Guide d'installation Révision A McAfee Email Gateway 7.0 Appliances
COPYRIGHT Copyright 2011 McAfee, Inc. Tous droits réservés. Aucune partie de cette publication ne peut être reproduite, transmise, transcrite, stockée dans un système d'archivage ou traduite dans toute autre langue, sous quelque forme ou par quelque moyen que ce soit sans l'autorisation écrite de McAfee, Inc., de ses fournisseurs ou de ses sociétés affiliées. DROITS DE MARQUES AVERT, EPO, EPOLICY ORCHESTRATOR, FOUNDSTONE, GROUPSHIELD, INTRUSHIELD, LINUXSHIELD, MAX (MCAFEE SECURITYALLIANCE EXCHANGE), MCAFEE, NETSHIELD, PORTALSHIELD, PREVENTSYS, SECURITYALLIANCE, SITEADVISOR, TOTAL PROTECTION, VIRUSSCAN et WEBSHIELD sont des marques commerciales déposées ou des marques commerciales de McAfee, Inc. et/ou de ses sociétés affiliées aux Etats-Unis et/ou dans d'autres pays. La couleur rouge McAfee utilisée pour identifier des fonctionnalités liées à la sécurité est propre aux produits de la marque McAfee. Toutes les autres marques commerciales déposées ou non déposées citées dans ce document sont la propriété exclusive de leurs détenteurs respectifs. INFORMATIONS DE LICENCE Accord de licence À L'ATTENTION DE TOUS LES UTILISATEURS : VEUILLEZ LIRE ATTENTIVEMENT L'ACCORD LÉGAL APPROPRIÉ CORRESPONDANT À LA LICENCE QUE VOUS AVEZ ACHETÉE, QUI DÉFINIT LES CONDITIONS GÉNÉRALES D'UTILISATION DU LOGICIEL SOUS LICENCE. SI VOUS NE CONNAISSEZ PAS LE TYPE DE LICENCE QUE VOUS AVEZ ACQUIS, CONSULTEZ LES DOCUMENTS DE VENTE, D'ATTRIBUTION DE LICENCE OU LE BON DE COMMANDE QUI ACCOMPAGNENT LE LOGICIEL OU QUE VOUS AVEZ REÇUS SÉPARÉMENT LORS DE L'ACHAT (SOUS LA FORME D'UN LIVRET, D'UN FICHIER SUR LE CD- ROM DU PRODUIT OU D'UN FICHIER DISPONIBLE SUR LE SITE WEB À PARTIR DUQUEL VOUS AVEZ TÉLÉCHARGÉ LE PACKAGE LOGICIEL). SI VOUS N'ACCEPTEZ PAS TOUTES LES DISPOSITIONS DE CET ACCORD, NE PROCÉDEZ PAS À L'INSTALLATION DU LOGICIEL. LE CAS ÉCHÉANT, VOUS POUVEZ RETOURNER LE PRODUIT À MCAFEE OU À VOTRE REVENDEUR AFIN D'EN OBTENIR LE REMBOURSEMENT INTÉGRAL. 2 McAfee Email Gateway 7.0 Appliances Guide d'installation
Sommaire Préface 5 Présentation de ce guide............................... 5 Public visé.................................. 5 Conventions................................. 5 Comment utiliser ce guide........................... 7 Obtention de documentation sur le produit........................ 7 1 Préparation de l'installation 9 Contenu de la boîte................................. 9 Préparation de l'installation............................. 10 Utilisation inappropriée............................... 10 Conditions de fonctionnement............................ 10 Positionnement de l'appliance............................ 11 Eléments à prendre en compte concernant les modes réseau................ 11 Mode pont transparent............................ 12 Mode routeur transparent........................... 13 Mode proxy explicite............................. 15 Stratégies de déploiement pour utiliser le périphérique dans une zone démilitarisée (DMZ).... 17 Configuration SMTP dans une zone démilitarisée (DMZ)............... 17 Gestion de la charge de travail......................... 19 2 Installation de l'appliance McAfee Email Gateway 21 Tableau de référence rapide d'installation........................ 22 Ports et connexions................................. 22 Installation physique de l'appliance.......................... 22 Montage de l'appliance dans un rack....................... 22 Connexion au réseau................................ 23 Numéros de ports.............................. 23 Utilisation de connexions LAN cuivre....................... 23 Utilisation de connexions LAN fibre optique.................... 24 Ecran, souris et clavier............................ 24 Alimentation de l'appliance............................. 24 Installation du logiciel............................... 25 Tâche Télécharger le logiciel d'installation................... 25 Tâche Créer un CD à partir d'une image logicielle d'installation........... 26 Utilisation de la console de configuration........................ 26 Présentation................................ 27 Configuration standard............................ 27 Configuration personnalisée.......................... 30 Restauration à partir d'un fichier........................ 42 Configuration de gestion epolicy Orchestrator................... 47 Configuration en mode de chiffrement uniquement................. 52 3 Présentation du tableau de bord 61 Tableau de bord.................................. 61 McAfee Email Gateway 7.0 Appliances Guide d'installation 3
