IronPort Giai Phap (Vn) - FPT-JPVC - 03062011

5/10/2018 IronPort Giai Phap (Vn) - FPT-JPVC - 03062011 - slidepdf.com

http://slidepdf.com/reader/full/ironport-giai-phap-vn-fpt-jpvc-03062011 1/17

Private Confidential of 17

GIẢI PHÁP

IRON PORT

Viet Sunshine Electronic Solution Join Stock Company- A0807 CENTRAL GARDEN, 225 Ben Chuong Duong Str, Co Giang

Ward, District 1, Ho Chi Minh City, Vietnam

- Phone: (84.8) 920 8020

- Fax: (84.8) 920 8030



MỤC LỤC1. GIỚI THIỆU ................................................................................................................ 3

2. giẢi pháp đỀ nghỊ ........................................................................................................4

2.1. mô hình đỀ NGHỊ ....................................................................................................... 4

2.2. triỂn khai ironport .......................................................................................................5

2.3. các tính năng nỔi bẬt CỦa iron port ..........................................................................6

2.3.1. IRON PORT SENDERBASE NETWORK .............................................................9

2.3.2. IRON PORT ANTI SPAM ....................................................................................11

2.3.3. IRON PORT ANTI VIRUS ...................................................................................13

2.3.4. chỨng thỰc và mã hóa ..........................................................................................14

2.3.5. CHÍNH SÁCH LUẬT QUẢN LÍ NGƯỜI DÙNG ................................................16

2.3.6. ASYNC OS - MTA ................................................................................................16

2.4. đỘ mỞ rỘng ............................................................................................................. 17




1. GIỚI THIỆUHệ thống IronPort là một đơn vị kinh doanh độc lập của Cisco. Hoạt động như một

phần của Nhóm Công Nghệ Bảo Mật của Cisco (Cisco’s Security Technology

Group), IronPort đã và đang là nhà cung cấp các thiết bị hàng đầu về chống spam,

chống virus và chống spamware cho các tổ chức xếp hạng từ nhỏ đến Global 2000.

Các dòng sản phẩm IronPort về bảo mật email, bảo mật web và quản lí sử dụng hệ

thống SenderBase (tổ chức cung cấp dữ liệu tìm kiếm các mối đe dọa lớn nhất thế

giới) để phân tích các hành vi tương ứng của email và web trên thế giới, từ đó giúp

các thiết bị Iron Port có thể chống đỡ hiệu quả và nhanh chóng trong việc ngăn

ngừa các rủi ro gây tác động có hại cho việc hoạt động của các tổ chức.

Iron Port luôn là người đi tiên phong trong việc phát triển các kỹ thuật phòng chống

spam, virus và spyware để bảo vệ hầu hết những hệ thống mạng quan trọng nhất

trên thế giới. IronPort cung cấp các nền tảng tính năng cao cấp được kết hợp với

các công cụ mạnh mẽ để có thể quản lí được các nhiệm vụ phức tạp một cách khoa

học và dễ dàng. Bằng việc cung cấp những giải pháp bảo mật được triển khai tại

cổng ra vào mạng, IronPort hỗ trợ tính năng phòng thủ mạnh đến nỗi tất cả những

mối đe dọa trên Internet thậm chí chưa bao giờ ảnh hưởng tới người dùng cuối. Cácsản phẩm IronPort có thể hỗ trợ và bảo vệ cơ sở hạ tầng của bạn không chỉ những

mối đe dọa hôm nay mà còn những mối đe dọa tương lai.

IronPort có thể giúp đỡ khách hàng để đạt được:

Đầu tư hiệu quả.

Cung cấp những kỹ thuật cần thiết để giải quyết các yêu cầu về kinh doanh

trong hiện tại và tương lai.

Cung cấp công nghệ độc nhất cũng như các giá trị tăng thêm về mặt kỹ thuật.

Cam kết luôn phát triển về mặt công nghệ và hiệu suất để đảm bảo tính hiệu

quả đầu tư trong tương lai.




