第一篇：鋁釬焊技術(shù)在電子產(chǎn)品中的應用-真空釬焊

鋁釬焊技術(shù)在電子產(chǎn)品中的應用

作者：電子36研究所余紅華

摘要：主要介紹了電子產(chǎn)品中使用的鋁合金散熱器、冷板和平板縫隙天線等工件的鋁釬焊技術(shù)，對釬焊接頭與夾具、工藝參數(shù)和加工過程進行了較詳細的論述。關(guān)鍵詞：鋁合金；爐中釬焊；夾具

1引言

由于鋁合金密度小、耐腐蝕、導熱和導電性好，且具有一定的比強度，鋁合金材料應用范圍不斷擴大，電子設備中散熱器、冷板和平板縫隙天線基本上采用鋁合金釬焊結(jié)構(gòu)。

散熱器、冷板體積大，對釬縫成形和變形有一定要求，液冷系統(tǒng)中的冷板要求能承受0.4MPa的工作水壓，根據(jù)不同要求可選用爐焊、真空釬焊工藝，其中真空釬焊適合質(zhì)量要求高的零件。

平板縫隙天線由1mm厚的輻射板、隔板、底板組成的共壁波導陣和饋電波導焊接成形，該天線結(jié)構(gòu)復雜，目前國內(nèi)外對此零件通常以數(shù)控加工成形，裝配后采用鹽浴焊、真空釬焊等幾種焊接方式整體焊接，在制造工藝上存在一系列問題，尤其是天線的組合釬焊，波導作為微波傳輸通道，它要求有嚴格的截面尺寸、形位公差要求，釬焊后不僅要有合適的內(nèi)腔圓角，同時不能在內(nèi)腔形成金屬堆積、熔蝕等缺陷，更不能有未焊上的釬縫和截面的翹曲變形，任何加工不合適都會影響天線的相位和駐波，所以這些結(jié)構(gòu)特點給平板縫隙天線加工帶來了很大的難度。鋁釬焊原理

2.1 空氣爐中釬焊

空氣爐中釬焊是最簡單的爐中釬焊方法。釬焊時把裝配好并加上釬料及釬劑的工件放入電爐中，工件被加熱到釬焊溫度后，依靠釬劑去除母材表面的氧化膜，使釬料流入接頭間隙。取出冷卻后便形成釬焊接頭。

由于爐中釬焊的加熱周期較長，為了減少工件氧化，防止釬劑蒸發(fā)和喪失活性，應盡量縮短工件在高溫下停留時間，釬焊工件的加熱時間根據(jù)工件和夾具的大小而不同，一般通過試驗確定。空氣爐中釬焊設備簡單，成本較低，加熱均勻，變形小。但最大的缺點是釬焊過程中母材暴露在空氣中，釬劑會發(fā)生嚴重的氧化，如果采用氮氣保護效果會更好。另外由于氯化物釬劑釬渣的強烈吸潮性，釬焊接頭易發(fā)生腐蝕，所以鋁釬焊使用的釬劑最好是無腐蝕釬劑，其中QF型［1，2］釬劑是氟化物釬劑，它由KF及ALF3組成，當KF為45.8%、ALF3為54.2%時，釬劑中將不存在KF及ALF3，而全部形成 K3AlF6-KAlF4，由相圖可知其共晶溫度為562℃。該種釬劑不吸潮，在室溫下不與水和鋁發(fā)生反應，僅在釬焊溫度附近有活性，焊后殘渣不會引起腐蝕，在釬焊過程中去膜能力強，釬焊后接頭耐蝕性好，釬縫致密性好，能用于鋁合金空氣爐中釬焊，但如果在潮濕的空氣中加熱這種釬劑時，釬劑成分要發(fā)生變化而影響去膜能力。另外，各個廠家生產(chǎn)的釬劑質(zhì)量相差較大，在加熱時間較長時尤其明顯，有的釬劑根本不能完成釬焊，文獻［3］指出，在加熱溫度、焊前清洗等正常情況下，釬劑質(zhì)量波動是造成釬焊質(zhì)量大幅度波動的主要原因。

2.2 真空釬焊

真空釬焊是為適應宇宙航空、海洋開發(fā)、原子能、電子工業(yè)及化學工業(yè)的需要而發(fā)展起來的一種較新的釬焊方法。真空焊接過程不需要釬劑即能連接鋁鈦等高活性金屬，同時能保證獲得精密光亮的接頭，此接頭具備優(yōu)良的機械性能和抗腐蝕性能。真空釬焊是在真空爐中進行，隨著真空爐性能價格比的不斷提高，鋁真空釬焊爐已在民品、軍品工業(yè)中得到大量應用，鋁真空釬焊相比鹽浴釬焊和釬劑釬焊具有明顯的優(yōu)點：1）無毒和無污染；2）不使用釬劑，不存在焊渣，無需焊后清洗，節(jié)約人力物力；3）在真空中加熱，沒有氧化問題，可以加工很大的工件；4）加熱均勻，變形量小，可以做到焊后不修整，這對于焊后難于清洗和修整的高精度鋁波導是非常必要的，同時對于風冷散熱器、水冷冷板的釬焊也比較適合。真空爐由真空室、加熱器、控制系統(tǒng)和配套的真空系統(tǒng)組成。現(xiàn)在主流的鋁真空釬焊為冷壁爐，采用水冷爐壁，生產(chǎn)條件好，釬焊的工件質(zhì)量高，適用于小批量、多品種零件的加工。工藝過程

3.1 基體材料、釬料及使用

表1是幾種常用釬焊基體材料、釬料的物理和機械性能。由于LF21、LD31鋁合金材料的固相線溫度比其他鋁合金高，比較適合鋁合金高溫釬焊，LF21鋁合金適用于各種結(jié)構(gòu)件，而LD31鋁合金可熱處理強化，其加工性能、抗腐蝕性能、力學性能良好，適用于真空釬焊后需熱處理強化的結(jié)構(gòu)件，如平板縫隙天線等。在散熱器、冷板加工過程中發(fā)現(xiàn)10mm左右的鋁合金原材料有一定的變形，會影響裝配過程和釬焊質(zhì)量，也增大后續(xù)銑加工量，冷校平很難解決這一問題，通過試驗采用熱校平工藝很好地解決了此問題。

釬料是釬焊工藝中的關(guān)鍵連接材料，Al-Si、Al-Si-Sr-La共晶釬料適合于空氣爐、氣體保護爐有釬劑釬焊，目前使用的為Φ1.5mm的盤狀釬料，為了使釬料貼近釬縫形成滿意的焊縫，要求釬料必須直，在校直過程中我們采用退火工藝后拉直，現(xiàn)在釬料可以做的很直，有利于釬焊質(zhì)量的提高。Al-Si-Mg釬料及復合釬料板適用于真空釬焊，在釬料中加入一定量的Mg，可以提高局部去膜效果。

3.2 釬劑和活化劑

鋁合金表面氧化膜致密穩(wěn)定、熔點高，在普通釬焊溫度下不易分解，在空氣爐、氣體保護爐釬焊必須使用釬劑，QF型氟化物釬劑有較強的去氧化膜能力，但其機理目前尚不清楚，有人認為主要是氟鋁酸鉀能溶解氧化鋁膜，且常溫下不與水反應，我們用的就是帶水的漿狀釬劑。鋁的真空釬焊由于鋁的氧化膜在真空中也很難分解，所以在很長的一段時間內(nèi)沒有取得進展，直到提出采用所謂金屬活化劑后，鋁的真空釬焊才被實現(xiàn)。試驗表明，Mg是鋁真空釬焊最好的活化劑，通過加入鎂可以獲得良好的釬焊性能和優(yōu)良的釬焊接頭。

3.3 工件結(jié)構(gòu)特點的分析和加工過程

3.3.1 工件結(jié)構(gòu)特點的分析

由于各工件技術(shù)要求不同，加工工藝也不一樣，合理的釬焊接頭設計十分必要，通過對散熱器、冷板和平板縫隙天線各自特點的分析，提出如圖2的結(jié)構(gòu)形式。

空氣、氮氣爐釬焊散熱器采用銑定位槽結(jié)構(gòu)，該結(jié)構(gòu)定位可靠，釬劑和釬料添加位置合理，大面為整體材料，變形易控制，已在生產(chǎn)中大量采用。

真空釬焊散熱器、冷板采用復合釬料板夾在基材中的夾層結(jié)構(gòu)，該結(jié)構(gòu)由于利用了復合釬料板良好的釬焊性能，只要控制好工藝，釬焊質(zhì)量易保證，但對上面結(jié)構(gòu)的散熱器要兼顧釬料流淌和強度，溫度過高，釬料流淌嚴重，溫度過低，強度不易保護。真空釬焊平板縫隙天線采用扭式榫頭，中間夾釬料箔的結(jié)構(gòu)，該接頭相比目前常用的脹鉚榫頭結(jié)構(gòu)，減少鉚接應力，加工也比較方便。

3.3.2 典型工件的加工過程

空氣（氮氣）爐釬焊散熱器、冷板的工序為：1）熱校平；2）焊前清洗、零件銑成形；3）裝配、加釬劑釬料（不需要烘干）；4）釬焊；5）清洗；6）機加工成形。

真空釬焊散熱器、冷板的工序：1）零件成形； 2）焊前清洗、釬焊； 3）機加工成形。平板縫隙天線的工序為：1）數(shù)沖陣面板成形、波導等零件銑或線切割成形；2）焊前工件、釬料表面處理，尤其線切割面的處理；3）裝配釬焊成形，包括夾具設計；4）校形；5）電性能測試。

