Syshy’s Blog

IIS与Apache还是有很大区别的，就wordpress的Permalinks来说，在具备mod_rewrite模块的apache环境下，wordpress的伪静态设置显得容易的多，直接后台设置一下就可以了。
IIS配置了rewrite以后，伪静态只能设置成以下的三种方式:
/post/%post_id%.html
/%year%/%monthnum%/%day%/%postname%.html
/%year%/%monthnum%/%day%/%postname%
从SEO角度出发，这三种方式并不是我所喜欢的，只因自己对RwiterURL规则的写法基本上属于空白阶段，目前我还是选用了/%year%/%monthnum%/%day%/%postname%这种方式。
ISAPI筛选器的配置很简单，不在赘述，直接给出相关文件下载：
Rewrite相关
内有readme，按部就班即可。

07年搞的PJblog，玩了半年，数据库才35M出头，页面就狂慢，后来无暇再弄就关闭了。

今天闲来无事，翻出以前的PJblog，转成了wordpress，转换的还算比较满意，文章内容和评论等都迁移过来了。Wordpress比较干净，至于杂七杂八的插件，以后再慢慢装吧。

方法如下：

在windows xp中，微软第一次引入了upnp的概念。upnp在xp中默认是开启并工作的，一直不引人注目，后来随着upnp的漏洞而名声大噪，导致大家纷纷关闭xp中upnp来提高系统的安全性。下面我们来分析一下upnp的好处和与其相关的一些概念，并看看xp中upnp是如何设置并让其正常工作从而方便我们在网上冲浪。
首先我们先解释几个名词。
1.ip地址
ip地址是网络中用于标识通讯双方的一个地址。正因为如此，一个通讯的网络中不允许有相同的ip地址，否则会导致通讯混乱。internet是一个全球性的大网，包含了无数的设备，每个设备都需要ip地址来标识自己，所以internet使用了许许多多的ip地址。因为ip地址的数量是有限的，给所有设备分配一个地址不可行（数量不够），所以ip地址中指定了一些地址用于私有网络。因为私有网络间没有通讯的要求，所以这些地址可以重复使用，比如10.0.0.0网段，还有172.16.0.0-172.31.0.0网段和192.168.0.0网段。这些地址叫私有地址，因为可以被不同的单位重复使用，所以这些地址不能直接进入到internet进行通讯。
ip地址包含在ip包的包头中，网络设备通过对包头中ip地址的分析来确定如何发送这些ip包。
2.NAT技术
internet的边缘路由器上禁止了私有地址进入internet，但是采用私有地址建网的单位肯定会有上internet的要求，这样就引入了NAT的概念。
NAT实际上是一台ip地址的转换机器。它一边连接互联网，有一个internet上使用的公网地址，一边连接单位的私有网络。当私有网络中有些ip包要发送到互联网时，NAT把这些包中的源ip地址（私网地址）替换成NAT服务器上的公网地址，这样internet上的设备就认为这些包是来自公网的合法ip，从而允许其进入internet。当然，对这些包的答复包的目的地址也是NAT上的公网地址，到达NAT服务器后被替换成私有网络的地址，并把这些答复包发送到私有网络中发送源包的机器上。这样，私网中的机器就可以和internet通讯了。
3.端口
一个ip地址可以同时使用多种不同的服务，这是通过端口来实现的。比如我们可以在某一个ip上同时开启web服务和FTP服务，因为这两种服务占用的是不同的端口，所以互相之间不会冲突。如果想在私网地址上给公网提供服务，必须把NAT服务器上的公网ip的某个端口映射到私网ip上。这样，在internet有人试图访问你NAT服务器上的公网ip的该端口的时候，实际上提供服务的是你私网的某台机器的某个端口。假设我的ip是192.168.0.100，通过路由器上网，想对外提供FTP服务，那么必须在路由器上设置，把路由器的公网ip的21和20端口映射到192.168.0.100这个ip上，而我告诉别人的地址的是路由器上的公网ip，别人访问的却是我开在192.168.0.100上的FTP服务。
4.pnp
这个大家比较熟悉了，即插即用技术。符合pnp规范的硬件安装以后，操作系统可以直接使用它。
5.upnp
通用即插即用技术。这实际上是网络中的pnp技术。一个设备加入到网络后，只要符合upnp规范，其他的upnp设备也可以直接识别并使用它。
upnp的原理不在本文探讨范围内，不多说明了。
upnp的好处是什么？
在上面3的说明中，我们知道端口映射可以解决提供服务的问题。但是，假设我们要提供的服务所用到的端口是随机的，这样就麻烦了。一种做法是映射所有的端口到私网ip上，这就是平时我们用到的DMZ，这样虽然可以提供服务，但随之而来是安全性的问题很难解决。
这时，我们看到upnp的好处了。如果我提供服务的程序，NAT都支持upnp，因为支持upnp的设备可以自动发现，协调，那么端口映射的问题就是支持upnp的设备自己主动去协商了，而不需要人工干预，并且在使用完服务以后，支持upnp的设备会自动释放用过的端口，大大减少了我们配置的复杂程度。
6.upnp的安全性
upnp因为安全问题而导致世人瞩目，但是现在UPnP中的这个安全性漏洞已经得到了修补。只要运行了windows update 或手工下载安装了upnp的安全补丁，upnp还是很安全的。
7.upnp的安装
a.点击”开始”，点击”控制面板”，然后点击”添加或删除程序”。
b.在”添加或删除程序”对话框中，点击”添加/删除Windows组件”。
c.在”Windows组件向导”中，点击”网络服务”，点击”详细”，然后选择”通用即插即用”复选框。
d.点击”确定”，然后点击”Windows组件向导”对话框中的”下一步”。安装过程中可能需要提供Windows XP安装CD。
8.upnp的检验和配置
如果你的系统中存在UPnP设备，在打开”网络邻居”之后，你就应该能够看见它们了。同时，在显示网络连接中也可以看到相关的设备，如图所示。

