2023年11月18日發(作者:描寫美食的詞語)
Astaro Security Gateway v8
管理員使用指南
郵件安全部分
1
Introducation
本手冊針對 ASG 管理員而設計���。
Notice
本手冊包含如下縮略語:
??ASG —— Astaro Security Gateway,Astaro安全網關
WebAdmin
WebAdmin 是基于瀏覽器技術的用戶管理接口,您可以在這里管理 ASG 的全部內容�����。WebAdmin 有
菜單項和多標簽頁面構成�����。主菜單項排列在界面的左側��,提供 ASG 全部功能列表。當您選擇一個主菜
單項時�����,例如 “網絡”�,其會顯示出相關的子菜單項目與頁面。請注意����,有些主菜單項是沒有相關頁面的���,
此時您必須繼續選擇其下屬的子菜單項目��,才會顯示出相關聯的頁面。
在本手冊中,我們用如下格式引導您到達某功能頁面�����。例如�����,
“接口與路由 >> 接口 ”
導航菜單概述
WebAdmin 的導航菜單項提供了 ASG 設備全部的功能配置,因此您不需要使用命令行方式配置 ASG
的某些參數���。
??設備狀態(Dashboard):顯示當前 ASG 設備的各項功能操作狀態和資源使用情況。
??系統管理(Management):配置基本的系統信息,WebAdmin界面的相關參數����,及與 ASG 配置相
關的各項參數�。
??用戶定義(Urs):配置用戶帳號����、用戶組、ASG 可使用的外置認證服務器等項目。
??對像定義(Definitions):對網絡對象、服務對象、時間事件的定義。
??接口和路由(Interface & Routing):配置 ASG 的網絡接口�、路由信息等項目���。
??網絡服務(Network Services):配置如 DNS 和 DHCP 等 ASG 可以對內部網絡提供的服務項目�。
??網絡安全(Network Security):配置基本的網絡安全功能,如包過濾規則、NAT、入侵防御等項目。
2
??Web 安全(Web Security):配置 HTTP/S Proxy�、 FTP Proxy�����、IM、P2P控制等項目。
??郵件安全(Mail Security):配置 SMTP 和 POP3 proxy�、郵件加密等項目��。
??無線安全(Wireless Security):配置 Astaro 的專業無線網絡。
??Web 防火墻(Web ):配置對內部 Web 服務器的專項防御。
??RED 管理(RED Management):配置 Astaro 特有的 VPN 設備 —— RED�����。
??日志管理(Log Management):配置基于云的 Astaro 日志存儲��。
??點對點 VPN(site-to-site VPN):配置局域網之間通過 Internet 實現設備到設備的 VPN 通訊。
??遠程訪問(Remote Access):配置移動用戶通過 Internet 實現與 ASG 內部網絡的 VPN 通訊�。
??日志記錄(Logging):查看并配置存儲在 ASG 設備上的日志信息��。
??系統報告(Reporting):查看并配置存儲在 ASG 設備上的報告系統。
??技術支持(Support):獲取更為詳細的維護信息����。
??Log Off:退出 WebAdmin 管理界面����。
3
系統管理(Management)
用戶門戶(Ur Portal)
這里可啟用或關閉用戶門戶功能��。用戶門戶是企業內部用戶在 ASG 上的一個自助管理界面�,通過這個
自助管理界面�����,用戶可以查看自己的垃圾郵件�、郵件日志�、VPN配置、修改登錄密碼等����。
最終用戶門戶選項
管理員可以限制哪些 IP 地址可以打開自助管理界面���,如下圖所示:
管理員可以限制哪些用戶擁有自己的自助管理界面��,如下圖所示:
禁用門戶項
管理員可以限制哪些功能可以出現在自助管理界面中,如下圖所示:
4
歡迎消息
管理員可以自定義登錄自助管理界面后的歡迎信息�����。
用戶定義(Urs)
Authentication Server
全局設置(Global Settings)
自動創建用戶
自動創建用戶對象�����。當認證采用 Radius、LDAP��、AD等認證服務器時����,選擇此選項后,如果用戶登錄
成功���,可以在 ASG 的 “用戶” 部分自動創建該用戶對象,其基本信息取自認證服務器上用戶信息�����,如
同時關聯真實姓名����、郵件地址等信息。
自動為設施創建用戶
定義哪些項目在使用時�,可支持自動創建用戶功能�。常用選項如下:
??HTTP 代理
??最終用戶門戶
??SMTP 代理
??SSL VPN
服務器
Active Directory
下面舉例說明如何定義一臺 Active Directory 服務器
Backend
選擇 Active Directory
Server
填寫 Windows Active Directory 主機的 IP 地址或域名�。
Bind DN
擁有遍歷 AD 權限的用戶。例如:cn=Administrator,cn=Urs,dc=abc,dc=net�����,也可以直接寫
Administrator
Password 和 Repeat
擁有遍歷 AD 權限的用戶在 AD 上的密碼��。
6
Test rver ttings
測試可否遍歷 AD��。如果成功��,ASG給出提示:Server test pasd.
