Revisão B Guia de instalação - kc.mcafee.com · Informações sobre requisitos gerais do local para preparar sua sala de computadores para o hardware do McAfee Email Gateway Blade

Guia de instalaçãoRevisão B

Blade Servers McAfee® Email Gateway7.x

COPYRIGHTCopyright © 2013 McAfee, Inc. Não copiar sem permissão.

RECONHECIMENTO DE MARCAS COMERCIAISMcAfee, o logotipo McAfee, McAfee Active Protection, McAfee AppPrism, McAfee Artemis, McAfee CleanBoot, McAfee DeepSAFE, ePolicy Orchestrator,McAfee ePO, McAfee EMM, McAfee Enterprise Mobility Management, Foundscore, Foundstone, McAfee NetPrism, McAfee Policy Enforcer, Policy Lab,McAfee QuickClean, Safe Eyes, McAfee SECURE, SecureOS, McAfee Shredder, SiteAdvisor, SmartFilter, McAfee Stinger, McAfee Total Protection,TrustedSource, VirusScan, WaveSecure e WormTraq são marcas comerciais ou marcas registradas da McAfee, Inc. ou de suas afiliadas nos EUA e emoutros países. Outros nomes e marcas podem ser propriedade de terceiros.

INFORMAÇÕES SOBRE A LICENÇA

Contrato de licençaAVISO A TODOS OS USUÁRIOS: LEIA ATENTAMENTE O CONTRATO LEGAL APROPRIADO CORRESPONDENTE À LICENÇA ADQUIRIDA POR VOCÊ. NELEESTÃO DEFINIDOS OS TERMOS E AS CONDIÇÕES GERAIS PARA A UTILIZAÇÃO DO SOFTWARE LICENCIADO. CASO NÃO TENHA CONHECIMENTO DOTIPO DE LICENÇA QUE FOI ADQUIRIDO, CONSULTE A DOCUMENTAÇÃO RELATIVA À COMPRA OU À CONCESSÃO DA LICENÇA, INCLUÍDA NO PACOTEDO SOFTWARE OU FORNECIDA SEPARADAMENTE (COMO LIVRETO, ARQUIVO NO CD DO PRODUTO OU UM ARQUIVO DISPONÍVEL NO SITE DO QUAL OPACOTE DE SOFTWARE FOI OBTIDO POR DOWNLOAD). SE NÃO CONCORDAR COM TODOS OS TERMOS ESTABELECIDOS NO CONTRATO, NÃO INSTALEO SOFTWARE. SE FOR APLICÁVEL, VOCÊ PODERÁ DEVOLVER O PRODUTO À MCAFEE OU AO LOCAL DA AQUISIÇÃO PARA OBTER REEMBOLSO TOTAL.

2 Blade Servers McAfee® Email Gateway 7.x Guia de instalação

Conteúdo

Prefácio 5Sobre este guia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

Público-alvo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5Convenções . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5Como usar este guia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

Localizar a documentação do produto . . . . . . . . . . . . . . . . . . . . . . . . . . 7

1 Preparação para a instalação 9O que há na caixa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9Planejar a instalação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10Uso inadequado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11Condições operacionais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11Posicionando o servidor blade . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11Considerações sobre modos de rede . . . . . . . . . . . . . . . . . . . . . . . . . . 11

Modo Ponte transparente . . . . . . . . . . . . . . . . . . . . . . . . . . . 12Modo Roteador transparente . . . . . . . . . . . . . . . . . . . . . . . . . . 15Modo Proxy explícito . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

Estratégias de distribuição para uso do dispositivo em uma zona desmilitarizada . . . . . . . . 19Configuração do SMTP em uma zona desmilitarizada . . . . . . . . . . . . . . . . 19Gerenciamento de carga de trabalho . . . . . . . . . . . . . . . . . . . . . . 21

2 Conectando e configurando o servidor blade 23Fazendo upgrade de versões anteriores . . . . . . . . . . . . . . . . . . . . . . . . 24

Configuração das interconexões durante a atualização de uma versão anterior . . . . . . 24Fazendo backup da configuração existente . . . . . . . . . . . . . . . . . . . . 25Desligando os blades de varredura . . . . . . . . . . . . . . . . . . . . . . . 25Desligando os blades de gerenciamento . . . . . . . . . . . . . . . . . . . . . 25Fazendo upgrade do software do blade de gerenciamento . . . . . . . . . . . . . . 26Reinstalando os blades de varredura . . . . . . . . . . . . . . . . . . . . . . . 27

Instalação padrão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27Instalação física do servidor blade . . . . . . . . . . . . . . . . . . . . . . . 29Instalar as interconexões para o modo padrão (não resiliente) . . . . . . . . . . . . 29Fornecendo energia ao servidor blade . . . . . . . . . . . . . . . . . . . . . . 30Conexão à rede . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32

Instalando o software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33Ordem de instalação dos blades de gerenciamento . . . . . . . . . . . . . . . . . 33Instalando o software nos blades de gerenciamento . . . . . . . . . . . . . . . . 33Instalando o software em um blade de varredura de conteúdo . . . . . . . . . . . . 34

Uso do console de configuração . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34Execução de uma Instalação personalizada . . . . . . . . . . . . . . . . . . . . 35Restauração de um arquivo . . . . . . . . . . . . . . . . . . . . . . . . . . 35Configuração somente de criptografia . . . . . . . . . . . . . . . . . . . . . . 36

3 Um tour pelo Dashboard 37O Dashboard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

Blade Servers McAfee® Email Gateway 7.x Guia de instalação 3

Benefícios do uso do Dashboard . . . . . . . . . . . . . . . . . . . . . . . . 38Portlets do Dashboard . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39Tarefa — Desligar o aviso Comentários do McAfee Global Threat Intelligence desativados . 40

Explorando o servidor blade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40Demonstrando o gerenciamento de carga de trabalho e de failover . . . . . . . . . . 40Testando os recursos de gerenciamento no servidor blade . . . . . . . . . . . . . . 41Usar as políticas para gerenciar a varredura de mensagens . . . . . . . . . . . . . 43Teste da configuração . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47Explore os recursos do McAfee Email Gateway Blade Server . . . . . . . . . . . . . 49

4 Operação no modo resiliente 53Como o modo resiliente utiliza o hardware . . . . . . . . . . . . . . . . . . . . . . . 54Decisão pelo uso do modo resiliente . . . . . . . . . . . . . . . . . . . . . . . . . . 55Antes de iniciar a reconfiguração para o modo resiliente . . . . . . . . . . . . . . . . . . 55

Informações sobre o hardware . . . . . . . . . . . . . . . . . . . . . . . . . 56Endereços IP necessários para o modo resiliente . . . . . . . . . . . . . . . . . . 57Nomes de usuário e senhas . . . . . . . . . . . . . . . . . . . . . . . . . . 58

Migrando para a operação no modo resiliente . . . . . . . . . . . . . . . . . . . . . . 58Fazendo backup da configuração existente . . . . . . . . . . . . . . . . . . . . 59Instalar as interconexões para o modo resiliente . . . . . . . . . . . . . . . . . . 59

Configuração de interconexões . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61Modificar a configuração do invólucro . . . . . . . . . . . . . . . . . . . . . . . . . 63Aplicar a configuração do modo resiliente a todas as interconexões . . . . . . . . . . . . . 65

Faça download e revise a configuração gerada . . . . . . . . . . . . . . . . . . . 65Configuração do blade de gerenciamento para uso do modo resiliente . . . . . . . . . . . . 65Conexões no modo resiliente para a rede externa . . . . . . . . . . . . . . . . . . . . 66Ligue os blades. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68

5 Solução de problemas 69Solução de problemas específicos do blade . . . . . . . . . . . . . . . . . . . . . . . 69

Sistemas de monitoramento externos . . . . . . . . . . . . . . . . . . . . . . 69Status da placa de interface de rede . . . . . . . . . . . . . . . . . . . . . . . 69Eventos do sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69

A Apêndices 71Exemplo de configuração de base da interconexão . . . . . . . . . . . . . . . . . . . . 71Exemplo de arquivo de configuração do chassi . . . . . . . . . . . . . . . . . . . . . . 72Procedimentos para a troca de hardware . . . . . . . . . . . . . . . . . . . . . . . . 74

Substituir um blade de gerenciamento com falha . . . . . . . . . . . . . . . . . . 74Substituir um blade de gerenciamento de failover com falha . . . . . . . . . . . . . 75Substituir um blade de varredura com falha . . . . . . . . . . . . . . . . . . . . 75Substituir uma interconexão com falha . . . . . . . . . . . . . . . . . . . . . . 75Substituir um módulo com falha do Onboard Administrator . . . . . . . . . . . . . 76

Índice 77

Conteúdo


Prefácio

Este guia fornece as informações de que você necessita para instalar o seu produto McAfee.

Conteúdo Sobre este guia Localizar a documentação do produto

Sobre este guiaEstas informações descrevem o público‑alvo do guia, as convenções tipográficas e os ícones usadosneste guia, além de como o guia é organizado.

Público-alvoA documentação da McAfee é cuidadosamente pesquisada e escrita para o público‑alvo.

As informações deste guia destinam‑se principalmente a:

• Administradores — Pessoas que implementam e aplicam o programa de segurança da empresa.

ConvençõesEste guia usa as seguintes convenções tipográficas e ícones.

Título do livro, termo,ênfase

Título de um livro, capítulo ou tópico; um novo termo; ênfase.

Negrito Texto bastante enfatizado.

Digitação do usuário,código, mensagem

Comandos e outros textos digitados pelo usuário; um fragmento decódigo; uma mensagem exibida.

Texto da interface Palavras da interface do produto, como opções, menus, botões e caixasde diálogo.

Azul de hipertexto Um link para um tópico ou para um site externo.

Observação: Informações adicionais, como um método alternativo deacessar uma opção.

Dica: Sugestões e recomendações.

Importante/cuidado: Informações importantes para proteger osistema do seu computador, sua instalação de software, rede, negóciosou seus dados.

Aviso: Informações críticas para prevenir lesões corporais durante autilização de um produto de hardware.


Convenções gráficasUse estas informações para compreender os símbolos gráficos usados neste documento.

Servidor blade Internet ou redesexternas

Servidor de e‑mail Outros servidores(como servidoresDNS)

Computador cliente ou dousuário

Roteador

Switch Firewall

Zona da rede (zonadesmilitarizada ou VLAN)

Rede

Caminho de dados real Caminho de dadospercebido

Definição de termos usados neste guiaCompreenda alguns dos termos‑chave usados neste documento.

Termo Definição

zona desmilitarizada(DMZ ‑ demilitarizedzone)

Um host de computador ou uma rede pequena inserida como um buffer entreuma rede privada e a rede pública externa para impedir acesso direto deusuários externos aos recursos da rede privada.

arquivos DAT Arquivos de definição de detecção (DAT), também chamados de arquivos deassinatura, contendo as definições que identificam, detectam e reparam vírus,cavalos de Troia, spyware, adware e outros programas potencialmenteindesejados (PUPs).

modo de operação Os três modos de operação do produto: modo Proxy explícito, modo Pontetransparente e modo Roteador transparente.

política Uma coleção de critérios de segurança, como definições de configuração,benchmarks (testes comparativos) e especificações de acesso à rede, quedefine o nível de conformidade necessário para usuários, dispositivos esistemas que podem ser avaliados ou cumpridos por um aplicativo desegurança McAfee.

verificação do serviçode reputação

Parte da autenticação do remetente. Se um remetente não passar naverificação do serviço de reputação, o appliance será definido para fechar aconexão e recusar a mensagem. O endereço IP do remetente será adicionadoa uma lista de conexões bloqueadas e será bloqueado automaticamente nofuturo no nível do kernel.

Interconexões Os módulos HP GbE2c Layer 2/3 Ethernet Blade Switch usados para fornecerconexões de rede para o McAfee Email Gateway Blade Server. O termoInterconexão pode ser considerado como sendo igual a Switch.

PrefácioSobre este guia


Como usar este guiaEste tópico apresenta um breve resumo das informações contidas neste documento.

Este guia ajuda você a:

• Planejar e executar sua instalação.

• Familiarizar‑se com a interface.

• Testar se o produto funciona corretamente.

• Aplicar os arquivos de definição de detecção mais recentes.

• Explorar algumas políticas de varredura, criar relatórios e obter informações de status.

• Solucionar problemas básicos.

Você pode encontrar informações adicionais sobre os recursos de varredura na ajuda on‑line doproduto e na última versão do Guia de administradores do McAfee Email Gateway.

Localizar a documentação do produtoA McAfee fornece as informações de que você necessita durante cada fase de implementação doproduto, desde a instalação até o uso diário e solução de problemas. Após o lançamento de umproduto, informações sobre o mesmo são inseridas no KnowledgeBase on‑line da McAfee.

Tarefa1 Vá para o ServicePortal de suporte técnico da McAfee em http://mysupport.mcafee.com.

2 Em Self Service (Autoatendimento), acesse o tipo de informação necessária:

Para acessar... Execute este procedimento...

Documentação dousuário

1 Clique em Product Documentation (Documentação do produto).

2 Selecione um produto e, em seguida, uma versão.

3 Selecione o documento de um produto.

KnowledgeBase • Clique em Search the KnowledgeBase (Pesquisar no KnowledgeBase) paraobter respostas às suas dúvidas sobre produtos.

• Clique em Browse the KnowledgeBase (Procurar no KnowledgeBase) para verartigos relacionados por produto e versão.

PrefácioLocalizar a documentação do produto


http://mysupport.mcafee.com

PrefácioLocalizar a documentação do produto


1 Preparação para a instalação

Para garantir a operação segura do McAfee Email Gateway Blade Server, considere o seguinte antes deiniciar a instalação.

• Compreenda os requisitos de alimentação de seu servidor blade e do sistema de alimentação.

• Familiarize‑se com seus modos de operação e recursos. É importante escolher uma configuraçãoválida.

• Decida como integrar o appliance em sua rede e determine de quais informações você precisaráantes de começar. Por exemplo, o nome e o endereço IP do dispositivo.

• Desembale o produto o mais próximo possível do local em que pretende instalá‑lo.

O servidor blade é pesado. Não deixe de seguir os procedimentos recomendados para levantar oservidor blade ao desembalá‑lo.

• Remova o produto da embalagem protetora e coloque‑o sobre uma superfície plana.

• Observe todos os avisos de segurança.

Revise e familiarize‑se com todas as informações de segurança fornecidas.

Conteúdo O que há na caixa Planejar a instalação Uso inadequado Condições operacionais Posicionando o servidor blade Considerações sobre modos de rede Estratégias de distribuição para uso do dispositivo em uma zona desmilitarizada

O que há na caixaUse estas informações para garantir que tenha a remessa completa do seu produto.

Para verificar se todos os componentes estão presentes, consulte a lista de itens fornecida com seuproduto.

Geralmente, você deve ter:

• Gabinete de um servidor blade

• Um blade de Gerenciamento

• Um blade de Gerenciamento de failover

1


• Um ou mais blades de varredura, conforme o pedido

• Cabos de alimentação

• Cabos de rede

• CD de instalação e recuperação do McAfee Email Gateway

• CD do código‑fonte do Linux

Se algum item estiver ausente ou danificado, entre em contato com o fornecedor.

Planejar a instalaçãoUse estas informações ao planejar a instalação de seu dispositivo.

Antes de desembalar o McAfee Email Gateway Blade Server, é importante planejar a instalação e adistribuição.

Informações para ajudá‑lo podem ser encontradas em: HP BladeSystem c‑Class Site Planning Guide.

Considere o seguinte:

• Diretrizes gerais para preparar seu site.

Informações sobre requisitos gerais do local para preparar sua sala de computadores para ohardware do McAfee Email Gateway Blade Server.

• Requisitos de ambiente

Informações sobre requisitos do ambiente local, incluindo temperatura, fluxo de ar e espaçonecessário

• Requisitos e considerações da alimentação

Requisitos da alimentação e fatores elétricos que devem ser considerados antes da instalação

Inclui instalação da PDU (Unidade de distribuição de energia).

• Especificações e requisitos de hardware

Especificações de sistema para o invólucro do servidor blade, os racks e as fontes de alimentaçãomonofásicas e trifásicas.

• Cenários de configuração

• Preparação para a instalação

1 Preparação para a instalaçãoPlanejar a instalação


http://h20000.www2.hp.com/bc/docs/support/SupportManual/c01038153/c01038153.pdf?jumpid=reg_R1002_USEN

Uso inadequadoUse estas informações para evitar o uso deste produto de forma inadequada.

O McAfee Email Gateway Blade Server:

• Não é um firewall — Você deve usá‑lo em sua organização por trás de um firewall configuradocorretamente.

• Não é um servidor para armazenamento de software e arquivos extras — Não instalenenhum software no dispositivo nem adicione nenhum arquivo extra a ele, a menos que instruídopela documentação do produto ou pelo representante de suporte.

O dispositivo não pode processar todos os tipos de tráfego. Se você usar o modo proxy explícito,somente os protocolos a serem varridos deverão ser enviados ao dispositivo.

Condições operacionaisUse estas informações para compreender as condições ambientais necessárias para o seu McAfeeEmail Gateway.

Temperatura operacional +10°C a + 30°C ou +10°C a + 35°C (dependendo do modelo) coma taxa máxima de alteração não superior a 10°C por hora

Temperatura não operacional ‑40°C a +70°C

Umidade relativa nãooperacional

90%, sem condensação, a 35°C

Vibração, desembalado 5 Hz a 500 Hz, 2,20 g RMS (aleatório)

Choque, operacional Meio seno, pico de 2 g, 11 milésimos de segundo

Choque, trapezoidaldesembalado

25 g, alteração de velocidade 136 pol/s (≧40 lbs a > 80 lbs)

Requisito de resfriamento dosistema em BTUs/hora

1660 BTUs/hora ou 2550 BTUs/hora (dependendo do modelo)

Posicionando o servidor bladeUse estas informações para saber onde o McAfee Email Gateway Blade Server deve estar localizado.

Instale o servidor blade de modo que você possa controlar o acesso físico à unidade e acessar asportas e as conexões.

