在仅依赖出口防火墙的场景下，阻止挖矿行为需结合挖矿程序的技术特征（如依赖外部矿池通信、特定端口 / 协议、异常流量模式等），充分利用防火墙的访问控制、应用识别、流量监控、日志审计等核心功能，分层次构建防御体系。以下是具体可落地的实施步骤，覆盖 “事前阻断、事中监控、事后追溯” 全流程：一、核心思路：明确挖矿行为的 “可被防火墙识别” 特征挖矿行为（尤其是恶意挖矿）通常具备以下可被防火墙捕捉的特征，需针对性防御：通信依赖：必须连接外部矿池服务器（核心特征，无矿池则无法算力贡献和收益结算），常用 TCP/UDP 协议，存在固定端口或动态端口。流量特征：长时间、高频率、持续性的 outbound（出方向）流量，流量包大小相对固定（与矿池心跳、算力提交相关），且通常无明显 inbound 响应（区别于正常业务交互）。应用特征：主流挖矿程序（如 XMRig、CGMiner、Claymore、PhoenixMiner 等）存在可被识别的应用层特征（如协议指纹、通信报文特征）。规避手段：部分挖矿程序会伪装成正常应用（如利用 HTTPS/443 端口、模仿浏览器流量），或通过 P2P 方式去中心化挖矿（无固定矿池，难通过 IP / 端口阻断）。二、基于防火墙的分层防御方案（从易到难落地）1. 第一层：基础访问控制（阻断已知矿池通信，快速见效）利用防火墙的ACL（访问控制列表） 或 “策略路由” 功能，基于 “IP + 端口” 阻断挖矿程序与外部矿池的连接，适用于所有具备基本包过滤功能的防火墙（包括传统防火墙和下一代防火墙 NGFW）。 防御措施具体操作关键依赖 / 注意事项阻断已知矿池 IP / 网段1. 收集公开的矿池 IP 地址库（如知名矿池：F2Pool、AntPool、Poolin、Slush Pool 等的官方 IP 段，可通过威胁情报平台、安全社区获取，例如Blockchain.com 矿池列表、CryptoCompare 矿池数据库）；2. 在防火墙出方向配置 **“拒绝策略”**，禁止内部所有 IP 访问这些矿池 IP / 网段（源：内部所有网段，目的：矿池 IP 段，动作：拒绝）。- 需定期更新矿池 IP 库（矿池 IP 可能动态变化，建议每周更新 1 次）；- 注意区分 “合法矿池” 与 “恶意矿池”，避免误阻断合法业务（如企业合规挖矿场景）。阻断常见挖矿端口1. 梳理挖矿程序常用端口（见下表）；2. 在防火墙出方向配置策略，禁止内部 IP 通过这些端口访问外部网络（源：内部所有网段，目的：任意外部 IP，端口：挖矿常用端口，动作：拒绝）。- 部分挖矿程序会使用 80、443 等常用端口伪装，此策略无法阻断这类 “端口伪装” 的挖矿行为；- 避免阻断业务常用端口（如 8080 可能同时用于业务系统，需确认后排除）。 挖矿程序常见端口列表端口类型常见端口号对应场景通用矿池端口3333、4444、5555、6666、7777、8888多数 CPU/GPU 挖矿程序默认端口特定币种端口14444（门罗币 XMR）、30303（以太坊 ETH）、9999（Zcash）对应币种的专用矿池端口P2P 挖矿端口18080（门罗币 P2P）、30301（以太坊 P2P）去中心化 P2P 挖矿的节点通信端口2. 第二层：应用层精准阻断（针对挖矿程序特征，提升防御精度）若防火墙为下一代防火墙（NGFW），具备 “应用识别” 功能（可基于应用协议指纹、行为特征识别具体程序），可直接针对挖矿类应用进行阻断，比 “IP + 端口” 策略更精准，能防御端口伪装的挖矿行为。具体的一些操作步骤：启用防火墙的 “应用识别库” 并更新：确保防火墙的应用特征库为最新版本（多数厂商会定期更新挖矿程序的特征，如深信服、华为、 Palo Alto 等）。识别并阻断 “挖矿相关应用”：在防火墙的 “应用控制策略” 中，筛选 “挖矿”“ cryptocurrency mining” 等分类下的应用（如 XMRig、CGMiner、Claymore Miner 等）；配置出方向策略：“所有内部 IP → 外部网络，阻断挖矿类应用”，并设置动作（如 “拒绝连接”“重置会话”）。针对加密通信的挖矿程序（HTTPS/SSL）：若防火墙支持 “SSL 解密” 功能，开启对外部 HTTPS 流量的解密（需提前部署根证书至内部终端，避免证书告警）；解密后，防火墙可识别 HTTPS 流量中的挖矿程序通信（如矿池域名、API 交互），进而阻断。3. 第三层：异常流量监控与阻断（发现未知挖矿行为）挖矿程序会产生持续性、高带宽的出方向流量（即使伪装端口，流量特征仍明显），可通过防火墙的 “流量统计”“异常检测” 功能发现未知挖矿行为。 具体操作： 配置流量基线与告警：在防火墙中，针对内部各终端 / 网段，设置出方向流量基线（如 “单 IP 平均出带宽≤10Mbps，并发连接数≤100”）；当某 IP 出现 “长时间（如连续 1 小时以上）超出基线流量、且连接目标为非业务 IP” 时，触发防火墙告警（如邮件、短信告警）。阻断异常流量源：告警后，通过防火墙日志定位异常 IP（疑似感染挖矿程序的终端）；临时配置 “针对该 IP 的出方向流量限制策略”（如限速 1Mbps、阻断非业务端口连接），避免其占用过多带宽，同时为后续终端排查争取时间。监控 P2P 类异常流量：挖矿程序（尤其是 P2P 挖矿）会产生大量 “随机 IP、小数据包、高频交互” 的流量，可在防火墙中启用 “P2P 流量识别”（如 BitTorrent、eMule 等协议），对异常 P2P 流量进行限速或阻断（需排除内部合法 P2P 业务，如文件分发）。4. 第四层：日志审计与溯源（定位感染终端，彻底清除）仅在防火墙层面阻断，无法解决 “内部终端已感染挖矿程序” 的根本问题，需通过防火墙日志追溯感染源，配合终端处理彻底清除。 具体操作：开启防火墙全量日志记录：确保防火墙记录所有出方向连接日志（包括源 IP、目的 IP、端口、协议、应用类型、流量大小、连接时长等）。分析日志，定位挖矿终端：筛选日志中 “频繁连接外部矿池 IP / 挖矿端口” 的源 IP，或 “长时间高流量连接非业务 IP” 的终端；重点排查 “非工作时间（如夜间、周末）仍有大量出方向流量” 的 IP（挖矿程序通常 24 小时运行）。终端侧处理（关键补充步骤）：对定位到的疑似终端，进行本地排查（如查看进程管理器，结束 XMRig.exe、cgminer.exe 等可疑进程；检查启动项、计划任务，删除挖矿程序的自启动配置；使用杀毒软件扫描并清除挖矿程序）；若终端无法清除（如挖矿程序嵌入系统进程），建议重装系统，并检查是否存在弱口令、漏洞（挖矿程序多通过弱口令、未修复漏洞入侵）。5. 第五层：结合威胁情报（提升防御时效性，应对新型挖矿）若防火墙支持 “威胁情报联动” 功能（多数 NGFW 支持），可接入第三方威胁情报平台（如奇安信威胁情报、360 威胁情报、IBM X-Force 等），实时获取最新矿池 IP、挖矿程序特征、恶意域名等信息，自动同步至防火墙策略，实现 “动态阻断”。 优势：无需人工频繁更新矿池 IP 库，可快速响应新型挖矿威胁（如新型矿池、变种挖矿程序）。三、局限性与补充建议（仅靠防火墙的不足）需注意：仅依赖出口防火墙，无法完全覆盖所有挖矿场景（如 “内网闭环挖矿”“离线挖矿”“基于容器 / 虚拟机的隐蔽挖矿”），需结合以下补充措施提升防御效果： 终端侧加固（核心补充）：部署终端安全软件（如杀毒软件、EDR 终端检测与响应），实时监控并阻断挖矿程序的安装与运行；禁用终端的 USB 端口（防止通过 U 盘植入挖矿程序），限制非管理员账户安装软件。网络层补充（若条件允许）：若后续可扩展设备，建议部署 IDS/IPS（入侵检测 / 防御系统），增强对挖矿程序通信特征的深度检测；部署 DNS 防火墙，阻断内部终端对矿池域名的解析（挖矿程序需通过域名解析获取矿池 IP，阻断解析可从源头切断连接）。定期安全检查：定期查看防火墙日志、流量报表，分析是否存在未被阻断的异常流量；定期扫描内部终端，检查是否存在弱口令、未修复的系统漏洞（挖矿程序常通过漏洞入侵，如永恒之蓝、Log4j 等）。总结一下下在仅用防火墙的场景下，阻止挖矿的核心逻辑是：“阻断矿池通信（断网）+ 识别应用特征（精准打靶）+ 监控异常流量（抓漏）+ 溯源终端（根除）”。优先落地 “已知矿池 IP / 端口阻断” 和 “应用识别阻断”（若为 NGFW），快速见效；再通过流量监控和日志审计发现未知挖矿行为，配合终端处理彻底清除。若需应对新型挖矿威胁，建议优先启用防火墙的威胁情报联动功能，提升防御时效性。

