安全远程访问范文

安全远程访问范文（精选9篇）

安全远程访问 第1篇

集成安全功能,确保高标准的安全性

用于对标准和专用机器设备进行远程维护

西门子提 供的Sinema Remote Connect远程管理平台, 支持以高效安全的方式远程访问分布在全球各地的机器设备。 该服务器应用不仅可以简化远程服务,如对机器设备的远程维护, 而且还能 简化其他 远程应用 , 如工况监 测 。 Sinema Remote Connect远程管理 平台可以 管理和授权所有通信连接。 该管理平台特别适合用于标准和专用机械制造, 因为原始设备制造商 (OEM) 可以借助 该远程管 理平台 , 根据独一 无二的身份标志, 识别并控制安装在不同客户工厂的众多同型机械设备。

西门子全新远程管理平台使远程访问安全简便

Sinema Remote Connect远程管理 平台可以 确保对控制中心、 服务工程师与已安装设备之间的VPN通道进行安全管理。服务工程师和待维护的机 器设备分 别与Sinema Remote Connect远程管理平台建立连接。 远程管理平台通过交换证书来验证各个站点的身份, 然后才允许对设备进行访问。 禁止未经授权访问带有运行设备或机器的企业网络,从而提高安全性。 VPN通道连接基于证书加密,符合Open VPN标准,并通过最高4 096位加密予以保护。 机器设备访问权限的分配, 可利用该管理平台简便的用户管理功能进行集中管理。 所有站点均可以手动方式启用或禁用,这样,制造商的客户(设备用户)也可以永久性地控制对其企业网络的每一次访问。

借助集成的地址簿功能,所有机器设备均可通过Sinema Remote Connect远程管理 平台进行 唯一识别和选择———即使它们具有相同的本地IP地址 。 然后 , 只需点击鼠标就可以建立VPN连接。 Sinema Remote Connect远程管理平台是一个不受协议限制的(协议无关)管理平台。 这意味着,与机器的连接一旦建立,用户就可以采取不同的应用来进行远程维护, 如使用Simatic STEP 7编程软件 (TIA Portal )。

不让远程桌面非法访问 第2篇

取消远程连接权限

对于局域网中的重要主机来说，始终保持权限最小化状态是十分有必要的，所以在可能的情况下，取消一切用户的远程连接权限，就能不让远程桌面非法访问了。登录进入重要主机系统，用鼠标右键单击系统桌面上的“我的电脑”或“计算机”图标，从弹出右键菜单中点击“属性”命令，进入系统属性对话框，点击“远程”选项卡，打开如图1所示的选项设置页面，取消选中“允许用户远程连接到此计算机”选项，单击“确定”按钮保存设置操作即可。

当然，简单取消远程连接权限有点极端，在确实需要进行远程管理的场合下，可以为特定用户赋予远程连接权限。例如，仅允许“（8JHYTsd”这样的可信账号进行远程桌面连接时，只要在如图1所示的设置页面中，点击“选择远程用户”按钮，系统会弹出用户账号列表框，将已经出现在这里的所有账号一一选中，并单击“删除”按钮。再按下“添加”按钮，在其后弹出的选择用户账号对话框中，找到“（8JHYTsd”这样的可信账号，并将该账号选中添加进来，确认后保存设置操作。这样，日后其他普通用户将无法使用远程桌面程序来对本地主机系统进行远程管理，而只有在这里授权的“（8JHYTsd”用户才有权限使用远程桌面连接管理本地系统。

值得注意的是，administrator账号默认会拥有远程桌面连接权限，为了防止恶意用户尝试通过该账号来实现非法访问，建议进行如下操作来取消administrator账号远程桌面连接权限：依次单击“开始”、“运行”命令，展开系统运行对话框，输入“gpedit.msc”命令并回车，开启系统组策略编辑器运行状态。将鼠标定位到“本地计算机策略”、“计算机配置”、“Windows设置”、“安全设置”、“本地策略”、“用户权限分配”分支上，双击该分支下的“通过终端服务允许登录”组策略选项，在其后弹出的选项设置框中，删除已经存在的系统管理员账号administrator。这样，当有人尝试通过administrator账号远程桌面连接到本地系统时，就会出现拒绝登录的报警提示。

绑定终端服务协议

默认状态下，终端服务RDP协议会绑定在重要主机的所有网卡设备上，事实上，某个时刻只有其中一块网卡设备需要开通远程管理功能，这时候绑定在其他网卡设备上的终端服务RDP协议，或许就容易被远程桌面非法利用。为了降低非法利用的可能，我们可以采取如下步骤，将终端服务RDP协议只绑定到需要的网卡设备上：

首先登录重要主机系统，依次单击“开始”、“程序”、“管理工具”、“终端服务配置”选项，进入终端服务配置控制台界面。在该界面右侧列表区域，找到终端服务RDP协议选项，用鼠标右键单击该选项，点击右键菜单中的“属性”命令，弹出终端服务RDP协议属性对话框。

其次点击“网卡”标签，打开如图2所示的标签设置页面，在这里我们能看到终端服务RDP协议默认已经绑定在重要主机的所有网卡设备上了。此时，可以从网卡下拉列表中，选择需要绑定的那块网卡设备，单击“确定”按钮保存设置操作即可。

按需过滤连接请求

有的时候，为了预防局域网中感染了病毒木马的计算机，通过远程桌面连接随意访问服务器系统，我们需要在服务器系统过滤大部分远程连接本地3389端口的TCP请求，仅允许通过事先授权IP地址的计算机连接。要做到这一点，可以利用创建IP安全策略的方法，通过点到点的安全模型，能够安全有效地限制源计算机远程连接到目标计算机。那么，怎样来创建IP安全策略，按需过滤远程连接本地3389端口的TCP请求呢？这里就以Windows Server 2003系统为例来说明。

首先依次单击“开始”、“运行”命令，弹出系统运行对话框，输入“Gpedit.msc”命令，开启系统组策略编辑器运行状态。将鼠标定位到组策略编辑界面的“本地计算机策略”、“计算机配置”、“Windows 设置”、“安全设置”、“IP 安全策略，在本地计算机”分支上，在该分支下显示有服务器系统默认的三条安全策略，它们分别为安全服务器、客户端、服务器策略。

其次打开目标分支的右键菜单，点击“创建IP安全策略”命令，展开IP安全策略向导设置框，按“下一步”按钮，将策略名称输入为“过滤远程连接”，单击“下一步”按钮后，取消“激活默认响应规则”项目的选中状态，继续按“下一步”按钮，再点击“完成”按钮结束新安全策略的创建任务。

下面需要在该安全策略中创建两条IP安全规则：“禁止远程连接”和“允许远程连接”。在创建IP安全规则之前，先要返回到“IP 安全策略，在本地计算机”分支上，从该分支的右键菜单中点击“管理IP筛选器表和筛选器操作”命令，切换到管理IP筛选器列表标签页面，点击其中的“添加”按钮，展开IP筛选器添加向导对话框，依照向导提示将IP筛选器名称设置为“3389端口”，将筛选器的“源地址”设置为任何IP地址，将“目的地址”设置为“我的IP地址”，将“IP协议”参数设置为“TCP”，将端口设置为从任意端口到本地系统的“3389”端口，确认后结束筛选器操作的创建任务。点击“管理筛选器操作”标签，在对应标签页面中按下“添加”按钮，展开筛选器操作添加对话框，将筛选器操作名称设置为“拦截3389端口”，将筛选器操作的行为设置为“阻止”，其他参数保持默认设置，完成筛选器的创建任务。

