Chào mừng! Hôm nay chúng tôi sẽ cho bạn biết cách thực hiện các cài đặt ban đầu của cổng thư – Giải pháp bảo mật email của Fortinet. Trong bài viết, chúng ta sẽ xem xét bố cục mà chúng ta sẽ làm việc và thực hiện cấu hình , cần thiết để nhận và kiểm tra thư, đồng thời chúng tôi cũng sẽ kiểm tra hiệu suất của nó. Dựa trên kinh nghiệm của chúng tôi, chúng tôi có thể nói một cách an toàn rằng quy trình này rất đơn giản và ngay cả sau khi cấu hình tối thiểu, bạn vẫn có thể thấy kết quả.
Hãy bắt đầu với cách bố trí hiện tại. Nó được thể hiện trong hình dưới đây.
Ở bên phải, chúng ta thấy máy tính của người dùng bên ngoài, từ đó chúng ta sẽ gửi thư cho người dùng trên mạng nội bộ. Mạng nội bộ chứa máy tính của người dùng, bộ điều khiển miền có máy chủ DNS chạy trên đó và máy chủ thư. Ở rìa mạng có tường lửa - FortiGate, tính năng chính của nó là định cấu hình chuyển tiếp lưu lượng SMTP và DNS.
Hãy đặc biệt chú ý đến DNS.
Có hai bản ghi DNS được sử dụng để định tuyến email trên Internet—bản ghi A và bản ghi MX. Thông thường, các bản ghi DNS này được định cấu hình trên máy chủ DNS công cộng, nhưng do hạn chế về bố cục, chúng tôi chỉ chuyển tiếp DNS qua tường lửa (nghĩa là người dùng bên ngoài có địa chỉ 10.10.30.210 được đăng ký làm máy chủ DNS).
Bản ghi MX là bản ghi chứa tên của máy chủ thư phục vụ miền cũng như mức độ ưu tiên của máy chủ thư này. Trong trường hợp của chúng tôi, nó trông như thế này: test.local -> mail.test.local 10.
Bản ghi là bản ghi chuyển đổi tên miền thành địa chỉ IP, đối với chúng tôi đó là: mail.test.local -> 10.10.30.210.
Khi người dùng bên ngoài của chúng tôi cố gắng gửi email đến [email được bảo vệ], nó sẽ truy vấn máy chủ DNS MX của nó để tìm bản ghi miền test.local. Máy chủ DNS của chúng tôi sẽ phản hồi bằng tên của máy chủ thư - mail.test.local. Bây giờ người dùng cần lấy địa chỉ IP của máy chủ này nên anh ta lại truy cập DNS cho bản ghi A và nhận được địa chỉ IP 10.10.30.210 (vâng, lại là của anh ấy :)). Bạn có thể gửi một lá thư. Do đó, nó cố gắng thiết lập kết nối tới địa chỉ IP nhận được trên cổng 25. Sử dụng các quy tắc trên tường lửa, kết nối này được chuyển tiếp đến máy chủ thư.
Hãy kiểm tra chức năng của thư ở trạng thái hiện tại của bố cục. Để thực hiện việc này, chúng tôi sẽ sử dụng tiện ích swaks trên máy tính của người dùng bên ngoài. Với sự trợ giúp của nó, bạn có thể kiểm tra hiệu suất của SMTP bằng cách gửi cho người nhận một lá thư với một tập hợp các tham số khác nhau. Trước đây, người dùng có hộp thư đã được tạo trên máy chủ thư [email được bảo vệ]. Hãy thử gửi cho anh ấy một lá thư:
Bây giờ chúng ta hãy đến máy của người dùng nội bộ và đảm bảo rằng thư đã đến:
Bức thư thực sự đã đến (nó được đánh dấu trong danh sách). Điều này có nghĩa là bố cục đang hoạt động chính xác. Bây giờ là lúc chuyển sang FortiMail. Hãy thêm vào bố cục của chúng tôi:
FortiMail có thể được triển khai ở ba chế độ:
- Cổng - hoạt động như một MTA chính thức: nó tiếp quản tất cả thư, kiểm tra và sau đó chuyển tiếp đến máy chủ thư;
- Trong suốt - hay nói cách khác là chế độ trong suốt. Nó được cài đặt trước máy chủ và kiểm tra thư đến và đi. Sau đó, nó truyền nó đến máy chủ. Không yêu cầu thay đổi cấu hình mạng.
- Máy chủ - trong trường hợp này, FortiMail là một máy chủ thư chính thức có khả năng tạo hộp thư, nhận và gửi thư cũng như các chức năng khác.
