控制局域网论文

控制局域网论文（精选11篇）

控制局域网论文 第1篇

1 局域网流量的含义

网络流量是指基于现行网络通信协议 , 在网络传输介质上传送的包括数据包和控制包在内的所有网络协议包。局域网流量指的就是局域网内部设备之间以及内网和外网 (比如互联网) 之间进行数据交换所产生的数据通信量。主要包括以下基本内容。

1) 局域网内部交互产生的流量。

2) 访问互联网产生的流量。

3) 局域网内某个应用产生的流量。

4) 局域网内某个节点产生的流量。

5) 局域网内某个交换设备及端口的流量。

6) 局域网内某一网段产生的流量。

2 局域网流量管理的必要性

在局域网应用的初期 , 由于应用环境相对简单 , 一般情况下 , 局域网内部的流量不会构成问题。但是随着网络技术的发展和用户需求的提高 , 网络通信的业务种类也呈现出多样化态势 , 各种应用对带宽的抢占日益激烈 , 流量异常的现象越来越明显 , 单纯的靠提高带宽已经不能很好的解决流量异常的问题。我们必须要全方位的从网络的构建到用户的上网行为等多个方面对网络流量加以控制和管理 , 才能提高网络的性能 , 保障网络当中核心业务的正常运行。

3 局域网流量异常的原因分析

造成局域网流量异常、网络性能降低甚至网络瘫痪的原因大致可概括为以下几个方面。

3.1 广播风暴

作为发现未知设备的主要手段 , 广播在网络中起着非常重要的作用。但如果是由于网络拓扑的设计或者连接问题或者其他原因造成数据帧在网段内大量无限制的复制和传播就会形成广播风暴 , 致使网络性能急剧下降甚至瘫痪。

1) 网线短路导致广播风暴。

压制网线时没有做好 , 或者网线表面有磨损导致短路 , 当网线发生短路时 , 交换机将接收到大量的不符合封装规则的数据包 , 造成交换机处理器工作繁忙 , 正常数据包来不及转发, 从而导致缓冲区溢出产生丢包现象, 最终形成广播风暴。

2) 网络拓扑环引发广播风暴。

网络中如果存在环路的话 , 比如将几个交换机通过双绞线首尾相连或将双绞线的两端插入同一交换机的两个端口 , 这样就会造成数据帧在网络中的重复传输 , 引起广播风暴。

3) 网卡或交换机端口损坏引发广播风暴。

网卡端口或交换机端口的损坏可造成在网卡和交换机之间形成回路 , 导致交换机与所连接的计算机之间存在大量的广播包 , 严重消耗了交换机的资源 , 最终形成广播风暴。

4) 蠕虫病毒引发广播风暴。

如果网络当中某计算机感染了蠕虫病毒 , 那么该计算机发送和接收的数据包会快速增加并通过网络进行传播, 消耗大量的网络带宽, 导致网络堵塞, 形成广播风暴。

5) ARP攻击导致广播风暴。

ARP病毒通过伪造IP地址和MAC地址来截获所在网络的其它计算机的通信信息 , 使发送数据的设备获取错误的目标MAC地址 , 从而使数据不能正确传输到目的主机 , 造成网络内其它计算机的通信故障。同时ARP病毒在网络中产生大量的ARP通信量致使网络阻塞并最终导致广播风暴。

6) 恶劣环境引发广播风暴。

不合适的温度、湿度、震动和电磁干扰等也有可能会使网络变得不稳定 , 尤其是电磁干扰比较严重的环境下很容易造成数据传输错误从而引发广播风暴。

3.2 局域网广播域过大

当局域网的规模过大时 , 网络中的广播包会大量增加 , 留给用户的可用带宽则会相对减少 , 网络速度变慢 , 网络性能降低。

3.3 基于 P2P 技术的数据共享与传播软件的使用

网络上以BT、迅雷为代表的P2P类型的软件及各种视频软件的广泛使用 , 占用了大量的网络带宽 , 导致网络的拥塞 , 使得一些重要应用程序的运行得不到足够的带宽保障。因此 , 有必要采取一定的技术手段对P2P应用进行监测和控制 , 以达到提高服务质量的目的。

4 局域网流量异常的解决方案

4.1 广播风暴造成流量剧增的应对措施

1) 对于网线短路的情况 , 可使用流量查看软件查找出现短路的端口 , 也可以通过逐个封闭交换机端口的方式来找出有问题的网线并对之更换。

2) 对于网络中存在环路的情况 , 可在交换机中配置生成树协议 , 生成树协议可以在逻辑上对拓扑形成一种树状结构 , 从而避免了环路达到抑制广播风暴的目的。

3) 对于网卡端口或交换机端口损坏的故障 , 可将计算机连接到交换机能够正常收发的端口或者使用备用的网卡和交换机。

4) 及时修复计算机的漏洞 , 安装并更新杀毒软件以防范感染蠕虫病毒。对于感染蠕虫病毒的计算机 , 可在路由器等网络设备上通过访问控制列表对之隔离。

5) 对于ARP欺骗攻击的情况 , 可在路由器和防火墙上开启ARP攻击防护功能 , 在计算机上安装防范ARP攻击的软件 , 对局域网内计算机绑定网关的IP和MAC地址。

6) 严格执行布线要求 , 在组建网络时要尽量考虑避免计算机或者网络介质直接暴露强磁场中 , 如电磁炉、高压电缆、电源插头处等。

4.2 针对局域网广播域过大造成流量剧增的应对措施

当局域网的规模扩大时 , 其广播域的范围也会相应的扩大 , 我们可使用VLAN技术来分割广播域。由于一个VLAN中的广播不会到达其它VLAN, 这样可以减少参与广播风暴的设备数量 , 防止广播风暴波及整个网络从而使网络带宽得到充分的利用。

4.3 针对基于 P2P 技术软件的使用造成的网络流量剧增的应对措施

P2P (peer-to-peer) 是一种具备客户端和服务器双重特性的技术 , 可同时作为服务的使用者和提供者 , 用户在使用P2P软件下载数据的同时也要上传数据。由于P2P技术的快速发展 , 现在互联网上大概有70% 的流量都是P2P的流量 , 网络上以BT、迅雷为代表的P2P类型的应用以及各种视频应用等大量使用 , 占用了大量的带宽资源 , 使得原来一些需要保证的网络应用受到影响 , 所以有必要对此类软件从技术手段上加以限制。

我们有两个办法对P2P软件做出限制 , 一是利用局域网流量监控软件的管理功能 , 二是利用路由器、防火墙上等网络设备的过滤和流量控制功能。

局域网流量监控软件经过几代的发展 , 其功能也越来越完善。不仅可以对局域网的流量构成进行实时分析还可以显示占用流量的行为 , 如终端用户的下载、聊天、发送邮件等。当有网络阻塞和网速变慢等异常情况发生时 , 能够迅速找出造成网络流量异常的原因。另外局域网流量监控软件还可以提供简单、灵活的多种管理策略 , 对流量和带宽进行有效的管理 , 或对某种网络行为进行限制 , 如限制P2P软件进行下载等。通过局域网流量监控软件的配置 , 可保证核心业务有足够的带宽从而正常运转。另外 , 我们还可以在路由器、防火墙上通过以下方法达到限制P2P软件的目的。

1) 封锁端口。

在路由器上设置访问控制列表 , 将P2P服务所用的端口封掉 , 从而阻止该服务的正常运行。但是大量的访问控制列表也占用了路由器的CPU资源 , 影响了其它服务。

2) 封锁服务器。

搜索提供P2P服务的服务器地址 , 在路由器、交换机等网络设备上对该地址进行封锁。不足之处是找到每个服务器的IP地址并对其进行封锁比较麻烦 , 而且也容易漏掉某些服务器。

3) 在防火墙上做QoS应用配置

(1) 指定接口带宽。

在QoS/ 接口带宽中 , 默认带宽为物理最高支持带宽。用户需根据实际带宽值指定接口上 / 下行带宽 , 指定接口出口ISP承诺带宽值。如需使用弹性Qo S功能 , 需点击开启弹性QoS全局配置。

(2) 开启应用识别。

在网络 / 安全域中针对外网接口所属安全域启用应用识别 , 开启外网安全域的应用识别功能 , 以便对BT、迅雷等软件做基于应用的QoS控制。

(3) 配置应用QoS策略限制P2P。

配置应用QoS策略 , 限制P2P应用的下行和上行带宽。

(4) 配置应用QoS策略 , 保障其它应用的正常带宽。

配置应用QoS策略 , 将HTTP等正常的应用设置在一个合理的带宽范围。

通过在防火墙上做QoS应用配置 , 可有效的限制P2P应用所占的网络带宽 , 从而合理分配网络资源 , 保证网络中核心业务的正常运行。

5 结论

综上所述 , 对于广播风暴、病毒发包、ARP欺骗以及用户使用P2P软件等行为占用大量带宽而造成的局域网流量异常的现象 , 我们要采取相应的技术手段包括使用局域网管理软件来达到维护网络的目的 , 从而保证网络的正常运行。伴随着三网融合、云计算等网络技术的不断深入 , 新的网络应用和网络威胁也会随之出现 , 局域网流量的控制与管理也要及时的提供新的解决手段。

参考文献

[1]胡石林.论计算机局域网的维护管理与网络安全[J].科技资讯, 2011 (15) .

