Welkom! Vandag sal ons jou vertel hoe om die aanvanklike instellings van die pospoort te maak - Fortinet-e-possekuriteitsoplossings. Tydens die artikel sal ons kyk na die uitleg waarmee ons sal werk en die konfigurasie uitvoer , wat nodig is om briewe te ontvang en na te gaan, en ons sal ook die prestasie daarvan toets. Op grond van ons ervaring kan ons met sekerheid sê dat die proses baie eenvoudig is, en selfs na minimale konfigurasie kan u resultate sien.
Kom ons begin met die huidige uitleg. Dit word in die figuur hieronder getoon.
Aan die regterkant sien ons die eksterne gebruiker se rekenaar, vanwaar ons e-pos aan die gebruiker op die interne netwerk sal stuur. Die interne netwerk bevat die gebruiker se rekenaar, 'n domeinbeheerder met 'n DNS-bediener wat daarop loop, en 'n posbediener. Aan die rand van die netwerk is daar 'n firewall - FortiGate, waarvan die hoofkenmerk is om SMTP- en DNS-verkeeraanstuur op te stel.
Kom ons gee spesiale aandag aan DNS.
Daar is twee DNS-rekords wat gebruik word om e-pos op die internet te stuur—die A-rekord en die MX-rekord. Tipies is hierdie DNS-rekords op 'n publieke DNS-bediener gekonfigureer, maar as gevolg van uitlegbeperkings stuur ons DNS eenvoudig deur die firewall aan (dit wil sê, die eksterne gebruiker het die adres 10.10.30.210 geregistreer as die DNS-bediener).
MX-rekord is 'n rekord wat die naam bevat van die posbediener wat die domein bedien, sowel as die prioriteit van hierdie posbediener. In ons geval lyk dit so: test.local -> mail.test.local 10.
'n Rekord is 'n rekord wat 'n domeinnaam in 'n IP-adres omskakel, vir ons is dit: mail.test.local -> 10.10.30.210.
Wanneer ons eksterne gebruiker probeer om 'n e-pos te stuur na [e-pos beskerm], sal dit sy DNS MX-bediener navraag doen vir die test.local-domeinrekord. Ons DNS-bediener sal reageer met die naam van die posbediener - mail.test.local. Nou moet die gebruiker die IP-adres van hierdie bediener kry, so hy kry weer toegang tot die DNS vir die A-rekord en ontvang die IP-adres 10.10.30.210 (ja, weer syne :) ). Jy kan 'n brief stuur. Daarom probeer dit om 'n verbinding tot stand te bring met die ontvangde IP-adres op poort 25. Deur reëls op die firewall te gebruik, word hierdie verbinding na die posbediener aangestuur.
Kom ons kyk na die funksionaliteit van die pos in die huidige toestand van die uitleg. Om dit te doen, sal ons die swaks-hulpprogram op die eksterne gebruiker se rekenaar gebruik. Met sy hulp kan u die prestasie van SMTP toets deur die ontvanger 'n brief met 'n stel verskillende parameters te stuur. Voorheen is 'n gebruiker met 'n posbus reeds op die posbediener geskep [e-pos beskerm]. Kom ons probeer om vir hom 'n brief te stuur:
Kom ons gaan nou na die interne gebruiker se masjien en maak seker dat die brief aangekom het:
Die brief het werklik aangekom (dit word in die lys uitgelig). Dit beteken die uitleg werk reg. Dit is nou die tyd om aan te beweeg na FortiMail. Kom ons voeg by ons uitleg:
FortiMail kan in drie modusse ontplooi word:
- Gateway - tree op as 'n volwaardige MTA: dit neem alle pos oor, kontroleer dit en stuur dit dan aan na die posbediener;
- Deursigtige - of met ander woorde, deursigtige modus. Dit word voor die bediener geïnstalleer en kontroleer inkomende en uitgaande pos. Daarna stuur dit dit na die bediener. Vereis nie veranderinge aan die netwerkkonfigurasie nie.