Chúng tôi sẽ triển khai FortiMail ở chế độ Cổng. Hãy đi đến cài đặt máy ảo. Đăng nhập là quản trị viên, không có mật khẩu được chỉ định. Khi đăng nhập lần đầu tiên, bạn phải đặt mật khẩu mới.
Bây giờ chúng ta hãy cấu hình máy ảo để truy cập vào giao diện web. Điều cần thiết là máy có quyền truy cập Internet. Hãy thiết lập giao diện. Chúng tôi chỉ cần cổng1. Với sự trợ giúp của nó, chúng tôi sẽ kết nối với giao diện web và nó cũng sẽ được sử dụng để truy cập Internet. Cần truy cập Internet để cập nhật dịch vụ (chữ ký chống vi-rút, v.v.). Để cấu hình, nhập các lệnh:
giao diện hệ thống cấu hình
chỉnh sửa cổng 1
đặt ip 192.168.1.40 255.255.255.0
đặt quyền truy cập https http ssh ping
cuối
Bây giờ hãy cấu hình định tuyến. Để làm điều này, bạn cần nhập các lệnh sau:
tuyến đường cấu hình hệ thống
chỉnh sửa 1
đặt cổng 192.168.1.1
đặt cổng giao diện1
cuối
Khi nhập lệnh, bạn có thể sử dụng tab để tránh gõ đầy đủ. Ngoài ra, nếu bạn quên lệnh nào sẽ xảy ra tiếp theo, bạn có thể sử dụng phím “?”.
Bây giờ hãy kiểm tra kết nối Internet của bạn. Để thực hiện việc này, hãy ping Google DNS:
Như bạn có thể thấy, hiện nay chúng ta đã có Internet. Cài đặt ban đầu điển hình cho tất cả các thiết bị Fortinet đã được hoàn thành và bây giờ bạn có thể tiến hành cấu hình qua giao diện web. Để thực hiện việc này, hãy mở trang quản lý:
Xin lưu ý rằng bạn cần phải theo liên kết ở định dạng /quản trị viên. Nếu không, bạn sẽ không thể truy cập trang quản lý. Theo mặc định, trang ở chế độ cấu hình tiêu chuẩn. Đối với cài đặt, chúng tôi cần chế độ Nâng cao. Chúng ta vào menu quản trị->Xem và chuyển chế độ sang Nâng cao:
Bây giờ chúng ta cần tải xuống giấy phép dùng thử. Điều này có thể được thực hiện trong menu Thông tin giấy phép → VM → Cập nhật:
Nếu bạn không có giấy phép dùng thử, bạn có thể yêu cầu bằng cách liên hệ .
Sau khi nhập giấy phép, thiết bị sẽ khởi động lại. Trong tương lai, nó sẽ bắt đầu lấy các bản cập nhật về cơ sở dữ liệu của mình từ máy chủ. Nếu điều này không tự động xảy ra, bạn có thể đi tới menu Hệ thống → FortiGuard và trong tab Chống vi-rút, Chống thư rác, nhấp vào nút Cập nhật ngay.
Nếu điều này không hiệu quả, bạn có thể thay đổi các cổng được sử dụng để cập nhật. Thông thường sau đó tất cả các giấy phép sẽ xuất hiện. Cuối cùng nó sẽ trông như thế này:
Hãy thiết lập múi giờ chính xác, điều này sẽ hữu ích khi kiểm tra nhật ký. Để thực hiện việc này, hãy chuyển đến menu Hệ thống → Cấu hình:
Chúng tôi cũng sẽ cấu hình DNS. Chúng tôi sẽ định cấu hình máy chủ DNS nội bộ làm máy chủ DNS chính và để máy chủ DNS do Fortinet cung cấp làm máy chủ dự phòng.
Bây giờ chúng ta hãy chuyển sang phần thú vị. Như bạn có thể nhận thấy, thiết bị được đặt ở chế độ Cổng theo mặc định. Vì vậy, chúng ta không cần phải thay đổi nó. Chúng ta hãy đi tới trường Miền & Người dùng → Miền. Hãy tạo một miền mới cần được bảo vệ. Ở đây chúng tôi chỉ cần chỉ định tên miền và địa chỉ máy chủ thư (bạn cũng có thể chỉ định tên miền của nó, trong trường hợp của chúng tôi là mail.test.local):
Bây giờ chúng ta cần cung cấp tên cho cổng thư của mình. Điều này sẽ được sử dụng trong các bản ghi MX và A mà chúng ta sẽ cần thay đổi sau:
Từ các điểm Tên máy chủ và Tên miền cục bộ, FQDN được biên dịch, được sử dụng trong các bản ghi DNS. Trong trường hợp của chúng tôi, FQDN = fortimail.test.local.
