驶系统里显示出来,供驾驶人员参考。
五、参考文献
【1】《数字信号处理的应用——硬件DSP》 【2】DSP在移动通信中的应用[刊]/张丽娟(北方交通大学现代能信研究所100044)//电子产品世界.2000(12).-47-48 ISSN:1005-5517 【3】DSP技术发展与应用综述[刊]/ 鲁争焱// 中国兵器工业第214研究所,蚌埠 【4】基于 DSP 的语音采集和处理系统的研究与实现[学位论文],2011.【5】DSP技术在电声(部分消费性电子产品)中的应用[期刊论文],2008.【5】基于TMS320DM642网络摄像机的设计与实现[期刊论文],2009.【6】基于DSP的数字视频图像获取与处理技术研究(学位论文)【7】DSP主攻通信和电子消费产品 陈泽明(期刊)2000 【8】基于DSP的音频视频信号处理优势 张琪(期刊)2008 【9】DSP的多领域应用研究 张丹红, 游珍珍(期刊)2006 【10】基于DSP的数字音频系统
谢坚
第四篇:真空干燥箱在操作中要注意哪些问题
真空干燥箱在操作中要注意哪些问题
真空干燥箱操作十分简单,但往往在这简单过程中有很多小的细节是需要我们注意的。下文昆山海达仪器针对这一问题具体介绍。
1.真空箱外壳必须有效接地,以保证使用安全。
2.真空箱应在相对湿度≤85%RH,周围无腐蚀性气体、无强烈震动源及强电磁场存在的环境中使用。
3.真空箱工作室无防爆、防腐蚀等处理,不得放易燃、易爆、易产生腐蚀性气体的物品进行干燥。
4.真空泵不能长时期工作,因此当真空度达到干燥物品要求时,应先关闭真空阀,再关闭真空泵电源,待真空度小于干燥物品要求时,再打开真空阀及真空泵电源,继续抽真空,这样可延长真空泵使用寿命。
5.干燥的物品如潮湿,则在真空箱与真空泵之间最好加入过滤器,防止潮湿气体进入真空泵,造成真空泵故障。6.干燥的物品如干燥后改变为重量轻,体积小(为小颗粒状),应在工作室内抽真空口加隔阻网,以防干燥物吸入而损坏真空泵(或电磁阀)。
7.真空箱经多次使用后,会产生不能抽真空的现象,此时应更换门封条或调整箱体上的门扣伸出距离来解决。当真空箱干燥温度高于200℃时,会产生慢漏气现象(除6050、6050B、6051、6053外),此时
拆开箱体背后盖板用内六角扳手拧松加热器底座,调换密封圈或拧紧加热器底座来解决。
8.放气阀橡皮塞若旋转困难,可在内涂上适量油脂润滑。(如凡士林)
9.除维修外,不能拆开左侧箱体盖(6090及6210型除外)以免损坏电器控制系统。
10.真空箱应经常保持清洁。箱门玻璃切忌用有反应的化学溶液擦拭,应用松软棉布擦拭。
11.若真空箱长期不用,将露在外面的电镀件擦净后涂上中性油脂,以防腐蚀,并套上塑料薄膜防尘罩,放置于干燥的室内,以免电器元件受潮损坏,影响使用。
12.真空箱不需连续抽气使用时,应先关闭真空阀,再关闭真空泵电源,否则真空泵油要倒灌至箱内。
13.若真空泵正常且符合技术要求,不能抽真空,则打开箱门使用产品附件中的板手将箱体上的门扣向里拧一圈收短,重新关门;
14.此真空干燥箱不能作为电热干燥箱使用,因工作室不在真空状态,测量温度与工作室内实际温度误差极大;
第五篇:防火墙技术在电子商务中的应用
防火墙技术在电子商务中的应用
目 录
目录............................................................................(1)内容摘要.........................................................................(2)关键词..........................................................................(2)正文............................................................................(2)
一、电子商务的概念及交易问题.....................................................(2)
