tcpip协议十篇

发布时间:2024-04-25 16:18:11

tcpip协议篇1

2、打开控制面板,点击网络和共享中心进入到查看当前活动网络界面,再点击当前活动网络名称(以wLan为例)。

3、打开wLan状态界面,点击属性按钮,再双击列表复选框中的internet协议版本4(tCpip)。

4、打开internet协议版本4(tCpip)的属性界面,查看是否选择了自动获得ip地址和自动获得DnS服务器地址。

5、在桌面,点击我的电脑图标右键--管理,打开计算机管理界面。

6、再点击左侧的服务和应用程序,展开后,点击服务打开服务列表,在右侧显示区直接按D键,快速找到DHCp服务:DHCpClient

7、找到后,点击查看当前服务状态,在中间位置,查看其服务状态,如果停止,请启用;如果启用,可尝试重启服务操作。

tcpip协议篇2

关键词:网络管理;Snmp;现状;发展趋势

进入90年代以来,随着计算机的普及以及计算机技术和通讯技术的发展,网络也越来越快地走近我们,计算机网络已成为当今信息时代的支柱。计算机与通信的结合产生了计算机网络,信息社会对计算机网络的依赖,又使得计算机网络本身运行的可靠性变得至关重要,向网络的管理运行提出了更高的要求。网络系统的维护与管理日趋繁杂,网络管理人员用人工方法管理网络已无法可靠、迅速地保障网络的正常运行;无法满足当前开放式异种机互联网络环境的需要,人们迫切地需要用计算机来管理网络,提高网络管理水平,使信息安全,快捷地传递。于是计算机网络管理系统便应运而生了。

一、计算机网络管理系统的基本知识 

(一)计算机网络管理系统的概念

计算机网络管理系统就是管理网络的软件系统。计算机网络管理就是收集网络中各个组成部分的静态、动态地运行信息,并在这些信息的基础上进行分析和做出相应的处理,以保证网络安全、可靠、高效地运行,从而合理分配网络资源、动态配置网络负载,优化网络性能、减少网络维护费用。

(二)网络管理系统的基本构成

 概括地说,一个典型的网络管理系统包括四个要素:管理员、管理、管理信息数据库、服务设备。

 1.管理员。实施网络管理的实体,驻留在管理工作站上。它是整个网络系统的核心,完成复杂网络管理的各项功能。网络管理系统要求管理定期收集重要的设备信息,收集到的信息将用于确定单个网络设备、部分网络或整个网络运行的状态是否正常。

 2.管理。网络管理是驻留在网络设备(这里的设备可以是UniX工作站、网络打印机,也可以是其它的网络设备)中的软件模块,它可以获得本地设备的运转状态、设备特性、系统配置等相关信息。网络管理所起的作用是:充当管理系统与管理软件驻留设备之间的中介,通过控制设备的管理信息数据库(miB)中的信息来管理该设备。

3.管理信息库。它存储在被管理对象的存储器中,管理库是一个动态刷新的数据库,它包括网络设备的配置信息,数据通信的统计信息,安全性信息和设备特有信息。这些信息、被动态送往管理器,形成网络管理系统的数据来源。

4.设备和管理协议。设备在标准网络管理软件和不直接支持该标准协议的系统之间起桥梁作用。利用设备,不需要升级整个网络就可以实现从旧协议到新版本的过渡。对于网络管理系统来说,重要的是管理员和管理之间所使用的网络管理协议,如Snmp,和它们共同遵循的miB库。网络管理协议用于在管理员与管理之间传递操作命令,并负责解释管理员的操作命令。通过管理协议的作用,可以使管理信息库中的数据与具体设备中的实际状态、工作参数保持一致。

(三)网络管理系统的功能

iSo在iSo/ieC7498-4文档中定义了网络管理的五大功能,即配置管理、故障管理、性能管理、计费管理与安全管理。

故障管理:其主要功能是故障检测、发现、报告、诊断和处理。由于差错可以导致系统瘫痪或不可接受的网络性能下降,所以故障管理也是iSo网络管理元素中,被最广泛实现的一种管理。

配置管理:其主要功能包括网络的拓扑结构关系、监视和管理网络设备的配置情况,根据事先定义的条件重构网络等,其目标是监视网络和系统的配置信息,以便跟踪和管理对不同的软、硬件单元进行网络操作的结果。

性能管理:监测网络的各种性能数据,进行阈值检查,并自动地对当前性能数据、历史数据进行分析。其目标是衡量和显示网络各个方面的特性,使人们在一个可以接受的水平上维护网络的性能。

安全管理:主要是对网络资源访问权限的管理。包括用户认证、权限审批和网络访问控制(防火墙)等功能。其目标是按照本地的安全策略来控制对网络资源的访问,以保证网络不被侵害(有意识的或无意识的),并保证重要的信息不被未授权的用户访问。

计费管理:主要是根据网络资源使用情况进行计帐。其目标是衡量网络的利用率,以便使一个或一组用户可以按一定规则,利用网络资源,这样的规则可以使网络故障减到最小(因为网络资源可以根据其能力大小而合理地分配),也可以使所有用户对网络的访问更加公平。

这五个基本功能之间既相互独立,又存在着千丝万缕的联系。在这些网络管理功能中,故障管理是整个网络管理的核心;配置管理则是各管理功能的基础,其他各管理功能都需要使用配置管理的信息;性能管理、安全管理和计费管理相对来说具有较大的独立性,特别是计费管理,由于不同的应用单位的计费政策有着很大的差别,计费应用的开发环境也千差万别,因此,计费管理应用一般都是依据实际情况专门开发。

(四)网络管理协议

由于网络中广泛存在着多厂家、异构异质和固有的分布性等特点,人们才在网络管理中引入了标准,以规范网络设备的生产和网络管理系统的开发。这种标准就是网络管理协议。 目前最有影响的网络管理协议是Snmp(简单网络管理协议)和CmiS/Cmip(公共管理信息协议),它们也代表了目前两大网络管理解决方案。Cmip因为太复杂,标准化进度太缓慢,所以没有得到广泛接受;Snmp以其简单实用,因而得到各厂商支持,应用广泛。本文只对Snmp做一简单介绍。

tcpip协议篇3

【关键词】网络通信安全问题防范措施

随着网络信息技术的不断发展,网络通信已成为现代人生产生活的重要内容。在开放的网络环境下,随之而来的网络安全问题也日益突出,特别是黑客与病毒攻击泛滥、安全意识薄弱等问题,对网络通信安全带来极大的安全威胁。所以,在日益复杂的网络环境下,切实强化网络通信安全防范,是确保网络通信安全的重要工作。从防范技术、杀毒软件的使用,以及数据加密处理等,都是强化网络通信安全的重要措施。在今后的网络环境中,强化网络安全防范越发重要。

一、网络通信安全性问题

随着网络通信技术的不断发展,网络通信已成为现代人生产生活的重要部分。在开放的网络环境下,网络通信安全问题也日益突出,尤其是源于病毒的攻击、人为因素等,对网络通信安全带来极大地威胁。

1.1软硬件设施存在安全隐患

在软件设计的设计过程中,本身就存在一定的漏洞,给网络通信安全带来隐患。对于商业软件源代码,在网路通信的过程中,如果未构建必要的防范体系,是极易受到外部的网络安全攻击,发生信息被破坏或盗取的问题。

1.2tCpip服务存在脆弱点

对于因特网而言,tCpip协议是其基石。由于协议考虑安全防范的因素,会加剧其运行符合,这就造成tCpip协议在设计上存在安全隐患。tFtp服务、www服务及Finger服务,均依托于tCpip协议。这就说,在tCpip广泛的应用领域中,存在不同程度的安全问题,出现tCpip被非法利用的现象。

1.3人为因素的破坏

相关人员缺乏安全意识,在操作过程中出现黑客恶意盗取或破坏信息数据的问题,给网络通信带来极大的安全隐患。常见的安全威胁有:一是在网络通信县里上,出现监听或窃取信息的行为;二是网络通信数据被人截取或监听;三是传输信息被篡改。

