ښه راغلاست! نن ورځ موږ به تاسو ته ووایو چې څنګه د بریښنالیک دروازې لومړني تنظیمات جوړ کړئ - د فورټینیټ بریښنالیک امنیت حلونه. د مقالې په جریان کې به موږ هغه ترتیب وګورو چې موږ به ورسره کار وکړو او تنظیمات به ترسره کړو د لیکونو ترلاسه کولو او چک کولو لپاره اړین دی، او موږ به یې د فعالیت ازموینه هم وکړو. زموږ د تجربې پراساس ، موږ کولی شو په خوندي ډول ووایو چې پروسه خورا ساده ده ، او حتی د لږترلږه تنظیم کولو وروسته تاسو پایلې لیدلی شئ.
راځئ چې د اوسني ترتیب سره پیل وکړو. دا په لاندې شکل کې ښودل شوی.
په ښي خوا کې موږ د بهرني کارونکي کمپیوټر ګورو، له هغه څخه به موږ په داخلي شبکه کې کارونکي ته بریښنالیک واستوو. داخلي شبکه د کارونکي کمپیوټر لري، یو ډومین کنټرولر چې د DNS سرور سره روان دی، او یو میل سرور. د شبکې په څنډه کې یو فایر وال شتون لري - FortiGate، چې اصلي ځانګړتیا یې د SMTP او DNS ټرافیک فارورډینګ تنظیم کول دي.
راځئ چې DNS ته ځانګړې پاملرنه وکړو.
په انټرنیټ کې د بریښنالیک روټ کولو لپاره دوه DNS ریکارډونه شتون لري - A ریکارډ او د MX ریکارډ. عموما، دا د DNS ریکارډونه په عامه DNS سرور کې ترتیب شوي، مګر د ترتیب محدودیتونو له امله، موږ په ساده ډول د فایر وال له لارې DNS وړاندې کوو (دا دی، بهرنی کارونکي پته لري 10.10.30.210 د DNS سرور په توګه ثبت شوی).
MX ریکارډ یو ریکارډ دی چې د میل سرور نوم لري چې ډومین ته خدمت کوي، او همدارنګه د دې میل سرور لومړیتوب. زموږ په قضیه کې دا داسې ښکاري: test.local -> mail.test.local 10.
ریکارډ یو ریکارډ دی چې د ډومین نوم په IP پته بدلوي، زموږ لپاره دا دی: mail.test.local -> 10.10.30.210.
کله چې زموږ بهرني کارونکي هڅه کوي چې بریښنالیک واستوي [ایمیل خوندي شوی]، دا به د دې DNS MX سرور د test.local ډومین ریکارډ لپاره پوښتنه وکړي. زموږ د DNS سرور به د میل سرور نوم سره ځواب ووایی - mail.test.local. اوس کاروونکي اړتیا لري چې د دې سرور IP پته ترلاسه کړي، نو هغه بیا د A ریکارډ لپاره DNS ته لاسرسی لري او IP پته 10.10.30.210 ترلاسه کوي (هو، هغه بیا :)). تاسو کولی شئ یو لیک واستوئ. له همدې امله، دا هڅه کوي چې په 25 بندر کې د ترلاسه شوي IP پتې سره اړیکه ټینګه کړي. د فایر وال د قواعدو په کارولو سره، دا اړیکه د میل سرور ته لیږل کیږي.
