端口安全

端口安全（精选12篇）

端口安全 篇1

一、目前WLAN安全威胁

数据泄露:对不安全的无线通信进行窃听攻击可造成机密数据泄露、用户凭据被发现,甚至导致身份盗窃。经验丰富的攻击者可使用通过窃听收集的信息来发动对可能不容易受到攻击的系统的攻击。

1、数据截取和修改

能够访问网络资源的攻击者也能够将恶意系统插入在两个合法系统之间中途截取和修改数据的网络。

2、欺骗方式进行访问

访问内部网络使攻击者有机会伪造数据。这类攻击可以使用欺骗性电子邮件,较发来自外部来源的通信,当然内部用户更愿意信任这些邮件,为社会工程攻击和特洛伊木马插入提供了平台。

3、拒绝服务(Do S)

WLAN都容易受到Do S有意或无意的攻击。这些损害可能只是由像微波炉或某个设备一样简单的物体造成的,从而使网络塞满不加选择的通信。

4、自由加载

某些入侵者的目的可能只是为了能够自由访问因特网。虽然这种行为不是直接恶意行为或损害,但可能造成合法用户的网络连接速度更慢或者非托管媒介受到恶意软件的攻击。

5、恶意访问点攻击

即使企业没有无线网络,仍很容易受到来自非托管无线网络的安全威胁。无线硬件的价格相对便宜,因此任何员工都有可能在环境内部建立非托管和不受保护的网络。

二、WLAN端口访问机制

802.1x协议又称为基于端口的访问控制协议,可提供对802.11无线局域网和对有线以太网络的验证的网络访问权限。802.1x协议仅仅关注端口的打开与关闭,对于合法用户接入时,打开端口;对于非法用户接入或没有用户接入时,则端口处于关闭状态。

1、802.1x协议体系结构原理

IEEE 802.1x协议的体系结构主要包括三部分实体:客户端系统Supplicant System、认证系统Authenticator System、认证服务器系统Authentication Server System。

(1)设置客户端:一般为一个用户终端系统,该终端系统通常要安装一个客户端软件,用户通过启动这个客户端软件发起IEEE 802.1x协议的认证过程。

(2)设置认证系统:认证系统一般是支持IEEE 802.1x协议的网络设备。该设备对应于不同用户的端口有两个逻辑端口:受控(Controlled Port)端口和非受控端口(Uncontrolled Port)。第一个逻辑接入点(非受控端口),允许验证者和LAN上其它计算机之间交换数据,而无需考虑计算机的身份验证状态如何。非受控端口始终处于双向连通状态(开放状态),主要用来传递EAPOL协议帧,可保证客户端始终可以发出或接受认证;第二个逻辑接入点(受控端口),允许经验证的LAN用户和验证者之间交换数据。受控端口平时处于关闭状态,只有在客户端认证通过时才打开,用于传递数据和提供服务。受控端口可配置为双向受控、仅输入受控两种方式,以适应不同的应用程序。如果用户未通过认证,则受控端口处于未认证(关闭)状态,则用户无法访问认证系统提供的服务。

(3)设置认证服务器:认证服务器通常为RADIUS(Remote Authentication Dial In User Service)服务器,该服务器可以存储有关用户的信息,比如用户名和口令、用户所属的VLAN、优先级、用户的访问控制列表等。当用户通过认证后,认证服务器会把用户的相关信息传递给认证系统,由认证系统构建动态的访问控制列表,用户的后续数据流就将接受上述参数的监管。

2、设置802.1x认证协议

IEEE 802.1x使用标准安全协议(如RADIUS)提供集中的用户标识、身份验证、动态密钥管理和记账。

(1)802.1x身份验证可以增强安全性。IEEE 802.1x身份验证提供对802.11无线网络和对有线以太网网络的经验证的访问权限。IEEE 802.1x通过提供用户和计算机标识、集中的身份验证以及动态密钥管理,可将无线网络安全风险减小到最低程度。作为RADIUS客户端配置的无线接入点将连接请求和记账邮件发送到中央RADIUS服务器。中央RADIUS服务器处理此请求并准予或拒绝连接请求。如果准予请求,根据所选身份验证方法,该客户端获得身份验证,并且为会话生成唯一密钥,减少了非法用户访问的可能性。

(2)IEEE 802.1x为可扩展的身份验证协议EAP安全类型提供的支持使您能够使用诸如智能卡、证书以及Message Digest5(MD5)算法这样的身份验证方法。扩展身份验证协议EAP是一个支持身份验证信息通过多种机制进行通信的协议。利用802.1x,EAP可以用来在申请者和身份验证服务器之间传递验证信息。这意味着EAP消息需要通过LAN介质直接进行封装。认证者负责在申请者和身份验证服务器之间转递消息。身份验证服务器可以是一台远程身份验证拨入用户服务(RADIUS)服务器。

(3)另外,可设置产品提供SSID、IEEE802.1X、MAC地址绑定、WEP、WPA、TKIP、AES等安全机制,加强其安全性。

三、合理布置硬件及安全意识的提高

合理布置无线AP及工作站的位置,同样对网络安全性十分重要。例如,应将AP置于接近建筑物中心的地方,远离外向墙壁或窗户。这样不仅可使所有办公室能够更好地接入WLAN,而且还可减少来自外界的干扰,而且还应灵活地减少接入点广播强度,仅覆盖所需区域,减少被窃听的机会。

保障数据安全,网络技术主管需要采用最高安全保护措施,从最基本的安全制度到最新的访问控制、数据加密协议,采用的安全措施越多,其网络相对就越安全。当然,只靠软硬件的设置,远远不能保障数据的安全,最为重要的是提高用户的安全意识,并对各级网络用户负责其安全性,让所有网络用户都是“安全代理”。另外要帮助用户了解不采取安全保护的危险性,培训用户如何检查其电脑上的安全机制,并按需要激活这些机制,这样可以大幅度提高其网络的安全性。

总之,WLAN安全是一个复杂的工程,在防范中,应积极定期检查各级网络上的欺骗性或未知接入点。定期修改接入点上的缺省管理密码和SSID,并实施动态密钥(802.1x)或定期配置密钥更新,这样可以最大限度地减少非法用户接入网络的可能性。

参考文献

[1]王祥仲郑少京.局域网组建与维护实用教程[M].清华大学出版社.2007-7-1.

[2]陈明.网络安全教程[M].清华大学出版社2004-4-1.

[3]王钧民,邢丽.网络服务器配置与管理项目教程[M].电子工业出版社.2009年06月.

[4]http://it.china-b.com[EB/OL].

[5]马建峰.无线局域网的安全体系结构[M].高等教育出版社2008年5月.

[6]郭峰,曾兴雯等.无线局域网[M].电子工业出版社.1997.

[7]http://technet.microsoft.com[EB/OL].安全无线访问点配置.

端口安全 篇2

电脑在Internet上相互通信需要使用TCP/IP协议，根据TCP/IP协议规定，电脑有256×256(65536)个端口，这些端口可分为TCP端口和UDP端口两种。如果按照端口号划分，它们又可以分为以下两大类:

1.系统保留端口(从0到1023)

这些端口不允许你使用，它们都有确切的定义，对应着因特网上常见的一些服务，每一个打开的此类端口，都代表一个系统服务，例如80端口就代表Web服务。21对应着FTP，25对应着SMTP、110对应着POP3等。

2.动态端口(从1024到65535)

当你需要与别人通信时，Windows会从1024起，在本机上分配一个动态端口，如果1024端口未关闭，再需要端口时就会分配1025端口供你使用，依此类推。

但是有个别的系统服务会绑定在1024到49151的端口上，例如3389端口(远程终端服务)。从49152到65535这一段端口，通常没有捆绑系统服务，允许Windows动态分配给你使用。

二、如何查看本机开放了哪些端口

在默认状态下，Windows会打开很多“服务端口”，如果你想查看本机打开了哪些端口、有哪些电脑正在与本机连接，可以使用以下两种方法。

1.利用netstat命令

Windows提供了netstat命令，能够显示当前的 TCP/IP 网络连接情况，注意:只有安装了TCP/IP协议，才能使用netstat命令。

操作方法:单击“开始→程序→附件→命令提示符”，进入Dos窗口，输入命令 netstat -na 回车，于是就会显示本机连接情况及打开的端口。其中Local Address代表本机IP地址和打开的端口号(图中本机打开了135端口)，Foreign Address是远程计算机IP地址和端口号，State表明当前TCP的连接状态，图中LISTENING是监听状态，表明本机正在打开135端口监听，等待远程电脑的连接。

如果你在DOS窗口中输入了netstat -nab命令，还将显示每个连接都是由哪些程序创建的。上图2中本机在135端口监听，就是由svchost.exe程序创建的，该程序一共调用了5个组件(WS2_32.dll、RPCRT4.dll、rpCSS.dll、svchost.exe、ADVAPI32.dll)来完成创建工作。如果你发现本机打开了可疑的端口，就可以用该命令察看它调用了哪些组件，然后再检查各组件的创建时间和修改时间，如果发现异常，就可能是中了木马。

2.使用端口监视类软件

与netstat命令类似，端口监视类软件也能查看本机打开了哪些端口，这类软件非常多，著名的有TcpvIEw、Port Reporter、绿鹰PC万能精灵、网络端口查看器等，推荐你上网时启动Tcpview，密切监视本机端口连接情况，这样就能严防非法连接，确保自己的网络安全.

