時間:2023-05-30 10:28:48
開篇:寫作不僅是一種記錄,更是一種創(chuàng)造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇pop3協(xié)議,希望這些內(nèi)容能成為您創(chuàng)作過程中的良師益友,陪伴您不斷探索和進(jìn)步。
關(guān)鍵詞:IRC協(xié)議 僵尸網(wǎng)絡(luò) SMTP/pop3協(xié)議 BOT程序
中圖分類號:TP393 文獻(xiàn)標(biāo)識碼:A 文章編號:1007-9416(2012)02-0218-01
在網(wǎng)絡(luò)日益普及的今天,互聯(lián)網(wǎng)上的各種攻擊方法層出不窮,比較典型的有蠕蟲(Worm)、分布式拒絕服務(wù)攻擊(DDos)、垃圾郵件(Spam)、網(wǎng)絡(luò)仿冒(Phishing)和間諜軟件(Spyware)等,雖然這些攻擊方法不盡相同,但是都有一個共同的地方,即攻擊的平臺是一樣的――僵尸網(wǎng)絡(luò)。通過僵尸網(wǎng)絡(luò)來實施網(wǎng)絡(luò)攻擊行為,可以簡化攻擊步驟,提高攻擊效率并且隱藏攻擊者的身份。
1、相關(guān)研究
1.1 IRC僵尸網(wǎng)絡(luò)原理
互聯(lián)網(wǎng)中繼聊天(Internet Relay Chat,IRC)是芬蘭人Jarkko Oikarinen提出的網(wǎng)絡(luò)聊天協(xié)議。攻擊者利用該協(xié)議首先在公共或者秘密設(shè)置的IRC聊天服務(wù)器中開辟私有聊天頻道作為控制頻道(僵尸程序中預(yù)先包含了這些頻道信息),而后當(dāng)僵尸計算機(jī)運行時,僵尸程序便會自動尋找、連接這些控制頻道并收取頻道中的消息,最后攻擊者就通過控制頻道向所有連線的僵尸程序發(fā)送指令從而控制這個網(wǎng)絡(luò)。
1.2 郵件協(xié)議分析與利用
郵件協(xié)議給了用戶一個完整的信息發(fā)送和接受過程,所以利用這個過程就可以進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)傳輸,這個過程要經(jīng)過服務(wù)器的中轉(zhuǎn)和登錄過程。我們在實際測試依托的是校園網(wǎng)的郵箱系統(tǒng),發(fā)信收信都在同一個郵箱。設(shè)計程序主要包括兩部分,一個先登錄到POP3服務(wù)器查看有沒有新的郵件,若沒有則不停地登錄并查看,另外一個登錄到SMTP服務(wù)器發(fā)信。在這個過程中,郵件的發(fā)送和接受是基于Socket連接傳送數(shù)據(jù),這便為打造僵尸網(wǎng)絡(luò)提供了可能。
2、郵件僵尸網(wǎng)絡(luò)的設(shè)計
2.1 設(shè)計原理
如圖1所示,僵尸網(wǎng)絡(luò)的主要部分是Server端的BOT程序。BOT程序運行后,連接到程序內(nèi)置的POP3服務(wù)器地址,查看是否帶有特定標(biāo)記的郵件,若沒有,則一段時間后,BOT再次登錄查看,若此時攻擊者發(fā)出了帶有攻擊命令的郵件,BOT就分析出里面的命令并執(zhí)行。對于僵尸網(wǎng)絡(luò)的控制者,只需要登錄某個SMTP服務(wù)器,向指定的郵箱里發(fā)送一封帶有命令的郵件就可以所有對BOT計算機(jī)的控制。當(dāng)然,地址可以內(nèi)置多個,這樣就為連接提供多種選擇,從而增加了僵尸網(wǎng)絡(luò)的健壯性。
2.2 設(shè)計優(yōu)點
由于郵件系統(tǒng)的重要性,所以力圖使用關(guān)閉僵尸網(wǎng)絡(luò)的控制服務(wù)器或是將其使用的域名取消的方法來解散僵尸網(wǎng)絡(luò)是很難做到的,這體現(xiàn)了穩(wěn)定性。由于郵件的發(fā)送和接收并不一定要在同一郵件服務(wù)器上進(jìn)行,其他的SMTP服務(wù)器也就在無形之中充當(dāng)了跳板,這體現(xiàn)了安全性。
3、郵件僵尸網(wǎng)絡(luò)的實現(xiàn)過程
在構(gòu)建僵尸網(wǎng)絡(luò)的過程中,只要是支持POP3和SMTP登錄的郵件系統(tǒng)都是可以利用的。根據(jù)郵件發(fā)送和接收的命令碼,按照協(xié)議的過程和格式來發(fā)送和網(wǎng)絡(luò)數(shù)據(jù)就可以完成郵件僵尸網(wǎng)絡(luò)的建立。其中接受郵件模塊的實現(xiàn)過程如下:
(1)定義緩沖區(qū);
(2)創(chuàng)建一個無限循環(huán),每過一段時間就登錄POP3服務(wù)器查看有沒有郵件;
(3)創(chuàng)建SOCKET句柄,得到POP3服務(wù)器IP地址,POP3服務(wù)對應(yīng)的端口是110;
(4)連接到服務(wù)器;
(5)從服務(wù)器接收數(shù)據(jù);
(6)登錄到POP3服務(wù)器;
(7)服務(wù)器返回郵箱的狀態(tài)信息;
(8)查看郵件,通過郵件頭查看是不是命令郵件,若不是命令郵件,則BOT不做處理。
(9)BOT判斷執(zhí)行命令。
(10)執(zhí)行完后退出。
發(fā)送郵件模塊和接收郵件模塊比較相似,按照SMTP命令碼一步一步按照協(xié)議的過程來寫就行了。
4、結(jié)語
僵尸網(wǎng)絡(luò)是黑客進(jìn)行網(wǎng)絡(luò)攻擊的常見手段,他們?yōu)榱藦木W(wǎng)絡(luò)中追求更大的利益會不斷更新攻擊方法,這就注定了從事網(wǎng)絡(luò)安全的工作人員與黑客的較量是一場艱苦的持久戰(zhàn)。因此我們要不斷地關(guān)注、研究僵尸網(wǎng)絡(luò),及時制定出預(yù)防的各種方案,以保證我們工作和學(xué)習(xí)的網(wǎng)絡(luò)環(huán)境更加安全。
參考文獻(xiàn)
[1]王東崗.僵尸網(wǎng)絡(luò)的發(fā)現(xiàn)與控制[J].山西通信科技,2007,28(1):8-11.
[2]王巖.基于IRC協(xié)議的BotNet性能研究[J].安徽大學(xué)學(xué)報(自然科學(xué)版),2006,30(6):26-28
[3]Kevin Johnson著,科欣翻譯組譯,Internet Email協(xié)議開發(fā)指南,機(jī)械工業(yè)出版社,2000.
[4]范春風(fēng).淺析“僵尸網(wǎng)絡(luò)”[J].大學(xué)時代(B版),2006(2):66-67.
[5]Chabchoub Y,Fricker C,Guillemin F.Adaptive algorithms for identifying largeows in IP traffic[EB/OL].(2009-01-30)[2009-04-15]. hal.inria.fr/docs/00/35/73/43/PDF/Hal.pdf.
21端口
端口說明:21端口主要用于FTP(FileTransfer Protocol,文件傳輸協(xié)議)服務(wù),F(xiàn)TP服務(wù)主要是為了在兩臺計算機(jī)之間實現(xiàn)文件的上傳與下載,一臺計算機(jī)作為FTP客戶端,另一臺計算機(jī)作為FTP服務(wù)器,可以采用匿名(anonymous)登錄和授權(quán)用戶名與密碼登錄兩種方式登錄FTP服務(wù)器。
Windows中可以通過Internet信息服務(wù)(1lS)來提供FTP連接和管理,也可以單獨安裝FTP服務(wù)器軟件來實現(xiàn)FTP功能,比如常見的FTP Serv-U。
操作建議:因為有的FTP服務(wù)器可以通過匿名登錄,所以常常會被黑客利用。另外,21端口還會被一些木馬利用,比如Blade Run-net、FTP Trojan、Doly Trojan、WebEx等。如果不架設(shè)FTP服務(wù)器,建議關(guān)閉21端口。
23端口
端口說明:23端口主要用于Telnet(遠(yuǎn)程登錄)服務(wù),是Internet上普遍采用的登錄和仿真程序。同樣需要設(shè)置客戶端和服務(wù)器端,開啟Telnet服務(wù)的客戶端就可以登錄遠(yuǎn)程Tel-net服務(wù)器,采用授權(quán)用戶名和密碼登錄。登錄之后,允許用戶使用命令提示符窗口進(jìn)行相應(yīng)的操作。在Windows中可以在命令提示符窗口中,鍵入“Telnet”命令來使用Telnet遠(yuǎn)程登錄。
操作建議:利用Telnet服務(wù),黑客可以搜索遠(yuǎn)程登錄Unix的服務(wù),掃描操作系統(tǒng)的類型。而且在Windows 2000中Telnet服務(wù)存在多個嚴(yán)重的漏洞,比如提升權(quán)限、拒絕服務(wù)等,可以讓遠(yuǎn)程服務(wù)器崩潰。Telnet服務(wù)的23端口也是TTS(Tiiny Telnet Server)木馬的缺省端口。所以,建議關(guān)閉23端口。
25端口
端口說明:25端口為SMTP(Simple MailTransfer Protocol,簡單郵件傳輸協(xié)議)服務(wù)器所開放。主要用于發(fā)送郵件,如今絕大多數(shù)郵件服務(wù)器都使用該協(xié)議。比如我們在使用電子郵件客戶端程序的時候,在創(chuàng)建賬戶時會要求輸入SMTP服務(wù)器地址,該服務(wù)器地址默認(rèn)情況下使用的就是25端口。
端口漏洞:
1利用25端口,黑客可以尋找SMTP服務(wù)器,用來轉(zhuǎn)發(fā)垃圾郵件。
2. 25端口被很多木馬程序所開放,比如:Aian、Antiqen、Email Password Sender、ProMail、troian、Tapi ras、Terminator、WinPC、WinSpy等。拿WinSpy來說,通過開放25端口,可以監(jiān)視計算機(jī)正在運行的所有窗口和模塊。
操作建議:如果不是要架設(shè)SMTP郵件服務(wù)器,可以將該端口關(guān)閉。
53端口
端口說明:53端口為DNS(Domain NameServer,域名服務(wù)器)服務(wù)器所開放,主要用于域名解析,DNS服務(wù)在NT系統(tǒng)中使用的最為廣泛。通過DNS服務(wù)器可以實現(xiàn)域名與IP地址之間的轉(zhuǎn)換,只要記住域名就可以快速訪問網(wǎng)站。
端口漏洞:如果開放DNS服務(wù),黑客可以通過分析DNS服務(wù)器而直接獲取Web服務(wù)器等主機(jī)的IP地址,再利用53端口突破某些不穩(wěn)定的防火墻,從而實施攻擊。美國一家公司也公布過10個最易遭黑客攻擊的漏洞,其中第一位的就是DNS服務(wù)器的BIND漏洞。
操作建議:如果當(dāng)前的計算機(jī)不是用于提供域名解析服務(wù),建議關(guān)閉該端口。
67、68端口
端口說明:67、68端口分別是為Bootp服務(wù)的Bootstrap Protocol Server(引導(dǎo)程序協(xié)議服務(wù)端)和Bootstrap Protocol Client(引導(dǎo)程序協(xié)議客戶端)開放的端口。
Bootp服務(wù)是一種產(chǎn)生于早期Unix的遠(yuǎn)程啟動協(xié)議,我們現(xiàn)在經(jīng)常用到的DHCP服務(wù)就是從Bootp服務(wù)擴(kuò)展而來的。
通過Bootp服務(wù)可以為局域網(wǎng)中的計算機(jī)動態(tài)分配lP地址,而不需要每個用戶去設(shè)置靜態(tài)IP地址。
端口漏洞:如果開放Bootp服務(wù),常常會被黑客利用分配的一個IP地址作為局部路由器通過“中間人”(man-in-middle)方式進(jìn)行攻擊。
操作建議:建議關(guān)閉該端口。
69端口
端口說明:69端口是為TFTP(Trival FileTranfer Protocol,次要文件傳輸協(xié)議)服務(wù)開放的,TFTP是Cisco公司開發(fā)的一個簡單文件傳輸協(xié)議,類似于FTP。
不過與FTP相比,TFTP不具有復(fù)雜的交互存取接口和認(rèn)證控制,該服務(wù)適用于不需要復(fù)雜交換環(huán)境的客戶端和服務(wù)器之間進(jìn)行數(shù)據(jù)傳輸。
端口漏洞:很多服務(wù)器和Bootp服務(wù)一起提供TFTP服務(wù),主要用于從系統(tǒng)下載啟動代碼。可是,因為TFTP服務(wù)可以在系統(tǒng)中寫入文件,而且黑客還可以利用TFTP的錯誤配置來從系統(tǒng)獲取任何文件。
操作建議:建議關(guān)閉該端口。
79端口
端口說明:79端口是為Finger服務(wù)開放的,主要用于查詢遠(yuǎn)程主機(jī)在線用戶、操作系統(tǒng)類型以及是否緩沖區(qū)溢出等用戶的詳細(xì)信息。比如要顯示遠(yuǎn)程計算機(jī)上的user01用戶的信息,可以在命令行中鍵入“finger ”即可。
端口漏洞:一般黑客要攻擊對方的計算機(jī),都是通過相應(yīng)的端口掃描工具來獲得相關(guān)信息的。比如使用“流光”就可以利用79端口來掃描遠(yuǎn)程計算機(jī)操作系統(tǒng)版本,獲得用戶信息,還能探測已知的緩沖區(qū)溢出錯誤。這樣,就容易遭遇到黑客的攻擊。而且,79端口還被Firehotcker木馬作為默認(rèn)的端口。
操作建議:建議關(guān)閉該端口。
80端口
端口說明:80端口是為HTrP(HyperTextTransport Protocol,超文本傳輸協(xié)議)開放的,這是上網(wǎng)沖浪使用最多的協(xié)議,主要用于在WWW(World Wide Web,萬維網(wǎng))服務(wù)上傳輸信息的協(xié)議。我們可以通過HTTP地址加“:80”(即常說的“網(wǎng)址”)來訪問網(wǎng)站,比如.cn:80,因為瀏覽網(wǎng)頁服務(wù)默認(rèn)的端口號是80,所以只要輸入網(wǎng)址,不用輸入“:80”。
端口漏洞:有些木馬程序可以利用80端 口來攻擊計算機(jī),比如Executor、RingZero等。
操作建議:為了能正常上網(wǎng)沖浪,我們必須開啟80端口。
99端口
端口說明:99端口是用于一個名為“Metagram Relay”(對策延時)的服務(wù),該服務(wù)比較少見,一般是用不到的。
端口漏洞:雖然“Metagram Relay”服務(wù)不常用,可是Hidden Port、NCx99等木馬程序會利用該端口,比如在Windows 2000中,NCx99可以把cmd.exe程序綁定到99端口,這樣用Telnet就可以連接到服務(wù)器,隨意添加用戶、更改權(quán)限。
操作建議:建議關(guān)閉該端口。
109、110端口
端口說明:109端口是為POP2(Post Of-rice Protocol Version 2,郵局協(xié)議2)服務(wù)開放的,110端口是為POP3(郵件協(xié)議3)服務(wù)開放的,POP2、POP3都是主要用于接收郵件的,目前POP3使用的比較多,許多服務(wù)器都同時支持POP2和POP3。客戶端可以使用POP3協(xié)議來訪問服務(wù)端的郵件服務(wù),如今ISP的絕大多數(shù)郵件服務(wù)器都是使用該協(xié)議。在使用電子郵件客戶端程序的時候,會要求輸入POP3服務(wù)器地址,默認(rèn)情況下使用的就是110端口。
端口漏洞:POP2、POP3在提供郵件接收服務(wù)的同時,也出現(xiàn)了不少的漏洞。單單POP3服務(wù)在用戶名和密碼交換緩沖區(qū)溢出的漏洞就不少于20個,比如WebEasyMailPOP3 Server合法用戶名信息泄露漏洞,通過該漏洞遠(yuǎn)程攻擊者可以驗證用戶賬戶的存在。另外,110端口也被ProMail troian等木馬程序所利用,通過110端口可以竊取POP賬號用戶名和密碼。
操作建議:如果是執(zhí)行郵件服務(wù)器.可以打開該端口。
111端口:
端口說明:111端口是為SUN公司的RPC(Remote Procedure Call,遠(yuǎn)程過程調(diào)用)服務(wù)所開放的端口,主要用于分布式系統(tǒng)中不同計算機(jī)的內(nèi)部進(jìn)程通信,RPC在多種網(wǎng)絡(luò)服務(wù)中都是很重要的組件。
常見的RPC服務(wù)有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等。在Microsoft的Windows中,同樣也有RPC服務(wù)。
端口漏洞:SUN RPC有一個比較大的漏洞,就是在多個RPC服務(wù)時xdr_array函數(shù)存在遠(yuǎn)程緩沖溢出漏洞。
113端口
端口說明:113端口主要用于Windows的“Authentication Service”(驗證服務(wù)),一般與網(wǎng)絡(luò)連接的計算機(jī)都運行該服務(wù),主要用于驗證TCP連接的用戶,通過該服務(wù)可以獲得連接計算機(jī)的信息。在Windows 2000/2003Server中,還有專門的IAS組件,通過該組件可以方便遠(yuǎn)程訪問中進(jìn)行身份驗證以及策略管理。
端口漏洞:113端口雖然可以方便身份驗證,但是也常常被作為FTP、POP、SMTP、IMAP以及IRC等網(wǎng)絡(luò)服務(wù)的記錄器,這樣會被相應(yīng)的木馬程序所利用,比如基于IRC聊天室控制的木馬。另外,113端口還是InvisibleIdentd Deamon、Kazimas等木馬默認(rèn)開放的端口。
操作建議:建議關(guān)閉該端口。
119端口
端口說明:119端口是為“Network NewsTransfer Protocol”(網(wǎng)絡(luò)新聞組傳輸協(xié)議,簡稱NNTP)開放的,主要用于新聞組的傳輸,當(dāng)查找USENET服務(wù)器的時候會使用該端口。
端口漏洞:著名的Happy99蠕蟲病毒默認(rèn)開放的就是119端口,如果中了該病毒會不斷發(fā)送電子郵件進(jìn)行傳播,并造成網(wǎng)絡(luò)的堵塞。
操作建議:如果是經(jīng)常使用USENET新聞組,就要注意不定期關(guān)閉該端口。
135端口
端口說明:135端口主要用于使用RPC(Remote Procedure Call,遠(yuǎn)程過程調(diào)用)協(xié)議并提供DCOM(分布式組件對象模型)服務(wù)。通過RPC可以保證在一臺計算機(jī)上運行的程序順利地執(zhí)行遠(yuǎn)程計算機(jī)上的代碼:使用DCOM可以通過網(wǎng)絡(luò)直接進(jìn)行通信,能夠包括HTTP協(xié)議在內(nèi)的多種網(wǎng)絡(luò)傳輸。
