Email Gateway 7.x Blade Servers Installation Guide

Transcrição

Guia de instalação
Revisão B
Blade Servers McAfee® Email Gateway
7.x
COPYRIGHT
Copyright © 2013 McAfee, Inc. Não copiar sem permissão.
RECONHECIMENTO DE MARCAS COMERCIAIS
McAfee, o logotipo McAfee, McAfee Active Protection, McAfee AppPrism, McAfee Artemis, McAfee CleanBoot, McAfee DeepSAFE, ePolicy Orchestrator,
McAfee ePO, McAfee EMM, McAfee Enterprise Mobility Management, Foundscore, Foundstone, McAfee NetPrism, McAfee Policy Enforcer, Policy Lab,
McAfee QuickClean, Safe Eyes, McAfee SECURE, SecureOS, McAfee Shredder, SiteAdvisor, SmartFilter, McAfee Stinger, McAfee Total Protection,
TrustedSource, VirusScan, WaveSecure e WormTraq são marcas comerciais ou marcas registradas da McAfee, Inc. ou de suas afiliadas nos EUA e em
outros países. Outros nomes e marcas podem ser propriedade de terceiros.
INFORMAÇÕES SOBRE A LICENÇA
Contrato de licença
AVISO A TODOS OS USUÁRIOS: LEIA ATENTAMENTE O CONTRATO LEGAL APROPRIADO CORRESPONDENTE À LICENÇA ADQUIRIDA POR VOCÊ. NELE
ESTÃO DEFINIDOS OS TERMOS E AS CONDIÇÕES GERAIS PARA A UTILIZAÇÃO DO SOFTWARE LICENCIADO. CASO NÃO TENHA CONHECIMENTO DO
TIPO DE LICENÇA QUE FOI ADQUIRIDO, CONSULTE A DOCUMENTAÇÃO RELATIVA À COMPRA OU À CONCESSÃO DA LICENÇA, INCLUÍDA NO PACOTE
DO SOFTWARE OU FORNECIDA SEPARADAMENTE (COMO LIVRETO, ARQUIVO NO CD DO PRODUTO OU UM ARQUIVO DISPONÍVEL NO SITE DO QUAL O
PACOTE DE SOFTWARE FOI OBTIDO POR DOWNLOAD). SE NÃO CONCORDAR COM TODOS OS TERMOS ESTABELECIDOS NO CONTRATO, NÃO INSTALE
O SOFTWARE. SE FOR APLICÁVEL, VOCÊ PODERÁ DEVOLVER O PRODUTO À MCAFEE OU AO LOCAL DA AQUISIÇÃO PARA OBTER REEMBOLSO TOTAL.
2
Blade Servers McAfee® Email Gateway 7.x
Conteúdo
1
Prefácio
5
Sobre este guia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Público-alvo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Convenções . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Como usar este guia . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Localizar a documentação do produto . . . . . . . . . . . . . . . . . . . . . . . . . .
5
5
5
7
7
Preparação para a instalação
9
O que há na caixa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Planejar a instalação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Uso inadequado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Condições operacionais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Posicionando o servidor blade . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Considerações sobre modos de rede . . . . . . . . . . . . . . . . . . . . . . . . . .
Modo Ponte transparente . . . . . . . . . . . . . . . . . . . . . . . . . . .
Modo Roteador transparente . . . . . . . . . . . . . . . . . . . . . . . . . .
Modo Proxy explícito . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Estratégias de distribuição para uso do dispositivo em uma zona desmilitarizada . . . . . . . .
Configuração do SMTP em uma zona desmilitarizada . . . . . . . . . . . . . . . .
Gerenciamento de carga de trabalho . . . . . . . . . . . . . . . . . . . . . .
2
Conectando e configurando o servidor blade
23
Fazendo upgrade de versões anteriores . . . . . . . . . . . . . . . . . . . . . . . .
Configuração das interconexões durante a atualização de uma versão anterior . . . . . .
Fazendo backup da configuração existente . . . . . . . . . . . . . . . . . . . .
Desligando os blades de varredura . . . . . . . . . . . . . . . . . . . . . . .
Desligando os blades de gerenciamento . . . . . . . . . . . . . . . . . . . . .
Fazendo upgrade do software do blade de gerenciamento . . . . . . . . . . . . . .
Reinstalando os blades de varredura . . . . . . . . . . . . . . . . . . . . . . .
Instalação padrão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Instalação física do servidor blade . . . . . . . . . . . . . . . . . . . . . . .
Instalar as interconexões para o modo padrão (não resiliente) . . . . . . . . . . . .
Fornecendo energia ao servidor blade . . . . . . . . . . . . . . . . . . . . . .
Conexão à rede . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Instalando o software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Ordem de instalação dos blades de gerenciamento . . . . . . . . . . . . . . . . .
Instalando o software nos blades de gerenciamento . . . . . . . . . . . . . . . .
Instalando o software em um blade de varredura de conteúdo . . . . . . . . . . . .
Uso do console de configuração . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Execução de uma Instalação personalizada . . . . . . . . . . . . . . . . . . . .
Restauração de um arquivo . . . . . . . . . . . . . . . . . . . . . . . . . .
Configuração somente de criptografia . . . . . . . . . . . . . . . . . . . . . .
3
Um tour pelo Dashboard
24
24
25
25
25
26
27
27
29
29
30
32
33
33
33
34
34
35
35
36
37
O Dashboard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
9
10
11
11
11
11
12
15
17
19
19
21
37
3
Conteúdo
Benefícios do uso do Dashboard . . . . . . . . . . . . . . . . . . . . . . . .
Portlets do Dashboard . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Tarefa — Desligar o aviso Comentários do McAfee Global Threat Intelligence desativados .
Explorando o servidor blade . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Demonstrando o gerenciamento de carga de trabalho e de failover . . . . . . . . . .
Testando os recursos de gerenciamento no servidor blade . . . . . . . . . . . . . .
Usar as políticas para gerenciar a varredura de mensagens . . . . . . . . . . . . .
Teste da configuração . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Explore os recursos do McAfee Email Gateway Blade Server . . . . . . . . . . . . .
4
Operação no modo resiliente
53
Como o modo resiliente utiliza o hardware . . . . . . . . . . . . . . . . . . . . . . .
Decisão pelo uso do modo resiliente . . . . . . . . . . . . . . . . . . . . . . . . . .
Antes de iniciar a reconfiguração para o modo resiliente . . . . . . . . . . . . . . . . . .
Informações sobre o hardware . . . . . . . . . . . . . . . . . . . . . . . . .
Endereços IP necessários para o modo resiliente . . . . . . . . . . . . . . . . . .
Nomes de usuário e senhas . . . . . . . . . . . . . . . . . . . . . . . . . .
Migrando para a operação no modo resiliente . . . . . . . . . . . . . . . . . . . . . .
Fazendo backup da configuração existente . . . . . . . . . . . . . . . . . . . .
Instalar as interconexões para o modo resiliente . . . . . . . . . . . . . . . . . .
Configuração de interconexões . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Modificar a configuração do invólucro . . . . . . . . . . . . . . . . . . . . . . . . .
Aplicar a configuração do modo resiliente a todas as interconexões . . . . . . . . . . . . .
Faça download e revise a configuração gerada . . . . . . . . . . . . . . . . . . .
Configuração do blade de gerenciamento para uso do modo resiliente . . . . . . . . . . . .
Conexões no modo resiliente para a rede externa . . . . . . . . . . . . . . . . . . . .
Ligue os blades. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5
Solução de problemas
Apêndices
4
69
69
69
69
71
Exemplo de configuração de base da interconexão . . . . . . . . . . . . . . . . . . . .
Exemplo de arquivo de configuração do chassi . . . . . . . . . . . . . . . . . . . . . .
Procedimentos para a troca de hardware . . . . . . . . . . . . . . . . . . . . . . . .
Substituir um blade de gerenciamento com falha . . . . . . . . . . . . . . . . . .
Substituir um blade de gerenciamento de failover com falha . . . . . . . . . . . . .
Substituir um blade de varredura com falha . . . . . . . . . . . . . . . . . . . .
Substituir uma interconexão com falha . . . . . . . . . . . . . . . . . . . . . .
Substituir um módulo com falha do Onboard Administrator . . . . . . . . . . . . .
Índice
54
55
55
56
57
58
58
59
59
61
63
65
65
65
66
68
69
Solução de problemas específicos do blade . . . . . . . . . . . . . . . . . . . . . . .
Sistemas de monitoramento externos . . . . . . . . . . . . . . . . . . . . . .
Status da placa de interface de rede . . . . . . . . . . . . . . . . . . . . . . .
Eventos do sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
A
38
39
40
40
40
41
43
47
49
71
72
74
74
75
75
75
76
77
Prefácio
Este guia fornece as informações de que você necessita para instalar o seu produto McAfee.
Conteúdo
Sobre este guia
Localizar a documentação do produto
Sobre este guia
Estas informações descrevem o público‑alvo do guia, as convenções tipográficas e os ícones usados
neste guia, além de como o guia é organizado.
Público-alvo
A documentação da McAfee é cuidadosamente pesquisada e escrita para o público‑alvo.
As informações deste guia destinam‑se principalmente a:
•
Administradores — Pessoas que implementam e aplicam o programa de segurança da empresa.
Convenções
Este guia usa as seguintes convenções tipográficas e ícones.
Título do livro, termo,
ênfase
Título de um livro, capítulo ou tópico; um novo termo; ênfase.
Negrito
Texto bastante enfatizado.
Digitação do usuário,
código, mensagem
Comandos e outros textos digitados pelo usuário; um fragmento de
código; uma mensagem exibida.
Texto da interface
Palavras da interface do produto, como opções, menus, botões e caixas
de diálogo.
Azul de hipertexto
Um link para um tópico ou para um site externo.
Observação: Informações adicionais, como um método alternativo de
acessar uma opção.
Dica: Sugestões e recomendações.
Importante/cuidado: Informações importantes para proteger o
sistema do seu computador, sua instalação de software, rede, negócios
ou seus dados.
Aviso: Informações críticas para prevenir lesões corporais durante a
utilização de um produto de hardware.
5
Prefácio
Sobre este guia
Convenções gráficas
Use estas informações para compreender os símbolos gráficos usados neste documento.
Servidor blade
Internet ou redes
externas
Servidor de e‑mail
Outros servidores
(como servidores
DNS)
Computador cliente ou do
usuário
Roteador
Switch
Firewall
Zona da rede (zona
desmilitarizada ou VLAN)
Rede
Caminho de dados real
Caminho de dados
percebido
Definição de termos usados neste guia
Compreenda alguns dos termos‑chave usados neste documento.
Termo
Definição
zona desmilitarizada
(DMZ ‑ demilitarized
zone)
Um host de computador ou uma rede pequena inserida como um buffer entre
uma rede privada e a rede pública externa para impedir acesso direto de
usuários externos aos recursos da rede privada.
arquivos DAT
Arquivos de definição de detecção (DAT), também chamados de arquivos de
assinatura, contendo as definições que identificam, detectam e reparam vírus,
cavalos de Troia, spyware, adware e outros programas potencialmente
indesejados (PUPs).
modo de operação
Os três modos de operação do produto: modo Proxy explícito, modo Ponte
transparente e modo Roteador transparente.
política
Uma coleção de critérios de segurança, como definições de configuração,
benchmarks (testes comparativos) e especificações de acesso à rede, que
define o nível de conformidade necessário para usuários, dispositivos e
sistemas que podem ser avaliados ou cumpridos por um aplicativo de
segurança McAfee.
verificação do serviço Parte da autenticação do remetente. Se um remetente não passar na
de reputação
verificação do serviço de reputação, o appliance será definido para fechar a
conexão e recusar a mensagem. O endereço IP do remetente será adicionado
a uma lista de conexões bloqueadas e será bloqueado automaticamente no
futuro no nível do kernel.
Interconexões
6
Os módulos HP GbE2c Layer 2/3 Ethernet Blade Switch usados para fornecer
conexões de rede para o McAfee Email Gateway Blade Server. O termo
Interconexão pode ser considerado como sendo igual a Switch.
Prefácio
Como usar este guia
Este tópico apresenta um breve resumo das informações contidas neste documento.
Este guia ajuda você a:
•
Planejar e executar sua instalação.
•
Familiarizar‑se com a interface.
•
Testar se o produto funciona corretamente.
•
Aplicar os arquivos de definição de detecção mais recentes.
•
Explorar algumas políticas de varredura, criar relatórios e obter informações de status.
•
Solucionar problemas básicos.
Você pode encontrar informações adicionais sobre os recursos de varredura na ajuda on‑line do
produto e na última versão do Guia de administradores do McAfee Email Gateway.
A McAfee fornece as informações de que você necessita durante cada fase de implementação do
produto, desde a instalação até o uso diário e solução de problemas. Após o lançamento de um
produto, informações sobre o mesmo são inseridas no KnowledgeBase on‑line da McAfee.
Tarefa
1
Vá para o ServicePortal de suporte técnico da McAfee em http://mysupport.mcafee.com.
2
Em Self Service (Autoatendimento), acesse o tipo de informação necessária:
Para acessar...
Execute este procedimento...
Documentação do
usuário
1 Clique em Product Documentation (Documentação do produto).
2 Selecione um produto e, em seguida, uma versão.
3 Selecione o documento de um produto.
KnowledgeBase
• Clique em Search the KnowledgeBase (Pesquisar no KnowledgeBase) para
obter respostas às suas dúvidas sobre produtos.
• Clique em Browse the KnowledgeBase (Procurar no KnowledgeBase) para ver
artigos relacionados por produto e versão.
7
Prefácio
8
1
Para garantir a operação segura do McAfee Email Gateway Blade Server, considere o seguinte antes de
iniciar a instalação.
•
Compreenda os requisitos de alimentação de seu servidor blade e do sistema de alimentação.
•
Familiarize‑se com seus modos de operação e recursos. É importante escolher uma configuração
válida.
•
Decida como integrar o appliance em sua rede e determine de quais informações você precisará
antes de começar. Por exemplo, o nome e o endereço IP do dispositivo.
•
Desembale o produto o mais próximo possível do local em que pretende instalá‑lo.
O servidor blade é pesado. Não deixe de seguir os procedimentos recomendados para levantar o
servidor blade ao desembalá‑lo.
•
Remova o produto da embalagem protetora e coloque‑o sobre uma superfície plana.
•
Observe todos os avisos de segurança.
Revise e familiarize‑se com todas as informações de segurança fornecidas.
Conteúdo
O que há na caixa
Planejar a instalação
Uso inadequado
Condições operacionais
Posicionando o servidor blade
Considerações sobre modos de rede
Estratégias de distribuição para uso do dispositivo em uma zona desmilitarizada
O que há na caixa
Use estas informações para garantir que tenha a remessa completa do seu produto.
Para verificar se todos os componentes estão presentes, consulte a lista de itens fornecida com seu
produto.
Geralmente, você deve ter:
•
Gabinete de um servidor blade
•
Um blade de Gerenciamento
•
Um blade de Gerenciamento de failover
9
1
•
Um ou mais blades de varredura, conforme o pedido
•
Cabos de alimentação
•
Cabos de rede
•
CD de instalação e recuperação do McAfee Email Gateway
•
CD do código‑fonte do Linux
Se algum item estiver ausente ou danificado, entre em contato com o fornecedor.
Use estas informações ao planejar a instalação de seu dispositivo.
Antes de desembalar o McAfee Email Gateway Blade Server, é importante planejar a instalação e a
distribuição.
Informações para ajudá‑lo podem ser encontradas em: HP BladeSystem c‑Class Site Planning Guide.
Considere o seguinte:
•
Diretrizes gerais para preparar seu site.
Informações sobre requisitos gerais do local para preparar sua sala de computadores para o
hardware do McAfee Email Gateway Blade Server.
•
Requisitos de ambiente
Informações sobre requisitos do ambiente local, incluindo temperatura, fluxo de ar e espaço
necessário
•
Requisitos e considerações da alimentação
Requisitos da alimentação e fatores elétricos que devem ser considerados antes da instalação
Inclui instalação da PDU (Unidade de distribuição de energia).
•
Especificações e requisitos de hardware
Especificações de sistema para o invólucro do servidor blade, os racks e as fontes de alimentação
monofásicas e trifásicas.
10
•
Cenários de configuração
•
1
Uso inadequado
Uso inadequado
Use estas informações para evitar o uso deste produto de forma inadequada.
O McAfee Email Gateway Blade Server:
•
Não é um firewall — Você deve usá‑lo em sua organização por trás de um firewall configurado
corretamente.
•
Não é um servidor para armazenamento de software e arquivos extras — Não instale
nenhum software no dispositivo nem adicione nenhum arquivo extra a ele, a menos que instruído
pela documentação do produto ou pelo representante de suporte.
O dispositivo não pode processar todos os tipos de tráfego. Se você usar o modo proxy explícito,
somente os protocolos a serem varridos deverão ser enviados ao dispositivo.
Condições operacionais
Use estas informações para compreender as condições ambientais necessárias para o seu McAfee
Email Gateway.
Temperatura operacional
+10°C a + 30°C ou +10°C a + 35°C (dependendo do modelo) com
a taxa máxima de alteração não superior a 10°C por hora
Temperatura não operacional
‑40°C a +70°C
Umidade relativa não
operacional
90%, sem condensação, a 35°C
Vibração, desembalado
5 Hz a 500 Hz, 2,20 g RMS (aleatório)
Choque, operacional
Meio seno, pico de 2 g, 11 milésimos de segundo
Choque, trapezoidal
desembalado
25 g, alteração de velocidade 136 pol/s (≧40 lbs a > 80 lbs)
Requisito de resfriamento do
sistema em BTUs/hora
1660 BTUs/hora ou 2550 BTUs/hora (dependendo do modelo)
Posicionando o servidor blade
Use estas informações para saber onde o McAfee Email Gateway Blade Server deve estar localizado.
Instale o servidor blade de modo que você possa controlar o acesso físico à unidade e acessar as
portas e as conexões.
Um kit de montagem em rack é fornecido com o chassi do servidor blade, permitindo instalar o
servidor blade em um rack de 19 polegadas.
Consulte Instruções para a rápida instalação do invólucro HP BladeSystem c7000.
Use estas informações para compreender os modos operacionais (ou de rede) nos quais o dispositivo
pode operar.
