fortinet powerpoint template - consulting.erc.ua...39 fortinet confidential 8. access control rules...
Post on 21-Apr-2020
11 Views
Preview:
TRANSCRIPT
1 Fortinet Confidential
December 9, 2013
FortiMail 5.0
Руководство по быстрой настройке
2 Fortinet Confidential
Упрощенная схема обработки электронной почты
1 2
3
4
5
6
;; ANSWER SECTION:
example3.com 3600 IN MX 50 relay.example2.net
example3.com 3600 IN MX 100 mail.example3.com
3 Fortinet Confidential
Стадия планирования
» Выбор топологии
» Выбор HA настроек
» Сбор информации, нужной для настроек
Стадия внедрения
» Установка последней версии стабильной прошивки
» Выбор операционного режима
• (Gateway/Server/Transparent)
» Настройка в соответствии с Шагами быстрой настройки
4 Fortinet Confidential
Выбор топологии
Deploy on-site or in the cloud to
relay mail to destination
Gateway
Network and application
transparent
Transparent Inline
Full mail server and groupware
functionality
Server
Варианты
внедрения
5 Fortinet Confidential
Какую отказоустойчивую конфигурацию лучше
использовать ? – особенности архитектуры
Варианты внедрения: перед firewall периметра – меньше трафика на firewall , режимы Gateway/TP
в DMZ – более безопасно – больше трафика на firewall , режимы Gateway/TP
во внутренней сети – режим Server Mode
Варианты отказоустойчивых конфигураций: HA – только синхронизация настроек (от 2 до 25 устройств в режиме Active/Active )
или Active/Passive кластер с полной синхронизацией настроек и данных (2 устройства)
6 Fortinet Confidential
Какую отказоустойчивую конфигурацию лучше
использовать ? – особенности архитектуры
• FML в режиме Config Only для HA
» применим для Gateway или Transparent режимов
» две или более записи MX
» От двух до 25 устройств Fortimail в Config-only HA
7 Fortinet Confidential
Какую отказоустойчивую конфигурацию лучше
использовать ? – особенности архитектуры
• FML в Active – Passive конфигурации для HA
» Работает для любого режима, но очень рекомендован для режима Server
» 2 устройства FortiMail в HA группе
» Полная синхронизацией настроек и данных
8 Fortinet Confidential
Перечень данных для инсталяции
DNS / MX
Access
AV/AS
MTA / MAA
Inbox Storage
MUA
Помните
• Все начинается с
проектирования
• Внедрение будет более простым
и быстрым, если
предварительно будут собраны
необходимые данные.
ISP 1
ISP 2
15 Fortinet Confidential
Шаги быстрой настройки
1. Сетевые настройки
2. Маршрутизация
3. Системные настройки
4. HA (опционально)
5. DNS сервер
6. Настройка Local Host
7. Настройка Protected Domains
8. Настройка Access Control
9. Настройка Recipient Policies (Inbound and Outbound)
10. Настройка Users
11. Опционально: Настройка LDAP
12. Опционально: Настройка IBE
13. Настройка архивации
16 Fortinet Confidential
1. Сетевые настройки
• Настройка из консоли
Используйте имя пользователя “admin“ с пустым паролем
17 Fortinet Confidential
1. Сетевые настройки
• Настройде IP адрес для интерфейса
18 Fortinet Confidential
Доступ к web интерфейсу управления
Используйте https://ip-address/admin для доступа к интерфейсу управления
19 Fortinet Confidential
Доступ к web интерфейсу управления
Используйте имя пользователя “admin“ с пустым паролем
20 Fortinet Confidential
1. Сетевые настройки
a) Настройте IP/netmask и доступ
b) Отключите интерфейсы, которые не используются.
Edit or double click
21 Fortinet Confidential
2. Маршрутизация
a) Настройте шлюз по умолчанию.
22 Fortinet Confidential
3. Версия ПО, лицензии, операционный режим,
системное время
Проверьте настройки системного времени!!!
