时间:2023-05-30 10:28:48
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇pop3协议,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
关键词:IRC协议 僵尸网络 SMTP/pop3协议 BOT程序
中图分类号:TP393 文献标识码:A 文章编号:1007-9416(2012)02-0218-01
在网络日益普及的今天,互联网上的各种攻击方法层出不穷,比较典型的有蠕虫(Worm)、分布式拒绝服务攻击(DDos)、垃圾邮件(Spam)、网络仿冒(Phishing)和间谍软件(Spyware)等,虽然这些攻击方法不尽相同,但是都有一个共同的地方,即攻击的平台是一样的――僵尸网络。通过僵尸网络来实施网络攻击行为,可以简化攻击步骤,提高攻击效率并且隐藏攻击者的身份。
1、相关研究
1.1 IRC僵尸网络原理
互联网中继聊天(Internet Relay Chat,IRC)是芬兰人Jarkko Oikarinen提出的网络聊天协议。攻击者利用该协议首先在公共或者秘密设置的IRC聊天服务器中开辟私有聊天频道作为控制频道(僵尸程序中预先包含了这些频道信息),而后当僵尸计算机运行时,僵尸程序便会自动寻找、连接这些控制频道并收取频道中的消息,最后攻击者就通过控制频道向所有连线的僵尸程序发送指令从而控制这个网络。
1.2 邮件协议分析与利用
邮件协议给了用户一个完整的信息发送和接受过程,所以利用这个过程就可以进行网络数据传输,这个过程要经过服务器的中转和登录过程。我们在实际测试依托的是校园网的邮箱系统,发信收信都在同一个邮箱。设计程序主要包括两部分,一个先登录到POP3服务器查看有没有新的邮件,若没有则不停地登录并查看,另外一个登录到SMTP服务器发信。在这个过程中,邮件的发送和接受是基于Socket连接传送数据,这便为打造僵尸网络提供了可能。
2、邮件僵尸网络的设计
2.1 设计原理
如图1所示,僵尸网络的主要部分是Server端的BOT程序。BOT程序运行后,连接到程序内置的POP3服务器地址,查看是否带有特定标记的邮件,若没有,则一段时间后,BOT再次登录查看,若此时攻击者发出了带有攻击命令的邮件,BOT就分析出里面的命令并执行。对于僵尸网络的控制者,只需要登录某个SMTP服务器,向指定的邮箱里发送一封带有命令的邮件就可以所有对BOT计算机的控制。当然,地址可以内置多个,这样就为连接提供多种选择,从而增加了僵尸网络的健壮性。
2.2 设计优点
由于邮件系统的重要性,所以力图使用关闭僵尸网络的控制服务器或是将其使用的域名取消的方法来解散僵尸网络是很难做到的,这体现了稳定性。由于邮件的发送和接收并不一定要在同一邮件服务器上进行,其他的SMTP服务器也就在无形之中充当了跳板,这体现了安全性。
3、邮件僵尸网络的实现过程
在构建僵尸网络的过程中,只要是支持POP3和SMTP登录的邮件系统都是可以利用的。根据邮件发送和接收的命令码,按照协议的过程和格式来发送和网络数据就可以完成邮件僵尸网络的建立。其中接受邮件模块的实现过程如下:
(1)定义缓冲区;
(2)创建一个无限循环,每过一段时间就登录POP3服务器查看有没有邮件;
(3)创建SOCKET句柄,得到POP3服务器IP地址,POP3服务对应的端口是110;
(4)连接到服务器;
(5)从服务器接收数据;
(6)登录到POP3服务器;
(7)服务器返回邮箱的状态信息;
(8)查看邮件,通过邮件头查看是不是命令邮件,若不是命令邮件,则BOT不做处理。
(9)BOT判断执行命令。
(10)执行完后退出。
发送邮件模块和接收邮件模块比较相似,按照SMTP命令码一步一步按照协议的过程来写就行了。
4、结语
僵尸网络是黑客进行网络攻击的常见手段,他们为了从网络中追求更大的利益会不断更新攻击方法,这就注定了从事网络安全的工作人员与黑客的较量是一场艰苦的持久战。因此我们要不断地关注、研究僵尸网络,及时制定出预防的各种方案,以保证我们工作和学习的网络环境更加安全。
参考文献
[1]王东岗.僵尸网络的发现与控制[J].山西通信科技,2007,28(1):8-11.
[2]王岩.基于IRC协议的BotNet性能研究[J].安徽大学学报(自然科学版),2006,30(6):26-28
[3]Kevin Johnson著,科欣翻译组译,Internet Email协议开发指南,机械工业出版社,2000.
[4]范春风.浅析“僵尸网络”[J].大学时代(B版),2006(2):66-67.
[5]Chabchoub Y,Fricker C,Guillemin F.Adaptive algorithms for identifying largeows in IP traffic[EB/OL].(2009-01-30)[2009-04-15]. hal.inria.fr/docs/00/35/73/43/PDF/Hal.pdf.
21端口
端口说明:21端口主要用于FTP(FileTransfer Protocol,文件传输协议)服务,FTP服务主要是为了在两台计算机之间实现文件的上传与下载,一台计算机作为FTP客户端,另一台计算机作为FTP服务器,可以采用匿名(anonymous)登录和授权用户名与密码登录两种方式登录FTP服务器。
Windows中可以通过Internet信息服务(1lS)来提供FTP连接和管理,也可以单独安装FTP服务器软件来实现FTP功能,比如常见的FTP Serv-U。
操作建议:因为有的FTP服务器可以通过匿名登录,所以常常会被黑客利用。另外,21端口还会被一些木马利用,比如Blade Run-net、FTP Trojan、Doly Trojan、WebEx等。如果不架设FTP服务器,建议关闭21端口。
23端口
端口说明:23端口主要用于Telnet(远程登录)服务,是Internet上普遍采用的登录和仿真程序。同样需要设置客户端和服务器端,开启Telnet服务的客户端就可以登录远程Tel-net服务器,采用授权用户名和密码登录。登录之后,允许用户使用命令提示符窗口进行相应的操作。在Windows中可以在命令提示符窗口中,键入“Telnet”命令来使用Telnet远程登录。
操作建议:利用Telnet服务,黑客可以搜索远程登录Unix的服务,扫描操作系统的类型。而且在Windows 2000中Telnet服务存在多个严重的漏洞,比如提升权限、拒绝服务等,可以让远程服务器崩溃。Telnet服务的23端口也是TTS(Tiiny Telnet Server)木马的缺省端口。所以,建议关闭23端口。
25端口
端口说明:25端口为SMTP(Simple MailTransfer Protocol,简单邮件传输协议)服务器所开放。主要用于发送邮件,如今绝大多数邮件服务器都使用该协议。比如我们在使用电子邮件客户端程序的时候,在创建账户时会要求输入SMTP服务器地址,该服务器地址默认情况下使用的就是25端口。
端口漏洞:
1利用25端口,黑客可以寻找SMTP服务器,用来转发垃圾邮件。
2. 25端口被很多木马程序所开放,比如:Aian、Antiqen、Email Password Sender、ProMail、troian、Tapi ras、Terminator、WinPC、WinSpy等。拿WinSpy来说,通过开放25端口,可以监视计算机正在运行的所有窗口和模块。
操作建议:如果不是要架设SMTP邮件服务器,可以将该端口关闭。
53端口
端口说明:53端口为DNS(Domain NameServer,域名服务器)服务器所开放,主要用于域名解析,DNS服务在NT系统中使用的最为广泛。通过DNS服务器可以实现域名与IP地址之间的转换,只要记住域名就可以快速访问网站。
端口漏洞:如果开放DNS服务,黑客可以通过分析DNS服务器而直接获取Web服务器等主机的IP地址,再利用53端口突破某些不稳定的防火墙,从而实施攻击。美国一家公司也公布过10个最易遭黑客攻击的漏洞,其中第一位的就是DNS服务器的BIND漏洞。
操作建议:如果当前的计算机不是用于提供域名解析服务,建议关闭该端口。
67、68端口
端口说明:67、68端口分别是为Bootp服务的Bootstrap Protocol Server(引导程序协议服务端)和Bootstrap Protocol Client(引导程序协议客户端)开放的端口。
Bootp服务是一种产生于早期Unix的远程启动协议,我们现在经常用到的DHCP服务就是从Bootp服务扩展而来的。
通过Bootp服务可以为局域网中的计算机动态分配lP地址,而不需要每个用户去设置静态IP地址。
端口漏洞:如果开放Bootp服务,常常会被黑客利用分配的一个IP地址作为局部路由器通过“中间人”(man-in-middle)方式进行攻击。
操作建议:建议关闭该端口。
69端口
端口说明:69端口是为TFTP(Trival FileTranfer Protocol,次要文件传输协议)服务开放的,TFTP是Cisco公司开发的一个简单文件传输协议,类似于FTP。
不过与FTP相比,TFTP不具有复杂的交互存取接口和认证控制,该服务适用于不需要复杂交换环境的客户端和服务器之间进行数据传输。
端口漏洞:很多服务器和Bootp服务一起提供TFTP服务,主要用于从系统下载启动代码。可是,因为TFTP服务可以在系统中写入文件,而且黑客还可以利用TFTP的错误配置来从系统获取任何文件。
操作建议:建议关闭该端口。
79端口
端口说明:79端口是为Finger服务开放的,主要用于查询远程主机在线用户、操作系统类型以及是否缓冲区溢出等用户的详细信息。比如要显示远程计算机上的user01用户的信息,可以在命令行中键入“finger ”即可。
端口漏洞:一般黑客要攻击对方的计算机,都是通过相应的端口扫描工具来获得相关信息的。比如使用“流光”就可以利用79端口来扫描远程计算机操作系统版本,获得用户信息,还能探测已知的缓冲区溢出错误。这样,就容易遭遇到黑客的攻击。而且,79端口还被Firehotcker木马作为默认的端口。
操作建议:建议关闭该端口。
80端口
端口说明:80端口是为HTrP(HyperTextTransport Protocol,超文本传输协议)开放的,这是上网冲浪使用最多的协议,主要用于在WWW(World Wide Web,万维网)服务上传输信息的协议。我们可以通过HTTP地址加“:80”(即常说的“网址”)来访问网站,比如.cn:80,因为浏览网页服务默认的端口号是80,所以只要输入网址,不用输入“:80”。
端口漏洞:有些木马程序可以利用80端 口来攻击计算机,比如Executor、RingZero等。
操作建议:为了能正常上网冲浪,我们必须开启80端口。
99端口
端口说明:99端口是用于一个名为“Metagram Relay”(对策延时)的服务,该服务比较少见,一般是用不到的。
端口漏洞:虽然“Metagram Relay”服务不常用,可是Hidden Port、NCx99等木马程序会利用该端口,比如在Windows 2000中,NCx99可以把cmd.exe程序绑定到99端口,这样用Telnet就可以连接到服务器,随意添加用户、更改权限。
操作建议:建议关闭该端口。
109、110端口
端口说明:109端口是为POP2(Post Of-rice Protocol Version 2,邮局协议2)服务开放的,110端口是为POP3(邮件协议3)服务开放的,POP2、POP3都是主要用于接收邮件的,目前POP3使用的比较多,许多服务器都同时支持POP2和POP3。客户端可以使用POP3协议来访问服务端的邮件服务,如今ISP的绝大多数邮件服务器都是使用该协议。在使用电子邮件客户端程序的时候,会要求输入POP3服务器地址,默认情况下使用的就是110端口。
端口漏洞:POP2、POP3在提供邮件接收服务的同时,也出现了不少的漏洞。单单POP3服务在用户名和密码交换缓冲区溢出的漏洞就不少于20个,比如WebEasyMailPOP3 Server合法用户名信息泄露漏洞,通过该漏洞远程攻击者可以验证用户账户的存在。另外,110端口也被ProMail troian等木马程序所利用,通过110端口可以窃取POP账号用户名和密码。
操作建议:如果是执行邮件服务器.可以打开该端口。
111端口:
端口说明:111端口是为SUN公司的RPC(Remote Procedure Call,远程过程调用)服务所开放的端口,主要用于分布式系统中不同计算机的内部进程通信,RPC在多种网络服务中都是很重要的组件。
常见的RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等。在Microsoft的Windows中,同样也有RPC服务。
