商丘做网站,商丘网站优化,商丘网络推广,商丘网络公司
当前位置:首页 > 新闻资讯 > 网络推广 >

校园邮件系统安全解决方案

发表日期:2018-11-07 07:37聚圣源浏览次数: 本文关键词:校园,邮件系统,安全,解决方案,高校,需求,

高校需求

随着互联网的飞速生长, E-mail(电子邮件)已成为Internet应用最为遍及的一项办事,也是小我私家一样平常事情、学习生存中的必备通讯东西。对付高校而言, 电子邮件更是学校与师生、西席与门生举行互动的紧张途径。现在大部门高校都有属于本身高校的、自主建立的邮件体系。

高校自建邮件办事用具有显着特点:进步办公服从、加强数据宁静、进步单元形象;应用及治理机动、可凭据小我私家所需举行相应的调解和本性化的设置等。

但高校自主建立的邮件体系在维护治理方面都存有不可忽视的题目, 如:垃圾邮件泛滥、邮件遭到拦截和窜改、与外洋邮件通讯的不流通性、邮件帐号常常被盗,成为垃圾邮件中转站等。高校电子邮件体系的治理维护干系到整个学校的形象、师生的一样平常事情学习生存。

本文将从体系宁静性、数据宁静性、账号宁静性三个方面动手,以华东地域某高校邮件体系(以下简称华高)为例,通太过析团体架构摆设、网络架构宁静保障体系及数据容灾实现等方面,论述校园邮件体系宁静该怎样办理。

体系宁静性

邮件体系的焦点部门是数据库,包罗元数据MD(meta data)和用户数据UD(userdata)部门。华高在体系布局大将MD和UD办事器置于校内网,从物理布局上断绝了与外部的直接接洽。内网用户发送的认证哀求,由吸收办事器(如webserver 或POP3 server)署理,通过内网专有协议访问用户数据库,确保操纵宁静可靠。表里网离开的布局也同时减轻了网络流量包袱。如图1是Coremail邮件体系的模块架构图。

校园邮件系统安全解决方案

每个办事模块都包罗Heart-Beat同步信息端口以及办事监督功效。若某一办事处置惩罚模块出现妨碍西昌,与之通讯的模块会主动制止数据传送,防备由于重复的毗连实验造成此办事模块的性能降落,包管体系其他模块的正常运作,不会由于妨碍办事模块产生连锁反响,待Heart-Beat信息同步正常,再主动规复数据通讯;同样若某办事步伐模块因妨碍下线,由于模块具有办事监督功效,将会主动重起办事,并生存办事运行日记,方便治理员查阅,加强体系运行的可靠性。

无穷制、牢固、公然的通讯端口是主机宁静运行的隐患,有些黑客向通讯端口发送大量非法数据,致使办事瘫痪。以是,支持潜伏紧张的办事端口、实时修改端标语、设置端口访问限定、重要体系内部办事通讯协议自行开辟计划、计划Coremail邮件体系的焦点历程由非超等用户权限运行等步伐,是Coremail邮件体系确保宁静的本领。

大范围Coremail邮件体系的中央是数据库,华高的中央数据库接纳干系数据库,并利用Cache技能,将常常利用的用户登录信息缓冲到内存中,进步体系访问数据库的速率,也低落中央数据库负载,进步体系的宁静可靠性。

数据宁静性

华高的邮件投递面向事件处置惩罚。每封邮件从MTA吸收投递到用户的邮箱中都产生Transaction Log。当有体系网络妨碍,体系断电等告急环境出现,办事步伐重新启动后,会凭据TransactionLog的记载重新完成邮件投递使命,包管用户的邮件数据不丢失。

