Guia de instalação Revisão B. Blade Servers McAfee Gateway 7.x

Transcrição

1 Guia de instalação Revisão B Blade Servers McAfee Gateway 7.x

2 COPYRIGHT Copyright 2013 McAfee, Inc. Não copiar sem permissão. RECONHECIMENTO DE MARCAS COMERCIAIS McAfee, o logotipo McAfee, McAfee Active Protection, McAfee AppPrism, McAfee Artemis, McAfee CleanBoot, McAfee DeepSAFE, epolicy Orchestrator, McAfee epo, McAfee EMM, McAfee Enterprise Mobility Management, Foundscore, Foundstone, McAfee NetPrism, McAfee Policy Enforcer, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, SecureOS, McAfee Shredder, SiteAdvisor, SmartFilter, McAfee Stinger, McAfee Total Protection, TrustedSource, VirusScan, WaveSecure e WormTraq são marcas comerciais ou marcas registradas da McAfee, Inc. ou de suas afiliadas nos EUA e em outros países. Outros nomes e marcas podem ser propriedade de terceiros. INFORMAÇÕES SOBRE A LICENÇA Contrato de licença AVISO A TODOS OS USUÁRIOS: LEIA ATENTAMENTE O CONTRATO LEGAL APROPRIADO CORRESPONDENTE À LICENÇA ADQUIRIDA POR VOCÊ. NELE ESTÃO DEFINIDOS OS TERMOS E AS CONDIÇÕES GERAIS PARA A UTILIZAÇÃO DO SOFTWARE LICENCIADO. CASO NÃO TENHA CONHECIMENTO DO TIPO DE LICENÇA QUE FOI ADQUIRIDO, CONSULTE A DOCUMENTAÇÃO RELATIVA À COMPRA OU À CONCESSÃO DA LICENÇA, INCLUÍDA NO PACOTE DO SOFTWARE OU FORNECIDA SEPARADAMENTE (COMO LIVRETO, ARQUIVO NO CD DO PRODUTO OU UM ARQUIVO DISPONÍVEL NO SITE DO QUAL O PACOTE DE SOFTWARE FOI OBTIDO POR DOWNLOAD). SE NÃO CONCORDAR COM TODOS OS TERMOS ESTABELECIDOS NO CONTRATO, NÃO INSTALE O SOFTWARE. SE FOR APLICÁVEL, VOCÊ PODERÁ DEVOLVER O PRODUTO À MCAFEE OU AO LOCAL DA AQUISIÇÃO PARA OBTER REEMBOLSO TOTAL. 2 Blade Servers McAfee Gateway 7.x Guia de instalação

3 Conteúdo Prefácio 5 Sobre este guia Público-alvo Convenções Como usar este guia Localizar a documentação do produto Preparação para a instalação 9 O que há na caixa Planejar a instalação Uso inadequado Condições operacionais Posicionando o servidor blade Considerações sobre modos de rede Modo Ponte transparente Modo Roteador transparente Modo Proxy explícito Estratégias de distribuição para uso do dispositivo em uma zona desmilitarizada Configuração do SMTP em uma zona desmilitarizada Gerenciamento de carga de trabalho Conectando e configurando o servidor blade 23 Fazendo upgrade de versões anteriores Configuração das interconexões durante a atualização de uma versão anterior Fazendo backup da configuração existente Desligando os blades de varredura Desligando os blades de gerenciamento Fazendo upgrade do software do blade de gerenciamento Reinstalando os blades de varredura Instalação padrão Instalação física do servidor blade Instalar as interconexões para o modo padrão (não resiliente) Fornecendo energia ao servidor blade Conexão à rede Instalando o software Ordem de instalação dos blades de gerenciamento Instalando o software nos blades de gerenciamento Instalando o software em um blade de varredura de conteúdo Uso do console de configuração Execução de uma Instalação personalizada Restauração de um arquivo Configuração somente de criptografia Um tour pelo Dashboard 37 O Dashboard Blade Servers McAfee Gateway 7.x Guia de instalação 3

4 Conteúdo Benefícios do uso do Dashboard Portlets do Dashboard Tarefa Desligar o aviso Comentários do McAfee Global Threat Intelligence desativados. 40 Explorando o servidor blade Demonstrando o gerenciamento de carga de trabalho e de failover Testando os recursos de gerenciamento no servidor blade Usar as políticas para gerenciar a varredura de mensagens Teste da configuração Explore os recursos do McAfee Gateway Blade Server Operação no modo resiliente 53 Como o modo resiliente utiliza o hardware Decisão pelo uso do modo resiliente Antes de iniciar a reconfiguração para o modo resiliente Informações sobre o hardware Endereços IP necessários para o modo resiliente Nomes de usuário e senhas Migrando para a operação no modo resiliente Fazendo backup da configuração existente Instalar as interconexões para o modo resiliente Configuração de interconexões Modificar a configuração do invólucro Aplicar a configuração do modo resiliente a todas as interconexões Faça download e revise a configuração gerada Configuração do blade de gerenciamento para uso do modo resiliente Conexões no modo resiliente para a rede externa Ligue os blades Solução de problemas 69 Solução de problemas específicos do blade Sistemas de monitoramento externos Status da placa de interface de rede Eventos do sistema A Apêndices 71 Exemplo de configuração de base da interconexão Exemplo de arquivo de configuração do chassi Procedimentos para a troca de hardware Substituir um blade de gerenciamento com falha Substituir um blade de gerenciamento de failover com falha Substituir um blade de varredura com falha Substituir uma interconexão com falha Substituir um módulo com falha do Onboard Administrator Índice 77 4 Blade Servers McAfee Gateway 7.x Guia de instalação

5 Prefácio Este guia fornece as informações de que você necessita para instalar o seu produto McAfee. Conteúdo Sobre este guia Localizar a documentação do produto Sobre este guia Estas informações descrevem o público alvo do guia, as convenções tipográficas e os ícones usados neste guia, além de como o guia é organizado. Público-alvo A documentação da McAfee é cuidadosamente pesquisada e escrita para o público alvo. As informações deste guia destinam se principalmente a: Administradores Pessoas que implementam e aplicam o programa de segurança da empresa. Convenções Este guia usa as seguintes convenções tipográficas e ícones. Título do livro, termo, ênfase Negrito Digitação do usuário, código, mensagem Texto da interface Azul de hipertexto Título de um livro, capítulo ou tópico; um novo termo; ênfase. Texto bastante enfatizado. Comandos e outros textos digitados pelo usuário; um fragmento de código; uma mensagem exibida. Palavras da interface do produto, como opções, menus, botões e caixas de diálogo. Um link para um tópico ou para um site externo. Observação: Informações adicionais, como um método alternativo de acessar uma opção. Dica: Sugestões e recomendações. Importante/cuidado: Informações importantes para proteger o sistema do seu computador, sua instalação de software, rede, negócios ou seus dados. Aviso: Informações críticas para prevenir lesões corporais durante a utilização de um produto de hardware. Blade Servers McAfee Gateway 7.x Guia de instalação 5

6 Prefácio Sobre este guia Convenções gráficas Use estas informações para compreender os símbolos gráficos usados neste documento. Servidor blade Internet ou redes externas Servidor de e mail Outros servidores (como servidores DNS) Computador cliente ou do usuário Roteador Switch Firewall Zona da rede (zona desmilitarizada ou VLAN) Rede Caminho de dados real Caminho de dados percebido Definição de termos usados neste guia Compreenda alguns dos termos chave usados neste documento. Termo zona desmilitarizada (DMZ demilitarized zone) arquivos DAT modo de operação política verificação do serviço de reputação Interconexões Definição Um host de computador ou uma rede pequena inserida como um buffer entre uma rede privada e a rede pública externa para impedir acesso direto de usuários externos aos recursos da rede privada. Arquivos de definição de detecção (DAT), também chamados de arquivos de assinatura, contendo as definições que identificam, detectam e reparam vírus, cavalos de Troia, spyware, adware e outros programas potencialmente indesejados (PUPs). Os três modos de operação do produto: modo Proxy explícito, modo Ponte transparente e modo Roteador transparente. Uma coleção de critérios de segurança, como definições de configuração, benchmarks (testes comparativos) e especificações de acesso à rede, que define o nível de conformidade necessário para usuários, dispositivos e sistemas que podem ser avaliados ou cumpridos por um aplicativo de segurança McAfee. Parte da autenticação do remetente. Se um remetente não passar na verificação do serviço de reputação, o appliance será definido para fechar a conexão e recusar a mensagem. O endereço IP do remetente será adicionado a uma lista de conexões bloqueadas e será bloqueado automaticamente no futuro no nível do kernel. Os módulos HP GbE2c Layer 2/3 Ethernet Blade Switch usados para fornecer conexões de rede para o McAfee Gateway Blade Server. O termo Interconexão pode ser considerado como sendo igual a Switch. 6 Blade Servers McAfee Gateway 7.x Guia de instalação

7 Prefácio Localizar a documentação do produto Como usar este guia Este tópico apresenta um breve resumo das informações contidas neste documento. Este guia ajuda você a: Planejar e executar sua instalação. Familiarizar se com a interface. Testar se o produto funciona corretamente. Aplicar os arquivos de definição de detecção mais recentes. Explorar algumas políticas de varredura, criar relatórios e obter informações de status. Solucionar problemas básicos. Você pode encontrar informações adicionais sobre os recursos de varredura na ajuda on line do produto e na última versão do Guia de administradores do McAfee Gateway. Localizar a documentação do produto A McAfee fornece as informações de que você necessita durante cada fase de implementação do produto, desde a instalação até o uso diário e solução de problemas. Após o lançamento de um produto, informações sobre o mesmo são inseridas no KnowledgeBase on line da McAfee. Tarefa 1 Vá para o ServicePortal de suporte técnico da McAfee em 2 Em Self Service (Autoatendimento), acesse o tipo de informação necessária: Para acessar... Documentação do usuário Execute este procedimento... 1 Clique em Product Documentation (Documentação do produto). 2 Selecione um produto e, em seguida, uma versão. 3 Selecione o documento de um produto. KnowledgeBase Clique em Search the KnowledgeBase (Pesquisar no KnowledgeBase) para obter respostas às suas dúvidas sobre produtos. Clique em Browse the KnowledgeBase (Procurar no KnowledgeBase) para ver artigos relacionados por produto e versão. Blade Servers McAfee Gateway 7.x Guia de instalação 7

8 Prefácio Localizar a documentação do produto 8 Blade Servers McAfee Gateway 7.x Guia de instalação

9 1 Preparação 1 para a instalação Para garantir a operação segura do McAfee Gateway Blade Server, considere o seguinte antes de iniciar a instalação. Compreenda os requisitos de alimentação de seu servidor blade e do sistema de alimentação. Familiarize se com seus modos de operação e recursos. É importante escolher uma configuração válida. Decida como integrar o appliance em sua rede e determine de quais informações você precisará antes de começar. Por exemplo, o nome e o endereço IP do dispositivo. Desembale o produto o mais próximo possível do local em que pretende instalá lo. O servidor blade é pesado. Não deixe de seguir os procedimentos recomendados para levantar o servidor blade ao desembalá lo. Remova o produto da embalagem protetora e coloque o sobre uma superfície plana. Observe todos os avisos de segurança. Revise e familiarize se com todas as informações de segurança fornecidas. Conteúdo O que há na caixa Planejar a instalação Uso inadequado Condições operacionais Posicionando o servidor blade Considerações sobre modos de rede Estratégias de distribuição para uso do dispositivo em uma zona desmilitarizada O que há na caixa Use estas informações para garantir que tenha a remessa completa do seu produto. Para verificar se todos os componentes estão presentes, consulte a lista de itens fornecida com seu produto. Geralmente, você deve ter: Gabinete de um servidor blade Um blade de Gerenciamento Um blade de Gerenciamento de failover Blade Servers McAfee Gateway 7.x Guia de instalação 9

10 1 Preparação para a instalação Planejar a instalação Um ou mais blades de varredura, conforme o pedido Cabos de alimentação Cabos de rede CD de instalação e recuperação do McAfee Gateway CD do código fonte do Linux Se algum item estiver ausente ou danificado, entre em contato com o fornecedor. Planejar a instalação Use estas informações ao planejar a instalação de seu dispositivo. Antes de desembalar o McAfee Gateway Blade Server, é importante planejar a instalação e a distribuição. Informações para ajudá lo podem ser encontradas em: HP BladeSystem c Class Site Planning Guide. Considere o seguinte: Diretrizes gerais para preparar seu site. Informações sobre requisitos gerais do local para preparar sua sala de computadores para o hardware do McAfee Gateway Blade Server. Requisitos de ambiente Informações sobre requisitos do ambiente local, incluindo temperatura, fluxo de ar e espaço necessário Requisitos e considerações da alimentação Requisitos da alimentação e fatores elétricos que devem ser considerados antes da instalação Inclui instalação da PDU (Unidade de distribuição de energia). Especificações e requisitos de hardware Especificações de sistema para o invólucro do servidor blade, os racks e as fontes de alimentação monofásicas e trifásicas. Cenários de configuração Preparação para a instalação 10 Blade Servers McAfee Gateway 7.x Guia de instalação

11 Preparação para a instalação Uso inadequado 1 Uso inadequado Use estas informações para evitar o uso deste produto de forma inadequada. O McAfee Gateway Blade Server: Não é um firewall Você deve usá lo em sua organização por trás de um firewall configurado corretamente. Não é um servidor para armazenamento de software e arquivos extras Não instale nenhum software no dispositivo nem adicione nenhum arquivo extra a ele, a menos que instruído pela documentação do produto ou pelo representante de suporte. O dispositivo não pode processar todos os tipos de tráfego. Se você usar o modo proxy explícito, somente os protocolos a serem varridos deverão ser enviados ao dispositivo. Condições operacionais Use estas informações para compreender as condições ambientais necessárias para o seu McAfee Gateway. Temperatura operacional Temperatura não operacional Umidade relativa não operacional Vibração, desembalado Choque, operacional Choque, trapezoidal desembalado Requisito de resfriamento do sistema em BTUs/hora +10 C a + 30 C ou +10 C a + 35 C (dependendo do modelo) com a taxa máxima de alteração não superior a 10 C por hora 40 C a +70 C 90%, sem condensação, a 35 C 5 Hz a 500 Hz, 2,20 g RMS (aleatório) Meio seno, pico de 2 g, 11 milésimos de segundo 25 g, alteração de velocidade 136 pol/s ( 40 lbs a > 80 lbs) 1660 BTUs/hora ou 2550 BTUs/hora (dependendo do modelo) Posicionando o servidor blade Use estas informações para saber onde o McAfee Gateway Blade Server deve estar localizado. Instale o servidor blade de modo que você possa controlar o acesso físico à unidade e acessar as portas e as conexões. Um kit de montagem em rack é fornecido com o chassi do servidor blade, permitindo instalar o servidor blade em um rack de 19 polegadas. Consulte Instruções para a rápida instalação do invólucro HP BladeSystem c7000. Considerações sobre modos de rede Use estas informações para compreender os modos operacionais (ou de rede) nos quais o dispositivo pode operar. Antes de instalar e configurar seu McAfee Gateway Blade Server, é preciso decidir qual modo de rede usar. O modo escolhido determina como você conecta fisicamente o seu appliance à rede. Blade Servers McAfee Gateway 7.x Guia de instalação 11

12 1 Preparação para a instalação Considerações sobre modos de rede É possível escolher dentre os seguintes modos de rede: Modo Ponte transparente O dispositivo funciona como uma ponte Ethernet. Modo Roteador transparente O dispositivo funciona como um roteador. Modo Proxy explícito O dispositivo funciona como um servidor proxy e uma retransmissão de e mail. Se você ainda não tiver certeza sobre o modo a ser usado depois de ler estas informações e as seções a seguir, consulte seu especialista em rede. Considerações arquitetônicas sobre modos de rede As considerações principais com relação aos modos de rede são: Se os dispositivos de comunicação reconhecem a existência do dispositivo. Ou seja, se o dispositivo está operando em um dos modos transparentes. Como o dispositivo se conecta fisicamente à rede. A configuração necessária para incorporar o dispositivo à rede. Onde a configuração ocorre na rede. Considerações antes de alterar os modos de rede Nos modos Proxy explícito e Roteador transparente, é possível instalar o dispositivo para ajustar se a mais de uma rede configurando vários endereços IP para as portas LAN1 e LAN2. Se você mudar para o modo Ponte transparente a partir do modo Proxy explícito ou Roteador transparente, apenas os endereços IP ativados para cada porta serão transferidos. Depois de selecionar um modo de rede, a McAfee recomenda que ele não seja alterado, a menos que você mova o dispositivo ou reestruture sua rede. Modo Ponte transparente Use estas informações para compreender melhor o modo Ponte transparente em seu McAfee Gateway. No modo Ponte transparente, os servidores em comunicação não reconhecem o dispositivo a operação do dispositivo é transparente para os servidores. Figura 1-1 Modo Ponte transparente caminho de dados aparente Na figura, o servidor de e mail externo (A) envia mensagens de e mail ao servidor de e mail interno (C). O servidor de e mail externo não reconhece que a mensagem de e mail é interceptada e varrida pelo dispositivo (B). O servidor de e mail externo parece se comunicar diretamente com o servidor de e mail interno o caminho é mostrado como uma linha pontilhada. Na realidade, o tráfego pode passar por vários dispositivos de rede e ser interceptado e varrido pelo dispositivo antes de alcançar o servidor de e mail interno. 12 Blade Servers McAfee Gateway 7.x Guia de instalação