1.4安全策略缺乏

在开放的网络环境下,诸多网站增加了访问权限,无形中增加了内部管理人员滥用情形的出现。同时,一些网络黑客也可利用这点,获取服务中的相关信息,对网络通信的安全带来威胁,不利于网络通信的安全进行。

二、强化网络通信安全的防范措施

2.1采用用户识别技术

为构建安全的网络通信安全环境,采取用户识别技术,可以形成有效地安全防范。基于用户识别技术,可以使网络具有判别能力,以判断访问者是否具备访问权限,这样避免了因非法登录而出现信息被篡改的问题。常用的用户识别技术有:标记识别、口令和唯一标识符等技术,其中口令使用最为广泛。通常情况下,口令由计算机系统生成,以确保口令的保密性;而标记识别则以随机密码卡的方式进行识别,一个口令的物理实现就是一个卡片,这样可以有效地代替传统系统打入一个口令。

2.2计算机病毒的有效防范

网络通信安全威胁的形成,很大程度上源于计算机病毒的攻击。所以,强化计算机病毒的有效防范,对于强化网络通信安全具有十分重要的意义。计算机病毒具有多元化、隐蔽性强等特点,尤其是各类新病毒的出现,严重威胁到网络通信的安全运行。当然,杀毒软件的选择也非常重要,要针对网络安全的需要,选择功能完善、安全性能好的软件,以确保安全防范的有效性。对此,在首都产品的选择时,应考虑一下几点问题:(1)强调杀毒方式与互联网形成有效地集合,以实现对邮件端、网络层进行实时监控;(2)杀毒软件要进行不断地升级,以应对日益变化的网络病毒及黑客的攻击。

2.3对通信数据加密处理

网络通信技术的发展,正不断地改变人们的生产生活,给人们的生活带来极大的便利。但在开放的网络环境下,网络通信安全问题也日益突出,对网络通信的利用带来极大的损坏。

参考文献

[1]曹社香,桑亚辉.网络通信安全策略研究[J].软件导刊,2012(11)

[2]李成学.计算机网络安全问题及日常防范措施分析[J].赤峰学院学报,2013(02)

tcpip协议篇4

关键字黑客攻击;防范方法

随着信息时代的到来,信息已成为社会发展的重要战略资源,社会的信息化已成为当今世界发展的潮流核心,而信息安全在信息社会中将扮演极为重要的角色,它直接关系到国家安全、企业经营和人们的日常生活。我们的计算机有时会受到计算机病毒、黑客的攻击,造成个人和企业的经济损失和信息资料的泄露,甚至危及国家安全。为了更有效地防范黑客的攻击,现将一些常用的方法,写出来与大家分享:

如果你想知道你的计算机有没有被黑客控制,你可以通过查看当前你的电脑中有哪些程序在运行,打开了哪些端口,而这些端口又与哪个网站或电脑相连,对方的ip地址、使用哪个端口等信息,具体方法是用:DoS命令netStat或软件Currports来查。如果发现你的电脑存在你并没想打开的程序和端口,说明你的电脑已经被黑客控制。这时你需要采取以下措施,进行消除:

l、杀毒,用杀毒软件进行杀毒,设置防火墙。如果这样还不行,有些黑客已经设计出穿透防火墙的病毒或软件,或者是新的病毒。那你可能需要重装机器了。

2、在重装机器之前,请你先把网线断开,因为你的ip地址如果是固定的,很可能在重装机子之后,还没设置好防护措施之前,黑客又提前进入。所以等装完机子以后,防护措施完成之后,再上网。

3、首先你要进行ip欺骗,让黑客找不到你的ip,这样你的电脑就比较安全了,最简单的方法就是使用服务器,比如软件Hideipplatinum软件,就能很好地隐藏你的ip地址,找不到你家的门,他怎么去偷?

4、进行网络管理员欺骗。你可以先将原来的管理员:administrator改名为其他的名字,比如你的名字汉语拼音,然后再建一个新的管理员:administrator,让他在user用户组,赋给他一定的权限,而真正的管理员是你,当然要给真J下的管理员一个非常强壮的密码,建议有数字、有拼音和符号组成,不要把和自己的相关信息当戍密码。这样就好像给家门上了·道非常不容易打开的锁。

5、关闭不需要的·些端口。比如:木马Doly、trojan、invisibleFtp容易进入的2l端口,(如果不架设Ftp,建议关掉它)。23端门、25端口、135端口(防止冲击波)。137端口,139端口。3389端口,4899端口、8080端口等,为了防止黑客,还不影响我们上网,只开放80端口就行了,如果还需要上pop再开放l09、1l0。具体做法:找到桌面下而的任务栏上的本地连接(两个计算机的那个)右键状态属性tCp/ip协议属性高级选项tCp/ip筛选属性启用tCp/ip筛选打勾,在tCp端口只允许80端口和110端口就可以了,然后确定。

转贴于6、取消共享。具体方法:要想彻底删除共享,就要修改注册表:(1)禁止C盘、D盘共享:运行输入regedit打开注册表编辑器:展开[HKeY_LoCaL_maCHineKSYStem\CurrentControlset\services\tcpip\paramers]分支新建一个名为enablelCmpRedirects的键值项将其设置为0,(0是不响应)。(2)禁止admini共享:运行一输入regedit一打开注册表编辑器[HKeYt_LoCaL_maCHlne\SYStem\CurrentControlset\Services\LanmanServer\parameters]分支,新建名为autoSharewks的键值,将其设置为0的键值项,将其设置为0。(3)禁止lpC$共享:运行输入regedit打开注册表编辑器展开[HKeYLoCaL_maCHlne\SYStem\CurrentControlset\Control\Lsa1分支,新建名为restrictanonymous的键值将其设置为0或者l或者设置2(设置0为缺省;l为匿名无法列举本机用户列表;2为匿名用户无法连接。我们可以设置为“l”,这样就能禁止空用户连接)。(4)修改windows2000的本地安全策略。设置“本地安全策略”“本地策略”“选项”中的Restrictanonymous(匿名连接的额外限制)为“不容许枚举Sam账号和共享”。

7、如果黑客不从大门进,我们还要把其他容易进入的地方堵住,首先要装杀毒软件,开防火墙,让自己“家”的围墙高些,这样黑客就不容易爬进来。还要堵漏洞,给系统打补丁,设置补丁自动升级:我的电脑:属性自动更新自动就可以了.

结束语

随着信息时代的发展,信息安全越来越显得重要,信息的丢失和泄密,给自己和单位的财产造成经济损失的案例,屡见不鲜,人们越来越重视网络安全。因此,要养成良好的上网习惯,比如晚:不要随便打开某些网站,不要长时间上网,密码不要设置与自己有关的信启,防止自己的信息、被黑客盗取,以防造成不可挽回的后果。

参考文献

tcpip协议篇5

1.1应用软件问题

计算机网络中一个必不可少的组成部分就是应用软件。现阶段市场上现有的各种软件均存在不同程度的弊端,导致计算机网络在使用过程中或多或少的都会出现各种问题,使计算机网络安全面临威胁,其中最常见的就是各种形式的恶意攻击。

1.2tCp/ip协议问题

tCp/ip协议族是当前全世界应用最广泛的协议族,也是internet中的关键协议,然而在实际的设计过程中,由于相关人员没有对具体的安全问题进行必要的分析和研究,使计算机网络存在明显的安全缺陷,给了入侵者可乘之机。最为常见的隐患有:ip地址盗用、DDoS攻击、DoS攻击、iCmp攻击、aRp攻击等。

1.3资源共享问题

计算机网络最大的优势就是资源共享,但要想实现资源共享,必须保证终端和服务器之间、终端和终端之间的途径畅通,资源共享功能的实现虽然给使用者形成了很大便利,但是不可否认,资源共享功能的实现也给非法用户破坏信息和窃取信息带来了可乘之机,部分非法用户开始经过终端或者结点实施非法操作,给计算机网络安全运行造成威胁。

