mail gateway
网关类型
市场上的邮件网关也很多,按照不同的分类标准,划分的种类的也不一样:一种是可以分为:硬件网关产品、托管式邮件网关、软件网关产品,这是一类划分方法;还有一种划分是分为:协议网关 WNx‘N ·应用网关 o:JWN ·安全网关 E-c 唯一保留的通用意义是作为两个不同的域或系统间中介的网关,要克服的差异本质决定了需要的网关类型。下面我们先来看第一种分类:软件网关产品、硬件网关产品、托管式邮件网关。
协议网关
协议网关通常在使用不同协议的网络区域间做协议转换。这一转换过程可以发生在
OSI参考模型的第2层、第3层或2、3层之间。 但是有两种协议网关不提供转换的功能:
安全网关和管道。由于两个互连的网络区域的逻辑差异,
安全网关是两个技术上相似的网络区域间的必要中介。如私有
广域网和公有的因特网。这一特例在后续的“
组合过滤网关”中讨论, 此部分中集中于实行物理的协议转换的协议网关。
1、
管道网关管道是通过不兼容的网络区域传输数据的比较通用的技术。数据分组被
封装在可以被传输网络识别的帧中,到达目的地时, 接收
主机解开封装,把封装信息丢弃,这样分组就被恢复到了原先的格式。 管道技术只能用于3层协议,从SNA到IPv6。虽然管道技术有能够克服特定网络拓扑限制的优点,它也有缺点。 管道的本质可以隐藏不该接受的分组,简单来说,管道可以通过
封装来攻破
防火墙,把本该过滤掉的数据传给私有的网络区域。
2、
专用网关很多的专用网关能够在传统的大型机系统和迅速发展的分布式处理系统间建立桥梁。 典型的
专用网关用于把基于PC的
客户端连到局域网边缘的
转换器。该
转换器通过X.25网络提供对大型机系统的访问。 shoO 这些网关通常是需要安装在连接到局域网的
计算机上的便宜、单功能的电路板,这使其价格很低且很容易升级。在图的例子中, 该单功能的网关将大型机时代的硬连线的终端和终端服务器升级为PC机和局域网。
3、2层
协议网关2层协议网关提供局域网到局域网的转换,它们通常被称为翻译网桥而不是协议网关。 在使用不同
帧类型或
时钟频率的局域网间互连可能就需要这种转换。 (1)帧格式差异 IEEE802兼容的局域网共享公共的介质访问层,但是它们的帧结构和介质访问机制使它们不能直接互通。 翻译网桥利用了2层的共同点,如MAC地址,提供帧结构不同部分的动态翻译,使它们的互通成为了可能。 第一代局域网需要独立的设备来提供翻译网桥,如今的多协议交换
集线器通常提供高带宽主干, 在不同
帧类型间可作为翻译网桥,翻译网桥的幕后性质使这种协议转换变得模糊,独立的翻译设备不再需要, 多功能交换集线器天生就具有2层协议转换网关的功能。 替代使用仅涉及2层的设备如翻译网桥或多协议交换集线器的另一种选择是使用3层设备:
路由器。 长期以来
路由器就是局域网主干的重要组成部分。如果
路由器用于互连局域网和
广域网, 它们通常都支持标准的
局域网接口,经过适当的配置,路由器很容易提供不同
帧类型的翻译。 这种方案的缺点是如果使用3层设备
路由器需要表查询,这是软件功能,而象
交换机和集线器等2层设备的功能由硬件来实现, 从而可以运行得更快。 (2)传输率差异 很多过去的局域网技术已经提升了
传输速率,例如,IEEE 802.3
以太网有10Mbps、100Mbps和1bps的版本, 它们的帧结构是相同的, 主要的区别在于
物理层以及介质访问机制,在各种区别中,传输速率是最明显的差异。
令牌环网也提升了
传输速率, 早期版本工作在4Mbps速率下,的版本速率为16Mbps,100Mbps的FDDI是直接从令牌环发展来的,通常用作令牌环网的主干。 这些仅有
时钟频率不同的局域网技术需要一种机制在两个其它方面都兼容的局域网间提供缓冲的接口,现今的多协议、 高带宽的交换集线器提供了能够缓冲速率差异的健壮的背板.1494! 2 什么是网关 如今的多协议局域网可以为同一局域网技术的不同速率版本提供内部速率缓冲,还可以为不同的802兼容的局域网提供2层帧转换。
路由器也可以做速率差异的缓冲工作,它们相对于交换集线器的长处是它们的内存是可扩展的。 其内存
缓存进入和流出分组到一定程度以决定是否有相应的
访问列表(过滤)要应用,以及决定
下一跳, 该内存还可以用于缓存可能存在于各种网络拓扑间的速率差异.