三、关闭本机不用的端口

默认情况下Windows有很多端口是开放的，一旦你上网，黑客可以通过这些端口连上你的电脑，因此你应该封闭这些端口。主要有:TCP139、445、593、1025 端口和 UDP123、137、138、445、1900端口、一些流行病毒的后门端口(如 TCP 2513、2745、3127、6129 端口)，以及远程服务访问端口3389。关闭的方法是:

①137、138、139、445端口:它们都是为共享而开放的，你应该禁止别人共享你的机器，所以要把这些端口全部关闭，方法是:单击“开始→控制面板→系统→硬件→设备管理器”，单击“查看”菜单下的“显示隐藏的设备”，双击“非即插即用驱动程序”，找到并双击NetBios over Tcpip，在打开的“NetBios over Tcpip属性”窗口中，单击选中“常规”标签下的“不要使用这个设备(停用)”，单击“确定”按钮后重新启动后即可。

②关闭UDP123端口:单击“开始→设置→控制面板”，双击“管理工具→服务”，停止Windows Time服务即可。关闭UDP 123端口，可以防范某些蠕虫病毒。

③关闭UDP1900端口:在控制面板中双击“管理工具→服务”，停止SSDP Discovery Service 服务即可。关闭这个端口，可以防范DDos攻击。

④其他端口:你可以用网络防火墙来关闭，或者在“控制面板”中，双击“管理工具→本地安全策略”，选中“IP 安全策略，在本地计算机”，创建 IP 安全策略来关闭。

四、重定向本机默认端口，保护系统安全

如果本机的默认端口不能关闭，你应该将它“重定向”。把该端口重定向到另一个地址，这样即可隐藏公认的默认端口，降低受破坏机率，保护系统安全。

例如你的电脑上开放了远程终端服务(Terminal Server)端口(默认是3389)，可以将它重定向到另一个端口(例如1234)，方法是:

1.在本机上(服务器端)修改

定位到下列两个注册表项，将其中的 PortNumber，全部改成自定义的端口(例如1234)即可:

[HKEY_LOCAL_MacHINESYSTEMCurrentControlSetControlTerminal Server

Wds dpwdTds cp]

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal Server

WinStationsRDP-Tcp]

2.在客户端上修改

端口安全 篇3

【关键词】局域网；VLAN；广播风暴；IP地址；MAC地址；端口；绑定

本人所在企业的以前网络结构较为单一，三百多台电脑共同存在于一个局域网内，使用同一个网关，都可以互相访问，因此导致当ARP病毒爆发时，对我公司网络造成极大的危害，使得本局域网瘫痪将近半月之久。为了能够有效防止该类事情的再次发生，防止网络病毒的蔓延扩散，我们便使用了VLAN+IP+MAC+端口绑定技术对局域网做了隔离保护，并有效控制了电脑的随意接入。

一、局域网介绍

局域网的发展是VLAN产生的基础，所以在介绍VLAN之前，我们先来了解一下局域网的有关知识。

局域网（LAN）通常是一个单独的广播域，主要由Hub、网桥或交换机等网络设备连接同一网段内的所有节点形成。处于同一个局域网之内的网络节点之间可以直接通信，而处于不同局域网段的设备之间的通信则必须经过路由器才能通信。随着网络的不断扩展，接入设备逐渐增多，网络结构也日趋复杂，必须使用更多的路由器才能将不同的用户划分到各自的广播域中，在不同的局域网之间提供网络互联。

但这样做存在两个缺陷：首先，随着网络中路由器数量的增多，网络延时逐渐加长，从而导致网络数据传输速度的下降。这主要是因为数据在从一个局域网传递到另一个局域网时，必须经过路由器的路由操作：路由器根据数据包中的相应信息确定数据包的目标地址，然后再选择合适的路径转发出去。其次，用户是按照它们的物理连接被自然地划分到不同的用户组（广播域）中。这种分割方式并不是根据工作组中所有用户的共同需要和带宽的需求来进行的。因此，尽管不同的工作组或部门对带宽的需求有很大的差异，但它们却被机械地划分到同一个广播域中争用相同的带宽。

二、VLAN技术介绍

VLAN（VirtualLocalAreaNetwork）即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。

VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域（或称虚拟LAN，即VLAN），每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。但由于它是逻辑地而不是物理地划分，所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里，即这些工作站不一定属于同一个物理LAN网段。

三、VLAN的划分与交换技术的关联

各企业的信息网络普遍使用二层交换技术的网络架构实现。随着企业信息化水平的提高，企业信息系统网络规模不断扩大，随之而来的网络安全、网络流量、网络通信速度、网络维护工作量等问题明显增加。但是二层交换技术架构网络的主要弱点是：在局域网内不能划分VLAN，网络物理链路存在安全漏洞，同一个网段内的工作站过多会引起广播风暴，甚至导致网络瘫痪，不能有效地解决各种网络互连、安全控制等问题。三层交换技术的出现主要是为了解决规模较大的网络中的广播问题，通过VLAN把一个大的交换网络划分为多个较小的广播域，各个VLAN之间再采用三层交换技术互通。企业信息网络采用三层交换技术，可以确保计算机网络更加合理、安全、有效。

四、VLAN与绑定技术的结合

在三层交换机中可在VLAN间采用访问控制策略，能够加强网络的整体安全。在核心层和汇接层交换机的接口上建立访问控制列表来实现VLAN之间的访问控制，决定哪些用户数据流可以在VLAN之间进行交换，以及最终到达核心层。为了能够进一步确保网络安全，禁止外来人员随意进入局域网，可结合三层交换机的IP+MAC+端口的绑定命令来规范局域网设备接入规则。这样一方面可以有效控制住电脑的移动，确保网络安全的同时，也为计算机台账管理提供了方便，计算机更换部门后，必须更换绑定的端口方可上网。

5VLAN+IP+MAC+端口绑定实施过程

首先规划各个部门的VLANID（如图一），收集各个部门的MAC地址信息和各个部门所在三层交换机的端口号。然后分别给每台电脑分配IP地址，网卡MAC地址，并做成excel表格，便于后期查询。然后就是在三层交换机上划分VLAN和做IP、MAC、端口三者绑定。由于绑定端口的命令要三百多条，数量庞大，在这里有个小诀窍：可以通过前期生成的表格，按照命令格式，先做一条命令出来，剩余的按照前后顺序排好IP、MAC和端口，分别在这三个字段前加入相应的命令行格式，最后复制到普通的文本文档中，则可得到完整的命令。另外一种方式则可利用文字编辑软件（ultraedit等）替换命令，把识别字符替换成命令行字符命令格式。

在具体实施的过程中，没有遇到太大的障碍。就是前期交换机配置需要大量时间，当所有交换机配置完成，并导入绑定的命令行后，开始实际运行时，会有少量的电脑需要做部分调整，运行一段时间后，则开始趋于稳定。

图一公司VLAN规划

五、结束语

经过企业内部网络改造，大规模的病毒爆发再没有发生，给公司的正常办公提供了技术保障，同时也大大的降低了因病毒造成的计算机维护量。

作者简介：

端口安全 篇4

随着计算机的普及和互联网的高速发展, 网络已不再是虚无缥缈的世界, 为人们工作生活带来了极大的便利和创造了巨大的经济效益, 但随之而来的网络安全问题也日益凸显, 黑客、木马等让人们防不胜防, 头疼不已。特别是木马, 具有很强的隐蔽性、突发性和攻击性, 致使很多用户往往是在自己的密码被盗、机密文件丢失的情况下才知道自己已经中了木马。

对于一般用户来说, 除了安装杀毒软件, 不停升级和下载系统补丁之外, 并没有多少防范木马的技巧。其实, 我们不需要了解太多木马的工作原理, 只需要在计算机通信进出通道上把好关就行了。对于木马和其他任何程序而言, 只要涉及到计算机之间的相互通信就必然涉及到计算机端口, 端口的重要性不言而喻。TCP/IP协议规定:端口号的范围是从0～65535。在Internet上, 按照协议类型端口被分为TCP和UDP端口两类, 而从端口的分配来看端口被分为固定端口和动态端口两大类, 其中固定端口 (0～1023) 使用集中式管理机制, 即服从一个管理机构对端口的指派, 这个机构负责发布这些指派。由于这些端口紧绑于一些服务, 所以黑客、木马程序会经常地扫描这些端口来判断对方是否开启了这些服务, 而我们可以通过关闭一些经常遭受攻击而正常情况下不需要使用的端口来大大降低我们计算机的安全风险。如TCP的135, 139, 445和UDP的135、139、445等熟知端口。下面就详细介绍通过计算机IP安全策略来关闭这些端口的方法。

