中国科学院邮件系统运行情况月报(节选)(2005.01.21—2005.02.20)


企业及用户注册情况汇总

企业注册情况

项目

1 月 20 日

2 月 20 日

增量(%)

企业域总个数

87

88

1%

企业申请的邮箱总容量(GB)

910

919

0.9%

企业申请的总附加容量(GB)

174.8

176

0.68%

平均每个企业的邮箱数

206

205

- 0.48%

平均每个企业的邮箱容量(MB)

10470

10453

-0.16%

平均每个企业的邮箱附加容量(MB)

2009

2000

-0.45%

用户注册情况

项目

1 月 20 日

2 月 20 日

增量(%)

企业申请的总信箱数

17948

18078

0.72%

已经存在总用户数

12051

12085

0.28%

本月用户信件操作统计

WEB 读取数据

分析: 本月用户 web 读取邮件情况正常,春节假期期间正常减少。

POP 读取数据

分析: 本月用户 pop 读取邮件情况正常,春节假期期间正常减少。

IMAP 读取数据

分析: 本月用户 imap 读取邮件情况正常,春节假期期间正常减少。

登陆访问数据

分析: 本月用户登陆访问情况正常,春节假期期间正常减少。

本月系统接收信件统计

接收邮件情况



分析: 本月系统接收邮件情况正常,春节假期期间正常减少。

本月系统发送信件统计

发送邮件情况



分析: 本月系统发送邮件情况正常,春节假期期间正常减少。

本月antispam&avp反垃圾杀毒系统处理情况统计



分析:本月 antispam 处理邮件情况正常,春节假期期间正常减少。

本月系统流量图表(MRTG)

分析:从以上图标可以看出本月本系统流量正常,春节假期期间正常减少。


防火墙工作原理简介


  天下的防火墙至少都会说两个词:Yes或者No。直接说就是接受或者拒绝。最简单的防火墙是以太网桥。但几乎没有人会认为这种原始防火墙能管多大用。大多数防火墙采用的技术和标准可谓五花八门。这些防火墙的形式多种多样:有的取代系统上已经装备的TCP/IP协议栈;有的在已有的协议栈上建立自己的软件模块;有的干脆就是独立的一套操作系统。还有一些应用型的防火墙只对特定类型的网络连接提供保护(比如SMTP或者HTTP协议等)。还有一些基于硬件的防火墙产品其实应该归入安全路由器一类。以上的产品都可以叫做防火墙,因为他们的工作方式都是一样的:分析出入防火墙的数据包,决定放行还是把他们扔到一边。

  所有的防火墙都具有IP地址过滤功能。这项任务要检查IP包头,根据其IP源地址和目标地址做出放行/丢弃决定。看看下面这张图,两个网段之间隔了一个防火墙,防火墙的一端有台 UNIX计算机,另一边的网段则摆了台PC客户机。

  当PC客户机向UNIX计算机发起telnet请求时,PC的telnet客户程序就产生一个TCP包并把它传给本地的协议栈准备发送。接下来,协议栈将这个TCP包“塞”到一个IP包里,然后通过 PC机的TCP/IP栈所定义的路径将它发送给UNIX计算机。在这个例子里,这个IP包必须经过横在 PC和UNIX计算机中的防火墙才能到达UNIX计算机。

  现在我们“命令”(用专业术语来说就是配制)防火墙把所有发给UNIX计算机的数据包都给拒了,完成这项工作以后,“心肠”比较好的防火墙还会通知客户程序一声呢!既然发向目标的IP数据没法转发,那么只有和UNIX计算机同在一个网段的用户才能访问UNIX计算机了。


  还有一种情况,你可以命令防火墙专给那台可怜的PC机找茬,别人的数据包都让过就它不行。这正是防火墙最基本的功能:根据IP地址做转发判断。但要上了大场面这种小伎俩就玩不转了,由于黑客们可以采用IP地址欺骗技术,伪装成合法地址的计算机就可以穿越信任这个地址的防火墙了。不过根据地址的转发决策机制还是最基本和必需的。另外要注意的一点是,不要用DNS主机名建立过滤表,对DNS的伪造比IP地址欺骗要容易多了。