1.4人的问题

人为因素也是影响计算机网络安全运行的重要因素,比如相关人员安全意识不强、相关人员操作不规范、用户保护隐私不当等,这些由于人为因素造成计算机网络安全事故也屡禁不止。出于某种对安全保护的责任,或者和别人出现经济利益链条,都会不同程度上的造成网络信息的泄露。

2网络信息安全防范重在管理

无论网络安全采用的是管理模型,还是技术控制,都必须重视网络安全管理,网络安全管理是一项综合性很强的工作,它包括信息、人员、制度和机构等多方面的管理,只有做好上述各方面的管理,才能有效保证网络信息安全。

3网络信息系统的安全技术

3.1防火墙技术

在保证网络安全的诸多手段中防火墙技术是被应用最广泛的,这是因为防火墙技术不仅价格比较便宜、便于安装,而且具有在线升级等特点,同时该技术通过在外部网络和保护网络之间设置一道屏障,有效地阻止了各种不可预测的、潜在破坏性的恶入。利用防火墙技术,计算机网络可以实现对外部屏蔽自身内部的信息、结构和运行状况,有效地保证了网络的信息安全。

3.2认证技术

认证能够有效地防止主动攻击,特别是在开放的环境中,认证技术能够有效保证信息的安全性,认证的作用主要有两方面:一是验证是否是真正的主人发送的信息;二是验证信息是否完整,是否在传输过程中进行过修改等。

3.3信息加密技术

通过对信息进行加密,可有效保证信息安全,目前信息加密技术主要包括对称密钥加密和非对称密钥加密两种方法,两种方法各有利弊,需结合使用。

3.4数字水印技术

信息隐藏是指在某一公开的信息中隐藏着另一个机密的信息,通过传输这一公开信息达到传递该机密信息的目的,如此一来,即使这一公开信息被非法用户拦截,非法用户也很难从公开信息中获取机密信息,有效保证了计算机网络的安全性,因此信息隐藏技术在计算机网络中应用广泛。而数字水印技术是信息隐藏技术最常用也是最重要的一项技术,该技术通过一定的算法把某些机密信息直接嵌到多媒体内容中,不仅不会影响公开信息的使用,也有效传递了机密信息。

3.5建立四化体系

3.5.1专业化

专业化战略是指集中企业所有资源和能力于自己所擅长的核心业务,通过专注于某一点带动企业的信息安全类成长。在这里,网络安全信息专业化管理可以选择通过防火墙技术,技术认证手段,加密技术以及数字水印技术等专业化的方式来巩固企业的信息安全体系。

3.5.2系统化

在当今这样一个网络盛行的时代,网络信息安全已经被提升至新高度,而基础设施的运行安全是保证其他数据安全的根本保障,一旦动力环境失效,所有上层技术则将全部停止运转。动力环境威胁主要有极端温湿度、电压抖动和中断、关键组件状态不佳或缺少备件等。安全的动力环境是一切上层it技术业务必要支撑。

3.5.3细化

“天下难事,必做于易;天下大事,必做于细”。安全管理也不例外,它作为企业管理的头等大事,是一项任重而道远的过程。不能流于形式,应注意各项细节。如何做好计算机网络安全的各项细节是信息安全管理人员应该深入思考的问题。细化安全管理是一种管理理念和管理技术,它使组织管理各单元专业化技术精确、高效、协同和持续运行。

3.5.4标准化

标准化是制度化的最高形式,可运用到信息安全、开发设计、管理等方面,是一种非常有效的工作方法。企业的标准化信息安全工作的实施影响着需要举重轻重的方方面面,这决定标准化在企业中的地位和存在价值,标准化的作用主要是把企业内的成员所积累的技术、经验,通过文件的方式来加以保存,对信息安全的全权管理有一套良好的制度可循。

4DDoS攻击实例-SYnFlood攻击

4.1SYnFlood攻击原理

一个正常的tCp连接是三次握手过程,第一次握手时,服务器会建立起一个未完成连接的队列,并为各个客户端发送的SYn包建立相应的条目,存在这个条目表示发送的SYn包还没有被服务器接收,此时服务器处于SYn_ReCV状态。而这个条目不存在了说明服务器已经接收到了确认包,这时服务器处于established状态。通常在服务器发送完SYn/aCK分组后处于SYn_ReCV状态,等待请求连接客户端的返回一个aCK分组,此时服务器已经为建立此次连接分配相应的资源。若非法用户使用伪造的ip地址,服务器会始终处于“半连接”状态,直到超时将其从队列里取消。SYnFlood攻击正是利用了tCp协议三次握手过程中这一不足,在短时间内伪造大量ip地址发送给服务器,这样服务器会疲于应对,出现系统瘫痪的情况。

4.2SYnFlood攻击的防御方法

可以直接屏蔽攻击ip地址或暂时限制访问,虽然这是最简单也是最有效的一个方法,但是直接屏蔽攻击ip地址或暂时限制访问,在拒绝非法用户入侵的同时,也给很大一部分正常访问者带来了不便,因此这并不是最优的方法。通过对tCp/ip协议通信规则作出一些改变,从而达到防御SYnFlood攻击的目的方法更具可行性。具体实现方法如下:首先运行“regedit.exe”进入注册表,在HKeY_LoCaL_maCHineSYStem\CurrentControlSet\Services\tcpip\parameters做以下更改(所涉及的值全为十六进制):新建一个名为Synattackprotect的数值,数值类型为ReG_DwoRD。将值设置为1。该参数可使tCp调整SYn-aCKS的重新传输,当Synattackprotect默认值为0(即不采取任何保护措施),设置为1时,可更有效地抵御SYn攻击此时,如果系统检测到存在SYn攻击,连接响应的超时时间将更短。

5结语

tcpip协议篇6

关键词:intranet;安全策略;组策略

       web服务器是企业网intranet网站的核心,其中的数据资料非常重要,一旦遭到破坏将会给企业造成不可弥补的损失,管理好、使用好、保护好web服务器中的资源,是一项至关重要的工作。本文主要介绍web服务器安全策略方面的相关知识。

       1系统安装、系统安全策略配置

       使用ntfs格式分区、设置不同的用户访问服务器的不同权限是搭建一台安全web服务器的最低要求。

       windows2003安装策略:

       ①系统安装在单独的逻辑驱动器并自定义安装目录;以“最小的权限+最少的服务=最大的安全”为基本理念,只安装所必需的服务和协议,如dns、dhcp,不需要的服务和协议一律不安装;只保留tcp/ip一项并禁用netbois;安装windows2003最新补丁和防病毒软件。

       ②关闭windows2003不必要的服务。

       关闭computerbrowser、taskscheduler、routingandremoteaccess、removablestorage、remoteregistryservice、printspooler、ipsecpolicyagent、distributedlinktrackingclient、com+eventsystem、alerter、errorreportingservice、messenger、telnet服务。

       ③设置磁盘访问权限。

       系统磁盘只赋予administrators和system权限,系统所在目录(默认时为windows)要加上users的默认权限,以保障asp和aspx等应用程序正常运行。其他磁盘可以此为参照,当某些第三方应用程序以服务形式启动时,需加system用户权限,否则启动不成功。

       ④注册表hkey_local_machine/system/currentcontrolset/control/lsa,将dword值restrictanonymous的键值改为1,禁止windows系统进行空连接。

       ⑤关闭不需要的端口、更改远程连接端口。

       本地连接属性internet协议(tcp/ip)高级选项tcp/ip筛选属性把勾打上,添加需要的端口(如:21、80)。

       更改远程连接端口:开始>运行>输入regedit 查找3389:将       hkey_local_machine\system\currentcontrolset\control\terminalserver\wds\rdpwd\tds\tcp和hkey_local_machine\system\currentcontrolset\control\terminalserver\winstations\rdp-tcp下的portnumber=3389改为自宝义的端口号并重新启动服务器。