2、设置过程

让我们正常启动计算机, 进入操作系统, 点击控制面板-管理工具-本地安全策略, 选中“IP安全策略, 在本地计算机”, 在右边空白处右击鼠标, 选择“创建IP安全策略”, 在弹出的向导中点“下一步”, 为新的安全策略命名, 再“下一步”, 显示“安全通信请求”, 把“激活默认相应规则”左边的勾去掉点击完成按钮。在弹出的属性对话框中, 把“使用添加向导”勾去掉, 单击“添加”。弹出“新规则属性”对话框, 点“添加”, 弹出IP筛选器列表窗口, 把“使用添加向导”勾去掉, 点“添加”, 添加新的筛选器。进入“筛选器属性”对话框, 首先看到选址, 源地址选“任何I P地址”, 目标地址选“我的IP地址”。点击“协议“选项卡, 在“选择协议类型”下拉列表中选择“TCP”, 在“到此端口”下输入135, 点击“确定”。如图1所示:

回到筛选器列表的对话框可以看到已添加一条策略。重复以上步骤添加TCP端口139, 445和UDP端口135、139、445。如图2所示:

在“新规则属性”对话框, 选择“新IP筛选器列表”, 点击“筛选器操作”选项卡, 把“使用添加向导”勾去掉, 点击添加。添加“阻止”:在“新筛选器操作属性”的“安全措施”选项卡中, 选择“阻止”, 然后点确定。进入“新规则属性”对话框, 点击“新筛选器操作”点关闭, 回到“新IP安全策略属性”对话框, 在“新的IP筛选器列表”左边打勾, 按确定。在“本地安全策略”窗口, 用鼠标右击添加的IP安全策略, 然后选择指派, 重启计算机。

3、结语

通过上述操作, 这些经常遭受攻击的端口就被关闭了, 木马和黑客再也不能连上这些端口了, 从而达到了保护我们计算机的目的。

摘要：本文介绍通过IP安全策略来关闭经常遭受攻击的计算机端口的方法, 达到保护计算机安全的目的。

关键词：IP安全策略,端口,木马

参考文献

[1]曹天杰等编著.计算机系统安全[M].北京:高等教育出版社, 2003.

[2]冯元等.计算机网络安全基础[M].北京:科学出版社, 2003.

[3]董玉格等.网络攻击与防护-网络安全与实用防护技术[M].北京:人民邮电出版社, 2002.

Cisco交换机端口安全介绍 篇5

配置网络安全时应该注意如下问题：

1.下面四种端口不能设置：

a.不能是Trunk口.

b.不能是SPAN口

c.不能是EtherChannel口

d.不能是private-VLAN口

2.实现安全端口的大致步骤

a.#conf t

#int interface_id

config-if#switchport mode access

config-if#switchport port-security (启用安全模式)

config-if#switchport port-security maximum value (value=1-3072,指该端口所接计算机台数)

config-if#switchport port-security limit rate invalid-source-mac

config-if#switchport port-security [aging time aging_time |type{absolute|inactivity}] (设置安全端口的老化时间,范围是0-1440min，是可选的)

config-if#switchport port-security mac-address sticky  (启用sticky learning)

最后别忘记保存设置：

#copy running-config startup-config

在Cisco中有以下三种方案可供选择，方案1和方案2实现的功能是一样的，即在具体的交换机端口上绑定特定的主机的MAC地址（网卡硬件地址），方案3是在具体的交换机端口上同时绑定特定的主机的MAC地址（网卡硬件地址）和IP地址，

ip与mac地址的绑定，这种绑定可以简单有效的防止ip被盗用，别人将ip改成了你绑定了mac地址的ip后，其网络不同，（tcp/udp协议不同，但netbios网络共项可以访问），

具体做法：

cisco(config)#arp 10.138.208.81 0000.e268.9980 ARPA

这样就将10.138.208.81 与mac:0000.e268.9980 ARPA绑定在一起了

三、ip与交换机端口的绑定，此种方法绑定后的端口只有此ip能用，改为别的ip后立即断网。有效的防止了乱改ip。

cisco(config)# interface FastEthernet0/17

cisco(config-if)# ip access-group 6 in

cisco(config)#access-list 6 permit 10.138.208.81

这样就将交换机的FastEthernet0/17端口与ip:10.138.208.81绑定了。

方案1——基于端口的MAC地址绑定:

思科2950交换机为例，登录进入交换机，输入管理口令进入配置模式，敲入命令:

Switch#config terminal           ＃进入配置模式

Switch(config)# Interface fastethernet 0/1      ＃进入具体端口配置模式

Switch(config-if)switchport port-security mac-address MAC(主机的MAC地址)

＃配置该端口要绑定的主机的MAC地址

Switch(config-if)no switchport port-security mac-address MAC(主机的MAC地址)

＃删除绑定主机的MAC地址

注意：以上命令设置交换机上某个端口绑定一个具体的MAC地址，这样只有这个主机可以使用网络，如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用，除非删除或修改该端口上绑定的MAC地址，才能正常使用，

（以上功能适用于思科2950、3550、4500、6500系列交换机）

方案2——基于MAC地址的扩展访问列表

Switch(config)Mac access-list extended MAC10

＃定义一个MAC地址访问控制列表并且命名该列表名为MAC10

Switch(config)permit host 0009.6bc4.d4bf any

＃定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机

Switch(config)interface fa0/20

#进入配置具体端口模式

Switch(config)mac access-group MAC10 in

＃在该端口上应用名为MAC10的访问列表（即前面我们定义的访问策略）

Switch(config)no mac access-list extended MAC10

＃清除名为MAC10的访问列表

此功能与应用一大体相同，但它是基于端口做的MAC地址访问控制列表限制，可以限定特定源MAC地址与目的地址范围。

注意：以上功能在思科2950、3550、4500、6500系列交换机上可以实现，但是需要注意的是2950、3550需要交换机运行增强的软件镜像（Enhanced Image）

方案3——IP地址的MAC地址绑定

只能将应用1或2与基于IP的访问控制列表组合来使用才能达到IP-MAC 绑定功能。

Switch(config)mac access-list extended MAC10

#定义一个MAC地址访问控制列表并命名为MAC10

Switch(config)permit host 0009.6b4c.d4bf any

#定义MAC地址为0009.6b4c.d4bf 的主机可以访问任何主机

Switch(config)permit any host 0009.6b4c.d4bf

#定义任何主机可以访问MAC为0009.6b4c.d4bf的主机

Switch(config)ip access-list extended IP10

#定义一个IP地址访问控制列表并且命名为IP10

Switch(config)permit 192.168.0.1 0.0.0.0 any

#定义IP地址为192.168.0.1的主机可以访问任何主机

Switch(config)permit any 192.168.0.1 0.0.0.0

#定义任何主机都可以访问IP地址为192.168.0.1的主机

完成了这一步就可以进入端口配置模式去配置端口啦!

Switch(config)int fa0/20

#进入端口配置模式

Switch(config-if)

＃在该端口上应用名为MAC10的访问列表（即前面我们定义的访问策略）

Switch(config-if)ip access-group IP10 in

＃在该端口上应用名为MAC10的访问列表（IP访问控制列表哟）

下面是清除端口上的访问控制列表

带USB端口的插座壳 篇6

NET-A-PORTER的旅游指南告诉你半岛酒店周围有什么好玩

忙着与 YOOX 进行资本市场运作的 NET-A-PORTER 也没放弃其他合作机会。日前，其宣布将与半岛酒店联手，推出一系列经过深度定制的城市旅游指南。十名导游将深入巴黎、香港、上海、马尼拉、比佛利山庄和纽约等地，以当地半岛酒店为中心，在半径一英里的范围内，挖掘当地的购物、美食以及独特的旅游景点，并编撰成册。

以 NET-A-PORTER 编辑们和半岛酒店的品味，可以想象这些游玩贴士一定是主打奢华和舒适的旅行体验。在这个方面，LOUIS VUITTON 同样也有话语权，它们在 1998 年就开始发行《路易威登旅游指南》，目前已为旅行者们准备了 21 座城市的旅游指导，并且还在不断更新之中。

NET-A-PORTER的旅游指南告诉你半岛酒店周围有什么好玩

忙着与 YOOX 进行资本市场运作的 NET-A-PORTER 也没放弃其他合作机会。日前，其宣布将与半岛酒店联手，推出一系列经过深度定制的城市旅游指南。十名导游将深入巴黎、香港、上海、马尼拉、比佛利山庄和纽约等地，以当地半岛酒店为中心，在半径一英里的范围内，挖掘当地的购物、美食以及独特的旅游景点，并编撰成册。

以 NET-A-PORTER 编辑们和半岛酒店的品味，可以想象这些游玩贴士一定是主打奢华和舒适的旅行体验。在这个方面，LOUIS VUITTON 同样也有话语权，它们在 1998 年就开始发行《路易威登旅游指南》，目前已为旅行者们准备了 21 座城市的旅游指导，并且还在不断更新之中。

送披萨的蓝色机器人

，你将在英国街头看到驮着大箱子的蓝色机器人，它们正是达美乐旗下的无人送货车。这些小型运输工具配有 GPS 导航系统，可实时计算最短路程，尽快将客户的餐点送上门，而它具备加热保温功能的存货舱也更大，装载量为人工送货员的 4 倍，使得品牌可以大大减少人工消耗、降低成本。