服务器 TCP/UDP 端口过滤

  
仅仅依靠地址进行数据过滤在实际运用中是不可行的,还有个原因就是目标主机上往往运行着多种通信服务,比方说,我们不想让用户采用telnet的方式连到系统,但这绝不等于我们非得同时禁止他们使用SMTP/POP邮件服务器吧?所以说,在地址之外我们还要对服务器的TCP/ UDP端口进行过滤。

  比如,默认的telnet服务连接端口号是23。假如我们不许PC客户机建立对UNIX计算机(在这时我们当它是服务器)的telnet连接,那么我们只需命令防火墙检查发送目标是UNIX服务器的数据包,把其中具有23目标端口号的包过滤就行了。这样,我们把IP地址和目标服务器TCP/UDP端口结合起来不就可以作为过滤标准来实现相当可靠的防火墙了吗?不,没这么简单。

客户机也有TCP/UDP端口

  
TCP/IP是一种端对端协议,每个网络节点都具有唯一的地址。网络节点的应用层也是这样,处于应用层的每个应用程序和服务都具有自己的对应“地址”,也就是端口号。地址和端口都具备了才能建立客户机和服务器的各种应用之间的有效通信联系。比如,telnet服务器在端口23侦听入站连接。同时telnet客户机也有一个端口号,否则客户机的IP栈怎么知道某个数据包是属于哪个应用程序的呢?

  由于历史的原因,几乎所有的TCP/IP客户程序都使用大于1023的随机分配端口号。只有 UNIX计算机上的root用户才可以访问1024以下的端口,而这些端口还保留为服务器上的服务所用。所以,除非我们让所有具有大于1023端口号的数据包进入网络,否则各种网络连接都没法正常工作。

  这对防火墙而言可就麻烦了,如果阻塞入站的全部端口,那么所有的客户机都没法使用网络资源。因为服务器发出响应外部连接请求的入站(就是进入防火墙的意思)数据包都没法经过防火墙的入站过滤。反过来,打开所有高于1023的端口就可行了吗?也不尽然。由于很多服务使用的端口都大于1023,比如X client、基于RPC的NFS服务以及为数众多的非UNIX IP产品等(NetWare/IP)就是这样的。那么让达到1023端口标准的数据包都进入网络的话网络还能说是安全的吗?连这些客户程序都不敢说自己是足够安全的。


双向过滤

  咱们换个思路,我们给防火墙这样下命令:已知服务的数据包可以进来,其他的全部挡在防火墙之外。比如,如果你知道用户要访问Web服务器,那就只让具有源端口号80的数据包进入网络:

  不过新问题又出现了。首先,你怎么知道你要访问的服务器具有哪些正在运行的端口号呢?象HTTP这样的服务器本来就是可以任意配置的,所采用的端口也可以随意配置。如果你这样设置防火墙,你就没法访问哪些没采用标准端口号的的网络站点了!反过来,你也没法保证进入网络的数据包中具有端口号80的就一定来自Web服务器。有些黑客就是利用这一点制作自己的入侵工具,并让其运行在本机的80端口!

检查ACK

  源地址我们不相信,源端口也信不得了,这个不得不与黑客共舞的疯狂世界上还有什么值得我们信任呢?还好,事情还没到走投无路的地步。对策还是有的,不过这个办法只能用于TCP协议。

  TCP是一种可靠的通信协议,“可靠”这个词意味着协议具有包括纠错机制在内的一些特殊性质。为了实现其可靠性,每个TCP连接都要先经过一个“握手”过程来交换连接参数。还有,每个发送出去的包在后续的其他包被发送出去之前必须获得一个确认响应。但并不是对每个TCP包都非要采用专门的ACK包来响应,实际上仅仅在TCP包头上设置一个专门的位就可以完成这个功能了。所以,只要产生了响应包就要设置ACK位。连接会话的第一个包不用于确认,所以它就没有设置ACK位,后续会话交换的TCP包就要设置ACK位了。

