从图中可以看出，随着生产负荷的变 化，理论空气过剩系数(n)也应随之变化。 这种变化的空气过剩系数修正策略对提高 燃烧效率、降低氧化烧损有益。
鉴于温度对象的大滞后，仅靠常规串 级比值控制来调整必然响应速度慢、超调 量大。通过供热需求分析可知，燃料的消 耗量与生产能力(生产率)之间基本上呈线 性关系，生产率变化时，在温度波动前， 直接作用流量改变。这种生产率的前馈控 制可起到针对生产节奏波动的提前修正作 用，从而提高控制系统的响应速度，见图3 所示。
4.路由器安全设置 利用路由器的漏洞发起攻击通常是一 件比较容易的事情。路由器攻击会浪费 CPU周期，误导信息流量，使网络陷于瘫 痪。好的路由器本身会采取一个好的安全 机制来保护自己，但是仅此一点是远远不 够的。保护路由器安全还需要网管员在配 置和管理路由器过程中采取相应的安全措
够划归到第三层次的仅有武钢和宝钢热轧 厂这样的先进企业，可是其功能尚不够完 备，要达到系统优化的控制目标还需不断 改进和完善。
用户还可以利用出站访问控制限制来 自网络内部的流量。这种控制可以防止内 部主机发送ICMP流量，只允许有效的源地 址包离开网络。这有助于防止IP地址欺 骗，减小黑客利用用户系统攻击另一站点 的可能性。
4.5 监控配置更改 用户在对路由器配置进行改动之后， 需要对其进行监控。如果用户使用SNMP， 那么一定要选择功能强大的共用字符串， 最好是使用提供消息加密功能的SNMP。如 果不通过SNMP管理对设备进行远程配置， 用户最好将SNMP设备配置成只读。拒绝对 这些设备进行写访问，用户就能防止黑客 改动或关闭接口。此外，用户还需将系统 日志消息从路由器发送至指定服务器。 为进一步确保安全管理，用户可以使 用SSH等加密机制，利用SSH与路由器建立 加密的远程会话。为了加强保护，用户还 应该限制SSH会话协商，只允许会话用于 同用户经常使用的几个可信系统进行通 信。 配置管理的一个重要部分就是确保网 络使用合理的路由协议。避免使用路由 信息协议(RIP)，RIP很容易被欺骗而接 受不合法的路由更新。用户可以配置边 界网关协议(BGP)和开放最短路径优先协 议(OSPF)等协议，以便在接受路由更新之 前，通过发送口令的MD5散列，使用口令 验证对方。以上措施有助于确保系统接受 的任何路由更新都是正确的。 4.6 实施配置管理 用户应该实施控制存放、检索及更新 路由器配置的配置管理策略，并将配置备 份文档妥善保存在安全服务器上，以防新 配置遇到问题时用户需要更换、重装或回
为了对空燃比控制更加精细，出现了 带有双交叉限幅的串级比值控制方法。其 优点是有效控制了动态空燃比，缺点是限 幅牺牲了系统跟踪负荷变化的速度，降低 了系统的响应速度。因此它仅在温度调整 范围较小、速度不快的热段控制时有使用 实例。为了进一步提高响应速度，改进型 双交叉方法还将限幅系数设为可根据温度 偏差自动修正，以便在温度偏差较大时减 弱或取消限幅功能。在改进的炉温控制系 统中，理论空气过剩率与烧嘴负荷之间的 关系见图2。
使用入站访问控制将特定服务引导至 对应的服务器。例如，只允许SMTP流量进 入邮件服务器；DNS流量进入DSN服务器； 通过安全套接协议层(SSL)的HTTP(HTTP/ S)流量进入Web服务器。为了避免路由器 成为DoS攻击目标，用户应该拒绝以下流 量进入：没有IP地址的包、采用本地主机 地址、广播地址、多播地址以及任何假冒 的内部地址的包。虽然用户无法杜绝DoS 攻击，但用户可以限制DoS的危害。用户 可以采取增加SYN ACK队列长度、缩短ACK 超时等措施来保护路由器免受TCP SYN攻 击。
1.前言 路由器是局域网连接外部网络的重要 桥梁，是网络系统中不可或缺的重要部 件，也是网络安全的前沿关口。但是路由 器的维护却很少被大家所重视。试想，如 果路由器连自身的安全都没有保障，整个 网络也就毫无安全可言。因此在网络安全 管理上，必须对路由器进行合理规划、配 置，采取必要的安全保护措施，避免因路 由器自身的安全问题而给整个网络系统带 来漏洞和风险。 2.路由器工作原理 路由器是工作在IP协议网络层实现子 网之间转发数据的设备。路由器内部可以 划分为控制平面和数据通道。在控制平面 上，路由协议可以有不同的类型。路由器 通过路由协议交换网络的拓扑结构信息， 依照拓扑结构动态生成路由表。在数据通 道上，转发引擎从输入线路接收IP包后， 分析与修改包头，使用转发表查找输出端 口，把数据交换到输出线路上。转发表是
参考文献 [1]郭延杰.关于轧钢加热炉升级评比活动的改进建议 [J].工业炉,1982,06:46-49. [2]温治.轧钢加热炉计算机控制技术的现状与展望[J]. 金属世界,2002,2:18-19. [3]王继烈,范功友.轧钢加热炉计算机控制的现状与发 展趋势[J].山东冶金,1995,17(2):11-13. [4]梁军,吕勇哉.轧钢加热炉混合智能控制系统[J].钢 铁,1996,31:113-117. [5]张艳伟,雷慧杰.轧钢加热炉自动控制系统的应用[J]. 甘肃冶金,2009,31(2):87-89.
