Velkominn! Í dag munum við segja þér hvernig á að gera upphafsstillingar póstgáttarinnar – Fortinet tölvupóstöryggislausnir. Í tengslum við greinina munum við íhuga skipulagið sem við munum vinna með, við munum framkvæma uppsetninguna , sem er nauðsynlegt til að taka á móti og athuga bréf, og einnig prófa frammistöðu þess. Byggt á reynslu okkar getum við örugglega sagt að ferlið sé mjög einfalt og jafnvel eftir lágmarksstillingar geturðu séð niðurstöðurnar.
Byrjum á núverandi skipulagi. Það er sýnt á myndinni hér að neðan.
Hægra megin sjáum við tölvu ytri notandans, þaðan sem við sendum póst til notandans á innra netinu. Tölva notandans, lénsstýring með DNS-þjóni og póstþjónn eru staðsett á innra neti. Á jaðri netkerfisins er eldveggur - FortiGate, aðalatriðið í honum er uppsetning á áframsendingu SMTP og DNS umferð.
Við skulum gefa DNS sérstaka athygli.
Tvær DNS-skrár eru notaðar til að beina tölvupósti á internetið, A-skrá og MX-skrá. Venjulega eru þessar DNS-skrár stilltar á opinberum DNS-þjóni, en vegna takmarkana á útliti sendum við einfaldlega DNS í gegnum eldvegginn (þ.e. ytri notandinn hefur heimilisfangið 10.10.30.210 sem DNS-þjónn).
MX-skrá - skrá sem inniheldur nafn póstþjónsins sem þjónar léninu, sem og forgang þessa póstþjóns. Í okkar tilviki lítur það svona út: test.local -> mail.test.local 10.
Skrá er skrá sem breytir lén í IP tölu, við höfum þetta: mail.test.local -> 10.10.30.210.
Þegar ytri notandi okkar reynir að senda tölvupóst til [netvarið], mun það spyrja DNS MX þjón sinn fyrir test.local lénsskrána. DNS þjónninn okkar mun svara með nafni póstþjónsins - mail.test.local. Nú þarf notandinn að fá IP tölu þessa netþjóns, svo hann fer aftur í DNS fyrir A skráninguna og fær IP töluna 10.10.30.210 (já, aftur hans :) ). Þú getur sent bréf. Þess vegna reynir hann að koma á tengingu við móttekna IP tölu á port 25. Með hjálp reglna á eldveggnum er þessi tenging send áfram á póstþjóninn.
Við skulum athuga virkni pósts í núverandi stöðu útlitsins. Til að gera þetta, á tölvu utanaðkomandi notanda, munum við nota swaks tólið. Með hjálp þess geturðu prófað frammistöðu SMTP með því að senda tölvupóst til viðtakandans með ýmsum breytum. Áður hefur notandi með pósthólf þegar verið settur upp á póstþjóninum [netvarið]. Við skulum reyna að senda honum tölvupóst:
Nú skulum við fara í vél innri notandans og ganga úr skugga um að bréfið sé komið:
Bréfið kom í raun (það er auðkennt á listanum). Þannig að skipulagið virkar rétt. Það er kominn tími til að fara yfir á FortiMail. Við skulum bæta við skipulaginu okkar:
FortiMail er hægt að dreifa í þremur stillingum:
- Gateway - virkar sem fullgildur MTA: það tekur allan póstinn á sig, athugar hann og sendir hann síðan til póstþjónsins;
- Gegnsætt - eða á annan hátt, gagnsæ háttur. Uppsett fyrir framan netþjóninn og athugar inn- og útpóst. Eftir það sendir það það á netþjóninn. Krefst ekki breytinga á netstillingum.
- Miðlari - í þessu tilviki er FortiMail fullgildur póstþjónn með getu til að búa til pósthólf, taka á móti og senda póst, sem og aðra virkni.