       近期，“ARP欺骗”木马在互联网上迅速扩散，很多计算机感染了此病毒，有的网络甚至因为它而全面瘫痪。
  笔者一直在关注此病毒，积累了一些心得，希望与大家共享。
  下面，笔者就从ARP木马欺骗中毒现象、危害、成因、检测、处理和预防措施等几个方面入手，与大家共同探讨应对ARP欺骗木马的方法。
ARP木马中毒现象
  ARP欺骗木马的中毒现象表现为：使用校园网时会突然掉线，过一段时间后又会恢复正常。比如客户端状态频频变红，用户频繁断网，IE浏览器频繁出错，以及一些常用软件出现故障等。
  如果校园网是通过身份认证上网的，会突然出现可认证，但不能上网的现象（无法ping通网关），重启机器或在MS-DOS窗口下运行命令arp -d后，又可恢复上网。
ARP木马破坏性分析
  ARP欺骗木马十分猖狂，危害也特别大，各大学校园网、小区网、公司网和网吧等局域网都出现了不同程度的灾情，带来了网络大面积瘫痪的严重后果。
ARP欺骗木马只需成功感染一台电脑，就可能导致整个局域网都无法上网，严重的甚至可能带来整个网络的瘫痪。
  该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外，还会窃取用户密码。如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易，盗窃网上银行账号来做非法交易活动等，这是木马的惯用伎俩，给用户造成了很大的不便和巨大的经济损失。目前，已经发现一些用户密码被窃取的情况。
  这次大面积的木马病毒不仅会影响用户自己的上网和网络安全，还会波及整个单位，对学校、公司的网络运行和安全构成了严重的威胁。
欺骗成因和攻击方式
  该病毒主要通过ARP（Address Resolution Protocol，地址解析协议）欺骗实施攻击和破坏行为。
  它通过交换机的MAC地址学习机制，伪造网关。其原理是建立假的网关，让被它欺骗的计算机向假网关发送数据，而不是通过正常的路由器或交换机途径寻找网关，造成同一网关内的所有计算机无法访问网络。
  以校园网为例，ARP欺骗问题一般是由传奇外挂携带的ARP木马攻击引起的。当有同学在校园网内使用上述传奇外挂时，外挂携带的病毒会将该机器的MAC地址映射到网关的IP地址上，向局域网内大量发送ARP数据包，从而致使同一网段地址内的其他机器误将其作为网关。这就是为什么掉线时内网是互通的，计算机却不能上网的原因。
  还有的ARP欺骗是有一定时间限制的，这也是网络时断时续的原因。
检测进程
  方法一：
  同时按住键盘上的“Ctrl+Alt+Del”键，选择“任务管理器”，选中“进程”标签，察看其中是否有一个名为“MIR0.dat”进程。如果有，则说明已经中毒。
右键点击此进程后,选择“结束进程”。
  方法二：
  如果用户突然发现无法上网，可以通过如下方法验证是否中此木马病毒：
  （1）点“开始→运行”，输入cmd，再输入arp －d，回车。
  （2）重新尝试上网，若能短暂正常访问，则说明此次断网是受木马病毒影响。
  该病毒发作后，在系统进程列表中会有“MIR0.dat”这个进程存在，可通过上述方法一来查看。
定位ARP欺骗
  方法一：
  对于利用三层交换机设备接入校园网的单位，可以检查其三层交换机设备上的ARP表。如果发现有多个IP地址对应同一MAC地址，则说明此MAC地址对应的计算机很可能中了此木马病毒。
  然后可通过下连的二层交换机的转发表查到此MAC对应的交换机端口，从而定位出有问题的计算机，关闭此端口，通知用户查杀病毒结束后再开放端口。
  方法二：
  在局域网内通过交换机端口镜像进行抓包，凡大量发送ARP请求的均可能是本木马感染者。立即关闭端口，通过交换端口确定上网用户，通知用户查杀病毒后再开放端口。
  方法三：
  扫描本子网内的全部IP地址，然后再查ARP表。如果有一个IP地址对应的MAC与网关的MAC地址相同，那么这个IP地址和MAC地址就是中毒计算机的IP地址和MAC地址。
  方法四：
  检查网内感染“ARP欺骗”木马染毒的计算机。在“开始→程序→附件”菜单下调出“命令提示符”，输入并执行ipconfig命令。
  记录网关IP地址，即“Default Gateway”对应的值，例如“192.168.1.1”。再输入并执行arp －a命令，在“Internet Address”下找到上步记录的网关IP地址，记录其对应的物理地址，即“Physical Address”值，例如“00-01-02-03-04-05”。
  在网络正常时，这就是网关的正确物理地址。在网络受“ARP欺骗”木马影响而不正常时，它就是木马所在计算机的网卡物理地址。
处理方案
1.静态ARP绑定网关
  步骤一：
  在能正常上网时，进入MS-DOS窗口，输入命令：arp －a，查看网关的IP对应的正确MAC地址， 并将其记录下来。
  注意：如果已经不能上网，则先运行一次命令arp －d将arp缓存中的内容删空，计算机可暂时恢复上网（攻击如果不停止的话）。一旦能上网就立即将网络断掉（禁用网卡或拔掉网线），再运行arp －a。
  步骤二：
  如果计算机已经有网关的正确MAC地址，在不能上网只需手工将网关IP和正确的MAC地址绑定，即可确保计算机不再被欺骗攻击。
  要想手工绑定，可在MS-DOS窗口下运行以下命令：
  arp －s 网关IP 网关MAC
  例如：假设计算机所处网段的网关为192.168.1.1，本机地址为192.168.1.5，在计算机上运行arp －a后输出如下：
  [...]

