IronPort Giai Phap (Vn) - FPT-JPVC - 03062011
-
Upload
dong-phuoc-vinh -
Category
Documents
-
view
193 -
download
4
Transcript of IronPort Giai Phap (Vn) - FPT-JPVC - 03062011
5/10/2018 IronPort Giai Phap (Vn) - FPT-JPVC - 03062011 - slidepdf.com
http://slidepdf.com/reader/full/ironport-giai-phap-vn-fpt-jpvc-03062011 1/17
Private Confidential Page 1 of 17
GIẢI PHÁP
IRON PORT
Viet Sunshine Electronic Solution Join Stock Company- A0807 CENTRAL GARDEN, 225 Ben Chuong Duong Str, Co Giang
Ward, District 1, Ho Chi Minh City, Vietnam
- Phone: (84.8) 920 8020
- Fax: (84.8) 920 8030
5/10/2018 IronPort Giai Phap (Vn) - FPT-JPVC - 03062011 - slidepdf.com
http://slidepdf.com/reader/full/ironport-giai-phap-vn-fpt-jpvc-03062011 2/17
MỤC LỤC1. GIỚI THIỆU ................................................................................................................ 3
2. giẢi pháp đỀ nghỊ ........................................................................................................4
2.1. mô hình đỀ NGHỊ ....................................................................................................... 4
2.2. triỂn khai ironport .......................................................................................................5
2.3. các tính năng nỔi bẬt CỦa iron port ..........................................................................6
2.3.1. IRON PORT SENDERBASE NETWORK .............................................................9
2.3.2. IRON PORT ANTI SPAM ....................................................................................11
2.3.3. IRON PORT ANTI VIRUS ...................................................................................13
2.3.4. chỨng thỰc và mã hóa ..........................................................................................14
2.3.5. CHÍNH SÁCH LUẬT QUẢN LÍ NGƯỜI DÙNG ................................................16
2.3.6. ASYNC OS - MTA ................................................................................................16
2.4. đỘ mỞ rỘng ............................................................................................................. 17
Private Confidential Page 2 of 17
5/10/2018 IronPort Giai Phap (Vn) - FPT-JPVC - 03062011 - slidepdf.com
http://slidepdf.com/reader/full/ironport-giai-phap-vn-fpt-jpvc-03062011 3/17
1. GIỚI THIỆUHệ thống IronPort là một đơn vị kinh doanh độc lập của Cisco. Hoạt động như một
phần của Nhóm Công Nghệ Bảo Mật của Cisco (Cisco’s Security Technology
Group), IronPort đã và đang là nhà cung cấp các thiết bị hàng đầu về chống spam,
chống virus và chống spamware cho các tổ chức xếp hạng từ nhỏ đến Global 2000.
Các dòng sản phẩm IronPort về bảo mật email, bảo mật web và quản lí sử dụng hệ
thống SenderBase (tổ chức cung cấp dữ liệu tìm kiếm các mối đe dọa lớn nhất thế
giới) để phân tích các hành vi tương ứng của email và web trên thế giới, từ đó giúp
các thiết bị Iron Port có thể chống đỡ hiệu quả và nhanh chóng trong việc ngăn
ngừa các rủi ro gây tác động có hại cho việc hoạt động của các tổ chức.
Iron Port luôn là người đi tiên phong trong việc phát triển các kỹ thuật phòng chống
spam, virus và spyware để bảo vệ hầu hết những hệ thống mạng quan trọng nhất
trên thế giới. IronPort cung cấp các nền tảng tính năng cao cấp được kết hợp với
các công cụ mạnh mẽ để có thể quản lí được các nhiệm vụ phức tạp một cách khoa
học và dễ dàng. Bằng việc cung cấp những giải pháp bảo mật được triển khai tại
cổng ra vào mạng, IronPort hỗ trợ tính năng phòng thủ mạnh đến nỗi tất cả những
mối đe dọa trên Internet thậm chí chưa bao giờ ảnh hưởng tới người dùng cuối. Cácsản phẩm IronPort có thể hỗ trợ và bảo vệ cơ sở hạ tầng của bạn không chỉ những
mối đe dọa hôm nay mà còn những mối đe dọa tương lai.
