最前沿!思科IronPort邮件网关【IT168专稿】本文的目标是让您能够了解:常见的邮件安全问题、ESA(emailsecurityappliance电子邮件安全设备)的主要功能、ESA的典型应用场景、ESA带给用户的价值、ESA的最佳部署方案。涉及到的主题有:ESA简介、如何防御垃圾邮件、ESA系统架构、典型应用场景、邮件管道、邮件策略管理、数据泄露保护和内容过滤器、邮件加密。一、ESA邮件安全简介互联网技术的全球化、移动化、协作化发展,给用户带来很大方便,节约大量时间。而发展的同时各种威胁也不断出现,各行业推出了相关法规和安全策略,这些都是安全服务厂商需要面临和解决的问题。思科的安全应用体系如下图。安全应用体系涉及三个方面的内容,包括CiscoSensorBase、ThreatOperationsCenter、DynamicUpdated。CiscoSensorBase是一个全面的发件人信誉度和威胁数据库,其前身为IronPort公司运营管理的SenderBase,最初是针对邮件和Web安全来运营,包含了垃圾邮件发送者的信息和Web安全领域中的钓鱼网站、恶意网站等。现在的CiscoSensorBase已经不再局限于邮件和Web安全,更包括了一些像僵尸网络、肉机等新型的互联网危险。在未来的产品中,CiscoSensorBase数据除了应用于邮件和Web网关,还将应用于防火墙、IPS入侵检测等。ThreatOperationsCenter是由安全专家、分析师和程序员组成的威胁运营团队,每天24小时不间断的对SensorBase进行维护和更新,提供动态的实时的更新策略(DynamicUpdated)。下面将针对CiscoSensorBase在邮件安全方面的应用作详细的介绍。很多企业用户在使用邮件网关之前面临着各种各样的邮件问题如垃圾邮件、病毒邮件。通常的应对方法是使用防病毒邮件设备或单独的防垃圾邮件设备,存在分支机构的企业可能还需要部署邮件路由设备。通常这些设备是独立部署的,这将给用户的管理和效率都带来很大的问题。如下图是部署IronPort邮件安全网关前的网络结构。部署IronPort邮件安全网关后(如下图),上面说到的问题都能得到解决。IronPort邮件安全网关集合了Anti-Spam(防垃圾邮件)、Anti-Virus(防病毒邮件)及其它的邮件安全特性。二、IronPort信誉过滤防垃圾邮件IronPort邮件安全网关通过两层来过滤垃圾邮件:SensorBase信誉过滤器(基于TCP连接)、IPAS防垃圾邮件引擎(基于邮件内容)。具体如下图。第一层SensorBase信誉过滤器,针对TCP连接过程,从邮件的源头如发件人的源IP地址、发件人所在地区、发件人的信誉度来对邮件进行拦截过滤,在这一层的过滤当中能做到拦截90%的垃圾邮件。第二层IPAS(IronPortAnti-Spam)防垃圾邮件引擎,针对邮件内容进行深度扫描和过滤,这一层的过滤能够拦截超过98%的垃圾邮件,并且能够将垃圾邮件的误判率控制在低于百万分之一的水平,为业界最高水平。SensorBase是全球最大的信誉数据网络,其数据来源如下图。数据来源主要包括:1通过和大的邮件运营商合作,共享获得他们的邮件过滤日志,IronPort通过专门的数据引擎对日志信息进行分析和评定。2SpamTraps探针邮箱,探针邮箱通常是通过合作伙伴、邮件运营商建立的。探针邮箱能捕获那些不请自来的邮件,这些邮件99%以上都可以确定为垃圾邮件。通过这些捕获的垃圾邮件来分析邮件的发送源头。3根据常见的传统的黑白名单(Blacklists&Whitelists)提供的信息数据,并结合其他参数作进一步分析。4合作伙伴和用户,用户可能会愿意分享他们过滤到的垃圾邮件信息。以上这些都使SensorBase的过滤效果大大提高,全球超过30%的邮件都能在SensorBase信誉网络中侦测到,SensorBase信誉数据网络也是目前最大的信誉数据网络。