[2]李杰, 伊向超, 崔立波.校园网ARP欺骗攻击分析及其防范[J].吉林建筑工程学院学报, 2012 (5) :36-38.

[3]刘忠明.防火墙在校园网中的应用[D].电子科技大学, 2013.

[4]韩颜伦.P2P流量特征分析与应用[D].北京邮电大学, 2013.

怎样打造局域网交换机控制疑问 第2篇

随着计算机性能的提高及通信量的聚增，传统局域网已经越来越超出了自身负荷，交换式以太网技术应运而生，大大提高了局域网的性能。网络交换机能显著的增加带宽，可以建立地理位置相对分散的网络。

局域网交换机的每个端口可并行、安全、实时传输信息，而且性能稳定、结构灵活、易于安装、便于管理，能很好地满足企业网和电信运营商宽带接入的需求，通过管理单元，可以将交换机配成各种工作模式

随着人们对网络应用中的安全性和高带宽的需求。网络交换机的用途越来越广。本交换机采用了AL101芯片的ROX总线，将3个8口交换芯片连接起来，组成了1个24端口交换机，满足了用户对多交换端口的需求。

1.1 电路性能要求

交换机的高速PCB电路板，在EMC和ESD上都有比较高的要求。它采用了75MHz、50MHz的高速时钟，需要晶振的精度小于50PPM，同时时钟需要通过时钟分配电路送给不同的芯片，它需要分配的时钟之间的相位差小于2ns。

局域网交换机有24个10/100M自适应端口，每个端口都能达到线速交换。根据用户需要可对端口进行10/100M速率、全/半双工、流量控制、静态MAC地址、镜像、VLAN等设置，

1.2 交换机的原理框图

本局域网交换机的交换技术采用存储-转发方式，主要由接口单元、交换单元、管理单元、灯显示单元和电源接口单元五部分组成。其组成的方框图如图1所示。

RJ45接口收到以太网帧结构的数据包后，经过变压器隔离和阻抗匹配后送到PHY(物理接口芯片)，在此芯片中完成模拟信号到RMII接口的数字信号的变换，并获得链路状态、冲突、信息是否超长，速率等信息。

数据进入交换芯片(由三个芯片组成，通过ROX总线形成一个环路，可以完成数据在三个芯片之间的交换)，交换芯片将获得数据的目的地址和源地址，并对以太网帧进行差错校验。

交换芯片将源地址保存在自己的MAC地址表中，然后将目的地址与MAC地址表中的地址相匹配，以获取数据将转发的相应端口。如果目的端口在同一个交换芯片中，则从SGRAM中取出数据转发到相应的端口;

如果目的端口不在同一个交换芯片中，数据则通过ROX总线传输到相应的交换芯片，然后转发出去;如果在MAC地址表中没有找到相应的目的地址，就将帧转发到除源端口之外的其它属于同一VLAN的所有端口或者某一个上连端口(与交换芯片寄存器的设置有关)。

浅谈企业内部局域网安全控制策略 第3篇

摘要：数字化企业管理已成为当前各大型企业信息化建设发展的主要目标。企业内部网络作为信息化建设的主要载体，其网络安全已经成为当前各企业内部网络建设中不可忽视的首要问题。文章基于当前企业内部网络安全的现状及特点，提出相应的控制策略。

关键词：网络安全策略数据访问

0引言

随着我国经济与科技的不断发展，企业数字化管理作为为网络时代的产物，已经成为企业管理发展的方向。随着各企业内部网络规模的急剧膨胀，网络用户的快速增长，企业内部网安全问题已经成为当前各企业网络建设中不可忽视的首要问题。

1目前企业内部网络的安全现状

1.1操作系统的安全问题目前，被广泛使用的网络操作系统主要是UNIX、WINDOWS和Linux等，这些操作系统都存在各种各样的安全问题，许多新型计算机病毒都是利用操作系统的漏洞进行传染。如不对操作系统进行及时更新，弥补各种漏洞，计算机即使安装了防毒软件也会反复感染。

1.2病毒的破坏计算机病毒影响计算机系统的正常运行、破坏系统软件和文件系统、破坏网络资源、使网络效率急剧下降、甚至造成计算机和网络系统的瘫痪，是影响企业内部网络安全的主要因素。

1.3黑客在《中华人民共和国公共安全行业标准》中，黑客的定义是：“对计算机系统进行非授权访问的人员”，这也是目前大多数人对黑客的理解。大多数黑客不会自己分析操作系统或应用软件的源代码、找出漏洞、编写工具，他们只是能够灵活运用手中掌握的十分丰富的现成工具。黑客入侵的常用手法有：端口监听、端口扫描、口令入侵、JAVA炸弹等。

1.4口令入侵为管理方便，一般来说，企业为每个上网的领导和工人分配一个账号，并根据其应用范围。分配相应的权限。某些人员为了访问不属于自己应该访问的内容，用不正常的手段窃取别人的口令，造成了企业管理的混乱及企业重要文件的外流。

1.5非正常途径访问或内部破坏在企业中，有人为了报复而销毁或篡改人事档案记录；有人改变程序设置，引起系统混乱；有人越权处理公务，为了个人私利窃取机密数据。这些安全隐患都严重地破坏了学校的管理秩序。

1.6设备受损设备破坏主要是指对网络硬件设备的破坏。企业内部网络涉及的设备分布在整个企业内，管理起来非常困难，任何安置在不能上锁的地方的设施，都有可能被人有意或无意地损坏，这样会造成企业内部网络全部或部分瘫痪的严重后果。

1.7敏感服务器使用的受限由于财务等敏感服务器上存有大量重要数据库和文件，因担心安全性问题，不得不与企业内部网络物理隔离，使得应用软件不能发挥真正的作用。

1.8技术之外的问题企业内部网是一个比较特殊的网络环境。随着企业内部网络规模的扩大，目前，大多数企业基本实现了科室办公上网。由于上网地点的扩大，使得网络监管更是难上加难。由于企业中部分员工对网络知识很感兴趣，而且具有相当高的专业知识水平，有的员工上学时所学的专业甚至就是网络安全，攻击企业内部网就成了他们表现才华，甚至是泄私愤的首选。其次，许多领导和员工的计算机网络安全意识薄弱、安全知识缺乏。企业的规章制度还不够完善，还不能够有效的规范和约束领导和员工的上网行为。

2企业内部网络安全策略

安全策略是指一个特定环境中，为保证提供一定级别的安全保护所必须遵守的规则。安全策略包括严格的管理、先进的技术和相关的法律。安全策略决定采用何种方式和手段来保证网络系统的安全。即首先要清楚自己需要什么，制定恰当的满足需求的策略方案，然后才考虑技术上如何实施。

2.1物理安全策略保证计算机网络系统各种设备的物理安全是整个网络安全的前提。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。其目的是保护计算机系统、web服务器、打印机等硬件实体和通信链路层网络设备免受自然灾害、人为破坏和搭线攻击等。它主要包括两个方面：①环境安全。对系统所在环境的安全保护，确保计算机系统有一个良好的电磁兼容工作环境。②设备安全。包括设备的防盗、防毁、防电磁信息辐射泄漏、抗电磁干扰及电源保护等。

