网络安全平时作业与复习提纲.doc

资源描述

网络安全平时作业与复习提纲正式版 1、描述五种基本安全技术的方法和作用。（第一章）P14 答： 1）.防火墙技术：内部网络(可信赖的网络)和外部网络(不可信赖的网络)之间的屏障，按照安全规则来控制数据包的进出。工作方式：过滤器：检查数据包的来源和目的地；数据包内容扫描：根据规定接收或拒绝数据包；数据包模式检查：是否符合已知“友好”数据包的位模式。 2）．加密技术：信息的重新组合，使得只有收发双方才能解码并还原信息的一种手段。目前，加密正逐步被集成到系统和网络中，如IETF正在发展的下一代网际协议IPv6。硬件方面，Intel公司也在研制用于PC机和服务器主板的加密协处理器。 3）.身份认证技术：防火墙是系统的第一道防线，用以防止非法数据的侵入，而安全检查的作用则是阻止非法用户。认证方式：密码、人体生理特征(如指纹)的识别、智能IC卡或USB盘 4）.数字签名技术：证明消息确实是由发送者签发的；验证数据或程序的完整性 5）.内容检查技术：反病毒软件可以清除E-mail病毒；完善防火墙可以对付新型Java和ActiveX病毒 2、描述替代密码和置换密码所使用的加密方法。（第二章）P20 替代密码：明文中的每一个字符被替换为另外一个字符得到密文；逆替换恢复明文置换密码：重排明文的字母顺序得到密文；逆重排恢复明文 3、描述D-H算法的过程与作用。（第四章）P57 用于密钥分配，其安全性基于计算离散对数的困难性。 DH算法过程： 1）、相互产生密钥对 2）、交换公钥 3）、用对方的公钥和自己的私钥运行DH算法得到一个密钥X 4）、A产生一个对称加密密钥加密数据，同时用密钥X加密这个对称的加密密钥并发送给B 5）、B用密钥X解密对称的加密密钥，得到对称的加密密钥 6）、B用这个对称的加密密钥来解密A的数据 4、描述PGP系统的过程与作用。（第四章） PGP(Pretty Good Privacy)：基于RSA与IDEA的开源的加密邮件软件发送方 •生成新的IDEA密钥k（对称） •用对方RSA公钥加密k，用k加密邮件信息m，一起发送接收方 •用本方RSA私钥解密得到k •用k解密邮件信息 5、描述同步洪水攻击（SYN FLOOD）的目的、所利用的协议机制和攻击方法。（第五章）P79 目的：使目标主机无法对正常的连接请求进行应答利用：三次握手协议的实现机制——主机在接收到SYN请求时，必须在侦听队列中对此连接请求保持75秒的跟踪；由于资源有限，主机能够打开的连接数有限。方法：攻击者向主机发送多个SYN请求，且不应答对其返回的SYN+ACK包，使其侦听队列被阻塞，从而无法接受其它新的（正常的）连接请求，直到部分打开的连接完成或者超时。 6、描述Smurf攻击的目的、所利用的协议机制和攻击方法。（第五章）P90 目的：使大量通信充斥目标系统，发生DoS(拒绝服务) 利用：广播机制和ICMP响应优先机制手段：攻击者伪装成目标主机(IP地址欺骗)，向一个具有大量主机的广播地址（称为反弹站点）发送一个欺骗性ping分组(源地址就是攻击者希望攻击的系统)，使广播地址网段中的所有主机都向目标主机发送echo响应，导致目标系统被大量的echo信息吞没，阻止了该系统为正常请求提供服务。 7、比较IPSec的两种操作模式的异同（保护对象、安全技术、实施要求等）。（第6章）P121 答：传输模式：只保护IP包的有效负载，并不修改原IP协议报头，容易受到流量监视和分析；可使用认证和加密技术（AH认证， ESP认证和加密）；要求收发端点必须支持对IPSec协议的处理。隧道模式：保护原来的整个IP包，并生成新的IP协议报头，同时保护原IP包内数据和报头信息；隐藏原IP协议报头可避免受到流量监视和分析；可使用认证和加密技术（AH认证， ESP认证和加密）；允许在网关设备或在收发端点完成对IPSec协议的处理，如果网关设备支持IPSec的实施，则不需修改子网内机器的系统或应用程序。 8、描述状态检测防火墙的思想与方法。（第10章）P197 答：思想：基于包过滤技术，增加包和包之间的安全上下文检查，利用连接的状态信息做出决策方法：包在发送前，先在检测模块中检测，其信息保留在为评价后续连接企图的动态状态表(库)中，为后续连接的处理策略提供处理依据 9、描述X.509强认证程序的实现机制。