端口策略论文

端口策略论文（精选11篇）

端口策略论文 篇1

0引言

随着国民经济的不断发展,社会信息化程度随着互联网的发展逐渐的普及,人们在日常生产和生活中对网络的依赖性逐渐增强,然而,计算机网络信息安全问题也越来越严峻,成了目前信息化应用存在的最主要的问题,因此,必须加大对计算机网络信息技术安全的研究,找出影响计算机网络信息安全的隐患,在此基础上找出原因,并做好相应的防护措施,只有这样才能保障计算机网络信息的安全,避免受到不法分子的入侵,使人们在使用过程中能够放心使用,保证人们的信息不被泄露,可见加大对计算机网络信息安全的研究具有重要的现实意义。

1计算机网络信息安全概述

传统的计算机网络只是简单的实现硬件设备的对接,并且开发出相应的管控软件就可以,而随着现代化计算机网络的建立, 在传统的计算机网络功能的基础上还要满足广大用户对网络上资源的获取以及实现共享的服务。所以,解决现在的计算机网络信息安全问题时,需要对网络中所有计算机的信息安全进行周密的考虑,才能实现真正意义上的计算机网络信息安全。

所谓的计算机网络信息安全,国际标准化组织给出的定义如下:实现计算机网络信息安全,需要计算机网络防护的包括网络中所有计算机的软件、硬件以及所有用户的信息和共享的数据。 要保证这些信息不受到意外或者故意的破坏、更改以及泄露。从而使计算机网络在运行中的可靠性以及连续性得到保证,使用户在使用的过程中享受正常的互联网服务。而比较完整的计算机网络安全的定义包括两个方面:首先是物理安全。指的是在计算机网络网络环境下,必须保护所有相关的计算机硬件设施,避免这些设施被恶意的损坏或者丢失。其次是逻辑安全。指的是在计算机网络环境中,要对所有用户的信息以及共享资源进行维护,确保其完整性以及保密性。

2计算机网络信息安全隐患的产生因素

确保计算机网络信息安全的关键因素就是安全的信息运行、 安全的数据连通以及网络管理人员高度的安全意识,这三个方面是必不可少的,要想确保整个网络的安全运转,必须依赖这三个方面的共同工作。软硬件设施是否完善,病毒是否对网络信息安全造成影响,内部人员是否泄密造成机密的泄露以及相应的网络管理制度是否完善等等这些都会使网络信息的安全受到影响。而对于网络安全管理人员来说,为了方便管理人员能够随时的对网络设备的运行进行监控,需要为其配备统一的界面,这样才能对文本信息或者预警系统进行及时有效的整合和梳理,由于现在网络设备越来越复杂,各种应用软件越来越多,使得各种软件之间存在一定的特殊性以及差异性,从而使网络管理员不知道该从何下手。还有就是由于不同的管控平台控制着不同的网络操作、设备以及应用系统等,使得对网络管理的难度更加大。

保证程序正常的运行需要操作系统提供一个环境,可以说操作系统是最基本的软件,操作系统还要具有对软硬件进行管理的功能,这在很大程度上会产生安全隐患,由于操作系统本身可能存在安全漏洞,也就是说,一旦操作系统开始运行,那么就会产生影响网络安全的隐患发生,还有就是影响操作系统的另外一个因素是操作系统本身先天的结构体系具有缺陷。在运行中的一些细节上操作系统的管理功能还存在着一些缺陷,一个很小的程序出现问题都会对整个系统的运行造成影响,比如在内存管理中, 由于外部网络在连接的过程中相应的模块短缺被触及就会使整个系统在运行的过程中出现瘫痪。一些不法分子正是利用这些漏洞对操作系统进行破坏,使得计算机系统的信息安全性被严重的破坏。

3计算机网络信息安全防护策略

(1)加强用户账号的安全。现在往往都是一号多用,用户的账号往往跟用户的网银账号、邮箱账号以及登录账号等很多应用的账号相关联,一些非法的网络黑客在对计算机网络系统进行攻击时正是采用窃取一些合法的账号和密码进行的,因此要想确保计算机网络信息的安全,设置的系统登录密码要非常复杂,还要避免重复注册相同或者相似的账号,在设置的密码时要加入特殊符号以及字母和数字的组合进行设置,设置的密码要尽可能的长一点,并做到经常对密码进行修改。

(2)防火墙和杀毒软件的安装。安装网络防火墙可以实现对网络之间的控制,即使当外部用户通过正常的渠道访问内部网络资源也可以进行有效的组织,从而实现了对内部网络操作环境的保护。网络防火墙作为互联网络设备,它的数据包可以检查两个甚至两个以上的网络之间的数据传输,当对传输的信息确保允许传递时才进行传递,除此之外,网络防火墙还可以在网络运行的过程中对网络的运行状态进行实时的监控。网络防火墙按照技术进行分类,可以分为监测型、代理型、地址转换型以及包过滤型。其中地址转换型是指防火墙将内部的IP地址转变成外部的地址,从而临时的将内部的IP进行保护和隐藏起来,这样当外部网络要想访问内部网络的时候,就很难掌握内部网络的链接情况,要想访问内部网络就只能通过经过处理的外部IP地址以及端口进入。包过滤型防火墙的技术支持是网络分包传输技术,在判断的时候依靠数据包中的地址信息来分析数据包的可靠性。从而可以排除一些不信任的站点。

(3)漏洞补丁程序要及时的安装。在网络系统的设计当中往往存在一些漏洞,这主要是因为软硬件以及程序的设计不够完善,或者功能不全以及配置不当造成的,这些漏洞成了黑客攻击网络的进入点,据有关的调查表明,不存在漏洞或者缺陷的软件几乎是不可能存在的,而大多数黑客或者病毒攻击的对象就是这些具有漏洞的软件。发生的网络信息安全问题很大一部分是由于系统程序存在漏洞产生的,因此软件的开发商要通过发布一些补丁程序来对这些漏洞进行纠正。用户在使用网络的时候要对补丁程序的更新及时的关注,并进行安装,从而使网络的运行环境相对比较安全。

端口策略论文 篇2

端口1~1024是保留端口，所以它们几乎不会是源端口，但有一些例外，例如来自NAT机器的连接。参见1.Array。 常看见紧接着1024的端口，它们是系统分配给那些并不在乎使用哪个端口连接的应用程序的“动态端口”。 Server Client 服务描述 1-5/tcp 动态 FTP 1-5端口意味着sscan脚本 20/tcp 动态 FTP FTP服务器传送文件的端口 53 动态 FTP DNS从这个端口发送UDP回应。你也可能看见源/目标端口的TCP连接。 123 动态 S/NTP 简单网络时间协议（S/NTP）服务器运行的端口。它们也会发送到这个端口的广播。 27Array10~27Array61/udp 动态 Quake Quake或Quake引擎驱动的游戏在这一端口运行其服务器，

因此来自这一 端口范围的UDP包或发送至这一端口范围的UDP包通常是游戏。 61000以上动态 FTP 61000以上的端口可能来自Linux NAT服务器（IP Masquerade） 为了发现你的机器是否被种了木马，运行“NETSTAT －an”。查看是否出现下列端口的连接。 Port Trojan 555 phAse zero 1243 Sub-7， SubSeven 312Array Masters Paradise 6670 DeepThroat 6711 Sub-7， SubSeven 6Array6Array GateCrasher 21544 GirlFriend 12345 NetBus 23456 EvilFtp 27374 Sub-7， SubSeven 30100 NetSphere 3178Array Hack‘a‘Tack 31337 BackOrifice， and many others 50505 Sockets de Troie。