端口漏洞:SUN RPC有一个比较大的漏洞,就是在多个RPC服务时xdr_array函数存在远程缓冲溢出漏洞。
113端口
端口说明:113端口主要用于Windows的“Authentication Service”(验证服务),一般与网络连接的计算机都运行该服务,主要用于验证TCP连接的用户,通过该服务可以获得连接计算机的信息。在Windows 2000/2003Server中,还有专门的IAS组件,通过该组件可以方便远程访问中进行身份验证以及策略管理。
端口漏洞:113端口虽然可以方便身份验证,但是也常常被作为FTP、POP、SMTP、IMAP以及IRC等网络服务的记录器,这样会被相应的木马程序所利用,比如基于IRC聊天室控制的木马。另外,113端口还是InvisibleIdentd Deamon、Kazimas等木马默认开放的端口。
操作建议:建议关闭该端口。
119端口
端口说明:119端口是为“Network NewsTransfer Protocol”(网络新闻组传输协议,简称NNTP)开放的,主要用于新闻组的传输,当查找USENET服务器的时候会使用该端口。
端口漏洞:著名的Happy99蠕虫病毒默认开放的就是119端口,如果中了该病毒会不断发送电子邮件进行传播,并造成网络的堵塞。
操作建议:如果是经常使用USENET新闻组,就要注意不定期关闭该端口。
135端口
端口说明:135端口主要用于使用RPC(Remote Procedure Call,远程过程调用)协议并提供DCOM(分布式组件对象模型)服务。通过RPC可以保证在一台计算机上运行的程序顺利地执行远程计算机上的代码:使用DCOM可以通过网络直接进行通信,能够包括HTTP协议在内的多种网络传输。
端口漏洞:相信很多Windows 2000和Windows XP用户都中过“冲击波”病毒,该病毒就是利用RPC漏洞来攻击计算机的。RPC本身在处理通过TCP/IP的消息交换部分有一个漏洞,该漏洞是由于错误地处理格式不正确的消息造成的。该漏洞会影响到RPC与DCOM之间的一个接口,该接口侦听的端口就是135。
操作建议:为了避免“冲击波”病毒的攻击,建议关闭该端口。
137端口
端口说明:137端口主要用于“NetBlOSName Service”(NetBIOS名称服务),属于UDP端口,使用者只需要向局域网或互联网上的某台计算机的137端口发送一个请求,就可以获取该计算机的名称、注册用户名,以及是否安装主域控制器、IlS是否正在运行等信息。
端口漏洞:因为是UDP端口,对于攻击者来说,通过发送请求很容易就获取目标计算机的相关信息,有些信息是直接可以被利用,并分析漏洞的,比如IlS服务。
另外,通过捕获正在利用137端口进行通信的信息包,还可能得到目标计算机的启动和关闭的时间,这样就可以利用专门的工具来攻击。
操作建议:建议关闭该端口。
139端口
端口说明:139端口是为“NetBIOS Ses-sion Service”提供的,主要用于提供Windows文件和打印机共享以及Unix中的Samba服务。在Windows中要在局域网中进行文件的共享,必须使用该服务。比如在Windows 98中。可以打开“控制面板”,双击“网络”图标,在“配置”选项卡中单击“文件及打印共享”按钮选中相应的设置就可以安装启用该服务:在Windows 2000/XP中,可以打开“控制面板”,双击“网络连接”图标,打开本地连接属性:接着。在属性窗口的“常规”选项卡中选择“Internet协议(TCP/IP)”,单击“属性”按钮:然后在打开的窗口中,单击“高级”按钮;在“高级TCP/IP设置”窗口中选择“WlNS”选项卡,在“NetBIOS设置”区域中启用TCP/IP上的Net-BIOS。
端口漏洞:开启139端口虽然可以提供共享服务,但是常常被攻击者所利用进行攻击,比如使用流光、SuperScan等端口扫描工具,可以扫描目标计算机的139端口,如果发现有漏洞,可以试图获取用户名和密码,这是非常 危险的。
操作建议:如果不需要提供文件和打印机共享,建议关闭该端口。
143端口
端口说明:143端口主要是用于“Internet Message Access Protocol”(Internet消息访问协议,简称IMAP),和POP3一样,是用于电子邮件的接收的协议。
通过IMAP协议我们可以在不接收邮件的情况下,知道信件的内容,方便管理服务器中的电子邮件。不过,相对于POP3协议要负责一些。如今,大部分主流的电子邮件客户端软件都支持该协议。
端口漏洞:同POP3协议的110端口一样,IMAP使用的143端口也存在缓冲区溢出漏洞,通过该漏洞可以获取用户名和密码。另外,还有一种名为“admvOrm”的Linux蠕虫病毒会利用该端口进行繁殖。
操作建议:如果不是使用IMAP服务器操作,应该将该端口关闭。
161端口
端口说明:161端口用于“Simple NetworkManagement Protocol”(简单网络管理协议,简称SNMP),该协议主要用于管理TCP/IP网络中的网络协议,在Windows中通过SNMP服务可以提供关于TCP/IP网络上主机以及各种网络设备的状态信息。目前,几乎所有的网络设备厂商都实现对SNMP的支持。
在Windows 2000/XP中要安装SNMP服务,我们首先可以打开“Windows组件向导”,在“组件”中选择“管理和监视工具”,单击“详细信息”按钮就可以看到“简单网络管理协议(SNMP)”,选中该组件:然后,单击“下一步”就可以进行安装。
端口漏洞:因为通过SNMP可以获得网络中各种设备的状态信息,还能用于对网络设备的控制,所以黑客可以通过SNMP漏洞来完全控制网络。
操作建议:建议关闭该端口。
443端口
端口说明:443端口即网页浏览端口,主要是用于HTTPS服务,是提供加密和通过安全端口传输的另一种HTTP。在一些对安全性要求较高的网站,比如银行、证券、购物等,都采用HTTPS服务,这样在这些网站上的交换信息其他人都无法看到,保证了交易的安全性。网页的地址以https://开始,而不是常见的http://。
端口漏洞:HTTPS服务一般是通过SSL(安全套接字层)来保证安全性的,但是SSL漏洞可能会受到黑客的攻击,比如可以黑掉在线银行系统、盗取信用卡账号等。
操作建议:建议开启该端口,用于安全性网页的访问。另外,为了防止黑客的攻击,应该及时安装微软针对SSL漏洞的最新安全补丁。
554端口
端口说明:554端口默认情况下用于“ReaI Time Streaming P rotocol”(实时流协议,简称RTSP),该协议是由RealNetworks和Netscape共同提出的,通过RTSP协议可以借助于Internet将流媒体文件传送到Re-aIPlayer中播放。并能有效地、最大限度地利用有限的网络带宽,传输的流媒体文件一般是Real服务器的,包括有“.rm”、“.ram”。如今,很多的下载软件都支持RTSP协议,比如FlashGet、影音传送带等。
端口漏洞:目前,RTSP协议所发现的漏洞主要就是ReaINetworks早期的HelixU-niversal Server存在的缓冲区溢出漏洞,相对来说,使用的554端口是安全的。
操作建议:为了能欣赏并下载到RTSP协议的流媒体文件,建议开启554端口。
1024端口
端口说明:1024端口一般不固定分配给某个服务,在英文中的解释是“Reserved”(保留)。
之前,我们曾经提到过动态端口的范围是:1024―65535,而1024正是动态端口的开始。该端口一般分配给第一个向系统发出申请的服务,在关闭服务的时候,就会释放1024端口,等待其他服务的调用。
端口漏洞:著名的YAI木马病毒默认使用的就是1024端口,通过该木马可以远程控制目标计算机,获取计算机的屏幕图像、记录键盘事件、获取密码等,后果是比较严重的。
操作建议:一般的杀毒软件都可以方便地进行YAI病毒的查杀,所以在确认无YAI病毒的情况下建议开启该端口。
一边是软件帝国微软,一边是搜索引擎老大谷歌,Windows Live Hotmail与Gmail究竟是谁优谁劣?在这里,我们选择了国外关于Live Hotmail与Gmail分门别类比较测试的文章编译呈现给大家,希望能对大家的选择有所帮助。
下面我们就从Interface(界面)、Storage(容量)、Integrated Calendar(整合日历)、Organization(组织邮件)、Search(搜索)、Personalization Options(个性化)、Chat Integration(整合聊天)、Integrated RSS(集成RSS)、POP3 Account Access(POP3协议访问)等方面分门别类地对Live Hotmail和Gmail进行比较。
Interface(界面)
从界面的外观来看,Live Hotmail看起来比Gmail漂亮许多。尤其对于那些经常使用Outlook的用户来说,Live Hotmail显得更加熟悉和亲切。
其实,Live Hotmail更像是一个基于PC的电子邮件客户端,你可以将信件轻松地拖拉到不同的文件夹里,还可以使用一系列的下拉菜单进行基本的操作,而不需要再打开新的页面,更可以迅速地访问和Outlook一样风格的日历和任务列表等。通过使用大量的AJAX技术,Live Hotmail的功能表现更像是一个桌面应用软件。
而Gmail则选择了一个相对朴素的界面,大部分的主要功能都需要使用文本链接来实现。这使得Gmail的加载速度更快,尤其是在网络连接缓慢的情况下。值得一提的是,通过DSL登录使用Live Hotmail的账户时会有一定的延迟;而在Gmail中,延迟的情况基本不会发生,几乎所有的功能都是瞬间实现的。
另外,Gmail能够将所有回复的邮件同其原始邮件划归一组,从而建立会话。而Live Hotmail使用的则是更传统的方式,将原始邮件和回复分开。显然,Gmail在这个方面更方便人们使用,虽然对有些初次使用的人,尤其是用惯了Outlook的人来说可以说会造成混淆。
编辑点评:虽然Live Hotmail的界面外观更漂亮,也比较符合Outlook用户的使用习惯,不过Gmail在功能上的确更方便使用,它现在需要做的就是要改变原有Outlook用户的使用习惯。
Storage(容量)
Windows Live Hotmail首次扩容到了2GB,而Gmail却已经达到2849MB,并且这一数字还在持续增加。其实,对于微软来说似乎扩容到3GB从而赢得市场是很容易的,但是可惜的是,在空间容量的比较上,微软一直跟在Google的后面磨蹭。
编辑点评:在容量方面,Gmail的获胜几乎是没有什么争议的。
Integrated Calendar(整合日历)
Live Hotmail提供的是一个可共享的日历,这使得用户可以直接在界面内进行访问。这与Outlook的日历功能很相似,并具有Outlook日历的诸多特性,当你选定一个时间点的时候,可以输入有关事件的详细信息,并编辑你的日程。
而“Google Calendar”还没有完全地嵌入到Gmail中,只能通过网页上方的文字链接点击打开新的窗口进入。
编辑点评:在整合日历方面,Live Hotmail的优势比较突出,不过,其还可以做得更好,AJAX技术可以让Calendar更赏心悦目,点击后就只能打开一个新的页面的问题应该要尽快得到解决。
Organization(组织邮件)
Live Hotmail提供了一个Outlook式的消息管理方式,允许用户创建文件夹并将消息拖放进文件夹。而Gmail则采用了一个更加接近Web 2.0的方式,允许用户为各个消息分配诸多“标签”,以此来对邮件进行标记。
编辑点评:按照本人的经验,创建文件夹并进行长距离拖拽来管理消息的方式并不太好用,因此我们认为Gmail的方式略好一些。
Search(搜索)
Live Hotmail拥有一个不错的搜索框,用户既可以搜索邮件也可以搜索网页。同样,Gmail也具有类似这样的功能,而Google在搜索业界的领先地位尽人皆知。不过,因为笔者的Live Hotmail账户是一个新建的帐户,所以还不能在微软的邮件搜索方面发表看法。
编辑点评:在搜索这项中,只能是“待定”。
Personalization Options(个性化)
可能丰富的文本编辑功能如今已经很常见,不再是什么特殊的功能了。不过,在这里值得一提的是,在某些方面Live Hotmail的编辑器确实比Gmail多了一些闪光点。除了字符图标这个最大亮点外,Live Hotmail还允许你定制个性的字体和背景颜色,甚至包括“Lucida Handwriting(明星手写体)”。另外,Live Hotmail还拥有一系列的不同的界面主题可供选择。