（第8章）答：实现机制：引入认证中心(Certificate Authority，CA，可信第三方) ，为每位网络用户签发电子证书（将每用户公钥与个人身份结合的数据，使用CA的私钥签名；对用户公钥、用户身份和CA签名实现绑定及以目录形式发布，合称电子证书或数字证书）。用户间认证时使用电子证书，验证流程如下，其中公钥环即CA目录服务器；明文为某约定输入集合，如对方的名字，时间等。 10、描述检测病毒的主要方法。（第14章）P306 答：特征代码法：选定好的病毒特征代码（程序文件中的若干连续字节串）是病毒扫描程序的精华所在（代表性与效率兼顾），无法检测未知病毒、多态病毒、在扫毒前从宿主剥离代码的病毒；校验和法：1）保存正常文件的校验和，2）在文件使用前按照文件现有内容重新算校验和，3）与原来保存的校验和进行比较，确认文件是否被感染可发现未知病毒；但不能识别病毒类和病毒名称，而且不能区分文件的正常变动，且产生误报行为检测法：监测病毒的共同的特殊的行为（复制、隐蔽、修改系统设置、占用内存、以及争夺系统控制等）；可发现未知病毒，但不能识别病毒类和病毒名称，并可能产生误报软件模拟法：针对多态形病毒，使用软件模拟系统环境，引诱和监视病毒的运行以实现检测和识别。是改进的特征代码法比较法：用原始备份与被检测的数据进行比较；是笨重的校验和法分析法：针对新病毒的研究时使用（代码分析和动态跟踪）题型与分值 1、单项选择题（每题2分，共30分） 2、填空题（每空2分，共22分） 3、简答题（每题6分，共18分） 4、综合题（每题10分，共30分）（包括若干小问题）提纲：（答案是本人总结的答案，如若有错，概不负责）第1章 1、基本安全技术第2章 1、加密系统模型 Dk2(E k1(M))=M，M为明文，E k1为加密（encrypt）算法，Dk2为解密（decode）算法 2、替代密码和置换密码，密钥的作用密钥用于对明文进行加密和对密文进行解密。 3、对称密码体系：概念和优点对称密钥密码体系也叫密钥密码体系，它是指消息发送方和消息接收方必须使用相同的密钥，该密钥必须保密。发送方用该密钥对待发消息进行加密，然后将消息传输至接收方，接收方再用相同的密钥对收到的消息进行解密。优点是计算开销小，算法简单，加密解密速度快，是目前用于信息加密的主要算法。第3章 1、概念及通用算法 MD5、SHA、MAC 第4章 1、公钥密码体系：概念、安全基础和优点非对称密码体制也叫公钥加密技术，该技术就是针对私钥密码体制的缺陷被提出来的。在公钥加密系统中，加密和解密是相对独立的，加密和解密会使用两把不同的密钥，加密密钥(公开密钥)向公众公开，谁都可以使用，解密密钥(秘密密钥)只有解密人自己知道，非法使用者根据公开的加密密钥无法推算出解密密钥，顾其可称为公钥密码体制。 RSA密码系统的安全性：基于大数分解的困难性（陷门单向函数：求一对大素数的乘积很容易，但要对这个乘积进行因式分解则非常困难）陷门单向函数是当不知道陷门信息的情况下求逆困难，而知道陷门的情况下求逆容易的函数。非对称密码体制的优点在于：首先，在多人之间进行保密信息传输所需的密钥组和数量很小；第二，密钥的发布不成问题；第三，公开密钥系统可实现数字签名。缺点：公开密钥加密比私有密钥加密在加密／解密时的速度慢。 2、 RSA算法：加密和签名加密：首先将消息m分成大小比n小的数据分组，对分组mi进行加密：公钥加密算法中使用最广的是RSA。RSA使用两个密钥，一个公共密钥，一个专用密钥。如用其中一个加密，则可用另一个解密，密钥长度从40到2048bit可变，加密时也把明文分成块，块的大小可变，但不能超过密钥的长度，RSA算法把每一块明文转化为与密钥长度相同的密文块。 RSA数字签名算法，包括签名算法和验证签名算法。首先用MD5算法对信息作散列计算。签名的过程需要用户的私钥，验证过程需要用户的公钥。A用签名算法将字符串形式的消息处理成签名；B用验证签名算法验证签名是否是A对消息的签名，确认是A发送的消息；消息没有被篡改过；A一定发送过消息。 3、 Diffie-Hellman算法：密钥交换 Diffie-Hellman:一种确保共享KEY安全穿越不安全网络的方法，它是OAKLEY的一个组成部分。