23 Fortinet Confidential
3. Версия ПО, лицензии, операционный режим,
системное время
**Version 5.0 GA Build (107)**
24 Fortinet Confidential
3. Версия ПО, лицензии, операционный режим,
системное время
a) ВАЖНО!
b) Сейчас Вы настраиваете операционный режим(OPERATION
MODE)
c) Режимом по умолчанию является Gateway
d) Gateway является наиболее часто используемым режимом
e) Изменение операционного режима может сбросить некоторые
настройки
26 Fortinet Confidential
4. Настройка HA (опционально)
27 Fortinet Confidential
4. Настройка HA (опционально). Config only mode
29 Fortinet Confidential
5. DNS Configuration
a) Проверьте настройки DNS.
b) Primary DNS: всегда лучше использовать локальный DNS
c) Secondary DNS: может быть как внешний, так и второй
локальный DNS
30 Fortinet Confidential
6. Настройка Local Host
a) Host Name (проверьте, что DNS настроен на разрешение Host
Name)
b) Local Domain Name
c) SMTP over SSL/TLS
Использование шифрования
31 Fortinet Confidential
6. Настройка Local Host
Нет опции STARTTLS
SMTP соединения должны
быть без шифрования..
Разрешает шифрованные
соединения от SMTP клиентов,
которые требуют SSL/TLS.
32 Fortinet Confidential
7. Настройка Protected Domains
a) Режим GTW :
a) Protected Domain Name
b) Relay_type (host, mx_lookup, ip_pool, Ldap_domain_routing)
b) Режим Server :
a) Protected Domain Name
b) LDAP Profile (опционально)
33 Fortinet Confidential
7. Настройка Protected Domains
режим GTW : Relay Type
• Позволяет балансировать соединения на несколько серверов
35 Fortinet Confidential
7. Настройка Protected Domains
режим GTW : настройка домена
• настройка Protected Domain
36 Fortinet Confidential
7. Настройка Protected Domains
режим GTW : настройка домена
• настройка Protected Domain
37 Fortinet Confidential
8. Access Control Rules
• Access Control:
» Access control rules начинают действовать после того, как FortiMail инициировал или
получил IP и TCP-level соединение
» FortiMail инициировал SMTP сессию Delivery Tab
» FortiMail является назначением SMTP сессии Receiving Tab
• Когда нужно настраивать?
» Если action по умолчанию не является достаточным для доставки почты через FortiMail
» Receiving
• Для защищенных доменов, action по умолчанию - RELAY.
• Для незащищенных доменов, action по умолчанию - REJECT.
» Delivery
• Если нужна гарантия безопасной доставки почты в специфический домен или пользователю
• Опции: TLS для SMTP сессии, secure MIME (S/MIME) для IBE.
38 Fortinet Confidential
8. Access Control Rules
режим GTW : простая Outbound Access Control
Policy
Создайте outbound Access rule
Настройки:
Sender = Internal
Recipient = External
Sender IP = Mail Host/32
Authentication = Unauthenticated
Action = RELAY
Applied Access Control policy
39 Fortinet Confidential
8. Access Control Rules
• Избегайте Open Relay!!!
» Всегда пытайтесь настроить правило использую /32 конкретный адрес, не
диапазон адресов.
» Не используйте NAT на Firewall
• Правило с использованием IP префикса с маской отличной от /32+ Inbound NAT -
получаем Open Relay! в результате!!!
» MUA клиенты должны использовать аутентификацию
» Проверьте вашу настройку с помощью любого онлайнового Open Relay
тестера (например http://mxtoolbox.com/diagnostic.aspx )
40 Fortinet Confidential
9. Политики (Policies)
• Политики (Policies)
» Определяют правила фильтрации трафика и настройки учетных записей
пользователей (auth. Type, disc quota, webmail access)
» Используют профили (profiles): antispam, antivirus, content, authentication, TLS,
или resource profiles
• Recipient Policies
» Базируются на почтовом адресе или группе получателя
• IP Policies
» Базируются на IP адресе SMTP клиента (server mode или gateway mode)
» Базируются на IP адресах SMTP клиента и SMTP сервера (transparent
mode).
41 Fortinet Confidential
9. Policies & Profiles - Best Practice Profiles
• Есть несколько преднастроенных рекомендованных профилей
(Best Practice Profiles)
» AS_Inbound
» AS_Outbound
» AV_In_Discard
» AV_Out_Reject
» CF_Inbound
» CF_Outbound
• В большинстве случаев 99.5% спама фильтруется при
использовании этих профилей.