应用网关
应用网关是在使用不同数据格式间翻译数据的系统。典型的应用网关接收一种格式的输入,将之翻译, 然后以新的格式发送。输入和输出接口可以是分立的也可以使用同一网络连接。 一种应用可以有多种应用网关。如Email可以以多种格式实现,提供Email的服务器可能需要与各种格式的
邮件服务器交互, 实现此功能唯一的方法是支持多个网关接口。 应用网关也可以用于将局域网客户机与
外部数据源相连,这种网关为
本地主机提供了与远程交互式应用的连接。 将应用的逻辑和执行代码置于局域网中客户端避免了低带宽、高延迟的
广域网的缺点,这就使得客户端的响应时间更短。 应用网关将请求发送给相应的
计算机,获取数据,如果需要就把数据格式转换成客户机所要求的格式。 本文不对所有的应用网关配置作详尽的描述,这些例子应该概括了应用网关的各种分支。它们通常位于网络数据的交汇点, 为了充分地支持这样的交汇点,需要包括局域网、
广域网在内的多种网络技术的结合。
安全网关
安全网关是各种技术有趣的融合,具有重要且独特的保护作用,其范围从协议级过滤到十分复杂的应用级过滤。
防火墙主要有三类: 分组过滤 电路网关 应用网关 注意:三种中只有一种是过滤器,其余都是网关。 这三种机制通常结合使用。过滤器是映射机制,可区分合法的和欺骗包。每种方法都有各自的能力和限制,要根据安全的需要仔细评价。
1、
包过滤器包过滤是安全映射最基本的形式,
路由软件可根据包的源地址、目的地址或
端口号建立许可权, 对众所周知的端口号的过滤可以阻止或允许
网际协议如FTP、rlogin等。过滤器可对进入和/或流出的数据操作, 在网络层实现过滤意味着
路由器可以为所有应用提供安全映射功能。作为(逻辑意义上的)
路由器的常驻部分, 这种过滤可在任何可路由的网络中自由使用,但不要把它误解为万能的,
包过滤有很多弱点,但总比没有好。
包过滤很难做好,尤其当安全需求定义得不好且不细致的时候更是如此。这种过滤也很容易被攻破。
包过滤比较每个
数据包, 基于包头信息与
路由器的
访问列表的比较来做出通过/不通过的决定,这种技术存在许多潜在的弱点。首先, 它直接依赖
路由器管理员正确地编制权限集,这种情况下,拼写的错误是致命的, 可以在防线中造成不需要任何特殊技术就可以攻破的漏洞。即使
管理员准确地设计了权限,其逻辑也必须毫无破绽才行。 虽然设计
路由似乎很简单,但开发和维护一长套复杂的权限也是很麻烦的, 必须根据
防火墙的权限集理解和评估每天的变化,新添加的服务器如果没有明确地被保护,可能就会成为攻破点。 随着时间的推移,访问权限的查找会降低
路由器的转发速度。每当
路由器收到一个分组, 它必须识别该分组要到达目的地需经由的
下一跳地址,这必将伴随着另一个很耗费CPU的工作: 检查
访问列表以确定其是否被允许到达该目的地。
访问列表越长,此过程要花的时间就越多。
包过滤的第二个缺陷是它认为包头信息是有效的,无法验证该包的源头。 头信息很容易被精通网络的人篡改, 这种篡改通常称为“欺骗”。
包过滤的种种弱点使它不足以保护你的网络资源,最好与其它更复杂的过滤机制联合使用,而不要单独使用。
2、
链路网关链路级网关对于保护源自私有、安全的网络环境的请求是很理想的。这种网关拦截TCP请求,甚至某些UDP请求, 然后代表数据源来获取所请求的信息。该
代理服务器接收对万维网上的信息的请求,并代表数据源完成请求。实际上, 此网关就象一条将源与目的连在一起的线,但使源避免了穿过不安全的网络区域所带来的风险。
什么是网关 这种方式的请求代理简化了边缘网关的安全管理,如果做好了
访问控制,除了