Pure Cool把空气净化器做到了无叶风扇里

dyson 召开发布会公布新品 Pure Cool。具体来说，Pure Cool 的上半部分是我们非常熟悉的无叶风扇的样子（以白色主打款的 Pure Cool 和 AM07 几乎没有不同），而在传统旋转底座上把空气净化器的模块做了进去。dyson 当家的气流倍增技术（Air Amplifier）、高能效直流马达等在提供风扇功能的同时，也用来吸入空气和吹出净化后的空气，Pure Cool 还成为目前唯一一款具备摆动功能的空气净化器——相比绝大多数净化器垂直吸入和送风的设计，Pure Cool 的方案更利于将清洁空气均匀输送到整个空间。

索尼移动线下渠道全关闭，买Xperia只能到直营店和天猫

索尼移动开始关闭全国所有线下渠道，仅在索尼直营店进行销售，此外索尼的天猫店将承担起主要的销售任务，线上销售的产品与国际版硬件统一，软件同样经过了本地化。

端口安全 篇7

关键词：交换机端口安全,MAC地址,网络接入安全,计算机资产,信息安全

供电企业内部网络覆盖面广、信息点多、承载公司管理、生产等各种业务。网络的安全稳定运行是各个系统正常使用的基础。加强对网络的管理控制, 保证网络稳定运行变得十分重要。通过对网络的调查, 发现网络中存在以下几个问题。 (1) 外部计算机随意接入 (例如外单位人员携带的笔记本) , 外部计算机的接入极有可能给公司内网带来病毒, 木马甚至恶意攻击。 (2) 公司信息点分布范围广, 超出网络管理员人工能监管的范围。这些地方存在用户私自从接入层机房或现有信息点拉接网线, 擅自延伸网络边缘信息点。这种行为使得网络的接入信息点不可控制。 (3) 用户任意调换、搬移计算机等问题也给信息安全带来了问题, 同时也使得计算机资产的管理混乱, 计算机经过多次调换和迁移后, 流向十分混乱。端口安全策略通过MAC地址来对网络流量进行管理和控制。通过在端口上指定具体MAC地址数据和数量、配合网络维修和资产登记, 可以有效避免以上问题。

1 端口安全策略实施

(1) 建立计算机登记表格, 该表格结合了计算机资产管理。表格主要包括了计算机的基本配置信息, IP地址、MAC地址和安放地点等信息。

(2) 以接入层机房为单位, 然后分片、分步、逐台登记计算机。

(3) 根据登记的资料, 对该接入层交换机端口进行端口安全策略实施, 关闭未使用的端口。

(4) 任何错误的交换机端口安全策略和端口关闭, 都会引起用户计算机终端的网络中断。通过用户主动的网络报修, 逐步完善端口安全策略配置和资料 (见图1) 。

2 交换机端口安全实施相关命令

本文所列配置命令均为在实施端口安全时需要使用到的思科交换机配置命令, 命令实例均为真实交换机配置。

2.1 查看对应m a c地址的交换机端口命令和实例

命令:swich#show mac-address-tablea d d H.H.H

2.2 端口安全策略命令和实例

(1) swich (config) #interface type solt/p o r t

命令解释:进入端口配置模式。

(2) swich (config-if) #switchport mode access

命令解释:设置端口模式为access模式, 该模式是端口连接计算机的模式。

(3) swich (config-if) #switchport portsecurity

命令解释:启动端口安全策略。

(4) swich (config-if) #switchport portsecurity maximum<1–5120>

命令解释:定义端口允许通讯的最大MAC地址数量, 默认为1。

(5) swich (config-if) #switchport portsecurity mac-address H.H.H

命令解释:指定端口允许通过的MAC地址, 如有多个MAC地址, 可重复多次使用该命令。

(6) swich (config-if) #switchport portsecurity violation protect|restrict|shutdow

命令解释:非指定MAC地址计算机接入该端口后, 交换机端口做出的反应。有三个可选参数:protect (丢弃该数据包) 、restrict (仅发送trap通知) 和shutdown (端口关闭) 。

2.3 端口关闭命令

(1) swich (config) #interface type solt/p o r t

命令解释:进入端口配置模式。

(2) swich (config-if) #shutdown

命令解释:关闭端口。

3 交换机端口安全策略实施效果

端口发生违规MAC地址接入后, 我们采用了端口自动关闭的方式。即一旦发生违规接入, 端口将自行关闭, 任何连接在该端口的网络流量都将被丢弃。一旦用户报修网络, 网络维护人员会首先查看用户对应的交换机端口状态, 以确定用户是否发生了违规行为。

(1) 未经登记的外部计算机连接到网络引起端口err-disable, 用户网络中断。

(2) 从手工关闭的交换机端口私自拉接网线, 网络无法使用。

(3) 用户下联网络设备例如HUB或路由器, 并其它接入计算机, 引起交换机端口err-disable, 用户网络中断。

(4) 用户擅自的调换或者搬移电脑位置后, 插入其它信息点引起交换机端口关闭。

对于得许可的用户计算机的新增、调换和搬迁, 处理流程如下 (见图2) 。

端口安全策略使用中的问题如下。

端口安全策略的实施, 使得网络的管理变得十分严格。用户的很多违规行为都会引起网络中断, 如果管理不到位, 会给网络管理人员带来很多繁琐的工作。在实施端口安全策略的同时, 必须制定和发布相应的规章制度和考核办法, 以规范用户行为。

端口安全策略需要完全手工配置, 改动起来比较麻烦;端口安全策略的有效实施, 需要和维修、计算机资产登记人员密切配合, 才能起到更好的效果。

4 结语

端口安全 篇8

FC SAN(光纤通道存储区域网)的出现解决了大量数据管理和存储的问题,这意味着存储器和服务器进行了分离,在网络存储业界有着划时代的意义。但在FC存储网络环境中,每一个服务器都可以共享访问磁盘阵列,这造成了FC SAN中存储数据的安全性问题,所以信息安全在FC SAN中是一个重要的问题,它涉及到的技术手段包括数据加密和访问控制等。使用ZONE划分及LUN掩码解决这方面的问题主要是通过对SAN的设置实现的,它的主要问题是缺乏灵活性和对数据的访问控制[1]。

在这种情况下,设计和实现FC存储网络中的安全访问特性,从交换机端口上来保证FC SAN中存储数据访问的安全。该系统依据存储网络中每台设备惟一登录接口名,在网络中的交换机上对登录设备进行检查权限,只有通过检查的才能进行访问磁盘阵列。与传统的ZONE划分和LUN掩码解决方法相比,其更具有精确性、安全性和灵活性。

网络安全可以从点和线及面三种不同的角度来解决。FC存储网络端口安全系统依据的是点的角度,即在交换机端口上来保证访问的安全性,具有较高的精确性、灵活性,它并不依赖固定的网络形式。即当新接入一台设备时,只要配置相关的规则就可以控制其访问网络中其他设备,而当有设备从网络中下线时,也只须删除相关规则。

1 系统功能结构

存储网络主要包含节点设备和交换机,当然除了交换机以外的服务器和存储设备都被称之为网络节点 (Node)设备,其通过交换机接入到存储网络中,并进行数据的传输。支持FC协议的交换机提供数据转发和网络控制。图1为FC协议通信模型,服务器通过FC交换机1和FC交换机2来访问磁盘阵列,并进行数据的读取和存储。这种通信没有进行安全访问控制,它的缺点可能会造成数据泄密或者篡改。

为了保证FC SAN中数据访问的安全性,在交换机上增加了安全访问控制功能,设计该系统的模块结构如图2所示。

获取登录设备信息模块,获取连接交换机的网络节点设备或者另一台交换机的登录信息;登录设备权限查询模块,判断登录设备是否有权限进行登录访问;存储库模块,保存着一些信息;登录访问反馈模块,交换机权限检查完之后对登录设备访问的反馈。

该系统的端口采用的安全策略是:只要具备条件的设备可以进行登录访问,不具备条件的设备不能进行登录访问。登录的条件有两种:

(1)如果存储库中有对应的规则,登录设备在权限检查时会查询到,然后就可以允许设备登录访问;

(2)如果存储库中没有对应的规则,但系统的学习机制将登录设备的信息形成了一条新的规则,则允许设备登录访问。

规则的内容是由WWN和交换机上的端口组成。 如果登录设备的登录信息和规则的内容相匹配则授权设备可以登录访问;如果登录设备的登录规则和登陆信息的内容不相匹配,则结果就是拒绝设备访问。

该系统主要功能包含规则学习功能、配置功能、权限检查功能、信息查看功能和系统稳定性功能。

2 系统关键技术

2.1 FC 技术

FC作为一种高速传输数据的技术标准,可以为存储网络用户提供高速、高可靠性以及稳定安全性的数据传输,在SAN中得到广泛应用。在存储局域网中,硬件设备(包括服务器,交换机和磁盘设备等)都必须支持FC协议才能正常地进行数据的传输。

FC协议是分层的协议,虽然与网络OSI模型具有相似性,但它并不直接对应OSI各层功能。FC协议分为5层,每层协议都具有实现独自的功能。

2.2 VSAN 技术

虚拟区域存储网络(Virtual Storage Area Network, VSAN)是一种对于SAN实体网络进行的虚拟逻辑划分。类似于以太网VLAN划分。FC网络管理员可以根据实际应用需求,将一个物理SAN网络分隔成多个相互隔离的逻辑SAN网络,即虚拟存储网络(VSAN),每个VSAN可以独立运行,独立提供各种服务。VSAN既可以保证安全性,又可以满足不同用户的需要。