现在正式创建“禁止远程连接”IP安全规则。在“IP 安全策略，在本地计算机”分支下面，找到之前创建好的“过滤远程连接”策略，用鼠标双击该策略选项，展开对应策略选项设置对话框，单击“添加”按钮，弹出添加向导对话框，依照向导提示全部使用默认设置，直到向导对话框弹出警告提示，询问用户是否“想继续并保留这些规则的属性吗”时，点击“是”按钮，进入如图3所示的IP筛选器列表界面。单击“添加”按钮，导入之前创建好的“3389端口”IP筛选器，按“下一步”按钮后，选中“拦截3389端口”这个筛选器操作，继续单击“下一步”按钮后，就结束“禁止远程连接”IP安全规则的创建操作了。这时，我们手头就有一个拦截所有IP远程访问本地3389端口的安全策略了，为了让该策略正式生效，还需要打开“过滤远程连接”策略的右键菜单，执行“指派”命令，才能让本地系统正式拒绝所有计算机连接3389端口的TCP请求。

nlc202309042035

经过上述设置操作后，所有计算机都无法通过3389端口远程管理本地计算机了。为了让合法可信的计算机允许建立远程桌面连接，还需要创建一个“允许远程连接”的IP安全策略。在创建该安全策略之前，同样要创建好“3389端口1”的IP筛选器，将该筛选器的“源地址”设置为一个特定的IP地址，比方说将管理员使用的计算机IP地址填写到这里，将“目的地址”设置为“我的IP地址”，将“IP协议”参数设置为“TCP”（如图4所示），将端口设置为从任意端口到本地系统的“3389”端口，确认后结束筛选器操作的创建任务。点击“管理筛选器操作”标签，在对应标签页面中按下“添加”按钮，展开筛选器操作添加对话框，将筛选器操作名称设置为“允许3389端口1”，将筛选器操作的行为设置为“允许”，其他参数保持默认设置，完成筛选器的创建任务。下面打开“允许远程连接”策略选项设置对话框，单击“添加”按钮，弹出添加向导对话框，依照向导提示导入之前创建好的“3389端口1”IP筛选器，按“下一步”按钮后，选中“允许3389端口1”这个筛选器操作，这样就结束“允许远程连接”IP安全规则的创建操作了。再次对“允许远程连接”规则执行指派操作，日后只有来自特定IP地址的计算机将被许可进行远程桌面连接，其他的IP地址连接都将被拒绝。

开启网络身份验证

在安装了Windows Server 2008系统的服务器环境中，也能通过系统新增加的网络级身份验证功能，强制对所有远程桌面连接用户执行网络级身份验证，以避免一些恶意用户偷偷通过远程桌面程序非法访问服务器资源。

在开启网络级身份验证功能时，首先以系统管理员权限登录进入服务器系统，依次单击“开始”、“程序”、“管理工具”、“服务器管理器”命令，弹出服务器管理器界面。选中该界面左侧的“服务器管理”分支，在该分支的“服务器摘要”位置处，点击“配置远程桌面”按钮，进入服务器系统远程桌面设置窗口。在这里能看到三个功能选项，要想让局域网中的任何计算机都能通过远程桌面连接来进行远程访问时，只要选中“允许运行任意版本远程桌面的计算机连接”选项即可（如图5所示），只是它容易引起非法访问麻烦。

如果不想让远程桌面非法访问服务器系统时，可以选中“只允许运行带网络级身份验证的远程桌面的计算机连接”选项，单击“确定”按钮保存设置操作。日后，服务器系统将会自动强制对任何远程桌面连接用户进行网络级身份验证操作，那么非法访问现象就很容易避免了。

调整远程连接端口

既然3389端口成为了众矢之的，哪能不能强制远程桌面连接程序使用一个陌生的端口号码，来阻止非法访问现象呢？答案是肯定的！在Windows Server 2008服务器环境中，只要进行如下设置操作，就能轻易调整远程桌面连接端口，让不知道端口的用户无法通过远程桌面非法访问：

依次单击“开始”、“运行”选项，展开系统运行对话框，在其中执行“regedit”命令，开启系统注册表编辑器运行状态。将鼠标定位到注册表编辑窗口左侧的HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Control＼Terminal Server＼WinStations＼RDP-Tcp分支上，找到该分支下的“PortNumber”键值，用鼠标双击之，弹出PortNumber键值编辑对话框，在其中输入新的端口号码。比方说，要将新端口号码调整为“8866”时，只要选中“十进制”选项，同时输入“8866”数值（如图6所示），确认后保存设置即可。日后，只有知道新端口号码的远程，才能与本地服务器建立远程桌面连接，其他人无法通过远程桌面非法访问服务器系统。

安全远程访问 第3篇

关键词：OpenVPN,PFSENSE,开源,企业

1 概述

网络无处不在,企业员工迫切需要在任何时间任何地点获取企业内部信息资源,如何从不同系统的个人终端,(Windows、Android、OSX/IOS、Linux)利用现有网络,安全便捷接入公司内网,这是本文要解决的问题。

虚拟专用网络(Virtual Private Network,VPN)指的是在公用网络上建立专用网络的技术。VPN能够让外地员工在当地连上互联网后,通过互联网连接企业VPN服务器,然后通过VPN服务器进入企业内网。为了保证数据安全,VPN服务器和客户机之间的通讯数据都进行了加密处理。有了数据加密,就可以认为数据是在一条专用的数据链路上进行安全传输,就如同专门架设了一个专用网络一样。但实际上VPN使用的是互联网上的公用链路,因此VPN称为虚拟专用网络,其实质上就是利用加密技术在公网上封装出一个数据通讯隧道。

2 Open VPN简介

Open VPN是在Linux下的开源VPN,为用户提供了易用、高性能的客户端软件。Open VPN允许参与建立VPN的单点使用预设的私钥、第三方证书或者用户名/密码来进行身份验证。有自定义的Open SSL加密库,支持SSLv3/TLSv1协议,支持128位加密。

同时,由于Open VPN的易用性较差,国外团队基于m0n0wall开发了名为PFSENSE的开源防火墙和路由平台。该平台已在很多公司、大学和其他组织应用。PFSENSE允许用户在图形界面下配置Open VPN功能,极大地方便了VPN系统的安装。这里我们为了简化安装,以PFSENSE中Open VPN应用为核心进行介绍。

3 RADIUS、LDAP支持

目前统一认证已经成为共识,RADIUS和LDAP是目前应用最广泛的认证授权协议,VPN实施前首先考虑能否方便地将现有认证集成到VPN平台中。PFSENSE在提供OPENVPN服务的同时可以支持RADIUS、LDAP扩展,使系统管理员能方便地将PFSENSE接入企业现有的统一认证平台。

4 建设方案

4.1 明确用户规模

硬件平台的选择由用户规模决定,特别是一些销售、服务类公司,大量员工不是在企业办公室内工作,而是需要深入到客户群中,而且这部分员工对信息资源的需求更大,需要随时随地访问ERP等各类企业内部系统和资源,一套方便易用安全的VPN系统必不可少。

4.2 选择合适版本和配套客户端软件

PFSENSE已发布了最新2.1版本,该版本无论是系统还是各配套软件,运行的稳定性都非常好,而且整套系统都是开源且免费的,非常适合投资有限的企业使用,其最大用户负载仅由系统所安装的硬件所决定。

根据不同的客户端类型,Android平台可以选择Open VPN Connect,IOS及Windows平台都有官方客户端可以使用。

4.3 安装

(1)下载最新PFSENSE镜像文件,该镜像文件已集成操作系统,所以我们只需将其刻录成CD安装光盘即可。

(2)准备一台服务器甚至可以用旧的台式机,安装到虚拟机中也没有问题。只需将安装光盘内的系统,按提示安装到相应物理或虚拟服务器中。

(3)登录网页版的管理页面,配置Open VPN服务,建议初次设置的用户使用“Wizards”模式进入“Open VPN Remote Access Server Setup Wizard”配置,可以减少很多配置过程中出错的可能。根据需要配置认证方式,可以选择本地用户账号、RADIUS账号、LDAP账号。