(一)、什么是电子商务............................................................(2)(二)、电子商务的交易过程.................................................(2)
二、电子商务中的信息安全问题、特性及威胁...............................(3)(一)、电子交易的安全概念、安全特性.........................................(3)
(二)、电子商务中的信息安全问题及威胁.....................................(4)
三、防火墙的技术与体系结构.............................................(6)
四、防火墙的简介与使用的益处.........................................(6)
五、防火墙常用技术和性能......................................................(11)
六、结论........................................................................(14)参考文献........................................................................(14)
浅谈防火墙技术在电子商务中的应用
内容摘要:防火墙技术作为保证电子商务活动中信息安全的第一道有效屏障,受到越来越多的关注。本文介绍了电子商务的概念、电子商务的交易过程、交易过程中的信息安全问题及威胁、重点介绍了电子商务交易系统的防火墙技术,讨论了建立网上安全信任机制的基础。
关键词:防火墙
电子商务
应用 正文:
一、电子商务的概念及交易问题(一)什么是电子商务
电子商务源于英文Electronic Commerce,简写为EC。是指一个机构利用信息和技术手段,改变其和供应商、用户、员工、合作伙伴、管理部门的互动关系,从而使自己变成为机动响应、快速响应、有效响应的响应性机构。电子商务的核心是商务;本质上是创造更多商机、提供更好商业服务的一种电子交易智能化手段。眼下,电子商务的含义已不仅仅是单纯的电子购物,电子商务以数据(包括文本、声音和图像)的电子处理和传输为基础,包含了许多不同的活动(如商品服务的电子贸易、数字内容的在线传输、电子转账、商品拍卖、协作、在线资源利用、消费品营销和售后服务)。它涉及产品(消费品和工业品)和服务(信息服务、财务与法律服务);它包含了使用Internet和Web技术进行的所有的商务活动。
(二)、电子商务的交易过程
企业间电子商务交易过程大致可以分为交易前准备、交易谈判和签订合同、办理交易前手续以及交易合同的履行和索赔四个阶段。
(1)交易前的准备
买卖双方和参与交易的双方在这一阶段所作的签约前的准备活动。买方根据自己要买的商品,准备购货款,制订购货计划,进行货源的市场调查和分析,反复进行市场查询,通过交换信息来比较价格和条件,了解各个卖方国家的贸易政策,反复修改购货计划和进货计划,确定和审批购货计划。利用Internet和各种电子商务网络寻找自己满意的商品和商家。然后修改并最后确定和审批购货计划,再按计划确定购买商品的种类、规格、数量、价格、购货地点和交易方式等。而卖方则对自己所销售的商品,进行全面的市场调查和分析,了解各个买方国家的贸易政策,制订各种销售策略和销售方式,制作广告进行宣传,召开商品新闻发布会,利用Internet和各种电子商务网络发布商品广告等手段扩大影响,寻找贸易伙伴和交易机会,扩大贸易范围和商品所占市场的份额。
参加交易的其他各方如中介、银行金融机构、信用卡、商检系统、海关系统、保险、税务系统、运输公司等,买卖双方都少不了要为电子商务交易做好准备。
(2)交易谈判和签订贸易合同