IronPort có thể giúp đỡ khách hàng để đạt được:
Đầu tư hiệu quả.
Cung cấp những kỹ thuật cần thiết để giải quyết các yêu cầu về kinh doanh
trong hiện tại và tương lai.
Cung cấp công nghệ độc nhất cũng như các giá trị tăng thêm về mặt kỹ thuật.
Cam kết luôn phát triển về mặt công nghệ và hiệu suất để đảm bảo tính hiệu
quả đầu tư trong tương lai.
Private Confidential Page 3 of 17
5/10/2018 IronPort Giai Phap (Vn) - FPT-JPVC - 03062011 - slidepdf.com
http://slidepdf.com/reader/full/ironport-giai-phap-vn-fpt-jpvc-03062011 4/17
2. GIẢI PHÁP ĐỀ NGHỊ2.1. MÔ HÌNH ĐỀ NGHỊ
Theo sơ đồ trên, khách hàng có thể sử dụng IronPort để làm mail gateway cho cả
chiều ra và chiều vào của các dữ liệu email
Đối với chiều vào, khi email được gởi từ ngoài vào thì khi đến IP Public của
Router, tại đây sẽ được Router NAT về IronPort theo Port 25 để IronPortkiểm tra Anti Spam hay Anti Virus của những email có file đính kèm rồi sau
đó chuyển đến MailServer..
Private Confidential Page 4 of 17
5/10/2018 IronPort Giai Phap (Vn) - FPT-JPVC - 03062011 - slidepdf.com
http://slidepdf.com/reader/full/ironport-giai-phap-vn-fpt-jpvc-03062011 5/17
Đối với chiều ra, khi email được gửi từ trong ra ngoài, email sẽ tới máy chủ
mail trước, sau đó máy chủ mail sẽ forward email tới Iron Port. Iron Port sẽquét nội dụng mail để kiểm tra Anti Spam hay Anti Virus của những email có
file đính kèm trước khi gửi ra ngoài Internet..
2.2. TRIỂN KHAI IRONPORT
Tùy chọn 1:
Trỏ MX record chính của khách hàng về IronPort
Tùy chọn 2:
Trỏ MX record chính của khách hàng về IronPort và trỏ MX record phụ về gatewayhiện tại của khách hàng.
IronPort sẽ làm việc với LDAP hiện tại để xác định user/group/domain cần
bảo vệ.
Sử dụng thiết bị cân bằng tải (Load Balancer) để cân bằng tải giữa 2 hoặc
nhiều hơn các thiết bị IronPort cho các email vào/ra.
Mỗi thiết bị IronPort có thể tạo ra 32 gateway ảo với 32 địa chỉ IP public để
quản lý email. Chúng ta có thể dùng NAT cho nhiều IP public nếu thực sự
cần thiết.
Cấu hình máy chủ Web Mail để chuyển hướng các email vào IronPort trước,
sau đó Iron Port sẽ gửi các email đó tới máy chủ email.
Iron Port có thể xuất các báo cáo theo thông tin về người gửi/người nhận/các
domain.
Cài đặt chương trình chống Virus trên các máy chủ email nếu cần thiết.
Cấu hình firewall cho phép port 80, 53, 443 từ Iron Port ra Internet.
Cấu hình cho phép Iron Port gửi email đến máy chủ mail bởi vì các máy chủ
mail có thể nhìn Iron Port như là một dạng tấn công DOS/DDOS vì gửi vàoquá nhiều emails từ một IP.
Private Confidential Page 5 of 17
5/10/2018 IronPort Giai Phap (Vn) - FPT-JPVC - 03062011 - slidepdf.com
http://slidepdf.com/reader/full/ironport-giai-phap-vn-fpt-jpvc-03062011 6/17
2.3. CÁC TÍNH NĂNG NỔI BẬT CỦA IRON PORT
Để Monitor quản lý người dùng trong việc gởi và nhận email trong cùng công tythông qua hệ thống IronPort, ta có những tính năng sau có thể áp dụng cho users:
- Message Body or Attachments: nội dung mail hoặc tập tin đính kèm
- Message Size: kích thước của email
- Attachment Content: nội dung file đính kèm
- Attachment File Info : thông tin cấu trúc file đính kèm
- Attachment Protected: tập tinh đính kèm có đặt mật khẩu bảo vệ
- Subject Header: tiêu đề của email
- Envelope Sender: người gởi email
- Envelope Recipient: người nhận email
- ….