Antes de instalar e configurar seu McAfee Email Gateway Blade Server, é preciso decidir qual modo de
rede usar. O modo escolhido determina como você conecta fisicamente o seu appliance à rede.
11
1
É possível escolher dentre os seguintes modos de rede:
•
Modo Ponte transparente — O dispositivo funciona como uma ponte Ethernet.
•
Modo Roteador transparente — O dispositivo funciona como um roteador.
•
Modo Proxy explícito — O dispositivo funciona como um servidor proxy e uma retransmissão de
e‑mail.
Se você ainda não tiver certeza sobre o modo a ser usado depois de ler estas informações e as seções
a seguir, consulte seu especialista em rede.
Considerações arquitetônicas sobre modos de rede
As considerações principais com relação aos modos de rede são:
•
Se os dispositivos de comunicação reconhecem a existência do dispositivo. Ou seja, se o dispositivo
está operando em um dos modos transparentes.
•
Como o dispositivo se conecta fisicamente à rede.
•
A configuração necessária para incorporar o dispositivo à rede.
•
Onde a configuração ocorre na rede.
Considerações antes de alterar os modos de rede
Nos modos Proxy explícito e Roteador transparente, é possível instalar o dispositivo para ajustar‑se a
mais de uma rede configurando vários endereços IP para as portas LAN1 e LAN2.
Se você mudar para o modo Ponte transparente a partir do modo Proxy explícito ou Roteador
transparente, apenas os endereços IP ativados para cada porta serão transferidos.
Depois de selecionar um modo de rede, a McAfee recomenda que ele não seja alterado, a menos que
você mova o dispositivo ou reestruture sua rede.
Modo Ponte transparente
Use estas informações para compreender melhor o modo Ponte transparente em seu McAfee Email
Gateway.
No modo Ponte transparente, os servidores em comunicação não reconhecem o dispositivo — a
operação do dispositivo é transparente para os servidores.
Figura 1-1 Modo Ponte transparente — caminho de dados aparente
Na figura, o servidor de e‑mail externo (A) envia mensagens de e‑mail ao servidor de e‑mail interno
(C). O servidor de e‑mail externo não reconhece que a mensagem de e‑mail é interceptada e varrida
pelo dispositivo (B).
O servidor de e‑mail externo parece se comunicar diretamente com o servidor de e‑mail interno — o
caminho é mostrado como uma linha pontilhada. Na realidade, o tráfego pode passar por vários
dispositivos de rede e ser interceptado e varrido pelo dispositivo antes de alcançar o servidor de e‑mail
interno.
12
1
O que o dispositivo faz no modo Ponte transparente
No modo Ponte transparente, o dispositivo se conecta à rede usando as portas LAN1 e LAN2. O
dispositivo varre o tráfego recebido e age como uma ponte que conecta dois segmentos de rede, mas
os trata como uma única rede lógica.
Configuração no modo Ponte transparente
O modo Ponte transparente requer menos configuração do que os modos Roteador transparente e
Proxy explícito. Não é necessário reconfigurar todos os seus clientes, o gateway padrão, os registros
MX, o NAT do firewall ou os servidores de e‑mail para enviar tráfego ao dispositivo. Como o dispositivo
não é um roteador nesse modo, não é necessário atualizar uma tabela de roteamento.
Onde colocar o dispositivo ao usar o modo Ponte transparente
Por razões de segurança, você deve usar o dispositivo dentro de sua organização, por trás de um
firewall.
Figura 1-2 Posicionamento no modo Ponte transparente
No modo Ponte transparente, posicione o dispositivo entre o firewall e o roteador, conforme mostrado.
Nesse modo, você conecta fisicamente dois segmentos de rede ao dispositivo, e o dispositivo os trata
como uma rede lógica. Como os dispositivos — firewall, dispositivo e roteador — estão na mesma rede
lógica, todos eles devem ter endereços IP compatíveis na mesma sub‑rede.
13
1
Os dispositivos de um lado da ponte (como um roteador) que se comunicam com os dispositivos do
outro lado da ponte (como um firewall) não reconhecem a ponte. Eles não reconhecem que esse
tráfego é interceptado e varrido, portanto, diz‑se que o dispositivo opera como uma ponte
transparente.
Figura 1-3 Estrutura de rede — Modo Ponte transparente
Spanning Tree Protocol para gerenciar a prioridade da ponte
Configure o STP (Spanning Tree Protocol) para gerenciar as prioridades da ponte do McAfee® Email
Gateway Blade Server.
Antes de iniciar
O servidor blade deve ser configurado no modo Ponte transparente para que o STP esteja
disponível.
Caso um blade falhe, o STP direciona o tráfego da rede para o blade com a próxima prioridade da
ponte mais alta.
No modo Ponte transparente, o blade de gerenciamento e o blade de gerenciamento de failover têm
diferentes endereços IP.
Nos modos Roteador transparente e Proxy explícito, os dois blades novamente têm endereços IP
diferentes, mas são configurados com o mesmo endereço IP virtual.
Normalmente, o tráfego de e‑mail é gerenciado pelo blade de gerenciamento. Se esse blade falhar, o
tráfego de e‑mail será gerenciado pelo blade de gerenciamento de failover.
14
1
Cada blade tem uma prioridade da ponte diferente. Como o blade de gerenciamento tem a prioridade
mais alta (por exemplo, um valor de STP igual a 100), o blade de gerenciamento normalmente trata
ou intercepta o tráfego da rede.
Se o blade de gerenciamento falhar, o STP direciona o tráfego da rede por um caminho com a próxima
prioridade da ponte mais alta, ou seja, o blade de gerenciamento de failover (por exemplo, com um
valor de STP igual a 200).
Tarefa
1
Para evitar loops de ponte:
a
Desative o STP nas partas 1 e 2 de todas as interconexões.
b
Certifique‑se de que todas as portas sejam membros do Spanning Tree Group 1 (STG1).
c
Desative o STG1.
2
Instale o blade de gerenciamento de failover no slot 2.
3
Durante a configuração para o blade de gerenciamento de failover, defina a prioridade da ponte,
por exemplo, como 200.
4
Instale o blade de gerenciamento no slot 1.
5
Durante a configuração para o blade de gerenciamento, defina a prioridade da ponte, por exemplo,
como 100.
6
Atribua endereços IP diferentes ao blade de gerenciamento e ao blade de gerenciamento de
failover.
Modo Roteador transparente
Use estas informações para compreender melhor o modo Roteador transparente em seu McAfee Email
Gateway.
No modo Roteador transparente, o dispositivo varre o tráfego de e‑mail entre duas redes. O dispositivo
possui um endereço IP para o tráfego varrido de saída e deve ter um endereço IP para o tráfego de
entrada.
A comunicação dos servidores de rede não reconhece a intervenção do dispositivo — a operação do
dispositivo é transparente para os dispositivos.
O que o dispositivo faz no modo Roteador transparente
No modo Roteador transparente, o dispositivo se conecta às redes usando as portas LAN1 e LAN2. O
dispositivo varre o tráfego recebido em uma rede e o encaminha para o próximo dispositivo de rede
em uma rede diferente. O dispositivo atua como um roteador, roteando o tráfego entre as redes com
base nas informações contidas em suas tabelas de roteamento.
Configuração no modo Roteador transparente
Com o modo Roteador transparente, não é necessário reconfigurar explicitamente seus dispositivos de
rede para enviar tráfego ao dispositivo. É necessário configurar apenas a tabela de roteamento do
dispositivo e modificar algumas informações de roteamento dos dispositivos de rede de cada um de
seus lados (os dispositivos conectados às suas portas LAN1 e LAN2). Por exemplo, talvez seja
necessário tornar o dispositivo o seu gateway padrão.
15
1
No modo Roteador transparente, o dispositivo deve unir duas redes. O dispositivo deve ser
posicionado dentro de sua organização, por trás de um firewall.
O modo Roteador transparente não é compatível com o tráfego IP multicast ou protocolos não IP, como
NETBEUI e IPX.
Regras de firewall
No modo Roteador transparente, o firewall se conecta ao endereço IP físico para a conexão de LAN1/
LAN2 com o blade de gerenciamento.
Onde colocar o dispositivo
Use o dispositivo no modo Roteador transparente para substituir um roteador existente em sua rede.
Se você usar o modo Roteador transparente e não substituir um roteador existente, deverá reconfigurar
parte de sua rede para rotear o tráfego corretamente pelo dispositivo.
Figura 1-4 Estrutura de rede — Modo Ponte transparente
Você precisa:
16
•
Configurar seus dispositivos clientes para apontar para o gateway padrão.
•
Configurar o dispositivo para usar o gateway da Internet como seu gateway padrão.
•
Assegurar‑se de que os dispositivos clientes possam entregar mensagens de e‑mail para os
servidores de e‑mail dentro de sua organização.
1
Modo Proxy explícito
Use estas informações para compreender melhor o modo Proxy explícito em seu McAfee Email
Gateway.
No modo Proxy explícito, alguns dispositivos de rede devem ser configurados explicitamente para
enviar tráfego ao dispositivo. O dispositivo funciona, então, como um proxy ou uma retransmissão,
processando o tráfego em nome dos dispositivos.
Figura 1-5 Modo Proxy explícito — caminho de dados aparente
O modo Proxy explícito é mais adequado às redes nas quais os dispositivos clientes se conectam ao
dispositivo por meio de um único dispositivo upstream e downstream.
Essa pode não ser a melhor opção se vários dispositivos de rede tiverem de ser reconfigurados para
enviar tráfego ao dispositivo.
Configuração de rede e de dispositivo
Se o dispositivo estiver definido no modo Proxy explícito, você deverá configurar explicitamente o seu
servidor de e‑mail interno para retransmitir o tráfego de e‑mail ao dispositivo. O dispositivo varre o
tráfego de e‑mail antes de encaminhá‑lo, em nome do remetente, para o servidor de e‑mail externo. O
servidor de e‑mail externo encaminha, então, a mensagem de e‑mail ao destinatário.
De modo semelhante, a rede deve ser configurada para que as mensagens de e‑mail de entrada da
Internet sejam entregues ao dispositivo, não ao servidor de e‑mail interno.
O dispositivo varre o tráfego antes de encaminhá‑lo, em nome do remetente, ao servidor de e‑mail
interno para entrega, conforme mostrado.
Por exemplo, um servidor de e‑mail externo pode se comunicar diretamente com o dispositivo, embora
o tráfego passe por vários servidores de rede antes de alcançar o dispositivo. O caminho percebido é
do servidor de e‑mail externo para o dispositivo.
Protocolos
Para varrer um protocolo compatível, você deve configurar seus outros servidores de rede ou
computadores clientes para rotear esse protocolo por meio do dispositivo, de modo que nenhum
tráfego ignore o dispositivo.
Regras de firewall
O modo Proxy explícito invalida quaisquer regras de firewall configuradas para acesso do cliente à
Internet. O firewall vê apenas as informações de endereço IP físico do dispositivo, não os endereços IP
dos clientes, de modo que o firewall não pode aplicar suas regras de acesso à Internet aos clientes.
Assegurar‑se de que as regras do firewall estejam atualizadas. O firewall deve aceitar tráfego
doMcAfee® Email Gateway, mas não o tráfego proveniente diretamente dos dispositivos clientes.
Configure regras de firewall para evitar a entrada de tráfego indesejado em sua organização.
17
1
Onde colocar o dispositivo
Configure os dispositivos de rede de modo que o tráfego que precise ser varrido seja enviado
aoMcAfee® Email Gateway. Isso é mais importante do que a localização doMcAfee® Email Gateway.
O roteador deve permitir que todos os usuários se conectem aoMcAfee® Email Gateway.
Figura 1-6 Posicionamento no modo Proxy explícito
OMcAfee® Email Gateway deve ser posicionado dentro de sua organização, por trás de um firewall,
conforme mostrado na Figura 6: Configuração de proxy explícito.
Geralmente, o firewall é configurado para bloquear o tráfego que não vem diretamente do dispositivo.
Se você não tiver certeza sobre sua topologia de rede e como integrar o dispositivo, consulte seu
especialista em rede.
Use essa configuração se:
•
O dispositivo estiver operando em modo Proxy explícito.
•
Você estiver usando e‑mail (SMTP).
Para essa configuração, você deve:
18
•
Configurar os servidores DNS externos ou a conversão de endereços de rede (NAT) no firewall de
modo que o servidor de e‑mail externo entregue o e‑mail ao dispositivo e não ao servidor de e‑mail
interno.
•
Configurar os servidores de e‑mail internos para enviar mensagens de e‑mail ao dispositivo. Ou
seja, os servidores de e‑mail internos devem usar o dispositivo como um host inteligente.
Assegure‑se de que os dispositivos clientes possam entregar mensagens de e‑mail para os
servidores de e‑mail dentro de sua organização.
•
Assegurar‑se de que as regras do firewall estejam atualizadas. O firewall deve aceitar tráfego do
dispositivo, mas não o tráfego proveniente diretamente dos dispositivos clientes. Configure regras
para evitar a entrada de tráfego indesejado em sua organização.
1
Estratégias de distribuição para uso do dispositivo em uma
Use estas informações para compreender sobre zonas desmilitarizadas dentro de sua rede e como
usá‑las para proteger seus servidores de e‑mail.
Uma zona desmilitarizada (DMZ ‑ demilitarized zone) é uma rede separada por um firewall de todas as
outras redes, incluindo a Internet e outras redes internas. O propósito típico por trás da
implementação de uma zona desmilitarizada é bloquear o acesso a servidores que fornecem serviços
para a Internet, como e‑mail.
Os hackers geralmente obtêm acesso às redes identificando as portas TCP/UDP nas quais os
aplicativos escutam as solicitações e, em seguida, explorando vulnerabilidades conhecidas em
aplicativos. Os firewalls reduzem drasticamente o risco dessas explorações, controlando o acesso a
portas específicas em servidores específicos.
O dispositivo pode ser adicionado facilmente a uma configuração de zona desmilitarizada. A maneira
como você usa o dispositivo em uma zona desmilitarizada depende dos protocolos que pretende
varrer.
Configuração do SMTP em uma zona desmilitarizada
Use estas informações para compreender como configurar dispositivos SMTP dentro de uma zona
desmilitarizada em sua rede.
A zona desmilitarizada é um bom local para criptografar e‑mails. No momento em que o tráfego de
e‑mail alcança o firewall pela segunda vez (em seu caminho da zona desmilitarizada para a Internet),
ele já está criptografado.
Os dispositivos com tráfego SMTP em uma zona desmilitarizada são geralmente configurados no modo
Proxy explícito.
As alterações na configuração só precisam ser feitas nos registros MX dos servidores de e‑mail.
NOTA: você pode usar o modo Ponte transparente ao varrer o SMTP em uma zona desmilitarizada.
Entretanto, se você não controlar o fluxo do tráfego corretamente, o dispositivo varrerá cada
mensagem duas vezes, uma em cada direção. Por essa razão, o modo Proxy explícito é geralmente
usado para a varredura do SMTP.
Retransmissão de e‑mail
Figura 1-7 Configuração como uma retransmissão de e‑mail
19
1
Se você tiver uma retransmissão de e‑mail já configurada em sua zona desmilitarizada, poderá
substituir a retransmissão pelo dispositivo.
Para usar as políticas de firewall existentes, forneça ao dispositivo o mesmo endereço IP da
retransmissão de e‑mail.
Gateway de e‑mail
O SMTP não fornece métodos para criptografar mensagens de e‑mail — você pode usar o TLS
(Transport Layer Security) para criptografar o link, mas não as mensagens de e‑mail. Como resultado,
algumas empresas não permitem esse tráfego em suas redes internas. Para superar isso, elas
geralmente usam um gateway de e‑mail proprietário, como o Lotus Notes® ou o Microsoft® Exchange,
para criptografar o tráfego de e‑mail antes que ele alcance a Internet.
Para implementar uma configuração de zona desmilitarizada usando um gateway de e‑mail
proprietário, adicione o dispositivo de varredura à zona desmilitarizada no lado SMTP do gateway.
Figura 1-8 Configuração como um gateway de e‑mail
Nessa situação, configure:
•
Os registros MX públicos para instruir os servidores de e‑mail externos a enviar todo o e‑mail
recebido para o dispositivo (em vez do gateway).
•
O dispositivo para encaminhar todo o e‑mail recebido para o gateway de e‑mail e entregar todo o
e‑mail enviado usando DNS ou uma retransmissão externa.
•
O gateway de e‑mail para encaminhar todo o e‑mail recebido para os servidores de e‑mail internos
e todos os outros e‑mails (enviados) para o dispositivo.
•
O firewall para permitir e‑mails recebidos que sejam destinados somente ao dispositivo.
Os firewalls configurados para usar a conversão de endereços de rede (NAT) e que redirecionam e‑mails
recebidos para servidores de e‑mail internos não precisam de seus registros MX públicos
reconfigurados. Isso ocorre porque eles estão direcionando o tráfego para o firewall em vez de para o
próprio gateway de e‑mail. Nesse caso, o firewall deve ser reconfigurado para direcionar solicitações de
e‑mail recebido para o dispositivo.
20
1
Regras de firewall específicas para Lotus Notes
Use estas informações para identificar considerações específicas ao proteger os sistemas Lotus Notes.
Por padrão, os servidores do Lotus Notes se comunicam pela porta TCP 1352. As regras de firewall
geralmente usadas para servidores seguros do Notes em uma zona desmilitarizada permitem o
seguinte através do firewall:
•
Solicitações SMTP recebidas (porta TCP 25) originárias da Internet e destinadas ao dispositivo
•
Solicitações da porta TCP 1352 originárias do gateway do Notes e destinadas a um servidor interno
do Notes
•
Solicitações da porta TCP 1352 originárias de um servidor interno do Notes e destinadas a um
gateway do Notes
•
Solicitações SMTP originárias do dispositivo e destinadas à Internet
Todas as outras solicitações SMTP e da porta TCP 1352 são recusadas.
Regras de firewall específicas para Microsoft Exchange
Use estas informações para identificar considerações específicas ao proteger os sistemas Microsoft
Exchange.
