郵件網關

市場上的郵件網關也很多，按照不同的分類標準，劃分的種類的也不一樣：一種是可以分為：硬件網關產品、託管式郵件網關、軟件網關產品，這是一類劃分方法；還有一種劃分是分為：協議網關 WNx‘N ·應用網關 o:JWN ·安全網關 E-c 唯一保留的通用意義是作為兩個不同的域或系統間中介的網關，要克服的差異本質決定了需要的網關類型。下面我們先來看第一種分類：軟件網關產品、硬件網關產品、託管式郵件網關。

協議網關通常在使用不同協議的網絡區域間做協議轉換。這一轉換過程可以發生在OSI參考模型的第2層、第3層或2、3層之間。 但是有兩種協議網關不提供轉換的功能：安全網關和管道。由於兩個互連的網絡區域的邏輯差異，安全網關是兩個技術上相似的網絡區域間的必要中介。如私有廣域網和公有的因特網。這一特例在後續的“組合過濾網關”中討論， 此部分中集中於實行物理的協議轉換的協議網關。

1、管道網關管道是通過不兼容的網絡區域傳輸數據的比較通用的技術。數據分組被封裝在可以被傳輸網絡識別的幀中，到達目的地時， 接收主機解開封裝，把封裝信息丟棄，這樣分組就被恢復到了原先的格式。 管道技術只能用於3層協議，從SNA到IPv6。雖然管道技術有能夠克服特定網絡拓撲限制的優點，它也有缺點。 管道的本質可以隱藏不該接受的分組，簡單來説，管道可以通過封裝來攻破防火牆，把本該過濾掉的數據傳給私有的網絡區域。

2、專用網關很多的專用網關能夠在傳統的大型機系統和迅速發展的分佈式處理系統間建立橋樑。 典型的專用網關用於把基於PC的客户端連到局域網邊緣的轉換器。該轉換器通過X.25網絡提供對大型機系統的訪問。 shoO 這些網關通常是需要安裝在連接到局域網的計算機上的便宜、單功能的電路板，這使其價格很低且很容易升級。在圖的例子中， 該單功能的網關將大型機時代的硬連線的終端和終端服務器升級為PC機和局域網。

3、2層協議網關2層協議網關提供局域網到局域網的轉換，它們通常被稱為翻譯網橋而不是協議網關。 在使用不同幀類型或時鐘頻率的局域網間互連可能就需要這種轉換。 (1)幀格式差異 IEEE802兼容的局域網共享公共的介質訪問層，但是它們的幀結構和介質訪問機制使它們不能直接互通。 翻譯網橋利用了2層的共同點，如MAC地址，提供幀結構不同部分的動態翻譯，使它們的互通成為了可能。 第一代局域網需要獨立的設備來提供翻譯網橋，如今的多協議交換集線器通常提供高帶寬主幹， 在不同幀類型間可作為翻譯網橋，翻譯網橋的幕後性質使這種協議轉換變得模糊，獨立的翻譯設備不再需要， 多功能交換集線器天生就具有2層協議轉換網關的功能。 替代使用僅涉及2層的設備如翻譯網橋或多協議交換集線器的另一種選擇是使用3層設備：路由器。 長期以來路由器就是局域網主幹的重要組成部分。如果路由器用於互連局域網和廣域網， 它們通常都支持標準的局域網接口，經過適當的配置，路由器很容易提供不同幀類型的翻譯。 這種方案的缺點是如果使用3層設備路由器需要表查詢，這是軟件功能，而象交換機和集線器等2層設備的功能由硬件來實現， 從而可以運行得更快。 (2)傳輸率差異 很多過去的局域網技術已經提升了傳輸速率，例如，IEEE 802.3以太網有10Mbps、100Mbps和1bps的版本， 它們的幀結構是相同的， 主要的區別在於物理層以及介質訪問機制，在各種區別中，傳輸速率是最明顯的差異。令牌環網也提升了傳輸速率， 早期版本工作在4Mbps速率下，的版本速率為16Mbps，100Mbps的FDDI是直接從令牌環發展來的，通常用作令牌環網的主幹。 這些僅有時鐘頻率不同的局域網技術需要一種機制在兩個其它方面都兼容的局域網間提供緩衝的接口，現今的多協議、 高帶寬的交換集線器提供了能夠緩衝速率差異的健壯的背板.1494! 2 什麼是網關 如今的多協議局域網可以為同一局域網技術的不同速率版本提供內部速率緩衝，還可以為不同的802兼容的局域網提供2層幀轉換。路由器也可以做速率差異的緩衝工作，它們相對於交換集線器的長處是它們的內存是可擴展的。 其內存緩存進入和流出分組到一定程度以決定是否有相應的訪問列表（過濾）要應用，以及決定下一跳， 該內存還可以用於緩存可能存在於各種網絡拓撲間的速率差異.