راځئ چې د ترتیب په اوسني حالت کې د بریښنالیک فعالیت وګورو. د دې کولو لپاره ، موږ به د بهرني کارونکي کمپیوټر کې د سویکس افادیت وکاروو. د دې په مرسته تاسو کولی شئ د SMTP فعالیت د مختلف پیرامیټونو سیټ سره ترلاسه کونکي ته د لیک په لیږلو سره معاینه کړئ. پخوا، د میل باکس سره یو کارن لا دمخه د میل سرور کې رامینځته شوی [ایمیل خوندي شوی]. راځئ هڅه وکړو چې هغه ته یو لیک واستوو:
اوس راځئ چې د داخلي کارونکي ماشین ته لاړ شو او ډاډ ترلاسه کړئ چې لیک راغلی دی:
لیک واقعیا راغلی (دا په لیست کې روښانه شوی). دا پدې مانا ده چې ترتیب په سمه توګه کار کوي. اوس هغه وخت دی چې FortiMail ته لاړ شئ. راځئ چې زموږ په ترتیب کې اضافه کړو:
FortiMail په دریو حالتونو کې ځای په ځای کیدی شي:
- ګیټ وے - د بشپړ MTA په توګه کار کوي: دا ټول بریښنالیک اخلي، چک کوي، او بیا یې د میل سرور ته لیږدوي؛
- شفاف - یا په بل عبارت، شفاف حالت. دا د سرور مخې ته نصب شوی او راتلونکی او بهر روان میل چیک کوي. له هغې وروسته، دا سرور ته لیږدوي. د شبکې ترتیب کې بدلونونو ته اړتیا نلري.
- سرور - پدې حالت کې ، فورټی میل یو بشپړ میل میل سرور دی چې د میل باکسونو رامینځته کولو ، بریښنالیک ترلاسه کولو او لیږلو وړتیا لري ، او همدارنګه نور فعالیت.
موږ به فورټیمیل د ګیټ وے حالت کې ځای په ځای کړو. راځئ چې د مجازی ماشین ترتیباتو ته لاړ شو. ننوتل منتظم دی، هیڅ پټنوم ندی مشخص شوی. کله چې تاسو د لومړي ځل لپاره ننوتل، تاسو باید یو نوی پټنوم ترتیب کړئ.
اوس راځئ چې ویب انٹرفیس ته د لاسرسي لپاره مجازی ماشین تنظیم کړو. دا هم اړینه ده چې ماشین د انټرنیټ لاسرسی ولري. راځئ چې انٹرفیس تنظیم کړو. موږ یوازې پورټ 1 ته اړتیا لرو. د دې په مرسته به موږ د ویب انټرفیس سره وصل شو، او دا به انټرنیټ ته د لاسرسي لپاره هم وکارول شي. د خدماتو تازه کولو لپاره انټرنیټ لاسرسي ته اړتیا ده (د انټي ویروس لاسلیکونه او نور). د تنظیم کولو لپاره، کمانډ داخل کړئ:
د config سیسټم انٹرفیس
پورټ 1 سمول
ip 192.168.1.40 255.255.255.0 ترتیب کړئ
اجازه راکړئ https http ssh ping ترتیب کړئ
پای
اوس راځئ چې روټینګ تنظیم کړو. د دې کولو لپاره تاسو اړتیا لرئ لاندې کمانډونه دننه کړئ:
د config سیسټم لاره
ترمیم 1
د دروازې 192.168.1.1 ټاکل
د انٹرفیس port1 ترتیب کړئ
پای
کله چې امرونو ته ننوځي، تاسو کولی شئ ټبونه وکاروئ ترڅو د بشپړ ټایپ کولو څخه مخنیوی وکړئ. همچنان ، که تاسو هیر کړئ چې کوم کمانډ باید راتلونکی راشي ، تاسو کولی شئ د "؟" کیلي وکاروئ.
اوس راځئ چې خپل انټرنیټ پیوستون وګورو. د دې کولو لپاره ، راځئ چې د ګوګل DNS پینګ کړو:
لکه څنګه چې تاسو لیدلی شئ، موږ اوس انټرنیټ لرو. د ټولو فورټینیټ وسیلو لپاره لومړني تنظیمات بشپړ شوي ، او تاسو اوس کولی شئ د ویب انٹرفیس له لارې تنظیماتو ته لاړشئ. د دې کولو لپاره، د مدیریت پاڼه پرانیزئ:
مهرباني وکړئ په یاد ولرئ چې تاسو اړتیا لرئ په بڼه کې لینک تعقیب کړئ /اډمین که نه نو، تاسو به د مدیریت پاڼې ته لاسرسی ونلرئ. په ډیفالټ، پاڼه د معیاري ترتیب په حالت کې ده. د تنظیماتو لپاره موږ پرمختللي حالت ته اړتیا لرو. راځئ چې admin->View مینو ته لاړ شو او حالت پرمختللي ته واړوو:
اوس موږ اړتیا لرو د آزموینې جواز ډاونلوډ کړو. دا د جواز معلوماتو په مینو کې ترسره کیدی شي → VM → تازه کول:
که تاسو د آزموینې جواز نلرئ، تاسو کولی شئ د تماس له لارې غوښتنه وکړئ .
