第一篇:投资安全性分析
投资安全性分析
专业的统一运营管理,商户的品质、信心与能力是本项投资安全的基本保障
先招商后销售,确保年租金回报稳步增长
南国首义汇采用“先招商后销售”的投资模式,即在出售之前,所有商铺已经为投资者找到了租户,而且所有商户都是经过精心挑选,具有品质好、品牌优、承租能力强、经营规范的特点。投资者在商场正式开业两个月免租期过后即可收租。
南国首义汇所售商铺价格均以已签约的商户的平均租金水平为依据,在正确投资人一定收益的基础上,以收益率反推而来,即售价以现实租金为支撑,支透支租金增值预期及物业增长预期。投资人购买商铺后,交由运营公司统一运营管理,确保投资人前五年的年租金回报将实现稳步增长。
统一运营管理,确保本项目的定位实现及价值最大化
南国置业将组织专业的运营团队对本项目提供精细化的专业运营管理,5年统一运营管理将市场培育成熟,确保本项目LIFESTYLE定位的实现,并为本项目未来价值提升夯实牢固基础。
国内外优质品牌商家争相进驻,其巨额投入的信心与决心,是本项目投资安全的重要保障
南国首义汇自招商工作开展以来,获得如周大福、APPLE体验店、COSTA咖啡、横店影城等大批知名商家的追捧,现已有百家意向签约进驻,而且品牌商户们均希望签订长期租约。在招商环节,南国置业对商户品质进行了严格复筛选,对实现本项目定位的骨干品质商户签订了中长期租约。
品牌商户长久稳固的租约和上百万甚至近千万的投入,表达了品牌商户对首义汇未来的信心和扎根本项目的决心。这是首义汇商铺投资的重要保障。
南国首义汇所挑选的品牌商户,其自身均具有强大的抗风险能力、品牌号召力及经营竞争能力,这是本项目投资安全的另一保障
产权人权益
为了所有产权人的共同利益,确保市场之持久竞争力,本公司已委托武汉大本营商业管理有限公司对本商业项目实行统一管理,因此在投资购买本商业物业前,投资人须同意服从相关规定,在投资购买本公司商业物业成为产权人后须与大本营商业管理有限公司签定《产权商铺委托租赁管理合同书》,通过委托方式,将产权商铺交由大本营公司实施统一管理。产权人初始委托租赁管理期限确定为五年,初始委托租赁管理期届满时,大本营公司有权按《产权商铺委托租赁管理合同书》中约定的条件单方行使续约
权,每次续约最长期限为五年,可持续约三次。
在统一管理的框架下,商铺产权人,将充分享有下列权益,以确保自身利益。
1、完全产权
项目公开发售部分是完全产权的出让,投资者对购买商铺的专有部分享有所有权,可办理完整的产权证书,在受让者服从市场统一管理及“买卖不破租赁”之法律原则的前提下,可以依法自由转让、赠与、遗赠、抵押、出租或其他方式处置其所持物业。
2、市场管理的知情权
每个年度,商业管理公司须通过合适方式,向投资者通报本项目经营管理的相关情况,内容将涉及招商情况、业态分布、租金状况、营销推广等,并确保其真实性,业主有权对商业管理公司的管理行为进行监督,对违规的行为可以投诉或制止,对市场管理也可提出合理化建议。
3、收益权
在物业发售之前,本公司已委托武汉大本营商业管理有限公司负责项目的统一招商、招租及统一运营管理。因此投资者在购买本物业时,须与大本营公司签定相关合同,在本营商业管理有限公司每年以“基础租金+增值佣金”形式回报产权人(基础租金是业主委托管理公司对外招租的底限租金;增值租金是管理公司尽谨慎、勤勉、专业之责任,有效实施市场统一招商、推广、经营管理后实现的实际租金超过该年度基本租金的上涨租金)。具体方式如下: 1关于基础租金部分 ○
租赁期内,管理公司每年向业主支付的年租金为业主购买商铺总价款(指业主向开发商购买该商铺时,实际支付的该商铺的总价款,下同)的4.5%。如须缴纳房产税及营业税等,自业主自行承担。
2关于增值租金部分: ○
第一个委托租赁管理期内(第一个5年),管理公司对外出(转)租商
1款执行外,商铺总价款7%以铺,年租金收益高于商铺总价款7%,除按第○
内的租金收益归业主享有(含7%),超出商铺总价款7%的租金收益的70%归业主享有,即(年租金收益-商铺总价款*7%)*70%归业主享有,30%归管理公司享有。税费各自承担。
1第二个委托租赁管理周期内(第二个五年),年租金收益高于商铺总价款7.5%,除按每○
款执行外,商铺总价款7.5%以内的租金收益归业主享有(含7.5%),超出商铺款7.5%的租金收益的70%归业主享有,30%归属公司享有。税费各自承担。
1款第三个委托租赁管理期内(第三个五年),年租金收益高于商铺总价款8.5%,除按第○
执行外,商铺总价款8.5%以内的租金收益归业主享有(含8.5%),超出商铺款
8.5%的租金收益的70%归业主享有,30%归属公司享有。税费各自承担。
第四个委托租赁管理期内(第四个五年),年租金收益高于商铺总价款
1款执行外,商铺总价款10%以内的租金收益归业主享有(含10%,除按第○
10%),超出商铺款10%的租金收益的70%归业主享有,30%归属公司享有。税费各自承担。
注:商铺的起租日期确定方法:
本次出售的商铺为期房,投资者在购买商铺并付清所购商铺之全部购房款,同时与大本营公司办理商铺交接书面手续后,在市场正式开业2个月后
开始起租。从起租日开始,投资者完全享有合同约定睥委托租金收益;开业至起租日前,因存在两个月的免租期,所以投资人不能取得租金收益。
4、监督权
管理公司对外(转)租商铺,业主有权到管理公司查询。每一年度,由律师事
务所对管理公司对外出租物业及履行与业主相关合同之情况进行审查并出具法律意见书;由会计事务所对管理公司租金及其他收入之收支情况等进行审计并出具审计报告,保障投资人的知情权及其他合法权益不受侵害。
关于发售说明
1、南国·首义汇商铺按单位出售,本次发售首层、两层及三层少许
单位,面积约为33000m2.单铺面积20m2起。
2、关于投资人购买的程序说明:
1本次发售分内部发售和公开发售两个阶段。○内部发售对象包
括:本次所发售物业承担者,开发商/投资商及其员工,关联业务单位的员工。
2承担商户拥有其承租物业的第一位优先购买权 ○
3其他内部发售对象在承租商户之后购买 ○
4公开发售时,投资人按现场公示的选铺原则确定购买顺序。○
3、销售价格:具体商铺销售价格将在销售现场予以公示。
4、本次发售由湖北天明律师事务所周华律师、宋小川律师提供全程
法律指导,并可为投资者签约提供律师见证和代办公证服务。与本次公开发售有关的政府批文、权利证书以及相关合同等资料,投资人可到开发商处或湖北天明律师事务所查询(律师联系电话:027-85355630)。
第二篇:如何分析理财产品投资标的的风险安全性?