應用網關是在使用不同數據格式間翻譯數據的系統。典型的應用網關接收一種格式的輸入，將之翻譯， 然後以新的格式發送。輸入和輸出接口可以是分立的也可以使用同一網絡連接。 一種應用可以有多種應用網關。如Email可以以多種格式實現，提供Email的服務器可能需要與各種格式的郵件服務器交互， 實現此功能唯一的方法是支持多個網關接口。 應用網關也可以用於將局域網客户機與外部數據源相連，這種網關為本地主機提供了與遠程交互式應用的連接。 將應用的邏輯和執行代碼置於局域網中客户端避免了低帶寬、高延遲的廣域網的缺點，這就使得客户端的響應時間更短。 應用網關將請求發送給相應的計算機，獲取數據，如果需要就把數據格式轉換成客户機所要求的格式。 本文不對所有的應用網關配置作詳盡的描述，這些例子應該概括了應用網關的各種分支。它們通常位於網絡數據的交匯點， 為了充分地支持這樣的交匯點，需要包括局域網、廣域網在內的多種網絡技術的結合。

安全網關是各種技術有趣的融合，具有重要且獨特的保護作用，其範圍從協議級過濾到十分複雜的應用級過濾。防火牆主要有三類： 分組過濾 電路網關 應用網關 注意：三種中只有一種是過濾器，其餘都是網關。 這三種機制通常結合使用。過濾器是映射機制，可區分合法的和欺騙包。每種方法都有各自的能力和限制，要根據安全的需要仔細評價。

1、包過濾器包過濾是安全映射最基本的形式，路由軟件可根據包的源地址、目的地址或端口號建立許可權， 對眾所周知的端口號的過濾可以阻止或允許網際協議如FTP、rlogin等。過濾器可對進入和/或流出的數據操作， 在網絡層實現過濾意味着路由器可以為所有應用提供安全映射功能。作為（邏輯意義上的）路由器的常駐部分， 這種過濾可在任何可路由的網絡中自由使用，但不要把它誤解為萬能的，包過濾有很多弱點，但總比沒有好。包過濾很難做好，尤其當安全需求定義得不好且不細緻的時候更是如此。這種過濾也很容易被攻破。包過濾比較每個數據包， 基於包頭信息與路由器的訪問列表的比較來做出通過/不通過的決定，這種技術存在許多潛在的弱點。首先， 它直接依賴路由器管理員正確地編制權限集，這種情況下，拼寫的錯誤是致命的， 可以在防線中造成不需要任何特殊技術就可以攻破的漏洞。即使管理員準確地設計了權限，其邏輯也必須毫無破綻才行。 雖然設計路由似乎很簡單，但開發和維護一長套複雜的權限也是很麻煩的， 必須根據防火牆的權限集理解和評估每天的變化，新添加的服務器如果沒有明確地被保護，可能就會成為攻破點。 隨着時間的推移，訪問權限的查找會降低路由器的轉發速度。每當路由器收到一個分組， 它必須識別該分組要到達目的地需經由的下一跳地址，這必將伴隨着另一個很耗費CPU的工作： 檢查訪問列表以確定其是否被允許到達該目的地。訪問列表越長，此過程要花的時間就越多。包過濾的第二個缺陷是它認為包頭信息是有效的，無法驗證該包的源頭。 頭信息很容易被精通網絡的人篡改， 這種篡改通常稱為“欺騙”。包過濾的種種弱點使它不足以保護你的網絡資源，最好與其它更復雜的過濾機制聯合使用，而不要單獨使用。