• Можно настроить дополнительные профили при надобности позже
43 Fortinet Confidential
9. Policies & Profiles – настройка входящей сессии
Настройка Inbound_Session profile
Настройки:
Включите: “FortiGuard Black IP at
сonnection phase”
44 Fortinet Confidential
9. Policies & Profiles – настройка входящей сессии
Настройка Inbound_Session profile
Настройки:
Выключите: “Check sender domain”
45 Fortinet Confidential
9. Policies & Profiles – настройка входящей сессии
Настройка Inbound_Session profile
Настройки:
Cap message size: ??KB
(максимальный размер сообщения,
10МВ по умолчанию)
46 Fortinet Confidential
9. Policies & Profiles - настройка исходящей сессии
Настройка Outbound_Session profile
Настройки:
Отключите: “Check recipient domain”
Cap message size: ??Kb
49 Fortinet Confidential
9. Policies & Profiles – входящий AntiSpam Profile
Настройка “AS_Inbound” profile
Включите: URI Filter
Включите: “Suspicious Newsletter”
Включите: “Scan PDF attachment”
50 Fortinet Confidential
9. Policies & Profiles – действие для входящего
AntiSpam
Настройка персонального карантина
51 Fortinet Confidential
9. Policies & Profiles – входящий AntiVirus Profile
AV profile для входящих
сканирования и фильтрации
вирусов
52 Fortinet Confidential
9. Policies & Profiles – исходящий AntiVirus Profile
AV profile для исходящих
сканирования и фильтрации
вирусов
53 Fortinet Confidential
9. Policies & Profiles - Content Filtering Profile
Content Profile для фильтрации
вложений
54 Fortinet Confidential
9. Policies & Profiles – действие для входящего
Content Filter
55 Fortinet Confidential
9. Policies & Profiles – входящяя Recipient Based
Policy
Выберите настроенные ранее
профили (profiles)
56 Fortinet Confidential
9. Policies & Profiles – Policies в итоге
58 Fortinet Confidential
9. Policies & Profiles –
Policies Summary Reference
FortiMail поддерживает 3 типа политик (policies):
• Access control receiving/delivery rules ограничение входящих/исходящих SMTP сессий
• Recipient Policies
» Базируются на почтовом адресе или группе получателя
• IP Policies
» Базируются на IP адресе SMTP клиента (режимы server mode или gateway )
» Базируются на IP адресах SMTP клиента и SMTP сервера (transparent
режим).
59 Fortinet Confidential
10. Пользователи (Users).
• В режиме server мы можем настроить локальные учетные записи
пользователей (почтовых ящиков).
• Две опции: Local или Remote(LDAP) пользователи
• Пользователи могут получать доступ к почтовому ящику
посредством Webmail, POP3 или IMAP.
62 Fortinet Confidential
11. Базовая настройка LDAP (Active Directory)
Настройте логин для доступа к AD
(с правами чтения)
User Auth = Search user
Измените Password schema на
«AD»
и включите «Bypass recipient…»
65 Fortinet Confidential
11. LDAP profiles - LDAP аутентификация доступа
к карантину – режим GTW
Настройте политику для
использования LDAP
аутенификации и включите Webmail
access
