精选梭子鱼反垃圾及病毒邮件防火墙典型方案样例.docx
《精选梭子鱼反垃圾及病毒邮件防火墙典型方案样例.docx》由会员分享,可在线阅读,更多相关《精选梭子鱼反垃圾及病毒邮件防火墙典型方案样例.docx(37页珍藏版)》请在冰豆网上搜索。
精选梭子鱼反垃圾及病毒邮件防火墙典型方案样例
某基金公司
反垃圾邮件系统实施解决方案
客户项目建议书
BarracudaNetworks(Shanghai)Co.,Ltd.
2009-2-18
第一章某基金公司反垃圾邮件技术要求及回复
1、某基金公司网络结构
2、某基金公司技术需求要点及应答
●邮件应用是基金行业的关键应用,产品要稳定可靠。
答复:
完全支持。
这正是硬件反垃圾邮件防火墙的产品优势,梭子鱼产品整合了加固的Linux安全操作系统及优化的12层反垃圾邮件过滤系统,产品兼容性好,稳定可靠。
●防止内外部病毒、黑客软件及非法用户攻击邮件服务器。
答复:
完全支持。
梭子鱼采用支持同时使用两种病毒引擎查杀病毒,支持防止非法用户拒绝服务器攻击、字典式攻击等各类针对邮件服务器攻击。
●反垃圾邮件:
系统有多种级别的反垃圾邮件功能,保证邮箱免受垃圾邮件的侵扰。
答复:
完全支持。
梭子鱼采用十大技术进行垃圾邮件过滤。
尤其独有的图片识别(OCR)技术、SPF/CallerID技术保证垃圾邮件过滤率达到98%以上。
●内容过滤:
防止不当的邮件内容进入DPAD网络和敏感信息泄漏出去,防止内部敏感信息的传递。
答复:
完全支持。
梭子鱼采用十层过滤技术中有2000多条内嵌内容过滤规则对邮件内容进行有效过滤,同时支持用户自定义内容过滤规则,对邮件内容进行接收或者外发过滤。
●控制内外部客户端群发人数、邮件数量、大小,防止邮件炸弹。
答复:
完全支持。
采用速率控制针对单一邮件帐户设置每30分钟可接受的连接数,同时可以限制邮件数量、大小,防止邮件炸弹。
●邮件的实时跟踪,能快速、准确发现攻击源及敏感信息源的IP地址、邮件正文及附件内容及相关信息,并形成报表。
答复:
完全支持。
即时反映系统信息,具有强大的日志和报表功能,所有邮件的详细信息及梭子鱼对邮件做的处理,在邮件日志中都有记录。
●能够实时监测在单位时间内邮件服务器接收发送邮件的数量及大小,当出现不能传递问题时及时通过邮件等方式通知系统管理员。
答复:
完全支持。
并支持发送邮件过滤。
自动发送系统报告。
向收邮件和发邮件发送NDRs消息解释被阻挡原因。
●可备份2天的邮件数据。
答复:
完全支持。
远超过2天邮件数据,梭子鱼400a产品采用RAID硬盘,但空间占用近90%系统会发出警告信息。
第二章与Surfcontrol、Mirapoint、Macfee相比的技术优势
1、十二大技术、十二层过滤的技术架构:
整合目前最优秀的反垃圾邮件技术
梭子鱼垃圾邮件处理流程图
垃圾邮件过滤模式
·防DOS攻击和安全保护(DenialofServiceandSecurityProtection)
·速率控制(RateControl)
·IP地址信誉评价(IPReputationAnalysis)
·发送者验证(SenderAuthentication)
·接收者认证(RecipientVerification)
·病毒检测(VirusCheck)
·策略控制(用户特殊规则)(Policy[User-specifiedrules])
·垃圾邮件指纹检测(SpamFingerprintCheck)
·实时意图分析(IntentAnalysis)
·图象分析(ImageAnalysis)
·贝叶斯过滤分析(BayesianAnalysis)