端口漏洞:相信很多Windows 2000和Windows XP用戶都中過“沖擊波”病毒,該病毒就是利用RPC漏洞來攻擊計算機(jī)的。RPC本身在處理通過TCP/IP的消息交換部分有一個漏洞,該漏洞是由于錯誤地處理格式不正確的消息造成的。該漏洞會影響到RPC與DCOM之間的一個接口,該接口偵聽的端口就是135。
操作建議:為了避免“沖擊波”病毒的攻擊,建議關(guān)閉該端口。
137端口
端口說明:137端口主要用于“NetBlOSName Service”(NetBIOS名稱服務(wù)),屬于UDP端口,使用者只需要向局域網(wǎng)或互聯(lián)網(wǎng)上的某臺計算機(jī)的137端口發(fā)送一個請求,就可以獲取該計算機(jī)的名稱、注冊用戶名,以及是否安裝主域控制器、IlS是否正在運行等信息。
端口漏洞:因為是UDP端口,對于攻擊者來說,通過發(fā)送請求很容易就獲取目標(biāo)計算機(jī)的相關(guān)信息,有些信息是直接可以被利用,并分析漏洞的,比如IlS服務(wù)。
另外,通過捕獲正在利用137端口進(jìn)行通信的信息包,還可能得到目標(biāo)計算機(jī)的啟動和關(guān)閉的時間,這樣就可以利用專門的工具來攻擊。
操作建議:建議關(guān)閉該端口。
139端口
端口說明:139端口是為“NetBIOS Ses-sion Service”提供的,主要用于提供Windows文件和打印機(jī)共享以及Unix中的Samba服務(wù)。在Windows中要在局域網(wǎng)中進(jìn)行文件的共享,必須使用該服務(wù)。比如在Windows 98中。可以打開“控制面板”,雙擊“網(wǎng)絡(luò)”圖標(biāo),在“配置”選項卡中單擊“文件及打印共享”按鈕選中相應(yīng)的設(shè)置就可以安裝啟用該服務(wù):在Windows 2000/XP中,可以打開“控制面板”,雙擊“網(wǎng)絡(luò)連接”圖標(biāo),打開本地連接屬性:接著。在屬性窗口的“常規(guī)”選項卡中選擇“Internet協(xié)議(TCP/IP)”,單擊“屬性”按鈕:然后在打開的窗口中,單擊“高級”按鈕;在“高級TCP/IP設(shè)置”窗口中選擇“WlNS”選項卡,在“NetBIOS設(shè)置”區(qū)域中啟用TCP/IP上的Net-BIOS。
端口漏洞:開啟139端口雖然可以提供共享服務(wù),但是常常被攻擊者所利用進(jìn)行攻擊,比如使用流光、SuperScan等端口掃描工具,可以掃描目標(biāo)計算機(jī)的139端口,如果發(fā)現(xiàn)有漏洞,可以試圖獲取用戶名和密碼,這是非常 危險的。
操作建議:如果不需要提供文件和打印機(jī)共享,建議關(guān)閉該端口。
143端口
端口說明:143端口主要是用于“Internet Message Access Protocol”(Internet消息訪問協(xié)議,簡稱IMAP),和POP3一樣,是用于電子郵件的接收的協(xié)議。
通過IMAP協(xié)議我們可以在不接收郵件的情況下,知道信件的內(nèi)容,方便管理服務(wù)器中的電子郵件。不過,相對于POP3協(xié)議要負(fù)責(zé)一些。如今,大部分主流的電子郵件客戶端軟件都支持該協(xié)議。
端口漏洞:同POP3協(xié)議的110端口一樣,IMAP使用的143端口也存在緩沖區(qū)溢出漏洞,通過該漏洞可以獲取用戶名和密碼。另外,還有一種名為“admvOrm”的Linux蠕蟲病毒會利用該端口進(jìn)行繁殖。
操作建議:如果不是使用IMAP服務(wù)器操作,應(yīng)該將該端口關(guān)閉。
161端口
端口說明:161端口用于“Simple NetworkManagement Protocol”(簡單網(wǎng)絡(luò)管理協(xié)議,簡稱SNMP),該協(xié)議主要用于管理TCP/IP網(wǎng)絡(luò)中的網(wǎng)絡(luò)協(xié)議,在Windows中通過SNMP服務(wù)可以提供關(guān)于TCP/IP網(wǎng)絡(luò)上主機(jī)以及各種網(wǎng)絡(luò)設(shè)備的狀態(tài)信息。目前,幾乎所有的網(wǎng)絡(luò)設(shè)備廠商都實現(xiàn)對SNMP的支持。
在Windows 2000/XP中要安裝SNMP服務(wù),我們首先可以打開“Windows組件向?qū)А保凇敖M件”中選擇“管理和監(jiān)視工具”,單擊“詳細(xì)信息”按鈕就可以看到“簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)”,選中該組件:然后,單擊“下一步”就可以進(jìn)行安裝。
端口漏洞:因為通過SNMP可以獲得網(wǎng)絡(luò)中各種設(shè)備的狀態(tài)信息,還能用于對網(wǎng)絡(luò)設(shè)備的控制,所以黑客可以通過SNMP漏洞來完全控制網(wǎng)絡(luò)。
操作建議:建議關(guān)閉該端口。
443端口
端口說明:443端口即網(wǎng)頁瀏覽端口,主要是用于HTTPS服務(wù),是提供加密和通過安全端口傳輸?shù)牧硪环NHTTP。在一些對安全性要求較高的網(wǎng)站,比如銀行、證券、購物等,都采用HTTPS服務(wù),這樣在這些網(wǎng)站上的交換信息其他人都無法看到,保證了交易的安全性。網(wǎng)頁的地址以https://開始,而不是常見的http://。
端口漏洞:HTTPS服務(wù)一般是通過SSL(安全套接字層)來保證安全性的,但是SSL漏洞可能會受到黑客的攻擊,比如可以黑掉在線銀行系統(tǒng)、盜取信用卡賬號等。
操作建議:建議開啟該端口,用于安全性網(wǎng)頁的訪問。另外,為了防止黑客的攻擊,應(yīng)該及時安裝微軟針對SSL漏洞的最新安全補(bǔ)丁。
554端口
端口說明:554端口默認(rèn)情況下用于“ReaI Time Streaming P rotocol”(實時流協(xié)議,簡稱RTSP),該協(xié)議是由RealNetworks和Netscape共同提出的,通過RTSP協(xié)議可以借助于Internet將流媒體文件傳送到Re-aIPlayer中播放。并能有效地、最大限度地利用有限的網(wǎng)絡(luò)帶寬,傳輸?shù)牧髅襟w文件一般是Real服務(wù)器的,包括有“.rm”、“.ram”。如今,很多的下載軟件都支持RTSP協(xié)議,比如FlashGet、影音傳送帶等。
端口漏洞:目前,RTSP協(xié)議所發(fā)現(xiàn)的漏洞主要就是ReaINetworks早期的HelixU-niversal Server存在的緩沖區(qū)溢出漏洞,相對來說,使用的554端口是安全的。
操作建議:為了能欣賞并下載到RTSP協(xié)議的流媒體文件,建議開啟554端口。
1024端口
端口說明:1024端口一般不固定分配給某個服務(wù),在英文中的解釋是“Reserved”(保留)。
之前,我們曾經(jīng)提到過動態(tài)端口的范圍是:1024―65535,而1024正是動態(tài)端口的開始。該端口一般分配給第一個向系統(tǒng)發(fā)出申請的服務(wù),在關(guān)閉服務(wù)的時候,就會釋放1024端口,等待其他服務(wù)的調(diào)用。
端口漏洞:著名的YAI木馬病毒默認(rèn)使用的就是1024端口,通過該木馬可以遠(yuǎn)程控制目標(biāo)計算機(jī),獲取計算機(jī)的屏幕圖像、記錄鍵盤事件、獲取密碼等,后果是比較嚴(yán)重的。
操作建議:一般的殺毒軟件都可以方便地進(jìn)行YAI病毒的查殺,所以在確認(rèn)無YAI病毒的情況下建議開啟該端口。
一邊是軟件帝國微軟,一邊是搜索引擎老大谷歌,Windows Live Hotmail與Gmail究竟是誰優(yōu)誰劣?在這里,我們選擇了國外關(guān)于Live Hotmail與Gmail分門別類比較測試的文章編譯呈現(xiàn)給大家,希望能對大家的選擇有所幫助。
下面我們就從Interface(界面)、Storage(容量)、Integrated Calendar(整合日歷)、Organization(組織郵件)、Search(搜索)、Personalization Options(個性化)、Chat Integration(整合聊天)、Integrated RSS(集成RSS)、POP3 Account Access(POP3協(xié)議訪問)等方面分門別類地對Live Hotmail和Gmail進(jìn)行比較。
Interface(界面)
從界面的外觀來看,Live Hotmail看起來比Gmail漂亮許多。尤其對于那些經(jīng)常使用Outlook的用戶來說,Live Hotmail顯得更加熟悉和親切。
其實,Live Hotmail更像是一個基于PC的電子郵件客戶端,你可以將信件輕松地拖拉到不同的文件夾里,還可以使用一系列的下拉菜單進(jìn)行基本的操作,而不需要再打開新的頁面,更可以迅速地訪問和Outlook一樣風(fēng)格的日歷和任務(wù)列表等。通過使用大量的AJAX技術(shù),Live Hotmail的功能表現(xiàn)更像是一個桌面應(yīng)用軟件。
而Gmail則選擇了一個相對樸素的界面,大部分的主要功能都需要使用文本鏈接來實現(xiàn)。這使得Gmail的加載速度更快,尤其是在網(wǎng)絡(luò)連接緩慢的情況下。值得一提的是,通過DSL登錄使用Live Hotmail的賬戶時會有一定的延遲;而在Gmail中,延遲的情況基本不會發(fā)生,幾乎所有的功能都是瞬間實現(xiàn)的。
另外,Gmail能夠?qū)⑺谢貜?fù)的郵件同其原始郵件劃歸一組,從而建立會話。而Live Hotmail使用的則是更傳統(tǒng)的方式,將原始郵件和回復(fù)分開。顯然,Gmail在這個方面更方便人們使用,雖然對有些初次使用的人,尤其是用慣了Outlook的人來說可以說會造成混淆。
編輯點評:雖然Live Hotmail的界面外觀更漂亮,也比較符合Outlook用戶的使用習(xí)慣,不過Gmail在功能上的確更方便使用,它現(xiàn)在需要做的就是要改變原有Outlook用戶的使用習(xí)慣。
Storage(容量)
Windows Live Hotmail首次擴(kuò)容到了2GB,而Gmail卻已經(jīng)達(dá)到2849MB,并且這一數(shù)字還在持續(xù)增加。其實,對于微軟來說似乎擴(kuò)容到3GB從而贏得市場是很容易的,但是可惜的是,在空間容量的比較上,微軟一直跟在Google的后面磨蹭。
編輯點評:在容量方面,Gmail的獲勝幾乎是沒有什么爭議的。
Integrated Calendar(整合日歷)
Live Hotmail提供的是一個可共享的日歷,這使得用戶可以直接在界面內(nèi)進(jìn)行訪問。這與Outlook的日歷功能很相似,并具有Outlook日歷的諸多特性,當(dāng)你選定一個時間點的時候,可以輸入有關(guān)事件的詳細(xì)信息,并編輯你的日程。
而“Google Calendar”還沒有完全地嵌入到Gmail中,只能通過網(wǎng)頁上方的文字鏈接點擊打開新的窗口進(jìn)入。
編輯點評:在整合日歷方面,Live Hotmail的優(yōu)勢比較突出,不過,其還可以做得更好,AJAX技術(shù)可以讓Calendar更賞心悅目,點擊后就只能打開一個新的頁面的問題應(yīng)該要盡快得到解決。
Organization(組織郵件)
Live Hotmail提供了一個Outlook式的消息管理方式,允許用戶創(chuàng)建文件夾并將消息拖放進(jìn)文件夾。而Gmail則采用了一個更加接近Web 2.0的方式,允許用戶為各個消息分配諸多“標(biāo)簽”,以此來對郵件進(jìn)行標(biāo)記。
編輯點評:按照本人的經(jīng)驗,創(chuàng)建文件夾并進(jìn)行長距離拖拽來管理消息的方式并不太好用,因此我們認(rèn)為Gmail的方式略好一些。
Search(搜索)
Live Hotmail擁有一個不錯的搜索框,用戶既可以搜索郵件也可以搜索網(wǎng)頁。同樣,Gmail也具有類似這樣的功能,而Google在搜索業(yè)界的領(lǐng)先地位盡人皆知。不過,因為筆者的Live Hotmail賬戶是一個新建的帳戶,所以還不能在微軟的郵件搜索方面發(fā)表看法。
編輯點評:在搜索這項中,只能是“待定”。
Personalization Options(個性化)
可能豐富的文本編輯功能如今已經(jīng)很常見,不再是什么特殊的功能了。不過,在這里值得一提的是,在某些方面Live Hotmail的編輯器確實比Gmail多了一些閃光點。除了字符圖標(biāo)這個最大亮點外,Live Hotmail還允許你定制個性的字體和背景顏色,甚至包括“Lucida Handwriting(明星手寫體)”。另外,Live Hotmail還擁有一系列的不同的界面主題可供選擇。
編輯點評:或許這正是這兩家公司所服務(wù)的用戶不同的體現(xiàn),不過Live Hotmail在個性化方面確實有它的優(yōu)勢。
Chat Integration(整合聊天)
對于Live Hotmail來說,當(dāng)你將好友添加到其中后,你就可以看見他們是否在線(如果你的好友使用MSN Messenger的話)。不過,Live Hotmail并不像Gmail的聯(lián)系人都固定在側(cè)邊攔的工具條上,所以Live Hotmail的聊天功能并不是顯示在界面上的。
編輯點評:在整合聊天方面,Live Hotmail和Gmail可以說是不分伯仲,打了個平手。
Integrated RSS(集成RSS)
令人失望的是,Gmail和Live Hotmail在集成RSS方面都沒有做太多的努力。雖然Gmail擁有“web clips(網(wǎng)絡(luò)剪輯)”功能,用戶可以隨時點擊進(jìn)入Google Reader并在新的窗口中打開標(biāo)題鏈接。不過,如果當(dāng)用戶需要的內(nèi)容更新后就可以在Gmail中接收到通知,那就再好不過了。
在Live Hotmail的“今日焦點”選項卡下,你可以訂閱來自其合作媒體的新聞,也可以訂閱好友的MSN Space,這繼承了微軟一貫的風(fēng)格,不過好像并沒有令用戶感到什么新的價值。
編輯點評:在集成RSS方面的不足是這兩家公司的共同缺陷,還是讓我們共同期待一下,誰會是第一個給用戶帶來完整的RSS功能。
POP3 Account Access(POP3協(xié)議訪問)
我們可以把Gmail當(dāng)做一個通用的電子郵件中心來使用,因為它擁有多樣化的訪問方式。Gmail能夠檢查你的POP3郵件賬戶,而且你還可以在Gmail中閱讀POP3郵件。盡管POP方式訪問郵箱已成為一種落后的技術(shù),但是還是有很多的用戶更加青睞于這種陳舊的方式去瀏覽郵件。而這是Live Hotmail所不能做到的,Live Hotmail仍然堅守IMAP方式,而對POP3無動于衷。
關(guān)鍵詞:Internet信息服務(wù);POP3服務(wù)
中圖分類號:G642 文獻(xiàn)標(biāo)識碼:A文章編號:1009-3044(2007)03-10879-02
1 引言
計算機(jī)普及率的提高加快了社會的信息化,當(dāng)代的大學(xué)生們只有掌握了一定的計算機(jī)基礎(chǔ)知識和操作技能才能跟上社會潮流。在我們學(xué)校,每個專業(yè)的學(xué)生都要學(xué)習(xí)計算機(jī)基礎(chǔ)課,計算機(jī)基礎(chǔ)課分理論講授和實驗兩部分。通過這門課主要使學(xué)生掌握Windows基本操作、office辦公軟件、IE瀏覽器和Frontpage的使用等。但一直以來計算機(jī)基礎(chǔ)實驗課在上網(wǎng)這部分的教學(xué)使很多老師犯難:根據(jù)教學(xué)安排,這部分實驗總學(xué)時為4個學(xué)時,要求在這4個學(xué)時中使學(xué)生掌握Internet的使用、郵件的發(fā)送、用FTP進(jìn)行文件傳輸以及用Frontpage軟件制作簡單網(wǎng)頁和站點。但在實際中,很多學(xué)生沉迷Internet網(wǎng)上紛繁的信息,把老師安排的內(nèi)容不放在心上,往往最后的教學(xué)效果很不理想。有的老師干脆讓學(xué)生自己課外上網(wǎng),直接用這4個學(xué)時專門練習(xí)Frontpage網(wǎng)頁制作。
針對這個方面的問題,我在實際教學(xué)中嘗試進(jìn)行了如下改進(jìn)措施:在實驗室中建一個服務(wù)器用來提供Web、FTP、SMTP和POP3服務(wù),用Frontpage制作一個簡單實用的網(wǎng)站,實現(xiàn)在局域網(wǎng)內(nèi)的網(wǎng)頁瀏覽、郵件發(fā)送、FTP文件傳輸和網(wǎng)頁。保證了網(wǎng)站內(nèi)容的單純性,使教學(xué)得以順利進(jìn)行。
2 硬件配備和相關(guān)設(shè)置
我所進(jìn)行教學(xué)試點的實驗室是專門用于計算機(jī)基礎(chǔ)課實驗教學(xué)的,里面最多能放40臺電腦,能容納一個班的學(xué)生上課。這40臺電腦已經(jīng)通過三臺傳輸速度為10/100Mbps自適應(yīng)的雙速交換機(jī)互連成一個局域網(wǎng),實驗室中的電腦按順序依次設(shè)置了固定的IP地址,地址范圍從192.168.1.1到192.168.1.40。為了防止學(xué)生無意中破壞電腦中安好的系統(tǒng),每臺電腦都配備了還原卡,但以前配的硬盤還原卡只能保護(hù)Win98系統(tǒng),不能保護(hù)Win98之后的系統(tǒng)(如Win2000等),所以現(xiàn)在電腦中裝的還是Win98,所有電腦都設(shè)置在同一個工作組:jsj工作組,由此形成了一個對等局域網(wǎng)。現(xiàn)在將最后一臺電腦選做服務(wù)器,拔去還原卡,將硬盤分C、D兩個區(qū),采用NTFS格式,在C區(qū)中裝上Windows2003標(biāo)準(zhǔn)版以及教學(xué)所需軟件(office2000、winrar等),設(shè)置主機(jī)名為hgnc,IP地址還是設(shè)為192.168.1.40,工作組仍設(shè)置為jsj工作組,由帶課老師管理此臺電腦。
3 安裝服務(wù)器
局域網(wǎng)中Web、FTP、SMTP、POP3服務(wù)可以用很多不同的軟件實現(xiàn),這里用Windows2003自帶的組件實現(xiàn).
