Thiết kế hệ thống bảo mật Mail với FortiMail

1. Yêu cầu bảo mật hệ thống Email

Hệ thống Email của [Khách hàng] có 1000 user, cần được cung cấp những tính năng sau:
– Mã hóa nội dung Email theo yêu cầu, theo Policy. Đòi hỏi việc triển khai phải dễ dàng và không phức tạp trong quản lý.
– Chống thất thoát dữ liệu: kiểm soát thông tin trao đổi qua Email, nội dung Email, các file đính kèm, khả năng lưu log và lưu cả nội dung Email đã trao đổi.
– Bảo vệ hệ thống Email Server và Internal Email User khỏi các nguy cơ từ Virus/Spyware/Worm, Spam bot, Phising, các kiểu tấn công DoS đến dịch vụ Email.
– Khả năng kiểm soát và giới hạn Email gởi đến một số người dùng nhất định.

2. Giải pháp thiết kế

Dựa trên yêu cầu hệ thống của [Khách hàng] và mục tiêu giải pháp thiết kế, chúng tôi đề xuất 2 giải pháp triển khai như sau:

2.1 Triển khai FortiMail chạy ở chế độ Gateway.

– Triển khai cặp thiết bị FortiMail, thiết lập HA Group chạy mode Active-Passive, triển khai HA Group trong vai trò Email Gateway.

 

– Cấu hình DNS MX record trỏ về địa chỉ IP của FortiMail HA group.
– Cấu hình FortiMail HA Group làm Email Relay cho Email Server đặt trong vùng internal.
– Internal user sẽ được cấu hình định tuyến SMTP traffic qua FortiMail HA Group.
– Triển khai các Policy bảo mật cho Email trên FortiMail HA group.

Ưu điểm:
– Độ sẵn sàng và tin cậy cao.

Khuyết điểm:
– Cấu hình phức tạp.

2.2 Triển khai FortiMail chạy ở chế độ Transparent

– Đặt thiết bị FortiMail ngay trước Email Server (inline)
– Sử dụng thiết bị Bypass Switch Device để cung cấp tính năng Fail Open (physical) cho hệ thống Email.
– Triển khai các Policy bảo mật cho Email trên FortiMail HA group

 

Ưu điểm:
– Triển khai dễ dàng, không làm ảnh hưởng đến cấu hình hệ thống hiện tại.
Khuyết điểm:
– Cần thêm thiết bị Bypass Switch để đảm bảo tính liên tục cho dịch vụ Email.