·基于规则的评分技术(Rule-basedScoring)
技术一:
分层过滤技术
梭子鱼产品突出的邮件处理能力及系统效率来源于优异的产品设计,而梭子鱼产品设计的最突出点在于其分层过滤技术,通过对十二个过滤层的有机组合及合理安排,达到了效率及效果的并重。
多达十二层过滤机制,使辨识率达到98%。
技术二:
基于规则的评分系统
梭子鱼产品强大之处在于其强大的过滤能力,而其过滤能力的重要技术在于基于规则的评分系统,在梭子鱼产品内嵌了超过4000条过滤规则,其中有一般是邮件行为规则,而这些规则保障了梭子鱼突出效果。
以上其作用的规则均为行为规则,行为规则的特点在于效率高,误判率低。
技术三:
意图分析技术
梭子鱼产品内嵌超过20万条URL地址库可以通过意图分析轻松识别垃圾邮件,并且这个庞大的数据库还在不断更新之中。
意图分析是梭子鱼产品特有的一种过滤模块,梭子鱼邮件意图分析提取出邮件发送的URL地址,与已知发送垃圾邮件地址数据库中URL相匹配,从而阻断发垃圾邮件企图的技术。
梭子鱼的意图分析模块分为邮件意图分析和实时意图分析两种(最新版本中还出现了一种可以跟踪多层URL地址目标的多层意图分析),前者是针对邮件信体中的URL进行匹配的,后者则需要直接连接梭子鱼中心来实时检测最新的垃圾邮件发送者列表。
意图分析模块的使用:
使用意图分析的设置相对简单,你只需要在基础——贝叶斯/意图分析菜单中分别开启邮件意图分析或实时意图分析模块即可。
采用的方式可以为阻断,隔离,标记的任何一种。
见下图:
意图分析的调整:
如果意图分析工作正常,仍有发生有几个正常网址因此被误阻断,可以通过将它们添加到意图分析的排除名单中来实现排除,而不需要关闭整个意图分析模块。
技术四:
贝叶斯过滤
贝叶斯过滤是垃圾邮件过滤中的一项重要过滤技术,他包含了对垃圾邮件的模糊识别及智能分析,正确采用贝叶斯过滤可以极大提高垃圾邮件过滤的准确性。
通过贝叶斯过滤,梭子鱼垃圾邮件防火墙成为一个可以自我学习的系统。
技术五:
DNS反向查找技术
DNS反向查找能够有效过滤那些发件人域与发件人不符的垃圾邮件。
技术六:
垃圾邮件指纹技术
所有已知的垃圾邮件均会被送到博威特中心提取指纹,指纹技术对于识别已知垃圾邮件效果卓著。
邮件指纹分析也是梭子鱼产品比较特别的一种过滤模块,它是一种“先念式”的过滤方法,即通过预先散布在互联网各处的邮件诱饵信箱或称“蜜罐”来不断收集新的垃圾邮件,通过程序分析的方法提取一些特征值,这些特征值对应相应的邮件来说就是指纹,梭子鱼邮件指纹分析模块在检查邮件时通过即时生成指纹,与梭子鱼控制中心总部数据库中的指纹数据库进行匹配,如果有完全一样的指纹,则证明这封邮件是之前收到的那种垃圾邮件,从而进行阻断操作,其好处是基本上是百分之百准确。
邮件指纹分析的使用:
操作十分简单,在基础——贝叶斯/意图分析菜单中将邮件指纹分析模块打开即可,同样它可以采用阻断,隔离或标记的任何一种方式。
见下图:
技术七:
黑白名单技术
黑白名单是传统过滤垃圾邮件的有效技术,梭子鱼特点是不仅采用了国际著名的黑白名单,而且采用梭子鱼自行维护的黑白名单,进一步提高系统有效性。
技术八:
关键字过滤技术
做为最传统的反垃圾邮件技术,关键字过滤虽不是推荐技术,但依然起着重要作用,梭子鱼提供了用户可以大量自定义的关键字过滤技术。
技术九:
LDAP及SMTP认证技术
LDAP认证技术提供微软ExchangeServer加速器功能,LDAP及SMTP认证技术防止开放转发及大量的洪水性邮件攻击。
技术十:
两层病毒过滤
梭子鱼垃圾邮件防火墙采用内嵌的两层病毒过滤引擎,病毒特征码可以快至每小时升级,达到98%的病毒邮件过滤率。