3.4 夾具設計

鋁合金釬焊一般要加熱到600℃左右，在這個過程中，工件易變形，尺寸精度不易保證，同時為了保證釬焊間隙通常要采用夾具，鋁合金釬焊夾具材料一般采用不銹鋼，有特殊要求時也可以選用其他材料作為夾具材料。采用不銹鋼夾具材料時，由于不銹鋼和鋁合金的熱膨脹系數(shù)不同，LF21的熱膨脹系數(shù)為25×10-6/℃，1Cr18Ni9Ti的熱膨脹系數(shù)為18×10-6/℃，工件從25℃加熱到600℃時，當所限制尺寸為100mm（散熱器）時，鋁合金與不銹鋼的膨脹量差為0.4mm,當所限制尺寸為600mm（如平板縫隙天線）時，膨脹量差為2.4mm，在釬焊溫度時由于不銹鋼的剛性遠大于鋁合金，所以鋁合金會產(chǎn)生變形。另外，工件在加熱和冷卻過程中由于速度不均勻也會產(chǎn)生變形。夾具設計時根據(jù)工件不同要求，在考慮定位需要的同時還必須考慮以上因素。

散熱器、冷板釬焊主要對加工大面的平面度、側(cè)板與底板垂直度、焊縫間隙有要求，其他要求不十分嚴格，采用強制變形夾具可以滿足使用要求，圖3為強制變形夾具的使用狀態(tài)，待焊件依配合尺寸而緊固于夾具體內(nèi)，在釬焊過程中，被焊件的變形行為始終受夾具的限制，即隨夾具的變形而變形，這樣在焊后其配合尺寸即為夾具尺寸。由于夾具的剛性遠大于鋁合金，因而配合尺寸基本可以保證。另外為了降低工件的冷卻速度，設計一個冷卻罩，在工件出爐后立即罩上，使工件與冷空氣熱交換減少，達到使工件均勻冷卻，減少變形的目的。

對于平板縫隙天線這類工件，不僅有配合尺寸要求而且對外形尺寸精度要求高的零件，采用強制變形夾具就不能滿足要求，當所限制長度方向尺寸為600mm（天線）時，膨脹量差為2.4mm，可能引起的變形量就達2.4mm，而厚度方向尺寸為10mm時，可能的變形量為0.04mm，這對于壁厚為1mm，尺寸公差為0.05mm的波導來說，這種變形是不允許的，必須考慮別的結(jié)構(gòu)形式的夾具，如文獻［4］提出的柔性夾具。

3.5釬焊設備

（1）KBC-L型鋁釬焊空氣爐的主要結(jié)構(gòu)組成,該爐由控制系統(tǒng)、可動爐體和推車三部分組成，如圖4所示。釬焊爐工作方式為：爐體預熱→爐罩上升→推車移出→工件放置→推車復位→爐罩下降→釬焊出爐。

該爐溫測控系統(tǒng)主要由Al人工智能工業(yè)調(diào)節(jié)器、小型圓圖溫度記錄儀、可控硅模塊、各功能按鈕及儀表等組成。將設定值輸入Al人工智能工業(yè)調(diào)節(jié)器（溫度和時間），由調(diào)節(jié)器控制可控硅模塊，通過調(diào)整一個固定的時間內(nèi)可控硅通斷比例來實現(xiàn)輸出功率大小變化，從而達到連續(xù)調(diào)節(jié)加熱爐功率的目的。小型圓圖溫度記錄儀通過熱電偶的轉(zhuǎn)換，可分別記錄爐膛溫度和釬焊工件溫度（模擬）與時間的曲線，有利于釬焊工藝的分析和參數(shù)的調(diào)整。該控制系統(tǒng)具有測溫精度高，控溫性能好，操作方便等優(yōu)點。現(xiàn)在采用三溫區(qū)控溫的氮氣爐性能更好，釬焊的散熱器質(zhì)量更高。

（2）鋁真空釬焊爐，這類釬焊爐采用多溫區(qū)控溫，爐溫均勻性為±5℃，工作真空度≤1.3×10-3Pa，最適用于復合板（帶釬料）結(jié)構(gòu)工件的釬焊。在民品、軍品生產(chǎn)中得到廣泛應用，如空分設備中的換熱器、汽車和電子設備的散熱器等，但對于特殊結(jié)構(gòu)工件（如平板縫隙天線）的釬焊需要采用特殊工藝。

3.6 釬焊規(guī)范

3.6.1 空氣爐加熱規(guī)范和清洗工藝的確定

由于該工件厚度較厚、體積較大，采用硬加熱規(guī)范，把爐膛溫度預置到650℃，然后把安置好釬料和釬劑的工件放入爐膛進行加熱，待工件溫度上升到600℃即可出爐冷卻。釬焊后的工件在20%左右的硝酸溶液清洗，可以得到滿意的清洗效果。

3.6.2 真空釬焊規(guī)范

為保證工件釬焊質(zhì)量，要嚴格控制工件、釬料焊前表面處理（包括必要的機械清理），縮短焊前裝配時間，在真空釬焊過程中，真空度控制在1.3×10-3Pa左右，釬焊溫度為600℃，加適量鎂，釬焊時釬料的潤濕和接頭形成是一快速過程，約需要1秒鐘，因此保溫時間主要由整個零件加熱到釬焊溫度所需的時間及氧化膜層消散所需時間決定，如果保溫時間過長，工件易形成熔蝕。試驗結(jié)果及討論

4.1 外觀檢驗

在空氣爐中釬焊散熱器的過程中也發(fā)現(xiàn)部分工件有少量熔蝕、釬縫成形欠好和變形等缺陷，經(jīng)試驗分析認為產(chǎn)生熔蝕的主要原因為加熱時間過長，釬縫成形欠好的原因是釬劑質(zhì)量不穩(wěn)定，產(chǎn)生變形原因為夾具設計不完善，針對產(chǎn)生問題的原因采取相應措施后釬焊的散熱器、冷板，釬縫經(jīng)目測檢驗，圓角形成良好，釬料熔化完全，無熔蝕現(xiàn)象，釬焊后工件大面的平面度≤1mm。平板縫隙天線20根波導陣中的波導內(nèi)圓角≤0.5mm，波導內(nèi)表面光滑，釬縫成形較好，輻射面平面度≤0.2mm，基本達到設計要求，其中饋電部分有所欠缺，主要問題是部分尺寸有偏差和部分釬縫結(jié)合不好，大小H-T組成的功分網(wǎng)絡釬焊質(zhì)量有待提高。

4.2 釬焊接頭機械性能和金相組織

釬焊接頭按國標GB2651-89、GB2653-89進行拉伸和彎曲試驗，釬焊接頭的抗拉強度為100MPa，冷彎角為145°，拉伸試樣斷裂部位都在母材，表明釬縫的強度比母材高，彎曲試驗表明釬焊接頭塑性較好。分析釬縫的金相組織，該組織為典型的α～Al＋Si共晶組織。

4.3 交變濕熱試驗

結(jié)合整機要求，將空氣爐中釬焊的散熱器清洗后按GJB367.2-87進行交變濕熱試驗，周期為48小時，釬縫表面保持金屬光澤，無腐蝕現(xiàn)象發(fā)生。

4.4 冷板致密性檢查

4.4.1 水壓試驗

將水通過手動試壓泵徐徐加壓充入冷板內(nèi)（試驗壓力為0.8MPa），未見泄露。水壓試驗結(jié)果表明，采用上述工藝制造的冷板能滿足0.4MPa壓力的冷卻液在使用過程中不漏水的要求。

4.4.2 斷面檢查

為檢查釬縫內(nèi)部的致密性，將冷板試樣用銑加工的方法從中間剖開，腐蝕后觀測釬縫，空氣爐釬焊冷板上可以看到有不致密缺陷存在，但由于這些缺陷是相對孤立的，只要不形成從內(nèi)到外灌通的通道，就是安全的，這一點也可以從水壓試驗冷板不漏水中得到證實。而真空釬焊冷板內(nèi)部十分致密，無任何缺陷存在，這是因為真空釬焊不需要釬劑，釬焊過程中又采用復合板，不會有釬劑殘渣留在釬焊面上。

4.5 天線電性能測試

真空釬焊的平板縫隙天線，1/16子陣天線經(jīng)測試近、遠場方向圖良好和駐波比小于1.5。全陣天線駐波比小于1.9，增益為30dB，方向圖良好，達到了設計要求。結(jié)束語

空氣爐中釬焊散熱器和冷板，工件釬焊質(zhì)量良好，工藝過程穩(wěn)定，設備投資少，綜合成本小，采用該工藝已生產(chǎn)散熱器、冷板等工件300多套，氮氣保護爐釬焊質(zhì)量更好。采用合理的真空釬焊工藝可以加工出滿足設計要求的平板縫隙天線，而真空釬焊的冷板的質(zhì)量相比于空氣爐釬焊有明顯提高，對于尺寸大、質(zhì)量要求高的工件采用真空釬焊工藝是合適的。

參考文獻 四機部鋁波導釬焊攻關(guān)組.鋁波導釬焊QF型氟化物釬劑研究.電子工藝技術(shù)，1981（10）2 錢乙余.鋁釬焊技術(shù)在我國的發(fā)展與應用.焊接，1984 3 鄭建生.微波元件鋁釬焊質(zhì)量控制.第四屆全國電子工業(yè)焊接學術(shù)會議論文集，1992 4 郭萬林.鋁合金釬焊用柔性夾具的設計.論文集,1996(end)

