Astaro在DMZ区的防御方案

一、 垃圾邮件防御

1. 部署拓扑图

(1)

(2)

2. 部署说明

ASG设备配置反垃圾邮件模块，可以提供专业的反垃圾邮件防御能力。

如上图（1）所示，ASG可以旁路部署在DMZ区域中，与邮件服务器同处一个网段，这是一种最典型的专业反垃圾邮件设备的部署拓扑图。传统的UTM设备无法按照此种网络拓扑进行部署。

如上图（2）所示，ASG也可以串路部署在DMZ区域的邮件服务器前端，可以按透明模式运行，这样用户的所有网络配置均无需修改。传统的专业反垃圾邮件设备无法按照此种网络拓扑进行透明部署。

3. ASG的作用

· 垃圾邮件的拦截

ASG 采用业界*********的RPD技术，对来自Internet的邮件进行垃圾邮件的实时分析，可以实现高达98%的准确识别率。同时，作为专业的反垃圾邮件产品，ASG还支持RBL查询、RDNS、BATV、SPF、防字典攻击等10余种反垃圾邮件的技术。将这些技术融合在一起，可以极大程度地提高邮件服务器的安全性。例如下图所示的一个统计信息：

一旦识别出垃圾邮件，ASG会将这些垃圾邮件存储在隔离区中等待管理员或用户处理。

· 病毒邮件的拦截

ASG 采用独立的双防病毒引擎，用于对进入企业内部的邮件进行病毒扫描检测，一旦发现病毒、恶意软件、或者禁止传递的附件，ASG都会将这些邮件拦截并隔离起来。例如下图所示拦截的病毒信息：

· 邮件加密

ASG 支持对收发邮件进行加密和数字签名，这是利用S/MIME和OpenPGP技术实现的。用户可以在ASG上设定，哪些发件人在外发邮件的时候要对其邮件进行加密或数字签名。在网关出进行加密和数字签名的好处是无需对内网的每个客户端软件进行配置，减轻了管理员的工作量；并且使得对邮件安全的管理工作变得集中化。

· 发件人身份认证

ASG 为每个发件用户提供SMTP认证机制。国内有很多用户的邮件服务器不支持SMTP认证，这样就导致邮件服务器被当作垃圾邮件的转发器，垃圾邮件制造者可以轻易使用用户的邮件服务器对外进行垃圾邮件的传播。ASG的SMTP认证可以帮助用户在实现邮件转发的同时对发件人的身份进行识别，从而提升整个邮件系统的安全性，作到拦截垃圾邮件的同时，不被利用对外发送垃圾邮件。

· 提供用户隔离区

ASG 为每个邮件用户提供一个可以自助管理的邮件隔离区。用户可以通过浏览器登录到ASG 的用户自助管理界面，查询所有的被隔离邮件，然后用户自己来处理这些邮件，比如放行、删除、设立自己的黑白发件人名单等等。这样，ASG 就成为每个邮件用户的私人反垃圾邮件工具，可以更好地帮助邮件用户处理日常的邮件事务。