Whitefield与Martin Hellman在1976年提出了一个奇妙的密钥交换协议，称为Diffie-Hellman密钥交换协议/算法(Diffie-Hellman Key Exchange/Agreement Algorithm).这个机制的巧妙在于需要安全通信的双方可以用这个方法确定对称密钥。然后可以用这个密钥进行加密和解密。但是注意，这个密钥交换协议/算法只能用于密钥的交换，而不能进行消息的加密和解密。双方确定要用的密钥后，要使用其他对称密钥操作加密算法实际加密和解密消息。第5章 1、源路由欺骗：方法和目的伪造具有假的源IP地址的包；伪装可信主机攻击服务器 2、死亡之ping：方法和目的产生单个包的长度超过了IP协议定的包长度；这很容易导致系统进入非稳定状态，是一种典型的缓存溢出攻击。 3、泪滴：方法和目的重叠(Overlap)：一种违规操作，某IP包被切割后，在各以太网帧分片中存在重复的部分（既在前一分片，又在后一分片）协议实现时的漏洞：如果存在重叠段的分片包的长度小于重叠部分长度(后面的分片整个落入前面的分片中) ，内核将无法进行正常处理 4、 LAND：方法和目的将TCP包的源地址和目的地址都设置成目的主机的IP地址，源端口和目的端口都设置成相同，但是对应的端口所提供的服务器必须是激活的。LAND攻击可以非常有效地使目标机器重新启动或者死机。 5、 IP欺骗：方法和目的入侵者伪造具有假的源IP地址的包，该地址是目标主机的可信任地址，利用基于IP地址认证的应用程序，其结果是使未授权的远端用户进入带有防火墙的主机系统。 6、同步洪水：方法和目的 7、 UDP FRAGGLE / ICMP Smurf：方法和目的 8、 ARP缓存中毒/ DNS欺骗：方法和目的 ARP攻击 ARP重定向目的：恶意主机假冒路由器，导致主机发送数据到错误的目的（恶意主机窃听或引发拒绝服务）利用：ARP响应与ARP请求之间没有特定关系手段：缓存中毒(Cache Poisoning)，发送虚假ARP响应，包含恶意主机的硬件地址对路由器IP地址的映射。这样所有发往路由器的包都将送往恶意主机 DNS欺骗目的：欺骗基于域名认证的主机利用：目标主机信任DNS的域名查询结果手段：控制一台Internet上的授权DNS服务器，或至少能修改这台服务器的DNS记录修改DNS记录，映射目标主机的信任者的域名为入侵主机的IP 入侵主机直接连接目标主机，欺骗其信任服务第6章 1、 VPN：概念和优点、可实现哪些安全基本要素 VPN提供一种在公共网络上实现网络安全保密通信的方法。通过基于共享的IP网络，VPN为用户远程接入，外部网和内联网连接提供安全而稳定的通信隧道，而其费用比专用租用线路低得多。VPN通过在共享网络当中开挖一条保密隧道的技术来仿真一条点对点连接，用于发送和接受加密的数据。VPN的高级安全特性可以有效保护在隧道中传输的数据。 VPN网络中的通信信息是保密的，实现安全机制：数据加密数据源认证密钥的安全产生和及时更新分组重放攻击和欺骗攻击保护 2、安全关联：概念和作用安全关联（英语：Security association，缩写为SA），又译为安全性关联、安全群组、安全参数组合，为了提供安全的通讯环境，在两个网络实体之间，所建立起的共享网络安全属性。一个安全关联中，在网络连线前，要先交换网络资料参数，包含了加密模式与加密算法，安全加密金钥等。网络安全关联与金钥管理协定（Internet Security Association and Key Management Protocol，缩写为ISAKM，或ISAKMP）提供了安全关联的基础框架。互联网金钥交换提供了金钥交换的机制。 3、 IPSec的两种操作模式 4、 AH和ESP的作用认证报头协议(AH)提供数据完整性、数据源身份验证服务封装安全有效载荷(ESP)提供机密性、数据源的身份验证、数据的完整性和抗重播服务 5、 IKE的作用 IKE(Internet Key Exchange，ISAKMP/Oakley)在两个实体之间建立一条经过认证的安全隧道，并对用于IPSec的安全关联进行协商。