第二篇：2014年中國釬焊鋁軋制材行業(yè)發(fā)展不利因素分析

2014年中國釬焊鋁軋制材行業(yè)發(fā)展不利因素分析 智研咨詢網(wǎng)訊：

內(nèi)容提示：我國釬焊鋁軋制材行業(yè)是伴隨著學習外資企業(yè)先進技術(shù)、引進國外先進設備并不斷消化吸收發(fā)展起來的。

內(nèi)容選自智研咨詢發(fā)布的《2014-2019年中國鋁合金拉鏈市場調(diào)查及投資前景分析報告》

（1）原材料價格波動劇烈

釬焊鋁軋制材生產(chǎn)所用的原材料主要是鋁錠，特別是2008 年國內(nèi)外鋁錠價格波動劇烈，雖然行業(yè)內(nèi)產(chǎn)品的定價方式為“基準鋁價+加工費”，當鋁錠價格波動時具備一定的轉(zhuǎn)嫁成本的能力，但是如果未來鋁錠價格持續(xù)大幅波動，將會增加行業(yè)生產(chǎn)企業(yè)資金周轉(zhuǎn)、成本控制和庫存控制的難度，對經(jīng)營業(yè)績造成不利影響。

（2）市場競爭激烈，低端產(chǎn)品無序競爭

由于釬焊鋁軋制材行業(yè)的良好前景，中國市場強大的需求以及原材料和人力資源優(yōu)勢，許多生產(chǎn)釬焊鋁軋制材的國際鋁業(yè)公司紛紛在國內(nèi)建立生產(chǎn)基地和研發(fā)中心，通過本土化研發(fā)和生產(chǎn)，降低產(chǎn)品成本。這將使得國內(nèi)釬焊鋁軋制材行業(yè)的競爭更加激烈。同時因為鋁合金復合材料的附加值相對較高，國內(nèi)傳統(tǒng)的鋁加工企業(yè)也紛紛進入此行業(yè)，短期內(nèi)，造成行業(yè)中的小企業(yè)較多，生產(chǎn)規(guī)模小，缺乏核心技術(shù)，在低端產(chǎn)品領(lǐng)域，利用低價方式進行競爭，這種只注重短期利益而忽視長遠發(fā)展的模式造成了鋁合金復合材料的質(zhì)量出現(xiàn)下降，對釬焊鋁軋制材行業(yè)的發(fā)展造成一定的負面影響。

（3）整體技術(shù)水平和研發(fā)創(chuàng)新能力不足

我國釬焊鋁軋制材行業(yè)是伴隨著學習外資企業(yè)先進技術(shù)、引進國外先進設備并不斷消化吸收發(fā)展起來的。近年來，釬焊鋁軋制材的產(chǎn)量迅速增長，行業(yè)中以銀邦金屬復合材料股份有限公司為代表的內(nèi)資領(lǐng)先企業(yè)通過多年的經(jīng)驗積累和技術(shù)攻關(guān)，具備了較強的技術(shù)研發(fā)實力，獨立研發(fā)出差異化的新產(chǎn)品，增強了公司競爭力。但是行業(yè)整體研發(fā)創(chuàng)新能力不足，核心關(guān)鍵生產(chǎn)設備仍需進口，存在一定的低水平重復建設，技術(shù)含量高、附加值較高的產(chǎn)品比例仍然偏低，整體產(chǎn)品質(zhì)量與性能與外資企業(yè)以及國外先進水平還存在一定差距，行業(yè)整體技術(shù)水平和研發(fā)創(chuàng)新能力有待進一步提高。

第三篇：DSP在音視頻信號處理及消費電子產(chǎn)品 中的應用

文獻綜述

題

目DSP在音/視頻信號處理及消費電子產(chǎn)品

中的應用

課程名稱 DSP系統(tǒng)設計

一、DSP的基本概念

DSP（digital signal processor）是一種獨特的微處理器，是以數(shù)字信號來處理大量信息的器件。是以數(shù)字信號來處理大量信息的器件。其工作原理是接收模擬信號模擬信號，轉(zhuǎn)換為0或1的數(shù)字信號。再對數(shù)字信號進行修改、刪除、強化，并在其他系統(tǒng)芯片中把數(shù)字數(shù)據(jù)解譯回模擬數(shù)據(jù)或?qū)嶋H環(huán)境格式。它不僅具有可編程性，而且其實時運行速度可達每秒數(shù)以千萬條復雜指令程序，遠遠超過通用微處理器，是數(shù)字化電子世界中日益重要的電腦芯片。它的強大數(shù)據(jù)處理能力和高運行速度，是最值得稱道的兩大特色。

二、DSP學科發(fā)展狀況以及特點、發(fā)展狀況：當今數(shù)字化時代的背景下, DSP已成為通信、計算機、消費類電子產(chǎn)品等領(lǐng)域的基礎器件，DSP將是未來集成電路中發(fā)展最快的電子產(chǎn)品，并將成為電子產(chǎn)品更新?lián)Q代的決定因素。而且DSP系統(tǒng)具有接口方便易于編程、穩(wěn)定性好、精度高、可重復性好和集成方便等特點，因此可以說基于DSP的信號處理系統(tǒng)是信號處理領(lǐng)域的發(fā)展方向。

具體特性如下：（1）運算速度快。DSP 的總線采用哈佛結(jié)構(gòu), 即獨立的程序總線和數(shù)據(jù)總線, 流水線處理技術(shù), 使運算速度特別快, 甚至比有些 PC 機的 CP U 還要快。而且 DSP 在處理乘加運算時比其它處理器都要快得多。

（2）接口方便。DSP 系統(tǒng)與其它以現(xiàn)代數(shù)字技術(shù)為基礎的系統(tǒng)或設備都相互兼容, 這樣的系統(tǒng)接口以實現(xiàn)某種功能要比模擬系統(tǒng)與這些系統(tǒng)接口要容易得多。具有并行 I/ O, 異步串口, 同步串口等 I / O 接口;有些 DSP 芯片內(nèi)有雙 十位的 A/ D 接口, 例如 T MS32 0F 2 40;有通 用定時器、多路 P WM、看門狗定時器和實時中斷定時器等事件處理接口;還具有仿真接口等。（3）編程方便。DSP 系統(tǒng)中的可編程 DSP 芯片可使設計人員在開發(fā)過程中靈活方便地對軟件進行修改和升級。（4）穩(wěn)定性好。DSP系統(tǒng)以數(shù)字處理為基礎, 受環(huán)境溫度以及噪聲的影響較小, 可靠性高。（5）精度高。定點DSP芯片字長16位, CALU（中央算術(shù)邏輯單元）和累加器32位。浮點 DS P 芯片字長32位,累加器40位.三、該領(lǐng)域所應用DSP芯片

DSP（TMS320C5409）

四、典型應用方案

（一）、dsp在音頻信號處理中的應用

1、在外語多媒體教學中，要求對語速進行快慢控制，以適應不同程度學生的需求。語音變速系統(tǒng)應當具備調(diào)整語速的同時，還需要保證原說話者語調(diào)不失真。基于DSP（TMS320C5409）的語音實時變速系統(tǒng)能夠任意調(diào)整語音語速，達到外語多媒體教學的需求。

2、聲音數(shù)字壓縮技術(shù)早已獲得應用，其中以脈沖編碼調(diào)制(PCM)的方法最普遍。但由于它只能壓縮50%數(shù)字，有缺陷。DSP已經(jīng)在音效應用中得到廣泛采用，而且大部分應用于音效產(chǎn)品的技術(shù)，例如應用于多媒體音效卡。NEC公司推出了控制聲音區(qū)域的DSP，可以應用于音效卡。新加坡音效卡供應商Creative Technology的技術(shù)銷售專家Ian Skelton強調(diào)指出，DSP面市后，語音便成了工作重點。改進DSP，就能改進語音的吞吐量，從而減輕PC的負荷及改進語音。

（二）、dsp在視頻信號處理中的應用

1、DVD里應用的活動圖像壓縮／解壓縮用MPEG2編碼／譯碼器，同時也廣泛地應用于視頻點播VOD、高品位有線電視和衛(wèi)星廣播等諸多領(lǐng)域。在這些領(lǐng)域里，應用的DSP應該具備更高的處理速度和功能。而且，活動圖像壓縮／解壓技術(shù)也日新月異，例如，DCT變換域編碼很難提高壓縮比與重構(gòu)圖像質(zhì)量，于是出現(xiàn)了對以視覺感知特性為指導的小波分析圖像壓縮方法。新的算法出現(xiàn)，要求相應的高性能DSP。

2、基于DSP的智能視頻監(jiān)控系統(tǒng) 傳統(tǒng)的視頻監(jiān)視系統(tǒng)是簡單的非智能閉路電視（CCTV）系統(tǒng)，這樣的監(jiān)控需要安保人員實時監(jiān)視畫面以捕捉關(guān)鍵事件，或者需要在事后對視頻記錄進行回放并進行人工分析。耗時耗力，成本高而效率低。近幾年，DSP在智能視頻監(jiān)控系統(tǒng)方面的應用不斷完善，正在逐漸取代傳統(tǒng)的模擬非智能系統(tǒng)。iSuppli公司2006年的一份分析報告曾指出，IP視頻監(jiān)控系統(tǒng)市場到2010年將增長近十倍。IP監(jiān)控的創(chuàng)新技術(shù)之一是“智能攝像機”，它擁有強大的數(shù)字信號處理器，能探測威脅并觸發(fā)自動響應。可見，DSP芯片是智能監(jiān)控的核心。

