【.com 综合消息】何为绍watchGuard 智能分层安全体系结构的概念?该分布式系统智能所能带来的更好的安全性,本文章将详细为您解答,让我们来看看ILS 中的每一个安全层在作些什么。
第一层 —— 外部安全服务
为了保证网络运行高效,在帮助管理员正确配置防火墙和相关系统的同时,补充网络的一些外部安全服务是必须的,例如漏洞分析和桌面防毒系统等。在WatchGuard 的模型中,这个概念就表现为一个在防火墙外面工作的安全层,其完成了防火墙必须完成的一些网络功能。外部安全服务更强调预防,它可以同其他分层有效地、安全地协同工作以达到最理想的效果。对于管理员来说,整个网络就成为了一个单一的实体,可以更安全、更简单的管理。
第二层 —— 数据完整性
数据完整性层是Firebox 的第一道防线。它会效验进入设备的数据,确保其遵守数据包协议规范。所有的网络通讯都必须经过这个层。这是一个最佳地拦截攻击的位置。而且对于数据流的处理也相当快速,因为只有两个结果通过或阻断。例如,这个数据包是否符合RFC标准?包头信息是否超过了标准规定的长度?如果是,数据包将被直接丢弃。这一层的主要职责是:
◆ 数据流标准化
通过IP 效验保护你的网络,阻止任何畸形的TCP/IP 数据流流进入下一层;利用WatchGuard 专利的反攻击机制,发现并阻挡DoS、DDoS 和分片重组攻击,保证正确的数据流顺利通过并进入下一层;例如防御IPSec、IKE、ICMP、UDP、SYN flood 攻击等等;发现并拦截一下通讯:端口扫描、地址扫描、欺骗攻击。
对数据流标准化检测和对已知攻击的拦截可以改善整体系统的性能,因为ILS 能够快速地处理这一层的数据,并保证后续其他层仅接收到正确的、合法的数据包。
第三层 —— 虚拟专网(科学)
一旦数据流被确认为有效的、标准的,ILS 接下来确认该数据流是否为来自一个已知科学连接点的加密流。如果是,科学 层将对数据流解密并向下一层传输;如果该数据流是由未知的密钥加密的,那么该通讯被阻断。如果数据流不是加密的或不是来自一个已知科学 连接点的,那么科学 层将不作任何处理,数据流将被传递到下一层。科学 层支持PPTP 和IPSec 协议,并可以组建移动用户科学 和分支机构间科学 通讯。
通过正确的科学 配置,你可以通过Internet,对外出的私有数据进行安全地加密传输。
第四层 —— 状态检测防火墙
在这一层,管理员可以根据源IP 地址、目的IP 地址和通讯端口来设定数据流是否可以通过防火墙。ILS 的NAT 功能也在这一层得以执行。
虽然很多种类的攻击手段都依靠使用畸形包来获得目的主机的响应信息,但是个别遵守全部RFC 标准的包依然会含有恶意企图。例如,一个黑客获取了用户网络信息,那么他就可能会尝试发送一个含有“Reply”标记的包进入用户网络,这样就伪装成了一个来自被访问的目的 服务器 响应包。对于一台非状态检测设备来说,虽然也检测2 层以上信息,但会认为这就是来自目的服务器的响应而允许其进入用户网络。然而一台状态检测设备就会知道,从来没有向黑客的IP 地址发送过“请求”数据包,同时在内部没有发出“请求”时,也不允许一个“响应”包通过并进入网络,这样,状态检测设备就会丢弃那个伪装的“响应”包。
ILS 在这一层提供了这样的状态保护,并且进一步地提高了其功能。状态防火墙层会跟踪所有会话的端口和协议信息,并为这些会话建立状态表。当发现一个攻击行为时,同时会触发攻击躲避机制。通过这些,ILS 可以击败有目的性的攻击,并且还可以避免由同一攻击源重复攻击所引起的防火墙负载升高。
第五层 —— 深度应用检测
通过了状态检测防火墙层的数据流被传递到深度应用检测层,在这里ILS 将判断该数据流是否“适合使用”。如果不需要进一步检测,那么数据流将被直接转发以达到最佳性能。在深度应用检测层,TCP 连接被终止了,并且在防火墙两侧重新建立新的连接。发出的数据包将被重新格式化以防止攻击出现。