在梭子鱼垃圾邮件防火墙不仅可以查到所有目前版本支持查杀的病毒清单,同时每一次新版本发布,均提示更新的病毒库病毒名称。
技术十一:
DoS及DDoS攻击防护
有效阻断电子邮件服务器DoS及DDoS攻击。
技术十二:
图片识别(OCR)
通过光学文字识别技术,识别图片垃圾邮件中的文字阻断垃圾邮件。
2、强大的处理能力及卓越的过滤效果
2.1强大的设备过滤效果
此用户采用了梭子鱼垃圾邮件防火墙300a型号产品,日邮件流量达到50,000万封,梭子鱼设备的系统负荷仅仅达到3%,并且In/Out邮件队列中没有积压的邮件。
2.2卓越的设备过滤效果
梭子鱼反垃圾邮件防火墙产品垃圾及病毒邮件过滤率达到总体邮件90%以上,上图的系统当天接收邮件总数达到31000多封,而允许的邮件仅1321封,允许比例仅为4.26%,这是梭子鱼产品的典型过滤状态。
在所有的垃圾及病毒邮件中,梭子鱼产品的过滤率达到95%-98%,是一个非常高的比例。
3、梭子鱼产品集成2007年反垃圾邮件最前沿技术
3.1发件人特征识别(PredictiveSenderProfiling)
目前垃圾邮件发送者越来越多采取身份盗用的方式来欺骗垃圾邮件过滤引擎,如采用僵尸网络或者botnets、藏匿在其他“健康”URL的后面、从博客(例如,)、免费网站(例如,)、URL重定向站点(例如,)或者许多不同的URL资源——它们是免费的!
这样就需要反垃圾邮件防火墙有更新的方法去抵御这些新的欺骗模式。
梭子鱼推出了全新一代发件人特征识别(PredictiveSenderProfiling)技术来抵御垃圾邮件,新技术如下:
3.2图片识别(OCR)技术
博威特中心通过蜜罐群及数万梭子鱼用户的举报来收集垃圾邮件并予以分析,形成垃圾邮件指纹库。
梭子鱼采用新指纹分析技术分析邮件并与指纹库中的数据进行比较,自动地阻断、隔离、标记邮件这样,指纹分析就能够阻断图片垃圾邮件,即使图片不包含文本。
3.3SPF/CallerID技术
SPF通过发布邮件服务器的"反向MX"记录确认某个邮件域应由哪个对应的IP发出。
用户收到某个域发送来的邮件时,可以通过查询这些记录确认其是否为其对应的域发送出来的。
MSCallerID技术的原理与此相同。
这两个协议目前正在合并中,在此期间梭子鱼同时支持这两个协议。
用户可选择启用SPF检查或者SPF与MSCallerID都检查。
这些检查将消耗一定的系统资源,因此默认设置为不检查。
启用检查时,用户需要通过DNS查询检查某个域的SPF或MSCallerID是否存在。
如果不存在,这些邮件将被阻断;相反,如果判定这些邮件是合法的,邮件将通过这层过滤。
用户还可以配置"可信任代理IP"列表。
该列表中的IP地址发来的邮件将略过SPF/Caller检查。
3.4强大的国际版贝叶斯过滤技术
自3.3版本后梭子鱼使用了新的贝叶斯系统,此前版本中使用的贝叶斯系统将不能升级到3.3.01以上的版本。
新的贝叶斯系统增加了许多新的功能:
●在用户账号下选项->过滤设置中可以查看分用户贝叶斯的状态。
●采用了支持上下文语意的高级令牌环算法。
●支持梭子鱼群集中贝叶斯同步。
●在邮件评分中采用了复合运算。
●加强的邮件学习,邮件评分及处理能力。
●在邮件头中单独插入贝叶斯的处理情况。
●如分用户贝叶斯没得到完全培训,则使用全局贝叶斯库。
●不易受到垃圾邮件中贝叶斯中毒策略的影响。
●目前为止唯一国际化贝叶斯系统。
4、强大的分用户设置能力(Surfcontrol、Macfee均不具备此功能)
