Byenvini! Jodi a nou pral di w ki jan yo fè premye paramèt pòtay lapòs la – Solisyon sekirite imel Fortinet. Pandan atik la nou pral gade nan layout a nou pral travay ak fè konfigirasyon an , nesesè pou resevwa ak tcheke lèt, epi nou pral teste pèfòmans li tou. Ki baze sou eksperyans nou an, nou ka san danje di ke pwosesis la se trè senp, e menm apre konfigirasyon minim ou ka wè rezilta yo.
Ann kòmanse ak layout aktyèl la. Li montre nan figi ki anba a.
Sou bò dwat la nou wè òdinatè itilizatè ekstèn lan, ki soti nan ki nou pral voye lapòs bay itilizatè a sou rezo entèn la. Rezo entèn la gen òdinatè itilizatè a, yon kontwolè domèn ak yon sèvè DNS k ap kouri sou li, ak yon sèvè lapòs. Nan kwen an nan rezo a gen yon firewall - FortiGate, karakteristik prensipal la nan ki se konfigirasyon SMTP ak DNS trafik voye.
Ann peye atansyon espesyal sou DNS.
Gen de dosye DNS yo itilize pou fè imel sou Entènèt—dosye A ak dosye MX. Tipikman, dosye DNS sa yo konfigirasyon sou yon sèvè DNS piblik, men akòz limit layout, nou tou senpleman voye DNS atravè firewall la (ki se, itilizatè ekstèn lan gen adrès 10.10.30.210 anrejistre kòm sèvè DNS).
Dosye MX se yon dosye ki genyen non sèvè lapòs k ap sèvi domèn nan, ansanm ak priyorite sèvè lapòs sa a. Nan ka nou an li sanble sa a: test.local -> mail.test.local 10.
Yon dosye se yon dosye ki konvèti yon non domèn nan yon adrès IP, pou nou se: mail.test.local -> 10.10.30.210.
Lè itilizatè ekstèn nou an ap eseye voye yon imèl bay [imèl pwoteje], li pral mande sèvè DNS MX li pou dosye domèn test.local. Sèvè DNS nou an pral reponn ak non sèvè lapòs la - mail.test.local. Koulye a, itilizatè a bezwen jwenn adrès IP nan sèvè sa a, kidonk li ankò aksè DNS la pou dosye A epi li resevwa adrès IP 10.10.30.210 (wi, li ankò :) ). Ou ka voye yon lèt. Se poutèt sa, li eseye etabli yon koneksyon ak adrès IP resevwa a sou pò 25. Sèvi ak règ sou firewall la, koneksyon sa a voye bay sèvè lapòs la.
Ann tcheke fonksyonalite lapòs la nan eta aktyèl la nan layout la. Pou fè sa, nou pral sèvi ak sèvis piblik swaks sou òdinatè itilizatè ekstèn lan. Avèk èd li, ou ka teste pèfòmans SMTP lè w voye moun k ap resevwa a yon lèt ak yon seri paramèt divès kalite. Anvan sa, yon itilizatè ki gen yon bwat lèt te deja kreye sou sèvè lapòs la [imèl pwoteje]. Ann eseye voye yon lèt pou li:
Koulye a, ann ale nan machin itilizatè entèn la epi asire w ke lèt la te rive:
Lèt la aktyèlman te rive (li make nan lis la). Sa vle di Layout la ap travay kòrèkteman. Kounye a se tan pou w ale nan FortiMail. Ann ajoute nan layout nou an:
FortiMail ka deplwaye nan twa mòd:
- Gateway - aji kòm yon MTA konplè: li pran sou tout lapòs, tcheke li, epi answit voye li nan sèvè lapòs la;
- Transparan - oswa nan lòt mo, mòd transparan. Li enstale devan sèvè a epi tcheke lapòs k ap rantre ak sòtan. Apre sa, li transmèt li nan sèvè a. Pa mande pou chanjman nan konfigirasyon rezo a.
