mirapoint基本使用手册.doc

Mirapoint基本使用手册目 录1测试概况31.1测试环境和参数配置31.2测试时的参数设置31.3测试时的策略配置41.4测试时的垃圾统计策略72测试数据总结报告72.1总测试结果综合数据报告72.2系统负载状况报告82.3误判率和漏判率93详细数据分析93.1邮件流量变化图93.2邮件数量和数据流量统计分析103.2.1SMTP连接数量103.3反病毒防护统计分析123.4智能防垃圾规则阻拦垃圾邮件数量统计143.4.1Mirapoint智能防垃圾规则实时监控图153.4.2MailHurdle拦截效果分析163.5系统性能监控174结论191 测试概况本次测试，是燕山石化防病毒防垃圾网关项目进行的在线测试。该测试的目的是为了测试在生产环境下的实际结果，包括功能性、稳定性、可管理性、以及系统处理能力。由于现网环境为已运行的业务系统，此次测试保证在不中断业务的前提下能够对Mirapoint网关的以上能力有一个真实的测试。测试抽样时间：2004年10月20日开始到10月27日结束， 共8天。测试地点：燕山石化本次参与测试的设备：本次实际参加测试的是1台Mirapoint MD300。硬件配置：System SpecsMD300CPUCPU Xeon 2.8 GHzMemory1 GBStorage53 GB local RAID-1 Built-in Storage InterfaceU160 SCSINetworkingOne 10/100One 1000 BTFailoverN/ASystem Size3UBackup InterfaceUltra 320 SCSI LVD外部尺寸3U19操作系统MOS 测试环境和参数配置1.2 测试时的参数设置垃圾邮件评分阈值：60分（Mirapoint智能规则对邮件进行0300之间的评分，我们根据当前邮件的分布状况，调整到60分作为阈值，达到最佳的过滤效果）病毒库自动更新频率：1次/小时（可以调整自动更新的频率）垃圾库自动更新频率：实时更新测试设备：Mail-G测试域：多个后台MTA的IP ：39公安部对反垃圾邮件及病毒邮件的技术要求根据公安部对反垃圾邮件及病毒邮件的技术要求进行网关产品配置，具体要求如下： 具备对发送垃圾电子邮件的特定网络地址、电子邮箱进行屏蔽的功能 具备限制来自相同客户端网络地址的并发连接数量超过最大限制值的功能 具备限制来自相同客户端网络地址的连接频率超过最大限制值的功能 具备限制本地电子邮件用户一次性发送同一电子邮件发送数量的功能 具备判别电子邮件虚假路由，对伪造虚假路由的电子邮件限制发送的功能 具备关闭电子邮件服务器匿名转发或采取用户身份认证、电子邮件转发授 权控制措施的功能 具备对大量群发、连发同样特征的已知垃圾电子邮件进行拦截的功能，其 中特征指电子邮件长度、信头字段、信体符合特定条件1.3 测试时的策略配置1. 垃圾邮件捕捉策略邮件安全，如果单独从某个层面来控制，是不可能达到良好效果的。Mirapoint产品采用了5层的解决方案，并尽可能的将垃圾邮件和病毒邮件，阻挡在防护系统的最前言，最大限度地保证系统资源（如CPU、内存、磁盘空间、网络流量、邮件队列等）的使用而不至于浪费在不必要的处理上面。下图是Mirapoint产品的5层解决方案示意图：MailHurdle SMTP 病毒防护 防垃圾邮件 内容过滤Mirapoint多层解决方案示意图从上图可以看出，Mirapoint多层解决方案，将大多数垃圾邮件阻挡在最初的几层。相当于用最经济的办法，阻挡了大多数的垃圾邮件。而将更多的系统资源，留给更智能的垃圾邮件处理模块使用。这种解决方式，不仅安全（大多数病毒邮件和垃圾邮件根本进不了邮件队列中），而且高效（6080的垃圾邮件已经被前面的模块阻挡，更智能的判断只对少数邮件提供）。1.1SMTP层防护Mirapoint邮件网关SMTP层防护，能够防止来自47层的攻击。