Forefront Protection для Exchange: обзор

Опубликовано: 20 Марта, 2023


Введение


Сегодня в корпоративном ИТ-пространстве существует множество вариантов, когда речь идет о безопасном обмене сообщениями. По мере того, как ваша организация выбирает курс, который может варьироваться от облачных предложений, таких как Office 365 или Google Apps, до локального развертывания Exchange 2010 Enterprise, важным фактором является то, как контент защищается, фильтруется и сканируется. Многие организации создали большой набор инструментов для обеспечения защиты от спама, вирусов, анализа репутации, а также всевозможных других возможностей в своей текущей среде. Эти решения могут усложнить и увеличить стоимость среды обмена сообщениями. Новое развертывание Exchange — это прекрасная возможность остановиться и взглянуть на общую картину, но также может иметь смысл обновление или замена продуктов безопасности обмена сообщениями на месте. Имея это в виду, в этом месяце мы рассмотрим Microsoft Forefront Protection for Exchange (FPE) 2010. Название продукта несколько вводит в заблуждение, поскольку существуют версии продукта для поддержки сред Exchange от Exchange 2003 до Exchange. 2010, так что не бросайте читать только потому, что вы не пользуетесь последней и лучшей версией Exchange.



Почему Forefront Protection для Exchange?


Forefront Protection for Exchange (FPE) 2010 основан на технологии, которую Microsoft приобрела шесть лет назад у компании Sybari. Они интегрировали его в свою линейку продуктов Microsoft, а решения, разработанные партнерами Microsoft для новых развертываний Exchange и миграции Exchange, часто включают FPE. Microsoft также проделала большую работу по включению FPE в ряд наборов продуктов и средств лицензирования, включая Forefront Protection Suite, Enterprise Client Access License (CAL) Suite и Exchange Enterprise Client Access License. Короче говоря, вполне вероятно, что большинство корпоративных организаций уже имеют доступ к FPE через существующий механизм лицензирования. Поскольку у вас уже может быть FPE, это само по себе является веской причиной для рассмотрения FPE. FPE также можно получить отдельно, если в организации еще нет одного из этих пакетов.


FPE обеспечивает лучшую мышеловку для антивируса и защиты от спама для Exchange. Основная предпосылка для использования FPE заключается в том, что он предлагает 5 механизмов для использования внутри продукта, которые можно смешивать и сопоставлять или даже развертывать параллельно для более «глубокой защиты» подхода к защите контента. Для сравнения, другие продукты предлагают единый механизм сканирования для анализа и удаления сообщений электронной почты, содержащих вредоносный контент, для Exchange. Эти продукты для однократного сканирования можно рассматривать как «единую точку отказа». Ограничение вашей среды Exchange за счет использования только одного антивирусного поставщика (с одним механизмом) в нескольких местах (клиент, электронная почта, шлюз и т. д.) по-прежнему создает большое слепое пятно при попытке защититься от позднего взлома. -дневные атаки..


Forefront Protection для Exchange: функции и возможности


FPE изначально создан для платформы Windows Server; установка и первоначальная настройка продукта не вызвали никаких затруднений. Программа установки и пользовательский интерфейс очень знакомы и удобны для всех, кто привык работать с общим интерфейсом продуктов Microsoft Server и инструментов (см. рис. 1).


Еще одним преимуществом FPE является поддержка, связанная с тем, что у вас уже есть Microsoft Exchange, Server и т. д. Это преимущество означает, что вам не придется тратить деньги на поддержку, которые вы, скорее всего, должны делать с вашим текущим третьим лицом. партийное решение. Кроме того, поскольку один и тот же специалист службы поддержки знает и FPE, и Exchange, у вас будет единый фронт для более эффективного решения ваших проблем.


Изображение 19044
Рисунок 1: Вид консоли FPE 2010. Источник: www.wardvissers.nl


Конечно, FPE также предлагает ряд основных функций, включая защиту от спама и вирусов. FPE строится на основе базовой функции защиты от нежелательной почты, интегрированной в Exchange. Если вам пришлось использовать стороннее решение из-за ограниченной функциональности одной только защиты от спама Exchange, вы можете найти многоуровневое решение FPE достаточным для устранения вашего стороннего решения. Многоуровневая стратегия FPE для защиты от спама выглядит следующим образом:



  • Уровень обнаружения 99% с частотой ложных срабатываний 1: 250 000 (эти цифры подтверждены West Coast Labs, независимой группой тестирования). Например, этот уровень будет обнаруживать спам-сообщения, начиная от фармацевтических препаратов и заканчивая мошенничеством с отмыванием денег, которые были собраны в почтовом ящике Hotmail, и были легко обнаружены этой фильтрацией на основе сигнатур.
  • Дополнительные инновации, такие как поддержка черных списков DNS, фильтрация обратного рассеяния и другие возможности защиты от спама, которых очень не хватало в базовом портфолио защиты от спама Exchange.
  • FPE добавила режим реального времени от Cloudmark. Это чрезвычайно сложный механизм фильтрации спама, который включает в себя ряд эвристических и основанных на сигнатурах методов обнаружения спама.