如何分析理财产品投资标的的风险安全性?
投资标的:*交产贷款项目集合资金信托计划
资金运用方向:
*交通产业股份有限公司(简称“*交产”)申请流动性资金贷款,该公司按约定还本付息。*市交通投资有限责任公司(简称“*交投”)为*交产的还本付息提供不可撤销的连带责任保证担保。
信用风险情况:
1、融资人*交通产业股份有限公司2013年9月获得中诚信国际信用评级有限责任公司的公开主体评级AA+,评级展望稳定;
2、保证人*市交通投资有限责任公司2013年6月获得中诚信国际信用评级有限责任公司的公开主体评级AA+,评级展望稳定。
融资人-*交产情况介绍:
借款人*交通产业股份有限公司成立于2010年9月,由*市交通投资有限责任公司和*市国有资产管理营运有限责任公司分别持股80%和20%,目前注册资本金10亿元。 主要经营高速公路、物流、土地开发整理、加油(气)站、城市交通等业务。目前主要收入来源于车辆通行费、加油站收入以及公路维护收入。
2012年年末拥有8家全资及控股公司,包括*绕城高速公路开发有限公司、*高速公路有限公司、*交投建材有限公司等。
2012年发行14亿元5年期债券,13亿元7年期债券,2013年9月份发行10亿元1年期的短期融资券;2013年9月获得中诚信国际信用评级有限责任公司的公开主体评级AA+,评级展望稳定。
担保人-*交投情况介绍:
保证人*市交通投资有限责任公司成立于2003年11月,由*市国资委独资拥有,目前注册资本金115.64亿元。
隶属于*市国资委,是*市委直管的10个市属国有及国有控股企业之一。主要经营*市境内的铁路建设以及配套的土地开发、基础设施建设。
在财政补贴和土地注入等方面获得当地政府的有力支持。2012年获得政府补贴2.76亿元,截至2012年年末已经获得11.93万亩土地的一级开发收益权。
中诚信国际信用评级有限责任公司2013年6月份对其公开主体评级为AA+,评级展望稳定。
评价:
信用风险小,安全性较高,昆明市级国企担保
本项目的的融资人和保证人是*市国资委所拥有的国有企业,在*市城市基础设施建设中具有重要地位,获得了*市政府有力支持。*市较为发达的经济财政实力是确保本项目安全的有力保障。2012年*市一般预算收入378.4亿元,GDP 3011.14亿元。
收益率适中。
从收益-风险匹配程度来看,收益率的性价比较高。
流动性较好。
本产品将于2014年8月25日开放一次申赎,为投资者提供良好的流动性服务。
第三篇:食品包装安全性分析
食品包装安全性分析
摘要:近年来,由于受对外贸易中技术壁垒的限制,我国出口食品因包装质量问题频遭国外封杀,造成严重的经济损失,食品包装材料的安全性问题面临严峻挑战。我国是食品包装材料生产和使用大国,国家对食品包装材料的生产和使用都有严格的规定;然而,在我国使用有毒有害物质的违规行为非常严重。本文分析了我国食品包装材料的安全现状,以及所面临的主要问题,并探讨了我国食品包装材料的解决对策。
关键词:食品包装、现状与问题、对策
一、食品包装的定义
食品包装是食品商品的组成部分。食品工业过程中的主要工程之一。它保护食品,使食品在离开工厂到消费者手中的流通过程中,防止生物的、化学的、物理的外来因素的损害,它也可以有保持食品本身稳定质量的功能,它方便食品的食用,又是首先表现食品外观,吸引消费的形象,具有物质成本以外的价值。因此,食品包装制程也是食品制造系统工程的不可分的部分。但食品包装制程的通用性又使它有相对独立的自我体系【1】。
二、安全现状与存在的问题
2.1食品包装材料自身缺陷带来的危害
目前人们普遍使用的食品包装材料主要分为塑料类、金属类、和纸(壳)类等。塑料是使用最广泛的食品包装材料。塑料属于高分子聚合物,在聚合合成工艺中会有一些单体残留和一些低分子量物质溶出【2】。为了改善塑料的加工性能和使用性能,在其生产过程中需要加入一些添加剂(如稳定剂、润滑剂、着色剂、抗静电剂、可塑剂等加工助剂)。上述物质在一定条件下,会从聚合物材料向接触的食品中迁移而污染食品。
金属包装材料化学稳定性差,特别是包装酸性内容物时,金属离子极易析出而影响食品风味,一般需要在金属容器的内、外壁施涂涂料,内壁涂层中的化学污染物会向内容物迁移污染食品,外壁含苯的涂料和油墨也会渗透而污染内容物。
纸制品是一种传统的食品包装材料,在食品包装中占有相当重要的地位。纸包装的安全问题主要来自于造纸过程中加入的添加剂,或原料本身的不清洁,或采用霉变甚至使用回收废纸作为原料【3】。
2.2包装材料生产不规范带来的危害
目前我国食品包装生产企业近6 000余家,规模和产品质量良莠不齐。小型企业占相当大的比例,目前仅就塑料袋的生产,全国90%的企业都是小企业,从业人员素质偏低和技术水平落后等问题比较突出【4】。有些企业为降低成本,使用劣质原材料,甚至非法使用回收的废旧塑料;在一次性塑料餐饮具生产中,使用工业级碳酸钙、滑石粉、石蜡等有毒有害原辅材料;或加入有毒色母料把产品染成黄色,还堂而皇之地标上“可降解”字样;或加入有致癌作用的荧光增白剂掩盖杂质。
此外,我国大部分食品生产企业实行外购包装制品,而生产包装制品的企业通常是通用型企业,其生产环境和卫生条件难以保证产品的安全性。同时,现在绝大多数食品企业不允许包装企业在产品上打上自己的标志,公众无法监督,包装企业又多以成本高低来决定购买加工材料,从而造成食品安全隐患。
2.3食品包装安全监管薄弱
在我国尽管食品包装材料有相应的法律法规(《中华人民共和国食品安全法》)和卫生标准。但是受食品安全管理体制和政府职能分工的限制,目前的法律体系并没有得到较高水平的贯彻执行。监管缺乏依据,缺乏技术支撑。相对于食品本