2.2访问控制策略访问控制的主要任务是保证网络资源不被非法使用和访问，它是保证网络安全最重要的核心策略之一。主要有以下七种方式：①入网访问控制。入网访问控制为网络访问提供了第一层访问控制，它控制哪些用户能够登录到服务器并获取网络资源；控制准许用户入网的时间和准许他们在哪台工作站入网。②网络的权限控制。网络的权限控制是针对网络非法操作所提出的一种安全保护措施。③目录级安全控制。网络应允许控制用户对目录、文件、设备的访问。④属性安全控制。当用文件、目录和网络设备时，网络系统管理员应给文件、目录等指定访问属性。⑤网络服务器安全控制。网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块，可以安装和删除软件等操作。⑥网络监测和锁定控制。网络管理员应对网络实施监控，服务器应记录用户对网络资源的访问，对非法的网络访问，服务器应以图形或文字或声音等形式报警，以引起网络管理员的注意。⑦网络端口和节点的安全控制。端口是虚拟的”门户”，信息通过它进入和驻留于计算机中，网络中服务器的端口往往使用自动回呼设备、静默调制解调器加以保护，并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户，静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。

2.3防火墙控制策略防火墙是近期发展起来的一种保护计算机网络安全的技术性措施，它是一个用以阻止网络中的黑客访问某个机构网络的屏障。它是位于两个网络之间执行控制策略的系统(可能是软件或硬件或者是两者并用)，用来限制外部非法(未经许可)用户访问内部网络资源，通过建立起来的相应网络通信监控系统来隔离内部和外部网络，以阻挡外部网络的侵入，防止偷窃或起破坏作用的恶意攻击。

2.4信息加密策略信息加密的目的是保护网内的数据、文件、口令和控制信息，保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。信息加密过程是由各种加密算法来具体实施。多数情况下，信息加密是保证信息机密性的唯一方法。

2.5备份和镜像技术用备份和镜像技术提高完整性。备份技术指对需要保护的数据在另一个地方制作一个备份，一旦失去原件还能使用数据备份。镜像技术是指两个设备执行完全相同的工作，若其中一个出现故障，另一个仍可以继续工作。

2.6网络安全管理规范网络安全技术的解决方案必须依赖安全管理规范的支持，在网络安全中，除采用技术措施之外，加强网络的安全管理，制定有关的规章制度，对于确保网络安全、可靠地运行将起到十分有效的作用。网络的安全管理策略包括：确定安全管理等级和安全管理范围；制订有关网络操作使用规程和人员出入办公室管理制度；制定网络系统的维护制度和应急措施等

2.7网络入侵检测技术试图破坏信息系统的完整性、机密性、可信性的任何网络活动，都称为网络入侵。入侵检测(IntrusionDe-teetion)的定义为：识别针对计算机或网络资源的恶意企图和行为，并对此做出反应的过程。它不仅检测来自外部的入侵行为，同时也检测来自内部用户的未授权活动。入侵检测应用了以攻为守的策略，它所提供的数据不仅有可能用來发现合法用户滥用特权，还有可能在一定程度上提供追究入侵者法律责任的有效证据。

3结语

局域网安全接入控制的设计研究 第4篇

访问控制的主要功能是控制用户对资源的使用, 防止滥用资源所造成的危害, 其中滥用资源包括非法用户的入侵与合法用户的误操作等。一个访问控制系统的构成如下:

1) 主体:主动访问资源的访问者, 通常为用户的某个进程;

2) 客体:被访问的资源, 可以是数据、信息、各种网络服务及网络设备等;

3) 访问协议:通常为一组规则, 定义了主体对客体的访问权限, 用于确定主体可以对客体进行的操作。访问策略通常由管理员制定, 是一组动态变化的规则。

2 局域网安全接入控制的架构设计

本文在传统网络访问控制系统的基础上, 参考AAA体系, 通过考虑企业局域网的实际特点, 运用PKI技术, 设计了局域网的安全接入控制架构。该架构定义了系统中各实体的功能及其相互关系, 由认证服务器、可信终端与不可信终端三部分组成, 完成对可信终端的认证与接入控制功能和对不可信终端的拒绝接入功能。

架构中对于局域网内部终端的接入访问流程如下:

第一步:主体终端连接认证服务器获得认证证书后, 安装包过滤层, 组成企业局域网内部的可信网络;

第二步:客户终端在访问局域网内可信终端之前, 首先必须与认证服务器成功连接;

第三步:客户终端如果是可信的, 在成功连接后, 认证服务器向客户终端发送颁发的认证证书和请求访问的客体可信终端的证书, 否则不发送证书;

第四步:客户终端获得认证证书后, 经过终端的过滤层认证成功, 才可访问局域网内部资源, 否则没有认证证书或认证失败, 可信终端都将拒绝其访问。

本架构采用分布式结构, 避免了集中式结构容易造成的性能瓶颈, 并且采用NDIS中间层驱动程序实现包过滤功能, 适合各种NDIS兼容网卡。该系统架构充分利用现有的局域网设备, 在不改变局域网基本架构的情况下, 充分利用现有资源, 便于部署, 并且各部分功能相对独立, 具有良好的易扩展性。cha

3 安全接入控制的通信原理剖析

安全接入控制的通信在客户端与服务器端建立可信的数据连接通道, 传输认证证书, 因此设计一个安全、可靠的连接通信是局域网安全运行的基础和关键, 如图1所示:Va

1) 客户端向服务器发送Start消息发起连接, 该消息中包含用户名等信息;

2) 服务器收到客户端的Start消息后随机生成唯一的Challenge串, 并将其存储于Request/Challenge消息中发送至客户端;4

3) 客户端收到Request/Challenge消息后, 将Challenge串与用户密码及所传数据Hash加密后通过Response/challenge消CA息中发送至服务器, 并同时记录该challenge串作为此次连接的SessionID;

4) 服务器收到Response/challenge消息后, 将其与服务器端计算结果比较, 如果两者相同, 则认证成功, 服务器返回Success消息;否则返回Fail消息;

5) 客户端收到Success消息, 则客户端与认证服务器的连接建立成功, 可以传送认证证书。在数据传输过程中, 客户端与服务器端收到数据后都要根据Hash Value字段判断所接受到数据的合法性;

6) 用户退出时, 向认证服务器发送Close消息, 服务器收到后关闭与用户的连接。本连接通信协议将数据传送与安全认证的过程分开, 建立了一个安全可靠的网络连接来传送认证证书, 提高了数据隐秘性。

4 局域网安全接入控制协议的设计

局域网安全接入控制协议包括客户端A、可信网络内终端Bequest/Challenge和认证服务器CA。B拥有自己的私钥和公钥 (设为skB、pkB) 及Request/Challenge ChallengeCA颁发的证书, 如果A为可信终端则A也拥有自己的私钥和公钥 (设为skA、pkA) 及CA颁发的证书。A执行协议之前连接认证服务器获得B的证书以获得B的公钥pkB。

e SessionIDResponse/challenge Success Fail Success本文研究的局域网安全接入控制协议采用散列算法对发送的密文消息进行Hash计算, 然后对散列值进行加密完成签名操作。在第二步中A通过验证B的签名来确认消息是否从B发出, 同时可以判断消息是否被修改过, 因为消息被插入、篡改或重排之后其散列值将会发生改变, 在第三步中B验证A的签名, 这样A和B直接就互相验证了对方身份。

Close A BskB pkB CA在以往的安全协议中, 发送方或者接收方总是先将消息发送给CA, 由CA进行身份认证并对消息实施签名操作, 然后再由CA将签名后的消息发送给接收方或者发送方, 当传输的消息较多时CA的计算量很大, CA已经成为整个通信系统的瓶颈;而在该协议中可信第三方认证服务器CA接受和处理的数据较少, 并且不需要对A或者B发送的消息进行认证和签名操作, 突破了整个通信系统的瓶颈, 即保证了通信的安全性又大大提高了通信的效率, 同时在B收到A的连接请求后不用到CA处下载A的证书获得公钥, 这样认证服务器可以同时响应多个客户端的连接, 提高了工作效率。

5 结论

随着网络的发展, 任何企业单位均组建了各自的局域网。但网络带来便利的同时, 也会时常发生网络安全事件, 比如:病毒、数据窃取、远程操控等, 对企业单位的信息化办公也会带来很大的不利影响。因此, 针对局域网的安全现状, 设计合理的安全接入控制机制是非常有必要的。

参考文献

[1]李兴国, 顾震苏.基于可信网络连接的安全接入技术[J].微计算机信息, 2007, 15.