Um kit de montagem em rack é fornecido com o chassi do servidor blade, permitindo instalar oservidor blade em um rack de 19 polegadas.

Consulte Instruções para a rápida instalação do invólucro HP BladeSystem c7000.

Considerações sobre modos de rede Use estas informações para compreender os modos operacionais (ou de rede) nos quais o dispositivopode operar.

Antes de instalar e configurar seu McAfee Email Gateway Blade Server, é preciso decidir qual modo derede usar. O modo escolhido determina como você conecta fisicamente o seu appliance à rede.

Preparação para a instalaçãoUso inadequado 1


http://h20000.www2.hp.com/bc/docs/support/SupportManual/c00698534/c00698534.pdf

É possível escolher dentre os seguintes modos de rede:

• Modo Ponte transparente — O dispositivo funciona como uma ponte Ethernet.

• Modo Roteador transparente — O dispositivo funciona como um roteador.

• Modo Proxy explícito — O dispositivo funciona como um servidor proxy e uma retransmissão dee‑mail.

Se você ainda não tiver certeza sobre o modo a ser usado depois de ler estas informações e as seçõesa seguir, consulte seu especialista em rede.

Considerações arquitetônicas sobre modos de rede

As considerações principais com relação aos modos de rede são:

• Se os dispositivos de comunicação reconhecem a existência do dispositivo. Ou seja, se o dispositivoestá operando em um dos modos transparentes.

• Como o dispositivo se conecta fisicamente à rede.

• A configuração necessária para incorporar o dispositivo à rede.

• Onde a configuração ocorre na rede.

Considerações antes de alterar os modos de rede

Nos modos Proxy explícito e Roteador transparente, é possível instalar o dispositivo para ajustar‑se amais de uma rede configurando vários endereços IP para as portas LAN1 e LAN2.

Se você mudar para o modo Ponte transparente a partir do modo Proxy explícito ou Roteadortransparente, apenas os endereços IP ativados para cada porta serão transferidos.

Depois de selecionar um modo de rede, a McAfee recomenda que ele não seja alterado, a menos quevocê mova o dispositivo ou reestruture sua rede.

Modo Ponte transparente Use estas informações para compreender melhor o modo Ponte transparente em seu McAfee EmailGateway.

No modo Ponte transparente, os servidores em comunicação não reconhecem o dispositivo — aoperação do dispositivo é transparente para os servidores.

Figura 1-1 Modo Ponte transparente — caminho de dados aparente

Na figura, o servidor de e‑mail externo (A) envia mensagens de e‑mail ao servidor de e‑mail interno(C). O servidor de e‑mail externo não reconhece que a mensagem de e‑mail é interceptada e varridapelo dispositivo (B).

O servidor de e‑mail externo parece se comunicar diretamente com o servidor de e‑mail interno — ocaminho é mostrado como uma linha pontilhada. Na realidade, o tráfego pode passar por váriosdispositivos de rede e ser interceptado e varrido pelo dispositivo antes de alcançar o servidor de e‑mailinterno.

1 Preparação para a instalaçãoConsiderações sobre modos de rede


O que o dispositivo faz no modo Ponte transparente

No modo Ponte transparente, o dispositivo se conecta à rede usando as portas LAN1 e LAN2. Odispositivo varre o tráfego recebido e age como uma ponte que conecta dois segmentos de rede, masos trata como uma única rede lógica.

Configuração no modo Ponte transparente

O modo Ponte transparente requer menos configuração do que os modos Roteador transparente eProxy explícito. Não é necessário reconfigurar todos os seus clientes, o gateway padrão, os registrosMX, o NAT do firewall ou os servidores de e‑mail para enviar tráfego ao dispositivo. Como o dispositivonão é um roteador nesse modo, não é necessário atualizar uma tabela de roteamento.

Onde colocar o dispositivo ao usar o modo Ponte transparente

Por razões de segurança, você deve usar o dispositivo dentro de sua organização, por trás de umfirewall.

Figura 1-2 Posicionamento no modo Ponte transparente

No modo Ponte transparente, posicione o dispositivo entre o firewall e o roteador, conforme mostrado.

Nesse modo, você conecta fisicamente dois segmentos de rede ao dispositivo, e o dispositivo os tratacomo uma rede lógica. Como os dispositivos — firewall, dispositivo e roteador — estão na mesma redelógica, todos eles devem ter endereços IP compatíveis na mesma sub‑rede.

Preparação para a instalaçãoConsiderações sobre modos de rede 1


Os dispositivos de um lado da ponte (como um roteador) que se comunicam com os dispositivos dooutro lado da ponte (como um firewall) não reconhecem a ponte. Eles não reconhecem que essetráfego é interceptado e varrido, portanto, diz‑se que o dispositivo opera como uma pontetransparente.

Figura 1-3 Estrutura de rede — Modo Ponte transparente

Spanning Tree Protocol para gerenciar a prioridade da ponteConfigure o STP (Spanning Tree Protocol) para gerenciar as prioridades da ponte do McAfee® EmailGateway Blade Server.

Antes de iniciarO servidor blade deve ser configurado no modo Ponte transparente para que o STP estejadisponível.

Caso um blade falhe, o STP direciona o tráfego da rede para o blade com a próxima prioridade daponte mais alta.

No modo Ponte transparente, o blade de gerenciamento e o blade de gerenciamento de failover têmdiferentes endereços IP.

Nos modos Roteador transparente e Proxy explícito, os dois blades novamente têm endereços IPdiferentes, mas são configurados com o mesmo endereço IP virtual.

Normalmente, o tráfego de e‑mail é gerenciado pelo blade de gerenciamento. Se esse blade falhar, otráfego de e‑mail será gerenciado pelo blade de gerenciamento de failover.



Cada blade tem uma prioridade da ponte diferente. Como o blade de gerenciamento tem a prioridademais alta (por exemplo, um valor de STP igual a 100), o blade de gerenciamento normalmente trataou intercepta o tráfego da rede.

Se o blade de gerenciamento falhar, o STP direciona o tráfego da rede por um caminho com a próximaprioridade da ponte mais alta, ou seja, o blade de gerenciamento de failover (por exemplo, com umvalor de STP igual a 200).

Tarefa1 Para evitar loops de ponte:

a Desative o STP nas partas 1 e 2 de todas as interconexões.

b Certifique‑se de que todas as portas sejam membros do Spanning Tree Group 1 (STG1).

c Desative o STG1.

2 Instale o blade de gerenciamento de failover no slot 2.

3 Durante a configuração para o blade de gerenciamento de failover, defina a prioridade da ponte,por exemplo, como 200.

4 Instale o blade de gerenciamento no slot 1.

5 Durante a configuração para o blade de gerenciamento, defina a prioridade da ponte, por exemplo,como 100.

6 Atribua endereços IP diferentes ao blade de gerenciamento e ao blade de gerenciamento defailover.

Modo Roteador transparente Use estas informações para compreender melhor o modo Roteador transparente em seu McAfee EmailGateway.

No modo Roteador transparente, o dispositivo varre o tráfego de e‑mail entre duas redes. O dispositivopossui um endereço IP para o tráfego varrido de saída e deve ter um endereço IP para o tráfego deentrada.

A comunicação dos servidores de rede não reconhece a intervenção do dispositivo — a operação dodispositivo é transparente para os dispositivos.

O que o dispositivo faz no modo Roteador transparente

No modo Roteador transparente, o dispositivo se conecta às redes usando as portas LAN1 e LAN2. Odispositivo varre o tráfego recebido em uma rede e o encaminha para o próximo dispositivo de redeem uma rede diferente. O dispositivo atua como um roteador, roteando o tráfego entre as redes combase nas informações contidas em suas tabelas de roteamento.

Configuração no modo Roteador transparente

Com o modo Roteador transparente, não é necessário reconfigurar explicitamente seus dispositivos derede para enviar tráfego ao dispositivo. É necessário configurar apenas a tabela de roteamento dodispositivo e modificar algumas informações de roteamento dos dispositivos de rede de cada um deseus lados (os dispositivos conectados às suas portas LAN1 e LAN2). Por exemplo, talvez sejanecessário tornar o dispositivo o seu gateway padrão.



No modo Roteador transparente, o dispositivo deve unir duas redes. O dispositivo deve serposicionado dentro de sua organização, por trás de um firewall.

O modo Roteador transparente não é compatível com o tráfego IP multicast ou protocolos não IP, comoNETBEUI e IPX.

Regras de firewall

No modo Roteador transparente, o firewall se conecta ao endereço IP físico para a conexão de LAN1/LAN2 com o blade de gerenciamento.

Onde colocar o dispositivo

Use o dispositivo no modo Roteador transparente para substituir um roteador existente em sua rede.

Se você usar o modo Roteador transparente e não substituir um roteador existente, deverá reconfigurarparte de sua rede para rotear o tráfego corretamente pelo dispositivo.

Figura 1-4 Estrutura de rede — Modo Ponte transparente

Você precisa:

• Configurar seus dispositivos clientes para apontar para o gateway padrão.

• Configurar o dispositivo para usar o gateway da Internet como seu gateway padrão.

• Assegurar‑se de que os dispositivos clientes possam entregar mensagens de e‑mail para osservidores de e‑mail dentro de sua organização.



Modo Proxy explícito Use estas informações para compreender melhor o modo Proxy explícito em seu McAfee EmailGateway.

No modo Proxy explícito, alguns dispositivos de rede devem ser configurados explicitamente paraenviar tráfego ao dispositivo. O dispositivo funciona, então, como um proxy ou uma retransmissão,processando o tráfego em nome dos dispositivos.

Figura 1-5 Modo Proxy explícito — caminho de dados aparente

O modo Proxy explícito é mais adequado às redes nas quais os dispositivos clientes se conectam aodispositivo por meio de um único dispositivo upstream e downstream.

Essa pode não ser a melhor opção se vários dispositivos de rede tiverem de ser reconfigurados paraenviar tráfego ao dispositivo.

Configuração de rede e de dispositivo

Se o dispositivo estiver definido no modo Proxy explícito, você deverá configurar explicitamente o seuservidor de e‑mail interno para retransmitir o tráfego de e‑mail ao dispositivo. O dispositivo varre otráfego de e‑mail antes de encaminhá‑lo, em nome do remetente, para o servidor de e‑mail externo. Oservidor de e‑mail externo encaminha, então, a mensagem de e‑mail ao destinatário.

De modo semelhante, a rede deve ser configurada para que as mensagens de e‑mail de entrada daInternet sejam entregues ao dispositivo, não ao servidor de e‑mail interno.

O dispositivo varre o tráfego antes de encaminhá‑lo, em nome do remetente, ao servidor de e‑mailinterno para entrega, conforme mostrado.

Por exemplo, um servidor de e‑mail externo pode se comunicar diretamente com o dispositivo, emborao tráfego passe por vários servidores de rede antes de alcançar o dispositivo. O caminho percebido édo servidor de e‑mail externo para o dispositivo.

Protocolos

Para varrer um protocolo compatível, você deve configurar seus outros servidores de rede oucomputadores clientes para rotear esse protocolo por meio do dispositivo, de modo que nenhumtráfego ignore o dispositivo.

Regras de firewall

O modo Proxy explícito invalida quaisquer regras de firewall configuradas para acesso do cliente àInternet. O firewall vê apenas as informações de endereço IP físico do dispositivo, não os endereços IPdos clientes, de modo que o firewall não pode aplicar suas regras de acesso à Internet aos clientes.

Assegurar‑se de que as regras do firewall estejam atualizadas. O firewall deve aceitar tráfegodoMcAfee® Email Gateway, mas não o tráfego proveniente diretamente dos dispositivos clientes.

Configure regras de firewall para evitar a entrada de tráfego indesejado em sua organização.



Onde colocar o dispositivo

Configure os dispositivos de rede de modo que o tráfego que precise ser varrido seja enviadoaoMcAfee® Email Gateway. Isso é mais importante do que a localização doMcAfee® Email Gateway.

O roteador deve permitir que todos os usuários se conectem aoMcAfee® Email Gateway.

Figura 1-6 Posicionamento no modo Proxy explícito

OMcAfee® Email Gateway deve ser posicionado dentro de sua organização, por trás de um firewall,conforme mostrado na Figura 6: Configuração de proxy explícito.

Geralmente, o firewall é configurado para bloquear o tráfego que não vem diretamente do dispositivo.Se você não tiver certeza sobre sua topologia de rede e como integrar o dispositivo, consulte seuespecialista em rede.

Use essa configuração se:

• O dispositivo estiver operando em modo Proxy explícito.

• Você estiver usando e‑mail (SMTP).

Para essa configuração, você deve:

• Configurar os servidores DNS externos ou a conversão de endereços de rede (NAT) no firewall demodo que o servidor de e‑mail externo entregue o e‑mail ao dispositivo e não ao servidor de e‑mailinterno.

• Configurar os servidores de e‑mail internos para enviar mensagens de e‑mail ao dispositivo. Ouseja, os servidores de e‑mail internos devem usar o dispositivo como um host inteligente.Assegure‑se de que os dispositivos clientes possam entregar mensagens de e‑mail para osservidores de e‑mail dentro de sua organização.

• Assegurar‑se de que as regras do firewall estejam atualizadas. O firewall deve aceitar tráfego dodispositivo, mas não o tráfego proveniente diretamente dos dispositivos clientes. Configure regraspara evitar a entrada de tráfego indesejado em sua organização.



Estratégias de distribuição para uso do dispositivo em umazona desmilitarizada

Use estas informações para compreender sobre zonas desmilitarizadas dentro de sua rede e comousá‑las para proteger seus servidores de e‑mail.

Uma zona desmilitarizada (DMZ ‑ demilitarized zone) é uma rede separada por um firewall de todas asoutras redes, incluindo a Internet e outras redes internas. O propósito típico por trás daimplementação de uma zona desmilitarizada é bloquear o acesso a servidores que fornecem serviçospara a Internet, como e‑mail.

Os hackers geralmente obtêm acesso às redes identificando as portas TCP/UDP nas quais osaplicativos escutam as solicitações e, em seguida, explorando vulnerabilidades conhecidas emaplicativos. Os firewalls reduzem drasticamente o risco dessas explorações, controlando o acesso aportas específicas em servidores específicos.

O dispositivo pode ser adicionado facilmente a uma configuração de zona desmilitarizada. A maneiracomo você usa o dispositivo em uma zona desmilitarizada depende dos protocolos que pretendevarrer.

Configuração do SMTP em uma zona desmilitarizada Use estas informações para compreender como configurar dispositivos SMTP dentro de uma zonadesmilitarizada em sua rede.

A zona desmilitarizada é um bom local para criptografar e‑mails. No momento em que o tráfego dee‑mail alcança o firewall pela segunda vez (em seu caminho da zona desmilitarizada para a Internet),ele já está criptografado.

Os dispositivos com tráfego SMTP em uma zona desmilitarizada são geralmente configurados no modoProxy explícito.

As alterações na configuração só precisam ser feitas nos registros MX dos servidores de e‑mail.

NOTA: você pode usar o modo Ponte transparente ao varrer o SMTP em uma zona desmilitarizada.Entretanto, se você não controlar o fluxo do tráfego corretamente, o dispositivo varrerá cadamensagem duas vezes, uma em cada direção. Por essa razão, o modo Proxy explícito é geralmenteusado para a varredura do SMTP.

Retransmissão de e‑mail

Figura 1-7 Configuração como uma retransmissão de e‑mail

Preparação para a instalaçãoEstratégias de distribuição para uso do dispositivo em uma zona desmilitarizada 1


Se você tiver uma retransmissão de e‑mail já configurada em sua zona desmilitarizada, poderásubstituir a retransmissão pelo dispositivo.

Para usar as políticas de firewall existentes, forneça ao dispositivo o mesmo endereço IP daretransmissão de e‑mail.

Gateway de e‑mail

O SMTP não fornece métodos para criptografar mensagens de e‑mail — você pode usar o TLS(Transport Layer Security) para criptografar o link, mas não as mensagens de e‑mail. Como resultado,algumas empresas não permitem esse tráfego em suas redes internas. Para superar isso, elasgeralmente usam um gateway de e‑mail proprietário, como o Lotus Notes® ou o Microsoft® Exchange,para criptografar o tráfego de e‑mail antes que ele alcance a Internet.

Para implementar uma configuração de zona desmilitarizada usando um gateway de e‑mailproprietário, adicione o dispositivo de varredura à zona desmilitarizada no lado SMTP do gateway.

Figura 1-8 Configuração como um gateway de e‑mail

Nessa situação, configure:

• Os registros MX públicos para instruir os servidores de e‑mail externos a enviar todo o e‑mailrecebido para o dispositivo (em vez do gateway).

• O dispositivo para encaminhar todo o e‑mail recebido para o gateway de e‑mail e entregar todo oe‑mail enviado usando DNS ou uma retransmissão externa.

• O gateway de e‑mail para encaminhar todo o e‑mail recebido para os servidores de e‑mail internose todos os outros e‑mails (enviados) para o dispositivo.

• O firewall para permitir e‑mails recebidos que sejam destinados somente ao dispositivo.

Os firewalls configurados para usar a conversão de endereços de rede (NAT) e que redirecionam e‑mailsrecebidos para servidores de e‑mail internos não precisam de seus registros MX públicosreconfigurados. Isso ocorre porque eles estão direcionando o tráfego para o firewall em vez de para opróprio gateway de e‑mail. Nesse caso, o firewall deve ser reconfigurado para direcionar solicitações dee‑mail recebido para o dispositivo.

1 Preparação para a instalaçãoEstratégias de distribuição para uso do dispositivo em uma zona desmilitarizada


Regras de firewall específicas para Lotus NotesUse estas informações para identificar considerações específicas ao proteger os sistemas Lotus Notes.

Por padrão, os servidores do Lotus Notes se comunicam pela porta TCP 1352. As regras de firewallgeralmente usadas para servidores seguros do Notes em uma zona desmilitarizada permitem oseguinte através do firewall:

• Solicitações SMTP recebidas (porta TCP 25) originárias da Internet e destinadas ao dispositivo

• Solicitações da porta TCP 1352 originárias do gateway do Notes e destinadas a um servidor internodo Notes

• Solicitações da porta TCP 1352 originárias de um servidor interno do Notes e destinadas a umgateway do Notes

• Solicitações SMTP originárias do dispositivo e destinadas à Internet

Todas as outras solicitações SMTP e da porta TCP 1352 são recusadas.