13 Preparação para a instalação Considerações sobre modos de rede 1 O que o dispositivo faz no modo Ponte transparente No modo Ponte transparente, o dispositivo se conecta à rede usando as portas LAN1 e LAN2. O dispositivo varre o tráfego recebido e age como uma ponte que conecta dois segmentos de rede, mas os trata como uma única rede lógica. Configuração no modo Ponte transparente O modo Ponte transparente requer menos configuração do que os modos Roteador transparente e Proxy explícito. Não é necessário reconfigurar todos os seus clientes, o gateway padrão, os registros MX, o NAT do firewall ou os servidores de e mail para enviar tráfego ao dispositivo. Como o dispositivo não é um roteador nesse modo, não é necessário atualizar uma tabela de roteamento. Onde colocar o dispositivo ao usar o modo Ponte transparente Por razões de segurança, você deve usar o dispositivo dentro de sua organização, por trás de um firewall. Figura 1-2 Posicionamento no modo Ponte transparente No modo Ponte transparente, posicione o dispositivo entre o firewall e o roteador, conforme mostrado. Nesse modo, você conecta fisicamente dois segmentos de rede ao dispositivo, e o dispositivo os trata como uma rede lógica. Como os dispositivos firewall, dispositivo e roteador estão na mesma rede lógica, todos eles devem ter endereços IP compatíveis na mesma sub rede. Blade Servers McAfee Gateway 7.x Guia de instalação 13

14 1 Preparação para a instalação Considerações sobre modos de rede Os dispositivos de um lado da ponte (como um roteador) que se comunicam com os dispositivos do outro lado da ponte (como um firewall) não reconhecem a ponte. Eles não reconhecem que esse tráfego é interceptado e varrido, portanto, diz se que o dispositivo opera como uma ponte transparente. Figura 1-3 Estrutura de rede Modo Ponte transparente Spanning Tree Protocol para gerenciar a prioridade da ponte Configure o STP (Spanning Tree Protocol) para gerenciar as prioridades da ponte do McAfee Gateway Blade Server. Antes de iniciar O servidor blade deve ser configurado no modo Ponte transparente para que o STP esteja disponível. Caso um blade falhe, o STP direciona o tráfego da rede para o blade com a próxima prioridade da ponte mais alta. No modo Ponte transparente, o blade de gerenciamento e o blade de gerenciamento de failover têm diferentes endereços IP. Nos modos Roteador transparente e Proxy explícito, os dois blades novamente têm endereços IP diferentes, mas são configurados com o mesmo endereço IP virtual. Normalmente, o tráfego de e mail é gerenciado pelo blade de gerenciamento. Se esse blade falhar, o tráfego de e mail será gerenciado pelo blade de gerenciamento de failover. 14 Blade Servers McAfee Gateway 7.x Guia de instalação

15 Preparação para a instalação Considerações sobre modos de rede 1 Cada blade tem uma prioridade da ponte diferente. Como o blade de gerenciamento tem a prioridade mais alta (por exemplo, um valor de STP igual a 100), o blade de gerenciamento normalmente trata ou intercepta o tráfego da rede. Se o blade de gerenciamento falhar, o STP direciona o tráfego da rede por um caminho com a próxima prioridade da ponte mais alta, ou seja, o blade de gerenciamento de failover (por exemplo, com um valor de STP igual a 200). Tarefa 1 Para evitar loops de ponte: a Desative o STP nas partas 1 e 2 de todas as interconexões. b c Certifique se de que todas as portas sejam membros do Spanning Tree Group 1 (STG1). Desative o STG1. 2 Instale o blade de gerenciamento de failover no slot 2. 3 Durante a configuração para o blade de gerenciamento de failover, defina a prioridade da ponte, por exemplo, como Instale o blade de gerenciamento no slot 1. 5 Durante a configuração para o blade de gerenciamento, defina a prioridade da ponte, por exemplo, como Atribua endereços IP diferentes ao blade de gerenciamento e ao blade de gerenciamento de failover. Modo Roteador transparente Use estas informações para compreender melhor o modo Roteador transparente em seu McAfee Gateway. No modo Roteador transparente, o dispositivo varre o tráfego de e mail entre duas redes. O dispositivo possui um endereço IP para o tráfego varrido de saída e deve ter um endereço IP para o tráfego de entrada. A comunicação dos servidores de rede não reconhece a intervenção do dispositivo a operação do dispositivo é transparente para os dispositivos. O que o dispositivo faz no modo Roteador transparente No modo Roteador transparente, o dispositivo se conecta às redes usando as portas LAN1 e LAN2. O dispositivo varre o tráfego recebido em uma rede e o encaminha para o próximo dispositivo de rede em uma rede diferente. O dispositivo atua como um roteador, roteando o tráfego entre as redes com base nas informações contidas em suas tabelas de roteamento. Configuração no modo Roteador transparente Com o modo Roteador transparente, não é necessário reconfigurar explicitamente seus dispositivos de rede para enviar tráfego ao dispositivo. É necessário configurar apenas a tabela de roteamento do dispositivo e modificar algumas informações de roteamento dos dispositivos de rede de cada um de seus lados (os dispositivos conectados às suas portas LAN1 e LAN2). Por exemplo, talvez seja necessário tornar o dispositivo o seu gateway padrão. Blade Servers McAfee Gateway 7.x Guia de instalação 15

16 1 Preparação para a instalação Considerações sobre modos de rede No modo Roteador transparente, o dispositivo deve unir duas redes. O dispositivo deve ser posicionado dentro de sua organização, por trás de um firewall. O modo Roteador transparente não é compatível com o tráfego IP multicast ou protocolos não IP, como NETBEUI e IPX. Regras de firewall No modo Roteador transparente, o firewall se conecta ao endereço IP físico para a conexão de LAN1/ LAN2 com o blade de gerenciamento. Onde colocar o dispositivo Use o dispositivo no modo Roteador transparente para substituir um roteador existente em sua rede. Se você usar o modo Roteador transparente e não substituir um roteador existente, deverá reconfigurar parte de sua rede para rotear o tráfego corretamente pelo dispositivo. Figura 1-4 Estrutura de rede Modo Ponte transparente Você precisa: Configurar seus dispositivos clientes para apontar para o gateway padrão. Configurar o dispositivo para usar o gateway da Internet como seu gateway padrão. Assegurar se de que os dispositivos clientes possam entregar mensagens de e mail para os servidores de e mail dentro de sua organização. 16 Blade Servers McAfee Gateway 7.x Guia de instalação

17 Preparação para a instalação Considerações sobre modos de rede 1 Modo Proxy explícito Use estas informações para compreender melhor o modo Proxy explícito em seu McAfee Gateway. No modo Proxy explícito, alguns dispositivos de rede devem ser configurados explicitamente para enviar tráfego ao dispositivo. O dispositivo funciona, então, como um proxy ou uma retransmissão, processando o tráfego em nome dos dispositivos. Figura 1-5 Modo Proxy explícito caminho de dados aparente O modo Proxy explícito é mais adequado às redes nas quais os dispositivos clientes se conectam ao dispositivo por meio de um único dispositivo upstream e downstream. Essa pode não ser a melhor opção se vários dispositivos de rede tiverem de ser reconfigurados para enviar tráfego ao dispositivo. Configuração de rede e de dispositivo Se o dispositivo estiver definido no modo Proxy explícito, você deverá configurar explicitamente o seu servidor de e mail interno para retransmitir o tráfego de e mail ao dispositivo. O dispositivo varre o tráfego de e mail antes de encaminhá lo, em nome do remetente, para o servidor de e mail externo. O servidor de e mail externo encaminha, então, a mensagem de e mail ao destinatário. De modo semelhante, a rede deve ser configurada para que as mensagens de e mail de entrada da Internet sejam entregues ao dispositivo, não ao servidor de e mail interno. O dispositivo varre o tráfego antes de encaminhá lo, em nome do remetente, ao servidor de e mail interno para entrega, conforme mostrado. Por exemplo, um servidor de e mail externo pode se comunicar diretamente com o dispositivo, embora o tráfego passe por vários servidores de rede antes de alcançar o dispositivo. O caminho percebido é do servidor de e mail externo para o dispositivo. Protocolos Para varrer um protocolo compatível, você deve configurar seus outros servidores de rede ou computadores clientes para rotear esse protocolo por meio do dispositivo, de modo que nenhum tráfego ignore o dispositivo. Regras de firewall O modo Proxy explícito invalida quaisquer regras de firewall configuradas para acesso do cliente à Internet. O firewall vê apenas as informações de endereço IP físico do dispositivo, não os endereços IP dos clientes, de modo que o firewall não pode aplicar suas regras de acesso à Internet aos clientes. Assegurar se de que as regras do firewall estejam atualizadas. O firewall deve aceitar tráfego domcafee Gateway, mas não o tráfego proveniente diretamente dos dispositivos clientes. Configure regras de firewall para evitar a entrada de tráfego indesejado em sua organização. Blade Servers McAfee Gateway 7.x Guia de instalação 17

18 1 Preparação para a instalação Considerações sobre modos de rede Onde colocar o dispositivo Configure os dispositivos de rede de modo que o tráfego que precise ser varrido seja enviado aomcafee Gateway. Isso é mais importante do que a localização domcafee Gateway. O roteador deve permitir que todos os usuários se conectem aomcafee Gateway. Figura 1-6 Posicionamento no modo Proxy explícito OMcAfee Gateway deve ser posicionado dentro de sua organização, por trás de um firewall, conforme mostrado na Figura 6: Configuração de proxy explícito. Geralmente, o firewall é configurado para bloquear o tráfego que não vem diretamente do dispositivo. Se você não tiver certeza sobre sua topologia de rede e como integrar o dispositivo, consulte seu especialista em rede. Use essa configuração se: O dispositivo estiver operando em modo Proxy explícito. Você estiver usando e mail (SMTP). Para essa configuração, você deve: Configurar os servidores DNS externos ou a conversão de endereços de rede (NAT) no firewall de modo que o servidor de e mail externo entregue o e mail ao dispositivo e não ao servidor de e mail interno. Configurar os servidores de e mail internos para enviar mensagens de e mail ao dispositivo. Ou seja, os servidores de e mail internos devem usar o dispositivo como um host inteligente. Assegure se de que os dispositivos clientes possam entregar mensagens de e mail para os servidores de e mail dentro de sua organização. Assegurar se de que as regras do firewall estejam atualizadas. O firewall deve aceitar tráfego do dispositivo, mas não o tráfego proveniente diretamente dos dispositivos clientes. Configure regras para evitar a entrada de tráfego indesejado em sua organização. 18 Blade Servers McAfee Gateway 7.x Guia de instalação

19 Preparação para a instalação Estratégias de distribuição para uso do dispositivo em uma zona desmilitarizada 1 Estratégias de distribuição para uso do dispositivo em uma zona desmilitarizada Use estas informações para compreender sobre zonas desmilitarizadas dentro de sua rede e como usá las para proteger seus servidores de e mail. Uma zona desmilitarizada (DMZ demilitarized zone) é uma rede separada por um firewall de todas as outras redes, incluindo a Internet e outras redes internas. O propósito típico por trás da implementação de uma zona desmilitarizada é bloquear o acesso a servidores que fornecem serviços para a Internet, como e mail. Os hackers geralmente obtêm acesso às redes identificando as portas TCP/UDP nas quais os aplicativos escutam as solicitações e, em seguida, explorando vulnerabilidades conhecidas em aplicativos. Os firewalls reduzem drasticamente o risco dessas explorações, controlando o acesso a portas específicas em servidores específicos. O dispositivo pode ser adicionado facilmente a uma configuração de zona desmilitarizada. A maneira como você usa o dispositivo em uma zona desmilitarizada depende dos protocolos que pretende varrer. Configuração do SMTP em uma zona desmilitarizada Use estas informações para compreender como configurar dispositivos SMTP dentro de uma zona desmilitarizada em sua rede. A zona desmilitarizada é um bom local para criptografar e mails. No momento em que o tráfego de e mail alcança o firewall pela segunda vez (em seu caminho da zona desmilitarizada para a Internet), ele já está criptografado. Os dispositivos com tráfego SMTP em uma zona desmilitarizada são geralmente configurados no modo Proxy explícito. As alterações na configuração só precisam ser feitas nos registros MX dos servidores de e mail. NOTA: você pode usar o modo Ponte transparente ao varrer o SMTP em uma zona desmilitarizada. Entretanto, se você não controlar o fluxo do tráfego corretamente, o dispositivo varrerá cada mensagem duas vezes, uma em cada direção. Por essa razão, o modo Proxy explícito é geralmente usado para a varredura do SMTP. Retransmissão de e mail Figura 1-7 Configuração como uma retransmissão de e mail Blade Servers McAfee Gateway 7.x Guia de instalação 19

20 1 Preparação para a instalação Estratégias de distribuição para uso do dispositivo em uma zona desmilitarizada Se você tiver uma retransmissão de e mail já configurada em sua zona desmilitarizada, poderá substituir a retransmissão pelo dispositivo. Para usar as políticas de firewall existentes, forneça ao dispositivo o mesmo endereço IP da retransmissão de e mail. Gateway de e mail O SMTP não fornece métodos para criptografar mensagens de e mail você pode usar o TLS (Transport Layer Security) para criptografar o link, mas não as mensagens de e mail. Como resultado, algumas empresas não permitem esse tráfego em suas redes internas. Para superar isso, elas geralmente usam um gateway de e mail proprietário, como o Lotus Notes ou o Microsoft Exchange, para criptografar o tráfego de e mail antes que ele alcance a Internet. Para implementar uma configuração de zona desmilitarizada usando um gateway de e mail proprietário, adicione o dispositivo de varredura à zona desmilitarizada no lado SMTP do gateway. Figura 1-8 Configuração como um gateway de e mail Nessa situação, configure: Os registros MX públicos para instruir os servidores de e mail externos a enviar todo o e mail recebido para o dispositivo (em vez do gateway). O dispositivo para encaminhar todo o e mail recebido para o gateway de e mail e entregar todo o e mail enviado usando DNS ou uma retransmissão externa. O gateway de e mail para encaminhar todo o e mail recebido para os servidores de e mail internos e todos os outros e mails (enviados) para o dispositivo. O firewall para permitir e mails recebidos que sejam destinados somente ao dispositivo. Os firewalls configurados para usar a conversão de endereços de rede (NAT) e que redirecionam e mails recebidos para servidores de e mail internos não precisam de seus registros MX públicos reconfigurados. Isso ocorre porque eles estão direcionando o tráfego para o firewall em vez de para o próprio gateway de e mail. Nesse caso, o firewall deve ser reconfigurado para direcionar solicitações de e mail recebido para o dispositivo. 20 Blade Servers McAfee Gateway 7.x Guia de instalação