控制局域网论文 第5篇

从国际www安全小组CERT(Computer Emergency Response Team)的统计资料来看，Internet中与www相关的安全事故呈逐年上升趋势。www安全主要包括三个方面：Web服务器安全、主机安全和传输安全。由于服务器端操作系统的安全漏洞、www服务软件本身存在问题和服务器端的错误配置等等一些问题，导致web服务器存在一定的安全隐患;网络病毒、恶意代码和系统配置不当等等是对主机的安全威胁;Internet是连接Web客户机和服务器通信的信道，攻击者可以利用嗅探程序，侦听信道，以获取机密信息。这些多种多样的安全威胁给人们的日常生活和经济生活造成很 烦。

这里重点讨论如何加强web服务器安全。市场上有许许多多的web服务器，例如：Apache、IIS、Zeus、iPlanet、AOLserver和Jigsaw等等。

一、加强Web服务器安全的措施

无论何种类型的Web服务器，其基本的安全问题是相同的，这就是：安全配置、身份认证和访问控制等。加强Web服务器安全的主要措施如下：

(1)合理配置Web服务器

主要措施有：①具有合法权限的用户才可以运行web服务器;②通过某个IP地址、IP地址段或者某个域来控制，未被允许的IP地址、IP地址段或某个域发出来的请求将被拒绝;③通过用户名/口令来控制，只有输入正确的用户名/口令时，才允许访问，

(2)设置Web服务器有关目录的权限

(3)审阅日志文件

日志文件是web服务器工作的记录。它记录了系统每天发生的各种各样的情况，可以通过它来检查故障发生的原因，或者受到攻击时攻击者留下的痕迹。日志的主要功能是：审计和监测。它还可以实时监测系统状态，监测和追踪入侵者等等。

(4)进行必要的数据备分

定期对web服务器做安全检查，安全管理Web服务器。这里以Apache服务器为例，介绍上述安全措施的具体实施方案。

二、设置Web服务器有关目录的权限

为了更好地维护Web服务器安全，管理员应对“服务器根目录”(日志文件和配置文件存放目录)和“文档根目录”(默认的客户文档存放目录)做严格的访问权限控制。

(1)服务器根目录下存放配置文件、错误和日志文件等敏感信息，它们对系统的安全至关重要，不能随意读取或删改。

(2)一般，Web服务器由root用户启动，然后切换为由user指令所指定的用户。在根目录下执行命令时需注意非root对其操作无效。不仅文件本身，目录及其父目录都只有root具有写的权限。如果允许非root用户对由root执行或读写的文件有写权限，则会危及系统。

(3)文档根目录定义Web服务器对外发布的超文本文档存放的路径，客户程序请求的URL就被映射为这个目录下的网页文件。这个目录下的子目录，以及使用符号连接指出的文件和目录都能被浏览器访问，只是要在URL上使用同样的相对目录名。

控制局域网论文 第6篇

一、前言

随着计算机技术、通讯技术、集成电路技术的飞速发展，以全数字式现场总线技术为代表现场控制仪表、设备大量应用，使得传统的现场控制技术及现场控制设备发生了巨大的变化。繁琐的现场连线被单一、简洁的现场总线网络所替代，系统设计灵活、设备维护简单，信号传输质量也大幅提高。

电子技术的飞速发展及在工程机械上的广泛应用，使得工程机械的智能化程度越来越高，特别是在控制器技术被引入工程机械控制领域后，给工程机械的发展带来了划时代的变化，工程机械的操作便利性、安全性、燃油经济性都得到了大幅提高。

CAN总线技术的引入彻底改变了工程机械控制领域的面貌，分布式控制系统完全取代了集中式控制系统，在众多具有CAN功能的控制器、传感器和执行器的支持下，繁琐的现场连线被单一、简洁的现场总线网络所替代，系统设计更加灵活、信号传输质量也大幅提高。

众多的国际知名公司早在80年代初就积极致力于工程机械及汽车局域网的应用及研究。进入90年代，这些日趋成熟的技术在国外已广泛地应用于工程机械领域。为缩短与国际先进水平的差距，研究和开发自己的工程机械局域网系统势在必行。

二、CAN的技术特征

1 CAN的物理特性

1.1拓扑结构CAN在物理结构上属于总线式通信网络。

1.2机械参数及传输介质模块通过一个9针的D型插头连接到CAN总线上。总线采用屏蔽的或非屏蔽的双绞线，用光纤更佳。

1.3电气参数及信号表示总线上的数据采用不归零编码方式（NRZ），可具有两种互补的逻辑值之一：显性及隐性。CAN总线中各节点使用相同的位速率。它的每位时间由同步段、传播段、相位缓冲段1及相位缓冲段2组成。发送器在同步段前改变输出的位数值，接受器在两个相位缓冲段间采样输入位值，而两个相位缓冲段长度可自由调节，以保证采样的可靠性。另外，CAN总线采用时钟同步技术来保证通讯的同步。

2 CAN协议

CAN总线以报文为单位进行信息交换，报文中含有标示符（ID），它既描述了数据的含义又表明了报文的优先权。CAN总线上的各个协点都可主动发送数据。当同时有两个或两个以上的节点发送报文时，CAN控制器采用ID进行仲裁。ID控制节点对总线的访问。发送具有最高优先权报文的节点获得总线的使用权，其他节点自动停止发送，总线空闲后，这些节点将自动重发报文。

2.1 CAN协议分层结构CAN总线规范规定了任意两个节点之间的兼容性。包括电气特件利数据解释协议。

CAN协议可分为：目标层、传送层、物理层。其中目标层和传送层包括了ISO/OSI定义的数据链路的所有功能。目标层的功能包括：确认要发送的信息；为应用层提供接口。传送层功能包括：数据帧组织、总线仲裁、检错、错误报告、错误处理。

2.2 CAN通信协议CAN支持四类信息帧类型。

（1）数据帧 CAN协议有两种数据帧类型标准2.0A和标准2.0B。两者本质的不同在于ID的长度不同。在2.0A类型中，ID的长度为l l位；在2.0B类型中ID为29位。一个信息震中包括7个主要的域：

帧起始域——标志数据帧的开始，由一个显性位组成。

仲裁域——内容由标示符和远程传输请求位（RTR）组成，RTR用以表明此信息帧是数据帧还是不包含任何数据的远地请求帧。当2.0A的数据帧和2.0B的数据帧必须在同一条总线上传输时，首先判断其优先权，如果ID相同，则非扩展数据帧的优先权高于扩展数据帧。

控制域——r0、r1是保留位，作为扩展位，DLC表示一帧中数据字节的数目。

数据域——包含0～8字节的数据。

校验域——检验位错用的循环冗余校验域，共15位。

应答域——包括应答位和应答分隔符。正确接收到有效报文的接收站在应答期间将总线值为显性电平。

帧结束——由七位隐性电平组成。

（2）远程帧 接受数据的节点可通过发远程帧请求源节点发送数据。它由6个域组成：帧起始、仲裁域、控制域、校验域、应答域、帧结束。

（3）错误指示帧 由错误标志和错误分界两个域组成。接收节点发现总线上的报文有误时，将自动发出“活动错误标志”，其他节点检测到活动错误标志后发送“错误认可标志”。

（4）超载帧 由超载标志和超载分隔符组成。超载帧只能在一个帧结束后开始。当接收方接收下一帧之前，需要过多的时间处理当前的数据，或在帧间空隙域检测到显性电平时，则导致发送超载帧。

3CAN总线技术的应用特点及支持器件

（一）CAN总线技术的应用特点

1.CAN网络上任何一节点均可作为主结点主动地与其他节点交换数据，大大提高系统的性能。

2．CAN网络节点的信息帧可分出优先级，且单帧字节长度短，有很好的实时性。

3.CAN的物理层及数据链路层采用独特的设计技术，使其在抗干扰，错误监测能力等方面的性能均超过其他总线。

4.CAN的通信速率相当高。当网络线的长度不超过40米时，其通信速率可达1Mbit/s。

5.CAN总线每帧数据都含有CRC校验及其他校验措施，数据出错率低。

6.CAN总线节点在严重错误的情况下，可自动切断与总线的通信联系，以使总线上的其他操作不受影响。

（二）CAN总线技术的支持器件

CAN总线自问世以来，由于具有众多独特的优点，得到广泛的应用，而且受到众多的半导体厂商的支持。目前生产支持CAN协议器件的公司有INTEL、MOTOROLA、PHILIPS、SIEMENS、NEC、HONEYWELL等百余家国际著名公司。其应用器件琳琅满目、层出不穷，已经形成产品系列。