Ba DN
遍歷 AD 的起點。例如:dc=abc,dc=net
要查詢的資源��,如用戶名/用戶組���,必須包含在Ba DN中��。
Urname 、 Passwrod�、Authenticate example ur
填寫一個 AD 上的有效用戶���,測試 ASG 與 AD 是否能夠認證成功��。
如果成功,ASG給出提示:
Ur authentication:
Authentication test pasd.
Ur is a member of the following groups:
Active Directory Urs
定義好一臺 Active Directory 服務器后����,如下圖所示:
注:
如何取消 AD 的用戶密碼復雜性
??修改 “域安全策略” 里面的 “帳戶策略” —— “密碼策略” —— “復雜性”設為禁用
??使此策略修改生效�,在命令行輸入:gpupdate
高級(Advanced)
預取目錄用戶
7
??服務器:定義好的一臺 Active Directory 服務器
??組:利用 Active Directory Browr 選擇需要提取用戶信息的用戶組
??立即預?����。菏謩优c Active Directory 服務器同步
??預取時間:設定后臺信息預取的時間
??登錄時啟用后端同步:當用戶成功登錄后��,與 Active Directory 服務器進行后臺信息同步
當預取成功后,在 “用戶” 中,將出現預取的結果�����,如下圖所示:
8
接口和路由
接口(Interfaces)
定義 ASG 的接口屬性�����、IP地址等參數��。
其他地址(Additional Address)
定義 ASG 接口的從屬 IP 地址。
從屬 IP 地址可以與 ASG 接口的主 IP 地址在一個網段,也可以不在一個網段����。
9
靜態路由(Static Routing)
定義 ASG 的靜態路由表���。
注意:
ASG 的缺省路由不需要單獨定義。其在 “接口” 定義中已經指定。
10
郵件安全(Mail Security)
郵件安全包括:
??SMTP
??SMTP 配置文件
??POP3
??郵件加密
??隔離報告
??郵件管理器
??郵件歸檔
郵件安全可以通過訂購 Mail Security 安全模塊實現。
SMTP
利用代理技術實現在 SMTP 協議上的垃圾郵件檢測����、病毒檢測�����、郵件中繼等功能。
簡單模式
當內部網絡中僅有一個郵件域時���,可以使用此模式。
配置文件模式
當內部網絡中有多個郵件域時�,可以使用此模式���,允許管理員針對不同郵件域實施不同的控制策略����。
Open live log
可以打開SMTP實時通訊日志���,用于查看SMTP通訊信息�����。
路由(Routing)
定義內部網絡中�����,郵件通訊路由:
域
指郵件域,例如:內部的郵局 @ ,在此寫 即可���。
路由依據
12
??靜態主機列表:指定內部郵件服務器的 IP 地址,如上圖的舉例����;
??DNS 主機名:ASG 利用設置的 DNS 服務器解析主機地址�����,在此寫郵件服務器的主機地址,例如:
���;
??MX 記錄:ASG 利用設置的 DNS 服務器解析 “域” 中設定的郵局對應的 MX 記錄;如果 ASG 本身
IP 地址是 MX 所對應的定義����,那么不可以使用此選項�;
收件人驗證
??使用標注:ASG 將向郵件服務器發送一個查詢����,用于驗證收件人是否為有效地址;
??在Active Directory中:ASG 將向定義過 Active Directory 服務器發送一個查詢�,用于驗證收件人是否
為有效地址����;
此處的 “備選基 DN ” 是一個可選項�,如果為空,則引用在 Active Directory
服務器中的DN定義�����;
??關閉:不使用收件人驗證功能����;如果關閉此功能,郵件服務器可能會受到字典攻擊���;
防病毒(AntiVirus)
