泄水管过滤包施工方案

① 过滤水的过滤池如何修建

根据过滤池的规划设计施工分为以下步骤:
一、工程概况
二、编制依据
1、施工蓝图
2、现行安全、文明施工有关规范、规定；
3、《建筑工程施工质量验收统一标准》（GB50300-2001）；
4、《商品混凝土结构施工质量验收规范》（GB50204-2004）；
5、《商品混凝土泵送技术规程》（JGJ/T10-95）；
6、《城市污水处理厂工程质量验收规范》（GB50334-2002）；
7、《低合金高强度结构钢》（GB/T1591-2008）；
8、《钢结构焊缝外形尺寸》（JB7949-1999）；
三、施工部署
1、技术准备
2、施工人员安排
3、施工机具准备
木工电锯、钢管配直角扣件、脚手架、钢筋弯曲机及切割机、电钻；氧气乙炔、电焊、水泵、爬梯、手锤扳手、水准仪及臂架式泵车等。
4、施工进度计划
四、施工方案
1、第一次出水改造
2、土建施工
3、安装施工
4、第二次出水改造
过滤池的修建主要组成部分包括：
滤料层：是过滤池内的过滤材料，它是承担过滤功能的主要部分。
承托层：位于滤池的底部，由大颗粒材料组成的，主要作用是承托滤料，同时防止滤料流失，以免滤料进入底部的配水系统造成堵塞，同时保证反冲洗配水均匀。
排水系统：是将反冲洗水均匀地分配到整个滤池中。
反冲洗系统：反冲洗是恢复滤料层的工作能力。
过滤工艺包括过滤和反冲洗两个阶段。过滤阶段是废水由水管进入池内后，再流经滤料层和承托层，废水中的细小悬浮物和胶体物质被截留于滤料表面和内层空隙中，从而使废水得到净化。经过滤处理后的清液再由集水管收集后排出。反冲洗阶段是冲洗水通过配水系统进入池内，再流过承托层和滤料层，冲走沉积于滤料层中的污物，并夹带着污物进入反冲洗排水槽，排出池外。

② 包过滤技术的技术原理

包过滤技术(IP Filtering or packet filtering) 的原理在于利用路由器监视并过滤网络上流入流出的IP包，拒绝发送可疑的包。由于Internet 与Intranet 的连接多数都要使用路由器，所以Router成为内外通信的必经端口，Router的厂商在Router上加入IP 过滤 功能，过滤路由器也可以称作包过滤路由器或筛选路由器（Packet FilterRouter）。防火墙常常就是这样一个具备包过滤功能的简单路由器，这种Firewall应该是足够安全的，但前提是配置合理。然而一个包过滤规则是否完全严密及必要是很难判定的，因而在安全要求较高的场合，通常还配合使用其它的技术来加强安全性。
包过滤技术是指网络设备（路由器或防火墙）根据包过滤规则检查所接收的每个数据包，做出允许数据包通过或丢弃数据包的决定。包过滤规则主要基于IP包头信息设置，包括如下内容：
1、TCP/UDP的源或目的端口号
2、协议类型：TCP、UDP、ICMP等
3、源或目的IP地址
4、数据包的入接口和出接口
数据包中的信息如果与某一条过滤规则相匹配并且该规则允许数据包通过，则该数据包会被转发，如果与某一条过滤规则匹配但规则拒绝数据包通过，则该数据包会被丢弃。如果没有可匹配的规则，缺省规则会决定数据包是被转发还是被丢弃。
举例说明：如图所示，如果我们需要允许IP地址为192.168.0.1的电脑浏览网页（建立HTTP连接），允许IP地址为192.168.0.2的电脑与Internet建立FTP连接，不允许其他电脑与Internet通信，可以在路由器设置如下过滤规则：