Um sistema de e‑mail baseado no Microsoft Exchange requer uma solução alternativa significativa.
Quando os servidores Exchange se comunicam entre si, eles enviam seus pacotes iniciais usando o
protocolo RPC (porta TCP 135). Entretanto, depois que a comunicação inicial é estabelecida, duas
portas são escolhidas dinamicamente e usadas para enviar todos os pacotes subsequentes do restante
da comunicação. Não é possível configurar um firewall para reconhecer essas portas escolhidas
dinamicamente. Portanto, o firewall não passa os pacotes.
A alternativa é modificar o registro em cada um dos servidores Exchange que se comunicam através
do firewall para usar sempre as mesmas duas portas “dinâmicas” e, em seguida, abrir a TCP 135 e
essas duas portas no firewall.
Mencionamos essa alternativa para fornecer uma explicação abrangente, mas não a recomendamos. O
protocolo RPC é amplamente difundido em redes Microsoft — a abertura da entrada TCP 135 é um
sinal de alerta para a maioria dos profissionais de segurança.
Se você pretende usar essa alternativa, poderá encontrar detalhes no seguinte artigo da Base de
Dados de Conhecimento no site da Microsoft:
http://support.microsoft.com/kb/q176466/
Gerenciamento de carga de trabalho
Use estas informações para aprender sobre os recursos de gerenciamento de carga de trabalho do
McAfee Email Gateway.
Os appliances incluem seu próprio gerenciamento de carga de trabalho interno, distribuindo a carga de
varredura igualmente entre todos os appliances configurados para trabalhar juntos.
Não é necessário distribuir um balanceador de carga externo.
21
1
22
2
Conectando e configurando o servidor
blade
Use esta seção para entender os conceitos, processos e considerações necessários para conectar e
configurar o seu servidor blade.
O McAfee Email Gateway Blade Server pode ser conectado à sua rede e configurado nos seguintes
modos:
•
Modo padrão (não resiliente)
•
Modo resiliente
O modo padrão (não resiliente) utilize os mesmos componentes e processos para conectar o seu
servidor blade à sua rede que foram usados em todas as versões anteriores do produto do McAfee
Email Gateway Blade Server.
No modo padrão (não resiliente), seu servidor blade não está imune dos efeitos causados pela falha de
hardware. Para tornar‑se resiliente a falhas de hardware, considere alterar para o modo resiliente após
ter ajustado, configurado, e testado completamente o seu servidor blade.
Modo resiliente
Após ter configurado o seu servidor blade para operar no modo padrão (não resiliente), consulte
Operação no modo resiliente para obter mais detalhes sobre alternar para a operação no modo
resiliente.
O McAfee Email Gateway Blade Server inclui a operação no modo resiliente para o servidor blade.
Neste modo, todas as conexões entre sua rede, servidor blade, e também as conexões dentro do
invólucro do servidor blade são feitas de tal maneira que diversos caminhos são utilizados.
Esses vários caminhos fornecem maior resiliência à falha de qualquer componente, seja dentro do
servidor blade, nos dispositivos ou no cabeamento da rede necessários para rotear o tráfego entre a
sua rede e o servidor blade.
Conteúdo
Fazendo upgrade de versões anteriores
Instalação padrão
Instalando o software
Uso do console de configuração
23
2
Use estas informações para entender as opções de upgrade disponíveis.
O tópicos a seguir discutem a atualizações de um McAfee Email Gateway Blade Server existente, o
qual está executando o software do Email and Web Security Appliance, para usar o software do
Para fazer upgrade da versão 5.6 do Email and Web Security para o McAfee Email Gateway, você deve
primeiro migrar para o último patch da versão 7.0 do McAfee Email Gateway e, em seguida, migrar da
versão 7.0 do McAfee Email Gateway para o McAfee Email Gateway.
Se você pretende migrar para a operação no modo resiliente, será necessário reconfigurar fisicamente
as interconexões dentro do servidor blade.
Para fazer upgrade de instalações anteriores para o McAfee Email Gateway, é necessário organizar uma
interrupção de rede, pois o servidor blade interromperá o tráfego de varredura durante a realização do
upgrade.
Antes de fazer upgrade do software nos blades de gerenciamento de failover e de gerenciamento,
consulte Configurando as interconexões ao fazer upgrade de uma versão anterior e, se estiver
considerando usar o modo resiliente, Como o modo resiliente utiliza o hardware.
Não é possível instalar o McAfee Email Gateway no servidor blade existente e manter os protocolos de
Web configurados anteriormente (software do Email and Web Security com varredura de Web ativada
ou McAfee Web Gateway). Uma instalação do McAfee Email Gateway é somente para e‑mail.
Esta etapa...
está descrita neste tópico...
1. Faça backup da configuração existente
Fazendo backup da configuração existente
2. Desligue todos os blades de varredura
Desligando os blades de varredura
3. Desligue ambos os blades de gerenciamento
Desligando os blades de gerenciamento
4. Faça upgrade do software em ambos os
blades de gerenciamento
Fazendo upgrade do software do blade de
gerenciamento
5. Reinstale os blades de varredura
Reinstalando os blades de varredura
6. Configure para o modo resiliente (se
necessário)
Decisão sobre o uso ou não do modo resiliente
Migrando para a operação no modo resiliente
Configuração das interconexões durante a atualização de uma
versão anterior
Use estas informações para entender como as interconexões precisam ser configuradas para os modos
de operação resiliente e padrão.
O McAfee Email Gateway Blade Server introduz algumas alterações na forma como o servidor blade
usa o hardware, especialmente os módulos de interconexão, dentro do invólucro do blade.
As versões anteriores do McAfee Email Gateway Blade Server, que executam o software Email and
Web Security Appliances, usavam dois módulos de interconexão: interconexão 1 para LAN1, e
interconexão 2 para LAN2.
O hardware fornecido com o McAfee Email Gateway Blade Server usa:
24
•
Interconexão 1 para LAN1, e interconexão 3 para LAN2 por padrão (modo não resiliente)
•
Ou, interconexão 1 e interconexão 2 para LAN1, e interconexão 3 e interconexão 4 para LAN2 no
modo resiliente
2
Consulte Como o modo resiliente usa o hardware para obter mais detalhes.
Use essa função para fazer backup da configuração existente do McAfee Email Gateway Blade Server.
A McAfee recomenda fazer um backup completo da configuração do seu servidor blade antes de fazer
um upgrade, mesmo que você pretenda usar uma das opções de upgrade que restaura e faz backup
da sua configuração.
Tarefa
1
Na interface do usuário, navegue até Sistema | Administração do sistema | Gerenciamento de configuração.
2
Selecione os itens opcionais que você deseja incluir no backup (dependendo da versão). A McAfee
recomenda fazer backup de todas as opções antes de atualizar o seu servidor blade.
3
Clique em Fazer backup da configuração.
4
Após um curto intervalo de tempo, uma caixa de diálogo será exibida, permitindo a você fazer
download do arquivo de backup das configurações em seu computador local.
Desligando os blades de varredura
Use esta tarefa para desligar os blades de varredura no McAfee Email Gateway Blade Server.
Antes de iniciar
Certifique‑se de ter conseguido um momento adequado para desligar os blades de
varredura, quando o tráfego de rede estiver mais baixo e as interrupções puderem ser
mantidas a um nível mínimo.
Tarefa
1
Na interface de usuário do blade de gerenciamento, navegue até Sistema | Administração do sistema |
Gerenciamento do cluster.
2
Digite a senha de administrador na caixa de texto.
3
Clique em Desligar, localizado próximo ao blade de varredura que você deseja desligar.
4
Se necessário, repita estas etapas para os outros blades de varredura que você deseja desligar.
Desligando os blades de gerenciamento
Desligue os blades de gerenciamento de failover ou de gerenciamento no McAfee Email Gateway Blade
Server.
Antes de iniciar
Certifique‑se de ter conseguido um momento adequado para desligar os blades de
gerenciamento, quando o tráfego de rede estiver mais baixo e as interrupções puderem ser
mantidas a um nível mínimo.
Verifique se todos os blades de varredura terminaram de desligar antes de começar o
procedimento de desligamento dos blades de gerenciamento.
25
2
Tarefa
1
Na interface de usuário do blade de gerenciamento do blade de gerenciamento ou de
gerenciamento de failover a ser desligado, navegue até Sistema | Administração do sistema | Gerenciamento
do cluster.
2
Digite sua senha na caixa de texto próxima a Desligar appliance.
3
Clique em Desligar appliance.
4
Se necessário, repita estas etapas para o blade de gerenciamento restante.
Fazendo upgrade do software do blade de gerenciamento
Use esta função para fazer upgrade do software instalado nos blades de gerenciamento do McAfee
Email Gateway Blade Server.
Antes de iniciar
Certifique‑se de familiarizar‑se com o módulo iLO da HP. Consulte Guia do usuário do iLO da
HP para obter mais detalhes.
Use esta função para fazer upgrade do software do McAfee Email Gateway Blade Server instalado nos
blades de gerenciamento de failover e de gerenciamento.
Ao fazer upgrade de um McAfee Email Gateway Blade Server existente para a versão mais recente do
software, certifique‑se de instalar o software no blade de gerenciamento de failover e no blade de
gerenciamento.
Você escolher a forma como o software do servidor blade é atualizado:
•
Executar uma instalação completa sobrescrevendo os dados existentes.
•
Instalar o software preservando configuração e mensagens de e‑mail.
•
Instalar o software preservando somente a configuração de rede.
•
Instalar o software preservando somente a configuração.
Devido a uma alteração de arquitetura entre as versões anteriores e as atuais do software, você
precisará certificar‑se de modificar o identificador de cluster para que seja definido a um valor entre 0 e
255 ao fazer upgrade utilizando um método que preserva a configuração da versão anterior. Essa
configuração pode ser encontrada em Sistema | Administração do sistema | Gerenciamento do cluster.
Tarefa
1
Desligue o blade de gerenciamento que está sendo atualizado.
2
Escolha o método de instalação:
•
Insira o CD‑ROM que contém o software do McAfee Email Gateway em uma unidade externa de
CD‑ROM conectada ao blade de gerenciamento que está sendo atualizado.
•
Conecte‑se ao Onboard Administrator (OA) da HP no invólucro do servidor blade e, em seguida,
acesse cada um dos blades individuais usando o módulo iLO da HP via Informações do invólucro |
Device bay.
Você também pode optar por instalar o software a partir de uma unidade USB, conectada ao blade
ou ao invólucro.
26
3
2
Uma vez conectado ao Onboard Administrator da HP, selecione o blade de gerenciamento escolhido
usando o console iLO.
O blade de gerenciamento está localizado no slot 1 e o blade de gerenciamento de failover está
localizado no slot 2 do invólucro.
4
No Onboard Administrator da HP, selecione Informações sobre o invólucro | Device bay | Opções de inicialização.
5
Verifique se o CD‑ROM é a primeira unidade listada na lista de inicialização.
6
Selecione a guia Dispositivos virtuais.
7
Clique em Pressionar momentaneamente para inicializar o blade de gerenciamento a partir do CD‑ROM.
8
Siga as instruções fornecidas para selecionar a opções de upgrade necessárias e, em seguida,
selecione as imagens de software a serem instaladas.
Reinstalando os blades de varredura
Reinstale os blades de varredura em seu McAfee Email Gateway Blade Server.
Antes de iniciar
Certifique‑se de familiarizar‑se com o módulo iLO da HP. Consulte Guia do usuário do iLO da
HP para obter mais detalhes.
Tarefa
1
No Onboard Administrator da HP, selecione Informações sobre o invólucro | Device bay para se conectar à
interface iLO da HP para que o blade de varredura seja reinstalado.
2
Selecione a guia Opções de inicialização.
3
Na lista suspensa Inicializar uma vez a partir de: , selecione PXE NIC **.
4
Clique em Aplicar.
5
Selecione a guia Dispositivos virtuais.
6
Clique em Pressionar momentaneamente para inicializar o blade de varredura a partir da imagem
armazenada no blade de gerenciamento.
7
Repita estas etapas para todos os blades de varredura que estão sendo reinstalados.
Instale o McAfee Email Gateway Blade Server usando a instalação padrão.
A tabela a seguir fornece uma visão geral do processo de instalação do McAfee Email Gateway Blade
Server.
Essa tabela também serve como primeiras etapas caso você pretenda reconfigurar o servidor blade
para a operação no modo resiliente.
27
2
Tabela 2-1 Etapas da instalação padrão
Esta etapa...
está descrita aqui.
1.
Desembale a embalagem e verifique o
conteúdo com relação às listas de peças na
caixa.
Listas de peças
2.
Monte o invólucro no rack e instale o
Onboard Administrator (OA) e todas as
interconexões.
Instalação física do servidor blade
Instalando as interconexões
Consulte também
Instruções para a rápida instalação do invólucro
HP BladeSystem c7000
Guia de instalação e configuração do invólucro HP
BladeSystem c7000
Guia do usuário do iLO da HP
3.
Conecte os periféricos e a alimentação.
Fornecendo energia ao servidor blade
Consulte também
Instruções para a rápida instalação do invólucro
HP BladeSystem c7000
BladeSystem c7000
4.
Conecte o servidor blade à rede.
Conexão à rede
5.
Configure o HP Onboard Administrator.
BladeSystem c7000
6.
Instale o software nos blades de
gerenciamento.
7.
Execute a configuração básica.
Usando o console de configuração
8.
Selecione o software a ser instalado
Imagens de software
9.
Instale cada blade de varredura de conteúdo, Instalando o software em um blade de varredura
por sua vez, e a inicialização PXE do blade de de conteúdo
gerenciamento.
10. Roteie o tráfego de rede de teste através do
servidor blade.
Testando a configuração
11. Teste se o tráfego de rede está sendo
varrido.
Testando a configuração
12. Configure as políticas e os relatórios.
Usando as políticas para gerenciar a varredura de
mensagens
13. Configure o tráfego de produção pelo
sistema.
Usando o console de configuração
Conectar o servidor blade à sua rede poderá atrapalhar o acesso a e‑mail ou outros serviços da rede.
Assegure‑se de organizar o tempo de inatividade da rede para isso e de programar essa conexão
durante os períodos de pouco uso da rede.
28
2
Instalação física do servidor blade
O McAfee Email Gateway Blade Server deve ser localizado e instalado no local previsto para ele.
Para obter mais informações sobre a desmontagem e a remontagem dos invólucros e componentes do
servidor blade, consulte Instruções para a instalação rápida do invólucro HP BladeSystem c7000 e Guia
de instalação e configuração do invólucro HP BladeSystem c7000.
Tarefa
1
Remova o servidor blade da embalagem protetora e coloque‑o sobre uma superfície plana.
Devido ao seu peso, desembale o servidor blade o mais próximo possível do local de instalação.
2
Remova os componentes dianteiros, componentes traseiros e a armação traseira do servidor blade.
3
Reinstale a armação traseira, fontes de energia, ventoinhas de refrigeração, interconexões, e os
componentes do Onboard Administrator.
Para fornecer redundância em caso de falha na unidade de refrigeração ou na fonte de energia, a
McAfee recomenda que você instale e utilize todas as fontes de energia e ventoinhas de
refrigeração.
4
Conecte um monitor e um teclado ao servidor blade.
5
Conecte os cabos de alimentação ao monitor e ao servidor blade, mas não os conecte às fontes de
alimentação ainda.
Instalar as interconexões para o modo padrão (não resiliente)
Instale os módulos de interconexão no invólucro McAfee Email Gateway Blade Server.
Antes de fazer qualquer conexão, é necessário instalar e configurar as interconexões de Ethernet.
Tabela 2-2 Registro
# Descrição
Conexões de alimentação
Interconexão 1 (conexões com a LAN 1)
Interconexão 3 (conexões com a LAN 2)
Se estiver atualizando de versões anteriores no hardware existente, consulte Configuração das
interconexões ao atualizar de uma versão anterior.
Conexão do Onboard Administrator
Módulo do Onboard Administrator
Acesso fora de banda (porta 20)
Isso é ativado somente após as interconexões terem sido configuradas.
As interconexões são instaladas na parte traseira do invólucro, abaixo da fileira superior de ventoinhas
de refrigeração.
29
2
A interconexão da LAN 1 é instalada na baia de interconexões superior esquerda, e a interconexão da
LAN 2 é instalada logo abaixo da interconexão da LAN 1 na baia de interconexões inferior esquerda.
Figura 2-1 Localização dos componentes traseiros — modo padrão (não resiliente)
Certifique‑se de:
•
Desativar o STP (Spanning Tree Protocol) para o STG 1 (por padrão, todas as portas são membros
do grupo STP 1). (Se você estiver instalado o seu servidor blade no modo de ponte transparente.)
•
Configurar as listas de controle de acesso (ACLs) nas interconexões para isolar os blades de
varredura de conteúdo dos endereços DHCP externos de recebimento.
•
Configurar as ACLs de modo que os pacotes de pulsação do blade sejam mantidos dentro do
servidor blade.
•
Se o tráfego marcado pela VLAN (rede local virtual) precisar passar pelo servidor blade, as
interconexões precisarão ser configuradas para permitir a passagem deste tráfego.
As informações sobre como fazer isso são fornecidas na documentação listada abaixo:
•
Instalação rápida do HP GbE2c Layer 2/3 Ethernet Blade Switch para o BladeSystem classe C
•
Guia do usuário do HP GbE2c Layer 2/3 Ethernet Blade Switch para o BladeSystem classe C
Se estiver planejando reconfigurar o seu servidor blade para a operação no modo resiliente em uma
data posterior, convém considerar a instalação de todas as interconexões necessárias neste estágio,
conforme detalhado em Instalando as interconexões para o modo resiliente.
Fornecendo energia ao servidor blade
Conecte e ligue a alimentação do McAfee Email Gateway Blade Server.