IronPort开发信誉过滤技术的原因在TCP层对邮件进行过滤可以从邮件的源头进行判定,在源头拦截大部分的垃圾邮件,之后再结合邮件内容的深层过滤,可以提高垃圾邮件的识别率、大大降低邮件的误判率,并且可以节省设备的硬件需求,降低CPU资源的占用。因为在复杂的内容过滤器中采用严格的过滤策略时,会带来邮件误判的风险,并且内容过滤规则会占用较多CPU资源,对硬件配置要求高。SensorBase信誉过滤SensorBase信誉过滤可以确保非常精确的过滤。在对发件人的IP地址评分的时候,SensorBase信誉过滤采用120多个参数,结合数据分析/评分模型,得出IP地址的信誉评分,评分在-10(最差)到10(最好)之间。如下图。有了IP地址的信誉评分,就可以根据其分值对其发送的邮件应用不同的策略:拦截、接收、限制等。这跟传统的黑名单策略相比有类似的地方,但也存在很大的不同并具有更多的优越性。在黑名单策略中一个IP地址的判定结果非黑即白,处理结果则只能是拦截或放行。但在很多情况,发件人IP地址可能介于黑白之间,即所谓的“灰名单”,需要根据具体的情况作相应的处理。IP地址信誉得分的分段设置策略很好的处理了这种问题,如下图。图中的各种策略内部都有几十个参数,如在策略当中可以对邮件的连接速率、并发连接数、邮件大小、邮件的收件人数等进行限制。三、IronPort硬件配置以及AsyncOS的系统特性在CiscoESA系统中,采用的是专用的AsyncOS系统,硬件上采用的是多处理器的邮件架构,产品从C600(双CPU)、C650(四个CPU)发展到现在的C660(八个CPU)。在专用的AsyncOS系统中,对CPU的利用做了特别的优化。传统的多核处理,处理数据时会先选择使用多个CPU中的一个,而优化后,处理任务会均分到各CPU中,这样可以很大程度上避免某一CPU出现过载的情况,加过整体上的处理速度,如下图。不同的硬件型号的配置也不一样,但它们在处理功能上都相同。各型号的具体配置如下图,其中X1060是针对超大型用户设置的型号。作为专用的邮件安全网关,CiscoIronPort没有设计成传统的安装于通用操作系统上的软件形式,而是采用专用的操作系统AsyncOS。AsyncOS系统是一个非常精致、强悍的操作系统,它唯一能做的就是MTA(MailTransferAgent邮件传输代理),专门针对邮件进行处理,与邮件处理无关的任何Internet进程在其中都不存在。AsyncOS系统中最大的并发处理数可以做到10000个,而即使做过优化的通用操作系统因为受限于其通用性而很难做到这样。AsyncOS系统针对邮件传输的特点专门设计了无堆栈线程调度技术。了解操作系统的人都知道,在通用的操作系统中的进程调度都是采用堆栈技术,堆栈技术中有大量的场景计算和现场保护工作,将消耗大量CPU资源。AsyncOS系统还采用了快速的内存访问技术,设计了超大队列存储空间。邮件传输的特点是,传输文件可能有几十万上百万的数量,但文件大小平均下来可能只有几十K,传输中的频繁IO操作会给系统带来很大的性能瓶颈。针对邮件传输的这种特点,AsyncOS系统专门设计了AsyncFS文件系统来解决上述问题。AsyncOS系统在邮件投递过程中采用了多队列投递方式,根据邮件接收方的域名不同采用不同的队列。采用这种方式时,如果某一队列在投递的过程中出现了问题,它不会对其他的队列投递造成影响。AsyncOS系统概况如下图。在IronPort邮件网关中,设计了专门的接收器(Listeners)。接收器是一个后台运行的SMTP(SimpleMailTransferProtocol简单邮件传送协议)服务进程,用来处理SMTP的连接请求,使用TCPPort25,运行接收器之后即可对邮件进行接收和处理。接收器有两种类型:Public和Private。两种类型分别针对邮件的接收和外发,接收来自Internet的邮件时使用Public类型接收器,从内部的邮件服务器转发到邮件WEB中时使用Private类型接收器。