Regras de firewall específicas para Microsoft ExchangeUse estas informações para identificar considerações específicas ao proteger os sistemas MicrosoftExchange.

Um sistema de e‑mail baseado no Microsoft Exchange requer uma solução alternativa significativa.

Quando os servidores Exchange se comunicam entre si, eles enviam seus pacotes iniciais usando oprotocolo RPC (porta TCP 135). Entretanto, depois que a comunicação inicial é estabelecida, duasportas são escolhidas dinamicamente e usadas para enviar todos os pacotes subsequentes do restanteda comunicação. Não é possível configurar um firewall para reconhecer essas portas escolhidasdinamicamente. Portanto, o firewall não passa os pacotes.

A alternativa é modificar o registro em cada um dos servidores Exchange que se comunicam atravésdo firewall para usar sempre as mesmas duas portas “dinâmicas” e, em seguida, abrir a TCP 135 eessas duas portas no firewall.

Mencionamos essa alternativa para fornecer uma explicação abrangente, mas não a recomendamos. Oprotocolo RPC é amplamente difundido em redes Microsoft — a abertura da entrada TCP 135 é umsinal de alerta para a maioria dos profissionais de segurança.

Se você pretende usar essa alternativa, poderá encontrar detalhes no seguinte artigo da Base deDados de Conhecimento no site da Microsoft:

http://support.microsoft.com/kb/q176466/

Gerenciamento de carga de trabalhoUse estas informações para aprender sobre os recursos de gerenciamento de carga de trabalho doMcAfee Email Gateway.

Os appliances incluem seu próprio gerenciamento de carga de trabalho interno, distribuindo a carga devarredura igualmente entre todos os appliances configurados para trabalhar juntos.

Não é necessário distribuir um balanceador de carga externo.

Preparação para a instalaçãoEstratégias de distribuição para uso do dispositivo em uma zona desmilitarizada 1


http://support.microsoft.com/kb/q176466/

1 Preparação para a instalaçãoEstratégias de distribuição para uso do dispositivo em uma zona desmilitarizada


2 Conectando e configurando o servidorblade

Use esta seção para entender os conceitos, processos e considerações necessários para conectar econfigurar o seu servidor blade.

O McAfee Email Gateway Blade Server pode ser conectado à sua rede e configurado nos seguintesmodos:

• Modo padrão (não resiliente)

• Modo resiliente

Modo padrão (não resiliente)

O modo padrão (não resiliente) utilize os mesmos componentes e processos para conectar o seuservidor blade à sua rede que foram usados em todas as versões anteriores do produto do McAfeeEmail Gateway Blade Server.

No modo padrão (não resiliente), seu servidor blade não está imune dos efeitos causados pela falha dehardware. Para tornar‑se resiliente a falhas de hardware, considere alterar para o modo resiliente apóster ajustado, configurado, e testado completamente o seu servidor blade.

Modo resiliente

Após ter configurado o seu servidor blade para operar no modo padrão (não resiliente), consulteOperação no modo resiliente para obter mais detalhes sobre alternar para a operação no modoresiliente.

O McAfee Email Gateway Blade Server inclui a operação no modo resiliente para o servidor blade.Neste modo, todas as conexões entre sua rede, servidor blade, e também as conexões dentro doinvólucro do servidor blade são feitas de tal maneira que diversos caminhos são utilizados.

Esses vários caminhos fornecem maior resiliência à falha de qualquer componente, seja dentro doservidor blade, nos dispositivos ou no cabeamento da rede necessários para rotear o tráfego entre asua rede e o servidor blade.

Conteúdo Fazendo upgrade de versões anteriores Instalação padrão Instalando o software Uso do console de configuração

2


Fazendo upgrade de versões anterioresUse estas informações para entender as opções de upgrade disponíveis.

O tópicos a seguir discutem a atualizações de um McAfee Email Gateway Blade Server existente, oqual está executando o software do Email and Web Security Appliance, para usar o software doMcAfee Email Gateway.

Para fazer upgrade da versão 5.6 do Email and Web Security para o McAfee Email Gateway, você deveprimeiro migrar para o último patch da versão 7.0 do McAfee Email Gateway e, em seguida, migrar daversão 7.0 do McAfee Email Gateway para o McAfee Email Gateway.

Se você pretende migrar para a operação no modo resiliente, será necessário reconfigurar fisicamenteas interconexões dentro do servidor blade.

Para fazer upgrade de instalações anteriores para o McAfee Email Gateway, é necessário organizar umainterrupção de rede, pois o servidor blade interromperá o tráfego de varredura durante a realização doupgrade.

Antes de fazer upgrade do software nos blades de gerenciamento de failover e de gerenciamento,consulte Configurando as interconexões ao fazer upgrade de uma versão anterior e, se estiverconsiderando usar o modo resiliente, Como o modo resiliente utiliza o hardware.

Não é possível instalar o McAfee Email Gateway no servidor blade existente e manter os protocolos deWeb configurados anteriormente (software do Email and Web Security com varredura de Web ativadaou McAfee Web Gateway). Uma instalação do McAfee Email Gateway é somente para e‑mail.

Esta etapa... está descrita neste tópico...

1. Faça backup da configuração existente Fazendo backup da configuração existente

2. Desligue todos os blades de varredura Desligando os blades de varredura

3. Desligue ambos os blades de gerenciamento Desligando os blades de gerenciamento

4. Faça upgrade do software em ambos osblades de gerenciamento

Fazendo upgrade do software do blade degerenciamento

5. Reinstale os blades de varredura Reinstalando os blades de varredura

6. Configure para o modo resiliente (senecessário)

Decisão sobre o uso ou não do modo resilienteMigrando para a operação no modo resiliente

Configuração das interconexões durante a atualização de umaversão anteriorUse estas informações para entender como as interconexões precisam ser configuradas para os modosde operação resiliente e padrão.

O McAfee Email Gateway Blade Server introduz algumas alterações na forma como o servidor bladeusa o hardware, especialmente os módulos de interconexão, dentro do invólucro do blade.

As versões anteriores do McAfee Email Gateway Blade Server, que executam o software Email andWeb Security Appliances, usavam dois módulos de interconexão: interconexão 1 para LAN1, einterconexão 2 para LAN2.

O hardware fornecido com o McAfee Email Gateway Blade Server usa:

• Interconexão 1 para LAN1, e interconexão 3 para LAN2 por padrão (modo não resiliente)

• Ou, interconexão 1 e interconexão 2 para LAN1, e interconexão 3 e interconexão 4 para LAN2 nomodo resiliente

2 Conectando e configurando o servidor bladeFazendo upgrade de versões anteriores


Consulte Como o modo resiliente usa o hardware para obter mais detalhes.

Fazendo backup da configuração existenteUse essa função para fazer backup da configuração existente do McAfee Email Gateway Blade Server.

A McAfee recomenda fazer um backup completo da configuração do seu servidor blade antes de fazerum upgrade, mesmo que você pretenda usar uma das opções de upgrade que restaura e faz backupda sua configuração.

Tarefa1 Na interface do usuário, navegue até Sistema | Administração do sistema | Gerenciamento de configuração.

2 Selecione os itens opcionais que você deseja incluir no backup (dependendo da versão). A McAfeerecomenda fazer backup de todas as opções antes de atualizar o seu servidor blade.

3 Clique em Fazer backup da configuração.

4 Após um curto intervalo de tempo, uma caixa de diálogo será exibida, permitindo a você fazerdownload do arquivo de backup das configurações em seu computador local.

Desligando os blades de varreduraUse esta tarefa para desligar os blades de varredura no McAfee Email Gateway Blade Server.

Antes de iniciarCertifique‑se de ter conseguido um momento adequado para desligar os blades devarredura, quando o tráfego de rede estiver mais baixo e as interrupções puderem sermantidas a um nível mínimo.

Tarefa1 Na interface de usuário do blade de gerenciamento, navegue até Sistema | Administração do sistema |

Gerenciamento do cluster.

2 Digite a senha de administrador na caixa de texto.

3 Clique em Desligar, localizado próximo ao blade de varredura que você deseja desligar.

4 Se necessário, repita estas etapas para os outros blades de varredura que você deseja desligar.

Desligando os blades de gerenciamentoDesligue os blades de gerenciamento de failover ou de gerenciamento no McAfee Email Gateway BladeServer.

Antes de iniciarCertifique‑se de ter conseguido um momento adequado para desligar os blades degerenciamento, quando o tráfego de rede estiver mais baixo e as interrupções puderem sermantidas a um nível mínimo.

Verifique se todos os blades de varredura terminaram de desligar antes de começar oprocedimento de desligamento dos blades de gerenciamento.

Conectando e configurando o servidor bladeFazendo upgrade de versões anteriores 2


Tarefa1 Na interface de usuário do blade de gerenciamento do blade de gerenciamento ou de

gerenciamento de failover a ser desligado, navegue até Sistema | Administração do sistema | Gerenciamentodo cluster.

2 Digite sua senha na caixa de texto próxima a Desligar appliance.

3 Clique em Desligar appliance.

4 Se necessário, repita estas etapas para o blade de gerenciamento restante.

Fazendo upgrade do software do blade de gerenciamentoUse esta função para fazer upgrade do software instalado nos blades de gerenciamento do McAfeeEmail Gateway Blade Server.

Antes de iniciarCertifique‑se de familiarizar‑se com o módulo iLO da HP. Consulte Guia do usuário do iLO daHP para obter mais detalhes.

Use esta função para fazer upgrade do software do McAfee Email Gateway Blade Server instalado nosblades de gerenciamento de failover e de gerenciamento.

Ao fazer upgrade de um McAfee Email Gateway Blade Server existente para a versão mais recente dosoftware, certifique‑se de instalar o software no blade de gerenciamento de failover e no blade degerenciamento.

Você escolher a forma como o software do servidor blade é atualizado:

• Executar uma instalação completa sobrescrevendo os dados existentes.

• Instalar o software preservando configuração e mensagens de e‑mail.

• Instalar o software preservando somente a configuração de rede.

• Instalar o software preservando somente a configuração.

Devido a uma alteração de arquitetura entre as versões anteriores e as atuais do software, vocêprecisará certificar‑se de modificar o identificador de cluster para que seja definido a um valor entre 0 e255 ao fazer upgrade utilizando um método que preserva a configuração da versão anterior. Essaconfiguração pode ser encontrada em Sistema | Administração do sistema | Gerenciamento do cluster.

Tarefa1 Desligue o blade de gerenciamento que está sendo atualizado.

2 Escolha o método de instalação:

• Insira o CD‑ROM que contém o software do McAfee Email Gateway em uma unidade externa deCD‑ROM conectada ao blade de gerenciamento que está sendo atualizado.

• Conecte‑se ao Onboard Administrator (OA) da HP no invólucro do servidor blade e, em seguida,acesse cada um dos blades individuais usando o módulo iLO da HP via Informações do invólucro |Device bay.

Você também pode optar por instalar o software a partir de uma unidade USB, conectada ao bladeou ao invólucro.

2 Conectando e configurando o servidor bladeFazendo upgrade de versões anteriores




3 Uma vez conectado ao Onboard Administrator da HP, selecione o blade de gerenciamento escolhidousando o console iLO.

O blade de gerenciamento está localizado no slot 1 e o blade de gerenciamento de failover estálocalizado no slot 2 do invólucro.

4 No Onboard Administrator da HP, selecione Informações sobre o invólucro | Device bay | Opções de inicialização.

5 Verifique se o CD‑ROM é a primeira unidade listada na lista de inicialização.

6 Selecione a guia Dispositivos virtuais.

7 Clique em Pressionar momentaneamente para inicializar o blade de gerenciamento a partir do CD‑ROM.

8 Siga as instruções fornecidas para selecionar a opções de upgrade necessárias e, em seguida,selecione as imagens de software a serem instaladas.

Reinstalando os blades de varreduraReinstale os blades de varredura em seu McAfee Email Gateway Blade Server.

Antes de iniciarCertifique‑se de familiarizar‑se com o módulo iLO da HP. Consulte Guia do usuário do iLO daHP para obter mais detalhes.

Tarefa1 No Onboard Administrator da HP, selecione Informações sobre o invólucro | Device bay para se conectar à

interface iLO da HP para que o blade de varredura seja reinstalado.

2 Selecione a guia Opções de inicialização.

3 Na lista suspensa Inicializar uma vez a partir de: , selecione PXE NIC **.

4 Clique em Aplicar.

5 Selecione a guia Dispositivos virtuais.

6 Clique em Pressionar momentaneamente para inicializar o blade de varredura a partir da imagemarmazenada no blade de gerenciamento.

7 Repita estas etapas para todos os blades de varredura que estão sendo reinstalados.

Instalação padrãoInstale o McAfee Email Gateway Blade Server usando a instalação padrão.

A tabela a seguir fornece uma visão geral do processo de instalação do McAfee Email Gateway BladeServer.

Essa tabela também serve como primeiras etapas caso você pretenda reconfigurar o servidor bladepara a operação no modo resiliente.

Conectando e configurando o servidor bladeInstalação padrão 2




Tabela 2-1 Etapas da instalação padrão

Esta etapa... está descrita aqui.

1. Desembale a embalagem e verifique oconteúdo com relação às listas de peças nacaixa.

Listas de peças

2. Monte o invólucro no rack e instale oOnboard Administrator (OA) e todas asinterconexões.

Instalação física do servidor bladeInstalando as interconexões

Consulte também

Instruções para a rápida instalação do invólucroHP BladeSystem c7000

Guia de instalação e configuração do invólucro HPBladeSystem c7000

Guia do usuário do iLO da HP

3. Conecte os periféricos e a alimentação. Fornecendo energia ao servidor bladeConsulte também

Instruções para a rápida instalação do invólucroHP BladeSystem c7000

Guia de instalação e configuração do invólucro HPBladeSystem c7000

Guia do usuário do iLO da HP

4. Conecte o servidor blade à rede. Conexão à rede

5. Configure o HP Onboard Administrator. Guia de instalação e configuração do invólucro HPBladeSystem c7000Guia do usuário do iLO da HP

6. Instale o software nos blades degerenciamento.

Instalando o software

7. Execute a configuração básica. Usando o console de configuração

8. Selecione o software a ser instalado Imagens de software

9. Instale cada blade de varredura de conteúdo,por sua vez, e a inicialização PXE do blade degerenciamento.

Instalando o software em um blade de varredurade conteúdo

10. Roteie o tráfego de rede de teste através doservidor blade.

Testando a configuração

11. Teste se o tráfego de rede está sendovarrido.

Testando a configuração

12. Configure as políticas e os relatórios. Usando as políticas para gerenciar a varredura demensagens

13. Configure o tráfego de produção pelosistema.

Usando o console de configuração

Conectar o servidor blade à sua rede poderá atrapalhar o acesso a e‑mail ou outros serviços da rede.Assegure‑se de organizar o tempo de inatividade da rede para isso e de programar essa conexãodurante os períodos de pouco uso da rede.

2 Conectando e configurando o servidor bladeInstalação padrão















Instalação física do servidor bladeO McAfee Email Gateway Blade Server deve ser localizado e instalado no local previsto para ele.

Para obter mais informações sobre a desmontagem e a remontagem dos invólucros e componentes doservidor blade, consulte Instruções para a instalação rápida do invólucro HP BladeSystem c7000 e Guiade instalação e configuração do invólucro HP BladeSystem c7000.

Tarefa1 Remova o servidor blade da embalagem protetora e coloque‑o sobre uma superfície plana.

Devido ao seu peso, desembale o servidor blade o mais próximo possível do local de instalação.

2 Remova os componentes dianteiros, componentes traseiros e a armação traseira do servidor blade.

3 Reinstale a armação traseira, fontes de energia, ventoinhas de refrigeração, interconexões, e oscomponentes do Onboard Administrator.

Para fornecer redundância em caso de falha na unidade de refrigeração ou na fonte de energia, aMcAfee recomenda que você instale e utilize todas as fontes de energia e ventoinhas derefrigeração.

4 Conecte um monitor e um teclado ao servidor blade.

5 Conecte os cabos de alimentação ao monitor e ao servidor blade, mas não os conecte às fontes dealimentação ainda.

Instalar as interconexões para o modo padrão (não resiliente)Instale os módulos de interconexão no invólucro McAfee Email Gateway Blade Server.

Antes de fazer qualquer conexão, é necessário instalar e configurar as interconexões de Ethernet.

Tabela 2-2 Registro

# Descrição

Conexões de alimentação

Interconexão 1 (conexões com a LAN 1)

Interconexão 3 (conexões com a LAN 2)

Se estiver atualizando de versões anteriores no hardware existente, consulte Configuração dasinterconexões ao atualizar de uma versão anterior.

Conexão do Onboard Administrator

Módulo do Onboard Administrator

Acesso fora de banda (porta 20)

Isso é ativado somente após as interconexões terem sido configuradas.

As interconexões são instaladas na parte traseira do invólucro, abaixo da fileira superior de ventoinhasde refrigeração.






A interconexão da LAN 1 é instalada na baia de interconexões superior esquerda, e a interconexão daLAN 2 é instalada logo abaixo da interconexão da LAN 1 na baia de interconexões inferior esquerda.

Figura 2-1 Localização dos componentes traseiros — modo padrão (não resiliente)

Certifique‑se de:

• Desativar o STP (Spanning Tree Protocol) para o STG 1 (por padrão, todas as portas são membrosdo grupo STP 1). (Se você estiver instalado o seu servidor blade no modo de ponte transparente.)

• Configurar as listas de controle de acesso (ACLs) nas interconexões para isolar os blades devarredura de conteúdo dos endereços DHCP externos de recebimento.

• Configurar as ACLs de modo que os pacotes de pulsação do blade sejam mantidos dentro doservidor blade.

• Se o tráfego marcado pela VLAN (rede local virtual) precisar passar pelo servidor blade, asinterconexões precisarão ser configuradas para permitir a passagem deste tráfego.