Para certificar‑se de que todos os blades liguem, use dois circuitos de energia diferentes.
30
2
Se somente um circuito for utilizado, e a configurações do gerenciamento de energia forem definidas
para CA redundante (conforme recomendado), alguns blades falharão ao serem ligados.
Tarefa
1
Conecte os cabos de energia do servidor blade à unidades de alimentação blade e às tomadas de
energia.
Se os cabos de alimentação não forem adequados no país de uso, entre em contato com o
fornecedor.
2
Ligue o servidor blade pressionando os botões de ligar nos blades de gerenciamento de failover e
de gerenciamento.
Usando as opções de alimentação DC
Considere os requisitos para utilizar as opções de alimentação DC com o McAfee Email Gateway Blade
Server.
Se você adquirir as opções de alimentação relevantes, o McAfee Email Gateway Blade Server pode ser
ligado a partir de sistemas de alimentação de corrente contínua (DC).
Consulte Guia de instalação de configuração do invólucro HP BladeSystem c7000 Carrier‑Grade para
obter informações sobre como usar fontes de alimentação DC com o McAfee Email Gateway Blade
Server.
Para reduzir o risco de choque elétrico ou danos ao equipamento, instale a fonte de alimentação DC do
HP BladeSystem de acordo com as seguintes instruções:
•
Apenas eletricistas qualificados com experiência em trabalhar com sistemas de energia
DC, devem conectar o McAfee Email Gateway Blade Server ao sistema de alimentação
DC.
•
Instale este produto somente em um local de acesso restrito.
•
Ligue este aparelho a uma fonte de energia DC que possa ser classificada como um
circuito secundário de acordo com os requisitos nacionais aplicáveis para equipamentos
de tecnologia da informação.
Em geral, estes requisitos são baseados na Norma Internacional de Segurança de
Equipamentos de Informática, IEC 60950‑1. A fonte deve ter um polo (neutro/retorno)
referenciado à terra de acordo com os códigos e regulamentos elétricos locais e
regionais.
•
Ligue este aparelho a um dispositivo de distribuição de energia que fornece um meio de
interromper a alimentação do circuito de ramificação. O dispositivo de distribuição de
energia deve estar equipado com um dispositivo de proteção de sobrecorrente que possa
interromper as correntes de falha disponíveis a partir da fonte principal e que esteja
avaliado em mais de 120 A.
•
Conecte o conjunto de cabos de aterramento verde/amarelo a um terminal de
aterramento adequado. Não confie no rack ou chassi do gabinete para fornecer a
continuidade adequada de aterramento.
•
Certifique‑se sempre de que o equipamento esteja adequadamente aterrado e que siga
os procedimentos adequados de aterramento antes de iniciar qualquer procedimento de
instalação. O aterramento inadequado pode resultar em danos causados por descarga
eletrostática (ESD) aos componentes eletrônicos.
31
2
Conexão à rede
Saiba como conectar o McAfee Email Gateway à sua rede.
As interconexões e os cabos usados para conectar o servidor blade à rede dependem do modo de rede
selecionado. Para obter informações sobre modos de rede, consulte Considerações sobre modos de
rede.
Ao fazer atualização de uma versão anterior no hardware existente, consulte Configuração de
interconexões ao atualizar de uma versão anterior, para obter informações sobre as conexões de rede a
serem usadas.
No modo padrão, são necessárias as seguintes conexões entre seu servidor blade e seus switches de
rede:
•
Modo Ponte transparente — O servidor blade age como uma ponte entre dois segmentos da
rede. Conecte a Interconexão 1 (LAN1) a um segmento e a Interconexão 3 (LAN2) a outro usando
cabos conectados a uma das portas, de 21 a 24, em cada unidade de Interconexão. A conexão de
gerenciamento fora de banda pode ser feita e configurada com outra das portas LAN2.
•
Modo Roteador transparente — O servidor blade age como um roteador, unindo duas redes
separadas. Conecte a Interconexão 1 (LAN1) a uma rede e a Interconexão 3 (LAN2) a outra
usando cabos conectados a uma das portas, de 21 a 24, em cada unidade de Interconexão. A
conexão de gerenciamento fora de banda pode ser feita e configurada com outra das portas LAN2.
•
Modo Proxy explícito — Uma única conexão é necessária entre a Interconexão 3 (LAN2) e a
rede. (Nos sistemas atualizados que usam hardware mais antigo, a LAN2 é conectada usando‑se a
Interconexão 2.) A LAN1 pode ser usada para a conexão com a rede, mas o desempenho máximo é
obtido quando a LAN1 é usada para a rede de varredura dentro do servidor blade. (Essa restrição
não se aplica quando é usado o modo resiliente.)
Uso de conexões de LAN de cobre
Saiba como conectar o McAfee Email Gateway à sua rede usando conexões de cobre.
Usando as conexões de interconexão LAN1 e LAN2 e os cabos de rede fornecidos (ou cabos Ethernet
Cat 5e ou Cat 6 equivalentes), conecte o servidor blade à sua rede de acordo com o modo de rede
escolhido.
Use os cabos de LAN de cobre (fornecidos) para conectar os switches LAN1 e LAN2 do Email Gateway
à sua rede para que o appliance seja inserido no fluxo de dados.
O Email Gateway funciona como um roteador. Os segmentos da LAN conectados às duas interfaces de
rede devem portanto estar em sub‑redes IP diferentes. Eles devem substituir um roteador existente ou
uma nova sub‑rede deverá ser criada em um lado do appliance. Faça isso alterando o endereço IP ou a
máscara de rede usada pelos computadores daquele lado.
Use um cabo de LAN de cobre (fornecido) para conectar o switch LAN1 ou LAN2 à sua rede. O cabo é
um cabo direto (não cruzado) e conecta o appliance a um switch de rede RJ‑45 normal não cruzado.
A LAN1 pode ser usada para a conexão com a rede, mas o desempenho máximo é obtido quando a
LAN1 é usada para a rede de varredura dentro do servidor blade. (Essa restrição não se aplica quando
é usado o modo resiliente.)
32
2
Uso de conexões de LAN de fibra
Saiba como conectar o McAfee Email Gateway à sua rede usando conexões de fibra óptica.
Antes de fazer quaisquer conexões, você deve instalar os transceptores de fibra óptica SFP (Small
Form‑Factor Pluggable). Para isso, consulte: HP GbE2c Layer 2/3 Ethernet Blade Switch for c‑Class
BladeSystem.
Use somente os transceptores SFP de fibra óptica fornecidos pela HP ou pela McAfee. O uso de
transceptores SFP de outros fornecedores pode impedir o acesso ao servidor blade.
Usando as interconexões LAN1 e LAN2 e os cabos de fibra, conecte o servidor blade à sua rede de
acordo com o modo de rede escolhido.
Use os cabos de fibra para conectar as interconexões LAN1 e LAN2 à sua rede.
Use os cabos de fibra para conectar as interconexões LAN1 e LAN2 a sub‑redes IP diferentes.
Use um cabo de fibra para conectar as interconexões LAN2 do servidor blade à sua rede.
A LAN1 pode ser usada para a conexão com a rede, mas o desempenho máximo é obtido quando a
LAN1 é usada para a rede de varredura dentro do servidor blade. (Essa restrição não se aplica quando
é usado o modo resiliente.)
O software do McAfee Email Gateway deve ser instalado nos blades de gerenciamento e nos blades de
gerenciamento de failover.
Ordem de instalação dos blades de gerenciamento
Instale simultaneamente ambos os blades de gerenciamento.
Instale fisicamente os blades de gerenciamento e os blades de gerenciamento de failover nos slots 1 e
2 dentro do invólucro do servidor blade.
Usando as instruções fornecidas em Instalando o software nos blades de gerenciamento, conecte‑se a
ambos os blades de gerenciamento, e instale o software.
Configurar ambos os blades de gerenciamento ao mesmo tempo não só agiliza o processo, como
também impede que o segundo blade de gerenciamento seja atribuído a um endereço IP na rede de
varredura quando o primeiro blade de gerenciamento inicializar o seu servidor DHCP.
Instalando o software nos blades de gerenciamento
Instale o software no blade de gerenciamento e no blade de gerenciamento de failover.
Antes de iniciar
Verifique se há versões mais recentes do seu software disponíveis no site de downloads da
McAfee: http://www.mcafee.com/us/downloads/
Você precisará de um número de concessão válido.
33
2
Você pode instalar o software no servidor blade localmente ou remotamente, usando o recurso
integrado Lights‑Out. O recurso integrado Lights‑Out possui um recurso de mídia virtual que você pode
usar para montar uma unidade física de CD‑ROM remotamente, um arquivo de imagem iso ou uma
unidade USB que contém informações sobre a instalação.
Tarefa
1
Insira o blade de gerenciamento na posição 1 e o blade de gerenciamento de failover na posição 2
do invólucro do seu servidor blade.
2
Se conecte ao servidor blade:
•
Conectando o cabo fornecido, um monitor, teclado, e unidade USB de CD‑ROM ao próximo
conector do blade de gerenciamento ou do blade de gerenciamento de failover.
•
Para a instalação remota, acesse o módulo iLO (integrated Lights‑Out) usando o administrador
on‑board para estabelecer uma sessão KVM remota.
3
Inicialize o blade de gerenciamento ou blade de gerenciamento de failover a partir do CD de
instalação e recuperação. O software é instalado no blade selecionado.
4
Defina a configuração básica. Consulte Usando o console de configuração.
Sincronizando as alterações de configuração
Saiba como as alterações de configuração são sincronizadas entre os blades.
Todas as alterações feitas na configurações do blade de gerenciamento são sincronizadas
automaticamente com o blade de gerenciamento de failover e os blades de varredura de conteúdo.
No Dashboard, verifique o status dos blades de gerenciamento de failover e de gerenciamento para
certificar‑se de que a sincronização tenha ocorrido.
Instalando o software em um blade de varredura de conteúdo
Instale o software em um blade de varredura de conteúdo.
Tarefa
1
Na interface do usuário, selecione Dashboard. O Status do blade é mostrado na parte inferior da página.
2
Insira o blade de varredura de conteúdo no invólucro. O blade será exibido na página Status do blade
com um status de INSTALAR. O software é instalado automaticamente no blade de varredura de
conteúdo do blade de gerenciamento. Esse processo leva cerca de 10 minutos para ser concluído.
3
As informações são atualizadas automaticamente. Após alguns minutos, o status é alterado para
INICIALIZAÇÃO, em seguida, para SINCRONIZAÇÃO e, em seguida, para OK.
O novo blade de varredura de conteúdo agora está funcionando.
Saiba como usar o console de configuração para configurar o seu McAfee Email Gateway.
Você pode configurar o seu McAfee Email Gateway Blade Server pelo console de configuração ou pelo
assistente de instalação na interface do usuário.
A configuração se aplica apenas aos blades de gerenciamento e de gerenciamento de failover, não aos
blades de varredura.
34
2
O Console de configuração é iniciado automaticamente no final da sequência de inicialização após:
•
a inicialização de um McAfee Email Gateway não configurado
•
ou a redefinição de um McAfee Email Gateway aos padrões de fábrica.
Quando iniciado, o Console de configuração oferece opções para configurar o seu dispositivo no idioma de
preferência por meio do console do McAfee Email Gateway, ou fornece instruções para se conectar ao
Assistente de instalação na interface de usuário de outro computador na mesma sub‑rede classe C (/24).
Os dois métodos oferecem as mesmas opções para configurar o McAfee Email Gateway.
É possível configurar uma nova instalação de software do dispositivo por meio do Console de configuração.
Entretanto, para configurar o seu dispositivo usando um arquivo de configuração salvo anteriormente,
será necessário efetuar logon na interface de usuário do dispositivo e executar o assistente de
instalação (Sistema | Assistente de instalação).
Esta versão do software apresenta também a configuração automática usando DHCP para os seguintes
parâmetros:
•
Nome do host
•
Servidor DNS
•
Nome do domínio
•
Endereço IP dedicado
•
Gateway padrão
•
Servidor NTP
Informações adicionais sobre cada página do Console de configuração e do Assistente de instalação
encontram‑se disponíveis na tela.
Execução de uma Instalação personalizada
Use estas informações para compreender o propósito da Instalação personalizada.
Use a Instalação personalizada para ter maior controle sobre as opções que você pode selecionar, incluindo
o modo de operação do seu dispositivo. É possível optar por proteger o tráfego de e‑mail usando os
protocolos SMTP e POP3. Use essa opção de configuração se precisar configurar o IPv6 e fazer
quaisquer outras alterações na configuração padrão.
Para a Instalação personalizada, o assistente inclui estas páginas:
•
Configuração do e‑mail
•
DNS e roteamento
•
Configurações básicas
•
Configurações de hora
•
Configurações de rede
•
Senha
•
Gerenciamento do cluster
•
Resumo
Restauração de um arquivo
Use estas informações para compreender o propósito de restaurar a partir de um arquivo.
Ao configurar o seu dispositivo a partir do Assistente de instalação dentro da interface do usuário, o uso da
opção Restaurar de um arquivo permite importar as informações salvas anteriormente e aplicá‑las ao seu
dispositivo. Depois de importar essas informações, é possível fazer alterações antes de aplicar a
configuração.
A opção Restaurar de um arquivo não está disponível no Console de configuração. Para usar essa opção, você
deve efetuar login no McAfee Email Gateway e selecionar Restaurar de um arquivo no menu Sistema | Assistente
de instalação.
35
2
Depois de importar as informações de configuração, verá as opções da Instalação personalizada no Assistente
de instalação (consulte Execução de uma instalação personalizada.) Todas as opções importadas são
mostradas nas páginas do assistente, dando a você a oportunidade de fazer quaisquer correções antes
de aplicar a configuração.
Ao usar a opção Restaurar de um arquivo, o assistente incluirá estas páginas:
•
Importar configuração
•
Valores a serem restaurados
Depois que essas informações estiverem carregadas, você verá as páginas da Instalação personalizada,
para que possa fazer alterações adicionais antes de aplicar a nova configuração:
•
Configuração do e‑mail
•
DNS e roteamento
•
Configurações básicas
•
Configurações de hora
•
Configurações de rede
•
Senha
•
Gerenciamento do cluster
•
Resumo
Configuração somente de criptografia
Use estas informações para compreender o propósito das opções de Configuração somente de
criptografia.
Em organizações de pequeno a médio porte, em geral, basta usar o mesmo McAfee Email Gateway
para executar tarefas de varredura e criptografia de e‑mail.
No entanto, se você fizer parte de uma organização maior ou se trabalhar em um setor que exige que
todas as mensagens de e‑mail (ou uma alta porcentagem delas) sejam entregues de forma segura,
convém configurar um ou mais dos seus dispositivosMcAfee Email Gateway como servidores
autônomos somente de criptografia.
Nessa situação, as opções de Configuração somente de criptografia no Assistente de instalação apresentam as
configurações relevantes necessárias para o uso somente de criptografia.
36
3
Esta seção descreve a página Dashboard e como editar suas preferências.
Conteúdo
O Dashboard
Explorando o servidor blade
O Dashboard
O Dashboard fornece um resumo da atividade do dispositivo.
Dashboard
Use essa página para acessar a maioria das páginas que controlam o appliance.
No blade principal do servidor blade do McAfee Email Gateway Blade Server, use essa página também
para exibir um resumo de toda a atividade nos blades de varredura do servidor blade do McAfee Email
Gateway Blade Server.
37
3
O Dashboard
Benefícios do uso do Dashboard
O Dashboard fornece um ponto central para a exibição de resumos das atividades do appliance por meio
de uma série de portlets.
Figura 3-1 Portlets do Dashboard
Alguns portlets exibem gráficos que mostram a atividade do appliance nos seguintes períodos:
•
1 hora
•
2 semanas
•
1 dia (o padrão)
•
4 semanas
•
1 semana
No Dashboard, é possível fazer algumas alterações nas informações e nos gráficos exibidos:
•
Expandir e recolher os dados do portlet usando os botões
portlet.
•
Aprofundar até dados específicos usando os botões
•
Ver um indicador de status que mostra se o item requer atenção:
•
•
•
•
•
38
e
e
do canto superior direito do
.
Íntegro — os itens relatados estão funcionando normalmente
Requer atenção — um limite de aviso foi excedido
Requer atenção imediata — um limite crítico foi excedido
Desativado — um serviço não está ativado
Usar
e
para aplicar mais ou menos zoom em uma linha cronológica de informações. Há um
curto atraso enquanto a exibição é atualizada. Por padrão, o Dashboard mostra dados relativos ao dia
anterior.
3
O Dashboard
•
Mover um portlet para outro local do Dashboard.
•
Dar um clique duplo na barra superior de um portlet para expandi‑lo pela parte superior do
Dashboard.
•
Definir seus próprios limites de alerta e aviso para disparar eventos. Para fazer isso, destaque o
item e clique nele, edite os campos de limites de alerta e aviso e clique em Salvar. Quando o item
exceder o limite definido, um evento será disparado.
Dependendo do navegador usado para exibir a interface de usuário do McAfee Email Gateway, o
Dashboard "memoriza" o estado atual de cada portlet (se ele está expandido ou recolhido e se você se
aprofundou para exibir dados específicos) e tenta recriar essa exibição, se você navegar para outra
página de interface do usuário e retornar ao Dashboard dentro da mesma sessão de navegação.
Portlets do Dashboard
Compreender os portlets encontrados no dashboard da interface do usuário de seu McAfee Email
Gateway.
Opção
Definição
Resumo de e‑mails
recebidos
Para obter informações de entrega e status das mensagens enviadas para sua
organização, use o portlet Resumo de e‑mails recebidos.
Resumo de e‑mails
enviados
Para obter informações de entrega e status das mensagens enviadas por sua
organização, use o portlet Resumo de e‑mails enviados.
Detecções SMTP