Við munum setja FortiMail í Gateway ham. Við skulum fara í stillingar sýndarvélarinnar. Innskráning er admin, lykilorð er ekki stillt. Fyrst þegar þú skráir þig inn þarftu að setja nýtt lykilorð.
Nú skulum við stilla sýndarvélina til að fá aðgang að vefviðmótinu. Einnig er nauðsynlegt að vélin hafi aðgang að internetinu. Við skulum setja upp viðmótið. Við þurfum aðeins port1. Með henni munum við tengjast vefviðmótinu og það verður einnig notað til að komast á netið. Internetaðgangur er nauðsynlegur til að uppfæra þjónustu (vírusvarnarundirskrift o.s.frv.). Til að stilla skaltu slá inn skipanirnar:
stillingarkerfisviðmót
breyta port 1
sett IP 192.168.1.40 255.255.255.0
stilltu leyfa aðgang https http ssh ping
enda
Nú skulum við setja upp leiðina. Til að gera þetta skaltu slá inn eftirfarandi skipanir:
stillingarkerfisleið
breyta 1
setja gátt 192.168.1.1
stilltu tengiport1
enda
Þegar skipanir eru slegnar inn geturðu notað flipa til að forðast að slá þær í heild sinni. Einnig, ef þú gleymdir hvaða skipun ætti að fara næst, geturðu notað "?" takkann.
Nú skulum við athuga nettenginguna þína. Til að gera þetta skaltu smella á Google DNS:
Eins og þú sérð höfum við internetið. Upphafsstillingunum sem eru sértækar fyrir öll Fortinet tæki hefur verið lokið, nú geturðu haldið áfram í uppsetninguna í gegnum vefviðmótið. Til að gera þetta skaltu opna stjórnunarsíðuna:
Vinsamlegast athugaðu að þú þarft að fylgja hlekknum í formi /admin. Annars muntu ekki geta komist á stjórnunarsíðuna. Sjálfgefið er að síðan er í hefðbundinni stillingarham. Fyrir stillingar þurfum við háþróaða stillingu. Við skulum fara í stjórnanda->Skoða valmyndina og breyta stillingunni í Ítarlegt:
Nú þurfum við að hlaða niður prufuleyfinu. Þú getur gert þetta í valmyndinni Leyfisupplýsingar → VM → Uppfærsla:
Ef þú ert ekki með prufuleyfi geturðu beðið um það með því að hafa samband .
Eftir að leyfið hefur verið slegið inn ætti tækið að endurræsa. Í framtíðinni mun það byrja að draga uppfærslur á gagnagrunnum sínum frá netþjónunum. Ef þetta gerist ekki sjálfkrafa geturðu farið í System → FortiGuard valmyndina og smellt á Update Now hnappinn í Antivirus, Antispam flipunum.
Ef þetta hjálpar ekki geturðu breytt höfnunum sem eru notaðar fyrir uppfærslur. Venjulega eftir það birtast öll leyfi. Að lokum ætti það að líta svona út:
Stillum rétt tímabelti, þetta kemur sér vel þegar farið er að skoða logs. Til að gera þetta, farðu í System → Configuration valmyndina:
Við munum einnig stilla DNS. Sem aðal DNS netþjónn munum við setja upp innri DNS netþjón og sem öryggisafrit munum við skilja eftir DNS netþjóninn frá Fortinet.
Nú skulum við halda áfram að því áhugaverðasta. Eins og þú gætir hafa tekið eftir er tækið sjálfgefið stillt á Gateway mode. Svo við þurfum ekki að breyta því. Við skulum fara í Domain & User → Lén reitinn. Búum til nýtt lén sem þarf að vernda. Hér þurfum við aðeins að tilgreina lén og heimilisfang póstþjóns (þú getur líka tilgreint lén þess, í okkar tilviki mail.test.local):
Nú þurfum við að gefa upp nafn fyrir póstgáttina okkar. Það verður notað í MX og A færslum, sem við þurfum að breyta síðar:
Hlutirnir Host Name og Local Domain Name mynda FQDN, sem er notað í DNS færslum. Í okkar tilviki, FQDN = fortimail.test.local.