(4)根据提示配置完成后,如果上一步选择的本地用户账号,则在“System:User Manager”里面添加用户信息即可。

(5)为Open VPN服务器映射服务端口,在公司出口的防火墙上针对Open VPN的服务端口做一个相应的端口映射,所有用户通过客户端访问防火墙该端口即可。

4.4 测试

分别在不同终端安装客户端软件,并将配置VPN服务时PFSENSE系统提供的CA等必需的证书文件复制到客户端相应位置,即可连接VPN服务器。目前正在使用的实例,经过2年多运行,服务非常稳定,用户反映也很好。

4.5 培训

让登录访问安全又方便 第4篇

使用重设盘记密码

为了保护系统登录安全，相信很多人都为自己的计算机系统设置了登录密码；不过，如果将系统设置成自动登录的话，用户可能会长时间不要输入密码，这样反而容易使自己忘记登录密码，那么一旦自己忘记了系统登录密码时，我们该如何登录系统呢?面对这种现象，相信很多人会下意识地使用光盘版WinPE工具来重新启动计算机系统，之后借助专业的密码修改工具修改系统登录密码，再用新设定的密码完成系统登录操作。虽然这样的方法可以解决问题，但是对于普通菜鸟级别的个人用户来说，显然有点复杂了；其实，在Windows 7系统环境中，我们只要使用该系统自带的密码重设盘功能来记忆系统登录密码，日后一旦忘记了系统登录密码时，只要通过该重设盘重新设定一个新的登录密码，就能轻松完成系统登录操作了。

在使用密码重设盘记忆系统登录密码时，可以先将自己的优盘插入到Windows 7系统中，依次单击该系统桌面上的“开始”、“控制面板”命令，打开系统控制面板窗口，逐一单击“用户账户”、“创建密码重设盘”链接，弹出忘记密码向导对话框，单击“下一步”按钮，选中自己优盘的分区符号，继续单击“下一步”按钮，弹出如图1所示的设置窗口，输入当前用户登录系统的密码，之后再按默认设置完成剩余操作，就能创建好密码重设盘了。

日后，当自己忘记了系统登录密码时，只要将密码重设盘插入到对应计算机系统中，随后系统屏幕上将会自动弹出“重设密码”的功能选项，通过该选项重新设置一个新的登录密码，再通过这个新密码就能顺利地登录进本地系统了。

让IF自动记忆密码

在初次登录微博或电子信箱时，IE浏览器默认会弹出提示，询问用户是否要保存访问密码，一旦用户进行确认回答后，日后再次登录操作时，IE浏览器就不需要用户输入密码，自动完成登录操作。但是，有的用户由于调整了IE浏览器的设置，造成浏览器不能自动记忆密码，面对这种问题，我们该如何才能让IE自动记忆密码呢?

此时，可以先打开IE浏览器窗口，依次单击工具栏中的“工具”、“Internet选项”，展开Internet选项设置对话框，点选“内容”标签，弹出如图2所示的标签设置页面，在该页面的“自动完成”位置处单击“设置”按钮；在其后界面中依次选中“表单上的用户名和密码”、“在保存密码之前询问我”选项，再按“确定”按钮保存设置操作，这样IE浏览器日后发现用户初次输入密码时，会自动提示保存密码，用户只要进行确认回答，IE浏览器就具有自动记忆密码的功能了。

当然，有的IE浏览器在启用了自动记忆密码功能后，下次进行登录操作时还要求用户输入密码，这种现象很可能是IE浏览器在关闭窗口时，启用了自动删除临时文件的功能。这个时候，只有关闭自动删除临时文件功能，才能恢复IE浏览器的自动记忆密码“本领”，下面就是具体的恢复步骤：

首先依次单击“开始”、“运行”命令，在弹出的系统运行框中，输入“regedit"命令，单击回车键后，打开系统注册表编辑窗口，将鼠标定位到如下注册表分支HKEY LOCAL_MA CHINE＼SOFTWARE＼MicrosoftkInternet Explorer＼MAIN，用鼠标双击目标分支下面的字符串键值“DeleteTemp_Files_On_Exit”，在其后界面中将其数值修改为“no”，再刷新系统注册表就能使设置生效了。

用凭据管理器记密码

在局域网工作环境中，当我们远程管理某些重要主机系统时，会被要求输入登录账号与密码信息；如果需要管理的主机数量比较多的话，那么记忆这么多账号与密码不但会加重用户的记忆负担，而且频繁输入这些内容也会导致网络访问效率下降。不过，在Windows 7系统环境下，我们可以利用凭据管理器功能，来有效管理若干台主机系统的登录密码，这不但能消除记忆密码的烦恼，而且还能提高系统登录效率。

一般来说，我们在初次登录主机或站点时，登录对话框中都有“记住我的密码”、“记住我的凭据”等选项，当用户选中这些选项后，用户名和密码内容将会被自动保存到凭据管理器中，下次不用输入账号名称与密码就能直接登录了。当然，我们也可以直接打开Windows 7系统的凭据管理器窗口，将需要管理的登录账号与密码添加进来；在进行这项操作时，依次单击“开始”、“控制面板”命令，在弹出的系统控制面板窗口中，单击“凭据管理器”图标，进入凭据管理器窗口；单击该窗口中的“添加Windows凭据”按钮，打开如图3所示的设置窗口，在这里输入局域网中远程主机的IP地址或计算机名称，再将登录密码输入其中，并按“确定”按钮保存设置操作，这样日后我们访问局域网远程主机中的共享资源时，不需要输入账号与密码就能自动进行登录操作了。需要提醒大家注意的是，如果要管理网上银行等在线交易页面的密码时，必须使用“添加基于证书的凭据”功能，要是只想管理普通论坛或博客的登录密码时，只要使用“添加普通凭据”功能就可以了。

用360密码箱记密码

上面的方法只能记忆Windows系统、IE浏览器页面中的登录密码，如果要记忆MSN、QQ、网上银行、证券软件等网络应用程序的登录密码时，该如何实现呢?这个时候，我们可以考虑使用360密码保护箱工具，来记忆网络应用程序的登录密码，而且该工具还具有保护登录密码的功能。

用360密码保护箱记忆网络应用程序的登录密码时，可以先启动运行该工具软件，在初次启动运行过程中，它会自动对本地硬盘进行全面扫描，以便判断当前在本地系统中究竟运行了哪些应用软件，扫描结束后，所有正在运行的应用程序都会被罗列出来，我们只要不停地单击“下一步”按钮，就能将这些网络应用程序保护起来了。

当然，我们也可以采用手工方法，来保护记忆特定应用程序的登录密码；例如，要保护QQ程序的登录密码时，可以在360密码保护箱主程序界面中单击

“添加”按钮，弹出如图4所示的添加保护对象对话框。在“软件位置”处单击“浏览”按钮，打开文件选择对话框，从中将QQ程序的启动文件选中并导入进来，之后分别设置好“显示名称”、“所属类别”等参数，再将这里的“前扫描保护”和“后扫描保护”选项选中，最后单击“添加”按钮，这样QQ程序的登录密码日后就能被360密码保护箱记忆并保护了，日后我们只要在360密码保护箱中双击QQ程序图标，就能自动完成登录操作了，而且该登录过程非常的安全。

用Lastpass记忆密码

每位用户可能有多个电子邮箱账号，在自动登录了第一个账号的邮箱后，如果要切换进入其他账号的信箱中时，那就需要手工输入登录账号与密码了，那么有没有办法同时登录记忆多个邮箱的密码呢?很简单!我们可以借助Lastpass工具来管理、记忆多个账号的访问密码，它采用了强大的密码加密算法(使用了256位的AES密匙)，保证了在本机上不获取得到用户的信息，所以用户可以在任何时候和地点取回自己的信息。

