交换机
园区网交换机
数据中心与云计算交换机
中小网络精简型交换机
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
小锐A系列
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
电力能源
制造业
高教/职教
医疗卫生
交通
地产酒店文旅·连锁服务
公共安全
一、组网需求
1、NGFW反垃圾邮件功能主要应用于保护内部邮件服务器,在此拓扑中保护邮件服务器B;外部邮件服务器不限,在此拓扑中以邮件服务器A为代表。凡是外部要给服务器B所在用户发送邮件,都能够通过反垃圾邮件功能进行检查。
2、防火墙 1 台
邮件服务器(或者虚拟机)2台,
DNS服务器1台(操作系统Windows Server 2003)
邮件服务器软件(IMAIL、CMAIL或者其他)
邮件客户端软件(foxmail或者其他)。
3.反垃圾邮件日志启用需要事先插入外置存储器并启用“记录日志”功能在NGFW设备上插入外置存储器USB设备,当看到有USB设备信息,点击“USB”单选项,USB外置存储配置生效。
二、网络拓扑
三、配置要点
1、配置防火墙接口的IP 地址
2、配置安全策略
3、配置DNS服务器
4、邮件服务器互通测试
5、配置反垃圾邮件规则,保护目标服务器域
6、验证防火墙可以保护目标服务器域
7、配置反垃圾邮件黑名单规则
实际拓扑中配置的关键:在DNS服务器上受保护域名地址对应的IP地址要配置为反垃圾邮件网关地址;在反垃圾邮件网关上,再在“目标服务器IP地址”中配置实际的受保护邮件服务器IP地址,这样发往受保护服务器的邮件才能先经过防火墙分析处理。
除了以上介绍的阻断功能,还可通过自定义策略标记垃圾邮件。
四、配置步骤
1、配置防火墙接口的IP 地址
进入防火墙的配置页面:网络管理->接口->透明桥,单击页面左上方的<新建>按钮配置桥接口。
2.配置安全策略
为了使内外网邮件服务器可以通过防火墙互相访问,需要在防火墙上配置安全策略。
进入防火墙配置页面:防火墙->安全策略->安全策略,单击页面左上方的<新建>按钮添加安全策略。
提交后,点击<启用>对应的复选框,使能该安全策略。
3.配置DNS服务器
登录DNS服务器(192.168.1.42),为两个邮件服务器配置DNS信息。
进入Windows Server 2003系统,进入开始>管理工具>DNS
增加“正向查询区域”test.com,并新建主机,IP为192.168.1.41
增加“正向查询区域”ruijie.com,并新建主机,IP为192.168.1.45
4.邮件服务器互通测试
分别在邮件服务器A和邮件服务器B上安装邮件服务器软件,增加用户。
配置邮件服务器A的域名为test.com,其中有两个用户分别为user1@test.com、user2@test.com;
配置邮件服务器B的域名为ruijie.com,其中两个用户分别为u1@ruijie.com,u2@ruijie.com。
分别配置两台邮件服务器的DNS指向192.168.1.42
配置邮件客户端,用户A给用户B发送邮件。
5.配置反垃圾邮件规则,保护目标服务器域
进入防火墙配置页面:反垃圾邮件->配置->配置,启用反垃圾邮件功能,配置目标服务器域、主目标服务器IP和端口。
配置阻断回弹
进入防火墙配置页面:反垃圾邮件->配置->配置,展开高级选项,填写阻断邮件回复配置
启用反垃圾邮件日志功能。
在防火墙设备上插入位置存储器USB设备,进入系统管理->维护->外置存储器管理,点击<USB>,看到有USB设备信息
进入防火墙配置页面:反垃圾邮件->邮件日志信息->日志配置,启用记录日志,点击提交。
重要:修改该DNS服务器上被保护邮件服务器域名对应的IP地址为防火墙的地址。
测试DNS修改的有效性。
6.验证防火墙可以保护目标服务器域
在DNS服务器上增加一个邮件域名ruijie.com.cn也指向防火墙地址192.168.1.39。
验证测试
邮件服务器A的用户user1@test.com向邮件服务器B的用户u1@ruijie.com发送邮件,可以发送成功。
邮件服务器A的用户user1@test.com向未受保护的邮件域error@ruijie.com.cn发送邮件,发送不成功,同时收到回弹通知:无效的收件人。
同时防火墙上上报日志进行记录。
进入防火墙配置页面:反垃圾邮件->邮件日志信息->日志信息,合法邮件和非法邮件都进行了日志记录。
7.配置反垃圾邮件黑名单规则
除了目标服务器域保护意外,还可以在防火墙上配置IP地址黑名单/白名单,发件人黑名单/白名单等来有效阻止垃圾邮件。
进入防火墙配置页面:反垃圾邮件->IP地址分析->黑名单,在左上角的文本款内填写黑名单IP地址,点击<新建>,然后<提交>。
进入防火墙配置页面:反垃圾邮件->发件人认证->黑名单,在左上角的文本款内填写黑名单邮件地址,点击<新建>,然后<提交>。
发送相应邮件,验证黑名单规则,并查看日志。