JP2012164116A - メールサーバ保護システム及びメールサーバ保護方法 - Google Patents
メールサーバ保護システム及びメールサーバ保護方法 Download PDFInfo
- Publication number
- JP2012164116A JP2012164116A JP2011023777A JP2011023777A JP2012164116A JP 2012164116 A JP2012164116 A JP 2012164116A JP 2011023777 A JP2011023777 A JP 2011023777A JP 2011023777 A JP2011023777 A JP 2011023777A JP 2012164116 A JP2012164116 A JP 2012164116A
- Authority
- JP
- Japan
- Prior art keywords
- mail server
- threshold
- cpu
- output
- function
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
【課題】過負荷になる前にメールサーバ負荷を低減してサーバダウンを防止すること。
【解決手段】メールサーバ10に接続されたファイアウォール30の制御プログラム40に、CPU使用率の閾値とメモリ使用率閾値とCPUアイドル率閾値とから成るパフォーマンス閾値情報を設定ファイルとして格納させておき、メールサーバ10からパフォーマンス情報Bを取得する工程と、この取得したCPU使用率とメモリ使用率とCPUアイドル率の何れか1つがパフォーマンス閾値情報によって設定したCPU使用率閾値又はメモリ使用率閾値又はCPUアイドル率閾値を越えたと判定したとき、前記メールサーバ10に出力するパケットデータの出力を保留するように動作することによって、メールサーバが過負荷になる前にメールサーバに対する負荷を低減するメールサーバ保護システム。
【選択図】図1
【解決手段】メールサーバ10に接続されたファイアウォール30の制御プログラム40に、CPU使用率の閾値とメモリ使用率閾値とCPUアイドル率閾値とから成るパフォーマンス閾値情報を設定ファイルとして格納させておき、メールサーバ10からパフォーマンス情報Bを取得する工程と、この取得したCPU使用率とメモリ使用率とCPUアイドル率の何れか1つがパフォーマンス閾値情報によって設定したCPU使用率閾値又はメモリ使用率閾値又はCPUアイドル率閾値を越えたと判定したとき、前記メールサーバ10に出力するパケットデータの出力を保留するように動作することによって、メールサーバが過負荷になる前にメールサーバに対する負荷を低減するメールサーバ保護システム。
【選択図】図1
Description
本発明は、コンピュータシステムにおけるメールサーバのダウンを防止することができるメールサーバ保護システム及びメールサーバ保護方法に関する。
一般にネットワークを介したコンピュータシステムにおけるメールサーバは、メール容量を超える多量のメールを受信した場合、システム障害を起こしてサーバダウンする可能性があり、このサーバダウンを防止するための従来技術としては、特許文献1に記載された如く、メールサーバに受信中のアクセス量やメモリ容量やCPU使用率等のオンラインでのサーバに対する負荷を監視し、監視したメモリ容量等が閾値を越えた過負荷の場合に、サーバに対するアクセスを制限することが行われている。
前述の従来技術によるサーバダウン防止技術は、該当のメールサーバに対する実際の負荷量が所定の閾値を越えたときに過負荷に対する対応処理を実行するため、イントラネット上にあるメールサーバ等で処理能力の限界が来ており、頻繁なアクセスが継続して行われる場合、メールサーバダウンを引き起こす可能性があるという課題があった。
本発明の目的は、前述の従来技術による課題を解決しようとするものであり、サーバが過負荷になる前にサーバに対する負荷を低減してサーバダウンを防止することができるメールサーバ保護システム及びメールサーバ保護方法を提供することである。
前記目的を達成するために本発明は、メールのパケットデータを受信してメール送受信の制御を行う機能及びCPU使用率とメモリ使用率及びCPUアイドル割合を含むパフォーマンス情報を出力するパフォーマンス情報出力機能を有するメールサーバと、該メールサーバに対する外部からの不正アクセスを制限する不正アクセス制限機能及び前記メールサーバに対する前記パケットデータの出力を制御する出力制御機能を有するファイアウォールとを備えるコンピュータシステムのメールサーバ保護システムであって、
前記ファイアウォールが、前記CPU使用率閾値とメモリ使用率閾値とCPUアイドル率閾値とから成るパフォーマンス閾値情報を設定ファイルとして格納し、前記出力制御機能が、前記メールサーバからパフォーマンス情報出力機能によって出力されたパフォーマンス情報を取得する第1機能と、該第1機能によって取得したパフォーマンス情報に含まれるメールサーバCPU使用率とメモリ使用率とCPUアイドル割合の何れか1つが前記設定ファイルによって設定されたパフォーマンス閾値情報のCPU使用率閾値又はメモリ使用率閾値又はCPUアイドル割合閾値を越えたと判定したとき、メールサーバに出力するパケットデータの出力を保留する第2機能とを備えたことを第1の特徴とする。
