【WALL1600下一代防火墙】下一代防火墙防火墙反垃圾邮件

一、组网需求

    1、NGFW反垃圾邮件功能主要应用于保护内部邮件服务器，在此拓扑中保护邮件服务器B；外部邮件服务器不限，在此拓扑中以邮件服务器A为代表。凡是外部要给服务器B所在用户发送邮件，都能够通过反垃圾邮件功能进行检查。

    2、防火墙 1 台

    邮件服务器（或者虚拟机）2台，

    DNS服务器1台（操作系统Windows Server 2003）

    邮件服务器软件（IMAIL、CMAIL或者其他）

    邮件客户端软件（foxmail或者其他）。

    3.反垃圾邮件日志启用需要事先插入外置存储器并启用“记录日志”功能在NGFW设备上插入外置存储器USB设备，当看到有USB设备信息，点击“USB”单选项，USB外置存储配置生效。

二、网络拓扑

三、配置要点

    1、配置防火墙接口的IP 地址

    2、配置安全策略

    3、配置DNS服务器

    4、邮件服务器互通测试

    5、配置反垃圾邮件规则，保护目标服务器域

    6、验证防火墙可以保护目标服务器域

    7、配置反垃圾邮件黑名单规则

    实际拓扑中配置的关键：在DNS服务器上受保护域名地址对应的IP地址要配置为反垃圾邮件网关地址；在反垃圾邮件网关上，再在“目标服务器IP地址”中配置实际的受保护邮件服务器IP地址，这样发往受保护服务器的邮件才能先经过防火墙分析处理。

    除了以上介绍的阻断功能，还可通过自定义策略标记垃圾邮件。

四、配置步骤

1、配置防火墙接口的IP 地址

进入防火墙的配置页面：网络管理->接口->透明桥，单击页面左上方的<新建>按钮配置桥接口。

2.配置安全策略

为了使内外网邮件服务器可以通过防火墙互相访问，需要在防火墙上配置安全策略。

进入防火墙配置页面：防火墙->安全策略->安全策略，单击页面左上方的<新建>按钮添加安全策略。

提交后，点击<启用>对应的复选框，使能该安全策略。

3.配置DNS服务器

登录DNS服务器（192.168.1.42），为两个邮件服务器配置DNS信息。

进入Windows Server 2003系统，进入开始>管理工具>DNS

增加“正向查询区域”test.com,并新建主机，IP为192.168.1.41

增加“正向查询区域”ruijie.com,并新建主机，IP为192.168.1.45

4.邮件服务器互通测试

分别在邮件服务器A和邮件服务器B上安装邮件服务器软件，增加用户。

配置邮件服务器A的域名为test.com,其中有两个用户分别为user1@test.com、user2@test.com；

配置邮件服务器B的域名为ruijie.com，其中两个用户分别为u1@ruijie.com，u2@ruijie.com。

分别配置两台邮件服务器的DNS指向192.168.1.42

配置邮件客户端，用户A给用户B发送邮件。

5.配置反垃圾邮件规则，保护目标服务器域

进入防火墙配置页面：反垃圾邮件->配置->配置，启用反垃圾邮件功能，配置目标服务器域、主目标服务器IP和端口。

配置阻断回弹

进入防火墙配置页面：反垃圾邮件->配置->配置，展开高级选项，填写阻断邮件回复配置

启用反垃圾邮件日志功能。

在防火墙设备上插入位置存储器USB设备，进入系统管理->维护->外置存储器管理，点击<USB>,看到有USB设备信息

进入防火墙配置页面：反垃圾邮件->邮件日志信息->日志配置，启用记录日志，点击提交。

重要：修改该DNS服务器上被保护邮件服务器域名对应的IP地址为防火墙的地址。

测试DNS修改的有效性。

6.验证防火墙可以保护目标服务器域

在DNS服务器上增加一个邮件域名ruijie.com.cn也指向防火墙地址192.168.1.39。

验证测试

邮件服务器A的用户user1@test.com向邮件服务器B的用户u1@ruijie.com发送邮件,可以发送成功。

邮件服务器A的用户user1@test.com向未受保护的邮件域error@ruijie.com.cn发送邮件，发送不成功，同时收到回弹通知：无效的收件人。

同时防火墙上上报日志进行记录。

进入防火墙配置页面：反垃圾邮件->邮件日志信息->日志信息，合法邮件和非法邮件都进行了日志记录。

7.配置反垃圾邮件黑名单规则

除了目标服务器域保护意外，还可以在防火墙上配置IP地址黑名单/白名单，发件人黑名单/白名单等来有效阻止垃圾邮件。

进入防火墙配置页面：反垃圾邮件->IP地址分析->黑名单，在左上角的文本款内填写黑名单IP地址，点击<新建>，然后<提交>。

进入防火墙配置页面：反垃圾邮件->发件人认证->黑名单，在左上角的文本款内填写黑名单邮件地址，点击<新建>，然后<提交>。

发送相应邮件，验证黑名单规则，并查看日志。