С таким сочетанием функций вы, скорее всего, обнаружите, что нет никакой разницы в обнаружении спама между FPE с дополнительным антиспамовым устройством или без него. См. рис. 2 для параметров конфигурации, доступных в FPE.


Изображение 19045
Рисунок 2. Настройка защиты от спама Forefront Protection for Exchange


FPE также обеспечивает фильтрацию вложений, применяя политики входящей и исходящей электронной почты. Он также имеет возможность проверять архивные файлы и применять к ним политику. Полезен детальный контроль применения политик только к входящей, только исходящей или одновременно входящей и исходящей потоку почты. Кроме того, FPE имеет возможность фильтровать и сканировать содержимое на основе типа MIME (многоцелевых расширений почты Интернета), а также по фактическому имени файла; это позволяет фильтровать файл MP3, переименованный, например, в файл TXT. FPE также имеет возможность удалять зашифрованные архивные файлы, если администратор решит, поскольку он не может открыть их и проверить на наличие нарушений политики или потенциальных вредоносных программ.


Архитектура


Вы захотите установить FPE на каждый сервер Exchange, который у вас есть! У вас есть три различных варианта FPE во время установки:



  • Роль пограничного транспорта — эта роль находится на границе сети и обеспечивает входящие и исходящие службы SMTP для организации. Роль пограничного транспорта Exchange/FPE обычно не находится в домене Active Directory и имеет минимальную площадь для уменьшения поверхности атаки. С 5 ядрами, включенными на Edge Transport, эта роль идеально удаляет большинство вредоносных программ и нежелательного контента, поступающего в среду.
  • Транспортная роль концентратора. Эта роль обеспечивает службы внутренней маршрутизации между пользователями Exchange, отправляющими или получающими почту. Даже два внутренних пользователя, отправляющих почту друг другу, будут проходить через транспортную роль концентратора. Если на транспортном концентраторе включено 3 или 4 механизма, эта роль в идеале будет обнаруживать любые нарушения внутренней политики или, возможно, вредоносное ПО, которое пытается распространяться внутри.
  • Роль почтового ящика. – Эта роль предоставляет службы почтовых ящиков Exchange для взаимодействия с клиентами Outlook. Роль почтового ящика чаще всего используется в среде Exchange; в результате, возможно, 1 или 2 ядра, включенные в почтовый ящик, обеспечат надежную базовую защиту без заметного влияния на производительность клиента.

Поскольку роли сервера единой системы обмена сообщениями и клиентского доступа не обрабатывают почту, FPE не требуется для этих ролей. FPE можно точно настроить в вашей среде, и Microsoft предоставляет множество рекомендаций по конкретным сценариям в Руководстве пользователя Forefront Protection для Exchange. Я рекомендую фильтровать все 5 механизмов на пограничном транспортном сервере, 3 или 4 механизма на транспортном концентраторе и 1 или 2 механизма на роли почтового ящика. Поскольку задания сканирования для почты в пути и для почты, находящейся в хранилище информации, отличаются, важно выполнять настройку и измерение производительности; в одном виртуализированном экземпляре Exchange компания FPE смогла снизить нагрузку на окружающую среду, включив все 5 механизмов с включенным сканированием почтовых ящиков в реальном времени. Выделение еще 2 ГБ (всего 4 ГБ) для среды, казалось, незначительно улучшило ситуацию.


Резюме


Forefront Protection for Exchange — очень надежный продукт; он кажется отточенным, и его можно масштабировать с помощью консоли управления Forefront Protection Security Management Console. Он хорошо работает с точки зрения производительности и точности. Возможность сканирования с помощью нескольких механизмов, комплексная фильтрация содержимого (файлов и содержимого сообщений) и усиление защиты от спама в одном пакете обеспечивают реальную отдачу от вложенных средств с точки зрения производительности и ценности. Обязательно подумайте о том, чтобы оценить FPE как часть вашего нового развертывания Exchange 2010 или интегрировать его в существующую среду Exchange, особенно если он уже является компонентом, которым вы уже владеете в своем портфеле лицензий Microsoft.

Компьютерные сети

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Что такое прокси IPv4 и что он умеет
14 Июня, 2023
Оптические патч-корды: что это за кабели и для чего они нужны?
11 Мая, 2023
Оборудование MikroTik: что это такое и зачем оно нужно?
5 Апреля, 2023
Сервер удаленного доступа (RAS) для дозвона
29 Марта, 2023
Проверка настройки удаленного доступа к сети
29 Марта, 2023
Разрешения пользователя NT4
29 Марта, 2023
Установка/настройка сетевых драйверов NT4
29 Марта, 2023
Сеть тормозит!
29 Марта, 2023