在 SMTP 事務處理期間掃描
此選項用于在郵件服務器之間進行 SMTP 通訊時,一旦發現內容中包含有惡意軟件�����,將直接拒絕此
SMTP 通訊�����。
此選項所拒絕的郵件將不會出現在郵件隔離區中。
防病毒掃描
用于對已經接收到的郵件進行病毒掃描檢測�。用戶可以選擇使用單引擎或者雙引擎掃描�。
MIME 類型過濾器
用于控制通過郵件傳遞的附件內容類型�����。需要對 MIME 類型有所了解����,才可以使用此選項���,否則會隔離
很多不希望隔離的郵件�。
例如:video/* ,用于過濾所有 video 類型的附件。
此選項一旦選用,匹配的郵件將被隔離到郵件隔離區中�����。
文件擴展名過濾器
在這里直接寫通過郵件傳遞的文件擴展名即可����,例如:exe、com�����、bat���、scr�、mp3等�。
防病毒檢查頁腳
此選項用于將這里所列的腳本內容,作為頁腳添加在郵件中。這里的腳本內容可以自由定義���。
13
防垃圾郵件(AntiSpam)
在 SMTP 事務處理器期間進行垃圾郵件檢測
此選項用于在郵件服務器之間進行 SMTP 通訊時,一旦檢測到垃圾郵件發送特征��,將采取如下動作:
??拒絕已確認垃圾郵件:只有被 ASG 判定為垃圾郵件的通訊,此會話將被拒絕;
??拒絕垃圾郵件:ASG 認為是或者可能是垃圾郵件的通訊�,此會話將被拒絕��;此選項會增加誤判率;
??關閉:關閉此選項;這會導致更多的垃圾郵件進入到 ASG �����,可能會增加 ASG 其他部件對垃圾郵件
的分析壓力�;
此選項對識別到的垃圾郵件,將采用拒絕的處理方式,不會存儲到郵件隔離區。
RBL(實時黑名單列表)
啟用 RBL 檢測����。ASG 內置了一些 RBL 服務器�,這些服務器部署在國外��,羅列有全球的郵件服務器黑
名單���。
此選項可能在中國使用時����,可能會增加垃圾郵件的誤判率�。
此選項對識別到的垃圾郵件,將采用拒絕的處理方式����,不會存儲到郵件隔離區���。
垃圾郵件過濾器
ASG 將利用 SMTP 信封信息和內部的啟發式數據庫及規格表���,對所有進入 ASG 的郵件進行啟發式分
析,并根據郵件的評分系統來決定哪些是垃圾郵件���。
??垃圾郵件操作:這里是定義 ASG 對可能的垃圾郵件,將進行什么樣的處理��;
??確認的垃圾郵件操作:這里是定義 ASG 對肯定的垃圾郵件�����,將進行什么樣的處理����;
??垃圾郵件標記:對 ASG 判定為垃圾郵件的郵件�,將在主題部分打上一個標記,這個標記可以任意定
義;
ASG 的幾個動作:
??隔離:ASG 將垃圾郵件存儲在隔離區;
??警告:ASG 將在郵件主題部分加入標記�����,并繼續投遞此封郵件�;
??黑洞:ASG 將接收此郵件,并且移除此郵件��,并不放入隔離區���;
??關閉:關閉此功能��;
發件人黑名單
此選項允許定義全局有效的發件人黑名單����。一旦匹配了黑名單的郵件���,將被 ASG 拒絕����。
例如:將某發件人列入黑名單:postmaster@
例如:將某郵局列入黑名單:*@
14
表達式過濾器
利用 Perl Compatible Regular Expressions 掃描郵件內容����,一旦有匹配項目,此封郵件將被 ASG 拒絕�����。
此選項對識別到的垃圾郵件�����,將采用拒絕的處理方式����,不會存儲到郵件隔離區。
高級防垃圾郵件功能
??拒絕無效 HELO/缺失 RDNS:ASG 將對發送無效 HELO 信息和沒有 DNS 反向解析記錄的郵件服
務器 SMTP 會話�����,進行拒絕�����;
??使用灰名單:ASG 將拒絕所有郵件服務器的第一次郵件投遞通訊�����,并對每封拒絕的郵件進行記錄;
如果記錄信息與之前的數據庫中垃圾郵件信息匹配�,則在郵件服務器再次投遞此封郵件時��,按垃圾郵
件處理;如果內部數據庫中沒有此封郵件的記錄信息�����,則在郵件服務器再次投遞此封郵件時����,對郵件