As informações sobre como fazer isso são fornecidas na documentação listada abaixo:

• Instalação rápida do HP GbE2c Layer 2/3 Ethernet Blade Switch para o BladeSystem classe C

• Guia do usuário do HP GbE2c Layer 2/3 Ethernet Blade Switch para o BladeSystem classe C

Se estiver planejando reconfigurar o seu servidor blade para a operação no modo resiliente em umadata posterior, convém considerar a instalação de todas as interconexões necessárias neste estágio,conforme detalhado em Instalando as interconexões para o modo resiliente.

Fornecendo energia ao servidor bladeConecte e ligue a alimentação do McAfee Email Gateway Blade Server.

Para certificar‑se de que todos os blades liguem, use dois circuitos de energia diferentes.



http://bizsupport.austin.hp.com/bc/docs/support/SupportManual/c00865002/c00865002.pdf


Se somente um circuito for utilizado, e a configurações do gerenciamento de energia forem definidaspara CA redundante (conforme recomendado), alguns blades falharão ao serem ligados.

Tarefa1 Conecte os cabos de energia do servidor blade à unidades de alimentação blade e às tomadas de

energia.

Se os cabos de alimentação não forem adequados no país de uso, entre em contato com ofornecedor.

2 Ligue o servidor blade pressionando os botões de ligar nos blades de gerenciamento de failover ede gerenciamento.

Usando as opções de alimentação DCConsidere os requisitos para utilizar as opções de alimentação DC com o McAfee Email Gateway BladeServer.

Se você adquirir as opções de alimentação relevantes, o McAfee Email Gateway Blade Server pode serligado a partir de sistemas de alimentação de corrente contínua (DC).

Consulte Guia de instalação de configuração do invólucro HP BladeSystem c7000 Carrier‑Grade paraobter informações sobre como usar fontes de alimentação DC com o McAfee Email Gateway BladeServer.

Para reduzir o risco de choque elétrico ou danos ao equipamento, instale a fonte de alimentação DC doHP BladeSystem de acordo com as seguintes instruções:

• Apenas eletricistas qualificados com experiência em trabalhar com sistemas de energiaDC, devem conectar o McAfee Email Gateway Blade Server ao sistema de alimentaçãoDC.

• Instale este produto somente em um local de acesso restrito.

• Ligue este aparelho a uma fonte de energia DC que possa ser classificada como umcircuito secundário de acordo com os requisitos nacionais aplicáveis para equipamentosde tecnologia da informação.

Em geral, estes requisitos são baseados na Norma Internacional de Segurança deEquipamentos de Informática, IEC 60950‑1. A fonte deve ter um polo (neutro/retorno)referenciado à terra de acordo com os códigos e regulamentos elétricos locais eregionais.

• Ligue este aparelho a um dispositivo de distribuição de energia que fornece um meio deinterromper a alimentação do circuito de ramificação. O dispositivo de distribuição deenergia deve estar equipado com um dispositivo de proteção de sobrecorrente que possainterromper as correntes de falha disponíveis a partir da fonte principal e que estejaavaliado em mais de 120 A.

• Conecte o conjunto de cabos de aterramento verde/amarelo a um terminal deaterramento adequado. Não confie no rack ou chassi do gabinete para fornecer acontinuidade adequada de aterramento.

• Certifique‑se sempre de que o equipamento esteja adequadamente aterrado e que sigaos procedimentos adequados de aterramento antes de iniciar qualquer procedimento deinstalação. O aterramento inadequado pode resultar em danos causados por descargaeletrostática (ESD) aos componentes eletrônicos.



http://h10032.www1.hp.com/ctg/Manual/c01570075.pdf

Conexão à redeSaiba como conectar o McAfee Email Gateway à sua rede.

As interconexões e os cabos usados para conectar o servidor blade à rede dependem do modo de redeselecionado. Para obter informações sobre modos de rede, consulte Considerações sobre modos derede.

Ao fazer atualização de uma versão anterior no hardware existente, consulte Configuração deinterconexões ao atualizar de uma versão anterior, para obter informações sobre as conexões de rede aserem usadas.

No modo padrão, são necessárias as seguintes conexões entre seu servidor blade e seus switches derede:

• Modo Ponte transparente — O servidor blade age como uma ponte entre dois segmentos darede. Conecte a Interconexão 1 (LAN1) a um segmento e a Interconexão 3 (LAN2) a outro usandocabos conectados a uma das portas, de 21 a 24, em cada unidade de Interconexão. A conexão degerenciamento fora de banda pode ser feita e configurada com outra das portas LAN2.

• Modo Roteador transparente — O servidor blade age como um roteador, unindo duas redesseparadas. Conecte a Interconexão 1 (LAN1) a uma rede e a Interconexão 3 (LAN2) a outrausando cabos conectados a uma das portas, de 21 a 24, em cada unidade de Interconexão. Aconexão de gerenciamento fora de banda pode ser feita e configurada com outra das portas LAN2.

• Modo Proxy explícito — Uma única conexão é necessária entre a Interconexão 3 (LAN2) e arede. (Nos sistemas atualizados que usam hardware mais antigo, a LAN2 é conectada usando‑se aInterconexão 2.) A LAN1 pode ser usada para a conexão com a rede, mas o desempenho máximo éobtido quando a LAN1 é usada para a rede de varredura dentro do servidor blade. (Essa restriçãonão se aplica quando é usado o modo resiliente.)

Uso de conexões de LAN de cobreSaiba como conectar o McAfee Email Gateway à sua rede usando conexões de cobre.

Usando as conexões de interconexão LAN1 e LAN2 e os cabos de rede fornecidos (ou cabos EthernetCat 5e ou Cat 6 equivalentes), conecte o servidor blade à sua rede de acordo com o modo de redeescolhido.

Modo Ponte transparente

Use os cabos de LAN de cobre (fornecidos) para conectar os switches LAN1 e LAN2 do Email Gatewayà sua rede para que o appliance seja inserido no fluxo de dados.

Modo Roteador transparente

O Email Gateway funciona como um roteador. Os segmentos da LAN conectados às duas interfaces derede devem portanto estar em sub‑redes IP diferentes. Eles devem substituir um roteador existente ouuma nova sub‑rede deverá ser criada em um lado do appliance. Faça isso alterando o endereço IP ou amáscara de rede usada pelos computadores daquele lado.

Modo Proxy explícito

Use um cabo de LAN de cobre (fornecido) para conectar o switch LAN1 ou LAN2 à sua rede. O cabo éum cabo direto (não cruzado) e conecta o appliance a um switch de rede RJ‑45 normal não cruzado.

A LAN1 pode ser usada para a conexão com a rede, mas o desempenho máximo é obtido quando aLAN1 é usada para a rede de varredura dentro do servidor blade. (Essa restrição não se aplica quandoé usado o modo resiliente.)



Uso de conexões de LAN de fibraSaiba como conectar o McAfee Email Gateway à sua rede usando conexões de fibra óptica.

Antes de fazer quaisquer conexões, você deve instalar os transceptores de fibra óptica SFP (SmallForm‑Factor Pluggable). Para isso, consulte: HP GbE2c Layer 2/3 Ethernet Blade Switch for c‑ClassBladeSystem.

Use somente os transceptores SFP de fibra óptica fornecidos pela HP ou pela McAfee. O uso detransceptores SFP de outros fornecedores pode impedir o acesso ao servidor blade.

Usando as interconexões LAN1 e LAN2 e os cabos de fibra, conecte o servidor blade à sua rede deacordo com o modo de rede escolhido.

Modo Ponte transparenteUse os cabos de fibra para conectar as interconexões LAN1 e LAN2 à sua rede.

Modo Roteador transparenteUse os cabos de fibra para conectar as interconexões LAN1 e LAN2 a sub‑redes IP diferentes.

Modo Proxy explícitoUse um cabo de fibra para conectar as interconexões LAN2 do servidor blade à sua rede.

A LAN1 pode ser usada para a conexão com a rede, mas o desempenho máximo é obtido quando aLAN1 é usada para a rede de varredura dentro do servidor blade. (Essa restrição não se aplica quandoé usado o modo resiliente.)

Instalando o softwareO software do McAfee Email Gateway deve ser instalado nos blades de gerenciamento e nos blades degerenciamento de failover.

Ordem de instalação dos blades de gerenciamentoInstale simultaneamente ambos os blades de gerenciamento.

Instale fisicamente os blades de gerenciamento e os blades de gerenciamento de failover nos slots 1 e2 dentro do invólucro do servidor blade.

Usando as instruções fornecidas em Instalando o software nos blades de gerenciamento, conecte‑se aambos os blades de gerenciamento, e instale o software.

Configurar ambos os blades de gerenciamento ao mesmo tempo não só agiliza o processo, comotambém impede que o segundo blade de gerenciamento seja atribuído a um endereço IP na rede devarredura quando o primeiro blade de gerenciamento inicializar o seu servidor DHCP.

Instalando o software nos blades de gerenciamentoInstale o software no blade de gerenciamento e no blade de gerenciamento de failover.

Antes de iniciarVerifique se há versões mais recentes do seu software disponíveis no site de downloads daMcAfee: http://www.mcafee.com/us/downloads/

Você precisará de um número de concessão válido.

Conectando e configurando o servidor bladeInstalando o software 2




http://www.mcafee.com/us/downloads/

Você pode instalar o software no servidor blade localmente ou remotamente, usando o recursointegrado Lights‑Out. O recurso integrado Lights‑Out possui um recurso de mídia virtual que você podeusar para montar uma unidade física de CD‑ROM remotamente, um arquivo de imagem iso ou umaunidade USB que contém informações sobre a instalação.

Tarefa1 Insira o blade de gerenciamento na posição 1 e o blade de gerenciamento de failover na posição 2

do invólucro do seu servidor blade.

2 Se conecte ao servidor blade:

• Conectando o cabo fornecido, um monitor, teclado, e unidade USB de CD‑ROM ao próximoconector do blade de gerenciamento ou do blade de gerenciamento de failover.

• Para a instalação remota, acesse o módulo iLO (integrated Lights‑Out) usando o administradoron‑board para estabelecer uma sessão KVM remota.

3 Inicialize o blade de gerenciamento ou blade de gerenciamento de failover a partir do CD deinstalação e recuperação. O software é instalado no blade selecionado.

4 Defina a configuração básica. Consulte Usando o console de configuração.

Sincronizando as alterações de configuraçãoSaiba como as alterações de configuração são sincronizadas entre os blades.

Todas as alterações feitas na configurações do blade de gerenciamento são sincronizadasautomaticamente com o blade de gerenciamento de failover e os blades de varredura de conteúdo.

No Dashboard, verifique o status dos blades de gerenciamento de failover e de gerenciamento paracertificar‑se de que a sincronização tenha ocorrido.

Instalando o software em um blade de varredura de conteúdoInstale o software em um blade de varredura de conteúdo.

Tarefa1 Na interface do usuário, selecione Dashboard. O Status do blade é mostrado na parte inferior da página.

2 Insira o blade de varredura de conteúdo no invólucro. O blade será exibido na página Status do bladecom um status de INSTALAR. O software é instalado automaticamente no blade de varredura deconteúdo do blade de gerenciamento. Esse processo leva cerca de 10 minutos para ser concluído.

3 As informações são atualizadas automaticamente. Após alguns minutos, o status é alterado paraINICIALIZAÇÃO, em seguida, para SINCRONIZAÇÃO e, em seguida, para OK.

O novo blade de varredura de conteúdo agora está funcionando.

Uso do console de configuração Saiba como usar o console de configuração para configurar o seu McAfee Email Gateway.

Você pode configurar o seu McAfee Email Gateway Blade Server pelo console de configuração ou peloassistente de instalação na interface do usuário.

A configuração se aplica apenas aos blades de gerenciamento e de gerenciamento de failover, não aosblades de varredura.

2 Conectando e configurando o servidor bladeUso do console de configuração


O Console de configuração é iniciado automaticamente no final da sequência de inicialização após:

• a inicialização de um McAfee Email Gateway não configurado

• ou a redefinição de um McAfee Email Gateway aos padrões de fábrica.

Quando iniciado, o Console de configuração oferece opções para configurar o seu dispositivo no idioma depreferência por meio do console do McAfee Email Gateway, ou fornece instruções para se conectar aoAssistente de instalação na interface de usuário de outro computador na mesma sub‑rede classe C (/24).Os dois métodos oferecem as mesmas opções para configurar o McAfee Email Gateway.

É possível configurar uma nova instalação de software do dispositivo por meio do Console de configuração.Entretanto, para configurar o seu dispositivo usando um arquivo de configuração salvo anteriormente,será necessário efetuar logon na interface de usuário do dispositivo e executar o assistente deinstalação (Sistema | Assistente de instalação).

Esta versão do software apresenta também a configuração automática usando DHCP para os seguintesparâmetros:

• Nome do host • Servidor DNS

• Nome do domínio • Endereço IP dedicado

• Gateway padrão • Servidor NTP

Informações adicionais sobre cada página do Console de configuração e do Assistente de instalaçãoencontram‑se disponíveis na tela.

Execução de uma Instalação personalizada Use estas informações para compreender o propósito da Instalação personalizada.

Use a Instalação personalizada para ter maior controle sobre as opções que você pode selecionar, incluindoo modo de operação do seu dispositivo. É possível optar por proteger o tráfego de e‑mail usando osprotocolos SMTP e POP3. Use essa opção de configuração se precisar configurar o IPv6 e fazerquaisquer outras alterações na configuração padrão.

Para a Instalação personalizada, o assistente inclui estas páginas:

• Configuração do e‑mail • DNS e roteamento

• Configurações básicas • Configurações de hora

• Configurações de rede • Senha

• Gerenciamento do cluster • Resumo

Restauração de um arquivoUse estas informações para compreender o propósito de restaurar a partir de um arquivo.

Ao configurar o seu dispositivo a partir do Assistente de instalação dentro da interface do usuário, o uso daopção Restaurar de um arquivo permite importar as informações salvas anteriormente e aplicá‑las ao seudispositivo. Depois de importar essas informações, é possível fazer alterações antes de aplicar aconfiguração.

A opção Restaurar de um arquivo não está disponível no Console de configuração. Para usar essa opção, vocêdeve efetuar login no McAfee Email Gateway e selecionar Restaurar de um arquivo no menu Sistema | Assistentede instalação.

Conectando e configurando o servidor bladeUso do console de configuração 2


Depois de importar as informações de configuração, verá as opções da Instalação personalizada no Assistentede instalação (consulte Execução de uma instalação personalizada.) Todas as opções importadas sãomostradas nas páginas do assistente, dando a você a oportunidade de fazer quaisquer correções antesde aplicar a configuração.

Ao usar a opção Restaurar de um arquivo, o assistente incluirá estas páginas:

• Importar configuração

• Valores a serem restaurados

Depois que essas informações estiverem carregadas, você verá as páginas da Instalação personalizada,para que possa fazer alterações adicionais antes de aplicar a nova configuração:

• Configuração do e‑mail • DNS e roteamento

• Configurações básicas • Configurações de hora

• Configurações de rede • Senha

• Gerenciamento do cluster • Resumo

Configuração somente de criptografiaUse estas informações para compreender o propósito das opções de Configuração somente decriptografia.

Em organizações de pequeno a médio porte, em geral, basta usar o mesmo McAfee Email Gatewaypara executar tarefas de varredura e criptografia de e‑mail.

No entanto, se você fizer parte de uma organização maior ou se trabalhar em um setor que exige quetodas as mensagens de e‑mail (ou uma alta porcentagem delas) sejam entregues de forma segura,convém configurar um ou mais dos seus dispositivosMcAfee Email Gateway como servidoresautônomos somente de criptografia.

Nessa situação, as opções de Configuração somente de criptografia no Assistente de instalação apresentam asconfigurações relevantes necessárias para o uso somente de criptografia.

2 Conectando e configurando o servidor bladeUso do console de configuração


3 Um tour pelo Dashboard

Esta seção descreve a página Dashboard e como editar suas preferências.

Conteúdo O Dashboard Explorando o servidor blade

O DashboardO Dashboard fornece um resumo da atividade do dispositivo.

Dashboard

Use essa página para acessar a maioria das páginas que controlam o appliance.

No blade principal do servidor blade do McAfee Email Gateway Blade Server, use essa página tambémpara exibir um resumo de toda a atividade nos blades de varredura do servidor blade do McAfee EmailGateway Blade Server.

3


Benefícios do uso do DashboardO Dashboard fornece um ponto central para a exibição de resumos das atividades do appliance por meiode uma série de portlets.

Figura 3-1 Portlets do Dashboard

Alguns portlets exibem gráficos que mostram a atividade do appliance nos seguintes períodos:

• 1 hora • 2 semanas

• 1 dia (o padrão) • 4 semanas

• 1 semana

No Dashboard, é possível fazer algumas alterações nas informações e nos gráficos exibidos:

• Expandir e recolher os dados do portlet usando os botões e do canto superior direito doportlet.

• Aprofundar até dados específicos usando os botões e .

• Ver um indicador de status que mostra se o item requer atenção:

• Íntegro — os itens relatados estão funcionando normalmente

• Requer atenção — um limite de aviso foi excedido

• Requer atenção imediata — um limite crítico foi excedido

• Desativado — um serviço não está ativado

• Usar e para aplicar mais ou menos zoom em uma linha cronológica de informações. Há umcurto atraso enquanto a exibição é atualizada. Por padrão, o Dashboard mostra dados relativos ao diaanterior.

3 Um tour pelo DashboardO Dashboard


• Mover um portlet para outro local do Dashboard.

• Dar um clique duplo na barra superior de um portlet para expandi‑lo pela parte superior doDashboard.

• Definir seus próprios limites de alerta e aviso para disparar eventos. Para fazer isso, destaque oitem e clique nele, edite os campos de limites de alerta e aviso e clique em Salvar. Quando o itemexceder o limite definido, um evento será disparado.

Dependendo do navegador usado para exibir a interface de usuário do McAfee Email Gateway, oDashboard "memoriza" o estado atual de cada portlet (se ele está expandido ou recolhido e se você seaprofundou para exibir dados específicos) e tenta recriar essa exibição, se você navegar para outrapágina de interface do usuário e retornar ao Dashboard dentro da mesma sessão de navegação.