3.1 安裝IIS(Internet Information Server)及設(shè)置相關(guān)服務(wù)屬性
IIS是集Web、FTP、SMTP和NNTP服務(wù)于一體的Internet信息服務(wù)系統(tǒng)。通過Web服務(wù)可實現(xiàn)Web站點的架構(gòu),通過FTP服務(wù)可實現(xiàn)FTP站點的架構(gòu),而SMTP提供郵件發(fā)送服務(wù),NNTP用于新聞服務(wù)。因為不用NNTP服務(wù),在下面的IIS安裝中不選NNTP項。
單擊“開始”―>指向“控制面板”―>單擊“添加或刪除程序”項,在彈出的“添加或刪除程序”對話框中選擇“添加/刪除Windows組件”標(biāo)簽,隨后出現(xiàn)“Windows組件向?qū)А睂υ捒颍ㄒ妶D1)。
圖1
在此對話框中選定“應(yīng)用程序服務(wù)器”組件復(fù)選框,再單擊“詳細(xì)信息”按鈕,彈出“應(yīng)用程序服務(wù)器”對話框,在其中選定“Internet信息服務(wù)(IIS)”復(fù)選框,單擊“詳細(xì)信息”按鈕,隨后彈出“Internet信息服務(wù)(IIS)”對話框,選定其中的“Internet信息服務(wù)管理器”、“SMTP Service”、“文件傳輸協(xié)議(FTP)服務(wù)”、“萬維網(wǎng)服務(wù)”、“公用文件”五項,單擊“確定”按鈕返回到“應(yīng)用程序服務(wù)器”對話框,再單擊“確定”返回到“Windows組件向?qū)А睂υ捒颍瑔螕簟跋乱徊健卑粹o,系統(tǒng)開始安裝所選組件項,等待片刻會彈出一個“完成windows組件向?qū)А钡奶崾究颍瑔螕簟巴瓿伞卑粹o,完成IIS安裝(如果最初Windows2003是用CD-ROM或軟盤安裝的,在組件安裝過程中,系統(tǒng)會提示用戶插入Windows2003家族光盤)。
再進(jìn)行Web、FTP、SMTP服務(wù)的屬性設(shè)置。單擊“開始”―>指向“管理工具”―>單擊“Internet信息服務(wù)(IIS)管理器”,就打開了IIS管理器窗口,雙擊其左窗格中的HGNC(本地計算機(jī))文件夾,在其下出現(xiàn)“網(wǎng)站”、“FTP站點”、“默認(rèn)SMTP虛擬服務(wù)器”等五個子文件夾(如圖2)。
圖2
可以看到系統(tǒng)已建了一個默認(rèn)網(wǎng)站和一個默認(rèn)FTP站點。右鍵單擊“默認(rèn)網(wǎng)站”,在彈出的菜單中單擊“屬性”一項,隨后出現(xiàn)默認(rèn)網(wǎng)站屬性對話框。系統(tǒng)對此網(wǎng)站屬性配置了默認(rèn)設(shè)置:主目錄為c:\Inetpub\wwwroot;允許“讀取”不允許“寫入”;執(zhí)行權(quán)限為“腳本和可執(zhí)行文件”;啟用匿名登錄等。將此屬性框中IP地址的設(shè)置修改為:192.168.1.40,其余的保持默認(rèn)設(shè)置,把用Frontpage編寫提供學(xué)生訪問的網(wǎng)站存為c:\Inetpub\wwwroot。對于默認(rèn)FTP站點,將其IP地址也設(shè)置為:192.168.1.40,其余的屬性項設(shè)置保持默認(rèn)不變,將提供給學(xué)生下載的內(nèi)容存在默認(rèn)主目錄c:\Inetpub\ftproot下,此主目錄的默認(rèn)讀寫屬性是只允許“讀取”。
然后為此FTP站點建40個虛擬目錄,前39個的別名依次為s1到s39,最后一個的別名為public,這些虛擬目錄的實際路徑都在D區(qū)上,將它們的讀寫權(quán)限都設(shè)置為允許“讀取”和允許“寫入”。再將s1虛擬目錄只授權(quán)給IP地址為192.168.1.1的學(xué)生用機(jī)訪問,依次類推,將s39虛擬目錄僅授權(quán)給IP地址為192.168.1.39的學(xué)生用機(jī)訪問,而public虛擬目錄授權(quán)所有的學(xué)生用機(jī)訪問。在SMTP虛擬服務(wù)器的屬性設(shè)置中,除了將IP地址改為192.168.1.40外,其余保持默認(rèn)值。
3.2POP3服務(wù)的安裝和電子郵件客戶端Outlook Express的配置
POP3服務(wù)是一種檢索電子郵件的服務(wù),可使用POP3服務(wù)存儲并管理郵件服務(wù)器上的電子郵件帳戶。照前所述步驟打開“windows組件向?qū)А睂υ捒颍x中“電子郵件服務(wù)”組件復(fù)選框,單擊“下一步”,完成POP3服務(wù)的向?qū)О惭b。再單擊“開始”―>指向“管理工具”―>單擊“POP3服務(wù)”,打開POP3服務(wù)窗口。
右鍵單擊左窗格中的“HGNC”,選擇“屬性”項,在彈出的對話框中對POP3服務(wù)進(jìn)行設(shè)置,主要在“根郵件目錄”中鍵入新的郵件存儲區(qū)的路徑d:\mailroot\mailbox取代原來的默認(rèn)路徑c:\Inetpub\mailroot\mailbox,其余設(shè)置保持不變。
再右鍵單擊“HGNC”,指向“新建”,單擊“域”,在“域名”中輸入,單擊“確定”就創(chuàng)建了一個域。然后在域上創(chuàng)建39個郵箱帳號,帳號依次從、直到。拿的創(chuàng)建為例,步驟是:右鍵單擊,指向“新建”,然后單擊“郵箱”,在“郵箱名”中鍵入s1, 在“密碼”中,鍵入郵箱的密碼,然后在“確認(rèn)密碼”中,重新鍵入該密碼。為了學(xué)生使用方便,郵箱密碼設(shè)為123。
郵箱全部建好后再來對郵箱的最大使用空間作個限制:采取磁盤配額方式,因為郵件存儲區(qū)在D盤上,將D盤配額的默認(rèn)限制值設(shè)置為 20MB,這樣每個郵箱最多使用的磁盤空間為20MB,39個郵箱最多總共要占780MB空間,而D盤空間有23300MB,足夠使用。
再對學(xué)生用機(jī)上的電子郵件客戶端Outlook Express進(jìn)行相關(guān)設(shè)置。拿IP地址為192.168.1.1的學(xué)生用機(jī)的設(shè)置為例,打開此電腦上的Outlook Express,單擊其菜單欄中的“工具”,再單擊“帳號”,在所彈出對話框中的“郵件”標(biāo)簽上選擇“添加郵件”就會進(jìn)入郵件帳戶添加向?qū)А?/p>
在第一步中的“顯示姓名”框中填自己想顯示在郵箱上的名子;在第二步中選定“我想使用一個已有的電子郵件地址”項,并填入郵件地址;在第三步中選擇郵件接收服務(wù)器類型是POP3服務(wù)器,并填寫POP3服務(wù)器和SMTP服務(wù)器的IP地址,都為192.168.1.40;在第四步中輸入帳戶名為,輸入密碼:123;然后在第五步中單擊“完成”按鈕,完成郵件帳戶的添加。
以后每次打開此臺電腦上的Outlook Express就會自動彈出一個郵箱登錄對話框,用戶名已自動地填為,只要輸入密碼123,單擊“確定”按鈕,此郵件帳戶就登錄到了電子郵件服務(wù)器,然后就可使用這個帳戶收發(fā)郵件了。如此類推,在IP地址為192.168.1.x的電子郵件客戶端上添加郵件帳戶(x在此代表2到39中的任一整數(shù))。
4 網(wǎng)站設(shè)計
打開Frontpage2000,在其中建一個站點,站點保存為c:\Inetpub\wwwroot。主頁界面如圖3。網(wǎng)站主要由如下7部分組成:主頁、計算機(jī)院簡介、課程安排、網(wǎng)頁、下載天地、計算機(jī)知識、什錦樂園。計算機(jī)院簡介主要介紹本校計算機(jī)科學(xué)與技術(shù)學(xué)院的情況;課程安排主要用來一些課程的安排信息,視實際情況每學(xué)期內(nèi)容都有更新;網(wǎng)頁主要教大家如何站點;計算機(jī)知識這部分主要用來介紹計算機(jī)方面的相關(guān)知識;下載天地鏈接到了默認(rèn)FTP站點;什錦樂園里安排了一些經(jīng)典笑話、成語典故、小謎語及英語小知識等,內(nèi)容不安排多以免學(xué)生分心。
5 教學(xué)實現(xiàn)
用一節(jié)課時間讓學(xué)生學(xué)習(xí)網(wǎng)頁的瀏覽、電子郵件的發(fā)送及FTP站點的上傳下載,余下三個學(xué)時練習(xí)Frontpage網(wǎng)頁制作和網(wǎng)站。
具體教學(xué)步驟如下:指導(dǎo)學(xué)生在IE瀏覽器地址欄中輸入hgnc按回車鍵訪問局域網(wǎng)服務(wù)器上的網(wǎng)站并進(jìn)行網(wǎng)頁瀏覽;指導(dǎo)學(xué)生在IE地址中輸入ftp://hgnc并回車打開服務(wù)器上FTP站點主目錄,教學(xué)生將其中所需文件下載到自己電腦上,指導(dǎo)學(xué)生輸入ftp://hgnc/public并回車打開FTP站點的public虛擬目錄,在其中進(jìn)行文件的上傳和下載;指導(dǎo)學(xué)生打開Outlook Express,在彈出的登錄界面中輸入密碼,用已添加的帳戶進(jìn)行相互間郵件正文和附件的發(fā)送;指導(dǎo)學(xué)生用Frontpage制作簡單個人站點并站點,因為服務(wù)器上沒裝Frontpage擴(kuò)展不能通過HTTP站點,所以通過FTP站點,要求IP地址為192.168.1.x的電腦上的站點到對應(yīng)ftp://hgnc/sx上(x在此表示1到39之間的任何整數(shù)),這樣在服務(wù)器上檢查每個人的站點和網(wǎng)頁的完成情況比較方便,鼓勵學(xué)生將所創(chuàng)建的站點文件夾上傳到public中供大家互相參考。
6 小結(jié)
以前這塊的教學(xué)中存在很多問題:有的學(xué)生在Internet上申請郵箱時就花了很長時間,更別說發(fā)送郵件和學(xué)習(xí)郵件附件的發(fā)送;Internet網(wǎng)上廣告又多,想站點及上傳下載文件都需花費比較長的時間,很多學(xué)生一看到有趣的信息早忘了要做什么;因為訪問的界面不一樣,老師很難統(tǒng)一管理,往往是學(xué)時結(jié)束了,學(xué)生除了會訪問網(wǎng)站其余的操作基本沒做。和以前相比,采取的教改措施提高了教學(xué)效率,更重要的是讓學(xué)生學(xué)到了實用的知識和技能。通過這種方式不僅增加了學(xué)生間的互動性也提高了學(xué)生的積極性而且使老師的教學(xué)方法更為靈活,經(jīng)過教學(xué)試點效果還不錯。
參考文獻(xiàn):
[1]李振銀.網(wǎng)絡(luò)管理與維護(hù)[M].北京:中國鐵道出版社,2004.