微机打印端口的扩展应用 篇3

电路原理

微机打印端口管脚与功能分布如图1所示。

数据端口（378H）2～9针为D0～D7；输入控制端口(379H) 10～13、15针为B6、B7、B5、B4、B3；输出端口（37AH）为1、14、16、17针，GND为25针。

本应用主要使用5个输入控制端口和输出2，与J2对应关系为:15－1；13－2；12－3；10－4；2－5；11－6；25－8。

电路如图２所示。本装置主要由Q1、Q2完成装置的模拟摘机；C3、R1、DZ3、D6、IC1组成铃流监测电路；LM567和Q3及周围元件进行电话催挂音监测；双音频译码器MT8870完成线路双音频命令信号的译码；DZ4、D5、C5用于稳压获得5V左右的供电电源；L1、L2、MR用于线路的滤波和保护；DZ1、DZ2则用于限制音频变压器输入端的电压，防止铃流电压对声卡造成毁害；CZ为音频输入输出端口，它与声卡的音频输出及线输入端口相连，完成电话语音输入和音乐信号的输出。

启动微机的监控软件，此时微机不断监测B7端的状态。当电话线上铃流到来时，光耦4N25输出低电平，打印端口B7出现负跳变脉冲，软件中设置的计数变量加1。当并网电话无人接听，计数变量达到设置数值时，打印端口D0输出高电平,Q1、Q2导通，实现模拟摘机。此时，线路电压经DZ4稳压后向MT8870、LM567等电路提供工作电源。摘机后，微机不断检测B3～B6口的数值。当MT8870检测到双音频命令信号经电话线路传送时，命令字译码输出，并送入打印端口，读入监控变量，微机将根据命令字的内容完成音频信号输出输入。从而实现点播歌曲和录音留言的功能。在摘机状态下，微机不断检测B7端口的状态。当拨入用户挂机时，由LM567检测信号脉冲结合软件处理检测出电话催挂音，从而控制端口D0输出低电平，Q1、Q2关断，从而完成挂机过程。

监控软件

本软件采用易学、易用的可视化高级语言Visual Basic编制,配合I/O口DLL动态连接库读取打印机端口。音乐采用MP3格式播放，留言内容采用WAV格式存储，利用数据库进行管理，同时本软件还兼有双音频拨号功能，可定时向线路用户提供音乐服务。

软件主要流程图如图３所示。

对于I/O口动态连接库及其调用，可以参照有关的VB代码，在此不多陈述。

电路调试

本装置调试的重点是催挂音检测电路。由于音乐及人的话音中含有450Hｚ的频率信号，所以即使是拨入方没有挂机，在B7端口也可以检测到脉冲信号，解决的办法是：可以设置软件算法对脉冲信号进行分析处理。由于从语音及音乐信号中检测出的脉冲信号是没有规律的，而从催挂音检测出的脉冲信号及间隔则是满足一定规律的，所以根据此差异编制算法，就可以识别出催挂音。如果感觉此部分不好调试的话，可以将电路图中虚线部分去掉，结合软件定时来实现装置的挂机过程。当然在功能实现上将会部分受限。

端口策略论文 篇4

厂站端远动双机冗余并最大程度实现通信和数据的无缝切换一直是电力调度自动化系统追求的目标。目前的监控系统冗余机制[1,2]基本上均为两侧整装置的主备模式[3,4],双机切换扰动大,切换内容包括两侧的对上对下通信和两侧实时数据库,由于整装置切换,故障通道的切换必然会引起正常通道的强制切换,或者因为两侧多个通道上的不同通信状态造成切换死锁,这给SCADA系统和调度运行造成很大影响。

本文提出一种远动通信面向通信端口的冗余机制,两侧的冗余机制建立在两侧对应的串口或者网络通道上,冗余组内的主备切换也仅仅限于特定的需要切换的通信端口,两侧的通信装置和实时数据库不需要切换,这样切换期间冗余双机运行平稳,切换点压缩到装置的最小部分,故障通道的切换对正常通道的通信没有任何影响,最大限度实现了冗余的稳定可靠和通信数据的一致性和完整性。

1 冗余策略的设计

1.1 冗余策略的基本原则

面向通信端口的冗余策略在设计和实现上有两个要点:一是两侧对站内通信双主运行、两侧数据库的独立建立和维护;二是切换设计为通信端口的切换而不是通信装置的切换。

面向端口的冗余其实就是面向调度通信端口的冗余,装置的站内通信、数据库的建立、数据的实时刷新以及数据往调度通信应用进程的转发等几个环节都是双主运行,没有主备关系。两侧数据库的独立维护保证了两侧数据各自的完整性,双机两侧不需要在有限的双机互联带宽上进行大流量的数据块同步,这也为两侧快速实时交换通道运行状态提供了良好的通信环境。

通信端口上的主备自动切换彻底打破了原先在双机装置之间的切换或者借助外部通道切换装置进行切换的模式。通道上的自动切换由切换判断逻辑和通道数据同步逻辑共同完成。切换判断和数据同步均在建立主备关系的通信端口冗余组完成。通道冗余组内的主备切换就是双机一侧的通信进程中的发操作关闭和另一侧的通信进程中的发操作打开,两侧的数据库不参与切换,两侧通信原先正常的通道也不参与切换。因此切换的范围仅仅为故障通道,把切换对通信的扰动降到最低。

1.2 冗余策略的实现方案

在硬件上,双机两侧的串口必须独立,能够独立实现数据的收发,具体某个串口的收和发操作的开放和关闭可以通过软件来判断并切换。同时,设计硬件层面的MASTER、SLAVE关系,便于在非正常主备状态下的关系仲裁。

在软件上,冗余组内的通道切换依据可以如下设计:

1)双机的一侧装置闭锁,则另外一侧的全部通道升主运行。

2)双机一侧对站内通信中断而另外一侧站内通信正常,则另外一侧的全部通道升主运行。

3)在双机两侧硬件没有闭锁以及对下通信均正常的基础上,如果一侧的串口通道通信中断而另外一侧相应串口通信正常,则另外一侧相应串口通道升主。串口通道的正常与否判断可以根据报文接收来实现。

4)在双机两侧硬件没有闭锁以及对下通信均正常的基础上,如果一侧的网络通道通信中断而另外一侧网络通道正常,则另外一侧相应网络通道升主。

图1为面向通信端口的主备切换机制的冗余系统。

图1中几点说明:

1)远动机A和远动机B为冗余双机,但是A和B之间不存在整机的主备关系。在站控层数据网络上,远动机A和远动机B是双主运行的。

2)冗余的主备关系建立在具体的通道上。通道1、通道2、通道n的两侧各自形成自己的主备关系。

2 面向端口的冗余策略的效果

2.1 面向端口和面向装置的冗余机制的比较

文中提出的面向端口的新的冗余机制和传统的面向装置的冗余机制有根本的不同,如表1所示。

面向端口通道的冗余策略在机制上可以解决目前普遍存在的远动整机切换两个问题,一是切换死锁,二是切换扰动。这两个问题也是远动切换始终无法完善实现的最大障碍。在面向通道的切换机制下,这两个问题得到了很好的解决。由于比较仅仅在冗余组内的两个通道内进行,因此总是可以判断出运行状态上的优劣,从而明确给出当前最合适的主通道。再者,由于切换仅仅在冗余组内的两个通道进行,和其他运行的通道无关,切换对其他通道而言是完全无扰动的,对整个远动运行的扰动也降到了最低。