代理服务器外所有出去的数据流都被阻塞。 理想情况下,此服务器有唯一的地址,不属于任何内部使用的
网段。这绝对使无意中微妙地暴露给不安全区域的信息量最小化, 只有代理服务器的
网络地址可被外部得到,而不是安全区域中每个联网的
计算机的网络地址。
3、
应用网关应用网关是
包过滤最极端的反面。
包过滤实现的是对所有穿过网络层包过滤设备的数据的通用保护, 而
应用网关在每个需要保护的
主机上放置高度专用的应用软件,它防止了包过滤的陷阱,实现了每个主机的坚固的安全。
应用网关的一个例子是病毒扫描器,这种专用软件已经成了桌面计算的主要产品之一。它在启动时调入内存并驻留在后台, 持续地监视文件不受已知病毒的感染,甚至是系统文件的改变。 病毒扫描器被设计用于在危害可能产生前保护用户不受到病毒的潜在损害。 这种保护级别不可能在网络层实现,那将需要检查每个分组的内容,验证其来源,确定其正确的网络路径, 并确定其内容是有意义的还是欺骗性的。这一过程将产生无法负担的过载,严重影响网络性能。
4、
组合过滤网关使用组合过滤方案的网关通过
冗余、重叠的过滤器提供相当坚固的
访问控制,可以包括包、链路和应用级的过滤机制。 这样的
安全网关最普通的实现是象岗哨一样保护私有
网段边缘的出入点,通常称为边缘网关或
防火墙。 这一重要的责任通常需要多种过滤技术以提供足够的防卫。由两个组件构成的
安全网关:一个
路由器和一个处理机。 结合在一起后,它们可以提供协议、链路和应用级保护。 这种专用的网关不象其它种类的网关一样,需要提供转换功能。作为
网络边缘的网关,它们的责任是控制出入的
数据流。 显然的,由这种网关联接的内网与外网都使用IP协议,因此不需要做协议转换,过滤是最重要的。 保护内网不被非授权的外部网络访问的原因是显然的。控制向外访问的原因就不那么明显了。在某些情况下, 是需要过滤发向外部的数据的。例如,用户基于浏览的增值业务可能产生大量的WAN流量,如果不加控制, 很容易影响网络运载其它应用的能力,因此有必要全部或部分地阻塞此类数据。 联网的主要协议IP是个开放的协议,它被设计用于实现
网段间的通信。这既是其主要的力量所在,同时也是其最大的弱点。 为两个IP网提供互连在本质上创建了一个大的IP网, 保卫
网络边缘的卫士--
防火墙--的任务就是在合法的数据和欺骗性数据之间进行分辨。
5、实现中的考虑 实现一个
安全网关并不是个容易的任务,其成功靠需求定义、仔细设计及无漏洞的实现。首要任务是建立全面的规则, 在深入理解安全和开销的基础上定义可接受的折衷方案,这些规则建立了
安全策略。
安全策略可以是宽松的、严格的或介于二者之间。在一个极端情况下,
安全策略的基始承诺是允许所有数据通过,例外很少, 很易管理,这些例外明确地加到安全体制中。这种策略很容易实现,不需要预见性考虑,保证即使业余人员也能做到最小的保护。 另一个极端则极其严格,这种策略要求所有要通过的数据明确指出被允许,这需要仔细、着意的设计,其维护的代价很大, 但是对
网络安全有无形的价值。从
安全策略的角度看,这是唯一可接受的方案。在这两种极端之间存在许多方案,它们在易于实现、 使用和维护代价之间做出了折衷,正确的权衡需要对危险和代价做出仔细的评估。
软件网关
软件网关,即整套网关系统安装部署在自己的服务器上,通过更改端口映射、IP等外网设置,让企业所有邮件首先经过软件网关过滤后,再到达企业内部
邮件服务器。国内软件网关产品不多,普及程度也不高。许多企业认为软件网关产品价格比硬件网关低,性能也就跟不上,但实际上好的软件网关产品所能实现的效果并不比硬件网关差,还拥有各种硬件网关无法比拟的优势。
