久久久久国产精品www,综合久久无码,亚洲精品99久久久久中文字幕,无码伊人网Apdm

校園郵件系統(tǒng)安全解決方案
瀏覽:205 時(shí)間:2023-10-26

高校需求

隨著互聯(lián)網(wǎng)的快速發(fā)展,電子郵件已成為互聯(lián)網(wǎng)上使用最廣泛的服務(wù),也是日常工作和學(xué)習(xí)生活中必不可少的通信工具。對(duì)于大學(xué)和學(xué)院來(lái)說(shuō),電子郵件是學(xué)校與教師,學(xué)生,教師和學(xué)生互動(dòng)的重要途徑。目前,大多數(shù)高校都有自己的自建郵件系統(tǒng)。

高校自建郵件服務(wù)器具有明顯的特點(diǎn)。:提高辦公效率,增強(qiáng)數(shù)據(jù)安全性,改善單位形象;靈活的應(yīng)用和管理,可根據(jù)個(gè)人需求進(jìn)行調(diào)整和個(gè)性化。

然而,高校自建郵件系統(tǒng)存在維護(hù)管理中不容忽視的問(wèn)題,如:垃圾郵件泛濫,郵件攔截和篡改,與外國(guó)郵件的通信,郵件帳戶經(jīng)常被盜,成為垃圾郵件。轉(zhuǎn)學(xué)站等高校電子郵件系統(tǒng)的管理和維護(hù)與整個(gè)學(xué)校的形象,師生的日常工作和學(xué)習(xí)生活息息相關(guān)。

本文將從三個(gè)方面入手:系統(tǒng)安全性,數(shù)據(jù)安全性和帳戶安全性。以華東某大學(xué)郵件系統(tǒng)(以下簡(jiǎn)稱華高)為例,分析整體架構(gòu)部署,網(wǎng)絡(luò)架構(gòu)安全系統(tǒng)和數(shù)據(jù)災(zāi)難恢復(fù)。實(shí)施等方面,如何解決校園郵件系統(tǒng)的安全問(wèn)題。

系統(tǒng)安全性

郵件系統(tǒng)的核心部分是數(shù)據(jù)庫(kù),包括元數(shù)據(jù)(元數(shù)據(jù))和用戶數(shù)據(jù)UD(用戶數(shù)據(jù))。在系統(tǒng)結(jié)構(gòu)中,華高將MD和UD服務(wù)器放置在內(nèi)部網(wǎng)上,并切斷與物理結(jié)構(gòu)的外部直接連接。內(nèi)網(wǎng)用戶發(fā)送的認(rèn)證請(qǐng)求由接收服務(wù)器(如Web服務(wù)器或POP3服務(wù)器)表示,通過(guò)內(nèi)網(wǎng)專有協(xié)議訪問(wèn)用戶數(shù)據(jù)庫(kù),確保操作安全可靠。內(nèi)部和外部網(wǎng)絡(luò)的單獨(dú)結(jié)構(gòu)也減少了網(wǎng)絡(luò)流量負(fù)擔(dān)。圖1是Coremail郵件系統(tǒng)的框圖。

每個(gè)服務(wù)模塊都包括Heart-Beat同步信息端口和服務(wù)監(jiān)控功能。如果服務(wù)處理模塊出現(xiàn)故障,與之通信的模塊將自動(dòng)停止數(shù)據(jù)傳輸,防止服務(wù)模塊的性能因重復(fù)連接嘗試而降級(jí),保證系統(tǒng)其他模塊的正常運(yùn)行,不會(huì)造成連鎖由于服務(wù)模塊故障導(dǎo)致的連接。反應(yīng),直到Heart-Beat信息同步,然后自動(dòng)恢復(fù)數(shù)據(jù)通信;如果服務(wù)程序模塊因故障而脫機(jī),模塊將自動(dòng)重啟服務(wù)并保存服務(wù)運(yùn)行日志,方便管理員使用。檢查以增強(qiáng)系統(tǒng)操作的可靠性。