2.2 面向端口的冗余机制的规约应用

针对远动通信最常用的规约IEC101、IEC104,应用分别分析如下。

对于IEC101通信[5]:

1)切换时间。仅仅为IEC101非平衡模式下的厂站端的通信状态判断时间。

2)通信切换。因为备通道可以同步FCB状态,所以通信的切换是完全无缝的。

3)数据切换。由于有数据同步机制,主备通道上的数据可以实现一致和完整,做到不丢失不误发。

对于IEC104的通信[6,7]:

1)切换时间。主站的USTART切换时间。

2)通信切换。备通道的TCP已经建立,一旦切为主通道立即开始通信,无缝切换。

3)数据切换。数据同步机制可以保证主备通道上的一致和完整,做到不丢失不误发。

3 结语

文章提出的面向端口的远动通信冗余切换方案具有重要的实际应用价值,也是目前调度自动化远动通信切换方案的重要改进。在尚不具备双主运行的调度系统中,主备冗余是提高远动通信可靠性和稳定性最主要的技术手段,面向端口的冗余策略解决了主备冗余切换过程中关于通信切换和数据切换的无扰动问题,最大限度实现了SCADA系统和调度自动化系统的稳定运行。

摘要：提出了电力SCADA系统中厂站端远动通信装置双机配置时面向通道端口的新型冗余策略,将双机的主备冗余关系建立在具体的通道上,装置两侧的实时数据库和对下通信双主运行,站内通信和数据库的维护各自独立进行,主备切换只在需要切换的两侧通信端口和端口之间进行,对下通信和数据库和其他正常通信通道不参与切换,这样最大限度避免了切换本身给通信和数据库造成的扰动,保证了通信和数据的连续性和完整性。实践表明,该冗余策略具有非常良好的工程实用性。

关键词：远动,冗余,切换,变电站自动化,SCADA

参考文献

[1]陈丹瑜,陈国飞,笃峻,等.对监控系统冗余配置模式的改进[J].电力系统保护与控制,2009,37(12):124-128.CHEN Dan-yu,CHEN Guo-fei,DU Jun,et al.An improvement of design for reliable redundant supervisory and control system[J].Power System Protection and Control,2009,37(12):124-128.

[2]李延龙,杨亚璞,李楠,等.高压直流输电控制保护系统的冗余可靠性研究[J].电力系统保护与控制,2009,37(16):59-62.LI Yan-long,YANG Ya-pu,LI Nan,et al.Reliability research for HVDC transmission control and protection system redundancy[J].Power System Protection and Control,2009,37(16):59-62.

[3]汤震宇,张桂阳,尤小明.远动IEC104通信通道冗余机制的探讨[C].//2010年电力系统自动化年会.三亚:2010.TANG Zhen-yu,ZHANG Gui-yang,YOU Xiao-ming.An research for the IEC104communication redundancy method[C].//Automation of Electric Power Systems Nnual Meeting,Sanya:2010.

[4]高志勇,薛敏,申泉,等.一种通用的基于软硬件结合的电力系统远动双机切换方法[J].电力自动化设备,2006,26(11):111-113.GAO Zhi-yong,XUE Min,SHEN Quan,et al.HW&SWI based communication server changeover in substation automation[J].Electric Power Automation Equipment,2006,26(11):111-113.

[5]中华人民共和国国家经济贸易委员会.中华人民共和国电力行业标准DL/T634.5101-2002远动设备及系统第5-101部分传输规约基本远动任务配套标准[S].北京:中华人民共和国国家经济贸易委员会,2002.State Economic and Trade Commission of the People’s Republic of China.Telecontrol equipment and systems Part5:transmission protocols section101:companion standard for basic telecontrol tasks[S].Beijing:State Economic and Trade Commission of the People’s Republic of China,2002.

[6]中华人民共和国国家经济贸易委员会.中华人民共和国电力行业标准DL/T634.5104-2002远动设备及系统第5-104部分传输规约采用标准传输协议子集的IEC60870-5-101网络访问[S].北京:中华人民共和国国家经济贸易委员会,2002.State Economic and Trade Commission of the People’s Republic of China.Telecontrol equipment and systems part-5-104:transmission protocols-network acess for IEC60870-5-101using standard transport profiles[S].Beijing:State Economic and Trade Commission of the People’s Republic of China,2002.

不让网络端口任人摆布 篇5

关闭易被利用端口

135、137、138、139、445等网络端口，很容易在无意中会被开启。事实上，我们在平时工作中，可能很少会用到它们，或者根本就用不到它们，如果对它们的开启状态不闻不问，黑客可能就会偷偷利用它们，对本地系统进行恶意攻击。所以，对待上面几个很少用到，但会被非法利用的端口，我们必须及时将其关闭，以切断黑客的入侵通道。

一般来说，只有启动运行了RPC系统服务时，黑客才能利用135端口发动攻击，所以，在RPC服务暂停运行的情况下，135端口根本就没有任何作用，这就相当于135端口已被关闭了。在关闭RPC服务工作状态时，只要依次点击“开始”|“运行”命令，弹出系统运行文本框，输入“services.msc”命令并回车，展开系统服务管理窗口。用鼠标双击其中的“Remote Procedure Call”服务，弹出如图1所示的服务属性对话框，点击“停止”按钮，并且将启动类型设置为“已禁用”选项，单击“确定”按钮保存设置操作，这样135端口就不会被黑客偷偷利用了。

在局域网环境中，启动NetBIOS协议组件的情况下，网络端口137、138、139会被自动打开。相反，要是关闭该协议组件时，那么137、138、139端口自然也就不会被他人非法利用了。在进行这项操作时，可以逐一选择“开始”|“设置”|“网络连接”选项，切换到网络连接列表窗口，用鼠标右击“本地连接”图标，点击右键菜单中的“属性”命令，选中“Internet协议（TCP/IP）”选项，单击“属性”按钮，再按下“高级”按钮展开高级设置对话框。点击“WINS”选项卡，打开如图2所示的选项设置页面，在“NetBIOS设置”位置处，选中“禁用TCP/IP上的NetBIOS（S）”选项，单击“确定”按钮返回，这样137、138、139端口就相当于被关闭了。

要关闭445端口运行状态时，不妨使用“Win+R”快捷键，弹出系统运行对话框，输入“regedit”命令，单击“确定”按钮，打开系统注册表编辑界面，依次跳转到“HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Services＼NetBT＼Parameters”注册表节点上，在目标节点下手工创建好“SMBDeviceEnabled”双字节键值，再将其数值输入为“0”，最后将计算机重新启动一下即可。

探测端口连接安全

俗话说“知己知彼，百战不殆”，如果能够通透系统中所有网络端口的安全连接状态，那么我们就能对网络应用的安全性进行有效控制，确保系统始终能够安全、稳定运行。要做到这一点，不妨“请”CurrPorts这款免费的网络端口探测工具帮忙，它能直观列出所有TCP连接和UDP连接端口，并能将开放端口使用的应用程序信息显示出来，当发现有恶意程序在使用网络端口时，还能配合Process Explorer工具，强行终止恶意程序的运行状态，避免系统继续遭遇非法攻击。

CurrPorts工具启动运行后，会自动扫描系统，将系统中所有网络应用程序使用的本地端口和远程端口列写出来，如图3所示。除此之外，所有程序的名称、ID标识、路径、本地IP地址、远程IP地址等信息，也能被探测并显示出来。如果探测出来的内容比较多时，可以点击主程序界面中的标题栏，程序会根据名称内容排序显示，这样查看起来会高效一些。