编辑点评:或许这正是这两家公司所服务的用户不同的体现,不过Live Hotmail在个性化方面确实有它的优势。
Chat Integration(整合聊天)
对于Live Hotmail来说,当你将好友添加到其中后,你就可以看见他们是否在线(如果你的好友使用MSN Messenger的话)。不过,Live Hotmail并不像Gmail的联系人都固定在侧边拦的工具条上,所以Live Hotmail的聊天功能并不是显示在界面上的。
编辑点评:在整合聊天方面,Live Hotmail和Gmail可以说是不分伯仲,打了个平手。
Integrated RSS(集成RSS)
令人失望的是,Gmail和Live Hotmail在集成RSS方面都没有做太多的努力。虽然Gmail拥有“web clips(网络剪辑)”功能,用户可以随时点击进入Google Reader并在新的窗口中打开标题链接。不过,如果当用户需要的内容更新后就可以在Gmail中接收到通知,那就再好不过了。
在Live Hotmail的“今日焦点”选项卡下,你可以订阅来自其合作媒体的新闻,也可以订阅好友的MSN Space,这继承了微软一贯的风格,不过好像并没有令用户感到什么新的价值。
编辑点评:在集成RSS方面的不足是这两家公司的共同缺陷,还是让我们共同期待一下,谁会是第一个给用户带来完整的RSS功能。
POP3 Account Access(POP3协议访问)
我们可以把Gmail当做一个通用的电子邮件中心来使用,因为它拥有多样化的访问方式。Gmail能够检查你的POP3邮件账户,而且你还可以在Gmail中阅读POP3邮件。尽管POP方式访问邮箱已成为一种落后的技术,但是还是有很多的用户更加青睐于这种陈旧的方式去浏览邮件。而这是Live Hotmail所不能做到的,Live Hotmail仍然坚守IMAP方式,而对POP3无动于衷。
关键词:Internet信息服务;POP3服务
中图分类号:G642 文献标识码:A文章编号:1009-3044(2007)03-10879-02
1 引言
计算机普及率的提高加快了社会的信息化,当代的大学生们只有掌握了一定的计算机基础知识和操作技能才能跟上社会潮流。在我们学校,每个专业的学生都要学习计算机基础课,计算机基础课分理论讲授和实验两部分。通过这门课主要使学生掌握Windows基本操作、office办公软件、IE浏览器和Frontpage的使用等。但一直以来计算机基础实验课在上网这部分的教学使很多老师犯难:根据教学安排,这部分实验总学时为4个学时,要求在这4个学时中使学生掌握Internet的使用、邮件的发送、用FTP进行文件传输以及用Frontpage软件制作简单网页和站点。但在实际中,很多学生沉迷Internet网上纷繁的信息,把老师安排的内容不放在心上,往往最后的教学效果很不理想。有的老师干脆让学生自己课外上网,直接用这4个学时专门练习Frontpage网页制作。
针对这个方面的问题,我在实际教学中尝试进行了如下改进措施:在实验室中建一个服务器用来提供Web、FTP、SMTP和POP3服务,用Frontpage制作一个简单实用的网站,实现在局域网内的网页浏览、邮件发送、FTP文件传输和网页。保证了网站内容的单纯性,使教学得以顺利进行。
2 硬件配备和相关设置
我所进行教学试点的实验室是专门用于计算机基础课实验教学的,里面最多能放40台电脑,能容纳一个班的学生上课。这40台电脑已经通过三台传输速度为10/100Mbps自适应的双速交换机互连成一个局域网,实验室中的电脑按顺序依次设置了固定的IP地址,地址范围从192.168.1.1到192.168.1.40。为了防止学生无意中破坏电脑中安好的系统,每台电脑都配备了还原卡,但以前配的硬盘还原卡只能保护Win98系统,不能保护Win98之后的系统(如Win2000等),所以现在电脑中装的还是Win98,所有电脑都设置在同一个工作组:jsj工作组,由此形成了一个对等局域网。现在将最后一台电脑选做服务器,拔去还原卡,将硬盘分C、D两个区,采用NTFS格式,在C区中装上Windows2003标准版以及教学所需软件(office2000、winrar等),设置主机名为hgnc,IP地址还是设为192.168.1.40,工作组仍设置为jsj工作组,由带课老师管理此台电脑。
3 安装服务器
局域网中Web、FTP、SMTP、POP3服务可以用很多不同的软件实现,这里用Windows2003自带的组件实现.
3.1 安装IIS(Internet Information Server)及设置相关服务属性
IIS是集Web、FTP、SMTP和NNTP服务于一体的Internet信息服务系统。通过Web服务可实现Web站点的架构,通过FTP服务可实现FTP站点的架构,而SMTP提供邮件发送服务,NNTP用于新闻服务。因为不用NNTP服务,在下面的IIS安装中不选NNTP项。
单击“开始”―>指向“控制面板”―>单击“添加或删除程序”项,在弹出的“添加或删除程序”对话框中选择“添加/删除Windows组件”标签,随后出现“Windows组件向导”对话框(见图1)。
图1
在此对话框中选定“应用程序服务器”组件复选框,再单击“详细信息”按钮,弹出“应用程序服务器”对话框,在其中选定“Internet信息服务(IIS)”复选框,单击“详细信息”按钮,随后弹出“Internet信息服务(IIS)”对话框,选定其中的“Internet信息服务管理器”、“SMTP Service”、“文件传输协议(FTP)服务”、“万维网服务”、“公用文件”五项,单击“确定”按钮返回到“应用程序服务器”对话框,再单击“确定”返回到“Windows组件向导”对话框,单击“下一步”按钮,系统开始安装所选组件项,等待片刻会弹出一个“完成windows组件向导”的提示框,单击“完成”按钮,完成IIS安装(如果最初Windows2003是用CD-ROM或软盘安装的,在组件安装过程中,系统会提示用户插入Windows2003家族光盘)。
再进行Web、FTP、SMTP服务的属性设置。单击“开始”―>指向“管理工具”―>单击“Internet信息服务(IIS)管理器”,就打开了IIS管理器窗口,双击其左窗格中的HGNC(本地计算机)文件夹,在其下出现“网站”、“FTP站点”、“默认SMTP虚拟服务器”等五个子文件夹(如图2)。
图2
可以看到系统已建了一个默认网站和一个默认FTP站点。右键单击“默认网站”,在弹出的菜单中单击“属性”一项,随后出现默认网站属性对话框。系统对此网站属性配置了默认设置:主目录为c:\Inetpub\wwwroot;允许“读取”不允许“写入”;执行权限为“脚本和可执行文件”;启用匿名登录等。将此属性框中IP地址的设置修改为:192.168.1.40,其余的保持默认设置,把用Frontpage编写提供学生访问的网站存为c:\Inetpub\wwwroot。对于默认FTP站点,将其IP地址也设置为:192.168.1.40,其余的属性项设置保持默认不变,将提供给学生下载的内容存在默认主目录c:\Inetpub\ftproot下,此主目录的默认读写属性是只允许“读取”。
然后为此FTP站点建40个虚拟目录,前39个的别名依次为s1到s39,最后一个的别名为public,这些虚拟目录的实际路径都在D区上,将它们的读写权限都设置为允许“读取”和允许“写入”。再将s1虚拟目录只授权给IP地址为192.168.1.1的学生用机访问,依次类推,将s39虚拟目录仅授权给IP地址为192.168.1.39的学生用机访问,而public虚拟目录授权所有的学生用机访问。在SMTP虚拟服务器的属性设置中,除了将IP地址改为192.168.1.40外,其余保持默认值。
3.2POP3服务的安装和电子邮件客户端Outlook Express的配置
POP3服务是一种检索电子邮件的服务,可使用POP3服务存储并管理邮件服务器上的电子邮件帐户。照前所述步骤打开“windows组件向导”对话框,选中“电子邮件服务”组件复选框,单击“下一步”,完成POP3服务的向导安装。再单击“开始”―>指向“管理工具”―>单击“POP3服务”,打开POP3服务窗口。
右键单击左窗格中的“HGNC”,选择“属性”项,在弹出的对话框中对POP3服务进行设置,主要在“根邮件目录”中键入新的邮件存储区的路径d:\mailroot\mailbox取代原来的默认路径c:\Inetpub\mailroot\mailbox,其余设置保持不变。
再右键单击“HGNC”,指向“新建”,单击“域”,在“域名”中输入,单击“确定”就创建了一个域。然后在域上创建39个邮箱帐号,帐号依次从、直到。拿的创建为例,步骤是:右键单击,指向“新建”,然后单击“邮箱”,在“邮箱名”中键入s1, 在“密码”中,键入邮箱的密码,然后在“确认密码”中,重新键入该密码。为了学生使用方便,邮箱密码设为123。
邮箱全部建好后再来对邮箱的最大使用空间作个限制:采取磁盘配额方式,因为邮件存储区在D盘上,将D盘配额的默认限制值设置为 20MB,这样每个邮箱最多使用的磁盘空间为20MB,39个邮箱最多总共要占780MB空间,而D盘空间有23300MB,足够使用。
再对学生用机上的电子邮件客户端Outlook Express进行相关设置。拿IP地址为192.168.1.1的学生用机的设置为例,打开此电脑上的Outlook Express,单击其菜单栏中的“工具”,再单击“帐号”,在所弹出对话框中的“邮件”标签上选择“添加邮件”就会进入邮件帐户添加向导。
在第一步中的“显示姓名”框中填自己想显示在邮箱上的名子;在第二步中选定“我想使用一个已有的电子邮件地址”项,并填入邮件地址;在第三步中选择邮件接收服务器类型是POP3服务器,并填写POP3服务器和SMTP服务器的IP地址,都为192.168.1.40;在第四步中输入帐户名为,输入密码:123;然后在第五步中单击“完成”按钮,完成邮件帐户的添加。
以后每次打开此台电脑上的Outlook Express就会自动弹出一个邮箱登录对话框,用户名已自动地填为,只要输入密码123,单击“确定”按钮,此邮件帐户就登录到了电子邮件服务器,然后就可使用这个帐户收发邮件了。如此类推,在IP地址为192.168.1.x的电子邮件客户端上添加邮件帐户(x在此代表2到39中的任一整数)。
4 网站设计
打开Frontpage2000,在其中建一个站点,站点保存为c:\Inetpub\wwwroot。主页界面如图3。网站主要由如下7部分组成:主页、计算机院简介、课程安排、网页、下载天地、计算机知识、什锦乐园。计算机院简介主要介绍本校计算机科学与技术学院的情况;课程安排主要用来一些课程的安排信息,视实际情况每学期内容都有更新;网页主要教大家如何站点;计算机知识这部分主要用来介绍计算机方面的相关知识;下载天地链接到了默认FTP站点;什锦乐园里安排了一些经典笑话、成语典故、小谜语及英语小知识等,内容不安排多以免学生分心。
5 教学实现
用一节课时间让学生学习网页的浏览、电子邮件的发送及FTP站点的上传下载,余下三个学时练习Frontpage网页制作和网站。
具体教学步骤如下:指导学生在IE浏览器地址栏中输入hgnc按回车键访问局域网服务器上的网站并进行网页浏览;指导学生在IE地址中输入ftp://hgnc并回车打开服务器上FTP站点主目录,教学生将其中所需文件下载到自己电脑上,指导学生输入ftp://hgnc/public并回车打开FTP站点的public虚拟目录,在其中进行文件的上传和下载;指导学生打开Outlook Express,在弹出的登录界面中输入密码,用已添加的帐户进行相互间邮件正文和附件的发送;指导学生用Frontpage制作简单个人站点并站点,因为服务器上没装Frontpage扩展不能通过HTTP站点,所以通过FTP站点,要求IP地址为192.168.1.x的电脑上的站点到对应ftp://hgnc/sx上(x在此表示1到39之间的任何整数),这样在服务器上检查每个人的站点和网页的完成情况比较方便,鼓励学生将所创建的站点文件夹上传到public中供大家互相参考。
6 小结
以前这块的教学中存在很多问题:有的学生在Internet上申请邮箱时就花了很长时间,更别说发送邮件和学习邮件附件的发送;Internet网上广告又多,想站点及上传下载文件都需花费比较长的时间,很多学生一看到有趣的信息早忘了要做什么;因为访问的界面不一样,老师很难统一管理,往往是学时结束了,学生除了会访问网站其余的操作基本没做。和以前相比,采取的教改措施提高了教学效率,更重要的是让学生学到了实用的知识和技能。通过这种方式不仅增加了学生间的互动性也提高了学生的积极性而且使老师的教学方法更为灵活,经过教学试点效果还不错。
参考文献:
[1]李振银.网络管理与维护[M].北京:中国铁道出版社,2004.
