#网络安全# #物联网# 在网络传输过程中，为了确保物联网中设备与物联网平台之间传输数据的完整性与机密性，各厂家设备针对网络传输采用了用于安全传输的标准协议（如 TLS）。

安全传输标准协议中需使用证书用于验证身份，设备出厂状态下所拥有的证书是由厂商提供的。

为解决用户的证书信任问题，设备提供证书导入功能，支持用户使用自己信任的证书，同时也支持用户定期更新证书，更加安全地应用证书。

物联网数据通过互联网传输，在传输两端的网络出口部署边界安全隔离设备，在安全隔离设备上根据流量的源目的IP 地址、源目端口、使用协议等实施隔离策略，实现对流量的严格控制；并且安全隔离设备可以实现用户网络的 IP 地址对外界隐藏的目的。

除了互联网边界安全，在物联网局域范围内的不同安全区域，部署安全隔离设备可实现不同安全等级区域之间的隔离，保证数据严格按照制定的访问控制策略传输。

物联网设备支持数据包过滤技术，以达到直接在设备上实现控制数据包通过或丢弃的控制目的。包过滤技术是指根据包过滤规则检查所接收的每个数据包，做出允许数据包通过或丢弃数据包的决定。

数据包过滤技术是通过对数据包的 IP 头和 TCP 头或 UDP 头的检查来实现的，主要信息如下：

IP 源地址

IP 目标地址

协议（TCP 包、UDP 包、ICMP 包）

TCP 或 UDP 包的源端口

TCP 或 UDP 包的目标端口

ICMP 消息类型

TCP 包头中的 ACK 位

数据包到达的端口

数据包出去的端口

数据包过滤技术的技术优势如下：

过滤掉非法的客户端对象，只允许合法的客户端对象，减小主机面临的威胁。

在设备面临攻击时可以完成特定的防御动作，提高设备应对风险能力。

物联网设备支持配置协议端口与转发端口。更改默认的 HTTP 和 TCP 端口，这两个端口可以设置成 1025～65535 间的任意数字。更改默认端口后，减小了被入侵者猜到您使用哪些端口的风险。

使能 IP 过滤功能，只有指定 IP 地址的设备才能访问系统。只转发必须使用的网络端口，避免转发一段很长的端口区。不要把设备的 IP 地址设置成 DMZ。关闭客户端的自动登录功能，增加一道防线防止未经授权的人访问系统。

如果已经在路由器上手工打开了 HTTP 和 TCP 端口映射，我们强烈建议您关闭 UPnP 功能。启用 UPnP 协议以后，路由器将会自动将内网端口进行映射，虽然方便用户使用，但会导致系统自动转发相应端口的数据。在实际应用场景中，强烈建议您关闭此功能。

在网络关键节点部署管控流量的安全设备，针对不同来源、访问不同服务的流量实施不同的流量管控策略，以保证优先级高的流量可以在网络质量较差、带宽较小的情况得到更好的传输保障。

网络攻击层出不穷，单一依赖流量管控、安全策略等无法保证对攻击防范的防御。物联网设备解决方案可以提供集成部署专业安全设备以防御基于网络协议的攻击和基于系统及应用安全漏洞的攻击，如 DDoS 攻击、异常报文攻击等。#IP# #流量控制# #弱电工程#