对于一个大型机构而言,分用户的反垃圾邮件管理功能是一个重要的比不可少的功能,不同用户有对垃圾邮件不同的偏好度,需要进行不同设置,让用户端对自己的反垃圾邮件过滤设置进行控制也是衡量垃圾邮件过滤系统好坏的一个重要标准。
用户可以决定是否开启垃圾邮件过滤,可以设定自己偏好的评分,可以设定自己的黑白名单,可以培训自己的贝叶斯库,可以选择隔离邮件的发送时间等。
5、强大的报表能力
梭子鱼提供大量可视化的报表供系统管理员使用,报表可以在屏幕上生成,也可以通过电子邮件方式发送给系统管理员。
(病毒排行报告)
(每日流量报告)
(最大邮件收件人报告)
(最大垃圾邮件发件人报告)
6、强大的隔离功能
梭子鱼拥有NetworkComputing杂志评分最高的隔离功能,系统可以设置成全局隔离及分用户隔离,没一个邮件用户可以轻松掌控自己的隔离区邮件。
第三章梭子鱼反垃圾邮件反病毒网关安装及部署方案
1某基金公司邮件系统概况
某基金公司有限公司(以下简称某基金公司)核心交换设备采用某交换机一台。
整体企业网络主干设计为千兆传输链路、百兆到桌面,覆盖了整体企业园区,包括办公大楼、机房、车间、会议室等。
同时还有一些驻外办事分支机构,也需要和总部进行信息的交互。
在网络安全方面的考虑有,在整个企业网和互联网的连接处设置某防火墙,用来保护企业内部服务和内部网络用户的安全;内部网络用户间的访问通过在核心交换设备进行Vlan划分和设置访问控制策略来进行控制其访问行为,企业内部非授权用户不能访问技术中心用户的数据资料,重点保护技术中心资料的安全。
目前整个企业内部网络终端数量为4000多台,企业对外提供的服务主要有Web和Mail服务,主要用于对外界进行企业形象和产品宣传。
某基金公司采用Domino作为邮件服务器,目前有4000多个邮件帐户,预计明年将增至5000余个邮件帐号。
目前,邮件服务器上采用了Trendscanmail对邮件进行病毒的防护,但是对于垃圾邮件、邮件服务器攻击防护很薄弱,因此需要引入专业的邮件网关解决方案对邮件服务器进行全方面的防护。
其邮件系统网络拓扑图如下:
2梭子鱼型号的选择
梭子鱼反垃圾邮件防火墙有五个型号,分别适用于从小型企业,大中型企业,到运营商等不同情况的用户。
根据某基金公司提供的邮件用户数及邮件流量,我们推荐采用BSF400型号的产品部署梭子鱼反垃圾邮件解决方案。
国内不少大型企业均选择这款设备作为邮件网关,如:
TCL、万科、中芯国际、浪潮集团、青岛啤酒等,以及一汽集团、上汽集团。
⏹梭子鱼垃圾邮件防火墙BSF400产品主要性能:
⏹处理能力:
支持10,000个邮件用户
⏹提供分用户隔离功能
⏹兼容各种操作系统与邮件系统;
⏹增强安全性的Linux底层设计;
⏹个人化的分用户隔离区功能;
⏹Exchange/LDAP加速功能;
⏹多台堆叠达到负载均衡及冗余,
⏹冗余磁盘阵列达到高可靠性
3梭子鱼产品安装建议
1梭子鱼在某基金公司公司网络环境中的部署位置,如下图:
1.梭子鱼安装在DMZ区,连接在交换机上,与邮件服务器处于同一网段。
根据某基金公司公司的网址规划配置内部IP地址、掩码、网关及DNS的配置。
2.在防火墙上将原本映射到邮件服务器的SMTP的流量转而映射到梭子鱼上。
也就是将202.103.38.135(某基金公司邮件服务器的公网IP)的25端口映射到梭子鱼的25端口上。
3.在梭子鱼上设置将过滤好的邮件转发到某基金公司的邮件服务器上。
4.根据某基金公司对邮件安全的具体要求优化反垃圾邮件策略。
a)包括:
评分的设定、关键字的设定、黑白名单的设定、贝叶斯培训等。
(注:
以上设定均有默认值)。
通过上述几个步骤,只需要半小时整个邮件安全网关的系统便可架设完毕。