1） 能提供防止拒绝服务攻击（DoS）功能。系统能够监测并控制来自某个IP地址的攻击，可以设置同一IP的连接数量和连接速度，当发现同一IP的连接数量和连接速度超过该阈值时，系统自动禁止或者延缓当前的连接，从而杜绝了黑客的攻击。2） 提供IDS防攻击能力。如果发现系统遭受攻击，将能够自动采用一定的防攻击策略，并自动通知管理员进行处理3） 详细的日志记录，为系统和网络安全提供追踪的手段。系统可以更加详细的日志和直观的系统监控曲线，判断出系统是否正在受到攻击，攻击的来源和程度等。方便管理员做出判断并采取策略。Mirapoint产品的最大特点，即时尽可能将垃圾邮件阻挡在SMTP层，在垃圾邮件还未进入邮件队列的时候就将其阻止。这样可以把更宝贵的资源留给后续的智能判断。目前SMTP层提供了大量的垃圾邮件判断功能，支持如下功能：l 连接数量、连接速度控制l SMTP层的RBL, RBL即时黑名单：支持管理员自定义的RBL，同时支持多个RBL服务器l SMTP层的SSL加密l RDNS反向DNS查询l 防猜测帐户和密码功能（DHA）l UCE防垃圾功能：提供基于IP地址、域名、邮件地址的UCEl Closed Relay功能：除了提供Closed Relay功能外，还提供授权的中继列表功能。该功能能够在保证关闭Relay功能的同时，给其它经过授权的服务器提供Relay服务。l SMTP认证功能：提供SMTP认证功能，防止用户匿名转发。l 收件人检测功能：提供收件人检测功能，如果收件人错误，直接拒绝发送。l 最大收件人数目限制：可以限制同一封邮件的最大收件人数目，超过该数目将不进行发送。l Sender check功能：如果发件人地址不正确，将阻止发送。1.2邮件栏杆技术MailHurdle邮件栏杆技术，是Mirapoint公司今年刚发布的专利技术。该技术充分利用SMTP协议的特点，人为地给陌生的邮件提高了进入门槛。并智能监控邮件的IP地址、发件人、收件人等信息。让垃圾邮件难以进入，而让正常邮件畅通无阻。MailHurdle具备自学习能力。使用时间越长，智能数据库中的数据越适合当前用户群体的使用特征，对陌生垃圾邮件的判断就越准确。测试表明，该功能能够立即阻挡6080的垃圾邮件，极大地降低了后台系统的处理负担。同时，MailHurdle拦截的一个主要部分垃圾邮件，就是由蠕虫病毒产生的垃圾邮件。因此经过MailHurdle之后的病毒数量大大减少。这将有助于后面的步骤能够更精细地进行病毒扫描和智能垃圾扫描。1.3 病毒防护病毒防护的核心在于病毒库的技术状况。决定该病毒防护技术的关键指标是病毒库的反应速度和更新速度。Mirapoint邮件病毒防护功能，采用目前欧洲最先进的SOPHOS病毒库技术。该病毒库平均每15分钟更新一次其病毒代码库，病毒高发期可以达到每5分钟一次。Mirapoint可以定时自动升级当前系统的病毒库。可以设置每小时、每天、每周、每月等周期更新一次。可以实现手工随时升级。当发现病毒时，病毒防护模块提供灵活的邮件处理方式。支持对邮件的自动杀毒、丢弃、删除附件、转发、标记、警告通知等功能。同时，系统提供完整而直观的日志报表。每天的病毒扫描情况一目了然。1.4防垃圾技术对于经过MailHurdle、SMTP过滤后的邮件，进入防垃圾引擎后，将经过更细致的垃圾邮件扫描。l 加强型启发式扫描技术为用户的邮件系统提供垃圾邮件的保护功能。Mirapoint智能垃圾邮件判断规则：提供600多个智能评分规则（heuristic rule），可以提供规则库自动升级。对于internet上随时出现的垃圾来源，Mirapoint提供信息库让用户的邮件系统随时可以享用到这些信息，不必人工的搜集垃圾来源。l SPAM标记功能：提供对垃圾邮件的标签功能，管理员可以自己定义标签的内容，支持中文标签。