关键词:DNS;域名劫持;反垃圾邮件
中图分类号:TP393.1文献标志码: A文章编号:1673-8454(2014)08-0070-04
高校的信息化在师生学习生活中起到越来越重要的作用。校内外用户快速、有效、及时、准确获取校园网资源的需求越来越强烈。下面对我校如何通过对DNS的配置优化,解决我校网络中使用中遇到的部分问题,提升网络服务的品质进行介绍。
一、域名服务器部署架构
我校的DNS(Domain Name System)域名解析系统采用分布式部署,提供我校域的解析服务的DNS授权服务器与解析校内用户DNS请求的服务器分别部署。DNS授权服务器负责用户的我校域IPv4、IPv6的DNS域名请求的解析,采用主备方式。校内DNS域名请求服务器只做域名查询转发以及域名劫持。域名服务器组结构清晰,各DNS服务器的设备的负载率很低,大大降低了出现问题的影响范围。
我校校园网出口连接教育网、联通、电信链路。因为各运营商网络之间存在互联互通的问题,因此我校DNS授权域名主备服务器上有联通、教育网、电信的用户视图,对重要服务,我们根据用户源地址不同,动态解析出用户对应的网络IP地址,便于快速访问。如图1所示。
二、DNS在网络访问中的几点应用
1.对学校主页等重要应用做域名劫持
一个单位的门户网站是否能够快速访问,在某种程度上代表了一个单位的信息化水平的高低。我校的主页等信息服务不但服务于校内用户,更是大众了解我校的窗口,为了提升用户的访问体验,学校主页服务器托管于运营商的IDC(互联网数据中心)机房,校外人员访问我校主页资源受到运营商的网络带宽和速度保障,校内用户访问主页时,DNS把此域名解析到校内一台主页的服务器,学校的主页服务器与主页服务器进行资源同步,校内用户的访问主页为内网访问,速度非常快。如图2所示,所有用户都能得到快速的访问体验。
(1)校外用户访问主页步骤
①校外用户向我校对外服务的DNS授权服务器B请求解析主页地址。
②我校对外服务的DNS服务器B解析返回主页所在IDC机房服务器的域名。
www IN .
③用户向所在的DNS服务器D请求解析地址。
④DNS服务器D解析出地址A.B.C.D。
⑤校外用户访问到IDC机房的主页服务器上的信息。
(2)校内用户访问主页步骤
①用户向校内DNS服务器C请求解析主页地址。
②校内DNS服务器C将请求转发到我校DNS授权服务器B。
③DNS授权服务器B返回托管于运营商机房主页域名。
④用户向校内DNS服务器C请求解析域名。
⑤校内DNS服务器C劫持到.域名请求,返回用户校内服务器的地址:E.F.G.H。
⑥用户访问校内服务器上的信息。
说明:校内主页服务器定时与主页服务器同步信息。
域名服务器C的配置:
zone "" IN {
type master;
file
"/etc/bind/";
allow-update { none; };
};
文件内容:
@ IN .
. (
6 ; serial
10m; refresh
15m; retry
30m ; expire
5m ); minimum
@ .
ns1 INA 202.112.112.101
@ INA222.29.240.20
//服务器的地址
2.DNS在邮件服务的域名解析中的使用及作用
高校的用户邮箱是每位师生对内外联系的身份的标志。邮件服务器部署在校内,校外或国外用户访问邮件速度慢,垃圾邮件过多,邮件被国外邮箱退信、拒收等是高校邮件系统经常遇到的问题,因此用户对学校邮箱使用率很低。为了解决这个棘手的问题,除了在邮件系统本身进行设置,我们还从邮件协议上着手,从邮件传输上处理解决这些问题。
(1)提高用户邮件访问速度的感知
为了提高用户访问邮箱的速度,首先分析一下邮件服务在DNS中使用的相关记录:
①SMTP:是Simple Message Transfer Protocol(简单邮件传输协议)的缩写,默认端口是25。SMTP主要负责邮件的转发,以及接收其他邮件服务器发来的邮件。
②POP3:是Post Office Protocol3(邮局协议3)的缩写,默认端口是110。邮件客户端使用POP3协议连接邮件服务器收邮件。
③IMAP:是Internet Message Access Protocol的缩写,主要提供通过Internet获取信息的一种协议。IMAP像POP那样提供了方便的邮件下载服务,让用户能进行离线阅读等。IMAP提供的摘要浏览功能可以让你在阅读完所有的邮件到达时间、主题、发件人、大小等信息后才作出是否下载的决定。
图3中显示邮件发送接受所用到的各个协议。
因为中国的教育网及各运营商的网络之间存在互连互通问题,如果重要应用只使用教育网的地址,势必造成用户访问速度很慢。因此我校在教育网和联通分别申请了邮件服务,做了rDNS,在学校的出口防火墙做了邮箱教育网地址与公网地址的NAT转换,给邮箱服务器做了双地址解析。 用户对邮件系统使用快慢感知主要体现在用户打开邮件服务器Web界面速度的感知上,而用户对邮件从发送邮件服务器送达接收邮件服务器的快慢是不在意的。我校根据用户的源IP地址,动态解析出来对应的邮件主页地址,这样用户的访问速度都很快。邮件系统发送邮件(smtp)、接收邮件(pop3、imap)是邮件客户端与邮件服务器之间的数据传输,所以邮件记录(smtp、pop3、imap)动态解析出与用户的源地址为相应的运营商地址,保障邮件发送、接收的顺畅。
(2)提高邮件接收性
邮件系统要保障每封邮件可达。在一段时间内,邮件无法及时送到收件人邮箱的事件时有发生。邮件是否发出、送达到对方的邮箱和MX记录密切相关。
MX(Mail Exchanger)记录是邮件交换记录,它指向一个邮件服务器,用于电子邮件系统发邮件时根据收信人的地址后缀来定位邮件服务器。MX记录的作用是给寄信者指明某个域名的邮件服务器有哪些。例如,当Internet上的某用户要发一封信给 时,该用户的计算机将通过DNS查找这个域名的MX记录,假如MX记录存在,用户计算机就将邮件发送到MX记录所指的邮件服务器上。MX服务是验证在域名服务器中是否有发件邮箱后缀。为了避免因网络结构不同导致的邮件收发不了的问题,MX的值要与教育网申请的邮箱服务的ip地址的值一致。
综上,我们在DNS中对邮件服务做了如下配置:
① 教育网用户解析出来的地址:
mailIN A 222.29.216.17(邮件主页教育网地址)
pop3IN A 222.29.216.11(教育网地址)
smtpIN A 222.29.216.11(教育网地址)
imapIN A 222.29.216.11(教育网地址)
mx IN A 222.29.216.11(教育网地址)
② 公网用户解析出来的地址:
mailIN A218.106.181.17(邮件主页公网地址)
pop3IN A218.106.181.11 (公网地址)
smtpIN A218.106.181.11 (公网地址)
imapIN A218.106.181.11 (公网地址)
mx IN A222.29.216.11 (教育网地址)
如表1所示,说明各个ip地址值的设定原因。
(3)依据邮件安全策略要求,提高邮件的可达性,减少被当作垃圾邮件的可能
为了有效防范、抑制随意伪造邮件地址发送垃圾邮件,很多国外的邮件服务器都配置了SPF检查项,如果学校的DNS中不配置TXT记录SPF项,学校的邮件很容易被当作垃圾邮件抛弃掉。同时为了防止本校的邮箱接受大量伪造邮箱的垃圾邮件,也需要在邮箱服务器上设置SPF的检查要求项。
SPF是Sender Policy Framework(发送方策略框架)的缩写,2003年首次被提出,是为了防范垃圾邮件而提出来的,内容写在DNS的txt类型的记录里面,登记某个域名拥有的用来外发邮件的所有IP地址。其原理是将邮件头中的发件人地址(Reply Address)与该地址域名的TXT 解析记录进行比对,以判断该邮件是否为仿冒的电子邮件。当用户定义了他的域名SPF 记录之后,接收邮件方会根据该用户的SPF记录来确定连接过来的IP地址是否被包含在SPF 记录里面,如果在,则认为是一封正确的邮件,否则则认为是一封伪造的邮件。
SPF 字符串的参数格式:
“v=Spf1[A|MX|PTR|IP4|IP6|Include|Exists|Redirect|Exp|All]”
在DNS中设定TXT记录的SPF值为邮件服务器公网和教育网地址:
. IN TXT "v=spf1 ip4:222.29.216.11 ip4:218.106.181.11a mx ~all"(我校邮箱的教育网及公网地址)
3.DNS在出口访问的引导作用
目前,因为各运营商网络之间的互连互通问题。很多大型网站将服务器部署在各运营商的IDC(Internet Data Center,互联网数据中心)机房,网站根据用户的源IP地址动态解析出用户所在网络的网站访问地址。我校的有三个校园网出口,用户通过域名访问,依据解析出目的地址所在的网络,并从相应的网络出口出去访问。通过对校内DNS外网访问的指向(forward),用户获得相应网络的IP地址解析的数量会更多,对用户链路访问走哪个互联网出口起到引导和调整的作用。
forward only;
forwarders {
219.141.136.10; 运营商的DNS服务器
8.8.8.8;运营商的DNS服务器
};
4.保障用户的外网域名访问的健壮性
网络中的基础服务――域名服务器如果因为链路或系统等原因出现故障,将会导致校内用户上网的全面瘫痪,为了保障域名访问始终有效,我们在交换机上配置dhcp pool(地址池)指定DNS时,第一个DNS配置为校内DNS服务器地址,第二个配置为公网长期、稳定的运营商DNS地址,即使校内DNS出现链路或服务器故障,断开校内DNS服务器链路,用户DNS请求自动跳转到第二个DNS服务器,不会影响到用户的主要业务――外网访问。交换机配置如下:
#ip dhcp pool pool1
ip-pool pool1
lease-time 7 0 0
default-router10.34.1.1
dns-server10.21.1.2058.8.8.8
因为运营商之间的互联互通引起的网络互访问题,我们通过对DNS的调整解决了网络访问不畅的部分问题,达到了很好的效果。
参考文献:
关键词:手机邮箱业务;推广;安全性
随着我国通信技术的发展,手机等移动设备快速发展起来,移动通信技术也随之得到了迅速发展。电子邮箱是Internet最广泛的应用,随着手机移动通信业务4G网的快速发展,手机邮箱业务也随之得到了大力的推广。但是随着信息犯罪活动的不断出现,手机邮箱的安全性成为人们最为关注的问题。该文从手机邮箱的发展因素和安全性两个方面进行了详细的探讨。
