前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的pop3協(xié)議主題范文,僅供參考,歡迎閱讀并收藏。
關(guān)鍵詞:多核;郵件還原;Webmail;IMAP
中圖分類號:TN946;TP311.52 文獻(xiàn)標(biāo)識碼:A 文章編號:1671-2064(2017)10-0030-01
在網(wǎng)絡(luò)安全方面對往來郵件的關(guān)注度日益增高,如何能在網(wǎng)絡(luò)安全審計系統(tǒng)中將前端輸入網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行相應(yīng)處理恢復(fù)得到最終直觀可讀的郵件內(nèi)容。為了解決這個問題本文設(shè)計了基于Tilera多核板卡平臺開發(fā),借助其高速收包引擎和多核并行處理的高性能進(jìn)行數(shù)據(jù)流捕獲,并對libnids數(shù)據(jù)流重組進(jìn)行代碼結(jié)構(gòu)重寫完成數(shù)據(jù)流重組,最后對郵件相關(guān)協(xié)議pop3、STMP、IMAP、Webmail進(jìn)行分析,設(shè)計還原算法,實現(xiàn)郵件內(nèi)容獲取解析拆分重組等操作,并將內(nèi)容按郵件eml標(biāo)準(zhǔn)格式輸出。
1 Tilera多核板卡收包模塊
基于Tilera平臺開發(fā),使用高速收包引擎接口mPIPE進(jìn)行開發(fā)實現(xiàn)大數(shù)據(jù)量的網(wǎng)絡(luò)數(shù)據(jù)包捕獲,收包流程如圖1。
該模塊主要通過接收用戶設(shè)置參數(shù)進(jìn)行相應(yīng)配置和初始化硬件資源,給多核板卡的NotifRng、buckets等進(jìn)行內(nèi)存分配,同時對tcp重組的部分進(jìn)行初始化和回調(diào)函數(shù)注冊,最后調(diào)用mPIPE高速收包接口,peek方式收包進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)包的接入。
2 數(shù)據(jù)流重組模塊設(shè)計
該模塊(如圖2)主要重構(gòu)修改libnids開源代碼,添加與mPIPE的對接接口,將網(wǎng)絡(luò)數(shù)據(jù)包流量引入tcp流重組模塊,同時對libnids的數(shù)據(jù)結(jié)構(gòu)進(jìn)行修改,加入數(shù)據(jù)還原算法需要用到的用戶字段。后進(jìn)入回調(diào)函數(shù)進(jìn)行郵件協(xié)議的分類判斷,根據(jù)端口走入不同的郵件還原模塊算法中。
3 郵件還原模塊設(shè)計
(1)pop3郵件還原模塊根據(jù)協(xié)議的特征設(shè)計算法,當(dāng)識別到TOP或RETR協(xié)議命令時緩存郵件內(nèi)容并判斷結(jié)束符,最后將完整郵件存入eml文件。
(2)stmp郵件還原模塊的算法和pop3類似,不同的是需要識別的協(xié)議命令是DATA。
(3)imap]件還原模塊根據(jù)協(xié)議交互特征,識別帶用FETCH等請求獲取郵件全部內(nèi)容或部分內(nèi)容的協(xié)議命令時,組合緩存郵件內(nèi)容結(jié)束符,當(dāng)郵件內(nèi)容到達(dá)時,判斷結(jié)束符,進(jìn)行單封郵件的循環(huán)拆分和eml存儲。
(4)Http郵件還原模塊根據(jù)郵箱操作的協(xié)議命令格式,每個操作對應(yīng)一個或多個post或get的url命令格式,其中包含如func=mbox:listMessage"等特征標(biāo)識,解析并組合其中攜帶的郵件內(nèi)容,抽取mime格式中的From、To等字段信息寫入eml文件。
4 結(jié)語
本文基于Tilera多核板卡硬件平臺進(jìn)行開發(fā),結(jié)合mpipe收包引擎接口和libnids數(shù)據(jù)流重組功能,針對郵件協(xié)議特征設(shè)計算法實現(xiàn)POP3、STMP、IMAP、Webmail的郵件還原。
參考文獻(xiàn)
[1]丁岳偉.基于SMTP協(xié)議電子郵件的還原[J].小型微型計算機(jī)系統(tǒng),2002(03):290-293.
關(guān)鍵詞:JavaMail; SMTP;電子郵件系統(tǒng)
中圖分類號:TP393文獻(xiàn)標(biāo)識碼:A文章編號:1009-3044(2011)16-3839-02
The Design and Implementation of E-mail System Based on Java
WEI Yang
(Sichuan University of Science & Engineering, School of Computer Science, Zigong 643000, China)
Abstract: In introducing the SMTP and POP3 e-mail system protocol, JavaMail API framework and based on the core classes, the author mainly deals with a combination of how to use JavaMail API to send and receive e-mail Jsp programming system to implement user accessible communication System's main features include user registration and login, receive and send mail and attachments, such as management.
Key words: JavaMail; SMTP; e-mail system
電子郵件(electronic mail,簡稱E-mail )又稱電子信箱 ,它是―種用電子手段提供信息交換的通信方式。是Internet應(yīng)用最廣的服務(wù):通過網(wǎng)絡(luò)的電子郵件系統(tǒng),用戶可以用非常低廉的價格 ,以非??焖俚姆绞?,與世界上任何一個角落的網(wǎng)絡(luò)用戶聯(lián)系。如果擁有自己的電子郵件系統(tǒng),會讓信息傳送的更加快捷、安全可靠,并能更大程度的滿足個性化需求。
Java Mail API是SUN為Java開發(fā)者提供的公用的Mail API框架,它支持各種電子郵件通信協(xié)議, 為Java應(yīng)用程序提供了電子郵件處理的公共接口,通過定義會話、存儲、文件夾、消息和傳輸,為Java程序員提供了一套既簡單又可擴(kuò)展的面向?qū)ο笞兂煞椒?。JavaMail API由接口和抽象類定義,封裝了所有常規(guī)消息系統(tǒng)的公共特性和方法,而JavaMail的具體事項則可以實現(xiàn)所有的郵件協(xié)議。包括SMTP(簡單郵件傳輸協(xié)議)、POP3(郵局協(xié)議)、IMAP(Internet消息訪問協(xié)議)等。因此,應(yīng)用JavaMail API可以用同樣的方法實現(xiàn)對各種協(xié)議的郵件系統(tǒng)進(jìn)行訪問。
1 電子郵件系統(tǒng)的設(shè)計
1.1 郵件系統(tǒng)設(shè)計思想
本系統(tǒng)采用了Java Mail API和JSP相結(jié)合的方法進(jìn)行開發(fā),構(gòu)成了系統(tǒng)的B/S結(jié)構(gòu)。用戶接收和發(fā)送郵件只需通過瀏覽網(wǎng)頁就可以實現(xiàn)。后臺Java應(yīng)用程序介于一個郵件服務(wù)器和盒交互的Web服務(wù)器之間,負(fù)責(zé)郵件的發(fā)送和接收以及郵件的管理。用戶可以訪問在JSP引擎中的JSP頁面產(chǎn)生的Web頁面,屬于數(shù)據(jù)服務(wù)層的郵件服務(wù)器存儲用戶所有的郵件和相關(guān)的資料。后臺的數(shù)據(jù)庫主要存儲用戶的相關(guān)資料和地址簿整,整個電子郵件系統(tǒng)結(jié)構(gòu)示意圖如圖1所示。
1.2 電子郵件系統(tǒng)模塊
該郵件系統(tǒng)大致可以分成五個部分:登陸郵件服務(wù)器模塊、郵件讀取模塊、郵件發(fā)送模塊、處理郵件附件模塊和郵件通訊錄管理模塊。
1.2.1 登陸郵件服務(wù)器模塊
登陸郵件服務(wù)器模塊主要實現(xiàn)用戶登陸驗證,并將用戶信息保存在Session中,方便調(diào)用。如果輸入的用戶名不存在或者密碼不正確則會出現(xiàn)錯誤信息提示用戶。如果正確則連接郵件服務(wù)器,用戶可根據(jù)當(dāng)前模塊提供的功能進(jìn)行操作,比如:瀏覽郵件,發(fā)送郵件等。
1.2.2 郵件讀取模塊
該模塊負(fù)責(zé)用戶要對選中的郵件進(jìn)行讀取,如果涉及到附件要打開查看的話,則連接到郵件的附件模塊。
1.2.3 郵件發(fā)送模塊
該模塊負(fù)責(zé)把用戶所要發(fā)送的郵件發(fā)送到指定地點,但是不提供附件的功能。
1.2.4 處理郵件附件模塊
附件是郵件消息的相關(guān)資源,如果用戶所接收到的郵件中含有附件,則可顯示出該附件的內(nèi)容并用瀏覽器打開或用相應(yīng)的應(yīng)用程序打開。
1.2.5 郵件管理模塊
郵件管理模塊主要實現(xiàn)的郵件的刪除和移動功能。
2 電子郵件系統(tǒng)的實現(xiàn)
系統(tǒng)完整實現(xiàn)是通過各個jsp文件來共同完成的,有主頁面index.jsp調(diào)用各個功能模塊頁面。首先登陸郵件服務(wù)器要提供POP3郵件服務(wù)器和SMTP發(fā)信服務(wù)器網(wǎng)址,還要提供登錄服務(wù)器的用戶名和密碼。先通過制定POP3服務(wù)器和SMTP服務(wù)器的網(wǎng)址屬性創(chuàng)建一個java.mail.Session.Session類的對象,由該對象的connect()方法進(jìn)行連接,就可以對服務(wù)器上的郵件進(jìn)行操作了。下面主要介紹發(fā)送郵件核心類SendMail的實現(xiàn)服務(wù)器的連接并發(fā)送郵件。
public static void sendMail()
{
Properties props = System.getProperties();// 創(chuàng)建Properties 對象
props.put("mail.smtp.host", host); // 添加smtp服務(wù)器屬性
props.put("mail.smtp.auth", "true");
Session session = Session.getDefaultInstance(props, new Authenticator() ) // 創(chuàng)建郵件會話
定義郵件信息
try{
MimeMessage message = new MimeMessage(session);
message.setFrom(new InternetAddress(from));
message.addRecipient(Message.RecipientType.TO, new InternetAddress(to));
message.setSubject("I hava my own mail server");
message.setText("From now, you have your own mail server, congratulation!");
session.getTransport("smtp").send(message);
} catch (MessagingException e)
{
e.printStackTrace();
} }
類SendMail是以JavaBean的形式組裝的,頁面文件SendMail.jsp調(diào)用該JavaBean組建。
3 結(jié)束語
本文著重分析了基于Java電子郵件設(shè)計與實現(xiàn)的相關(guān)技術(shù),利用Java語言開發(fā),所以可靠性高,具有易擴(kuò)充性、開放性,并且可以運行在多平臺上。
參考文獻(xiàn):
[1] 林宏之.Web Services 原理與開發(fā)實務(wù)[M].北京:電子工業(yè)出版社,2003.