用鼠标双击某个应用程序，弹出对应程序属性对话框，在这里能看到该程序使用的进程名称、进程ID、进程路径、进程创建时间，程序使用的本地端口、远程端口、本地地址、远程地址，应用程序使用的网络协议以及协议连接状态。当怀疑某个程序为恶意程序时，不妨先用鼠标选中它，同时单击右键，选择右键菜单中的“关闭选定的TCP连接”命令，强行关闭目标程序的运行状态。接着继续跟踪目标程序有没有再次打开新的网络端口，如果它还会悄悄打开端口，基本就能断定目标程序为恶意程序。这个时候，可以下载使用Process Explorer工具，将探测出来的恶意进程强行杀死，该工具支持杀死进程树功能，也就是说它能自动将与恶意进程有关的所有进程全部杀死，并且会利用Autoruns程序检查本地计算机中的所有自启动项和服务，以确保将恶意程序的自动加载项删除干净，之后它还能进入恶意文件所在文件夹，强行删除恶意程序的可执行文件，避免它继续危害Windows系统的安全运行。

当然，如果发现系统中存在多个可疑程序时，可以借助Shift或Ctrl功能键，一次性选中多个应用程序选项，并用鼠标右键单击之，选择快捷菜单中的“结束选定端口的进程”命令，这样就能快速断开多个可疑网络连接。通过这种方法，也能将多余的网络连接快速切断，以利于高效排查恶意程序。

调整远程桌面端口

为了改善网络管理维护效率，不少网管员经常会利用远程桌面连接程序，远程管理局域网中的重要主机系统。然而，在享受方便、快捷服务的同时，远程桌面连接程序会用到人所皆知的3389端口，而该端口也是黑客或恶意程序重点瞄准的对象，所以轻易建立远程桌面连接，容易给本地网络或系统带来安全威胁。

事实上，将远程桌面连接服务端口，调整为陌生的号码，日后使用指定的新端口号码与重要主机建立远程桌面连接，就能保证远程桌面连接操作不会受到黑客或恶意程序的攻击了。例如，要将远程桌面连接端口号码修改为“68721”时，可以进行下面的设置操作：

端口策略论文 篇6

关键词：交换机端口安全,MAC地址,网络接入安全,计算机资产,信息安全

供电企业内部网络覆盖面广、信息点多、承载公司管理、生产等各种业务。网络的安全稳定运行是各个系统正常使用的基础。加强对网络的管理控制, 保证网络稳定运行变得十分重要。通过对网络的调查, 发现网络中存在以下几个问题。 (1) 外部计算机随意接入 (例如外单位人员携带的笔记本) , 外部计算机的接入极有可能给公司内网带来病毒, 木马甚至恶意攻击。 (2) 公司信息点分布范围广, 超出网络管理员人工能监管的范围。这些地方存在用户私自从接入层机房或现有信息点拉接网线, 擅自延伸网络边缘信息点。这种行为使得网络的接入信息点不可控制。 (3) 用户任意调换、搬移计算机等问题也给信息安全带来了问题, 同时也使得计算机资产的管理混乱, 计算机经过多次调换和迁移后, 流向十分混乱。端口安全策略通过MAC地址来对网络流量进行管理和控制。通过在端口上指定具体MAC地址数据和数量、配合网络维修和资产登记, 可以有效避免以上问题。

1 端口安全策略实施

(1) 建立计算机登记表格, 该表格结合了计算机资产管理。表格主要包括了计算机的基本配置信息, IP地址、MAC地址和安放地点等信息。

(2) 以接入层机房为单位, 然后分片、分步、逐台登记计算机。

(3) 根据登记的资料, 对该接入层交换机端口进行端口安全策略实施, 关闭未使用的端口。

(4) 任何错误的交换机端口安全策略和端口关闭, 都会引起用户计算机终端的网络中断。通过用户主动的网络报修, 逐步完善端口安全策略配置和资料 (见图1) 。

2 交换机端口安全实施相关命令

本文所列配置命令均为在实施端口安全时需要使用到的思科交换机配置命令, 命令实例均为真实交换机配置。

2.1 查看对应m a c地址的交换机端口命令和实例

命令:swich#show mac-address-tablea d d H.H.H

2.2 端口安全策略命令和实例

(1) swich (config) #interface type solt/p o r t

命令解释:进入端口配置模式。

(2) swich (config-if) #switchport mode access

命令解释:设置端口模式为access模式, 该模式是端口连接计算机的模式。

(3) swich (config-if) #switchport portsecurity

命令解释:启动端口安全策略。

(4) swich (config-if) #switchport portsecurity maximum<1–5120>

命令解释:定义端口允许通讯的最大MAC地址数量, 默认为1。

(5) swich (config-if) #switchport portsecurity mac-address H.H.H

命令解释:指定端口允许通过的MAC地址, 如有多个MAC地址, 可重复多次使用该命令。

(6) swich (config-if) #switchport portsecurity violation protect|restrict|shutdow

命令解释:非指定MAC地址计算机接入该端口后, 交换机端口做出的反应。有三个可选参数:protect (丢弃该数据包) 、restrict (仅发送trap通知) 和shutdown (端口关闭) 。

2.3 端口关闭命令

(1) swich (config) #interface type solt/p o r t

命令解释:进入端口配置模式。

(2) swich (config-if) #shutdown

命令解释:关闭端口。

3 交换机端口安全策略实施效果

端口发生违规MAC地址接入后, 我们采用了端口自动关闭的方式。即一旦发生违规接入, 端口将自行关闭, 任何连接在该端口的网络流量都将被丢弃。一旦用户报修网络, 网络维护人员会首先查看用户对应的交换机端口状态, 以确定用户是否发生了违规行为。

(1) 未经登记的外部计算机连接到网络引起端口err-disable, 用户网络中断。

(2) 从手工关闭的交换机端口私自拉接网线, 网络无法使用。

(3) 用户下联网络设备例如HUB或路由器, 并其它接入计算机, 引起交换机端口err-disable, 用户网络中断。

(4) 用户擅自的调换或者搬移电脑位置后, 插入其它信息点引起交换机端口关闭。

对于得许可的用户计算机的新增、调换和搬迁, 处理流程如下 (见图2) 。

端口安全策略使用中的问题如下。

端口安全策略的实施, 使得网络的管理变得十分严格。用户的很多违规行为都会引起网络中断, 如果管理不到位, 会给网络管理人员带来很多繁琐的工作。在实施端口安全策略的同时, 必须制定和发布相应的规章制度和考核办法, 以规范用户行为。

端口安全策略需要完全手工配置, 改动起来比较麻烦;端口安全策略的有效实施, 需要和维修、计算机资产登记人员密切配合, 才能起到更好的效果。

4 结语

端口策略论文 篇7

FC SAN(光纤通道存储区域网)的出现解决了大量数据管理和存储的问题,这意味着存储器和服务器进行了分离,在网络存储业界有着划时代的意义。但在FC存储网络环境中,每一个服务器都可以共享访问磁盘阵列,这造成了FC SAN中存储数据的安全性问题,所以信息安全在FC SAN中是一个重要的问题,它涉及到的技术手段包括数据加密和访问控制等。使用ZONE划分及LUN掩码解决这方面的问题主要是通过对SAN的设置实现的,它的主要问题是缺乏灵活性和对数据的访问控制[1]。