在用Lastpass工具记忆多账号的登录密码时，可以先从网上下载获得该工具的安装程序，按照常规方法对其进行安装操作，在安装过程中必须要选中“简体中文”语言，同时要选择安装Chrome、IE插件程序；在安装成功后，我们再依照向导屏幕的提示，依次注册每一个账号，并尝试进行登录操作。在登录过程中，该程序会自动提取每个账号的登录密码，同时提醒用户要记得保存站点信息；单击“保存站点”之后，屏幕上会弹出“新增Lasspass站点”界面，将其中的“自动登录”选中，如果不希望自动登录的话，也可以选中这里的“将此选为收藏”选项，最后单击“保存站点”按钮完成设置保存操作，这么一来我们日后只要在该程序的主界面中，就能对多个访问账号进行随心所欲地切换登录了，而且我们还能对该程序的主界面设置访问密码，来保护多个账号的登录安全。

要是我们不小心忘记某个账号的登录密码时，可以打开Lastpass程序的主界面，在对应账号的项目下单击“编辑”按钮，再单击密码选项后面的“显示”按钮，那么目标账号的密码内容就能以明文方式显示出来了。

让系统自动记忆密码

在家庭网络环境或其他可信任工作环境中，用户在登录Windows系统时，系统每次都可能要求输入用户名和密码，非常麻烦，那么有没有办法让系统自动记忆登录密码呢?很简单，只要进行如下设置操作就能达到目的了：

首先依次单击“开始”、“运行”选项，在系统运行对话框中执行“regedit”，弹出系统注册表编辑窗口，将鼠标定位到如下注册表分支“HKEY_LOCALMACHINE＼SOFTWARE＼Microsoft＼Windows NT＼CurrentVersion＼Winlogon”(如图5所示)，双击目标分支下的“DefaultUserName”键值，将其数值设置为系统自动登录时需要记忆的用户名称，当然该用户名称必须事先在系统中已经创建好；

设置远程访问服务 第5篇

接下来我们安装有关IKEv2 VPN服务器, 相关必要的服务器角色与设置, 这部分操作可以通过登录时自动开启的“初始化设置工作”界面来进行。想要手动开启“初始化设置工作”界面, 只要在“开始”菜单的搜寻字段中输入oobe即可。成功开启界面之后, 在此页面中单击“新增角色”继续。

注意:关于服务器角色的新增方法, 也可以选择从“服务器管理员”界面中的“角色”节点页面中来完成。

在“选取服务器角色”页面中, 请将“网络策略与访问服务”角色勾选并且单击“下一步”继续。在“选取角色服务”页面中, 分别勾选“网络策略服务器”以及“路由及远程访问服务”, 单击“下一步”。最后, 在“确认”页面中, 一旦确认正确选取了所需安装的角色服务之后, 单击“安装”即可。成功完成安装“网络策略与访问服务”角色之后, 单击“关闭”按钮。

接着, 在“系统管理工具”页面中, 单击开启“路由及远程访问”项目继续。在“路由及远程访问界面”中, 在默认状态下是尚未进行任何设置与启动的, 因此必须在服务器节点上点击鼠标右键, 单击“设置和启用路由及远程访问”继续, 将会开启“路由及远程访问服务器安装向导”。首先, 在“设置”页面中选取“远程访问 (拨号或VPN) ”项目, 单击“下一步”。在“远程访问”页面中, 勾选“VPN”项目, 并单击“下一步”。

注意:关于“拨号”选项是早期通过调制解调器 (Modem) 的远程连接访问方式, 虽然有着另一个层面的安全性优点, 但传输速度慢以及用户移动计算机必须通过电话线路连接才能使用, 如今几乎没有公司在使用了。

在“VPN连接”页面中, 必须选取此服务器上负责连接网际网络的网络界面, 在此由于笔者预先已经修改了内外网卡的显示名称, 因此便显得较容易识别与选择。此外, 在这里还必须将“设置静态封包筛选器来启用选择界面的安全性”项目勾选。单击“下一步”。

在“IP地址指派”页面中, 您可以选择要采用“自动”还是“从选定范围的地址”来指派IP地址给远程连接成功的客户端, 如果选择前者, 在内部域中必须要有DHCP服务器。至于后者, 则可以自行选定IP地址范围来分派, 不过不能与DHCP所设置的范围冲突。在此我们选择“自动”。单击“下一步”继续。

在“正在管理多个远程访问服务器”页面中, 选取“否, 使用路由及远程访问来验证连接要求”项目, 主要原因是在我们的网络环境中, 并没有预先准备好另一部专属的Radius服务器来处理身份验证, 因此, 直接采用本地服务器来验证远程用户身分即可。单击“下一步”继续。最后, 便可以看到前面的设置摘要。确认无误之后, 请单击“完成”即可。

完成基本VPN服务的启用与设置之后, 可能会出现远程访问警告信息, 其主要目的在于告知我们VPN网络的连接检查, 可以选择通过本机的“路由及远程访问服务策略”或是内部域中另一部专属的“网络策略服务器 (NPS) ”来负责这项工作, 为了简化架构设计, 我们将会选择前者。单击“下一步”继续。

设置网络安全策略

在“远程访问记录与策略”节点上, 点击鼠标右键, 单击“启动NPS”。接着, 将会开启本地网络策略服务器设置界面, 请在最上层节点的页面中单击“网络访问策略”。在“网络策略”页面中, 默认会有两个设置为拒绝访问的策略项目, 连续单击开启“Connections to Microsoft Routing and Remote Access server”项目。首先, 在“概述”页面中将访问权限部分设置为“授与访问权”, 然后单击至“限制”页面中继续。在“限制”页面中, 针对“验证方法”中的设置惟一保留“Microsoft Secured password (EAP-MSCHAPv2) ”项目, 然后移除“Microsoft智能卡或其他证书”项目。单击“确定”完成设置。

客户端设置与连接测试

终于完成了整个IKEv2的VPN服务器证书与服务的设置, 接下来便可以来到预先准备好的远程Windows7客户端计算机, 来进行相关的VPN连接设置与访问测试了。首先从“控制面板”页面中“网络和共享中心”, 开启之后单击位于“变更网络设置”区域中的“设置新的连接或网络”连接继续。

在“选择连接选项”页面中, 选取“连接到工作地点”项, 单击“下一步”。在“您要如何连接”页面中, 单击“使用我的网际网络连接VPN”。输入所要连接的VPN服务器网际网络FQDN地址, 然后输入自定义的目的地识别名称以及将“不要立即连接;先设置好, 我稍后再连接”项目勾选, 单击“下一步”。输入已允许连接VPN网络的用户账号、密码以及域名称, 如图1所示, 在完成了VPN网络连接的建立之后, 请在该图1上点击鼠标右键, 选择“属性”继续。

开启了VPN网络的属性之后, 请在“安全性”页面中, 将VPN类型变更为“IKEv2”, 然后确认在“验证”区域中已经将“使用可延伸的验证通讯协议 (EAP) ”设置为“Microsoft Secured password (EAP-MSCHAPv2) ”。单击“进阶设置”按钮继续。在“进阶属性”的页面中, 可以决定当发生与IKEv2的VPN网络连接中断时, 所允许的网络中断时间 (默认=30分钟) 。连续单击两次“确定”完成设置。

接下来, 我们便可以开启所完成建立与设置的VPN网络连接, 在此的用户账户、密码以及域名称, 由于都已经预先设置好, 因此, 请直接单击“连接”即可。成功连接登录VPN网络之后, 便可以尝试访问内部的服务器资源。在这个测试环境中, 在搜寻字段中, 输入内部共享文档夹的UNC路径来开启连接。当成功连接后, 将可以看到预先储存在内部网络共享文档夹中的档案。

而对于目前所连接的VPN网络详细信息, 您可以在连接阶段中开启此VPN网络的状态, 然后在“详细数据”中查看即可 (如图2) , 其中, 最重要的是可以看到目前所使用的设备名称是“WAN Miniport (IKEv2) ”, 以及“Mobile Supported”功能目前是支持的。

最后, 建议您可以通过多网络环境下, 选择停用目前运作中的区域连接, 然后再启用原本已经设置为停用的区域网络 (或Wi Fi网络、移动网络等都可以) , 来测试看看当Internet的连接再度恢复时, IKEv2的移动性特色是否已成功发挥。

