時間:2023-05-30 10:28:48
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇pop3協議,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
關鍵詞:IRC協議 僵尸網絡 SMTP/pop3協議 BOT程序
中圖分類號:TP393 文獻標識碼:A 文章編號:1007-9416(2012)02-0218-01
在網絡日益普及的今天,互聯網上的各種攻擊方法層出不窮,比較典型的有蠕蟲(Worm)、分布式拒絕服務攻擊(DDos)、垃圾郵件(Spam)、網絡仿冒(Phishing)和間諜軟件(Spyware)等,雖然這些攻擊方法不盡相同,但是都有一個共同的地方,即攻擊的平臺是一樣的――僵尸網絡。通過僵尸網絡來實施網絡攻擊行為,可以簡化攻擊步驟,提高攻擊效率并且隱藏攻擊者的身份。
1、相關研究
1.1 IRC僵尸網絡原理
互聯網中繼聊天(Internet Relay Chat,IRC)是芬蘭人Jarkko Oikarinen提出的網絡聊天協議。攻擊者利用該協議首先在公共或者秘密設置的IRC聊天服務器中開辟私有聊天頻道作為控制頻道(僵尸程序中預先包含了這些頻道信息),而后當僵尸計算機運行時,僵尸程序便會自動尋找、連接這些控制頻道并收取頻道中的消息,最后攻擊者就通過控制頻道向所有連線的僵尸程序發送指令從而控制這個網絡。
1.2 郵件協議分析與利用
郵件協議給了用戶一個完整的信息發送和接受過程,所以利用這個過程就可以進行網絡數據傳輸,這個過程要經過服務器的中轉和登錄過程。我們在實際測試依托的是校園網的郵箱系統,發信收信都在同一個郵箱。設計程序主要包括兩部分,一個先登錄到POP3服務器查看有沒有新的郵件,若沒有則不停地登錄并查看,另外一個登錄到SMTP服務器發信。在這個過程中,郵件的發送和接受是基于Socket連接傳送數據,這便為打造僵尸網絡提供了可能。
2、郵件僵尸網絡的設計
2.1 設計原理
如圖1所示,僵尸網絡的主要部分是Server端的BOT程序。BOT程序運行后,連接到程序內置的POP3服務器地址,查看是否帶有特定標記的郵件,若沒有,則一段時間后,BOT再次登錄查看,若此時攻擊者發出了帶有攻擊命令的郵件,BOT就分析出里面的命令并執行。對于僵尸網絡的控制者,只需要登錄某個SMTP服務器,向指定的郵箱里發送一封帶有命令的郵件就可以所有對BOT計算機的控制。當然,地址可以內置多個,這樣就為連接提供多種選擇,從而增加了僵尸網絡的健壯性。
2.2 設計優點
由于郵件系統的重要性,所以力圖使用關閉僵尸網絡的控制服務器或是將其使用的域名取消的方法來解散僵尸網絡是很難做到的,這體現了穩定性。由于郵件的發送和接收并不一定要在同一郵件服務器上進行,其他的SMTP服務器也就在無形之中充當了跳板,這體現了安全性。
3、郵件僵尸網絡的實現過程
在構建僵尸網絡的過程中,只要是支持POP3和SMTP登錄的郵件系統都是可以利用的。根據郵件發送和接收的命令碼,按照協議的過程和格式來發送和網絡數據就可以完成郵件僵尸網絡的建立。其中接受郵件模塊的實現過程如下:
(1)定義緩沖區;
(2)創建一個無限循環,每過一段時間就登錄POP3服務器查看有沒有郵件;
(3)創建SOCKET句柄,得到POP3服務器IP地址,POP3服務對應的端口是110;
(4)連接到服務器;
(5)從服務器接收數據;
(6)登錄到POP3服務器;
(7)服務器返回郵箱的狀態信息;
(8)查看郵件,通過郵件頭查看是不是命令郵件,若不是命令郵件,則BOT不做處理。
(9)BOT判斷執行命令。
(10)執行完后退出。
發送郵件模塊和接收郵件模塊比較相似,按照SMTP命令碼一步一步按照協議的過程來寫就行了。
4、結語
僵尸網絡是黑客進行網絡攻擊的常見手段,他們為了從網絡中追求更大的利益會不斷更新攻擊方法,這就注定了從事網絡安全的工作人員與黑客的較量是一場艱苦的持久戰。因此我們要不斷地關注、研究僵尸網絡,及時制定出預防的各種方案,以保證我們工作和學習的網絡環境更加安全。
參考文獻
[1]王東崗.僵尸網絡的發現與控制[J].山西通信科技,2007,28(1):8-11.
[2]王巖.基于IRC協議的BotNet性能研究[J].安徽大學學報(自然科學版),2006,30(6):26-28
[3]Kevin Johnson著,科欣翻譯組譯,Internet Email協議開發指南,機械工業出版社,2000.
[4]范春風.淺析“僵尸網絡”[J].大學時代(B版),2006(2):66-67.
[5]Chabchoub Y,Fricker C,Guillemin F.Adaptive algorithms for identifying largeows in IP traffic[EB/OL].(2009-01-30)[2009-04-15]. hal.inria.fr/docs/00/35/73/43/PDF/Hal.pdf.
21端口
端口說明:21端口主要用于FTP(FileTransfer Protocol,文件傳輸協議)服務,FTP服務主要是為了在兩臺計算機之間實現文件的上傳與下載,一臺計算機作為FTP客戶端,另一臺計算機作為FTP服務器,可以采用匿名(anonymous)登錄和授權用戶名與密碼登錄兩種方式登錄FTP服務器。
Windows中可以通過Internet信息服務(1lS)來提供FTP連接和管理,也可以單獨安裝FTP服務器軟件來實現FTP功能,比如常見的FTP Serv-U。
操作建議:因為有的FTP服務器可以通過匿名登錄,所以常常會被黑客利用。另外,21端口還會被一些木馬利用,比如Blade Run-net、FTP Trojan、Doly Trojan、WebEx等。如果不架設FTP服務器,建議關閉21端口。
23端口
端口說明:23端口主要用于Telnet(遠程登錄)服務,是Internet上普遍采用的登錄和仿真程序。同樣需要設置客戶端和服務器端,開啟Telnet服務的客戶端就可以登錄遠程Tel-net服務器,采用授權用戶名和密碼登錄。登錄之后,允許用戶使用命令提示符窗口進行相應的操作。在Windows中可以在命令提示符窗口中,鍵入“Telnet”命令來使用Telnet遠程登錄。
操作建議:利用Telnet服務,黑客可以搜索遠程登錄Unix的服務,掃描操作系統的類型。而且在Windows 2000中Telnet服務存在多個嚴重的漏洞,比如提升權限、拒絕服務等,可以讓遠程服務器崩潰。Telnet服務的23端口也是TTS(Tiiny Telnet Server)木馬的缺省端口。所以,建議關閉23端口。
25端口
端口說明:25端口為SMTP(Simple MailTransfer Protocol,簡單郵件傳輸協議)服務器所開放。主要用于發送郵件,如今絕大多數郵件服務器都使用該協議。比如我們在使用電子郵件客戶端程序的時候,在創建賬戶時會要求輸入SMTP服務器地址,該服務器地址默認情況下使用的就是25端口。
端口漏洞:
1利用25端口,黑客可以尋找SMTP服務器,用來轉發垃圾郵件。
2. 25端口被很多木馬程序所開放,比如:Aian、Antiqen、Email Password Sender、ProMail、troian、Tapi ras、Terminator、WinPC、WinSpy等。拿WinSpy來說,通過開放25端口,可以監視計算機正在運行的所有窗口和模塊。
操作建議:如果不是要架設SMTP郵件服務器,可以將該端口關閉。
53端口
端口說明:53端口為DNS(Domain NameServer,域名服務器)服務器所開放,主要用于域名解析,DNS服務在NT系統中使用的最為廣泛。通過DNS服務器可以實現域名與IP地址之間的轉換,只要記住域名就可以快速訪問網站。
端口漏洞:如果開放DNS服務,黑客可以通過分析DNS服務器而直接獲取Web服務器等主機的IP地址,再利用53端口突破某些不穩定的防火墻,從而實施攻擊。美國一家公司也公布過10個最易遭黑客攻擊的漏洞,其中第一位的就是DNS服務器的BIND漏洞。
操作建議:如果當前的計算機不是用于提供域名解析服務,建議關閉該端口。
67、68端口
端口說明:67、68端口分別是為Bootp服務的Bootstrap Protocol Server(引導程序協議服務端)和Bootstrap Protocol Client(引導程序協議客戶端)開放的端口。
Bootp服務是一種產生于早期Unix的遠程啟動協議,我們現在經常用到的DHCP服務就是從Bootp服務擴展而來的。
通過Bootp服務可以為局域網中的計算機動態分配lP地址,而不需要每個用戶去設置靜態IP地址。
端口漏洞:如果開放Bootp服務,常常會被黑客利用分配的一個IP地址作為局部路由器通過“中間人”(man-in-middle)方式進行攻擊。
操作建議:建議關閉該端口。
69端口
端口說明:69端口是為TFTP(Trival FileTranfer Protocol,次要文件傳輸協議)服務開放的,TFTP是Cisco公司開發的一個簡單文件傳輸協議,類似于FTP。
不過與FTP相比,TFTP不具有復雜的交互存取接口和認證控制,該服務適用于不需要復雜交換環境的客戶端和服務器之間進行數據傳輸。
端口漏洞:很多服務器和Bootp服務一起提供TFTP服務,主要用于從系統下載啟動代碼。可是,因為TFTP服務可以在系統中寫入文件,而且黑客還可以利用TFTP的錯誤配置來從系統獲取任何文件。
操作建議:建議關閉該端口。
79端口
端口說明:79端口是為Finger服務開放的,主要用于查詢遠程主機在線用戶、操作系統類型以及是否緩沖區溢出等用戶的詳細信息。比如要顯示遠程計算機上的user01用戶的信息,可以在命令行中鍵入“finger ”即可。
端口漏洞:一般黑客要攻擊對方的計算機,都是通過相應的端口掃描工具來獲得相關信息的。比如使用“流光”就可以利用79端口來掃描遠程計算機操作系統版本,獲得用戶信息,還能探測已知的緩沖區溢出錯誤。這樣,就容易遭遇到黑客的攻擊。而且,79端口還被Firehotcker木馬作為默認的端口。
操作建議:建議關閉該端口。
80端口
端口說明:80端口是為HTrP(HyperTextTransport Protocol,超文本傳輸協議)開放的,這是上網沖浪使用最多的協議,主要用于在WWW(World Wide Web,萬維網)服務上傳輸信息的協議。我們可以通過HTTP地址加“:80”(即常說的“網址”)來訪問網站,比如.cn:80,因為瀏覽網頁服務默認的端口號是80,所以只要輸入網址,不用輸入“:80”。
端口漏洞:有些木馬程序可以利用80端 口來攻擊計算機,比如Executor、RingZero等。
操作建議:為了能正常上網沖浪,我們必須開啟80端口。
99端口
端口說明:99端口是用于一個名為“Metagram Relay”(對策延時)的服務,該服務比較少見,一般是用不到的。
端口漏洞:雖然“Metagram Relay”服務不常用,可是Hidden Port、NCx99等木馬程序會利用該端口,比如在Windows 2000中,NCx99可以把cmd.exe程序綁定到99端口,這樣用Telnet就可以連接到服務器,隨意添加用戶、更改權限。
操作建議:建議關閉該端口。
109、110端口
端口說明:109端口是為POP2(Post Of-rice Protocol Version 2,郵局協議2)服務開放的,110端口是為POP3(郵件協議3)服務開放的,POP2、POP3都是主要用于接收郵件的,目前POP3使用的比較多,許多服務器都同時支持POP2和POP3。客戶端可以使用POP3協議來訪問服務端的郵件服務,如今ISP的絕大多數郵件服務器都是使用該協議。在使用電子郵件客戶端程序的時候,會要求輸入POP3服務器地址,默認情況下使用的就是110端口。
端口漏洞:POP2、POP3在提供郵件接收服務的同時,也出現了不少的漏洞。單單POP3服務在用戶名和密碼交換緩沖區溢出的漏洞就不少于20個,比如WebEasyMailPOP3 Server合法用戶名信息泄露漏洞,通過該漏洞遠程攻擊者可以驗證用戶賬戶的存在。另外,110端口也被ProMail troian等木馬程序所利用,通過110端口可以竊取POP賬號用戶名和密碼。
操作建議:如果是執行郵件服務器.可以打開該端口。
111端口:
端口說明:111端口是為SUN公司的RPC(Remote Procedure Call,遠程過程調用)服務所開放的端口,主要用于分布式系統中不同計算機的內部進程通信,RPC在多種網絡服務中都是很重要的組件。
常見的RPC服務有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等。在Microsoft的Windows中,同樣也有RPC服務。