- Bediener - in hierdie geval is FortiMail 'n volwaardige posbediener met die vermoë om posbusse te skep, pos te ontvang en te stuur, asook ander funksionaliteit.
Ons sal FortiMail in Gateway-modus ontplooi. Kom ons gaan na die virtuele masjien-instellings. Aanmelding is admin, geen wagwoord is gespesifiseer nie. Wanneer jy vir die eerste keer aanmeld, moet jy 'n nuwe wagwoord instel.
Kom ons stel nou die virtuele masjien op om toegang tot die webkoppelvlak te kry. Dit is ook nodig dat die masjien internettoegang het. Kom ons stel die koppelvlak op. Ons benodig net port1. Met sy hulp sal ons aan die webkoppelvlak koppel, en dit sal ook gebruik word om toegang tot die internet te verkry. Internettoegang is nodig om dienste op te dateer (antivirushandtekeninge, ens.). Vir konfigurasie, voer die opdragte in:
konfigurasie stelsel koppelvlak
wysig poort 1
stel ip 192.168.1.40 255.255.255.0
stel toelaat toegang https http ssh ping
einde
Laat ons nou roetering instel. Om dit te doen moet jy die volgende opdragte invoer:
konfigurasie stelsel roete
wysig 1
stel poort 192.168.1.1
stel koppelvlakpoort1
einde
Wanneer u opdragte invoer, kan u oortjies gebruik om te verhoed dat u dit volledig tik. Ook, as jy vergeet watter opdrag volgende moet kom, kan jy die "?"-sleutel gebruik.
Kom ons gaan nou jou internetverbinding na. Om dit te doen, kom ons ping Google DNS:
Soos u kan sien, het ons nou die internet. Die aanvanklike instellings tipies vir alle Fortinet-toestelle is voltooi, en jy kan nou voortgaan met konfigurasie via die webkoppelvlak. Om dit te doen, maak die bestuursbladsy oop:
Neem asseblief kennis dat jy die skakel in die formaat moet volg /admin. Andersins sal jy nie toegang tot die bestuursbladsy hê nie. By verstek is die bladsy in standaardkonfigurasiemodus. Vir instellings benodig ons Gevorderde modus. Kom ons gaan na die admin->Bekyk-kieslys en skakel die modus oor na Gevorderd:
Nou moet ons die proeflisensie aflaai. Dit kan gedoen word in die kieslys Lisensie-inligting → VM → Update:
As jy nie 'n proeflisensie het nie, kan jy een aanvra deur te kontak .
Nadat u die lisensie ingevoer het, moet die toestel herlaai. In die toekoms sal dit begin om opdaterings na sy databasisse vanaf die bedieners te trek. As dit nie outomaties gebeur nie, kan jy na die Stelsel → FortiGuard-kieslys gaan en in die Antivirus, Antispam-oortjies klik op die Dateer Nou-knoppie op.
As dit nie help nie, kan jy die poorte wat vir opdaterings gebruik word, verander. Gewoonlik verskyn alle lisensies hierna. Op die ou end behoort dit so te lyk:
Kom ons stel die korrekte tydsone op, dit sal nuttig wees wanneer logboeke ondersoek word. Om dit te doen, gaan na die Stelsel → Konfigurasie-kieslys:
Ons sal ook DNS konfigureer. Ons sal die interne DNS-bediener opstel as die hoof DNS-bediener, en die DNS-bediener wat deur Fortinet verskaf word, as die rugsteun een laat.
Kom ons gaan nou oor na die prettige deel. Soos u dalk opgemerk het, is die toestel by verstek op Gateway-modus gestel. Daarom hoef ons dit nie te verander nie. Kom ons gaan na die Domain & User → Domain-veld. Kom ons skep 'n nuwe domein wat beskerm moet word. Hier hoef ons net die domeinnaam en posbedieneradres te spesifiseer (jy kan ook sy domeinnaam spesifiseer, in ons geval mail.test.local):
Nou moet ons 'n naam vir ons pospoort verskaf. Dit sal in die MX- en A-rekords gebruik word, wat ons later sal moet verander:
Vanuit die gasheernaam- en plaaslike domeinnaampunte word die FQDN saamgestel, wat in DNS-rekords gebruik word. In ons geval, FQDN = fortimail.test.local.