關(guān)鍵詞:DNS;域名劫持;反垃圾郵件
中圖分類號:TP393.1文獻(xiàn)標(biāo)志碼: A文章編號:1673-8454(2014)08-0070-04
高校的信息化在師生學(xué)習(xí)生活中起到越來越重要的作用。校內(nèi)外用戶快速、有效、及時、準(zhǔn)確獲取校園網(wǎng)資源的需求越來越強(qiáng)烈。下面對我校如何通過對DNS的配置優(yōu)化,解決我校網(wǎng)絡(luò)中使用中遇到的部分問題,提升網(wǎng)絡(luò)服務(wù)的品質(zhì)進(jìn)行介紹。
一、域名服務(wù)器部署架構(gòu)
我校的DNS(Domain Name System)域名解析系統(tǒng)采用分布式部署,提供我校域的解析服務(wù)的DNS授權(quán)服務(wù)器與解析校內(nèi)用戶DNS請求的服務(wù)器分別部署。DNS授權(quán)服務(wù)器負(fù)責(zé)用戶的我校域IPv4、IPv6的DNS域名請求的解析,采用主備方式。校內(nèi)DNS域名請求服務(wù)器只做域名查詢轉(zhuǎn)發(fā)以及域名劫持。域名服務(wù)器組結(jié)構(gòu)清晰,各DNS服務(wù)器的設(shè)備的負(fù)載率很低,大大降低了出現(xiàn)問題的影響范圍。
我校校園網(wǎng)出口連接教育網(wǎng)、聯(lián)通、電信鏈路。因為各運營商網(wǎng)絡(luò)之間存在互聯(lián)互通的問題,因此我校DNS授權(quán)域名主備服務(wù)器上有聯(lián)通、教育網(wǎng)、電信的用戶視圖,對重要服務(wù),我們根據(jù)用戶源地址不同,動態(tài)解析出用戶對應(yīng)的網(wǎng)絡(luò)IP地址,便于快速訪問。如圖1所示。
二、DNS在網(wǎng)絡(luò)訪問中的幾點應(yīng)用
1.對學(xué)校主頁等重要應(yīng)用做域名劫持
一個單位的門戶網(wǎng)站是否能夠快速訪問,在某種程度上代表了一個單位的信息化水平的高低。我校的主頁等信息服務(wù)不但服務(wù)于校內(nèi)用戶,更是大眾了解我校的窗口,為了提升用戶的訪問體驗,學(xué)校主頁服務(wù)器托管于運營商的IDC(互聯(lián)網(wǎng)數(shù)據(jù)中心)機(jī)房,校外人員訪問我校主頁資源受到運營商的網(wǎng)絡(luò)帶寬和速度保障,校內(nèi)用戶訪問主頁時,DNS把此域名解析到校內(nèi)一臺主頁的服務(wù)器,學(xué)校的主頁服務(wù)器與主頁服務(wù)器進(jìn)行資源同步,校內(nèi)用戶的訪問主頁為內(nèi)網(wǎng)訪問,速度非常快。如圖2所示,所有用戶都能得到快速的訪問體驗。
(1)校外用戶訪問主頁步驟
①校外用戶向我校對外服務(wù)的DNS授權(quán)服務(wù)器B請求解析主頁地址。
②我校對外服務(wù)的DNS服務(wù)器B解析返回主頁所在IDC機(jī)房服務(wù)器的域名。
www IN .
③用戶向所在的DNS服務(wù)器D請求解析地址。
④DNS服務(wù)器D解析出地址A.B.C.D。
⑤校外用戶訪問到IDC機(jī)房的主頁服務(wù)器上的信息。
(2)校內(nèi)用戶訪問主頁步驟
①用戶向校內(nèi)DNS服務(wù)器C請求解析主頁地址。
②校內(nèi)DNS服務(wù)器C將請求轉(zhuǎn)發(fā)到我校DNS授權(quán)服務(wù)器B。
③DNS授權(quán)服務(wù)器B返回托管于運營商機(jī)房主頁域名。
④用戶向校內(nèi)DNS服務(wù)器C請求解析域名。
⑤校內(nèi)DNS服務(wù)器C劫持到.域名請求,返回用戶校內(nèi)服務(wù)器的地址:E.F.G.H。
⑥用戶訪問校內(nèi)服務(wù)器上的信息。
說明:校內(nèi)主頁服務(wù)器定時與主頁服務(wù)器同步信息。
域名服務(wù)器C的配置:
zone "" IN {
type master;
file
"/etc/bind/";
allow-update { none; };
};
文件內(nèi)容:
@ IN .
. (
6 ; serial
10m; refresh
15m; retry
30m ; expire
5m ); minimum
@ .
ns1 INA 202.112.112.101
@ INA222.29.240.20
//服務(wù)器的地址
2.DNS在郵件服務(wù)的域名解析中的使用及作用
高校的用戶郵箱是每位師生對內(nèi)外聯(lián)系的身份的標(biāo)志。郵件服務(wù)器部署在校內(nèi),校外或國外用戶訪問郵件速度慢,垃圾郵件過多,郵件被國外郵箱退信、拒收等是高校郵件系統(tǒng)經(jīng)常遇到的問題,因此用戶對學(xué)校郵箱使用率很低。為了解決這個棘手的問題,除了在郵件系統(tǒng)本身進(jìn)行設(shè)置,我們還從郵件協(xié)議上著手,從郵件傳輸上處理解決這些問題。
(1)提高用戶郵件訪問速度的感知
為了提高用戶訪問郵箱的速度,首先分析一下郵件服務(wù)在DNS中使用的相關(guān)記錄:
①SMTP:是Simple Message Transfer Protocol(簡單郵件傳輸協(xié)議)的縮寫,默認(rèn)端口是25。SMTP主要負(fù)責(zé)郵件的轉(zhuǎn)發(fā),以及接收其他郵件服務(wù)器發(fā)來的郵件。
②POP3:是Post Office Protocol3(郵局協(xié)議3)的縮寫,默認(rèn)端口是110。郵件客戶端使用POP3協(xié)議連接郵件服務(wù)器收郵件。
③IMAP:是Internet Message Access Protocol的縮寫,主要提供通過Internet獲取信息的一種協(xié)議。IMAP像POP那樣提供了方便的郵件下載服務(wù),讓用戶能進(jìn)行離線閱讀等。IMAP提供的摘要瀏覽功能可以讓你在閱讀完所有的郵件到達(dá)時間、主題、發(fā)件人、大小等信息后才作出是否下載的決定。
圖3中顯示郵件發(fā)送接受所用到的各個協(xié)議。
因為中國的教育網(wǎng)及各運營商的網(wǎng)絡(luò)之間存在互連互通問題,如果重要應(yīng)用只使用教育網(wǎng)的地址,勢必造成用戶訪問速度很慢。因此我校在教育網(wǎng)和聯(lián)通分別申請了郵件服務(wù),做了rDNS,在學(xué)校的出口防火墻做了郵箱教育網(wǎng)地址與公網(wǎng)地址的NAT轉(zhuǎn)換,給郵箱服務(wù)器做了雙地址解析。 用戶對郵件系統(tǒng)使用快慢感知主要體現(xiàn)在用戶打開郵件服務(wù)器Web界面速度的感知上,而用戶對郵件從發(fā)送郵件服務(wù)器送達(dá)接收郵件服務(wù)器的快慢是不在意的。我校根據(jù)用戶的源IP地址,動態(tài)解析出來對應(yīng)的郵件主頁地址,這樣用戶的訪問速度都很快。郵件系統(tǒng)發(fā)送郵件(smtp)、接收郵件(pop3、imap)是郵件客戶端與郵件服務(wù)器之間的數(shù)據(jù)傳輸,所以郵件記錄(smtp、pop3、imap)動態(tài)解析出與用戶的源地址為相應(yīng)的運營商地址,保障郵件發(fā)送、接收的順暢。
(2)提高郵件接收性
郵件系統(tǒng)要保障每封郵件可達(dá)。在一段時間內(nèi),郵件無法及時送到收件人郵箱的事件時有發(fā)生。郵件是否發(fā)出、送達(dá)到對方的郵箱和MX記錄密切相關(guān)。
MX(Mail Exchanger)記錄是郵件交換記錄,它指向一個郵件服務(wù)器,用于電子郵件系統(tǒng)發(fā)郵件時根據(jù)收信人的地址后綴來定位郵件服務(wù)器。MX記錄的作用是給寄信者指明某個域名的郵件服務(wù)器有哪些。例如,當(dāng)Internet上的某用戶要發(fā)一封信給 時,該用戶的計算機(jī)將通過DNS查找這個域名的MX記錄,假如MX記錄存在,用戶計算機(jī)就將郵件發(fā)送到MX記錄所指的郵件服務(wù)器上。MX服務(wù)是驗證在域名服務(wù)器中是否有發(fā)件郵箱后綴。為了避免因網(wǎng)絡(luò)結(jié)構(gòu)不同導(dǎo)致的郵件收發(fā)不了的問題,MX的值要與教育網(wǎng)申請的郵箱服務(wù)的ip地址的值一致。
綜上,我們在DNS中對郵件服務(wù)做了如下配置:
① 教育網(wǎng)用戶解析出來的地址:
mailIN A 222.29.216.17(郵件主頁教育網(wǎng)地址)
pop3IN A 222.29.216.11(教育網(wǎng)地址)
smtpIN A 222.29.216.11(教育網(wǎng)地址)
imapIN A 222.29.216.11(教育網(wǎng)地址)
mx IN A 222.29.216.11(教育網(wǎng)地址)
② 公網(wǎng)用戶解析出來的地址:
mailIN A218.106.181.17(郵件主頁公網(wǎng)地址)
pop3IN A218.106.181.11 (公網(wǎng)地址)
smtpIN A218.106.181.11 (公網(wǎng)地址)
imapIN A218.106.181.11 (公網(wǎng)地址)
mx IN A222.29.216.11 (教育網(wǎng)地址)
如表1所示,說明各個ip地址值的設(shè)定原因。
(3)依據(jù)郵件安全策略要求,提高郵件的可達(dá)性,減少被當(dāng)作垃圾郵件的可能
為了有效防范、抑制隨意偽造郵件地址發(fā)送垃圾郵件,很多國外的郵件服務(wù)器都配置了SPF檢查項,如果學(xué)校的DNS中不配置TXT記錄SPF項,學(xué)校的郵件很容易被當(dāng)作垃圾郵件拋棄掉。同時為了防止本校的郵箱接受大量偽造郵箱的垃圾郵件,也需要在郵箱服務(wù)器上設(shè)置SPF的檢查要求項。
SPF是Sender Policy Framework(發(fā)送方策略框架)的縮寫,2003年首次被提出,是為了防范垃圾郵件而提出來的,內(nèi)容寫在DNS的txt類型的記錄里面,登記某個域名擁有的用來外發(fā)郵件的所有IP地址。其原理是將郵件頭中的發(fā)件人地址(Reply Address)與該地址域名的TXT 解析記錄進(jìn)行比對,以判斷該郵件是否為仿冒的電子郵件。當(dāng)用戶定義了他的域名SPF 記錄之后,接收郵件方會根據(jù)該用戶的SPF記錄來確定連接過來的IP地址是否被包含在SPF 記錄里面,如果在,則認(rèn)為是一封正確的郵件,否則則認(rèn)為是一封偽造的郵件。
SPF 字符串的參數(shù)格式:
“v=Spf1[A|MX|PTR|IP4|IP6|Include|Exists|Redirect|Exp|All]”
在DNS中設(shè)定TXT記錄的SPF值為郵件服務(wù)器公網(wǎng)和教育網(wǎng)地址:
. IN TXT "v=spf1 ip4:222.29.216.11 ip4:218.106.181.11a mx ~all"(我校郵箱的教育網(wǎng)及公網(wǎng)地址)
3.DNS在出口訪問的引導(dǎo)作用
目前,因為各運營商網(wǎng)絡(luò)之間的互連互通問題。很多大型網(wǎng)站將服務(wù)器部署在各運營商的IDC(Internet Data Center,互聯(lián)網(wǎng)數(shù)據(jù)中心)機(jī)房,網(wǎng)站根據(jù)用戶的源IP地址動態(tài)解析出用戶所在網(wǎng)絡(luò)的網(wǎng)站訪問地址。我校的有三個校園網(wǎng)出口,用戶通過域名訪問,依據(jù)解析出目的地址所在的網(wǎng)絡(luò),并從相應(yīng)的網(wǎng)絡(luò)出口出去訪問。通過對校內(nèi)DNS外網(wǎng)訪問的指向(forward),用戶獲得相應(yīng)網(wǎng)絡(luò)的IP地址解析的數(shù)量會更多,對用戶鏈路訪問走哪個互聯(lián)網(wǎng)出口起到引導(dǎo)和調(diào)整的作用。
forward only;
forwarders {
219.141.136.10; 運營商的DNS服務(wù)器
8.8.8.8;運營商的DNS服務(wù)器
};
4.保障用戶的外網(wǎng)域名訪問的健壯性
網(wǎng)絡(luò)中的基礎(chǔ)服務(wù)――域名服務(wù)器如果因為鏈路或系統(tǒng)等原因出現(xiàn)故障,將會導(dǎo)致校內(nèi)用戶上網(wǎng)的全面癱瘓,為了保障域名訪問始終有效,我們在交換機(jī)上配置dhcp pool(地址池)指定DNS時,第一個DNS配置為校內(nèi)DNS服務(wù)器地址,第二個配置為公網(wǎng)長期、穩(wěn)定的運營商DNS地址,即使校內(nèi)DNS出現(xiàn)鏈路或服務(wù)器故障,斷開校內(nèi)DNS服務(wù)器鏈路,用戶DNS請求自動跳轉(zhuǎn)到第二個DNS服務(wù)器,不會影響到用戶的主要業(yè)務(wù)――外網(wǎng)訪問。交換機(jī)配置如下:
#ip dhcp pool pool1
ip-pool pool1
lease-time 7 0 0
default-router10.34.1.1
dns-server10.21.1.2058.8.8.8
因為運營商之間的互聯(lián)互通引起的網(wǎng)絡(luò)互訪問題,我們通過對DNS的調(diào)整解決了網(wǎng)絡(luò)訪問不暢的部分問題,達(dá)到了很好的效果。
參考文獻(xiàn):
關(guān)鍵詞:手機(jī)郵箱業(yè)務(wù);推廣;安全性
隨著我國通信技術(shù)的發(fā)展,手機(jī)等移動設(shè)備快速發(fā)展起來,移動通信技術(shù)也隨之得到了迅速發(fā)展。電子郵箱是Internet最廣泛的應(yīng)用,隨著手機(jī)移動通信業(yè)務(wù)4G網(wǎng)的快速發(fā)展,手機(jī)郵箱業(yè)務(wù)也隨之得到了大力的推廣。但是隨著信息犯罪活動的不斷出現(xiàn),手機(jī)郵箱的安全性成為人們最為關(guān)注的問題。該文從手機(jī)郵箱的發(fā)展因素和安全性兩個方面進(jìn)行了詳細(xì)的探討。
1影響手機(jī)郵箱業(yè)務(wù)發(fā)展的因素
從1971年誕生伊始,手機(jī)郵箱已經(jīng)走過了40多年的發(fā)展流程,目前,手機(jī)電子郵件信息占據(jù)了網(wǎng)頁訪問量的半壁江山,是電子郵件造就了互聯(lián)網(wǎng),在智能手機(jī)的普及下,郵件系統(tǒng)已經(jīng)不再局限在固定環(huán)境中,可以滿足人們隨時隨地獲取信息的要求。對于移動運營商而言,發(fā)展手機(jī)郵箱業(yè)務(wù),可以避免客戶流失,在4G時代,移動郵件功能也成為了智能手機(jī)的標(biāo)配。調(diào)查顯示,影響手機(jī)郵箱業(yè)務(wù)發(fā)展的因素主要集中在兩方面。
1.1手機(jī)郵箱業(yè)務(wù)發(fā)展的促進(jìn)因素
從宏觀角度來看,互聯(lián)網(wǎng)中電子郵箱涉及的領(lǐng)域非常廣泛,隨著移動設(shè)備的發(fā)展,手機(jī)郵箱業(yè)務(wù)有著很大的發(fā)展?jié)摿?另外隨著無線網(wǎng)的發(fā)展,以及人們生活和工作節(jié)奏的加快,對于移動辦公的需求逐漸增大,手機(jī)郵箱業(yè)務(wù)可以加快企業(yè)的信息流動速度和市場響應(yīng)速度;從感知角度分析,人們希望能夠隨時與企業(yè)保持聯(lián)系,習(xí)慣用郵件進(jìn)行交流。這些都加快了手機(jī)郵箱業(yè)務(wù)的發(fā)展。從產(chǎn)業(yè)環(huán)境角度分析,運營商作為整條價值鏈的主導(dǎo)者,他們有足夠的能力調(diào)動各種資源,進(jìn)行有效的整合。另外手機(jī)已經(jīng)得到了普及,人們對手機(jī)郵箱有深入的認(rèn)識,與其他競爭產(chǎn)品相比,手機(jī)郵箱支持移動終端的使用,普及率也相對較高。