端口漏洞:SUN RPC有一個比較大的漏洞,就是在多個RPC服務時xdr_array函數存在遠程緩沖溢出漏洞。
113端口
端口說明:113端口主要用于Windows的“Authentication Service”(驗證服務),一般與網絡連接的計算機都運行該服務,主要用于驗證TCP連接的用戶,通過該服務可以獲得連接計算機的信息。在Windows 2000/2003Server中,還有專門的IAS組件,通過該組件可以方便遠程訪問中進行身份驗證以及策略管理。
端口漏洞:113端口雖然可以方便身份驗證,但是也常常被作為FTP、POP、SMTP、IMAP以及IRC等網絡服務的記錄器,這樣會被相應的木馬程序所利用,比如基于IRC聊天室控制的木馬。另外,113端口還是InvisibleIdentd Deamon、Kazimas等木馬默認開放的端口。
操作建議:建議關閉該端口。
119端口
端口說明:119端口是為“Network NewsTransfer Protocol”(網絡新聞組傳輸協議,簡稱NNTP)開放的,主要用于新聞組的傳輸,當查找USENET服務器的時候會使用該端口。
端口漏洞:著名的Happy99蠕蟲病毒默認開放的就是119端口,如果中了該病毒會不斷發送電子郵件進行傳播,并造成網絡的堵塞。
操作建議:如果是經常使用USENET新聞組,就要注意不定期關閉該端口。
135端口
端口說明:135端口主要用于使用RPC(Remote Procedure Call,遠程過程調用)協議并提供DCOM(分布式組件對象模型)服務。通過RPC可以保證在一臺計算機上運行的程序順利地執行遠程計算機上的代碼:使用DCOM可以通過網絡直接進行通信,能夠包括HTTP協議在內的多種網絡傳輸。
端口漏洞:相信很多Windows 2000和Windows XP用戶都中過“沖擊波”病毒,該病毒就是利用RPC漏洞來攻擊計算機的。RPC本身在處理通過TCP/IP的消息交換部分有一個漏洞,該漏洞是由于錯誤地處理格式不正確的消息造成的。該漏洞會影響到RPC與DCOM之間的一個接口,該接口偵聽的端口就是135。
操作建議:為了避免“沖擊波”病毒的攻擊,建議關閉該端口。
137端口
端口說明:137端口主要用于“NetBlOSName Service”(NetBIOS名稱服務),屬于UDP端口,使用者只需要向局域網或互聯網上的某臺計算機的137端口發送一個請求,就可以獲取該計算機的名稱、注冊用戶名,以及是否安裝主域控制器、IlS是否正在運行等信息。
端口漏洞:因為是UDP端口,對于攻擊者來說,通過發送請求很容易就獲取目標計算機的相關信息,有些信息是直接可以被利用,并分析漏洞的,比如IlS服務。
另外,通過捕獲正在利用137端口進行通信的信息包,還可能得到目標計算機的啟動和關閉的時間,這樣就可以利用專門的工具來攻擊。
操作建議:建議關閉該端口。
139端口
端口說明:139端口是為“NetBIOS Ses-sion Service”提供的,主要用于提供Windows文件和打印機共享以及Unix中的Samba服務。在Windows中要在局域網中進行文件的共享,必須使用該服務。比如在Windows 98中。可以打開“控制面板”,雙擊“網絡”圖標,在“配置”選項卡中單擊“文件及打印共享”按鈕選中相應的設置就可以安裝啟用該服務:在Windows 2000/XP中,可以打開“控制面板”,雙擊“網絡連接”圖標,打開本地連接屬性:接著。在屬性窗口的“常規”選項卡中選擇“Internet協議(TCP/IP)”,單擊“屬性”按鈕:然后在打開的窗口中,單擊“高級”按鈕;在“高級TCP/IP設置”窗口中選擇“WlNS”選項卡,在“NetBIOS設置”區域中啟用TCP/IP上的Net-BIOS。
端口漏洞:開啟139端口雖然可以提供共享服務,但是常常被攻擊者所利用進行攻擊,比如使用流光、SuperScan等端口掃描工具,可以掃描目標計算機的139端口,如果發現有漏洞,可以試圖獲取用戶名和密碼,這是非常 危險的。
操作建議:如果不需要提供文件和打印機共享,建議關閉該端口。
143端口
端口說明:143端口主要是用于“Internet Message Access Protocol”(Internet消息訪問協議,簡稱IMAP),和POP3一樣,是用于電子郵件的接收的協議。
通過IMAP協議我們可以在不接收郵件的情況下,知道信件的內容,方便管理服務器中的電子郵件。不過,相對于POP3協議要負責一些。如今,大部分主流的電子郵件客戶端軟件都支持該協議。
端口漏洞:同POP3協議的110端口一樣,IMAP使用的143端口也存在緩沖區溢出漏洞,通過該漏洞可以獲取用戶名和密碼。另外,還有一種名為“admvOrm”的Linux蠕蟲病毒會利用該端口進行繁殖。
操作建議:如果不是使用IMAP服務器操作,應該將該端口關閉。
161端口
端口說明:161端口用于“Simple NetworkManagement Protocol”(簡單網絡管理協議,簡稱SNMP),該協議主要用于管理TCP/IP網絡中的網絡協議,在Windows中通過SNMP服務可以提供關于TCP/IP網絡上主機以及各種網絡設備的狀態信息。目前,幾乎所有的網絡設備廠商都實現對SNMP的支持。
在Windows 2000/XP中要安裝SNMP服務,我們首先可以打開“Windows組件向導”,在“組件”中選擇“管理和監視工具”,單擊“詳細信息”按鈕就可以看到“簡單網絡管理協議(SNMP)”,選中該組件:然后,單擊“下一步”就可以進行安裝。
端口漏洞:因為通過SNMP可以獲得網絡中各種設備的狀態信息,還能用于對網絡設備的控制,所以黑客可以通過SNMP漏洞來完全控制網絡。
操作建議:建議關閉該端口。
443端口
端口說明:443端口即網頁瀏覽端口,主要是用于HTTPS服務,是提供加密和通過安全端口傳輸的另一種HTTP。在一些對安全性要求較高的網站,比如銀行、證券、購物等,都采用HTTPS服務,這樣在這些網站上的交換信息其他人都無法看到,保證了交易的安全性。網頁的地址以https://開始,而不是常見的http://。
端口漏洞:HTTPS服務一般是通過SSL(安全套接字層)來保證安全性的,但是SSL漏洞可能會受到黑客的攻擊,比如可以黑掉在線銀行系統、盜取信用卡賬號等。
操作建議:建議開啟該端口,用于安全性網頁的訪問。另外,為了防止黑客的攻擊,應該及時安裝微軟針對SSL漏洞的最新安全補丁。
554端口
端口說明:554端口默認情況下用于“ReaI Time Streaming P rotocol”(實時流協議,簡稱RTSP),該協議是由RealNetworks和Netscape共同提出的,通過RTSP協議可以借助于Internet將流媒體文件傳送到Re-aIPlayer中播放。并能有效地、最大限度地利用有限的網絡帶寬,傳輸的流媒體文件一般是Real服務器的,包括有“.rm”、“.ram”。如今,很多的下載軟件都支持RTSP協議,比如FlashGet、影音傳送帶等。
端口漏洞:目前,RTSP協議所發現的漏洞主要就是ReaINetworks早期的HelixU-niversal Server存在的緩沖區溢出漏洞,相對來說,使用的554端口是安全的。
操作建議:為了能欣賞并下載到RTSP協議的流媒體文件,建議開啟554端口。
1024端口
端口說明:1024端口一般不固定分配給某個服務,在英文中的解釋是“Reserved”(保留)。
之前,我們曾經提到過動態端口的范圍是:1024―65535,而1024正是動態端口的開始。該端口一般分配給第一個向系統發出申請的服務,在關閉服務的時候,就會釋放1024端口,等待其他服務的調用。
端口漏洞:著名的YAI木馬病毒默認使用的就是1024端口,通過該木馬可以遠程控制目標計算機,獲取計算機的屏幕圖像、記錄鍵盤事件、獲取密碼等,后果是比較嚴重的。
操作建議:一般的殺毒軟件都可以方便地進行YAI病毒的查殺,所以在確認無YAI病毒的情況下建議開啟該端口。
一邊是軟件帝國微軟,一邊是搜索引擎老大谷歌,Windows Live Hotmail與Gmail究竟是誰優誰劣?在這里,我們選擇了國外關于Live Hotmail與Gmail分門別類比較測試的文章編譯呈現給大家,希望能對大家的選擇有所幫助。
下面我們就從Interface(界面)、Storage(容量)、Integrated Calendar(整合日歷)、Organization(組織郵件)、Search(搜索)、Personalization Options(個性化)、Chat Integration(整合聊天)、Integrated RSS(集成RSS)、POP3 Account Access(POP3協議訪問)等方面分門別類地對Live Hotmail和Gmail進行比較。
Interface(界面)
從界面的外觀來看,Live Hotmail看起來比Gmail漂亮許多。尤其對于那些經常使用Outlook的用戶來說,Live Hotmail顯得更加熟悉和親切。
其實,Live Hotmail更像是一個基于PC的電子郵件客戶端,你可以將信件輕松地拖拉到不同的文件夾里,還可以使用一系列的下拉菜單進行基本的操作,而不需要再打開新的頁面,更可以迅速地訪問和Outlook一樣風格的日歷和任務列表等。通過使用大量的AJAX技術,Live Hotmail的功能表現更像是一個桌面應用軟件。
而Gmail則選擇了一個相對樸素的界面,大部分的主要功能都需要使用文本鏈接來實現。這使得Gmail的加載速度更快,尤其是在網絡連接緩慢的情況下。值得一提的是,通過DSL登錄使用Live Hotmail的賬戶時會有一定的延遲;而在Gmail中,延遲的情況基本不會發生,幾乎所有的功能都是瞬間實現的。
另外,Gmail能夠將所有回復的郵件同其原始郵件劃歸一組,從而建立會話。而Live Hotmail使用的則是更傳統的方式,將原始郵件和回復分開。顯然,Gmail在這個方面更方便人們使用,雖然對有些初次使用的人,尤其是用慣了Outlook的人來說可以說會造成混淆。
編輯點評:雖然Live Hotmail的界面外觀更漂亮,也比較符合Outlook用戶的使用習慣,不過Gmail在功能上的確更方便使用,它現在需要做的就是要改變原有Outlook用戶的使用習慣。
Storage(容量)
Windows Live Hotmail首次擴容到了2GB,而Gmail卻已經達到2849MB,并且這一數字還在持續增加。其實,對于微軟來說似乎擴容到3GB從而贏得市場是很容易的,但是可惜的是,在空間容量的比較上,微軟一直跟在Google的后面磨蹭。
編輯點評:在容量方面,Gmail的獲勝幾乎是沒有什么爭議的。
Integrated Calendar(整合日歷)
Live Hotmail提供的是一個可共享的日歷,這使得用戶可以直接在界面內進行訪問。這與Outlook的日歷功能很相似,并具有Outlook日歷的諸多特性,當你選定一個時間點的時候,可以輸入有關事件的詳細信息,并編輯你的日程。
而“Google Calendar”還沒有完全地嵌入到Gmail中,只能通過網頁上方的文字鏈接點擊打開新的窗口進入。
編輯點評:在整合日歷方面,Live Hotmail的優勢比較突出,不過,其還可以做得更好,AJAX技術可以讓Calendar更賞心悅目,點擊后就只能打開一個新的頁面的問題應該要盡快得到解決。
Organization(組織郵件)
Live Hotmail提供了一個Outlook式的消息管理方式,允許用戶創建文件夾并將消息拖放進文件夾。而Gmail則采用了一個更加接近Web 2.0的方式,允許用戶為各個消息分配諸多“標簽”,以此來對郵件進行標記。
編輯點評:按照本人的經驗,創建文件夾并進行長距離拖拽來管理消息的方式并不太好用,因此我們認為Gmail的方式略好一些。
Search(搜索)
Live Hotmail擁有一個不錯的搜索框,用戶既可以搜索郵件也可以搜索網頁。同樣,Gmail也具有類似這樣的功能,而Google在搜索業界的領先地位盡人皆知。不過,因為筆者的Live Hotmail賬戶是一個新建的帳戶,所以還不能在微軟的郵件搜索方面發表看法。
編輯點評:在搜索這項中,只能是“待定”。
Personalization Options(個性化)
可能豐富的文本編輯功能如今已經很常見,不再是什么特殊的功能了。不過,在這里值得一提的是,在某些方面Live Hotmail的編輯器確實比Gmail多了一些閃光點。除了字符圖標這個最大亮點外,Live Hotmail還允許你定制個性的字體和背景顏色,甚至包括“Lucida Handwriting(明星手寫體)”。另外,Live Hotmail還擁有一系列的不同的界面主題可供選擇。