Para descobrir o número total de mensagens que dispararam uma detecção com
base no remetente ou na conexão, no destinatário ou no conteúdo, e para exibir
dados específicos do tráfego SMTP de entrada ou de saída, use o portlet Detecções
SMTP
Detecções POP3
Para ver quantas mensagens dispararam uma detecção com base em ameaças
como vírus, compactadores ou imagens potencialmente inadequadas, use o portlet
Detecções POP3.
Resumo do sistema Para exibir informações sobre balanceamento de carga, espaço em disco usado para
cada partição, utilização total da CPU, memória usada e disponível e detalhes de
troca, use o portlet Resumo do sistema
Resumo do
hardware
Para usar indicadores de status que mostram o status das interfaces de rede, dos
servidores, do modo de ponte (se ativado) e do RAID, use o portlet Resumo de
hardware.
Resumo de rede
Para fornecer informações sobre o status das conexões, taxas de transferência e
contadores relativos ao Bloqueio do modo de kernel, use o portlet Resumo de rede
Serviços
Para exibir estatísticas de status de atualização e serviço com base em protocolo e
servidores externos usados pelo dispositivo, use o portlet Serviços.
Formação de
clusters
Ao configurar seu dispositivo como parte de um cluster ou quando estiver usando o
hardware do servidor blade, use o portlet Formação de clusters para fornecer
informações sobre todo o cluster.
Tarefas
Para se vincular diretamente às áreas de interface do usuário que pesquisam fila de
mensagens, exibem relatórios, gerenciam políticas, definem configurações de
protocolo de e‑mail, da rede e do sistema e acessam recursos de solução de
problemas, use o portlet Tarefas.
39
3
Tarefa — Desligar o aviso Comentários do McAfee Global Threat
Intelligence desativados
Essa tarefa fornece a você o procedimento de desligar o aviso que informa que os comentários do
Mcafee Global Threat Intelligence estão atualmente desativados em seu appliance.
Por padrão, o appliance exibe uma mensagem de aviso se você não tiver ativado os comentários do
McAfee Global Threat Intelligence (GTI), pois a McAfee considera essa forma de comunicação uma
prática recomendada.
Entretanto, se você estiver em um ambiente em que não pode ativar os comentários do McAfee Global
Threat Intelligence (GTI), use a tarefa a seguir para desligar a mensagem de aviso.
Tarefa
1
No Dashboard do appliance, selecione Editar na área Integridade do sistema.
2
Desmarque Mostrar um aviso se o comentário do McAfee GTI não estiver ativado.
3
Clique em OK.
O aviso Comentários do McAfee Global Threat Intelligence desativados está agora desmarcado.
Use as tarefas e os cenários que mostram os principais benefícios de usar um servidor blade na
proteção do seu tráfego de e‑mail.
Para concluir as tarefas e os cenários, você precisará de algumas informações que foram inseridas no
console de configuração e no assistente de instalação.
Demonstrando o gerenciamento de carga de trabalho e de
failover
Demonstrar o gerenciamento de carga de trabalho e o gerenciamento de redundância incorporado do
servidor blade.
O seu servidor blade vem com pelo menos um blade de varredura de conteúdo. É possível adicionar
outros, conforme necessário. Este teste presume que você possui dois blades de varredura de
conteúdo.
Para obter informações sobre como adicionar e remover blades do invólucro, consulte Instruções para a
rápida instalação do invólucro HP BladeSystem c3000 ou Instruções para a rápida instalação do
invólucro HP BladeSystem c7000.
Tarefa
1
40
No Dashboard | Página do blade, selecione a guia Status do blade para assegurar‑se de que o
servidor esteja funcionando corretamente.
•
O blade de gerenciamento possui o nome que você digitou usando o console de configuração. O
blade de gerenciamento de failover possui um status de REDE.
•
O blade de gerenciamento de failover possui o nome que você digitou usando o console de
configuração. O blade de gerenciamento de failover possui um status de REDUNDANTE.
•
Os blades de varredura de conteúdo são chamados de blade01, blade02, etc., e possuem o
status de OK.
2
3
3
Desligue e remova o blade de gerenciamento do invólucro e observe como o servidor blade
continua a funcionar usando o blade de gerenciamento de failover.
•
O estado do blade de gerenciamento de failover é alterado para Rede.
•
O blade de gerenciamento é alterado para um estado de Falha.
Em Sistema | Gerenciamento do cluster, selecione um blade de varredura de conteúdo e clique em Desativar
para colocar esse blade de varredura de conteúdo no modo off‑line. O servidor blade continua a
varrer o tráfego.
O design do servidor blade permite a remoção de um blade de varredura de conteúdo do invólucro
sem antes interromper o blade de varredura de conteúdo. No entanto, a McAfee não recomenda que
você faça isso, pois existe um pequeno risco de as informações contidas nas unidades de disco
serem corrompidas.
4
Veja a coluna Mensagens para observar o número de mensagens que são processadas por cada blade
de varredura de conteúdo.
5
Em Status do blade, selecione o blade de varredura de conteúdo que você desativou e clique em
Iniciar.
6
Veja novamente a coluna Mensagens. O servidor blade varre mais tráfego e equilibra
automaticamente a carga de varredura entre os dois blades.
7
Opcional: Adicione um terceiro blade de varredura de conteúdo ao invólucro e ative‑o.
8
Verifique novamente o Status do blade. O servidor blade varre até mesmo mais tráfego e equilibra
automaticamente a carga de varredura entre os três blades.
Testando os recursos de gerenciamento no servidor blade
Demonstre como os recursos do servidor blade reduzem a sobrecarga do gerenciamento de sistemas;
o sistema é gerenciado como um só sistema mesmo você possuindo vários ou apenas um blade de
varredura de conteúdo.
Você pode obter relatórios e informações sobre status para todos os blades usando as informações
sobre status e registros. Você pode usar o blade de gerenciamento para manter os arquivos DAT
atualizados em todos os blades de varredura de conteúdo e também para gerenciar o local de
quarentena.
Informações de status do servidor blade
Enquanto o tráfego passa pelo servidor blade, é possível olhar o Dashboard para obter informações
atualizadas sobre a taxa total de transferência do tráfego, detecções, e o desempenho de cada
protocolo.
O Dashboard inclui informações específicas do blade, tais como:
•
Status geral (blade de gerenciamento e blade de gerenciamento de failover)
•
Status do hardware (blade de gerenciamento)
•
Status do blade (todos os blades)
Esta tabela exibe as informações que você pode obter sobre todos os blades.
41
3
Velocímetro
A taxa média de transferência do servidor blade, com base nas medidas obtidas em
intervalos de alguns minutos.
Nome
Nome do blade:
• Blade de gerenciamento.
• Blade de gerenciamento de failover.
Estes nomes são especificados usando o console de configuração.
• Blade <número> — blades de varredura de conteúdo.
Estado
O estado atual de cada blade.
Carga
A carga geral do sistema de cada blade.
Ativo
O número de conexões atualmente ativas em cada blade. A linha do blade de
gerenciamento mostra o total de todos os blades de varredura de conteúdo.
Conexões
O número total de conexões desde que o contador foi zerado pela última vez. A linha
do blade de gerenciamento mostra o total de todos os blades de varredura de
conteúdo.
Outras
colunas
Informações sobre a versão do mecanismo antivírus, arquivos DAT do antivírus,
mecanismo antispam e das regras antispam. Os números de versão serão iguais se
os blades estiverem atualizados. Durante a atualização, os valores podem ser
diferentes.
Geração de relatórios
O McAfee Email Gateway Blade Server inclui diversos relatórios pré‑definidos que podem ser baixados
nos formatos de texto, PDF, ou HTML. Você pode definir a programação dos relatórios que estão sendo
gerados, e definir para quem os relatórios são enviados. Também é possível criar seus próprios
relatórios.
O registro do servidor blade exibe as informações de evento de acordo com o tipo de relatório ou
período que você selecionou. Os recursos de geração de relatórios do servidor blade podem gerar
relatórios, ou mostrar registros, estatísticas, contadores de desempenho e gráficos para um amplo
intervalo de dados sobre o servidor blade e suas atividades, tais como uso de memória e processador.
Por exemplo, após executar as etapas em Testando a detecção de vírus e o tráfego de e‑mails, clique
em Relatórios | Pesquisa de mensagens. O arquivo de teste EICAR que foi excluído é mostrado.
Informações adicionais sobre o relatório
Você pode:
•
Salvar o relatório nos Favoritos. Isso permite que você execute o mesmo relatório futuramente.
•
Sempre que necessário, alterne entre diferentes visualizações dos dados informados.
Use esta tarefa para atualizar os arquivos DAT do servidor blade e, em seguida, visualizar o relatório
atualizado.
Tarefa
42
1
Selecione Sistema | Gerenciamento de componentes | Status da atualização.
2
Em Atualizações e informações sobre a versão, clique em Atualizar agora para qualquer atualização de antivírus
ou antispam.
3
Selecione Relatórios | Relatórios de e‑mail | Seleção | Filtrar.
4
Clique em Aplicar.
3
Serão exibidas as informações sobre as atualizações instaladas em seu servidor blade.
Usar as políticas para gerenciar a varredura de mensagens
Demonstre os recursos do servidor blade em funcionamento. Elas fornecem instruções passo a passo
para criar e testar algumas amostras de políticas e indicam como gerar relatórios aplicáveis.
Uma política é um conjunto de configurações e regras que dizem ao servidor blade como combater
determinadas ameaças em sua rede. Ao criar políticas reais de varredura para a sua organização, é
importante que você gaste um tempo pesquisando e planejando os seus requisitos. Você pode
encontrar instruções para ajudá‑lo com o planejamento de políticas na ajuda on‑line.
Antes de criar políticas
Antes de criar políticas, configure o seu McAfee Email Gateway Blade Server para usar o McAfee
Quarantine Manager.
Todas as ações de quarentena vêm desativadas por padrão. Antes de ativá‑las, configure o servidor
blade para que use o McAfee Quarantine Manager para gerenciar o local de quarentena.
Tarefa
1
Na interface do usuário, selecione E‑mail | Configuração de quarentena.
2
Selecione Usar um serviço McAfee Quarantine Manager (MQM) remoto.
3
Insira os detalhes do seu McAfee Quarantine Manager.
Caso esteja substituindo um appliance existente da McAfee pelo seu McAfee Email Gateway Blade
Server, assegure‑se de usar o seu ID do appliance existente. Se você utilizar um ID do appliance diferente,
não será possível liberar nenhuma mensagem que foi colocada em quarentena pelo appliance
antigo.
4
Aplique as suas alterações.
Criar uma política de varredura antivírus
As políticas antivírus permitem que você ajuste a sua proteção contra vírus e malwares.
Crie uma política de varredura antivírus para:
•
Detectar vírus nas mensagens de entrada.
•
Colocar o e‑mail original em quarentena.
•
Notificar o destinatário.
•
Alertar o remetente.
Use esta função para demonstrar o que acontece quando a regra de vírus de e‑mails em massa é
acionada pelo arquivo de teste EICAR, e as ações que podem ser tomadas.
Tarefa
1
No servidor blade, certifique‑se de estar usando McAfee Quarantine Manager (E‑mail | Configuração de
quarentena | Opções de quarentena).
2
No dispositivo, selecione Email | Email Policies | Anti‑Virus.
A política padrão é definida para Limpar ou substituir por um alerta, se a limpeza falhar.
3
Clique em Vírus: Limpar ou substituir por um alerta para exibir as Configurações antivírus padrão (SMTP).
43
3
4
Na guia Ações, em Se um vírus for detectado certifique‑se de que a opção Tentar limpar esteja selecionada.
5
Na seção E também abaixo da ação, selecione Enviar um e‑mail de notificação ao remetente e Colocar o e‑mail
original em quarentena.
6
Em Se a limpeza falhar, selecione Substituir o item detectado por um alerta.
7
Na seção E também abaixo de Se a limpeza falhar, selecione Enviar um e‑mail de notificação ao remetente e Colocar o
e‑mail original em quarentena como ações secundárias.
8
Clique em OK.
9
Selecione E‑mail | Políticas de e‑mail | Políticas de varredura [opções do mecanismo de varredura] ‑‑ Configuração do
endereço de e‑mail.
10 Em E‑mails devolvidos, atribua o endereço de e‑mail como um endereço de e‑mail do administrador.
Sem esta configuração, o dispositivo não incluíra um endereço de remetente na notificação de
e‑mail. A maioria dos servidores de e‑mail não entrega e‑mails sem um endereço de remetente.
11 Clique em OK, em seguida, clique na marca de seleção verde.
12 Selecione E‑mail | Políticas de e‑mail | Políticas de varredura [antivírus] | Opções personalizadas de malware.
13 Selecione Remetentes de e‑mail em massa e, em seguida, defina Se detectado para Recusar conexão (bloquear).
O servidor de envio de e‑mails recebe uma mensagem de erro Código 550: negado pela política. O
dispositivo mantém uma lista das conexões que não estão autorizadas a enviar e‑mails sob
quaisquer circunstâncias. A lista pode ser visualizada em E‑mail | Configuração do e‑mail | Recebimento de
e‑mail | Permitir e recusar [+] Conexões permitidas e bloqueadas. A opção Conexões recusadas está descrita na ajuda
on‑line.
14 Teste a configuração:
a
Envie um e‑mail de <endereço de e‑mail do cliente> para <endereço de e‑mail do servidor>.
b
Crie um arquivo de texto que inclua a sequência a seguir:
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR‑STANDARD‑ANTIVIRUS‑TEST‑FILE!$H+H*
c
Salve o arquivo como eicar.txt.
d
Anexe o arquivo ao e‑mail.
O Email Gateway substitui o arquivo por um alerta e o remetente recebe um alerta de notificação.
15 Retorne às Opções personalizadas de malware e clique em Nome específico da detecção:.
16 Digite EICAR.
17 Certifique‑se de que a ação principal seja Recusar os dados originais e retornar um código de erro (bloquear) e,
em seguida, clique em OK.
18 A partir de uma conta de e‑mail externa, crie uma mensagem e anexe o arquivo de teste EICAR.
O cliente de e‑mail retornar a mensagem de erro 550: negado pela política. E‑mail | Configuração do e‑mail |
Recebimento de e‑mail | Listas de permissão e negação [+] Conexões bloqueadas está vazio.
19 Em Opções personalizadas de malware, altere a ação principal para Recusar conexão e, em seguida, clique em
OK.
44
3
20 Envie o mesmo e‑mail e verifique a conexão recusada. Ela possui o endereço IP da sua máquina
cliente (endereço IP de exemplo).
21 Tente enviar um e‑mail benigno. Isso também é negado por causa das listas de conexões
recusadas. É informado ao servidor de envio que o servidor não está on‑line.
O dispositivo verifica a mensagem assim que ela entra em seu gateway de e‑mail e identifica se a
mesma contém um vírus. Ele coloca a mensagem em quarentena e notifica o remetente e o
destinatário que a mensagem estava infectada.
Criar uma política de varredura antispam
Configure uma política para proteger sua organização contra o recebimento de mensagens não
solicitadas.
Antes de iniciar
Uma política como esta protege os usuários de receber mensagens de e‑mail não solicitadas que
reduzem a produtividade e aumentam o tráfego de mensagens em seus servidores.
Tarefa
1
No servidor blade, certifique‑se de estar usando McAfee Quarantine Manager (E‑mail | Configuração de
quarentena | Opções de quarentena).
2
Selecione Email | Email Policies.
É necessário definir uma política antispam separada para os protocolos SMTP e POP3.
3
Configure a ação principal para Aceitar e descartar os dados.
4
Configure a ação secundária para Colocar o e‑mail original em quarentena. Altere a pontuação de spam para
5.
Se você ativar a detecção antispam, a McAfee recomenda que você também ative a detecção
antiphishing. O desempenho de varredura não é afetado pela realização de verificações antispam e
antiphishing.
Criar uma política de conformidade
Configure uma política para colocar em quarentena todas as mensagens que contêm conteúdo
indesejado.
Agora isso pode ser feito usando um assistente para guiá‑lo.
Use as etapas a seguir para configurar um exemplo de conformidade:
Tarefa
1
No dispositivo, selecione E‑mail | DLP e conformidade | Dicionários de conformidade.
2
Selecione a Lista de dicionários de e‑mail.
3
Visualize a área Detalhes do dicionário de ....
4
Selecione Email | Email Policies | Compliance.
5
Selecione Conformidade.
6
Selecione Ativar conformidade | Sim.
7
Clique em OK.
8
Em Regras, clique em Criar uma nova regra.
45
3
9
Digite um nome para a regra.
10 Clique em Avançar.
11 Selecione os Dicionários a serem incluídos. Para este teste, selecione os dicionários baseados em
finanças.
12 Clique em Avançar.
13 Selecione os Dicionários a serem excluídos.
14 Selecione as ações a serem executadas.
15 Crie um e‑mail no servidor, de <exemplo de endereço de e‑mail do servidor> para <exemplo de
endereço de e‑mail do cliente>. Inclua a linha: Olá, precisamos avaliar o acúmulo acreditado em
sua anuidade. Considere a arbitragem se os seus ativos tiverem menos capital do que o esperado.
16 Envie a mensagem.
17 Use Relatórios | Pesquisa de mensagens para ver os resultados.
O agente de e‑mail do cliente não recebe o e‑mail. A conta de e‑mail do servidor deve receber duas
mensagens de e‑mail: um e‑mail de notificação dizendo que a mensagem falhou no teste de
conformidade e uma cópia do e‑mail original.
Informações sobre o gerenciamento de hosts virtuais
Ao utilizar hosts virtuais, um único dispositivo pode parecer se comportar como diversos dispositivos.
Cada dispositivo virtual pode gerenciar o tráfego em determinados pools de endereços IP, permitindo
que o dispositivo forneça serviços de varredura do tráfego de muitas origens ou clientes.
Benefícios
•
Separa o tráfego de cada cliente.
•
É possível criar políticas para cada cliente ou host, o que simplifica a configuração e evita os