Khi user gặp những điều kiện như bên trên thì mình có thể áp luật xuống cho người
dung bằng những hành động sau:
- Xóa mail
- Quaranties email
- Cho phép gởi mail nhưng với thông báo cảnh báo.
- Cắt bỏ tập tin đính kèm ra khỏi email- Chèn thêm header hay footer vào email
- Thay đổi địa chỉ email của người nhận
- Tự động gởi thông báo ngược về cho người gởi email khi họ vi phạm luật của
công ty đề ra
- …
Ironport có thể thiết lập luật chi tiết cho từng user hoặc một nhóm người dùng. Giả
sử chúng ta cần theo dõi một người dùng cá nhân hay một phòng ban nào đó trong
công ty, thì IronPort hỗ trợ LDAP và AD cho việc truy xuất thông tin của người dùng
hay nhóm người dùng. Như vậy khi người dùng hay nhóm người dùng đó bị luật đã
được thiết lập trên IronPort thì mỗi khi họ gởi email ra bên ngoài hay nhận email vào
thì đều được IronPort “Quaranties” lại bằng một bản sao lưu trên đĩa cứng của
Private Confidential Page 6 of 17
5/10/2018 IronPort Giai Phap (Vn) - FPT-JPVC - 03062011 - slidepdf.com
http://slidepdf.com/reader/full/ironport-giai-phap-vn-fpt-jpvc-03062011 7/17
IronPort. Người quản trị có thể chấp nhận hay từ chối những email không cần thiết
khi được gởi đến hoặc gởi đi từ người dùng hay nhóm người dùng này.
Sau khi có những luật và áp đặt riêng cho người dùng, chúng ta có thể theo dõi
thống kê tình trạng email gởi / nhận qua thiết bị IronPort.
Thống kê Mail vào hệ thống
- Tổng số email vào trong hệ thống: 270.408
Private Confidential Page 7 of 17
5/10/2018 IronPort Giai Phap (Vn) - FPT-JPVC - 03062011 - slidepdf.com
http://slidepdf.com/reader/full/ironport-giai-phap-vn-fpt-jpvc-03062011 8/17
- Số emails bị chặn lại bởi Senderbase: 264.873
- Số emails bị sai tên người nhận: 45- Số Spam mail phát hiện được: 1.823
- Số Virus phát hiện được: 1
- Tổng số mail sạch nhận vào hệ thống: 3.666
Thống kê Mail gởi ra bên ngoài hệ thống
- Tổng số email gởi ra bên ngoài: 2.543
- Số email spam được phát hiện khi gởi đi: 4
- Số Virus: 0
- Tổng số mail sạch được gởi đi: 2.539
Riêng đối với những người gởi email từ hệ thống khác không phải của từ công ty
như là Gmail, Yahoo thì IronPort chỉ có thể theo dõi kiểm tra qua phần Header của
email bao gồm những thông tin sau:
- Kích thước tập tin đính kèm
- Định dạng các loại tập tin đính kèm như là: Word, Excel, jpg, bmp, txt,….
- Điểm số của Senderbase
- DNS lookup- Subject or other Header content
- Địa chỉ email người gởi
- Địa chỉ email người nhận
Mail Tracking:
Đây là một tính năng của IronPort nhằm giúp người quản trị truy tìm lại thông tin
header của email khi gởi vào hoặc gởi ra khỏi IronPort. Tính năng này sẽ giúp ích
rất nhiều trong việc cần biết thông tin vì sao một email không thể gởi ra ngoài hoặc
người dùng không thể nhận được email khi email gởi từ bên ngoài vào hệ thống.