Portlets do DashboardCompreender os portlets encontrados no dashboard da interface do usuário de seu McAfee EmailGateway.

Opção Definição

Resumo de e‑mailsrecebidos

Para obter informações de entrega e status das mensagens enviadas para suaorganização, use o portlet Resumo de e‑mails recebidos.

Resumo de e‑mailsenviados

Para obter informações de entrega e status das mensagens enviadas por suaorganização, use o portlet Resumo de e‑mails enviados.

Detecções SMTP Para descobrir o número total de mensagens que dispararam uma detecção combase no remetente ou na conexão, no destinatário ou no conteúdo, e para exibirdados específicos do tráfego SMTP de entrada ou de saída, use o portlet DetecçõesSMTP

Detecções POP3 Para ver quantas mensagens dispararam uma detecção com base em ameaçascomo vírus, compactadores ou imagens potencialmente inadequadas, use o portletDetecções POP3.

Resumo do sistema Para exibir informações sobre balanceamento de carga, espaço em disco usado paracada partição, utilização total da CPU, memória usada e disponível e detalhes detroca, use o portlet Resumo do sistema

Resumo dohardware

Para usar indicadores de status que mostram o status das interfaces de rede, dosservidores, do modo de ponte (se ativado) e do RAID, use o portlet Resumo dehardware.

Resumo de rede Para fornecer informações sobre o status das conexões, taxas de transferência econtadores relativos ao Bloqueio do modo de kernel, use o portlet Resumo de rede

Serviços Para exibir estatísticas de status de atualização e serviço com base em protocolo eservidores externos usados pelo dispositivo, use o portlet Serviços.

Formação declusters

Ao configurar seu dispositivo como parte de um cluster ou quando estiver usando ohardware do servidor blade, use o portlet Formação de clusters para fornecerinformações sobre todo o cluster.

Tarefas Para se vincular diretamente às áreas de interface do usuário que pesquisam fila demensagens, exibem relatórios, gerenciam políticas, definem configurações deprotocolo de e‑mail, da rede e do sistema e acessam recursos de solução deproblemas, use o portlet Tarefas.

Um tour pelo DashboardO Dashboard 3


Tarefa — Desligar o aviso Comentários do McAfee Global ThreatIntelligence desativadosEssa tarefa fornece a você o procedimento de desligar o aviso que informa que os comentários doMcafee Global Threat Intelligence estão atualmente desativados em seu appliance.

Por padrão, o appliance exibe uma mensagem de aviso se você não tiver ativado os comentários doMcAfee Global Threat Intelligence (GTI), pois a McAfee considera essa forma de comunicação umaprática recomendada.

Entretanto, se você estiver em um ambiente em que não pode ativar os comentários do McAfee GlobalThreat Intelligence (GTI), use a tarefa a seguir para desligar a mensagem de aviso.

Tarefa1 No Dashboard do appliance, selecione Editar na área Integridade do sistema.

2 Desmarque Mostrar um aviso se o comentário do McAfee GTI não estiver ativado.

3 Clique em OK.

O aviso Comentários do McAfee Global Threat Intelligence desativados está agora desmarcado.

Explorando o servidor bladeUse as tarefas e os cenários que mostram os principais benefícios de usar um servidor blade naproteção do seu tráfego de e‑mail.

Para concluir as tarefas e os cenários, você precisará de algumas informações que foram inseridas noconsole de configuração e no assistente de instalação.

Demonstrando o gerenciamento de carga de trabalho e defailoverDemonstrar o gerenciamento de carga de trabalho e o gerenciamento de redundância incorporado doservidor blade.

O seu servidor blade vem com pelo menos um blade de varredura de conteúdo. É possível adicionaroutros, conforme necessário. Este teste presume que você possui dois blades de varredura deconteúdo.

Para obter informações sobre como adicionar e remover blades do invólucro, consulte Instruções para arápida instalação do invólucro HP BladeSystem c3000 ou Instruções para a rápida instalação doinvólucro HP BladeSystem c7000.

Tarefa1 No Dashboard | Página do blade, selecione a guia Status do blade para assegurar‑se de que o

servidor esteja funcionando corretamente.

• O blade de gerenciamento possui o nome que você digitou usando o console de configuração. Oblade de gerenciamento de failover possui um status de REDE.

• O blade de gerenciamento de failover possui o nome que você digitou usando o console deconfiguração. O blade de gerenciamento de failover possui um status de REDUNDANTE.

• Os blades de varredura de conteúdo são chamados de blade01, blade02, etc., e possuem ostatus de OK.

3 Um tour pelo DashboardExplorando o servidor blade






2 Desligue e remova o blade de gerenciamento do invólucro e observe como o servidor bladecontinua a funcionar usando o blade de gerenciamento de failover.

• O estado do blade de gerenciamento de failover é alterado para Rede.

• O blade de gerenciamento é alterado para um estado de Falha.

3 Em Sistema | Gerenciamento do cluster, selecione um blade de varredura de conteúdo e clique em Desativarpara colocar esse blade de varredura de conteúdo no modo off‑line. O servidor blade continua avarrer o tráfego.

O design do servidor blade permite a remoção de um blade de varredura de conteúdo do invólucrosem antes interromper o blade de varredura de conteúdo. No entanto, a McAfee não recomenda quevocê faça isso, pois existe um pequeno risco de as informações contidas nas unidades de discoserem corrompidas.

4 Veja a coluna Mensagens para observar o número de mensagens que são processadas por cada bladede varredura de conteúdo.

5 Em Status do blade, selecione o blade de varredura de conteúdo que você desativou e clique emIniciar.

6 Veja novamente a coluna Mensagens. O servidor blade varre mais tráfego e equilibraautomaticamente a carga de varredura entre os dois blades.

7 Opcional: Adicione um terceiro blade de varredura de conteúdo ao invólucro e ative‑o.

8 Verifique novamente o Status do blade. O servidor blade varre até mesmo mais tráfego e equilibraautomaticamente a carga de varredura entre os três blades.

Testando os recursos de gerenciamento no servidor bladeDemonstre como os recursos do servidor blade reduzem a sobrecarga do gerenciamento de sistemas;o sistema é gerenciado como um só sistema mesmo você possuindo vários ou apenas um blade devarredura de conteúdo.

Você pode obter relatórios e informações sobre status para todos os blades usando as informaçõessobre status e registros. Você pode usar o blade de gerenciamento para manter os arquivos DATatualizados em todos os blades de varredura de conteúdo e também para gerenciar o local dequarentena.

Informações de status do servidor bladeEnquanto o tráfego passa pelo servidor blade, é possível olhar o Dashboard para obter informaçõesatualizadas sobre a taxa total de transferência do tráfego, detecções, e o desempenho de cadaprotocolo.

O Dashboard inclui informações específicas do blade, tais como:

• Status geral (blade de gerenciamento e blade de gerenciamento de failover)

• Status do hardware (blade de gerenciamento)

• Status do blade (todos os blades)

Esta tabela exibe as informações que você pode obter sobre todos os blades.

Um tour pelo DashboardExplorando o servidor blade 3


Velocímetro A taxa média de transferência do servidor blade, com base nas medidas obtidas emintervalos de alguns minutos.

Nome Nome do blade:• Blade de gerenciamento.

• Blade de gerenciamento de failover.

Estes nomes são especificados usando o console de configuração.

• Blade <número> — blades de varredura de conteúdo.

Estado O estado atual de cada blade.

Carga A carga geral do sistema de cada blade.

Ativo O número de conexões atualmente ativas em cada blade. A linha do blade degerenciamento mostra o total de todos os blades de varredura de conteúdo.

Conexões O número total de conexões desde que o contador foi zerado pela última vez. A linhado blade de gerenciamento mostra o total de todos os blades de varredura deconteúdo.

Outrascolunas

Informações sobre a versão do mecanismo antivírus, arquivos DAT do antivírus,mecanismo antispam e das regras antispam. Os números de versão serão iguais seos blades estiverem atualizados. Durante a atualização, os valores podem serdiferentes.

Geração de relatóriosO McAfee Email Gateway Blade Server inclui diversos relatórios pré‑definidos que podem ser baixadosnos formatos de texto, PDF, ou HTML. Você pode definir a programação dos relatórios que estão sendogerados, e definir para quem os relatórios são enviados. Também é possível criar seus própriosrelatórios.

O registro do servidor blade exibe as informações de evento de acordo com o tipo de relatório ouperíodo que você selecionou. Os recursos de geração de relatórios do servidor blade podem gerarrelatórios, ou mostrar registros, estatísticas, contadores de desempenho e gráficos para um amplointervalo de dados sobre o servidor blade e suas atividades, tais como uso de memória e processador.

Por exemplo, após executar as etapas em Testando a detecção de vírus e o tráfego de e‑mails, cliqueem Relatórios | Pesquisa de mensagens. O arquivo de teste EICAR que foi excluído é mostrado.

Informações adicionais sobre o relatório

Você pode:

• Salvar o relatório nos Favoritos. Isso permite que você execute o mesmo relatório futuramente.

• Sempre que necessário, alterne entre diferentes visualizações dos dados informados.

Use esta tarefa para atualizar os arquivos DAT do servidor blade e, em seguida, visualizar o relatórioatualizado.

Tarefa1 Selecione Sistema | Gerenciamento de componentes | Status da atualização.

2 Em Atualizações e informações sobre a versão, clique em Atualizar agora para qualquer atualização de antivírusou antispam.



3 Selecione Relatórios | Relatórios de e‑mail | Seleção | Filtrar.

4 Clique em Aplicar.

Serão exibidas as informações sobre as atualizações instaladas em seu servidor blade.

Usar as políticas para gerenciar a varredura de mensagensDemonstre os recursos do servidor blade em funcionamento. Elas fornecem instruções passo a passopara criar e testar algumas amostras de políticas e indicam como gerar relatórios aplicáveis.Uma política é um conjunto de configurações e regras que dizem ao servidor blade como combaterdeterminadas ameaças em sua rede. Ao criar políticas reais de varredura para a sua organização, éimportante que você gaste um tempo pesquisando e planejando os seus requisitos. Você podeencontrar instruções para ajudá‑lo com o planejamento de políticas na ajuda on‑line.

Antes de criar políticasAntes de criar políticas, configure o seu McAfee Email Gateway Blade Server para usar o McAfeeQuarantine Manager.Todas as ações de quarentena vêm desativadas por padrão. Antes de ativá‑las, configure o servidorblade para que use o McAfee Quarantine Manager para gerenciar o local de quarentena.

Tarefa1 Na interface do usuário, selecione E‑mail | Configuração de quarentena.

2 Selecione Usar um serviço McAfee Quarantine Manager (MQM) remoto.

3 Insira os detalhes do seu McAfee Quarantine Manager.

Caso esteja substituindo um appliance existente da McAfee pelo seu McAfee Email Gateway BladeServer, assegure‑se de usar o seu ID do appliance existente. Se você utilizar um ID do appliance diferente,não será possível liberar nenhuma mensagem que foi colocada em quarentena pelo applianceantigo.

4 Aplique as suas alterações.

Criar uma política de varredura antivírusAs políticas antivírus permitem que você ajuste a sua proteção contra vírus e malwares.Crie uma política de varredura antivírus para:

• Detectar vírus nas mensagens de entrada.

• Colocar o e‑mail original em quarentena.

• Notificar o destinatário.

• Alertar o remetente.

Use esta função para demonstrar o que acontece quando a regra de vírus de e‑mails em massa éacionada pelo arquivo de teste EICAR, e as ações que podem ser tomadas.

Tarefa1 No servidor blade, certifique‑se de estar usando McAfee Quarantine Manager (E‑mail | Configuração de

quarentena | Opções de quarentena).

2 No dispositivo, selecione Email | Email Policies | Anti‑Virus.

A política padrão é definida para Limpar ou substituir por um alerta, se a limpeza falhar.

3 Clique em Vírus: Limpar ou substituir por um alerta para exibir as Configurações antivírus padrão (SMTP).



4 Na guia Ações, em Se um vírus for detectado certifique‑se de que a opção Tentar limpar esteja selecionada.

5 Na seção E também abaixo da ação, selecione Enviar um e‑mail de notificação ao remetente e Colocar o e‑mailoriginal em quarentena.

6 Em Se a limpeza falhar, selecione Substituir o item detectado por um alerta.

7 Na seção E também abaixo de Se a limpeza falhar, selecione Enviar um e‑mail de notificação ao remetente e Colocar oe‑mail original em quarentena como ações secundárias.

8 Clique em OK.

9 Selecione E‑mail | Políticas de e‑mail | Políticas de varredura [opções do mecanismo de varredura] ‑‑ Configuração doendereço de e‑mail.

10 Em E‑mails devolvidos, atribua o endereço de e‑mail como um endereço de e‑mail do administrador.

Sem esta configuração, o dispositivo não incluíra um endereço de remetente na notificação dee‑mail. A maioria dos servidores de e‑mail não entrega e‑mails sem um endereço de remetente.

11 Clique em OK, em seguida, clique na marca de seleção verde.

12 Selecione E‑mail | Políticas de e‑mail | Políticas de varredura [antivírus] | Opções personalizadas de malware.

13 Selecione Remetentes de e‑mail em massa e, em seguida, defina Se detectado para Recusar conexão (bloquear).

O servidor de envio de e‑mails recebe uma mensagem de erro Código 550: negado pela política. Odispositivo mantém uma lista das conexões que não estão autorizadas a enviar e‑mails sobquaisquer circunstâncias. A lista pode ser visualizada em E‑mail | Configuração do e‑mail | Recebimento dee‑mail | Permitir e recusar [+] Conexões permitidas e bloqueadas. A opção Conexões recusadas está descrita na ajudaon‑line.

14 Teste a configuração:

a Envie um e‑mail de <endereço de e‑mail do cliente> para <endereço de e‑mail do servidor>.

b Crie um arquivo de texto que inclua a sequência a seguir:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR‑STANDARD‑ANTIVIRUS‑TEST‑FILE!$H+H*

c Salve o arquivo como eicar.txt.

d Anexe o arquivo ao e‑mail.

O Email Gateway substitui o arquivo por um alerta e o remetente recebe um alerta de notificação.

15 Retorne às Opções personalizadas de malware e clique em Nome específico da detecção:.

16 Digite EICAR.

17 Certifique‑se de que a ação principal seja Recusar os dados originais e retornar um código de erro (bloquear) e,em seguida, clique em OK.

18 A partir de uma conta de e‑mail externa, crie uma mensagem e anexe o arquivo de teste EICAR.

O cliente de e‑mail retornar a mensagem de erro 550: negado pela política. E‑mail | Configuração do e‑mail |Recebimento de e‑mail | Listas de permissão e negação [+] Conexões bloqueadas está vazio.

19 Em Opções personalizadas de malware, altere a ação principal para Recusar conexão e, em seguida, clique emOK.



20 Envie o mesmo e‑mail e verifique a conexão recusada. Ela possui o endereço IP da sua máquinacliente (endereço IP de exemplo).

21 Tente enviar um e‑mail benigno. Isso também é negado por causa das listas de conexõesrecusadas. É informado ao servidor de envio que o servidor não está on‑line.

O dispositivo verifica a mensagem assim que ela entra em seu gateway de e‑mail e identifica se amesma contém um vírus. Ele coloca a mensagem em quarentena e notifica o remetente e odestinatário que a mensagem estava infectada.

Criar uma política de varredura antispamConfigure uma política para proteger sua organização contra o recebimento de mensagens nãosolicitadas.

Antes de iniciar

Uma política como esta protege os usuários de receber mensagens de e‑mail não solicitadas quereduzem a produtividade e aumentam o tráfego de mensagens em seus servidores.

Tarefa

1 No servidor blade, certifique‑se de estar usando McAfee Quarantine Manager (E‑mail | Configuração dequarentena | Opções de quarentena).

2 Selecione Email | Email Policies.

É necessário definir uma política antispam separada para os protocolos SMTP e POP3.

3 Configure a ação principal para Aceitar e descartar os dados.

4 Configure a ação secundária para Colocar o e‑mail original em quarentena. Altere a pontuação de spam para5.

Se você ativar a detecção antispam, a McAfee recomenda que você também ative a detecçãoantiphishing. O desempenho de varredura não é afetado pela realização de verificações antispam eantiphishing.

Criar uma política de conformidadeConfigure uma política para colocar em quarentena todas as mensagens que contêm conteúdoindesejado.

Agora isso pode ser feito usando um assistente para guiá‑lo.

Use as etapas a seguir para configurar um exemplo de conformidade:

Tarefa

1 No dispositivo, selecione E‑mail | DLP e conformidade | Dicionários de conformidade.

2 Selecione a Lista de dicionários de e‑mail.

3 Visualize a área Detalhes do dicionário de ....

4 Selecione Email | Email Policies | Compliance.

5 Selecione Conformidade.

6 Selecione Ativar conformidade | Sim.

7 Clique em OK.

8 Em Regras, clique em Criar uma nova regra.



9 Digite um nome para a regra.

10 Clique em Avançar.

11 Selecione os Dicionários a serem incluídos. Para este teste, selecione os dicionários baseados emfinanças.

12 Clique em Avançar.

13 Selecione os Dicionários a serem excluídos.

14 Selecione as ações a serem executadas.

15 Crie um e‑mail no servidor, de <exemplo de endereço de e‑mail do servidor> para <exemplo deendereço de e‑mail do cliente>. Inclua a linha: Olá, precisamos avaliar o acúmulo acreditado emsua anuidade. Considere a arbitragem se os seus ativos tiverem menos capital do que o esperado.

16 Envie a mensagem.

17 Use Relatórios | Pesquisa de mensagens para ver os resultados.

O agente de e‑mail do cliente não recebe o e‑mail. A conta de e‑mail do servidor deve receber duasmensagens de e‑mail: um e‑mail de notificação dizendo que a mensagem falhou no teste deconformidade e uma cópia do e‑mail original.

Informações sobre o gerenciamento de hosts virtuaisAo utilizar hosts virtuais, um único dispositivo pode parecer se comportar como diversos dispositivos.