结论

基于远程端口访问的超市订购系统 第6篇

订购系统是超市运营中重要的环节, 该环节是确保超市能正常供货、销售的必备因素。当超市发生缺货的时候会及时联系供给商, 让其尽快供货。由于超市与供应商之间经常不处于同一区域, 更有甚者, 两地相距甚远或是直接处于不同国家。

另一层面, 超市与供给商之间也非一一对应关系, 同一超市可具有多个供应商, 而一个供应商也可为多个超市提供货源, 这使得超市、供给商之间的信息共享需要一个可靠、准确的平台呈现, 且该平台需具有满足各超市间的需求请求, 并能快速响应的能力。超市也需要利用该平台随时随地发出对供给商的需求信息, 请求供应商以最快的速度和最短的时间对其供货。因此, 对超市订购系统搭建中需要考虑系统容量、灵活查询、快速响应等能力, 并能保证供应商、超市之间即使异地, 也可通过远程端口访问, 请求数据。由此, 对比现阶段在建立系统中较为常用的几种结构模式, 选择B/S (Browser/Server, 浏览器/服务器模式) 作为本文研究的远程端口访问的基础架构模式。

2 B/S架构的特性

B/S架构是一种基于浏览器后台处理数据的模式, 它利用了先进的Web浏览器技术, 配合多脚本语言, 将所需要呈现的信息通过浏览器网页端口的形式进行呈现。该方法可大大降低系统编程的复杂性, 减少搭建成本, 并能和用户进行实时互动。

B/S系统具有以下几个典型的有点:

(1) 系统升级与维护成本较低。由于系统将业务处理模块与信息接受模块划分较为清晰, 使得整个系统从前到后是一个又由简如繁的过程。在前端接口用来接受用户提出的一切请求信息, 包括数据查询、下单、下载、出具报告等, 该操作为远程端口请求的输入端, 用户通过网页的形式进行操作, 将所需数据录入到页面。由于浏览器可嵌入至任意终端, 如电脑、服务器、手机、掌上处理机等, 这使得用户在操作时无需安装特殊软件, 也无需考虑终端操作系统的种类与版本, 只要符合浏览器正常开启的条件, 均可对信息进行查询录入。在远程端口收到请求信息后, 利用互联网, 将请求指令通过网络传输至远端服务器。该服务器为进行业务逻辑处理的工作区域, 并对每一次请求、处理中间环节、处理结果进行保存。在业务处理过程中所需调用的软件均安装于该服务器中, 此种安装模式大大减轻了用户端终端设备的配置要求, 有利于系统的整体维护。同时, 各种处理软件统一安装于远程服务器端, 有利用对系统的集中控制, 只需根据服务器操作系统和配置情况进行软件维护, 且系统升级只需针对远程服务器端, 前端升级可依据用户个人喜好或系统必须升级指令。

(2) 减少客户端服务器负荷。基于B/S架构的系统将数据集中存储与远程端口的服务器上, 这种存储方式有利数据的安全性。同时可保证数据格式的统一与更新状态的一致性, 为客户端口提供及时信息。为使系统能够实时查询, 正常运行, 只需开启远程服务器将保证日常工作需要。客户端依据用户需求, 只在工作时间内开启终端设备, 非工作时间可自行管理, 且单一客户端终端设备的开启与否将不会影响其他客户的正常请求操作。由此, B/S架构在系统正常工作时将减少对设备的不必要占用, 起到节约能源的作用。

3 基于远程终端访问的订购系统

将B/S架构引入超市订购系统的搭建, 可实现不同超市对不同供应商的远程信息访问、数据查询与订购处理。在不同超市的客户终端设备上只需安装浏览器软件, 通过互联网接入方式, 访问不同供应商依照各自特性、需求建立的网页界面。

由于供应商与超市之间非一一对应关系, 一个超市可拥有多个供应商, 与此对应, 一个供应商也可对应多个超市。因此利用B/S架构搭建远程访问订购系统, 依据不同的供应商, 将中央处理服务器设置于供应商管理办公中心, 以每一个供应商都具有各自的信息处理中心。该中心用于存储对应供应商的数据信息。与其对应的多个超市, 将通过网络接入模式, 从远程访问该处理服务器。从系统整体分析可得, 一个供应商具有一个数据处理服务器, 可对应多个远程超市。这样, 每个超市将不需要存储大量商品信息, 只需布置若干个可供互联网连接的终端设备, 通过浏览器模式, 访问供应商, 提交申请, 进行商品查询、订购。无需维护商品数据, 不同随时更新应用软件。

对于远程供应商, 只需维护自由数据信息与终端处理软件, 保证数据更新及时, 确保服务器处于长期正常工作状态, 并能使各超市实时登录即可。该种架构的订购系统有利于对商品信息的集中管理, 供应商对数据的分析、预测, 可提早做出相应的市场营销模式, 与超市的进一步配合可形成更为完善的经营模式, 比如形成虚拟的大模式下第四方物流, 提高双方的互赢模式。

4 结语

为及时掌握超市的货品需求与库存管理情况, 提高超市对缺货商品的反映速度, 缩短订购商品的周期, 本文提出一种基于远程端口访问的超市订购系统, 该系统将浏览器、中央服务器进行分层管理, 通过互联网技术实现订购商品中, 需求者与供给者的无缝对接, 增超市物流系统中订单处理能力, 辅助超市提高效益。

摘要：为及时掌握超市的货品需求与库存管理情况, 提高超市对缺货商品的反映速度, 缩短订购商品的周期, 本文提出一种基于远程端口访问的超市订购系统, 该系统将浏览器、中央服务器进行分层管理, 通过互联网技术实现订购商品中, 需求者与供给者的无缝对接, 增超市物流系统中订单处理能力, 辅助超市提高效益。

关键词：远程端口,超市,订购系统

参考文献

[1]刘媛, 张伟, 王知学.基于B/S和C/S架构的嵌入式远程监控系统[J].仪表技术与传感器, 2008 (10) .

[2]王洪建, 陈安敏, 林娜, 许杰.基于物联网技术的能耗监测管理平台设计[J].重庆工商大学学报 (自然科学版) , 2013 (03) .

[3]田丽从, 李铁牛, 吴晓苹.基于城市能源监测管理平台的建筑节能服务[J].智能建筑, 2010 (04) .

一种移动终端远程数据访问控制方法 第7篇

随着移动通信技术的快速发展,移动网络中的无线终端设备应用日益广泛,基于移动设备的各类应用也飞速发展。随着数据的网络化处理的要求越来越高,很多场合都有使用移动终端来远程访问数据库的需求。通过便携的、无线的移动设备,如智能手机、平板电脑等,利用通信系统进行实时交互,快速地获取所需的数据,实现无地理阻隔的信息利用,己经是人们的必然需求。

Android系统是Google最新推出的移动设备平台,与其他Symbian、Windows Mobile手机操作系统相比,其源代码完全开放,任何人和机构都可以免费使用,基于Android系统研发己经成为了一个热门的方向[1]。Android系统具有强大的应用层API和丰富传感器功能,其开放的平台有利于开发者开发出各类应用软件,是一个真正意义上的开放性移动设备综合平台。

为了能够实现群组Android手机接入服务,提供友好的实时状态,通过移动设备与终端的互通,使终端用户能通过Android手机随时随地与服务端通信,进行即时数据通信传输,我们提出一种移动终端远程数据访问控制方法,设计实现了数据访问控制容器,经过测试,可以稳定运行,群组Android手机可以快速与服务器进行通信,满足群组Android手机远程数据访问的服务需求。

1 SOCKET通信

Socket是建立在传输层协议上的一种套接字规范,它定义了三种类型的套接字:流式套接字、数据报套接字和原始套接字。它们分别支持TCP/IP及UDP协议[2]。

Socket是一个客户/服务器环境的代理协议。Socket独立于应用层协议,包含两个主要组件,即Socket服务器和Socket客户机[3]。当客户机与远程主机应用层服务器建立连接时,客户机首先与代理服务器建立连接,双方应用层服务器的地址、端口均将被传递给代理服务器。