（三）、dsp在電子消費品中的應用

未來10年，全球DSP產(chǎn)品將向著高性能、低功耗、加強融合和拓展多種應用的趨勢發(fā)展，DSP芯片將越來越多地滲透到各種電子產(chǎn)品當中，成為各種電子產(chǎn)品尤其是通信類電子產(chǎn)品的技術(shù)核心，將會越來越受到業(yè)界的青睞。據(jù)TI預測，到2010年，DSP芯片的集成度將會增加11倍，在單個芯片內(nèi)將能集成5億只晶體管。目前DSP的生產(chǎn)工藝已開始從0.35mm轉(zhuǎn)向0.25mm、0.18mm、0.10mm，預計到2005年，TI生產(chǎn)DSP芯片的工藝將達到 0.075mm 的更高水平，屆時，將能夠在一塊僅有拇指大小的單個芯片上集成8個TMS320DSP內(nèi)核。DSP產(chǎn)品在不斷地提高性能和增加功能的同時，正在不斷地降低功耗和減小體積，以便適應市場的需求。如數(shù)字移動/無繩電話的基帶信號處理和數(shù)字電視中的多信道音頻解碼等，要求每秒幾百萬次以上的信號處理能力。無線基站、手機、Internet接入高速調(diào)制解調(diào)器、IP Phone、MP3、硬盤控制器、DVD驅(qū)動器、快速彩色打印機、數(shù)字相機芯片、FLEX解碼芯片、STB芯片組、DVD解碼芯片、電機控制芯片、IP GATEWAY芯片、MP3播放機芯片組等也需要具有極強數(shù)字信號處理能力的器件支持。

例如汽車電子系統(tǒng)，諸如裝設紅外線和毫米波雷達，將需用DSP進行分析。利用攝像機拍攝的圖像數(shù)據(jù)需要經(jīng)過DSP處理，才能在駕駛系統(tǒng)里顯示出來，供駕駛?cè)藛T參考。

五、參考文獻

【1】《數(shù)字信號處理的應用——硬件DSP》 【2】DSP在移動通信中的應用[刊]/張麗娟(北方交通大學現(xiàn)代能信研究所100044)//電子產(chǎn)品世界.2000(12).-47-48 ISSN:1005-5517 【3】DSP技術(shù)發(fā)展與應用綜述[刊]/ 魯爭焱// 中國兵器工業(yè)第214研究所，蚌埠 【4】基于 DSP 的語音采集和處理系統(tǒng)的研究與實現(xiàn)[學位論文]，2011.【5】DSP技術(shù)在電聲(部分消費性電子產(chǎn)品)中的應用[期刊論文]，2008.【5】基于TMS320DM642網(wǎng)絡攝像機的設計與實現(xiàn)[期刊論文]，2009.【6】基于DSP的數(shù)字視頻圖像獲取與處理技術(shù)研究（學位論文）【7】DSP主攻通信和電子消費產(chǎn)品 陳澤明（期刊）2000 【8】基于DSP的音頻視頻信號處理優(yōu)勢 張琪（期刊）2008 【9】DSP的多領(lǐng)域應用研究 張丹紅, 游珍珍（期刊）2006 【10】基于DSP的數(shù)字音頻系統(tǒng)

謝堅

第四篇：真空干燥箱在操作中要注意哪些問題

真空干燥箱在操作中要注意哪些問題

真空干燥箱操作十分簡單，但往往在這簡單過程中有很多小的細節(jié)是需要我們注意的。下文昆山海達儀器針對這一問題具體介紹。

1.真空箱外殼必須有效接地，以保證使用安全。

2.真空箱應在相對濕度≤85%RH，周圍無腐蝕性氣體、無強烈震動源及強電磁場存在的環(huán)境中使用。

3.真空箱工作室無防爆、防腐蝕等處理，不得放易燃、易爆、易產(chǎn)生腐蝕性氣體的物品進行干燥。

4.真空泵不能長時期工作，因此當真空度達到干燥物品要求時，應先關(guān)閉真空閥，再關(guān)閉真空泵電源，待真空度小于干燥物品要求時，再打開真空閥及真空泵電源，繼續(xù)抽真空，這樣可延長真空泵使用壽命。

5.干燥的物品如潮濕，則在真空箱與真空泵之間最好加入過濾器，防止潮濕氣體進入真空泵，造成真空泵故障。6.干燥的物品如干燥后改變?yōu)橹亓枯p，體積小(為小顆粒狀)，應在工作室內(nèi)抽真空口加隔阻網(wǎng)，以防干燥物吸入而損壞真空泵(或電磁閥)。

7.真空箱經(jīng)多次使用后，會產(chǎn)生不能抽真空的現(xiàn)象，此時應更換門封條或調(diào)整箱體上的門扣伸出距離來解決。當真空箱干燥溫度高于200℃時，會產(chǎn)生慢漏氣現(xiàn)象(除6050、6050B、6051、6053外)，此時

拆開箱體背后蓋板用內(nèi)六角扳手擰松加熱器底座，調(diào)換密封圈或擰緊加熱器底座來解決。

8.放氣閥橡皮塞若旋轉(zhuǎn)困難，可在內(nèi)涂上適量油脂潤滑。(如凡士林)

9.除維修外，不能拆開左側(cè)箱體蓋(6090及6210型除外)以免損壞電器控制系統(tǒng)。

10.真空箱應經(jīng)常保持清潔。箱門玻璃切忌用有反應的化學溶液擦拭，應用松軟棉布擦拭。

11.若真空箱長期不用，將露在外面的電鍍件擦凈后涂上中性油脂，以防腐蝕，并套上塑料薄膜防塵罩，放置于干燥的室內(nèi)，以免電器元件受潮損壞，影響使用。

12.真空箱不需連續(xù)抽氣使用時，應先關(guān)閉真空閥，再關(guān)閉真空泵電源，否則真空泵油要倒灌至箱內(nèi)。

13.若真空泵正常且符合技術(shù)要求,不能抽真空,則打開箱門使用產(chǎn)品附件中的板手將箱體上的門扣向里擰一圈收短,重新關(guān)門;

14.此真空干燥箱不能作為電熱干燥箱使用,因工作室不在真空狀態(tài),測量溫度與工作室內(nèi)實際溫度誤差極大;

第五篇：防火墻技術(shù)在電子商務中的應用

防火墻技術(shù)在電子商務中的應用

目 錄

目錄............................................................................(1)內(nèi)容摘要.........................................................................(2)關(guān)鍵詞..........................................................................(2)正文............................................................................(2)

一、電子商務的概念及交易問題.....................................................(2)

（一）、什么是電子商務............................................................(2)(二)、電子商務的交易過程.................................................(2)

二、電子商務中的信息安全問題、特性及威脅...............................(3)(一)、電子交易的安全概念、安全特性.........................................(3)

（二）、電子商務中的信息安全問題及威脅.....................................(4)

三、防火墻的技術(shù)與體系結(jié)構(gòu).............................................(6)

四、防火墻的簡介與使用的益處.........................................(6)

五、防火墻常用技術(shù)和性能......................................................（11）

六、結(jié)論........................................................................(14)參考文獻........................................................................(14)

淺談防火墻技術(shù)在電子商務中的應用

內(nèi)容摘要：防火墻技術(shù)作為保證電子商務活動中信息安全的第一道有效屏障，受到越來越多的關(guān)注。本文介紹了電子商務的概念、電子商務的交易過程、交易過程中的信息安全問題及威脅、重點介紹了電子商務交易系統(tǒng)的防火墻技術(shù)，討論了建立網(wǎng)上安全信任機制的基礎。

關(guān)鍵詞：防火墻

電子商務

應用 正文:

一、電子商務的概念及交易問題(一)什么是電子商務

電子商務源于英文Electronic Commerce，簡寫為EC。是指一個機構(gòu)利用信息和技術(shù)手段，改變其和供應商、用戶、員工、合作伙伴、管理部門的互動關(guān)系，從而使自己變成為機動響應、快速響應、有效響應的響應性機構(gòu)。電子商務的核心是商務；本質(zhì)上是創(chuàng)造更多商機、提供更好商業(yè)服務的一種電子交易智能化手段。眼下，電子商務的含義已不僅僅是單純的電子購物，電子商務以數(shù)據(jù)（包括文本、聲音和圖像）的電子處理和傳輸為基礎，包含了許多不同的活動（如商品服務的電子貿(mào)易、數(shù)字內(nèi)容的在線傳輸、電子轉(zhuǎn)賬、商品拍賣、協(xié)作、在線資源利用、消費品營銷和售后服務）。它涉及產(chǎn)品（消費品和工業(yè)品）和服務（信息服務、財務與法律服務）；它包含了使用Internet和Web技術(shù)進行的所有的商務活動。

(二)、電子商務的交易過程

企業(yè)間電子商務交易過程大致可以分為交易前準備、交易談判和簽訂合同、辦理交易前手續(xù)以及交易合同的履行和索賠四個階段。

(1)交易前的準備

買賣雙方和參與交易的雙方在這一階段所作的簽約前的準備活動。買方根據(jù)自己要買的商品，準備購貨款，制訂購貨計劃，進行貨源的市場調(diào)查和分析，反復進行市場查詢，通過交換信息來比較價格和條件，了解各個賣方國家的貿(mào)易政策，反復修改購貨計劃和進貨計劃，確定和審批購貨計劃。利用Internet和各種電子商務網(wǎng)絡尋找自己滿意的商品和商家。然后修改并最后確定和審批購貨計劃，再按計劃確定購買商品的種類、規(guī)格、數(shù)量、價格、購貨地點和交易方式等。而賣方則對自己所銷售的商品，進行全面的市場調(diào)查和分析，了解各個買方國家的貿(mào)易政策，制訂各種銷售策略和銷售方式，制作廣告進行宣傳，召開商品新聞發(fā)布會，利用Internet和各種電子商務網(wǎng)絡發(fā)布商品廣告等手段擴大影響，尋找貿(mào)易伙伴和交易機會，擴大貿(mào)易范圍和商品所占市場的份額。

參加交易的其他各方如中介、銀行金融機構(gòu)、信用卡、商檢系統(tǒng)、海關(guān)系統(tǒng)、保險、稅務系統(tǒng)、運輸公司等，買賣雙方都少不了要為電子商務交易做好準備。