深度应用检测层可以发现、管理、防止或阻断:协议异常、缓冲区溢出、未授权连接、TCP 劫持、网络信息泄露;基于MIME 类型或模式的有害附件、病毒、蠕虫等(如*.bat, *.cmd, *.com,*.exe, *.hta, *.inf, *.pif, *.scr, *.wsh 等)、使用潜在的危险命令;
在前面“更强大的安全 —— 智能分层安全如何工作”一节中,我们看到深度应用检测层防御攻击的核心机制,它们是:协议异常分析(PAD);模式匹配;命令限制;伪装;过滤/拦截信息头;
基于精确标准定义和策略判断,深度应用检测层可以提供零日威胁防御来应对更广泛的攻击类型,而且可以有效地减少误报率。下面让我们来看看ILS 如何在HTTP、SMTP、FTP、DNS 和TCP 这些核心应用协议上作精细的控制。
◆ HTTP Client
HTTP Client 协议处理器可以很好地控制什么样的信息流可以到达用户的浏览器或其它HTTP 客户端。管理员可以做到:拦截那些不严格遵守HTTP 协议RFC 标准的数据流;比如QQ 在使用TCP80 端口通讯时,因为没有采用HTTP 协议标准,所以会被HTTP Client 协议处理器自动拦截;很多在线视频软件也使用TCP 80 端口以示图逃过防火墙策略控制,但传输的内容因为没有遵守HTTP 协议标准,同样也会被HTTP Client 协议处理器自动拦截;利用模式匹配,检测病毒、蠕虫、木马等有害信息;可以删除或阻挡Cookie、Applet、ActiveX 及未知的HTTP 头信息;限制HTTP 请求的方法;控制HTTP 的命令;隐藏服务器信息;控制认证方法;限制请求和访问头类型,来防止畸形或未知的头类型;控制附件类型; URL 地址控制;转发数据流到IPS 模块; 调用ILS 自动拦截机制,减少处理同一攻击源所消耗的负载;
◆ HTTP Server
HTTP Server 协议处理器可以很好地控制什么样的信息流可以到达用户的Web 服务器。它所能控制的内容与HTTP Client 处理器是类似的,当然也有一些差异。
◆ SMTP Incoming 或 Outgoing
我们所看到的大量破坏性攻击都是混合型攻击,例如蠕虫使用多重感染和繁殖的方法大量传播,大多数蠕虫选择使用SMTP(或者说是邮件服务器)作为其传播的载体。WatchGuard 的SMTP 协议处理器可以阻挡:存在潜在危险的邮件附件;不合法的SMTP 命令;协议异常;SMTP 协议处理器可以将发送畸形数据流的站点自动添加到拦截黑名单中,因此SMTP 协议处理器可以非常有效地对付这类攻击。管理员在使用SMTP 协议处理器可以做到:拦截那些不严格遵守SMTP 协议RFC 标准的数据流;利用模式匹配,过滤附件名及MIME 类型;限制SMTP 命令及参数的使用;伪装服务器信息;控制允许或不允许的邮件头信息;控制邮件大小;限制最大收件人数量;限制邮件地址长度;控制bat/CHUNKING、ETRN 和8-bit 或Binary MIME 在ESMTP 中的使用;控制ESMTP 认证类型;控制SMTP 问候语的长度;SMTP 转发保护;源、目的邮件地址黑白名单;转发数据流到防病毒模块;转发数据流到IPS 模块;调用ILS 自动拦截机制,减少处理同一攻击源所消耗的负载;
WatchGuard 的FTP 协议处理器可以帮助管理员管理FTP 服务器,有效地控制FTP资源的使用: 拦截那些不严格遵守FTP 协议RFC 标准的数据流;强制会话超时;限制FTP 命令及参数的使用;伪装服务器信息;限制如用户名、口令、命令行、文件名的长度;限制可以下载的文件类型;控制上传文件及其路径;转发数据流到防病毒模块;转发数据流到IPS 模块;调用ILS 自动拦截机制,减少处理同一攻击源所消耗的负载;
