旭昇採用2臺IronPort郵件閘道伺服器與2臺備份主機作為郵件過濾、稽核和備份的機制。IronPort的運作方式是先進行SenderBase信譽評等、病毒預防(Virus Threat Scoring Engine),然後執行內容掃描、Brightmail垃圾郵件過濾,最後執行Sophos掃毒,能夠同時解決垃圾郵件、郵件稽核、郵件攻擊、病毒及郵件傳輸等問題,並減輕郵件主機負擔。整個解決方案的總建置費用為234萬元,包含支援服務費用。

IronPort整合防護與稽核,分別備份正常與垃圾郵件
電周公司由qmail負責外部信件的收發,旭昇在規畫上將IronPort安置在防火牆後的DMZ區、qmail之前,作為信件進入郵件伺服器前的防護關卡。IronPort以一臺主機就能達成電周公司需求的功能,主要是因為產品整合SenderBase、Brightmail、Sophos防毒軟體與IronPort本身的內容過濾機制,透過這些軟體組成一套防護與稽核系統。

為了達到高可用性以及負載平衡的目的,旭昇用2臺IronPort相互備援,以電周公司200個郵件帳號、每人每天100封信件的流量而言,IronPort的C系列足以應付郵件流量。另外IronPort支援 SMTP Route,同一企業內的郵件會透過內部網路傳送,可以節省網路頻寬,提高郵件傳送的效率。

在備份策略上,旭昇使用2臺Dell主機進行隔離及備份,一臺備份通過層層檢查的正常信件,另外一臺則專備有問題的郵件,作為隔離區。在技術上使用同一臺主機備份並非難事,但基於安全性考量,旭昇建議分別隔離正常與異常信件。

從架構而言,旭昇的解決方案兼顧公司需求與安全性,不過,這樣的代價也不小,價錢是其他解決方案的二倍。

以信譽評等把關,阻擋郵件攻擊
IronPort在軟體防護架構上可分為5個部分,防郵件攻擊、病毒預防、安全監控、防堵垃圾郵件與病毒過濾。

前2個關卡是由SenderBase擔任把關的角色,它利用過去的歷史資料,將過往正常郵件的行為及特點當作基準點,配合持續不斷的監控郵件流量及郵件特徵,研判郵件正常與否。

在阻擋郵件攻擊方面,SenderBase引擎能對整體的傳送量、黑名單與白名單、LDAP比對、MX記錄檢測、DNS反查等機制予以過濾,並對每一個寄件者建立信譽評等機制(SenderBase Reputation Service ,SBRS),比對SenderBase的資料庫給予寄件者-10到 +10信譽評等,再根據評等分數,管理者可設不同的接收策略及流量策略,予以放行或拒絕。

另外,SenderBase還能主動偵測未知病毒。IronPort在遇到新種病毒爆發,而病毒碼來不及完成前,SenderBase機制會將疑似病毒郵件隔離,避免未知病毒侵害系統,等到確保沒有病毒威脅時才予以放行。

郵件內容掃描,落實企業安全監控
在電周公司的需求中,若是電子郵件出現某些關鍵字(敏感字眼)或傳送特定檔案類型時,需要有適當的過濾處理措施。Ironport在內容過濾方面可以根據網域、電子郵件地址或LDAP 群組設定不同策略,如以電周公司採用的Windows AD帳號,即可依群組訂定不同的層級,進行不同的設定。

IronPort的內容掃描可以對郵件進行信頭(發件人、收件人、主題等)、信體內容(關鍵字等)、附件檔名、附件類型等過濾,甚至能開啟附件檔並進行深層的內容掃描。對於符合條件的郵件,管理者可以設定執行退回寄件人、刪除、備份、正常傳送、通知系統管理者與主管等動作,確保公司重要機密及智慧財產不外流。

以Brightmail過濾垃圾郵件
郵件經過黑、白名單等機制比對,已經先行過濾部分郵件,之後再以賽門鐵克的Brightmail進行過濾。

Brightmail過濾垃圾郵件的處理方式是存取防垃圾郵件中心(Brightmail Anti-Spam Center,BLOC)的過濾名單,和不斷新增的防護郵件規則,藉此防堵大量發送的垃圾郵件。另外,為了降低誤攔率,垃圾郵件會暫存在垃圾郵件隔離主機中,並通知使用者,由他們自行登入決定取回或刪除。若使用者一直未登入,超過管理者設定的時限時,系統會自動刪去這些垃圾郵件。Brightmail的更新動作可自動完成,不需人工介入,可降低管理複雜度。

在防毒機制上,IronPort提供Sophos防毒引擎,配合電周公司用戶端使用的趨勢OfficeScan防毒軟體,形成雙層防毒機制,可更有效避免病毒郵件造成營運損失,確保企業內部的資訊安全。

Ironport跳過防火牆提升效能在目前的規畫上,整體架構能夠很順利的運作,但如果日後變動網路架構時,是否仍然能夠如此?旭昇認為透過IronPort二張網路卡的特性,能同時接網際網路和區域網路,讓郵件的進出不經防火牆,直接導向IronPort,有效提升郵件傳輸的效能。

目前所有的信件都必須從防火牆進來,再經過IronPort到郵件伺服器,而使用者要收發信件,也必須要通過防火牆之後,才能進到郵件伺服器收取,但是在防火牆進出之間,效能必將有所折損。

IronPort可以將所有SMTP(25埠)的郵件流量都從IronPort進出,不經過防火牆,再讓IronPort與內部網路連接,透過IronPort處理郵件後再丟給內部網路的郵件伺服器,如此一來將能夠提升信件處理效能,而且只開放25埠,不會因為少了防火牆的防護而產生安全漏洞。

郵件外寄與內送流程一致
IronPort五個防護架構形成郵件安全機制,這個安全機制不論在郵件外寄或內送的流程中都必須套用,經過層層檢查才能放行到負責收發信件的qmail,確保收發信件正常,發送出的信件也都能符合公司的安全政策。

這樣的流程固然安全,但從另一個角度來說,郵件執行的效能相對也會較慢。例如說發信者會發給黑名單的機率不大,外寄流程中黑名單檢查必要性就不高,另外有些防止郵件攻擊查核的功能,在外寄時同樣不具太大義意。外寄流程就企業角度上應該在掃毒、安全監控和備份的需求上較大,管理者應該在外寄流程中能針對企業需求,訂定適切的查核流程,對於系統的效能應該會有正面的助益。文⊙黃天賜

熱門新聞

Advertisement