买卖双方在这一阶段利用电子商务系统对所有交易细节在网上谈判,将双方磋商的结果做成文件,即以书面文件形式和电子文件形式签订贸易合同。交易双方可以利用现代电子通信设备和通信方法,经过认真谈判和磋商后,将双方在交易中的权利、所承担的义务、所购买商品的种类、数量、价格、交货地点、交货期、交易方式和运输方式、违约和索赔等均有明确的条款。全部以电子交易合同作出全面详细的规定,合同双方可以利用电子数据交换(EDI)进行签约,也可以通过数字签名等方式签约。
(3)办理交易进行前的手续
买卖双方从签订合同到开始履行合同要办理各种手续,这也是双方在交易前的准备过程。交易中要涉及到有关各方,即可能要涉及到中介、银行金融机构、信用卡、商检系统、海关系统、保险、税务系统、运输公司等与交易有关的各方。买卖双方要利用EDI与有关各方进行各种电子票据和电子单证的交换,直到办理完一切手续、商品开始发货为止。
(4)交易合同的履行和索赔
这一阶段是从买卖双方办完所有各种手续之后开始,卖方要备货、组货,进行报关、保险、取证、信用卡等手续,然后卖方将所购商品交付给运输公司包装、起运、发货。买卖双方可以通过电子商务服务器跟踪发出的货物,金融机构和银行也按照合同,处理双方收付款、并进行结算,出具相应的银行单据等,当买方收到所购的商品,整个交易过程就完成了。索赔是在买卖双方交易过程中出现违约时,需要进行违约处理的工作,受损方按贸易合同有关条款向违约方进行索赔。
二、电子商务中的信息安全问题、特性及威胁(一)、电子交易的安全概念、安全特性
电子商务安全是一个系统概念,不仅与计算机系统结构有关,还与电子商务应用的环境、人员素质和社会因素有关。其中交易的安全又是电子商务发展的核心和关键问题。交易对安全性的要求有如下几个方面:(1)有效性,因为交易对于交易双方都是一件十分严肃的事情,双方都对交易的信息认可。(2)保密性,即要求交易的信息只有交易双方知道,第三方不能通过网络获得。(3)完整性,包括过程的完整和数据资料的完整。(4)交易者身份的确定性,这是信用的前提。(5)交易的不可否认性,要求在交易信息的传输过程中为参与交易的个人,企业和国家提供可靠的标识。数据的安全主要包括数据的完整,不受损坏,不丢失。系统运行的可靠性要求保证电子商务参与者能在交易的过程始终能与交易对象进行信息资金的交换,保证交易不得中断。
虽然各种有效的手段可以保证电子商务的基本安全,但是层出不穷的病毒入侵和黑客攻击使得电子商务安全仍然是一个令人头痛的问题,那么如何加强电子商务的安全呢?
防火墙可以保证对主机和应用安全访问,保证多种客户机和服务器的安全性,保护关键部门不受到来自内部和外部的攻击,为通过Internet与远程访问的雇员、客户、供应商提供安全渠道。
与传统商务相比,电子商务具有许多特点:
其一,电子商务是一种快速、便捷、高效的交易方式。在电子商务中,信息的传递通过网络完成,速度很快,可以节省宝贵的交易时间。
其二,电子商务是在公开环境下进行的交易,其可以在全球范围内进行交易。由于借助互联网,这就使得经济交易突破了空间的限制;公开环境下的信息公开,使所有的企业可以平等地参与市场竞争。
其三,在电子商务中,电子数据的传递、编制、发送、接收都由精密的电脑程序完成,更加精确、可靠。
(二)、电子商务中的信息安全问题及威胁
1、电子商务的安全问题。总的来说分为二部分:一是网络安全,二是商务安全。计算机网络安全的内容包括:计算机网络设备安全,计算机网络系统安全,数据库安 全,工作人员和环境等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标。商务安全则紧紧围绕 传统商务在Internet上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行。即实现电子商务的保密性,完整性,可鉴别性,不可伪造性和不可依赖性。
在Internet上的电子商务交易过程中,最核心和最关键的问题就是交易的安全性。一般来说商务安全中普遍存在着以下几种安全隐患:
(1)窃取信息。由于未采用加密措施,数据信息在网络上以明文形式传送,入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密。