在这种情况下,设计和实现FC存储网络中的安全访问特性,从交换机端口上来保证FC SAN中存储数据访问的安全。该系统依据存储网络中每台设备惟一登录接口名,在网络中的交换机上对登录设备进行检查权限,只有通过检查的才能进行访问磁盘阵列。与传统的ZONE划分和LUN掩码解决方法相比,其更具有精确性、安全性和灵活性。

网络安全可以从点和线及面三种不同的角度来解决。FC存储网络端口安全系统依据的是点的角度,即在交换机端口上来保证访问的安全性,具有较高的精确性、灵活性,它并不依赖固定的网络形式。即当新接入一台设备时,只要配置相关的规则就可以控制其访问网络中其他设备,而当有设备从网络中下线时,也只须删除相关规则。

1 系统功能结构

存储网络主要包含节点设备和交换机,当然除了交换机以外的服务器和存储设备都被称之为网络节点 (Node)设备,其通过交换机接入到存储网络中,并进行数据的传输。支持FC协议的交换机提供数据转发和网络控制。图1为FC协议通信模型,服务器通过FC交换机1和FC交换机2来访问磁盘阵列,并进行数据的读取和存储。这种通信没有进行安全访问控制,它的缺点可能会造成数据泄密或者篡改。

为了保证FC SAN中数据访问的安全性,在交换机上增加了安全访问控制功能,设计该系统的模块结构如图2所示。

获取登录设备信息模块,获取连接交换机的网络节点设备或者另一台交换机的登录信息;登录设备权限查询模块,判断登录设备是否有权限进行登录访问;存储库模块,保存着一些信息;登录访问反馈模块,交换机权限检查完之后对登录设备访问的反馈。

该系统的端口采用的安全策略是:只要具备条件的设备可以进行登录访问,不具备条件的设备不能进行登录访问。登录的条件有两种:

(1)如果存储库中有对应的规则,登录设备在权限检查时会查询到,然后就可以允许设备登录访问;

(2)如果存储库中没有对应的规则,但系统的学习机制将登录设备的信息形成了一条新的规则,则允许设备登录访问。

规则的内容是由WWN和交换机上的端口组成。 如果登录设备的登录信息和规则的内容相匹配则授权设备可以登录访问;如果登录设备的登录规则和登陆信息的内容不相匹配,则结果就是拒绝设备访问。

该系统主要功能包含规则学习功能、配置功能、权限检查功能、信息查看功能和系统稳定性功能。

2 系统关键技术

2.1 FC 技术

FC作为一种高速传输数据的技术标准,可以为存储网络用户提供高速、高可靠性以及稳定安全性的数据传输,在SAN中得到广泛应用。在存储局域网中,硬件设备(包括服务器,交换机和磁盘设备等)都必须支持FC协议才能正常地进行数据的传输。

FC协议是分层的协议,虽然与网络OSI模型具有相似性,但它并不直接对应OSI各层功能。FC协议分为5层,每层协议都具有实现独自的功能。

2.2 VSAN 技术

虚拟区域存储网络(Virtual Storage Area Network, VSAN)是一种对于SAN实体网络进行的虚拟逻辑划分。类似于以太网VLAN划分。FC网络管理员可以根据实际应用需求,将一个物理SAN网络分隔成多个相互隔离的逻辑SAN网络,即虚拟存储网络(VSAN),每个VSAN可以独立运行,独立提供各种服务。VSAN既可以保证安全性,又可以满足不同用户的需要。

VSAN的划分实现了将一个物理连通的存储网络分割成多个逻辑上的虚拟存储网络,每个VSAN相互隔离,并独立提供服务,增强了网络的适应性、安全性,使其能够为用户提供更有效的服务。用户可以通过配置VSAN相关的数据来实现VSAN划分。根据链路连接在实际应用中的不同需求,通过向交换机输入相关命令行的方法,将交换机的各种端口以不同的连接方式,配置进入指定VSAN之中,实现运用VSAN逻辑划分隔离实际物理网络的功能。但是VSAN管理的范围仅包括交换机上的端口,不包括与交换机相连的节点设备的N端口。

N端口发送的报文不会带有VSAN信息,其所属的VSAN只能由与其相连的交换机设备的端口(F端口)所在的VSAN决定,如果F端口所在VSAN相同,表明对应N端口属于同一个VSAN。相同VSAN内的N端口,只要注册了名字服务就可以相互访问,即一台服务器可以访问VSAN内任意磁盘。所以仅仅通过VSAN不能对接入Fabric的存储服务器及磁盘设备,即N端口进行访问控制。这样给数据安全带来隐患,尤其在不同操作系统环境下,很容易对磁盘数据造成损坏[2]。因此,端口安全功能建立在VSAN下,对相同VSAN下设备访问进行控制。

2.3 配置恢复技术

当交换机因故障需要重启时,为了保证设备的配置在重启后不发生变化,交换机需要通过配置恢复机制来完成系统启动时的配置恢复工作。配置恢复方法有基于字符串格式配置文件的恢复和基于二进制格式配置文件的恢复。

字符串格式配置文件记录了用户配置的所有命令字符串,并以一定的格式组织,配置恢复时再将这些命令逐个读取出来,按一定的顺序逐一执行,结果就相当用户可以对设备配置一模一样。这种配置恢复方式采取单任务的方式,每个模块可以按一定的顺序,按顺序经过命令的解析、命令的匹配以及命令的下发等流程, 以完成需要恢复的工作[3]。这种方法在配置恢复时各模块有着比较强的耦合性,它要求各个模块需要按一定的顺序进行恢复工作,所以完成配置恢复所用时间将会随着配置文件的增大而逐步增大。

配置恢复的过程顾名思义就是将配置数据赋值于配置载体的一个过程。它可以在信息收集时,直接存储其已经配置的数据,再以二进制文件的形式进行保存; 在配置恢复时进一步读取配置文件内的配置值,最后直接将已经配置了的信息赋值到配置的载体上的过程,可见它简化了配置恢复的过程,从而大大地提高了配置恢复的效率。

配置恢复技术可以高效地保障异常情况下端口安全功能稳定性。

2.4 主备倒换技术

主备系统又被称为是双机系统,它主要是通过设备冗余的方式进而实现系统的可靠性、稳定性和安全性的重要措施。在现代通信技术当中,为了保证双机系统的稳定性及其可靠性,许多重要的设备都将会采用主设备保护的设计方法。即在一般情况下,主设备通常处于正常的工作状态,从设备则处在备用的状态,当它在满足一定的触发条件(如后台人机命令倒换、主用设备出现故障等)就会使得原备用设备成为主设备,而原主设备则转为备用状态,这种双机的状态改变过程就是所谓的系统主备倒换的过程[4]。当然主设备的倒换主要可以分为两类,一类是为了完成某些特定了的功能,如版本的升级,即首先在备用设备上实现版本升级,然后主设备主动要求倒换,从而平滑地完成了版本升级;另一类是主设备故障引起系统的主备倒换,使系统不至于因为某个设备的意外故障而瘫痪。通信领域内主备倒换的原则应遵循两个原则:

(1)倒换时底层不丢消息;

(2)倒换时要保证其在进行的通话能够顺利进行。

主备倒换技术能够增强端口安全功能的健壮性,保证它的正常运行。

3 系统设计

3.1 学习机制

规则在该系统中扮演着很重要的角色,系统依据规则对登录设备进行权限检查,即规则控制着设备登陆的访问权限。规则则可由管理员手工配置,但如果需要知道相关信息,比如在网络中对应设备的WWN以及端口名。但是如果有好多登录设备在交换机不同端口上登录时,则在这种情况下就需批量配置规则,这将会造成管理员有很大的工作量,将会带来非常不便。