前記ファイアウォールが、前記CPU使用率閾値とメモリ使用率閾値とCPUアイドル率閾値とから成るパフォーマンス閾値情報を設定ファイルとして格納し、前記出力制御機能が、前記メールサーバからパフォーマンス情報出力機能によって出力されたパフォーマンス情報を取得する第1機能と、該第1機能によって取得したパフォーマンス情報に含まれるメールサーバCPU使用率とメモリ使用率とCPUアイドル割合の何れか1つが前記設定ファイルによって設定されたパフォーマンス閾値情報のCPU使用率閾値又はメモリ使用率閾値又はCPUアイドル割合閾値を越えたと判定したとき、メールサーバに出力するパケットデータの出力を保留する第2機能とを備えたことを第1の特徴とする。
また、本発明は、メールのパケットデータを受信してメール送受信の制御を行う機能及びCPU使用率とメモリ使用率及びCPUアイドル割合を含むパフォーマンス情報を出力するパフォーマンス情報出力機能を有するメールサーバと、該メールサーバに対する外部からの不正アクセスを制限する不正アクセス制限機能及び前記メールサーバに対する前記パケットデータの出力を制御する出力制御機能を有するファイアウォールとを備え、該ファイアウォールが前記CPU使用率閾値とメモリ使用率閾値とCPUアイドル率閾値とから成るパフォーマンス閾値情報を設定ファイルとして格納するコンピュータシステムのメールサーバ保護方法であって、
前記出力制御機能に前記メールサーバからパフォーマンス情報出力機能によって出力されたパフォーマンス情報を取得させる第1工程と、該第1工程によって取得したパフォーマンス情報に含まれるメールサーバCPU使用率とメモリ使用率とCPUアイドル割合の何れか1つが前記設定ファイルによって設定されたパフォーマンス閾値情報のCPU使用率閾値又はメモリ使用率閾値又はCPUアイドル割合閾値を越えたと判定したとき、前記出力制御機能にメールサーバに出力するパケットデータの出力を保留する第2工程とを実行させることを第2の特徴とする。
前記出力制御機能に前記メールサーバからパフォーマンス情報出力機能によって出力されたパフォーマンス情報を取得させる第1工程と、該第1工程によって取得したパフォーマンス情報に含まれるメールサーバCPU使用率とメモリ使用率とCPUアイドル割合の何れか1つが前記設定ファイルによって設定されたパフォーマンス閾値情報のCPU使用率閾値又はメモリ使用率閾値又はCPUアイドル割合閾値を越えたと判定したとき、前記出力制御機能にメールサーバに出力するパケットデータの出力を保留する第2工程とを実行させることを第2の特徴とする。
本発明によるメールサーバ保護システム及びメールサーバ保護方法は、ファイアウォールに、CPU使用率の閾値とメモリ使用率閾値とCPUアイドル率閾値とから成るパフォーマンス閾値情報を設定ファイルとして格納しておき、前記メールサーバから前記パフォーマンス情報を取得し、この取得したパフォーマンス情報に含まれるCPU使用率又はメモリ使用率又はCPUアイドル率の何れか1つが前記パフォーマンス閾値情報のCPU使用率の閾値又はメモリ使用率閾値又はCPUアイドル率閾値を越えたと判定したとき、前記メールサーバに出力するパケットデータの出力を保留することによって、メールサーバが過負荷になる前にメールサーバに対する負荷を低減してサーバダウンを防止することができる。
以下、本発明によるメールサーバ保護システム及びメールサーバ保護方法の一実施形態を詳細に説明する。
本実施形態によるメールサーバ保護システムは、図1に示す如く、図示しない他のコンピュータシステムに接続されたインターネット20と、該インターネット20を介して送受される電子メールの送受信を制御するメールサーバ10と、前記インターネット20と接続され、制御プログラム40によって前記メールサーバ10に対するデータAの出力を制御する機能及び外部からの不正アクセスを防止する機能等を備えるファイアウォール30とから構成され、前記ファイアウォール30の制御プログラム40がメールサーバ10から収集したサーバのパフォーマンス情報Bに基づいて前記データAの出力を制御Cによって制御することによって、メールサーバ10のメールのパケットデータ送出前にパフォーマンス状態を検知し、メールサーバ10に対するパケット送信を制御(制限)するように構成されている。なお、前記パフォーマンス情報Bとは、メールサーバ10のディスク使用率とメモリ空き容量とCPUアイドル割合等であるが、これに限られるものではなく、前記制御プログラム40は、サーバ10に対するディスク使用率の閾値とメモリ空き容量の閾値とCPUアイドル割合の閾値を含むパフォーマンス閾値情報を、例えば図2(a)に示す如く、サーバ(SV001)のディスク使用率が80%以下、サーバ(SV001)のメモリ空き容量が1KB以上、サーバ(SV001)のCPUアイドル割合が20%以上の如く設定している。