4.2 避免身份危机 黑客常常利用弱口令或默认口令进行 攻击。加长口令、选用30到60天的口令有 效期等措施有助于防止这类漏洞。另外， 一旦重要的IT员工辞职，用户应该立即更 换口令。用户应该启用路由器上的口令加 密功能，这样即使黑客能够浏览系统的配 置文件，他仍然需要破译密文口令。实施 合理的验证控制以便路由器安全地传输证 书。在大多数路由器上，用户可以配置一 些协议，如远程验证拨入用户服务，这样 就能使用这些协议结合验证服务器提供经 过加密、验证的路由器访问。验证控制可 以将用户的验证请求转发给通常在后端网 络上的验证服务器。验证服务器还可以要 求用户使用双因素验证，以此加强验证系 统。双因素的前者是软件或硬件的令牌生 成部分，后者则是用户身份和令牌通行 码。其他验证解决方案涉及在安全外壳 (SSH)或IPSec内传送安全证书。 4.3 禁用不必要服务 拥有众多路由服务是件好事，但近来 许多安全事件都凸显了禁用不需要本地服 务的重要性。需要注意的是，禁用路由器 上的CDP可能会影响路由器的性能。另一 个需要用户考虑的因素是定时。定时对有 效操作网络是必不可少的。即使用户确保 了部署期间时间同步，经过一段时间后， 时钟仍有可能逐渐失去同步。用户可以利 用名为网络时间协议(NTP)的服务，对照 有效准确的时间源以确保网络上的设备时 针同步。不过，确保网络设备时钟同步的 最佳方式不是通过路由器，而是在防火墙 保护的非军事区(DMZ)的网络区段放一台 NTP服务器，将该服务器配置成仅允许向 外面的可信公共时间源提出时间请求。在 路由器上，用户很少需要运行其他服务， 如SNMP和DHCP。只有绝对必要的时候才使 用这些服务。 4.4 限制逻辑访问 限制逻辑访问主要是借助于合理处 置访问控制列表。限制远程终端会话有 助于防止黑客获得系统逻辑访问。SSH是 优先的逻辑访问方法，但如果无法避免 Telnet，不妨使用终端访问控制，以限制 只能访问可信主机。因此，用户需要给 Telnet在路由器上使用的虚拟终端端口添
根据路由表生成的，其表项和路由表项有 直接对应关系，但转发表的格式和路由表 的格式不同，它更适合实现快速查找。转 发的主要流程包括线路输入、包头分析、 数据存储、包头修改和线路输出。
路由协议根据网络拓扑结构动态生成 路由表。IP协议把整个网络划分为管理区 域，这些管理区域称为自治域，自治域区 号实行全网统一管理。这样，路由协议就 有域内协议和域间协议之分。域内路由协 议，如OSPF、IS-IS，在路由器间交换管 理域内代表网络拓扑结构的链路状态，根 据链路状态推导出路由表。域间路由协议 相邻节点交换数据，不能使用多播方式， 只能采用指定的点到点连接。
2.加热炉温控制系统 随着冶金生产技术和工艺设备的不断 发展，以及微型电子计算机和可编程控制 器的出现，工业炉窑的计算机控制也获得 了日益广泛的应用，借助于现代控制理论 的指导，向着过程和系统优化控制的方向 迅速发展。从发展顺序和控制水平两个方 面进行归纳总结，加热炉的计算机控制大 体上可以划分为如下三个层次[4]： (1)以提高燃料利用率、维持合理空燃 比为目的，实现燃烧过程的基础自动化控 制，即以炉温为控制对象的DDC级控制； (2)以优化钢坯加热过程本身为目标， 实现炉温或者燃耗量的过程自动控制，即 以钢温为控制对象的SPC级控制； (3)在前后工序实现自动化的基础上， 以协调优化整个生产系统为目标，实现加 热段的计算机自动化调度管理，即以全系 统最优为控制对象的SCC级控制。 目前常用的炉温控制系统是采用串级 比值控制的原理，原理图见图1。串级比 值控制是炉温控制最为基本的控制方法， 也是一种目前现场使用最多的方法。它具 有可克服煤气、空气压力波动，保证空燃 比，方案简单易于实现等优点。
综上所示，改进型双交叉限幅控制系统 相比于传统的串级比值控制系统，在控制法 和控制效果上具有更为明显的优势，其控制 系统的响应速度得到大大提高，原理见图4。
3.结论 加热炉控制系统提高了整个炉区的自 动化水平，提高了板坯的加热质量，降低 了工人的劳动强度，并为计算机过程控制 系统提供了必需的信息来源。如果没有加 热炉过程控制系统，则加热炉区的生产方 式就回到了传统的手工控制状态，不利于 提高板坯的加热质量和节能，更谈不上板 坯的信息化控制。因此采用该燃烧控制系 统对于节能、环保，提高钢坯加热质量等 均有明显的效果。
》》 科研发展
路由器安全配置策略
沈阳航空航天大学信息网络中心 李永亮 郑晨溪
【摘要】路由器在计算机网络中有着举足轻重的地位，是计算பைடு நூலகம்网络的桥梁。本文通过对路由器的工作原理、路由器的体系结构及安全配置知识进行了比较详细的阐述 说明，并举用实际例子对路由器安全配置方面加以论证。通过这些安全配置，可以对路由器进行安全加固，同时对网络的安全防护起到很大的作用。 【关键词】路由器安全；CDP；路由协议；安全漏洞
作者简介：李烨（1971—），男，甘肃兰州人，杭州 钢铁集团公司工程师，主要研究方向：信号与控制。
-104-
/2012.05/