- Sèvè - nan ka sa a, FortiMail se yon sèvè lapòs plen véritable ak kapasite nan kreye bwat lèt, resevwa ak voye lapòs, osi byen ke lòt fonksyonalite.
Nou pral deplwaye FortiMail nan mòd Gateway. Ann ale nan anviwònman machin vityèl yo. Login se admin, pa gen okenn modpas espesifye. Lè w konekte pou premye fwa, ou dwe mete yon nouvo modpas.
Koulye a, kite a konfigirasyon machin vityèl la jwenn aksè nan koòdone entènèt la. Li nesesè tou ke machin nan gen aksè entènèt. Ann mete kanpe koòdone a. Nou sèlman bezwen port1. Avèk èd li, nou pral konekte ak koòdone entènèt la, epi li pral itilize tou pou jwenn aksè nan entènèt la. Aksè Entènèt nesesè pou mete ajou sèvis yo (siyati antivirus, elatriye). Pou konfigirasyon, antre kòmandman yo:
konfigirasyon sistèm koòdone
edite pò 1
mete ip 192.168.1.40 255.255.255.0
mete allowaccess https http ssh ping
fen
Koulye a, kite a konfigirasyon routage. Pou fè sa, ou bezwen antre kòmandman sa yo:
konfigirasyon wout sistèm lan
edite 1
mete pòtay 192.168.1.1
mete koòdone pò 1
fen
Lè w ap antre nan kòmandman, ou ka itilize onglet pou evite tape yo an plen. Epitou, si ou bliye ki lòd ki ta dwe vini apre, ou ka itilize kle "?".
Koulye a, an n tcheke koneksyon Entènèt ou. Pou fè sa, ann fè ping Google DNS:
Kòm ou ka wè, kounye a nou gen entènèt la. Anviwònman inisyal yo tipik pou tout aparèy Fortinet yo te konplete, epi kounye a ou ka kontinye nan konfigirasyon atravè koòdone entènèt la. Pou fè sa, louvri paj jesyon an:
Tanpri sonje ke ou bezwen swiv lyen an nan fòma a /admin. Sinon, ou p ap kapab jwenn aksè nan paj jesyon an. Pa default, paj la se nan mòd konfigirasyon estanda. Pou anviwònman nou bezwen mòd avanse. Ann ale nan meni admin->View epi chanje mòd nan avanse:
Koulye a, nou bezwen telechaje lisans jijman an. Sa a ka fè nan meni Enfòmasyon sou Lisans → VM → Mizajou:
Si ou pa gen yon lisans jijman, ou ka mande youn lè w kontakte .
Apre w fin antre nan lisans lan, aparèy la ta dwe rdemare. Nan lavni an, li pral kòmanse rale mizajou nan baz done li yo soti nan serveurs yo. Si sa pa rive otomatikman, ou ka ale nan meni Sistèm → FortiGuard epi nan onglet Antivirus, Antispam klike sou bouton Mizajou kounye a.
Si sa a pa ede, ou ka chanje pò yo itilize pou mizajou. Anjeneral apre sa tout lisans parèt. Nan fen li ta dwe sanble tankou sa a:
Ann mete zòn ki kòrèk la, sa a pral itil lè w ap egzamine mòso bwa. Pou fè sa, ale nan meni Sistèm → Konfigirasyon:
Nou pral tou konfigirasyon DNS. Nou pral configured sèvè DNS entèn la kòm sèvè DNS prensipal la, epi kite sèvè DNS Fortinet bay kòm yon sèl backup.
Koulye a, ann ale nan pati amizan an. Kòm ou ka remake, aparèy la mete nan mòd Gateway pa default. Se poutèt sa, nou pa bezwen chanje li. Ann ale nan domèn Domèn & Itilizatè → Domèn. Ann kreye yon nouvo domèn ki bezwen pwoteje. Isit la nou sèlman bezwen presize non an domèn ak adrès sèvè lapòs (ou ka tou presize non domèn li yo, nan ka nou an mail.test.local):
Koulye a, nou bezwen bay yon non pou pòtay lapòs nou an. Sa a pral itilize nan dosye yo MX ak A, ke nou pral bezwen chanje pita:
Soti nan pwen non ak non domèn lokal yo, FQDN konpile, ki itilize nan dosye DNS. Nan ka nou an, FQDN = fortimail.test.local.