Nú skulum við setja upp móttökuregluna. Við þurfum allan tölvupóst sem kemur að utan og er úthlutað til notanda á léninu til að vera áframsendur á póstþjóninn. Til að gera þetta, farðu í valmyndina Stefna → Aðgangsstýring. Dæmi um uppsetningu er sýnt hér að neðan:
Við skulum skoða flipann Viðtakendastefna. Hér getur þú sett ákveðnar reglur um að athuga skilaboð: ef póstur kemur frá example1.com léninu þarftu að athuga það með aðferðum sem eru sérstaklega stilltar fyrir þetta lén. Það er nú þegar sjálfgefna regla sett fyrir allan póst og í bili hentar það okkur. Þú getur séð þessa reglu á myndinni hér að neðan:
Þetta lýkur uppsetningu á FortiMail. Reyndar eru margar fleiri mögulegar breytur, en ef við byrjum að huga að þeim öllum getum við skrifað bók :) Og markmið okkar er að keyra FortiMail í prófunarham með lágmarks fyrirhöfn.
Það er tvennt eftir - breyttu MX og A færslunum og breyttu einnig reglum um framsendingu hafna á eldveggnum.
MX færslunni test.local -> mail.test.local 10 þarf að breyta í test.local -> fortimail.test.local 10. En venjulega er annarri MX færslu með hærri forgang bætt við meðan á flugmenn stendur. Til dæmis:
test.local -> mail.test.local 10
test.local -> fortimail.test.local 5
Leyfðu mér að minna þig á að því lægra sem forgangsnúmer póstþjónsins er í MX færslunni, því meiri forgangur hans.
Ekki er hægt að breyta færslu, svo við skulum bara búa til nýja: fortimail.test.local -> 10.10.30.210. Ytri notandi mun ávarpa 10.10.30.210 á port 25 og eldveggurinn mun senda tenginguna áfram til FortiMail.
Til að breyta framsendingarreglunni á FortiGate þarftu að breyta heimilisfanginu í samsvarandi sýndar-IP hlut:
Allt er tilbúið. Við skulum athuga. Sendum aftur tölvupóst frá tölvu ytri notandans. Nú skulum við fara í FortiMail í Monitor → Logs valmyndinni. Í reitnum Saga er hægt að sjá skráningu um að bréfið hafi verið samþykkt. Fyrir frekari upplýsingar geturðu hægrismellt á færslu og valið Upplýsingar:
Til að fullkomna myndina skulum við athuga hvort FortiMail í núverandi uppsetningu geti lokað á tölvupóst sem inniheldur ruslpóst og vírusa. Til að gera þetta skulum við senda eicar vírus og prófatölvupóst sem finnast í einum af ruslpóstgagnagrunnunum (http://untroubled.org/spam/). Að því loknu skulum við fara aftur í valmyndina fyrir logskoðun:
Eins og þú sérð tókst að bera kennsl á bæði ruslpóst og bréf með vírus.
Þessi uppsetning nægir til að veita grunnvörn gegn vírusum og ruslpósti. En virkni FortiMail er ekki takmörkuð við þetta. Til að tryggja skilvirkari vernd þarftu að rannsaka tiltæka aðferð og aðlaga þá að þínum þörfum. Í framtíðinni ætlum við að fjalla um aðra, fullkomnari eiginleika þessarar póstgáttar.
Ef þú átt í erfiðleikum eða spurningum varðandi lausnina skaltu skrifa þær í athugasemdirnar, við munum reyna að svara þeim strax.
Þú getur skilið eftir beiðni um prufuleyfi til að prófa lausnina .
Höfundur: Alexey Nikulin. Fortiservice upplýsingaöryggisverkfræðingur.
Heimild: www.habr.com