Croeso! Heddiw, byddwn yn dweud wrthych sut i wneud gosodiadau cychwynnol y porth post - Datrysiadau diogelwch e-bost Fortinet. Yn ystod yr erthygl, byddwn yn ystyried y cynllun y byddwn yn gweithio ag ef, byddwn yn perfformio'r ffurfweddiad , sy'n angenrheidiol ar gyfer derbyn a gwirio llythyrau, a hefyd yn profi ei berfformiad. Yn seiliedig ar ein profiad, gallwn ddweud yn ddiogel bod y broses yn syml iawn, a hyd yn oed ar ôl ychydig iawn o gyfluniad gallwch weld canlyniadau.
Gadewch i ni ddechrau gyda'r cynllun presennol. Fe'i dangosir yn y ffigur isod.
Ar y dde, gwelwn gyfrifiadur y defnyddiwr allanol, y byddwn yn anfon post ohono at y defnyddiwr ar y rhwydwaith mewnol. Mae cyfrifiadur y defnyddiwr, rheolydd parth gyda gweinydd DNS a gweinydd post wedi'u lleoli ar y rhwydwaith mewnol. Ar ymyl y rhwydwaith mae wal dân - FortiGate, a'i brif nodwedd yw cyfluniad anfon traffig SMTP a DNS ymlaen.
Gadewch i ni roi sylw arbennig i DNS.
Defnyddir dau gofnod DNS i gyfeirio e-bost ar y Rhyngrwyd - y cofnod A a'r cofnod MX. Yn nodweddiadol, mae'r cofnodion DNS hyn wedi'u ffurfweddu ar weinydd DNS cyhoeddus, ond oherwydd cyfyngiadau cynllun, rydym yn syml yn anfon DNS ymlaen trwy'r wal dân (hynny yw, mae gan y defnyddiwr allanol y cyfeiriad 10.10.30.210 wedi'i gofrestru fel y gweinydd DNS).
Mae cofnod MX yn gofnod sy'n cynnwys enw'r gweinydd post sy'n gwasanaethu'r parth, yn ogystal â blaenoriaeth y gweinydd post hwn. Yn ein hachos ni, mae'n edrych fel hyn: test.local -> mail.test.local 10.
Mae cofnod yn gofnod sy'n trosi enw parth yn gyfeiriad IP, mae gennym hwn: mail.test.local -> 10.10.30.210.
Pan fydd ein defnyddiwr allanol yn ceisio anfon e-bost i [e-bost wedi'i warchod], bydd yn holi ei weinydd DNS MX ar gyfer y cofnod parth test.local. Bydd ein gweinydd DNS yn ymateb gydag enw'r gweinydd post - mail.test.local. Nawr mae angen i'r defnyddiwr gael cyfeiriad IP y gweinydd hwn, felly mae'n cyrchu'r DNS eto ar gyfer y cofnod A ac yn derbyn y cyfeiriad IP 10.10.30.210 (ie, ei eto :) ). Gallwch anfon llythyr. Felly, mae'n ceisio sefydlu cysylltiad â'r cyfeiriad IP a dderbyniwyd ar borth 25. Gan ddefnyddio rheolau ar y wal dân, mae'r cysylltiad hwn yn cael ei anfon ymlaen at y gweinydd post.
Gadewch i ni wirio ymarferoldeb y post yn y cyflwr presennol y cynllun. I wneud hyn, byddwn yn defnyddio'r cyfleustodau swaks ar gyfrifiadur y defnyddiwr allanol. Gyda'i help, gallwch brofi perfformiad SMTP trwy anfon llythyr at y derbynnydd gyda set o baramedrau amrywiol. Yn flaenorol, mae defnyddiwr gyda blwch post eisoes wedi'i greu ar y gweinydd post [e-bost wedi'i warchod]. Gadewch i ni geisio anfon e-bost ato:
Nawr, gadewch i ni fynd i beiriant y defnyddiwr mewnol a gwnewch yn siŵr bod y llythyr wedi cyrraedd:
Daeth y llythyr mewn gwirionedd (mae wedi'i amlygu yn y rhestr). Felly mae'r gosodiad yn gweithio'n iawn. Mae'n bryd symud ymlaen i FortiMail. Gadewch i ni ychwanegu ein cynllun:
Gellir defnyddio FortiMail mewn tri dull:
- Gateway - mae'n gweithredu fel MTA cyflawn: mae'n cymryd drosodd yr holl bost, yn ei wirio, ac yna'n ei anfon ymlaen i'r gweinydd post;
- Tryloyw - neu mewn geiriau eraill, modd tryloyw. Mae wedi'i osod o flaen y gweinydd ac yn gwirio post sy'n dod i mewn ac yn mynd allan. Ar ôl hynny, mae'n ei drosglwyddo i'r gweinydd. Nid oes angen newidiadau i ffurfweddiad y rhwydwaith.