Bây giờ hãy thiết lập quy tắc nhận. Chúng tôi cần tất cả các email đến từ bên ngoài và được gán cho người dùng trong miền để được chuyển tiếp đến máy chủ thư. Để thực hiện việc này, hãy chuyển đến menu Chính sách → Kiểm soát truy cập. Một thiết lập ví dụ được hiển thị dưới đây:
Hãy xem tab Chính sách người nhận. Tại đây, bạn có thể đặt các quy tắc nhất định để kiểm tra thư: nếu thư đến từ miền example1.com, bạn cần kiểm tra nó bằng các cơ chế được định cấu hình riêng cho miền này. Đã có một quy tắc mặc định cho tất cả thư và hiện tại nó phù hợp với chúng tôi. Bạn có thể thấy quy tắc này trong hình dưới đây:
Tại thời điểm này, quá trình thiết lập trên FortiMail có thể được coi là hoàn tất. Trên thực tế, còn có nhiều thông số khả thi hơn, nhưng nếu bắt đầu xem xét tất cả, chúng ta có thể viết một cuốn sách :) Và mục tiêu của chúng tôi là khởi chạy FortiMail ở chế độ thử nghiệm với nỗ lực tối thiểu.
Còn lại hai việc - thay đổi bản ghi MX và A, đồng thời thay đổi quy tắc chuyển tiếp cổng trên tường lửa.
Bản ghi MX test.local -> mail.test.local 10 phải được đổi thành test.local -> fortimail.test.local 10. Nhưng thông thường trong quá trình thử nghiệm, bản ghi MX thứ hai có mức độ ưu tiên cao hơn sẽ được thêm vào. Ví dụ:
test.local -> mail.test.local 10
test.local -> fortimail.test.local 5
Hãy để tôi nhắc bạn rằng số thứ tự của tùy chọn máy chủ thư trong bản ghi MX càng thấp thì mức độ ưu tiên của nó càng cao.
Và mục nhập không thể thay đổi được, vì vậy chúng tôi sẽ chỉ tạo một mục mới: fortimail.test.local -> 10.10.30.210. Người dùng bên ngoài sẽ liên hệ với địa chỉ 10.10.30.210 trên cổng 25 và tường lửa sẽ chuyển tiếp kết nối tới FortiMail.
Để thay đổi quy tắc chuyển tiếp trên FortiGate, bạn cần thay đổi địa chỉ trong đối tượng IP ảo tương ứng:
Tất cả đã sẵn sàng. Hãy kiểm tra. Hãy gửi lại thư từ máy tính của người dùng bên ngoài. Bây giờ chúng ta hãy truy cập FortiMail trong menu Màn hình → Nhật ký. Trong trường Lịch sử, bạn có thể thấy bản ghi rằng bức thư đã được chấp nhận. Để biết thêm thông tin, bạn có thể nhấp chuột phải vào mục và chọn Chi tiết:
Để hoàn thiện bức tranh, hãy kiểm tra xem FortiMail trong cấu hình hiện tại có thể chặn các email chứa thư rác và vi rút hay không. Để thực hiện việc này, chúng tôi sẽ gửi virus kiểm tra eicar và thư kiểm tra được tìm thấy trong một trong các cơ sở dữ liệu thư rác (http://untroubled.org/spam/). Sau này, hãy quay lại menu xem nhật ký:
Như chúng ta có thể thấy, cả thư rác và thư có vi-rút đều được xác định thành công.
Cấu hình này đủ để cung cấp sự bảo vệ cơ bản chống lại virus và thư rác. Nhưng chức năng của FortiMail không giới hạn ở điều này. Để bảo vệ hiệu quả hơn, bạn cần nghiên cứu các cơ chế có sẵn và tùy chỉnh chúng cho phù hợp với nhu cầu của mình. Trong tương lai, chúng tôi dự định nêu bật các tính năng khác, nâng cao hơn của cổng thư này.
Nếu bạn có bất kỳ khó khăn hoặc câu hỏi nào liên quan đến giải pháp, hãy viết chúng trong phần bình luận, chúng tôi sẽ cố gắng trả lời kịp thời.
Bạn có thể gửi yêu cầu cấp phép dùng thử để kiểm tra giải pháp .
Tác giả: Alexey Nikulin. Kỹ sư bảo mật thông tin Fortiservice.
Nguồn: www.habr.com