[2] 柏亞軍.JSP編程基礎(chǔ)及應(yīng)用實例集錦[M].北京:人民郵電出版社,2004.
[3] 孫衛(wèi)琴,李洪成.Tomcat與Java Web開發(fā)技術(shù)詳解[M].北京:電子工業(yè)出版社,2004.
集中管理電子郵件
MailStore Desktop Private支持的郵件來源很廣泛,包括存儲在Outlook、Thunderbird、Outlook Express、IMAP、POP3等對象中的郵件。
在MailStore Desktop Private主窗口的工具欄中點擊“Import Messages(導(dǎo)入信息)”按鈕,在窗口最右側(cè)的“Create New Profile(創(chuàng)建賬戶)”欄中選擇郵件的來源,例如Outlook Express,在彈出窗口中的“ProfileName(賬戶名稱)”欄中輸入名稱,勾選“IncludeUnread Messages(包含未閱讀信息)”項(如圖1)。
大家一般喜歡使用Web郵箱來處理郵件,MailStoreDesktop Private同樣可以導(dǎo)入Web郵箱中的郵件。在“Create New Profile(創(chuàng)建賬戶)”欄中點擊“POP3”項,在“E-mall Address”欄中輸入郵箱地址,在“Host”欄中輸入POP3服務(wù)器地址,在“Protocal”列表中出現(xiàn)的協(xié)議類型,包括POP3、POP3-TLS、POP3-SSL等。在“User Name”和“Password”欄中輸入郵箱的賬戶名和密碼,點擊“Test”按鈕,可以測試該郵箱。點擊OK按鈕,在“Import Message”窗口中部點擊該導(dǎo)入項目,即可從指定的郵箱中導(dǎo)入郵件了。
快捷的郵件導(dǎo)出功能
在MailStore Desktop Private中除了靈活導(dǎo)入郵件外,還可以將存儲的郵件快速導(dǎo)入到不同的郵件管理對象中。當(dāng)你創(chuàng)建了大量的導(dǎo)入項目后,可以隨時點擊對應(yīng)的導(dǎo)入項目名,及時更新保存在MailStore Desktop Private中的郵件信息。在MailStore Desktop Private主窗口左上角的“MailStore”列表中顯示所有的導(dǎo)入項目,選中對應(yīng)的導(dǎo)人項目中的“Inbox”項,在其下的列表中顯示該項目中的所有郵件信息。選中對應(yīng)的郵件后,在窗口右側(cè)可以瀏覽該郵件的完整內(nèi)容。
在郵件預(yù)覽窗口的右上角點擊“Emaal Command”按鈕,在彈出的菜單中點擊“Open in Outlook”項,可以在Outlook中打開該郵件,點擊“Open in WindowsMail/Outlook Express”項,可以在OE中瀏覽該郵件。點擊“Save”項,可以將其導(dǎo)出為獨立的“*eml”文件。點擊“Export”項,在彈出的分支菜單中可以將郵件導(dǎo)出到Outlook、OE、CD/DVD等對象中。
以導(dǎo)出到OE為例,MailStore Desktop Private可以在OE中創(chuàng)建一個名為“MailStore Export”的文件夾,將郵件導(dǎo)出并存儲到該文件夾中。例如選擇“SMTP Forward”項,表示將該郵件發(fā)送到指定的郵箱中。在彈出的窗口中設(shè)置郵箱地址、SMTP主機(jī)地址、賬戶名和密碼、協(xié)議類型(包括SMTP、SMTP-TLS、SMTP-SSL)等參數(shù),即可將郵件發(fā)送到預(yù)設(shè)的郵箱中了。也可以直接將郵件導(dǎo)出為“*eml”文件,在上述菜單中點擊“File System/Browse”按鈕選擇輸出路徑,確認(rèn)后即可將郵件導(dǎo)出到預(yù)設(shè)的文件夾中。當(dāng)然,也可以在窗口左側(cè)的郵件列表中選擇所有的郵件,在菜單中點擊“Export(導(dǎo)出)”項,將選中的所有郵件導(dǎo)出到選定的對象中。如果還希望導(dǎo)出MailStore Desktop Private中的所有郵件,可以點擊工具欄上的“Administrative Tools(管理員工具)”按鈕,在打開窗口中點擊“Export All E-mail Messages”項,即可將全部郵件導(dǎo)出到指定的文件夾中。
靈活的郵件查詢功能
當(dāng)在MailStore Desktop Private中導(dǎo)入了大量的郵件后,如何從中快速找到自己需要的郵件呢?利用MailStoreDesktop Prlvate內(nèi)置的強(qiáng)悍的查找功能,即可輕松解決上述問題。在MailStore Desktop Private主窗口中點擊“Extended Search”按鈕,在郵件查詢窗口中的“Searchfor”欄中輸入查詢的內(nèi)容(如圖2),在默認(rèn)情況下,MailStore Desktop Private可以檢測的范圍包括郵件主題、發(fā)信人名稱、郵件的內(nèi)容、附件的名稱以及內(nèi)容等項目。
你可以對MailStore Desktop Private整個郵件數(shù)據(jù)庫進(jìn)行查詢,也可以在“Folder”欄中點擊瀏覽按鈕,選擇對應(yīng)的郵件存儲文件夾,只查詢選定的存儲文件夾。在“From”欄中輸入發(fā)信人地址,在“To/Cc/Bcc”欄中輸入“收信人/抄送人/暗送人”地址,在“Date”欄中設(shè)置郵件處理的日期范圍,包括任何日期、今天、昨天、本周,上周、本月、上月、本年、去年、定制日期范圍等。在“Size”欄中選擇郵件的尺寸,包括任何尺寸、最小尺寸、最大尺寸、定制尺寸等。
關(guān)鍵詞:病毒;網(wǎng)絡(luò)安全;防火墻;juniper
中圖分類號:TP393.08
1 引言
網(wǎng)絡(luò)安全的內(nèi)容是保護(hù)數(shù)據(jù)和服務(wù)的安全。防止信息內(nèi)容被嗅探監(jiān)聽;維護(hù)服務(wù)器使得其能不間斷的提供服務(wù)。如果要完全的保證網(wǎng)絡(luò)的安全性,除非將不同的網(wǎng)絡(luò)完全阻斷隔離。但實際中由于信息通信的需要,很少將網(wǎng)絡(luò)完全隔離。在與外部網(wǎng)絡(luò)有了持續(xù)的數(shù)據(jù)交換后,網(wǎng)絡(luò)安全的目的就是使得數(shù)據(jù)竊聽、破壞服務(wù)的難度提高到他們很難達(dá)到或者難以忍受的程度。這里的難度包括硬件設(shè)別、人力物力、所需時間等多方面的因素。Juniper防火墻將傳統(tǒng)的硬件防火墻與入侵檢測系統(tǒng)整合,并可承擔(dān)網(wǎng)絡(luò)管理的服務(wù),還可配置為vpn等網(wǎng)絡(luò)服務(wù)器。Juniper的安全策略、IPSec等功能的實現(xiàn)低功耗搞速率,可以適應(yīng)于任何類型的網(wǎng)絡(luò)。Juniper的管理除了傳統(tǒng)的命令行界面,同時提供了可操作性強(qiáng)的WEB界面管理工具。
2 juniper防火墻主要技術(shù)
Juniper提供了多種網(wǎng)絡(luò)解決方案,適用于小型部門網(wǎng)絡(luò)、中型企業(yè)的邊緣網(wǎng)絡(luò)、大型企業(yè)的內(nèi)部網(wǎng)絡(luò)管理,以及網(wǎng)絡(luò)上的各類服務(wù)器的安全保護(hù)。Juniper全功能防火墻采用實時檢測技術(shù),可以有效的監(jiān)測入侵者和防止拒絕服務(wù)的攻擊。Juniper防火墻是一種集成了ScreenOS操作系統(tǒng)的監(jiān)控檢測防火墻。Juniper防火墻可用于防止SYN攻擊、ICMP泛濫、端口掃描(Port Scan)等各種攻擊行為,在最復(fù)雜的情況下使用硬件加速功能可以提高會話性能,保證功能的良好實現(xiàn)。
Juniper在多種方面保護(hù)以實現(xiàn)通信的內(nèi)容安全,主要的應(yīng)用包括深層檢測、防病毒、垃圾郵件過濾、和網(wǎng)頁過濾。深層檢測是指在網(wǎng)絡(luò)流量里的應(yīng)用層里檢測攻擊,包括常見的蠕蟲病毒、木馬等,其實就是將傳統(tǒng)的入侵檢測和防護(hù)的功能集成到Juniper防火墻的操作系統(tǒng)里面。在同一時間的會話狀態(tài)的策略相匹配,基于特征的應(yīng)用層攻擊的實施,并制定了相應(yīng)的保護(hù)作用。Juniper防火墻匹配的應(yīng)用層流量的特性進(jìn)行數(shù)據(jù)分析,通過一系列的優(yōu)化,降低了對數(shù)據(jù)處理能力的影響。
3 juniper防火墻防病毒設(shè)置
Juniper 防火墻的防病毒可以針對HTTP、FTP、POP3、IMAP以及SMTP等協(xié)議進(jìn)行配置。
3.1 Scan Manager 的設(shè)置
3.2 配置文件的設(shè)置
Juniper防火墻的防病毒引用是基于安全策略的,我們通過引入特定的Profile來實現(xiàn)防病毒設(shè)置,通過內(nèi)置的防病毒引擎可以實現(xiàn)高細(xì)致化的防病毒控制,極大地降低將防病毒對系統(tǒng)資源的消耗。
操作系統(tǒng)自帶有模板化的配置文件,用戶可以直接在安全策略里引用它,也可以根據(jù)網(wǎng)絡(luò)的實際需求來設(shè)置適合自身需求的配置文件。配置文件設(shè)置主要在FTP、HTTP、IMAP、POP3、SMTP等5個方面。每個特定的協(xié)議類型,都可以用Enable選項啟用或禁用防病毒引擎對與這個協(xié)議相關(guān)的流量的掃描。掃描方式的三個種選擇:全掃描、特定掃描、擴(kuò)展掃描。
很多文件在傳輸時都會被壓縮以減少傳輸時間。減壓層就是用來設(shè)置防病毒引擎掃描壓縮文件的層數(shù)。防病毒引擎最多可以支持對4層壓縮文件的掃描。
在HTTP協(xié)議的配置里,可以通過Skipmime Enable啟用和禁用打開或關(guān)閉防病毒掃描。在IMAP、POP3、SMTP 等郵件協(xié)議配置里,可在發(fā)現(xiàn)病毒或異常后,通過Email Nortify選項開啟對用戶的郵件通知。
3.3 防病毒配置文件在安全策略中的引用
如前所述,防病毒的實現(xiàn)是通過在特定安全策略中引用配置文件來實現(xiàn)的。比如,
我們將名為av1的防病毒的配置文件應(yīng)用于名ftp-scan的策略中。
(1)首先建立了名為av1的配置文件,并啟用FTP協(xié)議的掃描;由于我僅希望檢測的是FTP
應(yīng)用,故關(guān)閉對其他協(xié)議的掃描。
(2)設(shè)置ftp-scan安全策略,并引用配置文件av1。
(3)引用了配置文件進(jìn)行病毒掃描的策略,在action欄會有相應(yīng)的圖標(biāo)出現(xiàn)。如下圖
4 結(jié)語
計算機(jī)網(wǎng)絡(luò)安全是一個復(fù)雜的系統(tǒng)工程,針對不段變換的網(wǎng)絡(luò)環(huán)境和病毒攻擊手段,防火墻的配置只是其中一個主干部分而非全部,所有的防御不能完全依賴于防火墻,必須將防火墻的配置與各種安全措施結(jié)合起來,才能達(dá)到保障計算機(jī)安全的目的。同時對于juniper防火墻的病毒庫,必須實時的進(jìn)行更新才能保證與實時的攻擊防御同步。
參考文獻(xiàn):
[1]海陽.租個軟件防病毒[J].中國計算機(jī)用戶,2004(47).