VSAN的划分实现了将一个物理连通的存储网络分割成多个逻辑上的虚拟存储网络,每个VSAN相互隔离,并独立提供服务,增强了网络的适应性、安全性,使其能够为用户提供更有效的服务。用户可以通过配置VSAN相关的数据来实现VSAN划分。根据链路连接在实际应用中的不同需求,通过向交换机输入相关命令行的方法,将交换机的各种端口以不同的连接方式,配置进入指定VSAN之中,实现运用VSAN逻辑划分隔离实际物理网络的功能。但是VSAN管理的范围仅包括交换机上的端口,不包括与交换机相连的节点设备的N端口。

N端口发送的报文不会带有VSAN信息,其所属的VSAN只能由与其相连的交换机设备的端口(F端口)所在的VSAN决定,如果F端口所在VSAN相同,表明对应N端口属于同一个VSAN。相同VSAN内的N端口,只要注册了名字服务就可以相互访问,即一台服务器可以访问VSAN内任意磁盘。所以仅仅通过VSAN不能对接入Fabric的存储服务器及磁盘设备,即N端口进行访问控制。这样给数据安全带来隐患,尤其在不同操作系统环境下,很容易对磁盘数据造成损坏[2]。因此,端口安全功能建立在VSAN下,对相同VSAN下设备访问进行控制。

2.3 配置恢复技术

当交换机因故障需要重启时,为了保证设备的配置在重启后不发生变化,交换机需要通过配置恢复机制来完成系统启动时的配置恢复工作。配置恢复方法有基于字符串格式配置文件的恢复和基于二进制格式配置文件的恢复。

字符串格式配置文件记录了用户配置的所有命令字符串,并以一定的格式组织,配置恢复时再将这些命令逐个读取出来,按一定的顺序逐一执行,结果就相当用户可以对设备配置一模一样。这种配置恢复方式采取单任务的方式,每个模块可以按一定的顺序,按顺序经过命令的解析、命令的匹配以及命令的下发等流程, 以完成需要恢复的工作[3]。这种方法在配置恢复时各模块有着比较强的耦合性,它要求各个模块需要按一定的顺序进行恢复工作,所以完成配置恢复所用时间将会随着配置文件的增大而逐步增大。

配置恢复的过程顾名思义就是将配置数据赋值于配置载体的一个过程。它可以在信息收集时,直接存储其已经配置的数据,再以二进制文件的形式进行保存; 在配置恢复时进一步读取配置文件内的配置值,最后直接将已经配置了的信息赋值到配置的载体上的过程,可见它简化了配置恢复的过程,从而大大地提高了配置恢复的效率。

配置恢复技术可以高效地保障异常情况下端口安全功能稳定性。

2.4 主备倒换技术

主备系统又被称为是双机系统,它主要是通过设备冗余的方式进而实现系统的可靠性、稳定性和安全性的重要措施。在现代通信技术当中,为了保证双机系统的稳定性及其可靠性,许多重要的设备都将会采用主设备保护的设计方法。即在一般情况下,主设备通常处于正常的工作状态,从设备则处在备用的状态,当它在满足一定的触发条件(如后台人机命令倒换、主用设备出现故障等)就会使得原备用设备成为主设备,而原主设备则转为备用状态,这种双机的状态改变过程就是所谓的系统主备倒换的过程[4]。当然主设备的倒换主要可以分为两类,一类是为了完成某些特定了的功能,如版本的升级,即首先在备用设备上实现版本升级,然后主设备主动要求倒换,从而平滑地完成了版本升级;另一类是主设备故障引起系统的主备倒换,使系统不至于因为某个设备的意外故障而瘫痪。通信领域内主备倒换的原则应遵循两个原则:

(1)倒换时底层不丢消息;

(2)倒换时要保证其在进行的通话能够顺利进行。

主备倒换技术能够增强端口安全功能的健壮性,保证它的正常运行。

3 系统设计

3.1 学习机制

规则在该系统中扮演着很重要的角色,系统依据规则对登录设备进行权限检查,即规则控制着设备登陆的访问权限。规则则可由管理员手工配置,但如果需要知道相关信息,比如在网络中对应设备的WWN以及端口名。但是如果有好多登录设备在交换机不同端口上登录时,则在这种情况下就需批量配置规则,这将会造成管理员有很大的工作量,将会带来非常不便。

学习机制则主要提供了规则自动学习的功能,它所形成的规则和规则库中的规则的格式基本一致,最后再存入学习库[5]。最后,登录的设备则主要在学习机制的情况下得到了访问权限。学习库中的规则不能在交换机重启后得以保留,而如果还需要保留学习的规则,则还需要转化成规则库中的规则。学习机制则主要是为了允许没有配置过相应规则的设备具有登录访问的权限而设立的,但如果在登录设备中存在不允许登录的设备,则学习机制就得需要关闭。

3.2 拒绝登录信息

拒绝登录信息是指当登录设备访问时没有获得登录访问权限而存入记录库的相关信息。拒绝登录信息的内容主要包括WWN、登录端口、拒绝次数、上一次拒绝时间。权限检查之后允许登录的记录登录信息,拒绝登录的记录的信息,该系统就会保留每一个设备的登录访问信息,这就为管理员查看网络中设备通信状况提供了很大的便利。当然为更好地展现网络中设备的通信情况,在交换机重启后还要做的工作就是保留历史信息[6]。 但是,如果保留历史信息这就意味着它将会产生很大的数据量,如果一直增加的话就会达到它所能够接受的上限,所以需要老化机制,即达到信息上限时,时间最早的拒绝登录信息就将被新的拒绝登录信息代替掉。

3.3 统计信息

统计信息主要统计的是登录设备在交换机上进行检查权限时的结果,主要包括登录设备检查通过,nwwn检查通过,swwn检查通过,pwwn检查拒绝,nwwn检查拒绝,swwn检查拒绝,总共通过和总共拒绝共8项内容。网络节点主要拥有pwwn和nwwn,交换机主要拥有swwn[7]。 当在权限检查时,对于网络节点设备,分别检查pwwn、 nwwn,检查通过计入对应通过的统计次数,检查拒绝计入对应拒绝的统计的次数,而对交换机设备而言,检查swwn,检查结果则同样将计入相应项中。统计信息就反映了系统中端口安全策略的效果。由于规则可以配置和学习,因此当系统的端口安全策略在处于变化中时,交换机在关机重启后就不用再保留统计的信息,那么就会知道统计次数归零。

4 实验结果

测试环境如图3所示,服务器连接交换机的端口WWN为pwwn3,服务器的WWN为nwwn3,服务器连接FC交换机1的fc1端口,FC交换机1的WWN为swwn1,FC交换机1中的fc3端口和FC交换机2的fc2端口相连接,FC交换机2的WWN为swwn2,磁盘阵列连接的FC交换机2的fc4端口,磁盘连接交换机的端口WWN为pwwn4,磁盘阵列的WWN为nwwn4。

现在接下来进行规则配置来验证端口访问的控制功能,FC1,FC2配置规则如表1、表2所示。

服务器登录后就访问磁盘阵列,首先是服务器登录FC1,它主要功能室查找规则,发现访问权限允许,然后发现FC1和FC2各有对方相应的登录规则,允许相互访问,最后发现磁盘阵列在FC2上没有规则。造成这种结果主要有两种情况:

(1)FC2的学习机制打开,则磁盘阵列可以登录到FC2上,服务器可以通过访问磁盘阵列;

(2)FC2的学习机制关闭,则磁盘阵列就不可以再登录到FC交换机上,从而最后服务器就不能访问磁盘阵列。

在信息查看功能中显示拒绝的登录信息如表3所示,显示统计信息则如表4所示。

最后值得说明的是本次实验使用的平台是Win dows7操作系统的PC机系统,HP Network Simulator的功能主要用来模拟组网,Oracle VM Virtual Box则主要是作为虚拟机,Sim ware则是作为模拟器。

5 结论

端口攻防技术分析 篇9

在Internet上，各主机间通过TCP/TP协议发送和接收数据报，各个数据报根据其目的主机的i地址来进行互联网络中的路由选择。可见，把数据报顺利的传送到目的主机是没有问题的。问题出在哪里呢?我们知道大多数操作系统都支持多程序（进程）同时运行，那么目的主机应该把接收到的数据报传送给众多同时运行的进程中的哪一个呢？为了解决这个问题，我们引入了端口机制。"端口"是英文ort的译义，我们可以认为是计算机与外界进行信息交换的出口。在数据报传送过程中,本地操作系统首先会为需求的进程分配逻辑端口，每个逻辑端口由一个正整数标识，如：80,139,445，等等。当目的主机接收到数据报后，将根据报文首部的目的端口号，把数据发送到相应端口，而与此端口相对应的那个进程将会领取数据并等待下一组数据的到来。

1 端口的分类

逻辑意义上的端口有多种分类标准，下面将介绍两种常见的分类：

1.1 按端口号分布划分

1.1.1 动态和/或私有端口（Dynamic and/or Private Ports）：端口的范围从49152到65535，理论上，不应为服务分配这些端口。实际上，机器通常从1024起分配动态端口。但也有例外：SUN的RPC端口从32768开始。