       ⑥编写批处理文件delshare.bat并在组策略中应用,以关闭默认共享的空连接。(以服务器有4个逻辑驱动器为例)

       netsharec$/delete

       netshared$/delete

       netsharee$/delete

       netsharef$/delete

       netshareadmin$/delete

       将以上内容写入delshare.bat并保存到系统所在文件夹下的system32\grouppolicy\user\scripts\logon目录下。运行gpedit.msc组策略编辑器,用户配置windows设置脚本(登录/注销)登录“登录属性”“添加”“添加脚本”对话框的“脚本名”栏中输入delshare.bat“确定”按钮重新启动服务器,即可自动关闭系统的默认隐藏共享,将系统安全隐患降至最低。

       ⑦限制匿名访问本机用户。“开始”“程序”“管理工具”“本地安全策略”“本地策略”“安全选项”双击“对匿名连接的额外限制”在下拉菜单中选择“不允许枚举sam帐号和共享”“确定”。

       ⑧限制远程用户对光驱或软驱的访问。“开始”“程序”“管理工具”“本地安全策略”“本地策略”“安全选项”双击“只有本地登录用户才能访问软盘”在单选按钮中选择“已启用(e)”“确定”。

       ⑨限制远程用户对netmeeting的共享,禁用netmeeting远程桌面共享功能。运行“gpedit.msc”“计算机配置”“管理模板”“windows组件”“netmeeting”“禁用远程桌面共享”右键在单选按钮中选择“启用(e)”“确定”。

       ⑩限制用户执行windows安装程序,防止用户在系统上安装软件。方法同(9)。

       11删除c:\windows\web\printers目录,避免溢出攻击(此目录的存在会造成iis里加入一个.printers的扩展名,可溢出攻击)。

       12删除c:\windows\system32\inetsrv\iisadmpwd,此目录在管理iis密码时使用(如因密码不同步造成500错误时使用owa或iisadmpwd修改同步密码),当把账户策略>密码策略>密码最短使用期限设为0天[即密码不过期时,可避免iis密码不同步问题。这里就可删掉此目录。

       13修改注册表防止小规模ddos攻击。

hkey_local_machine\system\currentcontrolset\services\tcpip\parameters新建"dword值"名为"synattackprotect"数值为"1"

       14本地策略安全选项:

       将清除虚拟内存页面文件、不显示上次的用户名、不需要按ctrl+alt+del、不允许sam账户的匿名枚举、不允许sam账户和共享的匿名枚举、均更改为"已启用";重命名来宾账户更改成一个复杂的账户名;重命名系统管理员账号,更改一个自己用的账号,同时建立一个无用户组的administrat账户。

       2iis安全策略应用

       ①不使用默认的web站点,将iis目录与系统磁盘分开。

       将网站内容移动到非系统驱动器,不使用默认的\inetpub\/pc/">计算机”“属性”选中“允许直接编辑配置数据库”复选框“确定”浏览至metabase.xml文件的位置,默认情况下为c:\windows\system32\inetsrv右键单击metabase.xml文件“编辑”搜索“anonymoususername”属性,键入iusr帐户的新名称在“文件”菜单上单击“退出”单击“是”。

       ⑧使用应用程序池来隔离应用程序,提高web服务器的可靠性和安全性。

       创建应用程序池:“管理工具”“internet信息服务(iis)管理器”本地计算机右键单击“应用程序池”“新建”“应用程序池”在“应用程序池id”框中,为应用程序池键入一个新id“应用程序池设置”“usedefaultsettingsforthenewapplicationpool”(使用新应用程序池的默认设置)“确定”。

将网站或应用程序分配到应用程序池:“管理工具”“internet信息服务(iis)管理器”右键单击您想要分配到应用程序池的网站或应用程序“属性”“主目录”、“虚拟目录”或“目录”选项卡,如果将目录或虚拟目录分配到应用程序池,则验证“应用程序名”框是否包含正确的网站或应用程序名称,(如果在“应用程序名”框中没有名称,则单击“创建”,然后键入网站或应用程序的名称)“应用程序池”列表框单击您想要分配网站或应用程序的应用程序池的名称“确定”。

       经过以上设置,iis安全性有了很大的提升,但一些不法攻击者会不断寻找新漏洞来攻击web服务系统,所以我们一定要养成及时修补系统漏洞的习惯,并不断提高管理人员的网络技术水平,确保企业web服务器有一个安全、稳定、高效的运行环境。

参考文献:

[1]王淑江,刘晓辉,张奎亭.windowsserver2003系统安全管理[m].北京:电子工业出版社,2009.

[2]托洛斯.iis6管理指南[m].北京:清华大学出版社,2005.

[3]李新,李成友.基于windows系统的web服务器安全研究与实践[j].教育信息化,2006,(4).

[4]马琰.如何提高个人web服务器的安全性[j].职业圈,2007,(9).

tcpip协议篇7

pLC又可被直译为可编程逻辑控制器,是一种进行数字运算操作的专门的电子装置。本文作者依据多年工作经验,对iFiX与Siemens、Ge、modiconpLC的通信及其在电力生产中的应用研究分析,以便和同行切磋、交流。

【关键词】iFiXSiemensGemodiconpLC通信

1关于pLC

1.1pLC的定义及其发展

pLC是programmablelogicController的简称,如果直译,可被译作可编程逻辑控制器。pLC是一种被用于数字运算操作的专门的电子装置。回顾pLC的发展,应当始于1969年。这一年,美国数字设备公司即DeC公司研制出了一种控制装置,这种装置基于集成电路和电子技术的基础。在这个装置中,也首次采用了程序化的手段,并应用于电气控制,第一代可编程序控制器诞生了。这个历史上的一代可编程序控制器被称作programmableController(pC),最初应用于Gm即通用汽车公司。

1.2pLC的组成及应用

pLC系统的组成部分主要由四个,它们分别为:cpu模块、输入模块、输出模块以及编程装置。

由SiemenS即德国西门子公司生产的S系列可编程序控制器在也已经被广泛地应用于我国,无论在冶金、化工还是在印刷生产线等领域都有这个可编程序控制器的应用。由德国西门子(SiemenS)公司生产的pLC产品有很多系列,包括LoGo、S7-200、S7-300、S7-400以及工业网络、Hmi人机界面和工业软件等都属于这个系列。

2关于iFiX

2.1iFiX的定义

所谓iFiX,只是一个windowsH-mi/SCaDa组件,这个组件基于GeFanuc自动化软件产品家族。不同于pLC,在iFiX中,intellution的产品和microsoft的操作系统以及网络被进行了紧密的集成。具体说来,可以这样理解,iFiX的内部就是一个技术核心,这个核心能够提供分布式结构。像activeX、opC、VBa以及组件对象模型(Com)一样,iFiX的开发基础是标准技术。这些标准技术都是提供第三方应用程序的简单集成,而这些集成都是在广泛的局域网和互联网基础上实现的。通过这些简单集成能够使数据的共享得以实现。

2.2iFiX的设备连接

一个工厂要实现数据采集,系统的设备连接是首先需要解决的问题。iFiX可以提供方便的连接方式,通过应用这个方式,一个工厂与可以实现与世界上各种知名设备连接的目的。同时,iFiX能够提供通讯程序的开发工具包,而只有通过这个工具包,用户才能将自己自行开发的一些非标设备实现和iFiX监控系统的连接。

下面就设备连接,笔者作一简述:

2.2.1连接设备类型

可以与iFiX连接的设备有许多种类,DCS、pLC、控制器、远程模块就是这些种类中的主要类型,除了这些,还有现场总线设备、条码阅读器、智能仪表以及称重仪也都可以。另外,其它计算机系统或者特殊设备也可以实现和iFiX的连接。由此可见,iFiX的连接功能实在很强大。