21 Preparação para a instalação Estratégias de distribuição para uso do dispositivo em uma zona desmilitarizada 1 Regras de firewall específicas para Lotus Notes Use estas informações para identificar considerações específicas ao proteger os sistemas Lotus Notes. Por padrão, os servidores do Lotus Notes se comunicam pela porta TCP As regras de firewall geralmente usadas para servidores seguros do Notes em uma zona desmilitarizada permitem o seguinte através do firewall: Solicitações SMTP recebidas (porta TCP 25) originárias da Internet e destinadas ao dispositivo Solicitações da porta TCP 1352 originárias do gateway do Notes e destinadas a um servidor interno do Notes Solicitações da porta TCP 1352 originárias de um servidor interno do Notes e destinadas a um gateway do Notes Solicitações SMTP originárias do dispositivo e destinadas à Internet Todas as outras solicitações SMTP e da porta TCP 1352 são recusadas. Regras de firewall específicas para Microsoft Exchange Use estas informações para identificar considerações específicas ao proteger os sistemas Microsoft Exchange. Um sistema de e mail baseado no Microsoft Exchange requer uma solução alternativa significativa. Quando os servidores Exchange se comunicam entre si, eles enviam seus pacotes iniciais usando o protocolo RPC (porta TCP 135). Entretanto, depois que a comunicação inicial é estabelecida, duas portas são escolhidas dinamicamente e usadas para enviar todos os pacotes subsequentes do restante da comunicação. Não é possível configurar um firewall para reconhecer essas portas escolhidas dinamicamente. Portanto, o firewall não passa os pacotes. A alternativa é modificar o registro em cada um dos servidores Exchange que se comunicam através do firewall para usar sempre as mesmas duas portas dinâmicas e, em seguida, abrir a TCP 135 e essas duas portas no firewall. Mencionamos essa alternativa para fornecer uma explicação abrangente, mas não a recomendamos. O protocolo RPC é amplamente difundido em redes Microsoft a abertura da entrada TCP 135 é um sinal de alerta para a maioria dos profissionais de segurança. Se você pretende usar essa alternativa, poderá encontrar detalhes no seguinte artigo da Base de Dados de Conhecimento no site da Microsoft: Gerenciamento de carga de trabalho Use estas informações para aprender sobre os recursos de gerenciamento de carga de trabalho do McAfee Gateway. Os appliances incluem seu próprio gerenciamento de carga de trabalho interno, distribuindo a carga de varredura igualmente entre todos os appliances configurados para trabalhar juntos. Não é necessário distribuir um balanceador de carga externo. Blade Servers McAfee Gateway 7.x Guia de instalação 21

22 1 Preparação para a instalação Estratégias de distribuição para uso do dispositivo em uma zona desmilitarizada 22 Blade Servers McAfee Gateway 7.x Guia de instalação

23 2 Conectando 2 e configurando o servidor blade Use esta seção para entender os conceitos, processos e considerações necessários para conectar e configurar o seu servidor blade. O McAfee Gateway Blade Server pode ser conectado à sua rede e configurado nos seguintes modos: Modo padrão (não resiliente) Modo resiliente Modo padrão (não resiliente) O modo padrão (não resiliente) utilize os mesmos componentes e processos para conectar o seu servidor blade à sua rede que foram usados em todas as versões anteriores do produto do McAfee Gateway Blade Server. No modo padrão (não resiliente), seu servidor blade não está imune dos efeitos causados pela falha de hardware. Para tornar se resiliente a falhas de hardware, considere alterar para o modo resiliente após ter ajustado, configurado, e testado completamente o seu servidor blade. Modo resiliente Após ter configurado o seu servidor blade para operar no modo padrão (não resiliente), consulte Operação no modo resiliente para obter mais detalhes sobre alternar para a operação no modo resiliente. O McAfee Gateway Blade Server inclui a operação no modo resiliente para o servidor blade. Neste modo, todas as conexões entre sua rede, servidor blade, e também as conexões dentro do invólucro do servidor blade são feitas de tal maneira que diversos caminhos são utilizados. Esses vários caminhos fornecem maior resiliência à falha de qualquer componente, seja dentro do servidor blade, nos dispositivos ou no cabeamento da rede necessários para rotear o tráfego entre a sua rede e o servidor blade. Conteúdo Fazendo upgrade de versões anteriores Instalação padrão Instalando o software Uso do console de configuração Blade Servers McAfee Gateway 7.x Guia de instalação 23

24 2 Conectando e configurando o servidor blade Fazendo upgrade de versões anteriores Fazendo upgrade de versões anteriores Use estas informações para entender as opções de upgrade disponíveis. O tópicos a seguir discutem a atualizações de um McAfee Gateway Blade Server existente, o qual está executando o software do and Web Security Appliance, para usar o software do McAfee Gateway. Para fazer upgrade da versão 5.6 do and Web Security para o McAfee Gateway, você deve primeiro migrar para o último patch da versão 7.0 do McAfee Gateway e, em seguida, migrar da versão 7.0 do McAfee Gateway para o McAfee Gateway. Se você pretende migrar para a operação no modo resiliente, será necessário reconfigurar fisicamente as interconexões dentro do servidor blade. Para fazer upgrade de instalações anteriores para o McAfee Gateway, é necessário organizar uma interrupção de rede, pois o servidor blade interromperá o tráfego de varredura durante a realização do upgrade. Antes de fazer upgrade do software nos blades de gerenciamento de failover e de gerenciamento, consulte Configurando as interconexões ao fazer upgrade de uma versão anterior e, se estiver considerando usar o modo resiliente, Como o modo resiliente utiliza o hardware. Não é possível instalar o McAfee Gateway no servidor blade existente e manter os protocolos de Web configurados anteriormente (software do and Web Security com varredura de Web ativada ou McAfee Web Gateway). Uma instalação do McAfee Gateway é somente para e mail. Esta etapa... está descrita neste tópico Faça backup da configuração existente Fazendo backup da configuração existente 2. Desligue todos os blades de varredura Desligando os blades de varredura 3. Desligue ambos os blades de gerenciamento Desligando os blades de gerenciamento 4. Faça upgrade do software em ambos os blades de gerenciamento Fazendo upgrade do software do blade de gerenciamento 5. Reinstale os blades de varredura Reinstalando os blades de varredura 6. Configure para o modo resiliente (se necessário) Decisão sobre o uso ou não do modo resiliente Migrando para a operação no modo resiliente Configuração das interconexões durante a atualização de uma versão anterior Use estas informações para entender como as interconexões precisam ser configuradas para os modos de operação resiliente e padrão. O McAfee Gateway Blade Server introduz algumas alterações na forma como o servidor blade usa o hardware, especialmente os módulos de interconexão, dentro do invólucro do blade. As versões anteriores do McAfee Gateway Blade Server, que executam o software and Web Security Appliances, usavam dois módulos de interconexão: interconexão 1 para LAN1, e interconexão 2 para LAN2. O hardware fornecido com o McAfee Gateway Blade Server usa: Interconexão 1 para LAN1, e interconexão 3 para LAN2 por padrão (modo não resiliente) Ou, interconexão 1 e interconexão 2 para LAN1, e interconexão 3 e interconexão 4 para LAN2 no modo resiliente 24 Blade Servers McAfee Gateway 7.x Guia de instalação

25 Conectando e configurando o servidor blade Fazendo upgrade de versões anteriores 2 Consulte Como o modo resiliente usa o hardware para obter mais detalhes. Fazendo backup da configuração existente Use essa função para fazer backup da configuração existente do McAfee Gateway Blade Server. A McAfee recomenda fazer um backup completo da configuração do seu servidor blade antes de fazer um upgrade, mesmo que você pretenda usar uma das opções de upgrade que restaura e faz backup da sua configuração. Tarefa 1 Na interface do usuário, navegue até Sistema Administração do sistema Gerenciamento de configuração. 2 Selecione os itens opcionais que você deseja incluir no backup (dependendo da versão). A McAfee recomenda fazer backup de todas as opções antes de atualizar o seu servidor blade. 3 Clique em Fazer backup da configuração. 4 Após um curto intervalo de tempo, uma caixa de diálogo será exibida, permitindo a você fazer download do arquivo de backup das configurações em seu computador local. Desligando os blades de varredura Use esta tarefa para desligar os blades de varredura no McAfee Gateway Blade Server. Antes de iniciar Certifique se de ter conseguido um momento adequado para desligar os blades de varredura, quando o tráfego de rede estiver mais baixo e as interrupções puderem ser mantidas a um nível mínimo. Tarefa 1 Na interface de usuário do blade de gerenciamento, navegue até Sistema Administração do sistema Gerenciamento do cluster. 2 Digite a senha de administrador na caixa de texto. 3 Clique em Desligar, localizado próximo ao blade de varredura que você deseja desligar. 4 Se necessário, repita estas etapas para os outros blades de varredura que você deseja desligar. Desligando os blades de gerenciamento Desligue os blades de gerenciamento de failover ou de gerenciamento no McAfee Gateway Blade Server. Antes de iniciar Certifique se de ter conseguido um momento adequado para desligar os blades de gerenciamento, quando o tráfego de rede estiver mais baixo e as interrupções puderem ser mantidas a um nível mínimo. Verifique se todos os blades de varredura terminaram de desligar antes de começar o procedimento de desligamento dos blades de gerenciamento. Blade Servers McAfee Gateway 7.x Guia de instalação 25

26 2 Conectando e configurando o servidor blade Fazendo upgrade de versões anteriores Tarefa 1 Na interface de usuário do blade de gerenciamento do blade de gerenciamento ou de gerenciamento de failover a ser desligado, navegue até Sistema Administração do sistema Gerenciamento do cluster. 2 Digite sua senha na caixa de texto próxima a Desligar appliance. 3 Clique em Desligar appliance. 4 Se necessário, repita estas etapas para o blade de gerenciamento restante. Fazendo upgrade do software do blade de gerenciamento Use esta função para fazer upgrade do software instalado nos blades de gerenciamento do McAfee Gateway Blade Server. Antes de iniciar Certifique se de familiarizar se com o módulo ilo da HP. Consulte Guia do usuário do ilo da HP para obter mais detalhes. Use esta função para fazer upgrade do software do McAfee Gateway Blade Server instalado nos blades de gerenciamento de failover e de gerenciamento. Ao fazer upgrade de um McAfee Gateway Blade Server existente para a versão mais recente do software, certifique se de instalar o software no blade de gerenciamento de failover e no blade de gerenciamento. Você escolher a forma como o software do servidor blade é atualizado: Executar uma instalação completa sobrescrevendo os dados existentes. Instalar o software preservando configuração e mensagens de e mail. Instalar o software preservando somente a configuração de rede. Instalar o software preservando somente a configuração. Devido a uma alteração de arquitetura entre as versões anteriores e as atuais do software, você precisará certificar se de modificar o identificador de cluster para que seja definido a um valor entre 0 e 255 ao fazer upgrade utilizando um método que preserva a configuração da versão anterior. Essa configuração pode ser encontrada em Sistema Administração do sistema Gerenciamento do cluster. Tarefa 1 Desligue o blade de gerenciamento que está sendo atualizado. 2 Escolha o método de instalação: Insira o CD ROM que contém o software do McAfee Gateway em uma unidade externa de CD ROM conectada ao blade de gerenciamento que está sendo atualizado. Conecte se ao Onboard Administrator (OA) da HP no invólucro do servidor blade e, em seguida, acesse cada um dos blades individuais usando o módulo ilo da HP via Informações do invólucro Device bay. Você também pode optar por instalar o software a partir de uma unidade USB, conectada ao blade ou ao invólucro. 26 Blade Servers McAfee Gateway 7.x Guia de instalação

27 Conectando e configurando o servidor blade Instalação padrão 2 3 Uma vez conectado ao Onboard Administrator da HP, selecione o blade de gerenciamento escolhido usando o console ilo. O blade de gerenciamento está localizado no slot 1 e o blade de gerenciamento de failover está localizado no slot 2 do invólucro. 4 No Onboard Administrator da HP, selecione Informações sobre o invólucro Device bay Opções de inicialização. 5 Verifique se o CD ROM é a primeira unidade listada na lista de inicialização. 6 Selecione a guia Dispositivos virtuais. 7 Clique em Pressionar momentaneamente para inicializar o blade de gerenciamento a partir do CD ROM. 8 Siga as instruções fornecidas para selecionar a opções de upgrade necessárias e, em seguida, selecione as imagens de software a serem instaladas. Reinstalando os blades de varredura Reinstale os blades de varredura em seu McAfee Gateway Blade Server. Antes de iniciar Certifique se de familiarizar se com o módulo ilo da HP. Consulte Guia do usuário do ilo da HP para obter mais detalhes. Tarefa 1 No Onboard Administrator da HP, selecione Informações sobre o invólucro Device bay para se conectar à interface ilo da HP para que o blade de varredura seja reinstalado. 2 Selecione a guia Opções de inicialização. 3 Na lista suspensa Inicializar uma vez a partir de:, selecione PXE NIC **. 4 Clique em Aplicar. 5 Selecione a guia Dispositivos virtuais. 6 Clique em Pressionar momentaneamente para inicializar o blade de varredura a partir da imagem armazenada no blade de gerenciamento. 7 Repita estas etapas para todos os blades de varredura que estão sendo reinstalados. Instalação padrão Instale o McAfee Gateway Blade Server usando a instalação padrão. A tabela a seguir fornece uma visão geral do processo de instalação do McAfee Gateway Blade Server. Essa tabela também serve como primeiras etapas caso você pretenda reconfigurar o servidor blade para a operação no modo resiliente. Blade Servers McAfee Gateway 7.x Guia de instalação 27

28 2 Conectando e configurando o servidor blade Instalação padrão Tabela 2-1 Etapas da instalação padrão Esta etapa Desembale a embalagem e verifique o conteúdo com relação às listas de peças na caixa. 2. Monte o invólucro no rack e instale o Onboard Administrator (OA) e todas as interconexões. está descrita aqui. Listas de peças Instalação física do servidor blade Instalando as interconexões Consulte também Instruções para a rápida instalação do invólucro HP BladeSystem c7000 Guia de instalação e configuração do invólucro HP BladeSystem c7000 Guia do usuário do ilo da HP 3. Conecte os periféricos e a alimentação. Fornecendo energia ao servidor blade Consulte também Instruções para a rápida instalação do invólucro HP BladeSystem c7000 Guia de instalação e configuração do invólucro HP BladeSystem c7000 Guia do usuário do ilo da HP 4. Conecte o servidor blade à rede. Conexão à rede 5. Configure o HP Onboard Administrator. Guia de instalação e configuração do invólucro HP BladeSystem c Instale o software nos blades de gerenciamento. Guia do usuário do ilo da HP Instalando o software 7. Execute a configuração básica. Usando o console de configuração 8. Selecione o software a ser instalado Imagens de software 9. Instale cada blade de varredura de conteúdo, por sua vez, e a inicialização PXE do blade de gerenciamento. 10. Roteie o tráfego de rede de teste através do servidor blade. 11. Teste se o tráfego de rede está sendo varrido. Instalando o software em um blade de varredura de conteúdo Testando a configuração Testando a configuração 12. Configure as políticas e os relatórios. Usando as políticas para gerenciar a varredura de mensagens 13. Configure o tráfego de produção pelo sistema. Usando o console de configuração Conectar o servidor blade à sua rede poderá atrapalhar o acesso a e mail ou outros serviços da rede. Assegure se de organizar o tempo de inatividade da rede para isso e de programar essa conexão durante os períodos de pouco uso da rede. 28 Blade Servers McAfee Gateway 7.x Guia de instalação

29 Conectando e configurando o servidor blade Instalação padrão 2 Instalação física do servidor blade O McAfee Gateway Blade Server deve ser localizado e instalado no local previsto para ele. Para obter mais informações sobre a desmontagem e a remontagem dos invólucros e componentes do servidor blade, consulte Instruções para a instalação rápida do invólucro HP BladeSystem c7000 e Guia de instalação e configuração do invólucro HP BladeSystem c7000. Tarefa 1 Remova o servidor blade da embalagem protetora e coloque o sobre uma superfície plana. Devido ao seu peso, desembale o servidor blade o mais próximo possível do local de instalação. 2 Remova os componentes dianteiros, componentes traseiros e a armação traseira do servidor blade. 3 Reinstale a armação traseira, fontes de energia, ventoinhas de refrigeração, interconexões, e os componentes do Onboard Administrator. Para fornecer redundância em caso de falha na unidade de refrigeração ou na fonte de energia, a McAfee recomenda que você instale e utilize todas as fontes de energia e ventoinhas de refrigeração. 4 Conecte um monitor e um teclado ao servidor blade. 5 Conecte os cabos de alimentação ao monitor e ao servidor blade, mas não os conecte às fontes de alimentação ainda. Instalar as interconexões para o modo padrão (não resiliente) Instale os módulos de interconexão no invólucro McAfee Gateway Blade Server. Antes de fazer qualquer conexão, é necessário instalar e configurar as interconexões de Ethernet. Tabela 2-2 Registro # Descrição Conexões de alimentação Interconexão 1 (conexões com a LAN 1) Interconexão 3 (conexões com a LAN 2) Se estiver atualizando de versões anteriores no hardware existente, consulte Configuração das interconexões ao atualizar de uma versão anterior. Conexão do Onboard Administrator Módulo do Onboard Administrator Acesso fora de banda (porta 20) Isso é ativado somente após as interconexões terem sido configuradas. As interconexões são instaladas na parte traseira do invólucro, abaixo da fileira superior de ventoinhas de refrigeração. Blade Servers McAfee Gateway 7.x Guia de instalação 29