[2]Earl Greer,劉毅.防病毒新舉措[J].中文信息,1998(Z1).
小知識
IMAP是何物?
IMAP就是Internet Message Access Protocol(互聯(lián)網(wǎng)郵件訪問協(xié)議)的縮寫,我們可以通過這種協(xié)議從郵件服務(wù)器上獲取郵件的信息、下載郵件等。IMAP與POP類似,都是一種郵件獲取協(xié)議。默認(rèn)情況下,QQ郵箱只開啟了POP協(xié)議,我們在電子郵件客戶端的操作,是不會反饋到服務(wù)器上的,這樣就會發(fā)生文章開頭那種情況。但I(xiàn)MAP就不同了,電子郵件客戶端的操作都會反饋到服務(wù)器上。也就是說,IMAP是“雙向”的。
QQ郵箱設(shè)置好
打開QQ郵箱,依次進(jìn)入“郵箱設(shè)置”的“賬戶”標(biāo)簽頁,然后在“POP3/IMAP/SMTP服務(wù)”下勾選“開啟IMAP/SMTP服務(wù)”(圖1),單擊“保存修改”按鈕。
如果你的QQ郵箱激活時間未滿14天,是無法啟用IMAP服務(wù)的。
客戶端上開啟IMAP
我們以常見的郵件客戶端Foxmail為例,看看如何開啟IMAP支持。
Step1 啟動Foxmail,依次單擊“郵箱”菜單“新建郵箱賬戶”,在出現(xiàn)的窗口中輸入QQ郵箱地址和密碼(圖2),然后單擊“下一步”按鈕。
Step2 在“接收郵件服務(wù)器類型”處選擇IMAP后,“接收郵件服務(wù)器”就自動變?yōu)椋篿map.省略,“發(fā)送郵件服務(wù)器”則是:smtp.省略(圖3)。單擊“下一步”按鈕。
對于的郵件地址,輸入@前面部分即可;對于@vip.省略的郵件地址,須輸入完整的郵件地址。
Step3 軟件默認(rèn)勾選了“郵件在服務(wù)器上保留備份,被接收后不從服務(wù)器刪除”(圖4)。大家最好不要修改這個設(shè)置。
其他客戶端設(shè)置
刀刀同學(xué)機(jī)器上的Outlook Express的設(shè)置基本和Foxmail的設(shè)置一樣。設(shè)置完畢,點擊“收件”按鈕即可。Foxmail客戶端的收信速度很快,郵箱中保存的幾百封信件數(shù)十秒就搞定了(但是收下來的信排列比較混亂,統(tǒng)一是當(dāng)天的收信時間,無法按照QQ Web郵箱中的排列順序進(jìn)行排序。)
Outlook Express收下信件后顯示的排序正確,不過收信花費的時間相當(dāng)長,大約用了十幾分鐘。
當(dāng)我用Foxmail回復(fù)了一封收到的郵件時。在刀刀同學(xué)機(jī)器上的Outlook Express中,該信件就立刻變?yōu)橐验喿x及已經(jīng)回復(fù)的狀態(tài)。而且他的“已發(fā)送郵件文件夾”中也有了我回復(fù)的郵件。同理,刀刀同學(xué)通過Outlook Express進(jìn)行的操作在我的Foxmail中也能看到了。
A只要在uTorrent中將上傳速度限制低一些,例如當(dāng)前的上傳速度為50KB/s,直接將其限速為30KB/s或是更低,這樣就可以確保下載速度能夠接近正常的下載水平。uTorrent中的設(shè)置方法:單擊“選項設(shè)置”,選擇“帶寬”,在右側(cè)窗口中直接將上傳速度限定為具體值即可(見圖1)。
傻博士有話說:
在網(wǎng)絡(luò)傳輸過程中,TCP/IP標(biāo)準(zhǔn)規(guī)定,每一個封包,都需要有acknowledge(確認(rèn))訊息的回傳,也就是說,傳輸?shù)馁Y料,需要有一個收到資料的訊息回復(fù),才能決定后面的傳輸速度,并決定是否重新傳輸遺失的資料。上行的帶寬一部分就是用來傳輸這些acknowledge資料的,當(dāng)上行負(fù)載過大的時候,就會影響acknowledge資料的傳送速度,并進(jìn)而影響到下載速度。這對非對稱數(shù)字環(huán)路也就是ADSL這種上行帶寬遠(yuǎn)小于下載帶寬的連接來說影響尤為明顯。試驗證明,當(dāng)上傳滿載時,下載速度將會變?yōu)槔硐胨俣鹊?0%,因此,在進(jìn)行BT下載時,適當(dāng)?shù)叵拗粕蟼魉俣饶軌蛱岣呦螺d速度。
播放畫面全屏后就靜止
Q在線看視頻(例如看優(yōu)酷網(wǎng)視頻),只要將播放畫面全屏后畫面就會靜止不動,但聲音還正常。請問這是什么原因?
A這一般與顯卡驅(qū)動程序未安裝好或者損壞有關(guān),只要按Win+R鍵打開運行對話框,輸入“devmgmt.msc”(不含外側(cè)引號)并按回車鍵,在打開的設(shè)備管理器中找到顯卡項,將驅(qū)動程序卸載并重新安裝一遍,然后重新啟動系統(tǒng)應(yīng)該能解決問題。此外,若未開啟硬件加速、未安裝DirectX,或者Flash播放插件版本過低,也會導(dǎo)致類似的情況發(fā)生,在顯卡驅(qū)動正常的情況下,可以考慮以上幾種可能的原因并逐項排除。
撥號連接無法保存用戶名及密碼
Q最近我的撥號連接總是無法保存我的用戶名和密碼,在登錄對話框下面的“為下面用戶保存用戶名和密碼”區(qū)域的選項全部為灰色不可用。請問如何解決?
A可以按Win+R鍵調(diào)出運行對話框,輸入“regedit”(不含外側(cè)引號,下同)并按回車鍵打開注冊表編輯器,然后依次展開到[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RasMan\Parameters\DisableSavePassword],將該項值修改為“0”或是直接刪除“DisableSavePassword”項,按F5鍵刷新注冊表或重新啟動系統(tǒng)應(yīng)該能解決問題。
傲游下載模塊損壞
Q我在注冊表中清理了一下迅雷的相關(guān)項,結(jié)果導(dǎo)致傲游瀏覽器的下載模塊損壞,重新安裝亦不能解決。請問如何修復(fù)此故障?
A請按Win+R鍵調(diào)出運行對話框,并輸入執(zhí)行“regsvr32 c:\windows\system32\atl.dll”(不含外側(cè)引號)命令,一般即可解決問題。
Foxmail中總是無法設(shè)置Gmail
QFoxmail是最新版的,設(shè)置其他郵箱一切正常,但在試圖設(shè)置Gmail時在“查找接收郵件服務(wù)器(POP3)”這步無法通過。請問這是什么原因?
A要想在郵件客戶端程序中收、發(fā)Gmail郵箱中的郵件,需要在Gmail中設(shè)置開啟POP功能(當(dāng)然也可以啟用IMAP協(xié)議):在Gmail中點擊“設(shè)置”,選擇“轉(zhuǎn)發(fā)和POP/IMAP”,選中“針對所有郵件啟用POP(包括已經(jīng)下載的郵件)”,點擊“保存更改”保存設(shè)置即可(見圖2)。
QQ空間下載播放插件出問題
關(guān)鍵詞:大容量郵件系統(tǒng);存儲設(shè)備構(gòu)建模式;冗余分布式技術(shù)并發(fā);Mail2G;WEB郵件技術(shù)
中圖分類號:TP311文獻(xiàn)標(biāo)識碼:A文章編號:1009-3044(2008)33-1381-02
The Large-capacity E-mail System
ZHANG Xiao-yun
(MianyangVocational and Technical College, Mianyang 621000, China)
Abstract: From the origin, the bottlenecks and other aspects of the traditional mail systems, this article stated the birth of large-capacity e-mail system, its requirements on the memory equipments, the new technologies used on it, state of affairs of its development and the evaluation methods.