2. GIẢI PHÁP ĐỀ NGHỊ2.1. MÔ HÌNH ĐỀ NGHỊ

Theo sơ đồ trên, khách hàng có thể sử dụng IronPort để làm mail gateway cho cả

chiều ra và chiều vào của các dữ liệu email

Đối với chiều vào, khi email được gởi từ ngoài vào thì khi đến IP Public của

Router, tại đây sẽ được Router NAT về IronPort theo Port 25 để IronPortkiểm tra Anti Spam hay Anti Virus của những email có file đính kèm rồi sau

đó chuyển đến MailServer..




Đối với chiều ra, khi email được gửi từ trong ra ngoài, email sẽ tới máy chủ

mail trước, sau đó máy chủ mail sẽ forward email tới Iron Port. Iron Port sẽquét nội dụng mail để kiểm tra Anti Spam hay Anti Virus của những email có

file đính kèm trước khi gửi ra ngoài Internet..

2.2. TRIỂN KHAI IRONPORT

Tùy chọn 1:

Trỏ MX record chính của khách hàng về IronPort

Tùy chọn 2:

Trỏ MX record chính của khách hàng về IronPort và trỏ MX record phụ về gatewayhiện tại của khách hàng.

IronPort sẽ làm việc với LDAP hiện tại để xác định user/group/domain cần

bảo vệ.

Sử dụng thiết bị cân bằng tải (Load Balancer) để cân bằng tải giữa 2 hoặc

nhiều hơn các thiết bị IronPort cho các email vào/ra.

Mỗi thiết bị IronPort có thể tạo ra 32 gateway ảo với 32 địa chỉ IP public để

quản lý email. Chúng ta có thể dùng NAT cho nhiều IP public nếu thực sự

cần thiết.

Cấu hình máy chủ Web Mail để chuyển hướng các email vào IronPort trước,

sau đó Iron Port sẽ gửi các email đó tới máy chủ email.

Iron Port có thể xuất các báo cáo theo thông tin về người gửi/người nhận/các

domain.

Cài đặt chương trình chống Virus trên các máy chủ email nếu cần thiết.

Cấu hình firewall cho phép port 80, 53, 443 từ Iron Port ra Internet.

Cấu hình cho phép Iron Port gửi email đến máy chủ mail bởi vì các máy chủ

mail có thể nhìn Iron Port như là một dạng tấn công DOS/DDOS vì gửi vàoquá nhiều emails từ một IP.




2.3. CÁC TÍNH NĂNG NỔI BẬT CỦA IRON PORT

Để Monitor quản lý người dùng trong việc gởi và nhận email trong cùng công tythông qua hệ thống IronPort, ta có những tính năng sau có thể áp dụng cho users:

- Message Body or Attachments: nội dung mail hoặc tập tin đính kèm

- Message Size: kích thước của email

- Attachment Content: nội dung file đính kèm

- Attachment File Info : thông tin cấu trúc file đính kèm

- Attachment Protected: tập tinh đính kèm có đặt mật khẩu bảo vệ

- Subject Header: tiêu đề của email

- Envelope Sender: người gởi email

- Envelope Recipient: người nhận email

- ….

Khi user gặp những điều kiện như bên trên thì mình có thể áp luật xuống cho người

dung bằng những hành động sau:

- Xóa mail

- Quaranties email

- Cho phép gởi mail nhưng với thông báo cảnh báo.

- Cắt bỏ tập tin đính kèm ra khỏi email- Chèn thêm header hay footer vào email

- Thay đổi địa chỉ email của người nhận

- Tự động gởi thông báo ngược về cho người gởi email khi họ vi phạm luật của

công ty đề ra

- …

Ironport có thể thiết lập luật chi tiết cho từng user hoặc một nhóm người dùng. Giả

sử chúng ta cần theo dõi một người dùng cá nhân hay một phòng ban nào đó trong

công ty, thì IronPort hỗ trợ LDAP và AD cho việc truy xuất thông tin của người dùng

hay nhóm người dùng. Như vậy khi người dùng hay nhóm người dùng đó bị luật đã

được thiết lập trên IronPort thì mỗi khi họ gởi email ra bên ngoài hay nhận email vào

thì đều được IronPort “Quaranties” lại bằng một bản sao lưu trên đĩa cứng của




IronPort. Người quản trị có thể chấp nhận hay từ chối những email không cần thiết

khi được gởi đến hoặc gởi đi từ người dùng hay nhóm người dùng này.