30 2 Conectando e configurando o servidor blade Instalação padrão A interconexão da LAN 1 é instalada na baia de interconexões superior esquerda, e a interconexão da LAN 2 é instalada logo abaixo da interconexão da LAN 1 na baia de interconexões inferior esquerda. Figura 2-1 Localização dos componentes traseiros modo padrão (não resiliente) Certifique se de: Desativar o STP (Spanning Tree Protocol) para o STG 1 (por padrão, todas as portas são membros do grupo STP 1). (Se você estiver instalado o seu servidor blade no modo de ponte transparente.) Configurar as listas de controle de acesso (ACLs) nas interconexões para isolar os blades de varredura de conteúdo dos endereços DHCP externos de recebimento. Configurar as ACLs de modo que os pacotes de pulsação do blade sejam mantidos dentro do servidor blade. Se o tráfego marcado pela VLAN (rede local virtual) precisar passar pelo servidor blade, as interconexões precisarão ser configuradas para permitir a passagem deste tráfego. As informações sobre como fazer isso são fornecidas na documentação listada abaixo: Instalação rápida do HP GbE2c Layer 2/3 Ethernet Blade Switch para o BladeSystem classe C Guia do usuário do HP GbE2c Layer 2/3 Ethernet Blade Switch para o BladeSystem classe C Se estiver planejando reconfigurar o seu servidor blade para a operação no modo resiliente em uma data posterior, convém considerar a instalação de todas as interconexões necessárias neste estágio, conforme detalhado em Instalando as interconexões para o modo resiliente. Fornecendo energia ao servidor blade Conecte e ligue a alimentação do McAfee Gateway Blade Server. Para certificar se de que todos os blades liguem, use dois circuitos de energia diferentes. 30 Blade Servers McAfee Gateway 7.x Guia de instalação

31 Conectando e configurando o servidor blade Instalação padrão 2 Se somente um circuito for utilizado, e a configurações do gerenciamento de energia forem definidas para CA redundante (conforme recomendado), alguns blades falharão ao serem ligados. Tarefa 1 Conecte os cabos de energia do servidor blade à unidades de alimentação blade e às tomadas de energia. Se os cabos de alimentação não forem adequados no país de uso, entre em contato com o fornecedor. 2 Ligue o servidor blade pressionando os botões de ligar nos blades de gerenciamento de failover e de gerenciamento. Usando as opções de alimentação DC Considere os requisitos para utilizar as opções de alimentação DC com o McAfee Gateway Blade Server. Se você adquirir as opções de alimentação relevantes, o McAfee Gateway Blade Server pode ser ligado a partir de sistemas de alimentação de corrente contínua (DC). Consulte Guia de instalação de configuração do invólucro HP BladeSystem c7000 Carrier Grade para obter informações sobre como usar fontes de alimentação DC com o McAfee Gateway Blade Server. Para reduzir o risco de choque elétrico ou danos ao equipamento, instale a fonte de alimentação DC do HP BladeSystem de acordo com as seguintes instruções: Apenas eletricistas qualificados com experiência em trabalhar com sistemas de energia DC, devem conectar o McAfee Gateway Blade Server ao sistema de alimentação DC. Instale este produto somente em um local de acesso restrito. Ligue este aparelho a uma fonte de energia DC que possa ser classificada como um circuito secundário de acordo com os requisitos nacionais aplicáveis para equipamentos de tecnologia da informação. Em geral, estes requisitos são baseados na Norma Internacional de Segurança de Equipamentos de Informática, IEC A fonte deve ter um polo (neutro/retorno) referenciado à terra de acordo com os códigos e regulamentos elétricos locais e regionais. Ligue este aparelho a um dispositivo de distribuição de energia que fornece um meio de interromper a alimentação do circuito de ramificação. O dispositivo de distribuição de energia deve estar equipado com um dispositivo de proteção de sobrecorrente que possa interromper as correntes de falha disponíveis a partir da fonte principal e que esteja avaliado em mais de 120 A. Conecte o conjunto de cabos de aterramento verde/amarelo a um terminal de aterramento adequado. Não confie no rack ou chassi do gabinete para fornecer a continuidade adequada de aterramento. Certifique se sempre de que o equipamento esteja adequadamente aterrado e que siga os procedimentos adequados de aterramento antes de iniciar qualquer procedimento de instalação. O aterramento inadequado pode resultar em danos causados por descarga eletrostática (ESD) aos componentes eletrônicos. Blade Servers McAfee Gateway 7.x Guia de instalação 31

32 2 Conectando e configurando o servidor blade Instalação padrão Conexão à rede Saiba como conectar o McAfee Gateway à sua rede. As interconexões e os cabos usados para conectar o servidor blade à rede dependem do modo de rede selecionado. Para obter informações sobre modos de rede, consulte Considerações sobre modos de rede. Ao fazer atualização de uma versão anterior no hardware existente, consulte Configuração de interconexões ao atualizar de uma versão anterior, para obter informações sobre as conexões de rede a serem usadas. No modo padrão, são necessárias as seguintes conexões entre seu servidor blade e seus switches de rede: Modo Ponte transparente O servidor blade age como uma ponte entre dois segmentos da rede. Conecte a Interconexão 1 (LAN1) a um segmento e a Interconexão 3 (LAN2) a outro usando cabos conectados a uma das portas, de 21 a 24, em cada unidade de Interconexão. A conexão de gerenciamento fora de banda pode ser feita e configurada com outra das portas LAN2. Modo Roteador transparente O servidor blade age como um roteador, unindo duas redes separadas. Conecte a Interconexão 1 (LAN1) a uma rede e a Interconexão 3 (LAN2) a outra usando cabos conectados a uma das portas, de 21 a 24, em cada unidade de Interconexão. A conexão de gerenciamento fora de banda pode ser feita e configurada com outra das portas LAN2. Modo Proxy explícito Uma única conexão é necessária entre a Interconexão 3 (LAN2) e a rede. (Nos sistemas atualizados que usam hardware mais antigo, a LAN2 é conectada usando se a Interconexão 2.) A LAN1 pode ser usada para a conexão com a rede, mas o desempenho máximo é obtido quando a LAN1 é usada para a rede de varredura dentro do servidor blade. (Essa restrição não se aplica quando é usado o modo resiliente.) Uso de conexões de LAN de cobre Saiba como conectar o McAfee Gateway à sua rede usando conexões de cobre. Usando as conexões de interconexão LAN1 e LAN2 e os cabos de rede fornecidos (ou cabos Ethernet Cat 5e ou Cat 6 equivalentes), conecte o servidor blade à sua rede de acordo com o modo de rede escolhido. Modo Ponte transparente Use os cabos de LAN de cobre (fornecidos) para conectar os switches LAN1 e LAN2 do Gateway à sua rede para que o appliance seja inserido no fluxo de dados. Modo Roteador transparente O Gateway funciona como um roteador. Os segmentos da LAN conectados às duas interfaces de rede devem portanto estar em sub redes IP diferentes. Eles devem substituir um roteador existente ou uma nova sub rede deverá ser criada em um lado do appliance. Faça isso alterando o endereço IP ou a máscara de rede usada pelos computadores daquele lado. Modo Proxy explícito Use um cabo de LAN de cobre (fornecido) para conectar o switch LAN1 ou LAN2 à sua rede. O cabo é um cabo direto (não cruzado) e conecta o appliance a um switch de rede RJ 45 normal não cruzado. A LAN1 pode ser usada para a conexão com a rede, mas o desempenho máximo é obtido quando a LAN1 é usada para a rede de varredura dentro do servidor blade. (Essa restrição não se aplica quando é usado o modo resiliente.) 32 Blade Servers McAfee Gateway 7.x Guia de instalação

33 Conectando e configurando o servidor blade Instalando o software 2 Uso de conexões de LAN de fibra Saiba como conectar o McAfee Gateway à sua rede usando conexões de fibra óptica. Antes de fazer quaisquer conexões, você deve instalar os transceptores de fibra óptica SFP (Small Form Factor Pluggable). Para isso, consulte: HP GbE2c Layer 2/3 Ethernet Blade Switch for c Class BladeSystem. Use somente os transceptores SFP de fibra óptica fornecidos pela HP ou pela McAfee. O uso de transceptores SFP de outros fornecedores pode impedir o acesso ao servidor blade. Usando as interconexões LAN1 e LAN2 e os cabos de fibra, conecte o servidor blade à sua rede de acordo com o modo de rede escolhido. Modo Ponte transparente Use os cabos de fibra para conectar as interconexões LAN1 e LAN2 à sua rede. Modo Roteador transparente Use os cabos de fibra para conectar as interconexões LAN1 e LAN2 a sub redes IP diferentes. Modo Proxy explícito Use um cabo de fibra para conectar as interconexões LAN2 do servidor blade à sua rede. A LAN1 pode ser usada para a conexão com a rede, mas o desempenho máximo é obtido quando a LAN1 é usada para a rede de varredura dentro do servidor blade. (Essa restrição não se aplica quando é usado o modo resiliente.) Instalando o software O software do McAfee Gateway deve ser instalado nos blades de gerenciamento e nos blades de gerenciamento de failover. Ordem de instalação dos blades de gerenciamento Instale simultaneamente ambos os blades de gerenciamento. Instale fisicamente os blades de gerenciamento e os blades de gerenciamento de failover nos slots 1 e 2 dentro do invólucro do servidor blade. Usando as instruções fornecidas em Instalando o software nos blades de gerenciamento, conecte se a ambos os blades de gerenciamento, e instale o software. Configurar ambos os blades de gerenciamento ao mesmo tempo não só agiliza o processo, como também impede que o segundo blade de gerenciamento seja atribuído a um endereço IP na rede de varredura quando o primeiro blade de gerenciamento inicializar o seu servidor DHCP. Instalando o software nos blades de gerenciamento Instale o software no blade de gerenciamento e no blade de gerenciamento de failover. Antes de iniciar Verifique se há versões mais recentes do seu software disponíveis no site de downloads da McAfee: Você precisará de um número de concessão válido. Blade Servers McAfee Gateway 7.x Guia de instalação 33

34 2 Conectando e configurando o servidor blade Uso do console de configuração Você pode instalar o software no servidor blade localmente ou remotamente, usando o recurso integrado Lights Out. O recurso integrado Lights Out possui um recurso de mídia virtual que você pode usar para montar uma unidade física de CD ROM remotamente, um arquivo de imagem iso ou uma unidade USB que contém informações sobre a instalação. Tarefa 1 Insira o blade de gerenciamento na posição 1 e o blade de gerenciamento de failover na posição 2 do invólucro do seu servidor blade. 2 Se conecte ao servidor blade: Conectando o cabo fornecido, um monitor, teclado, e unidade USB de CD ROM ao próximo conector do blade de gerenciamento ou do blade de gerenciamento de failover. Para a instalação remota, acesse o módulo ilo (integrated Lights Out) usando o administrador on board para estabelecer uma sessão KVM remota. 3 Inicialize o blade de gerenciamento ou blade de gerenciamento de failover a partir do CD de instalação e recuperação. O software é instalado no blade selecionado. 4 Defina a configuração básica. Consulte Usando o console de configuração. Sincronizando as alterações de configuração Saiba como as alterações de configuração são sincronizadas entre os blades. Todas as alterações feitas na configurações do blade de gerenciamento são sincronizadas automaticamente com o blade de gerenciamento de failover e os blades de varredura de conteúdo. No Dashboard, verifique o status dos blades de gerenciamento de failover e de gerenciamento para certificar se de que a sincronização tenha ocorrido. Instalando o software em um blade de varredura de conteúdo Instale o software em um blade de varredura de conteúdo. Tarefa 1 Na interface do usuário, selecione Dashboard. O Status do blade é mostrado na parte inferior da página. 2 Insira o blade de varredura de conteúdo no invólucro. O blade será exibido na página Status do blade com um status de INSTALAR. O software é instalado automaticamente no blade de varredura de conteúdo do blade de gerenciamento. Esse processo leva cerca de 10 minutos para ser concluído. 3 As informações são atualizadas automaticamente. Após alguns minutos, o status é alterado para INICIALIZAÇÃO, em seguida, para SINCRONIZAÇÃO e, em seguida, para OK. O novo blade de varredura de conteúdo agora está funcionando. Uso do console de configuração Saiba como usar o console de configuração para configurar o seu McAfee Gateway. Você pode configurar o seu McAfee Gateway Blade Server pelo console de configuração ou pelo assistente de instalação na interface do usuário. A configuração se aplica apenas aos blades de gerenciamento e de gerenciamento de failover, não aos blades de varredura. 34 Blade Servers McAfee Gateway 7.x Guia de instalação

35 Conectando e configurando o servidor blade Uso do console de configuração 2 O Console de configuração é iniciado automaticamente no final da sequência de inicialização após: a inicialização de um McAfee Gateway não configurado ou a redefinição de um McAfee Gateway aos padrões de fábrica. Quando iniciado, o Console de configuração oferece opções para configurar o seu dispositivo no idioma de preferência por meio do console do McAfee Gateway, ou fornece instruções para se conectar ao Assistente de instalação na interface de usuário de outro computador na mesma sub rede classe C (/24). Os dois métodos oferecem as mesmas opções para configurar o McAfee Gateway. É possível configurar uma nova instalação de software do dispositivo por meio do Console de configuração. Entretanto, para configurar o seu dispositivo usando um arquivo de configuração salvo anteriormente, será necessário efetuar logon na interface de usuário do dispositivo e executar o assistente de instalação (Sistema Assistente de instalação). Esta versão do software apresenta também a configuração automática usando DHCP para os seguintes parâmetros: Nome do host Servidor DNS Nome do domínio Endereço IP dedicado Gateway padrão Servidor NTP Informações adicionais sobre cada página do Console de configuração e do Assistente de instalação encontram se disponíveis na tela. Execução de uma Instalação personalizada Use estas informações para compreender o propósito da Instalação personalizada. Use a Instalação personalizada para ter maior controle sobre as opções que você pode selecionar, incluindo o modo de operação do seu dispositivo. É possível optar por proteger o tráfego de e mail usando os protocolos SMTP e POP3. Use essa opção de configuração se precisar configurar o IPv6 e fazer quaisquer outras alterações na configuração padrão. Para a Instalação personalizada, o assistente inclui estas páginas: Configuração do e mail DNS e roteamento Configurações básicas Configurações de hora Configurações de rede Senha Gerenciamento do cluster Resumo Restauração de um arquivo Use estas informações para compreender o propósito de restaurar a partir de um arquivo. Ao configurar o seu dispositivo a partir do Assistente de instalação dentro da interface do usuário, o uso da opção Restaurar de um arquivo permite importar as informações salvas anteriormente e aplicá las ao seu dispositivo. Depois de importar essas informações, é possível fazer alterações antes de aplicar a configuração. A opção Restaurar de um arquivo não está disponível no Console de configuração. Para usar essa opção, você deve efetuar login no McAfee Gateway e selecionar Restaurar de um arquivo no menu Sistema Assistente de instalação. Blade Servers McAfee Gateway 7.x Guia de instalação 35

36 2 Conectando e configurando o servidor blade Uso do console de configuração Depois de importar as informações de configuração, verá as opções da Instalação personalizada no Assistente de instalação (consulte Execução de uma instalação personalizada.) Todas as opções importadas são mostradas nas páginas do assistente, dando a você a oportunidade de fazer quaisquer correções antes de aplicar a configuração. Ao usar a opção Restaurar de um arquivo, o assistente incluirá estas páginas: Importar configuração Valores a serem restaurados Depois que essas informações estiverem carregadas, você verá as páginas da Instalação personalizada, para que possa fazer alterações adicionais antes de aplicar a nova configuração: Configuração do e mail DNS e roteamento Configurações básicas Configurações de hora Configurações de rede Senha Gerenciamento do cluster Resumo Configuração somente de criptografia Use estas informações para compreender o propósito das opções de Configuração somente de criptografia. Em organizações de pequeno a médio porte, em geral, basta usar o mesmo McAfee Gateway para executar tarefas de varredura e criptografia de e mail. No entanto, se você fizer parte de uma organização maior ou se trabalhar em um setor que exige que todas as mensagens de e mail (ou uma alta porcentagem delas) sejam entregues de forma segura, convém configurar um ou mais dos seus dispositivosmcafee Gateway como servidores autônomos somente de criptografia. Nessa situação, as opções de Configuração somente de criptografia no Assistente de instalação apresentam as configurações relevantes necessárias para o uso somente de criptografia. 36 Blade Servers McAfee Gateway 7.x Guia de instalação