  举个例子,PC向远端的Web服务器发起一个连接,它生成一个没有设置ACK位的连接请求包。当服务器响应该请求时,服务器就发回一个设置了ACK位的数据包,同时在包里标记从客户机所收到的字节数。然后客户机就用自己的响应包再响应该数据包,这个数据包也设置了ACK位并标记了从服务器收到的字节数。通过监视ACK位,我们就可以将进入网络的数据限制在响应包的范围之内。于是,远程系统根本无法发起TCP连接但却能响应收到的数据包了。

  这套机制还不能算是无懈可击,简单地举个例子,假设我们有台内部Web服务器,那么端口80就不得不被打开以便外部请求可以进入网络。还有,对UDP包而言就没法监视ACK位了,因为UDP包压根就没有ACK位。还有一些TCP应用程序,比如FTP,连接就必须由这些服务器程序自己发起。

FTP 带来的困难

  一般的Internet服务对所有的通信都只使用一对端口号,FTP程序在连接期间则使用两对端口号。第一对端口号用于FTP的“命令通道”提供登录和执行命令的通信链路,而另一对端口号则用于FTP的“数据通道”提供客户机和服务器之间的文件传送。

   在通常的FTP会话过程中,客户机首先向服务器的端口21(命令通道)发送一个TCP连接请求,然后执行LOGIN、DIR等各种命令。一旦用户请求服务器发送数据,FTP服务器就用其20端口(数据通道)向客户的数据端口发起连接。问题来了,如果服务器向客户机发起传送数据的连接,那么它就会发送没有设置ACK位的数据包,防火墙则按照刚才的规则拒绝该数据包同时也就意味着数据传送没戏了。通常只有高级的、也就是够聪明的防火墙才能看出客户机刚才告诉服务器的端口,然后才许可对该端口的入站连接。

UDP 端口过滤

  好了,现在我们回过头来看看怎么解决UDP问题。刚才说了,UDP包没有ACK位所以不能进行ACK位过滤。UDP是发出去不管的“不可靠”通信,这种类型的服务通常用于广播、路由、多媒体等广播形式的通信任务。NFS、DNS、WINS、NetBIOS-over-TCP/IP和NetWare/IP都使用UDP 。

  看来最简单的可行办法就是不允许建立入站UDP连接。防火墙设置为只许转发来自内部接口的UDP包,来自外部接口的UDP包则不转发。现在的问题是,比方说,DNS名称解析请求就使用UDP,如果你提供DNS服务,至少得允许一些内部请求穿越防火墙。还有IRC这样的客户程序也使用UDP,如果要让你的用户使用它,就同样要让他们的UDP包进入网络。我们能做的就是对那些从本地到可信任站点之间的连接进行限制。但是,什么叫可信任!如果黑客采取地址欺骗的方法不又回到老路上去了吗?

  有些新型路由器可以通过“记忆”出站UDP包来解决这个问题:如果入站UDP包匹配最近出站UDP包的目标地址和端口号就让它进来。如果在内存中找不到匹配的UDP包就只好拒绝它了!但是,我们如何确信产生数据包的外部主机就是内部客户机希望通信的服务器呢?如果黑客诈称DNS服务器的地址,那么他在理论上当然可以从附着DNS的UDP端口发起攻击。只要你允许DNS查询和反馈包进入网络这个问题就必然存在。办法是采用代理服务器。

  所谓代理服务器,顾名思义就是代表你的网络和外界打交道的服务器。代理服务器不允许存在任何网络内外的直接连接。它本身就提供公共和专用的DNS、邮件服务器等多种功能。代理服务器重写数据包而不是简单地将其转发了事。给人的感觉就是网络内部的主机都站在了网络的边缘,但实际上他们都躲在代理的后面,露面的不过是代理这个假面具。      


中国科学院邮件系统防火墙Netscreen 500简介


Net Screen 的优势  

  Net Screen提供目前业界中最高效能的防火墙与VPN方案,其突破性的ASIC安全方案可消除其他传统安全产品所产生的瓶颈问题,实现接近连线速度的数据封包处理,以充分利用频宽。Net Screen的产品,为一系列不同应用的方案。从专为因特网数据中心和服务供应商设计的业界首个千兆位安全系统NetScreen-1000,到专门为远端工作人员设计的NetScreen-5,以及为了Net Screen整体安全系统设计的管理工具Net Screen-Global PRO是一套可扩性高的软件管理平台,不但易于设置、执行,而且便于网络管理。