Key words: large-capacity e-mail systems; models built storage devices;distributed technology with redundancy; Mail2G; Web e-mail technologies
1 引言
1969年10月LeonardKleinrock在計算機(jī)上成功地發(fā)送了“L O”,標(biāo)志電子郵件的誕生。1971年Ray Tomlnson首次使用了含有@的電子郵件地址, 開創(chuàng)了@時代。在David H Crocker等人的不懈努力下,電子郵件在上世紀(jì)80年代從實驗室走向了商業(yè)化應(yīng)用,1999年統(tǒng)計顯示,當(dāng)時的電子郵件用戶已經(jīng)達(dá)到了5.96億。本世紀(jì)初,電子郵件用戶和郵件容量急速增加,傳統(tǒng)電子郵件的不足凸現(xiàn)出來。
電子郵件系統(tǒng)在電子通訊網(wǎng)中利用電信號傳遞信件、單據(jù)等各種信息,通信雙方在ISP上申請郵件帳號,形如:username@server_address,即郵箱,利用郵箱收發(fā)信息。傳統(tǒng)的電子郵件系統(tǒng)由SMPT、POP3、IMAP和SSL協(xié)議構(gòu)成。SMPT稱為簡單郵件傳輸協(xié)議,實現(xiàn)郵件從一個服務(wù)器到另一個服務(wù)器的傳輸。POP3稱為郵局協(xié)議,負(fù)責(zé)將郵件從郵箱中傳輸?shù)接脩舻谋镜赜嬎銠C(jī)。IMAP為互聯(lián)網(wǎng)郵件訪問協(xié)議。SSL用于保護(hù)郵件安全,在郵件系統(tǒng)中主要完成數(shù)據(jù)加密。
在早期的郵件系統(tǒng)中,郵件通過單線程、雙向通道技術(shù),實現(xiàn)連續(xù)的信息傳送,不支持?jǐn)帱c續(xù)傳,占用相當(dāng)數(shù)量的帶寬,網(wǎng)絡(luò)資源的浪費可觀。離線傳送機(jī)制,使得郵件送達(dá)的時間較長而且不確定,受到了各種即時通訊軟件的巨大挑戰(zhàn)。郵件傳送機(jī)制制造了潛在的安全患,接收者被動收郵件,冒名、匿名郵件大行其道,垃圾郵件、病毒郵件漫天飛。各種郵件病毒,讓全世界數(shù)以百萬計的電腦深受禍患。字符傳送模式需要編碼和解碼,增加了服務(wù)器的開銷。傳統(tǒng)郵件系統(tǒng)還把用戶的認(rèn)證和郵件存儲模式等功能固化在模塊中,不提供二次開發(fā),固化方式阻礙了負(fù)荷分散處理和數(shù)據(jù)分布式存儲,設(shè)備擴(kuò)展困難、高峰時的海量負(fù)載容易造成系統(tǒng)的阻塞、死鎖、坍塌。此外收發(fā)郵件所使用的客戶端郵件程序配置和管理復(fù)雜,增加了用戶負(fù)擔(dān)。以上原因阻礙了電子郵件的使用,促進(jìn)了新郵件系統(tǒng)的研發(fā)。由于新郵件技術(shù)著力于解決巨量郵件用戶服務(wù)和大容量附件的傳輸?shù)确矫娴膯栴},被稱為大容量郵件系統(tǒng),或者第二代郵件系統(tǒng)。
2 大容量郵件系統(tǒng)對存儲設(shè)備的要求
通常,大容量郵件系統(tǒng)是指能為5萬以上用戶提供服務(wù)的郵件系統(tǒng),存儲設(shè)備是其關(guān)鍵。首先,并行的多個服務(wù)器必須能夠共享存儲設(shè)備,存儲系統(tǒng)能夠完成服務(wù)器的并發(fā)讀寫,這就要求存儲設(shè)備在保證數(shù)據(jù)的一致性和完整性的基礎(chǔ)上能夠高速、并發(fā)讀寫數(shù)據(jù),通常采用分布式存儲模式;其次用戶數(shù)量在不斷擴(kuò)張,存儲容量隨時短缺的可能導(dǎo)致經(jīng)常性擴(kuò)容,在構(gòu)建存儲設(shè)備時要充分考慮擴(kuò)容,使系統(tǒng)的水平擴(kuò)展和垂直擴(kuò)展便捷(水平擴(kuò)展是指通過增加服務(wù)器數(shù)量進(jìn)行系統(tǒng)擴(kuò)展;垂直擴(kuò)展是指在服務(wù)器數(shù)量不變的基礎(chǔ)上,實現(xiàn)系統(tǒng)的重新配置);第三,商用存儲設(shè)備在可靠性、讀寫時間等方面要求較高,價格不菲,海量存儲設(shè)備是大容量郵件系統(tǒng)的核心,在堆疊存儲器時要合理設(shè)計,減少重復(fù)存儲,降低單位容量的成本,存儲管理可以采用分布式散列算法。
存儲設(shè)備構(gòu)建模式有三種:NAS模式、DAS模式、SAN模式。大容量郵件系統(tǒng)在數(shù)據(jù)組織上采用了多級目錄式管理,所以在大容量郵件系統(tǒng)中多數(shù)采用SAN模式,當(dāng)NAS和SAN都不適用時采用DAS模式。
3 在大容量郵件系統(tǒng)中采用的新技術(shù)
大容量郵件系統(tǒng)中采用了許多新技術(shù)。有的系統(tǒng)采用了冗余分布式技術(shù),采用集群方式將一組相互獨立的服務(wù)器以單一模式管理,使系統(tǒng)在網(wǎng)絡(luò)中按照單一系統(tǒng)方式呈現(xiàn),在服務(wù)器上將郵件的不同模塊分離后加載到不同的服務(wù)器或者相同的多個服務(wù)器上,系統(tǒng)的各個功能部分獨立工作,不同服務(wù)器上的相同模塊并行處理,有效解決了海量并發(fā)服務(wù)請求。當(dāng)單臺服務(wù)器產(chǎn)生故障時,能夠重新分配任務(wù),不影響系統(tǒng)運行,提高了服務(wù)器的平均無故障時間,還能夠?qū)崿F(xiàn)在線的流水式備份。有的系統(tǒng)中增加了Prefork:生成守候進(jìn)程[1],以求在最短時間內(nèi)響應(yīng)大量的突發(fā)請求,實現(xiàn)進(jìn)程間隔離保護(hù)特性達(dá)到并發(fā)下的穩(wěn)定可靠。還有一些系統(tǒng)采用了Apache服務(wù)器[2]。這種服務(wù)器可以以進(jìn)程為單位,方便擴(kuò)展服務(wù)器和擴(kuò)展元集群節(jié)點,其開放式源代碼,對功能增減和個性化需求都比較容易滿足,提供了較好的跨平臺服務(wù)支持。
4 大容量郵件系統(tǒng)的發(fā)展情況
目前,許多營運商對原有的郵件系統(tǒng)進(jìn)行了改造,市場也推出了新的郵件系統(tǒng),表明了新郵件技術(shù)研究工作取得了一些階段性成果,大容量郵件系統(tǒng)主要朝著以下幾個方面發(fā)展:
4.1 第二代電子郵件系統(tǒng)Mail2G[3]
Mail2G著力于改進(jìn)客戶端軟件的工作機(jī)理。在Mail2G中用IMAP4取代IMAP、多線程帶寬爭用代替單線程技術(shù)、POPost 協(xié)議取代POP3協(xié)議,實現(xiàn)了字節(jié)流傳送和斷點續(xù)傳,節(jié)約了帶寬,提高了郵件的傳送競爭能力,加快了傳送的時間,提高了及時送達(dá)能力;通過發(fā)送握手信號通知收件人收件,在握手信號中加入了諸如發(fā)件人信息、主題、概要等內(nèi)容,讓收件人可以及時地、選擇性地接收郵件,改善了收件人被動性;在服務(wù)器端,Mail2G使用filedir模式,把用戶郵箱的內(nèi)容分塊存儲,操作錯誤將局限在所在的目錄下;采用分布式存儲結(jié)構(gòu),容量擴(kuò)展方便, OEPT協(xié)議實現(xiàn)了大容量附件的傳送。
4.2 WEB郵件技術(shù)
WEB郵件技術(shù)的理念就是讓用戶利用熟悉的瀏覽器,在任何一網(wǎng)的電腦上,登陸互聯(lián)網(wǎng)或者局域網(wǎng)中的郵件服務(wù)器閱讀郵件,除了瀏覽器知識以外,無額外知識要求,無需配置客戶端軟件,經(jīng)常出差的用戶也能方便接收郵件,提高了郵件系統(tǒng)的服務(wù)質(zhì)量。
4.3 多域郵件服務(wù)程序
多域郵件服務(wù)程序則可以實現(xiàn)一臺服務(wù)器為多個獨立注冊的互聯(lián)網(wǎng)域名企業(yè)或者單位提供獨立的電子郵件服務(wù),通過提高設(shè)備的共享性和有效性,充分發(fā)揮了設(shè)備和服務(wù)的效力,降低郵件系統(tǒng)構(gòu)建的成本。
4.4 Linux郵件服務(wù)器
Linux郵件服務(wù)器能夠向Linux系統(tǒng)用戶提供更加專業(yè)、優(yōu)質(zhì)的服務(wù), Linux系統(tǒng)所采用的開放源代碼模式,使得郵件系統(tǒng)的研發(fā)變得容易,降低了郵件系統(tǒng)的價格,郵件系統(tǒng)功能豐富,個性化特點鮮明。
4.5 強(qiáng)有力的安全防護(hù)措施
為郵件系統(tǒng)和郵件用戶提供無威脅的服務(wù)一直是郵件技術(shù)追尋的夢想。在大容量郵件系統(tǒng)中,管理者使用數(shù)字證書登陸管理,增加了能夠提供鏈路加密和端對端加密的安全技術(shù),采用了S―MIME加密協(xié)議,密碼服務(wù)器與用戶服務(wù)器分離;限制同一IP地址在同一時間中的連接數(shù)量;提供郵件概要,讓用戶能夠主動地根據(jù)概要地選擇接收郵件;對有污點的IP地址進(jìn)行記錄和防范等等。
除此之外,有的大容量郵件系統(tǒng)還為用戶提供多種語言配置,實現(xiàn)了不同語言平臺間信息傳遞和交流。有些系統(tǒng)能夠提供遠(yuǎn)程監(jiān)控和性能調(diào)整,根據(jù)系統(tǒng)負(fù)載情況進(jìn)行實時調(diào)整、實時優(yōu)化,提高可靠性和性能。有的系統(tǒng)積極擴(kuò)展服務(wù)種類,增加特色服務(wù)或者服務(wù)的范圍,如增加用戶模塊,提供第二次開發(fā);增加防病毒模塊,提高病毒檢查和防護(hù)能力;增加短信模塊,向同一消息系統(tǒng)發(fā)展等等。
5 大容量郵件系統(tǒng)的測評標(biāo)準(zhǔn)和我國的大容量郵件系統(tǒng)發(fā)展現(xiàn)狀
大容量郵件系統(tǒng)還沒有統(tǒng)一國際國內(nèi)的標(biāo)準(zhǔn),如何評價或者判定一個系統(tǒng)是否是大容量郵件系統(tǒng),眾說紛紜,判定時基本上會考慮以下幾個方面:一是系統(tǒng)的安全性和垃圾郵件的防范能力,二是系統(tǒng)的可靠性,如錯誤率、流失率等,三是郵件遷移能力,同步流水備份對系統(tǒng)影響情況,四是靈活性和高效率,是否在底層設(shè)防,目錄共享、遠(yuǎn)程郵件集中存儲和收發(fā)效能,五是可擴(kuò)展性,是否在理論上支持無限可擴(kuò)展。