一些黑客工具可以利用DNS 查询和应答来获得你的DNS 服务器管理权,从而可以进一步控制那些使用这台DNS 服务器的用户。这类攻击使用畸形的DNS 请求包来传递恶意代码。WatchGuard 的DNS 协议处理器可以检测DNS 请求的头部信息,并且可以阻断那些可疑的内容。DNS 协议处理器可以做到:拦截那些不严格遵守DNS 协议RFC 标准的数据流;伪装服务器信息;DNS 包头检测,丢弃那些不正确的部分;控制DNS 代码、查询类型和查询名称;转发数据流到IPS 模块;调用ILS 自动拦截机制,减少处理同一攻击源所消耗的负载;
TCP 协议处理器主要完成在防火墙两侧重新建立TCP 连接的过程。这就意味着,数据包被重新规范化并且得到了整合。这样就可以更好地发现攻击行为。TCP 协议处理器同时还可以处理使用非标准端口的HTTP 协议通讯,处理机制与HTTP 协议处理器一样。
◆ IM 和P2P 拦截
WatchGuard 的TCP/TCP-UDP 协议处理器可以有选择地拦截IM 服务,例如AIM、Yahoo、IRC 和MSN Messenger 等。这就可以防止基于IM 的安全威胁。例如很多攻击者可以利用IM 通讯来控制你的PC,或者通过IM 通讯传播有害文件。
同样,我们也可以有选择地拦截P2P 服务,例如Napster、GNUtella、Kazaa、Morpheus、BitTorrent、eDonkey2000、Phatbot 等等。P2P 应用会大量占用有限的网络带宽;同时也是传播间谍软件的途径。WatchGuard 可以很好地控制P2P 的通讯。
第六层 —— 内容安全
内容安全层很有针对性地对一些协议数据流作更深一步的检测。在这一层里,对用户来说安全服务都是可选项目,这包括网关防病毒服务、入侵防御服务、反垃圾邮件和URL 分类过滤。
迈腾1.8T TSI是什么意思?
TSI是Turbo-charging(涡轮增压)、Super-charging(机械增压)和Injection(燃油直喷),三个关键特色的首字母缩写。 “T”,Turbocharger(涡轮增压)的简称,原理是利用发动机排出的废气惯性冲力来推动涡轮室内的涡轮,涡轮又带动同轴的叶轮,叶轮压送由空气滤清器管道送来的空气,使之增压进入汽缸,空气的压力和密度增大可以燃烧更多的燃料,发动机的输出功率就得到了较大的提升。 增压带来的好处是“既让马儿跑得快,又让马儿吃得少”,通常情况下加装涡轮增压器以后的发动机功率和扭矩要提高20%-40%,但废气涡轮在结构简单,性能突出的背后也有它的弊端,由于叶轮的惯性作用对油门的突然变化反应迟缓,在急加速的情况下,会有短暂的发动机“不出力”的现象。 此外,废气涡轮依靠发动机油散热,工作时过高的温度和超过每秒次的转速都会让涡轮增压器在保养或使用不当时成为易损部件。 你能总是忍受每天在启动后都要让车子怠速几分钟,等待机油温度升高吗?你能习惯在长途奔袭到家乡门前先在车上停留几分钟再下车进家门吗?这也许连大众的工程师都做不到,于是,更好的“TSI”来了,加装了机械增压器。 “S”是Super-charging(机械增压)机械增压器的简称。 机械增压器采用皮带与引擎曲轴皮带盘连接,利用引擎转速来带动机械增压器内部叶片,以产生增压空气送入引擎进气歧管内,整体结构相当简单,工作温度于70℃-100℃,这是普通轿车的正常温度,不同于涡轮增压器靠引擎排放的废气驱动,必须接触400℃-900℃的高温废气,因此机械增压系统对于冷却系统、润滑油脂的要求与自然进气引擎相同,无需特殊保养,较低的转速也令其使用寿命大大加长。 机械增压引擎的出力表现与自然吸气引擎极为相似,既没有了涡轮增压介入时的鲁莽,又赚取了更大的马力和扭力,所以机械增压引擎在加速时的表现更加顺滑和线性。 “I”是Injection(燃油直喷)的简称。 缸内燃油直喷技术,顾名思义。 