進行二次匹配�����,檢測兩次郵件的某些相關信息是否一致�,如果不一致�,將認為是垃圾郵件,進行拒絕�;
??使用 BATV:ASG 使用 BATV(反彈地址標記驗證)規范應對未送達報告(NDR)垃圾郵件���;一旦
匹配��,進行拒絕;
??執行 SPF 檢查:ASG 檢查發件人郵局的 TXT 類型記錄是否有 SPF 信息�;SPF 用于登記某個域名
擁有的用來外發郵件的所有IP地址�;
例外(Exceptions)
在這里定義白名單列表��,可以設定:
??源主機IP地址和網絡地址
??發件人
??收件人
可以選擇跳過多項檢測項目��。
中繼(Relaying)
在這里定義那些主機IP地址、發件人��,可以利用 ASG 作中繼處理�。
上流主機列表
如果使用上流主機,那么上流主機會將郵件傳輸給 ASG ,因此要定義此主機的IP地址�����,否則垃圾郵件
檢測將無法正常工作����。
15
需要進行身份驗證的中繼
如果有在 Internet 上的移動用戶利用 SMTP 連接 ASG 發送郵件,那么需要啟用此功能,以允許這些
在 Internet 上的用戶可以對外發送郵件�����。
允許需要進行身份驗證的中繼
啟用此選項�����,ASG 將對 SMTP 連接啟用身份驗證功能。
這里使用的驗證用戶與密碼應該是存儲在 ASG 或者后臺的 Active Directory 服務器上。
如果不啟用認證,那么很有可能 ASG 將被利用轉發垃圾郵件��。
基于主機的中繼
如果允許內部有某些 IP 地址利用 ASG 對外作中繼轉發�,可以在這里對這些 IP 地址進行定義����。一般
的,這里定義的 IP 地址是內部郵件服務器地址�。同時�,內部郵件服務器需要將郵件外發指向 ASG �����。
如果這里設置為 “Any” ,那么 ASG 將對 Internet 開放郵件中繼功能,這是非常危險的���。
主機/網絡黑名單
這里定義了 IP 地址黑名單�����,用于 ASG 直接攔截這些 IP 地址的 SMTP 通訊。
中繼(外發)郵件的內容掃描
啟用對中繼外發達郵件進行內容掃描��。
高級(Advanced)
代理服務器
當 ASG 需要通過一個第三方代理服務器連接 Internet 時����,需要在此處設置代理服務器信息���。
透明模式
被列在此處的主機 IP 地址將不被 SMTP Proxy 的處理�����;即將跳過 ASG 的SMTP 應用層所有項目檢
測����。
此功能將比在 “例外” 中的定義更徹底地跳過 ASG SMTP Proxy 處理。
TLS 設置
ASG 啟用 TLS 與所有 Internet 上支持 TLS 的郵件主機進行通訊�。
域密鑰標識郵件 (DKIM)
以加密方式對外發郵件進行簽名���。
16
在使用此功能前,需要在 DNS 中對郵局域名添加 TXT 類型記錄�。
機密信息頁腳
對于所有外發郵件,可添加這個機密信息頁腳�����。
高級設置
??SMTP 主機名:用于標識這臺 ASG 的主機名;
??Postmaster 地址:郵局管理員地址����;
??BATV 機密:用于 BATV 檢測回彈地址���;
??最大郵件大?�。涸O置郵件的大小��;
??最大連接數:設置 ASG 最大可并發處理的 SMTP 連接數�����;如果郵件吞吐量較大����,可適當調整此值;
此值太大����,會影響整體設備性能�����;
??每臺主機的最大連接數:設置 ASG 可接受的每臺遠端主機可同時建立起來的 SMTP 連接數;
??每個連接的最大郵件數:設置 ASG 可接受的每個 SMTP 連接中可傳遞的郵件數量���;
??每封郵件的最大收件人數:設置 ASG 允許的每封郵件中含有的最大收件人數;
??頁腳模式:設置 ASG 在添加頁腳時所用的格式;
智能主機設置
當 ASG 外發郵件時��,如果需要通過一臺智能主機����,那么在此定義此主機的 IP 地址或者域名。
配置舉例
現在需要部署一臺 ASG 對用戶的郵件服務器進行垃圾郵件防御����;