Cada dispositivo virtual pode gerenciar o tráfego em determinados pools de endereços IP, permitindoque o dispositivo forneça serviços de varredura do tráfego de muitas origens ou clientes.

Benefícios

• Separa o tráfego de cada cliente.

• É possível criar políticas para cada cliente ou host, o que simplifica a configuração e evita osconflitos que podem ocorrer em políticas complexas.

• Os relatórios são disponibilizados separadamente para cada cliente ou host, eliminando assim anecessidade de filtragem complexa.

• Se algum comportamento colocar o dispositivo em uma lista negra de reputação, apenas um hostvirtual será afetado, e não o dispositivo inteiro.

Configuração de hosts virtuais

O recurso está disponível apenas para a varredura de SMTP. Para especificar o pool de endereços IP deentrada e o pool opcional de endereços de saída, consulte as páginas Sistema | Hospedagem virtual | Hostsvirtuais e Sistema | Hospedagem virtual | Redes virtuais.

Gerenciamento de hosts virtuais

Recurso Comportamento

Política de e‑mail Cada host virtual possui sua própria guia, onde é possível criar suas políticasde varredura.

Configuração do e‑mail Cada host virtual possui sua própria guia, onde é possível configurar osrecursos MTA específicos do host.

E‑mails em fila É possível visualizar todos os e‑mails em fila, ou apenas os e‑mails em fila decada host.



Recurso Comportamento

E‑mails em quarentena É possível visualizar todos os e‑mails em quarentena, ou apenas os e‑mailsem quarentena de cada host.

Geração de relatórios É possível visualizar todos os relatórios, ou apenas os relatórios de cadahost.

Comportamento entre o dispositivo e os MTAsQuando o dispositivo recebe o e‑mail que foi enviado ao intervalo de endereços IP do host virtual, ohost virtual:

• Responde à conversa SMTP com seu próprio banner de boas‑vindas de SMTP.

• Adiciona, opcionalmente, suas próprias informações de endereço ao cabeçalho Recebido.

• Realiza uma varredura no e‑mail de acordo com sua própria política.

Quando o dispositivo entrega o e‑mail:

• O endereço IP é obtido a partir de um pool de endereços de saída, ou de um endereço IP físico (seeste não estiver configurado).

• O agente de transferência de mensagens de recebimento (MTA) visualiza o endereço IP do hostvirtual.

• Se houver um pool de endereços, o endereço IP será selecionado em "modo de rodízio".

• A resposta EHLO será destinada ao host virtual.

Teste da configuraçãoSaiba como testar se o McAfee Email Gateway Blade Server está funcionando corretamente após ainstalação.A McAfee recomenda que você verifique as áreas de resumo de hardware, rede e de sistema doDashboard ao efetuar login pela primeira vez no servidor blade, para verificar se há alterações naconfiguração recomendada.

Teste de conectividadeConfirme a conectividade com o servidor blade.O servidor blade verifica se consegue se comunicar com o gateway, os servidores de atualização e osservidores DNS. Ele também confirma se o nome e o nome de domínio são válidos.

Tarefa1 Abra a página Testes de sistema usando um dos métodos a seguir:

• Na seção Tarefas do Dashboard, selecione Executar testes de sistema.

• Na barra de navegação, selecione Solução de problemas.

2 Clique na guia Testes.

3 Clique em Iniciar testes. Verifique se todos os testes são concluídos com êxito.

Atualizar os arquivos DATAssim que você concluir o console de configuração, o McAfee Email Gateway Blade Server tentaráatualizar todos os mecanismos de varredura disponíveis.Use essa tarefa para garantir que o servidor blade tenha os arquivos de definição de detecção (DAT)mais atualizados.



À medida que usar o McAfee Email Gateway Blade Server, você poderá optar por atualizar tiposindividuais de arquivos de definição e por alterar as atualizações programadas padrão de acordo comos seus requisitos.

Você pode verificar o status da atualização do seu McAfee Email Gateway Blade Server visualizando oportlet Serviços no Dashboard.

Tarefa1 Para abrir a página Atualizações, selecione Sistema | Gerenciamento de componentes | Status da atualização.

2 Para atualizar todos os arquivos DAT, clique em Atualizar agora próximo ao componente do mecanismoantivírus.

Testar o tráfego de e-mail e a detecção de vírusTeste se o tráfego de e‑mail está passando corretamente através do servidor blade e se as ameaçasestão sendo corretamente identificadas.

A McAfee utiliza o arquivo de teste EICAR (European Expert Group for IT‑Security), um arquivoinofensivo que desencadeia uma detecção de vírus.

Tarefa1 Envie uma mensagem de e‑mail de uma conta de e‑mail externa (como o Hotmail) para uma caixa

de correio interna e confirme se ela chegou.

2 Verifique em Relatórios | Pesquisa de mensagens. A listagem do protocolo usado para enviar a mensagemdeve agora mostrar que uma mensagem foi recebida.

3 Copie a linha a seguir para um arquivo, certificando‑se de não incluir nenhum espaço ou quebra delinha: X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR‑STANDARDANTIVIRUS‑TEST‑FILE!$H+H*

4 Salve o arquivo com o nome EICAR.COM.

5 A partir de uma conta de e‑mail externa (cliente SMTP), crie uma mensagem que contenha oarquivo EICAR.COM como um anexo e envie a mensagem para uma caixa de correio interna.

6 Selecione Relatórios | Pesquisa de mensagens. Você deverá ver que um vírus foi detectado.

7 Exclua a mensagem ao terminar de testar a instalação, a fim de evitar que os usuários fiquemalarmados.

Teste da detecção de spamExecute um Teste geral de e‑mail para e‑mails em massa não solicitados (GTUBE) para verificar se asmensagens de e‑mail de spam recebidas são detectadas.

Tarefa1 A partir de uma conta de e‑mail externa (cliente SMTP), crie uma nova mensagem de e‑mail.

2 No corpo da mensagem, copie o texto a seguir:

XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE‑STANDARDANTI‑UBE‑TEST‑EMAIL*C.34X

Certifique‑se de não incluir nenhum espaço ou quebra de linha.

3 Envie a nova mensagem de e‑mail para um endereço de caixa de correio interna. O softwarevarrerá a mensagem, a reconhecerá como uma mensagem de lixo eletrônico e lidará com ela deforma apropriada. O GTUBE substitui as listas negras e brancas.



Explore os recursos do McAfee Email Gateway Blade ServerDemonstre os recursos de varredura do McAfee Email Gateway Blade Server em ação.

Use as seguintes tarefas para fornecer instruções passo a passo para criar e testar alguns exemplosde políticas e gerar relatórios aplicáveis.

Políticas de varredura e a forma como elas afetam a redeUma política é um conjunto de configurações e regras que dizem ao McAfee Email Gateway BladeServer como combater determinadas ameaças em sua rede.

Ao criar políticas reais de varredura para a sua organização, é importante que você gaste um tempopesquisando e planejando os seus requisitos.

Você pode encontrar instruções para ajudá‑lo com o planejamento de políticas na ajuda on‑line,disponível na interface do produto.

Varrendo o conteúdo usando as regras de conformidade de e-mailUse a varredura de conformidade para auxílio com a conformidade regulatória e a conformidadeoperacional corporativa.

Você pode escolher uma opção em uma biblioteca de regras de conformidade predefinidas ou podecriar regras e dicionários específicos da sua organização.

As regras de conformidade podem variar em complexidade, desde um gatilho simples, quando umtermo específico de um dicionário é detectado, até a criação e a combinação de dicionários baseadosem pontuação que só serão disparados quando um certo limite for atingido. Usando os recursosavançados das regras de conformidade, é possível combinar dicionários com operações lógicas de "anyof", "all of" ou "except".

Tarefa1 Siga estas etapas para bloquear mensagens de e‑mail que violam a política de "linguagem

ameaçadora":

a Vá para Email | Email Policies e selecione Conformidade.

b Na caixa de diálogo Configurações de conformidade padrão, clique em Sim para ativar a política.

c Clique em Criar nova regra com base em modelo para abrir o Assistente de criação de regras.

d Selecione a política Uso aceitável ‑ Linguagem ameaçadora e clique em Próximo.

e Opcionalmente, altere o nome da regra e clique em Próximo.

f Altere a ação principal para Aceitar e descartar os dados (bloquear), e clique em Finalizar.

g Clique em OK e aplique as alterações.

2 Siga estas etapas para criar uma regra personalizada simples para bloquear mensagens de e‑mailque contenham números de seguridade social:



c Clique em Criar nova regra para abrir o Assistente de criação de regras.

d Digite um nome para a regra e clique em Próximo.

e No campo Pesquisar, digite social.



f Selecione o dicionário Número do CPF e clique em Próximo duas vezes.

g Selecione a ação Aceitar e descartar os dados (bloquear), e clique em Finalizar.

3 Siga estas etapas para criar uma regra complexa que é disparada quando os dicionários A e B sãodetectados, exceto quando o dicionário C também é detectado:



c Clique em Criar nova regra para abrir o Assistente de criação de regras.

d Digite um nome para a regra e clique em Próximo.

e Selecione dois dicionários a serem incluídos na regra e clique em Próximo.

f Selecione um dicionário que deseja excluir da regra na lista de exclusões.

g Selecione a ação que deseja executar se a regra for disparada.

h Na caixa suspensa E condicionalmente, selecione Tudo e clique em Concluir.

4 Siga estas etapas para adicionar um novo dicionário a uma regra existente:


b Expanda a regra que deseja editar.

c Selecione Adicionar dicionários.

d Selecione o novo dicionário que deseja incluir e clique em OK.

5 Siga estas etapas para configurar uma regra de "descontentamento" para ser monitorada em umlimite baixo e bloqueada em um limite alto:


b Clique em Criar nova regra, digite um nome para ela, como Descontente ‑ Baixo e clique em Próximo.

c Selecione o dicionário Descontente e, em Limite, digite 20.

d Clique em Próximo e em Próximo novamente.

e Em Se a regra de conformidade for disparada, aceite a ação padrão.

f Clique em Concluir.

g Repita as etapas de 2 a 4 para criar outra nova regra, mas atribua a ela o nome Descontente ‑Alto e um limite de 40.

h Em Se a regra de conformidade for disparada, selecione Aceitar e descartar os dados (bloquear).

i Clique em Concluir.

j Clique em OK e aplique as alterações.



Evitar a perda de dados confidenciaisSaiba como bloquear um documento financeiro confidencial de ser enviado para fora de suaorganização.

Tarefa1 Vá para E‑mail | DLP e conformidade | Documentos registrados, e crie uma categoria chamada Finanças.

2 Vá para Email | Email Policies, e selecione a política Data Loss Prevention.

3 Na caixa de diálogo Configurações padrão da Data Loss Prevention, clique em Sim para ativar a política.

4 Clique em Criar nova regra, selecione a categoria Finanças e clique em OK para que a categoria apareçana lista de regras.

5 Selecione a ação associada à categoria, altere a ação principal para Aceitar e descartar os dados (bloquear),e clique em OK.

6 Clique em OK novamente e aplique as alterações.

Informações sobre as mensagens em quarentenaO McAfee Email Gateway Blade Server utiliza o software do McAfee Quarantine Manager para forneceruma solução "remota" de quarentena para as suas mensagens de e‑mail.

Para localizar qualquer mensagem que foi colocada em quarentena, consulte a documentação doMcAfee Quarantine Manager.

Monitorar a detecção de spamMonitore a taxa de detecção de spam usando a política original de detecção de spam SMTP.

Assim que você concluir o console de configuração, essas configurações estarão trabalhando paraproteger sua rede e seus usuários contra mensagens de spam indesejadas. As configurações estãodescritas com mais detalhes na ajuda on‑line disponível na interface do usuário.

Por padrão, o McAfee Email Gateway Blade Server:

• Bloqueia as mensagens de phishing.

• Marca as mensagens que uma pontuação maior ou igual a cinco como spam.

• Marca as mensagens que uma pontuação maior ou igual a dez.

• Tem a autenticação do remetente ativada. Usando essas configurações padrão, o seu McAfee EmailGateway Blade Server detecta mais de 98% de todas as mensagens de spam.

A autenticação do remetente incorpora a reputação de mensagens do McAfee Global Threat Intelligence.Se um remetente falhar na verificação de reputação de mensagens do McAfee Global ThreatIntelligence, o servidor blade rejeita o e‑mail, fecha a conexão e nega o endereço IP de envio. Oendereço IP do remetente será adicionado a uma lista de conexões bloqueadas e será bloqueadoautomaticamente por dez minutos a nível de kernel (é possível alterar a duração padrão do bloqueio).As áreas Detecções do SMTP e Detecções do POP3 do Dashboard exibem o número de conexões bloqueadas.

Tarefa1 Em Email | Email Policies | Spam, visualize as configurações de detecção antispam padrão.

2 Verifique se as mensagens de spam estão corretamente identificadas enviando uma mensagematravés do McAfee Email Gateway Blade Server que acionará as configurações de detecção despam.



3 Para monitorar a taxa de detecção, retorne ao Dashboard e verifique as áreas Detecções do SMTP eDetecções do POP3.

O número de Spam e phishing e o incremento no número da Autenticação do remetente. O número dedetecções em autenticações do remetente inclui o número de remetentes que falharam naverificação de reputação de mensagens do McAfee Global Threat Intelligence. Os gráficos dose‑mails fornecem uma representação gráfica dos dados.

4 Para obter um relatório sobre a atividade de e‑mail, vá para Relatórios | Relatórios de e‑mail | Seleção |Favoritos e selecione Visualizar os relatórios de e‑mail favoritos.

5 Veja os relatórios Bloqueados (últimas 24h) e Principais remetentes de spam (últimas 24h).



4 Operação no modo resiliente

O McAfee Email Gateway Blade Server inclui a operação no modo resiliente para o servidor blade.

Neste modo, todas as conexões entre sua rede, servidor blade, e também as conexões dentro doinvólucro do servidor blade são feitas de tal maneira que diversos caminhos são utilizados.

Esses vários caminhos fornecem maior resiliência à falha de qualquer componente, seja dentro doservidor blade, nos dispositivos ou no cabeamento da rede necessários para rotear o tráfego entre asua rede e o servidor blade.

Conteúdo Como o modo resiliente utiliza o hardware Decisão pelo uso do modo resiliente Antes de iniciar a reconfiguração para o modo resiliente Migrando para a operação no modo resiliente Configuração de interconexões Modificar a configuração do invólucro Aplicar a configuração do modo resiliente a todas as interconexões Configuração do blade de gerenciamento para uso do modo resiliente Conexões no modo resiliente para a rede externa Ligue os blades.

4


Como o modo resiliente utiliza o hardwareO modo resiliente usa o hardware do servidor blade de forma diferente do modo padrão (nãoresiliente).

No modo resiliente, as conexões de rede são divididas nos seguintes segmentos dentro e através doinvólucro do servidor blade:

• A LAN1 e a LAN2 são usadas na conexão com redes externas, para transportar o tráfego varrido.Estas são usadas como duas redes distintas (para o modo Proxy explícito ou modo Roteadortransparente) ou como dois links de uma distribuição do modo de ponte transparente.

O tráfego varrido é sempre transportado através de todas as interconexões ativas para fornecer omáximo em taxa de transferência e resiliência.

• A rede OOB (out‑of‑band) fornece um meio de segregar o tráfego gerenciado do tráfego varrido.Quando usado, o sistema pode ser configurado para impedir o gerenciamento de sistemas a partirdas redes LAN1 e LAN2.

A rede OOB é transportada através das interconexões da LAN2 em uma VLAN segregada usandolinks de switch externos separados.

A rede OOB pode, de forma alternativa, ser colocada em uma rede VLAN transportada nas mesmasportas de interconexão externas como a LAN1 e a LAN2.

• O tráfego entre os blades de gerenciamento e os blades de varredura é tratado em uma VLANseparada dentro do invólucro do servidor blade. Esta é uma VLAN privada dentro do invólucro, enormalmente não está disponível na parte externa do invólucro.

A VLAN de varredura é marcada nos blades de gerenciamento, mas é desmarcada nos blades devarredura. Isso permite que a instalação do ambiente de execução de pré‑inicialização (PXE) dosblades de varredura funciona conforme esperado.

A configuração da interconexão é diferente para os blades de gerenciamento e os blades devarredura. A McAfee recomenda que você use somente os slots de blade recomendados nestedocumento para os blades de varredura e gerenciamento a fim evitar problemas de configuração.

Quatro interconexões são usadas dentro do invólucro para fornecer resiliência contra uma falha únicadentro de qualquer rede única descrita acima. A resiliência é fornecida contra as seguintes falhas:

• Falha no link externo

A resiliência externa ao invólucro é fornecida através do suporte a links agregados (tambémconhecido como ligação, truncagem, canal de porta ou etherchannel). Até cinco links podem serligados em conjunto para fornecer o máximo em resiliência. A falha de qualquer link determinadoafetará somente os pacotes que estavam sendo transferidos no link que falhou naquele momento.A interconexão e a infraestrutura adjacente param automaticamente de usar o link com falha.

• Falha no link interno.

Os pares de links de conexão cruzada internos são usados para fornecer conectividade redundanteentre as interconexões adjacentes. Isso significa que se todos os links dentro do invólucro do bladeque forem externos

à interconexão falharem, o tráfego ainda pode fluir através da interconexão adjacente, através daconexão cruzada, e no blade original. A falha de um link afetará somente os pacotes que estavamsendo transferidos no link que falhou naquele momento. O STP é usado para evitar loops de rede.

4 Operação no modo resilienteComo o modo resiliente utiliza o hardware


• Falha na placa de rede do blade.

Todos os blades possuem dois caminhos para cada rede. Se uma placa de rede (ou sua conexãocom a interconexão) falhar, haverá sempre um caminho redundante até o switch de rede. A falhade uma placa de rede afetará somente os pacotes que estão sendo transferidos no momento emque o link falhou.

• Falha no blade de varredura.

Se um blade de varredura falhar, o blade de gerenciamento direcione automaticamente o tráfegode varredura aos blades de varredura restantes. As conexões ativas serão interrompidas nomomento da falha.

• Falha no blade de gerenciamento.