37 3 3 Um tour pelo Dashboard Esta seção descreve a página Dashboard e como editar suas preferências. Conteúdo O Dashboard Explorando o servidor blade O Dashboard O Dashboard fornece um resumo da atividade do dispositivo. Dashboard Use essa página para acessar a maioria das páginas que controlam o appliance. No blade principal do servidor blade do McAfee Gateway Blade Server, use essa página também para exibir um resumo de toda a atividade nos blades de varredura do servidor blade do McAfee Gateway Blade Server. Blade Servers McAfee Gateway 7.x Guia de instalação 37

38 3 Um tour pelo Dashboard O Dashboard Benefícios do uso do Dashboard O Dashboard fornece um ponto central para a exibição de resumos das atividades do appliance por meio de uma série de portlets. Figura 3-1 Portlets do Dashboard Alguns portlets exibem gráficos que mostram a atividade do appliance nos seguintes períodos: 1 hora 2 semanas 1 dia (o padrão) 4 semanas 1 semana No Dashboard, é possível fazer algumas alterações nas informações e nos gráficos exibidos: Expandir e recolher os dados do portlet usando os botões e do canto superior direito do portlet. Aprofundar até dados específicos usando os botões e. Ver um indicador de status que mostra se o item requer atenção: Íntegro os itens relatados estão funcionando normalmente Requer atenção um limite de aviso foi excedido Requer atenção imediata um limite crítico foi excedido Desativado um serviço não está ativado Usar e para aplicar mais ou menos zoom em uma linha cronológica de informações. Há um curto atraso enquanto a exibição é atualizada. Por padrão, o Dashboard mostra dados relativos ao dia anterior. 38 Blade Servers McAfee Gateway 7.x Guia de instalação

39 Um tour pelo Dashboard O Dashboard 3 Mover um portlet para outro local do Dashboard. Dar um clique duplo na barra superior de um portlet para expandi lo pela parte superior do Dashboard. Definir seus próprios limites de alerta e aviso para disparar eventos. Para fazer isso, destaque o item e clique nele, edite os campos de limites de alerta e aviso e clique em Salvar. Quando o item exceder o limite definido, um evento será disparado. Dependendo do navegador usado para exibir a interface de usuário do McAfee Gateway, o Dashboard "memoriza" o estado atual de cada portlet (se ele está expandido ou recolhido e se você se aprofundou para exibir dados específicos) e tenta recriar essa exibição, se você navegar para outra página de interface do usuário e retornar ao Dashboard dentro da mesma sessão de navegação. Portlets do Dashboard Compreender os portlets encontrados no dashboard da interface do usuário de seu McAfee Gateway. Opção Resumo de e mails recebidos Resumo de e mails enviados Detecções SMTP Detecções POP3 Resumo do sistema Resumo do hardware Resumo de rede Serviços Formação de clusters Tarefas Definição Para obter informações de entrega e status das mensagens enviadas para sua organização, use o portlet Resumo de e mails recebidos. Para obter informações de entrega e status das mensagens enviadas por sua organização, use o portlet Resumo de e mails enviados. Para descobrir o número total de mensagens que dispararam uma detecção com base no remetente ou na conexão, no destinatário ou no conteúdo, e para exibir dados específicos do tráfego SMTP de entrada ou de saída, use o portlet Detecções SMTP Para ver quantas mensagens dispararam uma detecção com base em ameaças como vírus, compactadores ou imagens potencialmente inadequadas, use o portlet Detecções POP3. Para exibir informações sobre balanceamento de carga, espaço em disco usado para cada partição, utilização total da CPU, memória usada e disponível e detalhes de troca, use o portlet Resumo do sistema Para usar indicadores de status que mostram o status das interfaces de rede, dos servidores, do modo de ponte (se ativado) e do RAID, use o portlet Resumo de hardware. Para fornecer informações sobre o status das conexões, taxas de transferência e contadores relativos ao Bloqueio do modo de kernel, use o portlet Resumo de rede Para exibir estatísticas de status de atualização e serviço com base em protocolo e servidores externos usados pelo dispositivo, use o portlet Serviços. Ao configurar seu dispositivo como parte de um cluster ou quando estiver usando o hardware do servidor blade, use o portlet Formação de clusters para fornecer informações sobre todo o cluster. Para se vincular diretamente às áreas de interface do usuário que pesquisam fila de mensagens, exibem relatórios, gerenciam políticas, definem configurações de protocolo de e mail, da rede e do sistema e acessam recursos de solução de problemas, use o portlet Tarefas. Blade Servers McAfee Gateway 7.x Guia de instalação 39

40 3 Um tour pelo Dashboard Explorando o servidor blade Tarefa Desligar o aviso Comentários do McAfee Global Threat Intelligence desativados Essa tarefa fornece a você o procedimento de desligar o aviso que informa que os comentários do Mcafee Global Threat Intelligence estão atualmente desativados em seu appliance. Por padrão, o appliance exibe uma mensagem de aviso se você não tiver ativado os comentários do McAfee Global Threat Intelligence (GTI), pois a McAfee considera essa forma de comunicação uma prática recomendada. Entretanto, se você estiver em um ambiente em que não pode ativar os comentários do McAfee Global Threat Intelligence (GTI), use a tarefa a seguir para desligar a mensagem de aviso. Tarefa 1 No Dashboard do appliance, selecione Editar na área Integridade do sistema. 2 Desmarque Mostrar um aviso se o comentário do McAfee GTI não estiver ativado. 3 Clique em OK. O aviso Comentários do McAfee Global Threat Intelligence desativados está agora desmarcado. Explorando o servidor blade Use as tarefas e os cenários que mostram os principais benefícios de usar um servidor blade na proteção do seu tráfego de e mail. Para concluir as tarefas e os cenários, você precisará de algumas informações que foram inseridas no console de configuração e no assistente de instalação. Demonstrando o gerenciamento de carga de trabalho e de failover Demonstrar o gerenciamento de carga de trabalho e o gerenciamento de redundância incorporado do servidor blade. O seu servidor blade vem com pelo menos um blade de varredura de conteúdo. É possível adicionar outros, conforme necessário. Este teste presume que você possui dois blades de varredura de conteúdo. Para obter informações sobre como adicionar e remover blades do invólucro, consulte Instruções para a rápida instalação do invólucro HP BladeSystem c3000 ou Instruções para a rápida instalação do invólucro HP BladeSystem c7000. Tarefa 1 No Dashboard Página do blade, selecione a guia Status do blade para assegurar se de que o servidor esteja funcionando corretamente. O blade de gerenciamento possui o nome que você digitou usando o console de configuração. O blade de gerenciamento de failover possui um status de REDE. O blade de gerenciamento de failover possui o nome que você digitou usando o console de configuração. O blade de gerenciamento de failover possui um status de REDUNDANTE. Os blades de varredura de conteúdo são chamados de blade01, blade02, etc., e possuem o status de OK. 40 Blade Servers McAfee Gateway 7.x Guia de instalação

41 Um tour pelo Dashboard Explorando o servidor blade 3 2 Desligue e remova o blade de gerenciamento do invólucro e observe como o servidor blade continua a funcionar usando o blade de gerenciamento de failover. O estado do blade de gerenciamento de failover é alterado para Rede. O blade de gerenciamento é alterado para um estado de Falha. 3 Em Sistema Gerenciamento do cluster, selecione um blade de varredura de conteúdo e clique em Desativar para colocar esse blade de varredura de conteúdo no modo off line. O servidor blade continua a varrer o tráfego. O design do servidor blade permite a remoção de um blade de varredura de conteúdo do invólucro sem antes interromper o blade de varredura de conteúdo. No entanto, a McAfee não recomenda que você faça isso, pois existe um pequeno risco de as informações contidas nas unidades de disco serem corrompidas. 4 Veja a coluna Mensagens para observar o número de mensagens que são processadas por cada blade de varredura de conteúdo. 5 Em Status do blade, selecione o blade de varredura de conteúdo que você desativou e clique em Iniciar. 6 Veja novamente a coluna Mensagens. O servidor blade varre mais tráfego e equilibra automaticamente a carga de varredura entre os dois blades. 7 Opcional: Adicione um terceiro blade de varredura de conteúdo ao invólucro e ative o. 8 Verifique novamente o Status do blade. O servidor blade varre até mesmo mais tráfego e equilibra automaticamente a carga de varredura entre os três blades. Testando os recursos de gerenciamento no servidor blade Demonstre como os recursos do servidor blade reduzem a sobrecarga do gerenciamento de sistemas; o sistema é gerenciado como um só sistema mesmo você possuindo vários ou apenas um blade de varredura de conteúdo. Você pode obter relatórios e informações sobre status para todos os blades usando as informações sobre status e registros. Você pode usar o blade de gerenciamento para manter os arquivos DAT atualizados em todos os blades de varredura de conteúdo e também para gerenciar o local de quarentena. Informações de status do servidor blade Enquanto o tráfego passa pelo servidor blade, é possível olhar o Dashboard para obter informações atualizadas sobre a taxa total de transferência do tráfego, detecções, e o desempenho de cada protocolo. O Dashboard inclui informações específicas do blade, tais como: Status geral (blade de gerenciamento e blade de gerenciamento de failover) Status do hardware (blade de gerenciamento) Status do blade (todos os blades) Esta tabela exibe as informações que você pode obter sobre todos os blades. Blade Servers McAfee Gateway 7.x Guia de instalação 41

42 3 Um tour pelo Dashboard Explorando o servidor blade Velocímetro Nome A taxa média de transferência do servidor blade, com base nas medidas obtidas em intervalos de alguns minutos. Nome do blade: Blade de gerenciamento. Blade de gerenciamento de failover. Estes nomes são especificados usando o console de configuração. Blade <número> blades de varredura de conteúdo. Estado Carga Ativo Conexões Outras colunas O estado atual de cada blade. A carga geral do sistema de cada blade. O número de conexões atualmente ativas em cada blade. A linha do blade de gerenciamento mostra o total de todos os blades de varredura de conteúdo. O número total de conexões desde que o contador foi zerado pela última vez. A linha do blade de gerenciamento mostra o total de todos os blades de varredura de conteúdo. Informações sobre a versão do mecanismo antivírus, arquivos DAT do antivírus, mecanismo antispam e das regras antispam. Os números de versão serão iguais se os blades estiverem atualizados. Durante a atualização, os valores podem ser diferentes. Geração de relatórios O McAfee Gateway Blade Server inclui diversos relatórios pré definidos que podem ser baixados nos formatos de texto, PDF, ou HTML. Você pode definir a programação dos relatórios que estão sendo gerados, e definir para quem os relatórios são enviados. Também é possível criar seus próprios relatórios. O registro do servidor blade exibe as informações de evento de acordo com o tipo de relatório ou período que você selecionou. Os recursos de geração de relatórios do servidor blade podem gerar relatórios, ou mostrar registros, estatísticas, contadores de desempenho e gráficos para um amplo intervalo de dados sobre o servidor blade e suas atividades, tais como uso de memória e processador. Por exemplo, após executar as etapas em Testando a detecção de vírus e o tráfego de e mails, clique em Relatórios Pesquisa de mensagens. O arquivo de teste EICAR que foi excluído é mostrado. Informações adicionais sobre o relatório Você pode: Salvar o relatório nos Favoritos. Isso permite que você execute o mesmo relatório futuramente. Sempre que necessário, alterne entre diferentes visualizações dos dados informados. Use esta tarefa para atualizar os arquivos DAT do servidor blade e, em seguida, visualizar o relatório atualizado. Tarefa 1 Selecione Sistema Gerenciamento de componentes Status da atualização. 2 Em Atualizações e informações sobre a versão, clique em Atualizar agora para qualquer atualização de antivírus ou antispam. 42 Blade Servers McAfee Gateway 7.x Guia de instalação

43 Um tour pelo Dashboard Explorando o servidor blade 3 3 Selecione Relatórios Relatórios de e mail Seleção Filtrar. 4 Clique em Aplicar. Serão exibidas as informações sobre as atualizações instaladas em seu servidor blade. Usar as políticas para gerenciar a varredura de mensagens Demonstre os recursos do servidor blade em funcionamento. Elas fornecem instruções passo a passo para criar e testar algumas amostras de políticas e indicam como gerar relatórios aplicáveis. Uma política é um conjunto de configurações e regras que dizem ao servidor blade como combater determinadas ameaças em sua rede. Ao criar políticas reais de varredura para a sua organização, é importante que você gaste um tempo pesquisando e planejando os seus requisitos. Você pode encontrar instruções para ajudá lo com o planejamento de políticas na ajuda on line. Antes de criar políticas Antes de criar políticas, configure o seu McAfee Gateway Blade Server para usar o McAfee Quarantine Manager. Todas as ações de quarentena vêm desativadas por padrão. Antes de ativá las, configure o servidor blade para que use o McAfee Quarantine Manager para gerenciar o local de quarentena. Tarefa 1 Na interface do usuário, selecione E mail Configuração de quarentena. 2 Selecione Usar um serviço McAfee Quarantine Manager (MQM) remoto. 3 Insira os detalhes do seu McAfee Quarantine Manager. Caso esteja substituindo um appliance existente da McAfee pelo seu McAfee Gateway Blade Server, assegure se de usar o seu ID do appliance existente. Se você utilizar um ID do appliance diferente, não será possível liberar nenhuma mensagem que foi colocada em quarentena pelo appliance antigo. 4 Aplique as suas alterações. Criar uma política de varredura antivírus As políticas antivírus permitem que você ajuste a sua proteção contra vírus e malwares. Crie uma política de varredura antivírus para: Detectar vírus nas mensagens de entrada. Colocar o e mail original em quarentena. Notificar o destinatário. Alertar o remetente. Use esta função para demonstrar o que acontece quando a regra de vírus de e mails em massa é acionada pelo arquivo de teste EICAR, e as ações que podem ser tomadas. Tarefa 1 No servidor blade, certifique se de estar usando McAfee Quarantine Manager (E mail Configuração de quarentena Opções de quarentena). 2 No dispositivo, selecione Policies Anti Virus. A política padrão é definida para Limpar ou substituir por um alerta, se a limpeza falhar. 3 Clique em Vírus: Limpar ou substituir por um alerta para exibir as Configurações antivírus padrão (SMTP). Blade Servers McAfee Gateway 7.x Guia de instalação 43

44 3 Um tour pelo Dashboard Explorando o servidor blade 4 Na guia Ações, em Se um vírus for detectado certifique se de que a opção Tentar limpar esteja selecionada. 5 Na seção E também abaixo da ação, selecione Enviar um e mail de notificação ao remetente e Colocar o e mail original em quarentena. 6 Em Se a limpeza falhar, selecione Substituir o item detectado por um alerta. 7 Na seção E também abaixo de Se a limpeza falhar, selecione Enviar um e mail de notificação ao remetente e Colocar o e mail original em quarentena como ações secundárias. 8 Clique em OK. 9 Selecione E mail Políticas de e mail Políticas de varredura [opções do mecanismo de varredura] Configuração do endereço de e mail. 10 Em E mails devolvidos, atribua o endereço de e mail como um endereço de e mail do administrador. Sem esta configuração, o dispositivo não incluíra um endereço de remetente na notificação de e mail. A maioria dos servidores de e mail não entrega e mails sem um endereço de remetente. 11 Clique em OK, em seguida, clique na marca de seleção verde. 12 Selecione E mail Políticas de e mail Políticas de varredura [antivírus] Opções personalizadas de malware. 13 Selecione Remetentes de e mail em massa e, em seguida, defina Se detectado para Recusar conexão (bloquear). O servidor de envio de e mails recebe uma mensagem de erro Código 550: negado pela política. O dispositivo mantém uma lista das conexões que não estão autorizadas a enviar e mails sob quaisquer circunstâncias. A lista pode ser visualizada em E mail Configuração do e mail Recebimento de e mail Permitir e recusar [+] Conexões permitidas e bloqueadas. A opção Conexões recusadas está descrita na ajuda on line. 14 Teste a configuração: a Envie um e mail de <endereço de e mail do cliente> para <endereço de e mail do servidor>. b c d Crie um arquivo de texto que inclua a sequência a seguir: X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR STANDARD ANTIVIRUS TEST FILE!$H+H* Salve o arquivo como eicar.txt. Anexe o arquivo ao e mail. O Gateway substitui o arquivo por um alerta e o remetente recebe um alerta de notificação. 15 Retorne às Opções personalizadas de malware e clique em Nome específico da detecção:. 16 Digite EICAR. 17 Certifique se de que a ação principal seja Recusar os dados originais e retornar um código de erro (bloquear) e, em seguida, clique em OK. 18 A partir de uma conta de e mail externa, crie uma mensagem e anexe o arquivo de teste EICAR. O cliente de e mail retornar a mensagem de erro 550: negado pela política. E mail Configuração do e mail Recebimento de e mail Listas de permissão e negação [+] Conexões bloqueadas está vazio. 19 Em Opções personalizadas de malware, altere a ação principal para Recusar conexão e, em seguida, clique em OK. 44 Blade Servers McAfee Gateway 7.x Guia de instalação