随着Internet的迅速增长和要求唯一IP地址的无线设备的激增，IPv4开始有点力不从心了，而下一代协议IPv6的脚步声则越来越近了。目前，所面临的已经不是是否应当由IPv4转到IPv6的问题，而是何时转到IPv6的问题。随着IP地址需求量的指数增长，IPv4已经不再适用了。
　　各种任务数量的增长，推动了今天IPv4网络向IPv6网络的发展，人们所面临的问题是它们的长期合作和共存。许多技术将逐渐适应存在于现有IPv4网络上的新的IPv6应用，转换的主要要求有3个：既不中断IPv4服务，任何时候、任何地点可用IPv6服务，以及最低限度的运作成本、学习和支持。 　　IPv6的优点对IP地址日益增长的需要是IPv6发展的主要催化剂。据估计，仅在无线领域，需要接入Internet的移动电话、PDA和其它的无线设备就超过10亿个，而且每个设备都需要自己唯一的IP地址。数十亿个新的家庭Internet应用——从电视到冰箱再到电表，它们也将通过各种技术连接，而这些设备也都需要自己的IP地址。
　　以前，像MIT和AT&T都分配了A类IP网址。到今天，它们每一个都控制了160亿个以上的地址，而整个中国只拥有90亿个不连续的地址块。因此，如今申请IP地址的公司只能使用剩下的B类和C类IP网的地址部分了。IPv4拥有32比特的地址空间，而IPv6所拥有的地址空间则为128比特。
　　IPv6带来的并不仅仅是地址的扩展。它的自动配置或自动发现特性将淘汰需要大量人力的昂贵方法，这种方法是管理动态主机配置协议(DHCP)服务器的，而多数大型机构都利用这种服务器来管理它们的IPv4地址。IPv6将使用一种无国籍的自动配置方法，这种配置方法与一个接口ID相结合，例如机器现有的MAC地址，以及来自本地路由器的网络前缀等，以便为其分配IP地址而不是由DHCP服务器来分配。
　　IPv6也将提供一个对等网应用的基础设施，这个基础设施将允许使用端到端的全球寻址机制。这种设置将消除在一些大型企业网络边缘对网络地址转换(NAT)设备的需求，因为这些设备会减慢加密过程，而且对于VoIP、移动IP等应用效率很低。
　　IPv6的实施方案在IETF的下一代转换工作组(NGtrans WG)中，Cisco在IPv6基础设施的定义和配置中扮演了一个领导者的角色。Cisco的6Bone路由器是6Bone基础设施的一个关键部分，这个设施是一个建立于现有Internet上的IPv6的实验网络，它为IPv6的开展和实施提供了一个真实的实验平台。另外，Cisco还发布了支持新的IPv6特性的Cisco IOS 12.2(2)T，这个版本允许在适应期期间IPv4和IPv6两种协议共存。 　　
　　1.IPv6在IPv4核心网上建通道
　　许多数据封装技术在6Bone实验网络上使用已经多年了。这种技术将IPv6流量压缩到IPv4数据包内，并通过IPv4核心网或Internet来发送数据包。它只要求客户配置Cisco IOS入口和出口路由器，这要优于对整个网络范围内IP基础设施的升级。
　　2.IPv6的专用数据链路层
　　这些年来，通过发展帧中继和ATM等第二层技术，许多服务提供商已设计了用于数据服务的WAN和MAN。在这些基础设施上，通过配置ATM上的IPv6或挂接于IPv6路由器上的帧中继永久虚电路(PVC)来提供专用的IPv6服务。
　　这种方法的优点在于它隔离了IPv6和IPv4流量，因而如果在IPv6链接上发生了故障，就可以减小对IPv4网络的影响。
　　日本的IIJ公司已在日本及日本和美国之间建起了最大的IPv6主干网之一，并于2000年9月开始提供本地IPv6服务。IIJ直接通过专用的接入串行线来传输IPv6流量，它也开展了用于网络和服务器管理的IPv6数据中心服务。
　　3.使用MPLS的IPv6主干网
　　Cisco相信，随着将来IPv6流量的大量增长，多协议标记交换技术(MPLS)将成为ISP转向IPv6的一个最佳选择。这是因为它的开发成本更低，VPN配置更简单，而且还具有流量管理的能力。自2001年中期起，一半以上已配置了Cisco 12000 Internet路由器的客户，或者考虑或者已经配置了MPLS。
　　利用MPLS，客户就能更容易地扩展流量。由于MPLS路由器交换数据包是基于标记而不是基于地址查找的，因而带给硬件的负担就更小。利用MPLS进行转发并利用IPv6来传递应用，ISP就能在MPLS路径上发送IPv6。这种方法将使ISP得到与如今的ASIC交换相似的强大性能，却无须对硬件基础设施进行成本高昂的升级。
　　Cisco设计了一种称为6PE(IPv6 Provider Edge Router over MPLS)的特性来支持MPLS，这种特性将允许服务提供商在任何时间、任何地点将IPv6与MPLS网络相结合。6PE现在正处于开发之中，它将于2001年下半年发布。
　　双堆栈网络:从IPv4到IPv6在开展双堆栈网络时，主机同时运行两种协议，使应用一个一个地转向IPv6进行传输。它主要用于与IPv4和IPv6设备都进行通信的应用。双堆栈将在Cisco IOS软件平台上使用，以支持应用和Telnet、SNMP以及在IPv6传输上的其它协议等。对于ISP来说，双堆栈带来了很多优点。
　　1.管理并解决双控制面网络的故障。2.选择并配置内部网间路由协议(IGP)。这个协议包括一个综合协议，例如中间级系统到中间级系统协议，这个协议为IPv4和IPv6路由计算SPF(短径优先)；也包括用于IPv4的OSPFv2协议和用于IPv6的OSPFv3。3.完成全面的网络升级以得到IPv6对所有网络设备的支持。
　　这些网络设备或者仅是软件，或者同时包括硬件和软件，因为高速接口可能需要IPv6的硬件转发。Cisco方案提供了这种配置能力，但是要进行精密的计划和网络管理可能还需要在实施之前做更多的调查研究。
　　例如，Zama在西雅图、圣何塞、洛杉矶、香港、汉城和东京等地建立了IPv6的节点，并通过租用线路将它们连接。Zama使用了运行Cisco IOS 12.2T的Cisco 7200和Cisco 7500路由器，当IPv6可使用它的Cisco IOS版本时，它们就升级到Cisco 12000 Internet路由器和Catalyst交换器。
　　Zama计划实施双堆栈和NAT协议转换(NAT-PT)，NAT-PT是由IETF NGtrans WG所指定的。它们为早期用户提供了IPv6的商业级支持和网络服务，也在亚洲和北美的早期用户之间架起了一座桥梁。它们的网络能够传输本地的IPv6流量和IPv4流量。当需要在仅使用IPv4协议和仅使用IPv6协议的主机之间进行双向转换时，NAT-PT是一个很好的选择。NAT可与现有的Internet客户/服务器模式(服务器具有正式的IPv4地址，客户端在NAT设备之后)相匹配。Cisco IOS软件也为IPv4提供了实施NAT的一个强大工具，使它成为Cisco IPv6业务的一个关键组成部分。与IPv4使用的NAT不同，NAT-PT将成为转换到IPv6过程中的一个暂时的桥梁。
　　无线成为IPv6的第一个应用无线可能会成为IPv6的第一个“杀手”应用程序，这是由于在Internet的每个接入点，移动设备都需要一个全球范围的正式IP地址。例如，最近英国电信向RIPE-NCC申请3000万个IPv4地址以提供通用分组无线服务(GPRS)，因为英国目前已经拥有了一些IPv4地址。由于10亿个以上的用户都希望到2005年能够进行全球移动，所以都得到IPv4地址就不太容易了。
　　在2000年发布的3GPPP规范中，IPv6成了无线的第三代标准。到2002年，IPv6将进入无线IP多媒体子系统中，这个子系统包括将语音和数据拆分后送到网络中的路由器及服务器。这意味着新
的IPv6设备能对手持设备分配IPv6地址。
　　UMTS在其第5版规范中，要求在IP多媒体部分使用专用的IPv6，这个规范有望于2002年上半年发布。NTT DoCoMo今天已经拥有2000万个无线用户，它也正计划提供IPv6服务而不是利用双NAT层来提供服务。
　　在对IPv6进行了多年的早期测试并对其实施了某些应用之后，由IPv4转向IPv6获得了巨大的动力。IPv6将把人们带回到一个端到端的全球寻址的基础设施，消除了破坏这种性能的应用网关和NAT。对于处理大量增长的Cable、DSL、Ethernet及无线设备等在线设备来说，端到端的寻址变得重要起来。