- Gweinydd - yn yr achos hwn, mae FortiMail yn weinydd post llawn gyda'r gallu i greu blychau post, derbyn ac anfon post, yn ogystal â swyddogaethau eraill.
Byddwn yn defnyddio FortiMail yn y modd Gateway. Gadewch i ni fynd i'r gosodiadau peiriant rhithwir. Mae mewngofnodi yn weinyddol, nid yw cyfrinair wedi'i osod. Pan fyddwch yn mewngofnodi gyntaf, rhaid i chi osod cyfrinair newydd.
Nawr, gadewch i ni ffurfweddu'r peiriant rhithwir i gael mynediad i'r rhyngwyneb gwe. Mae hefyd yn angenrheidiol bod gan y peiriant fynediad i'r Rhyngrwyd. Gadewch i ni sefydlu'r rhyngwyneb. Dim ond port1 sydd ei angen arnom. Ag ef, byddwn yn cysylltu â'r rhyngwyneb gwe, a bydd hefyd yn cael ei ddefnyddio i gael mynediad i'r Rhyngrwyd. Mae angen mynediad i'r rhyngrwyd i ddiweddaru gwasanaethau (llofnodion gwrthfeirws, ac ati). Ar gyfer cyfluniad, nodwch y gorchmynion:
ffurfweddu rhyngwyneb system
porth golygu 1
gosod ip 192.168.1.40 255.255.255.0
gosod allowaccess https http ssh ping
diwedd
Nawr, gadewch i ni sefydlu'r llwybr. I wneud hyn, rhowch y gorchmynion canlynol:
ffurfweddu llwybr system
golygu 1
porth gosod 192.168.1.1
gosod porthladd rhyngwyneb1
diwedd
Wrth fynd i mewn i orchmynion, gallwch ddefnyddio tabiau i osgoi eu teipio'n llawn. Hefyd, os gwnaethoch anghofio pa orchymyn ddylai fynd nesaf, gallwch ddefnyddio'r allwedd “?”.
Nawr, gadewch i ni wirio eich cysylltiad rhyngrwyd. I wneud hyn, ping DNS Google:
Fel y gwelwch, mae gennym y Rhyngrwyd. Mae'r gosodiadau cychwynnol sy'n benodol i bob dyfais Fortinet wedi'u cwblhau, nawr gallwch chi symud ymlaen i'r ffurfweddiad trwy'r rhyngwyneb gwe. I wneud hyn, agorwch y dudalen reoli:
Sylwch fod angen i chi ddilyn y ddolen yn y fformat /gweinyddu. Fel arall, ni fyddwch yn gallu cyrraedd y dudalen rheoli. Yn ddiofyn, mae'r dudalen yn y modd cyfluniad safonol. Ar gyfer gosodiadau mae angen modd Uwch. Gadewch i ni fynd i'r ddewislen admin-> Gweld a newid y modd i Uwch:
Nawr mae angen i ni lawrlwytho'r drwydded treial. Gallwch wneud hyn yn y ddewislen Gwybodaeth am y Drwydded → VM → Diweddariad:
Os nad oes gennych drwydded prawf, gallwch ofyn am un trwy gysylltu â .
Ar ôl mynd i mewn i'r drwydded, dylai'r ddyfais ailgychwyn. Yn y dyfodol, bydd yn dechrau tynnu diweddariadau o'i gronfeydd data o'r gweinyddwyr. Os na fydd hyn yn digwydd yn awtomatig, gallwch fynd i ddewislen System → FortiGuard a chlicio ar y botwm Update Now yn y tabiau Antivirus, Antispam.
Os nad yw hyn yn helpu, gallwch newid y porthladdoedd a ddefnyddir ar gyfer diweddariadau. Fel arfer ar ôl hynny mae pob trwydded yn ymddangos. Yn y diwedd dylai edrych fel hyn:
Gadewch i ni osod y parth amser cywir, bydd hyn yn ddefnyddiol wrth archwilio'r logiau. I wneud hyn, ewch i'r ddewislen System → Configuration:
Byddwn hefyd yn ffurfweddu DNS. Fel y prif weinydd DNS, byddwn yn sefydlu gweinydd DNS mewnol, ac fel copi wrth gefn, byddwn yn gadael y gweinydd DNS a ddarperir gan Fortinet.
Nawr, gadewch i ni symud ymlaen at y mwyaf diddorol. Fel y gallech fod wedi sylwi, yn ddiofyn mae'r ddyfais wedi'i gosod i'r modd Gateway. Felly nid oes angen i ni ei newid. Gadewch i ni fynd i'r maes Parth & Defnyddiwr → Parth. Gadewch i ni greu parth newydd y mae angen ei ddiogelu. Yma does ond angen i ni nodi'r enw parth a chyfeiriad y gweinydd post (gallwch hefyd nodi ei enw parth, yn ein hachos ni mail.test.local):
Nawr mae angen i ni ddarparu enw ar gyfer ein porth post. Bydd hwn yn cael ei ddefnyddio yn y cofnodion MX ac A, y bydd angen i ni eu newid yn ddiweddarach:
Mae'r eitemau Enw Gwesteiwr ac Enw Parth Lleol yn ffurfio'r FQDN, a ddefnyddir mewn cofnodion DNS. Yn ein hachos ni, FQDN = fortimail.test.local.