(2).恶意代码。它们将继续对所有的网络系统构成威胁,并且,其数量将随着Internet 的发展和编程环境的丰富而增多,扩散起来也更加便利,因此,造成的破坏也就越大。
(3)篡改信息。当入侵者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传送的信息数据在中途修改,然后再发向目的地。这种方法并不新鲜,在路由器或网关上都可以做此类工作。
(4)假冒。由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以冒充合法用户发送假冒的信息或者主动获取信息,而远端用户通常很难分辨。
(5)恶意破坏。由于攻击者可以接入网络,则可能对网络中的信息进行修改,掌握网上的机要信息,甚至可以潜入网络内部,其后果是非常严重的。
2、电子商务面临的安全威胁。根据攻击能力的组织结构程度和使用的手段,可以将威胁归纳为四种基本类型:无组织结构的内部和外部威胁与有组织结构的内部和外部威胁。一般来讲,对外部威胁,安全性强调防御;对内部威胁,安全性强调威慑。
(1)病毒。病毒是由一些不正直的程序员所编写的计算机程序,它采用了独特的设计,可以在受到某个事件触发时,复制自身,并感染计算机。如果在病毒可以通过某个外界来源进入网络时,网络才会感染病毒。
(2)恶意破坏程序。网站会提供一些软件应用的开发而变得更加活泼。这些应用可以实现动画和其他一些特殊效果,从而使网站更具有吸引力和互动性。恶意破坏程序是指会导致不同程度破坏的软件应用或者 Java 小程序。
(3)攻击。目前已经出现了各种类型的网络攻击,它们通常被分为三类:探测式攻击,访问攻击和拒绝服务(DOS)攻击。a.探测式攻击实际上是信息采集活动,黑客们通过这种攻击搜集网络数据,用于以后进一步攻击网。b.访问攻击用于发现身份认证服务、文件传输协议(FTP)功能等网络领域的漏洞,以访问电子邮件账号、数据库和其他保密信息。c.DOS 攻击可以防止用户对于部分或者全部计算机系统的访问。
(4)数据阻截。通过任何类型的网络进行数据传输都可能会被未经授权的一方截取。犯罪分子可能会窃听通信信息,甚至更改被传输的数据分组。犯罪分子可以利用不同的方法来阻截数据。
(5)垃圾信件。垃圾信件被广泛用于表示那些主动发出的电子邮件或者利用电子邮件广为发送未经申请的广告信息的行为。垃圾信件通常是无害的,但是它可能会浪费接收者的时间和存储空间,带来很多麻烦。
因此,随着电子商务日益发展和普及,安全问题显得异常突出,解决安全问题已成为我国电子商务发展的当务之急。
三、防火墙的技术与体系结构
(一)、什么是防火墙
防火墙是一个或一组在两个网络之间执行安全访问控制策略的系统,包括硬件和软件,目的是保护内部网络资源不被可疑人侵扰,防止内部受到外部的非法攻击。本质上,它遵从的是一种允许或阻止业务来往的网络通信安全机制,也就是提供可控的过滤网络通信,只允许授权的通讯。
(二)、使用防火墙的益处
(1)保护脆弱的服务
通过过滤不安全的服务,防火墙可以极大地提高网络安全和减少子网中主机的风险。例如,防火墙可以禁止NIS、NFS服务通过,防火墙同时可以拒绝源路由和ICMP重定向封包。
(2)集中的安全管理
防火墙对企业内部网实现集中的安全管理,在防火墙定义的安全规则可以运行于整个内部网络系统,而无须在内部网每台机器上分别设立安全策略。防火墙可以定义不同的认证方法,而不需要在每台机器上分别安装特定的认证软件。外部用户也只需要经过一次认证即可访问内部网。
(3)控制对系统的访问
防火墙可以提供对系统的访问控制。如允许从外部访问某些主机,同时禁止访问另外的主机。例如,防火墙允许外部访问特定的Mail Server和Web Server。
(4)策略执行
防火墙提供了制定和执行网络安全策略的手段。未设置防火墙时,网络安全取决于每台主机的用户。
(5)增强的保密性
使用防火墙可以阻止攻击者获取攻击网络系统的有用信息,如Finger和DNS。防火墙可以提供统计数据,来判断可能的攻击和探测。并且,防火墙可以记录和统计通过防火墙的网络通讯,提供关于网络使用的统计数据。