  到目前为止,Net Screen产品的硬件平台可大致上分为两类,Net Screen Applicances系列包括了NetScreen-5、NetScreen-10和NetScreen-100;Net Screen Systems直至目前则有 Net Screen-1000。这些产品在设计上其实相当简洁,都具有都具有Trust、Untrust及Dmz端口(NetScreen-5则只有一个Trust端口和Untrust端口),可移动的部分也相当小(Net Screen-100有一个散热风扇)。每个产品都有Net Screen特有的ASIC芯片,可以加速策略查找和安全加密的执行。此外,NetScreen-1000采用处理器架构,即使每个封包有512byte,防火墙及VPN 的传输速率也能达到千兆位元。Net Screen首个系统级产品NetScreen-1000,提供了电源后背及容易置换的风扇模块,而且支援多达100个不同的安全网域或独立客户。

Net Screen 500 简介

  Net Screen-500集防火墙、VPN及流量管理等功能于一体,占用2U机架空间。它是一款高性能的产品,支持多个安全域。Net Screen-500具有Net Screen-1000及Net Screen-100的所有优点。另外在功能上设有高可用性交换端口、管理端口及四个流量模块组,还有一个可编辑的LCD指示屏,使管理变得更加容易。下图为Net Screen 500产品图片。

Net Screen 500

产品性能

  • 拥有Net Screen千兆级ASIC
  • 700Mbps防火墙和NAT处理能力
  • 250Mbps 3DES VPN处理能力
  • 250000并发会话处理能力
  • 每秒产生22000个新的会话
  • 10000个VPN 通道
  • 25个虚拟系统,100个VLAN
  • 支持NAT、路由模式及透明模式
  • 基于策略的NAT
  • 集中星型VPN
  • 与Websense(URL 地址过滤软件)兼容
  • 10/100双口或GBIC(SX/LX接收器)接口
  • 具有高可用性界面
  • 10/100M出口带宽接口
  • 可编辑的LCD显示屏

系统特性

Net Screen 500 产品系统特性

性能

并发会话: 250,000(1)
每秒的新会话数: 22,000(1)
防火墙性能: 700Mbps
三倍 DES(128 位 ) : 250Mbps
策略: 20,000(1)
时间表: 256(1)

虚拟系统

虚拟系统最大数量: 25
支持的 VLAN 数量: 100

工作模式

透明模式(所有端口):是 (2) ;
路由模式:是;
NAT( 网络地址转换 ) :是;
PAT( 端口地址转换):是;
虚拟 IP(VIP):4(2) ;
映射 IP(MIP) : 256(1) ;
IP 路由 -- 静态路由: 256(1) ;
基于策略的 NAT :是;
每个端口的用户数:没有限制

防火墙攻击检测

同步攻击:是 (3)
ICMP flood 检测 : 是 (3)
UDP flood 泛滥检测 : 是 (3)
检测死 ping(Ping of death): 是 (3)
检测 IP 欺骗 (IP spoofing): 是 (3)
检测端口扫描 (Port scan): 是 (3)
检测陆地攻击 (Land attack): 是 (3)
检测撕毁攻击 (Tear drop attack): 是 (3)
过滤 IP 源路由选项 (Filter IP source route option): 是 (3)
检测 IP 地址扫描攻击 (IP address sweep attack): 是 (3)
检测 WinNuke attack 攻击 : 是 (3)
Java/ActiveX/Zip/EXE: 是 (3)
默认分组拒绝 (Default packet deny): 是 (3)
Dos & DDoS 保护 : 是 (3)

VPN

专用隧道: (10,000)(1)
手动密匙、 IKE 、 PKI(X.509) :是;
DES(56-bit)& 三倍 DES(168bit) 加密 encryption ;
完全正向保密 (DH 群组 )Perfect forward secrecy(DH
Groups) : 1,2,5 ;
防止回复攻击 (Prevent replay attack) :是;
远程接入 VPN(Remote access VPN) :是;
站点间 VPN(Site-to-site VPN) :是;
集中星型 VPN 网络拓扑:是;
L2TP :是;

