基於源過濾技術包括哪些

A. 世界上目前主要凈水技術

主要的凈水技術有微濾（MF）、納濾（NF）、超濾（UF）、反滲透（RO膜）。 1、微濾（MF）：是最基礎的過濾，如：陶瓷濾芯、PP棉等，微濾技術在家用凈水器中應用最廣泛、但凈水精度不高，一般作為凈水器的前置過濾。微濾過濾精度一般在0.1~30微米，像常見的各種PP濾芯，活性炭濾芯，陶瓷濾芯等都屬於微濾范疇，用於簡單的粗過濾，能去除水中的泥沙、鐵銹等大顆粒雜質，但不能去除水中的細菌、病毒、有機物、重金屬離子等有害物質。 2、納濾（NF）：納濾是一種綠色水處理技術，是國際上膜分離技術的最新發展，在某些方面可以替代傳統費用高、工藝繁瑣的污水處理方法。納米級孔徑且帶有電荷的特殊過濾性能特點是：能截留分子量大於200的有機物以及多價離子，允許小分子有機物和單價離子透過；可在高溫、酸、鹼等苛刻條件下運行，膜耐受的條件范圍寬，濃縮倍數高，耐污染；運行壓力低，膜通量高，裝置運行費用低，能耗極低（唯一驅動力是壓力）。NF膜對水中分子量為幾百的有機小分子具有分離性能，對色度，硬度和異味有很好的去除能力，並且操作壓力低，水通量大，因而將在水處理領域發揮巨大的作用。 3、超濾（UF）：超濾技術應用范圍廣，凈水器出水量大，過濾精度比較高，但在某些方面還存在一定的局限性。其超濾過濾精度在0.01~0.1微米，是一種利用壓差的膜分離技術，可濾除水中的鐵銹、泥沙、懸浮物、膠體、細菌、病毒、大分子有機物等有害物質，並能保留對人體有益的一些礦物質元素。是礦泉水、山泉水生產工藝中的核心部件。超濾工藝中水的回收率高達95%以上，可方便的實現沖洗與反沖洗，不易堵塞，使用壽命相對較長。其中過濾精度為0.01微米的超濾膜，因產水量與過濾效果的功效好而被大量採用。 4、反滲透（RO膜）：反滲透技術過濾精度最高，出水水質優，但不足的是廢水比過高。反滲透過濾精度可達0.0001微米左右，是目前世界上製造純凈水的核心技術，它的核心元件是反滲透膜，其孔徑細達0.0001微米，在一定的壓力下，只有水分子才可以通過反滲透膜，而原水中的無機鹽、重金屬離子、有機物、膠體、細菌、病毒等雜質由於其直徑大於0.02微米，無法通過反滲透膜，所以經過反滲透膜過濾的水更純凈。隨著生活水平的提高，人們對飲水安全越來越關注，反滲透純水機正逐漸成為直飲水凈水機的主流，全面滿足了人們對「純水」的需求，它不僅能全面去除水中的六大有害物質，還能有效去除水垢，過濾後的水是真正的「純水」。目前，純水機能滿足家庭及辦公場所直飲水需求，常用於泡茶、煲湯、沖牛奶、煮咖啡或者直接飲用。但反滲透純水機的水利用率低，浪費水源是一大瓶頸

B. 包過濾技術的技術原理

包過濾技術(IP Filtering or packet filtering) 的原理在於利用路由器監視並過濾網路上流入流出的IP包，拒絕發送可疑的包。由於Internet 與Intranet 的連接多數都要使用路由器，所以Router成為內外通信的必經埠，Router的廠商在Router上加入IP 過濾 功能，過濾路由器也可以稱作包過濾路由器或篩選路由器（Packet FilterRouter）。防火牆常常就是這樣一個具備包過濾功能的簡單路由器，這種Firewall應該是足夠安全的，但前提是配置合理。然而一個包過濾規則是否完全嚴密及必要是很難判定的，因而在安全要求較高的場合，通常還配合使用其它的技術來加強安全性。
包過濾技術是指網路設備（路由器或防火牆）根據包過濾規則檢查所接收的每個數據包，做出允許數據包通過或丟棄數據包的決定。包過濾規則主要基於IP包頭信息設置，包括如下內容：
1、TCP/UDP的源或目的埠號
2、協議類型：TCP、UDP、ICMP等
3、源或目的IP地址
4、數據包的入介面和出介面
數據包中的信息如果與某一條過濾規則相匹配並且該規則允許數據包通過，則該數據包會被轉發，如果與某一條過濾規則匹配但規則拒絕數據包通過，則該數據包會被丟棄。如果沒有可匹配的規則，預設規則會決定數據包是被轉發還是被丟棄。
舉例說明：如圖所示，如果我們需要允許IP地址為192.168.0.1的電腦瀏覽網頁（建立HTTP連接），允許IP地址為192.168.0.2的電腦與Internet建立FTP連接，不允許其他電腦與Internet通信，可以在路由器設置如下過濾規則：