我國在上世紀(jì)末開始了大容量郵件系統(tǒng)研發(fā),相繼了一些解決方案。過去的兩年中,筆者曾經(jīng)參加了幾個涉及第二代電子郵件的科技項目審定,這些項目在市場推廣上都與預(yù)期相差甚遠(yuǎn),除去各種外部因素以外,項目本身存在缺陷,諸如在高峰時郵件丟失率高;對管理員的約束較少,用戶信息外泄?jié)撛诘奈C(jī)大;服務(wù)器與存儲設(shè)備的綜合性能上有待深一步考慮;技術(shù)上的突破不顯著等等。此外技術(shù)上的合作不足也制約了這些項目的研發(fā)、推廣。技術(shù)推進(jìn)產(chǎn)品,需求推動技術(shù),大容量郵件系統(tǒng)的研究成果正在逐漸融入我們的生活。
參考文獻(xiàn):
【 關(guān)鍵詞 】 互聯(lián)網(wǎng);信息安全;賬號密碼;身份認(rèn)證
Security Investigation on the Internet Users’ Accounts and Passwords
Xie Jin 1 Liu Fan-bao 2 Xie Tao 2
(1.The First High School of Changsha HunanChangsha 410005;
2. School of Computer Science, National University of Defense Technology HunanChangsha 410073)
【 Abstract 】 Being directed against the basic problem of information security, i.e. the security of the Internet users’ accounts and their corresponding passwords, an investigation on the security level of inland network identity authentication has been carried on for 3 years. The investigation focuses on testing the security mechanisms applied in the registration (create a new account) and sign-in procedures of some dominant inland Internet Email service providers, and testing the security mechanisms applied in the registration and sign-in procedures of some dominant inland Internet E-Business service providers. To make comparisons on the security mechanism with overseas Internet Email service providers, similar tests have also been carried out on the three dominant Internet Email service providers, namely Hotmail, Gmail and Yahoo!Mail. Research results show that, China’s current information security can be leveled as very severe, so that some emergent measures must be taken to hold up the network security as soon as possible, and the first and foremost remedy is not to send a user’s username\password over the circuit “in the clear” any more.
【 Keywords 】 internet;information security; account password; identity authentication
1 引言
與歷史上改變?nèi)祟惿罘绞降闹卮蠹夹g(shù)革命一樣,網(wǎng)絡(luò)技術(shù)已經(jīng)成為一把名副其實的雙刃劍。從模擬信號到數(shù)字信號、從有線連接到無線連接、從靜止通訊到移動通訊、從單計算機(jī)應(yīng)用到多計算機(jī)互聯(lián)、從人-人互聯(lián)到人-物與物-物互聯(lián),網(wǎng)絡(luò)技術(shù)發(fā)展到今天,已經(jīng)無處不在、不可或缺。但由于因特網(wǎng)的基礎(chǔ)協(xié)議(TCP/IP)未考慮信息安全因素,使得在網(wǎng)絡(luò)信息技術(shù)飛速發(fā)展的今天,安全問題也異常突出。網(wǎng)絡(luò)賬號密碼泄密、網(wǎng)絡(luò)阻塞、網(wǎng)站癱瘓、郵件偽造、黑客入侵、網(wǎng)絡(luò)欺詐、假冒網(wǎng)站等信息安全問題,已經(jīng)嚴(yán)重威脅電子金融、電子商務(wù)、電子政務(wù)、網(wǎng)絡(luò)媒體、網(wǎng)絡(luò)社交等互聯(lián)網(wǎng)絡(luò)服務(wù)的安全與信任問題。
愈演愈烈的“密碼危機(jī)”已經(jīng)演變成為對網(wǎng)絡(luò)技術(shù)的信任危機(jī)。近年來,互聯(lián)網(wǎng)用戶信息泄露與入侵事件層出不窮,事件日益嚴(yán)重。例如,索尼上億用戶信息泄露,韓國SK通訊公司七成韓國人資料遭泄露,日本愛普生公司泄露3500萬用戶信息,美國銀行與美國花旗銀行信用卡信息遭泄露,華盛頓郵報百萬用戶信息遭泄露…… 近年來,我國也發(fā)生了史上最為嚴(yán)重的用戶信息泄露事件。2011年12月,CSDN上600萬用戶資料被公開,知名團(tuán)購網(wǎng)站美團(tuán)網(wǎng)的用戶賬號密碼信息也被宣告泄露,天涯社區(qū)、開心網(wǎng)、7K7K、貓撲等多個社區(qū)和游戲網(wǎng)站的用戶數(shù)據(jù)相繼外泄,網(wǎng)上公開暴露的網(wǎng)絡(luò)賬號密碼超過1億個。2013年3月,著名云筆記服務(wù)提供商Evernote 5000萬用戶身份密碼遭黑客泄漏。 2014年12月,中國鐵路客戶服務(wù)中心12306用戶數(shù)據(jù)在互聯(lián)網(wǎng)遭到大量泄漏,包括用戶賬號、明文密碼、身份證以及郵箱等。如何確保互聯(lián)網(wǎng)上個人、組織、服務(wù)和設(shè)備之間的虛擬服務(wù)具有與現(xiàn)實服務(wù)同等的可靠度與誠信度,已成為網(wǎng)絡(luò)安全行業(yè)在信息安全理論、技術(shù)、工程與管理上迫在眉睫、義不容辭的責(zé)任與使命。
身份認(rèn)證是網(wǎng)絡(luò)信息安全的基本保障。網(wǎng)絡(luò)服務(wù)器通過身份認(rèn)證與訪問控制方式對合法注冊用戶進(jìn)行授權(quán)與管理。用戶首先通過注冊(賬號與密碼)成為網(wǎng)絡(luò)服務(wù)器的合法用戶,只有通過身份認(rèn)證的用戶才能訪問/使用(閱讀、修改、下載等)網(wǎng)絡(luò)服務(wù)器相應(yīng)角色的資源。身份認(rèn)證與訪問控制是網(wǎng)絡(luò)信息安全的基本技術(shù)和基本研究內(nèi)容。網(wǎng)絡(luò)信息安全涉及計算機(jī)操作系統(tǒng)、互聯(lián)網(wǎng)絡(luò)安全協(xié)議與密碼算法的安全性,其中網(wǎng)絡(luò)安全協(xié)議以密碼算法為基礎(chǔ),采用網(wǎng)絡(luò)協(xié)議的形式實現(xiàn)兩個以上網(wǎng)絡(luò)實體之間的遠(yuǎn)程身份認(rèn)證、密鑰協(xié)商以及確保消息的不可抵賴性。安全協(xié)議的安全性不僅取決于密碼算法自身的安全性,同時也取決于協(xié)議形式的安全性。身份認(rèn)證協(xié)議常用攻擊方法包括網(wǎng)絡(luò)監(jiān)聽、重放攻擊、中間人攻擊、在線攻擊、離線攻擊等等,一個不安全的身份認(rèn)證協(xié)議可以被黑客利用進(jìn)行網(wǎng)絡(luò)攻擊。因此,身份認(rèn)證協(xié)議的安全性是確保網(wǎng)絡(luò)身份認(rèn)證安全的技術(shù)基礎(chǔ)。
2 電子郵件系統(tǒng)與商業(yè)網(wǎng)站賬號安全
我們首先對每個電子郵箱的三種登錄方式分別進(jìn)行了用戶賬號密碼的傳輸方式測試,包括POP3登錄方式、IMAP登錄方式以及Web登錄方式。然后,對每個電子郵箱注冊服務(wù)過程中用戶注冊信息的傳輸方式進(jìn)行測試。
2.1 電子郵箱POP3客戶端登錄安全方式調(diào)查
我們在2011年8月的調(diào)查結(jié)果表明,采用POP3客戶端登錄方式的所有國內(nèi)電子郵件服務(wù)提供方默認(rèn)使用明文密碼進(jìn)行用戶身份認(rèn)證,而且其中46%的境內(nèi)郵件服務(wù)提供方(28家中的13家)僅支持明文密碼認(rèn)證。我們在2012年8月的調(diào)查結(jié)果表明,采用POP3客戶端登錄方式的所有境內(nèi)電子郵件服務(wù)提供方仍然默認(rèn)使用明文密碼進(jìn)行用戶身份認(rèn)證,而且其中39%的境內(nèi)郵件服務(wù)提供方(28家中的11家)僅支持明文密碼認(rèn)證。一年期間,中國移動的139mail新增HTTPS支持,Tommail新增Login支持。此點說明,已經(jīng)有境內(nèi)電子郵件服務(wù)提供方開始認(rèn)識到用戶登錄身份認(rèn)證安全的重要性。調(diào)查統(tǒng)計結(jié)果如圖1(a)所示。
2.2 電子郵箱IMAP客戶端登錄安全方式調(diào)查
我們在2012年8月的調(diào)查結(jié)果表明,25%的境內(nèi)郵件服務(wù)提供方(28家中的7家)不支持IMAP客戶端登錄。在支持IMAP客戶端登錄的境內(nèi)電子郵件服務(wù)提供方中,所有提供方默認(rèn)使用明文密碼進(jìn)行用戶身份認(rèn)證,其中33%的提供方(21家中的7家)僅支持明文密碼認(rèn)證。調(diào)查統(tǒng)計結(jié)果如圖1(b)所示。
2.3 電子郵箱Web頁面注冊與登錄安全方式調(diào)查