在Socket协议系统中,当客户机要与应用层服务器建立连接时,首先与Socket代理服务器建立连接,应用层服务器的有关地址、端口均会在这一过程中传递给Socket代理服务器。客户机与Socket服务器经过认证协商后,Socket服务器会根据Socket客户机请求与远程服务器建立相应的TCP或UDP连接,实现相应的应用程序协议。

2 Java多线程分析

2.1 多线程的提出

移动终端对后台数据的访问需要考虑实时性、并发性,在单线程数据通信中,一个进程中只能有一个线程,剩下的进程必须等待当前的线程执行完,导致系统完成一个很小的任务都必须占用很长的时间,而且这种方式应对突发事件能力不强,如果某个连接发生了异常,将会导致整个程序的崩溃。采用了多线程技术的应用程序可以更好地利用系统资源。其主要优势在于充分利用了CPU的空闲时间片,可以用尽可能少的时间来对用户的要求作出响应,使得进程的整体运行效率得到较大提高,同时增强了应用程序的灵活性。

要实现群组Android手机对后台数据的访问,就需要开发支持大量客户机的服务器端应用程序,可以将应用程序创建成多线程形式来响应每台Android手机端的连接请求,使每个连接用户独占一个客户端连接线程,通过多线程,用户感觉服务器只为连接用户自己服务,从而缩短了服务器的客户端响应时间。Java作为优秀的网络编程语言之一,提供了强大的Socket编程机制,利用Java语言,我们可以比较容易实现Android手机的多线程访问控制。

2.2 Java多线程的实现

Java语言使用的是Thread类及其子类的对象来表示线程的,线程也是有状态和声明周期的,每个Java程序都会有一个缺省的主线程[4]。Java中实现线程的方式有两种,一是生成Thread类的子类,并定义该子类自己的run()方法,线程的操作在方法run()中实现。第二种实现线程的方法是实现Runnable接口,通过覆盖Runnable接口中的run()方法实现该线程的功能。

无论采用继承Thread类还是实现Runnable接口来实现应用程序的多线程能力,都需要在该类中定义用于完成实际功能的run()方法,这个run()方法称为线程体(Thread Body)。按照线程体在计算机系统内存中的状态不同,可以将线程分为创建、就绪、运行、睡眠、挂起和死亡等类型[5]。

为了区分线程对于操作系统和用户的重要性,Java定义了线程的优先级策略,同样的排列优先级高可以提前被CPU处理,Java将线程的优先级分为10个等级,分别用1-10之间的数字表示。数字越大表明线程的级别越高。相应地,在Thread类中定义了表示线程最低、最高和普通优先级的成员变量MIN_PRIORITY、MAX_PRIORITY和NORMAL_PRIORITY,代表的优先级等级分别为1、10和5[5]。另外可以通过Thread类的set Priority(int a)方法来修改系统自动设置的线程优先级。

3 数据访问控制容器

3.1 数据访问控制容器设计

为了实现移动终端与服务器的信息交换,依据Socket通信机制,利用Java的多线程实现方法,我们设计实现了一个数据访问控制容器,如图1所示。该数据访问控制容器运行于服务器上,由一个主线程控制程序实时响应移动终端的请求。移动终端设备为Android系统平台,Android系统对网络通信平台支持比较全面,提供了andorid.net数据包。对于HTTP的请求处理方便,封装很好,可以很方便地实现客户端与服务器的HTTP连接。

在移动终端远程数据访问控制容器中,服务器在无连接请求到来时,一直处于等待状态,并随时准备为多个移动终端提供服务,当某一移动终端向服务器发出连接请求时,服务器主线程立即建立一个新的Socket连接,同时产生一个子线程来处理移动终端的请求,当服务器启动完子线程后马上又回到监听状态,等待下一个移动终端的连接请求。每个子线程启动后,各自独立完成与终端设备的数据传输。

数据访问控制容器采用是并发服务模式进行工作,每个移动终端都通过一个独立的线程来处理,由于主线程几乎没有和子线程发生通信,系统开销较小,资源使用效率较高,由于不同的线程关联不同的对象,处理各自异常事件,软件有较强的健壮性。更关键的是,各子线程均使用同步方式接收数据,保证了数据传输实时性要求。

3.2 数据访问控制容器的实现

服务端应用程序启动时,监听器被触发,在服务端监听接口有初始化和销毁两个方法,它会监听servlet容器,通过调用start Pda Server()方法,启动一个主线程,主线程创建之后,就处于监听状态,它有自己的堆栈,可以根据需要派生出多个子线程,但监听收到请求后,动态调用创建子线程函数,派生出独立的子线程,处理不同端口号的请求。主线程在派生子线程后,不对子线程加以控制和调度,子线程单独和客户方发生连接并处理异常。

数据访问控制容器启动后,通过监听指定的本地端口,接收移动终端发来的请求。每次接收到请求,通过实现Java的Runnable接口使用线程,Runnable接口中定义了一个run()方法,在实例化一个Thread对象时,可以传入一个实现Runnable接口的对象作为参数,Thread类会调用Runnable对象的run()方法,继而执行run()方法中的内容启动新的移动终端线程,完成移动终端的请求与响应。服务器端的数据访问控制容器类库如图2所示。

每个子线程启动后,即可获取移动终端传来的请求内容,交给XML解析类处理。解析获得的XML文档,并封装成Java对象,传递给后台处理业务逻辑,并与数据库进行交互。每个子线程启动后,设计一个死锁检测线程,也就是单独的一个用于处理死锁的线程。可为每个启动的线程设置一个计数器,每循环一次加一,监控线程每隔一定的时间间隔对这些线程的计数器记录一个快照并判断线程的循环是否正在运行,如果没有,就销毁该子线程。

4 结果分析

为了对实现的数据访问控制容器进行性能分析,我们分别在台式机与服务器上安装该控制容器。台式机的配置为:Intel Pentium Dual-Core E5500 2.80GHz、3GB内存、操作系统为Windows XP;服务器的配置为:Inter Core i5 750 2.67GHz、8GB内存、操作系统为Windows Server 2008 R2 Standard。对不同配置的电脑,分别开启100、500、1000、2000、5000个线程,每个线程进行一千万次加法计算,最后对整个容器的响应时间进行统计。每个形式都采集10个样本,进行平均,对运算结果进行统计如图3所示。

根据实验结果,可以看出该数据访问控制容器的性能与设备硬件配置有密切关系,随着移动终端数量的增加,不同硬件配置的响应时间差距也明显增加。依据测试结果,当有2000个移动终端同时访问时,在服务器上的响应平均时间为3.8s,基本能够满足群组Android手机用户数据请求的实时性需求。

5 结语

无线网络技术的迅猛发展和无限设备终端的日益普及,使得人们对于无线应用服务的需求不断扩大。本文针对群组Android手机的接入访问进行研究,实现一个移动终端远程数据访问控制容器,目前已经成功应用在信息化项目建设中。通过实践验证,该移动终端远程数据访问控制方法能够很好地响应系统群组手机访问请求,为相关信息化项目建设提供有益的借鉴。

摘要：移动通信技术与互联网技术的飞速发展,对移动终端设备的实时接入与数据响应提出了要求。针对Android手机平台的远程数据访问进行研究,依据Socket通信机制,利用Java的多线程实现方法,设计实现一个数据访问控制容器,解决移动终端设备对后台数据访问的实时性、并发性问题,满足群组Android手机远程数据访问的需求。

关键词：移动终端,Socket,多线程,数据访问控制

参考文献

[1]Android[EB/OL].百度百科,http://baike.baidu.com/view/1241829.html.

[2]Forouzan B A,Chunn S F.TCP/IP Protocol Suite[M].The McGraw Hill Companies Inc,2000:602-603.

[3]王远洋,周渊平,郭焕丽.Linux下基于socket多线程并发通信的实现[J].微计算机信息,2009,25(5):70-72.