【5】身的安全监管来说,我国食品包装安全监管明显薄弱,甚至存在“监管盲区”。我国要求食品生产企业必须获得生产许可,但在包装企业中,却缺乏有效的准入和管理机制。目前只制定了《食品用塑料及纸制品的包装、容器、工具等制品市场准入强制生产许可(QS)认证》,实行了市场准入制度。而陶瓷、玻璃、金属、橡胶、竹制品等食品包装材料,大部分仍未实行市场准入制度。更令人忧虑的是,即使对被纳人市场准入制度的食品容器、包装产品也未能做到严格地“许可”后续监管。
2.4包装材料的标准和检测方法亟待健全完善
由于各种因素的影响,我国对食品包装材料的管理相对滞后,部分食品容器、包装材料及加工助剂的标龄较长,检测项目相对较少,严重制约了行业的健康发展。许多成分和新产品缺乏相应的标准和检测方法,导致包装材料中的有害成分得不到有效控制。在复合包装材料生产中,广泛使用的油墨和胶粘剂,目前还没有卫生标准和全国统一的产品标准【6】。随着一些新型的食品包装材料的层出不穷,亟待标准的制定、修订和更新,并完善新材料的安全性评价程序和评价机制。
三、对策
3.1制定和完善法规
通过有关法规的制定和对广大食品生产者和消费者的教育和引导,使人们充分认识到绿色包装可以改善人类的生存环境,确保绿色包装行业的健康、持续发展。
3.2加强对新型材料的研究
大力推广现代包装新技术取代传统包装工艺是确保获取绿色包装的有效方法。例如,采用电子分色、电子雕刻取代落后照相凹版制作工艺,避免了因腐蚀液排放而危害环境卫生。在食品包装工艺上大力推广使用公害小、污染小的“绿色”印刷材料,有着重要的现实意义。3.3积极引进、吸收国外成熟技术
对绿色食品进行适度包装,积极推广“无包装”、“减包装”及局部包装。美国颁布了《包装和包装废弃物限制法》,日本颁布了《商品礼盒包装适当化纲要》,还有一些国家明确规定了包装费用应控制在商品价格的15%以内【7】。尽量使用同一材料,减少材料种类。尽量使用同一材料进行设计,不是限制包装设计的多样性,而主要是出于方便回收的考虑。采用可拆卸化、易压缩、折叠的设计。在设计包装物的结构时,应考虑可拆卸、易压缩、易折叠,使之更便于运输和回收。建立先进的回收系统,从而做到节约能源与资源。3.4加强设计识别
绿色包装与绿色食品密不可分,绿色包装在对绿色食品的包装过程中不仅是对材料、功能的要求,同时对包装外观的识别也有明确规定。环保部门对绿色包装的外观要求必须是“五位一体”:绿色食品、绿色食品字样、编码、防伪激光标签和认证单位。消费者在购买绿色食品时依据其外包装上的上述5项标准即可确定所购商品是否为真正的绿色商品【8】。由于各方面的原因,对绿色食品生产企业的产品包装没有统一的要求,大部分绿色食品没有采用绿色包装,有些甚至使用有毒、有害物质做包装。绿色包装已成为我国商品进入国际市场的障碍,因此,在我国包装行业推广“绿色包装”,势在必行。
总结:
随着科技的不断发展,食品包装材料的研究与开发也越来越“以人为本”,想着健康环保的方向发展。随着国家政策的调整以及消费观念的改变,借鉴发达国家的经验,我国的相关制度越来越完善,广大消费者对食品包装材料安全性的认识也越来越深入。从长远的角度看,社会环境需要食品产业的高安全性,因此,作为食品生产最后环节的包装材料的安全也成为重中之重。我们应当清楚目前所面临的困境,同时也应该对未来充满期望和信心。
参考文献:
[1]《中华人民共和国食品安全法》
[2] 刘浩 赵笑虹.食品包装材料安全性分析.中国食物与营养,2009 [3] 黄大川.食品包装材料对食品安全的影响及预防措施探讨.食品工业科技,2007,4:188 [4] 梁燕君.注意食品包装材料的安全性.劳动保护杂志2002,(1):32 [5] 郭恒斌 曾庆祝 王雅卿.食品包装材料的安全性及其对策.现代食品科技,2006 [6] 章建浩主编食品包装大全.中国轻工业出版社,2000 [7] 唐志祥.包装材料与实用包装技术.化学工业出版社,1996 [8] 章建浩.食品包装学.中国农业出版社2002
第四篇:列车碰撞安全性分析
列车碰撞安全性研究发展与应用
吴雪峰
(中南大学 交通运输工程学院,长沙,410075)
摘要:论文详细地介绍了国内外列车碰撞研究的必要性和基本理论,较系统的阐述了国内外列车碰撞研究的发展状况,最后概述了碰撞研究中的一些设计方法以及在实际中吸能元件的简单应用。
关键词:碰撞研究;基本理论;发展状况;设计方法;应用
The Development and Application of Train Crash Safety Research
WU Xue Feng(School of Traffic and Transportation Engineering, Central South University, Changsha 410075)
Abstract:The paper describes the need of domestic and international train collisions research and the basic theory in detail.And systematicly elaborate the development of the train collision studies at home and abroad.Finally,The article overview some of the design on collisions and the simple application of energy absorption components in practice.Keywords:
