端口控制.docVIP

端口控制 网络用户的主观行为是网络安全的最大“敌人”, 因此需要从职业道德和安全技术两方面来保证网络的安全性。从技术角度上来看,控制网络用户的主观行为主要是要根据网络用户的合法性来控制(用户使用的) 物理通信端口的状态(开放或者关闭) ,从而达到限制或者阻止网络用户的恶意主观行为的效果。因此,如何有效对端口进行控制,使得在被控端口上, 既能保证端口通信的流畅,又能很好地解决网络安全问题成了在各个开发平台下的一个主要任务。现今,端口控制在不同的应用平台上有不同的实现方法。在Windows 操作平台下,有winpcap 开发包来实现对底层通信设备的驱动;Linux 提供了原始套接字来访问通信设备的输入输出缓冲区。随着当前越来越多的网络设备对网络安全功能的加强,提出了 端口控制在嵌入式系统中的实现。本文主要讨论端口控制在实时嵌入式系统VxWorks 中的解决方案。 1 　VxWorks 简介 VxWorks 是当前比较流行的一个实时嵌入式操作系统,主要应用于各种有实时需求的系统开发和嵌入式系统开发。VxWorks 具有高效的任务管理功能, 使得开发人员能够方便地设计高效的嵌入式系统;其可剪裁的微内核结构,使得基于VxWorks 的应用实现只占用很少的存储空间便可以完成复杂的任务;VxWorks 提供了强大的网络功能和硬件驱动支持。 2. 1 　HOOK函数 主机在接收到一个数据包后,就从数据链路层开始去掉相应的头部,而后交给上层协议继续处理。 VxWorks 允许我们使用HOOK 函数在数据链路层为每一个接收到的数据包的处理流程加上一个环节。即在将数据包交给上层协议处理之前,由HOOK函数对该数据包进行预处理,HOOK函数一般用来判断包的合法性。HOOK函数每处理完一个数据包会返回一个布尔值,VxWorks 则根据HOOK函数的返回值来决定是否继续将该数据包交由上层协议处理。HOOK 函数返回FALSE ,表示该数据包是合法数据,应被上层协议继续处理;HOOK函数返回TRUE ,表示该数据包是非法数据,应被丢弃,从而达到端口控制的目的。 HOOK函数的处理流程如图1 所示。 HOOK函数工作在数据链路层,可以在输入和输出两个方向对端口进行控制(分别使用InputHook 和 OutputHook 函数) 。 2. 2 　MUX接口 为了更好地提供网络服务,VxWorks 提供了MUX 接口, 以支持网络层和数据链路层的独立性, 其网络层次图如图2 所示。如果网络层需要使用数据链路层的驱动程序, 则网络层可以调用相应的MUX函数来完成;同理,如果数据链路层的驱动程序需要访问网络层服务( IP 服务和其它服务) ,也可以通过调用相应的MUX 函数来实现。这样使得网络层和数据链路层不再直接交互,由 MUX接口来屏蔽双方的细节。因此无论是改变数据链路层的驱动程序,还是增加新的网络服务,都不会影响到对方。使用MUX接口前,需要使用函数muxBind() 将上层协议和底层端口进行绑定。同时在该函数中,要指定MUX 将接收到的数据包递交给该协议时,先进行的预处理操作(由自定义的函数来完成) 。MUX 对端口进行控制的流程如图6 所示,其中实线表示发送数据包,虚线表示接收数据包。 4 　结束语 在对交换机(例如24 端口) 这样的小型应用中, 这两种端口控制的实现方法基本都可采纳。但Wind River 公司决定在将来的VxWorks 版本中不再支持 HOOK函数,而致力于提供MUX 接口服务。因此,考虑到将来系统的兼容性和可扩展性, 添加评论 .评论读取中...请登录后再发表评论! 取消 .baihuixi | 2009-11-21 22:35:35 有0人认为这个回答不错 | 有0人认为这个回答没有帮助 目前，使用ADSL的用户越来越多，由于ADSL用户在线时间长、速度快，因此成为 黑客 们的攻击目标。现在网上出现了各种越来越详细的“IP地址库”，要知道一些ADSL用户的IP是非常容易的事情。要怎么保卫自己的网络安全呢？不妨看看以下方法。 一、取消文件夹隐藏共享 如果你使用了Windows 2000/XP系统，右键单击C盘或者其他盘，选择quot;共享quot;，你会惊奇地发现它已经被设置为“共享该文件夹”，而在“网上邻居”中却看不到这些内容，这是怎么回事呢？ 原来，在默认状态下，Windows 2000/XP会开启所有分区的隐藏共享，从“控制面板/管理工具/计算机管理”窗口下选择“系统工具/共享文件夹/共享”，就可以看到硬盘上的每个分区名后面都加了一个“$”。但是只要键入“\\计算机名或者IP\C$”，系统就会询问用户名和密码，遗憾的是，大多数个人用户系统Administrator的密码都