1影响手机邮箱业务发展的因素
从1971年诞生伊始,手机邮箱已经走过了40多年的发展流程,目前,手机电子邮件信息占据了网页访问量的半壁江山,是电子邮件造就了互联网,在智能手机的普及下,邮件系统已经不再局限在固定环境中,可以满足人们随时随地获取信息的要求。对于移动运营商而言,发展手机邮箱业务,可以避免客户流失,在4G时代,移动邮件功能也成为了智能手机的标配。调查显示,影响手机邮箱业务发展的因素主要集中在两方面。
1.1手机邮箱业务发展的促进因素
从宏观角度来看,互联网中电子邮箱涉及的领域非常广泛,随着移动设备的发展,手机邮箱业务有着很大的发展潜力;另外随着无线网的发展,以及人们生活和工作节奏的加快,对于移动办公的需求逐渐增大,手机邮箱业务可以加快企业的信息流动速度和市场响应速度;从感知角度分析,人们希望能够随时与企业保持联系,习惯用邮件进行交流。这些都加快了手机邮箱业务的发展。从产业环境角度分析,运营商作为整条价值链的主导者,他们有足够的能力调动各种资源,进行有效的整合。另外手机已经得到了普及,人们对手机邮箱有深入的认识,与其他竞争产品相比,手机邮箱支持移动终端的使用,普及率也相对较高。
1.2阻碍手机邮箱业务发展的因素
从宏观环境来看,国内企业的信息化程度较低,并且企业间的信息化程度相差较大,不利于利用手机邮箱进行通信。从产业环境来看,对企业端硬件要求较高,需要配置相应的硬件或者手机。另外面临着短信、微信业务的冲击。
2手机邮箱系统安全机制的概要设计
2.1手机邮箱系统的原理和设计思路
手机邮箱系统是建立在服务器和交换机的基础上,与移动通信系统有效结合,在安全机制的保障下进行的移动设备上使用的邮箱系统。随着社会信息化进程的推进和移动设备的普及,人们对于电子邮箱的使用频率越来越高,邮箱的移动性需求也越来越强。因此电子邮箱和移动设备的整合给人们的生活和工作带来极大的便利。手机邮箱满足了人们对邮箱容量和安全性的需求,具有邮件加密、反垃圾、防病毒的特性。它的基本设计思路是:(1)最基本的就是要利用先进技术对系统本身和邮件进行安全保护。(2)设计出操作简单的界面,提高手机的易用性和操作的实时性。(3)在手机终端高效使用电子邮箱能够稳定手机用户数量。(4)朝着大容量、大附件的方向发展,对大量的邮件进行有效的管理,能够浏览大附件的邮件。(5)具有较高的扩展性,能够增加其他一些增值业务。
2.2手机邮箱系统安全机制的体系结构
手机邮箱的安全机制主要是从系统和邮件的安全两个方面进行设计的。(1)邮箱系统层面的安全机制。第一,系统设计出自动恢复功能。手机邮箱系统设计了备份和恢复机制,有效保证了数据的完整性和一致性。备份包括数据的备份和备份时间两个方面。有效对用户的各种数据进行及时更新和保存,并且我国现在研发出了自动数据备份和恢复算法,使得系统在不停止当前业务的前提下进行了自动备份,提高了工作效率。第二,系统结构的安全。手机邮箱打破了传统UNIX邮箱系统的邮箱用户和系统用户资料一致的局限,两者的分离更加保证了系统的安全。另外此系统有效实现了用户的外部请求和邮箱系统内部数据处理的隔离,最大程度地保障了用户数据的安全性。另外系统在两者之间设计了防火墙设备,使得整个邮箱系统的安全性提高了一个等级。(2)POP无锁机制。传统的POP3邮箱采用的是邮箱和文件一对一的结构,这种结构要求POP3服务器进入时首先要锁定用户邮箱,一旦系统出错很容易导致用户邮箱锁死。而手机邮箱系统则采用的是邮件与文件一对一的形式。这样就有效避免了用户邮箱锁死现象的产生,提高了POP3服务器的安全性。(3)病毒防范机制。手机邮件系统的防病毒措施主要是采用与第三方病毒厂家合作的形式,手机邮箱的病毒特征库可以在联网状态下进行同步升级,定时更新。并且加强了对附件的防病毒措施,可以对有病毒的附件进行退回、隔离等处理。这些操作可以自动进行,也可根据用户指令进行。(4)GEGW安全策略。为了防止邮箱安全问题的产生,还可以采用邮件推送网关策略,即GEGW安全策略,其系统层应用了Redhat中的AS4操作系统,应用SSH实施远程管理,SSH2协议,有效解决了传统协议的脆弱性问题。在数据层中,采用了SSL加密通道通信,运行信息直接在数据库中保存,只有特定用户才可以访问,数据库文件在磁盘阵列中储存,有效提升了数据的安全性。
3结语
作者:姚维学 浦劲松
智能化网管主要有如下特点:1.处理网络结构和网元的不确定性;2.网管系统的协作能力及互操作性;3.适应系统变化的能力;4.解释和推理能力。网络需求分析。某地市供电企业信息中心决定建立覆盖全市的网络管理系统,为做到对整个网络运行状况了如指掌,须解决以下关键业务问题:(1)帮助信息中心人员及时了解整个网络服务运行状态;(2)帮助各个层面网络管理人员协调工作,快速定位并解决网络故障;(3)预故障报警和处理监测网络通信数据,事前处理可能发生网络问题;(4)统一管理平台,减少网络系统和网络设备停工期,确保网络运行稳定性、安全性和高效率。网管产品概述。某地市供电企业通过中心网络BTNM管理平台轻松实现了对下属市县分级平台管理,实现了2级网络管理架构构筑了全市网络管理平台,由于电信网络不可管理性,技术人员在产品实施过程中将电信网络透明化,简化为简单物理连接,跨过电信宽带网络,实现对下级网络透明化实时管理,具体表现如下:(1)建立网络物理拓扑机构图;(2)用短信、电邮等工具快速精确故障告警信息;(3)建立跨厂商管理平台;(4)集成网络运行情况记录、应用监视、网络段延迟、拨号审计、IP流量审计、网络设备SNMP信息浏览、Telnet、ping、traceroute等工具;(5)生成html格式总分析报告、详细报告和大量图表,供用户分析参考。
我们采用BTNM网络运维管理系统来对网络进行管理。BTNM网络运维管理专家支持SNMPv1、v2版本,提供分层、统一的管理,在共享数据的基础上支持第三方模块开发与接入,扩展管理。通过设置搜索范围,BTNM系统会自动搜索该范围内所有支持SNMP协议可管理的设备,包括交换机、路由器、服务器、防火强等设备,并自动生成相应真实的物理网络拓朴图。网络拓扑管理。能自动勾画出整个网络的准确物理拓扑结构,将整个管理区域分为若干管理子图,支持不同管理权限的管理人员管理不同的拓扑区域;支持各厂商网络产品真实面板图管理(尤其是CISCO、网捷、北电、FORE、华为、港湾、迈普、博达等设备)真实面板图管理;支持在网络结构图上直接显示设备的连续运行时间、CPU负载、Mem利用率,直接显示各设备间每条线路实时数据流量(包括帧流量、广播流量、数据丢包情况和出错包情况等)。网络设备管理。1.能够以列表方式显示设备中所有端口的流量分布情况(包括出入端口的流量、数据帧流量、广播包流量、丢包情况和错误包情况);2.提供有关网络设备的最近故障日志查询;3.设备端口状态分析,显示各端口的实时流量情况,并提供以下各主要数据的实时情况:设备端口表、IP地址表、路由表,MAC地址表;4.设备管理:能对主机名称(含中文名称)、设备类型、制造厂商、设备描述、设备备注、设备当前负载状况、设备端口信息、设备端口分布、故障日志、配置、跨地域的设备进行管理。主机和应用服务器的管理。1.可以在拓扑图上,可以直观的反映出服务器当前的CPU负载、内存占用比、连续运行时间情况。2.支持固定主机连接在固定交换机的固定端口上,防止非法接入和IP地址盗用。3.支持服务端动状态监视和告警、WEB、FTP、POP3、SMTP、数据库服务、流媒体有效性监视和告警。4.支持对服务器的CPU、MEM、网卡流量、网络连接性能和状态等的历史记录和分析,同时还支持对Web、Mail、Ftp、Pop3、数据库服务器等的性能和响应速度的历史记录和分析。故障告警与定位。告警至少能支持以下方式的告警输出:GSM短消息告警、语音合成告警、邮件告警等,并且能够方便的调用第三方的告警程序。网络用户信息管理。1.支持跨网段、跨地域的IP地址管理,自动、动态、完整提供全网所有活动用户的网络连接位置信息,便于故障定位,问题查找。2.能在用户指定的地址范围内搜索IP地址的分布情况,提供所有可见的IP地址、MAC地址物理设备端口定位。3.IP-Mac、Mac-物理端口的对应关系可以进行输出,支持IP-Mac、Mac-端口的绑定监视。报表管理。
BTNM网络运维管理专家集成提供了性能报表系统,能够直接从历史记录数据库中获取历史数据,形成各种类型的性能分析报表,并支持将性能报表以EXCEL格式导出、成网络页面以及XML数据文件,供第三方程序调用和进一步处理。网络管理软件作为一种先进的、成熟的网络管理系统,为地市供电企业网络架构提供了一个全新的理念。达到了性能更高,可靠性更高,安全性更高,业务更丰富的同时,使得网络管理也变得越来越简单,一方面铺就了高速的网络管理通道,另一方面改变了公司传统网络管理体系架构,使新的网络管理体系架构具有更好的扩展性和可靠性。
【关键词】无线传真 T.30 3G 分组域
1 引言
无线传真技术打破了传统PsTN传真有线接入的束缚,为用户提供了一种更加方便和快捷的传真手段,被广泛的应用于政府机关、军队、公安、农林牧和移动商务等领域,并被作为山区、湖泊、近海和偏远地区等区域传真业务覆盖的有效解决手段。
现有无线传真技术主要基于2G/3G移动网络提供的电路域传真业务。受限于网络设备厂家和芯片厂家对传真功能的支持,目前只有GsM和cDMA2000网络提供正式商用的无线传真业务,且在实际使用中存在成功率低、速率低、不支持语音和传真交替等问题。
2 无线传真技术的基础――G3传真
ITU-T定义了4类传真,其中G3(Group 3)传真由于传真质量高、速度快、传真机成本低,已成为PSTN和PLMN中被最广泛应用的传真技术。
G3传真技术遵循ITU-T的T.4和T.30规范。T.4规定了G3传真文件编码格式;T.30规定了G3的通信规程,该通信规程是上层传输协议,协议本身不保证数据可靠传输。
完整的G3传真通信过程分为五个阶段:A阶段:呼叫建立,B阶段:报文前过程、C阶段:报文中过程,D阶段:报文后过程,E阶段:呼叫释放。在传真通信过程中,信令和数据传输交替进行。信令采用HDLC格式,采用V.21第二信道300bps调制信号;传真数据使用传真终端协商的调制解调方式进行传输,包括V1 7、V.29、V.27和V.34。
3 现有无线传真的实现技术
现有无线传真业务利用移动通信网电路域数据传输能力实现对G3传真的承载,及与PSTN网G3传真的互通。
3.1 系统结构
对于不同移动通信网络,无线传真实现技术的系统结构基本一致,如图1所示。