Khi cần xem lại log thông tin của việc gởi hoặc nhận email, chúng ta có thể tìm kiếm
thông tin email với các tham số của người dùng Yahoo, Gmail hay một hệ thống
Private Confidential Page 8 of 17
5/10/2018 IronPort Giai Phap (Vn) - FPT-JPVC - 03062011 - slidepdf.com
http://slidepdf.com/reader/full/ironport-giai-phap-vn-fpt-jpvc-03062011 9/17
mail bất kỳ…. gởi email từ bên ngoài theo user (nguyenva@) hoặc theo domain
(@yahoo.com). Hoặc có thể truy tìm log thông tin của người nhận email dùng bêntrong hệ thống. Ngoài ra có thể tìm log email thông qua tiêu đề Subject của email.
2.3.1. IRON PORT SENDERBASE NETWORK
Private Confidential Page 9 of 17
5/10/2018 IronPort Giai Phap (Vn) - FPT-JPVC - 03062011 - slidepdf.com
http://slidepdf.com/reader/full/ironport-giai-phap-vn-fpt-jpvc-03062011 10/17
SenderBase của Iron Port là mạng lưới theo dõi lưu lượng email lớn nhất thế giới.
Với việc thu thập dữ liệu chiếm khoảng 30% của dữ liệu Internet thế giới, mạng lưới
SenderBase của IronPort cung cấp sự quan sát theo thời gian thực về các mối đe
dọa từ khắp nơi trên thế giới. SenderBase nhận sự đóng góp từ 120.000 mạng lưới
trên toàn cầu để đa dạng hóa dữ liệu. Việc này giúp Iron Port có thể hiểu và ngănchặn những đe dọa mà các đối thủ khác không nhận biết.
Các khách hàng của Iron Port về bảo mật email sử dụng sức mạnh của SenderBase
thông qua các kỹ thuật của Iron Port Email Reputation. Dữ liệu SenderBase cũng
góp phần gia tăng sức mạnh cho Iron Port Anti-spam, Iron Port Virus Outbreak
Filters (dịch vụ bảo mật giúp các khách hàng khỏi việc bùng nổ các virus mới xuất
hiện trước khi các hãng phần mềm chống virus đưa ra các dấu hiệu nhận diện) và
các ứng dụng bảo mật khác.
Iron Port là 1 trong số ít các công ty đã xây dựng một mạng lưới theo dõi rất lớn –một trong số đó là một phần của Cisco cho phép Iron Port truy nhập dữ liệu chưa
từng có. Giống như trong mạng thông tin di động thương mại, ai sở hữu mạng lưới
tốt nhất sẽ cung cấp dịch vụ tốt nhất. Điều này có nghĩa là nếu khách hàng sử dụng
Iron Port thì bạn sẽ được bảo vệ với tốc độ nhanh nhất, rộng nhất và chính xác nhất
Private Confidential Page 10 of 17
5/10/2018 IronPort Giai Phap (Vn) - FPT-JPVC - 03062011 - slidepdf.com
http://slidepdf.com/reader/full/ironport-giai-phap-vn-fpt-jpvc-03062011 11/17
chống lại những mối đe dọa từ Internet. Iron Port có thể chặn 90% spam ngay tại
mức kết nối mà không cần download và đọc email với tính năng lọc dựa trên sựdanh tiếng (Reputation Filter). Do đó, nếu có nhiều spam hơn thì khách hàng cũng
không cần trang bị thêm phần cứng.
2.3.2. IRON PORT ANTI SPAM
Để ngăn chặn spam có thể vào hộp mail của người sử dụng cuối, Iron Port triển
khai sự phòng thủ nhiều lớp kết hợp sử dụng việc lọc người gửi dựa trên danh tiếng
(trọng số) ở lớp bên ngoài kết hợp với việc phân tích kỹ nội dung gói dữ liệu ở lớpbên trong. Việc kết hợp này giúp chống spam với độ chính xác cao (98%- 99% với tỉ
lệ cho phép sai sót là nhỏ hơn 1/1.000.000) mà không ảnh hưởng tới hiệu suất của
thiết bị.
