Maligayang pagdating! Ngayon sasabihin namin sa iyo kung paano gawin ang mga paunang setting ng mail gateway β Mga solusyon sa seguridad sa email ng Fortinet. Sa kurso ng artikulo, isasaalang-alang namin ang layout kung saan kami gagana, gagawin namin ang pagsasaayos , na kinakailangan para sa pagtanggap at pagsuri ng mga titik, at subukan din ang pagganap nito. Batay sa aming karanasan, maaari naming ligtas na sabihin na ang proseso ay napaka-simple, at kahit na pagkatapos ng kaunting pagsasaayos, makikita mo ang mga resulta.
Magsimula tayo sa kasalukuyang layout. Ito ay ipinapakita sa figure sa ibaba.
Sa kanan, nakikita namin ang computer ng external na user, kung saan magpapadala kami ng mail sa user sa internal network. Ang computer ng user, isang domain controller na may DNS server at isang mail server ay matatagpuan sa panloob na network. Sa gilid ng network mayroong isang firewall - FortiGate, ang pangunahing tampok kung saan ay ang pagsasaayos ng pagpapasa ng SMTP at trapiko ng DNS.
Bigyang-pansin natin ang DNS.
Dalawang DNS record ang ginagamit para iruta ang email sa Internet, isang A record at isang MX record. Karaniwan, ang mga DNS record na ito ay naka-configure sa isang pampublikong DNS server, ngunit dahil sa mga paghihigpit sa layout, ipinapasa lang namin ang DNS sa pamamagitan ng firewall (iyon ay, ang external na user ay may address na 10.10.30.210 bilang DNS server).
MX record - isang talaan na naglalaman ng pangalan ng mail server na nagsisilbi sa domain, pati na rin ang priyoridad ng mail server na ito. Sa aming kaso, ganito ang hitsura: test.local -> mail.test.local 10.
Ang talaan ay isang talaan na nagko-convert ng isang domain name sa isang IP address, mayroon kami nito: mail.test.local -> 10.10.30.210.
Kapag sinubukan ng aming panlabas na user na magpadala ng email sa [protektado ng email], itatanong nito ang DNS MX server nito para sa test.local domain record. Sasagot ang aming DNS server gamit ang pangalan ng mail server - mail.test.local. Ngayon kailangan ng user na makuha ang IP address ng server na ito, kaya bumalik siya sa DNS para sa A record at makuha ang IP address na 10.10.30.210 (oo, sa kanya na naman :) ). Maaari kang magpadala ng sulat. Samakatuwid, sinusubukan niyang magtatag ng isang koneksyon sa natanggap na IP address sa port 25. Sa tulong ng mga panuntunan sa firewall, ang koneksyon na ito ay ipinapasa sa mail server.
Suriin natin ang functionality ng mail sa kasalukuyang estado ng layout. Upang gawin ito, sa computer ng isang panlabas na user, gagamitin namin ang swaks utility. Sa tulong nito, maaari mong subukan ang pagganap ng SMTP sa pamamagitan ng pagpapadala ng email sa tatanggap na may isang hanay ng iba't ibang mga parameter. Dati, ang isang user na may mailbox ay na-set up na sa mail server [protektado ng email]. Subukan nating magpadala sa kanya ng email:
Ngayon, pumunta tayo sa makina ng panloob na user at tiyaking dumating na ang sulat:
Ang sulat ay talagang dumating (ito ay naka-highlight sa listahan). Kaya ang layout ay gumagana nang tama. Oras na para magpatuloy sa FortiMail. Idagdag natin ang aming layout:
Maaaring i-deploy ang FortiMail sa tatlong mga mode:
- Gateway - gumaganap bilang isang ganap na MTA: kinukuha nito ang lahat ng mail sa sarili nito, sinusuri ito, at pagkatapos ay ipinapasa ito sa mail server;
- Transparent - o kung hindi man, transparent mode. Naka-install sa harap ng server at sinusuri ang papasok at papalabas na mail. Pagkatapos nito, ipinapadala ito sa server. Hindi nangangailangan ng mga pagbabago sa configuration ng network.
- Server - sa kasong ito, ang FortiMail ay isang ganap na mail server na may kakayahang lumikha ng mga mailbox, tumanggap at magpadala ng mail, gayundin sa iba pang pag-andar.
