Тавтай морил! Өнөөдөр бид шуудангийн гарцын анхны тохиргоог хэрхэн хийхийг танд хэлэх болно – Fortinet цахим шуудангийн аюулгүй байдлын шийдэл. Өгүүллийн үеэр бид хамтран ажиллах байршлыг харж, тохиргоог хийх болно , захидал хүлээн авах, шалгахад шаардлагатай бөгөөд бид түүний гүйцэтгэлийг шалгах болно. Бидний туршлага дээр үндэслэн бид энэ үйл явц нь маш энгийн бөгөөд хамгийн бага тохиргооны дараа ч үр дүнг харах боломжтой гэж бид баттай хэлж чадна.
Одоогийн зохион байгуулалтаас эхэлье. Үүнийг доорх зурагт үзүүлэв.
Баруун талд бид гадаад хэрэглэгчийн компьютерийг харж байгаа бөгөөд үүнээс бид дотоод сүлжээнд байгаа хэрэглэгч рүү захидал илгээх болно. Дотоод сүлжээ нь хэрэглэгчийн компьютер, үүн дээр ажиллаж байгаа DNS сервер бүхий домэйн хянагч, шуудангийн серверийг агуулдаг. Сүлжээний ирмэг дээр галт хана байдаг - FortiGate, түүний гол онцлог нь SMTP болон DNS траффик дамжуулалтыг тохируулах явдал юм.
DNS-д онцгой анхаарал хандуулцгаая.
Интернет дээр имэйлийг чиглүүлэхэд ашигладаг хоёр DNS бичлэг байдаг - A бичлэг ба MX бичлэг. Ихэвчлэн эдгээр DNS бичлэгүүдийг нийтийн DNS сервер дээр тохируулдаг боловч байршлын хязгаарлалтын улмаас бид DNS-ийг галт ханаар дамжуулдаг (өөрөөр хэлбэл гадаад хэрэглэгч DNS серверээр бүртгэгдсэн 10.10.30.210 хаягтай).
MX бичлэг нь домэйнд үйлчилдэг шуудангийн серверийн нэр, мөн энэ имэйл серверийн тэргүүлэх чиглэлийг агуулсан бичлэг юм. Манай тохиолдолд энэ нь иймэрхүү харагдаж байна: test.local -> mail.test.local 10.
Бичлэг гэдэг нь домэйн нэрийг IP хаяг болгон хувиргадаг бичлэг бөгөөд бидний хувьд: mail.test.local -> 10.10.30.210.
Манай гадны хэрэглэгч имэйл илгээхийг оролдох үед [имэйлээр хамгаалагдсан], энэ нь test.local домэйны бичлэгийг өөрийн DNS MX серверээс асуух болно. Манай DNS сервер нь шуудангийн серверийн нэрээр хариулах болно - mail.test.local. Одоо хэрэглэгч энэ серверийн IP хаягийг авах шаардлагатай байгаа тул тэр дахин A бичлэгийн DNS руу нэвтэрч 10.10.30.210 IP хаягийг хүлээн авна (тиймээ, түүний дахин :) ). Та захидал илгээж болно. Тиймээс 25-р порт дээр хүлээн авсан IP хаягтай холбогдохыг оролддог. Галт хана дээрх дүрмийг ашиглан энэ холболтыг шуудангийн сервер рүү дамжуулдаг.
Байршлын одоогийн төлөвт байгаа имэйлийн ажиллагааг шалгацгаая. Үүнийг хийхийн тулд бид гадны хэрэглэгчийн компьютер дээр swaks хэрэгслийг ашиглах болно. Үүний тусламжтайгаар та хүлээн авагчид янз бүрийн параметр бүхий захидал илгээх замаар SMTP-ийн гүйцэтгэлийг шалгаж болно. Өмнө нь шуудангийн сервер дээр шуудангийн хайрцагтай хэрэглэгч аль хэдийн үүсгэгдсэн байсан [имэйлээр хамгаалагдсан]. Түүнд захидал илгээхийг оролдъё:
Одоо дотоод хэрэглэгчийн машин руу очоод захидал ирсэн эсэхийг шалгацгаая.
Захидал үнэхээр ирсэн (жагсаалтад онцолсон). Энэ нь зохион байгуулалт зөв ажиллаж байна гэсэн үг юм. Одоо FortiMail руу шилжих цаг болжээ. Байршилдаа нэмье:
FortiMail-ийг гурван горимд байрлуулж болно:
- Gateway - бүрэн эрхт MTA үүрэг гүйцэтгэдэг: энэ нь бүх захидал хүлээн авч, шалгаж, дараа нь шуудангийн сервер рүү дамжуулдаг;
- Ил тод - эсвэл өөрөөр хэлбэл ил тод горим. Энэ нь серверийн өмнө суурилагдсан бөгөөд ирж байгаа болон гарч буй шуудангаа шалгадаг. Үүний дараа үүнийг сервер рүү дамжуулдаг. Сүлжээний тохиргоонд өөрчлөлт оруулах шаардлагагүй.