1、允許源IP地址為192.168.0.1、目的埠號為80的數據包通過（HTTP的埠號為80）。
2、允許源IP地址為192.168.0.1、目的埠號為53的數據包通過（DNS的埠號為53，在瀏覽網頁時通常需要進行域名解析）。
3、允許源IP地址為192.168.0.2、目的埠號為21的數據包通過（FTP的埠號為21）。
4、預設禁止所有的其他連接。
包過濾規則允許Router取捨以一個特殊服務為基礎的信息流，因為大多數服務檢測器駐留於眾所周知的TCP/UDP埠。例如，Telnet Service 為TCP port 23埠等待遠程連接，而SMTP Service為TCP Port 25埠等待輸入連接。如要封鎖輸入Telnet、SMTP的連接，則Router舍棄埠值為23、25的所有的數據包。
表9.1 一些常用網路服務和使用的埠 服務名稱 埠號 協議 說明 ftp-data 20 tcp FTP數據 ftp 21 tcp FTP控制 telnet 23 tcp 如BBS smtp 25 tcp 發email用 time 37 tcp timserver time 37 udp timserver domain 53 tcp DNS domain 53 udp DNS tftp 69 udp gopher 70 tcp gopher查詢 http 80 tcp www pop3 110 tcp 收email用 nntp 119 tcp 新聞組，usernet netbios-ns 137 tcp NETBIOS 名稱服務 netbios-ns 137 udp NETBIOS 名稱服務 netbios-dgm 138 udp NETBIOS 數據報服務 netbios-ssn 139 tcp NETBIOS Session服務 snmp 161 udp SNMP snmptrap 162 udp SNMP trap irc 194 tcp IRC網路聊天服務 ldap 389 tcp 輕型目錄服務協議 https 443 tcp SSL加密 https 443 udp 典型的過濾規則有以下幾種：允許特定名單內的內部主機進行Telnet輸入對話、只允許特定名單內的內部主機進行FTP輸入對話、只允許所有Telnet 輸出對話、只允許所有FTP 輸出對話、拒絕來自一些特定外部網路的所有輸入信息。
有些類型的攻擊很難用基本包頭信息加以鑒別，因為這些獨立於服務。一些Router可以用來防止這類攻擊，但過濾規則需要增加一些信息，而這些信息只有通過以下方式才能獲悉：研究Router選擇表、檢查特定的IP選項、校驗特殊的片段偏移等。這類攻擊有以下幾種：
源IP地址欺騙攻擊：入侵者從偽裝成源自一台內部主機的一個外部地點傳送一些信息包；這些信息包似乎像包含了一個內部系統的源IP地址。如果這些信息包到達Router的外部介面，則舍棄每個含有這個源IP地址的信息包，就可以挫敗這種源欺騙攻擊。
源路由攻擊：源站指定了一個信息包穿越Internet時應採取的路徑，這類攻擊企圖繞過安全措施，並使信息包沿一條意外(疏漏)的路徑到達目的地。可以通過舍棄所有包含這類源路由選項的信息包方式，來挫敗這類攻擊。
殘片攻擊：入侵者利用IP殘片特性生成一個極小的片斷並將TCP報頭信息肢解成一個分離的信息包片斷。舍棄所有協議類型為TCP、IP片斷偏移值等於1的信息包，即可挫敗殘片的攻擊。
從以上可看出定義一個完善的安全過濾規則是非常重要的。通常，過濾規則以表格的形式表示，其中包括以某種次序排列的條件和動作序列。每當收到一個包時，則按照從前至後的順序與表格中每行的條件比較，直到滿足某一行的條件，然後執行相應的動作(轉發或舍棄)。有些數據包過濾在實現時，「動作」這一項還詢問，若包被丟棄是否要通知發送者(通過發ICMP信息)，並能以管理員指定的順序進行條件比較，直至找到滿足的條件。
對流進和流出網路的數據進行過濾可以提供一種高層的保護。建議過濾規則如下：
（1）任何進入內部網路的數據包不能把網路內部的地址作為源地址。
（2）任何進入內部網路的數據包必須把網路內部的地址作為目的地址。
（3）任何離開內部網路的數據包必須把網路內部的地址作為源地址。
（4）任何離開內部網路的數據包不能把網路內部的地址作為目的地址。
（5）任何進入或離開內部網路的數據包不能把一個私有地址（private address）或在RFC1918中 127.0.0.0/8.）的地址作為源或目的地址。
（6）阻塞任意源路由包或任何設置了IP選項的包。
（7）保留、DHCP自動配置和多播地址也需要被阻塞。0.0.0.0/8 、169.254.0.0/16 、192.0.2.0/24 、224.0.0.0/4 、240.0.0.0/4。