Kom ons stel nou die ontvangsreël op. Ons benodig alle e-posse wat van buite af kom en aan 'n gebruiker in die domein toegewys is om na die posbediener aangestuur te word. Om dit te doen, gaan na die kieslys Beleid → Toegangsbeheer. 'n Voorbeeldopstelling word hieronder getoon:
Kom ons kyk na die Ontvangerbeleid-oortjie. Hier kan jy sekere reëls vir die nagaan van briewe stel: as pos van die domein example1.com kom, moet jy dit nagaan met meganismes wat spesifiek vir hierdie domein opgestel is. Daar is reeds 'n verstekreël vir alle pos, en vir nou pas dit ons. U kan hierdie reël in die figuur hieronder sien:
Op hierdie stadium kan die opstelling op FortiMail as voltooi beskou word. Trouens, daar is baie meer moontlike parameters, maar as ons hulle almal begin oorweeg, kan ons 'n boek skryf :) En ons doel is om FortiMail in toetsmodus te begin met minimale moeite.
Daar is twee dinge oor - verander die MX- en A-rekords, en verander ook die poortaanstuurreëls op die firewall.
Die MX-rekord test.local -> mail.test.local 10 moet verander word na test.local -> fortimail.test.local 10. Maar gewoonlik word tydens vlieëniers 'n tweede MX-rekord met 'n hoër prioriteit bygevoeg. Byvoorbeeld:
test.local -> mail.test.local 10
test.local -> fortimail.test.local 5
Laat ek jou daaraan herinner dat hoe laer die rangnommer van die posbedienervoorkeur in die MX-rekord is, hoe hoër is die prioriteit daarvan.
En die inskrywing kan nie verander word nie, so ons sal net 'n nuwe een skep: fortimail.test.local -> 10.10.30.210. 'n Eksterne gebruiker sal die adres 10.10.30.210 op poort 25 kontak, en die brandmuur sal die verbinding na FortiMail aanstuur.
Om die aanstuurreël op FortiGate te verander, moet u die adres in die ooreenstemmende virtuele IP-objek verander:
Alles is gereed. Kom ons kyk. Kom ons stuur die brief weer vanaf die eksterne gebruiker se rekenaar. Kom ons gaan nou na FortiMail in die Monitor → Logs-kieslys. In die Geskiedenis-veld kan jy 'n rekord sien dat die brief aanvaar is. Vir meer inligting, kan jy regskliek op die inskrywing en kies Besonderhede:
Om die prentjie te voltooi, kom ons kyk of FortiMail in sy huidige opstelling e-posse wat strooipos en virusse bevat, kan blokkeer. Om dit te doen, stuur ons die eicar-toetsvirus en 'n toetsbrief wat in een van die strooiposdatabasisse gevind is (http://untroubled.org/spam/). Hierna gaan ons terug na die logbesigtigingskieslys:
Soos ons kan sien, is beide strooipos en 'n brief met 'n virus suksesvol geïdentifiseer.
Hierdie konfigurasie is voldoende om basiese beskerming teen virusse en strooipos te bied. Maar die funksionaliteit van FortiMail is nie daartoe beperk nie. Vir meer effektiewe beskerming moet jy die beskikbare meganismes bestudeer en dit aanpas om by jou behoeftes te pas. In die toekoms beplan ons om ander, meer gevorderde kenmerke van hierdie e-pospoort uit te lig.
As jy enige probleme of vrae het oor die oplossing, skryf dit in die kommentaar, ons sal probeer om dit dadelik te beantwoord.
U kan 'n versoek vir 'n proeflisensie indien om die oplossing te toets .
Skrywer: Alexey Nikulin. Inligtingsekuriteitsingenieur Fortiservice.
Bron: will.com