Koulye a, ann mete sou pye règ k ap resevwa a. Nou bezwen tout imèl ki soti deyò epi yo asiyen nan yon itilizatè nan domèn nan yo dwe voye nan sèvè a lapòs. Pou fè sa, ale nan meni Règleman → Kontwòl Aksè. Yon egzanp konfigirasyon yo montre anba a:
Ann gade sou tab la Règleman Destinataire. Isit la ou ka mete sèten règ pou tcheke lèt yo: si lapòs soti nan domèn example1.com, ou bezwen tcheke li ak mekanis configuré espesyalman pou domèn sa a. Gen deja yon règ default pou tout lapòs, e pou kounye a li kostim nou. Ou ka wè règ sa a nan figi ki anba a:
Nan pwen sa a, konfigirasyon an sou FortiMail ka konsidere kòm konplè. An reyalite, gen anpil plis paramèt posib, men si nou kòmanse konsidere yo tout, nou ta ka ekri yon liv :) Ak objektif nou se lanse FortiMail nan mòd tès ak efò minim.
Gen de bagay ki rete - chanje dosye yo MX ak A, epi tou chanje règ yo transmisyon pò sou firewall la.
Dosye MX test.local -> mail.test.local 10 dwe chanje an test.local -> fortimail.test.local 10. Men anjeneral pandan pilòt yo ajoute yon dezyèm dosye MX ki gen yon pi gwo priyorite. Pa egzanp:
test.local -> mail.test.local 10
test.local -> fortimail.test.local 5
Kite m 'fè ou sonje ke pi ba nimewo ordinal preferans sèvè lapòs la nan dosye MX la, se pi gwo priyorite li.
Epi yo pa ka chanje antre a, kidonk nou pral jis kreye yon nouvo: fortimail.test.local -> 10.10.30.210. Yon itilizatè ekstèn pral kontakte adrès la 10.10.30.210 sou pò 25, ak firewall la pral voye koneksyon an nan FortiMail.
Pou chanje règ transmisyon sou FortiGate, ou bezwen chanje adrès la nan objè Virtual IP ki koresponn lan:
Tout pare. Ann tcheke. Ann voye lèt la ankò nan òdinatè itilizatè ekstèn lan. Koulye a, ann ale nan FortiMail nan meni ki monitè kè bebe → Logs. Nan jaden Istwa a ou ka wè yon dosye ke lèt la te aksepte. Pou plis enfòmasyon, ou ka klike sou antre a dwat epi chwazi Detay:
Pou konplete foto a, ann tcheke si FortiMail nan konfigirasyon aktyèl li yo ka bloke imèl ki gen spam ak viris. Pou fè sa, nou pral voye viris tès eicar la ak yon lèt tès yo jwenn nan youn nan baz done spam yo (http://untroubled.org/spam/). Apre sa, ann tounen nan meni an gade boutèy demi lit:
Kòm nou ka wè, tou de spam ak yon lèt ki gen yon viris yo te byen idantifye.
Konfigirasyon sa a ase pou bay pwoteksyon debaz kont viris ak spam. Men, fonksyonalite FortiMail pa limite a sa sèlman. Pou pwoteksyon pi efikas, ou bezwen etidye mekanis ki disponib yo epi pèrsonalize yo selon bezwen ou yo. Nan lavni, nou planifye pou mete aksan sou lòt karakteristik ki pi avanse nan pòtay lapòs sa a.
Si w gen nenpòt difikilte oswa kesyon konsènan solisyon an, ekri yo nan kòmantè yo, nou pral eseye reponn yo san pèdi tan.
Ou ka soumèt yon demann pou yon lisans jijman pou teste solisyon an .
Otè: Alexey Nikulin. Enjenyè Sekirite Enfòmasyon Fortiservice.
Sous: www.habr.com