(2)交易談判和簽訂貿(mào)易合同

買賣雙方在這一階段利用電子商務系統(tǒng)對所有交易細節(jié)在網(wǎng)上談判，將雙方磋商的結(jié)果做成文件，即以書面文件形式和電子文件形式簽訂貿(mào)易合同。交易雙方可以利用現(xiàn)代電子通信設備和通信方法，經(jīng)過認真談判和磋商后，將雙方在交易中的權(quán)利、所承擔的義務、所購買商品的種類、數(shù)量、價格、交貨地點、交貨期、交易方式和運輸方式、違約和索賠等均有明確的條款。全部以電子交易合同作出全面詳細的規(guī)定，合同雙方可以利用電子數(shù)據(jù)交換(EDI)進行簽約，也可以通過數(shù)字簽名等方式簽約。

(3)辦理交易進行前的手續(xù)

買賣雙方從簽訂合同到開始履行合同要辦理各種手續(xù)，這也是雙方在交易前的準備過程。交易中要涉及到有關(guān)各方，即可能要涉及到中介、銀行金融機構(gòu)、信用卡、商檢系統(tǒng)、海關(guān)系統(tǒng)、保險、稅務系統(tǒng)、運輸公司等與交易有關(guān)的各方。買賣雙方要利用EDI與有關(guān)各方進行各種電子票據(jù)和電子單證的交換，直到辦理完一切手續(xù)、商品開始發(fā)貨為止。

(4)交易合同的履行和索賠

這一階段是從買賣雙方辦完所有各種手續(xù)之后開始，賣方要備貨、組貨，進行報關(guān)、保險、取證、信用卡等手續(xù)，然后賣方將所購商品交付給運輸公司包裝、起運、發(fā)貨。買賣雙方可以通過電子商務服務器跟蹤發(fā)出的貨物，金融機構(gòu)和銀行也按照合同，處理雙方收付款、并進行結(jié)算，出具相應的銀行單據(jù)等，當買方收到所購的商品，整個交易過程就完成了。索賠是在買賣雙方交易過程中出現(xiàn)違約時，需要進行違約處理的工作，受損方按貿(mào)易合同有關(guān)條款向違約方進行索賠。

二、電子商務中的信息安全問題、特性及威脅(一)、電子交易的安全概念、安全特性

電子商務安全是一個系統(tǒng)概念，不僅與計算機系統(tǒng)結(jié)構(gòu)有關(guān)，還與電子商務應用的環(huán)境、人員素質(zhì)和社會因素有關(guān)。其中交易的安全又是電子商務發(fā)展的核心和關(guān)鍵問題。交易對安全性的要求有如下幾個方面：(1)有效性，因為交易對于交易雙方都是一件十分嚴肅的事情，雙方都對交易的信息認可。(2)保密性，即要求交易的信息只有交易雙方知道，第三方不能通過網(wǎng)絡獲得。(3)完整性，包括過程的完整和數(shù)據(jù)資料的完整。(4)交易者身份的確定性，這是信用的前提。(5)交易的不可否認性，要求在交易信息的傳輸過程中為參與交易的個人，企業(yè)和國家提供可靠的標識。數(shù)據(jù)的安全主要包括數(shù)據(jù)的完整，不受損壞，不丟失。系統(tǒng)運行的可靠性要求保證電子商務參與者能在交易的過程始終能與交易對象進行信息資金的交換，保證交易不得中斷。

雖然各種有效的手段可以保證電子商務的基本安全，但是層出不窮的病毒入侵和黑客攻擊使得電子商務安全仍然是一個令人頭痛的問題，那么如何加強電子商務的安全呢？

防火墻可以保證對主機和應用安全訪問，保證多種客戶機和服務器的安全性，保護關(guān)鍵部門不受到來自內(nèi)部和外部的攻擊，為通過Internet與遠程訪問的雇員、客戶、供應商提供安全渠道。

與傳統(tǒng)商務相比，電子商務具有許多特點：

其一，電子商務是一種快速、便捷、高效的交易方式。在電子商務中，信息的傳遞通過網(wǎng)絡完成，速度很快，可以節(jié)省寶貴的交易時間。

其二，電子商務是在公開環(huán)境下進行的交易，其可以在全球范圍內(nèi)進行交易。由于借助互聯(lián)網(wǎng)，這就使得經(jīng)濟交易突破了空間的限制；公開環(huán)境下的信息公開，使所有的企業(yè)可以平等地參與市場競爭。

其三，在電子商務中，電子數(shù)據(jù)的傳遞、編制、發(fā)送、接收都由精密的電腦程序完成，更加精確、可靠。

（二）、電子商務中的信息安全問題及威脅

1、電子商務的安全問題。總的來說分為二部分：一是網(wǎng)絡安全，二是商務安全。計算機網(wǎng)絡安全的內(nèi)容包括：計算機網(wǎng)絡設備安全，計算機網(wǎng)絡系統(tǒng)安全，數(shù)據(jù)庫安 全，工作人員和環(huán)境等。其特征是針對計算機網(wǎng)絡本身可能存在的安全問題，實施網(wǎng)絡安全增強方案，以保證計算機網(wǎng)絡自身的安全性為目標。商務安全則緊緊圍繞 傳統(tǒng)商務在Internet上應用時產(chǎn)生的各種安全問題，在計算機網(wǎng)絡安全的基礎上，如何保障電子商務過程的順利進行。即實現(xiàn)電子商務的保密性，完整性，可鑒別性，不可偽造性和不可依賴性。

在Internet上的電子商務交易過程中，最核心和最關(guān)鍵的問題就是交易的安全性。一般來說商務安全中普遍存在著以下幾種安全隱患：

(1)竊取信息。由于未采用加密措施，數(shù)據(jù)信息在網(wǎng)絡上以明文形式傳送，入侵者在數(shù)據(jù)包經(jīng)過的網(wǎng)關(guān)或路由器上可以截獲傳送的信息。通過多次竊取和分析，可以找到信息的規(guī)律和格式，進而得到傳輸信息的內(nèi)容，造成網(wǎng)上傳輸信息泄密。

(2).惡意代碼。它們將繼續(xù)對所有的網(wǎng)絡系統(tǒng)構(gòu)成威脅，并且，其數(shù)量將隨著Internet 的發(fā)展和編程環(huán)境的豐富而增多，擴散起來也更加便利，因此，造成的破壞也就越大。

(3)篡改信息。當入侵者掌握了信息的格式和規(guī)律后，通過各種技術(shù)手段和方法，將網(wǎng)絡上傳送的信息數(shù)據(jù)在中途修改，然后再發(fā)向目的地。這種方法并不新鮮，在路由器或網(wǎng)關(guān)上都可以做此類工作。

(4)假冒。由于掌握了數(shù)據(jù)的格式，并可以篡改通過的信息，攻擊者可以冒充合法用戶發(fā)送假冒的信息或者主動獲取信息，而遠端用戶通常很難分辨。

(5)惡意破壞。由于攻擊者可以接入網(wǎng)絡，則可能對網(wǎng)絡中的信息進行修改，掌握網(wǎng)上的機要信息，甚至可以潛入網(wǎng)絡內(nèi)部，其后果是非常嚴重的。

2、電子商務面臨的安全威脅。根據(jù)攻擊能力的組織結(jié)構(gòu)程度和使用的手段，可以將威脅歸納為四種基本類型：無組織結(jié)構(gòu)的內(nèi)部和外部威脅與有組織結(jié)構(gòu)的內(nèi)部和外部威脅。一般來講，對外部威脅，安全性強調(diào)防御；對內(nèi)部威脅，安全性強調(diào)威懾。

(1)病毒。病毒是由一些不正直的程序員所編寫的計算機程序，它采用了獨特的設計，可以在受到某個事件觸發(fā)時，復制自身，并感染計算機。如果在病毒可以通過某個外界來源進入網(wǎng)絡時，網(wǎng)絡才會感染病毒。

(2)惡意破壞程序。網(wǎng)站會提供一些軟件應用的開發(fā)而變得更加活潑。這些應用可以實現(xiàn)動畫和其他一些特殊效果，從而使網(wǎng)站更具有吸引力和互動性。惡意破壞程序是指會導致不同程度破壞的軟件應用或者 Java 小程序。

(3)攻擊。目前已經(jīng)出現(xiàn)了各種類型的網(wǎng)絡攻擊，它們通常被分為三類：探測式攻擊，訪問攻擊和拒絕服務（DOS）攻擊。a.探測式攻擊實際上是信息采集活動，黑客們通過這種攻擊搜集網(wǎng)絡數(shù)據(jù)，用于以后進一步攻擊網(wǎng)。b.訪問攻擊用于發(fā)現(xiàn)身份認證服務、文件傳輸協(xié)議（FTP）功能等網(wǎng)絡領(lǐng)域的漏洞，以訪問電子郵件賬號、數(shù)據(jù)庫和其他保密信息。c.DOS 攻擊可以防止用戶對于部分或者全部計算機系統(tǒng)的訪問。

(4)數(shù)據(jù)阻截。通過任何類型的網(wǎng)絡進行數(shù)據(jù)傳輸都可能會被未經(jīng)授權(quán)的一方截取。犯罪分子可能會竊聽通信信息，甚至更改被傳輸?shù)臄?shù)據(jù)分組。犯罪分子可以利用不同的方法來阻截數(shù)據(jù)。

(5)垃圾信件。垃圾信件被廣泛用于表示那些主動發(fā)出的電子郵件或者利用電子郵件廣為發(fā)送未經(jīng)申請的廣告信息的行為。垃圾信件通常是無害的，但是它可能會浪費接收者的時間和存儲空間，帶來很多麻煩。

