基于源过滤技术包括哪些

A. 世界上目前主要净水技术

主要的净水技术有微滤（MF）、纳滤（NF）、超滤（UF）、反渗透（RO膜）。 1、微滤（MF）：是最基础的过滤，如：陶瓷滤芯、PP棉等，微滤技术在家用净水器中应用最广泛、但净水精度不高，一般作为净水器的前置过滤。微滤过滤精度一般在0.1~30微米，像常见的各种PP滤芯，活性炭滤芯，陶瓷滤芯等都属于微滤范畴，用于简单的粗过滤，能去除水中的泥沙、铁锈等大颗粒杂质，但不能去除水中的细菌、病毒、有机物、重金属离子等有害物质。 2、纳滤（NF）：纳滤是一种绿色水处理技术，是国际上膜分离技术的最新发展，在某些方面可以替代传统费用高、工艺繁琐的污水处理方法。纳米级孔径且带有电荷的特殊过滤性能特点是：能截留分子量大于200的有机物以及多价离子，允许小分子有机物和单价离子透过；可在高温、酸、碱等苛刻条件下运行，膜耐受的条件范围宽，浓缩倍数高，耐污染；运行压力低，膜通量高，装置运行费用低，能耗极低（唯一驱动力是压力）。NF膜对水中分子量为几百的有机小分子具有分离性能，对色度，硬度和异味有很好的去除能力，并且操作压力低，水通量大，因而将在水处理领域发挥巨大的作用。 3、超滤（UF）：超滤技术应用范围广，净水器出水量大，过滤精度比较高，但在某些方面还存在一定的局限性。其超滤过滤精度在0.01~0.1微米，是一种利用压差的膜分离技术，可滤除水中的铁锈、泥沙、悬浮物、胶体、细菌、病毒、大分子有机物等有害物质，并能保留对人体有益的一些矿物质元素。是矿泉水、山泉水生产工艺中的核心部件。超滤工艺中水的回收率高达95%以上，可方便的实现冲洗与反冲洗，不易堵塞，使用寿命相对较长。其中过滤精度为0.01微米的超滤膜，因产水量与过滤效果的功效好而被大量采用。 4、反渗透（RO膜）：反渗透技术过滤精度最高，出水水质优，但不足的是废水比过高。反渗透过滤精度可达0.0001微米左右，是目前世界上制造纯净水的核心技术，它的核心元件是反渗透膜，其孔径细达0.0001微米，在一定的压力下，只有水分子才可以通过反渗透膜，而原水中的无机盐、重金属离子、有机物、胶体、细菌、病毒等杂质由于其直径大于0.02微米，无法通过反渗透膜，所以经过反渗透膜过滤的水更纯净。随着生活水平的提高，人们对饮水安全越来越关注，反渗透纯水机正逐渐成为直饮水净水机的主流，全面满足了人们对“纯水”的需求，它不仅能全面去除水中的六大有害物质，还能有效去除水垢，过滤后的水是真正的“纯水”。目前，纯水机能满足家庭及办公场所直饮水需求，常用于泡茶、煲汤、冲牛奶、煮咖啡或者直接饮用。但反渗透纯水机的水利用率低，浪费水源是一大瓶颈

B. 包过滤技术的技术原理

包过滤技术(IP Filtering or packet filtering) 的原理在于利用路由器监视并过滤网络上流入流出的IP包，拒绝发送可疑的包。由于Internet 与Intranet 的连接多数都要使用路由器，所以Router成为内外通信的必经端口，Router的厂商在Router上加入IP 过滤 功能，过滤路由器也可以称作包过滤路由器或筛选路由器（Packet FilterRouter）。防火墙常常就是这样一个具备包过滤功能的简单路由器，这种Firewall应该是足够安全的，但前提是配置合理。然而一个包过滤规则是否完全严密及必要是很难判定的，因而在安全要求较高的场合，通常还配合使用其它的技术来加强安全性。
包过滤技术是指网络设备（路由器或防火墙）根据包过滤规则检查所接收的每个数据包，做出允许数据包通过或丢弃数据包的决定。包过滤规则主要基于IP包头信息设置，包括如下内容：
1、TCP/UDP的源或目的端口号
2、协议类型：TCP、UDP、ICMP等
3、源或目的IP地址
4、数据包的入接口和出接口
数据包中的信息如果与某一条过滤规则相匹配并且该规则允许数据包通过，则该数据包会被转发，如果与某一条过滤规则匹配但规则拒绝数据包通过，则该数据包会被丢弃。如果没有可匹配的规则，缺省规则会决定数据包是被转发还是被丢弃。
举例说明：如图所示，如果我们需要允许IP地址为192.168.0.1的电脑浏览网页（建立HTTP连接），允许IP地址为192.168.0.2的电脑与Internet建立FTP连接，不允许其他电脑与Internet通信，可以在路由器设置如下过滤规则：