conflitos que podem ocorrer em políticas complexas.
•
Os relatórios são disponibilizados separadamente para cada cliente ou host, eliminando assim a
necessidade de filtragem complexa.
•
Se algum comportamento colocar o dispositivo em uma lista negra de reputação, apenas um host
virtual será afetado, e não o dispositivo inteiro.
Configuração de hosts virtuais
O recurso está disponível apenas para a varredura de SMTP. Para especificar o pool de endereços IP de
entrada e o pool opcional de endereços de saída, consulte as páginas Sistema | Hospedagem virtual | Hosts
virtuais e Sistema | Hospedagem virtual | Redes virtuais.
Gerenciamento de hosts virtuais
Recurso
Comportamento
Política de e‑mail
Cada host virtual possui sua própria guia, onde é possível criar suas políticas
de varredura.
Configuração do e‑mail Cada host virtual possui sua própria guia, onde é possível configurar os
recursos MTA específicos do host.
E‑mails em fila
46
É possível visualizar todos os e‑mails em fila, ou apenas os e‑mails em fila de
cada host.
Recurso
3
Comportamento
E‑mails em quarentena É possível visualizar todos os e‑mails em quarentena, ou apenas os e‑mails
em quarentena de cada host.
Geração de relatórios
É possível visualizar todos os relatórios, ou apenas os relatórios de cada
host.
Comportamento entre o dispositivo e os MTAs
Quando o dispositivo recebe o e‑mail que foi enviado ao intervalo de endereços IP do host virtual, o
host virtual:
•
Responde à conversa SMTP com seu próprio banner de boas‑vindas de SMTP.
•
Adiciona, opcionalmente, suas próprias informações de endereço ao cabeçalho Recebido.
•
Realiza uma varredura no e‑mail de acordo com sua própria política.
Quando o dispositivo entrega o e‑mail:
•
O endereço IP é obtido a partir de um pool de endereços de saída, ou de um endereço IP físico (se
este não estiver configurado).
•
O agente de transferência de mensagens de recebimento (MTA) visualiza o endereço IP do host
virtual.
•
Se houver um pool de endereços, o endereço IP será selecionado em "modo de rodízio".
•
A resposta EHLO será destinada ao host virtual.
Teste da configuração
Saiba como testar se o McAfee Email Gateway Blade Server está funcionando corretamente após a
instalação.
A McAfee recomenda que você verifique as áreas de resumo de hardware, rede e de sistema do
Dashboard ao efetuar login pela primeira vez no servidor blade, para verificar se há alterações na
configuração recomendada.
Teste de conectividade
Confirme a conectividade com o servidor blade.
O servidor blade verifica se consegue se comunicar com o gateway, os servidores de atualização e os
servidores DNS. Ele também confirma se o nome e o nome de domínio são válidos.
Tarefa
1
Abra a página Testes de sistema usando um dos métodos a seguir:
•
Na seção Tarefas do Dashboard, selecione Executar testes de sistema.
•
Na barra de navegação, selecione Solução de problemas.
2
Clique na guia Testes.
3
Clique em Iniciar testes. Verifique se todos os testes são concluídos com êxito.
Atualizar os arquivos DAT
Assim que você concluir o console de configuração, o McAfee Email Gateway Blade Server tentará
atualizar todos os mecanismos de varredura disponíveis.
Use essa tarefa para garantir que o servidor blade tenha os arquivos de definição de detecção (DAT)
mais atualizados.
47
3
À medida que usar o McAfee Email Gateway Blade Server, você poderá optar por atualizar tipos
individuais de arquivos de definição e por alterar as atualizações programadas padrão de acordo com
os seus requisitos.
Você pode verificar o status da atualização do seu McAfee Email Gateway Blade Server visualizando o
portlet Serviços no Dashboard.
Tarefa
1
Para abrir a página Atualizações, selecione Sistema | Gerenciamento de componentes | Status da atualização.
2
Para atualizar todos os arquivos DAT, clique em Atualizar agora próximo ao componente do mecanismo
antivírus.
Testar o tráfego de e-mail e a detecção de vírus
Teste se o tráfego de e‑mail está passando corretamente através do servidor blade e se as ameaças
estão sendo corretamente identificadas.
A McAfee utiliza o arquivo de teste EICAR (European Expert Group for IT‑Security), um arquivo
inofensivo que desencadeia uma detecção de vírus.
Tarefa
1
Envie uma mensagem de e‑mail de uma conta de e‑mail externa (como o Hotmail) para uma caixa
de correio interna e confirme se ela chegou.
2
Verifique em Relatórios | Pesquisa de mensagens. A listagem do protocolo usado para enviar a mensagem
deve agora mostrar que uma mensagem foi recebida.
3
Copie a linha a seguir para um arquivo, certificando‑se de não incluir nenhum espaço ou quebra de
linha: X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR‑STANDARDANTIVIRUS‑TEST‑FILE!$H+H*
4
Salve o arquivo com o nome EICAR.COM.
5
A partir de uma conta de e‑mail externa (cliente SMTP), crie uma mensagem que contenha o
arquivo EICAR.COM como um anexo e envie a mensagem para uma caixa de correio interna.
6
Selecione Relatórios | Pesquisa de mensagens. Você deverá ver que um vírus foi detectado.
7
Exclua a mensagem ao terminar de testar a instalação, a fim de evitar que os usuários fiquem
alarmados.
Teste da detecção de spam
Execute um Teste geral de e‑mail para e‑mails em massa não solicitados (GTUBE) para verificar se as
mensagens de e‑mail de spam recebidas são detectadas.
Tarefa
1
A partir de uma conta de e‑mail externa (cliente SMTP), crie uma nova mensagem de e‑mail.
2
No corpo da mensagem, copie o texto a seguir:
XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE‑STANDARDANTI‑UBE‑TEST‑EMAIL*C.34X
Certifique‑se de não incluir nenhum espaço ou quebra de linha.
3
48
Envie a nova mensagem de e‑mail para um endereço de caixa de correio interna. O software
varrerá a mensagem, a reconhecerá como uma mensagem de lixo eletrônico e lidará com ela de
forma apropriada. O GTUBE substitui as listas negras e brancas.
3
Explore os recursos do McAfee Email Gateway Blade Server
Demonstre os recursos de varredura do McAfee Email Gateway Blade Server em ação.
Use as seguintes tarefas para fornecer instruções passo a passo para criar e testar alguns exemplos
de políticas e gerar relatórios aplicáveis.
Políticas de varredura e a forma como elas afetam a rede
Uma política é um conjunto de configurações e regras que dizem ao McAfee Email Gateway Blade
Server como combater determinadas ameaças em sua rede.
Ao criar políticas reais de varredura para a sua organização, é importante que você gaste um tempo
pesquisando e planejando os seus requisitos.
Você pode encontrar instruções para ajudá‑lo com o planejamento de políticas na ajuda on‑line,
disponível na interface do produto.
Varrendo o conteúdo usando as regras de conformidade de e-mail
Use a varredura de conformidade para auxílio com a conformidade regulatória e a conformidade
operacional corporativa.
Você pode escolher uma opção em uma biblioteca de regras de conformidade predefinidas ou pode
criar regras e dicionários específicos da sua organização.
As regras de conformidade podem variar em complexidade, desde um gatilho simples, quando um
termo específico de um dicionário é detectado, até a criação e a combinação de dicionários baseados
em pontuação que só serão disparados quando um certo limite for atingido. Usando os recursos
avançados das regras de conformidade, é possível combinar dicionários com operações lógicas de "any
of", "all of" ou "except".
Tarefa
1
2
Siga estas etapas para bloquear mensagens de e‑mail que violam a política de "linguagem
ameaçadora":
a
Vá para Email | Email Policies e selecione Conformidade.
b
Na caixa de diálogo Configurações de conformidade padrão, clique em Sim para ativar a política.
c
Clique em Criar nova regra com base em modelo para abrir o Assistente de criação de regras.
d
Selecione a política Uso aceitável ‑ Linguagem ameaçadora e clique em Próximo.
e
Opcionalmente, altere o nome da regra e clique em Próximo.
f
Altere a ação principal para Aceitar e descartar os dados (bloquear), e clique em Finalizar.
g
Clique em OK e aplique as alterações.
Siga estas etapas para criar uma regra personalizada simples para bloquear mensagens de e‑mail
que contenham números de seguridade social:
a
b
c
Clique em Criar nova regra para abrir o Assistente de criação de regras.
d
Digite um nome para a regra e clique em Próximo.
e
No campo Pesquisar, digite social.
49
3
3
4
5
50
f
Selecione o dicionário Número do CPF e clique em Próximo duas vezes.
g
Selecione a ação Aceitar e descartar os dados (bloquear), e clique em Finalizar.
Siga estas etapas para criar uma regra complexa que é disparada quando os dicionários A e B são
detectados, exceto quando o dicionário C também é detectado:
a
b
c
Clique em Criar nova regra para abrir o Assistente de criação de regras.
d
Digite um nome para a regra e clique em Próximo.
e
Selecione dois dicionários a serem incluídos na regra e clique em Próximo.
f
Selecione um dicionário que deseja excluir da regra na lista de exclusões.
g
Selecione a ação que deseja executar se a regra for disparada.
h
Na caixa suspensa E condicionalmente, selecione Tudo e clique em Concluir.
Siga estas etapas para adicionar um novo dicionário a uma regra existente:
a
b
Expanda a regra que deseja editar.
c
Selecione Adicionar dicionários.
d
Selecione o novo dicionário que deseja incluir e clique em OK.
Siga estas etapas para configurar uma regra de "descontentamento" para ser monitorada em um
limite baixo e bloqueada em um limite alto:
a
b
Clique em Criar nova regra, digite um nome para ela, como Descontente ‑ Baixo e clique em Próximo.
c
Selecione o dicionário Descontente e, em Limite, digite 20.
d
Clique em Próximo e em Próximo novamente.
e
Em Se a regra de conformidade for disparada, aceite a ação padrão.
f
Clique em Concluir.
g
Repita as etapas de 2 a 4 para criar outra nova regra, mas atribua a ela o nome Descontente ‑
Alto e um limite de 40.
h
Em Se a regra de conformidade for disparada, selecione Aceitar e descartar os dados (bloquear).
i
Clique em Concluir.
j
Clique em OK e aplique as alterações.
3
Evitar a perda de dados confidenciais
Saiba como bloquear um documento financeiro confidencial de ser enviado para fora de sua
organização.
Tarefa
1
Vá para E‑mail | DLP e conformidade | Documentos registrados, e crie uma categoria chamada Finanças.
2
Vá para Email | Email Policies, e selecione a política Data Loss Prevention.
3
Na caixa de diálogo Configurações padrão da Data Loss Prevention, clique em Sim para ativar a política.
4
Clique em Criar nova regra, selecione a categoria Finanças e clique em OK para que a categoria apareça
na lista de regras.
5
Selecione a ação associada à categoria, altere a ação principal para Aceitar e descartar os dados (bloquear),
e clique em OK.
6
Clique em OK novamente e aplique as alterações.
Informações sobre as mensagens em quarentena
O McAfee Email Gateway Blade Server utiliza o software do McAfee Quarantine Manager para fornecer
uma solução "remota" de quarentena para as suas mensagens de e‑mail.
Para localizar qualquer mensagem que foi colocada em quarentena, consulte a documentação do
McAfee Quarantine Manager.
Monitorar a detecção de spam
Monitore a taxa de detecção de spam usando a política original de detecção de spam SMTP.
Assim que você concluir o console de configuração, essas configurações estarão trabalhando para
proteger sua rede e seus usuários contra mensagens de spam indesejadas. As configurações estão
descritas com mais detalhes na ajuda on‑line disponível na interface do usuário.
Por padrão, o McAfee Email Gateway Blade Server:
•
Bloqueia as mensagens de phishing.
•
Marca as mensagens que uma pontuação maior ou igual a cinco como spam.
•
Marca as mensagens que uma pontuação maior ou igual a dez.
•
Tem a autenticação do remetente ativada. Usando essas configurações padrão, o seu McAfee Email
Gateway Blade Server detecta mais de 98% de todas as mensagens de spam.
A autenticação do remetente incorpora a reputação de mensagens do McAfee Global Threat Intelligence.
Se um remetente falhar na verificação de reputação de mensagens do McAfee Global Threat
Intelligence, o servidor blade rejeita o e‑mail, fecha a conexão e nega o endereço IP de envio. O
endereço IP do remetente será adicionado a uma lista de conexões bloqueadas e será bloqueado
automaticamente por dez minutos a nível de kernel (é possível alterar a duração padrão do bloqueio).
As áreas Detecções do SMTP e Detecções do POP3 do Dashboard exibem o número de conexões bloqueadas.
Tarefa
1
Em Email | Email Policies | Spam, visualize as configurações de detecção antispam padrão.
2
Verifique se as mensagens de spam estão corretamente identificadas enviando uma mensagem
através do McAfee Email Gateway Blade Server que acionará as configurações de detecção de
spam.
51
3
3
Para monitorar a taxa de detecção, retorne ao Dashboard e verifique as áreas Detecções do SMTP e
Detecções do POP3.
O número de Spam e phishing e o incremento no número da Autenticação do remetente. O número de
detecções em autenticações do remetente inclui o número de remetentes que falharam na
verificação de reputação de mensagens do McAfee Global Threat Intelligence. Os gráficos dos
e‑mails fornecem uma representação gráfica dos dados.
52
4
Para obter um relatório sobre a atividade de e‑mail, vá para Relatórios | Relatórios de e‑mail | Seleção |
Favoritos e selecione Visualizar os relatórios de e‑mail favoritos.
5
Veja os relatórios Bloqueados (últimas 24h) e Principais remetentes de spam (últimas 24h).
4
O McAfee Email Gateway Blade Server inclui a operação no modo resiliente para o servidor blade.
Neste modo, todas as conexões entre sua rede, servidor blade, e também as conexões dentro do
invólucro do servidor blade são feitas de tal maneira que diversos caminhos são utilizados.
Esses vários caminhos fornecem maior resiliência à falha de qualquer componente, seja dentro do
servidor blade, nos dispositivos ou no cabeamento da rede necessários para rotear o tráfego entre a
sua rede e o servidor blade.
Conteúdo
Como o modo resiliente utiliza o hardware
Decisão pelo uso do modo resiliente
Antes de iniciar a reconfiguração para o modo resiliente
Configuração de interconexões
Modificar a configuração do invólucro
Aplicar a configuração do modo resiliente a todas as interconexões
Configuração do blade de gerenciamento para uso do modo resiliente
Conexões no modo resiliente para a rede externa
Ligue os blades.
53
4
O modo resiliente usa o hardware do servidor blade de forma diferente do modo padrão (não
resiliente).
No modo resiliente, as conexões de rede são divididas nos seguintes segmentos dentro e através do
invólucro do servidor blade:
•
A LAN1 e a LAN2 são usadas na conexão com redes externas, para transportar o tráfego varrido.
Estas são usadas como duas redes distintas (para o modo Proxy explícito ou modo Roteador
transparente) ou como dois links de uma distribuição do modo de ponte transparente.
O tráfego varrido é sempre transportado através de todas as interconexões ativas para fornecer o
máximo em taxa de transferência e resiliência.
•
A rede OOB (out‑of‑band) fornece um meio de segregar o tráfego gerenciado do tráfego varrido.
Quando usado, o sistema pode ser configurado para impedir o gerenciamento de sistemas a partir
das redes LAN1 e LAN2.
A rede OOB é transportada através das interconexões da LAN2 em uma VLAN segregada usando
links de switch externos separados.
A rede OOB pode, de forma alternativa, ser colocada em uma rede VLAN transportada nas mesmas
portas de interconexão externas como a LAN1 e a LAN2.
•
O tráfego entre os blades de gerenciamento e os blades de varredura é tratado em uma VLAN
separada dentro do invólucro do servidor blade. Esta é uma VLAN privada dentro do invólucro, e
normalmente não está disponível na parte externa do invólucro.
A VLAN de varredura é marcada nos blades de gerenciamento, mas é desmarcada nos blades de
varredura. Isso permite que a instalação do ambiente de execução de pré‑inicialização (PXE) dos
blades de varredura funciona conforme esperado.
A configuração da interconexão é diferente para os blades de gerenciamento e os blades de
varredura. A McAfee recomenda que você use somente os slots de blade recomendados neste
documento para os blades de varredura e gerenciamento a fim evitar problemas de configuração.
Quatro interconexões são usadas dentro do invólucro para fornecer resiliência contra uma falha única
dentro de qualquer rede única descrita acima. A resiliência é fornecida contra as seguintes falhas:
•
Falha no link externo
A resiliência externa ao invólucro é fornecida através do suporte a links agregados (também
conhecido como ligação, truncagem, canal de porta ou etherchannel). Até cinco links podem ser
ligados em conjunto para fornecer o máximo em resiliência. A falha de qualquer link determinado
afetará somente os pacotes que estavam sendo transferidos no link que falhou naquele momento.
A interconexão e a infraestrutura adjacente param automaticamente de usar o link com falha.
•
Falha no link interno.
Os pares de links de conexão cruzada internos são usados para fornecer conectividade redundante
entre as interconexões adjacentes. Isso significa que se todos os links dentro do invólucro do blade
que forem externos
à interconexão falharem, o tráfego ainda pode fluir através da interconexão adjacente, através da
conexão cruzada, e no blade original. A falha de um link afetará somente os pacotes que estavam
sendo transferidos no link que falhou naquele momento. O STP é usado para evitar loops de rede.
54
4
•
Falha na placa de rede do blade.
Todos os blades possuem dois caminhos para cada rede. Se uma placa de rede (ou sua conexão
com a interconexão) falhar, haverá sempre um caminho redundante até o switch de rede. A falha
de uma placa de rede afetará somente os pacotes que estão sendo transferidos no momento em
que o link falhou.
•
Falha no blade de varredura.