因此，隨著電子商務日益發(fā)展和普及，安全問題顯得異常突出，解決安全問題已成為我國電子商務發(fā)展的當務之急。

三、防火墻的技術(shù)與體系結(jié)構(gòu)

（一）、什么是防火墻

防火墻是一個或一組在兩個網(wǎng)絡之間執(zhí)行安全訪問控制策略的系統(tǒng),包括硬件和軟件,目的是保護內(nèi)部網(wǎng)絡資源不被可疑人侵擾，防止內(nèi)部受到外部的非法攻擊。本質(zhì)上，它遵從的是一種允許或阻止業(yè)務來往的網(wǎng)絡通信安全機制,也就是提供可控的過濾網(wǎng)絡通信，只允許授權(quán)的通訊。

（二）、使用防火墻的益處

(1)保護脆弱的服務

通過過濾不安全的服務，防火墻可以極大地提高網(wǎng)絡安全和減少子網(wǎng)中主機的風險。例如，防火墻可以禁止NIS、NFS服務通過，防火墻同時可以拒絕源路由和ICMP重定向封包。

(2)集中的安全管理

防火墻對企業(yè)內(nèi)部網(wǎng)實現(xiàn)集中的安全管理，在防火墻定義的安全規(guī)則可以運行于整個內(nèi)部網(wǎng)絡系統(tǒng)，而無須在內(nèi)部網(wǎng)每臺機器上分別設立安全策略。防火墻可以定義不同的認證方法，而不需要在每臺機器上分別安裝特定的認證軟件。外部用戶也只需要經(jīng)過一次認證即可訪問內(nèi)部網(wǎng)。

(3)控制對系統(tǒng)的訪問

防火墻可以提供對系統(tǒng)的訪問控制。如允許從外部訪問某些主機，同時禁止訪問另外的主機。例如，防火墻允許外部訪問特定的Mail Server和Web Server。

(4)策略執(zhí)行

防火墻提供了制定和執(zhí)行網(wǎng)絡安全策略的手段。未設置防火墻時，網(wǎng)絡安全取決于每臺主機的用戶。

(5)增強的保密性

使用防火墻可以阻止攻擊者獲取攻擊網(wǎng)絡系統(tǒng)的有用信息，如Finger和DNS。防火墻可以提供統(tǒng)計數(shù)據(jù)，來判斷可能的攻擊和探測。并且，防火墻可以記錄和統(tǒng)計通過防火墻的網(wǎng)絡通訊，提供關(guān)于網(wǎng)絡使用的統(tǒng)計數(shù)據(jù)。

四、防火墻的簡介與使用的益處

（一）、防火墻的簡介

一個防火墻（作為阻塞點、控制點）能極大地提高一個內(nèi)部網(wǎng)絡的安全性，并通過過濾不安全的服務而降低風險。防火墻同時可以保護網(wǎng)絡免受基于路由的攻擊。

防火墻是為防止非法訪問或保護專用網(wǎng)絡而設計的一種系統(tǒng)。它是不同網(wǎng)絡或網(wǎng)絡安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務，實現(xiàn)網(wǎng)絡和信息安全的基礎設施。

防火墻可用于硬件、軟件或二者的組合。防火墻常常被用于阻止非法的互聯(lián)網(wǎng)用戶訪問接入互聯(lián)網(wǎng)的專用網(wǎng)絡。所有的數(shù)據(jù)在進入或離開內(nèi)部網(wǎng)絡時都要經(jīng)過防火墻，防火墻會檢查每個數(shù)據(jù)包，并且阻止那些不符合指定安全標準的數(shù)據(jù)包。

一般來說，配置防火墻是為了防止外部無權(quán)限的交互式登錄。這有助于防止“黑客”從機器登錄到你的網(wǎng)絡。更復雜的防火墻能夠阻止從外部到內(nèi)部的流量，但允許內(nèi)網(wǎng)用戶更自由的與外部交流。

防火墻非常重要因為它可以提供單一的阻止點,在這一點上可以采取安全和審計措施。防火墻提供了一個重要的記錄和審計功能；它們經(jīng)常為管理員提供關(guān)于已處理過的流量類型和數(shù)值的摘要。這是個非常重要的“點”，因為阻止點在網(wǎng)絡中的作用相當于警衛(wèi)保衛(wèi)財產(chǎn)。

從理論上說，有兩種類型的防火墻：應用層防火墻和網(wǎng)絡層防火墻

它們的區(qū)別可能與你所想的不一致。二者的區(qū)別取決于防火墻使用的使流量從一個安全區(qū)到另一個安全區(qū)所采用的機制。國際標準化組織（ISO）開放系統(tǒng)互聯(lián)(OSI)模型把網(wǎng)絡分成七層，每一層都為上一層服務。更重要的是要認識到轉(zhuǎn)發(fā)機制所在的層次越低，防火墻的檢查就越少。

（1）應用層防火墻

應用層防火墻通常是代理服務器運行的主機，它不允許網(wǎng)絡之間直接的流量，并在流量通過時做詳細的記錄和檢查。由于代理應用程序只是防火墻上運行的軟件，所以可在這做大量的記錄和訪問控制。應用層防火墻可用于網(wǎng)絡地址轉(zhuǎn)換，是因為在應用程序有效地偽裝初始連接的來源之后流量可以從一邊進入，另一邊出去。

在某些情況下，有一個應用程序的方式可能會影響防火墻的性能，并可能會使防火墻降低透明度。早期的應用層防火墻對終端用戶不是特別透明，并且還可能需要進行一些培訓。然而，許多現(xiàn)代應用層防火墻是完全透明的。與網(wǎng)絡層防火墻相比，應用層防火墻趨于提供更細化的審計報告，實行更保守的安全模型。

（2）網(wǎng)絡層防火墻

這種類型決定了它的判定一般是基于源地址、目的地址及獨立IP包中的端口。一個簡單的路由器就是一個傳統(tǒng)意義上的網(wǎng)絡層防火墻，因為它不能做出復雜的判斷，如數(shù)據(jù)包的發(fā)送目標和來源。現(xiàn)代的網(wǎng)絡層防火墻變得更復雜得多，并且會隨時關(guān)注通過防火墻的連接狀態(tài)的信息。

另一個重要的不同于許多網(wǎng)絡層防火墻的是它們可使流量直接通過，因此在使用時，你需要一個有效分配的IP地址塊，或者是專用網(wǎng)絡地址塊。網(wǎng)絡層防火墻的發(fā)展很迅速，對于用戶來說幾乎是透明的。

未來的防火墻將處于應用層防火墻和網(wǎng)絡層防火墻之間。網(wǎng)絡層防火墻可能會逐漸意識到經(jīng)過它們的信息，應用層防火墻可能會變得越來越透明。最終將會是一種在數(shù)據(jù)通過時進行記錄和檢查的快速分組篩選系統(tǒng)。

在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動，保證了內(nèi)部網(wǎng)絡的安全。防火墻可以是硬件型的，所有數(shù)據(jù)都首先通過硬件芯片監(jiān)測，也可以是軟件類型，軟件在電腦上運行并監(jiān)控，其實硬件型也就是芯片里固化了的軟件，但是它不占用計算機CPU處理時間，可以功能作的非常強大處理速度很快，對于個人用戶來說軟件型更加方便實在。

（二）、防火墻的體系結(jié)構(gòu)

防火墻對于企業(yè)網(wǎng)絡的防御系統(tǒng)來說，是一個不可缺少的基礎設施。在選擇防火墻防火墻時，我們首先考慮的就是需要一個什么結(jié)構(gòu)的產(chǎn)品，防火墻發(fā)展到今天，很多產(chǎn)品已經(jīng)越來越象是一個網(wǎng)絡安全的工具箱，工具的多少固然很重要，但系統(tǒng)的結(jié)構(gòu)卻是一個起決定性作用的前提。因為防火墻的結(jié)構(gòu)決定了這些工具的組合能力，決定了當你在某種場合需要一個系統(tǒng)聲稱提供的功能的時候是不是真的能夠用得上。

防火墻的基本結(jié)構(gòu)可以分為包過濾和應用代理兩種。包過濾技術(shù)關(guān)注的是網(wǎng)絡層和傳輸層的保護，而應用代理則更關(guān)心應用層的保護。

包過濾是歷史最久遠的防火墻技術(shù)，從實現(xiàn)上分，又可以分為簡單包過濾和狀態(tài)檢測的包過濾兩種。

簡單包過濾是對單個包的檢查，目前絕大多數(shù)路由器產(chǎn)品都提供這樣的功能，所以如果你已經(jīng)有邊界路由器，那么完全沒有必要購買一個簡單包過濾的防火墻產(chǎn)品。由于這類技術(shù)不能跟蹤TCP的狀態(tài)，所以對TCP層的控制是有漏洞的，比如當你在這樣的產(chǎn)品上配置了僅允許從內(nèi)到外的TCP訪問時，一些以TCP應答包的形式進行的攻擊仍然可以從外部通過防火墻對內(nèi)部的系統(tǒng)進行攻擊。簡單包過濾的產(chǎn)品由于其保護的不完善，在99年以前國外的防火墻市場上就已經(jīng)不存在了，但是目前國內(nèi)研制的產(chǎn)品仍然有很多采用的是這種簡單包過濾的技術(shù)，從這點上可以說，國內(nèi)產(chǎn)品的平均技術(shù)水準至少比國外落后2到3年。

狀態(tài)檢測的包過濾利用狀態(tài)表跟蹤每一個網(wǎng)絡會話的狀態(tài)，對每一個包的檢查不僅根據(jù)規(guī)則表，更考慮了數(shù)據(jù)包是否符合會話所處的狀態(tài)。因而提供了更完整的對傳輸層的控制能力。同時由于一系列優(yōu)化技術(shù)的采用，狀態(tài)檢測包過濾的性能也明顯優(yōu)于簡單包過濾產(chǎn)品，尤其是在一些規(guī)則復雜的大型網(wǎng)絡上。