無(wú)限制,固定和開(kāi)放的通信端口是主機(jī)安全操作的隱患。一些黑客向通信端口發(fā)送大量非法數(shù)據(jù),導(dǎo)致服務(wù)癱瘓。因此,支持隱藏重要服務(wù)端口,及時(shí)修改端口號(hào),設(shè)置端口訪問(wèn)限制,自行開(kāi)發(fā)和設(shè)計(jì)主系統(tǒng)內(nèi)部服務(wù)通信協(xié)議,通過(guò)非超級(jí)用戶權(quán)限設(shè)計(jì)Coremail郵件系統(tǒng)的核心流程等等,是確保安全手段的Coremail郵件系統(tǒng)。

大型Coremail郵件系統(tǒng)的中心是數(shù)據(jù)庫(kù)。華高的中央數(shù)據(jù)庫(kù)使用關(guān)系數(shù)據(jù)庫(kù),使用Cache技術(shù)將常用的用戶登錄信息緩存到內(nèi)存中,提高系統(tǒng)訪問(wèn)數(shù)據(jù)庫(kù)的速度,減少中央數(shù)據(jù)庫(kù)的負(fù)擔(dān)。系統(tǒng)的安全性和可靠性。

數(shù)據(jù)安全性

華高的郵件投遞是以交易為導(dǎo)向的。為從MTA接收并傳遞到用戶郵箱的每封郵件生成事務(wù)日志。當(dāng)系統(tǒng)網(wǎng)絡(luò)出現(xiàn)故障,系統(tǒng)掉電等緊急情況發(fā)生時(shí),重啟服務(wù)程序后,將根據(jù)TransactionLog記錄完成郵件發(fā)送任務(wù),確保用戶的郵件數(shù)據(jù)不丟失。

傳統(tǒng)的郵件系統(tǒng)存儲(chǔ)方法是為每個(gè)用戶創(chuàng)建一個(gè)目錄,存儲(chǔ)配置信息和郵箱,郵件和文件。當(dāng)用戶量很大時(shí),幾乎不可能嘗試檢索用戶信息的備份。目錄結(jié)構(gòu)的大小和文件數(shù)量也會(huì)迅速降低磁盤I/O速度,增加系統(tǒng)開(kāi)銷,存儲(chǔ)碎片,最終導(dǎo)致文件系統(tǒng)錯(cuò)誤或磁盤損壞。華高將用戶郵箱數(shù)據(jù)存儲(chǔ)與郵件數(shù)據(jù)存儲(chǔ)完全分離:用戶的配置信息和郵件索引存儲(chǔ)在用戶數(shù)據(jù)數(shù)據(jù)庫(kù)中,用戶的郵件內(nèi)容存儲(chǔ)在郵件存儲(chǔ)中。同一用戶的郵件通常只存在于一個(gè)文件中,用戶只需修改用戶數(shù)據(jù)記錄即可讀取郵件目錄或傳輸郵件。這不僅降低了磁盤I/O速度,還將用戶信息與郵件分開(kāi),使MessageStorage和User Data的存儲(chǔ)分配更加靈活。多個(gè)郵件存儲(chǔ)和用戶數(shù)據(jù)之間的存儲(chǔ)負(fù)載已加權(quán)。參數(shù)按比例分配并根據(jù)需要進(jìn)行調(diào)整。例如:原來(lái)的MS1,MS2,權(quán)重設(shè)置為10:10,然后添加一個(gè)新的MS3,希望新郵件發(fā)送到MS3,你可以將權(quán)重參數(shù)改為5:5:10。