一、 集成在路由器中的防火墙技术
　　1、 路由器IOS标准设备中的ACL技术
　　ACL即Access Control Lis t(访问控制列表)，简称Access List(访问列表)，它是后续所述的IOS Firewall Feature Set的基础，也是Cisco全线路由器统一界面的操作系统IOS(Internet Operation System，网间操作系统)标准配置的一部分。这就是说在购买了路由器后，ACL功能已经具备，不需要额外花钱去买。
　　2、 IOS Firewall Feature Set(IOS防火墙软件包)
　　IOS Firewall Feature Set是在ACL的基础上对安全控制的进一步提升，由名称可知，它是一套专门针对防火墙功能的附加软件包，可通过IOS升级获得，并且可以加载到多个Cisco路由器平台上。
　　目前防火墙软件包适用的路由器平台包括Cisco 1600、1700、2500、2600和3600，均属中、低端系列。对很多倾向与使用"all-in-one solution"(一体化解决方案)，力求简单化管理的中小企业用户来说，它能很大程度上满足需求。之所以不在高端设备上实施集成防火墙功能，这是为了避免影响大型网络的主干路由器的核心工作–数据转发。在这样的网络中，应当使用专用的防火墙设备。
　　Cisco IOS防火墙特征:
　　基于上下文的访问控制(CBAC)为先进应用程序提供基于应用程序的安全筛选并支持最新协议
　　Java能防止下载动机不纯的小应用程序
　　在现有功能基础上又添加了拒绝服务探测和预防功能，从而增加了保护
　　在探测到可疑行为后可向中央管理控制台实时发送警报和系统记录错误信息
　　TCP/UDP事务处理记录按源/目的地址和端口对跟踪用户访问
　　配置和管理特性与现有管理应用程序密切配合
二、 专用防火墙–PIX
　　PIX(Private Internet eXchange)属于四类防火墙中的第四种–软硬件结合的防火墙，它的设计是为了满足高级别的安全需求，以较好的性能价格比提供严密的、强有力的安全防范。除了具备第四类防火墙的共同特性，并囊括了IOS Firewall Feature Set的应有功能。
　　PIX成为Cisco在网络安全领域的旗舰产品已有一段历史了，它的软硬件结构也经历了较大的发展。现在的PIX有515和520两种型号(520系列容量大于515系列)，从原来的仅支持两个10M以太网接口，到10/100M以太网、令牌环网和FDDI的多介质、多端口(最多4个)应用;其专用操作系统从v5.0开始提供对 IPSec这一标准隧道技术的支持，使PIX能与更多的其它设备一起共同构筑起基于标准VPN连接。
　　Cisco的PIX Firewall能同时支持16，000多路TCP对话，并支持数万用户而不影响用户性能，在额定载荷下，PIX Firewall的运行速度为45Mbps，支持T3速度，这种速度比基于UNIX的防火墙快十倍。
　　主要特性:
　　保护方案基于适应性安全算法(ASA)，能提供任何其它防火墙都不能提供的最高安全保护
　　将获专利的"切入代理"特性能提供传统代理服务器无法匹敌的高性能
　　安装简单，维护方便，因而降低了购置成本
　　支持64路同时连接，企业发展后可扩充到16000路
　　透明支持所有通用TCP/IP Internet服务，如万维网(WWW)文件传输协议(FTP)、Telnet、Archie、Gopher和rlogin
　　支持多媒体数据类型，包括Progressive网络公司的Real Audio，Xing技术公司的Steamworks，White Pines公司腃USeeMe，Vocal Te公司的Internet Phone，VDOnet公司的VDOLive，Microsoft公司的NetShow和Uxtreme公司的Web Theater 2
　　支持H323兼容的视频会议应用，包括Intel的Internet Video Phone和Microsoft的NetMeeting
　　无需因安装而停止运行
　　无需升级主机或路由器
　　完全可以从未注册的内部主机访问外部Internet
　　能与基于Cisco IOS的路由器互操作
三、 两种防火墙技术的比较
　　IOS FIREWALL FEATURE SET PIX FIREWALL
　　网络规模 中小型网络，小于250节点的应用。 大型网络，可支持多于500用户的应用
　　工作平台 路由器IOS操作系统 专用PIX工作平台
　　性能 最高支持T1/E1(2M)线路 可支持多条T3/E3(45M)线路
　　工作原理 基于数据包过滤，核心控制为CBAC [...]