جواز ته د ننوتلو وروسته، وسیله باید بیا پیل شي. په راتلونکي کې، دا به د سرورونو څخه خپلو ډیټابیسونو ته تازه معلومات راوباسي. که دا په اوتومات ډول نه پیښیږي ، تاسو کولی شئ سیسټم → FortiGuard مینو ته لاړ شئ او په انټي ویروس کې ، د انټي سپیم ټبونو کې اوس تازه تڼۍ کلیک وکړئ.
که دا مرسته ونه کړي، تاسو کولی شئ د تازه معلوماتو لپاره کارول شوي بندرونه بدل کړئ. معمولا له دې وروسته ټول جوازونه څرګندیږي. په پای کې دا باید داسې ښکاري:
راځئ چې د سم وخت زون تنظیم کړو، دا به ګټور وي کله چې د لاګونو معاینه کوي. د دې کولو لپاره، سیسټم → ترتیب مینو ته لاړ شئ:
موږ به DNS هم تنظیم کړو. موږ به داخلي DNS سرور د اصلي DNS سرور په توګه تنظیم کړو ، او د DNS سرور به پریږدو چې د فورټینیټ لخوا چمتو شوی د بیک اپ په توګه.
اوس راځئ چې د ساتیرۍ برخې ته لاړ شو. لکه څنګه چې تاسو شاید یادونه کړې وي، وسیله د ډیفالټ په واسطه د ګیټ وے حالت ته ټاکل شوې. له همدې امله، موږ اړتیا نه لرو چې دا بدل کړو. راځئ چې ډومین او کارن → ډومین ډګر ته لاړ شو. راځئ چې یو نوی ډومین جوړ کړو چې خوندي کولو ته اړتیا لري. دلته موږ یوازې د ډومین نوم او د میل سرور پته مشخص کولو ته اړتیا لرو (تاسو کولی شئ د دې ډومین نوم هم مشخص کړئ، زموږ په قضیه کې mail.test.local):
اوس موږ اړتیا لرو چې زموږ د بریښنالیک دروازې لپاره نوم چمتو کړو. دا به په MX او A ریکارډونو کې وکارول شي، کوم چې موږ به وروسته بدلون ته اړتیا ولرو:
د کوربه نوم او محلي ډومین نوم ټکو څخه، FQDN ترتیب شوی، کوم چې د DNS ریکارډونو کې کارول کیږي. زموږ په قضیه کې، FQDN = fortimail.test.local.
اوس راځئ چې د ترلاسه کولو اصول تنظیم کړو. موږ ټولو بریښنالیکونو ته اړتیا لرو چې له بهر څخه راځي او په ډومین کې یو کارونکي ته ګمارل شوي ترڅو د میل سرور ته لیږل کیږي. د دې کولو لپاره، مینو ته لاړ شئ پالیسي → د لاسرسي کنټرول. د تنظیم کولو مثال لاندې ښودل شوی:
راځئ چې د ترلاسه کونکي پالیسي ټب ته وګورو. دلته تاسو کولی شئ د لیکونو چک کولو لپاره ځینې مقررات تنظیم کړئ: که چیرې بریښنالیک د example1.com ډومین څخه راشي، نو تاسو اړتیا لرئ چې دا د دې ډومین لپاره په ځانګړي ډول ترتیب شوي میکانیزمونو سره وګورئ. د ټولو میلونو لپاره دمخه یو ډیفالټ قاعده شتون لري ، او د اوس لپاره دا زموږ سره مناسب دی. تاسو کولی شئ دا قانون په لاندې شکل کې وګورئ:
پدې مرحله کې ، په FortiMail کې تنظیم بشپړ وګڼل شي. په حقیقت کې ، ډیری نور احتمالي پیرامیټونه شتون لري ، مګر که موږ د دوی ټولو په پام کې نیولو سره پیل وکړو ، نو موږ کولی شو یو کتاب ولولو :) او زموږ هدف د لږترلږه هڅو سره د ازموینې حالت کې د FortiMail پیل کول دي.
