一、基于电脑远程控制技术的穿透

如果说向日葵远控是一款”B/S”方式的电脑远控软件，那么Netman就可以说是一款”c/s”方式的远程控制软件了。在主控和被控的双方，都需要安装Netman软件，其自身既是服务端，也是客户端。

Netman分为企业版和办公版两个版本，分别对应为收费和免费，不过仅仅是免费版，也能完成大部分的电脑远程控制任务。每台电脑上的Netmang一运行，都会显示本地的IP和控制密码，哪怕您是使用NAT方式的虚地址也不用担心。只要在控制端电脑填入被控端显示的IP和控制密码，即可轻松实现穿透内网的远程连接。

整体上，Netman仍属于通过第三方的网络中转实现内网穿透，根据笔者的观察和分析，外部网络直接发起的内网连接在经过边界设备是会被过滤和丢弃的，只有带SYN返回标记的包才能顺利通过边界达到内网。该软件始终与外部网络有多个连接，这些连接对应的IP应该属于中转服务器，正是依靠内网已存在的主动发起的连接，建立与外网的点对点直接通信，从而实现穿透。

向日葵和网络人，分别以“B/S”和“c/s”方式实现了内网穿透，在使用中均可与前台用户（直接在计算机前登录）共享会话环境，即可共享操作鼠标和观看屏幕变化，在远程协助解决计算机故障时也能灵活满足需求。更为重要的是，两种穿透均“绕开”了网络边界安全策略，中间平台和动态变化的端口号使进入内部网络的连接失去了监管，虽在远程控制过程中具有一定的安全性，但若是恶意释放在内网中实施穿透，则难以有效发现和管理，对内部网络会带来新的潜在威胁。

Windows Server 2008和Windows 7均能够设置网络级身份验证以强化远程桌面连接的安全性。所谓网络级验证( Network Level Authentication，NLA)是提供给远程桌面连接的一种新安全验证机制，可以在终端桌面连接及登录画面出现前预先完成用户验证程序，由于提前验证部分仅需要使用到较少的网络资源，因此可以有效防范黑客与恶意程序的攻击，同时也可以降低阻断服务(DoS)攻击的机会。超级眼远程控制软件采取与Netman相似的穿透策略。

直接设置为网络级验证依然还是使用3389端口，进一步利用RDS网关服务等远程桌面服务也能起到增加中间环节，改变进入内部网络的人口。远程桌面授权(RD授权)以前称为终端服务授权（TS授权），能够管理每个设备或用户与远程桌面会话主机服务器连接所需的远程桌面服务客户端访问许可(RDS CAL)。客户端连接到RD主机服务器时，RD会话主机服务器将确定是否需要RDS CAL，然后RD会话主机服务器代表尝试连接到RD会话主机服务器的客户端向远程桌面授权服务器请求RDS CAI，如果许可服务器中有适台的RDS CAI．则颁发给客户端，客户端将能连接到RD会话主机服务器，远程客户端是通过标准SSL443端几访问的RDS主机，而不是经常被拦截的3389端口。

小结

以上两类途径都能较好地解决内网穿透的问题，下面简单梳理一下。关闭对外端口，保护内部网络，减少安全威胁是每一个网络管理者所必须坚持的原则，而实际应用中又无不存在各种各样的要求需要穿透内网进行远程控制，二者在网络安全管理中是对立的。笔者认为，这并不是不可调和的矛盾。我们存管网、用网的过程中，要不断更新理念，熟悉各种能绕过安全策略的新技术、新方法，合理使用内网穿透，创造安全和便捷的双赢。另一方面也能根据需要，调整策略，尤其是针对敏感网络，及时封堵能够进入内部网络的各种途径，保证网络安全。

二、从海关局域网简析局域网安全

目前的局域网基本上都采用以广播为技术基础的以太网，任何两个节点之间的通信数据包，不仅为这两个节点的网上所接收，也同时为处在同一以太网上的任何一个节点的网上所以截取，因此，黑客只要接入以太网上的任一节点进行侦听，就可以欣喜捕获发生在这个以太网上的所有数据包，对其进行解包分析，从而窃取关键信息，这就是以太网所固有的安全隐患。