2、鏈路網關鏈路級網關對於保護源自私有、安全的網絡環境的請求是很理想的。這種網關攔截TCP請求，甚至某些UDP請求， 然後代表數據源來獲取所請求的信息。該代理服務器接收對萬維網上的信息的請求，並代表數據源完成請求。實際上， 此網關就象一條將源與目的連在一起的線，但使源避免了穿過不安全的網絡區域所帶來的風險。

什麼是網關 這種方式的請求代理簡化了邊緣網關的安全管理，如果做好了訪問控制，除了代理服務器外所有出去的數據流都被阻塞。 理想情況下，此服務器有唯一的地址，不屬於任何內部使用的網段。這絕對使無意中微妙地暴露給不安全區域的信息量最小化， 只有代理服務器的網絡地址可被外部得到，而不是安全區域中每個聯網的計算機的網絡地址。

3、應用網關應用網關是包過濾最極端的反面。包過濾實現的是對所有穿過網絡層包過濾設備的數據的通用保護， 而應用網關在每個需要保護的主機上放置高度專用的應用軟件，它防止了包過濾的陷阱，實現了每個主機的堅固的安全。應用網關的一個例子是病毒掃描器，這種專用軟件已經成了桌面計算的主要產品之一。它在啓動時調入內存並駐留在後台， 持續地監視文件不受已知病毒的感染，甚至是系統文件的改變。 病毒掃描器被設計用於在危害可能產生前保護用户不受到病毒的潛在損害。 這種保護級別不可能在網絡層實現，那將需要檢查每個分組的內容，驗證其來源，確定其正確的網絡路徑， 並確定其內容是有意義的還是欺騙性的。這一過程將產生無法負擔的過載，嚴重影響網絡性能。

4、組合過濾網關使用組合過濾方案的網關通過冗餘、重疊的過濾器提供相當堅固的訪問控制，可以包括包、鏈路和應用級的過濾機制。 這樣的安全網關最普通的實現是象崗哨一樣保護私有網段邊緣的出入點，通常稱為邊緣網關或防火牆。 這一重要的責任通常需要多種過濾技術以提供足夠的防衞。由兩個組件構成的安全網關：一個路由器和一個處理機。 結合在一起後，它們可以提供協議、鏈路和應用級保護。 這種專用的網關不象其它種類的網關一樣，需要提供轉換功能。作為網絡邊緣的網關，它們的責任是控制出入的數據流。 顯然的，由這種網關聯接的內網與外網都使用IP協議，因此不需要做協議轉換，過濾是最重要的。 保護內網不被非授權的外部網絡訪問的原因是顯然的。控制向外訪問的原因就不那麼明顯了。在某些情況下， 是需要過濾發向外部的數據的。例如，用户基於瀏覽的增值業務可能產生大量的WAN流量，如果不加控制， 很容易影響網絡運載其它應用的能力，因此有必要全部或部分地阻塞此類數據。 聯網的主要協議IP是個開放的協議，它被設計用於實現網段間的通信。這既是其主要的力量所在，同時也是其最大的弱點。 為兩個IP網提供互連在本質上創建了一個大的IP網， 保衞網絡邊緣的衞士--防火牆--的任務就是在合法的數據和欺騙性數據之間進行分辨。

5、實現中的考慮 實現一個安全網關並不是個容易的任務,其成功靠需求定義、仔細設計及無漏洞的實現。首要任務是建立全面的規則， 在深入理解安全和開銷的基礎上定義可接受的折衷方案，這些規則建立了安全策略。安全策略可以是寬鬆的、嚴格的或介於二者之間。在一個極端情況下，安全策略的基始承諾是允許所有數據通過，例外很少， 很易管理，這些例外明確地加到安全體制中。這種策略很容易實現，不需要預見性考慮，保證即使業餘人員也能做到最小的保護。 另一個極端則極其嚴格，這種策略要求所有要通過的數據明確指出被允許，這需要仔細、着意的設計，其維護的代價很大， 但是對網絡安全有無形的價值。從安全策略的角度看，這是唯一可接受的方案。在這兩種極端之間存在許多方案，它們在易於實現、 使用和維護代價之間做出了折衷，正確的權衡需要對危險和代價做出仔細的評估。