传统邮件体系的存储要领,是为每个用户创建一个目次,存放设置信息和邮箱,一个邮件一个文件。在用户量很大时试图对用户信息举行检索备份险些不大概。巨大的目次布局和文件数目也敏捷低落了磁盘I/O速率,增长体系开销、存储碎片,终极导致文件体系错误或磁盘破坏。华高将用户信箱数据存储与邮件数据存储的彻底分散:将用户的设置信息和邮件索引存放在User Data数据库中,将用户的邮件内容存放在Message Storage中。同一用户的邮件通常仅存在一个文件中,而用户阅读邮件目次,或转移邮件,只是对User Data记载的修改。如许既淘汰了磁盘I/O进步了操纵速率,同时也由于将用户信息与邮件分散的布局,使MessageStorage和User Data的存储分派更为机动,多台Message Storage 和User Data间的存储负荷由权重参数分派比例,并凭据必要调解。如:原有MS1,MS2,权重设置为10:10,后增长新的MS3,盼望新的邮件多发到MS3上,可将权重参数改为5:5:10。

用户注册,修改信息都及时记载在运行数据库和备份数据库中。由于支持用户账号数据库联机热备份,若运行数据库出现妨碍,体系主动从备份数据库中取得用户信息,包管用户可以登录和收发邮件。同时,由于用户账号数据容量较小,可以举行逐日备份,备份时间短,规复速率快。用户邮件数据则以文件方法存放,由于接纳二级索引、多邮件存于单文件的方法,大大淘汰文件数目,增长邮件备份速率和规复速率。接纳Sun Veritas文件体系,可以对文件体系举行团体备份和增量备份。邮件数据还具有AutoRepair功效,打开AutoRepair功效,用户在登录时体系主动查抄用户信息,在某些特别环境下,如用户邮件索引丢失等,重新天生邮件索引,使邮箱规复到正常。

账号宁静性

为掩护用户Webmail邮箱的登录宁静,对用户暗码设置开启弱暗码计谋,可通过逼迫暗码强度品级,制止由于用户登录暗码过于简朴而被推测破解。体系界说暗码强度级别为不限定、平凡、中级、高级四个品级。别的可界说一些弱暗码如11111、123456、和账号雷同的暗码等,在用户登录邮箱时检测用户暗码,若暗码未到达对应级别或与界说的弱暗码雷同,则提示用户修改暗码并跳转到修改暗码界面;当非法登录暗码堕落到肯定次数时体系开启主动掩护,如通过图形验证,可制止遭受黑客网络暗码字典打击。由此来低落用户暗码被恶意软件推测获取的概率,掩护Webmail邮箱宁静。

由于Coremail邮件体系支持其他体系通过SMTP端口主动发送邮件,在发送SMTP交互下令auth login举行验证USER和PASS时通过加密验证信息进步宁静性,防备窃听。同时设定SMTP验证次数限定,当验证失败次数到达设定次数时对账号举行锁定操纵。以及通过对用户端提交的Cookies表单和登录IP举行检测,以防备如反射式XSS打击等。

华高通过支持SSL协议加强用户登录暗码的宁静性。SSL(SecureSockets Layer宁静套接层)协议位于传输层TCP/IP协议与种种应用层协议之间,使用Encryption数据加密技能,确保数据在网络传输历程中不会被截取及窃听,进步数据传输历程中的宁静性。SSL中通过数字署名和数字证书可实现欣赏器和Web办事器两边的身份验证,华高购置一些认证机构如GeoTrust的数字署名和证书得到了环球CA认证。Coremail邮件体系通过SSL Proxy提供多种通讯(如Web、SMTP,POP3,IMAP办事)的SSL通讯,用户可以在Web登录时选择宁静登录大概利用具有SSL通讯本领的客户端(如OutLook)和SSL Proxy通讯。

团体架构摆设

整个架构分为主备两个部门,为进步宁静性将主备办事器分别置放在差别校区的两个机房,以防备着火、停电等大范畴不可预计的宁静隐患。

整个邮件体系MUA被分成两个重要功效部门,分别摆设在前端和后端办事器上,前端办事器安装MUA中的SMTP/Webmail/POP3/Anti-spam/Anti-virus等前端应用模块,重要提供登录、收发、过滤邮件功效,可以通过硬件负载装备平衡访问哀求,同时实现了单点妨碍;后端办事器重要安装Mysql数据库等,用来存储账号数据和邮件数据,实现用户的邮件索引、邮件存取及其Cache。同时为进步登录速率和运行服从,必要做负载平衡,因此各必要2台以上的假造办事器。团体架构如图2所示。