什么是PageRank(简称PR)：　　Google是全世界被使用的最多的搜索引擎，一个决定性的因素是它的优秀的搜索结果。搜索结果质量来源于PageRank，一个精密的排序网页文件等级的方式。PageRank是Google成功的绝对关键！PageRank基本的方法是：越是重要的文件A链接一个文件B，则这个文件B就越重要。　　PR与Google登录的关系：　　新提交的网站被Google收录大概需要两个星期，而在PR高分网站中给予链接将在2至3天内被Google自动收录。　　PR与Google更新的关系：　　网站在Google的搜索结果将显示网页部分内容，其内容被收录的新旧取决于PR分。高分将导致网站在2至3天内内容被收录，这就是新网站和PR高分网站链接容易被收录的原因。　　PR与搜索排名的关系：　　热门关键字排名前列的网站其PR值严重影响网站排名，PageRank的提高可有效提升你在Google中的页面排名！　　PR决定你的地位：　　如果你的网站没有大的流量，那么你就一定要有高的PR，否则很多大流量或高PR的网站是不会与你作链接的。访问者通过查看你的PR分，能得知你的网站是否有信用，是否热门。也就是说，没有合适的PR分，你将很困难将你的网站作出知名度。　　PR在中国：　　中国现在有一个网站的PR达到9，它就是新华网。知名公司搜狐、新浪、网易、百度PR=7。一般PR=5的网站也算是受欢迎的网站，PR=4的要差些。中国网站的PR普遍为2-3分。
 