1.1.2 注册端口（Registered Ports）：从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口，这些端口同样用于许多其它目的。例如：许多系统处理动态端口从1024左右开始。

1.1.3 公认端口（Well Known Ports）：从0到1023，它们紧密绑定（binding）于一些服务,比如21端口分配给FTP服务，25端口分配给SMTP（简单邮件传输协议）服务，80端口分配给HTTP服务，135端口分配给RPC（远程过程调用）服务等等。通常这些端口的通讯明确表明了某种服务的协议。

1.2 按协议类型划分

按协议类型划分，可以分为TCP、UDP、IP和ICMP(Internet控制消息协议）等端口。下面主要介绍TCP和UDP端口：

1.2.1 TCP端口

TCP端口，即传输控制协议端口，需要在客户端和服务器之间建立连接，这样可以提供可靠的数据传输。常见的包括FTP服务的21端口，Telnet服务的23端口，SMTP服务的25端口，以及HTTP服务的80端口等等。

1.2.2 UDP端口

UDP端口，即用户数据包协议端口，无需在客户端和服务器之间建立连接，安全性得不到保障。常见的有DNS服务的53端口，SNMP（简单网络管理协议）服务的161端口，QQ使用的8000和4000端口等。

2 端口攻击分类

如果把服务器比作房子，那么端口则是通向房子中各个房间的门，入侵者要占领这间房子，只需打开这道门。显然，端口在网络攻击过程中是攻防双方必争的一座重要堡垒。“端口侦听”与“端口扫描”是黑客攻击和防护经常要用到的两种端口技术。在黑客攻击时利用它们可以准确地寻找攻击的目标，获取有用信息。

2.1 端口侦听（Ports Listening）

“端口侦听”是利用某种程序对目标计算机的端口进行监视，查看目标计算机上有哪能些端口是空闲、可以利用的。通过侦听还可以捕获别人有用的信息，这主要是用在黑客软件中，但对于个人来说也是非常有用的，可以用侦听程序来保护自己的计算机，在自己计算机的选定端口进行监视，这样可以发现并拦截一些黑客的攻击。也可以侦听别人计算机的指定端口，看是否空闲，以便入侵。

2.2 端口扫描(ort scanning)

“端口扫描”（ort scanning）是通过连接到目标系统的TCP协议或UDP协议端口，来确定什么服务正在运行。现在有许多人把“端口侦听”与“端口扫描”混为一谈，根本分不清什么样的情况下要用侦听技术，什么样的情况下要用扫描技术。现在的软件也似乎对这两种技术有点模糊了，有的干脆把两个功能都集成在一块。“端口扫描”与“网络扫描”是同一所指，只不过因为“网络扫描”最终还是通过对网络端口的扫描来达到目的，所以也就通俗地称之为“端口扫描”。

“端口扫描”通常指用同一信息对目标计算机的所有所需扫描的端口进行发送，然后根据返回端口状态来分析目标计算机的端口是否打开、是否可用。“端口扫描”行为的一个重要特征是：在短时期内有很多来自相同的信源地址传向不同的目的地端口的包。

3 端口安全防御

计算机之间通信是通过端口进行的，例如你访问一个网站时，Windows就会在本机开一个端口（例如1234端口），然后去连接远方网站服务器的一个端口，别人访问你时也是如此情景。在默认状态下，Windows会在你的电脑上打开许多服务端口，嘏黑客恰恰利用了这些端口来实施其入侵行为的。因此，有效进行端口安全防御是保证网络安全的重要基础。常见端口防御工作如下：

3.1 关闭不需要的端口

对一般上网用户来说只要能访问Internet就行了，并不需要别人来访问你，也就是说没有必要开放服务端口，在WIN 98可以做到不开放任何服务端口上网，但在Win XP、Win 2000、Win 2003下一些服务端口是默认开放的，因此，我们可以关闭不必要的端口。

3.1.1 关闭137、138、139、445端口

这几个端口都是为实现网络资源共享而开的，是NetBios协议的具体应用，通常作为普通的网络用户是不需要别人来共享你的资源的，而且上述也是漏洞最多的端口。关闭这几个端口的方法就是关闭系统默认共享。

3.1.2 关闭123端口

有些蠕虫病毒可利用UDP 123端口，关闭的方法手动停止系统的windows time服务。

3.1.3 关闭1900端口

攻击者只要向某个拥有多台Win XP系统的网络发送一个虚假的UDP包，就可能会造成这些Win XP主机对指定的主机进行攻击(DDoS)。另外如果向该系统1900端口发送一个UDP包，令'Location'域的地址指向另一系统的chargen端口，就有可能使系统陷入一个死循环，消耗掉系统的所有资源(需要安装硬件时需手动开启)。关闭1900端口的方法是停止SSDP Discovery Service服务。

3.2 安装并启用防火墙。

安装防火墙的作用通俗的说就像你不管住在一所结实的好房子里还是住在一所千疮百孔的破房子里，只要你在房子的四周建了一堵密不透风的墙，那对于墙里的房子就是安全的。对于一般用户来讲有下面三类防火墙

3.2.1 系统自带的防火墙

关于Win XP与Win 2003自带防火墙的设置请参阅系统帮助文件，此处不再赘述。

3.2.2 ADSL防火墙

通过ADSL上网的，如果有条件最好将ADSL猫设置为地址转换方式(NAT)，也就是大家常说的路由模式，其实路由与NAT是不一样的，权且这么叫吧。用NAT方式最大的好处是设置完毕后，ADSL猫就是一个放火墙，它一般只开放80、21、161等为了方便用户对ADSL猫进行设置而开放的端口。如果不做端口映射，一般情况下很难从远程实现攻击的。

3.2.3 第三方防火墙

前面说过，反弹型木马而且会使用隐避性较强的文件名，像iexiore.exe、exlorer等与IE的程序IEXPLORE.EXE很想的名字或用一些rundll32之类的好像是系统文件的名字，但木马的本质就是要与远程的计算机通讯，只要通讯就会有连接。如下所示:正常连接是IEXPLORE.EXE发起的，而非正常连接是木马程序exlorer发起的。一般的防火墙都有应用程序访问网络的权限设置，在防火墙的这类选项中将不允许访问网络的应用程序选择X，即不允许访问网络。

3.2.4 用Tcview结束可疑连接

我们可以用Tcview观察当前连接情况，如果怀疑哪个连接有可能是不正常的连接，可在Tcview中结束该连接，斩断一切有可能的非法连接在一定程序上可以保证网络的安全性能。

3.3 扫描

作为扫描工具软件，常见的有端口扫描(Suerscan)、漏洞扫描(X-scan)等，利用这些扫描工具软件做完上述相应的安全检测措施后，我们还可以在网上找个在线测试安全的网站测试一下你目前系统的安全情况，如千禧在线、蓝盾在线检测、天网安全在线、诺顿在线安全检测等，都提供了相就的在线检测功能，通过相应的在线检测，有助于网络用户做安全防御设置工作。

4 端口入侵检测系统的几点反思

从技术的层面上说，端口入侵检测系统还有些未能解决的问题，主要为：

4.1 对入侵检测系统的评价目前还没有统一的客观标准，各种评价的标准不统一导致了端口入侵检测系统不能够互联。对于这种新的技术手段，伴随着科学技术的发展，还会面对更多的新型的攻击手段，因此我们必须保证端口入侵检测系统的不断更新，以适应新的网络环境。

4.2 网络入侵检测系统通过匹配网络数据包发现攻击行为，入侵检测系统往往假设攻击信息是明文传输的，因此对信息的改变或重新编码就可能骗过入侵检测系统的检测，因此字符串匹配的方法对于加密过的数据包就显得无能为力。

4.3 目前的网络设备多种多样，网络的设置越来越复杂多变，这就对入侵检测系统提出了更高的要求，使它们能适应更多的网络环境。

4.4 如何识别“大规模的组合式、分布式的入侵攻击”目前还没有较好的方法和成熟的解决方案。从Yahoo等着名ICP的攻击事件中，我们明白了网络安全形势是以紧张，不法分子的攻击手段不断的更新，攻击工具也呈现了多样化的特点，攻击手法越来越多变，这就要求入侵检测系统提高安全指数，不断地完善并且改进。

4.5 对IDS自身的攻击。与其他系统一样，IDS本身也存在安全漏洞，若对IDS攻击成功，则导致报警失灵，入侵者在其后的行为将无法被记录，因此要求系统应该采取多种安全防护手段。

4.6 采用不恰当的自动反应同样会给入侵检测系统造成风险。入侵检测系统通常可以与防火墙结合在一起工作，当入侵检测系统发现攻击行为时，过滤掉所有来自攻击者的IP数据包，当一个攻击者假冒大量不同的IP进行模拟攻击时，入侵检测系统自动配置防火墙将这些实际上并没有进行任何攻击的地址都过滤掉，于是造成新的拒绝服务访问。

4.7 随着网络的带宽的不断增加，如何开发基于高速网络的检测器（事件分析器）仍然存在很多技术上的困难。

5 结束语

随着计算机硬、软件的不断发展，Internet网络技术的日新月异、计算机网络已经成为社会生活中不可或缺的一部份。同时，黑客技术也在“与时俱进”，形形色色的病毒、木马在网络中漫延，严重影响了我们正常的工作、学习。端口的安全作为网络安全的重要组成部分显尤其重要，如何做好端口安全防御工作将成为网络安全研究人员一个永不过时的命题。

参考文献

[1](美)John Chorrillos著,李宏平译.黑客攻击防范篇[M].北京:机械工业出版社,2003年3月,(第2版).