校园邮件系统安全解决方案

前端功效和后端数据离开摆设一方面进步体系运行服从,实现资源分组;另一方面方便凭据现实环境举行局部扩容或全局扩容。局部扩容是按需进步个体办事器的单机处置惩罚性能,举行增长办事器资源、增长办事器或增长磁盘容量操纵;全面扩容是为进步整个体系的容量和处置惩罚性能,举行根据体系生长筹划,批量增长办事器,或为各个模块都增长办事器的操纵。

Coremail邮件体系摆设在假造办事器上,对假造机的宁静治理和防护将非常紧张。假造机治理上设置对VMware ESX 和ESXi的掩护,如设置审计迹、深度防备、对一个目次的访问控制权限等。VMware ESX和ESXi通常有四种网络架构:把治理东西相互毗连起来的治理网、为ILO和DRAC等提供办事的控制网、VMotion网和存储网。对付这四个网络的任何访问都大概粉碎到VMware ESX 和ESXi的运行情况,因此为更好地掩护VMware ESX 和ESXi需做到断绝治理网和别的的情况(包罗控制网),并严酷控制对治理网络的访问;将假造中央和治理主机安排在治理网并设置防护;在ESXi治理装备和治理网之间设置防火墙。通过加强监控和毗连治理的本领更好地掩护VMwareESX和ESXi,增长假造办事器的宁静性。

假造机的VMware VMotion技能可以在两台正在运行的办事器之间举行及时迁徙,具有零停机性能,如许将大幅度进步办事器的可用性,包管体系数据的完备性;VMotion可以或许主动优化和分派资源库,答应治理员在资源库中不停地主动分派假造机、在不停止业务运作的环境下举行各项维修事情;不必要预先设定停机时间;在办事器产生妨碍大概体现不佳之前,举行迁徙。

每一台VMware ESX办事器配有一个HA署理,连续不停地每隔五秒检测集群中办事主机的心跳信号,若某台ESX主机在一连15秒后都还没有发出心跳信号,那么该主机就被默以为产生了妨碍大概与网络的毗连出现了题目,这时该主机上运行的假造机就会主动被转移到聚集中的其他主机。VMwareHA可以或许对一个聚集中的多台ESX办事器举行妨碍转移,如许的修复并不会改变操纵体系的状态。别的,假造机中任何正在举行的业务也不会丢失,VMware HA的妨碍转移险些完全透明的,一样平常不会出现任何停机的伤害,进步了Coremail邮件体系不中断运行的可靠性。

网络架构宁静保障

为防备来自校园网内部及Internet的网络打击,进步邮件办事器的宁静性能,在办事器集群前端摆设了防火墙装备,全部来自Internet和校园网的流量均颠末防火墙装备,通过设置宁静计谋,包管只有颠末授权的流量才可以通过防火墙;同时在防火墙装备链路上串联了入侵检测和防备装备IDP,不但可以与防火墙实现上风互补,同时还能防备防火墙无法处置惩罚的办事器集群网络内部的打击。防火墙和IDP双层防护,为华高办事器集群提供了精良的网络宁静保障。网络架构如图3所示。

校园邮件系统安全解决方案

图3中网络链路上还添加链路平衡和负载平衡装备,LinkProof外接电信、移动、联通、华数及教科网各条链路,内接焦点互换机,焦点路由器上启用针对前端邮件办事器IP地点和AppDirector VIP的计谋路由将MAIL\POP3\SMTP\IMAP\SPAM等域名授权记载指向LinkProof,由LinkProof实现智能剖析。由此实现链路平衡,各条线路链接上来的链路均能到达最好网络保障,并低落由于某条校园网出口造成的体系妨碍。链路平衡和负载平衡都必要设置为透传模式,由于Coremail邮件体系的邮件泉源不能失去源地点,不然将无法运行垃圾邮件过滤计谋。