IPTV将为宽带运营商和内容提供商注入新的活力。宽带运营商除了能给用户提供通讯和资讯方面的服务之外，通过IPTV能为用户提供丰富的、个性化的电视节目，对于吸引用户提高用户ARPU值来说都具有很大的意义，因此有专家认为中国已基本具备了大力发展IPTV的技术条件和市场条件。
1. IPTV业务概述
　　互联网和通信业务发展的更大潜力在于突破终端瓶颈，而电视机是最直接、最有潜力转化的家庭终端。IPTV即是这样一种利用电视作为宽带网络终端的极具发展潜力的业务。IPTV应用能有效地将电视、网络和PC三个领域结合在一起，充分提高了宽带的利用效率，有利宽带产业的理性繁荣。
　　在各厂家提供的IPTV解决方案中，人们更多地把目光集中在IPTV业务系统及家庭终端方面，承载网络的作用则被忽略了。并且，从目前来看，运营商仍然采用IP数据网络的建设及运营思路来开展IPTV业务，旧瓶装新酒，是否合适？我们是否需要重新审视IPTV承载网络的建设和运营思路呢？
2. 思科IPTV承载网解决方案
　　思科从多年前就预言网络及业务融合将是一种趋势，目前的IPTV业务恰恰可看作是融合网络中的一种关键应用。利用目前的宽带城域网开展IPTV业务，思科提出基于业务的监测与控制、网络品质量化及主动的运维机制、端到端的安全保障等“3＋1”的运营理念，帮助电信运营商更好的经营自己的网络。