端口安全 篇10

FPSO (Floating Production Storage and Offload-ing) 是海洋原油开采作业的重要装置, 被称为"海上石油工厂"。它集生产处理、储存外输及生活、动力供应于一体。而FPSO的艉部外输系统则是FPSO海上原油外输作业的主要设备集成, 它主要包括货油泵、外输总管、氮气吹扫管系、洗舱管线、惰气管线支管、外输计量装置、艉部外输端口、外输软管等。该系统对于FPSO海上原油外输作业起着关键性作用。

按照使用特点分类, 目前中国海域内FPSO的艉部外输系统中的外输端口主要采用滚筒式外输端口和悬挂式外输端口两种, 而与之匹配使用的外输软管也分为两种, 一种为额定弯曲半径较小、弯曲强度较高的双层软管 (Double Carcass Hose) , 另一种则是额定弯曲半径相对较大、弯曲强度相对较低的单层软管 (Single Carcass Hose) 。两种端口及软管图示如下:

从外观上, 我们可以直观地看出FPSO的艉部滚筒式外输端口和悬挂式外输端口这两种外输端口的差别。那么, 究竟该如何选择一个合适的艉部外输端口呢?

2.0两种端口的差异分析

在FPSO的ODP阶段, 设计人员会对其所在服役的油田环境进行调研和系统分析, 并充分考虑其安全性、可操作性、经济性等各项因素之后, 最终确认采用何种艉部外输端口。

同样, 如果需要对滚筒式外输端口和悬挂式外输端口进行差异性分析, 我们也需要从各个方面进行考量。为方便理解和对比, 本文将影响端口选择的因素分为内部因素和外部因素两种:

内部因素:指设备本身的特性因素。主要包括设备经济成本、技术成熟度、可操作性、设备安全性等。

外部因素:则指设备本身之外的特性因素。主要包括与设备配套的外输软管性能、设备使用环境等。

总结出上述两类因素后, 我们可以依照各项指标来分析滚筒式外输端口和悬挂式外输端口的差异性。

2.1内部因素

(1) 经济成本

滚筒式:对于FPSO而言, 滚筒式外输端口需要额外购买滚筒设备, 同时匹配相应的液压系统和绞车。通常这样整套的设备总价在150万美元左右。此外, 滚筒式使用的双层外输软管每根价格比单层外输软管价格贵1-2万美元。即:使用滚筒式端口要比使用悬挂式端口的设备成本高出近200万美元。

悬挂式:不需要额外购买滚筒式的大型设备, 单层外输软管即可适用。

(2) 技术成熟度

滚筒式:技术成熟度高, 设备较为复杂。由于外输作业时需要收放软管, 因此对滚筒式端口匹配的液压系统和绞车质量以及相应的作业操作要求较高。渤海海域和南海西部海域多家作业者的长期使用证明了滚筒式端口设备的可靠性, 但也有某些因为操作原因或设备故障导致的问题出现。

悬挂式:技术成熟度高, 且设备简单。2008年以前投产的南海东部海域FPSO均采取此外输端口方式, 同样有着长期安全无故障使用的可靠性。

(3) 可操作性

滚筒式:设备体积庞大, 操作较为复杂, 需要配合相应的液压系统和绞车完成外输软管收放作业, 作业操作要求较高。

悬挂式:无需外输软管收放作业, 操作便捷。

(4) 设备安全性

滚筒式:由于滚筒式设备较为复杂, 同时需要配套的液压系统和绞车配合使用, 对操作要求较高, 此外设备检查手段也比较复杂, 因此设备安全性相对较低。

悬挂式:设备简单, 方便检查。设备安全性相对较高。

2.2外部因素

(1) 配套外输软管性能

滚筒式:滚筒式端口的外输系统中, 外输软管需要盘绕在滚筒上, 因此它所配套使用的外输软管一般为额定弯曲半径较小、弯曲强度较高的双层软管。双层软管在溢油预警和保护、保温方面有着一定的优势。另外, 滚筒和软管之间需要配套使用快速释放阀 (Quick Release Coupling) 以确保整套系统的安全性。但由于外输软管长时间在滚筒上受到挤压, 常常会发生外观变形的情况, 甚至有可能会引起脱胶进而影响软管漂浮性能。

悬挂式:对外输软管的性能要求相对较低, 通常采用弯曲半径相对较大、弯曲强度相对较低、制造工艺更为成熟的单层软管。无论外输与否, 外输软管始终都漂浮在海面上。此外, 单层软管在使用中需要配套使用破断阀 (Breakaway Coupling) , 以防止潜在的溢油风险。悬挂式的优点在于软管不需要频繁地收放, 不会受到类似于滚筒式的挤压。但悬挂式端口通常所使用的单层软管在溢油预警和保护、保温方面不如双层软管。

(2) 使用环境

滚筒式:根据滚筒式端口的外输系统和滚筒配套使用的双层软管的特性, 可以知道滚筒式的优点在于可以有效地避免台风天气、恶劣海况以及过往船只对软管造成的影响。滚筒式端口外输系统一般常见于渤海海域和南海西部的FPSO。

悬挂式:悬挂式端口的外输系统常见于中国南方的外海油田, 比如南海东部海域。由于海上油田所在的海域开阔, 海温合适, 过往船只较少, 除了台风的影响以外, 软管使用环境相对较好。面临台风天气时, 整组软管需要从海上解脱拉回锚地避台, 待到台风过后, 又需将软管拉回油田。

2.3差异性分析 (右图)

3.0结论

亚欧大陆网的青岛端口 篇11

永不停歇的交通线开辟

贸易是人类伟大的行为，它互通有无，让各国人民共享物质繁荣。人类一直在开辟开辟再开辟，航线、铁道与公路网一直是多多益善，地球村此段与彼端在不断靠近。

这不，近代有了主要在俄罗斯境内的第一欧亚大陆桥，20年前又开辟了主要在中国境内的第二欧亚大陆桥；有了连云港作中转站，又开辟青岛港。找寻最快捷的路径，最省成本的线路，永远是商品贸易的追求。青岛欧亚大陆桥的来龙去脉，也可看作这样的追逐之一。

2003年，時任中远集装箱运输公司青岛分部负责人的姜立民，出差连云港，特地抽出一天时间考察了港口风采。那时，他已有让青岛港在过境贸易方面赶超连云港的想法。

连云港，一直是欧亚大陆桥的东方桥头堡，从连云港至阿拉山口出境路程，比从青岛出发缩短了200多公里，成本优势不言而喻。但是，青岛港当时已成为北方国际大港，航线遍及100多个国家和地区，船舶密度大，港口作业条件好，这些，连云港又自叹不如。

凭借各自的优势，两港暗暗较劲。

2004年年初，韩国西中物流公司来中国考察，想为其最大的客户——韩国大宇汽车CKD货物寻找转运口岸。姜立民得知了这个消息后，硬是将已经奔赴连云港和天津考察的西中物流公司柳会长拉到了青岛，坐上了谈判桌。

会谈伊始，柳会长对当时青岛港以及在陆桥运输业界还名不见经传的青岛中远货运存怀疑态度，一个劲儿向中远公司提出他的各种担心：集装箱要从黄岛过驳到老港区，如果天气原因赶不上发运怎么办？青岛以往发阿拉山口的货流较少，如果发车计划不能落实怎么办？货物发出去后，在运输途中发生解编或边境口岸拥堵问题怎么办？面对柳会长的质疑，中远公司提出了全套的物流解决方案和应急措施，让他逐渐释怀。

最后的难点还是落在了价格谈判上。柳会长熟知连云港和天津港的费用，单刀直入地提出了他的价格预期，可是由于青岛运距长而产生的运费差是弥补不了的，最终，柳会长被中远公司的合作诚意所感动，主动提出双方共担损失，共同开辟青岛新路径。

2004年4月28日是青岛大陆桥发展史上值得铭记的日子。随着一声汽笛的鸣响，承载着韩国大宇汽车CKD等货物的列车奔向祖国的边陲口岸，该列车的开通，为韩国企业提供了便捷物流通道，也极大带动了青岛市及周边地区发展，甚至辐射了铁路沿线地区繁荣。

丝绸之路：古长安，今青岛

公元前139年，张骞率领一百多人，浩浩荡荡从陇西出发，中途在祁连山遭匈奴俘虏。被软禁十年后，张骞逃出匈奴的控制，取道车师国，沿塔里木河西行，经龟兹国、疏勒国，翻越葱岭，到达大宛，这里，离他们出发地有6000公里之遥。他们看到了汗血马，大宛国王欢迎中国的使节，中国使节送上丝绸。这条道被后世称为丝绸之路。

两千多年过去了，空运和海运的蓬勃发展，并未完全取代陆上运输。而今，一条大致上沿着古代丝绸之路蜿蜒前行的铁路线依然在中国、哈萨克斯坦和俄罗斯境内浩荡行驶，列车上装的不再是丝绸，而是冷冻鸡肉。