l Vipul Razor 垃圾邮件签名库支持：Vipul Razor是世界上知名的垃圾邮件签名库，支持在线垃圾签名库查询。该技术具有比RBL更加准确和更低误判2. 系统稳定策略Mirapoint产品具有99.999%的稳定性。该稳定性来自于稳定的硬件配置、安全精简的操作系统、与操作系统统一在一起的邮件服务软件。 成熟的MOS操作系统：MOS系统是专门针对邮件服务的操作系统，它有别于传统的通用操作系统，如Windows、Unix、Linux等，是经过精简并固化到硬件中的操作系统。对邮件来说，其安全性、稳定性、高效性都无可比拟。目前在全球有600多个大客户正在使用，并且大都使用了2年以上的时间。包括外交部、和记黄埔、CISCO、Vodafone, NTT, Indonesia Telekom, Philippine Globe 广西电信、北京移动等。 良好的扩展性和严格的ISO QA测试流程：MOS具备严格的版本控制，从PR、GR到CR版本，都必须经过足够的测试和使用时间。保证每一个新功能都是安全和稳定的。 双电源备份 - 当其中一个电源出现故障的时候，还能够保证系统的正常运行。 自带电池备份的RAID控制器 - 即时系统完全掉电，电池也将维持系统运行一段时间，保证将数据写入到RAID存储器中，邮件不至于丢失。 双风扇备份- 当其中一个风扇出现故障的时候，还能够保证系统的正常运行。 RAID 1+0磁盘 - 当其中的任何一块硬盘出现故障的时候，系统自动启用另外一块备用硬盘，替代出现故障的硬盘，并且在新硬盘上自动重建磁盘数据。整个过程不影响服务的正常使用。具有200%备用。2. 监测策略为保证系统的安全，管理员应该能够通过管理界面远程监控硬件的健康状况，而无需利用操作系统管理权限远程登陆到服务器直接进行操作。系统能够监测到以下几个关键信息： CPU使用情况； 硬盘空间和运行状况； CPU温度； 风扇运行状况； 网络流量状况； 电源使用状况3. 日志及统计策略 详细而即时的SMTP日志信息, 统计曲线图 详细而即时的垃圾日志和统计数据 详细而即时的病毒日志和统计数据1.4 测试时的垃圾统计策略测试的目的是为了获得网关捕获垃圾邮件的能力。垃圾邮件的评判标准至关重要。因此我们提供一个统计的策略以便计算正常邮件、垃圾邮件、误判邮件、漏判邮件。通过收集所有通过某台邮件网关的邮件，并对样本进行分析，我们能够得到测试要求的精确统计结果。2 测试数据总结报告2.1 总测试结果综合数据报告下表是8天以来的各项数据统计。日期邮件总数垃圾邮件病毒邮件内容过滤合法邮件2004-10-204679 52 1001 81 3545 2004-10-214075 38 766 81 3190 2004-10-224062 68 648 73 3273 2004-10-232883 84 37 108 2654 2004-10-242777 152 145 174 2306 2004-10-258192 279 2739 708 4466 2004-10-264886 211 1110 264 3301 2004-10-274467 288 691 310 3178 合计：36021 1172 7137 1799 25913 比例图：正常邮件：71.94%垃圾邮件：3.25 %病毒邮件：19.81 %内容过滤：4.99 %分析： 上面的表格，是根据所有通过MD300得到的数据统计的结果。从上图表格可以看出邮件的整体分布特征。其中垃圾邮件和内容过滤掉的邮件占邮件总数的8左右，病毒邮件占20左右。可见病毒邮件占了非正常邮件的大部分。但是我们注意到：MailHurdle的拦截比例每天都在75左右（详见后面的MailHurdle部分）。可见这里拦截到的3左右的垃圾邮件，只不过是Mailhurdle拦截剩下的漏网之鱼。事实上大多数垃圾邮件已经在MailHurdle层被拦截了，这为系统节省了大量的系统资源。