2.2.2连接方式

要说连接,不得不说连接方式。要实现iFiX和设备的连接,方式也有很多,概括起来,主要有如下三种:第一,通过串行口连接;第二,通过工业网络连接;第三,通过标准以太网连接。除了这三种之外,还有一些其它方式,像电话拨号、微波设备以及无线电传输或者专线连接等都可以的。

2.2.3需要用到的iFiX驱动程序

想实现iFiX的运行,自然需要用到驱动程序。根据开发工具的不同,iFiX驱动程序可分为两种,其主要是6.x版本以及7.x版本。

除了上述两种主要程序,也可以使用第三方驱动程序和opCServer。intellution并不专一,它有大量的Cap即自动化合作伙伴。这些伙伴在工程中为iFiX进行了大量商品化驱动程序的编写,当然也包括opCServer。

3pLCCSiemens及其应用

3.1关于pLC-Siemens

pLCCSiemens:Sie:在应用时需要注意如下程序,即首先需要连接串行通讯模块Cp525,这个连接要通过串行口进行。在连接时,支持3964R协议。除了这个连接,也可连接其它西门子设备。当然,这些设备的连接是有条件的,即同样支持此3964R协议。在连接西门子S7系列pLC时,S_7:支持三种方式,这三种方式分别是工业以太网(H1)、profibus(L2)和标准以太网(tCpip)。

3.2pLC与iFiX及Siemens、Ge的结合

在当今科技条件下,自动化正越来越发展,在自动控制系统中,pLC也被越来越多地用到。伴随着其应用的增多,控制系统功能也越来越强大,并且越来越齐全。其主要体现在:不但能和多类现场仪表和设备进行连接,而且在这个过程中,很多通讯功能也能实现了,比如RS232、RS485以及Dp、和以太网等等。以pLCS7-300等系统为例,不但能与很多上位机软件实现很好的通讯,(这些上位机软件包括intouch、wiscon、iFiX、组态王以及天工组态等),更为诱人的是,这些组态还非常的简单、方便、易通。应用方便,加上能实现大小规模控制及监控等多种功能,因此深受人们的喜爱。

在远程通讯中,iFiX与西门子S7-300系统的连接被很好的结合起来加以运用了。这种运用也使远程通讯变成了现实,不但很多人力、物力以及时间、资金被节约了,而且,系统的稳定性也更为强大了。因此可以说,有机结合pLCS7-300和iFiX,不但使远程通讯控制真正地得以实现,而且实现了远程通讯的方便、快速,既节约了公司的资金成本,也在很大程度上节约了时间。目前各种pLC、智能仪表和工控软件就已经被大量应用在工业控制现场,比如SiemenS,aBB,mitSUBiSHi,omRon,moDiCon等公司的pLC工业组态软件就有数百种,包括组态王、力控、iFix等。

参考文献

[1]王勇.iFix与施耐德pLC、aBpLC之间通讯在热电厂化水控制系统中的应用[J].科技创新与应用,2013.

tcpip协议篇8

[关键词]集团企业;财务管理;问题;创新策略

1引言

国际化形势下世界发展格局正在发生改变,尤其是信息技术的先进手段和方法的应用,使得财务管理工作在企业宏观、微观管理中的作用不容小觑。企业的财务数据分析工作囊括了企业所有活动中的大量的、重要的经济信息资料等,而且企业财务系统建设逐渐朝着精细化以及电子化方向发展。在当前信息快速发展的时代背景下,大数据时代企业应当充分利用先进的技术条件,如现代信息技术、网络技术、计算机等,比如基于epR技术的应用来有效提高财务管理水平。从本质上来讲,作为现代企业的一项重要的经营管理活动核心内容,在互联网的快速发展进程中,在知识经济时代的迅猛冲击下,企业的财务管理模式发生了变化,并出现了重大改变。

2企业财务管理存在的问题

2.1管理理念相对比较陈旧,指导性有待提升

通过对现阶段国内各类企业内部财务管理状况分析发现,实践中企业管理观念相对比较陈旧、滞后等问题严重,并且有的企业的财务管理方式已经无法跟上发展的步伐,也难以有效适应企业生产经营变化客观要求,财务管理目标缺乏科学性和正规化。

2.2财务管理系统信息化建设滞后

虽然当前已经进入信息化时代,但是为数不少的企业并未将财务管理工作与现代互联网技术和理念融为一体,影响了企业的快速发展以及现代化建设。实践来看,虽然为数不少的企业在财务管理工作中已经逐渐开始意识到信息化建设的重要性和价值,但是具体落实效果不佳,部分企业采取管理工作甚至还存在着人工操作方式。财务管理步伐缓慢,必然会影响企业财务管理工作效能。

2.3客观所需的财务人才匮乏

企业财务管理的根本在于通过发挥财务人员的作用来实现财务管理之目标,然而此类人才在很多企业中是相对比较匮乏的。单纯从技术层面来看,构建财务管理体系并非易事,其中必须有复合型人才作为保障。

2.4风险防控机制尚不完善

“互联网+”环境下企业财务管理所面对的环境更加复杂化,要求企业必须构建完善的风险管理机制。但是就目前风险管理机制来看并不完善,很多问题不能基于这一防控机制来实现应对之目的。

3企业财务管理适应新环境的创新对策

3.1树立“零存货”的管理理念

在传统的财务管理模式下零存货概念并不存在,同时也是以往财务管理模式中的一个难以控制的漏洞。随着市场经济的发展,信息流速度逐渐加强,改变了过去那种企业无法及时和客户取得沟通和联系的状态,使得企业能够在最短的时间内了解和掌握市场的动态和需求量,这就避免了过去存货过多或者过少的问题。

3.2创新资金筹集渠道

采取资金收支两条线管理方式,并且在指定商业银行、农发行设立银企直联收、支专用账户,对物流公司本部和直属企业资金收、付款实行收支两条线集中统一管理。通过收入账户,将收入资金统一上存到物流公司,做到“日归集、零余额”;按照资金日预算,通过支出账户,将使用资金拨付到直属企业,由直属企业对外付款,做到前置审批以及日预算支出。新技术应用条件下,应当整合企业财务管理工作,并利用衍生的新管理工具,比如云计算以及eRp软件技术等给财务管理更多空间。其一,加强云计算在企业财务管理中的应用。云计算体现了现代互联网精神,作为一种新型的计算模型和技术手段,采用的是强干弱支方式交由“云”进行处理,该种信息技术处理能力可以应用于财务管理,而且与企业财务模式优化整合在一起,可以作为一种企业财务管理工具应用。从实践来看,该种方式不仅可以低层次地进行财务核算,中上层进行财务分析,而且还可以实现外包。随着科技水平的不断提高,采用云计算的企业越来越多,企业采取管理工作水平更上一个台阶。其二,eRp软件以及网络财务管理模式的优化整合。在企业财务管理体系构建时,软件的应用应当与企业现有资源协同起来,从而确保数据链的畅通性。在此过程中,企业可以利用eRp软件技术手段,对相关财务活动记账与核算,然后通过报表、表单体现出来;其中涉及费用、成本以及营收等,均应当流入系统整合运算体系之中。及时反馈财务信息,管理层准确做出财务决策,以此来缩短财务链运行周期,使各节点运行更加的流畅,提高其敏捷性。在eRp环境条件下,财务管理工作应当全面系统,站在企业全局视角,系统梳理以及科学设计企业财务管理环节。

3.3完善制度,加强企业财务风险管控

加强企业财务风险控制至关重要,在当前企业财务管理实践中,尤其是商务交易的无地域以及无纸化趋势,使得企业财务管理工作环节中原本的凭证逐渐电子化。然而,无论哪种形式的财务管理工作,都隐存在着安全隐患问题。同时,现代财务模式下的开放式tCpip协议应用过程中,很可能被外部监听或者窃取,而且商业财务信息容易外泄。企业在财务模式构建过程中,应当对效率以及安全性进行综合权衡,在确保数据链安全运行的条件下适当设卡,以此来保证网络系统的安全可靠性,同时这也是加强企业财务安全管理的有效手段和路径。