用戶注冊(cè),修改信息實(shí)時(shí)記錄在運(yùn)行數(shù)據(jù)庫(kù)和備份數(shù)據(jù)庫(kù)中。由于支持用戶帳戶數(shù)據(jù)庫(kù)的在線備份,如果正在運(yùn)行的數(shù)據(jù)庫(kù)出現(xiàn)故障,系統(tǒng)會(huì)自動(dòng)從備份數(shù)據(jù)庫(kù)中獲取用戶信息,以確保用戶可以登錄并發(fā)送和接收郵件。同時(shí),由于用戶帳戶數(shù)據(jù)容量小,可以進(jìn)行日常備份,備份時(shí)間短,恢復(fù)速度快。用戶的郵件數(shù)據(jù)存儲(chǔ)為文件。由于二級(jí)索引和多個(gè)郵件存儲(chǔ)在單個(gè)文件中,因此文件數(shù)量大大減少,郵件備份速度和恢復(fù)速度也提高。使用Sun Veritas文件系統(tǒng),您可以執(zhí)行文件系統(tǒng)的完全備份和增量備份。郵件數(shù)據(jù)還具有AutoRepair功能。啟用AutoRepair功能后,系統(tǒng)會(huì)在用戶登錄時(shí)自動(dòng)檢查用戶信息。在某些特殊情況下,例如丟失用戶的郵件索引,將重新生成郵件索引并使郵箱恢復(fù)正常。

賬號(hào)安全性

為了保護(hù)用戶的Webmail郵箱的登錄安全性,為用戶密碼設(shè)置啟用了弱密碼策略,并且可以強(qiáng)制執(zhí)行密碼強(qiáng)度級(jí)別以避免因?yàn)橛脩舻卿浢艽a過(guò)于簡(jiǎn)單而被猜到和破解。系統(tǒng)將密碼強(qiáng)度級(jí)別定義為四個(gè)級(jí)別:unrestricted,normal,intermediate和advanced。此外,還可以定義一些弱密碼,如11111,123456和相同的密碼。當(dāng)用戶登錄郵箱時(shí),會(huì)檢測(cè)到用戶密碼。如果密碼未達(dá)到相應(yīng)級(jí)別或與定義的弱密碼相同,則提示用戶更改密碼并跳轉(zhuǎn)到更改密碼界面;當(dāng)非法登錄密碼錯(cuò)誤一定次數(shù)時(shí),系統(tǒng)會(huì)自動(dòng)保護(hù),如通過(guò)圖形驗(yàn)證,避免黑客網(wǎng)絡(luò)密碼字典攻擊。這降低了惡意軟件猜測(cè)用戶密碼的可能性,并保護(hù)了Webmail郵箱的安全性。

由于Coremail郵件系統(tǒng)支持其他系統(tǒng)通過(guò)SMTP端口自動(dòng)發(fā)送郵件,因此當(dāng)使用SMTP交互式命令auth login驗(yàn)證USER和PASS時(shí),驗(yàn)證信息用于提高安全性并防止竊聽(tīng)。同時(shí),設(shè)置了SMTP認(rèn)證限制,當(dāng)驗(yàn)證失敗次數(shù)達(dá)到設(shè)定的次數(shù)時(shí),帳戶被鎖定。并通過(guò)檢測(cè)客戶端提交的cookie形式和登錄IP來(lái)防止諸如反射XSS攻擊。

華高通過(guò)支持SSL協(xié)議增強(qiáng)了用戶登錄密碼的安全性。 SSL(SecureSockets Layer)協(xié)議位于傳輸層TCP/IP協(xié)議和各種應(yīng)用層協(xié)議之間,使用加密數(shù)據(jù)加密技術(shù)確保數(shù)據(jù)在網(wǎng)絡(luò)傳輸過(guò)程中不被攔截和竊聽(tīng),從而改善數(shù)據(jù)傳輸。安全。在SSL中,數(shù)字簽名和數(shù)字證書可用于驗(yàn)證瀏覽器和Web服務(wù)器。華高已經(jīng)購(gòu)買了一些認(rèn)證機(jī)構(gòu),如GeoTrust的數(shù)字簽名和證書,以獲得全球CA認(rèn)證。 Coremail郵件系統(tǒng)通過(guò)SSL代理為各種通信(如Web,SMTP,POP3,IMAP服務(wù))提供SSL通信。用戶可以選擇在使用Web登錄時(shí)安全登錄,或使用支持SSL的客戶端(例如OutLook)和SSL代理。通訊。