供油系统采用缸内直喷设计的最大优势,就在于燃油是以极高压力直接注入于燃烧室中,因此除了喷油嘴的构造和位置都异于传统供油系统,在油气的雾化和混合效率上也更为优异。 加上近来车上各项电子系统的控制技术大幅进步,计算机对于进气量与喷油时机的判读与控制也愈加精准,因此在搭配上缸内直喷技术以使得发动机的燃烧效率大幅提升下,除了发动机得以产生更大动力,对于环保和节能也都有正面的帮助。 机械增压填补了涡轮增压产生迟滞时的动力输出,燃油直喷技术令发动机对燃料的使用效率提高到新的高度,更全面的是,大众集团此次采用了博格华纳提供的水冷涡轮增压器,新匹配的冷却系统解决了涡轮增压器的冷却问题,也更延长了使用寿命和耐用性。 在欧洲,搭载双增压发动机的高尔夫GTI1.4TSI在获得远超2.0L自然吸气时发动机功率的同时获得了更低的燃油消耗,我只能说这真是一台有劲儿的机器,还很环保。 而如此同时,国内南北大众引进国产的 TSI发动机省略了机械增压和分层燃烧部分(Fuel Stratified Injection),我们只能感受到单涡轮和缸内直喷技术的搭配。 省略的部分也不是完全没有道理,除了高成本的价格门槛外,双增压会大副提高发动机的压缩比,相对应的使用的燃油的标准也大大提高,相对于燃油质量普遍一般的国内市场,有时候高科技的减配也是无奈而必须的。 类似进口1.4TSI发动机是双涡轮增压、机械增压、缸内直喷、分层燃烧技术相结合的整体,即改善了起步加速,又具有充足的后劲,可谓是动力澎湃,提高了燃油效率,降低了油耗,约可以节省20--30%燃油,效率却提高了30--50%。 TSI发动机的综合优点室:动力损耗小,输出功率相对来说也增大了,可以在小排量的情况下获得较大的扭矩和马力。
奥迪汽车的FSI和quattro是什么意思?
FSI是Fuel Stratified Injection的字母简写,中文意思是燃料分层喷射技术,它代表着今后引擎的一个发展方向。 传统的汽油发动机是通过电脑采集凸轮位置以及发动机各相关工况从而控制喷油嘴将汽油喷入进气歧管。 汽油在歧管内开始混合,然后再进入到汽缸中燃烧。 空气跟汽油的最佳混合比是14.7/1(也叫理论空燃比),传统发动机由于汽油跟空气是在进气歧管内混合,那么他们只能均匀的混合在一起,所以必须达到理论空燃比才能获得较好的动力性和经济性,但由于喷油嘴离燃烧室有一定的距离,汽油同空气的混合情况受进气气流和气门开关的影响较大,并且微小的油颗粒会吸附在管道壁上,这就的理论空燃比很难达到,这是传统发动机无法解决的一个问题。 要想解决这一难题,就必须把燃油直接喷射到汽缸中去,这就是奥迪的FSI燃油直喷发动机可以做的。 直喷式汽油发动机采用类似于柴油发动机的供油技术,通过一个活塞泵提供所需的100bar以上的压力,将汽油提供给位于汽缸内的电磁喷射器。 然后通过电脑控制喷射器将燃料在最恰当的时间直接注入燃烧室,通过对燃烧室内部形状的设计,让混合气能产生较强的涡流使空气和汽油充分混合。 然后使火花塞周围区域能有较浓的混合气,其他周边区域有较稀的混合气,保证了在顺利点火的情况下尽可能的实现稀薄燃烧。 这就是分层燃烧的精髓所在。 FSI技术采用了两种不同的注油模式:分层注油和均匀注油模式。 在发动机低速或中速运转时采用分层注油模式,此时节气门为半开状态,空气由进气管进入汽缸撞在活塞顶部,由于活塞顶部制作成特殊的形状从而在火花塞附近形成期望中的涡流。 当压缩过程接近尾声时,少量的燃油由喷射器喷出,形成可燃气体。 这种分层注油方式可充分提高发动机的经济性,因为在转速较低、负荷较小时除了火花塞周围需要形成浓度较高的油气混合物外,燃烧室的其它地方只需空气含量较高的混合气即可,而FSI使其与理想状态非常接近。 当节气门完全开启,发动机高速运转时,大量空气高速进入汽缸形成较强涡流并与汽油均匀混合。 从而促进燃油充分燃烧,提高发动机的动力输出。 