Se um blade de varredura falhar, o blade de gerenciamento direcione automaticamente o tráfego
de varredura aos blades de varredura restantes. As conexões ativas serão interrompidas no
momento da falha.
•
Falha no blade de gerenciamento.
Se o blade de gerenciamento falhar, o blade de gerenciamento de failover toma o controle como
principal e inicia a distribuição do tráfego aos blades de varredura. As conexões ativas serão
interrompidas no momento da falha.
•
Falha total na interconexão.
Isso é tratado de forma semelhante à falha dos links internos e externos. Todo o tráfego fluirá
diretamente para a interconexão restante e através dela.
Considerações sobre o modo de implantação de sua escolha.
No modo padrão (não resiliente), o McAfee Email Gateway Blade Server usa um módulo de
interconexão único para a rede local (LAN1 e LAN2) exigido pelo seu servidor blade.
No modo resiliente, dois módulos de interconexão são usados para cada rede local, permitindo que
diversos caminhos de rede sejam criados para a LAN1 e LAN2.
Configurar o servidor blade no modo resiliente é muito mais complexo do que usar o modo não
resiliente padrão. No entanto, a McAfee recomenda usar somente o modo resiliente se você for capaz
de fazer a rede em questão e outras alterações necessárias.
Se pretende configurar o seu McAfee Email Gateway Blade Server para usar o modo resiliente, a
McAfee recomenda instalar o seu servidor blade primeiro no modo padrão (não resiliente), e
certificar‑se de que o servidor blade esteja funcionando conforme esperado.
Uma vez que você estiver satisfeito com tudo funcionando corretamente, reconfigure o seu servidor
blade para a operação no modo resiliente. As seções a seguir detalham as etapas para configurar o
seu servidor blade no modo padrão (não resiliente) e, em seguida, como prosseguir para fazer as
alterações necessárias a fim de utilizar o modo resiliente, se necessário.
Entenda o impacto que a reconfiguração do seu servidor blade para o modo resiliente poderá causar.
Antes de iniciar a reconfiguração do McAfee Email Gateway Blade Server para operar no modo
resiliente, a McAfee recomenda que você leia e entenda as informações mostradas em Planejando sua
instalação.
55
4
Informações sobre o hardware
Entenda os requisitos de hardware necessários para o modo resiliente.
Para que seu hardware funcione no modo resiliente, os itens a seguir devem estar disponíveis:
•
Número mínimo de blades.
Uma configuração do modo resiliente deve fornecer pelo menos:
•
•
um blade de gerenciamento
•
um blade de gerenciamento de failover
•
pelo menos dois blades de varredura
NICs suficientes em todos os blades.
Ao instalar um novo McAfee Email Gateway Blade Server, o hardware que você recebe é adequado
para o uso no modo resiliente.
No entanto, se você estiver reconfigurando um McAfee Email Gateway Blade Server instalado
anteriormente para trabalhar no modo resiliente, pode ser necessário atualizar os blades
individuais adicionando cartões mezaninos aos blades. Os blades de gerenciamento e de
gerenciamento de failover devem ser instalados com os cartões mezaninos específicos da McAfee
em ambos os slots disponíveis.
Você pode verificar a presença destes cartões na interface de usuário do Onboard Administrator (ou
de outro modo). Procure pelos cartões mezaninos na guia de informações da exibição da Device
Bay.
Os cartões mezaninos devem ser do tipo correto e estar localizados nos slots corretos. Os cartões
mezaninos de duas portas devem estar na baia mezanina 1, e os cartões de quatro portas na baia
mezanina 2.
•
O blade de gerenciamento está localizado na baia de blades 1 do invólucro.
•
O blade de gerenciamento de failover está localizado na baia de blades 2 do invólucro.
•
O software do McAfee Email Gateway está disponível para instalação em um CD‑ROM, ou uma
unidade flash USB, ou através do Onboard Administrator.
•
Interconexões.
•
As interconexões HP GBe2c devem ser instaladas nas baias de interconexão de 1 a 4.
Os módulos de passagem também devem ser instalados nas baias de interconexão 5 e 6 para
fornecer conectividade OOB.
•
Módulos do Onboard Administrator.
Os módulos OA redundantes devem ser instalados e configurados de acordo com as instruções da
HP.
•
Energia.
O invólucro deve ser instalado com fontes de energia o suficiente a fim de fornecer funcionamento
redundante para o número planejado de blades, conforme recomendado na documentação da HP.
56
4
Endereços IP necessários para o modo resiliente
A configuração do seu servidor blade para o uso do modo resiliente requer a criação de diversos
endereços IP.
Cada invólucro exigirá uma quantia mínima de endereços IP para os seguintes itens:
Tabela 4-1 Modo resiliente ‑ Endereços IP
Componente
Invólucro
Blade de
gerenciamento
Blade de
gerenciamento de
failover
1 ou mais
1 ou mais
Blades de
varredura
Endereços IP do invólucro
Módulos do Onboard
Administrator
2
Módulos iLO (Integrated
Lights‑Out)
16
(1 por blade)
Módulos de interconexão 4
(switches)
Interface 1 do IP físico
Interface 1 do IP virtual
(compartilhado)
Interface 2 (opcional) do
IP físico
1 ou mais
1 ou mais
Interface 2 (opcional) do
IP virtual
(compartilhado)
1 ou mais
1 ou mais
1 ou mais
(compartilhado)
1 ou mais
1 ou mais
1 ou mais
(compartilhado)
1 ou mais
1 ou mais
Interface do IP da ponte
1 ou mais
Interface (opcional, ao
configurar um proxy
usando este IP virtual)
do IP virtual
(compartilhado)
1 ou mais
1 ou mais
Rede de varredura privada
IP de balanceamento de
carga
(Privado do invólucro,
não roteável, controlado
pelos blades de
gerenciamento/
gerenciamento de
failover, o padrão é
169.254.1.0/24)
1
1
1 por blade de
varredura
(atribuído pelo
blade de
gerenciamento)
57
4
Nomes de usuário e senhas
Saiba mais sobre os nomes de usuário e senhas necessários para configurar o modo resiliente.
Use esta página para obter os nomes de usuário e senhas padrão usados por diversos componentes
do servidor blade.
Se você alterou os valores padrão algum nome de usuário ou senha, use estes no lugar das informações
padrão mostradas abaixo.
Tabela 4-2 Nomes de usuário e senhas por componente
Componente
Nome de usuário padrão Senha padrão (ou local da
senha)
Onboard Administrator da HP
Administrador
Veja o adesivo do invólucro
Interconexões da HP
admin
admin
iLO da HP
(Administrador através do Onboard Administrator da HP)
Interface de usuário do software do
McAfee Email Gateway
admin
senha
Console do software do McAfee Email
Gateway
suporte
senha
Veja uma visão geral das etapas necessárias para migrar o seu servidor blade para o modo resiliente.
Após ter instalado e configurado o seu McAfee Email Gateway Blade Server no modo padrão (não
resiliente), a tabela a seguir fornecerá uma visão geral do processo de reconfiguração do servidor
blade no modo resiliente.
Antes de começar a configuração do servidor blade no modo resiliente, a McAfee recomenda que você
já tenha configurado e colocado o seu servidor blade para funcionar no modo padrão (não resiliente).
Tabela 4-3 Visão geral das etapas de instalação do modo resiliente
Esta etapa...
está descrita aqui...
1. Instale, configure e verifique se o seu servidor
blade está funcionando corretamente no modo
padrão (não resiliente).
Instalação padrão na página 27
2. Colete as informações necessárias sobre a
rede.
Antes de iniciar a reconfiguração para o modo
resiliente na página 55
Informações sobre o hardware na página 56
Nomes de usuário e senhas na página 58
58
3. Faça backup da configuração existente.
4. Crie a configuração de base para as
interconexões.
Configurando as interconexões
5. Faça upload dos arquivos de configuração
editados.
Aplicar a configuração do modo resiliente a todas
as interconexões
6. Faça download e revise os arquivos de
configuração de interconexão que foram
gerados.
Faça download e revise a configuração gerada
4
Tabela 4-3 Visão geral das etapas de instalação do modo resiliente (continuação)
Esta etapa...
está descrita aqui...
7. Configuração do blade de gerenciamento para
usar o modo resiliente.
Configurando o blade de gerenciamento para
usar o modo resiliente
8. Faça as alterações necessárias no cabeamento
do servidor blade.
9. Ligue os blades.
Ligando os blades.
Conectar o servidor blade à sua rede poderá atrapalhar o acesso à Internet ou outros serviços da rede.
Assegure‑se de organizar o tempo de inatividade da rede para isso e de programar essa conexão
durante os períodos de pouco uso da rede.
Use essa função para fazer backup da configuração existente do McAfee Email Gateway Blade Server.
A McAfee recomenda fazer um backup completo da configuração do seu servidor blade antes de fazer
um upgrade, mesmo que você pretenda usar uma das opções de upgrade que restaura e faz backup
da sua configuração.
Tarefa
1
Na interface do usuário, navegue até Sistema | Administração do sistema | Gerenciamento de configuração.
2
Selecione os itens opcionais que você deseja incluir no backup (dependendo da versão). A McAfee
recomenda fazer backup de todas as opções antes de atualizar o seu servidor blade.
3
Clique em Fazer backup da configuração.
4
Após um curto intervalo de tempo, uma caixa de diálogo será exibida, permitindo a você fazer
download do arquivo de backup das configurações em seu computador local.
Instalar as interconexões para o modo resiliente
Antes de fazer qualquer conexão, é necessário instalar e configurar as interconexões de Ethernet.
Tabela 4-4 Índices
#
Descrição
Conexões de alimentação
Interconexões 1 e 2 (conexão com a LAN 1)
Interconexões 3 e 4 (conexão com a LAN 2)
Conexão do Onboard Administrator
Módulo do Onboard Administrator
Acesso fora de banda (porta 20)
Fora de banda (passagem)
As interconexões são instaladas na parte traseira do invólucro, logo abaixo da fileira superior de
ventoinhas de refrigeração.
59
4
As interconexões da LAN 1 são instaladas na baias de interconexões superiores direita e esquerda, e
as interconexões da LAN 2 são instaladas nas baias localizadas logo abaixo das interconexões da LAN
1.
Figura 4-1 Localização dos componentes traseiros — modo resiliente
Certifique‑se de:
•
Garantir que o estado do STP (Spanning Tree Protocol) seja OFF para o STG1 (Spanning Tree Group
1) — por padrão, todas as portas são membros do STG1. (Se você estiver instalado o seu servidor
blade no modo de ponte transparente.)
•
Configurar as listas de controle de acesso (ACLs) nas interconexões para isolar os blades de
varredura de conteúdo dos endereços DHCP externos de recebimento.
•
Configurar as ACLs de modo que os pacotes de pulsação do blade sejam mantidos dentro do
servidor blade.
•
Se o tráfego marcado pela VLAN (rede local virtual) precisar passar pelo servidor blade, as
interconexões precisarão ser configuradas para permitir a passagem deste tráfego.
As informações sobre como fazer isso são fornecidas na documentação listada abaixo:
•
Instalação rápida do HP GbE2c Layer 2/3 Ethernet Blade Switch para o BladeSystem classe C
•
Guia do usuário do HP GbE2c Layer 2/3 Ethernet Blade Switch para o BladeSystem classe C
A tabela mostra quais interconexões são usadas. Por padrão, as portas externas de 21 a 24 em cada
interconexão podem ser usadas para conectar cada uma das redes.
Tabela 4-5 Uso da interconexão
60
Baia de interconexões
Modo resiliente
1
LAN1
LAN1, SCAN
2
Não usado
LAN1, SCAN
3
LAN2
LAN2, (OOB)
4
Tabela 4-5 Uso da interconexão (continuação)
Baia de interconexões
Modo resiliente
4
OOB
LAN2, (OOB)
5
OOB
OOB
6
Não usado
OOB
7
Não usado
Não usado
8
Não usado
Não usado
Observe que:
•
No modo padrão (não resiliente), a rede de varredura é diretamente sobreposta na LAN1.
•
No modo padrão (não resiliente), as conexões OOB (out‑of‑band) indicadas são conexões
individuais mutuamente exclusivas e não são resilientes.
•
No modo resiliente, a rede de varredura compartilha os mesmos NICs que a LAN1, mas eles são
marcadas pela VLAN para segregar a varredura do tráfego da LAN1.
•
No modo resiliente, a rede de varredura é desmarcada nos slots dos blades de varredura para
permitir a instalação do PXE dos blades de varredura.
•
As baias de interconexão 5 e 6 são ocupadas por módulos de passagem, permitindo uma conexão
direta com os blades de gerenciamento e de gerenciamento de failover. Os blades de varredura não
possuem conexões fora de banda; isso é obtido através do blade de gerenciamento e no blade de
varredura utilizando a rede de varredura.
•
Por padrão, a rede VLAN fora de banda é configurada para ser desmarcada na porta 20 em todas
as interconexões. Você pode usar as interconexões 1 e 2, através da porta 20 em cada
interconexão, para usar a sua rede fora de banda no gerenciamento das interconexões dentro do
seu invólucro. As interconexões 3 e 4, através da porta 20, são reservadas para o gerenciamento
fora de banda do sistema McAfee Email Gateway Blade Server.
Para novas instalações, ou upgrades em que você configura o servidor blade para usar o modo
resiliente, a conexão da LAN2 foi modificada a partir das versões anteriores do McAfee Email Gateway
Blade Server. Para upgrades padrão (não resiliente) do hardware existente, a interconexão 2 é usada
para o tráfego da LAN2. Para novas instalações, ou upgrades do modo resiliente usando o hardware
existente, a interconexão 3 é usada para o tráfego da LAN2.
As interconexões dentro do servidor blade requerem configurações específicas para permitir que o
invólucro opere no modo resiliente.
O software do McAfee Email Gateway utiliza configurações de base para cada interconexão, e as usa
para gerar automaticamente a configuração de interconexão completa necessária para que seu
servidor blade funcione no modo resiliente.
As interconexões dentro do servidor blade requerem configurações específicas para permitir que o
invólucro opere no modo resiliente.
O software do McAfee Email Gateway utiliza configurações de base para cada interconexão, e as usa
para gerar automaticamente a configuração de interconexão completa necessária para que seu
servidor blade funcione no modo resiliente. O meio através do qual a configuração gerada
automaticamente é aplicada às interconexões pode ser selecionado:
61
4
Tabela 4-6 Métodos de configuração
Responsabilidade
Método de aplicação da
configuração da interconexão
Configuração fornecida
1. O usuário gerencia as
interconexões
As informações da configuração
são copiadas e coladas no CLI da
interconexão.
Não há credenciais no configuração
do chassi.
A configuração é baixada
diretamente na interconexão a
partir do software do McAfee
Email Gateway, ou de um FTP
externo ou servidor TFTP, mas
sob o controle do usuário.
do chassi.
Use a interface de Web da
interconexão para localizar e
fazer alterações na configuração.
do chassi.
A configuração é baixada
diretamente na interconexão a
partir do software do McAfee
Email Gateway sempre que ela
for alterada.
A configuração do chassi contém as
credenciais das interconexões.
interconexões
interconexões
4. O software gerencia as
interconexões
Não foi feito upload de nenhuma
configuração de base da
interconexão.
É feito upload dos arquivos de
interconexão no software do
Não foi feito upload de nenhuma
interconexão.
É feito upload dos arquivos de
interconexão no software do
Veja o exemplo de configuração de base da interconexão e o exemplo de arquivo de configuração do
chassi para obter detalhes sobre os tipo de informação necessário dentro dos arquivos de configuração
de base do arquivo de configurações do chassi e das interconexões.
Se desejar que o software do McAfee Email Gateway configure automaticamente as interconexões, use
esta função para criar as configurações de base da interconexão.
O formato necessário para os arquivos de configuração de base da interconexão depende do tipo de
interconexão instalado. As interconexões HP GbE2c devem ter seus arquivos de configuração gerados
no formato iscli (como o Cisco IOS), ao invés do formato HP bladeos‑cli.
Tarefa
1
Faça download de toda a configuração de cada interconexão em sua estação de trabalho usando ftp
ou tftp, efetuando login nas interfaces de Web de cada interconexão, ou usando o CLI.
2
Especifique as informações exclusivas de cada interconexão. Isso inclui os endereços IP,
informações de roteamento, servidores syslog, servidores de horário e os fusos horários.
3
Remova as entradas de configuração de todas as portas, a menos que você tenha especificado que
essas portas sejam ignoradas pelo gerador de configuração de interconexão.
Isso se tornará a configuração de base para cada interconexão.
4
Salve os arquivos como /config/resiliency/interconnect.base.n (onde n = número de interconexões)
e adicione‑os ao arquivo zip de configuração no backup.
Este arquivo zip de configuração de backup também é utilizado para manter o arquivo
chassisconfig.xml discutido em Modificação da configuração do invólucro.
62
4
Faça as alterações necessários nos arquivos de configuração do invólucro, modificando o arquivo
chassisconfig.xml.
O arquivo chassisconfig.xml é encontrado dentro do zip de configuração, que você pode fazer backup
e baixar em Sistema | Administração do sistema | Gerenciamento de configuração.
Quando você instala o blade de gerenciamento pela primeira vez, um arquivo chassisconfig.xml
padrão é gerado.
Quando o arquivo chassisconfig.xml é atualizado, a configuração da interconexão é automaticamente
recriada com as configurações de porta da interconexão do blade.
Os elementos contidos no arquivo chassisconfig.xml que são mais propensos a precisar de alteração
para atender às suas necessidades de rede são:
•
ScanningVlan (padrão 4094)
Essa é a identificação da VLAN que é usada dentro do chassi para a rede de varredura.
Em circunstâncias normais, o VLAN não é exibido nas portas de interconexão externas.
Essa rede pode ser ligada às portas usando o nome simbólico “scan”.
•
UntaggedVlan (padrão 4093)
Essa é a identificação da VLAN que é usada dentro do chassi para transportar os quadros