內網中有一臺郵件服務器,IP地址:192.168.10.20�;
內網郵件服務器對應的郵局:
用戶的 DNS 信息設置如下:
MX 記錄�,,IP 地址:50.50.50.20
ASG SMTP Proxy 必須配置步驟:
1) 全局
a) 啟用簡單模式
2) 路由
a) 定義域:
b) 路由依據:靜態主機列表
c) 主機列表:192.168.10.20
17
d) 收件人驗證:使用標注
以上兩步配置正確�,就可以保證來自 Internet 的郵件投遞到 ASG 后,ASG 會正確投遞給內網郵件服
務器。
ASG 反垃圾郵件配置步驟,這些步驟基本可以達到最佳的識別率與誤判率的平衡:
1) 防病毒
a) 在 SMTP 事務處理期間掃描:啟用
b) 防病毒掃描
i) 啟用隔離
ii) 使用雙引擎
iii) 啟用隔離無法掃描和加密的郵件
c) 文件擴展名過濾器��,使用默認選項
2) 防垃圾郵件
a) 在 SMTP 事務處理器期間進行垃圾郵件檢測:已確認垃圾郵件
b) RBL(實時黑洞列表):禁用
c) 垃圾郵件過濾器:隔離
3) 高級防垃圾郵件功能
a) 拒絕無效 HELO/缺失 RDNS:禁用
b) 使用灰名單:啟用
c) 使用 BATV:啟用
d) 執行 SPF 檢查:啟用
4) 例外:根據具體情況設定白名單���,例如可信的合作單位的郵局應該列入白名單��,但不跳過病毒檢查���;
內部關鍵人員的郵箱可以列入白名單���,但不跳過病毒檢查等等��;
5) 中繼:如果有員工在 Internet 上通過 ASG 中繼,那么需要啟用身份認證
6) 高級
a) 高級設置:根據具體情況進行調整
b) 其他項目:使用默認值
Encryption
ASG-A <--> ASG-B 郵件加密部署
3. 在ASG-A上創建需要加密的郵件用戶,ur-a@�,并選擇需要是否使用加密�����、確認、簽名
等功能,產生此用戶的S/MIME證書和OpenPGP密鑰對。
4. 在ASG-A上創建需要加密的郵件用戶����,ur-b@��,并選擇需要是否使用加密、確認、簽名
等功能,產生此用戶的S/MIME證書和OpenPGP密鑰對。
5. 如果啟用 Enable automatic S/MIME certificate extraction,雙方郵件用戶的S/MIME 證書會被對方的
ASG 自動提取并保存��。
6. 此時����,在ASG-A上�����,保存了ASG-B的CA,還有ur-b@的S/MIME證書或OpenPGP公鑰;
在ASG-B上,保存了ASG-A的CA,還有ur-a@的S/MIME證書或OpenPGP公鑰���。
全局(Global)
在這里,以ASG的信息內容,創建一個CA證書���,用于S/MIME和OpenPGP。此時ASG就是CA。
Email encryption certificate authority (CA)
填寫相關信息
保存后將產生一個CA文件:
如果實施的是ASG到ASG的 S/MIME 郵件加密,需要將此文件導入到其他ASG的 S/MIME Authorities
部分����。
Internal Urs
為需要使用郵件加密的本地用戶在ASG上創建Key�����。
New email encryption ur ...
填寫此用戶的信箱地址;
選擇此用戶使用哪些加密、簽名等功能�����;
選擇創建S/MIME證書和OpenPGP密鑰對�����;
可以下載此郵箱的S/MIME證書和OpenPGP的公鑰;S/MIME的Key和OpenPGP的私鑰將保存在ASG上
無法下載����。
如果實施的是ASG到ASG的郵件加密�����,需要在對端的ASG設備為對方的本地郵件用戶創建Key。
19
S/MIME Authorities
對于 ASG <--> ASG 加密通訊方式
??需要保存參與加密通訊的 ASG 的CA信息��。
??需要保存對方郵件用戶的S/MIME證書信息����,此S/MIME證書可以通過自動提取方式獲得,或者手工導
入��。
20