Sau khi có những luật và áp đặt riêng cho người dùng, chúng ta có thể theo dõi

thống kê tình trạng email gởi / nhận qua thiết bị IronPort.

Thống kê Mail vào hệ thống

- Tổng số email vào trong hệ thống: 270.408




- Số emails bị chặn lại bởi Senderbase: 264.873

- Số emails bị sai tên người nhận: 45- Số Spam mail phát hiện được: 1.823

- Số Virus phát hiện được: 1

- Tổng số mail sạch nhận vào hệ thống: 3.666

Thống kê Mail gởi ra bên ngoài hệ thống

- Tổng số email gởi ra bên ngoài: 2.543

- Số email spam được phát hiện khi gởi đi: 4

- Số Virus: 0

- Tổng số mail sạch được gởi đi: 2.539

Riêng đối với những người gởi email từ hệ thống khác không phải của từ công ty

như là Gmail, Yahoo thì IronPort chỉ có thể theo dõi kiểm tra qua phần Header của

email bao gồm những thông tin sau:

- Kích thước tập tin đính kèm

- Định dạng các loại tập tin đính kèm như là: Word, Excel, jpg, bmp, txt,….

- Điểm số của Senderbase

- DNS lookup- Subject or other Header content

- Địa chỉ email người gởi

- Địa chỉ email người nhận

Mail Tracking:

Đây là một tính năng của IronPort nhằm giúp người quản trị truy tìm lại thông tin

header của email khi gởi vào hoặc gởi ra khỏi IronPort. Tính năng này sẽ giúp ích

rất nhiều trong việc cần biết thông tin vì sao một email không thể gởi ra ngoài hoặc

người dùng không thể nhận được email khi email gởi từ bên ngoài vào hệ thống.

Khi cần xem lại log thông tin của việc gởi hoặc nhận email, chúng ta có thể tìm kiếm

thông tin email với các tham số của người dùng Yahoo, Gmail hay một hệ thống




mail bất kỳ…. gởi email từ bên ngoài theo user (nguyenva@) hoặc theo domain

(@yahoo.com). Hoặc có thể truy tìm log thông tin của người nhận email dùng bêntrong hệ thống. Ngoài ra có thể tìm log email thông qua tiêu đề Subject của email.

2.3.1. IRON PORT SENDERBASE NETWORK




SenderBase của Iron Port là mạng lưới theo dõi lưu lượng email lớn nhất thế giới.

Với việc thu thập dữ liệu chiếm khoảng 30% của dữ liệu Internet thế giới, mạng lưới

SenderBase của IronPort cung cấp sự quan sát theo thời gian thực về các mối đe

dọa từ khắp nơi trên thế giới. SenderBase nhận sự đóng góp từ 120.000 mạng lưới

trên toàn cầu để đa dạng hóa dữ liệu. Việc này giúp Iron Port có thể hiểu và ngănchặn những đe dọa mà các đối thủ khác không nhận biết.

Các khách hàng của Iron Port về bảo mật email sử dụng sức mạnh của SenderBase

thông qua các kỹ thuật của Iron Port Email Reputation. Dữ liệu SenderBase cũng

góp phần gia tăng sức mạnh cho Iron Port Anti-spam, Iron Port Virus Outbreak

Filters (dịch vụ bảo mật giúp các khách hàng khỏi việc bùng nổ các virus mới xuất

hiện trước khi các hãng phần mềm chống virus đưa ra các dấu hiệu nhận diện) và

các ứng dụng bảo mật khác.