1.2阻礙手機(jī)郵箱業(yè)務(wù)發(fā)展的因素
從宏觀環(huán)境來看,國內(nèi)企業(yè)的信息化程度較低,并且企業(yè)間的信息化程度相差較大,不利于利用手機(jī)郵箱進(jìn)行通信。從產(chǎn)業(yè)環(huán)境來看,對企業(yè)端硬件要求較高,需要配置相應(yīng)的硬件或者手機(jī)。另外面臨著短信、微信業(yè)務(wù)的沖擊。
2手機(jī)郵箱系統(tǒng)安全機(jī)制的概要設(shè)計
2.1手機(jī)郵箱系統(tǒng)的原理和設(shè)計思路
手機(jī)郵箱系統(tǒng)是建立在服務(wù)器和交換機(jī)的基礎(chǔ)上,與移動通信系統(tǒng)有效結(jié)合,在安全機(jī)制的保障下進(jìn)行的移動設(shè)備上使用的郵箱系統(tǒng)。隨著社會信息化進(jìn)程的推進(jìn)和移動設(shè)備的普及,人們對于電子郵箱的使用頻率越來越高,郵箱的移動性需求也越來越強(qiáng)。因此電子郵箱和移動設(shè)備的整合給人們的生活和工作帶來極大的便利。手機(jī)郵箱滿足了人們對郵箱容量和安全性的需求,具有郵件加密、反垃圾、防病毒的特性。它的基本設(shè)計思路是:(1)最基本的就是要利用先進(jìn)技術(shù)對系統(tǒng)本身和郵件進(jìn)行安全保護(hù)。(2)設(shè)計出操作簡單的界面,提高手機(jī)的易用性和操作的實時性。(3)在手機(jī)終端高效使用電子郵箱能夠穩(wěn)定手機(jī)用戶數(shù)量。(4)朝著大容量、大附件的方向發(fā)展,對大量的郵件進(jìn)行有效的管理,能夠瀏覽大附件的郵件。(5)具有較高的擴(kuò)展性,能夠增加其他一些增值業(yè)務(wù)。
2.2手機(jī)郵箱系統(tǒng)安全機(jī)制的體系結(jié)構(gòu)
手機(jī)郵箱的安全機(jī)制主要是從系統(tǒng)和郵件的安全兩個方面進(jìn)行設(shè)計的。(1)郵箱系統(tǒng)層面的安全機(jī)制。第一,系統(tǒng)設(shè)計出自動恢復(fù)功能。手機(jī)郵箱系統(tǒng)設(shè)計了備份和恢復(fù)機(jī)制,有效保證了數(shù)據(jù)的完整性和一致性。備份包括數(shù)據(jù)的備份和備份時間兩個方面。有效對用戶的各種數(shù)據(jù)進(jìn)行及時更新和保存,并且我國現(xiàn)在研發(fā)出了自動數(shù)據(jù)備份和恢復(fù)算法,使得系統(tǒng)在不停止當(dāng)前業(yè)務(wù)的前提下進(jìn)行了自動備份,提高了工作效率。第二,系統(tǒng)結(jié)構(gòu)的安全。手機(jī)郵箱打破了傳統(tǒng)UNIX郵箱系統(tǒng)的郵箱用戶和系統(tǒng)用戶資料一致的局限,兩者的分離更加保證了系統(tǒng)的安全。另外此系統(tǒng)有效實現(xiàn)了用戶的外部請求和郵箱系統(tǒng)內(nèi)部數(shù)據(jù)處理的隔離,最大程度地保障了用戶數(shù)據(jù)的安全性。另外系統(tǒng)在兩者之間設(shè)計了防火墻設(shè)備,使得整個郵箱系統(tǒng)的安全性提高了一個等級。(2)POP無鎖機(jī)制。傳統(tǒng)的POP3郵箱采用的是郵箱和文件一對一的結(jié)構(gòu),這種結(jié)構(gòu)要求POP3服務(wù)器進(jìn)入時首先要鎖定用戶郵箱,一旦系統(tǒng)出錯很容易導(dǎo)致用戶郵箱鎖死。而手機(jī)郵箱系統(tǒng)則采用的是郵件與文件一對一的形式。這樣就有效避免了用戶郵箱鎖死現(xiàn)象的產(chǎn)生,提高了POP3服務(wù)器的安全性。(3)病毒防范機(jī)制。手機(jī)郵件系統(tǒng)的防病毒措施主要是采用與第三方病毒廠家合作的形式,手機(jī)郵箱的病毒特征庫可以在聯(lián)網(wǎng)狀態(tài)下進(jìn)行同步升級,定時更新。并且加強(qiáng)了對附件的防病毒措施,可以對有病毒的附件進(jìn)行退回、隔離等處理。這些操作可以自動進(jìn)行,也可根據(jù)用戶指令進(jìn)行。(4)GEGW安全策略。為了防止郵箱安全問題的產(chǎn)生,還可以采用郵件推送網(wǎng)關(guān)策略,即GEGW安全策略,其系統(tǒng)層應(yīng)用了Redhat中的AS4操作系統(tǒng),應(yīng)用SSH實施遠(yuǎn)程管理,SSH2協(xié)議,有效解決了傳統(tǒng)協(xié)議的脆弱性問題。在數(shù)據(jù)層中,采用了SSL加密通道通信,運行信息直接在數(shù)據(jù)庫中保存,只有特定用戶才可以訪問,數(shù)據(jù)庫文件在磁盤陣列中儲存,有效提升了數(shù)據(jù)的安全性。
3結(jié)語
作者:姚維學(xué) 浦勁松
智能化網(wǎng)管主要有如下特點:1.處理網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)元的不確定性;2.網(wǎng)管系統(tǒng)的協(xié)作能力及互操作性;3.適應(yīng)系統(tǒng)變化的能力;4.解釋和推理能力。網(wǎng)絡(luò)需求分析。某地市供電企業(yè)信息中心決定建立覆蓋全市的網(wǎng)絡(luò)管理系統(tǒng),為做到對整個網(wǎng)絡(luò)運行狀況了如指掌,須解決以下關(guān)鍵業(yè)務(wù)問題:(1)幫助信息中心人員及時了解整個網(wǎng)絡(luò)服務(wù)運行狀態(tài);(2)幫助各個層面網(wǎng)絡(luò)管理人員協(xié)調(diào)工作,快速定位并解決網(wǎng)絡(luò)故障;(3)預(yù)故障報警和處理監(jiān)測網(wǎng)絡(luò)通信數(shù)據(jù),事前處理可能發(fā)生網(wǎng)絡(luò)問題;(4)統(tǒng)一管理平臺,減少網(wǎng)絡(luò)系統(tǒng)和網(wǎng)絡(luò)設(shè)備停工期,確保網(wǎng)絡(luò)運行穩(wěn)定性、安全性和高效率。網(wǎng)管產(chǎn)品概述。某地市供電企業(yè)通過中心網(wǎng)絡(luò)BTNM管理平臺輕松實現(xiàn)了對下屬市縣分級平臺管理,實現(xiàn)了2級網(wǎng)絡(luò)管理架構(gòu)構(gòu)筑了全市網(wǎng)絡(luò)管理平臺,由于電信網(wǎng)絡(luò)不可管理性,技術(shù)人員在產(chǎn)品實施過程中將電信網(wǎng)絡(luò)透明化,簡化為簡單物理連接,跨過電信寬帶網(wǎng)絡(luò),實現(xiàn)對下級網(wǎng)絡(luò)透明化實時管理,具體表現(xiàn)如下:(1)建立網(wǎng)絡(luò)物理拓?fù)錂C(jī)構(gòu)圖;(2)用短信、電郵等工具快速精確故障告警信息;(3)建立跨廠商管理平臺;(4)集成網(wǎng)絡(luò)運行情況記錄、應(yīng)用監(jiān)視、網(wǎng)絡(luò)段延遲、撥號審計、IP流量審計、網(wǎng)絡(luò)設(shè)備SNMP信息瀏覽、Telnet、ping、traceroute等工具;(5)生成html格式總分析報告、詳細(xì)報告和大量圖表,供用戶分析參考。
我們采用BTNM網(wǎng)絡(luò)運維管理系統(tǒng)來對網(wǎng)絡(luò)進(jìn)行管理。BTNM網(wǎng)絡(luò)運維管理專家支持SNMPv1、v2版本,提供分層、統(tǒng)一的管理,在共享數(shù)據(jù)的基礎(chǔ)上支持第三方模塊開發(fā)與接入,擴(kuò)展管理。通過設(shè)置搜索范圍,BTNM系統(tǒng)會自動搜索該范圍內(nèi)所有支持SNMP協(xié)議可管理的設(shè)備,包括交換機(jī)、路由器、服務(wù)器、防火強(qiáng)等設(shè)備,并自動生成相應(yīng)真實的物理網(wǎng)絡(luò)拓樸圖。網(wǎng)絡(luò)拓?fù)涔芾怼D茏詣庸串嫵稣麄€網(wǎng)絡(luò)的準(zhǔn)確物理拓?fù)浣Y(jié)構(gòu),將整個管理區(qū)域分為若干管理子圖,支持不同管理權(quán)限的管理人員管理不同的拓?fù)鋮^(qū)域;支持各廠商網(wǎng)絡(luò)產(chǎn)品真實面板圖管理(尤其是CISCO、網(wǎng)捷、北電、FORE、華為、港灣、邁普、博達(dá)等設(shè)備)真實面板圖管理;支持在網(wǎng)絡(luò)結(jié)構(gòu)圖上直接顯示設(shè)備的連續(xù)運行時間、CPU負(fù)載、Mem利用率,直接顯示各設(shè)備間每條線路實時數(shù)據(jù)流量(包括幀流量、廣播流量、數(shù)據(jù)丟包情況和出錯包情況等)。網(wǎng)絡(luò)設(shè)備管理。1.能夠以列表方式顯示設(shè)備中所有端口的流量分布情況(包括出入端口的流量、數(shù)據(jù)幀流量、廣播包流量、丟包情況和錯誤包情況);2.提供有關(guān)網(wǎng)絡(luò)設(shè)備的最近故障日志查詢;3.設(shè)備端口狀態(tài)分析,顯示各端口的實時流量情況,并提供以下各主要數(shù)據(jù)的實時情況:設(shè)備端口表、IP地址表、路由表,MAC地址表;4.設(shè)備管理:能對主機(jī)名稱(含中文名稱)、設(shè)備類型、制造廠商、設(shè)備描述、設(shè)備備注、設(shè)備當(dāng)前負(fù)載狀況、設(shè)備端口信息、設(shè)備端口分布、故障日志、配置、跨地域的設(shè)備進(jìn)行管理。主機(jī)和應(yīng)用服務(wù)器的管理。1.可以在拓?fù)鋱D上,可以直觀的反映出服務(wù)器當(dāng)前的CPU負(fù)載、內(nèi)存占用比、連續(xù)運行時間情況。2.支持固定主機(jī)連接在固定交換機(jī)的固定端口上,防止非法接入和IP地址盜用。3.支持服務(wù)端動狀態(tài)監(jiān)視和告警、WEB、FTP、POP3、SMTP、數(shù)據(jù)庫服務(wù)、流媒體有效性監(jiān)視和告警。4.支持對服務(wù)器的CPU、MEM、網(wǎng)卡流量、網(wǎng)絡(luò)連接性能和狀態(tài)等的歷史記錄和分析,同時還支持對Web、Mail、Ftp、Pop3、數(shù)據(jù)庫服務(wù)器等的性能和響應(yīng)速度的歷史記錄和分析。故障告警與定位。告警至少能支持以下方式的告警輸出:GSM短消息告警、語音合成告警、郵件告警等,并且能夠方便的調(diào)用第三方的告警程序。網(wǎng)絡(luò)用戶信息管理。1.支持跨網(wǎng)段、跨地域的IP地址管理,自動、動態(tài)、完整提供全網(wǎng)所有活動用戶的網(wǎng)絡(luò)連接位置信息,便于故障定位,問題查找。2.能在用戶指定的地址范圍內(nèi)搜索IP地址的分布情況,提供所有可見的IP地址、MAC地址物理設(shè)備端口定位。3.IP-Mac、Mac-物理端口的對應(yīng)關(guān)系可以進(jìn)行輸出,支持IP-Mac、Mac-端口的綁定監(jiān)視。報表管理。
BTNM網(wǎng)絡(luò)運維管理專家集成提供了性能報表系統(tǒng),能夠直接從歷史記錄數(shù)據(jù)庫中獲取歷史數(shù)據(jù),形成各種類型的性能分析報表,并支持將性能報表以EXCEL格式導(dǎo)出、成網(wǎng)絡(luò)頁面以及XML數(shù)據(jù)文件,供第三方程序調(diào)用和進(jìn)一步處理。網(wǎng)絡(luò)管理軟件作為一種先進(jìn)的、成熟的網(wǎng)絡(luò)管理系統(tǒng),為地市供電企業(yè)網(wǎng)絡(luò)架構(gòu)提供了一個全新的理念。達(dá)到了性能更高,可靠性更高,安全性更高,業(yè)務(wù)更豐富的同時,使得網(wǎng)絡(luò)管理也變得越來越簡單,一方面鋪就了高速的網(wǎng)絡(luò)管理通道,另一方面改變了公司傳統(tǒng)網(wǎng)絡(luò)管理體系架構(gòu),使新的網(wǎng)絡(luò)管理體系架構(gòu)具有更好的擴(kuò)展性和可靠性。
【關(guān)鍵詞】無線傳真 T.30 3G 分組域
1 引言
無線傳真技術(shù)打破了傳統(tǒng)PsTN傳真有線接入的束縛,為用戶提供了一種更加方便和快捷的傳真手段,被廣泛的應(yīng)用于政府機(jī)關(guān)、軍隊、公安、農(nóng)林牧和移動商務(wù)等領(lǐng)域,并被作為山區(qū)、湖泊、近海和偏遠(yuǎn)地區(qū)等區(qū)域傳真業(yè)務(wù)覆蓋的有效解決手段。
現(xiàn)有無線傳真技術(shù)主要基于2G/3G移動網(wǎng)絡(luò)提供的電路域傳真業(yè)務(wù)。受限于網(wǎng)絡(luò)設(shè)備廠家和芯片廠家對傳真功能的支持,目前只有GsM和cDMA2000網(wǎng)絡(luò)提供正式商用的無線傳真業(yè)務(wù),且在實際使用中存在成功率低、速率低、不支持語音和傳真交替等問題。
2 無線傳真技術(shù)的基礎(chǔ)――G3傳真
ITU-T定義了4類傳真,其中G3(Group 3)傳真由于傳真質(zhì)量高、速度快、傳真機(jī)成本低,已成為PSTN和PLMN中被最廣泛應(yīng)用的傳真技術(shù)。
G3傳真技術(shù)遵循ITU-T的T.4和T.30規(guī)范。T.4規(guī)定了G3傳真文件編碼格式;T.30規(guī)定了G3的通信規(guī)程,該通信規(guī)程是上層傳輸協(xié)議,協(xié)議本身不保證數(shù)據(jù)可靠傳輸。
完整的G3傳真通信過程分為五個階段:A階段:呼叫建立,B階段:報文前過程、C階段:報文中過程,D階段:報文后過程,E階段:呼叫釋放。在傳真通信過程中,信令和數(shù)據(jù)傳輸交替進(jìn)行。信令采用HDLC格式,采用V.21第二信道300bps調(diào)制信號;傳真數(shù)據(jù)使用傳真終端協(xié)商的調(diào)制解調(diào)方式進(jìn)行傳輸,包括V1 7、V.29、V.27和V.34。
3 現(xiàn)有無線傳真的實現(xiàn)技術(shù)
現(xiàn)有無線傳真業(yè)務(wù)利用移動通信網(wǎng)電路域數(shù)據(jù)傳輸能力實現(xiàn)對G3傳真的承載,及與PSTN網(wǎng)G3傳真的互通。
3.1 系統(tǒng)結(jié)構(gòu)
對于不同移動通信網(wǎng)絡(luò),無線傳真實現(xiàn)技術(shù)的系統(tǒng)結(jié)構(gòu)基本一致,如圖1所示。
無線傳真終端支持G3傳真機(jī)和PC傳真客戶端的,接入,主要由無線Modem模塊、主CPU應(yīng)用、傳真Modem模塊和SLIC接口電路等組成。無線Modem模塊通過空口建立傳真業(yè)務(wù)的數(shù)據(jù)傳輸通道,并負(fù)責(zé)與網(wǎng)絡(luò)側(cè)T.30信令交互和傳真數(shù)據(jù)的收發(fā)。傳真Modem模塊與本地傳真機(jī)遵循T.30通信規(guī)程,實現(xiàn)與本地傳真機(jī)之間傳真數(shù)據(jù)的收發(fā)。主CPU與無線Modem模塊和傳真Modem模塊之間,采用串口通信,主CPU應(yīng)用通過AT指令控制兩個模塊實現(xiàn)傳真業(yè)務(wù)流程的控制。