編輯點評:或許這正是這兩家公司所服務的用戶不同的體現,不過Live Hotmail在個性化方面確實有它的優勢。
Chat Integration(整合聊天)
對于Live Hotmail來說,當你將好友添加到其中后,你就可以看見他們是否在線(如果你的好友使用MSN Messenger的話)。不過,Live Hotmail并不像Gmail的聯系人都固定在側邊攔的工具條上,所以Live Hotmail的聊天功能并不是顯示在界面上的。
編輯點評:在整合聊天方面,Live Hotmail和Gmail可以說是不分伯仲,打了個平手。
Integrated RSS(集成RSS)
令人失望的是,Gmail和Live Hotmail在集成RSS方面都沒有做太多的努力。雖然Gmail擁有“web clips(網絡剪輯)”功能,用戶可以隨時點擊進入Google Reader并在新的窗口中打開標題鏈接。不過,如果當用戶需要的內容更新后就可以在Gmail中接收到通知,那就再好不過了。
在Live Hotmail的“今日焦點”選項卡下,你可以訂閱來自其合作媒體的新聞,也可以訂閱好友的MSN Space,這繼承了微軟一貫的風格,不過好像并沒有令用戶感到什么新的價值。
編輯點評:在集成RSS方面的不足是這兩家公司的共同缺陷,還是讓我們共同期待一下,誰會是第一個給用戶帶來完整的RSS功能。
POP3 Account Access(POP3協議訪問)
我們可以把Gmail當做一個通用的電子郵件中心來使用,因為它擁有多樣化的訪問方式。Gmail能夠檢查你的POP3郵件賬戶,而且你還可以在Gmail中閱讀POP3郵件。盡管POP方式訪問郵箱已成為一種落后的技術,但是還是有很多的用戶更加青睞于這種陳舊的方式去瀏覽郵件。而這是Live Hotmail所不能做到的,Live Hotmail仍然堅守IMAP方式,而對POP3無動于衷。
關鍵詞:Internet信息服務;POP3服務
中圖分類號:G642 文獻標識碼:A文章編號:1009-3044(2007)03-10879-02
1 引言
計算機普及率的提高加快了社會的信息化,當代的大學生們只有掌握了一定的計算機基礎知識和操作技能才能跟上社會潮流。在我們學校,每個專業的學生都要學習計算機基礎課,計算機基礎課分理論講授和實驗兩部分。通過這門課主要使學生掌握Windows基本操作、office辦公軟件、IE瀏覽器和Frontpage的使用等。但一直以來計算機基礎實驗課在上網這部分的教學使很多老師犯難:根據教學安排,這部分實驗總學時為4個學時,要求在這4個學時中使學生掌握Internet的使用、郵件的發送、用FTP進行文件傳輸以及用Frontpage軟件制作簡單網頁和站點。但在實際中,很多學生沉迷Internet網上紛繁的信息,把老師安排的內容不放在心上,往往最后的教學效果很不理想。有的老師干脆讓學生自己課外上網,直接用這4個學時專門練習Frontpage網頁制作。
針對這個方面的問題,我在實際教學中嘗試進行了如下改進措施:在實驗室中建一個服務器用來提供Web、FTP、SMTP和POP3服務,用Frontpage制作一個簡單實用的網站,實現在局域網內的網頁瀏覽、郵件發送、FTP文件傳輸和網頁。保證了網站內容的單純性,使教學得以順利進行。
2 硬件配備和相關設置
我所進行教學試點的實驗室是專門用于計算機基礎課實驗教學的,里面最多能放40臺電腦,能容納一個班的學生上課。這40臺電腦已經通過三臺傳輸速度為10/100Mbps自適應的雙速交換機互連成一個局域網,實驗室中的電腦按順序依次設置了固定的IP地址,地址范圍從192.168.1.1到192.168.1.40。為了防止學生無意中破壞電腦中安好的系統,每臺電腦都配備了還原卡,但以前配的硬盤還原卡只能保護Win98系統,不能保護Win98之后的系統(如Win2000等),所以現在電腦中裝的還是Win98,所有電腦都設置在同一個工作組:jsj工作組,由此形成了一個對等局域網。現在將最后一臺電腦選做服務器,拔去還原卡,將硬盤分C、D兩個區,采用NTFS格式,在C區中裝上Windows2003標準版以及教學所需軟件(office2000、winrar等),設置主機名為hgnc,IP地址還是設為192.168.1.40,工作組仍設置為jsj工作組,由帶課老師管理此臺電腦。
3 安裝服務器
局域網中Web、FTP、SMTP、POP3服務可以用很多不同的軟件實現,這里用Windows2003自帶的組件實現.
3.1 安裝IIS(Internet Information Server)及設置相關服務屬性
IIS是集Web、FTP、SMTP和NNTP服務于一體的Internet信息服務系統。通過Web服務可實現Web站點的架構,通過FTP服務可實現FTP站點的架構,而SMTP提供郵件發送服務,NNTP用于新聞服務。因為不用NNTP服務,在下面的IIS安裝中不選NNTP項。
單擊“開始”―>指向“控制面板”―>單擊“添加或刪除程序”項,在彈出的“添加或刪除程序”對話框中選擇“添加/刪除Windows組件”標簽,隨后出現“Windows組件向導”對話框(見圖1)。
圖1
在此對話框中選定“應用程序服務器”組件復選框,再單擊“詳細信息”按鈕,彈出“應用程序服務器”對話框,在其中選定“Internet信息服務(IIS)”復選框,單擊“詳細信息”按鈕,隨后彈出“Internet信息服務(IIS)”對話框,選定其中的“Internet信息服務管理器”、“SMTP Service”、“文件傳輸協議(FTP)服務”、“萬維網服務”、“公用文件”五項,單擊“確定”按鈕返回到“應用程序服務器”對話框,再單擊“確定”返回到“Windows組件向導”對話框,單擊“下一步”按鈕,系統開始安裝所選組件項,等待片刻會彈出一個“完成windows組件向導”的提示框,單擊“完成”按鈕,完成IIS安裝(如果最初Windows2003是用CD-ROM或軟盤安裝的,在組件安裝過程中,系統會提示用戶插入Windows2003家族光盤)。
再進行Web、FTP、SMTP服務的屬性設置。單擊“開始”―>指向“管理工具”―>單擊“Internet信息服務(IIS)管理器”,就打開了IIS管理器窗口,雙擊其左窗格中的HGNC(本地計算機)文件夾,在其下出現“網站”、“FTP站點”、“默認SMTP虛擬服務器”等五個子文件夾(如圖2)。
圖2
可以看到系統已建了一個默認網站和一個默認FTP站點。右鍵單擊“默認網站”,在彈出的菜單中單擊“屬性”一項,隨后出現默認網站屬性對話框。系統對此網站屬性配置了默認設置:主目錄為c:\Inetpub\wwwroot;允許“讀取”不允許“寫入”;執行權限為“腳本和可執行文件”;啟用匿名登錄等。將此屬性框中IP地址的設置修改為:192.168.1.40,其余的保持默認設置,把用Frontpage編寫提供學生訪問的網站存為c:\Inetpub\wwwroot。對于默認FTP站點,將其IP地址也設置為:192.168.1.40,其余的屬性項設置保持默認不變,將提供給學生下載的內容存在默認主目錄c:\Inetpub\ftproot下,此主目錄的默認讀寫屬性是只允許“讀取”。
然后為此FTP站點建40個虛擬目錄,前39個的別名依次為s1到s39,最后一個的別名為public,這些虛擬目錄的實際路徑都在D區上,將它們的讀寫權限都設置為允許“讀取”和允許“寫入”。再將s1虛擬目錄只授權給IP地址為192.168.1.1的學生用機訪問,依次類推,將s39虛擬目錄僅授權給IP地址為192.168.1.39的學生用機訪問,而public虛擬目錄授權所有的學生用機訪問。在SMTP虛擬服務器的屬性設置中,除了將IP地址改為192.168.1.40外,其余保持默認值。
3.2POP3服務的安裝和電子郵件客戶端Outlook Express的配置
POP3服務是一種檢索電子郵件的服務,可使用POP3服務存儲并管理郵件服務器上的電子郵件帳戶。照前所述步驟打開“windows組件向導”對話框,選中“電子郵件服務”組件復選框,單擊“下一步”,完成POP3服務的向導安裝。再單擊“開始”―>指向“管理工具”―>單擊“POP3服務”,打開POP3服務窗口。
右鍵單擊左窗格中的“HGNC”,選擇“屬性”項,在彈出的對話框中對POP3服務進行設置,主要在“根郵件目錄”中鍵入新的郵件存儲區的路徑d:\mailroot\mailbox取代原來的默認路徑c:\Inetpub\mailroot\mailbox,其余設置保持不變。
再右鍵單擊“HGNC”,指向“新建”,單擊“域”,在“域名”中輸入,單擊“確定”就創建了一個域。然后在域上創建39個郵箱帳號,帳號依次從、直到。拿的創建為例,步驟是:右鍵單擊,指向“新建”,然后單擊“郵箱”,在“郵箱名”中鍵入s1, 在“密碼”中,鍵入郵箱的密碼,然后在“確認密碼”中,重新鍵入該密碼。為了學生使用方便,郵箱密碼設為123。
郵箱全部建好后再來對郵箱的最大使用空間作個限制:采取磁盤配額方式,因為郵件存儲區在D盤上,將D盤配額的默認限制值設置為 20MB,這樣每個郵箱最多使用的磁盤空間為20MB,39個郵箱最多總共要占780MB空間,而D盤空間有23300MB,足夠使用。
再對學生用機上的電子郵件客戶端Outlook Express進行相關設置。拿IP地址為192.168.1.1的學生用機的設置為例,打開此電腦上的Outlook Express,單擊其菜單欄中的“工具”,再單擊“帳號”,在所彈出對話框中的“郵件”標簽上選擇“添加郵件”就會進入郵件帳戶添加向導。
在第一步中的“顯示姓名”框中填自己想顯示在郵箱上的名子;在第二步中選定“我想使用一個已有的電子郵件地址”項,并填入郵件地址;在第三步中選擇郵件接收服務器類型是POP3服務器,并填寫POP3服務器和SMTP服務器的IP地址,都為192.168.1.40;在第四步中輸入帳戶名為,輸入密碼:123;然后在第五步中單擊“完成”按鈕,完成郵件帳戶的添加。
以后每次打開此臺電腦上的Outlook Express就會自動彈出一個郵箱登錄對話框,用戶名已自動地填為,只要輸入密碼123,單擊“確定”按鈕,此郵件帳戶就登錄到了電子郵件服務器,然后就可使用這個帳戶收發郵件了。如此類推,在IP地址為192.168.1.x的電子郵件客戶端上添加郵件帳戶(x在此代表2到39中的任一整數)。
4 網站設計
打開Frontpage2000,在其中建一個站點,站點保存為c:\Inetpub\wwwroot。主頁界面如圖3。網站主要由如下7部分組成:主頁、計算機院簡介、課程安排、網頁、下載天地、計算機知識、什錦樂園。計算機院簡介主要介紹本校計算機科學與技術學院的情況;課程安排主要用來一些課程的安排信息,視實際情況每學期內容都有更新;網頁主要教大家如何站點;計算機知識這部分主要用來介紹計算機方面的相關知識;下載天地鏈接到了默認FTP站點;什錦樂園里安排了一些經典笑話、成語典故、小謎語及英語小知識等,內容不安排多以免學生分心。
5 教學實現
用一節課時間讓學生學習網頁的瀏覽、電子郵件的發送及FTP站點的上傳下載,余下三個學時練習Frontpage網頁制作和網站。
具體教學步驟如下:指導學生在IE瀏覽器地址欄中輸入hgnc按回車鍵訪問局域網服務器上的網站并進行網頁瀏覽;指導學生在IE地址中輸入ftp://hgnc并回車打開服務器上FTP站點主目錄,教學生將其中所需文件下載到自己電腦上,指導學生輸入ftp://hgnc/public并回車打開FTP站點的public虛擬目錄,在其中進行文件的上傳和下載;指導學生打開Outlook Express,在彈出的登錄界面中輸入密碼,用已添加的帳戶進行相互間郵件正文和附件的發送;指導學生用Frontpage制作簡單個人站點并站點,因為服務器上沒裝Frontpage擴展不能通過HTTP站點,所以通過FTP站點,要求IP地址為192.168.1.x的電腦上的站點到對應ftp://hgnc/sx上(x在此表示1到39之間的任何整數),這樣在服務器上檢查每個人的站點和網頁的完成情況比較方便,鼓勵學生將所創建的站點文件夾上傳到public中供大家互相參考。
6 小結
以前這塊的教學中存在很多問題:有的學生在Internet上申請郵箱時就花了很長時間,更別說發送郵件和學習郵件附件的發送;Internet網上廣告又多,想站點及上傳下載文件都需花費比較長的時間,很多學生一看到有趣的信息早忘了要做什么;因為訪問的界面不一樣,老師很難統一管理,往往是學時結束了,學生除了會訪問網站其余的操作基本沒做。和以前相比,采取的教改措施提高了教學效率,更重要的是讓學生學到了實用的知識和技能。通過這種方式不僅增加了學生間的互動性也提高了學生的積極性而且使老師的教學方法更為靈活,經過教學試點效果還不錯。
參考文獻:
[1]李振銀.網絡管理與維護[M].北京:中國鐵道出版社,2004.