3.4全面提升财务管理人员的个人素养

企业应当明确界定企业人员的职责,尽可能缩短过渡期,明确职责并制定清晰的管理机制;建立完善的财务管理组织机构,其中管理部门内部应当健全和完善,这样才能确保各项决策有效实施。同时还要加强内控管理,尤其是海外工程项目建设过程中应当加强企业内控管理。加强企业内部控制管理,应当从以下两个方面入手:一是做好内控管理工作。会计以及出纳人员应当合理安排,在企业建设项目前期阶段应当做好各项准备工作。二是财务授权。企业应当加强财务管控,强化会计监督管理。会计人员应当认真履行其监督职能,严格按照企业内控管理机制以身作则。

3.5构建完善和健全的预算管理体系

现代信息技术手段和平台的引入,对于提高企业财务管理水平而言起到了非常重要的作用。实践中,企业可以有效利用现代大数据技术手段,打破数据存储及其利用格局与壁垒,帮助和引导企业对多年积累的业务、财务以及人力资源和市场等方面的信息进行深挖,为企业战略目标分解以及编制预算和预算报告完成等提供支持,从而使企业能够更加科学合理的进行预算管理。

tcpip协议篇9

关键字:计算机局域网维护

一、前言

在计算机进入网络的时代,把各自独立的计算机通过通信介质互相连接,并按照一定的协议相互访问,就能实现信息和资源的共享。局域网作为一种计算机网络,在网络协议上基本符合oSi模型,该网络采用tCp/ip技术,实现数据的传输和处理功能。由于局域网短距离、高速率、低延时、低出错等特点,被众多企事业应用。如何根抓实际利用现有的资源,提高维护下作的效率,是每个网络维护管理工作者的职责,科学灵活的运用局域网的理论和技术来规划、设计、管理局域网是网管人员需要研究的内容。

二、硬件维护

2.1网卡安装与维护

首先要确保所用网卡被该操作系统支持,并且使用了正确的网卡驱动程序。如果配置后,重启系统时报错或使用winipcfg检查不到网卡的配置信息,说明网卡根本没有作系统检测到。对于iSa接口的网卡,可使用网卡所带的设置程序,在纯DoS环境下正确设置其中断(iRQ)、输入/输出地址范围(i/oaddress)等参数。有跳线的网卡要根据网卡说明书调整跳线,确保跳线设置正确。对于pCi接口的网卡,可更换插槽试试。待配置结束后,重启系统,再次检查网卡是否正常。网卡在重启时正常检测,但不能同其他机器互联。这主要是由于子网掩码或ip地址配置错误、网线不通、网络协议错误、路由错误等几种情况造成。解决方法是首先ping本网卡的回送地址(127.0.0.1);若通,则说明本机tCp/ip工作正常;若不通,则需要重新配置并重新启动电脑。有些网卡缺省设置其速率为100m,也会导致网络不通,需要根据所连Hub(集线器)或Switch(交换机)口的速率,将其速率设置为10m、100m或设成自适应网线速率。

2.2网络检查与维护

网络互联系统主要指网络的连接转发设备,包括HUB、交换机、路由器等。

检测HUB或交换机故障。HUB或交换机的状态指示灯如果闪烁或常亮黄灯、表明数据包在网络上有堵塞情况、需要检查同一局域网中是否有重复的ip地址分配或局域网ip地址分割有交叉。如果网线和主机都没有问题、则应测量网络设备的地线和零线之间的电压、如果电压超过3V则表明HUB或交换机的供电系统有问题、静电不能及时释放、干扰了数据信号。

检测路由器故障。利用miB变量浏览器、用它收集路由器的路由表、端口流量数据、计费数据、路由器CpU的温度、负载以及路由器的内存余量等数据。通常情况下网络管理系统有专门的管理进程不断地检测路由器的关键数据、并及时给出报警。另外、如两个路由器直接连接、应将一台路由器的出口(或入口)连接另一路由器的入口(或出口)。

网络连线是局域网的血管、没有它们、信息就无法流通。网络某条线路突然中断、用ping或fping检查线路在网管中心这边是否连通、若连续几次ping都出现Requesttimeout信息、表明网络不通。连线故障通常包括网络线内部断裂、双绞线和RJ-45水晶头接触不良以及双绞线是否采用标准线序连接等。

2.3双绞线的标准使用

双绞线的正确联接很重要。对8根4对双绞线的不正确联结使用,会影响通讯效果。在

10Base-t标准中,第1,第2为一对线,第3、第6为一对线。在一对线的传输中,由于线路是双绞的,会将涡流相互抵消,延缓数据信号的衰减。如果线路不正确使用,就起不到涡流抵消的双绞线作用,使传输距离和传输速度都要打折扣。如果双方为同样的线序,表明是接集线器的直联线。如果为1,3,2,6反接,则为双机直联线,又称Hub集线器级联线。

三、软件维护

3.1病毒预防

防御计算机病毒应该从两个方面着手,首先应该加强内部网络管理人员以及使用人员的安全意识,使他们能养成正确上网、安全上网的好习惯。再者,应该加强技术上的防范措施,比如使用高技术防火墙、使用防毒杀毒工具等。具体做法如下:

3.1.1权限设置,口令控制。很多计算机系统常用口令来控制对系统资源的访问,这是防病毒进程中,最容易和最经济的方法之一。网络管理员和终端操作员根据自己的职责权限,选择不同的口令,对应用程序数据进行合法操作,防止用户越权访问数据和使用网络资源。在选择口令应往意,必须选择超过6个字符并且由字母和数字共同组成的口令;操作员应定期变一次口令;不得写下口令或在电子邮件中传送口令。通常简单的口令就能取得很好的控制效果,因为系统本身不会把口令泄露出去。但在网络系统中,由于认证信息要通过网递,口令很容易被攻击者从网络传输线路上窃取,所以网络环境中,使用口令控制并不是很安全的方法。

3.1.2简易安装,集中管理。在网络上,软件的安装和管理方式是十分关键的,它不仅关系到网络维护管理的效率和质量,而且涉及到网络的安全性。好的杀毒软件能在几分钟内轻松地安装到组织里的每一个nt服务器上,并可下载和散布到所有的目的机器上,由网络管理员集中设置和管理,它会与操作系统及其它安全措施紧密地结合在一起,成为网络安全管理的一部分,并

且自动提供最佳的网络病毒防御措施。

3.1.3实时杀毒,报警隔离。当计算机病毒对网上资源的应用程序进行攻击时,这样的病毒存在于信息共享的网络介质上,因此就要在网关上设防,在网络前端进行杀毒。基于网络的病毒特点,应该着眼于网络整体来设计防范手段。在计算机硬件和软件,Lan服务器,服务器上的网关,internet层层设防,对每种病毒都实行隔离、过滤,而且完全在后台操作。例如:某一终端机如果通过软盘感染了计算机病毒,势必会在Lan上蔓延,而服务器具有了防毒功能,病毒在由终端机向服务器转移的进程中就会被杀掉。为了引起普觉,当在网络中任何一台工作站或服务器上发现病毒时,它都会立即报警通知网络管理员。

3.1.4以网为本,多层防御。网络防毒不同于单机防毒。计算机网络是一个开放的系统,它是同时运行多程序、多数据流向和各种数据业务的服务。单机版的杀毒软件虽然可以暂时查杀终端机上的病毒,一旦上网仍会被病毒感染,它是不能在网络上彻底有效地查杀病毒,确保系统安全的。所以网络防毒一定要以网为本,从网络系统和角度重新设计防毒解决方案,只有这样才能有效地查杀网络上的计算机病毒。

3.2软件维护

软件可以分为服务器上的软件和局域网中电脑的软件。服务器上的软件价值最高,要特别注意。另外,因各部分信息也都存放在服务器上,所以维护这些信息安全,也尤为重要。软件维护包括以下几部分。