Ide-deploy namin ang FortiMail sa Gateway mode. Pumunta tayo sa mga setting ng virtual machine. Admin ang login, hindi nakatakda ang password. Sa una mong pag-log in, dapat kang magtakda ng bagong password.
Ngayon, i-configure natin ang virtual machine para ma-access ang web interface. Kinakailangan din na ang makina ay may access sa Internet. I-set up natin ang interface. Kailangan lang namin ng port1. Sa pamamagitan nito, kumonekta kami sa web interface, at gagamitin din ito para ma-access ang Internet. Kailangan ng internet access para i-update ang mga serbisyo (mga antivirus signature, atbp.). Upang i-configure, ipasok ang mga utos:
config system interface
i-edit ang port 1
itakda ang ip 192.168.1.40 255.255.255.0
itakda ang allowaccess https http ssh ping
dulo
Ngayon, i-set up natin ang pagruruta. Upang gawin ito, ipasok ang mga sumusunod na command:
config system ruta
i-edit ang 1
itakda ang gateway 192.168.1.1
itakda ang interface port1
dulo
Kapag naglalagay ng mga command, maaari mong gamitin ang mga tab upang maiwasan ang pag-type ng mga ito nang buo. Gayundin, kung nakalimutan mo kung aling utos ang susunod, maaari mong gamitin ang "?" key.
Ngayon tingnan natin ang iyong koneksyon sa internet. Upang gawin ito, i-ping ang Google DNS:
Tulad ng nakikita mo, mayroon kaming Internet. Nakumpleto na ang mga paunang setting na partikular sa lahat ng Fortinet device, maaari ka na ngayong magpatuloy sa pagsasaayos sa pamamagitan ng web interface. Upang gawin ito, buksan ang control page:
Pakitandaan na kailangan mong sundin ang link sa format /admin. Kung hindi, hindi ka makakarating sa control page. Bilang default, ang page ay nasa karaniwang configuration mode. Para sa mga setting, kailangan namin ng Advanced na mode. Pumunta tayo sa admin->View menu at ilipat ang mode sa Advanced:
Ngayon kailangan nating i-download ang lisensya sa pagsubok. Magagawa mo ito sa menu na Impormasyon sa Lisensya β VM β Update:
Kung wala kang lisensya sa pagsubok, maaari kang humiling ng isa sa pamamagitan ng pakikipag-ugnayan .
Pagkatapos ipasok ang lisensya, dapat na i-reboot ang device. Sa hinaharap, magsisimula itong maglabas ng mga update ng mga database nito mula sa mga server. Kung hindi ito awtomatikong mangyayari, maaari kang pumunta sa menu ng System β FortiGuard at i-click ang pindutang I-update Ngayon sa mga tab na Antivirus, Antispam.
Kung hindi ito makakatulong, maaari mong baguhin ang mga port na ginagamit para sa mga update. Karaniwan pagkatapos nito ay lilitaw ang lahat ng mga lisensya. Sa huli dapat itong magmukhang ganito:
Itakda natin ang tamang time zone, ito ay magiging kapaki-pakinabang kapag sinusuri ang mga log. Upang gawin ito, pumunta sa System β Configuration menu:
Iko-configure din namin ang DNS. Bilang pangunahing DNS server, magse-set up kami ng panloob na DNS server, at bilang backup, iiwan namin ang DNS server na ibinigay ng Fortinet.
Ngayon ay lumipat tayo sa pinaka-kawili-wili. Tulad ng maaaring napansin mo, bilang default ang device ay nakatakda sa Gateway mode. Kaya hindi na natin kailangang baguhin. Pumunta tayo sa Domain at User β Domain field. Gumawa tayo ng bagong domain na kailangang protektahan. Dito kailangan lang naming tukuyin ang domain name at mail server address (maaari mo ring tukuyin ang domain name nito, sa aming kaso mail.test.local):
Ngayon ay kailangan naming magbigay ng pangalan para sa aming mail gateway. Gagamitin ito sa mga tala ng MX at A, na kakailanganin naming baguhin sa ibang pagkakataon:
Ang Host Name at Local Domain Name na mga item ay bumubuo sa FQDN, na ginagamit sa mga DNS record. Sa aming kaso, FQDN = fortimail.test.local.