第7章 1、 SSL的作用和体系结构位于TCP/IP和应用层协议之间，为应用层数据提供认证和加密，是两个进程之间的隧道 SSL两层协议结构： SSL记录协议，规定数据传输格式 SSL握手协议(包括改变密码规范协议和告警协议)，实现服务器和客户之间的相互认证、协商加密和MAC算法、协商加密密钥 2、 SSL握手协议的工作过程 1）客户端向服务器发送一个开始信息“Hello”以便开始一个新的会话连接； 2）服务器根据客户的信息确定是否需要生成新的主密钥，如需要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需的信息； 3）客户根据收到的服务器响应信息，产生一个主密钥，并用服务器的公开密钥加密后传给服务器； 4）服务器回复该主密钥，并返回给客户一个用主密钥认证的信息，以此让客户认证服务器。第8章 1、身份认证的基本方法及各自的特点基于用户知道什么的身份认证：口令用户输入用户标识和口令(或PIN码)à系统对输入的口令与此前为该用户标识存储的口令进行比较à如果匹配，该用户就可得到授权并获得访问权基于用户拥有什么的身份认证：令牌 • 记忆令牌(磁卡、ATM卡) 只存储信息，和身份识别码 (口令)一起使用 • 智能卡采用内置微处理器，支持多种接口和协议，支持挑战应答式的认证基于用户是谁的身份认证：生物特征识别 • 生理属性(如指纹、视网膜识别等) • 行为属性(如声音识别、手写签名识别等) 2、 Kerberos系统模型的技术基础 Kerberos是基于对称密码学（采用DES或其他算法），服务器与每个实体分别共享（对称）密钥，该密钥便是实体身份的证明。 3、 X.509的简单认证和强认证的技术基础简单认证(Simple Authentication)程序：使用最常见的口令(Password)认证，安全度较低强认证(Strong Authentication)程序：把用户的公开密钥封装成证书，使用证书进行认证，高安全度 4、数字证书的使用数字证书颁发过程一般为：用户首先产生自己的密钥对，并将公共密钥及部分个人身份信息传送给认证中心。认证中心在核实身份后，将执行一些必要的步骤，以确信请求确实由用户发送而来，然后，认证中心将发给用户一个数字证书，该证书内包含用户的个人信息和他的公钥信息，同时还附有认证中心的签名信息。用户就可以使用自己的数字证书进行相关的各种活动。数字证书由独立的证书发行机构发布。数字证书各不相同，每种证书可提供不同级别的可信度。可以从证书发行机构获得您自己的数字证书。第10章 5、堡垒主机：概念和作用通常是指那些在安全方面能够达到普通工作站所不能达到程度的计算机系统。作用：最大程度利用操作系统所提供的资源保护、审计和认证机制等功能；删除对完成既定任务不需要的应用和服务来减少成为受害目标的机会。一般用作高度安全的计算机网关。 6、防火墙的概念和工作方法它是一种位于内部网络与外部网络之间的网络安全系统。一项信息安全的防护系统，依照特定的规则，允许或是限制传输的数据通过。防火墙是在内部网和外部网之间实施安全防范的系统。可认为它是一种访问控制机制，用于确定哪些内部服务对外开放，以及允许哪些外部服务对内部开放。它可以根据网络传输的类型决定IP包是否可以进出企业网、防止非授权用户访问企业内部、允许使用授权机器的用户远程控制企业内部、管理企业内部人员对Internet的访问。防火墙主要提供以下四种服务： (1) 服务控制：确定可以访问的网络服务类型。 (2) 方向控制：特定服务的方向流控制。 (3) 用户控制：内部用户、外部用户所需的某种形式的认证机制。 (4) 行为控制：控制如何使用某种特定的服务。 7、技术：包过滤、应用代理、电路级网关、状态包检测包过滤技术：根据包的头部信息来决定是否要将包继续传输，大部分的包过滤器只过滤最有用的数据域。