所有来自互联网的邮件在进入某基金公司邮件服务器之前必须经过梭子鱼的严格检查。
第四章梭子鱼与Surfcontrol、Mirapoint、Macfee的测试对比资料
厂商名称
McAfeeInc.
SurfControl
梭子鱼反垃圾邮件防火墙
Mirapoint
产品名称型号
McAfeeSecureContentManagement3300
RiskFilterE10
BSFI-400A
GateM450
操作系统
经过McAfee定制的Linux
Linux
linux
LINUX
软件版本
4.2
5
3.3.053
4
客户情况
国际客户数量
未提供
未提供
35000
未提供
国内客户数量
少
多
多,超过300家
少
日志报表
支持邮件队列监控
不支持
支持
支持
支持
支持系统状态监控
不支持
支持
支持
支持
支持系统日志服务器
不支持
不支持
支持
不支持
完整的邮件日志,可以点击查看邮件日志内的每封邮件
不支持
支持
支持
支持
邮件日志记录意图分析阻断的URL地址
不支持
支持
支持
不支持
详细记录邮件日志记录评分分数及所有导致评分分数的规则
不支持
不支持
支持
支持
提供完善的数据查询及数据分析报表
不支持
支持
支持
支持
邮件过滤技术
黑名单
支持
支持
支持
支持
白名单
支持
支持
支持
支持
RBL
支持
支持
支持
不支持
BBL过滤
不支持
不支持
支持
支持
SMTP连接频度控制
支持
支持
支持
支持
反向域名验证
支持
支持
支持
支持
行为分析
不支持
支持
支持
不支持
邮件路径认证
支持
不支持
支持
支持
基于内容的关键词过滤
支持
支持
支持
支持
压缩文件过滤
支持
支持
支持
支持
贝叶斯算法分析
支持
不支持
支持
不支持
指纹分析能力
不支持
支持
支持
不支持
规则评分系统
不支持
不支持
支持
不支持
意图分析技术
不支持
不支持
支持
不支持
实时意图分析
不支持
不支持
支持
不支持
多级意图分析
不支持
不支持
支持
不支持
邮件流量控制
支持
支持
支持
支持
反中继功能
支持
不支持
支持
支持
问题邮件处理方式
说明
说明
阻断、隔离、标记、允许4种动作
说明
行为识别
不支持
支持
支持
不支持
发件人特征识别技术
不支持
不支持
支持
不支持
针对中文垃圾邮件规则库
不支持
支持中文简体
支持中文简繁体,同时支持日文
不支持
图片垃圾邮件过滤
不支持
不支持
支持,专有OCR技术
不支持
图片指纹技术
不支持
不支持
支持,专有OCR技术
不支持
SPF/CallerID支持
不支持
不支持
支持
不支持
内嵌杀毒引擎
Macfee病毒引擎
购买第三方杀毒引擎
双层病毒扫描,barracuda自研发,不加收病毒库费用
Sophos病毒引擎
管理功能
支持WEB管理
支持
支持
说明
支持
自动更新
支持
支持
支持
支持
中文界面及帮助
支持
支持
支持
支持
配置回退
支持
支持
支持
支持
电子邮件状态报告
不支持
支持
支持
不支持
邮件流量图形监控
不支持
支持
支持
不支持
每封邮件处理日志
不支持
支持
支持
不支持
HTML界面
支持
支持
支持
支持
分用户设置
支持分用户评分
不支持
不支持
支持
不支持
支持分用户贝叶斯
不支持
不支持
支持
不支持
支持分用户垃圾邮件过滤设置
支持
支持
支持
支持
支持分用户设置隔离通知信
不支持
支持
支持
不支持
日志导出支持
不支持
不支持
支持
不支持
高级功能
支持web的安全登陆(HTTPS/SSL)
支持
支持
支持
支持
支持与微软AD集成的SingleSign-On,包括LDAP,POP,Radius登陆认证