3.2.1服务器软件的维护

服务器上的软件主要是操作系统、www服务器、文件服务器等软件。这些软件平常应该正常运行,但还是要定期检查。如:有软件会有一些缺陷,因此,当有新的补丁包时,应尽快把系统升级。另外有时也有人为的操作错误而误删一些文件,因此,当服务器的运行出现异常时,应通知维护人员进行检查。维护人员应该尽快地找出问题所在,不可以放任

不管,否则,后来的信息有可能会因为这个问题而产生错误。等到发现这个错误时,恐怕已经造成重大的影响了。另外,不要在系统中安装一大堆根本用不着的软件;要定期的做磁盘整理、注册表清理等。

3.2.2软件维护最重要的定期工作就是备份

无论设计得多好的软件,都有可能因为一些意外造成资料的丢失。这些资料一旦丢失而又没有备份,后果是非常可怕的。因此,对于日常性的资料,最好能够每天备份。这样,就算资料流失了,也只是损失一天的资料而已。

目前的备份设备有很多可供选择,如CD-Rom,DVD等。有些维护人员只是把工作过程设定在电脑中,然后将备份设备开着就不管了。其实这是不对的,应该每夭确认前一天的备份工作已确实完成了,并且要留多份备份,这样才比较安全。另外,如果备份的资料具有机密的性质,不但要确认每日备份后资料的流向,对过期的备也要进行彻底的销毁。

虽然本文对局域网的各种维护做了一定的介绍,但单位局域网有着自己不同的特点,所以局域网管理员应根据自己网络的特点采取适合自己的维护方法,并不断学习新的网络维护方法,使得局域网速度、安全等得到更大的提高。

参考文献:

[1]美novell公司著;李昭智等译netware4网络管理.北京:电子工业出版社,1997

[2]胡道元编著.计算机局域网.北京:清华大学出版社,1996

tcpip协议篇10

关键词:网络安全;防火墙;个人防火墙;黑客攻击。

中图分类号:tp393文献标识码:a文章编号:1009-3044(2007)06-11582-02

在计算机网络日益扩展和普及的今天,网络安全,毋庸置疑,是十分重要的。当计算机与internet连接之后,系统的安全除了考虑计算机病毒、健壮性之外,更主要的是防止非法用户的入侵。目前防止的措施主要是靠防火墙的技术完成,因为在当前网络安全技术中,防火墙技术可以称得上是保障网络安全的一种最有效的技术之一。尤其是个人防火墙,对于个人计算机用户来说是相当重要的。

如果用户的pC系统在用户未知的情况下被植入了黑客程序,那么当用户的系统连入internet后,一旦该程序启动,个人防火墙就会及时报警并禁止该程序与外界的联络。可以肯定地说,internet时代离不开个人防火墙,所以,通过个人防火墙来确保个人计算机系统的安全是十分有效的。

1网络安全现状及个人计算机安全问题

现在国内越来越多的家庭与internet连在一起,除了浏览网站、查询信息之外,还常常在网上采购、用信用卡进行网上支付、买卖股票或者通过在线银行进行转账等操作。当计算机系统接入internet后,就面临不断增多的各种安全威胁。而其中的人为恶意攻击,正是计算机网络面临的最大威胁,黑客攻击和计算机犯罪即属于此类。对于那些经常使用网络的用户来说,个人计算机系统中的文档、财务信息以及业务数据是至关重要的,防黑客攻击成为他们必须面对的问题。一旦黑客们侵入用户的pC机,就可能很窃取用户的银行账号、信用卡号码、传播病毒甚至删除磁盘文件,把用户的数字化生活变成一场噩梦!

网络设计之初只考虑到网络的方便性、开放性,这使得网络非常脆弱,极易受到破坏,无论这种破坏是有意的还是无意的。为了解决这个问题,专家做了大量研究,主要包括数据加密、身份认证、数字签名、防火墙、安全审计、安全管理、安全内核、安全协议、网络安全性分析、网络信息安全监测、信息安全标准化等方面。防火墙在防止非法入侵、确保内部网络安全上,是目前最有效的一种方法。防火墙是一种综合技术,它涉及网络技术、密码技术、软件技术、iSo的安全规范及安全操作系统等多方面。

对于个人计算机来说,解决网络安全问题的一个有效方法就是采用个人防火墙。企业防火墙价格昂贵、配置困难、维护复杂;而个人防火墙成本低、操作简单、界面友好,同时能时刻监控进出pC机的网络信息。在pC机上安装个人防火墙的必要性显而易见。

2个人防火墙的发展及其关键技术

2.1防火墙概述

防火墙是指隔离在本地网络与外界网络之间的一道防御系统,是这一类防范措施的总称,其中包括了硬件和软件。在互联网上防火墙是一种非常有效的网络安全模型,通过它可以隔离风险区域(即internet或有一定风险的网络)与安全区域(局域网)的连接,同时不会妨碍人们对风险区域的访问。防火墙通过控制和检测网络之间的信息交换和访问行为来实现对网络的安全管理。其工作原理是:按照事先规定好的配置与规则,监测并过滤通过防火墙的数据流,只允许授权的或者符合规则的数据通过。防火墙能够记录有关连接的信息、服务器或主机间的数据流量以及任何试图通过防火墙的非法访问记录。同时自身也应具备较高的抗攻击性能。

1986年世界上第一个企业防火墙接入internet网以后,防火墙技术得到了飞速的发展。不同的防火墙使用不同的技术,现今的大多数防火墙使用以下技术中的一种或多种:

(1)数据包筛选器:数据包筛选器查看进入或离开网络的每个数据包,并基于用户定义的规则接受或拒绝数据包。数据包筛选相当有效和透明,但是难于配置。此外,它容易引起ip欺骗。

(2)应用程序网关:应用程序网关对特定程序(如Ftp和telnet)应用安全机理。此技术十分有效,但可能会使性能降低。

(3)电路层网关:此技术在建立传输控制协议(tCp)或用户数据报协议(UDp)连接时应用安全机理。建立连接之后,数据包可以在主机之间流动,而无需进一步检查。

(4)服务器:服务器截取进入和离开网络的所有消息。服务器可以有效隐藏真实的网络地址。

(5)应用程序:应用程序具有对网络栈中整个范围的信息的访问权限。这就允许基于基本授权(源、目标和协议)做出决定,并且还可以筛选数据流中冒犯性或不允许的命令。应用程序是“全状态的”,这意味着它们保持连接的固有“状态”。windowsXp中包含的“internet连接防火墙”功能就是一种“全状态的”防火墙。

2.2个人防火墙的发展

个人防火墙是在企业防火墙的基础上发展起来,采用的技术也与企业防火墙技术基本相同,但在规则的设置、防火墙的管理等方面进行了简化,使非专业的个人用户能够容易的安装和使用它们。它一般是指软件,安装在pC机的桌面上,能够监视pC机的通信状况,一旦发现有对pC机产生危险的通信,就会报警通知管理员或立即中断网络连接来保护pC机的安全和硬盘上的机密资料。

个人防火墙的工作是基于包过滤技术(ipFilteringorpacketfiltering)。包过滤技术的原理在于监视并过滤网络上流入流出的ip包,拒绝发送可疑的包。包过滤式的防火墙会检查所有通过信息包里的ip地址,并按照系统管理员所给定的过滤规则过滤信息包。如果防火墙设定某一ip为危险的话,那么从这个地址而来的所有信息都会被防火墙屏蔽掉。目前开发个人防火墙主要采用包过滤防火墙技术。windows操作系统作为使用最为广泛的pC操作系统,因此在windows操作系统下开发的个人防火墙产品数不胜数。关于个人防火墙产品,国外在该领域发展的比较快,知名的品牌有noRton、pCCiLLin等等。国内有天网个人版防火墙、金山毒霸网络个人防火墙等等。