无线传真终端支持G3传真机和PC传真客户端的,接入,主要由无线Modem模块、主CPU应用、传真Modem模块和SLIC接口电路等组成。无线Modem模块通过空口建立传真业务的数据传输通道,并负责与网络侧T.30信令交互和传真数据的收发。传真Modem模块与本地传真机遵循T.30通信规程,实现与本地传真机之间传真数据的收发。主CPU与无线Modem模块和传真Modem模块之间,采用串口通信,主CPU应用通过AT指令控制两个模块实现传真业务流程的控制。
移动通信网络提供对G3传真业务的承载通道,并通过IWF完成与PSTN网之间数据格式和传输协议的转换。
3.2业务流程
以FAX CLASS2 AT指令集为例,无线传真业务流程如图2所示。
(1)本地传真机摘机,拨号;
(2)主ECPU应用向无线Modem模块发送ATD指令,模块向网络侧发起传真呼叫;
(3)被叫传真机应答,无线Modem模块与网络侧建立传真通道,PSTN侧传真机V.21 flag和DIs帧通过网络传到无线Modem模块;
(4)传真通道建立后,主ECPU应用向传真Modem模块发送ATA指令,对本地传真机的呼叫进行应答,完成A阶段和B阶段协商;
(5)EiECPU应用向传真Modem模块发送AT+FDR指令,接收训练序列,并准备接收传真数据;
(6)=kCPU应用向传真Modem模块发送AT+FDT指令,向PSTN传真机发送DCS帧和训练序列,完成B阶段协商,并准备发送传真数据;
(7)主CPu应用通过传真Modem模块接收本地传真机的传真数据,并通过无线Modem模块发送给网络。并通过IWF将数据传送至PSTN传真机。
3.3 移动通信网技术对无线传真的支持情况
(1)GSM
GSM 03 45和03 46分别定义了透明和非透明两种传输模式下的传真技术,提供自动传真业务和话音/传真交替传真业务。透明模式只提供无线信道前向纠错机制;而非透明模式下,除了无线信道前向纠错机制外,无线链路层还采用了RLP协议,引入了差错重发机制,提升了传输的可靠性。由于受网络设备和终端芯片对传真功能支持的限制,目前国内只开展了透明模式下的自动传真业务。
(2)TD-SCDMA和WCDMA
3GPP TS 23.146定义了在两种网络中的非透明模式传真技术,提供自动传真业务和话音/传真交替传真业务。基于非透明传输通道,传真终端与1wF之间采用E-T 38协议承载传真信令和数据。由于受网络设备和终端芯片对传真功能支持的限制,目前国内TD-SCDMA和WCDMA的无线传真业务尚未商用。
(3)CDMA2000
3GPP2 C S001 7-004-A和3GPP2 C.S001 7-007-A定义了CDMA2000 1x传真技术方案。CDMA2000 1X传真业务无线链路层采用RLP协议,传真终端与IWF之间采用TCP协议保证传真信令和数据传输的可靠性。目前国内CDMA2000网络提供商用的无线传真业务,但不支持话音/传真交替传真。
4 现有无线传真技术的问题
现网中使用的GSM和CDMA2000无线传真技术主要存在以下问题:
(1)成功率低
影响成功率的主要因素包括:
无线信道误码引起传真信令和数据信息错误,导致传真失败;
硬切换引起传真信令和数据信息丢失,导致传真失败;
传真机、无线传真终端和IWF等网元在传真过程中,因处理时序和重发定时器长度的适配问题,导致传真失败;
端到端网络时延如果超过重发定时器长度,可能引起收发两端同时发传真协议帧,而传真的协商阶段采用半双工方式,如果2个同时都是发送,则2个终端都无法收到需要的帧,从而导致协商交互失败。
cDMA2000传真虽然采用TCP保证传输可靠性,但在TCP重传机制引起了协议帧的更大时延,从而也增大了网络时延导致传真失败的几率。现网实际使用中,CDMA2000传真成功率与GSM相比并没有明显改善。
(2)速率低
只支持9.6kpbs的速率,而对于现网中大量采用的14.4kbps传真机,只能采用降速的方式发送。
(3)无法实现语音和传真交替
只支持自动传真方式,不支持传真语音和传真交替的业务能力。
(4)依赖于移动网技术
无线传真方案与移动网传真实现技术及传真功能支持情况紧密相关。受网络设备和芯片对传真功能支持的限制,国内尚未在TD-SCDMA和WCDMA网络中开展无线传真业务,无法充分利用3G网络带宽的优势。
5 无线传真技术演进方向
面对电路域无线传真技术的这些问题,利用分组域数据承载发展无线IP传真成为了无线传真技术新的演进方向。无线IP传真技术主要有以下优势:
(1)无线传真应用层与移动通信网技术无关,能够在不同的2G/3G网络中部署和开展无线传真业务,而不再受网络设备和芯片支持情况的限制。
(2)基于IP的无线传真方案更加灵活,既可以通过将T.30传真信令和数据封装成IP报文的方式在IP网中承载实时传真业务;也可以结合互联网技术开展非实时传真业务,并与其他丰富多媒体通信手段进行融合。
(3)能够充分发挥3G以及未来LTE技术的带宽优势,承载更高速率的传真。
(4)无线IP传真可以采用更多的手段提升传输可靠性:
提高端到端业务承载质量;
实时传真的报文采用UDPTL协议前向纠错机制,在提高传输可靠性的同时避免了重发机制引起的时延问题;
在无线网络环境较恶劣的条件下,终端发送到网络的传真数据可以采用非实时方式,避免误码或时延导致T 30通信失败。
目前无线IP传真技术方案处于研究和试验阶段,按照实现方式主要分为无线实时1P传真方案和无线非实时IP传真方案。
5.1 无线实时IP传真方案
该方案基于ITU-T T.38定义的实时IP传真技术,由无线传真终端充当T.38传真网关的角色,完成T.30传真协议到基于IPI的T.38报文的转换,并具备传真信号检测功能。
T.38传真供选择的控制协议包括H.323、H.248和SIP等,软交换网络和1MS网络都可以提供T.38传真的解决方案。对于软交换网络,无线传真终端采用H.248协议注册到媒体网关控制器(MGC),在会话过程中支持传真开始和传真结束事件的上报,配合MGC实现传真和语音之间的媒体切换。对于IMS网络,无线传真终端采用SIP协议注册成为IMS用户,支持呼叫建立过程中的媒体协商,以及呼叫过程中传真和语音之间的媒体切换。
图3是基于IMS网络的无线IP实时传真的方案。
无线传真终端除了需要传真Modem模块实现与本地传真机T.30协议适配,以及无线Modem模块建立与网络的分组域连接,还需要实现IMS用户功能,并支持T.30信令和数据到T.38格式报文的转换。
IMS核心网实现用户注册、认证鉴权、路由和会话控制等功能,SIP AS实现传真的业务逻辑和计费,MGCF/IM-MGW负责与PSTN信令面和媒体面的互通。
图4描述了IMS网络环境下无线IP实时传真方案发送传真的业务流程:
(1)无线传真终端PDP上下文激活通过分组域连接至IP承载网,并注册到IMS网络;
(2)发端传真机通过无线传真终端发起语音呼叫,双方进入语音通信;
(3)发端传真机发送带内CNG信号音,准备发送传真;
(4)无线传真终端检测到CNG信号音,发送relNVITE请求将媒体更新为T.38传真;
(5)IM-MGW检测到收端传真机发送的CED应答单音和V.21 flags,上报给MGCF;
(6)MGCF通知IM-MGCF将媒体切换到T.38传真,并向无线传真终端返回200 OK(relNVITE)响应;
(7)无线传真终端和IM-MGW建立T.38传真业务用户面,进行传真通信。
接收传真流程与之相反,是一个IMS用户的被叫流程,由MGCF发送relNVlTE请求将媒体更新为传真。
基于T 38的协议的无线IP实时传真方案与移动通信网技术无关。可以充分利用3G分组域数据承载通道以及软交换、IMS网络,实现无线实时传真在TD-SCDMA、WCDMA和CDMA2000网络中的部署,并支持语音和传真交替功能。在传输可靠性方面,T.38的IFP封包(封装T.30控制和数据信息)可以采用UDPTL协议,通过前向纠错机制实现纠错和丢包恢复,并一定程度上避免了TCP重发机制时延而导致传真失败的问题。
5.2 无线非实时IP传真方案
基于T.38的无线实时IP传真能够为用户提供实时的传真体验,但是对无线带宽有一定的要求,经过测算,速率为14.4kbps的传真约需要64kpbs的带宽。在2G网络和3G网络条件较差的环境中,将难以承载无线实时IP传真。
为了解决以上问题,采用存储转发机制的无线非实时IP传真是一种以时延换可靠性的方案,实现方案图5所不。
无线传真终端除了需要传真Modem模块和无线Modem模块,还需要实现基于SMTP/POP3协议或WebSe rvice接口与电子传真平台进行传真页面收发交互的传真应用。电子传真平台采用ISUP或SIP协议连接PSTN.实现平台与PSTN传真机之间G3传真的收发,同时采用SMTP/POP3协议或Web Service接口与无线传真终端连接,实现无线传真终端传真数据的收发。
无线非实时IP传真方案的发送传真流程为:
(1)无线传真终端接收传真机页面数据,保存为TIF格式文件;
(2)无线传真终端采用SMTP协议或Web Service接口将TIF格式文件发送给电子传真平台;
(3)电子传真平台通过T.30协议将传真数据发送给PSTN传真机。
接收传真的流程与之相反,电子传真平台接收到PSTN传真数据后,采用数据短信方式通知无线传真终端激活PDP连接,无线传真终端采用POP3协议或WebService接口从电子传真平台上获取传真数据,再通过T.30协议将传真数据发送给传真机。
由于无线传真终端和电子传真平台之间采用TCP直接传输传真页面数据,即使在低带宽和网络质量较差的环境下,也能保证传输的高可靠性。而传真机与无线传真终端之间、电子传真平台与PSTN传真之间,能够保证T.30协议的可靠传输。因此,无线非实时IP传真方案能够提供端到端高成功率的无线传真业务。时延方面,经过测试在网络正常负荷下,无线非实时IP传真方案会比无线实时传真方案延迟约1~2分钟,适合对传真时延敏感度不高但成功率要求较高的客户。
6 结束语
相比现有电路域无线传真技术,基于分组数据承载的无线IP传真技术在可靠性、速率、灵活性和移动网技术无关性等方面具有较为明显的优势。业内一直在积极探讨和研究无线IP传真技术的解决方案,并推动产品的开发、试验和商用。相信随着3G无线宽带业务的普及,基于IP的无线传真技术将逐步发展成为未来无线传真的主流技术方向,并实现与其他IP多媒体通信方式的融合,让传真业务变得更加简单、方便、快捷和可靠。
参考文献
[1]ITU-T Recommendation T.4. Standardization of Group 3 Facsimile Terminals for Document Transmission[S].