順便提一下免費軟件中的包過濾技術(shù)，比較典型的是OpenBSD 和Linux中的IP Filter和IP Chains。一些有較強技術(shù)能力的網(wǎng)絡管理人員喜歡利用這樣的軟件自己配置成防火墻。但是從實現(xiàn)的原理上分析，雖然它們提供了對TCP狀態(tài)位的檢查，但是由于沒有跟蹤TCP的狀態(tài)，所以仍然是簡單包過濾。值得關(guān)注的是Linux2.4中的IP Table，從其名稱就可以看出，它在進行過濾時建立了一個用來記錄狀態(tài)信息的Table，已經(jīng)具備了狀態(tài)檢測技術(shù)的基本特征。

包過濾結(jié)構(gòu)的最大的優(yōu)點是部署容易，對應用透明。一個產(chǎn)品如果保護功能十分強大，但是不能加到你的網(wǎng)絡中去，那么這個產(chǎn)品所提供的保護就毫無意義，而包過濾產(chǎn)品則很容易安裝到用戶所需要控制的網(wǎng)絡節(jié)點上，對用戶的應用系統(tǒng)則幾乎沒有影響。特別是近來出現(xiàn)的透明方式的包過濾防火墻，由于采用了網(wǎng)橋技術(shù)，幾乎可以部署在任何的以太網(wǎng)線路上，而完全不需要改動原來的拓撲結(jié)構(gòu)。

包過濾的另一個優(yōu)點是性能，狀態(tài)檢測包過濾是各種防火墻結(jié)構(gòu)中在吞吐能力上最具優(yōu)勢的結(jié)構(gòu)。

但是對于防火墻產(chǎn)品來說，畢竟安全是首要的因素，包過濾防火墻對于網(wǎng)絡控制的依據(jù)仍然是IP地址和服務端口等基本的傳輸層以下的信息。對于應用層則缺少足夠的保護，而大量的網(wǎng)絡攻擊是利用應用系統(tǒng)的漏洞實現(xiàn)的。

應用代理防火墻可以說就是為防范應用層攻擊而設計的。應用代理也算是一個歷史比較長的技術(shù)，最初的代表是TIS工具包，現(xiàn)在這個工具包也可以在網(wǎng)絡上免費得到，它是一組代理的集合。代理的原理是徹底隔斷兩端的直接通信，所有通信都必須經(jīng)應用層的代理轉(zhuǎn)發(fā)，訪問者任何時候都不能直接與服務器建立直接的TCP連接，應用層的協(xié)議會話過程必須符合代理的安全策略的要求。針對各種應用協(xié)議的代理防火墻提供了豐富的應用層的控制能力。可以這樣說，狀態(tài)檢測包過濾規(guī)范了網(wǎng)絡層和傳輸層行為，而應用代理則是規(guī)范了特定的應用協(xié)議上的行為。

對于使用代理防火墻的用戶來說，在得到安全性的同時，用戶也需要付出其它的代價。代理技術(shù)的一個主要的弱點是缺乏對應用的透明性，這個缺陷幾乎可以說是天生的，因為它只有位于應用會話的中間環(huán)節(jié)，才會對會話進行控制，而幾乎所有的應用協(xié)議在設計時都不

認為中間應該有一個防火墻存在。這使得對于許多應用協(xié)議來說實現(xiàn)代理是相當困難的。代理防火墻通常是一組代理的集合，需要為每一個支持的應用協(xié)議實現(xiàn)專門的功能，所以對于使用代理防火墻的用戶來說經(jīng)常遇到的問題是防火墻是不支持某個正在使用的應用協(xié)議，要么放棄防火墻，要么放棄應用。特別是在一個復雜的分布計算的網(wǎng)絡環(huán)境下，幾乎無法成功的部署一個代理結(jié)構(gòu)的防火墻，而這種情況在企業(yè)內(nèi)部網(wǎng)進行安全區(qū)域分割是尤其明顯。

代理的另一個無法回避的缺陷是性能很差。代理防火墻必須建立在操作系統(tǒng)提供的socket服務接口之上，其對每個訪問實例的處理代價和資源消耗接近于Web服務器的兩倍。這使得應用代理防火墻的性能通常很難超過45Mbps的轉(zhuǎn)發(fā)速率和1000個并發(fā)訪問。對于一個繁忙的站點來說，這是很難接受的性能。

代理防火墻的技術(shù)發(fā)展遠沒有包過濾技術(shù)活躍，比較一下幾年以前的TIS和現(xiàn)在的代理類型的商用產(chǎn)品，在核心技術(shù)上幾乎沒有什么變化，變化的主要是增加了協(xié)議的種類。同時為了克服代理種類有限的局限性，很多代理防火墻同時也提供了狀態(tài)檢測包過濾的能力，當用戶遇到防火墻不能支持的應用協(xié)議時，就以包過濾的方式讓其通過。由于很難將這兩者的安全策略結(jié)合在一起，所以混合型的產(chǎn)品通常更難于配置，也很難真正的結(jié)合兩者的長處。

狀態(tài)檢測包過濾和應用代理這兩種技術(shù)目前仍然是防火墻市場中普遍采用的主流技術(shù)，但兩種技術(shù)正在形成一種融合的趨勢，演變的結(jié)果也許會導致一種新的結(jié)構(gòu)名稱的出現(xiàn)。我們在NetEye防火墻中以狀態(tài)檢測包過濾為基礎實現(xiàn)了一種我們暫時稱之為“流過濾”的結(jié)構(gòu)，其基本的原理是在防火墻外部仍然是包過濾的形態(tài)，工作在鏈路層或IP層，在規(guī)則允許下，兩端可以直接的訪問，但是對于任何一個被規(guī)則允許的訪問在防火墻內(nèi)部都存在兩個完全獨立的TCP會話，數(shù)據(jù)是以“流”的方式從一個會話流向另一個會話，由于防火墻的應用層策略位于流的中間，因此可以在任何時候代替服務器或客戶端參與應用層的會話，從而起到了與應用代理防火墻相同的控制能力。比如在NetEye防火墻對SMTP協(xié)議的處理中，系統(tǒng)可以在透明網(wǎng)橋的模式下實現(xiàn)完全的對郵件的存儲轉(zhuǎn)發(fā)，并實現(xiàn)豐富的對SMTP協(xié)議的各種攻擊的防范功能。

“流過濾”的另一個優(yōu)勢在于性能，完全為轉(zhuǎn)發(fā)目的而重新實現(xiàn)的TCP協(xié)議棧相對于以自身服務為目的的操作系統(tǒng)中的TCP協(xié)議棧來說，消耗資源更少而且更加高效，如果你需要一個能夠支持幾千個，甚至數(shù)萬個并發(fā)訪問，同時又有相當于代理技術(shù)的應用層防護能力的系統(tǒng)，“流過濾”結(jié)構(gòu)幾乎是唯一的選擇。

防火墻技術(shù)發(fā)展這么多年，已經(jīng)成為了網(wǎng)絡安全中最為成熟的技術(shù)，是安全管理員手中有效的防御工具。但是防火墻本身的核心技術(shù)的進步卻從來沒有停止過，事實上，任何一個

安全產(chǎn)品或技術(shù)都不能提供永遠的安全，因為網(wǎng)絡在變化，應用在變化，入侵的手段在變化。對于防火墻來說，技術(shù)的不斷進步才是真實的保障。

五、防火墻常用技術(shù)和性能

（一）、防火墻的四種基本類型

根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為四種基本類型:包過濾型、網(wǎng)絡地址轉(zhuǎn)換—NAT、代理型和監(jiān)測型。

（1）、包過濾型

包過濾型產(chǎn)品是防火墻的初級產(chǎn)品,其技術(shù)依據(jù)是網(wǎng)絡中的分包傳輸技術(shù)。網(wǎng)絡上的數(shù)據(jù)都是以“包”為單位進行傳輸?shù)?數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個數(shù)據(jù)包中都會包含一些特定信息,如數(shù)據(jù)的源地址、目標地址、TCP/UDP源端口和目標端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點 ,一旦發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包,防火墻便會將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實際情況靈活制訂判斷規(guī)則。

包過濾技術(shù)的優(yōu)點是簡單實用,實現(xiàn)成本較低,在應用環(huán)境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統(tǒng)的安全。

但包過濾技術(shù)的缺陷也是明顯的。包過濾技術(shù)是一種完全基于網(wǎng)絡層的安全技術(shù),只能根據(jù)數(shù)據(jù)包的來源、目標和端口等網(wǎng)絡信息進行判斷,無法識別基于應用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒。有經(jīng)驗的黑客很容易偽造IP地址,騙過包過濾型防火墻。

（2）、網(wǎng)絡地址轉(zhuǎn)化—NAT 網(wǎng)絡地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時的、外部的、注冊的IP地址標準。它允許具有私有IP地址的內(nèi)部網(wǎng)絡訪問因特網(wǎng)。它還意味著用戶不許要為其網(wǎng)絡中每一臺機器取得注冊的IP地址。

在內(nèi)部網(wǎng)絡通過安全網(wǎng)卡訪問外部網(wǎng)絡時，將產(chǎn)生一個映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口，讓這個偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡連接，這樣對外就隱藏了真實的內(nèi)部網(wǎng)絡地址。在外部網(wǎng)絡通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡時，它并不知道內(nèi)部網(wǎng)絡的連接情況，而只是通過一個開放的IP地址和端口來請求訪問。OLM防火墻根據(jù)預先定義好的映射規(guī)則來判斷這個訪問是否安全。當符合規(guī)則時，防火墻認為訪問是安全的，可以接受訪問請求，也可以將連接請求映射到不同的內(nèi)部計算機中。當不符合規(guī)則時，防火墻認為該訪問是不安全的，不能被接受，防火墻將屏蔽外部的連接請求。