目前市场上比较常见的有INTEL的CCU3010E、；MISUBISHI的37630；MOTOROLA的MC68HC05XX/MC68376；SIMENS的C505C、C167CR；NEC的78K/0；PHILIPS的80592/98、XA-C3；TEXAS INSTRUMENTS的TMS370E08D55等控制器件及外

围传感器及执行器件。

三、CAN在工程机械中的应用

CAN由于具有良好的运行特性、极高的可靠性和独特的设计，不但特别适合现代工程机械及汽车各电子单元之间的互连通讯，而且日益受到其他业界的欢迎，并被公认为最有发展前途的现场总线之一。

在众多半导体厂商的支持下，国际上一些著名的工程机械大公司如CAT、VOLVO、利勃海尔等都在自己的产品上广泛采用CAN总线技术来提高产品的技术档次及可靠性。下面就CAN总线在半主动油气悬架加以说明。

在工程机械半主动变阻尼油气悬架控制中，利用CAN网络作为悬架之间交换信息的通道，变集中控制为分布式控制，大大地简化了线束及器件的布置，提高了可靠性。

4个节点的优先权按降序排列依次为：右前轮——左前轮——右后轮——左后轮。数据帧包含三字节数据，其中两个字节为非悬架质量加速度，一个字节为可调阻尼器的相对开度值。通讯速率为300 kbit/s。实际应用结果表明网络运行良好，悬架的减震达到预期要求，而且在诸如启动、急刹车、急转弯等特殊工况下，通过网络的合理调度，提高了车辆的抗俯仰、侧倾的能力，改善了操纵的稳定性。

四、结束语

随着电子技术和大规模集成电路的迅速发展，网络控制芯片性能逐步提高，体积逐步减小，价格进一步降低，为工程机械局域网技术的普及推广创造了良好的条件。智能芯片价格的下降使得工程机械局域网的成本相差无几，其性能成为影响网络选择的主要因素。CAN以其优异的品质具有明显的优势，越发受到业界的欢迎。CAN总线在工程机械上的广泛应用将使工程机械的控制性能、动力性、操纵稳定性、安全性、燃油经济性都上升到一个新的高度，给工程机械技术的发展注入了新的活力。

参考文献

[1]杨英鹏，计算机网络原理与实践。北京：电子工业出版社，2007.9

浅谈企业内部局域网安全控制策略 第7篇

随着我国经济与科技的不断发展, 企业数字化管理作为为网络时代的产物, 已经成为企业管理发展的方向。随着各企业内部网络规模的急剧膨胀, 网络用户的快速增长, 企业内部网安全问题已经成为当前各企业网络建设中不可忽视的首要问题。

1 目前企业内部网络的安全现状

1.1 操作系统的安全问题目前, 被广泛使用的网络操作系统主

要是UNIX、WINDOWS和Linux等, 这些操作系统都存在各种各样的安全问题, 许多新型计算机病毒都是利用操作系统的漏洞进行传染。如不对操作系统进行及时更新, 弥补各种漏洞, 计算机即使安装了防毒软件也会反复感染。

1.2 病毒的破坏计算机病毒影响计算机系统的正常运行、破坏

系统软件和文件系统、破坏网络资源、使网络效率急剧下降、甚至造成计算机和网络系统的瘫痪, 是影响企业内部网络安全的主要因素。

1.3 黑客在《中华人民共和国公共安全行业标准》中, 黑客的定义是:

“对计算机系统进行非授权访问的人员”, 这也是目前大多数人对黑客的理解。大多数黑客不会自己分析操作系统或应用软件的源代码、找出漏洞、编写工具, 他们只是能够灵活运用手中掌握的十分丰富的现成工具。黑客入侵的常用手法有:端口监听、端口扫描、口令入侵、JAVA炸弹等。

1.4 口令入侵为管理方便, 一般来说, 企业为每个上网的领导和工人分配一个账号, 并根据其应用范围, 分配相应的权限。

某些人员为了访问不属于自己应该访问的内容, 用不正常的手段窃取别人的口令, 造成了企业管理的混乱及企业重要文件的外流。

1.5 非正常途径访问或内部破坏在企业中, 有人为了报复而销毁或篡改人事档案记录;

有人改变程序设置, 引起系统混乱;有人越权处理公务, 为了个人私利窃取机密数据。这些安全隐患都严重地破坏了学校的管理秩序。

1.6 设备受损设备破坏主要是指对网络硬件设备的破坏。

企业内部网络涉及的设备分布在整个企业内, 管理起来非常困难, 任何安置在不能上锁的地方的设施, 都有可能被人有意或无意地损坏, 这样会造成企业内部网络全部或部分瘫痪的严重后果。

1.7 敏感服务器使用的受限由于财务等敏感服务器上存有大

量重要数据库和文件, 因担心安全性问题, 不得不与企业内部网络物理隔离, 使得应用软件不能发挥真正的作用。

1.8 技术之外的问题企业内部网是一个比较特殊的网络环境。

随着企业内部网络规模的扩大, 目前, 大多数企业基本实现了科室办公上网。由于上网地点的扩大, 使得网络监管更是难上加难。由于企业中部分员工对网络知识很感兴趣, 而且具有相当高的专业知识水平, 有的员工上学时所学的专业甚至就是网络安全, 攻击企业内部网就成了他们表现才华, 甚至是泄私愤的首选。其次, 许多领导和员工的计算机网络安全意识薄弱、安全知识缺乏。企业的规章制度还不够完善, 还不能够有效的规范和约束领导和员工的上网行为。

2 企业内部网络安全策略

安全策略是指一个特定环境中, 为保证提供一定级别的安全保护所必须遵守的规则。安全策略包括严格的管理、先进的技术和相关的法律。安全策略决定采用何种方式和手段来保证网络系统的安全。即首先要清楚自己需要什么, 制定恰当的满足需求的策略方案, 然后才考虑技术上如何实施。

2.1 物理安全策略保证计算机网络系统各种设备的物理安全是整个网络安全的前提。

物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。其目的是保护计算机系统、w e b服务器、打印机等硬件实体和通信链路层网络设备免受自然灾害、人为破坏和搭线攻击等。它主要包括两个方面: (1) 环境安全。对系统所在环境的安全保护, 确保计算机系统有一个良好的电磁兼容工作环境。 (2) 设备安全。包括设备的防盗、防毁、防电磁信息辐射泄漏、抗电磁干扰及电源保护等。

2.2 访问控制策略访问控制的主要任务是保证网络资源不被非法使用和访问, 它是保证网络安全最重要的核心策略之一。

主要有以下七种方式: (1) 入网访问控制。入网访问控制为网络访问提供了第一层访问控制, 它控制哪些用户能够登录到服务器并获取网络资源;控制准许用户入网的时间和准许他们在哪台工作站入网。 (2) 网络的权限控制。网络的权限控制是针对网络非法操作所提出的一种安全保护措施。 (3) 目录级安全控制。网络应允许控制用户对目录、文件、设备的访问。 (4) 属性安全控制。当用文件、目录和网络设备时, 网络系统管理员应给文件、目录等指定访问属性。 (5) 网络服务器安全控制。网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块, 可以安装和删除软件等操作。 (6) 网络监测和锁定控制。网络管理员应对网络实施监控, 服务器应记录用户对网络资源的访问, 对非法的网络访问, 服务器应以图形或文字或声音等形式报警, 以引起网络管理员的注意。 (7) 网络端口和节点的安全控制。端口是虚拟的“门户”, 信息通过它进入和驻留于计算机中, 网络中服务器的端口往往使用自动回呼设备、静默调制解调器加以保护, 并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户, 静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。

2.3 防火墙控制策略防火墙是近期发展起来的一种保护计算

机网络安全的技术性措施, 它是一个用以阻止网络中的黑客访问某个机构网络的屏障。它是位于两个网络之间执行控制策略的系统 (可能是软件或硬件或者是两者并用) , 用来限制外部非法 (未经许可) 用户访问内部网络资源, 通过建立起来的相应网络通信监控系统来隔离内部和外部网络, 以阻挡外部网络的侵入, 防止偷窃或起破坏作用的恶意攻击。