四、防火墙的简介与使用的益处
(一)、防火墙的简介
一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。防火墙同时可以保护网络免受基于路由的攻击。
防火墙是为防止非法访问或保护专用网络而设计的一种系统。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。
防火墙可用于硬件、软件或二者的组合。防火墙常常被用于阻止非法的互联网用户访问接入互联网的专用网络。所有的数据在进入或离开内部网络时都要经过防火墙,防火墙会检查每个数据包,并且阻止那些不符合指定安全标准的数据包。
一般来说,配置防火墙是为了防止外部无权限的交互式登录。这有助于防止“黑客”从机器登录到你的网络。更复杂的防火墙能够阻止从外部到内部的流量,但允许内网用户更自由的与外部交流。
防火墙非常重要因为它可以提供单一的阻止点,在这一点上可以采取安全和审计措施。防火墙提供了一个重要的记录和审计功能;它们经常为管理员提供关于已处理过的流量类型和数值的摘要。这是个非常重要的“点”,因为阻止点在网络中的作用相当于警卫保卫财产。
从理论上说,有两种类型的防火墙:应用层防火墙和网络层防火墙
它们的区别可能与你所想的不一致。二者的区别取决于防火墙使用的使流量从一个安全区到另一个安全区所采用的机制。国际标准化组织(ISO)开放系统互联(OSI)模型把网络分成七层,每一层都为上一层服务。更重要的是要认识到转发机制所在的层次越低,防火墙的检查就越少。
(1)应用层防火墙
应用层防火墙通常是代理服务器运行的主机,它不允许网络之间直接的流量,并在流量通过时做详细的记录和检查。由于代理应用程序只是防火墙上运行的软件,所以可在这做大量的记录和访问控制。应用层防火墙可用于网络地址转换,是因为在应用程序有效地伪装初始连接的来源之后流量可以从一边进入,另一边出去。
在某些情况下,有一个应用程序的方式可能会影响防火墙的性能,并可能会使防火墙降低透明度。早期的应用层防火墙对终端用户不是特别透明,并且还可能需要进行一些培训。然而,许多现代应用层防火墙是完全透明的。与网络层防火墙相比,应用层防火墙趋于提供更细化的审计报告,实行更保守的安全模型。
(2)网络层防火墙
这种类型决定了它的判定一般是基于源地址、目的地址及独立IP包中的端口。一个简单的路由器就是一个传统意义上的网络层防火墙,因为它不能做出复杂的判断,如数据包的发送目标和来源。现代的网络层防火墙变得更复杂得多,并且会随时关注通过防火墙的连接状态的信息。
另一个重要的不同于许多网络层防火墙的是它们可使流量直接通过,因此在使用时,你需要一个有效分配的IP地址块,或者是专用网络地址块。网络层防火墙的发展很迅速,对于用户来说几乎是透明的。
未来的防火墙将处于应用层防火墙和网络层防火墙之间。网络层防火墙可能会逐渐意识到经过它们的信息,应用层防火墙可能会变得越来越透明。最终将会是一种在数据通过时进行记录和检查的快速分组筛选系统。
在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。防火墙可以是硬件型的,所有数据都首先通过硬件芯片监测,也可以是软件类型,软件在电脑上运行并监控,其实硬件型也就是芯片里固化了的软件,但是它不占用计算机CPU处理时间,可以功能作的非常强大处理速度很快,对于个人用户来说软件型更加方便实在。
(二)、防火墙的体系结构
防火墙对于企业网络的防御系统来说,是一个不可缺少的基础设施。在选择防火墙防火墙时,我们首先考虑的就是需要一个什么结构的产品,防火墙发展到今天,很多产品已经越来越象是一个网络安全的工具箱,工具的多少固然很重要,但系统的结构却是一个起决定性作用的前提。因为防火墙的结构决定了这些工具的组合能力,决定了当你在某种场合需要一个系统声称提供的功能的时候是不是真的能够用得上。
防火墙的基本结构可以分为包过滤和应用代理两种。包过滤技术关注的是网络层和传输层的保护,而应用代理则更关心应用层的保护。