学习机制则主要提供了规则自动学习的功能,它所形成的规则和规则库中的规则的格式基本一致,最后再存入学习库[5]。最后,登录的设备则主要在学习机制的情况下得到了访问权限。学习库中的规则不能在交换机重启后得以保留,而如果还需要保留学习的规则,则还需要转化成规则库中的规则。学习机制则主要是为了允许没有配置过相应规则的设备具有登录访问的权限而设立的,但如果在登录设备中存在不允许登录的设备,则学习机制就得需要关闭。

3.2 拒绝登录信息

拒绝登录信息是指当登录设备访问时没有获得登录访问权限而存入记录库的相关信息。拒绝登录信息的内容主要包括WWN、登录端口、拒绝次数、上一次拒绝时间。权限检查之后允许登录的记录登录信息,拒绝登录的记录的信息,该系统就会保留每一个设备的登录访问信息,这就为管理员查看网络中设备通信状况提供了很大的便利。当然为更好地展现网络中设备的通信情况,在交换机重启后还要做的工作就是保留历史信息[6]。 但是,如果保留历史信息这就意味着它将会产生很大的数据量,如果一直增加的话就会达到它所能够接受的上限,所以需要老化机制,即达到信息上限时,时间最早的拒绝登录信息就将被新的拒绝登录信息代替掉。

3.3 统计信息

统计信息主要统计的是登录设备在交换机上进行检查权限时的结果,主要包括登录设备检查通过,nwwn检查通过,swwn检查通过,pwwn检查拒绝,nwwn检查拒绝,swwn检查拒绝,总共通过和总共拒绝共8项内容。网络节点主要拥有pwwn和nwwn,交换机主要拥有swwn[7]。 当在权限检查时,对于网络节点设备,分别检查pwwn、 nwwn,检查通过计入对应通过的统计次数,检查拒绝计入对应拒绝的统计的次数,而对交换机设备而言,检查swwn,检查结果则同样将计入相应项中。统计信息就反映了系统中端口安全策略的效果。由于规则可以配置和学习,因此当系统的端口安全策略在处于变化中时,交换机在关机重启后就不用再保留统计的信息,那么就会知道统计次数归零。

4 实验结果

测试环境如图3所示,服务器连接交换机的端口WWN为pwwn3,服务器的WWN为nwwn3,服务器连接FC交换机1的fc1端口,FC交换机1的WWN为swwn1,FC交换机1中的fc3端口和FC交换机2的fc2端口相连接,FC交换机2的WWN为swwn2,磁盘阵列连接的FC交换机2的fc4端口,磁盘连接交换机的端口WWN为pwwn4,磁盘阵列的WWN为nwwn4。

现在接下来进行规则配置来验证端口访问的控制功能,FC1,FC2配置规则如表1、表2所示。

服务器登录后就访问磁盘阵列,首先是服务器登录FC1,它主要功能室查找规则,发现访问权限允许,然后发现FC1和FC2各有对方相应的登录规则,允许相互访问,最后发现磁盘阵列在FC2上没有规则。造成这种结果主要有两种情况:

(1)FC2的学习机制打开,则磁盘阵列可以登录到FC2上,服务器可以通过访问磁盘阵列;

(2)FC2的学习机制关闭,则磁盘阵列就不可以再登录到FC交换机上,从而最后服务器就不能访问磁盘阵列。

在信息查看功能中显示拒绝的登录信息如表3所示,显示统计信息则如表4所示。

最后值得说明的是本次实验使用的平台是Win dows7操作系统的PC机系统,HP Network Simulator的功能主要用来模拟组网,Oracle VM Virtual Box则主要是作为虚拟机,Sim ware则是作为模拟器。

5 结论

端口策略论文 篇8

FPSO (Floating Production Storage and Offload-ing) 是海洋原油开采作业的重要装置, 被称为"海上石油工厂"。它集生产处理、储存外输及生活、动力供应于一体。而FPSO的艉部外输系统则是FPSO海上原油外输作业的主要设备集成, 它主要包括货油泵、外输总管、氮气吹扫管系、洗舱管线、惰气管线支管、外输计量装置、艉部外输端口、外输软管等。该系统对于FPSO海上原油外输作业起着关键性作用。

按照使用特点分类, 目前中国海域内FPSO的艉部外输系统中的外输端口主要采用滚筒式外输端口和悬挂式外输端口两种, 而与之匹配使用的外输软管也分为两种, 一种为额定弯曲半径较小、弯曲强度较高的双层软管 (Double Carcass Hose) , 另一种则是额定弯曲半径相对较大、弯曲强度相对较低的单层软管 (Single Carcass Hose) 。两种端口及软管图示如下:

从外观上, 我们可以直观地看出FPSO的艉部滚筒式外输端口和悬挂式外输端口这两种外输端口的差别。那么, 究竟该如何选择一个合适的艉部外输端口呢?

2.0两种端口的差异分析

在FPSO的ODP阶段, 设计人员会对其所在服役的油田环境进行调研和系统分析, 并充分考虑其安全性、可操作性、经济性等各项因素之后, 最终确认采用何种艉部外输端口。

同样, 如果需要对滚筒式外输端口和悬挂式外输端口进行差异性分析, 我们也需要从各个方面进行考量。为方便理解和对比, 本文将影响端口选择的因素分为内部因素和外部因素两种:

内部因素:指设备本身的特性因素。主要包括设备经济成本、技术成熟度、可操作性、设备安全性等。

外部因素:则指设备本身之外的特性因素。主要包括与设备配套的外输软管性能、设备使用环境等。

总结出上述两类因素后, 我们可以依照各项指标来分析滚筒式外输端口和悬挂式外输端口的差异性。

2.1内部因素

(1) 经济成本

滚筒式:对于FPSO而言, 滚筒式外输端口需要额外购买滚筒设备, 同时匹配相应的液压系统和绞车。通常这样整套的设备总价在150万美元左右。此外, 滚筒式使用的双层外输软管每根价格比单层外输软管价格贵1-2万美元。即:使用滚筒式端口要比使用悬挂式端口的设备成本高出近200万美元。

悬挂式:不需要额外购买滚筒式的大型设备, 单层外输软管即可适用。

(2) 技术成熟度

滚筒式:技术成熟度高, 设备较为复杂。由于外输作业时需要收放软管, 因此对滚筒式端口匹配的液压系统和绞车质量以及相应的作业操作要求较高。渤海海域和南海西部海域多家作业者的长期使用证明了滚筒式端口设备的可靠性, 但也有某些因为操作原因或设备故障导致的问题出现。

悬挂式:技术成熟度高, 且设备简单。2008年以前投产的南海东部海域FPSO均采取此外输端口方式, 同样有着长期安全无故障使用的可靠性。

(3) 可操作性

滚筒式:设备体积庞大, 操作较为复杂, 需要配合相应的液压系统和绞车完成外输软管收放作业, 作业操作要求较高。

悬挂式:无需外输软管收放作业, 操作便捷。

(4) 设备安全性

滚筒式:由于滚筒式设备较为复杂, 同时需要配套的液压系统和绞车配合使用, 对操作要求较高, 此外设备检查手段也比较复杂, 因此设备安全性相对较低。

悬挂式:设备简单, 方便检查。设备安全性相对较高。

2.2外部因素

(1) 配套外输软管性能

滚筒式:滚筒式端口的外输系统中, 外输软管需要盘绕在滚筒上, 因此它所配套使用的外输软管一般为额定弯曲半径较小、弯曲强度较高的双层软管。双层软管在溢油预警和保护、保温方面有着一定的优势。另外, 滚筒和软管之间需要配套使用快速释放阀 (Quick Release Coupling) 以确保整套系统的安全性。但由于外输软管长时间在滚筒上受到挤压, 常常会发生外观变形的情况, 甚至有可能会引起脱胶进而影响软管漂浮性能。