Public类型接收器对接收邮件要进行HAT表和RAT表的检查,Private类型接收器对外发的邮件要进行HAT表的检查。IronPort邮件网关中可以配置多个网络接口和多个接收器,这样就可以提供非常大的灵活性。在很多用户的网络中可能划分了非常详细的不同的网络布置,比如说inside、outside,BMZ等,这就涉及到不同的网络区段之间进行通信的问题。提供的多个网络接口,可以在不同的网络接口上配置多个IP地址,可以配置属于不同网段的IP地址,每个IP地址上再创建一个基于IP地址的接收器,这样就可以在部署环境中进行灵活的部署,不论是属于哪个网络区域。在SMTP客户端,以SMTP方式发送邮件时需要对邮件做身份验证,一般来说这个身份验证过程是由邮件服务器来完成的,而IronPort邮件网关也可以承担邮件身份验证的功能,这样用户就可以把用户端直接指到IronPort邮件网关上来做身份验证。这种方式有两个突出的优势:一是可以大大降低客户端对邮件服务器负载的占用;另一个是把客户端发送邮件的过程变成先经过邮件安全网关对邮件地址和内容进行安全检查,这可以通过邮件信誉和内容过滤器来实现。四、IronPort邮件网关典型应用场景在邮件高安全性应用环境如银行、金融、证券、基金等行业中,对邮件的安全要求越来越高,比如在金融机构之间往来的邮件要求在发送、接收上进行加密。通常的邮件网络不支持邮件加密技术,只能要求通过邮件服务器来实现,而有了邮件安全网关则可以非常灵活的进行邮件加密。另外一方面,随着SMTP技术的发展,邮件安全网关能够针对SMTP技术本身存在的一些缺陷,提供很多的扩充解决方案,比如像SPF(SenderPolicyFramework发信人策略架构)可以对发送邮件进行数字签名,保证邮件在传输过程中不被修改和窃取。在法规遵从性要求上,在国内或国外上市的公司都有各种各样的法规要求,如塞班斯法案,医疗保健领域的HIPAA法案等。对于非上市公司,道德上的要求不能传输含有不健康内容的邮件,一般公司制定的各种规章中很少有关于邮件使用方面的规定,但是随着邮件网络的快速发展这方面的需求将日益突出,采用邮件安全网关可以实现企业对用户使用邮件的监控,如下图。在高可用性支持方面,IronPort邮件安全网关也做了充分的考虑。在所有的设备型号上,磁盘都采用了冗余配置的方式并且做了镜像,在通信网络接口上,采用NICPairing(网卡配对)方式,即便是服务现有高可用性设备也可以实现网络通信的冗余。在高可用性的应用环境中,通常部署两台或更多的设备来组成集群,可以避免因一台设备出现故障导致系统瘫痪,通过增加多条MX记录、采用四层交换机可以实现负载均衡。IronPort邮件安全网关支持很多的技术,应用灵活,所以高可用性是它的一个比较大的亮点。用户在IronPort邮件安全网关使用过程中会希望了解设备的使用状态,包括垃圾邮件、病毒邮件数,正常邮件数,哪些用户发送邮件量排名靠前,邮件发送到的域名有哪些等。通过IronPort邮件安全网关可以很容易的记录下上面的这些数据,邮件管理员或企业IT负责人可以通过这些数据来了解邮件使用的整体情况。部署多台设备时还可以提供集中的报表管理,这时候可以通过集群的管理方式把所有的报表信息集中到一台设备上来进行管理,这台设备简称为SMA(SecurityManagementAppliance),集中报表反映了企业完整的报表数据。集中报表和数据跟踪示意图如下。IronPort邮件安全网关支持独立配置和集中配置管理,无需额外的服务器或软件支持。在部署了多台设备的环境中,所有设备加入一个预先设置的Cluster(集群)中,其中的一台设备定义为Console(控制台)做主控端,在配置设备时只需要在主控设备上完成配置,配置设置就会自动下发到Cluster中的其他设备上。在设备较多,分支机构较多,经常修改配置策略的环境中,这种集中配置方式就非常有用,能大大