应用代理技术：禁止所有通过防火墙的直接连接在协议栈的最高层（应用层)检查每一个包，根据连接细节（识别应用程序的命令等）实现各种安全策略内建代理功能：在防火墙处终止客户连接，并初始化一条到受保护内部网络的新连接，将内部和外部系统隔离开来，从外面只看到代理服务器，而看不到任何内部资源电路级网关技术： • 监视两主机建立连接时的握手信息，判断该会话请求是否合法（代理连接发起阶段的信息）；一旦会话连接有效，该网关建立两个TCP连接（保护内部资源），复制、传递数据，对会话建立后传输的具体内容不再作进一步地分析 • 包过滤型防火墙允许内外计算机系统建立直接联系，而电路级网关无法IP直达（两个TCP连接）状态包检测技术： • 基于包过滤技术，状态包检测模式增加了包和包之间的安全上下文检查，利用连接的状态信息做出决策(网络层) • 包在发送前，先在检测模块中检测，其信息保留在为评价后续连接企图的动态状态表(库)中，为后续连接的处理策略提供处理依据 • 允许直接连接内部、外部主机系统 8、体系结构的特点和示意图：双重宿主、屏蔽主机、屏蔽子网双重宿主：围绕至少有两个网络接口(NIC)的计算机构筑，该计算机充当网络之间的代理服务器（而非路由器），禁止直接转发功能(防火墙内部、外部系统之间的IP通信被完全阻止)。屏蔽主机：外部网络——屏蔽路由器——内部网络堡垒主机——内部网络系统屏蔽路由器配置策略： • 外->内，所有通信由堡垒主机代理转发 • 内->外，允许某些服务直接经由路由器的数据包过滤后转发，某些服务必须由堡垒主机代理转发或不允许任何服务直接经由路由器转发，所有服务必须由堡垒主机代理屏蔽子网：外部网络——外部屏蔽路由器——边界网络———堡垒主机——内部路由器———内部网络系统（图10-10所示）边界网络：隔离堡垒主机和内部网络，减轻堡垒主机被攻破造成的后果；放置不可靠的、较脆弱的服务内部网络：提供高安全要求的服务第11章 1、动态安全模型动态安全模型——P2DR模型以安全策略（policy）为核心，运用保护（protection）措施（身份认证、防火墙等），利用检测（detection）工具（漏洞评估、入侵检测），通过响应（response）机制将系统调整到“最安全”状态。 2、入侵检测的过程模型及该过程的各主要步骤入侵检测(Intrusion Detection)：通过从计算机网络或计算机系统中收集的信息及对其的分析，从中发现违反安全策略的行为和遭到攻击的迹象，同时做出响应。入侵检测的一般过程：信息收集、信息(数据)预处理、数据的检测分析、根据安全策略做出响应。 • 信息源：收集到的数据，系统的审计数据或网络数据包 • 数据预处理：数据转化和数据简约 • 检测模型：输入预处理后的数据，根据检测算法，输出是否遭到入侵的判断结果 • 响应处理：综合安全策略和检测结果作出反应，采取防御措施 3、入侵检测系统的数据来源：基于主机或网络基于主机：以主机上的系统日志、应用程序日志等审计记录文件作为数据源基于网络：以原始的网络数据包作为数据源 4、入侵检测系统的分析技术：正常行为轮廓或攻击签名的定义异常检测：定义正常行为模式，判断当前的系统或用户的行为是否偏离误用检测：定义入侵行为模式（攻击签名），判断这些攻击签名是否出现第14章 1、病毒的含义，病毒程序和正常程序的区别计算机病毒是一个程序，一段可执行码。就像生物病毒一样，具有自我繁殖、互相传染以及激活再生等生物病毒特征。计算机病毒有独特的复制能力，它们能够快速蔓延，又常常难以根除。它们能把自身附着在各种类型的文件上，当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。病毒程序：一般比较小，在几百到几千字节之间并非完整的程序，必须依附在其它程序上没有文件名有感染性，能将自身复制到其它程序上在用户完全不知道的情况下执行在一定条件下有破坏作用正常程序：一般比较大是完整的程序，独立的存在于磁盘上有自己的文件名和扩展名，如COM、EXE 不能自我复制根据用户的命令执行无破坏作用 2、病毒的特点感染性(传染性)：根本属性，可以把自身复制到其它程序（宿主）中潜伏性(隐蔽性)：依附寄生在其他程序中；感染后并不立即发作，而是要潜伏一段时间（潜伏期）。可触发性：因某个事件出现，诱发病毒进行感染或进行破坏破坏性：可破坏文件、数据、主板、系统等。衍生性：病毒变种多样性：病毒多种多样 3、病毒检测技术 A 第二章万能杆件的构件一般分为三大类，分别是杆件、连接板、缀板。贝雷梁主要有桁架、桁架销、加强弦架、横梁、支撑连接构件等组成。桁架结构图常用的钢管支架有扣件式、螺栓式和承轴式三种连接方式。常用的扒杆种类有独脚扒杆、人字扒杆、摇臂扒杆和悬臂扒杆等。龙门架在构造上由金属结构、机构以及电气与控制系统组成。