desmarcados da rede externa.
Essa rede pode ser ligada às portas usando o nome simbólico “defuntagged”.
Essa VLAN é usada somente em interconexões; o tráfego que está passando para o blade de
gerenciamento será marcado com as mesmas marcas que estavam presentes nos links externos.
•
OobVlan (padrão 4092)
Essa é a identificação da VLAN que é usada dentro do chassi para segregar a rede OOB das outras
redes no chassi.
Essa rede pode ser ligada às portas usando o nome simbólico “oob”.
•
BridgeVlan (nenhum padrão definido)
Essa é uma lista de VLANs que deverão ser colocadas em ponte a partir da LAN1 até a LAN2
quando estiverem no modo de ponte transparente. Não é necessário especificar as VLANs que
foram selecionadas para a varredura na
configuração do modo de ponte transparente do McAfee Email Gateway, uma vez que serão
adicionadas automaticamente. As VLANs especificadas aqui não serão varridas, somente colocadas
em ponte a partir da LAN1 até a LAN2.
Esse item não é usado quando o sistema não está no modo de ponte transparente. A lista de
VLANs externas pode ser representada pelo nome simbólico “external”.
•
ScanningSTG/ExternalSTG/OobStg
Essas são as configurações dos STGs usados para o Spanning Tree em cada uma das redes de
varredura, redes externas e redes OOB respectivamente.
Dependendo da topologia da rede externa e da configuração do STG, pode ser necessário modificar
o campo de prioridade de cada um.
63
4
•
Blades
Esta seção lista a função de cada slot do blade. Um slot pode ser configurado para ser um blade de
gerenciamento (no caso em que os blades de gerenciamento não estão nos slots 1 e 2), e um slot
pode ser configurado para ser ignorado. Se um slot for configurado para ser ignorado, nenhuma
configuração será gerada para as portas de interconexão conectadas a esse blade.
•
• Credenciais de interconexão
Se for exigido que configurações das interconexões sejam aplicadas automaticamente pelo
software do McAfee Email Gateway, os endereços IP, nomes de usuário e senha corretos das
credenciais devem ser adicionados aqui.
Essas credenciais devem ser salvas em texto escrito de forma clara para que possam ser lidas caso
o sistema do McAfee Email Gateway seja comprometido.
•
Portas de interconexão
O modo operacional das portas de interconexão pode ser definido aqui. A razão mais provável para
alterar as configurações da porta de interconexão será para ativar ou desativar o LACP nas portas
externas, ou para ativar ou desativar o STP. Também pode ser necessário alterar as configurações
da porta para dedicar as portas externas à rede de varredura.
A VLAN na qual os quadros desmarcados atravessam a porta é definida aqui.
Também pode ser útil dar as portas nomes significativos aqui se os nomes padrão atribuídos pelo
software do McAfee Email Gateway não forem suficientes.
As portas também podem ser especificadas para serem ignoradas pelo gerador de configuração do
software do McAfee Email Gateway, embora isso cause um erro caso o gerador de configuração do
software do McAfee Email Gateway precise aplicar a configuração nessa porta para um dos slots do
blade.
•
VLANs de interconexão
A associação de portas das VLANs nas interconexões é definida aqui. As identificações das VLANs
podem ser referenciadas numericamente ou, para as VLANs relacionadas ao McAfee Email
Gateway, simbolicamente pelos nomes listados acima.
Outras considerações incluem configurar:
•
a truncagem das portas de interconexão externas
•
as configurações do Spanning Tree
•
acessar suas redes de gerenciamento OOB (out‑of‑band)
Inserindo as credenciais da interconexão e os endereços IP dentro do arquivo chassisconfig.xml, o
software do McAfee Email Gateway poderá aplicar automaticamente as configurações às
interconexões.
No entanto, a McAfee recomenda que isso não seja feito até você verificar se a configuração gerada
automaticamente está funcionando corretamente.
64
Aplicar a configuração do modo resiliente a todas as interconexões
4
Aplicar a configuração do modo resiliente a todas as
interconexões
Aplicar a configuração do modo resiliente a todas as interconexões.
Conforme observado em Modificar a configuração do invólucro na página 63, a McAfee recomenda
incluir o IP da interconexão e as informações credenciais nos arquivos de configuração até que você
tenha feito upload e analisado os arquivos para garantir que as informações contidas neles estão
corretas.
Isso impede as interconexões de serem configuradas com informações incorretas.
Após verificar se as configurações estão conforme esperado, é possível adicionar o IP da interconexão
e as informações credenciais e, em seguida, efetuar novamente o upload das configurações. Em
seguida, os arquivos de configuração serão aplicados às interconexões.
Faça upload dos arquivos de configuração modificados no blade de gerenciamento, criando um arquivo
zip de configuração contendo todos os arquivos modificados e, em seguida, restaurando esse arquivo
em Sistema | Administração do sistema | Gerenciamento de configuração. Estes incluem:
•
todos os arquivos de configuração base interconectados.
•
o arquivo chassisconfig.xml.
É necessário aplicar as alterações antes que a configuração que você fez upload possa ser usada pelo
servidor blade.
Se você tiver adicionado credenciais de interconexão e endereços IP ao arquivo de configuração do
invólucro (chassisconfig.xml), a configuração do modo resiliente é aplicada automaticamente a cada
interconexão.
Faça download e revise a configuração gerada
Faça download e revise os arquivos de configuração interconnect_config.X.n que foram gerados.
Certifique‑se de que a configuração gerada corresponda à sua configuração desejada.
Estes podem ser visualizados em Sistema | Administração do sistema | Gerenciamento do cluster | Modo resiliente.
Se algum erro for detectado nestes arquivos, repita as etapas de definição e geração da configuração
para corrigir o problema.
Configuração do blade de gerenciamento para uso do modo
resiliente
Configuração do blade de gerenciamento para usar o modo resiliente.
Tarefa
1
Na interface do usuário, navegue até Sistema | Administração do sistema | Gerenciamento do cluster | Modo
resiliente.
2
Clique em Ativar modo resiliente.
3
Clique em OK para confirmar que você entendeu o Aviso sobre a ativação do modo resiliente.
4
Aguarde até o encerramento automático do blade de gerenciamento de failover, blade de
gerenciamento de automático e de todos os automático de varredura.
65
4
5
Faça qualquer alteração necessária na interconexão do servidor blade com a rede externa.
6
Aplique energia aos blades de gerenciamento e de gerenciamento de failover.
Verifique o Dashboard para assegurar‑se que os blades de gerenciamento de failover e de
gerenciamento estejam funcionando corretamente e sincronizados.
7
Por sua vez, aplique energia a todos os blades de varredura de conteúdo.
Configure as conexões necessárias entre a sua rede externa e o seu McAfee Email Gateway Blade
Server.
As conexões que você precisa criar entre a rede externa e o McAfee Email Gateway Blade Server
dependem do modo que operação que você está selecionando para ser usado pelo servidor blade, bem
como da configuração da rede externa.
Se estiver usando o Onboard Administrator, certifique‑se de ter conexões com o OA, bem como com as
interconexões.
66
4
Certifique‑se de que cada conexão entre a rede e as interconexões do servidor blade consista de links
ligados entre si para fornecer resiliência em caso de uma alternância, falha no cabo ou uma falha na
interconexão.
Figura 4-2 Conexões típicas de rede — modo resiliente
Tabela 4-7 Registro
Links da LAN (rede LAN1, LAN2 ou OOB)
Rede de varredura interna
Links ligados entre si
67
4
Ligue os blades.
Tabela 4-7 Registro (continuação)
Links normalmente bloqueados pelo STP
1.
Rede externa
2.
Infraestrutura da rede
3.
(para LAN1) interconexão 1, (para LAN2 ou OOB) interconexão 3
4.
(para LAN1) interconexão 2, (para LAN2 ou OOB) interconexão 4
5.
Blade de gerenciamento
6.
Blade de gerenciamento de failover
7.
Blades de varredura
Por questões de simplicidade, o diagrama mostra somente um conjunto de caminhos de LAN/OOB. Os
caminhas da LAN1, LAN2 e da OOB são semelhantes.
Ligue os blades.
Forneça energia para todos os blades dentro do McAfee Email Gateway Blade Server.
Antes de iniciar
Certifique‑se de ter concluído todas as tarefas contidas em Migrando para a operação no
modo resiliente na página 58.
Tarefa
1
Pressione o botão Ligar no blade de gerenciamento.
2
Assim que o blade de gerenciamento tiver concluído sua sequência de inicialização, pressione o
botão Ligar no blade de gerenciamento de failover.
3
Após os blades de gerenciamento e de gerenciamento de failover terem concluído suas sequências
de inicialização, você pode começar a ligar os blades de varredura de conteúdo.
Para evitar um pico de tensão, a McAfee recomenda que você deixe cada um dos blades de
varredura de conteúdo concluir sua sequência de inicialização antes de aplicar energia ao próximo
blade de varredura de conteúdo.
68
5
Encontre descrições dos problemas que você poderá ter ao integrar o dispositivo na rede existente.
Para usar a ferramenta de solução de problemas fornecida na interface de usuário do software do
McAfee Email Gateway Appliance, selecione Solução de problemas na barra de navegação.
Solução de problemas específicos do blade
Encontre informações específicas sobre a solução de problemas do seu McAfee Email Gateway Blade
Server.
Sistemas de monitoramento externos
A McAfee recomenda que você configure um sistema de monitoramento dedicado para fornecer avisos
avançados sobre falhas ou problemas dentro dos invólucros do McAfee Email Gateway Blade Server.
O status do invólucro e das interconexões pode ser monitorado diretamente usando o SNMP (Simple
Network Management Protocol), e os módulos iLO (Integrated Lights‑Out) podem ser configurados
para enviar capturas de SNMP se alguma condição de erro for encontrada. O software do McAfee Email
Gateway Blade Server também pode ser monitorado via SNMP.
Status da placa de interface de rede
Saiba onde verificar o status das placas de interface de rede (NICs).
O status dos links para todas as placas de interface de rede em cada blade está disponível na interface
de usuário do software do McAfee Email Gateway, em Sistema | Administração do sistema | Gerenciamento do
cluster.
Eventos do sistema
Saiba onde visualizar os eventos do sistema.
Você pode usar as opções Relatórios | Relatórios do sistema na interface de usuário do software do McAfee
Email Gateway para visualizar as informações do sistema de monitoramento do blade e também do
sistema de configuração de interconexão.
69
5
Solução de problemas específicos do blade
70
A
Apêndices
Encontre informações que podem fornecer uma referência útil durante a instalação e a configuração
do seu servidor blade.
Conteúdo
Exemplo de configuração de base da interconexão
Exemplo de arquivo de configuração do chassi
Procedimentos para a troca de hardware
Exemplo de configuração de base da interconexão
Veja um exemplo de configuração de base para uma das interconexões usadas em seu servidor blade.
Ao configurar o seu McAfee Email Gateway Blade Server para utilizar o modo resiliente, um arquivo de
configuração de base é necessário para cada interconexão dentro do invólucro do seu servidor blade.
Exemplo de configuração de base da interconexão — interconnect_base.n (onde n
= número de interconexões)
version "5.1.3"
switch‑type "GbE2c L2/L3 Ethernet Blade Switch for HP c‑Class BladeSystem"
!
!
!
no system bootp
hostname "sw1"
system idle 60
!
ip dns primary‑server 10.9.9.1
!
ntp enable
ntp primary‑server 10.9.9.1
ntp interval 60
!
system timezone 180
! Europe/Britain/GB
system daylight
!
!
!
access user administrator‑password
"ebfec37e832a822ab6b7a2b7409a21d800e2b27007bb4b41b7dd3b7827e7ec0f"
!
!
!
!
71
A
Apêndices
Veja um exemplo de arquivo de configuração de chassi para o seu servidor blade que está funcionando
no modo resiliente.
Exemplo de arquivo chassisconfig.xml parcial mostrando Interconexão id="1"
72
Apêndices
A
73
A
Apêndices
Saiba como substituir os componentes de hardware que estão com defeito.
Substituir um blade de gerenciamento com falha
Substitua o blade de gerenciamento caso ele tenha falhado.
Use esta tarefa para substituir o blade de gerenciamento caso ele tenha falhado.
Tarefa
74
1
Desligue o blade de gerenciamento.
2
Remova o antigo blade de gerenciamento.
3
Insira o novo blade de gerenciamento.
Apêndices
4
A
Instale o software do McAfee Email Gateway.
Consulte Instalando o software na página 33 para obter informações sobre a reinstalação do
software e a configuração do blade de gerenciamento.
5
Configure o novo blade como um blade de gerenciamento (se necessário).
Substituir um blade de gerenciamento de failover com falha
Substitua o blade de gerenciamento de failover caso ele tenha falhado.
Use esta tarefa para substituir o blade de gerenciamento de failover caso ele tenha falhado.
Tarefa
1
Desligue o blade de gerenciamento de failover.
2
Remova o antigo blade de gerenciamento de failover.
3
Insira o novo blade de gerenciamento de failover.
4
Instale o software do McAfee Email Gateway.
Consulte Instalando o software na página 33 para obter informações sobre a reinstalação do
software e a configuração do blade de gerenciamento de failover.
5
Configure o novo blade como um blade de gerenciamento de failover (se necessário).
Substituir um blade de varredura com falha
Substituir um blade de varredura que falhou.
Se o novo blade possuir unidades de disco vazias, ele instalará automaticamente a imagem de um
blade de varredura. Caso contrário, siga o procedimento em "Instalando o software em um blade de
varredura de conteúdo" para forçar o blade de varredura a reinstalar o seu software.
Tarefa
1
Desligue o blade.
Aguarde até o blade desligar.
2
Substitua o blade assim que estiver desligado.
Substituir uma interconexão com falha
Substituir uma interconexão com falha.
Para substituir uma interconexão, é necessário programar o tempo de inatividade do sistema para
configurar a interconexão de substituição no local, ou usar um segundo servidor blade para configurar
a interconexão separadamente ao sistema real.
É necessário configurar a interconexão de substituição no modo off‑line, pois a configuração padrão
pode interferir com a topologia de rede em funcionamento.
Substituindo uma interconexão sem nenhum servidor blade de reserva disponível:
Tarefa
1
Desligue todos os blades de varredura.
2
Desligue o blade de failover.
3
Faça download do arquivo de configuração da interconexão a partir do blade de gerenciamento
(caso não esteja sendo permitido que o software do McAfee Email Gateway configure
automaticamente as interconexões).
75
A
Apêndices
4
Desconecte o chassi de todas as redes, exceto da rede OOB (se estiver substituindo a interconexão
1 ou 2) ou da rede LAN1 (se estiver substituindo a interconexão 3 ou 4), deixando somente uma
interconexão conectada à LAN restante.
5
Substitua a interconexão e ligue‑a.
6
Certifique‑se de que a interconexão possua um endereço IP adequado. Isso deve acontecer
automaticamente se o endereço IP da interconexão for fornecido através do DHCP e do módulo OA.
7
Caso não seja permitido ao software do McAfee Email Gateway configurar automaticamente a
interconexão, faça upload da configuração da interconexão.
Caso não seja permitido que o software do McAfee Email Gateway configure automaticamente a
interconexão, use o botão “Aplicar a configuração de interconexão” na interface de usuário do
McAfee Email Gateway ou no console em modo texto, ou execute o seguinte comando no blade de
gerenciamento: scm/opt/NETAwss/resiliency/apply_chassis_config.
8
Verifique se a interconexão aceitou a configuração sem erros.
9
Restabeleça as conexões de rede.
10 Ligue os blades de varredura e de failover.
Substituir um módulo com falha do Onboard Administrator
Substituir um módulo do Onboard Administrator que falhou.
Consulte a documentação da HP para saber o procedimento correto para substituir um módulo do
Onboard Administrator.
76
Índice
A
Assistente de instalação
personalizada 35
Assistente de instalação personalizada 35
C
comentários sobre ameaças 37
configuração de cluster
estatísticas 37
Console de configuração 34
convenções e ícones utilizados neste guia 5
D
Dashboard 37
detecções
taxas e estatísticas 37
DHCP 34
DMZ 19
configuração SMTP 19
documentação
convenções tipográficas e ícones 5
específica do produto, como encontrar 7
público-alvo deste guia 5
mensagens de aviso
Dashboard 37
modo Ponte transparente 12
modo Proxy explícito 17
modo resiliente 53
modo roteador transparente 15
modos de operação
modos de rede
introdução 11
O
opções de instalação
instalação personalizada 35
P
políticas
status 37
prioridade da ponte 14
E
estatísticas
Dashboard 37
F
filas de e-mails 37
R
regras de firewall
retransmissão de e-mail
em uma zona desmilitarizada 19
S
G
gateway de e-mail
com uma zona desmilitarizada 19
gráficos
estatísticas de e-mail e rede 37
M
McAfee Global Threat Intelligence 37
McAfee ServicePortal, como acessar 7
mensagens de alterações de configuração 37
ServicePortal, como encontrar a documentação do produto 7
sobre este guia 5
status da rede 37
status do e-mail 37
STP 14
Suporte técnico, como encontrar informações sobre produtos 7
Z
configuração SMTP 19
77
Índice
zona desmilitarizada (DMZ - demilitarized zone) 19
78
700-3359B12

Email Gateway 7.x Blade Servers Installation Guide

Transcrição

Documentos relacionados

Email Gateway Blade Server 7.x Software Quick Start Guide

Ficha Técnica Blade

Ciência da Computação

McAfee AntiVirus Plus 2012

McAfee AntiVirus Plus 2012

McAfee Internet Security 2010

Um Guia para Pais sobre os Sites de Redes Sociais

comunicado completo

McAfee Total Protection 2010

McAfee Data Exchange Layer 2.0.0 Notas de versão Para uso com