軟件網關，即整套網關係統安裝部署在自己的服務器上，通過更改端口映射、IP等外網設置，讓企業所有郵件首先經過軟件網關過濾後，再到達企業內部郵件服務器。國內軟件網關產品不多，普及程度也不高。許多企業認為軟件網關產品價格比硬件網關低，性能也就跟不上，但實際上好的軟件網關產品所能實現的效果並不比硬件網關差，還擁有各種硬件網關無法比擬的優勢。TurboGate郵件網關產品就是其中一個軟件網關典型產品，該產品的實際項目應用反垃圾郵件的效率為穩定的98%以上，無誤判。

優點：

1. 產品容易安裝測試。企業可以隨時通過網絡下載廠家產品進行本地測試，如。TurboGate網關產品可以在各大軟件資源網站或是TurboGate官網免費下載測試。

2. 成本較低。相比硬件網關和託管式網關，軟件網關集中所有資源在產品的研發和更新上，一方面可以集中精力為客户提供更強效果的網關係統，一方面可以降低產品成本。

3. 易於維護。只要企業網絡保持外網連接暢通，廠家能隨時通過遠程網絡，為企業提供24小時在線技術支持服務，解決99%以上的故障。如果遇到硬件故障，硬件網關廠商只能通過提供現場服務來解決，費時費力。由於軟件產品具有移植性高的特點，當遇到短時間內無法解決的硬件故障時，可以通過更換服務器，及時的恢復網關應用，等原服務器修好了再恢復軟件網關係統，最大程度的減小對企業郵件通訊的影響。

4. 企業對網管系統管理主控性強。整套軟件網關係統都部署在企業服務器上，系統管理員可以對網關係統進行管理和控制。

5. 數據安全性高。一方面管理員可以對網關係統實行全面管理和控制，一方面對於被網關係統攔截的軟件，管理員可以隨時搜索、查看、放行或者恢復操作，降低系統郵件誤判率。

6. 功能強大。相比固定式的硬件網關產品，軟件網關擁有更強大的系統功能擴展性，方便升級和定製個性化的功能需求，為企業提供除了反垃圾、反病毒之外的其他功能。TurboGate郵件網關除了強大的反垃圾引擎和反病毒之外，還為客户提供全球海外中繼服務、郵件監控、郵件審核、智能過濾、郵件歸檔、智能過濾總共七大功能。

硬件網關，顧名思義，反垃圾程序和硬件服務器一體化，如果客户需要進行測試硬件網關產品，首先就是需要聯繫廠家，讓廠家提供測試服務器進行測試。

優點：

1. 不需要客户提供服務器，直接使用硬件網關服務器進行測試。

2. 廠家一般都提供已經配置好的硬件網關，只需要和客户內部測試環境對接，即可開始測試。

缺點：

1. 測試不方便。必須廠家提供測試服務器，對於地處偏僻的企業，由於廠家沒有直接辦事處或者代理商支持，客户很難進行測試工作，包括後續的技術服務支持。

2. 各地售後服務支持力度不一樣。對於沒有廠家分部或者直接代理商的區域，一旦遇到網關產品故障，特別是服務器硬件故障，支持力度弱。

3. 升級難。由於採購硬件網關時，服務器配置已經固定。隨着客户內部郵箱用户的增加和互聯網上垃圾郵件的增長，硬件網關服務器的壓力越來越大，很難進行系統遷移。

4. 功能單一。硬件網關主要集中在反垃圾反病毒幾個單一的模塊企業郵件通訊不僅僅面臨垃圾郵件氾濫的難題，還會遇到很多其他問題，例如：海外郵件收發失敗、內部郵件服務器監控力度弱、用户權限控制不夠、不能進行郵件歸檔等問題。

5. 成本高。國內的硬件網關分低中高檔產品，但普遍價格高昂，對部分中小企業而言，成本負擔重，再加上後續高昂的技術維護費，足夠扼殺相當一部分企業的網關建設計劃。

所謂託管式網關，即通過更改端口映射等外網設置，客户所有的郵件都經過廠家自家的網關係統，通過過濾後再到達客户郵件服務器。

優點：

1. 客户不需要額外採購服務器，節省硬件成本。

2. 客户只需要修改郵件系統端口映射等外網設置就可以進行測試，廠家已經提供好現成的測試環境。

3. 廠家提供專業的技術維護，不需要客户自己打理網關係統硬件和網絡環境。

缺點：

1. 客户必須每年支付固定的網關租用費用，成本較高。

2. 所有郵件都需要經過廠家網關係統進行過濾，雖然可以為客户節省工作量，但也讓客户面臨郵件數據安全隱患。一旦廠家網關係統被人侵入或者數據泄露，客户郵件信息隨時面臨安全危機。