Sommaire Avantages du tableau de bord......................... 62 Volets du tableau de bord........................... 63 4 Test de la configuration 65 Tâche Tester la connectivité............................ 65 Tâche Mettre à jour les fichiers DAT......................... 65 Tâche Tester la détection du trafic d'e-mails et des virus................ 66 Tâche Tester la détection de spam......................... 66 5 Exploration des fonctionnalités de l'appliance 67 Présentation des stratégies.............................. 67 Chiffrement................................. 67 Tâche Identifier les e-mails mis en quarantaine................. 69 Paramètres de conformité........................... 70 Paramètres Data Loss Prevention........................ 73 Index 75 4 McAfee Email Gateway 7.0 Appliances Guide d'installation
Préface Ce guide fournit les informations nécessaires à l'installation du produit McAfee. Sommaire Présentation de ce guide Obtention de documentation sur le produit Présentation de ce guide Cette rubrique présente le public ciblé par ce guide, les conventions typographiques et les icônes utilisées ainsi que la structure du guide. Public visé La documentation de McAfee a été préparée de façon minutieuse et est spécifiquement conçue pour le public visé. Les informations présentées dans ce guide sont destinées principalement aux personnes suivantes : Administrateurs : personnes qui mettent en œuvre le programme de sécurité de la société et qui l'appliquent. Conventions Ce guide utilise les conventions typographiques et les icônes suivantes. Titre de manuel ou Mise en évidence Gras Saisie de l'utilisateur ou Chemin d'accès Code Titre d'un manuel, chapitre ou rubrique ; introduction d'un nouveau terme ; insistance. Texte mis en évidence de manière particulière. Instructions et autre texte saisis par l'utilisateur ; chemin d'accès à un dossier ou à un programme. Echantillon de code. Interface utilisateur Bleu de lien hypertexte Termes issus de l'interface utilisateur, notamment les options, menus, boutons et boîtes de dialogue. Lien actif vers une rubrique ou un site web. Remarque : informations supplémentaires, telles qu'une méthode alternative d'accès à une option. Conseil : suggestions et recommandations. McAfee Email Gateway 7.0 Appliances Guide d'installation 5
Préface Présentation de ce guide Important/attention : conseils importants pour protéger le système informatique, l'installation logicielle, le réseau, l'activité ou les données. Avertissement : conseil critique visant à éviter les accidents corporels lors de l'utilisation de matériel. Conventions graphiques Découvrez les symboles graphiques utilisés dans ce document. Appliance Réseaux Internet ou externes Serveur de messagerie Autres serveurs (DNS, par exemple) Ordinateur d'utilisateur ou ordinateur client Routeur Commutateur Pare-feu Zone réseau (démilitarisée DMZ ou VLAN) Chemin d'accès réel des données Réseau Chemin d'accès perçu des données s des termes utilisés dans ce guide Découvrez certains termes clés utilisés dans ce document. Terme Zone démilitarisée (DMZ) Fichiers DAT Mode de fonctionnement Stratégie Vérification par le service de réputation Hôte ou petit réseau qui fait office de tampon entre un réseau privé et le réseau public extérieur, dans le but d'interdire un accès direct de la part des utilisateurs extérieurs aux ressources du réseau privé. Fichiers de définition de détection (DAT), également appelés fichiers de signatures, contenant les définitions qui identifient, détectent et réparent les virus, les chevaux de Troie, les logiciels espions (spywares), les logiciels publicitaires (adwares) et les programmes potentiellement indésirables (PUP). Le produit dispose de trois modes de fonctionnement : proxy explicite, routeur transparent et pont transparent. Ensemble de critères de sécurité, par exemple des paramètres de configuration, des bases de référence et des spécifications d'accès réseau, qui permet de définir le niveau de conformité requis pour les utilisateurs, les périphériques et les systèmes évalués ou mis en œuvre par une application de sécurité McAfee. Fait partie de l'authentification de l'expéditeur. Si la vérification d'un expéditeur soumis au service de réputation échoue, l'appliance est paramétrée de façon à refermer la connexion et à refuser le message correspondant. L'adresse IP de l'expéditeur est ajoutée à la liste des connexions bloquées et est automatiquement bloquée au niveau du noyau. 6 McAfee Email Gateway 7.0 Appliances Guide d'installation
Préface Obtention de documentation sur le produit Comment utiliser ce guide Cette section présente brièvement les informations contenues dans ce document. Ce guide vous aidera à procéder aux opérations suivantes : Prévoir et effectuer votre installation Vous familiariser avec l'interface Tester le bon fonctionnement du produit Appliquer les fichiers de définition de détection les plus récents Explorer des stratégies d'analyse, créer des rapports et obtenir des informations d'état Résoudre les problèmes de base Des informations supplémentaires sur les fonctionnalités d'analyse du produit sont disponibles dans l'aide en ligne du produit et dans le guide des administrateurs McAfee Email Gateway 7.0. Obtention de documentation sur le produit McAfee fournit les informations nécessaires à chaque phase de la mise en œuvre du produit, de l'installation à l'utilisation au quotidien et à la résolution de problèmes. Après distribution d'un produit, des informations le concernant sont entrées dans la base de connaissances en ligne (KnowledgeBase) McAfee. Procédure 1 Allez au support technique ServicePortal de McAfee à l'adresse http://mysupport.mcafee.com. 2 Sous Libre-service, accédez au type d'informations dont vous avez besoin : Pour accéder à Documentation utilisateur Opérations à exécuter 1 Cliquez sur Product Documentation (Documentation produit). 2 Sélectionnez un produit, puis sélectionnez une version. 3 Sélectionnez un document. Base de connaissances (KnowledgeBase) Cliquez sur Search the KnowledgeBase (Rechercher dans la base de connaissances) pour trouver des réponses aux questions que vous vous posez sur le logiciel. Cliquez sur Browse the KnowledgeBase (Parcourir la base de connaissances) pour obtenir une liste des articles par produit et version. McAfee Email Gateway 7.0 Appliances Guide d'installation 7
1 Préparation 1 de l'installation Pour assurer l'utilisation en toute sécurité de McAfee Email Gateway 7.0, prenez en compte les éléments suivants avant de commencer l'installation. Vous devez vous familiariser avec ses fonctionnalités et modes de fonctionnement. Il est important de choisir une configuration correcte. Déterminez la manière dont vous souhaitez intégrer l'appliance dans votre réseau, ainsi que les informations dont vous avez besoin avant de commencer l'installation. Par exemple, le nom et l'adresse IP du périphérique. Déballez le produit le plus près possible de son emplacement prévu. Retirez le produit de son emballage et placez-le sur une surface plane. Respectez tous les avertissements de sécurité fournis. passez en revue toutes les informations de sécurité fournies et familiarisez-vous avec elles. Sommaire Contenu de la boîte Préparation de l'installation Utilisation inappropriée Conditions de fonctionnement Positionnement de l'appliance Eléments à prendre en compte concernant les modes réseau Stratégies de déploiement pour utiliser le périphérique dans une zone démilitarisée (DMZ) Contenu de la boîte Découvrez comment vérifier si la livraison de votre produit est complète. Pour vérifier que tous les composants ont été livrés, consultez la liste de pièces fournie avec votre produit. De façon générale, vous devriez avoir les éléments suivants : Une appliance Des cordons d'alimentation Des câbles réseau Un CD d'installation et de récupération McAfee Email Gateway McAfee Email Gateway 7.0 Appliances Guide d'installation 9