整體架構(gòu)部署

整個(gè)結(jié)構(gòu)分為兩部分:主服務(wù)器和備用服務(wù)器分別放置在不同校園的兩個(gè)計(jì)算機(jī)房中,以提高安全性。為了防止各種不可預(yù)測(cè)的安全風(fēng)險(xiǎn),如火災(zāi)和停電。

整個(gè)郵件系統(tǒng)MUA分為兩個(gè)主要功能部分,它們部署在前端和后端服務(wù)器上。前端服務(wù)器在MUA中安裝SMTP/Webmail/POP3 /反垃圾郵件/防病毒等前端應(yīng)用模塊,主要提供登錄,發(fā)送和接收,過(guò)濾郵件功能,可以通過(guò)硬件加載設(shè)備平衡訪問(wèn)請(qǐng)求,并實(shí)現(xiàn)單點(diǎn)故障;后端服務(wù)器主要安裝Mysql數(shù)據(jù)庫(kù)等,用于存儲(chǔ)帳號(hào)數(shù)據(jù)和郵件數(shù)據(jù),實(shí)現(xiàn)用戶的郵件索引,郵件訪問(wèn)及其Cache。同時(shí),為了提高登錄速度和運(yùn)行效率,需要進(jìn)行負(fù)載均衡,因此每臺(tái)服務(wù)器需要兩臺(tái)以上的虛擬服務(wù)器。整體架構(gòu)如圖2所示。

前端功能和后端數(shù)據(jù)分開(kāi)部署,以提高系統(tǒng)運(yùn)行效率,實(shí)現(xiàn)資源分組。另一方面,根據(jù)實(shí)際情況進(jìn)行局部擴(kuò)展或全局?jǐn)U展是方便的。部分容量擴(kuò)展是為了按需提高單個(gè)服務(wù)器的單機(jī)處理性能,增加服務(wù)器資源,增加服務(wù)器或增加磁盤容量操作;綜合容量擴(kuò)展是增加整個(gè)系統(tǒng)的容量和處理性能,并根據(jù)系統(tǒng)開(kāi)發(fā)計(jì)劃增加服務(wù)器數(shù)量,或者為每個(gè)模塊添加服務(wù)器操作。

Coremail郵件系統(tǒng)部署在虛擬服務(wù)器上,虛擬機(jī)的安全管理和保護(hù)非常重要。虛擬機(jī)管理配置對(duì)VMware ESX和ESXi的保護(hù),例如配置審計(jì)跟蹤,深度防御以及對(duì)目錄的訪問(wèn)控制權(quán)限。 VMware ESX和ESXi通常具有四種網(wǎng)絡(luò)架構(gòu):連接管理工具的管理網(wǎng)絡(luò),為ILO和DRAC提供服務(wù)的控制網(wǎng)絡(luò),以及VMotion網(wǎng)絡(luò)和存儲(chǔ)網(wǎng)絡(luò)。對(duì)這四個(gè)網(wǎng)絡(luò)的任何訪問(wèn)都可能破壞VMware ESX和ESXi的運(yùn)行環(huán)境,因此為了更好地保護(hù)VMware ESX和ESXi,必須隔離管理網(wǎng)絡(luò)和其他環(huán)境(包括控制網(wǎng)絡(luò)),并嚴(yán)格控制管理網(wǎng)絡(luò)訪問(wèn);將虛擬中心和管理主機(jī)放置在管理網(wǎng)絡(luò)上并配置保護(hù);在ESXi管理設(shè)備和管理網(wǎng)絡(luò)之間配置防火墻。通過(guò)增強(qiáng)保護(hù)和連接管理來(lái)提高虛擬服務(wù)器的安全性,從而更好地保護(hù)VMware ESX和ESXi。