移動通信網(wǎng)絡(luò)提供對G3傳真業(yè)務(wù)的承載通道,并通過IWF完成與PSTN網(wǎng)之間數(shù)據(jù)格式和傳輸協(xié)議的轉(zhuǎn)換。
3.2業(yè)務(wù)流程
以FAX CLASS2 AT指令集為例,無線傳真業(yè)務(wù)流程如圖2所示。
(1)本地傳真機(jī)摘機(jī),撥號;
(2)主ECPU應(yīng)用向無線Modem模塊發(fā)送ATD指令,模塊向網(wǎng)絡(luò)側(cè)發(fā)起傳真呼叫;
(3)被叫傳真機(jī)應(yīng)答,無線Modem模塊與網(wǎng)絡(luò)側(cè)建立傳真通道,PSTN側(cè)傳真機(jī)V.21 flag和DIs幀通過網(wǎng)絡(luò)傳到無線Modem模塊;
(4)傳真通道建立后,主ECPU應(yīng)用向傳真Modem模塊發(fā)送ATA指令,對本地傳真機(jī)的呼叫進(jìn)行應(yīng)答,完成A階段和B階段協(xié)商;
(5)EiECPU應(yīng)用向傳真Modem模塊發(fā)送AT+FDR指令,接收訓(xùn)練序列,并準(zhǔn)備接收傳真數(shù)據(jù);
(6)=kCPU應(yīng)用向傳真Modem模塊發(fā)送AT+FDT指令,向PSTN傳真機(jī)發(fā)送DCS幀和訓(xùn)練序列,完成B階段協(xié)商,并準(zhǔn)備發(fā)送傳真數(shù)據(jù);
(7)主CPu應(yīng)用通過傳真Modem模塊接收本地傳真機(jī)的傳真數(shù)據(jù),并通過無線Modem模塊發(fā)送給網(wǎng)絡(luò)。并通過IWF將數(shù)據(jù)傳送至PSTN傳真機(jī)。
3.3 移動通信網(wǎng)技術(shù)對無線傳真的支持情況
(1)GSM
GSM 03 45和03 46分別定義了透明和非透明兩種傳輸模式下的傳真技術(shù),提供自動傳真業(yè)務(wù)和話音/傳真交替?zhèn)髡鏄I(yè)務(wù)。透明模式只提供無線信道前向糾錯機(jī)制;而非透明模式下,除了無線信道前向糾錯機(jī)制外,無線鏈路層還采用了RLP協(xié)議,引入了差錯重發(fā)機(jī)制,提升了傳輸?shù)目煽啃浴S捎谑芫W(wǎng)絡(luò)設(shè)備和終端芯片對傳真功能支持的限制,目前國內(nèi)只開展了透明模式下的自動傳真業(yè)務(wù)。
(2)TD-SCDMA和WCDMA
3GPP TS 23.146定義了在兩種網(wǎng)絡(luò)中的非透明模式傳真技術(shù),提供自動傳真業(yè)務(wù)和話音/傳真交替?zhèn)髡鏄I(yè)務(wù)。基于非透明傳輸通道,傳真終端與1wF之間采用E-T 38協(xié)議承載傳真信令和數(shù)據(jù)。由于受網(wǎng)絡(luò)設(shè)備和終端芯片對傳真功能支持的限制,目前國內(nèi)TD-SCDMA和WCDMA的無線傳真業(yè)務(wù)尚未商用。
(3)CDMA2000
3GPP2 C S001 7-004-A和3GPP2 C.S001 7-007-A定義了CDMA2000 1x傳真技術(shù)方案。CDMA2000 1X傳真業(yè)務(wù)無線鏈路層采用RLP協(xié)議,傳真終端與IWF之間采用TCP協(xié)議保證傳真信令和數(shù)據(jù)傳輸?shù)目煽啃浴D壳皣鴥?nèi)CDMA2000網(wǎng)絡(luò)提供商用的無線傳真業(yè)務(wù),但不支持話音/傳真交替?zhèn)髡妗?/p>
4 現(xiàn)有無線傳真技術(shù)的問題
現(xiàn)網(wǎng)中使用的GSM和CDMA2000無線傳真技術(shù)主要存在以下問題:
(1)成功率低
影響成功率的主要因素包括:
無線信道誤碼引起傳真信令和數(shù)據(jù)信息錯誤,導(dǎo)致傳真失敗;
硬切換引起傳真信令和數(shù)據(jù)信息丟失,導(dǎo)致傳真失敗;
傳真機(jī)、無線傳真終端和IWF等網(wǎng)元在傳真過程中,因處理時序和重發(fā)定時器長度的適配問題,導(dǎo)致傳真失敗;
端到端網(wǎng)絡(luò)時延如果超過重發(fā)定時器長度,可能引起收發(fā)兩端同時發(fā)傳真協(xié)議幀,而傳真的協(xié)商階段采用半雙工方式,如果2個同時都是發(fā)送,則2個終端都無法收到需要的幀,從而導(dǎo)致協(xié)商交互失敗。
cDMA2000傳真雖然采用TCP保證傳輸可靠性,但在TCP重傳機(jī)制引起了協(xié)議幀的更大時延,從而也增大了網(wǎng)絡(luò)時延導(dǎo)致傳真失敗的幾率。現(xiàn)網(wǎng)實際使用中,CDMA2000傳真成功率與GSM相比并沒有明顯改善。
(2)速率低
只支持9.6kpbs的速率,而對于現(xiàn)網(wǎng)中大量采用的14.4kbps傳真機(jī),只能采用降速的方式發(fā)送。
(3)無法實現(xiàn)語音和傳真交替
只支持自動傳真方式,不支持傳真語音和傳真交替的業(yè)務(wù)能力。
(4)依賴于移動網(wǎng)技術(shù)
無線傳真方案與移動網(wǎng)傳真實現(xiàn)技術(shù)及傳真功能支持情況緊密相關(guān)。受網(wǎng)絡(luò)設(shè)備和芯片對傳真功能支持的限制,國內(nèi)尚未在TD-SCDMA和WCDMA網(wǎng)絡(luò)中開展無線傳真業(yè)務(wù),無法充分利用3G網(wǎng)絡(luò)帶寬的優(yōu)勢。
5 無線傳真技術(shù)演進(jìn)方向
面對電路域無線傳真技術(shù)的這些問題,利用分組域數(shù)據(jù)承載發(fā)展無線IP傳真成為了無線傳真技術(shù)新的演進(jìn)方向。無線IP傳真技術(shù)主要有以下優(yōu)勢:
(1)無線傳真應(yīng)用層與移動通信網(wǎng)技術(shù)無關(guān),能夠在不同的2G/3G網(wǎng)絡(luò)中部署和開展無線傳真業(yè)務(wù),而不再受網(wǎng)絡(luò)設(shè)備和芯片支持情況的限制。
(2)基于IP的無線傳真方案更加靈活,既可以通過將T.30傳真信令和數(shù)據(jù)封裝成IP報文的方式在IP網(wǎng)中承載實時傳真業(yè)務(wù);也可以結(jié)合互聯(lián)網(wǎng)技術(shù)開展非實時傳真業(yè)務(wù),并與其他豐富多媒體通信手段進(jìn)行融合。
(3)能夠充分發(fā)揮3G以及未來LTE技術(shù)的帶寬優(yōu)勢,承載更高速率的傳真。
(4)無線IP傳真可以采用更多的手段提升傳輸可靠性:
提高端到端業(yè)務(wù)承載質(zhì)量;
實時傳真的報文采用UDPTL協(xié)議前向糾錯機(jī)制,在提高傳輸可靠性的同時避免了重發(fā)機(jī)制引起的時延問題;
在無線網(wǎng)絡(luò)環(huán)境較惡劣的條件下,終端發(fā)送到網(wǎng)絡(luò)的傳真數(shù)據(jù)可以采用非實時方式,避免誤碼或時延導(dǎo)致T 30通信失敗。
目前無線IP傳真技術(shù)方案處于研究和試驗階段,按照實現(xiàn)方式主要分為無線實時1P傳真方案和無線非實時IP傳真方案。
5.1 無線實時IP傳真方案
該方案基于ITU-T T.38定義的實時IP傳真技術(shù),由無線傳真終端充當(dāng)T.38傳真網(wǎng)關(guān)的角色,完成T.30傳真協(xié)議到基于IPI的T.38報文的轉(zhuǎn)換,并具備傳真信號檢測功能。
T.38傳真供選擇的控制協(xié)議包括H.323、H.248和SIP等,軟交換網(wǎng)絡(luò)和1MS網(wǎng)絡(luò)都可以提供T.38傳真的解決方案。對于軟交換網(wǎng)絡(luò),無線傳真終端采用H.248協(xié)議注冊到媒體網(wǎng)關(guān)控制器(MGC),在會話過程中支持傳真開始和傳真結(jié)束事件的上報,配合MGC實現(xiàn)傳真和語音之間的媒體切換。對于IMS網(wǎng)絡(luò),無線傳真終端采用SIP協(xié)議注冊成為IMS用戶,支持呼叫建立過程中的媒體協(xié)商,以及呼叫過程中傳真和語音之間的媒體切換。
圖3是基于IMS網(wǎng)絡(luò)的無線IP實時傳真的方案。
無線傳真終端除了需要傳真Modem模塊實現(xiàn)與本地傳真機(jī)T.30協(xié)議適配,以及無線Modem模塊建立與網(wǎng)絡(luò)的分組域連接,還需要實現(xiàn)IMS用戶功能,并支持T.30信令和數(shù)據(jù)到T.38格式報文的轉(zhuǎn)換。
IMS核心網(wǎng)實現(xiàn)用戶注冊、認(rèn)證鑒權(quán)、路由和會話控制等功能,SIP AS實現(xiàn)傳真的業(yè)務(wù)邏輯和計費,MGCF/IM-MGW負(fù)責(zé)與PSTN信令面和媒體面的互通。
圖4描述了IMS網(wǎng)絡(luò)環(huán)境下無線IP實時傳真方案發(fā)送傳真的業(yè)務(wù)流程:
(1)無線傳真終端PDP上下文激活通過分組域連接至IP承載網(wǎng),并注冊到IMS網(wǎng)絡(luò);
(2)發(fā)端傳真機(jī)通過無線傳真終端發(fā)起語音呼叫,雙方進(jìn)入語音通信;
(3)發(fā)端傳真機(jī)發(fā)送帶內(nèi)CNG信號音,準(zhǔn)備發(fā)送傳真;
(4)無線傳真終端檢測到CNG信號音,發(fā)送relNVITE請求將媒體更新為T.38傳真;
(5)IM-MGW檢測到收端傳真機(jī)發(fā)送的CED應(yīng)答單音和V.21 flags,上報給MGCF;
(6)MGCF通知IM-MGCF將媒體切換到T.38傳真,并向無線傳真終端返回200 OK(relNVITE)響應(yīng);
(7)無線傳真終端和IM-MGW建立T.38傳真業(yè)務(wù)用戶面,進(jìn)行傳真通信。
接收傳真流程與之相反,是一個IMS用戶的被叫流程,由MGCF發(fā)送relNVlTE請求將媒體更新為傳真。
基于T 38的協(xié)議的無線IP實時傳真方案與移動通信網(wǎng)技術(shù)無關(guān)。可以充分利用3G分組域數(shù)據(jù)承載通道以及軟交換、IMS網(wǎng)絡(luò),實現(xiàn)無線實時傳真在TD-SCDMA、WCDMA和CDMA2000網(wǎng)絡(luò)中的部署,并支持語音和傳真交替功能。在傳輸可靠性方面,T.38的IFP封包(封裝T.30控制和數(shù)據(jù)信息)可以采用UDPTL協(xié)議,通過前向糾錯機(jī)制實現(xiàn)糾錯和丟包恢復(fù),并一定程度上避免了TCP重發(fā)機(jī)制時延而導(dǎo)致傳真失敗的問題。
5.2 無線非實時IP傳真方案
基于T.38的無線實時IP傳真能夠為用戶提供實時的傳真體驗,但是對無線帶寬有一定的要求,經(jīng)過測算,速率為14.4kbps的傳真約需要64kpbs的帶寬。在2G網(wǎng)絡(luò)和3G網(wǎng)絡(luò)條件較差的環(huán)境中,將難以承載無線實時IP傳真。
為了解決以上問題,采用存儲轉(zhuǎn)發(fā)機(jī)制的無線非實時IP傳真是一種以時延換可靠性的方案,實現(xiàn)方案圖5所不。
無線傳真終端除了需要傳真Modem模塊和無線Modem模塊,還需要實現(xiàn)基于SMTP/POP3協(xié)議或WebSe rvice接口與電子傳真平臺進(jìn)行傳真頁面收發(fā)交互的傳真應(yīng)用。電子傳真平臺采用ISUP或SIP協(xié)議連接PSTN.實現(xiàn)平臺與PSTN傳真機(jī)之間G3傳真的收發(fā),同時采用SMTP/POP3協(xié)議或Web Service接口與無線傳真終端連接,實現(xiàn)無線傳真終端傳真數(shù)據(jù)的收發(fā)。
無線非實時IP傳真方案的發(fā)送傳真流程為:
(1)無線傳真終端接收傳真機(jī)頁面數(shù)據(jù),保存為TIF格式文件;
(2)無線傳真終端采用SMTP協(xié)議或Web Service接口將TIF格式文件發(fā)送給電子傳真平臺;
(3)電子傳真平臺通過T.30協(xié)議將傳真數(shù)據(jù)發(fā)送給PSTN傳真機(jī)。
接收傳真的流程與之相反,電子傳真平臺接收到PSTN傳真數(shù)據(jù)后,采用數(shù)據(jù)短信方式通知無線傳真終端激活PDP連接,無線傳真終端采用POP3協(xié)議或WebService接口從電子傳真平臺上獲取傳真數(shù)據(jù),再通過T.30協(xié)議將傳真數(shù)據(jù)發(fā)送給傳真機(jī)。
由于無線傳真終端和電子傳真平臺之間采用TCP直接傳輸傳真頁面數(shù)據(jù),即使在低帶寬和網(wǎng)絡(luò)質(zhì)量較差的環(huán)境下,也能保證傳輸?shù)母呖煽啃浴6鴤髡鏅C(jī)與無線傳真終端之間、電子傳真平臺與PSTN傳真之間,能夠保證T.30協(xié)議的可靠傳輸。因此,無線非實時IP傳真方案能夠提供端到端高成功率的無線傳真業(yè)務(wù)。時延方面,經(jīng)過測試在網(wǎng)絡(luò)正常負(fù)荷下,無線非實時IP傳真方案會比無線實時傳真方案延遲約1~2分鐘,適合對傳真時延敏感度不高但成功率要求較高的客戶。
6 結(jié)束語
相比現(xiàn)有電路域無線傳真技術(shù),基于分組數(shù)據(jù)承載的無線IP傳真技術(shù)在可靠性、速率、靈活性和移動網(wǎng)技術(shù)無關(guān)性等方面具有較為明顯的優(yōu)勢。業(yè)內(nèi)一直在積極探討和研究無線IP傳真技術(shù)的解決方案,并推動產(chǎn)品的開發(fā)、試驗和商用。相信隨著3G無線寬帶業(yè)務(wù)的普及,基于IP的無線傳真技術(shù)將逐步發(fā)展成為未來無線傳真的主流技術(shù)方向,并實現(xiàn)與其他IP多媒體通信方式的融合,讓傳真業(yè)務(wù)變得更加簡單、方便、快捷和可靠。
參考文獻(xiàn)
[1]ITU-T Recommendation T.4. Standardization of Group 3 Facsimile Terminals for Document Transmission[S].
[2]ITU-T Recommendation T.30. Procedures for Document Facsimile Transmission in the General Switched Telephone Network[S].
[3]GSM 03.45. Technical Realization of Facsimile Group 3 Transparent[S].
[4]GSM 03.46. Technical Realization of Facsimile group 3 Non- transparent[S].
[5]3GPP TS 23.146. Technical Realization of Facsimile Group 3 Non-transparent[S].
[6]3GPP TS 24.229. IP Multimedia Call Control Protocol based on SIP and SDP[S].
[7]3GPP2 C,S0017-004-A. Data Service Options for CDMA Spread Spectrum Systems,. Async Data and Fax Services[S].
[8]3GPP2 C.S0017-007-A. Data Service Options for CDMA Spread Spectrum Systems: Anolog Fax Service[S].