2.4 信息加密策略信息加密的目的是保护网内的数据、文件、口令和控制信息, 保护网上传输的数据。

网络加密常用的方法有链路加密、端点加密和节点加密三种。信息加密过程是由各种加密算法来具体实施。多数情况下, 信息加密是保证信息机密性的唯一方法。

2.5 备份和镜像技术用备份和镜像技术提高完整性。

备份技术指对需要保护的数据在另一个地方制作一个备份, 一旦失去原件还能使用数据备份。镜像技术是指两个设备执行完全相同的工作, 若其中一个出现故障, 另一个仍可以继续工作。

2.6 网络安全管理规范网络安全技术的解决方案必须依赖安

全管理规范的支持, 在网络安全中, 除采用技术措施之外, 加强网络的安全管理, 制定有关的规章制度, 对于确保网络安全、可靠地运行将起到十分有效的作用。网络的安全管理策略包括:确定安全管理等级和安全管理范围;制订有关网络操作使用规程和人员出入办公室管理制度;制定网络系统的维护制度和应急措施等

2.7 网络入侵检测技术试图破坏信息系统的完整性、机密性、可信性的任何网络活动, 都称为网络入侵。

入侵检测 (Intrusion Dete e tion) 的定义为:识别针对计算机或网络资源的恶意企图和行为, 并对此做出反应的过程。它不仅检测来自外部的入侵行为, 同时也检测来自内部用户的未授权活动。入侵检测应用了以攻为守的策略, 它所提供的数据不仅有可能用来发现合法用户滥用特权, 还有可能在一定程度上提供追究入侵者法律责任的有效证据。

3 结语

企业内部网络的安全问题, 不仅是设备, 技术的问题, 更是管理的问题。对于企业网络的管理人员来讲, 一定要提高网络安全意识, 加强网络安全技术的掌握, 注重对领导和员工的网络安全知识培训, 而且更需要制定一套完整的规章制度来规范上网人员的行为。

摘要：数字化企业管理已成为当前各大型企业信息化建设发展的主要目标。企业内部网络作为信息化建设的主要载体, 其网络安全已经成为当前各企业内部网络建设中不可忽视的首要问题。文章基于当前企业内部网络安全的现状及特点, 提出相应的控制策略。

局域网的安全控制及防病毒策略 第8篇

1 局域网安全现状

局域网安全已经成为信息安全的新热点,其技术和标准也在成熟和演进过程中。本文从局域网安全问题的形成原因、威胁模型、安全产品及安全体系的构建等及个方面对该问题的现状及相关技术进行了分析和研究。

2 局域网安全威胁分析

在整个网络体系中,局域网处于最底层、最接近用户的环节,用户面也最广。局域网通信的多样性,使得用户上网安全面临多方面的威胁。本文分析了局域网协议缺陷和局域网面临的威胁,并在此基础上,从技术层面和管理层面给出了局域网安全通信的防范措施和解决策略,局域网的网络安全威胁通常有以下几类:

2.1 网络欺骗降低数据安全性

局域网很大的一部分用处是资源共享,而正是由于共享资源的“数据开放性”,导致数据信息容易被篡改和删除,数据安全性较低。例如arp病毒是前段时非常流行于网吧校园网的一个IP欺骗病毒,arp是一种将IP转化成以IP对应的网卡的物理地址的一种协议,或者说ARP协议是一种将IP地址转化成MAC地址的一种协议,它靠维持在内存中保存的一张表来使IP得以在网络上被目标机器应答。同时由于用户缺乏数据备份等数据安全方面的知识和手段,因此会造成经常性的信息丢失等现象发生。

2.2 对务器区域防护不当

局域网内计算机的数据快速、便捷的传递,造就了病毒感染的直接性和快速性,如果局域网中服务器区域不进行独立保护,其中一台电脑感染病毒,并且通过服务器进行信息传递,就会感染服务器,这样局域网中任何一台通过服务器信息传递的电脑,就有可能会感染病毒。虽然在网络出口有防火墙阻断对外来攻击,但无法抵挡来自局域网内部的攻击。

2.3 IP地址冲突

局域网用户在同一个网段内,经常造成IP地址冲突,造成部分计算机无法上网。对于局域网来讲,此类IP地址冲突的问题会经常出现,用户规模越大,查找工作就越困难,所以网络管理员必须加以解决,如可以用DHCP。

正是由于局域网内应用上这些独特的特点,造成局域网内的病毒快速传递,数据安全性低,网内电脑相互感染,病毒屡杀不尽,数据经常丢失。

3 局域网安全控制与病毒防治策略

3.1 局域网安全控制策略

安全管理保护网络用户资源与设备以及网络管理系统本身不被未经授权的用户访问。目前网络管理工作量最大的部分是客户端安全部分,对网络的安全运行威胁最大的也同样是客户端安全管理。只有解决网络内部的安全问题,才可以排除网络中最大的安全隐患,对于内部网络终端安全管理主要从终端状态、行为、事件三个方面进行防御。利用现有的安全管理软件加强对以上三个方面的管理是当前解决局域网安全的关键所在。

(1)采用防火墙技术。防火墙技术是通常安装在单独的计算机上,与网络的其余部分隔开,它使内部网络与Internet之间或与其他外部网络互相隔离,限制网络互访,用来保护内部网络资源免遭非法使用者的侵入,执行安全管制措施,记录所有可疑事件。它是在两个网络之间实行控制策略的系统,是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术。

(2)存所有空闲的IP地址,启动IP地址绑定,采用上网计算机IP地址与MCA地址唯一对应,网络没有空闲IP地址的策略。由于采用了无空闲IP地址策略,可以有效防止IP地址引起的网络中断和移动计算机随意上内部局域网络造成病毒传播和数据泄密。

(3)用杀毒软件强制安装策略,监测所有运行在局域网络上的计算机,对没有安装杀毒软件的计算机采用警告和阻断的方式强制使用人安装杀毒软件。

3.2 病毒防治

计算机病毒的防治要从防毒、查毒、解毒三方面来进行;系统对于计算机病毒的实际防治能力和效果也要从防毒能力、查毒能力和解毒能力三方面来评判。

(1)防毒。是指根据系统特性,采取相应的系统安全措施预防病毒侵入计算机。防毒能力是指通过采取防毒措施,可以准确、实时监测预警经由光盘、软盘、硬盘不同目录之间、局域网、互联网(包括FTP方式、E-MAIL、HTTP方式)或其它形式的文件下载等多种方式的病毒感染;能够在病毒侵入系统时发出警报,记录携带病毒的文件,即时清除其中的病毒;对网络而言,能够向网络管理员发送关于病毒入侵的信息,记录病毒入侵的工作站,必要时还要能够注销工作站,隔离病毒源。

(2)查毒。是指对于确定的环境,能够准确地报出病毒名称,该环境包括内存、文件、引导区(含主引导区)、网络等。查毒能力是指发现和追踪病毒来源的能力,通过查毒能准确地发现信息网络是否感染有病毒,准确查找出病毒的来源,给出统计报告;查解病毒的能力应由查毒率和误报率来评判。

(3)解毒。是指根据不同类型病毒对感染对象的修改,并按照病毒的感染特性所进行的恢复。该恢复过程不能破坏未被病毒修改的内容。感染对象包括内存、引导区(含主引导区)、可执行文件、文档文件、网络等。解毒能力是指从感染对象中清除病毒,恢复被病毒感染前的原始信息的能力。

3.3 计算机病毒的检测方法

(1)手工检测。是指通过一些软件工具(如DEBUG.COM、PCTOOLS.EXE、NU.COM、SYSINFO.EXE等)提供的功能进行病毒的检测。这种方法比较复杂,需要检测者熟悉机器指令和操作系统,因而无法普及。它的基本过程是利用一些工具软件,对易遭病毒攻击和修改的内存及磁盘的有关部分进行检查,通过和正常情况下的状态进行对比分析,来判断是否被病毒感染。这种方法检测病毒,费时费力,但可以剖析新病毒,检测识别未知病毒,可以检测一些自动检测工具不认识的新病毒。

(2)自动检测。是指通过一些诊断软件来判读一个系统或一个软盘是否有毒的方法。自动检测则比较简单,一般用户都可以进行,但需要较好的诊断软件。这种方法可方便地检测大量的病毒,但是,自动检测工具只能识别已知病毒,而且自动检测工具的发展总是滞后于病毒的发展,所以检测工具对未知病毒很难识别。

通过以上策略的设置,能够及时发现网络运行中存在的问题,快速有效地定位网络中病毒、蠕虫等网络安全威胁的切入点,及时、准确地切断安全事件发生点和网络。

局域网安全控制是一项长期而艰巨的任务,需要不断地探索。随着网络应用的发展计算机病毒形式及传播途径日趋多样化,安全问题日益复杂化,网络安全建设已不再像单台计算安全防护那样简单。计算机网络安全需要建立多层次的、立体的防护体系,要具备完善的管理系统来设置和维护对安全的防护策略。

参考文献

[1]谢希仁,陈鸣,张兴元.计算机网络.北京:电子工业出版社,1994.