Nawr, gadewch i ni sefydlu'r rheol derbyn. Mae angen i bob e-bost sy'n dod o'r tu allan ac sy'n cael ei neilltuo i ddefnyddiwr yn y parth gael ei anfon ymlaen at y gweinydd post. I wneud hyn, ewch i'r ddewislen Polisi → Rheoli Mynediad. Dangosir gosodiad enghreifftiol isod:
Gadewch i ni edrych ar y tab Polisi Derbynnydd. Yma gallwch chi osod rhai rheolau ar gyfer gwirio negeseuon: os yw post yn dod o'r parth example1.com, mae angen i chi ei wirio gyda mecanweithiau sydd wedi'u ffurfweddu'n benodol ar gyfer y parth hwn. Mae rheol ddiofyn eisoes wedi'i gosod ar gyfer pob post, ac am y tro mae'n addas i ni. Gallwch weld y rheol hon yn y ffigur isod:
Ar y pwynt hwn, gellir ystyried bod y gosodiad ar FortiMail yn gyflawn. Mewn gwirionedd, mae yna lawer mwy o baramedrau posibl, ond os byddwn yn dechrau eu hystyried i gyd, gallem ysgrifennu llyfr :) A'n nod yw lansio FortiMail yn y modd prawf heb fawr o ymdrech.
Mae dau beth ar ôl - newid y cofnodion MX ac A, a hefyd newid y rheolau anfon porthladd ymlaen ar y wal dân.
Rhaid newid y cofnod MX test.local -> mail.test.local 10 i test.local -> fortimail.test.local 10. Ond fel arfer yn ystod cynlluniau peilot ychwanegir ail gofnod MX gyda blaenoriaeth uwch. Er enghraifft:
test.local -> mail.test.local 10
test.local -> fortimail.test.local 5
Gadewch imi eich atgoffa, po isaf yw rhif trefnol y gweinydd post yn y cofnod MX, yr uchaf yw ei flaenoriaeth.
Ni ellir newid cofnod, felly gadewch i ni greu un newydd: fortimail.test.local -> 10.10.30.210. Bydd y defnyddiwr allanol yn mynd i'r afael â 10.10.30.210 ar borthladd 25 a bydd y wal dân yn anfon y cysylltiad ymlaen i FortiMail.
Er mwyn newid y rheol anfon ymlaen ar FortiGate, mae angen i chi newid y cyfeiriad yn y gwrthrych IP Rhithwir cyfatebol:
Mae'r cyfan yn barod. Gadewch i ni wirio. Gadewch i ni anfon e-bost o gyfrifiadur y defnyddiwr allanol eto. Nawr, gadewch i ni fynd i FortiMail yn y ddewislen Monitro → Logiau. Yn y maes Hanes, gallwch weld cofnod bod y llythyr wedi ei dderbyn. I gael rhagor o wybodaeth, gallwch dde-glicio ar gofnod a dewis Manylion:
I gwblhau'r llun, gadewch i ni wirio a all FortiMail yn y ffurfweddiad presennol rwystro e-byst sy'n cynnwys sbam a firysau. I wneud hyn, gadewch i ni anfon firws eicar prawf ac e-bost prawf a geir yn un o'r cronfeydd data sbam (http://untroubled.org/spam/). Ar ôl hynny, gadewch i ni fynd yn ôl i'r ddewislen golwg log:
Fel y gallwn weld, llwyddwyd i adnabod sbam a llythyr gyda firws.
Mae'r cyfluniad hwn yn ddigonol i ddarparu amddiffyniad sylfaenol rhag firysau a sbam. Ond nid yw ymarferoldeb FortiMail yn gyfyngedig i hyn. I gael amddiffyniad mwy effeithiol, mae angen i chi astudio'r mecanweithiau sydd ar gael a'u haddasu i'ch anghenion. Yn y dyfodol, rydym yn bwriadu ymdrin â nodweddion eraill, mwy datblygedig y porth post hwn.
Os oes gennych unrhyw anawsterau neu gwestiynau ynghylch yr ateb, ysgrifennwch nhw yn y sylwadau, byddwn yn ceisio eu hateb yn brydlon.
Gallwch gyflwyno cais am drwydded brawf i brofi'r datrysiad .
Awdur: Alexey Nikulin. Peiriannydd Diogelwch Gwybodaeth Fortiservice.
Ffynhonnell: hab.com