關鍵詞:DNS;域名劫持;反垃圾郵件
中圖分類號:TP393.1文獻標志碼: A文章編號:1673-8454(2014)08-0070-04
高校的信息化在師生學習生活中起到越來越重要的作用。校內外用戶快速、有效、及時、準確獲取校園網資源的需求越來越強烈。下面對我校如何通過對DNS的配置優化,解決我校網絡中使用中遇到的部分問題,提升網絡服務的品質進行介紹。
一、域名服務器部署架構
我校的DNS(Domain Name System)域名解析系統采用分布式部署,提供我校域的解析服務的DNS授權服務器與解析校內用戶DNS請求的服務器分別部署。DNS授權服務器負責用戶的我校域IPv4、IPv6的DNS域名請求的解析,采用主備方式。校內DNS域名請求服務器只做域名查詢轉發以及域名劫持。域名服務器組結構清晰,各DNS服務器的設備的負載率很低,大大降低了出現問題的影響范圍。
我校校園網出口連接教育網、聯通、電信鏈路。因為各運營商網絡之間存在互聯互通的問題,因此我校DNS授權域名主備服務器上有聯通、教育網、電信的用戶視圖,對重要服務,我們根據用戶源地址不同,動態解析出用戶對應的網絡IP地址,便于快速訪問。如圖1所示。
二、DNS在網絡訪問中的幾點應用
1.對學校主頁等重要應用做域名劫持
一個單位的門戶網站是否能夠快速訪問,在某種程度上代表了一個單位的信息化水平的高低。我校的主頁等信息服務不但服務于校內用戶,更是大眾了解我校的窗口,為了提升用戶的訪問體驗,學校主頁服務器托管于運營商的IDC(互聯網數據中心)機房,校外人員訪問我校主頁資源受到運營商的網絡帶寬和速度保障,校內用戶訪問主頁時,DNS把此域名解析到校內一臺主頁的服務器,學校的主頁服務器與主頁服務器進行資源同步,校內用戶的訪問主頁為內網訪問,速度非常快。如圖2所示,所有用戶都能得到快速的訪問體驗。
(1)校外用戶訪問主頁步驟
①校外用戶向我校對外服務的DNS授權服務器B請求解析主頁地址。
②我校對外服務的DNS服務器B解析返回主頁所在IDC機房服務器的域名。
www IN .
③用戶向所在的DNS服務器D請求解析地址。
④DNS服務器D解析出地址A.B.C.D。
⑤校外用戶訪問到IDC機房的主頁服務器上的信息。
(2)校內用戶訪問主頁步驟
①用戶向校內DNS服務器C請求解析主頁地址。
②校內DNS服務器C將請求轉發到我校DNS授權服務器B。
③DNS授權服務器B返回托管于運營商機房主頁域名。
④用戶向校內DNS服務器C請求解析域名。
⑤校內DNS服務器C劫持到.域名請求,返回用戶校內服務器的地址:E.F.G.H。
⑥用戶訪問校內服務器上的信息。
說明:校內主頁服務器定時與主頁服務器同步信息。
域名服務器C的配置:
zone "" IN {
type master;
file
"/etc/bind/";
allow-update { none; };
};
文件內容:
@ IN .
. (
6 ; serial
10m; refresh
15m; retry
30m ; expire
5m ); minimum
@ .
ns1 INA 202.112.112.101
@ INA222.29.240.20
//服務器的地址
2.DNS在郵件服務的域名解析中的使用及作用
高校的用戶郵箱是每位師生對內外聯系的身份的標志。郵件服務器部署在校內,校外或國外用戶訪問郵件速度慢,垃圾郵件過多,郵件被國外郵箱退信、拒收等是高校郵件系統經常遇到的問題,因此用戶對學校郵箱使用率很低。為了解決這個棘手的問題,除了在郵件系統本身進行設置,我們還從郵件協議上著手,從郵件傳輸上處理解決這些問題。
(1)提高用戶郵件訪問速度的感知
為了提高用戶訪問郵箱的速度,首先分析一下郵件服務在DNS中使用的相關記錄:
①SMTP:是Simple Message Transfer Protocol(簡單郵件傳輸協議)的縮寫,默認端口是25。SMTP主要負責郵件的轉發,以及接收其他郵件服務器發來的郵件。
②POP3:是Post Office Protocol3(郵局協議3)的縮寫,默認端口是110。郵件客戶端使用POP3協議連接郵件服務器收郵件。
③IMAP:是Internet Message Access Protocol的縮寫,主要提供通過Internet獲取信息的一種協議。IMAP像POP那樣提供了方便的郵件下載服務,讓用戶能進行離線閱讀等。IMAP提供的摘要瀏覽功能可以讓你在閱讀完所有的郵件到達時間、主題、發件人、大小等信息后才作出是否下載的決定。
圖3中顯示郵件發送接受所用到的各個協議。
因為中國的教育網及各運營商的網絡之間存在互連互通問題,如果重要應用只使用教育網的地址,勢必造成用戶訪問速度很慢。因此我校在教育網和聯通分別申請了郵件服務,做了rDNS,在學校的出口防火墻做了郵箱教育網地址與公網地址的NAT轉換,給郵箱服務器做了雙地址解析。 用戶對郵件系統使用快慢感知主要體現在用戶打開郵件服務器Web界面速度的感知上,而用戶對郵件從發送郵件服務器送達接收郵件服務器的快慢是不在意的。我校根據用戶的源IP地址,動態解析出來對應的郵件主頁地址,這樣用戶的訪問速度都很快。郵件系統發送郵件(smtp)、接收郵件(pop3、imap)是郵件客戶端與郵件服務器之間的數據傳輸,所以郵件記錄(smtp、pop3、imap)動態解析出與用戶的源地址為相應的運營商地址,保障郵件發送、接收的順暢。
(2)提高郵件接收性
郵件系統要保障每封郵件可達。在一段時間內,郵件無法及時送到收件人郵箱的事件時有發生。郵件是否發出、送達到對方的郵箱和MX記錄密切相關。
MX(Mail Exchanger)記錄是郵件交換記錄,它指向一個郵件服務器,用于電子郵件系統發郵件時根據收信人的地址后綴來定位郵件服務器。MX記錄的作用是給寄信者指明某個域名的郵件服務器有哪些。例如,當Internet上的某用戶要發一封信給 時,該用戶的計算機將通過DNS查找這個域名的MX記錄,假如MX記錄存在,用戶計算機就將郵件發送到MX記錄所指的郵件服務器上。MX服務是驗證在域名服務器中是否有發件郵箱后綴。為了避免因網絡結構不同導致的郵件收發不了的問題,MX的值要與教育網申請的郵箱服務的ip地址的值一致。
綜上,我們在DNS中對郵件服務做了如下配置:
① 教育網用戶解析出來的地址:
mailIN A 222.29.216.17(郵件主頁教育網地址)
pop3IN A 222.29.216.11(教育網地址)
smtpIN A 222.29.216.11(教育網地址)
imapIN A 222.29.216.11(教育網地址)
mx IN A 222.29.216.11(教育網地址)
② 公網用戶解析出來的地址:
mailIN A218.106.181.17(郵件主頁公網地址)
pop3IN A218.106.181.11 (公網地址)
smtpIN A218.106.181.11 (公網地址)
imapIN A218.106.181.11 (公網地址)
mx IN A222.29.216.11 (教育網地址)
如表1所示,說明各個ip地址值的設定原因。
(3)依據郵件安全策略要求,提高郵件的可達性,減少被當作垃圾郵件的可能
為了有效防范、抑制隨意偽造郵件地址發送垃圾郵件,很多國外的郵件服務器都配置了SPF檢查項,如果學校的DNS中不配置TXT記錄SPF項,學校的郵件很容易被當作垃圾郵件拋棄掉。同時為了防止本校的郵箱接受大量偽造郵箱的垃圾郵件,也需要在郵箱服務器上設置SPF的檢查要求項。
SPF是Sender Policy Framework(發送方策略框架)的縮寫,2003年首次被提出,是為了防范垃圾郵件而提出來的,內容寫在DNS的txt類型的記錄里面,登記某個域名擁有的用來外發郵件的所有IP地址。其原理是將郵件頭中的發件人地址(Reply Address)與該地址域名的TXT 解析記錄進行比對,以判斷該郵件是否為仿冒的電子郵件。當用戶定義了他的域名SPF 記錄之后,接收郵件方會根據該用戶的SPF記錄來確定連接過來的IP地址是否被包含在SPF 記錄里面,如果在,則認為是一封正確的郵件,否則則認為是一封偽造的郵件。
SPF 字符串的參數格式:
“v=Spf1[A|MX|PTR|IP4|IP6|Include|Exists|Redirect|Exp|All]”
在DNS中設定TXT記錄的SPF值為郵件服務器公網和教育網地址:
. IN TXT "v=spf1 ip4:222.29.216.11 ip4:218.106.181.11a mx ~all"(我校郵箱的教育網及公網地址)
3.DNS在出口訪問的引導作用
目前,因為各運營商網絡之間的互連互通問題。很多大型網站將服務器部署在各運營商的IDC(Internet Data Center,互聯網數據中心)機房,網站根據用戶的源IP地址動態解析出用戶所在網絡的網站訪問地址。我校的有三個校園網出口,用戶通過域名訪問,依據解析出目的地址所在的網絡,并從相應的網絡出口出去訪問。通過對校內DNS外網訪問的指向(forward),用戶獲得相應網絡的IP地址解析的數量會更多,對用戶鏈路訪問走哪個互聯網出口起到引導和調整的作用。
forward only;
forwarders {
219.141.136.10; 運營商的DNS服務器
8.8.8.8;運營商的DNS服務器
};
4.保障用戶的外網域名訪問的健壯性
網絡中的基礎服務――域名服務器如果因為鏈路或系統等原因出現故障,將會導致校內用戶上網的全面癱瘓,為了保障域名訪問始終有效,我們在交換機上配置dhcp pool(地址池)指定DNS時,第一個DNS配置為校內DNS服務器地址,第二個配置為公網長期、穩定的運營商DNS地址,即使校內DNS出現鏈路或服務器故障,斷開校內DNS服務器鏈路,用戶DNS請求自動跳轉到第二個DNS服務器,不會影響到用戶的主要業務――外網訪問。交換機配置如下:
#ip dhcp pool pool1
ip-pool pool1
lease-time 7 0 0
default-router10.34.1.1
dns-server10.21.1.2058.8.8.8
因為運營商之間的互聯互通引起的網絡互訪問題,我們通過對DNS的調整解決了網絡訪問不暢的部分問題,達到了很好的效果。
參考文獻:
關鍵詞:手機郵箱業務;推廣;安全性
隨著我國通信技術的發展,手機等移動設備快速發展起來,移動通信技術也隨之得到了迅速發展。電子郵箱是Internet最廣泛的應用,隨著手機移動通信業務4G網的快速發展,手機郵箱業務也隨之得到了大力的推廣。但是隨著信息犯罪活動的不斷出現,手機郵箱的安全性成為人們最為關注的問題。該文從手機郵箱的發展因素和安全性兩個方面進行了詳細的探討。