本実施形態によるメールサーバ保護システムは、図1に示す如く、図示しない他のコンピュータシステムに接続されたインターネット20と、該インターネット20を介して送受される電子メールの送受信を制御するメールサーバ10と、前記インターネット20と接続され、制御プログラム40によって前記メールサーバ10に対するデータAの出力を制御する機能及び外部からの不正アクセスを防止する機能等を備えるファイアウォール30とから構成され、前記ファイアウォール30の制御プログラム40がメールサーバ10から収集したサーバのパフォーマンス情報Bに基づいて前記データAの出力を制御Cによって制御することによって、メールサーバ10のメールのパケットデータ送出前にパフォーマンス状態を検知し、メールサーバ10に対するパケット送信を制御(制限)するように構成されている。なお、前記パフォーマンス情報Bとは、メールサーバ10のディスク使用率とメモリ空き容量とCPUアイドル割合等であるが、これに限られるものではなく、前記制御プログラム40は、サーバ10に対するディスク使用率の閾値とメモリ空き容量の閾値とCPUアイドル割合の閾値を含むパフォーマンス閾値情報を、例えば図2(a)に示す如く、サーバ(SV001)のディスク使用率が80%以下、サーバ(SV001)のメモリ空き容量が1KB以上、サーバ(SV001)のCPUアイドル割合が20%以上の如く設定している。
このコンピュータシステムは、例えば、ファイアウォール30の処理能力がメールサーバ10の処理能力を越えた状態において、メールサーバ10が社内外への共用サービスを提供している場合、インターネット20を介した社外からの高トラフィックメール受信によって、社内メール業務が滞る可能性があり、本実施形態によるメールサーバ保護システムは、この社内メール業務の停滞を防止するため、ファイアウォール30(またはプロキシサーバ)に対して、任意のサーバパフォーマンスの情報収集機能及びパケット出力制御機能を行う処理を組み込むことによって、対象のメールサーバ10を常に(パフォーマンス上)余裕のある状態でサービスを提供することができ、サーバダウン等の可能性を著しく軽減することができる。
本実施形態によるメールサーバ保護システムは、図2に示した設定ファイルのみを対象とした場合、図3に示す如く、ファイアウォール30の制御プログラム40が、使用率が80%を越えるか否かを判定するステップ301と、該ステップ301においてディスク使用率が80%を越えないと判定したとき、メモリ空き容量が1KB未満か否かを判定する須02と、該ステップ302においてメモリ空き容量が1KB以上と判定したとき、CPUのアイドル割合が20%未満か否かを判定するステップ303と、該ステップ303においてCPUのアイドル割合が20%以上と判定したとき、メールのデータAのパケット転送(データ出力)を許可するステップ304と、前記ステップ301〜303の判定条件を満たさない場合にパケット転送を却下して保留するステップ305とを実行することによって、サーバのパフォーマンスが設定ファイルに設定したパフォーマンス項目の1つでも満たさないことを検出したとき、メールサーバ10が高負荷状態になる前にデータAのメールサーバ10に対する送出を制限してサーバダウンを防止することができる。なお、前記制御プログラム40がメールサーバ10のパフォーマンス情報がパフォーマンス閾値情報を下回ったと判定したときにはパケット転送を再開するものであり、この保留中のパケットデータを一時的に記憶するためのバッファ他の記憶手段をファイアウォールに設けることが望ましい。
また、本実施形態によるファイアウォール30の制御プログラム40は、設定ファイルを読み込んだ部分からの処理の場合、図4に示す如く、前記図2に示した設定ファイルの読み込みを行うステップ401と、バケットデータを受信したときにメールサーバ10が図3に示した3項目(ステップ301〜303)の判定条件を満たすか否か判定するステップ402とをステップ402からステップ404の間において条件数分(本実施形態では3回)繰り返し、条件を満たすと判定したとき、パケット転送の許可を行うステップ405と、条件を満たさないと判定したとき、パケット転送を許可しないステップS405とを実行することによって、メールサーバ10が高負荷状態になる前に受信するパケット量を制限することによってサーバダウンを防止することができる。
このように本実施形態によるメールサーバ保護システム及び方法は、ファイアウォール30に搭載した制御プログラム40がサーバ10からパフォーマンス(SNMP利用)等の情報を収集し、必要があればサーバ10に対して送信されようとしているパケットデータの送出を制限するように動作する。この制御プログラム40には、制御パラメータとしてパケット送付先のリソース使用状況(CPU、メモリ、アイドル割合等)に応じたパケット送信制限値を任意に設定することによって、サーバダウンが発生する前にパケットデータの送出を制限し、より安定したサービス提供を行うことができる。