不支持
不支持
支持
不支持
支持端口转发功能,支持多IP,支持静态路由
不支持
不支持
支持
不支持
支持LDAP(domino及其它)
支持
支持
支持
说明
POP3转发
支持
支持
支持
支持
SMTP转发
支持
支持
支持
支持
报价方式
按许可证数量
活跃用户数
不按用户数报价,按设备报价
第五章反垃圾邮件产品国际评测
1、奖项证明
时间
杂志或机构
奖项
2005年6月6日
梭子鱼垃圾邮件防火墙获W2KnewsTechTarget奖
TheBarracudaSpamFirewallwasnamedthe“BestAntispamAppliance”asvotedonbyW2Knewsreaders.TheTargetAwardsrepresentW2Knewsattempttohighlighttheultimateshortlistofthebesttoolsthatsystemadministratorslookfor.
2005年5月24日
梭子鱼400型号产品获得ServiceProviderWeekly杂志编辑选择奖
Consideringthelowamountofadministrativeoverhead,anexcellentROIbasedonthenumberofproductionhourssavedbydetectingunneccesaryemails,wethinkthattheBarracudaSpamFirewall400isworthconsiderationandreceivesawell-deservedEditor'sChoiceAward.
2005年5月4日
梭子鱼垃圾邮件防火墙获得最佳表现奖:
最佳垃圾邮件解决方案
Forthesecondconsecutiveyear,theBarracudaSpamFirewallhasranked#1inthe"SpamSolution"categoryintheeleventhannualNetworkComputing"Well-Connected"awardcompetition
2005年5月1日
博威特公司获Network杂志2005年度“安全产品创新突破”奖
TheBarracudaSpamFirewallwasawardedtheNetworkMagazine2005InnovationAwardfor"SecurityProductBreakthrough."
2005年4月4日
梭子鱼垃圾邮件防火墙获得最佳表现奖:
最佳垃圾邮件解决方案
Forthesecondconsecutiveyear,theBarracudaSpamFirewallhasbeenselectedafinalistintheeleventhannualNetworkComputing"Well-Connected"awardcompetition.
2004年8月20日
LinuxWorld最佳信息解决方案——2004年旧金山世界Linux大会
TheBarracudaSpamFirewall600wasselectedasatopfinalistinthe"BestMessagingSolution"categoryatLinuxWorldSF.
2004年7月20日
梭子鱼垃圾邮件防火墙在日本的计算机世界杂志夺得最佳产品奖
TheBarracudaSpamFirewallwastheonlyanti-spamsolutiontoreceivethecoveted"BestofShow"sp
升级会员 