虛擬機(jī)的VMware VMotion技術(shù)支持兩臺(tái)正在運(yùn)行的服務(wù)器之間的實(shí)時(shí)遷移,無(wú)需停機(jī),從而大大提高了服務(wù)器可用性并確保了系統(tǒng)數(shù)據(jù)的完整性; VMotion會(huì)自動(dòng)優(yōu)化和分配存儲(chǔ)庫(kù)。允許管理員自動(dòng)和自動(dòng)地在存儲(chǔ)庫(kù)中分配虛擬機(jī),在不中斷業(yè)務(wù)操作的情況下執(zhí)行維護(hù);不需要停機(jī)時(shí)間;遷移發(fā)生在服務(wù)器出現(xiàn)故障或性能不佳之前。

每個(gè)VMware ESX服務(wù)器都配有一個(gè)HA代理,可以每五秒鐘連續(xù)檢測(cè)一次群集中服務(wù)主機(jī)的心跳。如果ESX主機(jī)在15秒后未發(fā)送心跳,則主機(jī)為默認(rèn)情況下,如果發(fā)生故障或與網(wǎng)絡(luò)連接出現(xiàn)問(wèn)題,則在該主機(jī)上運(yùn)行的虛擬機(jī)將自動(dòng)轉(zhuǎn)移到該主機(jī)上的其他主機(jī)。簇。 VMwareHA可以對(duì)群集中的多個(gè)ESX服務(wù)器進(jìn)行故障轉(zhuǎn)移,并且此類修復(fù)不會(huì)更改操作系統(tǒng)的狀態(tài)。此外,虛擬機(jī)中的任何正在進(jìn)行的業(yè)務(wù)都不會(huì)丟失,VMware HA的故障轉(zhuǎn)移幾乎完全透明,并且通常沒(méi)有停機(jī)風(fēng)險(xiǎn),從而提高了Coremail郵件系統(tǒng)不間斷運(yùn)行的可靠性。

網(wǎng)絡(luò)架構(gòu)安全保障

為了防止來(lái)自園區(qū)網(wǎng)和Internet的網(wǎng)絡(luò)攻擊,并提高郵件服務(wù)器的安全性,防火墻設(shè)備部署在服務(wù)器集群的前端。來(lái)自Internet和校園網(wǎng)的所有流量都通過(guò)防火墻設(shè)備。流量可以通過(guò)防火墻;同時(shí),入侵檢測(cè)和防御設(shè)備IDP在防火墻設(shè)備鏈路上串聯(lián)連接,不僅可以補(bǔ)充防火墻,還可以防止防火墻無(wú)法處理的服務(wù)器集群網(wǎng)絡(luò)內(nèi)部的攻擊。防火墻和IDP雙層保護(hù)為華高服務(wù)器集群提供了良好的網(wǎng)絡(luò)安全性。網(wǎng)絡(luò)架構(gòu)如圖3所示。

在圖3中,鏈路平衡和負(fù)載平衡設(shè)備被添加到網(wǎng)絡(luò)鏈路。 LinkProof連接電信,移動(dòng),中國(guó)聯(lián)通,中國(guó)和教育網(wǎng)絡(luò)的外部鏈路,并連接到核心交換機(jī)。核心路由器上啟用了前端郵件服務(wù)器的IP地址。使用AppDirector VIP進(jìn)行策略路由將域名授權(quán)記錄(例如MAILPOP3SMTPIMAPSPAM)指向LinkProof,LinkProof會(huì)對(duì)其進(jìn)行智能解析。因此,實(shí)現(xiàn)了鏈路平衡,并且每條線路連接的鏈路可以實(shí)現(xiàn)最佳的網(wǎng)絡(luò)安全性并減少校園網(wǎng)絡(luò)退出導(dǎo)致的系統(tǒng)故障。鏈路平衡和負(fù)載均衡都需要以透明模式配置,因?yàn)镃oremail郵件系統(tǒng)的源不會(huì)丟失源地址,否則垃圾郵件過(guò)濾策略將不會(huì)運(yùn)行。