本発明によれば、パケットデータ送付先のメールサーバに対する設定を行うことなく送付元サーバ(ファイァウオール等)側のみの設定によってトラフィック制御を行うことができ、送付元サーバが既存で送付先サーバをリプレイスしたとき、処理能力にアンバランスが生じている場合に、処理能力の平準化を簡単に実施でき、処理能力オーバを起因とする障害発生回避に対して特に有効な手段となる。
10 メールサーバ、20 インターネット、30 ファイアウォール、
40 制御プログラム
40 制御プログラム
Claims (2)
- メールのパケットデータを受信してメール送受信の制御を行う機能及びCPU使用率とメモリ使用率及びCPUアイドル割合を含むパフォーマンス情報を出力するパフォーマンス情報出力機能を有するメールサーバと、該メールサーバに対する外部からの不正アクセスを制限する不正アクセス制限機能及び前記メールサーバに対する前記パケットデータの出力を制御する出力制御機能を有するファイアウォールとを備えるコンピュータシステムのメールサーバ保護システムであって、
前記ファイアウォールが、前記CPU使用率閾値とメモリ使用率閾値とCPUアイドル率閾値とから成るパフォーマンス閾値情報を設定ファイルとして格納し、前記出力制御機能が、前記メールサーバからパフォーマンス情報出力機能によって出力されたパフォーマンス情報を取得する第1機能と、該第1機能によって取得したパフォーマンス情報に含まれるメールサーバCPU使用率とメモリ使用率とCPUアイドル割合の何れか1つが前記設定ファイルによって設定されたパフォーマンス閾値情報のCPU使用率閾値又はメモリ使用率閾値又はCPUアイドル割合閾値を越えたと判定したとき、メールサーバに出力するパケットデータの出力を保留する第2機能とを備えたことを特徴とするメールサーバ保護システム。 - メールのパケットデータを受信してメール送受信の制御を行う機能及びCPU使用率とメモリ使用率及びCPUアイドル割合を含むパフォーマンス情報を出力するパフォーマンス情報出力機能を有するメールサーバと、該メールサーバに対する外部からの不正アクセスを制限する不正アクセス制限機能及び前記メールサーバに対する前記パケットデータの出力を制御する出力制御機能を有するファイアウォールとを備え、該ファイアウォールが前記CPU使用率閾値とメモリ使用率閾値とCPUアイドル率閾値とから成るパフォーマンス閾値情報を設定ファイルとして格納するコンピュータシステムのメールサーバ保護方法であって、
前記出力制御機能に、前記メールサーバからパフォーマンス情報出力機能によって出力されたパフォーマンス情報を取得させる第1工程と、該第1工程によって取得したパフォーマンス情報に含まれるメールサーバCPU使用率とメモリ使用率とCPUアイドル割合の何れか1つが前記設定ファイルによって設定されたパフォーマンス閾値情報のCPU使用率閾値又はメモリ使用率閾値又はCPUアイドル割合閾値を越えたと判定したとき、メールサーバに出力するパケットデータの出力を保留する第2工程とを実行させることを特徴とするメールサーバ保護方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011023777A JP2012164116A (ja) | 2011-02-07 | 2011-02-07 | メールサーバ保護システム及びメールサーバ保護方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011023777A JP2012164116A (ja) | 2011-02-07 | 2011-02-07 | メールサーバ保護システム及びメールサーバ保護方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2012164116A true JP2012164116A (ja) | 2012-08-30 |
Family
ID=46843452
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011023777A Withdrawn JP2012164116A (ja) | 2011-02-07 | 2011-02-07 | メールサーバ保護システム及びメールサーバ保護方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2012164116A (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014075014A (ja) * | 2012-10-04 | 2014-04-24 | Digital Arts Inc | 電子ファイル送信システム、プログラム及び電子ファイルの送信方法 |
CN110347488A (zh) * | 2019-07-08 | 2019-10-18 | 北京字节跳动网络技术有限公司 | 一种服务处理方法、装置、终端设备及存储介质 |
-
2011
- 2011-02-07 JP JP2011023777A patent/JP2012164116A/ja not_active Withdrawn