網(wǎng)絡地址轉(zhuǎn)換的過程對于用戶來說是透明的，不需要用戶進行設置，用戶只要進行常規(guī)操作即可。

（3）、代理型

代理型防火墻也可以被稱為代理服務器,它的安全性要高于包過濾型產(chǎn)品,并已經(jīng)開始向應用層發(fā)展。代理服務器位于客戶機與服務器之間,完全阻擋了二者間的數(shù)據(jù)交流。從客戶機來看,代理服務器相當于一臺真正的服務器;而從服務器來看,代理服務器又是一臺真正的客戶機。當客戶機需要使用服務器上的數(shù)據(jù)時,首先將數(shù)據(jù)請求發(fā)給代理服務器,代理服務器再根據(jù)這一請求向服務器索取數(shù)據(jù),然后再由代理服務器將數(shù)據(jù)傳輸給客戶機。由于外部系統(tǒng)與內(nèi)部服務器之間沒有直接的數(shù)據(jù)通道,外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡系統(tǒng)。

代理型防火墻的優(yōu)點是安全性較高,可以針對應用層進行偵測和掃描,對付基于應用層的侵入和病毒都十分有效。其缺點是對系統(tǒng)的整體性能有較大的影響,而且代理服務器必須針對客戶機可能產(chǎn)生的所有應用類型逐一進行設置,大大增加了系統(tǒng)管理的復雜性。

（4）、監(jiān)測型

監(jiān)測型防火墻是新一代的產(chǎn)品,這一技術(shù)實際已經(jīng)超越了最初的防火墻定義。監(jiān)測型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進行主動的、實時的監(jiān)測,在對這些數(shù)據(jù)加以分析的基礎上,監(jiān)測型防火墻能夠有效地判斷出各層中的非法侵入。同時,這種檢測型防火墻產(chǎn)品一般還帶有分布式探測器,這些探測器安置在各種應用服務器和其他網(wǎng)絡的節(jié)點之中,不僅能夠檢測來自網(wǎng)絡外部的攻擊,同時對來自內(nèi)部的惡意破壞也有極強的防范作用。據(jù)權(quán)威機構(gòu)統(tǒng)計,在針對網(wǎng)絡系統(tǒng)的攻擊中,有相當比例的攻擊來自網(wǎng)絡內(nèi)部。因此,監(jiān)測型防火墻不僅超越了傳統(tǒng)防火墻的定義,而且在安全性上也超越了前兩代產(chǎn)品

雖然監(jiān)測型防火墻安全性上已超越了包過濾型和代理服務器型防火墻,但由于監(jiān)測型防火墻技術(shù)的實現(xiàn)成本較高,也不易管理,所以目前在實用中的防火墻產(chǎn)品仍然以第二代代理型產(chǎn)品為主,但在某些方面也已經(jīng)開始使用監(jiān)測型防火墻。基于對系統(tǒng)成本與安全技術(shù)成本的綜合考慮,用戶可以選擇性地使用某些監(jiān)測型技術(shù)。這樣既能夠保證網(wǎng)絡系統(tǒng)的安全性需求,同時也能有效地控制安全系統(tǒng)的總擁有成本。

實際上,作為當前防火墻產(chǎn)品的主流趨勢,大多數(shù)代理服務器(也稱應用網(wǎng)關(guān))也集成了包過濾技術(shù),這兩種技術(shù)的混合應用顯然比單獨使用具有更大的優(yōu)勢。由于這種產(chǎn)品是基于應用的,應用網(wǎng)關(guān)能提供對協(xié)議的過濾。例如,它可以過濾掉FTP連接中的PUT命令,而且通過代理應用,應用網(wǎng)關(guān)能夠有效地避免內(nèi)部網(wǎng)絡的信息外泄。正是由于應用網(wǎng)關(guān)的這些特點,使得應用過程中的矛盾主要集中在對多種網(wǎng)絡應用協(xié)議的有效支持和對網(wǎng)絡整體性能的影響上。

（二）、防火墻的選擇

網(wǎng)絡防火墻技術(shù)的作為內(nèi)部網(wǎng)絡與外部網(wǎng)絡之間的第一道安全屏障，是最先受到人們重視的網(wǎng)絡安全技術(shù)，就其產(chǎn)品的主流趨勢而言，大多數(shù)代理服務器（也稱應用網(wǎng)關(guān)）也集成了包濾技術(shù)，這兩種技術(shù)的混合應用顯然比單獨使用更具有大的優(yōu)勢。那么我們究竟應該在哪些地方部署防火墻呢?首先,應該安裝防火墻的位置是公司內(nèi)部網(wǎng)絡與外部Internet的接口處,以阻擋來自外部網(wǎng)絡的入侵;其次,如果公司內(nèi)部網(wǎng)絡規(guī)模較大,并且設置有虛擬局域網(wǎng)(VLAN),則應該在各個VLAN之間設置防火墻;第三,通過公網(wǎng)連接的總部與各分支機構(gòu)之間也應該設置防火墻,如果有條件,還應該同時將總部與各分支機構(gòu)組成虛擬專用網(wǎng)(VPN)。

安裝防火墻的基本原則是:只要有惡意侵入的可能,無論是內(nèi)部網(wǎng)絡還是與外部公網(wǎng)的連接處,都應該安裝防火墻。選擇防火墻的標準有很多,但最重要的是以下幾條:（1）總擁有成本防火墻產(chǎn)品作為網(wǎng)絡系統(tǒng)的安全屏障,其總擁有成本(TCO)不應該超過受保護網(wǎng)絡系統(tǒng)可能遭受最大損失的成本。以一個非關(guān)鍵部門的網(wǎng)絡系統(tǒng)為例,假如其系統(tǒng)中的所有信息及所支持應用的總價值為10萬元,則該部門所配備防火墻的總成本也不應該超過10萬元。當然,對于關(guān)鍵部門來說,其所造成的負面影響和連帶損失也應考慮在內(nèi)。如果僅做粗略估算,非關(guān)鍵部門的防火墻購置成本不應該超過網(wǎng)絡系統(tǒng)的建設總成本,關(guān)鍵部門則應另當別論。

（2）防火墻本身是安全的。作為信息系統(tǒng)安全產(chǎn)品,防火墻本身也應該保證安全,不給外部侵入者以可乘之機。如果像馬其頓防線一樣,正面雖然牢不可破,但進攻者能夠輕易地繞過防線進入系統(tǒng)內(nèi)部,網(wǎng)絡系統(tǒng)也就沒有任何安全性可言了。

通常,防火墻的安全性問題來自兩個方面:其一是防火墻本身的設計是否合理,這類問題一般用戶根本無從入手,只有通過權(quán)威認證機構(gòu)的全面測試才能確定。所以對用戶來說,保守的方法是選擇一個通過多家權(quán)威認證機構(gòu)測試的產(chǎn)品。其二是使用不當。一般來說,防火墻的許多配置需要系統(tǒng)管理員手工修改,如果系統(tǒng)管理員對防火墻不十分熟悉,就有可能在配置過程中遺留大量的安全漏洞。

（3）管理與培訓。管理和培訓是評價一個防火墻好壞的重要方面。我們已經(jīng)談到,在計算防火墻的成本時,不能只簡單地計算購置成本,還必須考慮其總擁有成本。人員的培訓和日常維護費用通常會在TCO中占據(jù)較大的比例。一家優(yōu)秀秀的安全產(chǎn)品供應商必須為其用戶提供良好的培訓和售后服務。

（4）可擴充性。在網(wǎng)絡系統(tǒng)建設的初期,由于內(nèi)部信息系統(tǒng)的規(guī)模較小,遭受攻擊造成的損失也較小,因此沒有必要購置過于復雜和昂貴的防火墻產(chǎn)品。但隨著網(wǎng)絡的擴容和網(wǎng)絡應用的增加,網(wǎng)絡的風險成本也會急劇上升,此時便需要增加具有更高安全性的防火墻產(chǎn)品。如果早期購置的防火墻沒有可擴充性,或擴充成本極高,這便是對投資的浪費。好的產(chǎn)品應該留給用戶足夠的彈性空間,在安全水平要求不高的情況下,可以只選購基本系統(tǒng),而隨著要求的提高,用戶仍然有進一步增加選件的余地。這樣不僅能夠保護用戶的投資,對提供防火墻產(chǎn)品的廠商來說,也擴大了產(chǎn)品覆蓋面。

（5）防火墻的安全性。防火墻產(chǎn)品最難評估的方面是防火墻的安全性能,即防火墻是否能夠有效地阻擋外部入侵。這一點同防火墻自身的安全性一樣,普通用戶通常無法判斷。即使安裝好了防火墻,如果沒有實際的外部入侵,也無從得知產(chǎn)品性能的優(yōu)劣。但在實際應用中檢測安全產(chǎn)品的性能是極為危險的,所以用戶在選擇防火墻產(chǎn)品時,應該盡量選擇占市場份額較大同時又通過了權(quán)威認證機構(gòu)認證測試的產(chǎn)品。

六、結(jié)論

隨著電子商務的不斷發(fā)展，安全是保證電子商務健康有序發(fā)展的關(guān)鍵因素，防火墻技術(shù)必將在網(wǎng)絡安全方面著發(fā)揮更加重要的作用和價值。

七、參考文獻

1、《電子商務》 翟才喜 楊敬杰主編 東北財經(jīng)大學出版社 2002.2

2、《中國電子商務年鑒》2003 卷