2.1基于业务的监测与控制
　　随着IPTV等新型业务的开展，运营商必须提高对网络中传送业务的了解和控制。由于目前的网络管理工具及流量分析工具无法区分视频、VoIP、Web浏览、音乐下载、以及P2P流量等服务，因而不能保障单个业务的服务质量，也不能对其进行有效的控制。
　　思科服务控制平台SCP(Service Control Platform)，能够帮助运营商掌握网络中各种业务（如，P2P、视频流量等）对带宽的占用情况，从而依据一定的业务模型，对网络中的各种业务流量实施灵活的带宽分配策略，以保证IPTV业务得以健康有序的发展。
　　在Cisco 服务控制平台的帮助下，宽带运营商能够用全新的方法定义和提供宽带服务。运营商可以根据规定的策略，为每个用户以及每种应用提供特定的宽带服务，真正实现宽带服务个性化。
2.2 网络品质的量化及主动运维模式
• 利用CISCO IP SLA技术为运营商提供全面的服务质量参数检测与分析
　　当前宽带IP城域网的建设与维护中，对网络整体性能和服务能力的测量评估与长期统计往往成为网络运维与网络管理中被忽略的重要的一环。很多情况下，简单的排错和判断工具并不能提供足够和准确的参考数据，还需要准确和量化的数据以及一段时间内的历史基线统计才可以为运维提供强有力的帮助。
　　在开展IPTV业务的同时，我们需要考虑如何让传统的运维模式能够适应新型业务的需求，例如：如何定位网络的瓶颈点？如何能够实时、主动验证网络运营状况和精确测量网络端到端性能？如何能验证网络自身的服务水平和服务能力？这些问题都需要十分具体的关于网络性能的统计数字和历史记录，通过比较得出科学准确的结论。
　　即使网络中实施QOS以后，也并不意味着一劳永逸，因为IP网的流量和结构都会随着用户的变化而变化。要保证网络的质量，还需要对网络进行实时的监控，然后根据实际情况即使进行调整。否则，即使成功地实施了QOS也会因为网络实际情况的变化而造成部分用户业务质量下降。目前，思科在IOS中提供的SLA Agent功能可以帮助运营商通过网管软件实时地监测网络中任意两点间的时延、丢包率和抖动。
• 利用CISCO Netflow技术建立一套适合IPTV业务的流量模型分析机制
　　NetFlow现在是业界最主要的网络流量统计技术。Cisco路由和交换平台中的NetFlow服务可以提供网络流量统计功能。为了更好地运营IPTV业务，运营商可以利用CISCO Netflow技术对IPTV业务流量进行精确的统计和分析，建立一套完整的适合IPTV业务的流量模型分析机制。
　　通过上述网络服务质量及业务流量的实施监测和长期统计，运营商可以预先定位到网络中潜在的故障点，及时排除故障，从而减少用户投诉，提高用户满意度。
2.3 IPTV业务的安全保护
　　从安全性的角度来看，IPTV业务承载网不同于传统宽带网。它不但需要像传统宽带网一样防止网络病毒和网络攻击，同时对用户向网络发送的内容是否合法也一定要严格地控制，并对IDC中节目源进行保护。在保证IP网安全性方面，思科已经可以通过自防御网络战略，帮助运营商将网络从被动的防御，转为主动的防御。特别是在对DDOS攻击防护方面，CISCO 提供的解决方案能够有效的保护IPTV的业务服务器，业务管理平台不受DDOS攻击。
• 利用CISCO Guard 提供IPTV视频源的保护
　　Cisco Guard解决方案提供完整保护来防御各种DDoS攻击，甚至那些还未出现的DDOS攻击。以积极缓解性能为特色，快速检测攻击，从合法业务中分离出恶意数据包，Cisco Guard解决方案提出以秒计而不是以小时计的快速DDoS响应。该方案容易布署在关键路由器和交换机附近，并且不影响现存的网络部件的性能和可靠性。
　　Cisco Guard解决方案套件包括两个独立的组件——Cisco Detector和Cisco Guard，两部分协同工作，能为任何环境提供DDoS保护。
　　Cisco 监测器（CISCO Detector）：作为早期报警系统，Cisco检测器提供对最复杂DDoS攻击的深入分析，搜寻与“正常” 行为的偏差或DDoS攻击的基本行为。攻击被识别后，检测器发警报给Cisco保护器，提供详细的报告和具体警报来快速响应该威胁。例如，即使在没有超出全面界限的情况下，检测器也能观测到从单个源头来的UDP包速率超出了范围。
　　Cisco保护器(CISCO Guard)：Cisco保护器是Cisco DDoS解决方案套件的基石——它是一个高性能DDoS攻击缓解设备，保护IPTV业务中心来的数据资源。
　　当保护器被通知有一个目标处于被攻击状态（无论是来自Cisco检测器还是其它诸如入侵检测或防火墙的安全监测设备）时，指向目标的业务将被转移到与该目标设备相连的保护器。然后，业务将通过五个阶段的分析和过滤，以除去所有恶意业务使得好的数据包能不间断的继续传送。
　　保护器位于一个单独网络接口处的路由器或交换机附近，在不影响其他系统的数据业务流情况下实现按需保护。由于它的位置，保护器可同时保护多个可能的目标，包括路由器、Web服务器、DNS服务器、LAN和WAN带宽。
3. 总结
　　我们不难看到，在当前IPTV业务逐渐进入商用的阶段，针对IPTV的城域网优化势在必行。在进行这项工作时，我们不但要考虑对IPTV的支持，同时应该尽可能地保证网络具有足够的扩展性和丰富的特性，以保证将来很快就会面对的3G、NGN以及其他新业务。思科根据全球多年的IP承载网的建设经验，能够也十分愿意与我们中国的运营商一起打造中国下一代精品IP网。

起初， FTP并不是应用于IP网络上的协议，而是ARPANET网络中计算机间的文件传输协议， ARPANET是美国国防部组建的老网络，于1960～1980年使用。在那时， FTP的主要功能是在主机间高速可靠地传输文件。目前FTP仍然保持其可靠性，即使在今天，它还允许文件远程存取。这使得用户可以在某个系统上工作，而将文件存贮在别的系统。例如，如果某用户运行Web服务器，需要从远程主机上取得HTML文件和CGI程序在本机上工作，他需要从远程存储站点获取文件(远程站点也需安装Web服务器)。当用户完成工作后，可使用FTP将文件传回到Web服务器。采用这种方法，用户无需使用Telnet登录到远程主机进行工作，这样就使Web服务器的更新工作变得如此的轻松。
FTP是TCP/IP的一种具体应用，它工作在OSI模型的第七层， TCP模型的第四层上，即应用层，使用TCP传输而不是UDP，这样FTP客户在和服务器建立连接前就要经过一个被广为熟知的“三次握手”的过程，它带来的意义在于客户与服务器之间的连接是可靠的，而且是面向连接，为数据的传输提供了可靠的保证。
下面，让我们来看看，一个FTP客户在和服务器连接是怎么样的一个过程（以标准的FTP端口号为例）。首先，FTP并不像HTTP协议那样，只需要一个端口作为连接（HTTP的默认端口是80，FTP的默认端口是21），FTP需要2个端口，一个端口是作为控制连接端口,也就是21这个端口，用于发送指令给服务器以及等待服务器响应；另一个端口是数据传输端口,端口号为20（仅PORT模式），是用来建立数据传输通道的，主要有3个作用1) 从客户向服务器发送一个文件。2) 从服务器向客户发送一个文件。3) 从服务器向客户发送文件或目录列表。其次，FTP的连接模式有两种，PORT和PASV。PORT模式是一个主动模式，PASV是被动模式，这里都是相对于服务器而言的。为了让大家清楚的认识这两种模式，朗月繁星分别举例说明。
PORT模式当FTP客户以PORT模式连接服务器时，他动态的选择一个端口号（本次试验是6015）连接服务器的21端口，注意这个端口号一定是1024以上的，因为1024以前的端口都已经预先被定义好，被一些典型的服务使用，当然有的还没使用，保留给以后会用到这些端口的资源服务。当经过TCP的三次握手后，连接（控制信道）被建立（如图1和图2）。图1：FTP客户使用FTP命令建立于服务器的连接