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014075014A (ja) * | 2012-10-04 | 2014-04-24 | Digital Arts Inc | 電子ファイル送信システム、プログラム及び電子ファイルの送信方法 |
US10387663B2 (en) | 2012-10-04 | 2019-08-20 | Digital Arts Inc. | System, a method and a computer readable medium for transmitting an electronic file |
CN110347488A (zh) * | 2019-07-08 | 2019-10-18 | 北京字节跳动网络技术有限公司 | 一种服务处理方法、装置、终端设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8856913B2 (en) | Method and protection system for mitigating slow HTTP attacks using rate and time monitoring | |
RU2666289C1 (ru) | Система и способ для ограничения запросов доступа | |
US20160173383A1 (en) | Method and apparatus for priority flow and congestion control in ethernet network | |
CN105471933B (zh) | 服务器过载保护方法、服务器过载保护系统及服务器 | |
JP4058038B2 (ja) | 負荷監視装置および負荷監視方法 | |
EP1298883B1 (en) | Server computer protection apparatus, method, program product, and server computer apparatus | |
US20200213908A1 (en) | System and method of a pause watchdog | |
EP1592197B1 (en) | Network amplification attack mitigation | |
US8174980B2 (en) | Methods, systems, and computer readable media for dynamically rate limiting slowpath processing of exception packets | |
WO2008118608A1 (en) | File server pipeline with denial of service mitigation | |
US20140201354A1 (en) | Network traffic debugger | |
US20140297844A1 (en) | Application Traffic Prioritization | |
EP3266174B1 (en) | Uplink port oversubscription determination | |
JP2015534348A (ja) | パケット検査装置におけるデータユニット用の負荷分散の決定 | |
JP5957318B2 (ja) | ネットワークシステム、情報中継装置、及びパケット配信方法 | |
JP2012164116A (ja) | メールサーバ保護システム及びメールサーバ保護方法 | |
US9369485B2 (en) | TCP connection resource diversity using tunable geometric series | |
JP6310822B2 (ja) | 仮想マシンのリソース管理システム、方法及びプログラム | |
JP4257857B2 (ja) | データ処理システムおよびデータ処理方法 | |
US7500012B2 (en) | Method for controlling dataflow to a central system from distributed systems | |
JP2013016044A (ja) | ファイアウォール装置およびファイアウォール装置の制御方法 | |
JP5965720B2 (ja) | メールシステム | |
JP2013222407A (ja) | 流量制御機能を有するシステム | |
JP4973566B2 (ja) | ファイアウォール装置、アクセス制御分担方法、およびプログラム | |
JP2015008389A (ja) | 情報処理装置、情報処理方法、および、コンピュータプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20140513 |