增长平衡装备一方面进步了用户的登录速率和体系处置惩罚本领,另一方面进步了体系的宁静性,确保在外部某一条网络断掉大概某一台前端办事器down时体系仍能正常运行。当全部前端主机办事器都无法正常事情且不能在段时间内规复时,可以或许通过负载平衡装备直接切换到校区二的备机,保障在最短时间内规复体系正常运行。

体系及数据容灾实现

为保障邮件数据容灾宁静性在办事器上摆设Double-Take及时备份和RecoverPoint磁盘一连性掩护双重备份计谋,防备由于体系题目、办事器题目、数据逻辑题目等不可猜测缘故原由导致的用户邮件数据丢失。容灾架构如图4所示。

校园邮件系统安全解决方案

Double-Take体系状态与数据的及时复制、当地或长途备份办事器镜像、集成VSS/CDP,随时对恣意点举行规复、通过一个磁盘存储提供会合备份、按需规复:当地或长途规复、差别硬件规复、支持P2P,P2V,V2V与V2P。RecoverPoint卖力邮箱用户数据CDP一连掩护,是存储隶属功效,原理是在存储上对生产卷复制镜像卷,共同日记在镜像卷还原数据。镜像卷挂在邮件生产办事器或单独规复办事器上,被规复汗青数据再次导入用户在线数据。Coremail邮件体系出现妨碍及灾备切换环境见表1。

校园邮件系统安全解决方案

华高通过将前端应用与后端数据分散进步的体系扩容以及治理的机动性;通过负载平衡、链路平衡、IPv4-IPv6双栈进步Web访问速率和收发邮件速率、进步体系宁静性与容灾的可靠性;通过Coremail邮件体系摆设SSL、Cookies检测、IP检测以及弱暗码检测等进步用户账号宁静性;通过优化过滤算法,并同海内外反垃圾同盟互助创建垃圾邮件指纹库来进步垃圾邮件过滤率。

如没特殊注明,文章均来自网络! 转载请注明来自:http://www.jushengyuan.com.cn/news/wltg/11381.html

网站设计案例推荐

热门文章

江小白年度广告合集|一款凭文...

我是江小白,生活很简单,江小白这样一瓶网红白酒,在我们中国这么多年的酒文化之中短时间内异军突起,能在众多好酒中占领一个属于自己的山头,和它的文案是密不可分的。 今天...

日期:2018-01-05 浏览次数:1075

商丘网络营销:最、最、最实用...

说起营销插件,大家都知道它们的强大功能,可能最先想到的无非是大转盘、红包、刮刮卡、微助力、微接力等等,但BAOCMS的码农哥哥们不仅仅只开发了这些插件哦,还有更多更实用的...

日期:2018-05-27 浏览次数:637

“大神”告诉你 做百度知道推广...

百度知道在搜索引擎里占有重要的位置。几乎每一个关键词都有知道的身影。但是百度的更新频率很快。就比如百度知道,起初是可以随便留链接的。 到后来留连接越来越困难,所以很...

日期:2018-09-05 浏览次数:423

商丘58同城:如何利用分类信息平...

什么是分类信息网推广?知道58同城与赶集网就明白什么是分类信息网了。 今天,聚圣源网络为大家带来的是分类信息网推广的要点与注意事项。希望对大家有所帮助。 一、什么是分类...

日期:2018-08-12 浏览次数:249

商丘网络营销:经常被寻问到这网...

商丘网络营销:经常被寻问到这网络营销到底怎么定义? 这个问题问起来张嘴一说即可,但是这个回答的话,就有点复杂广泛了; 网络营销这个小关认为就是一个概念: 1、真正的了解...

日期:2018-08-12 浏览次数:230

相关文章
随机推荐

王通:快速成交的秘诀免费分享...

谈谈互联网推广:从了解用户开...

【柘城网站优化】广告主齐聚的...

了解软文推广具体收费标准...

微数网络:搜索引擎营销变革 ...

如何利用QQ群 一个月裂变引流成...