1、允许源IP地址为192.168.0.1、目的端口号为80的数据包通过（HTTP的端口号为80）。
2、允许源IP地址为192.168.0.1、目的端口号为53的数据包通过（DNS的端口号为53，在浏览网页时通常需要进行域名解析）。
3、允许源IP地址为192.168.0.2、目的端口号为21的数据包通过（FTP的端口号为21）。
4、缺省禁止所有的其他连接。
包过滤规则允许Router取舍以一个特殊服务为基础的信息流，因为大多数服务检测器驻留于众所周知的TCP/UDP端口。例如，Telnet Service 为TCP port 23端口等待远程连接，而SMTP Service为TCP Port 25端口等待输入连接。如要封锁输入Telnet、SMTP的连接，则Router舍弃端口值为23、25的所有的数据包。
表9.1 一些常用网络服务和使用的端口 服务名称 端口号 协议 说明 ftp-data 20 tcp FTP数据 ftp 21 tcp FTP控制 telnet 23 tcp 如BBS smtp 25 tcp 发email用 time 37 tcp timserver time 37 udp timserver domain 53 tcp DNS domain 53 udp DNS tftp 69 udp gopher 70 tcp gopher查询 http 80 tcp www pop3 110 tcp 收email用 nntp 119 tcp 新闻组，usernet netbios-ns 137 tcp NETBIOS 名称服务 netbios-ns 137 udp NETBIOS 名称服务 netbios-dgm 138 udp NETBIOS 数据报服务 netbios-ssn 139 tcp NETBIOS Session服务 snmp 161 udp SNMP snmptrap 162 udp SNMP trap irc 194 tcp IRC网络聊天服务 ldap 389 tcp 轻型目录服务协议 https 443 tcp SSL加密 https 443 udp 典型的过滤规则有以下几种：允许特定名单内的内部主机进行Telnet输入对话、只允许特定名单内的内部主机进行FTP输入对话、只允许所有Telnet 输出对话、只允许所有FTP 输出对话、拒绝来自一些特定外部网络的所有输入信息。
有些类型的攻击很难用基本包头信息加以鉴别，因为这些独立于服务。一些Router可以用来防止这类攻击，但过滤规则需要增加一些信息，而这些信息只有通过以下方式才能获悉：研究Router选择表、检查特定的IP选项、校验特殊的片段偏移等。这类攻击有以下几种：
源IP地址欺骗攻击：入侵者从伪装成源自一台内部主机的一个外部地点传送一些信息包；这些信息包似乎像包含了一个内部系统的源IP地址。如果这些信息包到达Router的外部接口，则舍弃每个含有这个源IP地址的信息包，就可以挫败这种源欺骗攻击。
源路由攻击：源站指定了一个信息包穿越Internet时应采取的路径，这类攻击企图绕过安全措施，并使信息包沿一条意外(疏漏)的路径到达目的地。可以通过舍弃所有包含这类源路由选项的信息包方式，来挫败这类攻击。
残片攻击：入侵者利用IP残片特性生成一个极小的片断并将TCP报头信息肢解成一个分离的信息包片断。舍弃所有协议类型为TCP、IP片断偏移值等于1的信息包，即可挫败残片的攻击。
从以上可看出定义一个完善的安全过滤规则是非常重要的。通常，过滤规则以表格的形式表示，其中包括以某种次序排列的条件和动作序列。每当收到一个包时，则按照从前至后的顺序与表格中每行的条件比较，直到满足某一行的条件，然后执行相应的动作(转发或舍弃)。有些数据包过滤在实现时，“动作”这一项还询问，若包被丢弃是否要通知发送者(通过发ICMP信息)，并能以管理员指定的顺序进行条件比较，直至找到满足的条件。
对流进和流出网络的数据进行过滤可以提供一种高层的保护。建议过滤规则如下：
（1）任何进入内部网络的数据包不能把网络内部的地址作为源地址。
（2）任何进入内部网络的数据包必须把网络内部的地址作为目的地址。
（3）任何离开内部网络的数据包必须把网络内部的地址作为源地址。
（4）任何离开内部网络的数据包不能把网络内部的地址作为目的地址。
（5）任何进入或离开内部网络的数据包不能把一个私有地址（private address）或在RFC1918中 127.0.0.0/8.）的地址作为源或目的地址。
（6）阻塞任意源路由包或任何设置了IP选项的包。
（7）保留、DHCP自动配置和多播地址也需要被阻塞。0.0.0.0/8 、169.254.0.0/16 、192.0.2.0/24 、224.0.0.0/4 、240.0.0.0/4。