針對企業(yè)網(wǎng)絡(luò)信息安全中存在的種種隱患,大東網(wǎng)絡(luò)(.cn)推出的核心產(chǎn)品――網(wǎng)絡(luò)安全審計系統(tǒng),分別針對政府機(jī)構(gòu)、教育行業(yè)、公共領(lǐng)域、企業(yè)集團(tuán)等不同行業(yè),制定并實施了具有應(yīng)用針對性的行業(yè)解決方案。其中DD2000網(wǎng)絡(luò)信息審計系統(tǒng)是專門針對各大型集團(tuán)企業(yè)研發(fā),為其提供網(wǎng)絡(luò)信息安全方面的解決方案,為企業(yè)切實解決網(wǎng)絡(luò)信息安全問題。
應(yīng)用背景及管理目標(biāo)
長期以來,由于大東網(wǎng)絡(luò)所在的集團(tuán)企業(yè)的信息化網(wǎng)絡(luò)一直受到來自公共網(wǎng)絡(luò)的攻擊、信息竊取、計算機(jī)病毒以及企業(yè)內(nèi)部泄密等各方面的威脅,企業(yè)領(lǐng)導(dǎo)階層備受困擾;另外,企業(yè)職員在辦公過程中,瀏覽與工作無關(guān)的網(wǎng)絡(luò)、P2P檔案共享軟件的運行、即時訊息的傳送(IM),以及串流媒體的在線播放等行為,不僅降低了工作效率,也占用了大量的帶寬資源,企業(yè)內(nèi)部網(wǎng)絡(luò)堵塞現(xiàn)象嚴(yán)重,對企業(yè)內(nèi)部的正常網(wǎng)絡(luò)應(yīng)用形成了潛在威脅。為了幫助該集團(tuán)維護(hù)其商業(yè)秘密、核心機(jī)密,解決企業(yè)在信息安全方面的困擾,大東網(wǎng)絡(luò)根據(jù)該企業(yè)的實際情況與需求,提供了DD2000網(wǎng)絡(luò)信息審計系統(tǒng)。
項目實施后發(fā)現(xiàn)問題
通過審計系統(tǒng)的流量監(jiān)測模塊找到了網(wǎng)速變慢的主要原因,企業(yè)內(nèi)部存在使用BT下載的現(xiàn)象,網(wǎng)絡(luò)中BT下載流量占了網(wǎng)絡(luò)帶寬的60%左右;通過審計系統(tǒng)的流量監(jiān)測模塊找到了占用網(wǎng)絡(luò)資源最多的IP地址;通過審計系統(tǒng)的網(wǎng)絡(luò)行為審計模塊發(fā)現(xiàn)網(wǎng)絡(luò)中訪問的與企業(yè)工作無關(guān)的信息IP地址及無關(guān)內(nèi)容;通過審計系統(tǒng)的數(shù)據(jù)庫審計模塊查看企業(yè)內(nèi)部用戶對數(shù)據(jù)庫的操作步驟及內(nèi)容,P2P檔案共享軟件的運行不規(guī)范。
提出解決方案
優(yōu)化網(wǎng)絡(luò)的主要依據(jù)就是了解網(wǎng)絡(luò)中各協(xié)議、各種數(shù)據(jù)包所占的比例,如果出現(xiàn)網(wǎng)絡(luò)故障,需要找到引起網(wǎng)絡(luò)故障的源頭才能解決。該集團(tuán)將DD2000網(wǎng)絡(luò)信息審計系統(tǒng)部署在其中央服務(wù)器上,通過DD2000網(wǎng)絡(luò)信息審計系統(tǒng)的統(tǒng)計監(jiān)測功能,找到了企業(yè)內(nèi)部網(wǎng)速慢的主要原因之一,就是企業(yè)內(nèi)部有員工使用BT下載,占用了大量的企業(yè)帶寬資源。而通過部署該系統(tǒng),將企業(yè)內(nèi)部使用BT下載者的IP和MAC地址進(jìn)行定位、對其BT下載進(jìn)行流量限制等,實現(xiàn)了規(guī)范企業(yè)員工上網(wǎng)行為的目的,大大提高了企業(yè)網(wǎng)絡(luò)的運行速度。
具體實施
對BT下載進(jìn)行流量限制;綁定IP/MAC地址,根據(jù)管理員定義的IP地址以及端口號對特定的協(xié)議進(jìn)行實時的跟蹤并記錄原始的數(shù)據(jù)報文,同時記錄各個網(wǎng)站的點擊量,設(shè)置流量異常事件(包括字節(jié)數(shù)、數(shù)據(jù)包數(shù)、增量數(shù)等)進(jìn)行實時的報警;對QQ、MSN、ICQ、雅虎通等即時通信協(xié)議進(jìn)行詳細(xì)的實時監(jiān)控、審計,并可以對操作過程進(jìn)行回放。
項目實施效果評估
通過對該企業(yè)實施大東網(wǎng)絡(luò)審計系統(tǒng)之后,企業(yè)網(wǎng)管人員對企業(yè)網(wǎng)絡(luò)的HTTP、POP3等基本網(wǎng)絡(luò)應(yīng)用協(xié)議實現(xiàn)了詳細(xì)的實時監(jiān)控、審計;對網(wǎng)絡(luò)中Windows共享文件的運行進(jìn)行審計,實時記錄網(wǎng)絡(luò)用戶對Windows共享文件的各種操作,記錄下了相應(yīng)的原始文件,并對以上操作過程完整回放;對網(wǎng)絡(luò)中的IP流量進(jìn)行實時監(jiān)測,并根據(jù)預(yù)先設(shè)置的策略對突發(fā)或意外事件進(jìn)行合理處置。
近年來,國家對網(wǎng)絡(luò)信息安全的重視程度日益提升,2012年,國務(wù)院《關(guān)于大力推進(jìn)信息化發(fā)展和切實保障信息安全的若干意見》(國發(fā)[2012]23號)提出建設(shè)我國網(wǎng)絡(luò)與信息安全保障體系的要求,十報告中19處提及信息技術(shù)與信息安全,并提出“健全信息安全保障體系”的目標(biāo)。在此大背景之下,基礎(chǔ)電信企業(yè)和增值IDC/ISP企業(yè)作為互聯(lián)網(wǎng)建設(shè)和接入的第一主體,承擔(dān)起信息內(nèi)容安全防護(hù)及溯源定位的安全責(zé)任。2012年,工信部電管局《工業(yè)和信息化部關(guān)于進(jìn)一步規(guī)范因特網(wǎng)數(shù)據(jù)中心業(yè)務(wù)和因特網(wǎng)接入服務(wù)業(yè)務(wù)市場準(zhǔn)入工作的通告》,宣布恢復(fù)跨地區(qū)IDC、ISP許可申請,并在申請實施方案中明確要求新申請企業(yè)需建設(shè)信息安全管理系統(tǒng),具備基礎(chǔ)數(shù)據(jù)管理、訪問日志管理、違法違規(guī)網(wǎng)站及違法信息發(fā)現(xiàn)處置等技術(shù)能力。2013年,基礎(chǔ)電信企業(yè)責(zé)任制考核中加入了移動上網(wǎng)日志留存與IDC/ISP信息安全管理系統(tǒng)建設(shè)相關(guān)考核指標(biāo)。伴隨著基礎(chǔ)企業(yè)責(zé)任制考核、IDC/ISP企業(yè)準(zhǔn)入/年檢實質(zhì)性評測工作的開展,信息安全的測試工作量也迅速上升,信息安全測試技術(shù)手段的建設(shè)與評測要求日益迫切,根據(jù)測算在移動上網(wǎng)日志留存系統(tǒng)測試中,每種上網(wǎng)方式撥測量約1.1萬次,針對IDC/ISP信安管理系統(tǒng)測試,每處局址EU撥測量約2萬次,而在某些違法信息監(jiān)測效果評估項目中,一輪測試的撥測量就超過24萬次,一年中累計撥測量達(dá)到了數(shù)百萬次。為配合相關(guān)考核及準(zhǔn)入評測工作,迫切需要開發(fā)和完善穩(wěn)定、高效、可靠的移動應(yīng)用撥測工具套件,以便提高有關(guān)信息安全技術(shù)系統(tǒng)/設(shè)備的現(xiàn)網(wǎng)技術(shù)測試效率,規(guī)范撥測操作、簡化評測實施難度,為此我們根據(jù)移動上網(wǎng)日志留存系統(tǒng)、IDC/ISP信息安合移動網(wǎng)絡(luò)業(yè)務(wù)特點,針對互聯(lián)網(wǎng)上主流應(yīng)用協(xié)議及應(yīng)用場景進(jìn)行了分析,自主研發(fā)了具備HTTP、HTTPS、FTP、SMTP等11種公開協(xié)議、基于TCP和UDP的2種私有協(xié)議的的撥測套件。
2系統(tǒng)設(shè)計及功能說明
2.1系統(tǒng)功能簡介
本文所述信息安全綜合撥測工具指的是具備用戶網(wǎng)絡(luò)行為模擬,具備各類網(wǎng)絡(luò)協(xié)議撥測,用于驗證企業(yè)日志留存準(zhǔn)確性、違法信息處置有效性的綜合撥測系統(tǒng)。
2.2系統(tǒng)設(shè)計框架
本項目研究內(nèi)容主要是撥測系統(tǒng)的各功能模塊實現(xiàn),根據(jù)現(xiàn)有測試需求,分為移動業(yè)務(wù)撥測工具、桌面業(yè)務(wù)撥測工具、服務(wù)端業(yè)務(wù)參考網(wǎng)站及輔助模塊四個部分,框架示意圖如圖1所示。本項目研究內(nèi)容將主要圍繞上述模塊的應(yīng)用協(xié)議設(shè)計及實現(xiàn)、撥測方案設(shè)計及實現(xiàn)、測試結(jié)果統(tǒng)計及報告導(dǎo)出等實現(xiàn)具體功能。
2.3功能模塊說明
2.3.1移動業(yè)務(wù)撥測工具本模塊實現(xiàn)移動業(yè)務(wù)訪問和用戶行為模擬,在終端選型中主要考慮可靠性強(qiáng),可編程行完善,能主流廠商量產(chǎn)便攜終端、支持多種移動制式(2G/3G/4G)。支持Wi-Fi、支持USB及擴(kuò)展存儲,并具有主流操作系統(tǒng),能便捷地開發(fā)移動終端應(yīng)用,操作系統(tǒng)應(yīng)支持多種硬件,經(jīng)過篩選,最終確定了An-droid操作系統(tǒng),并考慮到制式支持全面等問題,優(yōu)先選取全網(wǎng)通終端。軟件功能上,撥測工具開發(fā)具備如下多種功能。•支持多種撥測協(xié)議(HTTP、FTP、SSH、SMTP、POP3、IMAP、SMTPS、IMAPS、DNS、NTP、SNMP及自定義端口的撥測)。•支持撥測(HTTP、Socks),能通過協(xié)議進(jìn)行HTTP撥測。•支持?jǐn)?shù)據(jù)對比,能支持大小寫敏感的文件列表匹配,支持幾萬條URL直接對比。•支持多線程撥測,能根據(jù)CPU核數(shù)和網(wǎng)絡(luò)環(huán)境進(jìn)行自動調(diào)整。•支持用戶行為定義,能配置時間間隔,定義同一TCP流中是否進(jìn)行多次HTTP請求。•能定義HTTP請求的UA信息。•自定義超時配置,能根據(jù)網(wǎng)絡(luò)環(huán)境定義HTTP請求及響應(yīng)的超時信息。•項目管理,支持以項目為單位,對撥測結(jié)果進(jìn)行統(tǒng)計、導(dǎo)出。•報告導(dǎo)出,支持用戶撥測記錄按照指定格式導(dǎo)出測試記錄報告。•地理位置識別,能通過GPS和網(wǎng)絡(luò)自動定位當(dāng)前撥測地點。•手機(jī)號碼識別,能自動識別SIM卡中的手機(jī)號碼,對于不能識別的SIM卡,支持以IMSI為標(biāo)識符的手動管理。•服務(wù)端同步管理,支持URL遠(yuǎn)程下載,支持URL遠(yuǎn)程上傳。•自動更新,支持云端自動檢測軟件版本,支持自動下載更新。•錯誤反饋,支持在程序崩潰后自動將錯誤日志提交遠(yuǎn)程服務(wù)器,支持錯誤后自動重啟。•授權(quán)管理,支持機(jī)器碼相關(guān)的授權(quán)管理,支持遠(yuǎn)程授權(quán)驗證。開發(fā)的UI界面摘選如圖2所示。2.3.2桌面業(yè)務(wù)撥測工具本模塊實現(xiàn)桌面業(yè)務(wù)訪問和用戶行為模擬,在終端選型中主要考慮可編程性完善、便攜性強(qiáng),具有主流操作系統(tǒng),能便捷的開發(fā)桌面應(yīng)用程序,主流廠商量產(chǎn)便攜終端、支持Wi-Fi、支持USB及擴(kuò)展存儲,通過USB擴(kuò)展移動上網(wǎng)功能。功能上撥測工具與移動業(yè)務(wù)撥測工具類似,不同之處在于桌面業(yè)務(wù)撥測工具性能更強(qiáng),能具備支持高并發(fā)、大流量的撥測能力,且能支持驗證功能。開發(fā)的UI界面摘選如圖3所示。2.3.3服務(wù)端業(yè)務(wù)參考網(wǎng)站本模塊配合撥測工具實現(xiàn)服務(wù)端業(yè)務(wù)系統(tǒng)模擬,設(shè)計中主要考慮系統(tǒng)需具備可靠性,能承擔(dān)大壓力的業(yè)務(wù)會話處理,具備可擴(kuò)展性,具備豐富的應(yīng)用接口,最終選定用PHP下的bootstrap框架、Python下的Tornado框架以及MySQL實現(xiàn)服務(wù)端業(yè)務(wù)參考網(wǎng)站。功能上支持如下功能。•多種協(xié)議響應(yīng)回顯功能(HTTP、FTP、SSH、SMTP、POP3、IMAP、SMTPS、IMAPS、DNS、NTP、SN-MP及自定義端口的回顯)。•支持日志查詢,包括各類協(xié)議,各個字段查詢。•支持撥測記錄統(tǒng)計,可按單位和終端兩個維度統(tǒng)計用戶的撥測工作量及撥測所在網(wǎng)絡(luò)。•支持各類管理操作,具備客戶端注冊管理、客戶端校驗回顯、公網(wǎng)URL分配、企業(yè)導(dǎo)出URL管理、APK應(yīng)用版本升級管理、服務(wù)器信息管理、應(yīng)用崩潰日志管理。業(yè)務(wù)系統(tǒng)示意圖如圖4、圖5所示。2.3.4輔助模塊本部分主要包括業(yè)務(wù)爬蟲、撥測列表篩選器和服務(wù)器三個組成部分,具體說明如下。•業(yè)務(wù)爬蟲爬蟲編寫較為復(fù)雜,為此我們考慮其編寫框架應(yīng)具有可擴(kuò)展性,具備豐富的編程擴(kuò)展庫,具備豐富的程序接口;此外需具備高效性,具備高效爬取互聯(lián)網(wǎng)上業(yè)務(wù)URL的能力;考慮到可靠性,具備在服務(wù)器上持續(xù)運行的穩(wěn)定性,最終我們選用了Python下的Scrapy爬蟲框架,并況下1天可爬取500萬條公網(wǎng)URL,能高效的實現(xiàn)業(yè)務(wù)上對URL的爬取。•撥測列表篩選器撥測列表篩選器需要是對業(yè)務(wù)爬蟲爬取的URL進(jìn)行篩選,能從大量的URL中挑選出實際可用的URL,主要功能需包括去除重復(fù)URL、去除非法URL(含非法字符)。考慮到測試的高效性,我們篩選中還會針對性的帥選URL目的文件較小的測試樣本,以便在測試中提升測試效率,并節(jié)約流量。•服務(wù)器服務(wù)器目前Linux平臺下具備相關(guān)成熟應(yīng)用,我們將其整合到參考網(wǎng)站中,功能具備HTTP、HTTPS、Socks、DNS、FTP等各種協(xié)議,考慮到通用性,我們選用了3Proxy作為服務(wù)器應(yīng)用,但在應(yīng)用中我們發(fā)現(xiàn)3proxy對HTTP的PATH支持有限,部分情況下會出現(xiàn)URL轉(zhuǎn)發(fā)錯誤,最終針對HTTP我們選用了更為成熟的squid3作為應(yīng)用服務(wù)器。輔助模塊的運行示意圖如圖6所示。
3項目難點、創(chuàng)新性及亮點