45 Um tour pelo Dashboard Explorando o servidor blade 3 20 Envie o mesmo e mail e verifique a conexão recusada. Ela possui o endereço IP da sua máquina cliente (endereço IP de exemplo). 21 Tente enviar um e mail benigno. Isso também é negado por causa das listas de conexões recusadas. É informado ao servidor de envio que o servidor não está on line. O dispositivo verifica a mensagem assim que ela entra em seu gateway de e mail e identifica se a mesma contém um vírus. Ele coloca a mensagem em quarentena e notifica o remetente e o destinatário que a mensagem estava infectada. Criar uma política de varredura antispam Configure uma política para proteger sua organização contra o recebimento de mensagens não solicitadas. Antes de iniciar Uma política como esta protege os usuários de receber mensagens de e mail não solicitadas que reduzem a produtividade e aumentam o tráfego de mensagens em seus servidores. Tarefa 1 No servidor blade, certifique se de estar usando McAfee Quarantine Manager (E mail Configuração de quarentena Opções de quarentena). 2 Selecione Policies. É necessário definir uma política antispam separada para os protocolos SMTP e POP3. 3 Configure a ação principal para Aceitar e descartar os dados. 4 Configure a ação secundária para Colocar o e mail original em quarentena. Altere a pontuação de spam para 5. Se você ativar a detecção antispam, a McAfee recomenda que você também ative a detecção antiphishing. O desempenho de varredura não é afetado pela realização de verificações antispam e antiphishing. Criar uma política de conformidade Configure uma política para colocar em quarentena todas as mensagens que contêm conteúdo indesejado. Agora isso pode ser feito usando um assistente para guiá lo. Use as etapas a seguir para configurar um exemplo de conformidade: Tarefa 1 No dispositivo, selecione E mail DLP e conformidade Dicionários de conformidade. 2 Selecione a Lista de dicionários de e mail. 3 Visualize a área Detalhes do dicionário de... 4 Selecione Policies Compliance. 5 Selecione Conformidade. 6 Selecione Ativar conformidade Sim. 7 Clique em OK. 8 Em Regras, clique em Criar uma nova regra. Blade Servers McAfee Gateway 7.x Guia de instalação 45

46 3 Um tour pelo Dashboard Explorando o servidor blade 9 Digite um nome para a regra. 10 Clique em Avançar. 11 Selecione os Dicionários a serem incluídos. Para este teste, selecione os dicionários baseados em finanças. 12 Clique em Avançar. 13 Selecione os Dicionários a serem excluídos. 14 Selecione as ações a serem executadas. 15 Crie um e mail no servidor, de <exemplo de endereço de e mail do servidor> para <exemplo de endereço de e mail do cliente>. Inclua a linha: Olá, precisamos avaliar o acúmulo acreditado em sua anuidade. Considere a arbitragem se os seus ativos tiverem menos capital do que o esperado. 16 Envie a mensagem. 17 Use Relatórios Pesquisa de mensagens para ver os resultados. O agente de e mail do cliente não recebe o e mail. A conta de e mail do servidor deve receber duas mensagens de e mail: um e mail de notificação dizendo que a mensagem falhou no teste de conformidade e uma cópia do e mail original. Informações sobre o gerenciamento de hosts virtuais Ao utilizar hosts virtuais, um único dispositivo pode parecer se comportar como diversos dispositivos. Cada dispositivo virtual pode gerenciar o tráfego em determinados pools de endereços IP, permitindo que o dispositivo forneça serviços de varredura do tráfego de muitas origens ou clientes. Benefícios Separa o tráfego de cada cliente. É possível criar políticas para cada cliente ou host, o que simplifica a configuração e evita os conflitos que podem ocorrer em políticas complexas. Os relatórios são disponibilizados separadamente para cada cliente ou host, eliminando assim a necessidade de filtragem complexa. Se algum comportamento colocar o dispositivo em uma lista negra de reputação, apenas um host virtual será afetado, e não o dispositivo inteiro. Configuração de hosts virtuais O recurso está disponível apenas para a varredura de SMTP. Para especificar o pool de endereços IP de entrada e o pool opcional de endereços de saída, consulte as páginas Sistema Hospedagem virtual Hosts virtuais e Sistema Hospedagem virtual Redes virtuais. Gerenciamento de hosts virtuais Recurso Política de e mail Comportamento Cada host virtual possui sua própria guia, onde é possível criar suas políticas de varredura. Configuração do e mail Cada host virtual possui sua própria guia, onde é possível configurar os recursos MTA específicos do host. E mails em fila É possível visualizar todos os e mails em fila, ou apenas os e mails em fila de cada host. 46 Blade Servers McAfee Gateway 7.x Guia de instalação

47 Um tour pelo Dashboard Explorando o servidor blade 3 Recurso Comportamento E mails em quarentena É possível visualizar todos os e mails em quarentena, ou apenas os e mails em quarentena de cada host. Geração de relatórios É possível visualizar todos os relatórios, ou apenas os relatórios de cada host. Comportamento entre o dispositivo e os MTAs Quando o dispositivo recebe o e mail que foi enviado ao intervalo de endereços IP do host virtual, o host virtual: Responde à conversa SMTP com seu próprio banner de boas vindas de SMTP. Adiciona, opcionalmente, suas próprias informações de endereço ao cabeçalho Recebido. Realiza uma varredura no e mail de acordo com sua própria política. Quando o dispositivo entrega o e mail: O endereço IP é obtido a partir de um pool de endereços de saída, ou de um endereço IP físico (se este não estiver configurado). O agente de transferência de mensagens de recebimento (MTA) visualiza o endereço IP do host virtual. Se houver um pool de endereços, o endereço IP será selecionado em "modo de rodízio". A resposta EHLO será destinada ao host virtual. Teste da configuração Saiba como testar se o McAfee Gateway Blade Server está funcionando corretamente após a instalação. A McAfee recomenda que você verifique as áreas de resumo de hardware, rede e de sistema do Dashboard ao efetuar login pela primeira vez no servidor blade, para verificar se há alterações na configuração recomendada. Teste de conectividade Confirme a conectividade com o servidor blade. O servidor blade verifica se consegue se comunicar com o gateway, os servidores de atualização e os servidores DNS. Ele também confirma se o nome e o nome de domínio são válidos. Tarefa 1 Abra a página Testes de sistema usando um dos métodos a seguir: Na seção Tarefas do Dashboard, selecione Executar testes de sistema. Na barra de navegação, selecione Solução de problemas. 2 Clique na guia Testes. 3 Clique em Iniciar testes. Verifique se todos os testes são concluídos com êxito. Atualizar os arquivos DAT Assim que você concluir o console de configuração, o McAfee Gateway Blade Server tentará atualizar todos os mecanismos de varredura disponíveis. Use essa tarefa para garantir que o servidor blade tenha os arquivos de definição de detecção (DAT) mais atualizados. Blade Servers McAfee Gateway 7.x Guia de instalação 47

48 3 Um tour pelo Dashboard Explorando o servidor blade À medida que usar o McAfee Gateway Blade Server, você poderá optar por atualizar tipos individuais de arquivos de definição e por alterar as atualizações programadas padrão de acordo com os seus requisitos. Você pode verificar o status da atualização do seu McAfee Gateway Blade Server visualizando o portlet Serviços no Dashboard. Tarefa 1 Para abrir a página Atualizações, selecione Sistema Gerenciamento de componentes Status da atualização. 2 Para atualizar todos os arquivos DAT, clique em Atualizar agora próximo ao componente do mecanismo antivírus. Testar o tráfego de e a detecção de vírus Teste se o tráfego de e mail está passando corretamente através do servidor blade e se as ameaças estão sendo corretamente identificadas. A McAfee utiliza o arquivo de teste EICAR (European Expert Group for IT Security), um arquivo inofensivo que desencadeia uma detecção de vírus. Tarefa 1 Envie uma mensagem de e mail de uma conta de e mail externa (como o Hotmail) para uma caixa de correio interna e confirme se ela chegou. 2 Verifique em Relatórios Pesquisa de mensagens. A listagem do protocolo usado para enviar a mensagem deve agora mostrar que uma mensagem foi recebida. 3 Copie a linha a seguir para um arquivo, certificando se de não incluir nenhum espaço ou quebra de linha: X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR STANDARDANTIVIRUS TEST FILE!$H+H* 4 Salve o arquivo com o nome EICAR.COM. 5 A partir de uma conta de e mail externa (cliente SMTP), crie uma mensagem que contenha o arquivo EICAR.COM como um anexo e envie a mensagem para uma caixa de correio interna. 6 Selecione Relatórios Pesquisa de mensagens. Você deverá ver que um vírus foi detectado. 7 Exclua a mensagem ao terminar de testar a instalação, a fim de evitar que os usuários fiquem alarmados. Teste da detecção de spam Execute um Teste geral de e mail para e mails em massa não solicitados (GTUBE) para verificar se as mensagens de e mail de spam recebidas são detectadas. Tarefa 1 A partir de uma conta de e mail externa (cliente SMTP), crie uma nova mensagem de e mail. 2 No corpo da mensagem, copie o texto a seguir: XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE STANDARDANTI UBE TEST *C.34X Certifique se de não incluir nenhum espaço ou quebra de linha. 3 Envie a nova mensagem de e mail para um endereço de caixa de correio interna. O software varrerá a mensagem, a reconhecerá como uma mensagem de lixo eletrônico e lidará com ela de forma apropriada. O GTUBE substitui as listas negras e brancas. 48 Blade Servers McAfee Gateway 7.x Guia de instalação

49 Um tour pelo Dashboard Explorando o servidor blade 3 Explore os recursos do McAfee Gateway Blade Server Demonstre os recursos de varredura do McAfee Gateway Blade Server em ação. Use as seguintes tarefas para fornecer instruções passo a passo para criar e testar alguns exemplos de políticas e gerar relatórios aplicáveis. Políticas de varredura e a forma como elas afetam a rede Uma política é um conjunto de configurações e regras que dizem ao McAfee Gateway Blade Server como combater determinadas ameaças em sua rede. Ao criar políticas reais de varredura para a sua organização, é importante que você gaste um tempo pesquisando e planejando os seus requisitos. Você pode encontrar instruções para ajudá lo com o planejamento de políticas na ajuda on line, disponível na interface do produto. Varrendo o conteúdo usando as regras de conformidade de Use a varredura de conformidade para auxílio com a conformidade regulatória e a conformidade operacional corporativa. Você pode escolher uma opção em uma biblioteca de regras de conformidade predefinidas ou pode criar regras e dicionários específicos da sua organização. As regras de conformidade podem variar em complexidade, desde um gatilho simples, quando um termo específico de um dicionário é detectado, até a criação e a combinação de dicionários baseados em pontuação que só serão disparados quando um certo limite for atingido. Usando os recursos avançados das regras de conformidade, é possível combinar dicionários com operações lógicas de "any of", "all of" ou "except". Tarefa 1 Siga estas etapas para bloquear mensagens de e mail que violam a política de "linguagem ameaçadora": a Vá para Policies e selecione Conformidade. b c d e f g Na caixa de diálogo Configurações de conformidade padrão, clique em Sim para ativar a política. Clique em Criar nova regra com base em modelo para abrir o Assistente de criação de regras. Selecione a política Uso aceitável Linguagem ameaçadora e clique em Próximo. Opcionalmente, altere o nome da regra e clique em Próximo. Altere a ação principal para Aceitar e descartar os dados (bloquear), e clique em Finalizar. Clique em OK e aplique as alterações. 2 Siga estas etapas para criar uma regra personalizada simples para bloquear mensagens de e mail que contenham números de seguridade social: a Vá para Policies e selecione Conformidade. b c d e Na caixa de diálogo Configurações de conformidade padrão, clique em Sim para ativar a política. Clique em Criar nova regra para abrir o Assistente de criação de regras. Digite um nome para a regra e clique em Próximo. No campo Pesquisar, digite social. Blade Servers McAfee Gateway 7.x Guia de instalação 49

50 3 Um tour pelo Dashboard Explorando o servidor blade f g Selecione o dicionário Número do CPF e clique em Próximo duas vezes. Selecione a ação Aceitar e descartar os dados (bloquear), e clique em Finalizar. 3 Siga estas etapas para criar uma regra complexa que é disparada quando os dicionários A e B são detectados, exceto quando o dicionário C também é detectado: a Vá para Policies e selecione Conformidade. b c d e f g h Na caixa de diálogo Configurações de conformidade padrão, clique em Sim para ativar a política. Clique em Criar nova regra para abrir o Assistente de criação de regras. Digite um nome para a regra e clique em Próximo. Selecione dois dicionários a serem incluídos na regra e clique em Próximo. Selecione um dicionário que deseja excluir da regra na lista de exclusões. Selecione a ação que deseja executar se a regra for disparada. Na caixa suspensa E condicionalmente, selecione Tudo e clique em Concluir. 4 Siga estas etapas para adicionar um novo dicionário a uma regra existente: a Vá para Policies e selecione Conformidade. b c d Expanda a regra que deseja editar. Selecione Adicionar dicionários. Selecione o novo dicionário que deseja incluir e clique em OK. 5 Siga estas etapas para configurar uma regra de "descontentamento" para ser monitorada em um limite baixo e bloqueada em um limite alto: a Vá para Policies e selecione Conformidade. b Clique em Criar nova regra, digite um nome para ela, como Descontente Baixo e clique em Próximo. c Selecione o dicionário Descontente e, em Limite, digite 20. d e f Clique em Próximo e em Próximo novamente. Em Se a regra de conformidade for disparada, aceite a ação padrão. Clique em Concluir. g Repita as etapas de 2 a 4 para criar outra nova regra, mas atribua a ela o nome Descontente Alto e um limite de 40. h i j Em Se a regra de conformidade for disparada, selecione Aceitar e descartar os dados (bloquear). Clique em Concluir. Clique em OK e aplique as alterações. 50 Blade Servers McAfee Gateway 7.x Guia de instalação

51 Um tour pelo Dashboard Explorando o servidor blade 3 Evitar a perda de dados confidenciais Saiba como bloquear um documento financeiro confidencial de ser enviado para fora de sua organização. Tarefa 1 Vá para E mail DLP e conformidade Documentos registrados, e crie uma categoria chamada Finanças. 2 Vá para Policies, e selecione a política Data Loss Prevention. 3 Na caixa de diálogo Configurações padrão da Data Loss Prevention, clique em Sim para ativar a política. 4 Clique em Criar nova regra, selecione a categoria Finanças e clique em OK para que a categoria apareça na lista de regras. 5 Selecione a ação associada à categoria, altere a ação principal para Aceitar e descartar os dados (bloquear), e clique em OK. 6 Clique em OK novamente e aplique as alterações. Informações sobre as mensagens em quarentena O McAfee Gateway Blade Server utiliza o software do McAfee Quarantine Manager para fornecer uma solução "remota" de quarentena para as suas mensagens de e mail. Para localizar qualquer mensagem que foi colocada em quarentena, consulte a documentação do McAfee Quarantine Manager. Monitorar a detecção de spam Monitore a taxa de detecção de spam usando a política original de detecção de spam SMTP. Assim que você concluir o console de configuração, essas configurações estarão trabalhando para proteger sua rede e seus usuários contra mensagens de spam indesejadas. As configurações estão descritas com mais detalhes na ajuda on line disponível na interface do usuário. Por padrão, o McAfee Gateway Blade Server: Bloqueia as mensagens de phishing. Marca as mensagens que uma pontuação maior ou igual a cinco como spam. Marca as mensagens que uma pontuação maior ou igual a dez. Tem a autenticação do remetente ativada. Usando essas configurações padrão, o seu McAfee Gateway Blade Server detecta mais de 98% de todas as mensagens de spam. A autenticação do remetente incorpora a reputação de mensagens do McAfee Global Threat Intelligence. Se um remetente falhar na verificação de reputação de mensagens do McAfee Global Threat Intelligence, o servidor blade rejeita o e mail, fecha a conexão e nega o endereço IP de envio. O endereço IP do remetente será adicionado a uma lista de conexões bloqueadas e será bloqueado automaticamente por dez minutos a nível de kernel (é possível alterar a duração padrão do bloqueio). As áreas Detecções do SMTP e Detecções do POP3 do Dashboard exibem o número de conexões bloqueadas. Tarefa 1 Em Policies Spam, visualize as configurações de detecção antispam padrão. 2 Verifique se as mensagens de spam estão corretamente identificadas enviando uma mensagem através do McAfee Gateway Blade Server que acionará as configurações de detecção de spam. Blade Servers McAfee Gateway 7.x Guia de instalação 51

