locked
ForeFront для Exchange - "куда ставить то"? RRS feed

  • Вопрос

  •  Не могу найти толковой документации по планированию.

    Если в стандартной конфигурации имеется один Edge Transport сервер где нить в DMZ и один сервер со всеми остальными ролями внутри сети. Хочется с одной стороны иметь возможность сканирования ящиков в хранилище, значит ставить ForeFront нужно на сервер с хранилищем, но с другой стороны ведь отбивать входящий извне мусор нужно на пограничном транспорте а не тащить его внутрь сети, значит еще один экземпляр ForeFront нужно ставить на Edge Transport? Итого два экземпляра (лицензии) потребуется? + по две лицензии на движки антивирусов и два раза качать антивирусные базы? Для небольшой (стандартной) вообщем то почтовой системы.  Или задача как то решается подругому?

     

    30 января 2007 г. 8:47

Ответы

  •  Cookie_Monster написано:

     Не могу найти толковой документации по планированию.

    Если в стандартной конфигурации имеется один Edge Transport сервер где нить в DMZ и один сервер со всеми остальными ролями внутри сети. Хочется с одной стороны иметь возможность сканирования ящиков в хранилище, значит ставить ForeFront нужно на сервер с хранилищем, но с другой стороны ведь отбивать входящий извне мусор нужно на пограничном транспорте а не тащить его внутрь сети, значит еще один экземпляр ForeFront нужно ставить на Edge Transport? Итого два экземпляра (лицензии) потребуется? + по две лицензии на движки антивирусов и два раза качать антивирусные базы? Для небольшой (стандартной) вообщем то почтовой системы.  Или задача как то решается подругому?

     

    С точки зрения лицензий: Forefront для Exchange лицензируется по пользователям, а не по серверам.

    Для наиболее полной защиты, нужно устанавливать на каждый почтовый сервер.

    31 января 2007 г. 9:44

Все ответы

  • Нет, все правильно. Антивирусная защита нужна и там и там. Просто немного разные задачи - антивирус/антиспам на Edge защищает от потока вирусов и спама извне, а то же самое на внутреннем сервере защищает, во-первых, от ушлых "внутренних" пользователей, а во-вторых, защищает сами базы данных.

    Представьте, что Вы разнесли бы сервера по ролям - поставили Mailbox и Hub transport отдельно. Опять-таки антивирус будет полезно поставить на обоих.

    Что еще удобно с ForeFront - можно выбрать разные антивирусные "движки" в разных установках - получится комбинированная защита.

    Вообще, Microsoft рекомендует концепцию трехуровневой защиты: первый уровень - на SMTP релеях, второй уровень - на собственно почтовых серверах, третий уровень - на почтовом клиенте.

    По статистике, первый уровень принимает самый серьезный удар, обычно 85-90% всей входящей почты - это спам.

    30 января 2007 г. 19:55
  • ... а для полной уверенности в надежной защите купить и установить антивирусы всем возможным внешним корреспондентам....

     

    31 января 2007 г. 8:05
  •  Cookie_Monster написано:

     Не могу найти толковой документации по планированию.

    Если в стандартной конфигурации имеется один Edge Transport сервер где нить в DMZ и один сервер со всеми остальными ролями внутри сети. Хочется с одной стороны иметь возможность сканирования ящиков в хранилище, значит ставить ForeFront нужно на сервер с хранилищем, но с другой стороны ведь отбивать входящий извне мусор нужно на пограничном транспорте а не тащить его внутрь сети, значит еще один экземпляр ForeFront нужно ставить на Edge Transport? Итого два экземпляра (лицензии) потребуется? + по две лицензии на движки антивирусов и два раза качать антивирусные базы? Для небольшой (стандартной) вообщем то почтовой системы.  Или задача как то решается подругому?

     

    С точки зрения лицензий: Forefront для Exchange лицензируется по пользователям, а не по серверам.

    Для наиболее полной защиты, нужно устанавливать на каждый почтовый сервер.

    31 января 2007 г. 9:44
  • Хе...а я об этом как то и не подумал. Тогда понятно что и как. Естественно ставить надо на всех серверах. И чередовать разные движки. "Принцип бутерброда" кде то видел такой термин. На предъидущих версиях соблюдал строго :-)
    31 января 2007 г. 15:13
  • Блин. Только сегодня прочитал упоминание об этом и подумал, как я сам раньше не сообразил :( К сожалению,  комбинировать защиту с помощью разных движков не получится. При первой проверке письма Forefront дописывает ему в заголовки X-header о том, что письмо уже проверено, и последующие агенты уже не будут это письмо трогать. Увы.
    2 февраля 2007 г. 4:07
  •  

    Коллеги! Давайте определимся о каком версии сервера Exchange Server - 2003 или 2007 - идет речь.

    Очень похоже, что Вы говорите про Exchange Server 2007.

     

    Если речь про версию 2003 и раньше, то избежать повторного сканирования на нескольких узлах не получится, так как в Antigen и в Exchnage нет соответствующих критериев (параметров). Точнее, теоретически это можно  сделать путем модификации заголовка каждого сообщения, но это создает допнагрузку на сервер и уже можно будет считать новым сообщением Smile И если попытаться найти концы (откуда что пришло) через логи будет очень нетривиальной задачей Wink

     

    Одно из отличий версии Exchange 2007 - распределенная архитектура, обеспечивающая много чего, в том числе, лучшую защищенность. Например, возможность поддержки нескольких антивирусов от разных производителей на одном узле и возможность более гибкого управления почтовым траффиком. 

    Можно настроить, в каком порядке будут использованы антивирусы для проверки сообщений или таймаут, после которой требуется повторная проверка сообщений. Таймаут можно не устанавливать, т.е. на любом типе узлов, где установлен антивирус, будет выполняться повторное сканирование.

    Словом, гораздо удобнее для больших распределенных сценариев.

     

    Кстати, для маленьких и средних сетей правильнее использовать в качестве front-end Windows Server 2003 с поднятым сервисом SMTP-сервер и установленном поверх него Antigen for SMTP Gateways+Antigen Spam Manager. Это экономит много денег и минизируем административные издержки Smile

    3 августа 2007 г. 8:51
  •  Jоker написано:
    Блин. Только сегодня прочитал упоминание об этом и подумал, как я сам раньше не сообразил Sad К сожалению,  комбинировать защиту с помощью разных движков не получится. При первой проверке письма Forefront дописывает ему в заголовки X-header о том, что письмо уже проверено, и последующие агенты уже не будут это письмо трогать. Увы.

    Я где-то в похожем треде уже поправлял собственное утверждение, а тут вот не поправил. Прошу прощения, я был неправ. В Forefornt имеется обыкновенный чекбокс, с помощью которого можно отключить проверку X-header'а о проверке, так что повторное сканирование таки будет производиться.

    Сорри за дезинформацию в предыдущем посте.
    4 августа 2007 г. 5:56