浮吊按船体机动性能可分为自航式、非自航式两类。按起重机性能有可分为回转式浮吊与非回转式浮吊. 单梁架桥机机轴重轻，对桥头线路无特殊要求，架梁时稳定性好；能依靠自身装置装梁、自行运梁，直接喂梁;机臂能升降、摇头、前后伸缩；可以在曲线上和隧道口架梁。混凝土施工设备有混凝土搅拌机、混凝土输运设备、混凝土振捣器等。混凝土搅拌机是将一定配合比的水泥、沙石、水和外加剂、掺和料拌制成具有一定匀质性、和易性要求的混凝土拌和物的机械设备。强制式混凝土搅拌机的搅拌原理是：物料由于处于不同位置和角度的旋转叶片强制其改变运动方向，产生交叉流而进行搅拌. 自落式混凝土搅拌机的搅拌原理是物料由固定在旋转搅拌筒内的叶片带至高处,靠自重力下落而进行搅拌。混凝土搅拌站是由搅拌机及供料、储料、配料、出料、控制等系统及结构部件组成。混凝土搅拌站主要由物料供给系统、称量系统、搅拌主机系统和控制系统等四大部分组成. 擦入式振捣器主要由振动棒、软轴和电动机三部分组成。第三章围堰的作用主要是防水和围水，有时还起着支撑施工平台和基坑坑壁的作用。围堰有土围堰，土袋围堰,钢板桩围堰，钢筋混凝土板桩围堰，竹、铅丝笼围堰，套箱围堰,双壁钢围堰等多种。土围堰适用于水深1。5米以内，流速小于0。5m/s，河床渗水性小的河流。土袋围堰适用于水深3m以内，流速小于1。5m/s,河床土质渗水较小的情况. 井点法排水注意事项：（1）降低成层土中地下水位时，应尽可能将滤水管埋设在透水性较好的土层中；井点管的下端滤水长度应考虑渗水土层的厚度,但不得小于1米。（2）在水位降低的范围内设置水位观测孔，其数量视工程情况而定. （3）应对整个井点孔位加强维护和检查,保证不间断地进行抽水。 (4）应考虑孔水位降低区域构筑物受其影响而可能产生的沉降,并应做好沉降观测，必要时采取防护措施。浇筑钢筋混凝土基础时，应做好与台身、墩身的接缝联结，一般要求如下: （1）混凝土基础与混凝土墩身的接缝，周边应预埋直径不小于16mm的钢筋或其他铁件，埋入与露出的长度不应小于钢筋直径的30倍，间距不大于钢筋直径的20倍。（2）混凝土或浆砌片石基础与浆砌片石墩身的接缝，应预埋片石作。片石的厚度不应小于15cm,其强度要求不低于基础或墩身混凝土或砌体的强度。沉入桩是通过气锤或振动打桩机等方法将各种预先制好的桩沉入或打入地基中所需深度. 沉入桩制作（1）钢筋混凝土桩内的纵向主钢筋如需接头时，应采用对焊接头。 (2）螺旋筋或箍筋必须箍紧主筋,与主筋交接处应用点焊焊接或用铁丝扎结牢固。（3）预应力混凝土的纵向主筋采用冷拉钢筋且需焊接时,应在冷拉前采用闪光接触对焊焊接。（4）桩常用法兰盘连接时，法兰盘应对准位置焊接在钢筋或预应力钢筋上，对先张法预应力混凝土桩，法兰盘应先焊接在力筋上，然后进行张拉。预制钢筋混凝土桩制作要求：（1）钢筋混凝土桩的收缩裂缝宽度不得超过0。2mm,深度不得超过20mm;裂缝长度不得超过1/2柱宽。（2）预应力混凝土桩桩身不得有裂缝。 (3）桩表面应无蜂窝、麻面，若因特殊情况出现表面蜂窝时，蜂窝深度不得超过5mm，每面蜂窝面积不得超过该面总面积的0。5％。（4）有棱角的桩，棱角碰损深度应在5mm以内且每10m的边棱角上只有一处破损，在一根桩上边棱角总长度不得大于500mm。（5)预制桩出场钱应进行检验,出场时应具备出场合格检验记录。沉入桩的施工方法主要有:锤击沉桩、振动沉桩、射水沉桩以及静力压桩等。静力压桩机：适用于不能有噪声和振动影响邻近建筑物的软土区;桩的断面宜小于等于40cm*40cm或直径45cm以内管桩优缺点：无噪声、无振动,桩配筋简单，短桩可接，便于运输。只适用松软地基，需要塔架设备;运输安装不便沉桩的一般工序为：下沉试桩→冲击试验、垂直静荷载试验→决定桩的入土深度、沉桩方法及沉桩机具→平整场地、架立设备、制作预制桩等准备工作→桩位放样→吊桩、插桩、沉桩→规定的休止时间、观测、记录→必要时进行试验检验、矫正→截凿桩头→修筑承台。灌注桩是采用就地成孔的方法来完成的一种深基层。其施工方法是：先用机械或人工在土中做成桩孔,然后在孔内放入钢筋笼骨架,再灌注桩身混凝土而形成桩身，最后在桩顶浇筑承台。钻孔灌注桩成孔方法正循环回转法：利用钻具旋转切削土体钻进，泥浆泵将泥浆压进泥浆笼头，通过钻杆中心从钻头喷入钻孔内，泥浆挟带钻渣沿钻孔上升，从护筒顶部排浆孔排出至沉淀池，钻渣在此沉淀而泥浆流入泥浆池循环使用. 