1、引言
在交通运输业中对车辆的运行安全一直是公众关注的焦点,尤其对行驶中的客运车辆发生意外碰撞、断轴或倾覆脱轨等重大事故一旦发生,如果不能在瞬间将巨大的动能耗散,必将车毁人亡,造成严重的人身伤亡和重大的财产损失。同汽车碰撞事故相比,虽然列车发生碰撞的概率要小于汽车发生碰撞的概率,然而一旦发生意外事故,同样会带来严重后果。例如:2001年8月3日,美国芝加哥市发生高架铁路2辆轻轨列车追尾事故,141人受伤。2005年1月17日,曼谷2列地铁列车在市区国家文化中心车站相撞,列车上约有700名乘客,造成约200人受伤。2005 年3月10日,在阿根廷首都布宜诺斯艾利斯,由于1列火车司机违章,未按信号指示行车,造成2列城市列车追尾相撞,131名乘客受伤等[1-2]。
据文献[3-5]介绍,英国在1972年—1981年10年间,铁路运输发生重大事故达83次,死亡人数共计68人;在1980年—1989年10年间,造成死亡人数增至165人,增幅达140%。我国多年来列车正面冲突、尾追重大意外事故也时有发生,90年代沪宁线旅客列车正面冲突造成80多名旅客罹难, 京广线客车尾追重大事故造成数10人伤亡,08年4.28事件等。这一系列惨痛事件迫使人们去寻找所谓的第二安全措施(相对于行车信号而言),即车辆自身结构防碰撞性能的研究。因此,近十多年来防撞车辆的设计研究便应运而生, 许多国家在铁路机车车辆、城市轨道车辆(地铁、轻轨车辆)的结构设计中, 提高客室的耐撞性,在车体的特定部位设置碰撞能量吸收装置和防爬装置,以期达到发生意外碰撞时能吸收大部分碰撞动能和防爬车目的, 从而最大限度地减少人员的伤亡。英国铁路(BR)与欧洲铁路研究组织(ORE)在防撞车的研究中,进行了大量的基础性试验研究和现车的碰撞试验,所获得的成果可直接用于防撞车的结构设计。
车辆的安全性分为主动安全性和被动安全性。前者是指预防事故发生的安全措施;后者是指发生事故时对乘员进行保护的安全措施,如提高车辆结构的耐撞击性和采用各种安全约束保护系统等。处于对乘客安全的关心与重视,近年来,对车辆被动安全性的评估已成为一个重要的研究课题。
2、国内外研究概况
碰撞安全问题作为现代车辆设计中以人为本思想的重要组成部分而成为近年来国际国内车辆设计研究的一个热点。尽管轨道列车系统中采用了大量的主动安全性措施,但是仍然不能完全消除造成乘客严重伤害的列车碰撞事故。
为使事故造成的损失最小,人们逐步认识到,在设计车辆时充分考虑车辆耐碰撞性能的重要性。英国是较早进行耐冲击车体研究的国家,20世纪90 年代,在英国铁路管理委员会内成立了专门从事列车碰撞问题的研究机构。对铁道车辆结构耐碰撞性和吸能元件,如GRP 圆管进行较深入的理论分析、计算机仿真和试验研究。设计出如图1所示带司机室的防碰撞车辆的前端结构[1]。
当发生碰撞时在乘客区域发生变形前,通过压缩车钩缓冲器以及GRP 能量吸收管和前端底架的有序塑性变形吸收掉1 MJ 能量。法国国营铁路从1998 年开始进行列车耐碰撞性能研究。利用大型有限元软件对两起发生在平交道口的列车碰撞事故进行了仿真再现分析,一起事故是内燃动车与1 辆油罐车相撞,另一起是1 列新型的耐撞击的电动车与1 辆载重30t的大卡车相撞。仿真结果表明,欧洲标准EN12663中的第二部分关于铁道车辆被动安全性评价中的15t重的方型障碍物不能很好地代表与铁道车辆相碰撞的路面车辆。为此,法国在设计TGV双层高速列车的动力车和尾部拖车时,对其结构的耐撞击性能进行了大量的理论研究和试验验证。
因此,近年来,对于如何在更高碰撞速度的情况下,提高列车的被动安全性越来越被重视。车体结构不能发生永久变形的既有概念则应变为基于可控制能量吸收过程的设计理念。欧洲正在讨论制定“碰撞安全性设计”的新标准,旨在定义适合于车体结构的能量吸收装置,它涵盖从有轨电车到高速列车所有类型的轨道客车。
总体而言,车辆的碰撞安全技术可分为主动防护技术和被动防护技术两类。主动防护技术研究为防止碰撞所采取的各项防范措施。被动防护技术则通过车辆耐撞性能的设计,使车辆在事故发生的瞬间通过吸能装置将巨大的撞击动能耗散,从而达到最大可能的保护乘员生命安全的目的。就机车车辆本身而言,研制耐冲击吸能车体对减轻客运列车碰撞事故造成的损失, 有重要的实用价值。为了抵御冲击,按“为乘员提供安全空间和有效缓和撞击”的思路,重新分配车体各部分刚度,设计出具有合适吸能结构的耐冲击车体, 即列车的动车及客车车体结构均按前、中、后三种纵向刚度设置,前后两部分为弱刚度结构, 中间部分为强刚度结构。这样一旦发生列车碰撞事故, 车体两端的弱刚度部分将产生塑性大变形吸收冲击动能(简称吸能结构), 而车体中间的强刚度部分仅产生弹性变形(简称弹变结构),最终达到保护乘客、司机与机器设备安全的目的。这种车体结构设计方法, 不仅在较大碰撞速度下能对乘员起到保护作用, 还将提高中国机车车辆的车体结构设计水平。
3、能量吸收装置的元件
能量吸收装置的基本原理是利用其元件材料的塑性变形能来耗散所遭受的冲击动能,对一般材料可忽略其强化性能, 当作理想刚塑性体。在外载荷达到某一定值时,理想刚塑性体可在外载荷不变的情况下发生塑性流动,即无限制的塑性大变形,这时称元件或结构处于极限状态,所受的载荷称为元件或结构的极限承载能力,或称极限载荷, 与之相对应的速度场称为塑性损伤机构,或塑性流动(可动)机构。元件或结构若有几个塑性流动机构, 则对应地可求得几个不同的极限载荷值, 在极限状态下应选取其最小值作为该元件或结构的极限载荷值, 即极限载荷是唯一确定的。从能量吸收装置的元件变形情况看, 不宜采用单独拉伸或扭转变形, 因为理想刚塑性材料载荷一旦达到材料的屈服极限,则变形要无限增大,直到断裂,很难控制。另外实际材料存在拉伸颈缩变形失稳现象,行程一般较短, 难以满足要求。为了满足设计要求,性能稳定可靠,能量吸收装置大多采用受弯曲变形或压缩变形的元件。