[4]邓辉,孙鸣.构建Java并发模型框架[EB/OL].http://www.ibm.com/developerworks/cn/java/l-multithreading/.

[5]侯光敏.使用JAVA建立稳定的多线程服务器[EB/OL].http://www.ibm.com/developerworks/cn/java/l-jsvr/.

[6]姚显星,刘卫国.Android的架构与应用开发研究[J].计算机系统应用,2008(11):76-79.

PLC借助于以太网的远程访问诊断 第8篇

当我们调试机床需要上载或下载程序, 或当我们维修机床需要在线诊断时, 传统的做法是:我们带一个笔记本电脑到现场, 通过一根通信电缆连接到P L C的C PU上。由于有形的通信电缆的存在, 距离的限制是显而易见的。然而, 当这台设备的体积非常庞大, 大到整个车间是设备的一个有机整体, 如此的调试方法切合实际的吗?或者把我们的设备出口到了国外, 传统的这种诊断方式还适用吗?如果电脑能够通过无线上网的方式来访问P L C, 如果我们能够通过国际互联网来修改程序和进行监控, 无疑问题就会迎刃而解了。我们滨州活塞机床公司为盟威戴卡合资公司的涂装车间就提供了具备P L C远程访问诊断功能的这样一个非常生动的例子。

2 涂装车间简介

山东滨州渤海活塞股份有限公司是一家上市公司, 其中数控机床公司负责整个公司的机床研发制造和调试, 此次是为盟威戴卡合资公司做的远程诊断方案, 戴卡轮毂是亚洲最大、并在世界中高端轮毂三分天下有其一。戴卡采用先进技术、工艺生产的铝合金轮毂, 60%的产品为德国奔驰、法国标致、美国通用、日本本田等国外知名汽车厂配套, 40%为上海大众、一汽大众、沈阳宝马、天津丰田等国内大中型汽车厂配套。2005年末, 戴卡获得美国福特汽车公司在亚洲地区惟一一家通过福特Q1认证的轮毂供应商, 成为戴卡的全球战略合作伙伴, 是亚洲惟一获此殊荣的轮毂企业。表面喷涂是轻质铝合金轮毂生产过程中非常重要的一道工艺。我们的涂装生产线是由德国的EISENMANN公司制造的, 它不仅采用当前国际上领先的喷涂技术, 而且还非常重视环保问题, 这一切离不开功能强大的控制系统来保证:主控制系统采用SIEMENS公司的S7-400PLC, GEMA公司的喷粉和WAGNER公司的喷漆系统采用S7-300, 主系统通过Profibus总线连接ET200S和ET200M系列分布式I/O站、Profibus接口的SEW驱动器和ABB公司的机器人, 整个车间就构成一条完整的涂装生产线。

由于控制节点众多且极为分散, 把调试每个节点的工作都放到S7-400 PLC所在的主控制柜旁是根本不现实的, 为了能在车间的任何角落都能存取PLC程序, 随时随地都可以对设备进行诊断, 系统建立了无线通讯方式的VPN。具备无线上网能力的笔记本电脑, 可通过以太网接入来找到连接的PLC。而远在德国的EISENMANN公司, 通过INTERNET可访问到接入了以太网的PLC, 进而可以进行远程的诊断, 排除发生的部分故障。

3 远程诊断系统的构成

PLC能够被远程访问和诊断, 它必须具备接入互联网的能力, 这需要通信处理模块提供以太网接口。仅有这些还不够, 因为在互联网上想要访问到某一个设备就需要知道该设备的IP地址, 而该设备想要被访问也需要有一个IP地址, 即在整个互联网上, 要想访问到某一个PLC站, 就需要该站有一个在互联网上能够被访问到的IP地址。互联网上的IP地址一般有两种, 即固定 (静态) IP地址和动态IP地址。使用固定 (静态) IP地址是相当昂贵的, 因为IP地址的资源是有限的, 如果1台PLC给定1个IP地址也是非常不经济的, 因此, 使用动态IP地址的互联网接入方式就显得较为实际。这经常涉及到另外一个概念:VPNVPN是Virtual Private Network的缩写, 它是虚拟专用网络的意思。虚拟专用网络是专用网络的扩展, 它包括的链接跨I n t e r n e t这样的共享或公用网络。使用VPN, 您可以用模拟点对点专用链接的方式通过共享或公用网络在两台计算机之间传送数据。即将一些相互连接的设备组成一个虚拟的专用网络来管理, 这就像在国际互联网上开辟一个专用隧道, 经授权的用户可以畅通无阻。它运用加密和其它安全机制来保障传输数据的安全性 (如图1) 。

因为远程诊断不需要远程用户始终与设备相连接, 只是在某一设备出了问题才需要建立临时的连接, 之后该连接可以中断, 因此在路由器之间建立VPN连接是一种灵活和简便的接入方式。至于以太网的接入方式, 目前国内比较流行的是ADSL和ISDN, 而局域网的接入方式虽然是宽带接入, 但因为局域网是动态分配IP地址, 要在其上建立VPN连接需要IP服务上的配合, 相对费用较高。

我们看图2ADSL以太网的接入方式都配置了哪些硬件:

PLC站 (带以太网CP卡CP 443-1) ;A DS L的m o de m;宽带路由器;以太网SWITCH;一个工程师站;

当然远端的用户要想进行远程诊断, 他同样需1个宽带路由器和1个ADSL的modem。他要与我们建立连接时, 只需拨号到我们, 验证通过后建立起VPN的通道, 就象访问本地资源一样访问我们的设备了。

如果用户希望随时随地都可以对设备进行诊断, 这样通过有线电话拨ADSL建立VPN的方式则会受到限制, 此时可以考虑采用无线通讯的方式建立VPN。

我们可以通过一个无线网卡和路由器来建立VPN的通道:此时, 将支持GPRS或CDMA的SIM卡分别插在网卡和Router中, 通过该Router制造商提供的VPN客户端软件, 可以将该移动PC同无线Router之间建立VPN的连接, 从而实现在没有电话线, 在可以移动的情况下对某固定设备进行远程诊断。

在S7-400系统的插槽中插入CP443-1通信模块, 这样PLC可以接入ETHERNET, 我们通过无线VPN的方式随时对故障节点进行分析诊断;当设备出了难以自己解决的问题, 再通过网关和ADSL调制解调器与EISENMANN公司连接, 实现远程故障诊断和修复。

4 结语

近年来网络发展日新月异, 不仅仅越来越多的家庭融入同一网络, 工业控制也基于成本和工作效率的需求, 越来越多借助网络载体实现更高跨越。以上, 我们讨论了对一个PLC站进行远程访问的两种方式, 当然PLC远程访问的方式其它的方式, 比如通过TS-Adapter直接连接CPU来进行远程诊断就是其中一种, 这是一种非以太网的接入方式。组建远程诊断网络方式灵活多样, 且各有特点, 可以说是“总有一款适合您”。借助于由它构建的网络, 使处于世界各地的公司实现了零距离的沟通。

随着互联网络的发展, 越来越多的用户 (特别是OEM的用户) 希望能够通过互联网络对所售出的产品进行诊断和维护, 这样可以减少维护工程师到现场的时间和费用, 不仅节约大量的人力和物力的成本, 同时也能为客户提供更为快捷的服务, 减少客户的损失, 这样, PLC基于以太网的远程诊断和服务就是一种非常有效的手段。

滨州活塞机床公司近年来机床销售形势火爆, 设备也从引进来到走出去, 机床出口到伊朗、伊拉克和巴基斯坦等多个国家, 近期还有设备出口到印度, 基于为用户提供优质服务的理念, 本文通过网络对远程PLC进行诊断的实例为公司提供新型服务提供了生动例证。

参考文献

[1]SIEMENS.S7CPs for Industrial Ethernet.