Se o blade de gerenciamento falhar, o blade de gerenciamento de failover toma o controle comoprincipal e inicia a distribuição do tráfego aos blades de varredura. As conexões ativas serãointerrompidas no momento da falha.

• Falha total na interconexão.

Isso é tratado de forma semelhante à falha dos links internos e externos. Todo o tráfego fluirádiretamente para a interconexão restante e através dela.

Decisão pelo uso do modo resilienteConsiderações sobre o modo de implantação de sua escolha.

No modo padrão (não resiliente), o McAfee Email Gateway Blade Server usa um módulo deinterconexão único para a rede local (LAN1 e LAN2) exigido pelo seu servidor blade.

No modo resiliente, dois módulos de interconexão são usados para cada rede local, permitindo quediversos caminhos de rede sejam criados para a LAN1 e LAN2.

Configurar o servidor blade no modo resiliente é muito mais complexo do que usar o modo nãoresiliente padrão. No entanto, a McAfee recomenda usar somente o modo resiliente se você for capazde fazer a rede em questão e outras alterações necessárias.

Se pretende configurar o seu McAfee Email Gateway Blade Server para usar o modo resiliente, aMcAfee recomenda instalar o seu servidor blade primeiro no modo padrão (não resiliente), ecertificar‑se de que o servidor blade esteja funcionando conforme esperado.

Uma vez que você estiver satisfeito com tudo funcionando corretamente, reconfigure o seu servidorblade para a operação no modo resiliente. As seções a seguir detalham as etapas para configurar oseu servidor blade no modo padrão (não resiliente) e, em seguida, como prosseguir para fazer asalterações necessárias a fim de utilizar o modo resiliente, se necessário.

Antes de iniciar a reconfiguração para o modo resilienteEntenda o impacto que a reconfiguração do seu servidor blade para o modo resiliente poderá causar.

Antes de iniciar a reconfiguração do McAfee Email Gateway Blade Server para operar no modoresiliente, a McAfee recomenda que você leia e entenda as informações mostradas em Planejando suainstalação.

Operação no modo resilienteDecisão pelo uso do modo resiliente 4


Informações sobre o hardwareEntenda os requisitos de hardware necessários para o modo resiliente.

Para que seu hardware funcione no modo resiliente, os itens a seguir devem estar disponíveis:

• Número mínimo de blades.

Uma configuração do modo resiliente deve fornecer pelo menos:

• um blade de gerenciamento

• um blade de gerenciamento de failover

• pelo menos dois blades de varredura

• NICs suficientes em todos os blades.

Ao instalar um novo McAfee Email Gateway Blade Server, o hardware que você recebe é adequadopara o uso no modo resiliente.

No entanto, se você estiver reconfigurando um McAfee Email Gateway Blade Server instaladoanteriormente para trabalhar no modo resiliente, pode ser necessário atualizar os bladesindividuais adicionando cartões mezaninos aos blades. Os blades de gerenciamento e degerenciamento de failover devem ser instalados com os cartões mezaninos específicos da McAfeeem ambos os slots disponíveis.

Você pode verificar a presença destes cartões na interface de usuário do Onboard Administrator (oude outro modo). Procure pelos cartões mezaninos na guia de informações da exibição da DeviceBay.

Os cartões mezaninos devem ser do tipo correto e estar localizados nos slots corretos. Os cartõesmezaninos de duas portas devem estar na baia mezanina 1, e os cartões de quatro portas na baiamezanina 2.

• O blade de gerenciamento está localizado na baia de blades 1 do invólucro.

• O blade de gerenciamento de failover está localizado na baia de blades 2 do invólucro.

• O software do McAfee Email Gateway está disponível para instalação em um CD‑ROM, ou umaunidade flash USB, ou através do Onboard Administrator.

• Interconexões.

• As interconexões HP GBe2c devem ser instaladas nas baias de interconexão de 1 a 4.

Os módulos de passagem também devem ser instalados nas baias de interconexão 5 e 6 parafornecer conectividade OOB.

• Módulos do Onboard Administrator.

Os módulos OA redundantes devem ser instalados e configurados de acordo com as instruções daHP.

• Energia.

O invólucro deve ser instalado com fontes de energia o suficiente a fim de fornecer funcionamentoredundante para o número planejado de blades, conforme recomendado na documentação da HP.

4 Operação no modo resilienteAntes de iniciar a reconfiguração para o modo resiliente


Endereços IP necessários para o modo resilienteA configuração do seu servidor blade para o uso do modo resiliente requer a criação de diversosendereços IP.

Cada invólucro exigirá uma quantia mínima de endereços IP para os seguintes itens:

Tabela 4-1 Modo resiliente ‑ Endereços IP

Componente Invólucro Blade degerenciamento

Blade degerenciamento de

failover

Blades devarredura

Endereços IP do invólucro

Módulos do OnboardAdministrator

2

Módulos iLO (IntegratedLights‑Out)(1 por blade)

16

Módulos de interconexão(switches)

4

Modo Proxy explícito

Interface 1 do IP físico 1 ou mais 1 ou mais

Interface 1 do IP virtual(compartilhado) 1 ou mais

Interface 2 (opcional) doIP físico

1 ou mais 1 ou mais

Interface 2 (opcional) doIP virtual(compartilhado)

1 ou mais

Modo Roteador transparente


Interface 1 do IP virtual(compartilhado) 1 ou mais


Interface 2 do IP virtual(compartilhado)

1 ou mais

Modo Ponte transparente

Interface do IP da ponte 1 ou mais 1 ou mais

Interface (opcional, aoconfigurar um proxyusando este IP virtual)do IP virtual(compartilhado)

1 ou mais

Rede de varredura privada

IP de balanceamento decarga(Privado do invólucro,não roteável, controladopelos blades degerenciamento/gerenciamento defailover, o padrão é169.254.1.0/24)

1 1 1 por blade devarredura

(atribuído peloblade de

gerenciamento)

Operação no modo resilienteAntes de iniciar a reconfiguração para o modo resiliente 4


Nomes de usuário e senhasSaiba mais sobre os nomes de usuário e senhas necessários para configurar o modo resiliente.

Use esta página para obter os nomes de usuário e senhas padrão usados por diversos componentesdo servidor blade.

Se você alterou os valores padrão algum nome de usuário ou senha, use estes no lugar das informaçõespadrão mostradas abaixo.

Tabela 4-2 Nomes de usuário e senhas por componente

Componente Nome de usuário padrão Senha padrão (ou local dasenha)

Onboard Administrator da HP Administrador Veja o adesivo do invólucro

Interconexões da HP admin admin

iLO da HP (Administrador através do Onboard Administrator da HP)

Interface de usuário do software doMcAfee Email Gateway

admin senha

Console do software do McAfee EmailGateway

suporte senha

Migrando para a operação no modo resilienteVeja uma visão geral das etapas necessárias para migrar o seu servidor blade para o modo resiliente.

Após ter instalado e configurado o seu McAfee Email Gateway Blade Server no modo padrão (nãoresiliente), a tabela a seguir fornecerá uma visão geral do processo de reconfiguração do servidorblade no modo resiliente.

Antes de começar a configuração do servidor blade no modo resiliente, a McAfee recomenda que vocêjá tenha configurado e colocado o seu servidor blade para funcionar no modo padrão (não resiliente).

Tabela 4-3 Visão geral das etapas de instalação do modo resiliente

Esta etapa... está descrita aqui...

1. Instale, configure e verifique se o seu servidorblade está funcionando corretamente no modopadrão (não resiliente).

Instalação padrão na página 27

2. Colete as informações necessárias sobre arede.

Antes de iniciar a reconfiguração para o modoresiliente na página 55Informações sobre o hardware na página 56

Nomes de usuário e senhas na página 58

3. Faça backup da configuração existente. Fazendo backup da configuração existente

4. Crie a configuração de base para asinterconexões.

Configurando as interconexões

5. Faça upload dos arquivos de configuraçãoeditados.

Aplicar a configuração do modo resiliente a todasas interconexões

6. Faça download e revise os arquivos deconfiguração de interconexão que foramgerados.

Faça download e revise a configuração gerada

4 Operação no modo resilienteMigrando para a operação no modo resiliente


Tabela 4-3 Visão geral das etapas de instalação do modo resiliente (continuação)

Esta etapa... está descrita aqui...

7. Configuração do blade de gerenciamento parausar o modo resiliente.

Configurando o blade de gerenciamento parausar o modo resiliente

8. Faça as alterações necessárias no cabeamentodo servidor blade.

Conexões no modo resiliente para a rede externa

9. Ligue os blades. Ligando os blades.

Conectar o servidor blade à sua rede poderá atrapalhar o acesso à Internet ou outros serviços da rede.Assegure‑se de organizar o tempo de inatividade da rede para isso e de programar essa conexãodurante os períodos de pouco uso da rede.

Fazendo backup da configuração existenteUse essa função para fazer backup da configuração existente do McAfee Email Gateway Blade Server.

A McAfee recomenda fazer um backup completo da configuração do seu servidor blade antes de fazerum upgrade, mesmo que você pretenda usar uma das opções de upgrade que restaura e faz backupda sua configuração.

Tarefa1 Na interface do usuário, navegue até Sistema | Administração do sistema | Gerenciamento de configuração.

2 Selecione os itens opcionais que você deseja incluir no backup (dependendo da versão). A McAfeerecomenda fazer backup de todas as opções antes de atualizar o seu servidor blade.

3 Clique em Fazer backup da configuração.

4 Após um curto intervalo de tempo, uma caixa de diálogo será exibida, permitindo a você fazerdownload do arquivo de backup das configurações em seu computador local.

Instalar as interconexões para o modo resilienteAntes de fazer qualquer conexão, é necessário instalar e configurar as interconexões de Ethernet.

Tabela 4-4 Índices

# Descrição

Conexões de alimentação

Interconexões 1 e 2 (conexão com a LAN 1)

Interconexões 3 e 4 (conexão com a LAN 2)

Conexão do Onboard Administrator

Módulo do Onboard Administrator

Acesso fora de banda (porta 20)

Fora de banda (passagem)

As interconexões são instaladas na parte traseira do invólucro, logo abaixo da fileira superior deventoinhas de refrigeração.

Operação no modo resilienteMigrando para a operação no modo resiliente 4


As interconexões da LAN 1 são instaladas na baias de interconexões superiores direita e esquerda, eas interconexões da LAN 2 são instaladas nas baias localizadas logo abaixo das interconexões da LAN1.

Figura 4-1 Localização dos componentes traseiros — modo resiliente

Certifique‑se de:

• Garantir que o estado do STP (Spanning Tree Protocol) seja OFF para o STG1 (Spanning Tree Group1) — por padrão, todas as portas são membros do STG1. (Se você estiver instalado o seu servidorblade no modo de ponte transparente.)

• Configurar as listas de controle de acesso (ACLs) nas interconexões para isolar os blades devarredura de conteúdo dos endereços DHCP externos de recebimento.

• Configurar as ACLs de modo que os pacotes de pulsação do blade sejam mantidos dentro doservidor blade.

• Se o tráfego marcado pela VLAN (rede local virtual) precisar passar pelo servidor blade, asinterconexões precisarão ser configuradas para permitir a passagem deste tráfego.

As informações sobre como fazer isso são fornecidas na documentação listada abaixo:

• Instalação rápida do HP GbE2c Layer 2/3 Ethernet Blade Switch para o BladeSystem classe C

• Guia do usuário do HP GbE2c Layer 2/3 Ethernet Blade Switch para o BladeSystem classe C

A tabela mostra quais interconexões são usadas. Por padrão, as portas externas de 21 a 24 em cadainterconexão podem ser usadas para conectar cada uma das redes.

Tabela 4-5 Uso da interconexão

Baia de interconexões Modo padrão (não resiliente) Modo resiliente

1 LAN1 LAN1, SCAN

2 Não usado LAN1, SCAN

3 LAN2 LAN2, (OOB)

4 Operação no modo resilienteMigrando para a operação no modo resiliente




Tabela 4-5 Uso da interconexão (continuação)

Baia de interconexões Modo padrão (não resiliente) Modo resiliente

4 OOB LAN2, (OOB)

5 OOB OOB

6 Não usado OOB

7 Não usado Não usado

8 Não usado Não usado

Observe que:

• No modo padrão (não resiliente), a rede de varredura é diretamente sobreposta na LAN1.

• No modo padrão (não resiliente), as conexões OOB (out‑of‑band) indicadas são conexõesindividuais mutuamente exclusivas e não são resilientes.

• No modo resiliente, a rede de varredura compartilha os mesmos NICs que a LAN1, mas eles sãomarcadas pela VLAN para segregar a varredura do tráfego da LAN1.

• No modo resiliente, a rede de varredura é desmarcada nos slots dos blades de varredura parapermitir a instalação do PXE dos blades de varredura.

• As baias de interconexão 5 e 6 são ocupadas por módulos de passagem, permitindo uma conexãodireta com os blades de gerenciamento e de gerenciamento de failover. Os blades de varredura nãopossuem conexões fora de banda; isso é obtido através do blade de gerenciamento e no blade devarredura utilizando a rede de varredura.

• Por padrão, a rede VLAN fora de banda é configurada para ser desmarcada na porta 20 em todasas interconexões. Você pode usar as interconexões 1 e 2, através da porta 20 em cadainterconexão, para usar a sua rede fora de banda no gerenciamento das interconexões dentro doseu invólucro. As interconexões 3 e 4, através da porta 20, são reservadas para o gerenciamentofora de banda do sistema McAfee Email Gateway Blade Server.

Para novas instalações, ou upgrades em que você configura o servidor blade para usar o modoresiliente, a conexão da LAN2 foi modificada a partir das versões anteriores do McAfee Email GatewayBlade Server. Para upgrades padrão (não resiliente) do hardware existente, a interconexão 2 é usadapara o tráfego da LAN2. Para novas instalações, ou upgrades do modo resiliente usando o hardwareexistente, a interconexão 3 é usada para o tráfego da LAN2.

Configuração de interconexõesAs interconexões dentro do servidor blade requerem configurações específicas para permitir que oinvólucro opere no modo resiliente.

O software do McAfee Email Gateway utiliza configurações de base para cada interconexão, e as usapara gerar automaticamente a configuração de interconexão completa necessária para que seuservidor blade funcione no modo resiliente.

As interconexões dentro do servidor blade requerem configurações específicas para permitir que oinvólucro opere no modo resiliente.

O software do McAfee Email Gateway utiliza configurações de base para cada interconexão, e as usapara gerar automaticamente a configuração de interconexão completa necessária para que seuservidor blade funcione no modo resiliente. O meio através do qual a configuração geradaautomaticamente é aplicada às interconexões pode ser selecionado:

Operação no modo resilienteConfiguração de interconexões 4


Tabela 4-6 Métodos de configuração

Responsabilidade Método de aplicação daconfiguração da interconexão

Configuração fornecida

1. O usuário gerencia asinterconexões

As informações da configuraçãosão copiadas e coladas no CLI dainterconexão.

Não há credenciais no configuraçãodo chassi.Não foi feito upload de nenhumaconfiguração de base dainterconexão.


A configuração é baixadadiretamente na interconexão apartir do software do McAfeeEmail Gateway, ou de um FTPexterno ou servidor TFTP, massob o controle do usuário.

Não há credenciais no configuraçãodo chassi.É feito upload dos arquivos deconfiguração de base dainterconexão no software doMcAfee Email Gateway.


Use a interface de Web dainterconexão para localizar efazer alterações na configuração.

Não há credenciais no configuraçãodo chassi.Não foi feito upload de nenhumaconfiguração de base dainterconexão.

4. O software gerencia asinterconexões

A configuração é baixadadiretamente na interconexão apartir do software do McAfeeEmail Gateway sempre que elafor alterada.

A configuração do chassi contém ascredenciais das interconexões.É feito upload dos arquivos deconfiguração de base dainterconexão no software doMcAfee Email Gateway.

Veja o exemplo de configuração de base da interconexão e o exemplo de arquivo de configuração dochassi para obter detalhes sobre os tipo de informação necessário dentro dos arquivos de configuraçãode base do arquivo de configurações do chassi e das interconexões.

Se desejar que o software do McAfee Email Gateway configure automaticamente as interconexões, useesta função para criar as configurações de base da interconexão.

O formato necessário para os arquivos de configuração de base da interconexão depende do tipo deinterconexão instalado. As interconexões HP GbE2c devem ter seus arquivos de configuração geradosno formato iscli (como o Cisco IOS), ao invés do formato HP bladeos‑cli.

Tarefa1 Faça download de toda a configuração de cada interconexão em sua estação de trabalho usando ftp

ou tftp, efetuando login nas interfaces de Web de cada interconexão, ou usando o CLI.

2 Especifique as informações exclusivas de cada interconexão. Isso inclui os endereços IP,informações de roteamento, servidores syslog, servidores de horário e os fusos horários.

3 Remova as entradas de configuração de todas as portas, a menos que você tenha especificado queessas portas sejam ignoradas pelo gerador de configuração de interconexão.

Isso se tornará a configuração de base para cada interconexão.

4 Salve os arquivos como /config/resiliency/interconnect.base.n (onde n = número de interconexões)e adicione‑os ao arquivo zip de configuração no backup.

Este arquivo zip de configuração de backup também é utilizado para manter o arquivochassisconfig.xml discutido em Modificação da configuração do invólucro.

4 Operação no modo resilienteConfiguração de interconexões


Modificar a configuração do invólucroFaça as alterações necessários nos arquivos de configuração do invólucro, modificando o arquivochassisconfig.xml.

O arquivo chassisconfig.xml é encontrado dentro do zip de configuração, que você pode fazer backupe baixar em Sistema | Administração do sistema | Gerenciamento de configuração.

Quando você instala o blade de gerenciamento pela primeira vez, um arquivo chassisconfig.xmlpadrão é gerado.

Quando o arquivo chassisconfig.xml é atualizado, a configuração da interconexão é automaticamenterecriada com as configurações de porta da interconexão do blade.

Os elementos contidos no arquivo chassisconfig.xml que são mais propensos a precisar de alteraçãopara atender às suas necessidades de rede são:

• ScanningVlan (padrão 4094)

Essa é a identificação da VLAN que é usada dentro do chassi para a rede de varredura.