事实上，Internet上许多免费的黑客工具，如SATAN,ISS,NETCAT等等，都把以太网侦听作为其最基本的手段。

当前，局域网安全的解决办法有以下几种：

1、网络分段

网络分段通常被认为是控制网络广播风暴的一种基本手段，但其实也是保证网络安全的一项重要措施，其目的就是将非法用户与敏感的网络资源相互隔离，从而防止可能的非法侦听，网络分段可分为物理分段和逻辑分段两种方式。

目前，海关的局域网大多采用以交换机为中心，路由器为边界的网络格局，应重点挖掘中心交换机的访问控制功能和三层交换功能，综合应用物理分段与逻辑分段两种方法，来实现对局域网的安全。例如：在海关系统中普遍使用的DEC MultiSwtch 900的入侵检测功能，其实就是一种基于MAC地址的访问控制，也就是上在这之后 基于数据链路层的物理分段。

2、以交换式集线器代替共享式集线器

对局域网的中心交换机进行网络分段后，以太网侦听的危险仍然存在，这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换，而使用最广泛的分支集线器通常是共享是集线器。这样，当用户与主机进行数据通信时，两台机器之间的数据包（称为单播包Uncast Packet）还是会被同一台集线器上的其他用户所侦听，一种很危险的情况是：用户TELNET到一台主机上，由于TELNET程序本身缺乏加密功能，用户所键入的每一个字符（包括用户名、密码等重要信息），都将被明文发送，这就给黑客提供了机会。

因些，应该以交换式集线器代替共享式集线器，使单播包仅在两个节点之间传送，从而防止非法侦听，当然，交换式集线器只能控制单播包而无法控制广播包（Broadcast Packet）和多播包（Multicast Packet），所幸的是，广播包和多播包内的关键信息，要远远少于单播包。

3、VLAN的划分

为了克服以太网的广播问题，除了上述方法外，还可以运用VLAN（虚拟局域网）技术，将以太网通信变为点到点通信，防止大部分基本网络侦听的入侵。

目前的VLAN技术主要有三种：基于交换机端口的VLAN，基于节点MAC地址的VLAN和基于应用协议的VLAN。基于端口的VLAN虽然稍欠灵活，但却比较成熟，在实际应用中效果显著，广受欢迎。基于MAC地址VLAN为移动计算提供了可能性，但同时也潜藏着遭受MAC欺诈攻击的隐患。而基于协议的VLAN，理论上非常理想，但实际应用却尚不成熟。

在集中式网络环境下，我们通常将中心的所有主机系统集中到一个VLAN里，在这个VLAN里不允许有任何用户节点，从而较好地保护敏感的主机资源。在分布式网络环境下，我们可以按机构或部门的设置来划分VLAN，各部门内部的所有服务器和用户节点都在各自的VLAN内，互不侵扰。

VLAN内部的连接采用交换实现，而VLAN与VLAN之间的连接则采用路由实现。目前，大多数的交换机（包括海关内部普通采用的DEC MultiSwatch 900）都支持RIP和OSPF这两种国际标准的路由协议。如果有特殊需要，必须使用其他路由协议（如CISCO公司的EIGRP或支持DECnet的IS-IS），也可以用外接的多以太网口路由器来代替交换机，实现VLAN之间的路由功能，当然，这种情况下，路由转发的效率会有所下降。

无论是交换式集线器还是VLAN交换机，都是以交换技术为核心，它们在控制广播。都是以交换技术为核心，它们在控制广播、防止黑客上相当有效，但同时也给一些基于广播原理的入侵监控技术和协议分析技术带来了麻烦。因此，如何局域网存在这样的入侵设备或者协议分析设备，就必须选用特殊的带有SPAN(Switch Port Analyzer)功能的交换机。这种交换机允许系统管理员将全部或某些交换端口的数据包映射到指定的端口上，提供给接在这一端口上的入侵监控设备或协议分析设备。笔者在厦门海关外部网设计中，就选用了Cisco公司的具备SPAN功能的Catalyst系列交换机，既得到交换技术的好处，又使原有的Sniffer协议分析“英雄有用武之地”。

除了这些防止外部黑客的安全措施外，企业内部数据安全也是非常重要的，局域网监控就是企业内部数据安全一个有效措施，它可以进行电脑行为记录，键盘记录，远程电脑控制等，具体可以查看AnyView（网络警）网络监控软件局域网管理软件功能模块。