4、研究及实际应用
列车通常由动车与拖车组成的多个车组用车钩装置予以连接而成,车组的动车与拖车之间采用刚度较大的铰连接,因而整个车组实际上相当于一辆车。当列车与前面的障碍物相碰撞时,头车组首先处于撞击状态,其他的车组经过车钩缓冲装置的相位差以后才进入撞击状态。由于相位差的存在,在计算碰撞动能时,可以把列车中各车组视为独立的运动物体,其他车组的质量是不断地补充到撞击车辆的质量中去的。
图2为一个典型的碰撞过程压缩力与压缩变形行程关系曲线,它反映了采用现代碰撞安全性系统原理设计的车辆在列车端部发生碰撞时的情况。对于在非专用线路上运行的列车或者与其它类型的列车混合运行的情况,车体结构的碰撞安全性设计可能还应考虑其它的碰撞假设条件,例如:与其它类型列车的碰撞,在平交道口与卡车或小汽车碰撞等。
地铁车辆碰撞安全性设计通常采用车钩中配置的能量吸收元件以及车辆端部配置的碰撞变形能量吸收区来实现,主要为底架结构中的变形元件,专门用来吸收超过车钩系统能量吸收限度的碰撞能量,一旦发生事故,以降低乘客受到伤害的风险。为了保证碰撞过程中产生的塑性变形局限于预先设定的专门的碰撞变形能量吸收区内,客室区域车体结构的承载能力必须明显高于车辆端部。具有恰当高度的防爬器要正好布置在碰撞变形能量吸收区的前方,防止严重车辆碰撞时发生爬升情况而挤压到客室区域。碰撞变形能量吸收元件的设计通常采用筒形结构(正方形、长方形、六边形、多单元组合断面等)单元。在纵向冲击力的作用下,这些吸能元件能够发生逐步渐进式的塑性屈曲变形,其特性曲线呈现振荡波形,但在碰撞冲击变形的很长距离内冲击力水平基本保持一致,如图2所示。
吸能元件初始长度的70%~75% 可以作为能量吸收用途使用,它与吸能元件的断面形状有关。通常采用的触发机构形式包括:局部弱化处理、锥形结构等,目的是把碰撞初始过程的冲击力峰值降低到合理的水平,并明确定义结构屈服发生的起始位置。车辆端部的设计理念主要通过以下两种方法来实现:①车辆端部碰撞变形能量吸收区与车体结构完全集成在一起。②由吸能元件构成的碰撞变形能量吸收区与防爬器板状结构集成在一起组成一个模块化部件,然后通过螺栓等机械联结组装到底架结构前端。
车辆端部碰撞安全性设计的主要挑战之一来自必须同时满足多个、并且经常是相互矛盾的要求,因为集成的碰撞变形能量吸收区不仅要承受碰撞冲击时的载荷,还要传递静态载荷。例如:作用在防爬器上的纵向及垂向载荷、作用在端墙结构上的局部载荷、车钩载荷、架车引起的载荷等。静强度设计通常导致非常刚性的车体端部结构,但是碰撞安全性设计要求具有一个可以变形的区域,并能够恰当地控制能量吸收的过程及碰撞冲击力的水平。碰撞变形能量吸收区本身的设计与评估已经非常复杂,但是为了兼顾静强度及碰撞安全性两个方面的要求,通常车辆端部的结构设计需要反复进行,而最终的设计结果通常是兼顾两个方面的折衷方案。
参考文献:
[1] 张振淼,逄增祯。轨道车辆碰撞能量吸收装置原理及结构设计(续完).国外铁道车辆,2001,38(4).[2] Frank Muller.轻轨车辆的制造.国外铁道车辆,2000,37(5).[3] John Lewis.铁路客车冲击试验研究.国外铁道车辆,1999(4).[4] 蒋 秋, 穆霞英.塑性力学基础[M].机械工业出版社, 136-141.[5] 田口真.铁道车辆抗冲撞结构的开发.国外铁道车辆,2003,40(6)[6] 刘鸿文.材料力学[M].高等教育出版社, 1979,1622174.[7] Markus Seitzberger.城轨车辆碰撞安全性的现代设计理念.现代城市轨道交通,2005(1)[8] 侯卫星.欧洲铁路碰撞技术的开发[J].国外铁道车辆, 1998,(1):23226,46.[9] 朱西产. 汽车正面碰撞实验法规及其发展趋势的分析汽车工程,2002,(l):l-5 [10] 田红旗等 客运列车耐冲击吸能车体设计方法[J],交通运输工程学报,2001,(1):100-114 [11] 赵洪伦等 城市轨道车辆动车组耐冲击吸能车体设计研究[J], 铁道车辆,2003,(2)12-41 [12] LEW IS J H.Structural crashworthiness2possibilities and p racticalities[C] //Proc Institution of Mech Engineers:Part F.London: Professional Eng Publishing, 2002: 117-121.[13] LU G.Energy absorp tion requirement for crashworthy vehicles[C]//Proc Institution ofMech Engineers: Part F.London: Professional Eng Publishing, 2002: 31-39.[14] The Association of Train Operating Companies.AV /ST 9001, Vehicle interior crashworthiness[S].