1影響手機郵箱業務發展的因素
從1971年誕生伊始,手機郵箱已經走過了40多年的發展流程,目前,手機電子郵件信息占據了網頁訪問量的半壁江山,是電子郵件造就了互聯網,在智能手機的普及下,郵件系統已經不再局限在固定環境中,可以滿足人們隨時隨地獲取信息的要求。對于移動運營商而言,發展手機郵箱業務,可以避免客戶流失,在4G時代,移動郵件功能也成為了智能手機的標配。調查顯示,影響手機郵箱業務發展的因素主要集中在兩方面。
1.1手機郵箱業務發展的促進因素
從宏觀角度來看,互聯網中電子郵箱涉及的領域非常廣泛,隨著移動設備的發展,手機郵箱業務有著很大的發展潛力;另外隨著無線網的發展,以及人們生活和工作節奏的加快,對于移動辦公的需求逐漸增大,手機郵箱業務可以加快企業的信息流動速度和市場響應速度;從感知角度分析,人們希望能夠隨時與企業保持聯系,習慣用郵件進行交流。這些都加快了手機郵箱業務的發展。從產業環境角度分析,運營商作為整條價值鏈的主導者,他們有足夠的能力調動各種資源,進行有效的整合。另外手機已經得到了普及,人們對手機郵箱有深入的認識,與其他競爭產品相比,手機郵箱支持移動終端的使用,普及率也相對較高。
1.2阻礙手機郵箱業務發展的因素
從宏觀環境來看,國內企業的信息化程度較低,并且企業間的信息化程度相差較大,不利于利用手機郵箱進行通信。從產業環境來看,對企業端硬件要求較高,需要配置相應的硬件或者手機。另外面臨著短信、微信業務的沖擊。
2手機郵箱系統安全機制的概要設計
2.1手機郵箱系統的原理和設計思路
手機郵箱系統是建立在服務器和交換機的基礎上,與移動通信系統有效結合,在安全機制的保障下進行的移動設備上使用的郵箱系統。隨著社會信息化進程的推進和移動設備的普及,人們對于電子郵箱的使用頻率越來越高,郵箱的移動性需求也越來越強。因此電子郵箱和移動設備的整合給人們的生活和工作帶來極大的便利。手機郵箱滿足了人們對郵箱容量和安全性的需求,具有郵件加密、反垃圾、防病毒的特性。它的基本設計思路是:(1)最基本的就是要利用先進技術對系統本身和郵件進行安全保護。(2)設計出操作簡單的界面,提高手機的易用性和操作的實時性。(3)在手機終端高效使用電子郵箱能夠穩定手機用戶數量。(4)朝著大容量、大附件的方向發展,對大量的郵件進行有效的管理,能夠瀏覽大附件的郵件。(5)具有較高的擴展性,能夠增加其他一些增值業務。
2.2手機郵箱系統安全機制的體系結構
手機郵箱的安全機制主要是從系統和郵件的安全兩個方面進行設計的。(1)郵箱系統層面的安全機制。第一,系統設計出自動恢復功能。手機郵箱系統設計了備份和恢復機制,有效保證了數據的完整性和一致性。備份包括數據的備份和備份時間兩個方面。有效對用戶的各種數據進行及時更新和保存,并且我國現在研發出了自動數據備份和恢復算法,使得系統在不停止當前業務的前提下進行了自動備份,提高了工作效率。第二,系統結構的安全。手機郵箱打破了傳統UNIX郵箱系統的郵箱用戶和系統用戶資料一致的局限,兩者的分離更加保證了系統的安全。另外此系統有效實現了用戶的外部請求和郵箱系統內部數據處理的隔離,最大程度地保障了用戶數據的安全性。另外系統在兩者之間設計了防火墻設備,使得整個郵箱系統的安全性提高了一個等級。(2)POP無鎖機制。傳統的POP3郵箱采用的是郵箱和文件一對一的結構,這種結構要求POP3服務器進入時首先要鎖定用戶郵箱,一旦系統出錯很容易導致用戶郵箱鎖死。而手機郵箱系統則采用的是郵件與文件一對一的形式。這樣就有效避免了用戶郵箱鎖死現象的產生,提高了POP3服務器的安全性。(3)病毒防范機制。手機郵件系統的防病毒措施主要是采用與第三方病毒廠家合作的形式,手機郵箱的病毒特征庫可以在聯網狀態下進行同步升級,定時更新。并且加強了對附件的防病毒措施,可以對有病毒的附件進行退回、隔離等處理。這些操作可以自動進行,也可根據用戶指令進行。(4)GEGW安全策略。為了防止郵箱安全問題的產生,還可以采用郵件推送網關策略,即GEGW安全策略,其系統層應用了Redhat中的AS4操作系統,應用SSH實施遠程管理,SSH2協議,有效解決了傳統協議的脆弱性問題。在數據層中,采用了SSL加密通道通信,運行信息直接在數據庫中保存,只有特定用戶才可以訪問,數據庫文件在磁盤陣列中儲存,有效提升了數據的安全性。
3結語
作者:姚維學 浦勁松
智能化網管主要有如下特點:1.處理網絡結構和網元的不確定性;2.網管系統的協作能力及互操作性;3.適應系統變化的能力;4.解釋和推理能力。網絡需求分析。某地市供電企業信息中心決定建立覆蓋全市的網絡管理系統,為做到對整個網絡運行狀況了如指掌,須解決以下關鍵業務問題:(1)幫助信息中心人員及時了解整個網絡服務運行狀態;(2)幫助各個層面網絡管理人員協調工作,快速定位并解決網絡故障;(3)預故障報警和處理監測網絡通信數據,事前處理可能發生網絡問題;(4)統一管理平臺,減少網絡系統和網絡設備停工期,確保網絡運行穩定性、安全性和高效率。網管產品概述。某地市供電企業通過中心網絡BTNM管理平臺輕松實現了對下屬市縣分級平臺管理,實現了2級網絡管理架構構筑了全市網絡管理平臺,由于電信網絡不可管理性,技術人員在產品實施過程中將電信網絡透明化,簡化為簡單物理連接,跨過電信寬帶網絡,實現對下級網絡透明化實時管理,具體表現如下:(1)建立網絡物理拓撲機構圖;(2)用短信、電郵等工具快速精確故障告警信息;(3)建立跨廠商管理平臺;(4)集成網絡運行情況記錄、應用監視、網絡段延遲、撥號審計、IP流量審計、網絡設備SNMP信息瀏覽、Telnet、ping、traceroute等工具;(5)生成html格式總分析報告、詳細報告和大量圖表,供用戶分析參考。
我們采用BTNM網絡運維管理系統來對網絡進行管理。BTNM網絡運維管理專家支持SNMPv1、v2版本,提供分層、統一的管理,在共享數據的基礎上支持第三方模塊開發與接入,擴展管理。通過設置搜索范圍,BTNM系統會自動搜索該范圍內所有支持SNMP協議可管理的設備,包括交換機、路由器、服務器、防火強等設備,并自動生成相應真實的物理網絡拓樸圖。網絡拓撲管理。能自動勾畫出整個網絡的準確物理拓撲結構,將整個管理區域分為若干管理子圖,支持不同管理權限的管理人員管理不同的拓撲區域;支持各廠商網絡產品真實面板圖管理(尤其是CISCO、網捷、北電、FORE、華為、港灣、邁普、博達等設備)真實面板圖管理;支持在網絡結構圖上直接顯示設備的連續運行時間、CPU負載、Mem利用率,直接顯示各設備間每條線路實時數據流量(包括幀流量、廣播流量、數據丟包情況和出錯包情況等)。網絡設備管理。1.能夠以列表方式顯示設備中所有端口的流量分布情況(包括出入端口的流量、數據幀流量、廣播包流量、丟包情況和錯誤包情況);2.提供有關網絡設備的最近故障日志查詢;3.設備端口狀態分析,顯示各端口的實時流量情況,并提供以下各主要數據的實時情況:設備端口表、IP地址表、路由表,MAC地址表;4.設備管理:能對主機名稱(含中文名稱)、設備類型、制造廠商、設備描述、設備備注、設備當前負載狀況、設備端口信息、設備端口分布、故障日志、配置、跨地域的設備進行管理。主機和應用服務器的管理。1.可以在拓撲圖上,可以直觀的反映出服務器當前的CPU負載、內存占用比、連續運行時間情況。2.支持固定主機連接在固定交換機的固定端口上,防止非法接入和IP地址盜用。3.支持服務端動狀態監視和告警、WEB、FTP、POP3、SMTP、數據庫服務、流媒體有效性監視和告警。4.支持對服務器的CPU、MEM、網卡流量、網絡連接性能和狀態等的歷史記錄和分析,同時還支持對Web、Mail、Ftp、Pop3、數據庫服務器等的性能和響應速度的歷史記錄和分析。故障告警與定位。告警至少能支持以下方式的告警輸出:GSM短消息告警、語音合成告警、郵件告警等,并且能夠方便的調用第三方的告警程序。網絡用戶信息管理。1.支持跨網段、跨地域的IP地址管理,自動、動態、完整提供全網所有活動用戶的網絡連接位置信息,便于故障定位,問題查找。2.能在用戶指定的地址范圍內搜索IP地址的分布情況,提供所有可見的IP地址、MAC地址物理設備端口定位。3.IP-Mac、Mac-物理端口的對應關系可以進行輸出,支持IP-Mac、Mac-端口的綁定監視。報表管理。
BTNM網絡運維管理專家集成提供了性能報表系統,能夠直接從歷史記錄數據庫中獲取歷史數據,形成各種類型的性能分析報表,并支持將性能報表以EXCEL格式導出、成網絡頁面以及XML數據文件,供第三方程序調用和進一步處理。網絡管理軟件作為一種先進的、成熟的網絡管理系統,為地市供電企業網絡架構提供了一個全新的理念。達到了性能更高,可靠性更高,安全性更高,業務更豐富的同時,使得網絡管理也變得越來越簡單,一方面鋪就了高速的網絡管理通道,另一方面改變了公司傳統網絡管理體系架構,使新的網絡管理體系架構具有更好的擴展性和可靠性。
【關鍵詞】無線傳真 T.30 3G 分組域
1 引言
無線傳真技術打破了傳統PsTN傳真有線接入的束縛,為用戶提供了一種更加方便和快捷的傳真手段,被廣泛的應用于政府機關、軍隊、公安、農林牧和移動商務等領域,并被作為山區、湖泊、近海和偏遠地區等區域傳真業務覆蓋的有效解決手段。
現有無線傳真技術主要基于2G/3G移動網絡提供的電路域傳真業務。受限于網絡設備廠家和芯片廠家對傳真功能的支持,目前只有GsM和cDMA2000網絡提供正式商用的無線傳真業務,且在實際使用中存在成功率低、速率低、不支持語音和傳真交替等問題。
2 無線傳真技術的基礎――G3傳真
ITU-T定義了4類傳真,其中G3(Group 3)傳真由于傳真質量高、速度快、傳真機成本低,已成為PSTN和PLMN中被最廣泛應用的傳真技術。
G3傳真技術遵循ITU-T的T.4和T.30規范。T.4規定了G3傳真文件編碼格式;T.30規定了G3的通信規程,該通信規程是上層傳輸協議,協議本身不保證數據可靠傳輸。
完整的G3傳真通信過程分為五個階段:A階段:呼叫建立,B階段:報文前過程、C階段:報文中過程,D階段:報文后過程,E階段:呼叫釋放。在傳真通信過程中,信令和數據傳輸交替進行。信令采用HDLC格式,采用V.21第二信道300bps調制信號;傳真數據使用傳真終端協商的調制解調方式進行傳輸,包括V1 7、V.29、V.27和V.34。
3 現有無線傳真的實現技術
現有無線傳真業務利用移動通信網電路域數據傳輸能力實現對G3傳真的承載,及與PSTN網G3傳真的互通。
3.1 系統結構
對于不同移動通信網絡,無線傳真實現技術的系統結構基本一致,如圖1所示。