- Сервер - энэ тохиолдолд FortiMail нь шуудангийн хайрцаг үүсгэх, захидал хүлээн авах, илгээх, түүнчлэн бусад функцтэй бүрэн хэмжээний шуудангийн сервер юм.
Бид FortiMail-г Gateway горимд байрлуулах болно. Виртуал машины тохиргоо руу орцгооё. Нэвтрэх нь админ, нууц үг заагаагүй байна. Та анх удаа нэвтрэхдээ шинэ нууц үг оруулах ёстой.
Одоо виртуал машиныг вэб интерфэйс рүү нэвтрэх тохиргоог хийцгээе. Мөн машин нь интернет холболттой байх шаардлагатай. Интерфэйсийг тохируулцгаая. Бидэнд зөвхөн порт1 хэрэгтэй. Үүний тусламжтайгаар бид вэб интерфэйстэй холбогдох бөгөөд энэ нь мөн интернетэд нэвтрэхэд ашиглагдах болно. Үйлчилгээг шинэчлэхийн тулд интернетэд нэвтрэх шаардлагатай (вирусны эсрэг гарын үсэг гэх мэт). Тохируулгын хувьд дараах тушаалуудыг оруулна уу:
системийн интерфейсийг тохируулах
порт 1 засах
set ip 192.168.1.40 255.255.255.0
https http ssh ping зөвшөөрлийг тохируулах
Төгсгөл
Одоо чиглүүлэлтийн тохиргоогоо хийцгээе. Үүнийг хийхийн тулд та дараах тушаалуудыг оруулах хэрэгтэй.
системийн маршрутыг тохируулах
засварлах 1
192.168.1.1 гарцыг тохируулах
интерфэйс порт1 тохируулах
Төгсгөл
Командыг оруулахдаа тэдгээрийг бүтнээр нь бичихээс зайлсхийхийн тулд табуудыг ашиглаж болно. Мөн хэрэв та дараа нь аль команд ирэхээ мартсан бол “?” товчийг ашиглаж болно.
Одоо таны интернет холболтыг шалгацгаая. Үүнийг хийхийн тулд Google DNS-г ping хийцгээе:
Таны харж байгаагаар бид интернеттэй болсон. Fortinet-ийн бүх төхөөрөмжүүдийн анхны тохиргоог хийж дууссан бөгөөд та одоо вэб интерфэйсээр дамжуулан тохиргоогоо үргэлжлүүлж болно. Үүнийг хийхийн тулд удирдлагын хуудсыг нээнэ үү:
Та форматын холбоосыг дагаж мөрдөх шаардлагатайг анхаарна уу /админ. Үгүй бол та удирдлагын хуудас руу нэвтрэх боломжгүй болно. Анхдагч байдлаар, хуудас нь стандарт тохиргооны горимд байна. Тохиргооны хувьд бидэнд Нарийвчилсан горим хэрэгтэй. Админ->Харах цэс рүү орж, горимыг Нарийвчилсан горимд шилжүүлье:
Одоо бид туршилтын лицензийг татаж авах хэрэгтэй. Үүнийг Лицензийн мэдээлэл → VM → Шинэчлэх цэсэнд хийж болно:
Хэрэв танд туршилтын лиценз байхгүй бол холбогдож хүсэлт гаргаж болно .
Лицензийг оруулсны дараа төхөөрөмж дахин ачаалах ёстой. Ирээдүйд энэ нь серверүүдээс мэдээллийн сандаа шинэчлэлтүүдийг татаж эхэлнэ. Хэрэв энэ нь автоматаар тохиолдоогүй бол та System → FortiGuard цэс рүү орж, Antivirus, Antispam цонхны "Одоо шинэчлэх" товчийг дарна уу.
Хэрэв энэ нь тус болохгүй бол та шинэчлэлт хийхэд ашигладаг портуудыг өөрчилж болно. Ихэвчлэн үүний дараа бүх лицензүүд гарч ирдэг. Эцсийн эцэст энэ нь дараах байдлаар харагдах ёстой.
Цагийн бүсийг зөв тохируулцгаая, энэ нь бүртгэлийг шалгахад хэрэг болно. Үүнийг хийхийн тулд Систем → Тохиргоо цэс рүү очно уу:
Бид мөн DNS-ийг тохируулах болно. Бид дотоод DNS серверийг үндсэн DNS сервер болгон тохируулах ба Fortinet-ээс өгсөн DNS серверийг нөөц болгон үлдээх болно.
Одоо хөгжилтэй хэсэг рүүгээ орцгооё. Таны анзаарсанчлан төхөөрөмжийг анхдагчаар Gateway горимд тохируулсан байна. Тиймээс бид үүнийг өөрчлөх шаардлагагүй. Domain & User → Domain талбар руу орцгооё. Хамгаалах шаардлагатай шинэ домэйн үүсгэцгээе. Энд бид зөвхөн домэйн нэр болон шуудангийн серверийн хаягийг зааж өгөх хэрэгтэй (та түүний домайн нэрийг зааж өгч болно, манай тохиолдолд mail.test.local):
Одоо бид шуудангийн гарцынхаа нэрийг өгөх хэрэгтэй. Үүнийг MX болон A бүртгэлд ашиглах бөгөөд бид дараа нь өөрчлөх шаардлагатай болно:
Хост нэр болон Орон нутгийн домэйн нэрийн цэгүүдээс DNS бүртгэлд ашиглагддаг FQDN-ийг эмхэтгэдэг. Манай тохиолдолд FQDN = fortimail.test.local.