增加均衡設(shè)備一方面提高了用戶的登錄速度和系統(tǒng)處理能力,另一方面提高了系統(tǒng)的安全性,確保系統(tǒng)在其中一個(gè)外部網(wǎng)絡(luò)斷開(kāi)連接時(shí)仍能正常運(yùn)行前端服務(wù)器的數(shù)量下降了。當(dāng)所有前端主機(jī)服務(wù)器無(wú)法正常工作且無(wú)法在一段時(shí)間內(nèi)恢復(fù)時(shí),可以通過(guò)負(fù)載均衡設(shè)備直接切換到園區(qū)2的備用,確保系統(tǒng)能夠以最短的時(shí)間恢復(fù)正常運(yùn)行。時(shí)間。

系統(tǒng)及數(shù)據(jù)容災(zāi)實(shí)現(xiàn)

為確保郵件數(shù)據(jù)災(zāi)難恢復(fù)的安全性,請(qǐng)?jiān)诜?wù)器上部署Double-Take實(shí)時(shí)備份和RecoverPoint磁盤連續(xù)性保護(hù)雙備份策略,以防止因系統(tǒng)問(wèn)題,服務(wù)器問(wèn)題和數(shù)據(jù)邏輯等不可預(yù)測(cè)的原因?qū)е掠脩羿]件數(shù)據(jù)丟失問(wèn)題。災(zāi)難恢復(fù)架構(gòu)如圖4所示。

Double-Take系統(tǒng)狀態(tài)和數(shù)據(jù)實(shí)時(shí)復(fù)制,本地或遠(yuǎn)程備份服務(wù)器映像,集成VSS/CDP,隨時(shí)從任意點(diǎn)恢復(fù),通過(guò)磁盤存儲(chǔ)進(jìn)行集中備份,按需恢復(fù):本地或遠(yuǎn)程恢復(fù),不同硬件恢復(fù)支持P2P,P2V,V2V和V2P。 RecoverPoint負(fù)責(zé)持續(xù)保護(hù)郵箱用戶數(shù)據(jù)CDP。它是一個(gè)存儲(chǔ)配件功能。原理是將鏡像卷復(fù)制到存儲(chǔ)上的生產(chǎn)卷,并使用日志還原鏡像卷中的數(shù)據(jù)。鏡像卷安裝在郵件生產(chǎn)服務(wù)器或單獨(dú)的恢復(fù)服務(wù)器上,并將還原的歷史數(shù)據(jù)再次導(dǎo)入到用戶在線數(shù)據(jù)中。有關(guān)Coremail郵件系統(tǒng)和災(zāi)難恢復(fù)開(kāi)關(guān)的故障,請(qǐng)參閱表1。

華高通過(guò)將前端應(yīng)用程序與后端數(shù)據(jù)分離,提高了系統(tǒng)的可擴(kuò)展性和管理靈活性;通過(guò)負(fù)載均衡,鏈路均衡和IPv4-IPv6雙??煽啃裕岣遅eb訪問(wèn)速度和電子郵件速度,提高系統(tǒng)安全性和災(zāi)難恢復(fù)能力;通過(guò)Coremail郵件系統(tǒng)部署SSL,cookie檢測(cè),IP檢測(cè)和弱密碼檢測(cè),提高用戶帳戶安全性;通過(guò)優(yōu)化過(guò)濾算法,與國(guó)內(nèi)外反垃圾郵件聯(lián)盟合作,建立垃圾郵件指紋數(shù)據(jù)庫(kù)速率,改善垃圾郵件過(guò)濾。