第五篇:防火墙的安全性分析论文
软件学院
专 科 生 毕 业
实 践 报 告
题 目: 防火墙的安全性分析
专 业: 计算机网络技术 年(班)级: 学 号: 姓 名: 指导教师: 完成日期: 2010 年 03 月 17 日
防火墙的安全性分析
摘要:本文从防火墙的定义、为什么使用防火墙、防火墙的概念、防火墙的功能等方面介绍了防火墙的基本信息;并从防火墙的安全技术分析、防火墙的基本类型、防火墙的工作原理、防火墙的配置、防火墙的安全措施这五个方面来对防火墙的安全性进行分析。
关键词:黑客,防火墙,网络安全
目 录
引言............................................................................................4
一、防火墙简介................................................................................4 1.1防火墙的概念..........................................................................4 1.2防火墙出现的背景和意义......................................................5 1.3 防火墙的发展史.....................................................................5 1.4 防火墙的功能.........................................................................6
二、防火墙的基本类型......................................................................7 2.1 包过滤型.................................................................................7 2.2 网络地址转化型—NAT..........................................................7 2.3 代理型......................................................................................8 2.4 监测型......................................................................................8
三、防火墙的工作原理.......................................................................8
3.1相关术语...................................................................................8
3.2 防火墙的防御机理..................................................................9
四、防火墙的配置.............................................................................10
五、防火墙的安全技术分析.............................................................11
六、防火墙的安全措施.......................................................................14
七、总结.............................................................................................14 致谢.....................................................................................................参考文献.............................................................................................引 言
在计算机技术和网络技术普遍应用的今天,人们已经不再用脑子去记很多的东西了,而主要记载在计算机上或与之相关机器上,很多时候我们只需记载一些密码便可,也方便查询。但是,网络也是不安全的,很多时候我们的计算机中的信息都有被盗的可能,因此,需要确保我们信息系统安全。以前,我们只需设置一些复杂的密码就可以,但是上网后,黑客们还是能从各种途径盗取我们的重要信息,包括我们的密码和各种敏感信息。因此,我们不只要经常给系统打补丁,还要有一个好的防火墙。有防火墙可以更好的防范黑客攻击。它可以控制端口的连接,将一些危险的端口屏蔽,防止他人对我们计算机的配置信息进行扫描;可以防范一些有攻击性的病毒。因此,给我们的计算机安装强有力的防火墙是很有必要的。我们可以根据自己爱好或用途选择防火墙,如天网防火墙,诺顿安全特警,瑞星防火墙等。这里,我将运用自己所学知识,先介绍防火墙出现的背景、意义,防火墙的发展史,防火墙的概念及其功能。然后从防火墙的类型、工作原理、配置、安全技术分析及其安全措施对防火墙的安全性进行分析。
一、防火墙简介
1.1防火墙的概念
防火墙是汽车中一个部件的名称。在汽车中,利用防火墙把乘客和引擎隔开,以便汽车引擎一旦著火,防火墙不但能保护乘客安全,而同时还能让司机继续控制引擎。
在电脑术语中,当然就不是这个意思了,我们可以类比来理解,在网络中,所谓“防火墙”,是指一种将内部网和公众访问网分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。它可 4 通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。
在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。
防火墙的优点:
(1)防火墙能强化安全策略。
(2)防火墙能有效地记录Internet上的活动。
(3)防火墙限制暴露用户点。防火墙能够用来隔开网络中一个网段与另一个网段。这样,能够防止影响一个网段的问题通过整个网络传播。
(4)防火墙是一个安全策略的检查站。所有进出的信息都必须通过防火墙,防火墙便成为安全问题的检查点,使可疑的访问被拒绝于门外。
1.2防火墙出现的背景和意义
随着计算机的发展,人们越来越意识到网络的重要性,通过网络,分散在各处的计算机被网络联系在一起。作为网络的组成部分,把众多的计算机联系在一起,组成一个局域网,在这个局域网中,可以在它们之间共享程序、文档等各种资源;还可以通过网络使多台计算机共享同一硬件,如打印机、调制解调器等;同时我们也可以通过网络使用计算机发送和接收传真,方便快捷而且经济。21世纪全世界的计算机都将通过Internet联到一起,信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范,而且还 从一种专门的领域变成了无处不在。信息安全是国家发展所面临的一个重要问题。发展安全产业是信息安全保障系统的一个重要组成部分,甚至应该看到它对我国未来电子化、信息化的发展将起到非常重要的作用。
1.3防火墙的发展史
第一代防火墙:
第一代防火墙技术几乎与路由器同时出现,采用了包过滤(Packet filter)技术。
第二、三代防火墙:
1989年,贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙,即电路层防火墙,同时提出了第三代防火墙——应用层防火墙(代理防火墙)的初步结构。
第四代防火墙:
1992年,USC信息科学院的BobBraden开发出了基于动态包过滤(Dynamic packet filter)技术的第四代防火墙,后来演变为目前所说的状态监视(Stateful inspection)技术。1994年,以色列的CheckPoint公司开发出了第一个采用这种技术的商业化的产品。第五代防火墙:
1998年,NAI公司推出了一种自适应代理(Adaptive proxy)技术,并在其产品Gauntlet Firewall for NT中得以实现,给代理类型的防火墙赋予了全新的意义,可以称之为第五代防火墙。