我們在2012年8月的調(diào)查結(jié)果表明,除億郵(eyou.mail)關(guān)閉了注冊功能外,所有境內(nèi)郵件服務(wù)提供方在用戶注冊過程中均將注冊信息(包括賬號與密碼)以明文方式傳輸至注冊服務(wù)器。在已調(diào)查的28個境內(nèi)知名郵件服務(wù)提供方中有19個(比例為67.9%)為收費郵件服務(wù)(每月收取服務(wù)費用從五元至上百元不等),有9個(比例為32.1%)提供免費電子郵件服務(wù)。調(diào)查結(jié)果表明,境內(nèi)郵件服務(wù)商信息安全意識不強(qiáng),對用戶私密信息缺乏足夠安全保護(hù)。令人震驚的是,19家收費電子郵件系統(tǒng)中竟有16家(比例為84.2%)默認(rèn)使用明文密碼進(jìn)行登錄認(rèn)證,僅有3家提供非明文密碼的登錄認(rèn)證方式,而且其中一家僅僅采用極其簡單的線性掩碼變換方式對登錄密碼進(jìn)行保護(hù),另外兩家則采用安全的HTTPS方式對登錄過程中的密碼傳輸進(jìn)行加密保護(hù)。由此可見,境內(nèi)電子郵件系統(tǒng)安全性十分脆弱。在9家免費電子郵件系統(tǒng)中,僅有搜狐旗下的4家提供安全的HTTPS對登錄過程的密碼傳輸進(jìn)行加密保護(hù),另外三個使用用戶明文密碼進(jìn)行登錄認(rèn)證,剩余兩家使用單向挑戰(zhàn)響應(yīng)認(rèn)證方式對用戶賬號密碼進(jìn)行有限保護(hù)。根據(jù)輕量級(非公開密鑰密碼系統(tǒng))動態(tài)身份認(rèn)證方式中認(rèn)證服務(wù)器數(shù)據(jù)庫賬號密碼必須與用戶登錄密碼一致的原理,可以推定其中使用單向挑戰(zhàn)響應(yīng)認(rèn)證方式的兩家郵件服務(wù)商均采用明文密碼數(shù)據(jù)庫,因此容易遭受因認(rèn)證數(shù)據(jù)庫泄密導(dǎo)致的集中泄密風(fēng)險。調(diào)查統(tǒng)計結(jié)果如圖2所示。
2.4 國外電子郵箱系統(tǒng)安全性調(diào)查
作為安全性比較分析,我們對境外三大電子郵箱服務(wù)器Hotmail、Gmail和Yahoo!Mail的安全身份認(rèn)證方式進(jìn)行了同樣的測試工作,結(jié)果發(fā)現(xiàn)這些郵箱的注冊與登錄過程全部以安全HTTPS協(xié)議方式對用戶賬號密碼信息進(jìn)行加密傳輸,基本上沒有明文賬號密碼傳輸認(rèn)證方式選項。
境內(nèi)電子郵件服務(wù)提供方僅采用最低安全級別的明文密碼傳輸方式進(jìn)行身份認(rèn)證,而境外電子郵件服務(wù)方一般提供安全級別很高的口令密碼加密傳輸保護(hù)方式。因此,境內(nèi)電子郵件系統(tǒng)極易受到境內(nèi)外黑客或者情報部門攻擊,并利用用戶個人私密信息進(jìn)行商業(yè)牟利或政治與軍事滲透活動。重視賬號和內(nèi)容安全的國內(nèi)電子郵件用戶因而轉(zhuǎn)投境外電子郵件提供方。由于我們無法控制國外郵件服務(wù)器,而境外情報部門卻能輕易控制并利用境內(nèi)的電子郵箱信息,致使我國在網(wǎng)絡(luò)信息安全技術(shù)領(lǐng)域處于不對稱的弱勢地位。此外,我國現(xiàn)有網(wǎng)絡(luò)服務(wù)器等網(wǎng)絡(luò)核心設(shè)備一般采用國外主機(jī)與操作系統(tǒng),由網(wǎng)絡(luò)設(shè)備制造方預(yù)設(shè)的硬件后門和軟件后門所導(dǎo)致的安全風(fēng)險也不容小覷。
2.5 商業(yè)網(wǎng)站賬號安全性調(diào)查
名目繁多的境內(nèi)互聯(lián)網(wǎng)商業(yè)網(wǎng)站為用戶提供購物、旅游、聊天、交友等系列服務(wù),極大便利了廣大用戶的生活。這些網(wǎng)站數(shù)據(jù)庫中留下了用戶的各種私密信息(愛好、消費內(nèi)容和習(xí)慣、交往人群等),如果這些用戶信息發(fā)生集中泄露事件,用戶就毫無隱私可言。2011年12月期間我國系列網(wǎng)站賬號數(shù)據(jù)庫集中泄露事件表明,境內(nèi)商業(yè)網(wǎng)站的賬號與密碼的安全性令人質(zhì)疑。
2012年8月我們集中調(diào)查了30家知名商業(yè)網(wǎng)站的賬號密碼安全性。受調(diào)查的商業(yè)網(wǎng)站涵蓋生活、招聘、交友、團(tuán)購、購物、旅游和視頻等方面,在一定程度上代表了當(dāng)前服務(wù)性商業(yè)網(wǎng)站的主流應(yīng)用。我們主要通過監(jiān)控用戶注冊過程和用戶登錄過程,檢查網(wǎng)站是否提供必要的安全技術(shù)對用戶的賬號密碼進(jìn)行保護(hù)。其中29家商業(yè)網(wǎng)站在用戶提交注冊信息(包含賬號密碼)的過程中均未提供任何安全保護(hù),包括知名購物網(wǎng)站淘寶網(wǎng),用戶設(shè)定的賬號和密碼通過明文方式經(jīng)過不安全的互聯(lián)網(wǎng)傳送至網(wǎng)站服務(wù)器。京東商城使用HTTPS對注冊和登錄過程進(jìn)行保護(hù)。
26家商業(yè)網(wǎng)站(比例86.7%)對用戶的登錄認(rèn)證過程未提供任何安全保護(hù),僅僅采用明文密碼認(rèn)證方式,包括知名團(tuán)購網(wǎng)站拉手網(wǎng)和美團(tuán)網(wǎng)以及三大招聘網(wǎng)站,如圖3所示。僅有淘寶和京東商城提供了安全的HTTPS對用戶登錄認(rèn)證過程的密碼傳輸進(jìn)行加密保護(hù),另有三家網(wǎng)站(58同城、開心網(wǎng)和新浪微博)采用單向挑戰(zhàn)響應(yīng)認(rèn)證方式對用戶在登錄認(rèn)證過程中的密碼傳輸進(jìn)行了有限的保護(hù)。根據(jù)動態(tài)身份認(rèn)證方式中認(rèn)證服務(wù)器數(shù)據(jù)庫賬號密碼必須與用戶登錄密碼一致的原理,可以推定其中使用單向挑戰(zhàn)響應(yīng)認(rèn)證方式的三家商業(yè)網(wǎng)站服務(wù)商采用明文密碼數(shù)據(jù)庫,因此容易遭受因認(rèn)證數(shù)據(jù)庫泄密導(dǎo)致的集中泄密風(fēng)險。調(diào)查統(tǒng)計結(jié)果如圖3所示。2014年8月,我們再一次對此30家知名商業(yè)網(wǎng)站的賬號密碼安全性進(jìn)行復(fù)查,發(fā)現(xiàn)58同城網(wǎng)、CSDN論壇網(wǎng)、美團(tuán)購物網(wǎng)、大公點評網(wǎng)以及去哪兒旅游網(wǎng)等幾家商業(yè)或社交網(wǎng)站的注冊與登錄信息傳輸已經(jīng)采用HTTPS安全協(xié)議進(jìn)行了加密封裝,其它網(wǎng)站仍然沒有進(jìn)行必要的安全升級。
3 調(diào)查結(jié)論與建議
3.1 調(diào)查結(jié)論
(1)境內(nèi)互聯(lián)網(wǎng)服務(wù)提供方用戶的身份注冊與登錄認(rèn)證過程普遍默認(rèn)采用靜態(tài)身份認(rèn)證方式。雖然認(rèn)證數(shù)據(jù)庫用戶的賬號密碼存儲方式不明,但用戶的賬號密碼卻幾乎全部采用明文密碼傳輸方式。因此,容易遭受網(wǎng)絡(luò)監(jiān)聽泄密風(fēng)險。這是導(dǎo)致近幾年國內(nèi)外商業(yè)數(shù)據(jù)庫賬號密碼泄密的主要技術(shù)原因。
(2)絕大部分境內(nèi)互聯(lián)網(wǎng)服務(wù)提供方的用戶注冊信息(賬號與密碼)傳輸僅僅提供唯一的明文傳輸方式,近半數(shù)境內(nèi)互聯(lián)網(wǎng)服務(wù)提供方用戶登錄身份認(rèn)證的賬號密碼傳輸僅僅提供唯一的明文傳輸方式。因此,非常容易遭受網(wǎng)絡(luò)監(jiān)聽泄密風(fēng)險。這是導(dǎo)致近幾年國內(nèi)外商業(yè)數(shù)據(jù)庫賬號密碼泄密的主要技術(shù)原因。
(3)境外互聯(lián)網(wǎng)幾大專業(yè)電子郵箱服務(wù)器Hotmail、Gmail和Yahoo!Mail均采用SSL\TLS協(xié)議對口令實施加密傳輸動態(tài)認(rèn)證,防止賬號口令密碼網(wǎng)絡(luò)明文傳輸泄密風(fēng)險;認(rèn)證服務(wù)器數(shù)據(jù)庫則采用賬號口令散列值加密方式,預(yù)防數(shù)據(jù)庫內(nèi)部集中泄密風(fēng)險。
(4)為了確保網(wǎng)絡(luò)身份認(rèn)證數(shù)據(jù)庫安全與認(rèn)證過程中認(rèn)證信息傳輸?shù)陌踩裕瑹o論是國際互聯(lián)網(wǎng)還是包括軍網(wǎng)在內(nèi)的各種內(nèi)部專網(wǎng),必須采用SSL\TLS協(xié)議將網(wǎng)絡(luò)身份認(rèn)證過程加密封裝,在口令密碼散列值加密存儲方式下實現(xiàn)非對稱密碼體制下的動態(tài)身份認(rèn)證。
(5)密碼算法、安全協(xié)議與網(wǎng)絡(luò)工程以及操作系統(tǒng)各專業(yè)研究領(lǐng)域必須緊密合作,才能保證一項互聯(lián)網(wǎng)應(yīng)用工程中的信息安全。我國互聯(lián)網(wǎng)普遍存在用戶賬號密碼明文傳輸?shù)牟话踩o態(tài)認(rèn)證方式,根本原因在于互聯(lián)網(wǎng)應(yīng)用工程設(shè)計人員網(wǎng)絡(luò)安全意識不強(qiáng),對網(wǎng)絡(luò)安全協(xié)議缺少研究,對常規(guī)網(wǎng)絡(luò)攻擊方法與行為缺乏了解,對潛在的網(wǎng)絡(luò)攻擊新理論與新技術(shù)更缺少關(guān)心。
根據(jù)輕量級動態(tài)身份認(rèn)證的一致性原理可以推定,采用輕量級動態(tài)身份認(rèn)證方式的認(rèn)證數(shù)據(jù)庫一般采用用戶賬號密碼的明文存儲方式。根據(jù)一致性原理同時可以推定,安全的認(rèn)證數(shù)據(jù)庫一般采用用戶賬號密碼的單向散列值影子文件加密保護(hù),而采用SSL/TLS安全協(xié)議將靜態(tài)認(rèn)證的明文密碼傳輸轉(zhuǎn)換成重量級動態(tài)認(rèn)證的加密傳輸方式。這樣,網(wǎng)絡(luò)身份認(rèn)證才能既可防止認(rèn)證數(shù)據(jù)庫的內(nèi)部集中泄密風(fēng)險,又能防止外部網(wǎng)絡(luò)監(jiān)聽的重放攻擊。
3.2 應(yīng)急建議
(1)盡快對我國互聯(lián)網(wǎng)開展一次用戶身份認(rèn)證方式的普查工作,檢查認(rèn)證數(shù)據(jù)庫用戶的賬號密碼存儲方式與身份認(rèn)證中賬號密碼的網(wǎng)絡(luò)傳輸方式。