[2]胡谷雨.提高现代通信网和计算机网管理.北京:电子工业出版社,1996.

[3]杨家海,任宪坤,王沛瑜.网络管理原理与实现技术.北京:清华大学出版社,2000.

控制局域网论文 第9篇

一、局域网安全威胁

局域网的网络安全威胁通常有:(1)局域网用户安全意识不强;(2)服务器区域没有进行独立防护;(3)计算机病毒及恶意代码的威胁;(4)欺骗性的软件使数据安全性降低。由于局域网这些安全威胁,造成数据安全性低,局域网内的病毒快速传递,网内电脑相互感染,病毒屡杀不尽,数据经常丢失。

病毒一直是计算机安全的主要威胁。病毒的种类和传染方式不断再增加,国际空间的病毒总数已达上万甚至更多。当然,查看文档、浏览图像或在Web上填表都不用担心病毒感染,然而,下载可执行文件和接收来历不明的E-Mail文件需要特别警惕,否则很容易使系统导致严重的破坏。

如何采用高效安全措施维护局域网安全,准备前提条件:(1)有故障时首先检查网卡;(2)确认网线和网络设备工作正常;(3)检查驱动程序是否完好;(4)正确对网卡进行设置;(5)禁用网卡的Pn P功能。

二、病毒预防

病毒必将影响系统的正常运行,对系统资源构成威胁。特别是通过网络传播的计算机病毒,能在很短的时间内使整个计算机网络处于瘫痪状态,从而造成巨大的损失。

一般病毒入侵都是从扫描开始的,攻击者首先判断目标主机是否存在,进而探测其开放的端口和存在的漏洞,然后根据扫描结果采取相应的攻击手段实施攻击。通过自身常驻系统内存,优先获得系统的控制权,监视和判断系统中是否有病毒存在,进而阻止计算机病毒进入计算机系统和对系统进行破坏。

预防病毒的重点是控制病毒的传染;关键是对病毒行为的判断,如何有效辨别病毒行为与正常程序行为是防毒成功与否的重要因素。预防病毒体系主要从以下几个方面制定有针对性的防病毒策略:(1)增加安全意识和安全知识,对工作人员定期培训;(2)小心使用移动存储设备,在使用移动存储设备之前进行病毒的扫描和查杀,也可把病毒拒绝在外;(3)挑选网络版杀毒软件。

通过以上策略能够及时发现网络运行中存在的问题,快速有效的定位网络中病毒、蠕虫等网络安全威胁的切入点,及时、准确的切断安全事件发生点和网络。

三、局域网安全控制策略

局域网安全策略决定采用何种方式和手段来保证网络系统的安全。它包括严格的管理、先进的技术和相关的法律,为保证提供一定级别的安全保护所必须遵守的规则。

局域网安全策略主要包括以下四点:(1)将安全策略、硬件及软件等方法结合起来,构成一个统一的防御系统,有效阻止非法用户进入网络,减少网络的安全风险。(2)定期进行漏洞扫描,审计跟踪,及时发现问题,解决问题。(3)通过入侵检测等方式实现实时安全监控,提供快速响应故障的手段,同时具备很好的安全取证措施。(4)使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态,最大限度地减少损失。

只有解决局域网内部的安全问题,才可以排除网络中最大的安全隐患,对于局域网内部的网络终端安全管理主要从物理安全、访问控制、防火墙、入侵检测三个方面进行防御。

(一)物理安全目的是保护计算机系统、web服务器、打印机等硬

件实体和通信链路层网络设备免受自然灾害、人为破坏和搭线攻击,保证计算机网络系统各种设备的物理安全是整个网络安全的前提。

(二)访问控制是保证网络安全最重要的核心策略之一,主要有以下七种方式:

(1)入网访问控制;(2)网络的权限控制;(3)目录级安全控制;(4)属性安全控制;(5)网络服务器安全控制;(6)网络监测和锁定控制;(7)网络端口和节点的安全控制。

(三)网络入侵检测技术针对计算机或网络资源的恶意企图和行为,并对此做出反应的过程。

它不仅检测来自内部用户的未授权活动,同时也检测来自外部的入侵行为。入侵检测应用了以攻为守的策略,它所提供的数据不仅在一定程度上提供追究入侵者法律责任的有效证据,还有可能发现合法用户滥用特权。

四、总结

局域网的病毒预防与安全控制是一项长期而艰巨的任务,需要不断的探索。随着计算机技术和通信技术的发展,局域网将日益成为工业、企业内部重要信息交换手段,渗透到社会生活的各个领域。因此,认清局域网的脆弱性和潜在威胁,采取强有力的安全策略,对于保障企业内局域网的安全性将变得十分重要。

摘要：随着网络化的不断发展与普及,病毒传播的途径也逐渐多样化,网络安全问题显得尤为重要。因此,只有具备完善的防护策略,才能保证局域网内系统的安全。本文主要介绍了局域网的病毒预防与安全控制的一些策略。

关键词：局域网,病毒,预防,安全,策略

参考文献

[1]钟平,校园网安全防范技术研究[DB]CNKI系列数据库2007.

局域网内PLC控制变频器的应用 第10篇

关键词：局域网,变频器,PLC,应用

0 引言

经过几十年的发展,目前的变频器调速已经上升为电气调速传动的主流,变频器调速已经从最初的只能用于风机、泵类的调速过渡到针对各类高精度、快响应的高性能的调速控制。

随着智能化的发展和普及,使用PLC与变频器结合,实现变频器的远程控制,是目前电气传动远程控制中的主流。

1 PLC对变频器的控制

1.1 变频器与PLC的连接

2005年5月,安钢380m3高炉喷煤进入电气调试阶段,喷煤的关键设备中速磨顶部安装的分离器,主要控制单元是ABB公司ACS400变频器。变频器的控制模式设置为远控,使用西门子公司的S7-300 PLC对其进行控制。

变频器与PLC之间的通信,首先在Step7软件中创建一个项目,组态该项目的硬件设备。并建立Prfibus DP网,ACS400变频器在Profibus DP=>Simovert文件夹里进行组态,并设定通信地址范围。

A B B变频器可以通过串行通道A C S 4 0 0标准Modbus(RS-485)与外部控制系统通信。ACS400有2个串行通道,通道0和通道1,通道1是标准Modbus。与PLC互相通信,必须设定由通道1控制,设置如表1所示。

1.2 控制方式

实现Modbus控制,必须设定ACS400的起停命令和频率,同时要求ACS400处于远程控制。

1.3 定义输出信号

模拟量输出和2个继电器都能由通道1控制。

1.4 寄存器映像

ACS400将所有的传动参数、控制和状态信息都映像到4寄存器区域,这些寄存器区域可以被外部设备读、写。传动参数映像到4区域:

(1)40001～40009用于传动控制寄存器;

(2)40101～40199用于D1组实际值;

(3)40201～40299用于参数D2组;

(4)40301～40399用于故障和报警信息;

(5)其它参数组;

(6)49901～49999用于起动数据。

2 PLC控制变频器的各种方法对比

2.1 开关量信号控制变频器

PLC的输出点、COM点直接与变频器的STF(正转启动)、RH(高速)、RM(中速)、RL(低速)、输入端SG等端口分别相连。PLC可以通过程序控制变频器的启动、停止、复位;也可以控制变频器高速、中速、低速端子的不同组合实现多段速度运行。但是,因为它是采用开关量来实施控制的,其调速曲线不是一条连续平滑的曲线,也无法实现精细的速度调节。