Private Confidential Page 11 of 17
5/10/2018 IronPort Giai Phap (Vn) - FPT-JPVC - 03062011 - slidepdf.com
http://slidepdf.com/reader/full/ironport-giai-phap-vn-fpt-jpvc-03062011 12/17
Đại diện cho lớp bên ngoài, bộ lọc danh tiếng Senderbase Reputation sẽ chống
Spam dựa trên thông tin của người gửi. Nó tương tự như việc gởi một thông báodịch vụ thẻ. Thay vì phải phân tích số an ninh xã hội của bạn và quá trình sử dụng,
SenderBase phân tích địa chỉ người gửi, hoặc địa chỉ IP và gán cho nó một số điểm
dựa trên sự phân tích hơn 150 tham số như số lượng emails gửi trên toàn cầu
(spammers cần gửi nhiều thư để việc spam có hiệu quả), nguồn gốc của đất nước
người gửi, Blacklists IP, domain được đăng kí ở đâu và đã tồn tại bao lâu …
Số điểm sẽ nằm trong khoảng -10 đến +10 được dùng để điều khiển quản lý emails
vào và ra. Nếu một người gửi trông giống là một spammer, thì luật áp dụng càng
ngặt.
Có hai lợi ích chính của SenderBase.
Iron Port có thể ngăn chặn 90% SPAM trước khi nó vào mạng của khách
hàng.
Mail được chặn bằng cách quan sát địa chỉ IP thay vì việc quét toàn bộ
emails, nhờ đó giúp cho hiệu suất cao.
Lớp thứ hai của bộ lọc là duy nhất. Không giống như những giải pháp chống Spamtruyền thống trước đây là chủ yếu chỉ phân tích nội dung của một email, cơ chế
chống Spam của IronPort được thiết kế quan sát 4 điểm dữ liệu chính
Ngoài việc phân tích nội dung của email (có gì bên trong email), kỹ thuật của
IronPort cũng phân tích :
HOW: Làm sao email được hình thành (spammers thử tạo ra nhiều email
trông giống như chúng được gửi qua bằng Outlook, trong khi thật sự họ có
thể đã sử dụng những phần mềm nào đó) WHO: Ai đang gửi email (vấn đề này dựa trên điểm danh tiếng)
WHERE: Xem địa chỉ URL có nguồn gốc từ đâu, việc này rất giúp ích cho
việc chống tấn công dạng PHISHING.
Private Confidential Page 12 of 17
5/10/2018 IronPort Giai Phap (Vn) - FPT-JPVC - 03062011 - slidepdf.com
http://slidepdf.com/reader/full/ironport-giai-phap-vn-fpt-jpvc-03062011 13/17
2.3.3. IRON PORT ANTI VIRUS
Tương tự với việc phòng chống SPAM, Iron Port cũng sử dụng nhiều lớp để chống
virus.
Virus Outbreak Filters tận dụng công nghệ của Senderbase để xác định sự gia tăng
bất thường về số lượng của các email có thể có chứa virus. Iron Port sử dụng kỹ
thuật này để tạm thời giữ lại các email tiềm ẩn nguy cơ cho đến khi những dấu hiệu
nhận dạng virus này được phát hành bởi các hãng Anti Virus tích hợp như McAfee
và Sophos. Thời gian trung bình để có thể phát hành dấu hiệu nhận dạng virus(virus signature) trung bình khoảng 13 tiếng. Do đó Iron Port cung cấp sự bảo vệ
cho khách hàng trong thời gian các loại virus mới phát triển cho tới khi một dấu hiệu
nhận dạng được phát hành.
Private Confidential Page 13 of 17
5/10/2018 IronPort Giai Phap (Vn) - FPT-JPVC - 03062011 - slidepdf.com
http://slidepdf.com/reader/full/ironport-giai-phap-vn-fpt-jpvc-03062011 14/17
Khách hàng có thể lựa chọn sử dụng McAfee hoặc Sophos hoặc cả hai cho các
engine phòng chống virus từ các hãng. Điều này giúp cho việc phân tầng bảo vệcho virus không lây nhiễm vào trong hộp mail của người dùng cuối.