(2)盡快對我國各行業(yè)內(nèi)部專用互聯(lián)網(wǎng)(內(nèi)部信息專網(wǎng)、政府辦公專網(wǎng)、金融專網(wǎng)、郵電專網(wǎng)、鐵路專網(wǎng)等等)開展一次用戶身份認(rèn)證方式的普查工作,檢查認(rèn)證數(shù)據(jù)庫用戶的賬號密碼存儲方式與身份認(rèn)證中賬號密碼的網(wǎng)絡(luò)傳輸方式。
(3)采用SSL\TLS協(xié)議對我國互聯(lián)網(wǎng)用戶身份認(rèn)證過程實現(xiàn)加密封裝,確保身份認(rèn)證過程的動態(tài)性。
(4)加強(qiáng)網(wǎng)絡(luò)信息安全意識,建立互聯(lián)網(wǎng)攻防新技術(shù)專業(yè)實驗室,為復(fù)雜信息化環(huán)境下的軍事斗爭加緊培養(yǎng)既精通密碼算法與安全協(xié)議的分析方法又通曉操作系統(tǒng)與網(wǎng)絡(luò)工程技術(shù)的復(fù)合型高級專門技術(shù)人才。
參考文獻(xiàn)
[1] 謝濤,陳火旺,康立山. 幻方身份雙向認(rèn)證與密約傳輸一體化方法.中國知識產(chǎn)權(quán)局,發(fā)明專利號:331608,2007年6月.
[2] 謝濤. 一種用于身份真?zhèn)舞b別的幻方簽名方法.中國知識產(chǎn)權(quán)局,發(fā)明專利號:695757,2010年11月.
[3] Freier A, Karlton P, Kocher P. The Secure Sockets Layer (SSL)Protocol Version 3.0. RFC 6101 (Historic). August 2011. http:///rfc/rfc6101.txt.
[4] Dierks T, Rescorla E. The Transport Layer Security (TLS) Protocol Version 1.2. RFC 5246 (Proposed Standard). August 2008. Updated by RFCs 5746, 5878, 6176, http:///rfc/rfc5246.txt.
[5] Rescorla E. HTTP Over TLS. RFC 2818 (Informational). May 2000. Updated by RFC 5785, http:///rfc/rfc2818.txt.
[6] Fielding R, Gettys J, Mogul J, et al. Hypertext Transfer Protocol-HTTP/1.1. RFC 2616 (Draft Standard). June 1999. Updated by RFCs 2817, 5785, 6266, http:///rfc/rfc2616.txt.
[7] Crispin M. INTERNET MESSAGE ACCESS PROTOCOL - VER- SION 4rev1. RFC 3501 (Proposed Standard). March 2003. Updated by RFCs 4466, 4469, 4551, 5032, 5182, 5738, 6186, http:///rfc/rfc3501.txt.
基金項目:
本文工作得到國家自然科學(xué)基金項目NSF.61070228與 NSF.61472476的連續(xù)資助以及國防科技大學(xué)XXX實驗室的大力支持。
作者簡介:
謝瑾(1997-),女,湖南長沙人, 湖南省長沙市第一中學(xué)信息技術(shù)組成員;主要研究方向和關(guān)注領(lǐng)域:互聯(lián)網(wǎng)應(yīng)用創(chuàng)意、文學(xué)創(chuàng)作、數(shù)學(xué)游戲。
關(guān)鍵詞:網(wǎng)絡(luò)安全;校園網(wǎng);防火墻;服務(wù)器
中圖分類號:TP393文獻(xiàn)標(biāo)識碼:A文章編號:1009-3044(2009)27-7640-03
Configuration of Firewall in Linux
YANG Yun1, ZHANG Hui2
(1.Jinan Railway Polytechnic, Ji'nan 250013, China; 2.Jinan Huangtai School, Ji'nan 250013, China)
Abstract: The article discusses the practical problem in operating campus network, and how to build a high efficient、universal and safe resolution of firewall in Linux at different applications forpacket and Proxy service.
Key words: network safe; campus network; firewall; Proxy server
Internet的迅速發(fā)展在提高了工作效率的同時,也帶來了一個日益嚴(yán)峻的問題-網(wǎng)絡(luò)安全。很多企業(yè)為了保障自身服務(wù)器或數(shù)據(jù)安全都采用了防火墻。
防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口,能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流,且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù),實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。 在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動,保證了內(nèi)部網(wǎng)絡(luò)的安全。為防止Internet上的不安全因素蔓延到局域網(wǎng)內(nèi)部,使用防火墻是一種行之有效的解決方法。下面結(jié)合我校情況介紹一下在Linux下配置防火墻的解決方案。
1 幾種主要的防火墻技術(shù)
防火墻從原理上可以分為兩大類:包過濾(packet filtering)型和服務(wù)(Proxy service)型。下面是幾種不同的防火墻配置方案。
1.1 建立包過濾防火墻
利用Linux核心中的IP鏈(IP Chains)規(guī)則建立包過濾防火墻,規(guī)則具體如下:
#先用 -F 選項清除掉所有規(guī)則
/sbin/ipchains -F
#假設(shè)服務(wù)器內(nèi)網(wǎng)IP為192.168.0.22,公有IP為210.77.217.82
#將服務(wù)器在內(nèi)網(wǎng)的地址除開放DNS、POP3、Route、FTP、Telnet、Web、SMTP外其他服務(wù)全部封死
/sbin/ipchains -A input -p UDP -d 192.168.0.22 53 -j ACCEPT
/sbin/ipchains -A input -p UDP -d 192.168.0.22 110 -j ACCEPT
/sbin/ipchains -A input -p UDP -d 192.168.0.22 520 -j ACCEPT
/sbin/ipchains -A input -p UDP -d 192.168.0.22 1:1024 -j DENY
/sbin/ipchains -A input -p TCP -d 192.168.0.22 20 -j ACCEPT
/sbin/ipchains -A input -p TCP -d 192.168.0.22 21 -j ACCEPT
/sbin/ipchains -A input -p TCP -d 192.168.0.22 23 -j ACCEPT
/sbin/ipchains -A input -p TCP -d 192.168.0.22 25 -j ACCEPT
/sbin/ipchains -A input -p TCP -d 192.168.0.22 53 -j ACCEPT
/sbin/ipchains -A input -p TCP -d 192.168.0.22 80 -j ACCEPT
/sbin/ipchains -A input -p TCP -d 192.168.0.22 110 -j ACCEPT
/sbin/ipchains -A input -p TCP -d 192.168.0.22 1:1024 -j DENY
#服務(wù)器對外僅提供POP3、FTP、Web、SMTP服務(wù)
/sbin/ipchains -A input -p UDP -d 210.77.217.82 110 -j ACCEPT
/sbin/ipchains -A input -p UDP -d 210.77.217.82 1:1024 -j DENY
/sbin/ipchains -A input -p TCP -d 210.77.217.82 20 -j ACCEPT
/sbin/ipchains -A input -p TCP -d 210.77.217.82 21 -j ACCEPT
/sbin/ipchains -A input -p TCP -d 210.77.217.82 25 -j ACCEPT
/sbin/ipchains -A input -p TCP -d 210.77.217.82 80 -j ACCEPT
/sbin/ipchains -A input -p TCP -d 210.77.217.82 110 -j ACCEPT
/sbin/ipchains -A input -p TCP -d 210.77.217.82 1:1024 -j DENY
使用IP鏈規(guī)則建立防火墻的主要原因并不是應(yīng)為它是免費軟件,而是因為IP鏈規(guī)則是一套直接編譯在Linux核心中的防火墻,其運行效率是其他外掛在操作系統(tǒng)上的軟件防火墻所無法比擬的,因此假若希望在流量較大網(wǎng)絡(luò)接口安設(shè)防火墻,而又不想購買昂貴的硬件防火墻時,采用IP鏈規(guī)則建立包過濾防火墻是一個不錯的選擇。
1.2 實現(xiàn)內(nèi)網(wǎng)微機(jī)透明訪問Internet
利用IP偽裝(IP Masquerade)實現(xiàn)內(nèi)網(wǎng)微機(jī)透明訪問Internet。