[2]ITU-T Recommendation T.30. Procedures for Document Facsimile Transmission in the General Switched Telephone Network[S].
[3]GSM 03.45. Technical Realization of Facsimile Group 3 Transparent[S].
[4]GSM 03.46. Technical Realization of Facsimile group 3 Non- transparent[S].
[5]3GPP TS 23.146. Technical Realization of Facsimile Group 3 Non-transparent[S].
[6]3GPP TS 24.229. IP Multimedia Call Control Protocol based on SIP and SDP[S].
[7]3GPP2 C,S0017-004-A. Data Service Options for CDMA Spread Spectrum Systems,. Async Data and Fax Services[S].
[8]3GPP2 C.S0017-007-A. Data Service Options for CDMA Spread Spectrum Systems: Anolog Fax Service[S].
针对企业网络信息安全中存在的种种隐患,大东网络(.cn)推出的核心产品――网络安全审计系统,分别针对政府机构、教育行业、公共领域、企业集团等不同行业,制定并实施了具有应用针对性的行业解决方案。其中DD2000网络信息审计系统是专门针对各大型集团企业研发,为其提供网络信息安全方面的解决方案,为企业切实解决网络信息安全问题。
应用背景及管理目标
长期以来,由于大东网络所在的集团企业的信息化网络一直受到来自公共网络的攻击、信息窃取、计算机病毒以及企业内部泄密等各方面的威胁,企业领导阶层备受困扰;另外,企业职员在办公过程中,浏览与工作无关的网络、P2P档案共享软件的运行、即时讯息的传送(IM),以及串流媒体的在线播放等行为,不仅降低了工作效率,也占用了大量的带宽资源,企业内部网络堵塞现象严重,对企业内部的正常网络应用形成了潜在威胁。为了帮助该集团维护其商业秘密、核心机密,解决企业在信息安全方面的困扰,大东网络根据该企业的实际情况与需求,提供了DD2000网络信息审计系统。
项目实施后发现问题
通过审计系统的流量监测模块找到了网速变慢的主要原因,企业内部存在使用BT下载的现象,网络中BT下载流量占了网络带宽的60%左右;通过审计系统的流量监测模块找到了占用网络资源最多的IP地址;通过审计系统的网络行为审计模块发现网络中访问的与企业工作无关的信息IP地址及无关内容;通过审计系统的数据库审计模块查看企业内部用户对数据库的操作步骤及内容,P2P档案共享软件的运行不规范。
提出解决方案
优化网络的主要依据就是了解网络中各协议、各种数据包所占的比例,如果出现网络故障,需要找到引起网络故障的源头才能解决。该集团将DD2000网络信息审计系统部署在其中央服务器上,通过DD2000网络信息审计系统的统计监测功能,找到了企业内部网速慢的主要原因之一,就是企业内部有员工使用BT下载,占用了大量的企业带宽资源。而通过部署该系统,将企业内部使用BT下载者的IP和MAC地址进行定位、对其BT下载进行流量限制等,实现了规范企业员工上网行为的目的,大大提高了企业网络的运行速度。
具体实施
对BT下载进行流量限制;绑定IP/MAC地址,根据管理员定义的IP地址以及端口号对特定的协议进行实时的跟踪并记录原始的数据报文,同时记录各个网站的点击量,设置流量异常事件(包括字节数、数据包数、增量数等)进行实时的报警;对QQ、MSN、ICQ、雅虎通等即时通信协议进行详细的实时监控、审计,并可以对操作过程进行回放。
项目实施效果评估
通过对该企业实施大东网络审计系统之后,企业网管人员对企业网络的HTTP、POP3等基本网络应用协议实现了详细的实时监控、审计;对网络中Windows共享文件的运行进行审计,实时记录网络用户对Windows共享文件的各种操作,记录下了相应的原始文件,并对以上操作过程完整回放;对网络中的IP流量进行实时监测,并根据预先设置的策略对突发或意外事件进行合理处置。
近年来,国家对网络信息安全的重视程度日益提升,2012年,国务院《关于大力推进信息化发展和切实保障信息安全的若干意见》(国发[2012]23号)提出建设我国网络与信息安全保障体系的要求,十报告中19处提及信息技术与信息安全,并提出“健全信息安全保障体系”的目标。在此大背景之下,基础电信企业和增值IDC/ISP企业作为互联网建设和接入的第一主体,承担起信息内容安全防护及溯源定位的安全责任。2012年,工信部电管局《工业和信息化部关于进一步规范因特网数据中心业务和因特网接入服务业务市场准入工作的通告》,宣布恢复跨地区IDC、ISP许可申请,并在申请实施方案中明确要求新申请企业需建设信息安全管理系统,具备基础数据管理、访问日志管理、违法违规网站及违法信息发现处置等技术能力。2013年,基础电信企业责任制考核中加入了移动上网日志留存与IDC/ISP信息安全管理系统建设相关考核指标。伴随着基础企业责任制考核、IDC/ISP企业准入/年检实质性评测工作的开展,信息安全的测试工作量也迅速上升,信息安全测试技术手段的建设与评测要求日益迫切,根据测算在移动上网日志留存系统测试中,每种上网方式拨测量约1.1万次,针对IDC/ISP信安管理系统测试,每处局址EU拨测量约2万次,而在某些违法信息监测效果评估项目中,一轮测试的拨测量就超过24万次,一年中累计拨测量达到了数百万次。为配合相关考核及准入评测工作,迫切需要开发和完善稳定、高效、可靠的移动应用拨测工具套件,以便提高有关信息安全技术系统/设备的现网技术测试效率,规范拨测操作、简化评测实施难度,为此我们根据移动上网日志留存系统、IDC/ISP信息安合移动网络业务特点,针对互联网上主流应用协议及应用场景进行了分析,自主研发了具备HTTP、HTTPS、FTP、SMTP等11种公开协议、基于TCP和UDP的2种私有协议的的拨测套件。
2系统设计及功能说明
2.1系统功能简介
本文所述信息安全综合拨测工具指的是具备用户网络行为模拟,具备各类网络协议拨测,用于验证企业日志留存准确性、违法信息处置有效性的综合拨测系统。
2.2系统设计框架
本项目研究内容主要是拨测系统的各功能模块实现,根据现有测试需求,分为移动业务拨测工具、桌面业务拨测工具、服务端业务参考网站及辅助模块四个部分,框架示意图如图1所示。本项目研究内容将主要围绕上述模块的应用协议设计及实现、拨测方案设计及实现、测试结果统计及报告导出等实现具体功能。
2.3功能模块说明
2.3.1移动业务拨测工具本模块实现移动业务访问和用户行为模拟,在终端选型中主要考虑可靠性强,可编程行完善,能主流厂商量产便携终端、支持多种移动制式(2G/3G/4G)。支持Wi-Fi、支持USB及扩展存储,并具有主流操作系统,能便捷地开发移动终端应用,操作系统应支持多种硬件,经过筛选,最终确定了An-droid操作系统,并考虑到制式支持全面等问题,优先选取全网通终端。软件功能上,拨测工具开发具备如下多种功能。•支持多种拨测协议(HTTP、FTP、SSH、SMTP、POP3、IMAP、SMTPS、IMAPS、DNS、NTP、SNMP及自定义端口的拨测)。•支持拨测(HTTP、Socks),能通过协议进行HTTP拨测。•支持数据对比,能支持大小写敏感的文件列表匹配,支持几万条URL直接对比。•支持多线程拨测,能根据CPU核数和网络环境进行自动调整。•支持用户行为定义,能配置时间间隔,定义同一TCP流中是否进行多次HTTP请求。•能定义HTTP请求的UA信息。•自定义超时配置,能根据网络环境定义HTTP请求及响应的超时信息。•项目管理,支持以项目为单位,对拨测结果进行统计、导出。•报告导出,支持用户拨测记录按照指定格式导出测试记录报告。•地理位置识别,能通过GPS和网络自动定位当前拨测地点。•手机号码识别,能自动识别SIM卡中的手机号码,对于不能识别的SIM卡,支持以IMSI为标识符的手动管理。•服务端同步管理,支持URL远程下载,支持URL远程上传。•自动更新,支持云端自动检测软件版本,支持自动下载更新。•错误反馈,支持在程序崩溃后自动将错误日志提交远程服务器,支持错误后自动重启。•授权管理,支持机器码相关的授权管理,支持远程授权验证。开发的UI界面摘选如图2所示。2.3.2桌面业务拨测工具本模块实现桌面业务访问和用户行为模拟,在终端选型中主要考虑可编程性完善、便携性强,具有主流操作系统,能便捷的开发桌面应用程序,主流厂商量产便携终端、支持Wi-Fi、支持USB及扩展存储,通过USB扩展移动上网功能。功能上拨测工具与移动业务拨测工具类似,不同之处在于桌面业务拨测工具性能更强,能具备支持高并发、大流量的拨测能力,且能支持验证功能。开发的UI界面摘选如图3所示。2.3.3服务端业务参考网站本模块配合拨测工具实现服务端业务系统模拟,设计中主要考虑系统需具备可靠性,能承担大压力的业务会话处理,具备可扩展性,具备丰富的应用接口,最终选定用PHP下的bootstrap框架、Python下的Tornado框架以及MySQL实现服务端业务参考网站。功能上支持如下功能。•多种协议响应回显功能(HTTP、FTP、SSH、SMTP、POP3、IMAP、SMTPS、IMAPS、DNS、NTP、SN-MP及自定义端口的回显)。•支持日志查询,包括各类协议,各个字段查询。•支持拨测记录统计,可按单位和终端两个维度统计用户的拨测工作量及拨测所在网络。•支持各类管理操作,具备客户端注册管理、客户端校验回显、公网URL分配、企业导出URL管理、APK应用版本升级管理、服务器信息管理、应用崩溃日志管理。业务系统示意图如图4、图5所示。2.3.4辅助模块本部分主要包括业务爬虫、拨测列表筛选器和服务器三个组成部分,具体说明如下。•业务爬虫爬虫编写较为复杂,为此我们考虑其编写框架应具有可扩展性,具备丰富的编程扩展库,具备丰富的程序接口;此外需具备高效性,具备高效爬取互联网上业务URL的能力;考虑到可靠性,具备在服务器上持续运行的稳定性,最终我们选用了Python下的Scrapy爬虫框架,并况下1天可爬取500万条公网URL,能高效的实现业务上对URL的爬取。•拨测列表筛选器拨测列表筛选器需要是对业务爬虫爬取的URL进行筛选,能从大量的URL中挑选出实际可用的URL,主要功能需包括去除重复URL、去除非法URL(含非法字符)。考虑到测试的高效性,我们筛选中还会针对性的帅选URL目的文件较小的测试样本,以便在测试中提升测试效率,并节约流量。•服务器服务器目前Linux平台下具备相关成熟应用,我们将其整合到参考网站中,功能具备HTTP、HTTPS、Socks、DNS、FTP等各种协议,考虑到通用性,我们选用了3Proxy作为服务器应用,但在应用中我们发现3proxy对HTTP的PATH支持有限,部分情况下会出现URL转发错误,最终针对HTTP我们选用了更为成熟的squid3作为应用服务器。辅助模块的运行示意图如图6所示。