2.3个人防火墙的关键技术

开发个人防火墙的难点在于操作系统下网络数据包的拦截,所谓网络数据包就是指在网络中传输的数据单元。要拦截windows下的网络数据包可以在两个层面进行:用户模式和内核模式,而每个层面又有不同的技术可供选择。

在用户态下进行网络数据包拦截有以下几种方法:1)winsockLayeredServiceprovider(LSp)。这种方法可以获得调用winsock的进程详细信息。但是对于如果直接通过tDi(transportDriverinface)调用tCpip来发送数据包应用程序,这种方法就无能为力了。因此,大多数的个人防火墙都不使用这种方法。2)windows2000包过滤接口。windows2000ipHLpapi提供了安装包过滤器的功能。但是,包过滤的规则有很多限制,对于个人防火墙来说是远远不够的。3)替换系统自带的winSoCK动态连接库。个人防火墙最常用的用户模式数据包拦截技术是winsockSpi,即服务提供者接口。Spi是winsock2.0引入的一种新的接口.很显然,在用户态下进行数据包拦截最致命的缺点就是只能在winsock层次上进行,而对于网络协议栈中底层协议的数据包无法进行处理。对于一些木马和病毒来说很容易避开这个层次的防火墙。

windows操作系统网络协议架构可知,在内核模式下拦截网络数据包可在tDi(transportDriverinface)和nDiS(networkDriverinterfaceSpecification)两个层面上进行。大多数的个人防火墙都是利用网络驱动程序来实现的。具体有这样几种方法:

(1)tDi过滤驱动程序。

在windows中,网络协议栈的核心协议由tDi传输驱动程序(协议驱动程序)实现,当应用程序要发送或接收网络数据包的时候,都是通过与协议驱动所提供的接口来进行的。事实上,在tDi层面上拦截网络数据包,可以采将一个驱动程序挂接到tDi传输驱动程序之上,当tDi客户向协议发出请求时,这个驱动程序先于传输驱动程序得到这个请求,当协议向tDi客户传输数据时,这个驱动程序先于tDi客户得到数据。这种驱动程序通常被称为tDi过滤驱动程序。tDi层的网络数据拦截还可以得到操作网络数据包的进程详细信息,这也是个人防火墙的一个重要功能。

(2)nDiSHooK技术

协议驱动程序与网络适配器驱动程序(又称为nDiS小端口驱动程序或nDiS驱动程序)之间不是通过iRp而是通过nDiS接口来通信的。因此,在nDiS层面拦截网络数据包的中间驱动程序目前有两种常用的技术,一种是nDiSHooK技术,另一种是nDiS中间层驱动程序技术。

nDiS为协议驱动程序和小端口驱动程序提供了一些接口函数,协议驱动程序和nDiS小端口驱动通过调用这些函数完成它们之间的数据传递。这些函数由一个库导出,如在windows2000中,这个库是ndis.sys。nDiSHooK的工作原理是开发者编写一些函数来替换nDiS函数库中的一些关键输出函数,这样只要向nDiS请求就会被开发者的函数拦截。

(3)nDiS中间层驱动程序技术

中间层驱动介于协议层驱动和小端口驱动之间,它在自己的上下两端分别开放出一个miniport(小端口)接口和一个protocol(协议)接口。对nDiS小端口驱动程序来说,中间层驱动程序就相当于传输驱动程序;对传输驱动程序来说,中间层驱动程序就相当于小端口驱动程序。系统中所有的网络通信都经过nDiS中间层驱动程序,因此它可以用于网络数据包的拦截与过滤。nDiS中间层驱动的应用很广泛,不仅仅是个人防火墙,还可以用来实现Vpn,nat,pppoverethernet以及Vlan。

2.4一种新型的个人防火墙的设计

目前大多数个人防火墙采用内核模式的nDiSHooK驱动程序技术,但是,这种技术对平台的依赖性比较大,需要在程序中判断操作系统的版本而使用一些未见文档的结构定义。因此,采用这种技术需要开发人员利用各种调试工具来发掘这些结构的详细定义,这样比较繁琐也容易出错。

tDi过滤驱动程序的优点是不仅可以拦截通过winsock层访问网络的数据包,还可以拦截通过tDi访问网络的数据包。此外,由于tDi采用标准的i/o模式,所以可以得到访问网络的进程的详细信息。这也是个人防火墙的一个重要功能。缺点是不能对所有进出网络适配器数据包进行拦截。例如,tDi过滤驱动程序无法获得使用iCmp协议的数据包。

nDiS中间驱动程序的缺点是不能够得到数据包的进程信息,对代码质量要求比较高。优点是由于它工作在网络层和数据链路层之间,所以可以拦截所有进出网络适配器的数据包,从而完成更为低级的操作。用这种技术编写网络安全软件,安全系数更高。此外,nDiS中间驱动程序的应用很广泛,不仅仅用于个人防火墙,还可以用来实现Vpn、nat、VLan等。它的功能很强大,是今后个人防火墙技术的趋势所在。

综合以上各种技术的优缺点,我们认为,可以采用tDi过滤驱动程序和nDiS中间驱动程序技术来进行新一代防火墙的开发。tDi过滤驱动程序用于实现应用程序访问网络的控制,因为这种技术可以拦截绕开winsock而访问网络的应用程序。nDiS中间驱动程序用于数据包的拦截,因为采用这种技术可以拦截所有进出系统的网络数据。

采用内核模式的tDi过滤驱动程序和nDiS中间驱动程序技术开发有着很多的优点。tDi过滤驱动程序可以得到访问网络的进程的详细信息,并能够拦截网络协议栈中底层协议的数据包,可以很容易地拦截一些木马和后门程序。nDiS中间驱动程序工作在数据链路层,拦截的数据包是数据链路帧。这样,不但可以拦截ip数据包而且还能拦截非ip数据包,扩大了数据包过滤的范围。采用这种技术开发的个人防火墙应该是更为安全。另外,nDiS中间驱动程序的应用很广泛,不仅仅应用在个人防火墙方面,还可以用来实现Vpn、nat、VLan等。因此,今后可以将个人防火墙技术与其他安全技术集成开发更为强大的网络安全产品。nDiS中间驱动程序的功能很强大,能够对个人防火墙实现更多的附加功能,是今后个人防火墙技术发展趋势所在。

3结论

对于个人计算机用户来说,不但要求防治病毒,还要提高系统抵抗外来非法黑客入侵的能力,那么目前最主要的防治措施就是使用个人防火墙。目前防火墙已经在internet上得到了广泛的应用。客观的讲,防火墙并不是解决网络安全问题的万能药方,但确实是网络安全策略中的一个重要组成部分。随着网络安全问题日益严重,网络安全产品也被人们重视起来。防火墙作为最早出现的网络安全产品和使用量最大的安全产品,也越来越受到用户和研发机构的重视。

参考文献:

[1]楚狂.网络安全与防火墙技术[m].北京:人民邮电出版社,2000,8.

[2]ChrisCant.孙义,马莉波,国雪飞.等.译.windowswDm设备驱动程序开发指南[m].机械工业出版社,2000,1.

[3]matthewStrebe,Charlesperkins.吴焱,李文,董正卫.等.译.高效构筑与管理防火墙[m].北京:电子工业出版社,2000,4.

[4]刘绍翰.internet防火墙的构造与实现[D].南京:南京理工大学,2000.

[5]徐琪,冯锋.基于包过滤技术的internet安全性研究[J].宁夏大学学报:自然科学版,2000,21(4):329-331.

[6]terrywilliamogletree.李之棠,李维明,陈琳.等.译.防火墙原理与实施[m].北京:电子工业出版社,2001,2.

[7]merikeKaeo.湘工作室.译.网络安全性设计[m].北京:人民邮电出版社,2000,10月.

[8]建新.编.网络安全初阶:黑客技术揭秘与防范[m].上海:上海科学技术出版社,2000.

[9]peternorton,mikeStockman.网络安全指南[m].北京:人民邮电出版社,2000.