دلته دوه شیان پاتې دي - د MX او A ریکارډونه بدل کړئ، او همدارنګه د فایروال په اړه د پورټ فارورډ کولو قواعد بدل کړئ.
د MX ریکارډ test.local -> mail.test.local 10 باید test.local -> fortimail.test.local 10 ته بدل شي. مګر معمولا د پیلوټانو په جریان کې د دوهم MX ریکارډ د لوړ لومړیتوب سره اضافه کیږي. د مثال په ډول:
test.local -> mail.test.local 10
test.local -> fortimail.test.local 5
اجازه راکړئ تاسو ته یادونه وکړم چې په MX ریکارډ کې د میل سرور غوره توب عادي شمیره ټیټه وي ، د هغې لومړیتوب لوړ وي.
او ننوتل نشي بدلیدلی، نو موږ به یوازې یو نوی جوړ کړو: fortimail.test.local -> 10.10.30.210. یو بهرنی کارونکی به په 10.10.30.210 بندر کې د 25 پتې سره اړیکه ونیسي، او فایروال به پیوستون FortiMail ته واستوي.
په FortiGate کې د فارورډ کولو قواعد بدلولو لپاره، تاسو اړتیا لرئ په اړونده مجازی IP اعتراض کې پته بدل کړئ:
ټول چمتو دي. راځئ چې وګورو. راځئ چې لیک بیا د بهرني کارونکي کمپیوټر څخه واستوو. اوس راځئ چې په مانیټر → لاګز مینو کې فورټی میل ته لاړ شو. د تاریخ په ډګر کې تاسو کولی شئ یو ریکارډ وګورئ چې لیک منل شوی و. د نورو معلوماتو لپاره، تاسو کولی شئ په ننوتلو کې ښیې کلیک وکړئ او توضیحات غوره کړئ:
د انځور بشپړولو لپاره، راځئ وګورو چې آیا فورټیمیل په خپل اوسني ترتیب کې کولی شي بریښنالیکونه بند کړي چې سپیم او ویروسونه لري. د دې کولو لپاره، موږ به د eicar ټیسټ ویروس او د سپیم میل ډیټابیس کې موندل شوي ازموینې لیک واستوو (http://untroubled.org/spam/). له دې وروسته، راځئ چې د لاګ لید مینو ته لاړ شو:
لکه څنګه چې موږ لیدلی شو، سپیم او د ویروس سره یو لیک دواړه په بریالیتوب سره پیژندل شوي.
دا ترتیب د ویروسونو او سپیم پروړاندې د لومړني محافظت چمتو کولو لپاره کافي دی. مګر د FortiMail فعالیت پدې پورې محدود ندی. د لا اغیزمن محافظت لپاره، تاسو اړتیا لرئ چې شته میکانیزمونه مطالعه کړئ او د اړتیاوو سره سم یې تنظیم کړئ. په راتلونکي کې، موږ پلان لرو چې د دې بریښنالیک دروازې نورې، نور پرمختللي ځانګړتیاوې په ګوته کړو.
که تاسو د حل په اړه کومه ستونزه یا پوښتنې لرئ، په نظرونو کې یې ولیکئ، موږ به هڅه وکړو چې ژر تر ژره ځواب ووایو.
تاسو کولی شئ د حل ازموینې لپاره د آزموینې جواز لپاره غوښتنه وسپارئ .
لیکوال: الیکسي نیکولین. د معلوماتو د امنیت انجنیر Fortiservice.
سرچینه: www.habr.com