遗憾的是我们没有做MailHurdle开启前的数据，否则对照效果将会非常明显。2.2 系统负载状况报告下面一组图是本周开始几天的原始取样图。System Load CPU Usage (%)CPU Usage by Category (%)从上面的两组图中可以看出，在整个系统运行期间，系统一直处在很低的系统负载之下。说明Mirapoint的处理能力，足以满足当前的系统负载需求，并提供了良好的扩展空间。 2.3 误判率和漏判率当前的测试方案中，不可能得到漏判数据。因为当前方案无法获取和查看用户已经收到的邮件。事实上，Mirapoint可以提供邮件监听功能，将所有邮件监听到某个指定的邮箱中，再由人工查看是否有漏判现象。但由于考虑到用户的隐私保护，没有采用该方案。根据以往的测试结果，Mirapoint的拦截率一般在95以上。当前系统中启动了MailHurdle功能，拦截率应该高于95。关于误判率，可以根据隔离邮箱中隔离的数据来进行判断。经过对8天以来隔离邮箱中的邮件进行查看，发现没有一封误判的邮件。因此Mirapoint的误判率为0。3 详细数据分析3.1 邮件流量变化图邮件流量统计表：日期本地远程接收总数2004-10-2040766046792004-10-2141847340752004-10-2222256740622004-10-2313716528832004-10-2429312227772004-10-251058115781922004-10-2650569848862004-10-275496594467合计：3589450136021平均每天：4502.63平均每小时：187.61邮件流量统计图： 从上表中可以看出，本地和远程的总数远远小于总请求数。其间的差距表明系统屏蔽掉了许多无意义的攻击性的SMTP连接。3.2 邮件数量和数据流量统计分析3.2.1 SMTP连接数量连接 ( 内 / 外 ) / 分钟已打开连接邮件 ( 接收 / 已发送 / 本地传送 ) / 分钟千字节 ( 接收 / 已发送 / 本地传送 ) / 秒邮件收件人/ 分钟邮件附件/ 小时参数说明：内SMTP连接数是指从系统外部连入本系统的数量。亦即系统从外部邮件服务器接收邮件时的SMTP连接数量。外SMTP连接数是指将本地邮件外发到外部服务器时，对外部服务器请求的SMTP连接数量。3.3 反病毒防护统计分析扫描到的病毒数量统计表：已发现病毒统计表：病毒名称病毒数量W32/Bagle-AA6W32/Bagle-Zip1W32/Lovgate-V991W32/Netsky-D1W32/Netsky-P2W32/Bagle-AA2W32/Klez-H5W32/Lovgate-V747W32/Netsky-B5W32/Netsky-C2W32/Netsky-D1W32/Netsky-N1W32/Netsky-P3W32/Bagle-AA1W32/Lovgate-V636W32/Netsky-B2W32/Netsky-D1W32/Netsky-P8W32/Bagle-AA3W32/Bagle-W1W32/Lovgate-V18W32/Netsky-B4W32/Netsky-C1W32/Netsky-D1W32/Netsky-P8W32/NetskyP-Dam1W32/Bagle-AA2W32/Bagle-W3W32/Lovgate-V136W32/Netsky-C1W32/Netsky-P3W32/Bagle-AA1W32/Bagle-W3W32/Bagle-Zip1W32/Lovgate-V2719W32/Netsky-B3W32/Netsky-D2W32/Netsky-Dam1W32/Netsky-P9W32/Bagle-AA3W32/Bagle-W2W32/Bagle-Zip1W32/Lovgate-V1087W32/Netsky-B4W32/Netsky-C3W32/Netsky-D4W32/Netsky-P5W32/Netsky-Q1W32/Bagle-W1W32/Lovgate-AH7W32/Lovgate-V676W32/Netsky-D4W32/Netsky-P2W32/Netsky-S1发现病毒类型：54 种发现病毒数量：7137 个平均每天：892 个病毒数量实时监控曲线：已发现病毒/ 小时3.4 智能防垃圾规则阻拦垃圾邮件数量统计Mirapoint智能防垃圾模块，采用启发式智能评分技术，对邮件进行全方位的垃圾邮件评分。