反循环回转法：在泥浆输送方面与正循环发正好相反，即泥浆输入钻孔内，然后从钻头的钻杆下口吸进,通过钻杆中心排出至沉淀池内. 钻孔故障： 1.塌孔的表征是孔内水位突然下降又回升，孔口冒细密水泡，出渣量显著增加而不见进尺，钻机负荷显著增加等。 2.钻孔偏斜、弯曲，常由地质松软不均、岩面倾斜、钻架位移、安装未平或遇探头石等原因造成. 3。扩孔与缩孔扩孔多系孔壁小坍塌或钻锥摆动过大造成，应针对原因采取防治措施.钻锥缩孔常因地层中含遇水能膨胀的软塑土或泥质页岩造成. 4。钻孔漏浆遇护筒内水头不能保持时，宜采取护筒周围回填土夯筑密实、增加护筒沉埋深度、适当减小护筒内水头高度、增加泥浆相对密度和黏度、倒入黏土使钻锥慢速转动、增加孔壁粘质土层厚度等措施。深水灌注桩施工流程一般为：插打钢管桩→搭设钻孔施工平台→振动下沉钢护筒→钻孔灌注桩施工→施工平台拆除→首节钢吊箱安装→钢吊箱接高→钢吊箱封底→干施工承台。整体吊装模板的组装方法：根据墩台高度分层支模和灌筑混凝土，每层的高度应视墩台尺寸和模板数量.灌筑混凝土的能力以及吊装能力而定,一般宜为2～4m。用吊机吊起大块板扇，按分层高度安装好第一层模板,其组装方法与低墩、台组装模板的方法相同。模板安装后在灌筑第一层混凝土时,应在墩、台身内预埋支承螺栓,以支承第二层模板和安装脚手架。整体吊装模板的有是：安装时间短，施工进度快，大大缩短工期,不留工作缝;将拆装模板的高空作业改为平地操作，施工安全；模板刚度大，可少设拉筋，节约钢材；可利用模板外框架作简易脚手架；结构简单，装拆方便，可重复使用。缺点是需要一套吊装设备，且起吊质量大。组合钢模板的拼接原则：（1)尽量使用规格最大的钢模板，可使模板块数少，拼接少，节省连接和文承配件，减少装拆工作量，增强模板整体刚度。（2）对于构造上无特殊要求的转角,可使用连接角模代替阳角模板.阴角模板宜用于长度较大的转角处. （3）配板时应将钢模板的长度沿着墙、柱、墩台的高度方向和梁的长度方向排列，以利于用长度规格较大的钢模板和增大钢模板的支承跨度. （4）钢模板的制作偏差和拼接安装误差,一般板长4m以内可不考虑，超过4m,则每4。5m留3~5mm的富余,一般可在安装端头时统一处理。 (5)选择连接点和支撑点位置时，应尽量利用材料和地形，以便于安装操作与达到美观要求。混凝土振捣时应符合下列规定： 1。适用插入式振动器时，移动间距不应超过振动器作用半径的1。5倍；与侧模应保持50~100mm的距离；插入下层混凝土50~100mm；每一处振动完毕后应边振动边徐徐提出振动棒；应避免振动棒碰撞模板、钢筋及其他预埋件。 2.表面振动器的移位间距,应以使振动器平板能覆盖已振实部分100mm左右为宜。 3.附着式振动器的布置距离,应根据构造物形状及振动器性能等情况并通过试验确定。 4.对每一振动部位，必须振动到该部位混凝土密实为止。密实的标志是混凝土停止下沉，不再冒出气泡,表面呈现平坦、泛浆. 第六章悬壁浇筑是采用移动式挂篮作为主要施工设备，以桥墩为中心，对称向两岸利用挂篮逐段浇筑梁段混凝土，待混凝土达到要求强度后，张拉预应力束，再移动挂篮，进行下一节段的施工. 挂篮是一个能沿着轨道行走的活动脚手架，是悬臂浇筑施工的主要机具. 悬臂浇筑梁段混凝土时应注意以下几点: (1）挂篮就位后，安装并校正模板吊架，此时应对浇筑预留梁段混凝土进行抛高,以使施工完成的桥梁符合设计高程。 (2）模板安装应核准中心位置及高程，模板与前一段混凝土面应平整密贴。（3）安装预应力预留管道时，应与前一段预留管道接头严密对准，并用胶布包贴，渗入管道。 (4）浇筑混凝土时，可以从前端开始,应尽量对称平衡浇筑。 (5）在设计混凝土配合比时，一般加入早强剂或减水剂，以提高混凝土早期强度,从而加快施工速度. 结构体系转换施工应注意以下几点： (1)结构由双悬臂状态转换成单悬臂受力状态时，梁体某些部位的弯矩方向发生转换。所以在拆除梁墩锚固前，应按设计要求，张拉一部分或全部布置在梁体下部的正弯矩预应力束。对活动支座还需保证解除临时固结后的结构稳定，采取措施限制单悬臂梁发生过大纵向水平位移. (2）梁墩临时锚固的放松，应对称进行，坚持均衡原则。