IronPort C-Series邮件网关
配置指南
Cisco IronPort Systems
目录
1.前言 (3)
2.配置准备 (3)
3.INBOUND模式 (3)
3.1.网络拓扑 (3)
3.2.需求说明 (4)
3.3.配置步骤 (4)
4.INBOUND+OUTBOUND模式 (9)
4.1.网络拓扑 (9)
4.2.需求说明 (10)
4.3.配置步骤-用单个L ISTENER实现 (10)
4.4.配置步骤-用两个L ISTENER实现 (12)
5.INBOUND+ CLIENT SMTP模式 (14)
5.1.网络拓扑 (14)
5.2.需求说明 (14)
5.3.配置步骤 (15)
6.其他配置说明 (18)
6.1.启用LDAP验证 (18)
6.2.启用ISQ隔离区 (20)
7.附录:邮件网关安装配置表 (22)
7.1.邮件系统概况 (22)
7.2.I RON P ORT邮件网关配置 (23)
1.前言
本文专门针对IronPort C-Series邮件安全网关(Email Security Appliance,简称ESA)在常见的用户环境中,给出了用户需求分析,配置准备和配置步骤。
使用过程中有什么意见和建议,欢迎联系David Wu ()。
使用本文档的工程师,至少需要了解以下知识:
(1)SMTP和POP3基本原理
(2)DNS原理及A记录、MX记录、PTR记录等概念
(3)LDAP基本概念
(4)常见邮件系统(如Exchange,Domino等)与邮件网关相关的配置,如智能主机Smart Host或Relay Host等。
本文介绍了三种常见的用户配置环境:
Inbound模式
Inbound+Outbound模式
Inbound+Client SMTP模式
本文档中用到的所有命令和截图都是基于AsyncOS 6.5.0。
2.配置准备
在配置ESA之前,要做好以下准备工作:
(1)根据ESA的Serial Number,申请设备测试Licen。
(2)将AsyncOS升级到最新版本。
(3)按照邮件系统的基本状况和安装配置表(见附件)逐项填写,这将帮助了解用户的邮件系统状况和邮件收发流程。
3.Inbound模式
3.1.网络拓扑
邮件系统网络拓扑如下:
3.2.需求说明
在Inbound配置模式中,邮件网关只负责接收来自外域的邮件:
(1)从外域发往本域的邮件,根据域名MX记录的指向,先进入ESA,经过ESA的Anti-Spam/Anti-Virus/VOF过滤后,再投递到邮件服务器。
(2)如果邮件被判定为肯定的垃圾邮件,直接删除(Drop);判定为可疑的垃圾邮件,放入到用户级垃圾邮件隔离区(ISQ)。
用户通过客户端收发邮件的方式保持不变:
(1)通过邮件客户端(如Foxmail、Outlook)收发邮件的用户,其SMTP服务器和POP3服务器的IP地址仍然指向邮件服务器;
(2)通过Web方式收发邮件的用户,仍然通过http方式访问邮件服务器。3.3.配置步骤
根据Inbound模式的网络拓扑,ESA配置步骤如下:
(1)了解邮件服务器的域名和IP地址:
邮件系统域名:
邮件服务器IP地址:192.168.81.100
(2)给ESA提供内网IP地址,以及缺省网关地址,DNS服务器地址:IP:192.168.81.40
Gateway:192.168.81.254
DNS:192.168.114.1/202.96.209.5
(3)修改防火墙上公网地址与内网地址的映射,将域名的MX 记录的IP地址,映射为192.168.81.40。
(4)
(5)通过Management网络端口连接到ESA设备,启动浏览器,输入192.168.42.42,缺省登陆帐号的用户名是admin,密码为ironport。(6)初始化配置通过配置向导(System Wizard),分为5步:
a)接受许可协议
b)系统基本设置