IP偽裝是NAT(Network Address Translation網(wǎng)絡(luò)地址轉(zhuǎn)換)的一種方式,即當(dāng)內(nèi)網(wǎng)的機(jī)器需要訪問Internet時,具有IP偽裝功能的服務(wù)器會將內(nèi)部網(wǎng)絡(luò)使用的非公有IP偽裝成同一個公有IP訪問Internet,這就可以使內(nèi)網(wǎng)用戶可以透明地訪問Internet而不用安裝任何客戶端軟件,減少了許多不必要的麻煩,使用該方式可使大部分軟件能直接訪問Internet,例如使用SMTP、IMAP、POP協(xié)議的郵件客戶端軟件、使用UDP協(xié)議的ICQ、OICQ、Real Player、Windows Media Player軟件等,而且用戶使用內(nèi)網(wǎng)任何一臺微機(jī)都可以直接Ping通Internet上的地址。測試網(wǎng)絡(luò)連接十分方便。IP偽裝是Linux的一項網(wǎng)絡(luò)功能,在IP 鏈規(guī)則中的具體實現(xiàn)方法如下:
#啟用 IP 轉(zhuǎn)發(fā)
/sbin/ipchains -P forward REJECT
#建立 NAT 規(guī)則,令局域網(wǎng)中地址為 192.168.*.* 且其目標(biāo)地址不在 192.168.*.* 范圍內(nèi)的機(jī)器偽裝為本機(jī) Internet 有效 IP地址后進(jìn)行轉(zhuǎn)遞
/sbin/ipchains -A forward -j MASQ -s 192.168.0.0/16 -d ! 192.168.0.0/16
但該方式并不一定可以使所有連接Internet的軟件成功使用,TCP/IP協(xié)議的天生缺陷使得極少部分軟件無法使用該方式訪問Internet,例如當(dāng)內(nèi)部網(wǎng)絡(luò)中某臺微機(jī)希望連接Internet上的一臺FTP服務(wù)器,而對方的FTP服務(wù)器禁用了或根本不支持被動方式連接,那么連接后就無法上傳或下載傳送任何數(shù)據(jù)。此時則需要使用其他方式連接了。例如后面提到的Socks。
1.3 構(gòu)筑透明
利用Squid服務(wù)與防火墻規(guī)則結(jié)合構(gòu)筑透明。
使用IP鏈規(guī)則可以使內(nèi)網(wǎng)的主機(jī)不需要做任何設(shè)置就可以訪問Web,但其缺點就是當(dāng)內(nèi)網(wǎng)數(shù)臺主機(jī)先后訪問Internet上某一站點時,第一臺主機(jī)將該站點的主頁以及頁面中的圖像從Internet下載到本機(jī),而其它幾臺主機(jī)訪問時也要重復(fù)相同的操作,即從Internet下載了同樣的內(nèi)容,這樣的重復(fù)勞動自然會浪費相當(dāng)多的帶寬,而使用具有Web緩存(Web Cache)的服務(wù)器時便可解決此問題,在第一臺主機(jī)訪問該站點時服務(wù)軟件將此網(wǎng)頁的內(nèi)容緩存到本地硬盤,而后其他主機(jī)再次訪問該站時,服務(wù)器只是檢測該網(wǎng)頁是否有更新,若無更新便直接將本機(jī)的緩存?zhèn)魉瓦^去,這樣既可以節(jié)省帶寬又有效地提高了上網(wǎng)速度。例如Linux上的Squid服務(wù)就是一套高效快速的服務(wù)軟件。但麻煩的就是必須在每臺機(jī)器上設(shè)置Web 服務(wù)器,此時可以簡單地使用IP鏈規(guī)則來省略這一操作,即在規(guī)則中加入一條轉(zhuǎn)遞規(guī)則,將訪問任何地址80(HTTP)端口的封裝包都強(qiáng)制轉(zhuǎn)發(fā)到Linux服務(wù)器上安裝的服務(wù)器偵聽端口。即:
#假設(shè)Squid服務(wù)的偵聽端口為3128
/sbin/ipchains -A input -i eth0 -d 0/0 80 -p TCP -j REDIRECT 3128
/sbin/ipchains -A input -i eth0 -d 0/0 3128 -p tcp -j REDIRECT
這樣使內(nèi)網(wǎng)任何用戶訪問Internet前都令其穿過服務(wù)器后再訪問,不光有效地加快了上網(wǎng)速度,又可以利用Squid服務(wù)過濾掉內(nèi)網(wǎng)無效訪問和攻擊,實現(xiàn)了透明。
1.4 采用Socks服務(wù)
對于無法使用IP偽裝方式訪問Internet的特殊協(xié)議與軟件采用Socks服務(wù)。
Socks是一組客戶端/服務(wù)器端結(jié)構(gòu)的Proxy協(xié)議。Socks的軟件組成包含Socks服務(wù)器程序及Socks客戶端應(yīng)用程序庫。用戶的應(yīng)用程序只要有支持Socks協(xié)議就能通過Socks服務(wù)器連接到防火墻外的網(wǎng)絡(luò)。
2 一個安全的防火墻系統(tǒng)實例
結(jié)合上面方案的分析,下面我就用一個實際例子講解建立安全防火墻系統(tǒng)的過程。
2.1 網(wǎng)絡(luò)情況
校園網(wǎng)有多個子網(wǎng),所有的內(nèi)部網(wǎng)絡(luò)用戶通過路由器連接防火墻,防火墻作為校園網(wǎng)絡(luò)的唯一出口連接到Internet。為了研究的方便,假如內(nèi)部網(wǎng)絡(luò)只有兩個網(wǎng)段:192.168.1.0 /24和192.168.2.0/24。
2.2 用戶需求
用戶的需求如下:
1) 保障內(nèi)部網(wǎng)絡(luò)安全,禁止外部用戶連接到內(nèi)部網(wǎng)絡(luò)。
2) 保護(hù)作為防火墻的主機(jī)安全,禁止外部用戶使用防火墻的主機(jī)Telnet、FTP等項基本服務(wù),同時要保證處于內(nèi)部網(wǎng)絡(luò)的管理員可以使用Telnet管理防火墻。
3) 隱蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu),保證內(nèi)部用戶可以通過僅有的一個合法IP地址202.102.184.1連接Internet。同時要求許可內(nèi)部用戶使用包括E-Mail、WWW瀏覽、News、FTP等所有Internet上的服務(wù)。
4) 要求對可以訪問Internet的用戶進(jìn)行限制,僅允許特定用戶的IP地址可以訪問外部網(wǎng)絡(luò)。
5) 要求具備防止IP地址盜用功能,保證特權(quán)用戶的IP不受侵害。
6) 要求具備防IP地址欺騙能力。
2.3 解決方案
1) 安裝一臺Linux服務(wù)器,配置雙網(wǎng)卡,兩端地址分別為192.168.0.22 /255.255.255.252(內(nèi)部端口ETH 0)和210.77.217.82/255.255.255.248(外部端口ETH 1)。在IPChains中去除諸如 HTTP、DNS、DHCP、NFS、SendMail之類所有不需要的服務(wù),僅保留Telnet和FTP服務(wù),以保證系統(tǒng)運行穩(wěn)定,提高網(wǎng)絡(luò)安全性。
2) 啟動IPChains后,為保證安全性,首先將Forward Chains的策略設(shè)置為DENY,禁止所有的未許可包轉(zhuǎn)發(fā),保障內(nèi)部網(wǎng)安全性,以滿足需求1。命令為: ipchains -P forward DENY
3) 為滿足需求2,必須禁止所有來自外部網(wǎng)段對防火墻發(fā)起的低于1024端口號的連接請求。在此,做如下設(shè)定來阻止對ETH1端口請求連接小于1024端口號的TCP協(xié)議的數(shù)據(jù)報(請求連接數(shù)據(jù)報帶有SYN標(biāo)記,IPChains中使用參數(shù)-y表示)。命令如下:ipchains -A input -p tcp -d210.77.217.82:1024 Cy -i eth1 -j DENY。
需要說明一點,之所以不是簡單地拒絕所有小于1024端口號的數(shù)據(jù)報,在于某些情況下服務(wù)器會回復(fù)一個小于1024接口的數(shù)據(jù)報。比如某些搜索引擎就可能在回復(fù)查詢中使用一個不常用的小于1024的端口號。此外,當(dāng)使用DNS查詢域名時,如果服務(wù)器回復(fù)的數(shù)據(jù)超過512字節(jié),客戶機(jī)將使用TCP連接從53號端口獲得數(shù)據(jù)。
4) 為滿足需求3,必須使用IP地址翻譯功能。來自內(nèi)部保留地址的用戶數(shù)據(jù)包在經(jīng)過防火墻時被重寫,使包看起來象防火墻自身發(fā)出的。然后防火墻重寫返回的包,使它們看起來象發(fā)往原來的申請者。采用這種方法,用戶就可以透明地使用因特網(wǎng)上的各種服務(wù),同時又不會泄露自身的網(wǎng)絡(luò)情況。注意,對于FTP服務(wù),需要加載FTP偽裝模塊。命令如下:insmod ip_masq_ftp
5) 為滿足需求4,可以在已經(jīng)設(shè)置為DENY的Forward Chains中添加許可用戶。因為許可這部分用戶使用所有的服務(wù),訪問所有的地址,所以不用再指定目標(biāo)地址和端口號。假定許可IP地址為192.168.1.100,配置命令如下:ipchains -A forward -s 192.168.1.100 -j MASQ。
同時,必須啟動系統(tǒng)的IP包轉(zhuǎn)發(fā)功能。出于安全的考慮,建議在設(shè)置了Forward Chains的策略為DENY,禁止所有的未許可包轉(zhuǎn)發(fā)后再開啟轉(zhuǎn)發(fā)功能。配置命令如下:#echo 1> /proc/sys/net/ipv4/ip_forward。
6) 關(guān)于防止IP地址盜用問題,由于所有用戶都是通過路由器連接到防火墻,所以只需要在路由器中建立授權(quán)IP地址到MAC地址的靜態(tài)映射表即可。如果有客戶機(jī)直接連接到防火墻主機(jī),就需要使用ARP命令在防火墻主機(jī)中建立IP地址到MAC地址的靜態(tài)映射表。
7) 對于需求6,只要在進(jìn)入端口中設(shè)定IP地址確認(rèn),丟棄不可能來自端口的數(shù)據(jù)包就可以了。配置命令如下:ipchains -A input -i eth1 Cs 192.168.0.0/255.255.0.0 -j DENY。
至此,就算基本建立起來一個較為安全的防火墻了,再針對運行中出現(xiàn)的問題進(jìn)行修改,調(diào)試無誤后就可以用ipchains -save命令將配置保存起來。需要再次使用時,用命令 ipchains -restore即可。