無線傳真終端支持G3傳真機和PC傳真客戶端的,接入,主要由無線Modem模塊、主CPU應用、傳真Modem模塊和SLIC接口電路等組成。無線Modem模塊通過空口建立傳真業務的數據傳輸通道,并負責與網絡側T.30信令交互和傳真數據的收發。傳真Modem模塊與本地傳真機遵循T.30通信規程,實現與本地傳真機之間傳真數據的收發。主CPU與無線Modem模塊和傳真Modem模塊之間,采用串口通信,主CPU應用通過AT指令控制兩個模塊實現傳真業務流程的控制。
移動通信網絡提供對G3傳真業務的承載通道,并通過IWF完成與PSTN網之間數據格式和傳輸協議的轉換。
3.2業務流程
以FAX CLASS2 AT指令集為例,無線傳真業務流程如圖2所示。
(1)本地傳真機摘機,撥號;
(2)主ECPU應用向無線Modem模塊發送ATD指令,模塊向網絡側發起傳真呼叫;
(3)被叫傳真機應答,無線Modem模塊與網絡側建立傳真通道,PSTN側傳真機V.21 flag和DIs幀通過網絡傳到無線Modem模塊;
(4)傳真通道建立后,主ECPU應用向傳真Modem模塊發送ATA指令,對本地傳真機的呼叫進行應答,完成A階段和B階段協商;
(5)EiECPU應用向傳真Modem模塊發送AT+FDR指令,接收訓練序列,并準備接收傳真數據;
(6)=kCPU應用向傳真Modem模塊發送AT+FDT指令,向PSTN傳真機發送DCS幀和訓練序列,完成B階段協商,并準備發送傳真數據;
(7)主CPu應用通過傳真Modem模塊接收本地傳真機的傳真數據,并通過無線Modem模塊發送給網絡。并通過IWF將數據傳送至PSTN傳真機。
3.3 移動通信網技術對無線傳真的支持情況
(1)GSM
GSM 03 45和03 46分別定義了透明和非透明兩種傳輸模式下的傳真技術,提供自動傳真業務和話音/傳真交替傳真業務。透明模式只提供無線信道前向糾錯機制;而非透明模式下,除了無線信道前向糾錯機制外,無線鏈路層還采用了RLP協議,引入了差錯重發機制,提升了傳輸的可靠性。由于受網絡設備和終端芯片對傳真功能支持的限制,目前國內只開展了透明模式下的自動傳真業務。
(2)TD-SCDMA和WCDMA
3GPP TS 23.146定義了在兩種網絡中的非透明模式傳真技術,提供自動傳真業務和話音/傳真交替傳真業務。基于非透明傳輸通道,傳真終端與1wF之間采用E-T 38協議承載傳真信令和數據。由于受網絡設備和終端芯片對傳真功能支持的限制,目前國內TD-SCDMA和WCDMA的無線傳真業務尚未商用。
(3)CDMA2000
3GPP2 C S001 7-004-A和3GPP2 C.S001 7-007-A定義了CDMA2000 1x傳真技術方案。CDMA2000 1X傳真業務無線鏈路層采用RLP協議,傳真終端與IWF之間采用TCP協議保證傳真信令和數據傳輸的可靠性。目前國內CDMA2000網絡提供商用的無線傳真業務,但不支持話音/傳真交替傳真。
4 現有無線傳真技術的問題
現網中使用的GSM和CDMA2000無線傳真技術主要存在以下問題:
(1)成功率低
影響成功率的主要因素包括:
無線信道誤碼引起傳真信令和數據信息錯誤,導致傳真失敗;
硬切換引起傳真信令和數據信息丟失,導致傳真失敗;
傳真機、無線傳真終端和IWF等網元在傳真過程中,因處理時序和重發定時器長度的適配問題,導致傳真失敗;
端到端網絡時延如果超過重發定時器長度,可能引起收發兩端同時發傳真協議幀,而傳真的協商階段采用半雙工方式,如果2個同時都是發送,則2個終端都無法收到需要的幀,從而導致協商交互失敗。
cDMA2000傳真雖然采用TCP保證傳輸可靠性,但在TCP重傳機制引起了協議幀的更大時延,從而也增大了網絡時延導致傳真失敗的幾率。現網實際使用中,CDMA2000傳真成功率與GSM相比并沒有明顯改善。
(2)速率低
只支持9.6kpbs的速率,而對于現網中大量采用的14.4kbps傳真機,只能采用降速的方式發送。
(3)無法實現語音和傳真交替
只支持自動傳真方式,不支持傳真語音和傳真交替的業務能力。
(4)依賴于移動網技術
無線傳真方案與移動網傳真實現技術及傳真功能支持情況緊密相關。受網絡設備和芯片對傳真功能支持的限制,國內尚未在TD-SCDMA和WCDMA網絡中開展無線傳真業務,無法充分利用3G網絡帶寬的優勢。
5 無線傳真技術演進方向
面對電路域無線傳真技術的這些問題,利用分組域數據承載發展無線IP傳真成為了無線傳真技術新的演進方向。無線IP傳真技術主要有以下優勢:
(1)無線傳真應用層與移動通信網技術無關,能夠在不同的2G/3G網絡中部署和開展無線傳真業務,而不再受網絡設備和芯片支持情況的限制。
(2)基于IP的無線傳真方案更加靈活,既可以通過將T.30傳真信令和數據封裝成IP報文的方式在IP網中承載實時傳真業務;也可以結合互聯網技術開展非實時傳真業務,并與其他豐富多媒體通信手段進行融合。
(3)能夠充分發揮3G以及未來LTE技術的帶寬優勢,承載更高速率的傳真。
(4)無線IP傳真可以采用更多的手段提升傳輸可靠性:
提高端到端業務承載質量;
實時傳真的報文采用UDPTL協議前向糾錯機制,在提高傳輸可靠性的同時避免了重發機制引起的時延問題;
在無線網絡環境較惡劣的條件下,終端發送到網絡的傳真數據可以采用非實時方式,避免誤碼或時延導致T 30通信失敗。
目前無線IP傳真技術方案處于研究和試驗階段,按照實現方式主要分為無線實時1P傳真方案和無線非實時IP傳真方案。
5.1 無線實時IP傳真方案
該方案基于ITU-T T.38定義的實時IP傳真技術,由無線傳真終端充當T.38傳真網關的角色,完成T.30傳真協議到基于IPI的T.38報文的轉換,并具備傳真信號檢測功能。
T.38傳真供選擇的控制協議包括H.323、H.248和SIP等,軟交換網絡和1MS網絡都可以提供T.38傳真的解決方案。對于軟交換網絡,無線傳真終端采用H.248協議注冊到媒體網關控制器(MGC),在會話過程中支持傳真開始和傳真結束事件的上報,配合MGC實現傳真和語音之間的媒體切換。對于IMS網絡,無線傳真終端采用SIP協議注冊成為IMS用戶,支持呼叫建立過程中的媒體協商,以及呼叫過程中傳真和語音之間的媒體切換。
圖3是基于IMS網絡的無線IP實時傳真的方案。
無線傳真終端除了需要傳真Modem模塊實現與本地傳真機T.30協議適配,以及無線Modem模塊建立與網絡的分組域連接,還需要實現IMS用戶功能,并支持T.30信令和數據到T.38格式報文的轉換。
IMS核心網實現用戶注冊、認證鑒權、路由和會話控制等功能,SIP AS實現傳真的業務邏輯和計費,MGCF/IM-MGW負責與PSTN信令面和媒體面的互通。
圖4描述了IMS網絡環境下無線IP實時傳真方案發送傳真的業務流程:
(1)無線傳真終端PDP上下文激活通過分組域連接至IP承載網,并注冊到IMS網絡;
(2)發端傳真機通過無線傳真終端發起語音呼叫,雙方進入語音通信;
(3)發端傳真機發送帶內CNG信號音,準備發送傳真;
(4)無線傳真終端檢測到CNG信號音,發送relNVITE請求將媒體更新為T.38傳真;
(5)IM-MGW檢測到收端傳真機發送的CED應答單音和V.21 flags,上報給MGCF;
(6)MGCF通知IM-MGCF將媒體切換到T.38傳真,并向無線傳真終端返回200 OK(relNVITE)響應;
(7)無線傳真終端和IM-MGW建立T.38傳真業務用戶面,進行傳真通信。
接收傳真流程與之相反,是一個IMS用戶的被叫流程,由MGCF發送relNVlTE請求將媒體更新為傳真。
基于T 38的協議的無線IP實時傳真方案與移動通信網技術無關。可以充分利用3G分組域數據承載通道以及軟交換、IMS網絡,實現無線實時傳真在TD-SCDMA、WCDMA和CDMA2000網絡中的部署,并支持語音和傳真交替功能。在傳輸可靠性方面,T.38的IFP封包(封裝T.30控制和數據信息)可以采用UDPTL協議,通過前向糾錯機制實現糾錯和丟包恢復,并一定程度上避免了TCP重發機制時延而導致傳真失敗的問題。
5.2 無線非實時IP傳真方案
基于T.38的無線實時IP傳真能夠為用戶提供實時的傳真體驗,但是對無線帶寬有一定的要求,經過測算,速率為14.4kbps的傳真約需要64kpbs的帶寬。在2G網絡和3G網絡條件較差的環境中,將難以承載無線實時IP傳真。
為了解決以上問題,采用存儲轉發機制的無線非實時IP傳真是一種以時延換可靠性的方案,實現方案圖5所不。
無線傳真終端除了需要傳真Modem模塊和無線Modem模塊,還需要實現基于SMTP/POP3協議或WebSe rvice接口與電子傳真平臺進行傳真頁面收發交互的傳真應用。電子傳真平臺采用ISUP或SIP協議連接PSTN.實現平臺與PSTN傳真機之間G3傳真的收發,同時采用SMTP/POP3協議或Web Service接口與無線傳真終端連接,實現無線傳真終端傳真數據的收發。
無線非實時IP傳真方案的發送傳真流程為:
(1)無線傳真終端接收傳真機頁面數據,保存為TIF格式文件;
(2)無線傳真終端采用SMTP協議或Web Service接口將TIF格式文件發送給電子傳真平臺;
(3)電子傳真平臺通過T.30協議將傳真數據發送給PSTN傳真機。
接收傳真的流程與之相反,電子傳真平臺接收到PSTN傳真數據后,采用數據短信方式通知無線傳真終端激活PDP連接,無線傳真終端采用POP3協議或WebService接口從電子傳真平臺上獲取傳真數據,再通過T.30協議將傳真數據發送給傳真機。
由于無線傳真終端和電子傳真平臺之間采用TCP直接傳輸傳真頁面數據,即使在低帶寬和網絡質量較差的環境下,也能保證傳輸的高可靠性。而傳真機與無線傳真終端之間、電子傳真平臺與PSTN傳真之間,能夠保證T.30協議的可靠傳輸。因此,無線非實時IP傳真方案能夠提供端到端高成功率的無線傳真業務。時延方面,經過測試在網絡正常負荷下,無線非實時IP傳真方案會比無線實時傳真方案延遲約1~2分鐘,適合對傳真時延敏感度不高但成功率要求較高的客戶。
6 結束語
相比現有電路域無線傳真技術,基于分組數據承載的無線IP傳真技術在可靠性、速率、靈活性和移動網技術無關性等方面具有較為明顯的優勢。業內一直在積極探討和研究無線IP傳真技術的解決方案,并推動產品的開發、試驗和商用。相信隨著3G無線寬帶業務的普及,基于IP的無線傳真技術將逐步發展成為未來無線傳真的主流技術方向,并實現與其他IP多媒體通信方式的融合,讓傳真業務變得更加簡單、方便、快捷和可靠。
參考文獻
[1]ITU-T Recommendation T.4. Standardization of Group 3 Facsimile Terminals for Document Transmission[S].