在青岛市政府和中远公司的努力下，青岛被嵌入新欧亚大陆桥的线路中，成为一个新的关键节点。可是，最初从这个节点运往中亚的货物，只限于韩国。日本、美洲、东南亚地区的商品运输市场仍是空白。

市场潜在需求是庞大的，青岛往阿拉山口的列车不缺生意，因为处于地方宗教习俗，中亚地区是一个庞大的鸡肉消费市场，市场需求量大且稳定，他们进口鸡肉，传统上是经过波罗的海的里加港口转运，运输成本高，运输时间长，限制了贸易的发展。随着青岛至中亚地区海铁联运通道的开通，哈萨克斯坦鸡肉进口商随即提出了改道中国大陆桥运输，由青岛口岸上桥的方案。

中远集团设计新的运输方案，仔细核算物流成本，敲定了冻鸡配装冷冻集装箱由中远集装箱船自美国运输至青岛，拆箱后装入中国段机械保温车，再由阿拉山口口岸换装至哈方冷藏车的全程物流方案。这样，运输时间大大缩短，运输成本大大降低，成为中国大陆桥运输冷冻货物的首个成功案例，大大丰富了中国大陆桥的运输内涵。

时至今天，不论哈萨克斯坦，还是吉尔吉斯斯坦，乃至整个中亚地区消费的冷冻鸡肉，都可经过青岛大陆桥运输。随着中亚地区经济的繁荣，市场购买力的提升，这条为中亚地区架设的方便、快捷、经济的冷冻货物运输通道极大地丰富了百姓的饭桌，也拉动了青岛大陆桥的跨越式发展。

连云港与青岛港

城市在你争我夺之中相互赶超。作为第二欧亚大陆桥的传统东端港口，连云港的地位企稳了20年。不过遗憾的是，这个城市并未借此坐大，反而被青岛等城市后来居上。

港口竞争有如大海波涛一样你追我逐，如今青岛在新时代丝绸之路上的地位，已经隐隐有龙头风范。

“随着青岛大陆桥运输不断发展，尽管铁路发送到达量大幅攀升，但两点一线的物流运输已不能满足贸易发展的需求，如何勾画大物流格局的问题摆在了我们面前。”姜立民回忆青岛港初嵌入大陆桥时追求进一步拓展的心态。

从东亚往中亚发货的列车已经满载，但从中亚往东亚却仍然空空如也。市场是不缺的，中亚地区拥有丰富的矿产资源、农产资源，其中铁合金储量居世界第二位，仅次于南非；球团矿产量也居世界前列；丰富的石油资源更为各国所窥视。农业方面，哈萨克斯坦北部是优质小麦产区，乌兹别克斯坦的棉花与美棉并列为优良棉纺原材料。能否将这些资源经青岛作为出海口，运至全世界？

2003年中远代表团出访哈萨克斯坦时，拜访了哈萨克斯坦国家铁合金公司。该公司是哈萨克斯坦政府投资建设的世界第二大铁合金公司，他们的客户主要面向日韩等远东市场，当时他们的铁合金运输，主要通过波罗的海的克莱佩达港口海运至日韩港口，物流运输成本高，运输时间长。在听了姜立民对于青岛大陆桥通道建设的介绍后，客户非常感兴趣，提出共同探索铁合金经青岛大陆桥运输的合作意向。

从2004年开始，中远在青岛建立起铁合金集散加工中心，使客户逐步摒弃了波罗的海的转运路线，将铁合金出海口放在了青岛口岸。这一举动，也赢得韩国浦项制铁、日新钢铁等下游客户的肯定。物流运输质量和实效性不断提升，最高年过货量达到了40多万吨。

经过近10年的发展，青岛已经追赶上连云港的发展步伐，与其共同担负着东亚、美洲过境往中亚、欧洲的货物运输。

（讲述人姜立民，时任青岛中远国际货运有限公司总经理兼中远集装箱运输有限公司青岛分部总经理。）

利用命令行IPSEC封锁端口 篇12

关键词：制作网络,IPSEC,端口

随着各电视台数字化、网络化进程的不断推进, 原来模拟时代的视、音频信号传输方式也发生了很大的变化。在过去, 各地的新闻回传是由工作人员把制作好的节目磁带利用录像机通过光纤或者电缆进行传输的。然而, 随着各电视台非线性制作网络的建立, 这一工作就变得很繁琐。由于节目制作全都是在非线性编辑系统中完成的, 因此, 工作人员首先需要把制作好的节目通过下载工作站下载到录像带上, 然后再拿着录像带到传送机房使用放像机通过光纤或者电缆进行传输。接收节目的电视台同样还需要把录制好的节目再一次通过放像机重新上载到本地非编网中。那么为什么不直接传送制作好的节目数据呢?这是因为在电视台中, 为了保证制作网的安全, 内网和外网是要求严格物理隔离的。那么有没有其他解决的办法呢?

为了方便接收各地回传的节目, 我们专门使用一台计算机来做FTP服务器。由于该机直接与外网是相连接的, 同时该机又需要与制作内网的机器进行文件交换, 为此我们对该机器的使用作了严格的规定。与内网相连的网线采用了随用随接, 用完即断的连接方式, 在制作内网上的工作人员每次需要下载该服务器上节目的时候便把网线连接上, 完成之后, 随即断开这一连接。同时我们还对该机器设置了严格的端口限制, 防止非法入侵。下面就详细说明一下利用命令行下的IPsec配置工具对计算机端口进行限制。

IPsec:Security Architecture for IP networkIP是一种开放标准的框架结构, 通过使用加密的安全服务以确保在Internet协议 (IP) 网络上进行保密而安全的通讯。关于IPsec的原理在此就不做过多说明, 由于我们采用的是Windows 2000作为FTP服务器的, 因此, 这里主要介绍Windows 2000下IPsec配置工具--IPSECPOL.EXE, 它是一个用于创建、指派和删除IPSec策略的命令行程序。它工作的时候还需要另外两个DLL, 它们是text2pol.dll和ipsecutil.dll, 只要把这两个DLL同IPSECPOL.EXE一并复制到需要配置的机器上去就行了。

1 常用参数介绍

-w TYPE:DOMAIN:确定策略写入的位置, 一般选择REG, 也就是注册表。

-p PolicyName:PollInterval:策略名。

-r RuleName:规则名称。

-f:设置规则。

-x:指派该策略。

-y:不指派 (停止) 该策略。

-o:删除该策略。

其中-w, -f, -n的参数是区分大小写的, 都要使用大写。配置和指派上来讲也就用到这几个, 其余的在此就不多说了。

2 使用范例

1) 阻止所有地址的所有端口到本机所有端口的通信 (比如本机是重点保护对象)

2) 阻止任何主机的任何端口对192.168.0.88的TCP 135端口的通信

3) 阻止1.2.3.4的TCP 2938端口连接本机的6667端口 (比如1.2.3.4在irc上捣乱)

4) 阻止本机TCP 3333端口连接任何主机的任何端口 (比如本机3333端口是反弹连接的后门所开)

上面的例子是阻止的, 如果设置通行的话, 只要把-n BLOCK改成PASS即可。其中=前面的是源地址, 后面是目的地址。如果使用+, 则表明此规则是双向的。IP地址中用*代表任何IP地址, 0代表我自己的IP地址。

3 注意

因为上面的例子中每一句都是独立的, 所以要配置多条规则的时候, 应该一行多几个-f, 而不是分多行输入, 因为每一次都会覆盖掉上一次的, 比如:

要禁止任何主机的任何端口连接本机的TCP 6666, 又要禁止任何主机的任何端口连接本机的TCP 8888, 那么应该是这样:

而不是:

这在写脚本的时候尤其应该注意。还有就是-f中某个参数缺省的话, 就代表所有端口或协议。

4 指派、不指派和删除

对于配好的策略来讲, 还要指派后才能生效, 所以我们就:

如果要停止一个已经指派了的策略, 那么就:

如果要删除这个策略, 那么就:

在删除某个策略的时候, 应该先停止那个策略 (-y) 。删除时会包括所有相关的筛选器列表和筛选器操作。

设置一台机器可能会有许多条的配置, 因此编写一个脚本不但可以很方便、直观地设置该机的安全配置, 同时给一台以上机器配置IPSEC的时候带来极大方便, 还可以根据每台机器的不同要求, 简单更改就可以轻松搞定, 下面是我们bat的例子:

为了禁止工作人员使用该机器上网, 为此我们除了禁止访问80端口外还禁用了iexplore.exe和regedit.exe, 并且在指派安全策略之后自动注销机器并设置了自动登陆。同时还关闭了系统默认共享文件夹, 下面是注册表修改文件:

通过上面的技术手段, 我们把系统安全隐患降低到最低限度。不但能方便、高效地进行节目传输, 同时最大程度降低了我们的运维成本。当然, 任何的技术手段都不可能确保系统的永远安全, 我们必须随时关注安全动态, 不断完善安全措施, 提高警惕, 只有这样才能真正做好网络安全工作。

5 结论

网络安全是一个系统工程, 不能只依靠一个杀毒软件, 或者几条安全策略。安全实施的主体是人, 只有树立人的安全意识, 不断学习, 提高业务水平, 才能最大程度地保证系统的安全, 确保系统高可靠性和高可用性。

参考文献