項目研究過程中我們發(fā)現(xiàn)存在若干難點,并創(chuàng)新性的提出了針對性解決方案,列舉如下。一是如何在信息安全撥測中獲取網(wǎng)絡(luò)日志信息。測試需要源IP、源端口等詳盡數(shù)據(jù),但僅在客戶端中無法得到上述信息,只有服務(wù)端才能獲取相關(guān)數(shù)據(jù),而標(biāo)準(zhǔn)的網(wǎng)絡(luò)應(yīng)用協(xié)議并不會傳輸上述網(wǎng)絡(luò)日志信息,因此本項目在協(xié)議實現(xiàn)中,基于現(xiàn)網(wǎng)網(wǎng)絡(luò)協(xié)議進(jìn)行了流程改造,不僅能實現(xiàn)網(wǎng)絡(luò)應(yīng)用協(xié)議交互,還能傳輸測試所需的源IP、源端口、訪問時間等日志信息。二是如何更好的模擬終端用戶行為。在HTTP協(xié)議撥測中,傳統(tǒng)的測試均只在一個TCP流中傳輸一次協(xié)議請求,但在現(xiàn)網(wǎng)環(huán)境,用戶的一次交互會產(chǎn)生多次HTTP請求,并在同一個TCP流中完成,對于上述用戶現(xiàn)網(wǎng)真實行為,需要在測試中進(jìn)行重現(xiàn)。為此我們在測試工具實現(xiàn)時,支持針對不同用戶行為的定制,可定義測試中是否進(jìn)行重練接。在實際測試中發(fā)現(xiàn),啟用重練接后能有效驗證企業(yè)測試中是否存在協(xié)議漏控現(xiàn)象。三是如何提高撥測效率。信息安全撥測的量巨大,測試耗時較長,曾經(jīng)在某省測試中發(fā)現(xiàn)在3G網(wǎng)絡(luò)下進(jìn)行一次實驗環(huán)境的測試耗時8個小時,為提高測試效率,本工具從技術(shù)實現(xiàn)、測試目標(biāo)篩選、網(wǎng)絡(luò)響應(yīng)等方面進(jìn)行了創(chuàng)新改造。首先是采用多線程并發(fā)的技術(shù)提高單位時間的撥測量,同時針對移動平臺處理器性能較低的特點,我們在撥測算法上進(jìn)行了優(yōu)化,以便充分利用測試工具性能。其次是篩選測試目標(biāo)。測試前,我們會通過爬蟲程序?qū)W(wǎng)絡(luò)測試目標(biāo)進(jìn)行爬取,爬取中會判斷篩選出延時小、訪問便捷的測試目標(biāo)作為撥測對象。提升實際測試中的效率。再次我們對自己的服務(wù)段業(yè)務(wù)參考網(wǎng)站進(jìn)行了撥測方面的優(yōu)化,采用了smarty框架進(jìn)行模板渲染,能大大加強(qiáng)業(yè)務(wù)參考網(wǎng)站的并發(fā)性能,更好的響應(yīng)撥測需求。四是如何確保測試結(jié)果準(zhǔn)確性。測試工作涉及基礎(chǔ)企業(yè)考核和準(zhǔn)入企業(yè)牌照申請,因此需確保測試結(jié)果準(zhǔn)確,結(jié)果不存在爭議。為此我們會對測試過程進(jìn)行詳細(xì)的日志記錄,留存好中間數(shù)據(jù),包括每次的測試訪問時間、服務(wù)器回應(yīng)數(shù)據(jù)、撥測工具記錄數(shù)據(jù)等。以確保測試過程所有數(shù)據(jù)均有據(jù)可循。同時為了確保測試結(jié)果的有效,我們還實現(xiàn)了從中間數(shù)據(jù)直接導(dǎo)出測試結(jié)果和測試報告的功能,即保證測試過程詳細(xì),又確保測試結(jié)果直觀。
4應(yīng)用現(xiàn)狀
大約3年前,筆者曾經(jīng)參與過某機(jī)構(gòu)針對安全審計與應(yīng)用控制類產(chǎn)品的測試規(guī)范制訂工作。那時的安全審計類產(chǎn)品已經(jīng)很成熟,國家、公安部與各行業(yè)都有相應(yīng)的測試評估標(biāo)準(zhǔn);應(yīng)用控制類產(chǎn)品則借P2P、IM等應(yīng)用的高速發(fā)展呈方興未艾之勢,功能與產(chǎn)品形態(tài)都不統(tǒng)一。當(dāng)時筆者最深刻的感受,當(dāng)數(shù)兩者間的融合趨勢。隨著應(yīng)用模式的改變,傳統(tǒng)的安全審計產(chǎn)品開始對各類P2P、IM軟件提供支持,國內(nèi)某些產(chǎn)品甚至可以屏蔽此類應(yīng)用;應(yīng)用控制類產(chǎn)品也不安于僅僅阻斷或給應(yīng)用限速,很多都實現(xiàn)了對下載文檔信息和對話內(nèi)容的審計。功能上的取長補(bǔ)短促進(jìn)了兩類產(chǎn)品的融合,時至今日,我們已經(jīng)可以看到許多兼具審計與應(yīng)用控制功能的安全產(chǎn)品。本次凹凸網(wǎng)絡(luò)科技送測的SifoScopes CM系列網(wǎng)絡(luò)行為檢測系統(tǒng),就是這樣一個融合的典型范例。
安全審計與應(yīng)用控制的前提,是正確地識別各類協(xié)議。有了這個基礎(chǔ),才能談審計或控制。作為融合了兩者功能的新一類產(chǎn)品,SifoScopes可以識別多種應(yīng)用層協(xié)議,并對某些特殊形態(tài)的應(yīng)用提供支持。該產(chǎn)品對各類相關(guān)標(biāo)準(zhǔn)所要求的HTTP、FTP、SMTP、POP3和Telnet協(xié)議提供了較強(qiáng)的審計能力,可以詳細(xì)記錄用戶瀏覽的網(wǎng)頁內(nèi)容、通過HTTP協(xié)議上傳下載的文件、FTP上傳下載的信息、所有往來信件與附件及Telnet下的交互數(shù)據(jù)。IM類應(yīng)用也在被審計之列,除了常見的MSN、MSN Web Messenger、Yahoo Messenger等采用明文傳輸?shù)能浖猓琒ifoScopes還支持QQ與Skype這兩種國內(nèi)常見的采用加密傳輸?shù)膽?yīng)用。針對Web Mail應(yīng)用逐漸增多這一趨勢,SifoScopes也提供了有針對性的審計功能。該產(chǎn)品目前可以識別多達(dá)12種主流的Web Mail服務(wù),包括微軟Exchange服務(wù)器內(nèi)置的Web Mail界面。
罕有產(chǎn)品可以解析QQ與Skype使用的協(xié)議,更不要說對內(nèi)容進(jìn)行審計。筆者特別針對這兩種應(yīng)用進(jìn)行了測試,結(jié)果令人震驚。由于QQ采用了密文傳輸,用戶需要在登錄前先進(jìn)入設(shè)備提供的特殊頁面輸入QQ賬號與密碼,接下來SifoScopes就可以記錄一切聊天信息,甚至連QQ群中多人會話的內(nèi)容也不例外。針對Skype的審計功能更為驚人,除文本外,語音通信亦在支持之列。眾所周知,Skype數(shù)據(jù)流采用了極強(qiáng)的加密算法,單純網(wǎng)關(guān)設(shè)備幾乎不可能對其進(jìn)行解密。SifoScopes采用了變通的方法實現(xiàn)該特性,如果用戶要使用Skype,必須先從特殊頁面下載安裝一個客戶端,嵌套在Skype上層對明文的文本和語音進(jìn)行記錄,再傳送至SifoScopes。雙向語音內(nèi)容以不同聲道的方式保存為MP3文件,避免后期審計時還需要分離語音的麻煩。
融合的另一半是應(yīng)用控制,SifoScopes主要還是針對P2P與IM類應(yīng)用提供這部分功能。目前可控的P2P應(yīng)用多達(dá)11種,其中包括了在國內(nèi)應(yīng)用廣泛的BT、eDonkey和迅雷。筆者曾經(jīng)遇到過個別應(yīng)用控制設(shè)備對同協(xié)議族下的不同客戶端控制效果不一致的情況,例如比特精靈被屏蔽的同時比特彗星仍可下載; SifoScopes在測試中沒有出現(xiàn)這樣的問題,主流P2P應(yīng)用和不同客戶端都被很好地屏蔽。可控IM應(yīng)用的種類相比審計功能多了Google Talk,基本涵蓋了國內(nèi)常見的應(yīng)用。與眾不同的是,該產(chǎn)品還可以屏蔽MSN Web Messenger、Buddy、WebQQ等15種基于網(wǎng)頁的即時通信客戶端,基本堵死了內(nèi)網(wǎng)用戶的IM之路。既然包含了對傳統(tǒng)P2P、IM和WebIM、Web Mail應(yīng)用的識別功能,特征庫的更新就顯得尤為重要。凹凸網(wǎng)絡(luò)科技為SifoScopes CM系列產(chǎn)品提供了永久的系統(tǒng)及特征庫升級服務(wù),這一點非常令人滿意。不過,該產(chǎn)品尚不能實現(xiàn)對IM應(yīng)用中文本、語音、視頻的信令級控制,控制細(xì)粒度還有待加強(qiáng)。
還有一個不可忽視的非技術(shù)問題,那就是審計涉及到的隱私保護(hù)和法規(guī)遵從。這一點,所有具備安全審計特性的產(chǎn)品都應(yīng)特別注意。國外產(chǎn)品通常在這方面比較完善,因為很多國家都有相關(guān)法律對企業(yè)員工的個人隱私保護(hù)作出明確規(guī)定。在網(wǎng)絡(luò)中部署安全審計產(chǎn)品,于情、于理、于法,都應(yīng)該對被審計者有明確的提示,并做出免責(zé)聲明。免責(zé)聲明還應(yīng)考慮到外部用戶,舉個例子,筆者給某些跨國大公司的同仁發(fā)MSN消息時,都會收到安全審計產(chǎn)品以MSN消息形態(tài)發(fā)來的免責(zé)聲明,明確告訴我即時通信內(nèi)容正受到審核。SifoScopes在這方面做得并不完善,只有IM類軟件登錄時會有相關(guān)提示。而電子郵件、網(wǎng)頁瀏覽等應(yīng)用雖然也受到審計,卻沒有任何提示及免責(zé)聲明。
關(guān)鍵詞 安泰公司 綜合信息管理系統(tǒng) 手機(jī)終端 企業(yè)管理
中圖分類號: P208 文獻(xiàn)標(biāo)識碼:A
1系統(tǒng)建設(shè)意義
1.1項目需求
禹州安泰煤業(yè)有限公司成立于2010年,負(fù)責(zé)集團(tuán)在禹州礦區(qū)重組煤礦的管理工作。公司下轄的整合小煤礦在禹州分布較廣,存在點多面廣的特點,管理難度較大。公司亟需一套方便快捷、簡單實用的信息化管理系統(tǒng)來實現(xiàn)對安泰煤業(yè)的生產(chǎn)安全進(jìn)行立體、全覆蓋的監(jiān)管工作。
1.2業(yè)務(wù)概述
移動綜合管理系統(tǒng)是通過各種通用的數(shù)據(jù)庫接口,與煤礦生產(chǎn)單位的井下人員定位、井下廣播、井下通信以及井下環(huán)境監(jiān)控等多個系統(tǒng)進(jìn)行無縫鏈接,將管理平臺中大量的重要信息充分提取出來,通過無線網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程數(shù)據(jù)通信,通過手機(jī)終端界面直觀地將相關(guān)數(shù)據(jù)展現(xiàn)給煤礦領(lǐng)導(dǎo)和相關(guān)管理人員。
1.3業(yè)務(wù)模塊
(1)安全生產(chǎn)監(jiān)控模塊:將現(xiàn)有系統(tǒng)中安全監(jiān)測數(shù)據(jù)、設(shè)備運行數(shù)據(jù)延伸至移動終端查詢;
(2)人員定位模塊:將現(xiàn)有系統(tǒng)中的人員定位延伸至移動終端查詢;
(3)視頻監(jiān)控模擬:將現(xiàn)有視頻監(jiān)控延伸至移動終端查看;
(4)報表查詢模塊:將煤礦生產(chǎn)過程中的各類報表在移動終端進(jìn)行呈現(xiàn);
(5)信息公告模塊:隨時煤礦重要安全生產(chǎn)信息給制定人員,實現(xiàn)信息互通;
(6)安泰公文模塊:面向特定人員,安泰公司重要公文,使其在第一時間就可通過移動終端查看公司重要指示精神,該功能僅面向特定人員開放。
2技術(shù)實現(xiàn)方案
2.1系統(tǒng)架構(gòu)
禹州安泰煤業(yè)移動綜合管理系統(tǒng)采用分層級架構(gòu)設(shè)計開發(fā),主要包括智能終端信息展示、移動通信網(wǎng)絡(luò)接入、移動綜合管理系統(tǒng)融合業(yè)務(wù)支撐服務(wù)平臺、現(xiàn)有信息系統(tǒng)對接四個部分。
2.1.1移動終端信息展現(xiàn)
移動綜合管理系統(tǒng)展現(xiàn)移動客戶端軟件系統(tǒng)部署在智能手機(jī)或其他智能移動終端上,應(yīng)用模塊包含:安全生產(chǎn)監(jiān)控、人員定位、井下視頻監(jiān)控、生產(chǎn)和經(jīng)營報表、信息公告、安泰公文。
2.1.2移動網(wǎng)絡(luò)接入
安泰煤業(yè)公司選用許昌移動網(wǎng)絡(luò)做網(wǎng)絡(luò)接入,即安泰煤業(yè)公司移動綜合管理系統(tǒng)防火墻連接許昌移動公司數(shù)據(jù)專線網(wǎng)絡(luò)。
安泰煤業(yè)移動客戶端用戶通過APN加密隧道訪問E礦山業(yè)務(wù)平臺,實現(xiàn)端到端的安全信息管控。
2.1.3移動綜合管理系統(tǒng)融合業(yè)務(wù)支撐服務(wù)平臺
(1)移動終端業(yè)務(wù)組件:移動終端接入訪問的處理,包括信息處理及路由、用戶認(rèn)證、QoS控制等。
(2)Web應(yīng)用服務(wù)組件:將煤礦的各類應(yīng)用與移動通信網(wǎng)安全無縫的結(jié)合,通過安裝和開發(fā)應(yīng)用接入適配插件,完成不同IT系統(tǒng)的接入。
數(shù)據(jù)庫服務(wù)組件:存儲移動綜合管理系統(tǒng)業(yè)務(wù)交互的數(shù)據(jù)。
2.1.4現(xiàn)有信息系統(tǒng)對接
安泰煤業(yè)公司現(xiàn)有的安全生產(chǎn)監(jiān)控系統(tǒng)、人員定位系統(tǒng)、井下視頻監(jiān)控系統(tǒng)等系統(tǒng)是移動綜合管理系統(tǒng)的唯一信息數(shù)據(jù)來源,移動綜合管理系統(tǒng)提供行業(yè)標(biāo)準(zhǔn)接口規(guī)范與現(xiàn)有信息系統(tǒng)進(jìn)行對接。
2.2系統(tǒng)接口
移動綜合管理系統(tǒng)能夠提供豐富的接口功能,并提供多重應(yīng)用接口擴(kuò)展模塊,以實現(xiàn)應(yīng)用系統(tǒng)的擴(kuò)展。支持SMS方式主動下發(fā),也可以提供定制客戶端等方式通過移動終端進(jìn)行互動。
2.2.1與安泰煤業(yè)信息系統(tǒng)接口
該接口與內(nèi)部現(xiàn)有信息系統(tǒng)交互(安全監(jiān)測、人員定位、視頻監(jiān)控系統(tǒng)等),包括標(biāo)準(zhǔn)協(xié)議接口和非標(biāo)準(zhǔn)接口:
標(biāo)準(zhǔn)協(xié)議接口:pop3/smtp/exchange/domino/http。
非標(biāo)協(xié)議接口:數(shù)據(jù)庫適配接口封裝;API接口(windows、AIX、Solaris、HP-UX、Linux支持,C、C++、JAVA、Delphi開發(fā)語言支持,支持Web Service)其中數(shù)據(jù)適配接口,只要客戶定義數(shù)據(jù)接口,開放業(yè)務(wù)數(shù)據(jù)源,就可實現(xiàn)相關(guān)的業(yè)務(wù)功能,要求支持如下類型數(shù)據(jù)源:Oracle/Microsoft SQLServer/Sybase。
2.2.2與移動通信網(wǎng)絡(luò)的接口
(1)短信接口,支持SMS業(yè)務(wù)功能接入。
(2)MM7接口,支持MMS業(yè)務(wù)功能接入。
(3)WAP push接口,支持WAP,MMS,SMS消息push接入。
2.3平臺能力
2.3.1系統(tǒng)處理能力指標(biāo)
在持續(xù) 100個并發(fā)壓力下,系統(tǒng)應(yīng)較為穩(wěn)定,事務(wù)成功率要達(dá)到 100%,系統(tǒng)平均響應(yīng)時間在 3秒以內(nèi)。
2.3.2可靠性指標(biāo)
為保證系統(tǒng)的高可靠性,數(shù)據(jù)硬盤應(yīng)采用磁盤陣列或鏡像設(shè)置,主處理機(jī)雙備份等措施,并提供在線數(shù)據(jù)備份的手段。系統(tǒng)關(guān)鍵軟件、硬件應(yīng)有一定的備份措施,保證系統(tǒng)的不間斷運行,系統(tǒng)應(yīng)具有軟件、硬件故障在線恢復(fù)的能力。本系統(tǒng)應(yīng)要求高可靠率,保證系統(tǒng)在最大的時間內(nèi)都能夠正常運作。