包过滤是历史最久远的防火墙技术,从实现上分,又可以分为简单包过滤和状态检测的包过滤两种。
简单包过滤是对单个包的检查,目前绝大多数路由器产品都提供这样的功能,所以如果你已经有边界路由器,那么完全没有必要购买一个简单包过滤的防火墙产品。由于这类技术不能跟踪TCP的状态,所以对TCP层的控制是有漏洞的,比如当你在这样的产品上配置了仅允许从内到外的TCP访问时,一些以TCP应答包的形式进行的攻击仍然可以从外部通过防火墙对内部的系统进行攻击。简单包过滤的产品由于其保护的不完善,在99年以前国外的防火墙市场上就已经不存在了,但是目前国内研制的产品仍然有很多采用的是这种简单包过滤的技术,从这点上可以说,国内产品的平均技术水准至少比国外落后2到3年。
状态检测的包过滤利用状态表跟踪每一个网络会话的状态,对每一个包的检查不仅根据规则表,更考虑了数据包是否符合会话所处的状态。因而提供了更完整的对传输层的控制能力。同时由于一系列优化技术的采用,状态检测包过滤的性能也明显优于简单包过滤产品,尤其是在一些规则复杂的大型网络上。
顺便提一下免费软件中的包过滤技术,比较典型的是OpenBSD 和Linux中的IP Filter和IP Chains。一些有较强技术能力的网络管理人员喜欢利用这样的软件自己配置成防火墙。但是从实现的原理上分析,虽然它们提供了对TCP状态位的检查,但是由于没有跟踪TCP的状态,所以仍然是简单包过滤。值得关注的是Linux2.4中的IP Table,从其名称就可以看出,它在进行过滤时建立了一个用来记录状态信息的Table,已经具备了状态检测技术的基本特征。
包过滤结构的最大的优点是部署容易,对应用透明。一个产品如果保护功能十分强大,但是不能加到你的网络中去,那么这个产品所提供的保护就毫无意义,而包过滤产品则很容易安装到用户所需要控制的网络节点上,对用户的应用系统则几乎没有影响。特别是近来出现的透明方式的包过滤防火墙,由于采用了网桥技术,几乎可以部署在任何的以太网线路上,而完全不需要改动原来的拓扑结构。
包过滤的另一个优点是性能,状态检测包过滤是各种防火墙结构中在吞吐能力上最具优势的结构。
但是对于防火墙产品来说,毕竟安全是首要的因素,包过滤防火墙对于网络控制的依据仍然是IP地址和服务端口等基本的传输层以下的信息。对于应用层则缺少足够的保护,而大量的网络攻击是利用应用系统的漏洞实现的。
应用代理防火墙可以说就是为防范应用层攻击而设计的。应用代理也算是一个历史比较长的技术,最初的代表是TIS工具包,现在这个工具包也可以在网络上免费得到,它是一组代理的集合。代理的原理是彻底隔断两端的直接通信,所有通信都必须经应用层的代理转发,访问者任何时候都不能直接与服务器建立直接的TCP连接,应用层的协议会话过程必须符合代理的安全策略的要求。针对各种应用协议的代理防火墙提供了丰富的应用层的控制能力。可以这样说,状态检测包过滤规范了网络层和传输层行为,而应用代理则是规范了特定的应用协议上的行为。
对于使用代理防火墙的用户来说,在得到安全性的同时,用户也需要付出其它的代价。代理技术的一个主要的弱点是缺乏对应用的透明性,这个缺陷几乎可以说是天生的,因为它只有位于应用会话的中间环节,才会对会话进行控制,而几乎所有的应用协议在设计时都不
认为中间应该有一个防火墙存在。这使得对于许多应用协议来说实现代理是相当困难的。代理防火墙通常是一组代理的集合,需要为每一个支持的应用协议实现专门的功能,所以对于使用代理防火墙的用户来说经常遇到的问题是防火墙是不支持某个正在使用的应用协议,要么放弃防火墙,要么放弃应用。特别是在一个复杂的分布计算的网络环境下,几乎无法成功的部署一个代理结构的防火墙,而这种情况在企业内部网进行安全区域分割是尤其明显。
代理的另一个无法回避的缺陷是性能很差。代理防火墙必须建立在操作系统提供的socket服务接口之上,其对每个访问实例的处理代价和资源消耗接近于Web服务器的两倍。这使得应用代理防火墙的性能通常很难超过45Mbps的转发速率和1000个并发访问。对于一个繁忙的站点来说,这是很难接受的性能。