Em circunstâncias normais, o VLAN não é exibido nas portas de interconexão externas.

Essa rede pode ser ligada às portas usando o nome simbólico “scan”.

• UntaggedVlan (padrão 4093)

Essa é a identificação da VLAN que é usada dentro do chassi para transportar os quadrosdesmarcados da rede externa.

Essa rede pode ser ligada às portas usando o nome simbólico “defuntagged”.

Essa VLAN é usada somente em interconexões; o tráfego que está passando para o blade degerenciamento será marcado com as mesmas marcas que estavam presentes nos links externos.

• OobVlan (padrão 4092)

Essa é a identificação da VLAN que é usada dentro do chassi para segregar a rede OOB das outrasredes no chassi.

Essa rede pode ser ligada às portas usando o nome simbólico “oob”.

• BridgeVlan (nenhum padrão definido)

Essa é uma lista de VLANs que deverão ser colocadas em ponte a partir da LAN1 até a LAN2quando estiverem no modo de ponte transparente. Não é necessário especificar as VLANs queforam selecionadas para a varredura na

configuração do modo de ponte transparente do McAfee Email Gateway, uma vez que serãoadicionadas automaticamente. As VLANs especificadas aqui não serão varridas, somente colocadasem ponte a partir da LAN1 até a LAN2.

Esse item não é usado quando o sistema não está no modo de ponte transparente. A lista deVLANs externas pode ser representada pelo nome simbólico “external”.

• ScanningSTG/ExternalSTG/OobStg

Essas são as configurações dos STGs usados para o Spanning Tree em cada uma das redes devarredura, redes externas e redes OOB respectivamente.

Dependendo da topologia da rede externa e da configuração do STG, pode ser necessário modificaro campo de prioridade de cada um.

Operação no modo resilienteModificar a configuração do invólucro 4


• Blades

Esta seção lista a função de cada slot do blade. Um slot pode ser configurado para ser um blade degerenciamento (no caso em que os blades de gerenciamento não estão nos slots 1 e 2), e um slotpode ser configurado para ser ignorado. Se um slot for configurado para ser ignorado, nenhumaconfiguração será gerada para as portas de interconexão conectadas a esse blade.

• • Credenciais de interconexão

Se for exigido que configurações das interconexões sejam aplicadas automaticamente pelosoftware do McAfee Email Gateway, os endereços IP, nomes de usuário e senha corretos dascredenciais devem ser adicionados aqui.

Essas credenciais devem ser salvas em texto escrito de forma clara para que possam ser lidas casoo sistema do McAfee Email Gateway seja comprometido.

• Portas de interconexão

O modo operacional das portas de interconexão pode ser definido aqui. A razão mais provável paraalterar as configurações da porta de interconexão será para ativar ou desativar o LACP nas portasexternas, ou para ativar ou desativar o STP. Também pode ser necessário alterar as configuraçõesda porta para dedicar as portas externas à rede de varredura.

A VLAN na qual os quadros desmarcados atravessam a porta é definida aqui.

Também pode ser útil dar as portas nomes significativos aqui se os nomes padrão atribuídos pelosoftware do McAfee Email Gateway não forem suficientes.

As portas também podem ser especificadas para serem ignoradas pelo gerador de configuração dosoftware do McAfee Email Gateway, embora isso cause um erro caso o gerador de configuração dosoftware do McAfee Email Gateway precise aplicar a configuração nessa porta para um dos slots doblade.

• VLANs de interconexão

A associação de portas das VLANs nas interconexões é definida aqui. As identificações das VLANspodem ser referenciadas numericamente ou, para as VLANs relacionadas ao McAfee EmailGateway, simbolicamente pelos nomes listados acima.

Outras considerações incluem configurar:

• a truncagem das portas de interconexão externas

• as configurações do Spanning Tree

• acessar suas redes de gerenciamento OOB (out‑of‑band)

Inserindo as credenciais da interconexão e os endereços IP dentro do arquivo chassisconfig.xml, osoftware do McAfee Email Gateway poderá aplicar automaticamente as configurações àsinterconexões.

No entanto, a McAfee recomenda que isso não seja feito até você verificar se a configuração geradaautomaticamente está funcionando corretamente.

4 Operação no modo resilienteModificar a configuração do invólucro


Aplicar a configuração do modo resiliente a todas asinterconexões

Aplicar a configuração do modo resiliente a todas as interconexões.

Conforme observado em Modificar a configuração do invólucro na página 63, a McAfee recomendaincluir o IP da interconexão e as informações credenciais nos arquivos de configuração até que vocêtenha feito upload e analisado os arquivos para garantir que as informações contidas neles estãocorretas.

Isso impede as interconexões de serem configuradas com informações incorretas.

Após verificar se as configurações estão conforme esperado, é possível adicionar o IP da interconexãoe as informações credenciais e, em seguida, efetuar novamente o upload das configurações. Emseguida, os arquivos de configuração serão aplicados às interconexões.

Faça upload dos arquivos de configuração modificados no blade de gerenciamento, criando um arquivozip de configuração contendo todos os arquivos modificados e, em seguida, restaurando esse arquivoem Sistema | Administração do sistema | Gerenciamento de configuração. Estes incluem:

• todos os arquivos de configuração base interconectados.

• o arquivo chassisconfig.xml.

É necessário aplicar as alterações antes que a configuração que você fez upload possa ser usada peloservidor blade.

Se você tiver adicionado credenciais de interconexão e endereços IP ao arquivo de configuração doinvólucro (chassisconfig.xml), a configuração do modo resiliente é aplicada automaticamente a cadainterconexão.

Faça download e revise a configuração geradaFaça download e revise os arquivos de configuração interconnect_config.X.n que foram gerados.

Certifique‑se de que a configuração gerada corresponda à sua configuração desejada.

Estes podem ser visualizados em Sistema | Administração do sistema | Gerenciamento do cluster | Modo resiliente.

Se algum erro for detectado nestes arquivos, repita as etapas de definição e geração da configuraçãopara corrigir o problema.

Configuração do blade de gerenciamento para uso do modoresiliente

Configuração do blade de gerenciamento para usar o modo resiliente.

Tarefa1 Na interface do usuário, navegue até Sistema | Administração do sistema | Gerenciamento do cluster | Modo

resiliente.

2 Clique em Ativar modo resiliente.

3 Clique em OK para confirmar que você entendeu o Aviso sobre a ativação do modo resiliente.

4 Aguarde até o encerramento automático do blade de gerenciamento de failover, blade degerenciamento de automático e de todos os automático de varredura.

Operação no modo resilienteAplicar a configuração do modo resiliente a todas as interconexões 4


5 Faça qualquer alteração necessária na interconexão do servidor blade com a rede externa.

6 Aplique energia aos blades de gerenciamento e de gerenciamento de failover.

Verifique o Dashboard para assegurar‑se que os blades de gerenciamento de failover e degerenciamento estejam funcionando corretamente e sincronizados.

7 Por sua vez, aplique energia a todos os blades de varredura de conteúdo.

Conexões no modo resiliente para a rede externaConfigure as conexões necessárias entre a sua rede externa e o seu McAfee Email Gateway BladeServer.

As conexões que você precisa criar entre a rede externa e o McAfee Email Gateway Blade Serverdependem do modo que operação que você está selecionando para ser usado pelo servidor blade, bemcomo da configuração da rede externa.

Se estiver usando o Onboard Administrator, certifique‑se de ter conexões com o OA, bem como com asinterconexões.

4 Operação no modo resilienteConexões no modo resiliente para a rede externa


Certifique‑se de que cada conexão entre a rede e as interconexões do servidor blade consista de linksligados entre si para fornecer resiliência em caso de uma alternância, falha no cabo ou uma falha nainterconexão.

Figura 4-2 Conexões típicas de rede — modo resiliente

Tabela 4-7 Registro

Links da LAN (rede LAN1, LAN2 ou OOB)

Rede de varredura interna

Links ligados entre si

Operação no modo resilienteConexões no modo resiliente para a rede externa 4


Tabela 4-7 Registro (continuação)

Links normalmente bloqueados pelo STP

1. Rede externa

2. Infraestrutura da rede

3. (para LAN1) interconexão 1, (para LAN2 ou OOB) interconexão 3

4. (para LAN1) interconexão 2, (para LAN2 ou OOB) interconexão 4

5. Blade de gerenciamento

6. Blade de gerenciamento de failover

7. Blades de varredura

Por questões de simplicidade, o diagrama mostra somente um conjunto de caminhos de LAN/OOB. Oscaminhas da LAN1, LAN2 e da OOB são semelhantes.

Ligue os blades.Forneça energia para todos os blades dentro do McAfee Email Gateway Blade Server.

Antes de iniciarCertifique‑se de ter concluído todas as tarefas contidas em Migrando para a operação nomodo resiliente na página 58.

Tarefa1 Pressione o botão Ligar no blade de gerenciamento.

2 Assim que o blade de gerenciamento tiver concluído sua sequência de inicialização, pressione obotão Ligar no blade de gerenciamento de failover.

3 Após os blades de gerenciamento e de gerenciamento de failover terem concluído suas sequênciasde inicialização, você pode começar a ligar os blades de varredura de conteúdo.

Para evitar um pico de tensão, a McAfee recomenda que você deixe cada um dos blades devarredura de conteúdo concluir sua sequência de inicialização antes de aplicar energia ao próximoblade de varredura de conteúdo.

4 Operação no modo resilienteLigue os blades.


5 Solução de problemas

Encontre descrições dos problemas que você poderá ter ao integrar o dispositivo na rede existente.

Para usar a ferramenta de solução de problemas fornecida na interface de usuário do software doMcAfee Email Gateway Appliance, selecione Solução de problemas na barra de navegação.

Solução de problemas específicos do bladeEncontre informações específicas sobre a solução de problemas do seu McAfee Email Gateway BladeServer.

Sistemas de monitoramento externosA McAfee recomenda que você configure um sistema de monitoramento dedicado para fornecer avisosavançados sobre falhas ou problemas dentro dos invólucros do McAfee Email Gateway Blade Server.

O status do invólucro e das interconexões pode ser monitorado diretamente usando o SNMP (SimpleNetwork Management Protocol), e os módulos iLO (Integrated Lights‑Out) podem ser configuradospara enviar capturas de SNMP se alguma condição de erro for encontrada. O software do McAfee EmailGateway Blade Server também pode ser monitorado via SNMP.

Status da placa de interface de redeSaiba onde verificar o status das placas de interface de rede (NICs).

O status dos links para todas as placas de interface de rede em cada blade está disponível na interfacede usuário do software do McAfee Email Gateway, em Sistema | Administração do sistema | Gerenciamento docluster.

Eventos do sistemaSaiba onde visualizar os eventos do sistema.

Você pode usar as opções Relatórios | Relatórios do sistema na interface de usuário do software do McAfeeEmail Gateway para visualizar as informações do sistema de monitoramento do blade e também dosistema de configuração de interconexão.

5


5 Solução de problemasSolução de problemas específicos do blade


A Apêndices

Encontre informações que podem fornecer uma referência útil durante a instalação e a configuraçãodo seu servidor blade.

Conteúdo Exemplo de configuração de base da interconexão Exemplo de arquivo de configuração do chassi Procedimentos para a troca de hardware

Exemplo de configuração de base da interconexãoVeja um exemplo de configuração de base para uma das interconexões usadas em seu servidor blade.

Ao configurar o seu McAfee Email Gateway Blade Server para utilizar o modo resiliente, um arquivo deconfiguração de base é necessário para cada interconexão dentro do invólucro do seu servidor blade.

Exemplo de configuração de base da interconexão — interconnect_base.n (onde n= número de interconexões)

version "5.1.3"switch‑type "GbE2c L2/L3 Ethernet Blade Switch for HP c‑Class BladeSystem"!!!no system bootphostname "sw1"system idle 60!ip dns primary‑server 10.9.9.1!ntp enablentp primary‑server 10.9.9.1ntp interval 60!system timezone 180! Europe/Britain/GBsystem daylight!!!access user administrator‑password"ebfec37e832a822ab6b7a2b7409a21d800e2b27007bb4b41b7dd3b7827e7ec0f"!!!!


Exemplo de arquivo de configuração do chassiVeja um exemplo de arquivo de configuração de chassi para o seu servidor blade que está funcionandono modo resiliente.

Exemplo de arquivo chassisconfig.xml parcial mostrando Interconexão id="1"

A ApêndicesExemplo de arquivo de configuração do chassi


ApêndicesExemplo de arquivo de configuração do chassi A


Procedimentos para a troca de hardwareSaiba como substituir os componentes de hardware que estão com defeito.

Substituir um blade de gerenciamento com falhaSubstitua o blade de gerenciamento caso ele tenha falhado.

Use esta tarefa para substituir o blade de gerenciamento caso ele tenha falhado.

Tarefa1 Desligue o blade de gerenciamento.

2 Remova o antigo blade de gerenciamento.

3 Insira o novo blade de gerenciamento.

A ApêndicesProcedimentos para a troca de hardware


4 Instale o software do McAfee Email Gateway.

Consulte Instalando o software na página 33 para obter informações sobre a reinstalação dosoftware e a configuração do blade de gerenciamento.

5 Configure o novo blade como um blade de gerenciamento (se necessário).

Substituir um blade de gerenciamento de failover com falhaSubstitua o blade de gerenciamento de failover caso ele tenha falhado.Use esta tarefa para substituir o blade de gerenciamento de failover caso ele tenha falhado.

Tarefa1 Desligue o blade de gerenciamento de failover.

2 Remova o antigo blade de gerenciamento de failover.

3 Insira o novo blade de gerenciamento de failover.

4 Instale o software do McAfee Email Gateway.

Consulte Instalando o software na página 33 para obter informações sobre a reinstalação dosoftware e a configuração do blade de gerenciamento de failover.

5 Configure o novo blade como um blade de gerenciamento de failover (se necessário).

Substituir um blade de varredura com falhaSubstituir um blade de varredura que falhou.Se o novo blade possuir unidades de disco vazias, ele instalará automaticamente a imagem de umblade de varredura. Caso contrário, siga o procedimento em "Instalando o software em um blade devarredura de conteúdo" para forçar o blade de varredura a reinstalar o seu software.

Tarefa1 Desligue o blade.

Aguarde até o blade desligar.

2 Substitua o blade assim que estiver desligado.

Substituir uma interconexão com falhaSubstituir uma interconexão com falha.Para substituir uma interconexão, é necessário programar o tempo de inatividade do sistema paraconfigurar a interconexão de substituição no local, ou usar um segundo servidor blade para configurara interconexão separadamente ao sistema real.

É necessário configurar a interconexão de substituição no modo off‑line, pois a configuração padrãopode interferir com a topologia de rede em funcionamento.

Substituindo uma interconexão sem nenhum servidor blade de reserva disponível:

Tarefa1 Desligue todos os blades de varredura.

2 Desligue o blade de failover.

3 Faça download do arquivo de configuração da interconexão a partir do blade de gerenciamento(caso não esteja sendo permitido que o software do McAfee Email Gateway configureautomaticamente as interconexões).

ApêndicesProcedimentos para a troca de hardware A


4 Desconecte o chassi de todas as redes, exceto da rede OOB (se estiver substituindo a interconexão1 ou 2) ou da rede LAN1 (se estiver substituindo a interconexão 3 ou 4), deixando somente umainterconexão conectada à LAN restante.

5 Substitua a interconexão e ligue‑a.

6 Certifique‑se de que a interconexão possua um endereço IP adequado. Isso deve acontecerautomaticamente se o endereço IP da interconexão for fornecido através do DHCP e do módulo OA.

7 Caso não seja permitido ao software do McAfee Email Gateway configurar automaticamente ainterconexão, faça upload da configuração da interconexão.

Caso não seja permitido que o software do McAfee Email Gateway configure automaticamente ainterconexão, use o botão “Aplicar a configuração de interconexão” na interface de usuário doMcAfee Email Gateway ou no console em modo texto, ou execute o seguinte comando no blade degerenciamento: scm/opt/NETAwss/resiliency/apply_chassis_config.

8 Verifique se a interconexão aceitou a configuração sem erros.

9 Restabeleça as conexões de rede.

10 Ligue os blades de varredura e de failover.

Substituir um módulo com falha do Onboard AdministratorSubstituir um módulo do Onboard Administrator que falhou.

Consulte a documentação da HP para saber o procedimento correto para substituir um módulo doOnboard Administrator.

A ApêndicesProcedimentos para a troca de hardware


Índice

AAssistente de instalação

personalizada 35

Assistente de instalação personalizada 35

Ccomentários sobre ameaças 37

configuração de clusterestatísticas 37

Console de configuração 34

convenções e ícones utilizados neste guia 5

DDashboard 37

detecçõestaxas e estatísticas 37

DHCP 34

DMZ 19

configuração SMTP 19

documentaçãoconvenções tipográficas e ícones 5específica do produto, como encontrar 7público-alvo deste guia 5

Eestatísticas

Dashboard 37

Ffilas de e-mails 37

Ggateway de e-mail

com uma zona desmilitarizada 19

gráficosestatísticas de e-mail e rede 37

MMcAfee Global Threat Intelligence 37

McAfee ServicePortal, como acessar 7mensagens de alterações de configuração 37

mensagens de avisoDashboard 37

modo Ponte transparente 12

modo Proxy explícito 17

modo resiliente 53

modo roteador transparente 15

modos de operaçãomodo Ponte transparente 12



modos de redeintrodução 11

modo Ponte transparente 12



Oopções de instalação

instalação personalizada 35

Ppolíticas

status 37

prioridade da ponte 14

Rregras de firewall


retransmissão de e-mailem uma zona desmilitarizada 19

SServicePortal, como encontrar a documentação do produto 7sobre este guia 5status da rede 37

status do e-mail 37

STP 14

Suporte técnico, como encontrar informações sobre produtos 7

Zzona desmilitarizada

configuração SMTP 19


zona desmilitarizada (DMZ - demilitarized zone) 19

Índice


700-3359B12

Documents

Revisão B Guia de instalação - kc.mcafee.com · Informações sobre requisitos gerais do local para preparar sua sala de computadores para o hardware do McAfee Email Gateway Blade