悬挂式:对外输软管的性能要求相对较低, 通常采用弯曲半径相对较大、弯曲强度相对较低、制造工艺更为成熟的单层软管。无论外输与否, 外输软管始终都漂浮在海面上。此外, 单层软管在使用中需要配套使用破断阀 (Breakaway Coupling) , 以防止潜在的溢油风险。悬挂式的优点在于软管不需要频繁地收放, 不会受到类似于滚筒式的挤压。但悬挂式端口通常所使用的单层软管在溢油预警和保护、保温方面不如双层软管。

(2) 使用环境

滚筒式:根据滚筒式端口的外输系统和滚筒配套使用的双层软管的特性, 可以知道滚筒式的优点在于可以有效地避免台风天气、恶劣海况以及过往船只对软管造成的影响。滚筒式端口外输系统一般常见于渤海海域和南海西部的FPSO。

悬挂式:悬挂式端口的外输系统常见于中国南方的外海油田, 比如南海东部海域。由于海上油田所在的海域开阔, 海温合适, 过往船只较少, 除了台风的影响以外, 软管使用环境相对较好。面临台风天气时, 整组软管需要从海上解脱拉回锚地避台, 待到台风过后, 又需将软管拉回油田。

2.3差异性分析 (右图)

3.0结论

交换机端口损坏闹故障 篇9

故障现象

近日某专线单位分支机构A网络出现不通。得知网络故障后, 我们随即进行排查。首先大致了解下网络拓扑结构, 该单位主要传输视频业务, 视频监控VLAN是534, 互联VLAN是520, 视频资料主要存储在分支机构, 总部通过vlan520进行路由调看, 具体的网络拓扑结构如图1所示。

故障分析

通过图1我们可以看到设备的组网结构, 首先在总部交换机上对分支机构A执行Ping命令, 结果不通。然后在连接该机构的OLT上设置VLAN534的地址, 对总部进行Ping测试没有问题, 而Ping分支机构A依然是不通, 而且在OLT上查看和分支机构A端口的MAC地址, 没有发现VLAN534和VLAN520的MAC地址, 而是VLAN1的地址。这样就可以基本断定故障点在分支机构A处。

故障解决

在分支机构A处我们对光链路进行了测量、光模块打环等操作, 均没有发现异常。然后仔细检查了配置, 也没有发现问题。既然光路和传输媒介都没有问题, 那么就只有端口了。重新配置了一个新的端口后, 网络恢复正常。

故障总结

交换机端口的安全管理技术 篇10

关键词：交换机；端口；安全管理；技术

中图分类号：TP

随着校园信息化建设的持续推进，接入校园网的用户数量急剧增加，致使大量交换机端口信息缺乏有效的管理，由此应建立相应的交换机端口的统一管理体系。传统的交换机端口信息是通过人工管理的。人工管理的方式较为复杂、同时也受到交换机地点的限制，并且人工管理过程中，相应的端口数据容易丢失，为了有效提高管理效率，还应在明确端口管理现状以及端口管理技术的基础之上，根据网络建设和使用实际选择相应的管理技术，为交换机端口的安全管理奠定了基础。

1 交换机端口管理

对于交换机端口管理工作而言，以太网应用初始阶段并未受到重视，在由HuB至交换机转变过程中，因硬件自身所存在着的局限性，网络设备基本上都是即插即用样式，而交换机则因其端口位置是开放状态，所以只要是兼容二层及以上网络协议的关联性内容即可使用。近年来，随着科技水平的不断提高，网络范围也在不断的扩展，一系列中型、大型网络系统快速出现，交换机端口管理工作显得越来越重要则，其中重要的交换机端口管理工作机器管理方式，基本上都是从互联、认证以及分割和隔离等，四个环节开展。

2 交换机端口管理的重要价值

实践中可以看到，虽然交换机端口采用的即插即用应用方式相对比较简便，但同时也存在着一些弊端与不足，比如APR病毒非常的泛滥，因ARP协议存在着一定的缺陷，导致交换机难以有效地辨别冒充网关的一系列MAC地址，从而造成网络中断、网络嗅探等问题的频频发生，同时在企业信息网络系统之中，基于对安全的充分考虑，我国不希望即插即用出现在链路层，因此应当对接入系统中的网络设备予以辨认。同时，大型的网络系统中的广播域相互之间可能会产生一定的影响，这无形中增大了网管人员的管理力度。在该种情况下，应当通过较为严格的交换机管理程序，来有效保证网络持续运行。目前来看，交换机性能持续增加，这主要表现在背板的有效的宽带方面，而且交换机端口速率也由原来的10M发展到现代的千兆，甚至万兆速率。

3 加强交换机端口管理

3.1 LAN技术

对于传统的以太网而言，它是平面网络的一种，而且网络之中的全部主机均通过Hub、交换机等有效的连接在一起，即隶属于相同的广播域。从本质上来讲，Hub即物理层机械设备，没有所谓的交换功能，但可将接收的所有报文转发给所有的端口；交换机则是链路层设备，其主要是依据报文目的MAC地质予以有效转发，然在收到广播报文、未知单播报文过程中，也会将所收到的报文向所有端口进行转发。上述情况下，网络主机将收到大量的、并非目的性的报文，在大量带宽资源严重浪费的情况下，也可能会造成非常严重的一系列安全隐患问题。传统的广播域隔离方式是路由器，但路由器的应用成本非常的高，而且端口相对比较少，因此难以对一些较为细致的网络系统予以划分。

3.2 VLAN技术

随着交换技术的发展，当前新交换技术（VLAN）的应用也在加快。该技术可以先将企业中的网络系统有效地划分成虚拟网络网段，这对于加强网络管理、不断提高其安全性以及实现数据广播管理，具有非常重要的作用。在网络资源共享过程中，物理网段即为广播域，然而在交换网络当中，广播域则是一组可根据需要选定的网络地址，即由MAC地址形成的一个虚拟网段。在网络组运行过程中，通过工作组的有效划分可突破共享网络中的相关地理位置大量闲置等藩篱，严格按照管理功能之要求，可以实现对网络系统的有效划分。从实践来看，这种基于工作流的管理与分组模式，即可以有效的提高网络规划效率，又可以对网络管理功能进行有效的重组。

对于相同的VLAN工作站而言，不管其实际上是否与某一个交换机有所连接，二者之间的通讯均类似于在相同的交换机之上，对于相同的VLAN广播而言，通常只有VLAN中的组员能够接收到信息，而并不会传输到VLAN当中，由此能对不必要的广播风暴进行了控制。由此，若是缺乏路由器，那么在不同类型的VLAN间将难以实现有效的通讯。由此不仅便利了企业用户的应用，也在很大程度上提高了交换机的管理效率。

3.3 IP-MAC绑定技术

早期的校园网当中，常出现IP盗用的状况，这是由于网络接入交换机时，太随意，而且接入时并未设置任何安全装置，因此用户只要接入网线，无论在什么地方均可以上网。虽然这种模式方便，却很容易出现IP被盗等问题。