电脑不断的根据发动机的工作状况改变注油模式,始终保持最适宜的供油方式。 燃油的充分利用不仅提高了燃油的利用效率和发动机的输出而且改善了排放。 FSI直喷发动机既然有如此多的技术优势,相应的其对发动机硬件或者油品的要求必然也很高。 首先,它的喷油器安装在燃烧室上的,汽油直接喷注到汽缸当中去,油路必须具备比缸内更高的压力才能把汽油有效的喷注到汽缸当中去。 燃油管道内的压力提高以后,管道的各个接头的密封处的强度也要随之提高。 这样,对喷油器的设计和制造工艺也提出了更高的要求。 而且由于喷油器是直接安装在燃烧室上的,那么必须需要喷油器有耐高温的能力。 其次,FSI直喷发动机的压缩比很高,达到了惊人的11.5,在这种情况下对油的标号和油质要求就很严格。 就目前中国的情况来说,必须使用98号的高清洁度汽油。 ,Quattro&Reg;全时四驱技术,配合托森(Torsen)机械式中央差速器,通过将发动机动力按比例分配到四个车轮,前后轮50:50(最新第五代为40:60),在坏路情况下系统可以自动调整至25:75或75:25。 当左右轮在接触不同路面情况时,EDL可对即将打滑的一边车轮加以制动,把过剩的动力传至另一边轮胎。 为驾驶者提供了诸多前所未有的优势条件。 除了在正常行使状态下及高速过弯时根据车速和路况随时实现各个车轮理想的动力分配,为车辆在路面上提供更大的侧向附着力,提高车辆快速过弯的物理极限值,Quattro&Reg;全时四驱技术还可以在沙砾、积雪、湿滑和冰冻等复杂路面上为车辆提供无与伦比的抓地力和稳定性,进而避免后驱车最容易出现且难以修正的“甩尾”。
请问什么是缸内直喷?
缸内直喷又称FSI,FSI(Fuel Stratified Injection)燃料分层喷射技术代表着传统汽油引擎的一个发展方向。 传统的汽油发动机是通过电脑采集凸轮位置以及发动机各相关工况从而控制喷油嘴将汽油喷入进气歧管。 但由于喷油嘴离燃烧室有一定的距离,汽油同空气的混合情况受进气气流和气门开关的影响较大,并且微小的油颗粒会吸附在管道壁上,所以希望喷油嘴能够直接将燃油喷入汽缸。 FSI就是大众集团开发的用来改善传统汽油发动机供油方式的不足而研制的缸内直接喷射技术,先进的直喷式汽油发动机采用类似于柴油发动机的供油技术,通过一个活塞泵提供所需的100bar以上的压力,将汽油提供给位于汽缸内的电磁喷射器。 然后通过电脑控制喷射器将燃料在最恰当的时间直接注入燃烧室,其控制的精确度接近毫秒,其关键是考虑喷射器的安装,必须在汽缸上部留给其一定的空间。 由于汽缸顶部已经布置了火花塞和多个气门,已经相当紧凑,所以将其布置在靠近进气门侧。 由于喷射器的加入导致了对设计和制造的要求都相当的高,如果布置不合理、制造精度达不到要求导致刚度不足甚至漏气只能得不偿失。 另外FSI引擎对燃油品质的要求也比较高,目前国内的油品状况可能很难达到FSI引擎的要求,所以部分装配了FSI的进口高尔夫出现了发动机的水土不服。 此外,FSI技术采用了两种不同的注油模式,即分层注油和均匀注油模式。 发动机低速或中速运转时采用分层注油模式。 此时节气门为半开状态,空气由进气管进入汽缸撞在活塞顶部,由于活塞顶部制作成特殊的形状从而在火花塞附近形成期望中的涡流。 当压缩过程接近尾声时,少量的燃油由喷射器喷出,形成可燃气体。 这种分层注油方式可充分提高发动机的经济性,因为在转速较低、负荷较小时除了火花塞周围需要形成浓度较高的油气混合物外,燃烧室的其它地方只需空气含量较高的混合气即可,而FSI使其与理想状态非常接近。 当节气门完全开启,发动机高速运转时,大量空气高速进入汽缸形成较强涡流并与汽油均匀混合。 从而促进燃油充分燃烧,提高发动机的动力输出。 电脑不断的根据发动机的工作状况改变注油模式,始终保持最适宜的供油方式。 燃油的充分利用不仅提高了燃油的利用效率和发动机的输出而且改善了排放。
发表评论