该评分由600多个规则共同完成，并最终得出一个介于0300之间的评分。分值越大，说明邮件是垃圾邮件的可能性就越大。管理员可以自由设置垃圾邮件判断的分值标准，并分段做出不同的处理策略。如大于100分的直接删除，分值介于50100分之间的邮件隔离到垃圾邮箱等。使用该模糊判断技术，可以通过管理员的调整，实现最高的垃圾邮件阻挡率和最低的误判率。评分统计表：邮件评分邮件数量41-503351-6014561-7015771-9077491-150631500邮件评分统计图：3.4.1 Mirapoint智能防垃圾规则实时监控图到达的邮件 与 垃圾邮件 / 分钟周 每个垃圾邮件评分的邮件数目3.4.2 MailHurdle拦截效果分析在周内（10月18日10月25日）的邮件总数和未重试邮件数其中未重试的邮件基本上是垃圾邮件。下面是10月26日当天MailHurdle日志的数据（前几行和最后几行）：MailHurdle Host Address SummaryHost % Delayed Delays Accepts Sender IP-CPE0050ba3efddc-CM014270040074. 100.0% 1 0 54 100.0% 1 0 6 100.0% 2 0 6 100.0% 1 0 86TCE-E-7-182-233. 0.0% 0 0 33 0.0% 0 0 1 0.0% 0 0 7 0.0% 0 0 87 0.0% 0 1 97atlas.praha.telecom.cz 0.0% 0 0 33 0.0% 0 0 27 0.0% 0 0 9 0.0% 0 0 8vw1.sys.hokudai.ac.jp 0.0% 0 0 40212. 0.0% 0 0 12 0.0% 0 0 11 0.0% 0 1 4 0.0% 0 0 733. 0.0% 0 0 33. 0.0% 0 0 0.0% 0 0 2 0.0% 0 0 4 0.0% 0 0 10 0.0% 0 0 49 0.0% 0 0 12 0.0% 0 0 2211-74-186-15..tw 0.0% 0 0 5 0.0% 0 0 14 0.0% 0 0 2asx98.neoplus.adsl.tpnet.pl 0.0% 0 0 8-Total: 72.8% 1386 517可以看出，MailHurdle的拦截比例在72左右。可见有72的邮件被拦截在MailHurdle层。后台过滤出的垃圾邮件，只是通过MailHurdle过滤后残余的垃圾邮件，所以比例才只有3左右。3.5 系统性能监控Mirapoint产品能够监测系统硬件的多项参数，一旦这些参数出现变化，或者监测到某些硬件出现故障，系统将自动给管理员或者厂家技术支持发送警告邮件，通知管理员即时处理。系统监测结果如下:1. 性能监控表:2. 系统监控表:系统状态温度好CPU 温度好CPU 风扇好风扇 1好风扇 2好风扇 3好ECC 错误好电源好电压好 RAID 控制器状态控制器：1电池状态已充电电池时间3d 00：27：00高速缓存打开 运行时间： 41d 08：03：59 MOS 版本： 3.5.3-GR 该图是测试期间的运行状况屏幕截图。从图中可以看出，系统的CPU、风扇、内存、电源等在测试期间运行良好。3. 硬盘监控表:图片显示了当前RAID