3. 客户對網關係統管理主控性弱。

反垃圾

實現反垃圾功能，把外網發送過來的垃圾郵件全部都攔截在TurboGate 郵件網關係統上，既減輕了內網郵件系統的負擔，又不會干涉到內網的正常收發。若出現誤判，或者需要處理垃圾郵件時（垃圾郵件存放在TurboGate系統上），只要登陸TurboGate 郵件網關係統進行處理即可，不必通過內網的郵件系統進行處理，極大減輕內網郵件系統的壓力。

 反病毒

實現反病毒功能。TurboGate郵件網關係統支持多種殺毒引擎，並且內置著名的開源殺毒引擎ClamAV，對郵件類病毒具有99.9%的殺滅能力，同時支持嵌入式殺毒和網關殺毒自動定時更新病毒特徵庫。

 高級中繼（國際郵件）

TurboGate郵件網關提供高級中繼服務，通過TurboGate在國外設置的中繼服務器，系統會自動把企業發往國外失敗的郵件，轉由中繼服務器投送出去。全球通郵的百分百收發成功率，是企業發展強大的保障和後盾，為海外業務的拓展打下了通訊的奠基石。

 郵件監控

對經過郵件網關的所有郵件進行靈活監控。

郵件監控的郵箱賬號有兩種選擇：

可在TurboGate郵件網關係統上建立一郵箱賬號，所有的被監控郵件都會發送到該賬號上。

可用外部郵箱賬號作為監控郵箱，所有的被監控郵件都會發送到該外部郵箱賬號上。

 郵件審核

經過郵件網關時，對符合郵件審核規則的郵件進行審核。只有通過審核的郵件才能進行收發。該操作對於用户是透明操作的，且郵件審核規則也靈活多變。

 郵件過濾

實現郵件過濾，只有符合過濾規則的郵件才能發送到內網郵件系統或者發送到外部互聯網上。靈活的規則設置，可以有效的控制用户收發權限。

 郵件歸檔

在郵件網關中實現郵件歸檔功能，所有經過TurboGate 郵件網關係統收發的郵件都將進行同步備份，即使內部郵件系統徹底刪除某些郵件，由於郵件已被備份，仍能在TurboGate 網關郵件系統上輕鬆檢索調出，郵件備份功能就像是一個持續運作的複印機，來往所有郵件全部被複印留底。歸檔功能只能在TurboGate 郵件網關係統上實現和管理，無法在內部郵件系統上實現，但同時也釋放了內網郵件服務器，不用承受日積月累的郵件數量的壓力。

缺點：

當然部分軟件網關需要安裝在另一台服務器上，企業需要提供額外的資源來部署網關係統。但是TurboGate考慮到企業資源的緊缺，支持直接部署在企業內部郵件服務器上，充分利用企業本地資源，這也是TurboGate郵件網關區別於其他軟件網關的一大亮點。

郵件網關與郵件中心之間應採用專線方式互聯。對郵件中心應進行改造，改造的主要內容是：

協議上在原來的SMPP 3.3的基礎上擴充功能，使郵件消息擴展實體（SME）一即郵件網關有辦法得到郵件消息發送成功與否的結果，以便郵件網關進行計費記錄，以及採用CMPP將發送成功與否的信息傳遞給SP。

提供業務只需連接到互聯網上，通過郵件網關就可以與互聯網連接。

由於郵件網關需要負責到SP的路由查詢，原則上一家SP的業務只能從一個郵件網關接入，以免郵件信息點播業務的上行郵件發送到SP時出現路由混亂的情況。

對於特大型SP，如新浪網等，允許其接入多個郵件網關，以分流郵件業務量。在這種情況下，SP對信息點播業務將採用分區提供服務的方式。比如假設新浪分別連接了北京、廣州兩處郵件網關，則北京網關負責北方的業務，廣州網關負責南方的業務。當天津的郵件網關向匯接網關查詢新浪的路由時，匯接網關將返回北京郵件網關的地址作為前轉網關的地址當廣西的郵件網關向匯接網關查詢新浪的路由時，匯接網關將返回廣州郵件網關的地址作為前轉網關的地址。