2.3.4. CHỨNG THỰC VÀ MÃ HÓA
Private Confidential Page 14 of 17
5/10/2018 IronPort Giai Phap (Vn) - FPT-JPVC - 03062011 - slidepdf.com
http://slidepdf.com/reader/full/ironport-giai-phap-vn-fpt-jpvc-03062011 15/17
Mỗi email được gởi ra ngoài sẽ được quét bởi hệ thống bộ lọc của IronPort
hoặc nội dung lọc. Nếu những email này tương ứng với chính sách luật mãhóa đã được định nghĩa trước thì chúng sẽ được mã hóa - email mã hóa sẽ
được gửi tới người nhận trong khi chìa khóa giải mã được chứa tại dịch vụ
lưu trữ chìa khóa của Iron Port (Iron Port’s Hosted Keys).
Người nhận mở email bằng một phần mềm kiểm tra mail thông thường như
là MS. Outlook, …, hoặc có thể là web mail.
Người nhận sẽ được yêu cầu cung cấp một mật khẩu để mở email. Mật khẩu
được chứng thực với dịch vụ lưu trữ chìa khóa (Hosted Keys). Nếu thành
công, chìa khóa giải mã sẽ được gửi lại cho người sử dụng và email sẽ được
hiển thị đúng với nội dung của nó.
Private Confidential Page 15 of 17
5/10/2018 IronPort Giai Phap (Vn) - FPT-JPVC - 03062011 - slidepdf.com
http://slidepdf.com/reader/full/ironport-giai-phap-vn-fpt-jpvc-03062011 16/17
2.3.5. CHÍNH SÁCH LUẬT QUẢN LÍ NGƯỜI DÙNG
Khách hàng có thể tạo rất nhiều luật trên thiết bị Iron Port để quản lí việc gửi/nhận
mail của người dùng.
2.3.6. ASYNC OS - MTA
Hệ điều hành AsyncOS là hệ điều hành do IronPort tự phát triển và đã được tối ưu
hóa cao cho việc đảm nhiệm thực thi chức năng bảo vệ email ngay tại cổng ra vào.
Nó bảo đảm tính sẵn sàng cho email từ ngoài vào, giảm bớt độ trễ của việc
gửi/nhận email, bảo vệ thông tin về email của người dùng không bị đánh cắp, bảo
vệ địa chỉ IP được sử dụng để gửi mail được đánh giá tốt, và cung cấp khả năng
giám sát hệ thống mail một cách rõ ràng.
AsyncOS là một hệ điều hành đã được tối ưu, các dịch vụ không cần thiết đã đượcloại bỏ, giúp tăng cường tính bảo mật và hiệu suất của thiết bị. Kỹ thuật “stackless
threading” của Iron Port loại bỏ việc mỗi nhiệm vụ phải đặt trước một phần của bộ
nhớ, nhờ đó giúp cho việc gia tăng việc xử lí đồng thời và tính ổn định của chức
năng MTA. Bộ lập lịch I/O được tối ưu có thể xử lí đồng thời rất lớn các yêu cầu I/O
Private Confidential Page 16 of 17
5/10/2018 IronPort Giai Phap (Vn) - FPT-JPVC - 03062011 - slidepdf.com
http://slidepdf.com/reader/full/ironport-giai-phap-vn-fpt-jpvc-03062011 17/17
trong khi không chiếm dụng quá nhiều CPU. AsyncFS, hệ thống quản lí tập tin của
AsyncOS, được thiết kế để có thể quản lí hàng tỉ tập tin có kích thước nhỏ và đảmbảo khả năng phục hồi dữ liệu khi có các vấn đề xảy ra về hệ thống.
Hệ điều hành AsynOS hỗ trợ chuẩn RFC 2821 Simple Mail Transfer Protocol
(SMTP) để nhận và gửi emails. Ngoài ra, nó cũng chấp nhận những email được
truyền qua giao thức Quick Mail Queuing Protocol (QMQP).
2.4. ĐỘ MỞ RỘNG
Chúng ta có thể sử dụng nhiều thiết bị IronPort và một thiết bị cân bằng tải đểchia sẽ tải và cung cấp sự dư thừa để có thể xử lí nhiều email và cung cấp
đô tin cậy cao.
Chúng ta có thể mua nhiều giấy phép sử dụng hơn cho người dùng nếu có
nhu cầu mở rộng mà hiệu suất của thiết bị IronPort hiện tại vẫn đáp ứng
được.
Private Confidential Page 17 of 17