67 Fortinet Confidential
11. LDAP profiles - LDAP Group Policy
Настройка политики получателя
LDAP Policy
68 Fortinet Confidential
12. Шифрование сообщений
Feature Description
Secure Email Delivery Gateway to Gateway Clientless TLS and S/MIME
Encryption
INTERNET
GATEWAYS
Secure Email Domain Delivery
TLS-S/MIME
69 Fortinet Confidential
12. Шифрование- TLS Delivery Enforcement Policy
(опционально)
Настройка TLS Profile и Delivery
Rule
Примечание: Необходимо
установить root CA
Certificate для удаленного домена
70 Fortinet Confidential
12. Шифрование - Identity Based Encryption - метод
“Pull”
⑤ ПОЛУЧАТЕЛЬ
ОТКРЫВАЕТ
ПОЛУЧЕННУЮ
ССЫЛКУ ⑥ ПОЛУЧАТЕЛЬ
РЕГИСТРИРУЕТСЯ И
АУТЕНТИФИЦИРУЕТСЯ
④ СООБЩЕНИЕ С
УВЕДОМЛЕНИЕМ И ССЫЛКОЙ
ОТПРАВЛЯЕТСЯ ПОЛУЧАТЕЛЮ
⑦ СООБЩЕНИЕ
ОТОБРАЖАЕТСЯ ЧЕРЕЗ
WEBMAIL INTERFACE
③ ЗАШИФРОВАННОЕ
СООБЩЕНИЕ ХРАНИТСЯ НА
FORTIMAIL В БЕЗОПАСНОМ
MAILBOX
3
② СООБЩЕНИЕ
СООТВЕТСТВУЕТ
ENCRYPTION
POLICY
7
① СООБЩЕНИЕ
ОТСЫЛАЕТСЯ
КЛИЕНТОМ
1
MTA
4
5
6
71 Fortinet Confidential
12. Шифрование - Identity Based Encryption - метод
“Push”
⑥ ПОЛУЧАТЕЛЬ
РЕГИСТРИРУЕТСЯ И
АУТЕНТИФИЦИРУЕТСЯ
④ УВЕДОМЛЕНИЕ ОТСЫЛАЕТСЯ
ПОЛУЧАТЕЛЮ С HTML
СОДЕРЖИМЫМ КАК
ВЛОЖЕНИЕМ
⑦ СООБЩЕНИЕ
ОТОБРАЖАЕТСЯ ЧЕРЕЗ
WEBMAIL INTERFACE
③ СООБЩЕНИЕ
ШИФРУЕТСЯ В
ФОРМАТЕ HTML
② СООБЩЕНИЕ
СООТВЕТСТВУЕТ
ENCRYPTION
POLICY
7
① СООБЩЕНИЕ
ОТСЫЛАЕТСЯ
КЛИЕНТОМ
1
MTA
5
3 4
⑤ ПОЛУЧАТЕЛЬ
ОТКРЫВАЕТ
ВЛОЖЕНИЕ
6
72 Fortinet Confidential
12. Шифрование – настройка IBE и Encryption
Profile
настройка IBE и Encryption Profile
73 Fortinet Confidential
12. Шифрование - Outbound IBE Policy Content
Filtering
Настройка IBE Policy
74 Fortinet Confidential
12. Шифрование – применение outbound IBE Policy
based Rule
Outbound Content Filtering policy
с content triggered IBE
75 Fortinet Confidential
12. Шифрование - Identity Based Encryption
(IBE) Message, Login, Interface
Secure Message
93 Fortinet Confidential
13. Архивация сообщений
Свойства архивации и исключения
105 Fortinet Confidential
Настройка SNMP - рекомендации
• Всегда используйте систему мониторинга для отслеживание
следующих параметров:
» fmlSysCpuUsage (.1.3.6.1.4.1.12356.105.1.6.0) утилизация CPU (%)
» fmlSysMemUsage (.1.3.6.1.4.1.12356.105.1.7.0) утилизация оперативной
памяти (%).
» fmlSysLogDiskUsage(.1.3.6.1.4.1.12356.105.1.8.0) утилизация лог диска(%).
» fmlSysMailDiskUsage (.1.3.6.1.4.1.12356.105.1.9.0) утилизация хранилища
сообщений(%).
» fmlSysSesCount (.1.3.6.1.4.1.12356.105.1.10.0) текущее количество сессий.
106 Fortinet Confidential
Настройка SNMP - рекомендации
• Настройка границ для SNMP Trap
107 Fortinet Confidential
Настройка SNMP - рекомендации
• Следует использовать Core MIB и MIB для версии прошивки,
которая используется.
» CORE MIB:
• ftp://support.fortinet.com/FortiMail/v5.00/Core%20MIB/FORTINET-CORE-MIB.mib
» 5.0.0 MIBs
• ftp://pftpintl:F0rt1intl@support.fortinet.com/FortiMail/v5.00/5.0/5.0.0/MIB/FORTINET-
FORTIMAIL-MIB.mib
top related