3项目难点、创新性及亮点
项目研究过程中我们发现存在若干难点,并创新性的提出了针对性解决方案,列举如下。一是如何在信息安全拨测中获取网络日志信息。测试需要源IP、源端口等详尽数据,但仅在客户端中无法得到上述信息,只有服务端才能获取相关数据,而标准的网络应用协议并不会传输上述网络日志信息,因此本项目在协议实现中,基于现网网络协议进行了流程改造,不仅能实现网络应用协议交互,还能传输测试所需的源IP、源端口、访问时间等日志信息。二是如何更好的模拟终端用户行为。在HTTP协议拨测中,传统的测试均只在一个TCP流中传输一次协议请求,但在现网环境,用户的一次交互会产生多次HTTP请求,并在同一个TCP流中完成,对于上述用户现网真实行为,需要在测试中进行重现。为此我们在测试工具实现时,支持针对不同用户行为的定制,可定义测试中是否进行重练接。在实际测试中发现,启用重练接后能有效验证企业测试中是否存在协议漏控现象。三是如何提高拨测效率。信息安全拨测的量巨大,测试耗时较长,曾经在某省测试中发现在3G网络下进行一次实验环境的测试耗时8个小时,为提高测试效率,本工具从技术实现、测试目标筛选、网络响应等方面进行了创新改造。首先是采用多线程并发的技术提高单位时间的拨测量,同时针对移动平台处理器性能较低的特点,我们在拨测算法上进行了优化,以便充分利用测试工具性能。其次是筛选测试目标。测试前,我们会通过爬虫程序对网络测试目标进行爬取,爬取中会判断筛选出延时小、访问便捷的测试目标作为拨测对象。提升实际测试中的效率。再次我们对自己的服务段业务参考网站进行了拨测方面的优化,采用了smarty框架进行模板渲染,能大大加强业务参考网站的并发性能,更好的响应拨测需求。四是如何确保测试结果准确性。测试工作涉及基础企业考核和准入企业牌照申请,因此需确保测试结果准确,结果不存在争议。为此我们会对测试过程进行详细的日志记录,留存好中间数据,包括每次的测试访问时间、服务器回应数据、拨测工具记录数据等。以确保测试过程所有数据均有据可循。同时为了确保测试结果的有效,我们还实现了从中间数据直接导出测试结果和测试报告的功能,即保证测试过程详细,又确保测试结果直观。
4应用现状
大约3年前,笔者曾经参与过某机构针对安全审计与应用控制类产品的测试规范制订工作。那时的安全审计类产品已经很成熟,国家、公安部与各行业都有相应的测试评估标准;应用控制类产品则借P2P、IM等应用的高速发展呈方兴未艾之势,功能与产品形态都不统一。当时笔者最深刻的感受,当数两者间的融合趋势。随着应用模式的改变,传统的安全审计产品开始对各类P2P、IM软件提供支持,国内某些产品甚至可以屏蔽此类应用;应用控制类产品也不安于仅仅阻断或给应用限速,很多都实现了对下载文档信息和对话内容的审计。功能上的取长补短促进了两类产品的融合,时至今日,我们已经可以看到许多兼具审计与应用控制功能的安全产品。本次凹凸网络科技送测的SifoScopes CM系列网络行为检测系统,就是这样一个融合的典型范例。
安全审计与应用控制的前提,是正确地识别各类协议。有了这个基础,才能谈审计或控制。作为融合了两者功能的新一类产品,SifoScopes可以识别多种应用层协议,并对某些特殊形态的应用提供支持。该产品对各类相关标准所要求的HTTP、FTP、SMTP、POP3和Telnet协议提供了较强的审计能力,可以详细记录用户浏览的网页内容、通过HTTP协议上传下载的文件、FTP上传下载的信息、所有往来信件与附件及Telnet下的交互数据。IM类应用也在被审计之列,除了常见的MSN、MSN Web Messenger、Yahoo Messenger等采用明文传输的软件外,SifoScopes还支持QQ与Skype这两种国内常见的采用加密传输的应用。针对Web Mail应用逐渐增多这一趋势,SifoScopes也提供了有针对性的审计功能。该产品目前可以识别多达12种主流的Web Mail服务,包括微软Exchange服务器内置的Web Mail界面。
罕有产品可以解析QQ与Skype使用的协议,更不要说对内容进行审计。笔者特别针对这两种应用进行了测试,结果令人震惊。由于QQ采用了密文传输,用户需要在登录前先进入设备提供的特殊页面输入QQ账号与密码,接下来SifoScopes就可以记录一切聊天信息,甚至连QQ群中多人会话的内容也不例外。针对Skype的审计功能更为惊人,除文本外,语音通信亦在支持之列。众所周知,Skype数据流采用了极强的加密算法,单纯网关设备几乎不可能对其进行解密。SifoScopes采用了变通的方法实现该特性,如果用户要使用Skype,必须先从特殊页面下载安装一个客户端,嵌套在Skype上层对明文的文本和语音进行记录,再传送至SifoScopes。双向语音内容以不同声道的方式保存为MP3文件,避免后期审计时还需要分离语音的麻烦。
融合的另一半是应用控制,SifoScopes主要还是针对P2P与IM类应用提供这部分功能。目前可控的P2P应用多达11种,其中包括了在国内应用广泛的BT、eDonkey和迅雷。笔者曾经遇到过个别应用控制设备对同协议族下的不同客户端控制效果不一致的情况,例如比特精灵被屏蔽的同时比特彗星仍可下载; SifoScopes在测试中没有出现这样的问题,主流P2P应用和不同客户端都被很好地屏蔽。可控IM应用的种类相比审计功能多了Google Talk,基本涵盖了国内常见的应用。与众不同的是,该产品还可以屏蔽MSN Web Messenger、Buddy、WebQQ等15种基于网页的即时通信客户端,基本堵死了内网用户的IM之路。既然包含了对传统P2P、IM和WebIM、Web Mail应用的识别功能,特征库的更新就显得尤为重要。凹凸网络科技为SifoScopes CM系列产品提供了永久的系统及特征库升级服务,这一点非常令人满意。不过,该产品尚不能实现对IM应用中文本、语音、视频的信令级控制,控制细粒度还有待加强。
还有一个不可忽视的非技术问题,那就是审计涉及到的隐私保护和法规遵从。这一点,所有具备安全审计特性的产品都应特别注意。国外产品通常在这方面比较完善,因为很多国家都有相关法律对企业员工的个人隐私保护作出明确规定。在网络中部署安全审计产品,于情、于理、于法,都应该对被审计者有明确的提示,并做出免责声明。免责声明还应考虑到外部用户,举个例子,笔者给某些跨国大公司的同仁发MSN消息时,都会收到安全审计产品以MSN消息形态发来的免责声明,明确告诉我即时通信内容正受到审核。SifoScopes在这方面做得并不完善,只有IM类软件登录时会有相关提示。而电子邮件、网页浏览等应用虽然也受到审计,却没有任何提示及免责声明。
关键词 安泰公司 综合信息管理系统 手机终端 企业管理
中图分类号: P208 文献标识码:A
1系统建设意义
1.1项目需求
禹州安泰煤业有限公司成立于2010年,负责集团在禹州矿区重组煤矿的管理工作。公司下辖的整合小煤矿在禹州分布较广,存在点多面广的特点,管理难度较大。公司亟需一套方便快捷、简单实用的信息化管理系统来实现对安泰煤业的生产安全进行立体、全覆盖的监管工作。
1.2业务概述
移动综合管理系统是通过各种通用的数据库接口,与煤矿生产单位的井下人员定位、井下广播、井下通信以及井下环境监控等多个系统进行无缝链接,将管理平台中大量的重要信息充分提取出来,通过无线网络进行远程数据通信,通过手机终端界面直观地将相关数据展现给煤矿领导和相关管理人员。
1.3业务模块
(1)安全生产监控模块:将现有系统中安全监测数据、设备运行数据延伸至移动终端查询;
(2)人员定位模块:将现有系统中的人员定位延伸至移动终端查询;
(3)视频监控模拟:将现有视频监控延伸至移动终端查看;
(4)报表查询模块:将煤矿生产过程中的各类报表在移动终端进行呈现;
(5)信息公告模块:随时煤矿重要安全生产信息给制定人员,实现信息互通;
(6)安泰公文模块:面向特定人员,安泰公司重要公文,使其在第一时间就可通过移动终端查看公司重要指示精神,该功能仅面向特定人员开放。
2技术实现方案
2.1系统架构
禹州安泰煤业移动综合管理系统采用分层级架构设计开发,主要包括智能终端信息展示、移动通信网络接入、移动综合管理系统融合业务支撑服务平台、现有信息系统对接四个部分。
2.1.1移动终端信息展现
移动综合管理系统展现移动客户端软件系统部署在智能手机或其他智能移动终端上,应用模块包含:安全生产监控、人员定位、井下视频监控、生产和经营报表、信息公告、安泰公文。
2.1.2移动网络接入
安泰煤业公司选用许昌移动网络做网络接入,即安泰煤业公司移动综合管理系统防火墙连接许昌移动公司数据专线网络。
安泰煤业移动客户端用户通过APN加密隧道访问E矿山业务平台,实现端到端的安全信息管控。
2.1.3移动综合管理系统融合业务支撑服务平台
(1)移动终端业务组件:移动终端接入访问的处理,包括信息处理及路由、用户认证、QoS控制等。
(2)Web应用服务组件:将煤矿的各类应用与移动通信网安全无缝的结合,通过安装和开发应用接入适配插件,完成不同IT系统的接入。
数据库服务组件:存储移动综合管理系统业务交互的数据。
2.1.4现有信息系统对接
安泰煤业公司现有的安全生产监控系统、人员定位系统、井下视频监控系统等系统是移动综合管理系统的唯一信息数据来源,移动综合管理系统提供行业标准接口规范与现有信息系统进行对接。
2.2系统接口
移动综合管理系统能够提供丰富的接口功能,并提供多重应用接口扩展模块,以实现应用系统的扩展。支持SMS方式主动下发,也可以提供定制客户端等方式通过移动终端进行互动。
2.2.1与安泰煤业信息系统接口
该接口与内部现有信息系统交互(安全监测、人员定位、视频监控系统等),包括标准协议接口和非标准接口:
标准协议接口:pop3/smtp/exchange/domino/http。
非标协议接口:数据库适配接口封装;API接口(windows、AIX、Solaris、HP-UX、Linux支持,C、C++、JAVA、Delphi开发语言支持,支持Web Service)其中数据适配接口,只要客户定义数据接口,开放业务数据源,就可实现相关的业务功能,要求支持如下类型数据源:Oracle/Microsoft SQLServer/Sybase。
2.2.2与移动通信网络的接口
(1)短信接口,支持SMS业务功能接入。
(2)MM7接口,支持MMS业务功能接入。
(3)WAP push接口,支持WAP,MMS,SMS消息push接入。
2.3平台能力
2.3.1系统处理能力指标
在持续 100个并发压力下,系统应较为稳定,事务成功率要达到 100%,系统平均响应时间在 3秒以内。
2.3.2可靠性指标
为保证系统的高可靠性,数据硬盘应采用磁盘阵列或镜像设置,主处理机双备份等措施,并提供在线数据备份的手段。系统关键软件、硬件应有一定的备份措施,保证系统的不间断运行,系统应具有软件、硬件故障在线恢复的能力。本系统应要求高可靠率,保证系统在最大的时间内都能够正常运作。