图2：用netstat命令查看，控制信道被建立在客户机的6015和服务器的20端口
 
现在用户要列出服务器上的目录结构(使用ls或dir命令)，那么首先就要建立一个数据通道，因为只有数据通道才能传输目录和文件列表，此时用户会发出PORT指令告诉服务器连接自己的什么端口来建立一条数据通道（这个命令由控制信道发送给服务器），当服务器接到这一指令时，服务器会使用20端口连接用户在PORT指令中指定的端口号，用以发送目录的列表（如图3）。

图3：ls命令是一个交互命令，它会首先与服务器建立一个数据传输通道。经验证本次试验客户机使用6044端口
 
当完成这一操作时，FTP客户也许要下载一个文件，那么就会发出get指令，请注意，这时客户会再次发送PORT指令，告诉服务器连接他的哪个“新”端口，你可以先用netstat -na这个命令验证，上一次使用的6044已经处于TIME_WAIT状态(如图4)。

图4：使用netstat命令验证上一次使用ls命令建立的数据传输通道已经关闭
 
当这个新的数据传输通道建立后(在微软的系统中，客户端通常会使用连续的端口，也就是说这一次客户端会用6045这个端口)，就开始了文件传输的工作。
 
PASV模式
然而，当FTP客户以PASV模式连接服务器时，情况就有些不同了。在初始化连接这个过程即连接服务器这个过程和PORT模式是一样的，不同的是，当FTP客户发送ls、dir、get等这些要求数据返回的命令时，他不向服务器发送PORT指令而是发送PASV指令，在这个指令中，用户告诉服务器自己要连接服务器的某一个端口，如果这个服务器上的这个端口是空闲的可用的，那么服务器会返回ACK的确认信息，之后数据传输通道被建立并返回用户所要的信息（根据用户发送的指令，如ls、dir、get等）；如果服务器的这个端口被另一个资源所使用，那么服务器返回UNACK的信息，那么这时，FTP客户会再次发送PASV命令，这也就是所谓的连接建立的协商过程。为了验证这个过程我们不得不借助CUTEFTP Pro这个大家经常使用的FTP客户端软件，因为微软自带的FTP命令客户端，不支持PASV模式。虽然你可以使用QUOTE PASV这个命令强制使用PASV模式，但是当你用ls命令列出服务器目录列表，你会发现它还是使用PORT方式来连接服务器的。现在我们使用CUTEFTP Pro以PASV模式连接服务器（如图5），

图5：使用CUTEFTP Pro以PASV模式连接服务器
 
请注意连接LOG里有这样几句话：
 

 
其中，227 Entering Passive Mode (127,0,0,1,26,80).代表客户机使用PASV模式连接服务器的26×256+108=6764端口。（当然服务器要支持这种模式）125 Data connection already open; Transfer starting.说明服务器的这个端口可用，返回ACK信息。
 
再让我们看看用CUTEFTP Pro以PORT模式连接服务器的情况。其中在LOG里有这样的记录：
 

 
其中，PORT 127,0,0,1,28,37告诉服务器当收到这个PORT指令后，连接FTP客户的28×256+37=7205这个端口Accepting connection: 127.0.0.1:20 表示服务器接到指令后用20端口连接7205端口，而且被FTP客户接受。
 
在这两个例子中，请注意: PORT模式建立数据传输通道是由服务器端发起的，服务器使用20端口连接客户端的某一个大于1024的端口；在PASV模式中，数据传输的通道的建立是由FTP客户端发起的，他使用一个大于1024的端口连接服务器的1024以上的某一个端口。如果从C/S模型这个角度来说，PORT对于服务器来说是OUTBOUND，而PASV模式对于服务器是INBOUND，这一点请特别注意，尤其是在使用防火墙的企业里，比如使用微软的ISA Server 2000发布一个FTP服务器，这一点非常关键，如果设置错了，那么客户将无法连接。
最后，请注意在FTP客户连接服务器的整个过程中，控制信道是一直保持连接的，而数据传输通道是临时建立的。
在本文中，朗月繁星把重点放到了FTP的连接模式，没有涉及FTP的其他内容，比如FTP的文件类型（Type），格式控制（Format control）以及传输方式（Transmission mode）等。不过这些规范大家可能不需要花费过多的时间去了解，因为现在流行的FTP客户端都可以自动的选择正确的模式来处理，对于FTP服务器端通常也都做了一些限制，如下• 类型：ASCII或图像。• 格式控制：只允许非打印。• 结构：只允许文件结构。• 传输方式：只允许流方式至于这些内容，限于篇幅朗月繁星在这里就不想再介绍了。希望这篇文章能对大家有些帮助，特别是正在学习ISA Server的朋友和一些对FTP不很了解的朋友。