1 Préparation de l'installation Préparation de l'installation Un CD de code source Linux Le CD de documentation En cas d'élément manquant ou endommagé, contactez votre fournisseur. Préparation de l'installation Découvrez comment préparer l'installation de votre périphérique. Avant de déballer votre appliance McAfee Email Gateway, il est important de préparer l'installation et le déploiement. Prenez en compte les éléments suivants : Exigences environnementales Informations sur les exigences de site environnementales, y compris la température, le débit d'air et l'espace. Exigences et éléments à prendre en compte pour l'alimentation Exigences d'alimentation et facteurs électriques à prendre en compte avant l'installation. Spécifications et exigences matérielles Scénarios de configuration Préparation de l'installation Utilisation inappropriée Découvrez comment éviter d'utiliser ce produit de façon inappropriée. McAfee Email Gateway : N'est pas un pare-feu Vous devez l'utiliser au sein de votre entreprise, derrière un pare-feu correctement configuré. N'est pas un serveur de stockage de logiciels et fichiers supplémentaires N'installez pas de logiciel sur le périphérique et n'y ajoutez aucun fichier supplémentaire, à moins d'avoir reçu une instruction en ce sens dans la documentation ou de la part du représentant du support technique. Le périphérique ne gère pas tous les types de trafics. Si vous utilisez le mode proxy explicite, seuls les protocoles à analyser doivent être envoyés au périphérique. Conditions de fonctionnement Découvrez les conditions environnementales nécessaires pour votre appliance McAfee Email Gateway. Température de fonctionnement +10 à +30 C ou +10 à +35 C (selon le modèle), avec un taux de variation maximal de 10 C par heure Température à l'arrêt -40 à +70 C Taux d'humidité relative à l'arrêt 90 %, sans condensation, à 35 C Vibration, sans emballage Choc, en fonctionnement 5 à 500 Hz, 2,20 g RMS aléatoire Semi-sinusoïdal, pic de 2 g, 11 ms 10 McAfee Email Gateway 7.0 Appliances Guide d'installation
Préparation de l'installation Positionnement de l'appliance 1 Choc, sans emballage, trapézoïdal Conditions de refroidissement du système en BTU/h 25 g, variation de vitesse 345 cm/s ( 18 kg à > 36 kg) 1 660 BTU/h ou 2 550 BTU/h (selon le modèle) Positionnement de l'appliance Découvrez où placer l'appliance McAfee Email Gateway avant de la configurer et de l'utiliser. Sélectionnez la position finale de l'appliance, puis installez-la, de sorte qu'elle respecte les conditions de fonctionnement, que vous puissiez contrôler l'accès physique à l'appliance et que vous puissiez accéder à tous les ports et connexions des panneaux avant et arrière. Un kit de montage en rack est fourni avec l'appliance ; vous pouvez ainsi l'installer dans un rack 19 pouces. Eléments à prendre en compte concernant les modes réseau Découvrez les modes de fonctionnement (ou réseau) dans lesquels peut fonctionner le périphérique. Avant d'installer et de configurer votre appliance McAfee Email Gateway, vous devez décider du mode réseau à utiliser. Le mode choisi détermine la connexion physique de l'appliance à votre réseau. Vous avez le choix entre les modes réseau suivants : Mode pont transparent : le périphérique agit en tant que pont Ethernet. Mode routeur transparent : le périphérique agit en tant que routeur. Mode proxy explicite : le périphérique agit en tant que serveur proxy et relais de messagerie. Si, après avoir lu la présente section et les suivantes, vous n'êtes toujours pas certain