TurboGate邮件网关产品就是其中一个软件网关典型产品,该产品的实际项目应用
反垃圾邮件的效率为稳定的98%以上,无误判。
优点:
1. 产品容易安装测试。企业可以随时通过网络下载厂家产品进行本地测试,如。TurboGate网关产品可以在各大软件资源网站或是
TurboGate官网免费下载测试。
2. 成本较低。相比硬件网关和托管式网关,软件网关集中所有资源在产品的研发和更新上,一方面可以集中精力为客户提供更强效果的网关系统,一方面可以降低产品成本。
3. 易于维护。只要企业网络保持外网连接畅通,厂家能随时通过远程网络,为企业提供24小时在线技术支持服务,解决99%以上的故障。如果遇到硬件故障,硬件网关厂商只能通过提供现场服务来解决,费时费力。由于软件产品具有移植性高的特点,当遇到短时间内无法解决的硬件故障时,可以通过更换服务器,及时的恢复网关应用,等原服务器修好了再恢复软件网关系统,最大程度的减小对企业邮件通讯的影响。
4. 企业对网管系统管理主控性强。整套软件网关系统都部署在企业服务器上,系统管理员可以对网关系统进行管理和控制。
5. 数据安全性高。一方面管理员可以对网关系统实行全面管理和控制,一方面对于被网关系统拦截的软件,管理员可以随时搜索、查看、放行或者恢复操作,降低系统邮件误判率。
6. 功能强大。相比固定式的硬件网关产品,软件网关拥有更强大的系统功能扩展性,方便升级和定制个性化的功能需求,为企业提供除了反垃圾、反病毒之外的其他功能。TurboGate邮件网关除了强大的反垃圾引擎和反病毒之外,还为客户提供全球海外中继服务、邮件监控、邮件审核、智能过滤、邮件归档、智能过滤总共七大功能。
硬件网关产品
硬件网关,顾名思义,反垃圾程序和硬件服务器一体化,如果客户需要进行测试硬件网关产品,首先就是需要联系厂家,让厂家提供测试服务器进行测试。
优点:
1. 不需要客户提供服务器,直接使用硬件网关服务器进行测试。
2. 厂家一般都提供已经配置好的硬件网关,只需要和客户内部测试环境对接,即可开始测试。
缺点:
1. 测试不方便。必须厂家提供测试服务器,对于地处偏僻的企业,由于厂家没有直接办事处或者代理商支持,客户很难进行测试工作,包括后续的技术服务支持。
2. 各地售后服务支持力度不一样。对于没有厂家分部或者直接代理商的区域,一旦遇到网关产品故障,特别是服务器硬件故障,支持力度弱。
3. 升级难。由于采购硬件网关时,服务器配置已经固定。随着客户内部邮箱用户的增加和互联网上垃圾邮件的增长,硬件网关服务器的压力越来越大,很难进行系统迁移。
4. 功能单一。硬件网关主要集中在反垃圾反病毒几个单一的模块企业邮件通讯不仅仅面临垃圾邮件泛滥的难题,还会遇到很多其他问题,例如:海外邮件收发失败、内部邮件服务器监控力度弱、用户权限控制不够、不能进行邮件归档等问题。
5. 成本高。国内的硬件网关分低中高档产品,但普遍价格高昂,对部分中小企业而言,成本负担重,再加上后续高昂的技术维护费,足够扼杀相当一部分企业的网关建设计划。
托管式网关
所谓托管式网关,即通过更改端口映射等外网设置,客户所有的邮件都经过厂家自家的网关系统,通过过滤后再到达客户邮件服务器。
优点:
1. 客户不需要额外采购服务器,节省硬件成本。
2. 客户只需要修改邮件系统端口映射等外网设置就可以进行测试,厂家已经提供好现成的测试环境。
3. 厂家提供专业的技术维护,不需要客户自己打理网关系统硬件和网络环境。
缺点:
1. 客户必须每年支付固定的网关租用费用,成本较高。
2. 所有邮件都需要经过厂家网关系统进行过滤,虽然可以为客户节省工作量,但也让客户面临邮件数据安全隐患。一旦厂家网关系统被人侵入或者数据泄露,客户邮件信息随时面临安全危机。