代理防火墙的技术发展远没有包过滤技术活跃,比较一下几年以前的TIS和现在的代理类型的商用产品,在核心技术上几乎没有什么变化,变化的主要是增加了协议的种类。同时为了克服代理种类有限的局限性,很多代理防火墙同时也提供了状态检测包过滤的能力,当用户遇到防火墙不能支持的应用协议时,就以包过滤的方式让其通过。由于很难将这两者的安全策略结合在一起,所以混合型的产品通常更难于配置,也很难真正的结合两者的长处。
状态检测包过滤和应用代理这两种技术目前仍然是防火墙市场中普遍采用的主流技术,但两种技术正在形成一种融合的趋势,演变的结果也许会导致一种新的结构名称的出现。我们在NetEye防火墙中以状态检测包过滤为基础实现了一种我们暂时称之为“流过滤”的结构,其基本的原理是在防火墙外部仍然是包过滤的形态,工作在链路层或IP层,在规则允许下,两端可以直接的访问,但是对于任何一个被规则允许的访问在防火墙内部都存在两个完全独立的TCP会话,数据是以“流”的方式从一个会话流向另一个会话,由于防火墙的应用层策略位于流的中间,因此可以在任何时候代替服务器或客户端参与应用层的会话,从而起到了与应用代理防火墙相同的控制能力。比如在NetEye防火墙对SMTP协议的处理中,系统可以在透明网桥的模式下实现完全的对邮件的存储转发,并实现丰富的对SMTP协议的各种攻击的防范功能。
“流过滤”的另一个优势在于性能,完全为转发目的而重新实现的TCP协议栈相对于以自身服务为目的的操作系统中的TCP协议栈来说,消耗资源更少而且更加高效,如果你需要一个能够支持几千个,甚至数万个并发访问,同时又有相当于代理技术的应用层防护能力的系统,“流过滤”结构几乎是唯一的选择。
防火墙技术发展这么多年,已经成为了网络安全中最为成熟的技术,是安全管理员手中有效的防御工具。但是防火墙本身的核心技术的进步却从来没有停止过,事实上,任何一个
安全产品或技术都不能提供永远的安全,因为网络在变化,应用在变化,入侵的手段在变化。对于防火墙来说,技术的不断进步才是真实的保障。
五、防火墙常用技术和性能
(一)、防火墙的四种基本类型
根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换—NAT、代理型和监测型。
(1)、包过滤型
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点 ,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。
包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。
但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。
(2)、网络地址转化—NAT 网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。
在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。
网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。
(3)、代理型
代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。
代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
(4)、监测型
监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品
虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本。
实际上,作为当前防火墙产品的主流趋势,大多数代理服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的,应用网关能提供对协议的过滤。例如,它可以过滤掉FTP连接中的PUT命令,而且通过代理应用,应用网关能够有效地避免内部网络的信息外泄。正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。
