限制电能信息采集终端访问的一种技术策略
时间:2022-10-21 12:06:58
[摘 要] 本文从用电信息采集系统采集终端施加访问限制的必要性出发,介绍了基于终端绑定IP、win2003平台下控制访问的一种技术策略和操作过程。
[关键词] 限制 采集系统 终端访问 安全策略
电力用户用电信息采集系统(下简称“采集系统”)是通过对电力用户的用电信息采集、处理和实时监控,实现用电信息的自动采集、计量异常和电能质量监测、用电分析和管理的系统。湖北采集系统采用B/S模式,只要采集终端主动连接通信前置服务器(通称“前置机”),前置机就无拒绝地接收,因此一些不合规定的终端也连接运行:如地区编码不对的终端;设备类型编码不对的终端;档案信息严重错误的终端。这些终端干扰了系统的正常监控,影响采集指标率的提升。
解决以上问题的通常做法是通知维护单位整正,但效果不理想。笔者就此介绍一种前置机端限制访问的技术策略。
策略是:在采集终端手机卡绑定IP的基础上,利用win server2003系统的安全访问策略,限制不合法的IP,达到限制终端上线的目的。此法无需另装软件,设置、添加与修改方便快捷,无需前置机重新启动,是一种在采集系统无限制功能的情况下的较好选择。
1.添加IP筛选器操作和筛选器
1.1打开本地安全设置窗口
进入操作系统菜单,开始》管理工具》本地安全策略,打开本地安全设置窗口。
1.2管理IP筛选器列表和筛选器操作
在“本地安全设置”窗口中点击菜单:操作》管理IP筛选器表和筛选器操作…,打开“管理IP筛选器表和筛选器操作”窗口。在“管理IP筛选器列表”选项卡页,点“添加…”打开“IP筛选器列表”子窗口,如图一所示。
图一
在名称和描述文本框分别输入好记的内容。如名称“阻止IP通信”;描述“阻止不合法IP通信”,并去掉“使用添加向导”勾选,按“添加…”按钮,打开IP筛选器属性,如图二。
图二
在“地址”选项卡页面的源地址列表选“一个特定的IP地址”,IP地址文本框输入你要限制的IP,目标地址列表框选“我的IP地址”。在“协议”选项卡页,“选择协议类型”列表框为TCP,设置IP协议端口“从任意端口”,“到此端口”,输入你要限制终端使用的端口号如“8001”,点“确定”,返回“管理IP筛选器表和筛选器操作”窗口。
在“管理筛选器操作”选项卡页面按“添加…”,弹出“新筛选器操作属性”子窗口,点“常规”选项卡页,输入名称与描述内容。在“安全措施”选项卡页面选“阻止”,点确定返回,如图三所示。
图三
2.创建IP安全策略
2.1设置IP安全策略名称 在“本地安全设置”窗口,“IP安全策略,在本地计算机”上击右键,在弹出菜单“创建IP安全策略…”上再单击弹出“安全策略向导”窗口,单击“下一步”,设置IP安全策略名称。在名称和描述中输入好记的内容,名称如“阻止不合法IP”,如图四所示。单击“下一步”,进入“安全通信请求”窗口。
图四
2.2不“激活默认响应规则”
在“安全通信请求”窗口去掉勾选“激活默认响应规则”,“下一步”进入安全策略属性如“阻止不合法IP属性”窗口,如图五所示。
2.3添加安全规则
在安全策略属性窗口的“规则”选项卡页面点“添加…”,弹出新规则属性子窗口,在子窗口的“IP筛选器列表”选项卡页面,选中前面设置的IP筛选器名称如“阻止IP通信”,点“确定”,返回安全策略属性窗口,在“规则”选项卡页面出现了加入的IP筛选器名称如“阻止IP通信”。
2.4选中要使用的规则 在安全策略属性窗口的“规则”页面勾选“阻止IP通信”规则,并“确定”,完成设置。
图五
3.操作指派
在本地安全设置窗口的左侧树形目录中选中“IP安全策略,在本地计算机”,在右边栏目选取策略如“阻止不合法IP”右击,在弹出菜单中点“指派”,此时看到策略已指派由“否”变成“是”。
4.断开前置机限制终端
湖北采集系统系东软公司设计的前置机软件。双击要限制终端如“0194-10031”,回答对话框“确定”,如图六所示。此时无论何时刷新前置机,窗口都看不到被限制的IP。
图六
5.多个限制IP操作
5.1添加限制IP
在“本地安全设置”窗口原来的限制策略如“阻止不合法IP”上击右键选“属性”,在弹出的窗口中,选中原来添加的IP安全规则如“阻止IP通信”,点“编辑…”,打开“编辑规则属性”子窗口,再在“IP筛选器列表”选项页选中原来加的筛选器如“阻止IP通信”,点“编辑…”,弹出“IP筛选器列表”孙窗口,再点“添加…”,按前面的有关部分完成后返回。如图七所示。
在图七所示“IP筛选器列表”窗口选取欲处理的IP,点“编辑…”或删除,无述详细过程。
5.3取消所有IP限制
在本地安全设置窗口的左侧树形目录中选中“IP安全策略,在本地计算机”,在右边内容中选取策略如“阻止不合法IP”右击,在弹出菜单中点“不指派”,此时看到策略由“是”变成“否”。
6.结束语
本方案虽然不能从根本上限制采集终端连接采集系统运行(因为可以通过换手机卡的办法使终端重新运行),但仍然可以通过终端地址码找到对应的IP,这样用此法仍然可以控制。
作者简介:
肖俊峰(1964-),男,湖北孝感人,高级讲师,从事电力用户用电信息采集建设与管理工作。