中華鴻業選擇用Barracuda SPAM Firewall 300和AltraVision Employees Internet Manager(EIM)來防護電周公司的郵件伺服器。Barracuda SPAM Firewall 300具備10種垃圾郵件過濾程序,是專屬防護產品,AltraVision EIM則控管員工上網會存取的相關各種網路服務內容,順勢切入郵件稽核的需求。整個解決方案共計78萬元。

垃圾郵件過濾與郵件稽核產品,目前仍由郵件伺服器技術主導,Barracuda SPAM Firewall 300和AltraVision EIM的產品組合算是很令人耳目一新的搭配,總價也控制在100萬元以內。

皆可由防火牆引流擷取流量
在建置垃圾郵件過濾伺服器時,Barracuda SPAM Firewall 300可以和公司既有的郵件伺服器一起置放在DMZ區,只要修改DNS的MX 記錄或調整防火牆NAT,即可讓由Barracuda Firewall 300代收所有進入企業郵件伺服器的郵件,利用設備內建的10層郵件過濾功能,過濾垃圾信與病毒信。

AltraVision EIM 200員工上網管理系統可以支援Sniffer、透通模式、NAT模式和路由模式等方法安裝到企業網路環境,中華鴻業建議使用鏡射的方式擷取流量,透過兩張網路卡監聽防火牆的內部區域網路埠(LAN Port)與內部Exchange伺服器的內部區域網路埠,同時監控由網際網路收發的郵件與內部群組使用者的郵件。

針對已經設定好的郵件規則,AltraVision可以用來執行郵件稽核的任務,當系統發現需稽核的郵件會通知相關人員,並要求處理,稽核人員檢閱過信件後,可以選擇放行、轉寄或刪除該封信件等動作。

垃圾郵件過濾可備援郵件伺服器
許多垃圾郵件過濾伺服器,皆可作為郵件伺服器的備援,Barracuda SPAM Firewall也不例外,郵件伺服器萬一停擺,SPAM Firewall 能先行代收所有郵件,不會因伺服器停機導致退信。

由於電周公司對外收發信的郵件伺服器只有一臺,假如企業想增加更多郵件伺服器,有可能會影響垃圾郵件過濾伺服器,Barracuda SPAM Firewall本身除支援多網域,也能因應多部郵件伺服器的架構,建置時一樣架設在郵件伺服器前,調整防火牆SMTP導向與DNS MX設定即可。

如果想做到信件流量的分散處理,達到負載平衡和容錯處理,需選購更進階的的機種,才能支援叢集架構。

雖然Barracuda SPAM Firewall的所有機種均支援多網域,不過當我們深入檢視一些功能時,還是會發現其中有一些但書,如使用多個網域時,在設定個別網域的垃圾郵件計分、隔離區類型和垃圾信與病毒檢測等方面,必須Barracuda SPAM Firewall 400以上的機種才支援。企業在採購相關產品時,應注意所要的功能是否在預計購買的型號功能內。

在這個規畫案中,雖有Barracuda SPAM Firewall 300作為郵件伺服器備援,卻沒有提供防護設備本身的高可用性或負載平衡的設計,如考量到高可用性,應該再買一臺會更有保障。

從稽核郵件延伸為完整上網管理
與一般郵件過濾與備份經常採用的Relay模式相比, AltraVision EIM 200使用鏡射模式(Mirror Mode)從旁擷取流量,較能減少郵件傳輸時間延遲。AltraVision EIM 200擷取郵件流量經過時,SMTP與POP3協定皆會受到監聽,不影響其他協定通訊流量。

由於AltraVision EIM可獨立建置在其他網路區域,即使硬體發生問題,也不會因為流量無法穿透這套設備,使得郵件內外的傳輸停擺。
中華鴻業規畫的產品組合中對AltraVision EIM並未多配備專屬的儲存或備援方案,由於系統稽核的郵件或其他網路服務的內容都會存放在AltraVision EIM內,應考量長期的伺服器硬體備援和資料備份計畫,搭配其他儲存設備,日後當信件超過系統容量時,才不致面臨資料後續處理與整合備份的難題。

由於AntraVision EIM本身即是一套完整的員工上網管理系統,不僅能監聽郵件封包,還可以監聽其他類型的網路傳輸內容,例如即時通訊的對話與使用者的網頁瀏覽行為。

郵件通訊其實只是員工上網行為的一種,如果要稽核郵件內容,從上網管理的角度做稽核,對機密與敏感內容控管將更具前瞻性,AltraVision EIM能即時監控企業所有員工上網訊息,記錄網路行為的IP位址、使用的網路通訊協定、傳輸佔用的流量、存取網站的名稱,存取網路服務的時間、使用者名稱與所屬部門等。

上網管理系統除了要能留下記錄存查,從網路行為中辨識使用者身分,進而落實管理,成效較明顯。AntraVision EIM支援多種對應方式來確認上網使用者的身分,例如從IP、網路卡MAC位址與伺服器名稱鎖定。系統也允許不同程度的放行政策,允許加入外部使用者、使用者不受監控或以無驗證方式使用網路。

多國語系可提供跨國公司使用
目前在臺灣市場上的外商產品,大部分背後都有一座或數座垃圾郵件監控中心,舉例來說,Barracuda有一座全球郵件監控中心Barracuda Central,負責收集全球各地的垃圾信與病毒趨勢,每日更新全球垃圾郵件資訊。

除了全球的信件趨勢之外,Barracuda在SPAM Firewall內建8國語言的操作介面,可為不同國家的使用者和管理者帶來許多方便。當使用者收到隔離通知,進而檢視與操作時,可以擁有一個較友善的使用介面,雖然中文化的操作介面不一定對系統管理有很大的幫助,但許多管理者如果能很方便地切換介面語系,可以加速他們熟悉這套系統的管理。

當使用者多了一套系統可使用,往往不希望再多記另一組帳號和密碼,能,因此透過與LDAP目錄服務同步,做到單一登入整合,對企業使用者來說也相當重要。不過LDAP目錄服務同步在Barracuda Spam Firewall 300以上的產品已經有這項功能,但單一登入整合要在Barracuda Spam Firewall 400上才有。

可協助Exchange預防字典檔攻擊
雖然這次解決方案的主角並非Exchange郵件伺服器,也不會使用Exchange伺服器對外收發信,不過電周將來可能會讓Exchange擔任qmail的備援,剛好Barracuda Spam Firewall 300以上的設備,有一項加速功能,可以防禦與Exchange郵件伺服器相關的字典檔攻擊。從這項功能,我們可以藉此了解其他類型的郵件伺服器,需要不同防護措施。

Barracuda提供了MS Exchange Accelerator的功能,藉由內建的LDAP服務在信件抵達Exchange伺服器前,代為驗證信件的收件人,節省伺服器照單全所無效信件所佔用的資源,假如收件人無法驗證,Barracuda SPAM Firewall就不再繼續將這封信傳遞給Exchange。使用這項防護時,管理者必須確認Exchange的LDAP已經啟用。文⊙李宗翰


Advertisement

更多 iThome相關內容