[2]ITU-T Recommendation T.30. Procedures for Document Facsimile Transmission in the General Switched Telephone Network[S].
[3]GSM 03.45. Technical Realization of Facsimile Group 3 Transparent[S].
[4]GSM 03.46. Technical Realization of Facsimile group 3 Non- transparent[S].
[5]3GPP TS 23.146. Technical Realization of Facsimile Group 3 Non-transparent[S].
[6]3GPP TS 24.229. IP Multimedia Call Control Protocol based on SIP and SDP[S].
[7]3GPP2 C,S0017-004-A. Data Service Options for CDMA Spread Spectrum Systems,. Async Data and Fax Services[S].
[8]3GPP2 C.S0017-007-A. Data Service Options for CDMA Spread Spectrum Systems: Anolog Fax Service[S].
針對企業網絡信息安全中存在的種種隱患,大東網絡(.cn)推出的核心產品――網絡安全審計系統,分別針對政府機構、教育行業、公共領域、企業集團等不同行業,制定并實施了具有應用針對性的行業解決方案。其中DD2000網絡信息審計系統是專門針對各大型集團企業研發,為其提供網絡信息安全方面的解決方案,為企業切實解決網絡信息安全問題。
應用背景及管理目標
長期以來,由于大東網絡所在的集團企業的信息化網絡一直受到來自公共網絡的攻擊、信息竊取、計算機病毒以及企業內部泄密等各方面的威脅,企業領導階層備受困擾;另外,企業職員在辦公過程中,瀏覽與工作無關的網絡、P2P檔案共享軟件的運行、即時訊息的傳送(IM),以及串流媒體的在線播放等行為,不僅降低了工作效率,也占用了大量的帶寬資源,企業內部網絡堵塞現象嚴重,對企業內部的正常網絡應用形成了潛在威脅。為了幫助該集團維護其商業秘密、核心機密,解決企業在信息安全方面的困擾,大東網絡根據該企業的實際情況與需求,提供了DD2000網絡信息審計系統。
項目實施后發現問題
通過審計系統的流量監測模塊找到了網速變慢的主要原因,企業內部存在使用BT下載的現象,網絡中BT下載流量占了網絡帶寬的60%左右;通過審計系統的流量監測模塊找到了占用網絡資源最多的IP地址;通過審計系統的網絡行為審計模塊發現網絡中訪問的與企業工作無關的信息IP地址及無關內容;通過審計系統的數據庫審計模塊查看企業內部用戶對數據庫的操作步驟及內容,P2P檔案共享軟件的運行不規范。
提出解決方案
優化網絡的主要依據就是了解網絡中各協議、各種數據包所占的比例,如果出現網絡故障,需要找到引起網絡故障的源頭才能解決。該集團將DD2000網絡信息審計系統部署在其中央服務器上,通過DD2000網絡信息審計系統的統計監測功能,找到了企業內部網速慢的主要原因之一,就是企業內部有員工使用BT下載,占用了大量的企業帶寬資源。而通過部署該系統,將企業內部使用BT下載者的IP和MAC地址進行定位、對其BT下載進行流量限制等,實現了規范企業員工上網行為的目的,大大提高了企業網絡的運行速度。
具體實施
對BT下載進行流量限制;綁定IP/MAC地址,根據管理員定義的IP地址以及端口號對特定的協議進行實時的跟蹤并記錄原始的數據報文,同時記錄各個網站的點擊量,設置流量異常事件(包括字節數、數據包數、增量數等)進行實時的報警;對QQ、MSN、ICQ、雅虎通等即時通信協議進行詳細的實時監控、審計,并可以對操作過程進行回放。
項目實施效果評估
通過對該企業實施大東網絡審計系統之后,企業網管人員對企業網絡的HTTP、POP3等基本網絡應用協議實現了詳細的實時監控、審計;對網絡中Windows共享文件的運行進行審計,實時記錄網絡用戶對Windows共享文件的各種操作,記錄下了相應的原始文件,并對以上操作過程完整回放;對網絡中的IP流量進行實時監測,并根據預先設置的策略對突發或意外事件進行合理處置。
近年來,國家對網絡信息安全的重視程度日益提升,2012年,國務院《關于大力推進信息化發展和切實保障信息安全的若干意見》(國發[2012]23號)提出建設我國網絡與信息安全保障體系的要求,十報告中19處提及信息技術與信息安全,并提出“健全信息安全保障體系”的目標。在此大背景之下,基礎電信企業和增值IDC/ISP企業作為互聯網建設和接入的第一主體,承擔起信息內容安全防護及溯源定位的安全責任。2012年,工信部電管局《工業和信息化部關于進一步規范因特網數據中心業務和因特網接入服務業務市場準入工作的通告》,宣布恢復跨地區IDC、ISP許可申請,并在申請實施方案中明確要求新申請企業需建設信息安全管理系統,具備基礎數據管理、訪問日志管理、違法違規網站及違法信息發現處置等技術能力。2013年,基礎電信企業責任制考核中加入了移動上網日志留存與IDC/ISP信息安全管理系統建設相關考核指標。伴隨著基礎企業責任制考核、IDC/ISP企業準入/年檢實質性評測工作的開展,信息安全的測試工作量也迅速上升,信息安全測試技術手段的建設與評測要求日益迫切,根據測算在移動上網日志留存系統測試中,每種上網方式撥測量約1.1萬次,針對IDC/ISP信安管理系統測試,每處局址EU撥測量約2萬次,而在某些違法信息監測效果評估項目中,一輪測試的撥測量就超過24萬次,一年中累計撥測量達到了數百萬次。為配合相關考核及準入評測工作,迫切需要開發和完善穩定、高效、可靠的移動應用撥測工具套件,以便提高有關信息安全技術系統/設備的現網技術測試效率,規范撥測操作、簡化評測實施難度,為此我們根據移動上網日志留存系統、IDC/ISP信息安合移動網絡業務特點,針對互聯網上主流應用協議及應用場景進行了分析,自主研發了具備HTTP、HTTPS、FTP、SMTP等11種公開協議、基于TCP和UDP的2種私有協議的的撥測套件。
2系統設計及功能說明
2.1系統功能簡介
本文所述信息安全綜合撥測工具指的是具備用戶網絡行為模擬,具備各類網絡協議撥測,用于驗證企業日志留存準確性、違法信息處置有效性的綜合撥測系統。
2.2系統設計框架
本項目研究內容主要是撥測系統的各功能模塊實現,根據現有測試需求,分為移動業務撥測工具、桌面業務撥測工具、服務端業務參考網站及輔助模塊四個部分,框架示意圖如圖1所示。本項目研究內容將主要圍繞上述模塊的應用協議設計及實現、撥測方案設計及實現、測試結果統計及報告導出等實現具體功能。
2.3功能模塊說明
2.3.1移動業務撥測工具本模塊實現移動業務訪問和用戶行為模擬,在終端選型中主要考慮可靠性強,可編程行完善,能主流廠商量產便攜終端、支持多種移動制式(2G/3G/4G)。支持Wi-Fi、支持USB及擴展存儲,并具有主流操作系統,能便捷地開發移動終端應用,操作系統應支持多種硬件,經過篩選,最終確定了An-droid操作系統,并考慮到制式支持全面等問題,優先選取全網通終端。軟件功能上,撥測工具開發具備如下多種功能。•支持多種撥測協議(HTTP、FTP、SSH、SMTP、POP3、IMAP、SMTPS、IMAPS、DNS、NTP、SNMP及自定義端口的撥測)。•支持撥測(HTTP、Socks),能通過協議進行HTTP撥測。•支持數據對比,能支持大小寫敏感的文件列表匹配,支持幾萬條URL直接對比。•支持多線程撥測,能根據CPU核數和網絡環境進行自動調整。•支持用戶行為定義,能配置時間間隔,定義同一TCP流中是否進行多次HTTP請求。•能定義HTTP請求的UA信息。•自定義超時配置,能根據網絡環境定義HTTP請求及響應的超時信息。•項目管理,支持以項目為單位,對撥測結果進行統計、導出。•報告導出,支持用戶撥測記錄按照指定格式導出測試記錄報告。•地理位置識別,能通過GPS和網絡自動定位當前撥測地點。•手機號碼識別,能自動識別SIM卡中的手機號碼,對于不能識別的SIM卡,支持以IMSI為標識符的手動管理。•服務端同步管理,支持URL遠程下載,支持URL遠程上傳。•自動更新,支持云端自動檢測軟件版本,支持自動下載更新。•錯誤反饋,支持在程序崩潰后自動將錯誤日志提交遠程服務器,支持錯誤后自動重啟。•授權管理,支持機器碼相關的授權管理,支持遠程授權驗證。開發的UI界面摘選如圖2所示。2.3.2桌面業務撥測工具本模塊實現桌面業務訪問和用戶行為模擬,在終端選型中主要考慮可編程性完善、便攜性強,具有主流操作系統,能便捷的開發桌面應用程序,主流廠商量產便攜終端、支持Wi-Fi、支持USB及擴展存儲,通過USB擴展移動上網功能。功能上撥測工具與移動業務撥測工具類似,不同之處在于桌面業務撥測工具性能更強,能具備支持高并發、大流量的撥測能力,且能支持驗證功能。開發的UI界面摘選如圖3所示。2.3.3服務端業務參考網站本模塊配合撥測工具實現服務端業務系統模擬,設計中主要考慮系統需具備可靠性,能承擔大壓力的業務會話處理,具備可擴展性,具備豐富的應用接口,最終選定用PHP下的bootstrap框架、Python下的Tornado框架以及MySQL實現服務端業務參考網站。功能上支持如下功能。•多種協議響應回顯功能(HTTP、FTP、SSH、SMTP、POP3、IMAP、SMTPS、IMAPS、DNS、NTP、SN-MP及自定義端口的回顯)。•支持日志查詢,包括各類協議,各個字段查詢。•支持撥測記錄統計,可按單位和終端兩個維度統計用戶的撥測工作量及撥測所在網絡。•支持各類管理操作,具備客戶端注冊管理、客戶端校驗回顯、公網URL分配、企業導出URL管理、APK應用版本升級管理、服務器信息管理、應用崩潰日志管理。業務系統示意圖如圖4、圖5所示。2.3.4輔助模塊本部分主要包括業務爬蟲、撥測列表篩選器和服務器三個組成部分,具體說明如下。•業務爬蟲爬蟲編寫較為復雜,為此我們考慮其編寫框架應具有可擴展性,具備豐富的編程擴展庫,具備豐富的程序接口;此外需具備高效性,具備高效爬取互聯網上業務URL的能力;考慮到可靠性,具備在服務器上持續運行的穩定性,最終我們選用了Python下的Scrapy爬蟲框架,并況下1天可爬取500萬條公網URL,能高效的實現業務上對URL的爬取。•撥測列表篩選器撥測列表篩選器需要是對業務爬蟲爬取的URL進行篩選,能從大量的URL中挑選出實際可用的URL,主要功能需包括去除重復URL、去除非法URL(含非法字符)。考慮到測試的高效性,我們篩選中還會針對性的帥選URL目的文件較小的測試樣本,以便在測試中提升測試效率,并節約流量。•服務器服務器目前Linux平臺下具備相關成熟應用,我們將其整合到參考網站中,功能具備HTTP、HTTPS、Socks、DNS、FTP等各種協議,考慮到通用性,我們選用了3Proxy作為服務器應用,但在應用中我們發現3proxy對HTTP的PATH支持有限,部分情況下會出現URL轉發錯誤,最終針對HTTP我們選用了更為成熟的squid3作為應用服務器。輔助模塊的運行示意圖如圖6所示。