(二)、防火墙的选择
网络防火墙技术的作为内部网络与外部网络之间的第一道安全屏障,是最先受到人们重视的网络安全技术,就其产品的主流趋势而言,大多数代理服务器(也称应用网关)也集成了包滤技术,这两种技术的混合应用显然比单独使用更具有大的优势。那么我们究竟应该在哪些地方部署防火墙呢?首先,应该安装防火墙的位置是公司内部网络与外部Internet的接口处,以阻挡来自外部网络的入侵;其次,如果公司内部网络规模较大,并且设置有虚拟局域网(VLAN),则应该在各个VLAN之间设置防火墙;第三,通过公网连接的总部与各分支机构之间也应该设置防火墙,如果有条件,还应该同时将总部与各分支机构组成虚拟专用网(VPN)。
安装防火墙的基本原则是:只要有恶意侵入的可能,无论是内部网络还是与外部公网的连接处,都应该安装防火墙。选择防火墙的标准有很多,但最重要的是以下几条:(1)总拥有成本防火墙产品作为网络系统的安全屏障,其总拥有成本(TCO)不应该超过受保护网络系统可能遭受最大损失的成本。以一个非关键部门的网络系统为例,假如其系统中的所有信息及所支持应用的总价值为10万元,则该部门所配备防火墙的总成本也不应该超过10万元。当然,对于关键部门来说,其所造成的负面影响和连带损失也应考虑在内。如果仅做粗略估算,非关键部门的防火墙购置成本不应该超过网络系统的建设总成本,关键部门则应另当别论。
(2)防火墙本身是安全的。作为信息系统安全产品,防火墙本身也应该保证安全,不给外部侵入者以可乘之机。如果像马其顿防线一样,正面虽然牢不可破,但进攻者能够轻易地绕过防线进入系统内部,网络系统也就没有任何安全性可言了。
通常,防火墙的安全性问题来自两个方面:其一是防火墙本身的设计是否合理,这类问题一般用户根本无从入手,只有通过权威认证机构的全面测试才能确定。所以对用户来说,保守的方法是选择一个通过多家权威认证机构测试的产品。其二是使用不当。一般来说,防火墙的许多配置需要系统管理员手工修改,如果系统管理员对防火墙不十分熟悉,就有可能在配置过程中遗留大量的安全漏洞。
(3)管理与培训。管理和培训是评价一个防火墙好坏的重要方面。我们已经谈到,在计算防火墙的成本时,不能只简单地计算购置成本,还必须考虑其总拥有成本。人员的培训和日常维护费用通常会在TCO中占据较大的比例。一家优秀秀的安全产品供应商必须为其用户提供良好的培训和售后服务。
(4)可扩充性。在网络系统建设的初期,由于内部信息系统的规模较小,遭受攻击造成的损失也较小,因此没有必要购置过于复杂和昂贵的防火墙产品。但随着网络的扩容和网络应用的增加,网络的风险成本也会急剧上升,此时便需要增加具有更高安全性的防火墙产品。如果早期购置的防火墙没有可扩充性,或扩充成本极高,这便是对投资的浪费。好的产品应该留给用户足够的弹性空间,在安全水平要求不高的情况下,可以只选购基本系统,而随着要求的提高,用户仍然有进一步增加选件的余地。这样不仅能够保护用户的投资,对提供防火墙产品的厂商来说,也扩大了产品覆盖面。
(5)防火墙的安全性。防火墙产品最难评估的方面是防火墙的安全性能,即防火墙是否能够有效地阻挡外部入侵。这一点同防火墙自身的安全性一样,普通用户通常无法判断。即使安装好了防火墙,如果没有实际的外部入侵,也无从得知产品性能的优劣。但在实际应用中检测安全产品的性能是极为危险的,所以用户在选择防火墙产品时,应该尽量选择占市场份额较大同时又通过了权威认证机构认证测试的产品。
六、结论
随着电子商务的不断发展,安全是保证电子商务健康有序发展的关键因素,防火墙技术必将在网络安全方面着发挥更加重要的作用和价值。
七、参考文献
1、《电子商务》 翟才喜 杨敬杰主编 东北财经大学出版社 2002.2
2、《中国电子商务年鉴》2003 卷
![下载铝钎焊技术在电子产品中的应用-真空钎焊[五篇材料]word格式文档](http://static.xiexiebang.com/skin/default/images/icon_word.png){kind=icon}
点击咨询 