52 3 Um tour pelo Dashboard Explorando o servidor blade 3 Para monitorar a taxa de detecção, retorne ao Dashboard e verifique as áreas Detecções do SMTP e Detecções do POP3. O número de Spam e phishing e o incremento no número da Autenticação do remetente. O número de detecções em autenticações do remetente inclui o número de remetentes que falharam na verificação de reputação de mensagens do McAfee Global Threat Intelligence. Os gráficos dos e mails fornecem uma representação gráfica dos dados. 4 Para obter um relatório sobre a atividade de e mail, vá para Relatórios Relatórios de e mail Seleção Favoritos e selecione Visualizar os relatórios de e mail favoritos. 5 Veja os relatórios Bloqueados (últimas 24h) e Principais remetentes de spam (últimas 24h). 52 Blade Servers McAfee Gateway 7.x Guia de instalação

53 4 4 Operação no modo resiliente O McAfee Gateway Blade Server inclui a operação no modo resiliente para o servidor blade. Neste modo, todas as conexões entre sua rede, servidor blade, e também as conexões dentro do invólucro do servidor blade são feitas de tal maneira que diversos caminhos são utilizados. Esses vários caminhos fornecem maior resiliência à falha de qualquer componente, seja dentro do servidor blade, nos dispositivos ou no cabeamento da rede necessários para rotear o tráfego entre a sua rede e o servidor blade. Conteúdo Como o modo resiliente utiliza o hardware Decisão pelo uso do modo resiliente Antes de iniciar a reconfiguração para o modo resiliente Migrando para a operação no modo resiliente Configuração de interconexões Modificar a configuração do invólucro Aplicar a configuração do modo resiliente a todas as interconexões Configuração do blade de gerenciamento para uso do modo resiliente Conexões no modo resiliente para a rede externa Ligue os blades. Blade Servers McAfee Gateway 7.x Guia de instalação 53

54 4 Operação no modo resiliente Como o modo resiliente utiliza o hardware Como o modo resiliente utiliza o hardware O modo resiliente usa o hardware do servidor blade de forma diferente do modo padrão (não resiliente). No modo resiliente, as conexões de rede são divididas nos seguintes segmentos dentro e através do invólucro do servidor blade: A LAN1 e a LAN2 são usadas na conexão com redes externas, para transportar o tráfego varrido. Estas são usadas como duas redes distintas (para o modo Proxy explícito ou modo Roteador transparente) ou como dois links de uma distribuição do modo de ponte transparente. O tráfego varrido é sempre transportado através de todas as interconexões ativas para fornecer o máximo em taxa de transferência e resiliência. A rede OOB (out of band) fornece um meio de segregar o tráfego gerenciado do tráfego varrido. Quando usado, o sistema pode ser configurado para impedir o gerenciamento de sistemas a partir das redes LAN1 e LAN2. A rede OOB é transportada através das interconexões da LAN2 em uma VLAN segregada usando links de switch externos separados. A rede OOB pode, de forma alternativa, ser colocada em uma rede VLAN transportada nas mesmas portas de interconexão externas como a LAN1 e a LAN2. O tráfego entre os blades de gerenciamento e os blades de varredura é tratado em uma VLAN separada dentro do invólucro do servidor blade. Esta é uma VLAN privada dentro do invólucro, e normalmente não está disponível na parte externa do invólucro. A VLAN de varredura é marcada nos blades de gerenciamento, mas é desmarcada nos blades de varredura. Isso permite que a instalação do ambiente de execução de pré inicialização (PXE) dos blades de varredura funciona conforme esperado. A configuração da interconexão é diferente para os blades de gerenciamento e os blades de varredura. A McAfee recomenda que você use somente os slots de blade recomendados neste documento para os blades de varredura e gerenciamento a fim evitar problemas de configuração. Quatro interconexões são usadas dentro do invólucro para fornecer resiliência contra uma falha única dentro de qualquer rede única descrita acima. A resiliência é fornecida contra as seguintes falhas: Falha no link externo A resiliência externa ao invólucro é fornecida através do suporte a links agregados (também conhecido como ligação, truncagem, canal de porta ou etherchannel). Até cinco links podem ser ligados em conjunto para fornecer o máximo em resiliência. A falha de qualquer link determinado afetará somente os pacotes que estavam sendo transferidos no link que falhou naquele momento. A interconexão e a infraestrutura adjacente param automaticamente de usar o link com falha. Falha no link interno. Os pares de links de conexão cruzada internos são usados para fornecer conectividade redundante entre as interconexões adjacentes. Isso significa que se todos os links dentro do invólucro do blade que forem externos à interconexão falharem, o tráfego ainda pode fluir através da interconexão adjacente, através da conexão cruzada, e no blade original. A falha de um link afetará somente os pacotes que estavam sendo transferidos no link que falhou naquele momento. O STP é usado para evitar loops de rede. 54 Blade Servers McAfee Gateway 7.x Guia de instalação

55 Operação no modo resiliente Decisão pelo uso do modo resiliente 4 Falha na placa de rede do blade. Todos os blades possuem dois caminhos para cada rede. Se uma placa de rede (ou sua conexão com a interconexão) falhar, haverá sempre um caminho redundante até o switch de rede. A falha de uma placa de rede afetará somente os pacotes que estão sendo transferidos no momento em que o link falhou. Falha no blade de varredura. Se um blade de varredura falhar, o blade de gerenciamento direcione automaticamente o tráfego de varredura aos blades de varredura restantes. As conexões ativas serão interrompidas no momento da falha. Falha no blade de gerenciamento. Se o blade de gerenciamento falhar, o blade de gerenciamento de failover toma o controle como principal e inicia a distribuição do tráfego aos blades de varredura. As conexões ativas serão interrompidas no momento da falha. Falha total na interconexão. Isso é tratado de forma semelhante à falha dos links internos e externos. Todo o tráfego fluirá diretamente para a interconexão restante e através dela. Decisão pelo uso do modo resiliente Considerações sobre o modo de implantação de sua escolha. No modo padrão (não resiliente), o McAfee Gateway Blade Server usa um módulo de interconexão único para a rede local (LAN1 e LAN2) exigido pelo seu servidor blade. No modo resiliente, dois módulos de interconexão são usados para cada rede local, permitindo que diversos caminhos de rede sejam criados para a LAN1 e LAN2. Configurar o servidor blade no modo resiliente é muito mais complexo do que usar o modo não resiliente padrão. No entanto, a McAfee recomenda usar somente o modo resiliente se você for capaz de fazer a rede em questão e outras alterações necessárias. Se pretende configurar o seu McAfee Gateway Blade Server para usar o modo resiliente, a McAfee recomenda instalar o seu servidor blade primeiro no modo padrão (não resiliente), e certificar se de que o servidor blade esteja funcionando conforme esperado. Uma vez que você estiver satisfeito com tudo funcionando corretamente, reconfigure o seu servidor blade para a operação no modo resiliente. As seções a seguir detalham as etapas para configurar o seu servidor blade no modo padrão (não resiliente) e, em seguida, como prosseguir para fazer as alterações necessárias a fim de utilizar o modo resiliente, se necessário. Antes de iniciar a reconfiguração para o modo resiliente Entenda o impacto que a reconfiguração do seu servidor blade para o modo resiliente poderá causar. Antes de iniciar a reconfiguração do McAfee Gateway Blade Server para operar no modo resiliente, a McAfee recomenda que você leia e entenda as informações mostradas em Planejando sua instalação. Blade Servers McAfee Gateway 7.x Guia de instalação 55

56 4 Operação no modo resiliente Antes de iniciar a reconfiguração para o modo resiliente Informações sobre o hardware Entenda os requisitos de hardware necessários para o modo resiliente. Para que seu hardware funcione no modo resiliente, os itens a seguir devem estar disponíveis: Número mínimo de blades. Uma configuração do modo resiliente deve fornecer pelo menos: um blade de gerenciamento um blade de gerenciamento de failover pelo menos dois blades de varredura NICs suficientes em todos os blades. Ao instalar um novo McAfee Gateway Blade Server, o hardware que você recebe é adequado para o uso no modo resiliente. No entanto, se você estiver reconfigurando um McAfee Gateway Blade Server instalado anteriormente para trabalhar no modo resiliente, pode ser necessário atualizar os blades individuais adicionando cartões mezaninos aos blades. Os blades de gerenciamento e de gerenciamento de failover devem ser instalados com os cartões mezaninos específicos da McAfee em ambos os slots disponíveis. Você pode verificar a presença destes cartões na interface de usuário do Onboard Administrator (ou de outro modo). Procure pelos cartões mezaninos na guia de informações da exibição da Device Bay. Os cartões mezaninos devem ser do tipo correto e estar localizados nos slots corretos. Os cartões mezaninos de duas portas devem estar na baia mezanina 1, e os cartões de quatro portas na baia mezanina 2. O blade de gerenciamento está localizado na baia de blades 1 do invólucro. O blade de gerenciamento de failover está localizado na baia de blades 2 do invólucro. O software do McAfee Gateway está disponível para instalação em um CD ROM, ou uma unidade flash USB, ou através do Onboard Administrator. Interconexões. As interconexões HP GBe2c devem ser instaladas nas baias de interconexão de 1 a 4. Os módulos de passagem também devem ser instalados nas baias de interconexão 5 e 6 para fornecer conectividade OOB. Módulos do Onboard Administrator. Os módulos OA redundantes devem ser instalados e configurados de acordo com as instruções da HP. Energia. O invólucro deve ser instalado com fontes de energia o suficiente a fim de fornecer funcionamento redundante para o número planejado de blades, conforme recomendado na documentação da HP. 56 Blade Servers McAfee Gateway 7.x Guia de instalação

57 Operação no modo resiliente Antes de iniciar a reconfiguração para o modo resiliente 4 Endereços IP necessários para o modo resiliente A configuração do seu servidor blade para o uso do modo resiliente requer a criação de diversos endereços IP. Cada invólucro exigirá uma quantia mínima de endereços IP para os seguintes itens: Tabela 4-1 Modo resiliente Endereços IP Componente Invólucro Blade de gerenciamento Endereços IP do invólucro Módulos do Onboard Administrator Módulos ilo (Integrated Lights Out) (1 por blade) 2 16 Blade de gerenciamento de failover Blades de varredura Módulos de interconexão (switches) Modo Proxy explícito 4 Interface 1 do IP físico 1 ou mais 1 ou mais Interface 1 do IP virtual (compartilhado) Interface 2 (opcional) do IP físico Interface 2 (opcional) do IP virtual (compartilhado) Modo Roteador transparente 1 ou mais 1 ou mais 1 ou mais 1 ou mais Interface 1 do IP físico 1 ou mais 1 ou mais Interface 1 do IP virtual (compartilhado) 1 ou mais Interface 2 do IP físico 1 ou mais 1 ou mais Interface 2 do IP virtual (compartilhado) Modo Ponte transparente 1 ou mais Interface do IP da ponte 1 ou mais 1 ou mais Interface (opcional, ao configurar um proxy usando este IP virtual) do IP virtual (compartilhado) Rede de varredura privada IP de balanceamento de carga (Privado do invólucro, não roteável, controlado pelos blades de gerenciamento/ gerenciamento de failover, o padrão é /24) 1 ou mais por blade de varredura (atribuído pelo blade de gerenciamento) Blade Servers McAfee Gateway 7.x Guia de instalação 57

58 4 Operação no modo resiliente Migrando para a operação no modo resiliente Nomes de usuário e senhas Saiba mais sobre os nomes de usuário e senhas necessários para configurar o modo resiliente. Use esta página para obter os nomes de usuário e senhas padrão usados por diversos componentes do servidor blade. Se você alterou os valores padrão algum nome de usuário ou senha, use estes no lugar das informações padrão mostradas abaixo. Tabela 4-2 Nomes de usuário e senhas por componente Componente Nome de usuário padrão Senha padrão (ou local da senha) Onboard Administrator da HP Administrador Veja o adesivo do invólucro Interconexões da HP admin admin ilo da HP (Administrador através do Onboard Administrator da HP) Interface de usuário do software do McAfee Gateway Console do software do McAfee Gateway admin suporte senha senha Migrando para a operação no modo resiliente Veja uma visão geral das etapas necessárias para migrar o seu servidor blade para o modo resiliente. Após ter instalado e configurado o seu McAfee Gateway Blade Server no modo padrão (não resiliente), a tabela a seguir fornecerá uma visão geral do processo de reconfiguração do servidor blade no modo resiliente. Antes de começar a configuração do servidor blade no modo resiliente, a McAfee recomenda que você já tenha configurado e colocado o seu servidor blade para funcionar no modo padrão (não resiliente). Tabela 4-3 Visão geral das etapas de instalação do modo resiliente Esta etapa Instale, configure e verifique se o seu servidor blade está funcionando corretamente no modo padrão (não resiliente). 2. Colete as informações necessárias sobre a rede. está descrita aqui... Instalação padrão na página 27 Antes de iniciar a reconfiguração para o modo resiliente na página 55 Informações sobre o hardware na página 56 Nomes de usuário e senhas na página Faça backup da configuração existente. Fazendo backup da configuração existente 4. Crie a configuração de base para as interconexões. 5. Faça upload dos arquivos de configuração editados. 6. Faça download e revise os arquivos de configuração de interconexão que foram gerados. Configurando as interconexões Aplicar a configuração do modo resiliente a todas as interconexões Faça download e revise a configuração gerada 58 Blade Servers McAfee Gateway 7.x Guia de instalação

59 Operação no modo resiliente Migrando para a operação no modo resiliente 4 Tabela 4-3 Visão geral das etapas de instalação do modo resiliente (continuação) Esta etapa Configuração do blade de gerenciamento para usar o modo resiliente. 8. Faça as alterações necessárias no cabeamento do servidor blade. está descrita aqui Ligue os blades. Ligando os blades. Configurando o blade de gerenciamento para usar o modo resiliente Conexões no modo resiliente para a rede externa Conectar o servidor blade à sua rede poderá atrapalhar o acesso à Internet ou outros serviços da rede. Assegure se de organizar o tempo de inatividade da rede para isso e de programar essa conexão durante os períodos de pouco uso da rede. Fazendo backup da configuração existente Use essa função para fazer backup da configuração existente do McAfee Gateway Blade Server. A McAfee recomenda fazer um backup completo da configuração do seu servidor blade antes de fazer um upgrade, mesmo que você pretenda usar uma das opções de upgrade que restaura e faz backup da sua configuração. Tarefa 1 Na interface do usuário, navegue até Sistema Administração do sistema Gerenciamento de configuração. 2 Selecione os itens opcionais que você deseja incluir no backup (dependendo da versão). A McAfee recomenda fazer backup de todas as opções antes de atualizar o seu servidor blade. 3 Clique em Fazer backup da configuração. 4 Após um curto intervalo de tempo, uma caixa de diálogo será exibida, permitindo a você fazer download do arquivo de backup das configurações em seu computador local. Instalar as interconexões para o modo resiliente Antes de fazer qualquer conexão, é necessário instalar e configurar as interconexões de Ethernet. Tabela 4-4 Índices # Descrição Conexões de alimentação Interconexões 1 e 2 (conexão com a LAN 1) Interconexões 3 e 4 (conexão com a LAN 2) Conexão do Onboard Administrator Módulo do Onboard Administrator Acesso fora de banda (porta 20) Fora de banda (passagem) As interconexões são instaladas na parte traseira do invólucro, logo abaixo da fileira superior de ventoinhas de refrigeração. Blade Servers McAfee Gateway 7.x Guia de instalação 59