1.4 防火墙的功能
防火墙最基本的功能就是控制在计算机网络中,不同信任程度区域间传送的数据流。典型信任的区域包括互联网(一个没有信任的区域)和一个内部网络(一个高信任的区域)。最终目标是提供受控连通性在不同水平的信任区域通过安全政策的运行和连通性模型之间根据最少特权原则。
例如:TCP/IP Port 135~139是 Microsoft Windows 的【网上邻居】所使用的。如果计算机有使用【网上邻居】的【共享文件夹】,又没使用任何防火墙相关的防护措施的话,就等于把自己的【共享文件夹】公开到Internet,供不特定的任何人有机会浏览目录内的文件。防火墙的主要功能有以下几点:
①防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。通过过滤不安全的服务,防火墙可以极大地提高网络安全和减少子网中主机的风险。
②防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。防火墙同时可以保护网络免受基于路由的攻击。
③通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙一身上。
如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。
⑤除了安全作用,防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN(虚拟专用网)。
二、防火墙的基本类型
根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换—NAT型、代理型和监测型。
2.1包过滤型
网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点 ,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。
包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况 7 下,能够以较小的代价在一定程度上保证系统的安全。
2.2网络地址转化—NAT型
网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。
在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。
2.3代理型
代理型防火墙也称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。
代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
2.4监测型
监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分 8 析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。
虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理。
三、防火墙的工作原理
3.1 相关术语
①网关
网关是在两上设备之间提供转发服务的系统。网关的范围可以从互联网应用程序如公共网关接口(CGI)到在两台主机间处理流量的防火墙网关,这个术语是非常常见的。②电路级网关
电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话是否合法,电路级网关是在OSI模型中会话层上来过滤数据包,这样比包过滤防火墙要高两层。另外,电路级网关还提供一个重要的安全功能:网络地址转移(NAT)将所有公司内部的IP地址映射到一个“安全”的IP地址,这个地址是由防火墙使用的。③应用级网关
应用级网关可以工作在OSI七层模型的任一层上,能够检查进出的数据包,通过网关复制传递数据,防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议,能够做复杂一些的访问控制,并做精细的注册。通常是在特殊的服务器上安装软件来实现的。④包过滤
包过滤是处理网络上基于packet-by-packet流量的设备。包过滤设备允许或阻止包,典型的实施方法是通过标准的路由器。在上文的防火墙类型中做过介绍。
⑤代理服务器
代理服务器代表内部客户端与外部的服务器通信。代理服务器这个术语通常是指一个应用级的网关,虽然电路级网关也可作为代理服务器的一种。⑥网络地址翻译(NAT)网络地址解释是对Internet隐藏内部地址,防止内部地址公开。这一功能可以克服IP寻址方式的诸多限制,完善内部寻址模式。把未注册IP地址映射成合法地址,就可以对Internet进行访问。
3.2防火墙的防御机理
①包过滤型防火墙:数据包过滤技术是在网络层对数据包进行选择、过滤,选择、过滤的标准是以网络管理员事先设置的过滤逻辑(即访问控制表)为依据的。防火墙通过检查数据流中每个数据包的源地址、目的地址、所用端口号、协议状态等信息,来确定是否允许该数据包通过。包过滤型防火墙的优点是效率比较高。包过滤(PacketFliter)通常安装在路由器上,而且大多数商用路由器都提供了包过滤的功能。包过滤规则以IP包信息为基础,对IP源地址、目标地址、封装协议、端口号等进行筛选。包过滤在网络层进行。
②应用级网关型防火墙:应用级网关是在网络应用层上建立协议、实现过滤和转发功能的。它针对特定的网络应用服务协议,采用不同的数据过滤逻辑,并在过滤的同时对数据包进行必要的分析、登记和统计,形成报告,大大提高了网络的安全性。
特别需要指出的是:应用级网关型防火墙和包过滤型防火墙有一个共同的特点,它们仅仅依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑,则防火墙内外的计算机系统就建立起直接的联系,防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态,从而使非法访问和攻击容易得逞。
③代理服务型防火墙:代理服务也称链路级网关(Circuit Level Gateways)或TCP通道(TCP Tunnels),也有人将它归于应用级网关一类。它是针对包过滤和应用级网关技术存在的缺陷而引入的防火墙技术,其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”由代理服务器实现,外部计算机的网络链路只能到达代理服务器,从而起到了隔离防火墙内外计算机系统的作用。此外,代理服务器也对过往的数据包进行分析、注册登记,形成报告。当发现被攻击迹象时,代理服务器会向网络管理员发出警报。应 用级网关型和代理服务型防火墙大多是基于主机的,价格比较贵,但性能很好,其安装和使用也比采用数据包过滤技术的防火墙复杂一些。
四、防火墙的配置
防火墙配置有三种:Dual-homed方式、Screened-host方式和Screened-subnet方式。
Dual-homed方式最简单。Dual-homedGateway放置在两个网络之间,这个Dual-omedGateway又称为bastionhost。这种结构成本低,但是它有单点失败的问题。这种结构没有增加网络安全的自我防卫能力,而它往往是受“黑客”攻击的首选目标,它自己一旦被攻破,整个网络也就暴露了。
Screened-host方式中的Screeningrouter为保护Bastionhost的安全建立了一道屏障。它将所有进入的信息先送往Bastionhost,并且只接受来自Bastionhost的数据作为出去的数据。这种结构依赖Screeningrouter和Bastionhost,只要有一个失败,整个网络就暴露了。
Screened-subnet包含两个Screeningrouter和两个Bastionhost。在公共网络和私有网络之间构成了一个隔离网,称之为“停火区”(DMZ,即DemilitarizedZone),Bastionhost放置在“停火区”内。这种结构安全性好,只有当两个安全单元被破坏后,网络才被暴露,但是成本也很昂贵。
五、防火墙的安全技术分析
防火墙产品最难评估的方面是防火墙的安全性能,即防火墙是否能够有效地阻挡外部入侵。
防火墙技术是指网络之间通过预定义的安全策略,对内外网通信强制实施访问控制的安全应用措施。它对两个或多个网络之间传输的数据包按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并并监视网络运行状态。(1)只有正确选用、合理配置防火墙,才能有效发挥其安全防护作用
防火墙作为网络安全的一种防护手段,自多种实现方式。建立合理的防护系统,配置有效的防火墙应遵循这样四个基本步骤:
1、风险分析.