1、允许源IP地址为192.168.0.1、目的端口号为80的数据包通过（HTTP的端口号为80）。
2、允许源IP地址为192.168.0.1、目的端口号为53的数据包通过（DNS的端口号为53，在浏览网页时通常需要进行域名解析）。
3、允许源IP地址为192.168.0.2、目的端口号为21的数据包通过（FTP的端口号为21）。
4、缺省禁止所有的其他连接。
包过滤规则允许Router取舍以一个特殊服务为基础的信息流，因为大多数服务检测器驻留于众所周知的TCP/UDP端口。例如，Telnet Service 为TCP port 23端口等待远程连接，而SMTP Service为TCP Port 25端口等待输入连接。如要封锁输入Telnet、SMTP的连接，则Router舍弃端口值为23、25的所有的数据包。
表9.1 一些常用网络服务和使用的端口 服务名称 端口号 协议 说明 ftp-data 20 tcp FTP数据 ftp 21 tcp FTP控制 telnet 23 tcp 如BBS smtp 25 tcp 发email用 time 37 tcp timserver time 37 udp timserver domain 53 tcp DNS domain 53 udp DNS tftp 69 udp gopher 70 tcp gopher查询 http 80 tcp www pop3 110 tcp 收email用 nntp 119 tcp 新闻组，usernet netbios-ns 137 tcp NETBIOS 名称服务 netbios-ns 137 udp NETBIOS 名称服务 netbios-dgm 138 udp NETBIOS 数据报服务 netbios-ssn 139 tcp NETBIOS Session服务 snmp 161 udp SNMP snmptrap 162 udp SNMP trap irc 194 tcp IRC网络聊天服务 ldap 389 tcp 轻型目录服务协议 https 443 tcp SSL加密 https 443 udp 典型的过滤规则有以下几种：允许特定名单内的内部主机进行Telnet输入对话、只允许特定名单内的内部主机进行FTP输入对话、只允许所有Telnet 输出对话、只允许所有FTP 输出对话、拒绝来自一些特定外部网络的所有输入信息。
有些类型的攻击很难用基本包头信息加以鉴别，因为这些独立于服务。一些Router可以用来防止这类攻击，但过滤规则需要增加一些信息，而这些信息只有通过以下方式才能获悉：研究Router选择表、检查特定的IP选项、校验特殊的片段偏移等。这类攻击有以下几种：
源IP地址欺骗攻击：入侵者从伪装成源自一台内部主机的一个外部地点传送一些信息包；这些信息包似乎像包含了一个内部系统的源IP地址。如果这些信息包到达Router的外部接口，则舍弃每个含有这个源IP地址的信息包，就可以挫败这种源欺骗攻击。
源路由攻击：源站指定了一个信息包穿越Internet时应采取的路径，这类攻击企图绕过安全措施，并使信息包沿一条意外(疏漏)的路径到达目的地。可以通过舍弃所有包含这类源路由选项的信息包方式，来挫败这类攻击。
残片攻击：入侵者利用IP残片特性生成一个极小的片断并将TCP报头信息肢解成一个分离的信息包片断。舍弃所有协议类型为TCP、IP片断偏移值等于1的信息包，即可挫败残片的攻击。
从以上可看出定义一个完善的安全过滤规则是非常重要的。通常，过滤规则以表格的形式表示，其中包括以某种次序排列的条件和动作序列。每当收到一个包时，则按照从前至后的顺序与表格中每行的条件比较，直到满足某一行的条件，然后执行相应的动作(转发或舍弃)。有些数据包过滤在实现时，“动作”这一项还询问，若包被丢弃是否要通知发送者(通过发ICMP信息)，并能以管理员指定的顺序进行条件比较，直至找到满足的条件。
对流进和流出网络的数据进行过滤可以提供一种高层的保护。建议过滤规则如下：
（1）任何进入内部网络的数据包不能把网络内部的地址作为源地址。
（2）任何进入内部网络的数据包必须把网络内部的地址作为目的地址。
（3）任何离开内部网络的数据包必须把网络内部的地址作为源地址。
（4）任何离开内部网络的数据包不能把网络内部的地址作为目的地址。
（5）任何进入或离开内部网络的数据包不能把一个私有地址（private address）或在RFC1918中 127.0.0.0/8.）的地址作为源或目的地址。
（6）阻塞任意源路由包或任何设置了IP选项的包。
（7）保留、DHCP自动配置和多播地址也需要被阻塞。0.0.0.0/8 、169.254.0.0/16 、192.0.2.0/24 、224.0.0.0/4 、240.0.0.0/4。