安全远程访问 第9篇

一、电大图书馆环境与需求

电大数字图书馆作为远程教育的服务机构, 它的资源对象与普通高校有着较为明显的差异, 其资源涉及面相对较小, 服务面较大;作为远程开放大学的图书馆, 其绝大部分学生都是在职成人学生, 他们居住和学习的地方相对分散, 不方便亲临位于校园网的图书馆利用电子资源, 也造成了电大图书馆服务的特殊性。而数字出版商为保护自己的知识产权和利益, 一般都采取有限授权的方式, 在校园网IP范围内对读者开放, 有些甚至限定为校园物理范围内, 尽管图书馆也可以要求服务商开放更多的IP地址, 但是绝大多数校外用户使用的都是不确定的动态IP地址, 数据库服务商无法确定访问者的合法身份, 因而自动屏蔽。这使得电大要构建远程教育公共服务体系的学习资源中心处于一种尴尬的地位。

在尊重知识产权的前提下, 如何加强馆内电子资源的访问控制和利用, 提高信息访问者的保障能力, 将局限于校园局域网范围内使用的电子资源应用服务, 能够利用数字化的信息及其技术进入图书馆系统提供有效的服务, 实现信息的获取、信息的应用、信息的处理超越地域和时空的限制, 形成馆际间资源共享, 实现图书馆信息资源利用的最大化, 是开放教育图书馆急需解决的问题。

二、实现远程访问的技术

所谓远程访问就是用户通过互联网从数字图书馆或图书馆外访问馆内的获取电子资源。目前, 实现远程访问的技术主要有两种:VPN (Virtual Private Network虚拟专用网) 和Proxy Server (代理服务器) 。

1、VPN技术:

VPN是在公用网络中建立虚拟专用网络的技术, 通过对网络数据的封包和加密传输, 在公用网络上传输私有数据的专用网络。任意两个节点之间的连接并没有传统专用网络所需的点到点的物理链路, 而是利用公用网络资源动态组成的, 它向用户提供一般专用网络所具有的功能, 但本身却不是一个独立的物理网络。

VPN技术的主要优势: (1) 成本低。通过公用网来建立VPN, 可以节省大量的通信费用和设备的安装维护费用。 (2) 安全性。VPN采用隧道技术、加解密技术、密钥管理技术和身份认证技术等, 能够确保网络和数据传输的安全 (3) 灵活性和可扩充性。支持大多数类型的数据流, 只要能连通网络, 就可以方便扩展。可管理性。通过VPN可实施包括安全、设备、配置、访问控制列表和服务质量保证等内容的管理具体。

2、代理服务器技术:

代理服务器可分为网关型代理和应用型代理两种, 用于远程访问的主要是后者。

代理服务器的工作原理是:当客户在浏览器中设置好Proxy Server后, 使用浏览器访问所有WWW站点的请求都不会直接发给目的主机, 而是先发给代理服务器, 代理服务器接受了客户的请求以后, 由代理服务器向目的主机发出请求, 并接受目的主机的数据, 存于代理服务器的硬盘中, 然后再由代理服务器将客户要求的数据发给客户。

使用代理服务器进行远程访问的优点是: (1) 具有缓冲功能, 能提高浏览速度; (2) 实现起来比较简单, 运行维护成本低; (3) 节省IP资源; (4) 起到防火墙的作用, 提高安全性;

EZproxy是一种改进的代理软件, 目前被国外数字图书馆广泛用于实现校外远程访问, 但EZproxy只能运用于浏览器/服务器模式的资源访问, 而对于客户端/服务器模式的数据库资源仍然无法访问。

三、福建电大图书馆远程访问系统的设计与实现

通过以上两种技术的分析, 并从我校的实际情况和需求出发, 采用的是代理服务器技术构建远程访问系统来实现校外远程访问图书馆的数字资源。

1、远程访问系统概述

该系统是专门为数字图书馆用户量身定制的、用于读者远程访问图书馆数字资源的软件系统, 对外提供统一的数据访问接口, 屏蔽分布式环境中数据资源的多样性和异构性, 对不同类别的用户提供不同的数据资源访问权限。它使授权的读者可以随时随地通过Internet访问高校图书馆的数据资源;它使数据管理员能有效管理外网读者对内网数据的访问行为并且使数字资源的知识产权和使用授权得到有效的保护。

该系统的用户验证使用了SSL、MD5、CRYPT等安全加密技术, 以保证用户资料的安全和用户身份验证的有效性和可靠性。服务器端集成了网络防火墙等功能, 可有效保障管理系统的安全, 可以较好地解决非校园网用户远程访问图书馆数字资源的问题, 师生足不出户就可以在家里访问图书馆的数字资源。

2、远程访问系统的核心原理

该系统核心原理是采用非透明HTTP代理技术, 其工作模式采用客户/服务器 (C/S) 工作模式, C/S模式是目前应用最广泛的分布式体系结构模式, 在此模式中客户端向服务器端发出请求, 服务器对请求做出响应。服务器端是被动的, 仅在收到客户端的请求时, 才做出响应。具体原理如图1:

在实际应用中, 用户成功登录远程访问系统客户端后, 由远程访问系统客户端向远程访问系统服务器端发送请求, 当用户的访问请求得到许可认证通过后再经由远程访问系统客户端访问至指定的数字资源, 从而实现外部对内部资源的远程访问。

3、远程访问系统的使用

远程访问系统安装于远程访问服务器上, 该服务器和其他数字资源服务器位于同一个局域网内, 远程用户安装客户端软件后, 即在图书馆网站上下载远程访问系统客户端软件, 此客户端无需安装, 下载放到桌面上就可以直接运行使用, 其工作界面如图2:

该系统提供了服务器端的帐号绑定和数字证书认证等方式, 以确保对读者身份的准确认证和有效管理, 杜绝了多人共用同一帐号的现象。读者通过在图书馆网站申请账户并通过网络身份认证以后, 远程访问图书馆网络资源的方法完全同用户在图书馆的局域网使用一样。既避免了使用代理服务器访问网站时设置浏览器选项的麻烦, 也不会象VPN系统那样在使用时影响到本机的其它网络连接应用, 能随心所欲地在能上网的各个角落使用图书馆的数字资源。

该系统要对所有的客户进行管理。这种管理的主要内容是身份验证、权限管理、流量控制等。身份验证的时机是在远程访问系统接受客户端连接请求后, 向客户端发验证请求。当客户端返回正确的验证信息后远程访问系统才与目标主机连接, 否则关闭连接。由于远程访问系统完全控制了客户的请求信息和服务器的响应信息。因此流量控制以及可访问主机的权限等方面得到了很好的控制。

四、结论

校外访问图书馆数字资源服务, 在美国、英国、加拿大和澳大利亚等发达国家已很普遍, 而国内高校图书馆实现校外用户远程访问数字资源的比例都不超过50%, 我校作为成人教育为主的远程开放性大学, 大部分学生都在校外, 要真正的实现“泛在学习”, 开通远程访问数字资源服务尤为重要。通过远程访问系统的建设, 让所有的电子资源能够发挥其100%的作用, 以有利于信息流通、推动资源共享、避免资源滥用、扩大社会效益为基点, 践行数图资源合理使用, 作好资源和读者这个桥梁, 更好的为师生提供学习支持服务。

参考文献

[1]李晓东, 卢振波.校园网外远程直接访问电子资源实现技术分析与研究[J].情报理论与实践, 2007, (1)

[2]叶新明.美国大学合法用户在校外利用图书馆电子资源的访问方式调查与研究.大学图书馆学报, 2006 (2) :98—102

[3]凌征强.当前国内高校图书馆校外用户利用数字资源现状调查与研究.情报理论与实践, 2009 (3)

[4]高曼, 刘凡儒.高健.电子资源远程访问地址重写代理EZproxy研究.图书馆理论与实践, 2008 (5) :8O一81

[5]吴迪, 陈贵生, 王学珍, 黄淑敏, 数字图书馆资源远程访问模式与共享研究.图书馆论坛2009 (6)