du mode à choisir, contactez votre expert réseau. Eléments architecturaux à prendre en compte concernant les modes réseau Les principaux éléments à prendre en compte concernant les modes réseau sont les suivants : Savoir si les périphériques de communication reconnaissent la présence du périphérique, c'est-à-dire, si le périphérique fonctionne dans l'un des modes transparents. Comment le périphérique est-il physiquement connecté au réseau? Quelle est la configuration nécessaire à l'intégration du périphérique au réseau? Où la configuration a-t-elle lieu dans le réseau? Eléments à prendre en compte avant de changer de mode réseau En mode proxy explicite ou routeur transparent, vous pouvez configurer le périphérique de sorte qu'il intervienne sur plusieurs réseaux. Pour cela, vous devez configurer plusieurs adresses IP pour les ports LAN1 et LAN2. Si vous passez du mode proxy explicite ou du mode routeur transparent au mode pont transparent, seules les adresses IP activées pour chaque port seront prises en compte. Une fois que vous avez sélectionné un mode réseau, McAfee conseille de ne pas en changer, sauf si vous déplacez le périphérique ou restructurez le réseau. McAfee Email Gateway 7.0 Appliances Guide d'installation 11
1 Préparation de l'installation Eléments à prendre en compte concernant les modes réseau Mode pont transparent Découvrez le mode pont transparent disponible sur votre appliance McAfee Email Gateway. En mode pont transparent, les serveurs qui communiquent ne détectent pas l'intervention du périphérique. On dit alors que le fonctionnement de ce dernier est transparent. Figure 1-1 Mode pont transparent Chemin d'accès aux données Dans la figure, le serveur de messagerie externe (A) envoie des e-mails au serveur de messagerie interne (C). Ce serveur de messagerie externe ne détecte pas que le périphérique (B) a intercepté et analysé cet e-mail. Le serveur de messagerie externe semble communiquer directement avec le serveur de messagerie interne (le chemin d'accès est représenté en pointillés). En réalité, le trafic peut traverser plusieurs périphériques réseau et être intercepté et analysé par le périphérique avant d'atteindre le serveur de messagerie interne. Fonction du périphérique en mode pont transparent En mode pont transparent, le périphérique se connecte à votre réseau par l'intermédiaire des ports LAN1 et LAN2. Il analyse le trafic qu'il reçoit et agit comme un pont, puisqu'il connecte deux segments de réseau qu'il traite comme un seul réseau logique. Configuration en mode pont transparent Le mode pont transparent requiert moins de configuration que les modes routeur transparent et proxy explicite. Vous n'avez pas besoin de reconfigurer tous vos clients, la passerelle par défaut, les enregistrements MX, la fonction NAT du pare-feu ou les serveurs de messagerie pour acheminer le trafic vers le périphérique. Dans la mesure où ce mode n'utilise pas le périphérique comme un routeur, vous n'avez pas de table de routage à mettre à jour. Où installer le périphérique lors de l'utilisation du mode pont transparent Pour des raisons de sécurité, vous devez utiliser le périphérique à l'intérieur de votre entreprise, protégé par un pare-feu. Figure 1-2 Positionnement en mode pont transparent En mode pont transparent, positionnez le périphérique entre le pare-feu et votre routeur comme illustré. Dans ce mode, vous connectez physiquement deux segments de réseau au périphérique ; celui-ci les traite comme un seul réseau logique. Les différents périphériques (pare-feu, périphérique et routeur) étant sur le même réseau logique, ils doivent avoir des adresses IP compatibles sur le même sous-réseau. 12 McAfee Email Gateway 7.0 Appliances Guide d'installation