Iron Port là 1 trong số ít các công ty đã xây dựng một mạng lưới theo dõi rất lớn –một trong số đó là một phần của Cisco cho phép Iron Port truy nhập dữ liệu chưa

từng có. Giống như trong mạng thông tin di động thương mại, ai sở hữu mạng lưới

tốt nhất sẽ cung cấp dịch vụ tốt nhất. Điều này có nghĩa là nếu khách hàng sử dụng

Iron Port thì bạn sẽ được bảo vệ với tốc độ nhanh nhất, rộng nhất và chính xác nhất




chống lại những mối đe dọa từ Internet. Iron Port có thể chặn 90% spam ngay tại

mức kết nối mà không cần download và đọc email với tính năng lọc dựa trên sựdanh tiếng (Reputation Filter). Do đó, nếu có nhiều spam hơn thì khách hàng cũng

không cần trang bị thêm phần cứng.

2.3.2. IRON PORT ANTI SPAM

Để ngăn chặn spam có thể vào hộp mail của người sử dụng cuối, Iron Port triển

khai sự phòng thủ nhiều lớp kết hợp sử dụng việc lọc người gửi dựa trên danh tiếng

(trọng số) ở lớp bên ngoài kết hợp với việc phân tích kỹ nội dung gói dữ liệu ở lớpbên trong. Việc kết hợp này giúp chống spam với độ chính xác cao (98%- 99% với tỉ

lệ cho phép sai sót là nhỏ hơn 1/1.000.000) mà không ảnh hưởng tới hiệu suất của

thiết bị.




Đại diện cho lớp bên ngoài, bộ lọc danh tiếng Senderbase Reputation sẽ chống

Spam dựa trên thông tin của người gửi. Nó tương tự như việc gởi một thông báodịch vụ thẻ. Thay vì phải phân tích số an ninh xã hội của bạn và quá trình sử dụng,

SenderBase phân tích địa chỉ người gửi, hoặc địa chỉ IP và gán cho nó một số điểm

dựa trên sự phân tích hơn 150 tham số như số lượng emails gửi trên toàn cầu

(spammers cần gửi nhiều thư để việc spam có hiệu quả), nguồn gốc của đất nước

người gửi, Blacklists IP, domain được đăng kí ở đâu và đã tồn tại bao lâu …

Số điểm sẽ nằm trong khoảng -10 đến +10 được dùng để điều khiển quản lý emails

vào và ra. Nếu một người gửi trông giống là một spammer, thì luật áp dụng càng

ngặt.

Có hai lợi ích chính của SenderBase.

Iron Port có thể ngăn chặn 90% SPAM trước khi nó vào mạng của khách

hàng.

Mail được chặn bằng cách quan sát địa chỉ IP thay vì việc quét toàn bộ

emails, nhờ đó giúp cho hiệu suất cao.

Lớp thứ hai của bộ lọc là duy nhất. Không giống như những giải pháp chống Spamtruyền thống trước đây là chủ yếu chỉ phân tích nội dung của một email, cơ chế

chống Spam của IronPort được thiết kế quan sát 4 điểm dữ liệu chính

Ngoài việc phân tích nội dung của email (có gì bên trong email), kỹ thuật của

IronPort cũng phân tích :

HOW: Làm sao email được hình thành (spammers thử tạo ra nhiều email

trông giống như chúng được gửi qua bằng Outlook, trong khi thật sự họ có

thể đã sử dụng những phần mềm nào đó) WHO: Ai đang gửi email (vấn đề này dựa trên điểm danh tiếng)

WHERE: Xem địa chỉ URL có nguồn gốc từ đâu, việc này rất giúp ích cho

việc chống tấn công dạng PHISHING.




2.3.3. IRON PORT ANTI VIRUS

Tương tự với việc phòng chống SPAM, Iron Port cũng sử dụng nhiều lớp để chống

virus.

Virus Outbreak Filters tận dụng công nghệ của Senderbase để xác định sự gia tăng

bất thường về số lượng của các email có thể có chứa virus. Iron Port sử dụng kỹ

thuật này để tạm thời giữ lại các email tiềm ẩn nguy cơ cho đến khi những dấu hiệu

nhận dạng virus này được phát hành bởi các hãng Anti Virus tích hợp như McAfee

và Sophos. Thời gian trung bình để có thể phát hành dấu hiệu nhận dạng virus(virus signature) trung bình khoảng 13 tiếng. Do đó Iron Port cung cấp sự bảo vệ

cho khách hàng trong thời gian các loại virus mới phát triển cho tới khi một dấu hiệu

nhận dạng được phát hành.