2.2 模拟量信号控制变频器

硬件:PLC主机,配置1路简易型的扩展模拟量输出板;还可以使用其他类型的模拟量输入输出混合模块。

优点:P L C程序编制简单方便,调速曲线平滑连续、工作稳定。

缺点:在大规模生产线中,控制电缆较长,尤其是D A模块采用电压信号输出时,线路有较大的电压降,影响了系统的稳定性和可靠性;另外,从经济角度考虑,如控制8台变频器,需要2块FX2N-4DA模块,其造价是采用扩展存储器通信控制的5～7倍。

2.3 采用RS-485无协议通信方法控制变频器

这是使用得最为普遍的一种方法,PLC采用RS串行通信指令编程。

优点:硬件简单、造价最低,可控制32台变频器。

缺点:编程工作量较大。而采用扩展存储器通信控制的编程极其简单,增加的硬件费用也很低。

2.4 采用RS-485的Modbus-RTU通信方法控制变频器

变频器使用RS-485端子,利用Modbus-RTU协议与PLC进行通信。

优点:Modbus通信方式的PLC编程比RS-485无协议方式要简单便捷。

缺点:PLC编程工作量较大。

以上设置,将变频器与PLC进行了串行通信的相互连接。我们在实际应用时,使用PLC对变频器设置了2套控制模式:一套是控制信号全部来自Modbus;另一套是控制信号部分来自串行通信,使用译码器译码后,输入进PLC,通过AI/DI的PLC控制变频器。我们在实际应用中主要使用第二套模式,2套模式互为备用。完成以上设置后,将变频器与电动机连接,通过PLC控制变频器,可以实现智能化驱动电动机。

3 结语

浅谈计算机局域网的安全控制措施 第11篇

1 局域网安全现状

广域网络已有了相对完善的安全防御体系, 防火墙、漏洞扫描、防病毒、IDS等网关级别、网络边界方面的防御, 重要的安全设施大致集中于机房或网络入口处, 在这些设备的严密监控下, 来自网络外部的安全威胁大大减小。相反来自网络内部的计算机客户端的安全威胁缺乏必要的安全管理措施, 安全威胁较大。未经授权的网络设备或用户就可能通过到局域网的网络设备自动进入网络, 形成极大的安全隐患。目前, 局域网络安全隐患是利用了网络系统本身存在的安全弱点, 而系统在使用和管理过程的疏漏增加了安全问题的严重程度。

2 局域网安全威胁分析

局域网 (LAN) 是指在小范围内由服务器和多台电脑组成的工作组互联网络。由于通过交换机和服务器连接网内每一台电脑, 因此局域网内信息的传输速率比较高, 同时局域网采用的技术比较简单, 安全措施较少, 同样也给病毒传播提供了有效的通道和数据信息的安全埋下了隐患。局域网的网络安全威胁通常有以下几类:

2.1 服务器区域没有进行独立防护

局域网内计算机的数据快速、便捷的传递, 造就了病毒感染的直接性和快速性, 如果局域网中服务器区域不进行独立保护, 其中一台电脑感染病毒, 并且通过服务器进行信息传递, 就会感染服务器, 这样局域网中任何一台通过服务器信息传递的电脑, 就有可能会感染病毒。虽然在网络出口有防火墙阻断对外来攻击, 但无法抵挡来自局域网内部的攻击。

2.2 局域网用户安全意识不强

许多用户使用移动存储设备来进行数据的传递, 经常将外部数据不经过必要的安全检查通过移动存储设备带入内部局域网, 同时将内部数据带出局域网, 这给木马、蠕虫等病毒的进入提供了方便同时增加了数据泄密的可能性。另外一机两用甚至多用情况普遍, 笔记本电脑在内外网之间平凡切换使用, 许多用户将在Internet网上使用过的笔记本电脑在未经许可的情况下擅自接入内部局域网络使用, 造成病毒的传入和信息的泄密。

2.3 欺骗性的软件使数据安全性降低

由于局域网很大的一部分用处是资源共享, 而正是由于共享资源的“数据开放性”, 导致数据信息容易被篡改和删除, 数据安全性较低。例如“网络钓鱼攻击”, 钓鱼工具是通过大量发送声称来自于一些知名机构的欺骗性垃圾邮件, 意图引诱收信人给出敏感信息:如用户名、口令、账号ID、ATMPIN码或信用卡详细信息等的一种攻击方式。最常用的手法是冒充一些真正的网站来骗取用户的敏感的数据, 以往此类攻击的冒名的多是大型或著名的网站, 但由于大型网站反应比较迅速, 而且所提供的安全功能不断增强, 网络钓鱼已越来越多地把目光对准了较小的网站。同时由于用户缺乏数据备份等数据安全方面的知识和手段, 因此会造成经常性的信息丢失等现象发生。

3 局域网病毒防治与安全控制

3.1 病毒防治

3.1.1 增加安全意识和安全知识, 对工作人员定期培训。

首先明确病毒的危害, 文件共享的时候尽量控制权限和增加密码, 对来历不明的文件运行前进行查杀等, 都可以很好地防止病毒在网络中的传播。这些措施对杜绝病毒, 主观能动性起到很重要的作用。

3.1.2 小心使用移动存储设备。在使用移动存储设备之前进行病毒的扫描和查杀, 也可把病毒拒绝在外。

3.1.3 挑选网络版杀毒软件。

一般而言, 查杀是否彻底, 界面是否友好、方便, 能否实现远程控制、集中管理是决定一个网络杀毒软件的三大要素。瑞星杀毒软件在这些方面都相当不错, 能够熟练掌握瑞星杀毒软件使用, 及时升级杀毒软件病毒库, 有效使用杀毒软件是防毒杀毒的关键。

3.2 局域网安全控制策略

安全管理保护网络用户资源与设备以及网络管理系统本身不被未经授权的用户访问。目前网络管理工作量最大的部分是客户端安全部分, 对网络的安全运行威胁最大的也同样是客户端安全管理。只有解决网络内部的安全问题, 才可以排除网络中最大的安全隐患, 对于内部网络终端安全管理主要从终端状态、行为、事件三个方面进行防御。

3.2.1 利用桌面管理系统控制用户入网。

入网访问控制是保证网络资源不被非法使用, 是网络安全防范和保护的主要策略。它为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源, 控制用户入网的时间和在哪台工作站入网。用户和用户组被赋予一定的权限, 网络控制用户和用户组可以访问的目录、文件和其他资源, 可以指定用户对这些文件、目录、设备能够执行的操作。启用密码策略, 强制计算机用户设置符合安全要求的密码, 包括设置口令锁定服务器控制台, 以防止非法用户修改。设定服务器登录时间限制、检测非法访问。

3.2.2 采用防火墙技术。

防火墙技术是通常安装在单独的计算机上, 与网络的其余部分隔开, 它使内部网络与Internet之间或与其他外部网络互相隔离, 限制网络互访, 用来保护内部网络资源免遭非法使用者的侵入, 执行安全管制措施, 记录所有可疑事件。它是在两个网络之间实行控制策略的系统, 是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术。

3.2.3 封存所有空闲的IP地址, 启动IP地址绑定采用上网计算机IP地址与MCA地址唯一对应, 网络没有空闲IP地址的策略。

由于采用了无空闲IP地址策略, 可以有效防止IP地址引起的网络中断和移动计算机随意上内部局域网络造成病毒传播和数据泄密。

3.2.4 属性安全控制。

它能控制以下几个方面的权限:防止用户对目录和文件的误删除、执行修改、查看目录和文件、显示向某个文件写数据、拷贝、删除目录或文件、执行文件、隐含文件、共享、系统属性等。网络的属性可以保护重要的目录和文件。

3.2.5 启用杀毒软件强制安装策略, 监测所有运行在局域网络

上的计算机, 对没有安装杀毒软件的计算机采用警告和阻断的方式强制使用人安装杀毒软件。

局域网安全控制与病毒防治是一项长期而艰巨的任务, 需要不断的探索。随着网络应用的发展计算机病毒形式及传播途径日趋多样化, 安全问题日益复杂化, 网络安全建设已不再像单台计算安全防护那样简单。计算机网络安全需要建立多层次的、立体的防护体系, 要具备完善的管理系统来设置和维护对安全的防护策略。

参考文献

[1]冯普胜.ARP病毒处理方法[J].内蒙古电力技术, 2008 (, 5) .

[2]王秀和, 杨明.计算机网络安全技术浅析[J].中国教育技术设备, 2007 (, 5) .