华为开发者空间携手HCSD校园大使助力全国高校“百团大战”！不仅为高校开发者基于“华为开发者空间”提供云开发环境、AI Notebook等平台工具，更有千元开发者定制好礼，快叫上小伙伴一起来参加吧~ 【活动流程】① 点击报名 →  ② 提交活动策划方案 → ③ 活动执行 → ④ 活动验收备注：活动方案：格式不限，需包含社团情况介绍，活动策划方案（含开发者空间推广方案）等。活动验收：提交活动总结报告，并在HCSD社区论坛发布活动组织心得或简报。 【参与条件】1.参与形式：HCSD校园大使在社团活动、学生会、各协会及班级/年级群等组织，策划落地。2.参与资格：已加入华为云学生开发者计划（HCSD）的校园大使，非HCSD校园大使可立即至官网申请加入。3.支持名额有限，以完成活动验收的次序进行支持。 【活动激励】1.众多奖品可供选择，华为音箱、体脂称、手环，更有开发者双肩包、冲锋衣、云宝盲盒等好礼，线下推广易拉宝，宣传单页等物料。可用于社团招新、活动推广、社员福利等场景。（其中线下物料可预支申领）2.活动覆盖人数达百人的，可支持累计价值千元的奖品；单次活动累计奖品价值最高为三千元；具体奖品支持数量视活动覆盖人数及社团规模而定。3.校园大使晋级激励：参与完成活动，可在年度优秀校园大使评选中作为加分项。具体活动细则见HCSD校园大使官方社群 部分奖品实物图如下~