3. 客户对网关系统管理主控性弱。
反垃圾
实现反垃圾功能,把外网发送过来的垃圾邮件全部都拦截在TurboGate 邮件网关系统上,既减轻了内网邮件系统的负担,又不会干涉到内网的正常收发。若出现误判,或者需要处理垃圾邮件时(垃圾邮件存放在TurboGate系统上),只要登陆TurboGate 邮件网关系统进行处理即可,不必通过内网的邮件系统进行处理,极大减轻内网邮件系统的压力。
反病毒
实现反病毒功能。TurboGate邮件网关系统支持多种杀毒引擎,并且内置著名的开源杀毒引擎ClamAV,对邮件类病毒具有99.9%的杀灭能力,同时支持嵌入式杀毒和网关杀毒自动定时更新病毒特征库。
高级中继(国际邮件)
TurboGate邮件网关提供高级中继服务,通过TurboGate在国外设置的中继服务器,系统会自动把企业发往国外失败的邮件,转由中继服务器投送出去。全球通邮的百分百收发成功率,是企业发展强大的保障和后盾,为海外业务的拓展打下了通讯的奠基石。
邮件监控
对经过邮件网关的所有邮件进行灵活监控。
邮件监控的邮箱账号有两种选择:
可在TurboGate邮件网关系统上建立一邮箱账号,所有的被监控邮件都会发送到该账号上。
可用外部邮箱账号作为监控邮箱,所有的被监控邮件都会发送到该外部邮箱账号上。
邮件审核
经过邮件网关时,对符合邮件审核规则的邮件进行审核。只有通过审核的邮件才能进行收发。该操作对于用户是透明操作的,且邮件审核规则也灵活多变。
邮件过滤
实现邮件过滤,只有符合过滤规则的邮件才能发送到内网邮件系统或者发送到外部互联网上。灵活的规则设置,可以有效的控制用户收发权限。
邮件归档
在邮件网关中实现邮件归档功能,所有经过TurboGate 邮件网关系统收发的邮件都将进行同步备份,即使内部邮件系统彻底删除某些邮件,由于邮件已被备份,仍能在TurboGate 网关邮件系统上轻松检索调出,邮件备份功能就像是一个持续运作的复印机,来往所有邮件全部被复印留底。归档功能只能在TurboGate 邮件网关系统上实现和管理,无法在内部邮件系统上实现,但同时也释放了内网
邮件服务器,不用承受日积月累的邮件数量的压力。
缺点:
当然部分软件网关需要安装在另一台服务器上,企业需要提供额外的资源来部署网关系统。但是TurboGate考虑到企业资源的紧缺,支持直接部署在企业内部邮件服务器上,充分利用企业本地资源,这也是
TurboGate邮件网关区别于其他软件网关的一大亮点。
与邮件中心连接
专线方式互联
邮件网关与邮件中心之间应采用专线方式互联。对邮件中心应进行改造,改造的主要内容是:
协议上在原来的SMPP 3.3的基础上扩充功能,使邮件消息扩展实体(SME)一即邮件网关有办法得到邮件消息发送成功与否的结果,以便邮件网关进行计费记录,以及采用CMPP将发送成功与否的信息传递给SP。
与互联网连接
提供业务只需连接到互联网上,通过邮件网关就可以与互联网连接。
由于邮件网关需要负责到SP的
路由查询,原则上一家SP的业务只能从一个邮件网关接入,以免邮件信息点播业务的上行邮件发送到SP时出现路由混乱的情况。
对于特大型SP,如新浪网等,允许其接入多个邮件网关,以分流邮件业务量。在这种情况下,SP对信息点播业务将采用分区提供服务的方式。比如假设新浪分别连接了北京、广州两处邮件网关,则北京网关负责北方的业务,广州网关负责南方的业务。当天津的邮件网关向汇接网关查询新浪的路由时,汇接网关将返回北京邮件网关的地址作为前转网关的地址当广西的邮件网关向汇接网关查询新浪的路由时,汇接网关将返回广州邮件网关的地址作为前转网关的地址。