网卡MAC地址，即12位16进制数，而且是唯一的，它对MAC地址在系统网络中的计算机身份进行了明确。实践中，为方便管理，管理员通过对用户MAC地址登记，将该地址和交换机端口有效的绑定在一起。通常情况下，MAC地址主要集中在交换机端口绑定以后，其地址数据流严格自绑定端口位置进入，决不允许由另外的端口大量出入。简单地说，就是特定主机只允许在特定端口位置下发送数据帧，只有这样才能被交换机所接收，并予以转发。实践中，若干该主机移动至其他位置，那么将难以正常连接网络。

MAC与交换机端口相互绑定以后，该交换机端口可让其他MAC地址的数据流通过。然而在实际的运行过程中，部分工具软件、病毒等，很容易伪造成MAC地址，然后进入到网络系统之中。基于对网络系统的安全运行之考虑，决不可将网络系统的安全信任关系一味地建立于IP基础、MAC地址之上，最为理想的方式是将网络安全信任建立在IP+MAC之上，采用MAC地址+端口+IP的绑定模式，由此实现了对报文转发的过滤控制，有效提高了网络的安全性能。

4 结束语

根据实际的分析可了解到，在企业、校园网环境之中，为能够有效保证用户的安全应用性，管理人员都应当采用多元化的管理模式，对LAN、VLAN、IP绑定技术的分析，明确了不同端口管理技术的特点，相应的企业以及校园应根据自身的网络应用现状，选择合理的交换机端口的管理模式和手段。上述的交换机端口管理方式相辅相成，由此在实际的应用过程中应结合自身管理需求进行考虑，从而营造一个健康、安全、快速、高效的网络管理体系。同时通过对相应交换机端口安全管理技术的分析，为相应的交换机的安全管理和有效实践奠定了良好的基础。

参考文献：

[1]高国璐.虚拟局域网VLAN在网络管理中的应用[J].时代教育（教育教学），2010（09）.

[2]陈程，欧阳昌华.互联网网络安全性及其对策[J].企业技术开发，2007（09）.

[3]崔炜.基于VC++6.0的登录控制设计[J].佳木斯教育学院学报，2011（04）.

[4]任娟，裘正定.普适计算中的隐私保护[J].信息安全与通信保密，2006（02）.

[5]王以伍，任宇，陈俊.IPv6安全技术分析[J].电脑知识与技术，2008（32）.

[6]赖志刚，宁辉华.浅谈VLAN技术[J].科技资讯，2008（03）.

利用SSH实现多种端口转发 篇11

关键词：SSH,端口,转发

1 概述

当使用SSH协议进行通信时, SSH协议会对所有SSH客户端与服务端之间的网络数据进行自动加解密, 从而实现安全通信。但使用者往往忽视了SSH协议的端口转发功能, 在端口转发模式下, 其他TCP端口的数据可以转由SSH链接自动进行加解密转发, 从而为其他TCP链接如Telnet、SMTP、LDAP提供安全加密传输通道, 避免了一些明文传输敏感信息泄露。如果其他网络端口被限制访问, 但SSH端口没有被限制, 也可以通过SSH端口转发进行TCP连接, 因此利用SSH端口转发不仅能够加密SSH客户端和服务器端的数据通信, 也可以解决由于防火墙限制而无法建立TCP连接的问题。

2 端口转发示例

假设有一台LDAP服务器只为本地应用提供访问服务, 如果需要临时从远程客户端连接到这台服务器, 就可以使用本地端口转发实现, 在远程客户端执行如下命令即可建立一个SSH本地端口转发。

上述命令假设服务器ip为172.16.100.123, 本地监听端口为8100, 此时即可将远程客户端的应用直接配置至本机8100端口, 实际通信过程如下。

远程客户端将数据发送至自己的8100端口, 而SSH客户端将8100端口接收的数据进行加密后转发至服务器SSH服务端, 服务器端的SSH服务端解密数据并将其转发至监听的389标准LDAP监听端口, 从服务器端相应的数据沿原路以相反流程传输。整个流程中客户端直接连接本地监听端口, 转由SSH端口转发完成加密、转发、解密的通信过程, 并没有直接连接服务器端。

由于整个端口转发通信过程基于SSH连接, 因此必须保持SSH连接以使端口转发生效, 如果SSH连接断开, 显而易见, 整个通信链路也随之失效。另外只能在创建SSH连接时同时建立端口转发, 对已经存在的SSH连接无法额外创建端口转发。另外还可以使用SSH提供的Gateway Ports关键字将已经创建的本地端口转发共享给其他客户端。

上面讨论了SSH的本地端口转发, 假如由于防火墙的原因不能使用SSH直接从客户端连接到服务器, 但允许服务器到客户端的反向SSH连接, 那么可以使用远程端口转发。假设通信拓扑如上例, 那么在服务器端可执行如下命令。

上述命令假设客户端ip为172.16.100.234, 客户机监听端口为8100。实际通信如下。

客户端数据发送至自己的8100端口, 本机SSH服务端加密8100端口接收的数据后转发至服务器端SSH客户端, SSH客户端接收数据并解密, 然后将其转发至监听的389标准LDAP监听端口, 最后将服务器端的响应数据沿原路以相反流程传输。

如何区分本地转发及远程转发?首先要明确SSH端口转发需要在SSH连接的基础上实现应用连接, SSH连接及应用连接都是有方向性的, 如果SSH连接和应用连接方向一致则是本地转发, 反之则是远程转发。

3 其他类型转发示例

例如在公共的不安全的网络环境中, 可以使用SSH动态转发对网页浏览进行保护。如下面的动态转发命令格式。

假设8100为本地对外访问的端口号, 12.34.56.78为我们有权限进行连接的远程SSH服务器, 上述命令利用SSH创建了SOCKS代理服务, 我们可以在浏览器上将localhost:8100设置为正常的SOCKS代理使用。在SSH客户端和SSH服务器端的通信获得了加解密保护, 但要注意SSH协议也仅能对此段连接进行保护, 对SSH服务器端到目标网站的连接是无法保证安全的。

例如系统管理员经常会远程登录到如Linux、Unix、Solaris等服务器上并在其上以GUI方式进行程序开发或维护, 一般可以使用VNC协议及其工具, 本文讨论使用SSH结合XWindow实现X协议转发的方法。

使用XWindows需要X客户端及X服务器端, 如上文所述, X客户端即为远程Linux、Unix、Solaris服务器, X服务器端则是发起访问的本地机器, 一般正常情况下, 将X客户端的X窗口显示在X服务器端需要在X客户端指定X服务器端的位置, 如下列命令所示, 然后直接运行X应用即可。

如果远程服务器前端增加了防火墙并且不允许X协议通过, 此时可以使用SSH端口转发解决, 可在本地机器即X服务器端发起如下列命令所示的SSH连接, 在创建SSH连接的同时建立X转发并对X通讯数据进行加密。

连接建立后即可运行远程X应用, 建议不要改变建立X转发时系统自动设置的DISPLAY环境变量如localhost:10.0, 假如本地机器为Windows, 可以选择XMing作为X服务器端, SSH客户端可以选择如Pu TTY、Cygwin均可。

4 结语

本文讨论了利用SSH实现本地端口转发、远程端口转发、动态端口转发及X转发, 基本原理为在SSH连接基础上转发TCP连接以解决数据加密和突破限制。每种端口转发适合于不同的应用场景, 对于周知端口的应用可以使用本地或远程端口转发, 如果需要实现SOCKS代理加密则可以使用动态端口转发, 对于X应用显而易见可以使用X转发, 读者可以根据实际情况做不同的尝试。

参考文献