2、需求分析:
3、确定安全政策:
4、选择准确的防护手段,并使之与安全政策保持一致。(2)应正确评估防火墙的失效状态
评价防火墙性能如何及能否起到安全防护作用,不仅要看它工作是否正常,能否阻挡或捕捉到恶意攻击和非法访问的蛛丝马迹,而且要看到一旦防火墙被攻破,它的状态如何?
按级别来分,它应有这样4种状态:
1、未受伤害能够继续正常工作;
2、关闭并重新启动,同时恢复到正常工作状态;
3、关闭并禁止所有的数据通行;
4、关闭并允许所有的数据通行。
前两种状态比较理想,而第4种最不安全。但是许多防火墙由于没有条件进行失效状态测试和验证,无法确定其失效状态等级,因此网络必然存在安全隐患。防火墙能否起到防护作用,最根本、最有效的证明方法是对其进行测试,甚至站在“黑客”的角度采用各种手段对防火墙进行攻击。然而具体执行时难度较大,原因是:
1、防火墙性能测试目前还是一种很新的技术,可用的工具和软件较少。
2、防火墙测试技术尚不先迸,与防火墙设计并非完全吻合,使得测试工作难以达到既定的效果。
3、选择“谁”进行公正的测试也是一个问题。可见,防火墙的性能测试决不是一件简单的事情,但这种测试又相当重要。(3)防火墙必须进行动态维护
防火墙安装和投入使用后,并非万事大吉。要想充分发挥它的安全防护作用,必须对它进行跟踪和维护,商家一旦发现其产品存在安全漏洞,就会尽快发布补救产品,此时应尽快确认真伪(防止特洛伊木马等病毒),并对防火墙软件进行更新。
(4)非法攻击防火墙的基本“招数”
1、通常情况下,有效的攻击都是从相关的子网进行的。因为这些网址得到了防火墙的信赖,虽说成功与否尚取决于机遇等其他因素,但对攻击者而言很值得一试。许多防火墙软件无法识别数据包到底来自哪个网络接口,因此攻击者无 12 需表明进攻数据包的真正来源,只需伪装IP地址,取得目标的信任,使其认为来自网络内部即可。IP地址欺骗攻击正是基于这类防火墙对IP地址缺乏识别和验证的机制。
通常主机A与主机B的TCP连接(中间有或无防火墙)是通过主机A向主机B提出请求建立起来的,而其间A和B的确认仅仅根据由主机A产生并经主机B验证的初始序列号ISN。
具体分三个步骤:
1.主机A产生它的ISN,传送给主机B,请求建立连接;
2.B接收到来自A的带有SYN标志的ISN后,将自己本身的ISN连同应答信息ACK一同返回给A;
3.A再将B传送来的ISN及应答信息ACK返回给B。至此,正常情况,主机A与B的TCP连接就建立起来了。
IP地址欺骗攻击的第一步是切断可信赖主机.这样可以使用TCP淹没攻击,使得信赖主机处于“自顾不暇”的忙碌状态,相当于被切断,这时目标主机会认为信赖主机出现了故障,只能发出无法建立连接的RST包而无暇顾及其他。
攻击者最关心的是猜测目标主机的ISN。为此,可以利用SMTP的端口(25),通常它是开放的,邮件能够通过这个端口,与目标主机打开一个TCP连接,因而得到它的ISN。在此有效期间,重复这一过程若干次,以便能够猜测和确定ISN的产生和变化规律,这样就可以使用被切断的可信赖主机的IP地址向目标主机发出连接请求。
请求发出后,目标主机会认为它是TCP连接的请求者,从而给信赖主机发送响应(包括SYN),而信赖主机目前仍忙于处理Flood淹没攻击产生的“合法”请求,因此目标主机不能得到来自于信赖主机的响应。
现在攻击者发出回答响应,并连同预测的目标主机的ISN一同发给目标主机。
随着不断地纠正预测的ISN,攻击者最终会与目标主机建立一个会晤。通过这种方式,攻击者以合法用户的身份登录到目标主机而不需进一步的确认。如果反复试验使得目标主机能够接收对网络的ROOT登录,那么就可以完全控制整个网络。
归纳起来,防火墙安全防护面临威胁的几个主要原因有:①SOCK的错误配置;②不适当的安全政策;③强力攻击;④允许匿名的FTP协议;⑤允许TFTP协议;⑥允许Rlogin命令;⑦允许X-Windows或OpenWindows;⑧端口映射;⑨可加载的NFS协议;⑩允许Win95/NT文件共享。
破坏防火墙的另一种方式是攻击与干扰相结合。也就是在攻击期间使防火墙始终处于繁忙的状态。防火墙过分的繁忙有时会导致它忘记履行安全防护的职能,处于失效状态。
需要特别注意的是,防火墙也可能被内部攻击。因为安装了防火墙后,随意访问被严格禁止了,这样内部人员无法在闲暇的时间通过Telnet浏览邮件或使用FTP向外发送信息,个别人会对防火墙不满进而可能攻击它、破坏它,期望回到从前的状态。这里,攻击的目标常常是防火墙或防火墙运行的操作系统,因此不仅涉及网络安全,还涉及主机安全问题。
以上分析表明,防火墙的安全防护性能依赖的因素很多。防火墙并非万能,它最多只能防护经过其本身的非法访问和攻击,而对不经防火墙的访问和攻击则无能为力。
六、防火墙的安全措施
各种防火墙的安全性能不尽相同,以下是一些一般防火墙的常用安全措施:
1.防电子欺骗术
防电子欺骗术功能是保证数据包的IP地址与网关接口相符,防止通过修改IP地址的方法进行非授权访问。还应对可疑信息进行鉴别,并向网络管理员报警。
2.网络地址转移
地址转移是对Internet隐藏内部地址,防止内部地址公开。这一功能可以克服IP寻址方式的诸多限制,完善内部寻址模式。把未注册IP地址映射成合法地址,就可以对Internet进行访问。3.开放式结构设计
开放式结构设计使得防火墙与相关应用程序和外部用户数据库的连接相当容易,典型的应用程序连接如财务软件包、病毒扫描、登录分析等。
七、总结