3項目難點、創新性及亮點
項目研究過程中我們發現存在若干難點,并創新性的提出了針對性解決方案,列舉如下。一是如何在信息安全撥測中獲取網絡日志信息。測試需要源IP、源端口等詳盡數據,但僅在客戶端中無法得到上述信息,只有服務端才能獲取相關數據,而標準的網絡應用協議并不會傳輸上述網絡日志信息,因此本項目在協議實現中,基于現網網絡協議進行了流程改造,不僅能實現網絡應用協議交互,還能傳輸測試所需的源IP、源端口、訪問時間等日志信息。二是如何更好的模擬終端用戶行為。在HTTP協議撥測中,傳統的測試均只在一個TCP流中傳輸一次協議請求,但在現網環境,用戶的一次交互會產生多次HTTP請求,并在同一個TCP流中完成,對于上述用戶現網真實行為,需要在測試中進行重現。為此我們在測試工具實現時,支持針對不同用戶行為的定制,可定義測試中是否進行重練接。在實際測試中發現,啟用重練接后能有效驗證企業測試中是否存在協議漏控現象。三是如何提高撥測效率。信息安全撥測的量巨大,測試耗時較長,曾經在某省測試中發現在3G網絡下進行一次實驗環境的測試耗時8個小時,為提高測試效率,本工具從技術實現、測試目標篩選、網絡響應等方面進行了創新改造。首先是采用多線程并發的技術提高單位時間的撥測量,同時針對移動平臺處理器性能較低的特點,我們在撥測算法上進行了優化,以便充分利用測試工具性能。其次是篩選測試目標。測試前,我們會通過爬蟲程序對網絡測試目標進行爬取,爬取中會判斷篩選出延時小、訪問便捷的測試目標作為撥測對象。提升實際測試中的效率。再次我們對自己的服務段業務參考網站進行了撥測方面的優化,采用了smarty框架進行模板渲染,能大大加強業務參考網站的并發性能,更好的響應撥測需求。四是如何確保測試結果準確性。測試工作涉及基礎企業考核和準入企業牌照申請,因此需確保測試結果準確,結果不存在爭議。為此我們會對測試過程進行詳細的日志記錄,留存好中間數據,包括每次的測試訪問時間、服務器回應數據、撥測工具記錄數據等。以確保測試過程所有數據均有據可循。同時為了確保測試結果的有效,我們還實現了從中間數據直接導出測試結果和測試報告的功能,即保證測試過程詳細,又確保測試結果直觀。
4應用現狀
大約3年前,筆者曾經參與過某機構針對安全審計與應用控制類產品的測試規范制訂工作。那時的安全審計類產品已經很成熟,國家、公安部與各行業都有相應的測試評估標準;應用控制類產品則借P2P、IM等應用的高速發展呈方興未艾之勢,功能與產品形態都不統一。當時筆者最深刻的感受,當數兩者間的融合趨勢。隨著應用模式的改變,傳統的安全審計產品開始對各類P2P、IM軟件提供支持,國內某些產品甚至可以屏蔽此類應用;應用控制類產品也不安于僅僅阻斷或給應用限速,很多都實現了對下載文檔信息和對話內容的審計。功能上的取長補短促進了兩類產品的融合,時至今日,我們已經可以看到許多兼具審計與應用控制功能的安全產品。本次凹凸網絡科技送測的SifoScopes CM系列網絡行為檢測系統,就是這樣一個融合的典型范例。
安全審計與應用控制的前提,是正確地識別各類協議。有了這個基礎,才能談審計或控制。作為融合了兩者功能的新一類產品,SifoScopes可以識別多種應用層協議,并對某些特殊形態的應用提供支持。該產品對各類相關標準所要求的HTTP、FTP、SMTP、POP3和Telnet協議提供了較強的審計能力,可以詳細記錄用戶瀏覽的網頁內容、通過HTTP協議上傳下載的文件、FTP上傳下載的信息、所有往來信件與附件及Telnet下的交互數據。IM類應用也在被審計之列,除了常見的MSN、MSN Web Messenger、Yahoo Messenger等采用明文傳輸的軟件外,SifoScopes還支持QQ與Skype這兩種國內常見的采用加密傳輸的應用。針對Web Mail應用逐漸增多這一趨勢,SifoScopes也提供了有針對性的審計功能。該產品目前可以識別多達12種主流的Web Mail服務,包括微軟Exchange服務器內置的Web Mail界面。
罕有產品可以解析QQ與Skype使用的協議,更不要說對內容進行審計。筆者特別針對這兩種應用進行了測試,結果令人震驚。由于QQ采用了密文傳輸,用戶需要在登錄前先進入設備提供的特殊頁面輸入QQ賬號與密碼,接下來SifoScopes就可以記錄一切聊天信息,甚至連QQ群中多人會話的內容也不例外。針對Skype的審計功能更為驚人,除文本外,語音通信亦在支持之列。眾所周知,Skype數據流采用了極強的加密算法,單純網關設備幾乎不可能對其進行解密。SifoScopes采用了變通的方法實現該特性,如果用戶要使用Skype,必須先從特殊頁面下載安裝一個客戶端,嵌套在Skype上層對明文的文本和語音進行記錄,再傳送至SifoScopes。雙向語音內容以不同聲道的方式保存為MP3文件,避免后期審計時還需要分離語音的麻煩。
融合的另一半是應用控制,SifoScopes主要還是針對P2P與IM類應用提供這部分功能。目前可控的P2P應用多達11種,其中包括了在國內應用廣泛的BT、eDonkey和迅雷。筆者曾經遇到過個別應用控制設備對同協議族下的不同客戶端控制效果不一致的情況,例如比特精靈被屏蔽的同時比特彗星仍可下載; SifoScopes在測試中沒有出現這樣的問題,主流P2P應用和不同客戶端都被很好地屏蔽。可控IM應用的種類相比審計功能多了Google Talk,基本涵蓋了國內常見的應用。與眾不同的是,該產品還可以屏蔽MSN Web Messenger、Buddy、WebQQ等15種基于網頁的即時通信客戶端,基本堵死了內網用戶的IM之路。既然包含了對傳統P2P、IM和WebIM、Web Mail應用的識別功能,特征庫的更新就顯得尤為重要。凹凸網絡科技為SifoScopes CM系列產品提供了永久的系統及特征庫升級服務,這一點非常令人滿意。不過,該產品尚不能實現對IM應用中文本、語音、視頻的信令級控制,控制細粒度還有待加強。
還有一個不可忽視的非技術問題,那就是審計涉及到的隱私保護和法規遵從。這一點,所有具備安全審計特性的產品都應特別注意。國外產品通常在這方面比較完善,因為很多國家都有相關法律對企業員工的個人隱私保護作出明確規定。在網絡中部署安全審計產品,于情、于理、于法,都應該對被審計者有明確的提示,并做出免責聲明。免責聲明還應考慮到外部用戶,舉個例子,筆者給某些跨國大公司的同仁發MSN消息時,都會收到安全審計產品以MSN消息形態發來的免責聲明,明確告訴我即時通信內容正受到審核。SifoScopes在這方面做得并不完善,只有IM類軟件登錄時會有相關提示。而電子郵件、網頁瀏覽等應用雖然也受到審計,卻沒有任何提示及免責聲明。
關鍵詞 安泰公司 綜合信息管理系統 手機終端 企業管理
中圖分類號: P208 文獻標識碼:A
1系統建設意義
1.1項目需求
禹州安泰煤業有限公司成立于2010年,負責集團在禹州礦區重組煤礦的管理工作。公司下轄的整合小煤礦在禹州分布較廣,存在點多面廣的特點,管理難度較大。公司亟需一套方便快捷、簡單實用的信息化管理系統來實現對安泰煤業的生產安全進行立體、全覆蓋的監管工作。
1.2業務概述
移動綜合管理系統是通過各種通用的數據庫接口,與煤礦生產單位的井下人員定位、井下廣播、井下通信以及井下環境監控等多個系統進行無縫鏈接,將管理平臺中大量的重要信息充分提取出來,通過無線網絡進行遠程數據通信,通過手機終端界面直觀地將相關數據展現給煤礦領導和相關管理人員。
1.3業務模塊
(1)安全生產監控模塊:將現有系統中安全監測數據、設備運行數據延伸至移動終端查詢;
(2)人員定位模塊:將現有系統中的人員定位延伸至移動終端查詢;
(3)視頻監控模擬:將現有視頻監控延伸至移動終端查看;
(4)報表查詢模塊:將煤礦生產過程中的各類報表在移動終端進行呈現;
(5)信息公告模塊:隨時煤礦重要安全生產信息給制定人員,實現信息互通;
(6)安泰公文模塊:面向特定人員,安泰公司重要公文,使其在第一時間就可通過移動終端查看公司重要指示精神,該功能僅面向特定人員開放。
2技術實現方案
2.1系統架構
禹州安泰煤業移動綜合管理系統采用分層級架構設計開發,主要包括智能終端信息展示、移動通信網絡接入、移動綜合管理系統融合業務支撐服務平臺、現有信息系統對接四個部分。
2.1.1移動終端信息展現
移動綜合管理系統展現移動客戶端軟件系統部署在智能手機或其他智能移動終端上,應用模塊包含:安全生產監控、人員定位、井下視頻監控、生產和經營報表、信息公告、安泰公文。
2.1.2移動網絡接入
安泰煤業公司選用許昌移動網絡做網絡接入,即安泰煤業公司移動綜合管理系統防火墻連接許昌移動公司數據專線網絡。
安泰煤業移動客戶端用戶通過APN加密隧道訪問E礦山業務平臺,實現端到端的安全信息管控。
2.1.3移動綜合管理系統融合業務支撐服務平臺
(1)移動終端業務組件:移動終端接入訪問的處理,包括信息處理及路由、用戶認證、QoS控制等。
(2)Web應用服務組件:將煤礦的各類應用與移動通信網安全無縫的結合,通過安裝和開發應用接入適配插件,完成不同IT系統的接入。
數據庫服務組件:存儲移動綜合管理系統業務交互的數據。
2.1.4現有信息系統對接
安泰煤業公司現有的安全生產監控系統、人員定位系統、井下視頻監控系統等系統是移動綜合管理系統的唯一信息數據來源,移動綜合管理系統提供行業標準接口規范與現有信息系統進行對接。
2.2系統接口
移動綜合管理系統能夠提供豐富的接口功能,并提供多重應用接口擴展模塊,以實現應用系統的擴展。支持SMS方式主動下發,也可以提供定制客戶端等方式通過移動終端進行互動。
2.2.1與安泰煤業信息系統接口
該接口與內部現有信息系統交互(安全監測、人員定位、視頻監控系統等),包括標準協議接口和非標準接口:
標準協議接口:pop3/smtp/exchange/domino/http。
非標協議接口:數據庫適配接口封裝;API接口(windows、AIX、Solaris、HP-UX、Linux支持,C、C++、JAVA、Delphi開發語言支持,支持Web Service)其中數據適配接口,只要客戶定義數據接口,開放業務數據源,就可實現相關的業務功能,要求支持如下類型數據源:Oracle/Microsoft SQLServer/Sybase。
2.2.2與移動通信網絡的接口
(1)短信接口,支持SMS業務功能接入。
(2)MM7接口,支持MMS業務功能接入。
(3)WAP push接口,支持WAP,MMS,SMS消息push接入。
2.3平臺能力
2.3.1系統處理能力指標
在持續 100個并發壓力下,系統應較為穩定,事務成功率要達到 100%,系統平均響應時間在 3秒以內。
2.3.2可靠性指標
為保證系統的高可靠性,數據硬盤應采用磁盤陣列或鏡像設置,主處理機雙備份等措施,并提供在線數據備份的手段。系統關鍵軟件、硬件應有一定的備份措施,保證系統的不間斷運行,系統應具有軟件、硬件故障在線恢復的能力。本系統應要求高可靠率,保證系統在最大的時間內都能夠正常運作。