Ngayon, i-set up natin ang tuntunin sa pagtanggap. Kailangan namin ang lahat ng email na nagmumula sa labas at itinalaga sa isang user sa domain upang maipasa sa mail server. Upang gawin ito, pumunta sa menu na Patakaran β Access Control. Ang isang halimbawang setup ay ipinapakita sa ibaba:
Tingnan natin ang tab na Patakaran ng Tatanggap. Dito maaari kang magtakda ng ilang partikular na panuntunan para sa pagsuri ng mga mensahe: kung ang mail ay nagmula sa example1.com na domain, kailangan mong suriin ito gamit ang mga mekanismong partikular na na-configure para sa domain na ito. Mayroon nang nakatakdang default na panuntunan para sa lahat ng mail, at sa ngayon ay nababagay ito sa amin. Makikita mo ang panuntunang ito sa figure sa ibaba:
Kinukumpleto nito ang pag-setup sa FortiMail. Sa katunayan, marami pang posibleng mga parameter, ngunit kung sisimulan nating isaalang-alang ang lahat ng mga ito, maaari tayong magsulat ng libro :) At ang layunin natin ay patakbuhin ang FortiMail sa test mode na may kaunting pagsisikap.
May dalawang bagay na natitira - baguhin ang mga tala ng MX at A, at baguhin din ang mga panuntunan sa pagpapasa ng port sa firewall.
Ang MX record test.local -> mail.test.local 10 ay kailangang baguhin sa test.local -> fortimail.test.local 10. Ngunit kadalasan ay nagdaragdag ng pangalawang mas mataas na priyoridad na MX record sa panahon ng mga piloto. Halimbawa:
test.local -> mail.test.local 10
test.local -> fortimail.test.local 5
Ipaalala ko sa iyo na mas mababa ang preference number ng mail server sa MX record, mas mataas ang priyoridad nito.
Hindi mababago ang isang tala, kaya gumawa na lang tayo ng bago: fortimail.test.local -> 10.10.30.210. Tatalakayin ng external na user ang 10.10.30.210 sa port 25 at ipapasa ng firewall ang koneksyon sa FortiMail.
Upang mabago ang panuntunan sa pagpapasa sa FortiGate, kailangan mong baguhin ang address sa kaukulang Virtual IP object:
Handa na ang lahat. Suriin natin. Muli tayong magpadala ng email mula sa computer ng external na user. Ngayon, pumunta tayo sa FortiMail sa Monitor β Logs menu. Sa field na History, makikita mo ang isang talaan na tinanggap ang sulat. Para sa karagdagang impormasyon, maaari kang mag-right click sa isang entry at piliin ang Mga Detalye:
Upang makumpleto ang larawan, tingnan natin kung ang FortiMail sa kasalukuyang pagsasaayos ay maaaring harangan ang mga email na naglalaman ng spam at mga virus. Upang gawin ito, magpadala tayo ng test eicar virus at isang pansubok na email na makikita sa isa sa mga database ng spam (http://untroubled.org/spam/). Pagkatapos nito, bumalik tayo sa menu ng log view:
Tulad ng nakikita mo, parehong spam at isang sulat na may virus ay matagumpay na natukoy.
Ang pagsasaayos na ito ay sapat na upang magbigay ng pangunahing proteksyon laban sa mga virus at spam. Ngunit ang pag-andar ng FortiMail ay hindi limitado dito. Para sa mas epektibong proteksyon, kailangan mong pag-aralan ang mga magagamit na mekanismo at i-customize ang mga ito sa iyong mga pangangailangan. Sa hinaharap, plano naming saklawin ang iba pang mas advanced na mga tampok ng mail gateway na ito.
Kung mayroon kang anumang mga paghihirap o mga katanungan tungkol sa solusyon, isulat ang mga ito sa mga komento, susubukan naming sagutin ang mga ito kaagad.
Maaari kang mag-iwan ng kahilingan para sa isang lisensya sa pagsubok upang subukan ang solusyon .
May-akda: Alexey Nikulin. Fortiservice information security engineer.
Pinagmulan: www.habr.com