60 4 Operação no modo resiliente Migrando para a operação no modo resiliente As interconexões da LAN 1 são instaladas na baias de interconexões superiores direita e esquerda, e as interconexões da LAN 2 são instaladas nas baias localizadas logo abaixo das interconexões da LAN 1. Figura 4-1 Localização dos componentes traseiros modo resiliente Certifique se de: Garantir que o estado do STP (Spanning Tree Protocol) seja OFF para o STG1 (Spanning Tree Group 1) por padrão, todas as portas são membros do STG1. (Se você estiver instalado o seu servidor blade no modo de ponte transparente.) Configurar as listas de controle de acesso (ACLs) nas interconexões para isolar os blades de varredura de conteúdo dos endereços DHCP externos de recebimento. Configurar as ACLs de modo que os pacotes de pulsação do blade sejam mantidos dentro do servidor blade. Se o tráfego marcado pela VLAN (rede local virtual) precisar passar pelo servidor blade, as interconexões precisarão ser configuradas para permitir a passagem deste tráfego. As informações sobre como fazer isso são fornecidas na documentação listada abaixo: Instalação rápida do HP GbE2c Layer 2/3 Ethernet Blade Switch para o BladeSystem classe C Guia do usuário do HP GbE2c Layer 2/3 Ethernet Blade Switch para o BladeSystem classe C A tabela mostra quais interconexões são usadas. Por padrão, as portas externas de 21 a 24 em cada interconexão podem ser usadas para conectar cada uma das redes. Tabela 4-5 Uso da interconexão Baia de interconexões Modo padrão (não resiliente) Modo resiliente 1 LAN1 LAN1, SCAN 2 Não usado LAN1, SCAN 3 LAN2 LAN2, (OOB) 60 Blade Servers McAfee Gateway 7.x Guia de instalação

61 Operação no modo resiliente Configuração de interconexões 4 Tabela 4-5 Uso da interconexão (continuação) Baia de interconexões Modo padrão (não resiliente) Modo resiliente 4 OOB LAN2, (OOB) 5 OOB OOB 6 Não usado OOB 7 Não usado Não usado 8 Não usado Não usado Observe que: No modo padrão (não resiliente), a rede de varredura é diretamente sobreposta na LAN1. No modo padrão (não resiliente), as conexões OOB (out of band) indicadas são conexões individuais mutuamente exclusivas e não são resilientes. No modo resiliente, a rede de varredura compartilha os mesmos NICs que a LAN1, mas eles são marcadas pela VLAN para segregar a varredura do tráfego da LAN1. No modo resiliente, a rede de varredura é desmarcada nos slots dos blades de varredura para permitir a instalação do PXE dos blades de varredura. As baias de interconexão 5 e 6 são ocupadas por módulos de passagem, permitindo uma conexão direta com os blades de gerenciamento e de gerenciamento de failover. Os blades de varredura não possuem conexões fora de banda; isso é obtido através do blade de gerenciamento e no blade de varredura utilizando a rede de varredura. Por padrão, a rede VLAN fora de banda é configurada para ser desmarcada na porta 20 em todas as interconexões. Você pode usar as interconexões 1 e 2, através da porta 20 em cada interconexão, para usar a sua rede fora de banda no gerenciamento das interconexões dentro do seu invólucro. As interconexões 3 e 4, através da porta 20, são reservadas para o gerenciamento fora de banda do sistema McAfee Gateway Blade Server. Para novas instalações, ou upgrades em que você configura o servidor blade para usar o modo resiliente, a conexão da LAN2 foi modificada a partir das versões anteriores do McAfee Gateway Blade Server. Para upgrades padrão (não resiliente) do hardware existente, a interconexão 2 é usada para o tráfego da LAN2. Para novas instalações, ou upgrades do modo resiliente usando o hardware existente, a interconexão 3 é usada para o tráfego da LAN2. Configuração de interconexões As interconexões dentro do servidor blade requerem configurações específicas para permitir que o invólucro opere no modo resiliente. O software do McAfee Gateway utiliza configurações de base para cada interconexão, e as usa para gerar automaticamente a configuração de interconexão completa necessária para que seu servidor blade funcione no modo resiliente. As interconexões dentro do servidor blade requerem configurações específicas para permitir que o invólucro opere no modo resiliente. O software do McAfee Gateway utiliza configurações de base para cada interconexão, e as usa para gerar automaticamente a configuração de interconexão completa necessária para que seu servidor blade funcione no modo resiliente. O meio através do qual a configuração gerada automaticamente é aplicada às interconexões pode ser selecionado: Blade Servers McAfee Gateway 7.x Guia de instalação 61

62 4 Operação no modo resiliente Configuração de interconexões Tabela 4-6 Métodos de configuração Responsabilidade 1. O usuário gerencia as interconexões 2. O usuário gerencia as interconexões 3. O usuário gerencia as interconexões 4. O software gerencia as interconexões Método de aplicação da configuração da interconexão As informações da configuração são copiadas e coladas no CLI da interconexão. A configuração é baixada diretamente na interconexão a partir do software do McAfee Gateway, ou de um FTP externo ou servidor TFTP, mas sob o controle do usuário. Use a interface de Web da interconexão para localizar e fazer alterações na configuração. A configuração é baixada diretamente na interconexão a partir do software do McAfee Gateway sempre que ela for alterada. Configuração fornecida Não há credenciais no configuração do chassi. Não foi feito upload de nenhuma configuração de base da interconexão. Não há credenciais no configuração do chassi. É feito upload dos arquivos de configuração de base da interconexão no software do McAfee Gateway. Não há credenciais no configuração do chassi. Não foi feito upload de nenhuma configuração de base da interconexão. A configuração do chassi contém as credenciais das interconexões. É feito upload dos arquivos de configuração de base da interconexão no software do McAfee Gateway. Veja o exemplo de configuração de base da interconexão e o exemplo de arquivo de configuração do chassi para obter detalhes sobre os tipo de informação necessário dentro dos arquivos de configuração de base do arquivo de configurações do chassi e das interconexões. Se desejar que o software do McAfee Gateway configure automaticamente as interconexões, use esta função para criar as configurações de base da interconexão. O formato necessário para os arquivos de configuração de base da interconexão depende do tipo de interconexão instalado. As interconexões HP GbE2c devem ter seus arquivos de configuração gerados no formato iscli (como o Cisco IOS), ao invés do formato HP bladeos cli. Tarefa 1 Faça download de toda a configuração de cada interconexão em sua estação de trabalho usando ftp ou tftp, efetuando login nas interfaces de Web de cada interconexão, ou usando o CLI. 2 Especifique as informações exclusivas de cada interconexão. Isso inclui os endereços IP, informações de roteamento, servidores syslog, servidores de horário e os fusos horários. 3 Remova as entradas de configuração de todas as portas, a menos que você tenha especificado que essas portas sejam ignoradas pelo gerador de configuração de interconexão. Isso se tornará a configuração de base para cada interconexão. 4 Salve os arquivos como /config/resiliency/interconnect.base.n (onde n = número de interconexões) e adicione os ao arquivo zip de configuração no backup. Este arquivo zip de configuração de backup também é utilizado para manter o arquivo chassisconfig.xml discutido em Modificação da configuração do invólucro. 62 Blade Servers McAfee Gateway 7.x Guia de instalação

63 Operação no modo resiliente Modificar a configuração do invólucro 4 Modificar a configuração do invólucro Faça as alterações necessários nos arquivos de configuração do invólucro, modificando o arquivo chassisconfig.xml. O arquivo chassisconfig.xml é encontrado dentro do zip de configuração, que você pode fazer backup e baixar em Sistema Administração do sistema Gerenciamento de configuração. Quando você instala o blade de gerenciamento pela primeira vez, um arquivo chassisconfig.xml padrão é gerado. Quando o arquivo chassisconfig.xml é atualizado, a configuração da interconexão é automaticamente recriada com as configurações de porta da interconexão do blade. Os elementos contidos no arquivo chassisconfig.xml que são mais propensos a precisar de alteração para atender às suas necessidades de rede são: ScanningVlan (padrão 4094) Essa é a identificação da VLAN que é usada dentro do chassi para a rede de varredura. Em circunstâncias normais, o VLAN não é exibido nas portas de interconexão externas. Essa rede pode ser ligada às portas usando o nome simbólico scan. UntaggedVlan (padrão 4093) Essa é a identificação da VLAN que é usada dentro do chassi para transportar os quadros desmarcados da rede externa. Essa rede pode ser ligada às portas usando o nome simbólico defuntagged. Essa VLAN é usada somente em interconexões; o tráfego que está passando para o blade de gerenciamento será marcado com as mesmas marcas que estavam presentes nos links externos. OobVlan (padrão 4092) Essa é a identificação da VLAN que é usada dentro do chassi para segregar a rede OOB das outras redes no chassi. Essa rede pode ser ligada às portas usando o nome simbólico oob. BridgeVlan (nenhum padrão definido) Essa é uma lista de VLANs que deverão ser colocadas em ponte a partir da LAN1 até a LAN2 quando estiverem no modo de ponte transparente. Não é necessário especificar as VLANs que foram selecionadas para a varredura na configuração do modo de ponte transparente do McAfee Gateway, uma vez que serão adicionadas automaticamente. As VLANs especificadas aqui não serão varridas, somente colocadas em ponte a partir da LAN1 até a LAN2. Esse item não é usado quando o sistema não está no modo de ponte transparente. A lista de VLANs externas pode ser representada pelo nome simbólico external. ScanningSTG/ExternalSTG/OobStg Essas são as configurações dos STGs usados para o Spanning Tree em cada uma das redes de varredura, redes externas e redes OOB respectivamente. Dependendo da topologia da rede externa e da configuração do STG, pode ser necessário modificar o campo de prioridade de cada um. Blade Servers McAfee Gateway 7.x Guia de instalação 63

64 4 Operação no modo resiliente Modificar a configuração do invólucro Blades Esta seção lista a função de cada slot do blade. Um slot pode ser configurado para ser um blade de gerenciamento (no caso em que os blades de gerenciamento não estão nos slots 1 e 2), e um slot pode ser configurado para ser ignorado. Se um slot for configurado para ser ignorado, nenhuma configuração será gerada para as portas de interconexão conectadas a esse blade. Credenciais de interconexão Se for exigido que configurações das interconexões sejam aplicadas automaticamente pelo software do McAfee Gateway, os endereços IP, nomes de usuário e senha corretos das credenciais devem ser adicionados aqui. Essas credenciais devem ser salvas em texto escrito de forma clara para que possam ser lidas caso o sistema do McAfee Gateway seja comprometido. Portas de interconexão O modo operacional das portas de interconexão pode ser definido aqui. A razão mais provável para alterar as configurações da porta de interconexão será para ativar ou desativar o LACP nas portas externas, ou para ativar ou desativar o STP. Também pode ser necessário alterar as configurações da porta para dedicar as portas externas à rede de varredura. A VLAN na qual os quadros desmarcados atravessam a porta é definida aqui. Também pode ser útil dar as portas nomes significativos aqui se os nomes padrão atribuídos pelo software do McAfee Gateway não forem suficientes. As portas também podem ser especificadas para serem ignoradas pelo gerador de configuração do software do McAfee Gateway, embora isso cause um erro caso o gerador de configuração do software do McAfee Gateway precise aplicar a configuração nessa porta para um dos slots do blade. VLANs de interconexão A associação de portas das VLANs nas interconexões é definida aqui. As identificações das VLANs podem ser referenciadas numericamente ou, para as VLANs relacionadas ao McAfee Gateway, simbolicamente pelos nomes listados acima. Outras considerações incluem configurar: a truncagem das portas de interconexão externas as configurações do Spanning Tree acessar suas redes de gerenciamento OOB (out of band) Inserindo as credenciais da interconexão e os endereços IP dentro do arquivo chassisconfig.xml, o software do McAfee Gateway poderá aplicar automaticamente as configurações às interconexões. No entanto, a McAfee recomenda que isso não seja feito até você verificar se a configuração gerada automaticamente está funcionando corretamente. 64 Blade Servers McAfee Gateway 7.x Guia de instalação

65 Operação no modo resiliente Aplicar a configuração do modo resiliente a todas as interconexões 4 Aplicar a configuração do modo resiliente a todas as interconexões Aplicar a configuração do modo resiliente a todas as interconexões. Conforme observado em Modificar a configuração do invólucro na página 63, a McAfee recomenda incluir o IP da interconexão e as informações credenciais nos arquivos de configuração até que você tenha feito upload e analisado os arquivos para garantir que as informações contidas neles estão corretas. Isso impede as interconexões de serem configuradas com informações incorretas. Após verificar se as configurações estão conforme esperado, é possível adicionar o IP da interconexão e as informações credenciais e, em seguida, efetuar novamente o upload das configurações. Em seguida, os arquivos de configuração serão aplicados às interconexões. Faça upload dos arquivos de configuração modificados no blade de gerenciamento, criando um arquivo zip de configuração contendo todos os arquivos modificados e, em seguida, restaurando esse arquivo em Sistema Administração do sistema Gerenciamento de configuração. Estes incluem: todos os arquivos de configuração base interconectados. o arquivo chassisconfig.xml. É necessário aplicar as alterações antes que a configuração que você fez upload possa ser usada pelo servidor blade. Se você tiver adicionado credenciais de interconexão e endereços IP ao arquivo de configuração do invólucro (chassisconfig.xml), a configuração do modo resiliente é aplicada automaticamente a cada interconexão. Faça download e revise a configuração gerada Faça download e revise os arquivos de configuração interconnect_config.x.n que foram gerados. Certifique se de que a configuração gerada corresponda à sua configuração desejada. Estes podem ser visualizados em Sistema Administração do sistema Gerenciamento do cluster Modo resiliente. Se algum erro for detectado nestes arquivos, repita as etapas de definição e geração da configuração para corrigir o problema. Configuração do blade de gerenciamento para uso do modo resiliente Configuração do blade de gerenciamento para usar o modo resiliente. Tarefa 1 Na interface do usuário, navegue até Sistema Administração do sistema Gerenciamento do cluster Modo resiliente. 2 Clique em Ativar modo resiliente. 3 Clique em OK para confirmar que você entendeu o Aviso sobre a ativação do modo resiliente. 4 Aguarde até o encerramento automático do blade de gerenciamento de failover, blade de gerenciamento de automático e de todos os automático de varredura. Blade Servers McAfee Gateway 7.x Guia de instalação 65

66 4 Operação no modo resiliente Conexões no modo resiliente para a rede externa 5 Faça qualquer alteração necessária na interconexão do servidor blade com a rede externa. 6 Aplique energia aos blades de gerenciamento e de gerenciamento de failover. Verifique o Dashboard para assegurar se que os blades de gerenciamento de failover e de gerenciamento estejam funcionando corretamente e sincronizados. 7 Por sua vez, aplique energia a todos os blades de varredura de conteúdo. Conexões no modo resiliente para a rede externa Configure as conexões necessárias entre a sua rede externa e o seu McAfee Gateway Blade Server. As conexões que você precisa criar entre a rede externa e o McAfee Gateway Blade Server dependem do modo que operação que você está selecionando para ser usado pelo servidor blade, bem como da configuração da rede externa. Se estiver usando o Onboard Administrator, certifique se de ter conexões com o OA, bem como com as interconexões. 66 Blade Servers McAfee Gateway 7.x Guia de instalação

67 Operação no modo resiliente Conexões no modo resiliente para a rede externa 4 Certifique se de que cada conexão entre a rede e as interconexões do servidor blade consista de links ligados entre si para fornecer resiliência em caso de uma alternância, falha no cabo ou uma falha na interconexão. Figura 4-2 Conexões típicas de rede modo resiliente Tabela 4-7 Registro Links da LAN (rede LAN1, LAN2 ou OOB) Rede de varredura interna Links ligados entre si Blade Servers McAfee Gateway 7.x Guia de instalação 67

68 4 Operação no modo resiliente Ligue os blades. Tabela 4-7 Registro (continuação) Links normalmente bloqueados pelo STP 1. Rede externa 2. Infraestrutura da rede 3. (para LAN1) interconexão 1, (para LAN2 ou OOB) interconexão 3 4. (para LAN1) interconexão 2, (para LAN2 ou OOB) interconexão 4 5. Blade de gerenciamento 6. Blade de gerenciamento de failover 7. Blades de varredura Por questões de simplicidade, o diagrama mostra somente um conjunto de caminhos de LAN/OOB. Os caminhas da LAN1, LAN2 e da OOB são semelhantes. Ligue os blades. Forneça energia para todos os blades dentro do McAfee Gateway Blade Server. Antes de iniciar Certifique se de ter concluído todas as tarefas contidas em Migrando para a operação no modo resiliente na página 58. Tarefa 1 Pressione o botão Ligar no blade de gerenciamento. 2 Assim que o blade de gerenciamento tiver concluído sua sequência de inicialização, pressione o botão Ligar no blade de gerenciamento de failover. 3 Após os blades de gerenciamento e de gerenciamento de failover terem concluído suas sequências de inicialização, você pode começar a ligar os blades de varredura de conteúdo. Para evitar um pico de tensão, a McAfee recomenda que você deixe cada um dos blades de varredura de conteúdo concluir sua sequência de inicialização antes de aplicar energia ao próximo blade de varredura de conteúdo. 68 Blade Servers McAfee Gateway 7.x Guia de instalação