Одоо хүлээн авах дүрмийг тохируулцгаая. Бид гаднаас ирсэн бүх имэйлийг имэйл сервер рүү дамжуулахын тулд домэйн дэх хэрэглэгчдэд хуваарилагдсан байх шаардлагатай. Үүнийг хийхийн тулд Бодлого → Хандалтыг хянах цэс рүү очно уу. Жишээ тохиргоог доор харуулав.
Хүлээн авагчийн бодлого табыг харцгаая. Энд та үсгийг шалгах тодорхой дүрмийг тохируулж болно: хэрэв захидал example1.com домэйноос ирсэн бол та үүнийг энэ домэйнд тусгайлан тохируулсан механизмаар шалгах хэрэгтэй. Бүх имэйлд зориулсан анхдагч дүрэм аль хэдийн байгаа бөгөөд одоогоор энэ нь бидэнд тохирсон. Та энэ дүрмийг доорх зургаас харж болно.
Энэ үед FortiMail дээрх тохиргоог дууссан гэж үзэж болно. Үнэн хэрэгтээ өөр олон боломжит параметрүүд байдаг, гэхдээ бид бүгдийг нь авч үзвэл ном бичиж болно :) Мөн бидний зорилго бол FortiMail-ийг хамгийн бага хүчин чармайлтаар туршилтын горимд ажиллуулах явдал юм.
Хоёр зүйл үлдлээ - MX болон A бичлэгүүдийг өөрчлөх, мөн галт хана дээрх порт дамжуулах дүрмийг өөрчлөх.
MX бичлэг test.local -> mail.test.local 10-ыг test.local -> fortimail.test.local 10 болгож өөрчлөх ёстой. Гэхдээ ихэвчлэн нисгэгчдийн үед илүү өндөр ач холбогдол бүхий хоёр дахь MX бичлэгийг нэмдэг. Жишээлбэл:
test.local -> mail.test.local 10
test.local -> fortimail.test.local 5
MX бичлэг дэх шуудангийн серверийн тохиргооны дарааллын дугаар бага байх тусам түүний тэргүүлэх ач холбогдол өндөр болохыг танд сануулъя.
Мөн оруулгыг өөрчлөх боломжгүй тул бид шинээр үүсгэх болно: fortimail.test.local -> 10.10.30.210. Гадны хэрэглэгч 10.10.30.210-р портын 25 хаягтай холбогдох бөгөөд галт хана нь холболтыг FortiMail руу дамжуулах болно.
FortiGate дээр дамжуулах дүрмийг өөрчлөхийн тулд та холбогдох Виртуал IP объектын хаягийг өөрчлөх хэрэгтэй.
Бүгд бэлэн. Шалгацгаая. Захиагаа гадаад хэрэглэгчийн компьютерээс дахин явуулъя. Одоо Monitor → Logs цэсний FortiMail руу орцгооё. Түүхийн талбарт та захиаг хүлээн авсан тухай бичлэгийг харж болно. Дэлгэрэнгүй мэдээлэл авахыг хүсвэл оруулга дээр хулганы баруун товчийг дараад Дэлгэрэнгүйг сонгоно уу:
Зургийг дуусгахын тулд FortiMail нь одоогийн тохиргоонд спам болон вирус агуулсан имэйлийг хааж чадах эсэхийг шалгацгаая. Үүнийг хийхийн тулд бид eicar тестийн вирус болон спам имэйлийн мэдээллийн сангаас (http://untroubled.org/spam/) олдсон тестийн захидлыг илгээх болно. Үүний дараа бүртгэлийг үзэх цэс рүү буцъя:
Бидний харж байгаагаар спам болон вирус бүхий захидал хоёулаа амжилттай илэрсэн.
Энэ тохиргоо нь вирус болон спамаас үндсэн хамгаалалтыг хангахад хангалттай. Гэхдээ FortiMail-ийн үйл ажиллагаа үүгээр хязгаарлагдахгүй. Илүү үр дүнтэй хамгаалахын тулд та боломжит механизмуудыг судалж, өөрийн хэрэгцээнд нийцүүлэн өөрчлөх хэрэгтэй. Цаашид бид энэхүү шуудангийн гарцын бусад, илүү дэвшилтэт боломжуудыг онцлон тэмдэглэхээр төлөвлөж байна.
Хэрэв танд ямар нэгэн бэрхшээл, шийдлийн талаар асуулт байгаа бол тэдгээрийг тайлбар дээр бичээрэй, бид тэдэнд нэн даруй хариулахыг хичээх болно.
Та шийдлийг туршихын тулд туршилтын лиценз авах хүсэлт гаргаж болно .
Зохиогч: Алексей Никулин. Мэдээллийн аюулгүй байдлын инженер Fortiservice.
Эх сурвалж: www.habr.com