Khách hàng có thể lựa chọn sử dụng McAfee hoặc Sophos hoặc cả hai cho các

engine phòng chống virus từ các hãng. Điều này giúp cho việc phân tầng bảo vệcho virus không lây nhiễm vào trong hộp mail của người dùng cuối.

2.3.4. CHỨNG THỰC VÀ MÃ HÓA




Mỗi email được gởi ra ngoài sẽ được quét bởi hệ thống bộ lọc của IronPort

hoặc nội dung lọc. Nếu những email này tương ứng với chính sách luật mãhóa đã được định nghĩa trước thì chúng sẽ được mã hóa - email mã hóa sẽ

được gửi tới người nhận trong khi chìa khóa giải mã được chứa tại dịch vụ

lưu trữ chìa khóa của Iron Port (Iron Port’s Hosted Keys).

Người nhận mở email bằng một phần mềm kiểm tra mail thông thường như

là MS. Outlook, …, hoặc có thể là web mail.

Người nhận sẽ được yêu cầu cung cấp một mật khẩu để mở email. Mật khẩu

được chứng thực với dịch vụ lưu trữ chìa khóa (Hosted Keys). Nếu thành

công, chìa khóa giải mã sẽ được gửi lại cho người sử dụng và email sẽ được

hiển thị đúng với nội dung của nó.




2.3.5. CHÍNH SÁCH LUẬT QUẢN LÍ NGƯỜI DÙNG

Khách hàng có thể tạo rất nhiều luật trên thiết bị Iron Port để quản lí việc gửi/nhận

mail của người dùng.

2.3.6. ASYNC OS - MTA

Hệ điều hành AsyncOS là hệ điều hành do IronPort tự phát triển và đã được tối ưu

hóa cao cho việc đảm nhiệm thực thi chức năng bảo vệ email ngay tại cổng ra vào.

Nó bảo đảm tính sẵn sàng cho email từ ngoài vào, giảm bớt độ trễ của việc

gửi/nhận email, bảo vệ thông tin về email của người dùng không bị đánh cắp, bảo

vệ địa chỉ IP được sử dụng để gửi mail được đánh giá tốt, và cung cấp khả năng

giám sát hệ thống mail một cách rõ ràng.

AsyncOS là một hệ điều hành đã được tối ưu, các dịch vụ không cần thiết đã đượcloại bỏ, giúp tăng cường tính bảo mật và hiệu suất của thiết bị. Kỹ thuật “stackless

threading” của Iron Port loại bỏ việc mỗi nhiệm vụ phải đặt trước một phần của bộ

nhớ, nhờ đó giúp cho việc gia tăng việc xử lí đồng thời và tính ổn định của chức

năng MTA. Bộ lập lịch I/O được tối ưu có thể xử lí đồng thời rất lớn các yêu cầu I/O




trong khi không chiếm dụng quá nhiều CPU. AsyncFS, hệ thống quản lí tập tin của

AsyncOS, được thiết kế để có thể quản lí hàng tỉ tập tin có kích thước nhỏ và đảmbảo khả năng phục hồi dữ liệu khi có các vấn đề xảy ra về hệ thống.

Hệ điều hành AsynOS hỗ trợ chuẩn RFC 2821 Simple Mail Transfer Protocol

(SMTP) để nhận và gửi emails. Ngoài ra, nó cũng chấp nhận những email được

truyền qua giao thức Quick Mail Queuing Protocol (QMQP).

2.4. ĐỘ MỞ RỘNG

Chúng ta có thể sử dụng nhiều thiết bị IronPort và một thiết bị cân bằng tải đểchia sẽ tải và cung cấp sự dư thừa để có thể xử lí nhiều email và cung cấp

đô tin cậy cao.

Chúng ta có thể mua nhiều giấy phép sử dụng hơn cho người dùng nếu có

nhu cầu mở rộng mà hiệu suất của thiết bị IronPort hiện tại vẫn đáp ứng

được.


IronPort Giai Phap (Vn) - FPT-JPVC - 03062011

Documents

Transcript of IronPort Giai Phap (Vn) - FPT-JPVC - 03062011