在放松前应测量各梁段高程,在放松过程中，注意各梁段的高程变化,如有异常情况,应立即停止作业，找出其中原因,研究应对措施,以确保施工安全. （3)对超静定结构，需考虑钢束张拉、支座变形、温度变化等因素引起的结构次内力. （4)在结构体系转换中,临时固结解除后，将梁落于正式支座上，并按高程调整支座高度及反力。合龙段施工：（1)合龙段长度在满足施工操作要求的前提下，应尽量缩短,一般采用1.5～2.0m。（2)一般宜选择在低温环境下合龙，遇夏季应在晚上合龙，并用草袋等覆盖，还要加强接头混凝土养护,使混凝土早期结硬过程中处于升温受压状态。（3）合龙段混凝土中宜加入减水剂、早强剂，以便早达到设计要求强度，及时张拉预应力束筋,防止合龙段混凝土出现裂缝. (4)合龙段采用临时锁定措施，采用劲性型钢或预制的混凝土柱安装在合龙段上下部作支撑，然后张拉部分预应力束筋,待合龙段混凝土达到要求强度后，张拉其余预应力束筋，最后再拆除临时锁定装置. （5)为保证合龙段施工时混凝土始终处于稳定状态，在浇筑之前各悬臂端应附加与混凝土质量相等的配重,加配重量依桥轴线对称加载，按浇筑重量分级卸载。顶推施工是在沿桥纵轴方向的台后设置预制场地，分节段预制,并用纵向预应力筋将预制节段与施工完成的梁体练成整体，然后通过水平千斤顶施力，将梁体向前顶推出预制场地。之后继续在预制场地进行下一节段梁的预制，循环操作直至施工完成。顶推法施工的特点（1）顶推法可以使用简单的设备建造长大桥梁，施工费用低，施工平稳无噪声,可在水深、山谷和高桥墩上采用,也可在曲率相同的弯桥和坡桥上采用。（2）主梁分段预制，连续作业,结构整体性好;由于不需要大型起重设备，所以施工节段的长度一般可取用10~20m。（3）桥梁阶段固定在一个场地预制，便于施工管理改善施工条件，避免高空作业.同时，模板、设备可多次周转使用,在正常情况下，节段的预制周期7～10d。（4）顶推法施工时，施工阶段的梁的受力状态与运营时期的受力状态差别较大，因此在梁截面设计和布索时要同时满足施工与运营的要求,由此而造成的用钢量较高；在施工时也可采用加设临时墩，设置前导梁和其他措施，用以减少施工内力。 (5）顶推法施工适用于等截面梁，当桥梁跨径较大时,选用等截面梁会造成材料用量的不经济，也增加施工难度，所以顶推法施工宜用于中等跨径的桥梁,一般以500~600m为宜。 B 梁式桥受力特点为主梁受弯优点:采用钢筋砼建造的梁桥能就地取材、工业化施工、耐久性好、适应性强、整体性好且美观；这种桥型在设计理论及施工技术上都发展得比较成熟。缺点：结构本身的自重大，约占全部设计荷载的30%至60％，且跨度越大其自重所占的比值更显著增大，大大限制了其跨越能力。拱式桥受力特点为拱肋承压、支承处有水平推力.优点：跨越能力较大；与钢桥及钢筋砼梁桥相比，可以节省大量钢材和水泥；能耐久，且养护、维修费用少;外型美观;构造较简单,有利于广泛采用.缺点：由于它是一种推力结构，对地基要求较高；对多孔连续拱桥，为防止一孔破坏而影响全桥，要采取特殊措施或设置单向推力墩以承受不平衡的推力，增加了工程造价；在平原区修拱桥，由于建筑高度较大，使两头的接线工程和桥面纵坡量增大，对行车极为不利。桥梁分类。多孔跨径总长L（m）。单孔跨径（L0) 特大桥.L≥500m。L0≥100m 大桥。100m≤L＜500m.40m≤L0＜100m 中桥。30m＜L＜100m。20m≤L0＜40m 小桥。8m≤L≤30m。5m≤L0＜20m #桥跨结构：包含主要承重结构、纵横向联结系、拱上建筑、桥面构造和桥面铺装、排水防水系统，变形缝以及安全防护设施等部分. 下部结构，由桥墩、桥台、墩台基础几部分组成。伸缩缝：在桥跨上部结构之间，或桥跨上部结构与桥台端墙之间，设有缝隙保证结构在各种因素作用下的变位。桥梁全长：对于梁式桥而言，桥梁两个桥台侧墙或八字尾端间的距离L，称为桥梁全长（无桥台的桥梁为桥面系行车道长度）。桥梁总长：通常把两桥台台背前缘间距离L1称为桥梁总长。净跨径:设计洪水位线上相邻两桥墩(或桥台）的水平净距l0称为桥梁的净跨径。总跨径：各孔净跨径的总和,称为桥梁的总跨径。桥梁的总跨径反映它排泄洪水的能力. 计算跨径:桥跨结构两支点间的距离l，称为计算跨径。桥跨结构的力学计算是以计算跨径为准的。

展开阅读全文