请查阅参考昇腾社区文档：https://gitee.com/ascend/MindSpeed/blob/master/docs/features/noop-layers.md 

请查阅参考昇腾社区文档：https://gitee.com/ascend/MindSpeed/blob/master/docs/features/sequence-parallel.md 

请查阅参考昇腾社区文档：https://gitee.com/ascend/MindSpeed-LLM/blob/2.1.0/docs/pytorch/features/virtual_pipeline_parallel.md 

请查阅参考昇腾社区文档：https://gitee.com/ascend/MindSpeed/blob/master/docs/features/pipeline-parallel.md 

请查阅参考昇腾社区文档：https://gitee.com/ascend/MindSpeed/blob/master/docs/features/tensor-parallel.md 

请查阅参考昇腾社区文档：https://gitee.com/ascend/MindSpeed-LLM/blob/2.1.0/examples/mindspore/deepseek3/README.md

🌟【直播预告】9月24日（周三）晚19:00，openGauss数据库存储过程高级应用实践，快来预约！👨‍🏫华为开发者布道师技术直播第24期 | 青岛滨海学院副教授 冯小洁老师 🌟揭秘openGauss存储过程高级应用！从原理到实战，手把手教你打造高效数据库应用！🎯本期亮点🎯1.深度解析存储过程工作机制：从编译到执行，全面剖析openGauss存储过程的运行原理。2.企业级场景实战：结合真实案例，手把手教你设计高可用存储过程，解决复杂业务逻辑。3.自治事务技术详解：揭秘“子事务独立提交”技术，掌握openGauss差异化优势。4.工具实操指南：gsql、DBeaver开发技巧，助你高效开发存储过程。5.游标与事务管理：深入理解存储过程中的游标使用及事务控制，提升开发能力。👉 立即预约：>>openGauss数据库存储过程高级应用实践 

请查阅参考昇腾社区文档：https://www.hiascend.com/document/detail/zh/canncommercial/82RC1/opdevg/Ascendcopdevg/atlas_ascendc_10_0081.html

请查阅参考昇腾社区文档：https://www.hiascend.com/document/detail/zh/canncommercial/82RC1/opdevg/Ascendcopdevg/atlas_ascendc_10_0077.html

请查阅参考昇腾社区文档：https://www.hiascend.com/document/detail/zh/canncommercial/82RC1/opdevg/Ascendcopdevg/atlas_ascendc_10_0072.html 

请查阅参考昇腾社区文档：https://www.hiascend.com/document/detail/zh/canncommercial/82RC1/opdevg/Ascendcopdevg/atlas_ascendc_10_0031.html

请查阅参考昇腾社区文档：https://www.hiascend.com/document/detail/zh/canncommercial/82RC1/opdevg/Ascendcopdevg/atlas_ascendc_10_0013.html 

关于 OpenTiny 欢迎加入 OpenTiny 开源社区。添加微信小助手：opentiny-official 一起参与交流前端技术～OpenTiny 官网：https://opentiny.designOpenTiny 代码仓库：https://github.com/opentinyTinyVue 源码：https://github.com/opentiny/tiny-vueTinyEngine 源码：https://github.com/opentiny/tiny-engine欢迎进入代码仓库 Star🌟TinyEngine、TinyVue、TinyNG、TinyCLI、TinyEditor~如果你也想要共建，可以进入代码仓库，找到 good first issue 标签，一起参与开源贡献~