IPSec

认证:
SHA-1 :是
MD5 :是
认证请求( PKCS 7& PKCS 10 ):是
支持的证书服务器:
Versign 认证中心:是
Entrust 认证中心:是
Microsoft 认证中心:是
RSA Keon 认证中心:是
IPlanet(Netscape) 认证中心:是
Baltimore 认证中心:是

高可用性( HA )

高可用性 (HA) :是;
防火墙和 VPN 会话保护 :是;
设备故障检测:是;
链路故障检测:是;
故障切换网络通知:是

防火墙和 PN 用户认证

内置(内部)数据库用户限额: 15 , 000 ;
RADIUS (外部)数据库:是;
SA SecureID( 外部)数据库:是;
LDAP (外部)数据库:是;

流量管理

有保障的带宽:是 (2)
最大带宽:是 (2)
优先使用带宽:是 (2)
DiffServ 标记:是 (2)

系统管理

网 址 浏 览 器 配 置 管 理( WebUI:HTTP and HTTPS );
命令行界面( Command line interface:console , telnet );
安全命令外壳(兼容 ssh v1)Secure Command Shell(ssh v1
compatible) ;
NetScreen Global Manager :不适用;
NetScreen Global Pro :很快提供;
所有管理均经过任何接口上的 VPN 隧道:是

管理

多个管理员: 20(2) ;
远程数据库管理: RADIUS ;
网络管理: 6 ;
根管理、管理和只读三种用户权限 (Root Admin,Admin,&Read
Only user levels) :是;
软件升级和配置变动: TFTP/WebUI

日志 / 监控

系统日志 (Syslog) :外部;
电子邮件 ( 两个地址 )E-mail(2 addresses) :是;
Web Trends :外部;
SNMP :是;
Traceroute :是;
VPN 隧道监视程序 (VPN tunnel monitor) :是;
Websense URL 过滤:外部 (3)

PCMCIA

PCMCIA 卡: 440MB , Type2 和 3
事件日志和告警 (Event logs & alarms) :是;
系统配置脚本 (System config script) :是;
ScreenOS 软件 (ScreenOS software) :是

电源

AC( 交流)电源: 95-240 可变 (47 到 63Hz) ;功率消耗: 100 瓦;
DC( 直流)电源:选件, -48 VDC ;

外型尺寸

17 英寸 ( 长 ) x 17.5 英寸 ( 宽 ) x 3.5 英寸 ( 高 ), 重量 27 磅
可以机架安装

工作环境温度

0-50 o C(32 到 122F )

温度

10% - 90% ,无冷凝

支持的标准

ARP,TCP/IP,UDP,ICMP,HTTP,RADIUS,IPSeC(IPESP,IPAH),MD5,
SHA1,DES,3DES,IKE,TFTP(client),
SNMP,X.509v3,VLAN 802.1q

安全标准认证

安全认证: CSA
EMI : FCC Part 15 class A,CE,VCCI,C-Tick,BSMI

标注项释意:

(1) 可以在所有虚拟系统之间共享

(2) 没有提供虚拟系统

(3) 整个系统启动或取消特性,没有单独的虚拟系统控制

(4) 仅虚拟系统

(5) 使用 GBIC 卡测试的性能, 10/100 卡支持线速性能

    尊敬的各位用户,为使客户服务工作能够进一步贴近您的实际需要,我们将展开院邮件系统用户满意度调查活动,请您在百忙当中协助我们完成《用户满意度调查表》,并将填写好的表格反馈至
support@cstnet.cn ,谢谢您的合作。

下载调查表

 

邮件蠕虫的防范技巧

    除了可以用防火墙和杀毒软件来防杀邮件病毒外,还可以用下列方式配合来减少邮件病毒的危害:

•  设定邮件的路径在C盘以外

•  收到新邮件尽量使用“另存为”选项为邮件做备份

•  尽量不要在“通讯簿”中设置太多的名单

•  遇到带可执行文件(*.EXE、*.COM)或带有宏功能的附件(*.DOC等),不要选打开,最好先选择为“另存为”,将其保存到磁盘上,用杀毒软件先查杀

©1994-2005 版权所有:中国科技网网络中心 意见反馈: support@cstnet.cn