Préparation de l'installation Eléments à prendre en compte concernant les modes réseau 1 Les périphériques (tels qu'un routeur) se trouvant d'un côté du pont et communiquant avec des périphériques (tels qu'un pare-feu) situés de l'autre côté du pont ne détectent pas la présence de celui-ci. Ils ne détectent pas que le trafic est intercepté et analysé : le périphérique fonctionne comme un pont transparent. Figure 1-3 Structure du réseau Mode pont transparent Mode routeur transparent Découvrez le mode routeur transparent disponible sur votre appliance McAfee Email Gateway. En mode routeur transparent, le périphérique analyse le trafic de messagerie entre deux réseaux. Il dispose d'une adresse IP pour le trafic analysé sortant, et doit également en avoir une pour le trafic entrant. Les serveurs réseau qui communiquent ne détectent pas l'intervention du périphérique (son fonctionnement est transparent pour les périphériques). Fonction du périphérique en mode routeur transparent En mode routeur transparent, le périphérique se connecte à vos réseaux par l'intermédiaire des ports LAN1 et LAN2. Le périphérique analyse le trafic qu'il reçoit sur un réseau et le transmet sur le périphérique réseau suivant d'un autre réseau. Il joue ainsi le rôle de routeur, acheminant le trafic entre des réseaux conformément aux informations fournies par ses tables de routage. McAfee Email Gateway 7.0 Appliances Guide d'installation 13
1 Préparation de l'installation Eléments à prendre en compte concernant les modes réseau Configuration en mode routeur transparent En mode routeur transparent, il n'est pas nécessaire de reconfigurer explicitement tous les périphériques réseau pour acheminer le trafic vers le périphérique. Il vous suffit de configurer la table de routage associée au périphérique et de modifier certaines informations de routage concernant les périphériques réseau placés d'un côté ou de l'autre de celui-ci (et connectés aux ports LAN1 et LAN2). Par exemple, vous devez peut-être définir le périphérique comme la passerelle par défaut. En mode routeur transparent, le périphérique doit relier deux réseaux. Le périphérique doit être placé à l'intérieur de l'entreprise, derrière un pare-feu. le mode routeur transparent ne prend pas en charge les protocoles autres qu'ip (par exemple NetBEUI ou IPX) ni le trafic Multicast IP. Règles de pare-feu En mode routeur transparent, le pare-feu se connecte à l'adresse IP physique pour la connexion LAN1/ LAN2 à la lame de gestion (management blade). Où installer le périphérique Utilisez le périphérique en mode routeur transparent pour remplacer un routeur existant sur votre réseau. si vous utilisez le mode routeur transparent et que vous ne remplacez pas le routeur existant, vous devrez reconfigurer une partie de votre réseau pour acheminer correctement le trafic via le périphérique. Figure 1-4 Structure du réseau Mode pont transparent Vous devez : configurer vos périphériques clients pour qu'ils pointent vers la passerelle par défaut ; configurer le périphérique pour qu'il utilise la passerelle Internet comme passerelle par défaut ; vérifier que les périphériques clients peuvent remettre les e-mails aux serveurs de messagerie à l'intérieur de votre entreprise. 14 McAfee Email Gateway 7.0 Appliances Guide d'installation
Préparation de l'installation Eléments à prendre en compte concernant les modes réseau 1 Mode proxy explicite Découvrez le mode proxy explicite disponible sur votre appliance McAfee Email Gateway. En mode proxy explicite, certains périphériques réseau doivent être configurés explicitement pour acheminer le trafic vers le périphérique. Ce dernier fonctionne alors comme un proxy ou un relais, traitant le trafic pour le compte de ces périphériques. Figure 1-5 Mode proxy explicite Chemin d'accès aux données Le mode proxy explicite convient idéalement aux réseaux sur lesquels les périphériques clients se connectent au périphérique via un seul périphérique en amont et en aval. ce mode risque de ne pas être la meilleure option si la redirection du trafic vers le périphérique exige la reconfiguration de plusieurs périphériques réseau. Configuration du réseau et des périphériques Si le périphérique est en mode proxy explicite, vous devez configurer explicitement votre serveur de messagerie interne pour qu'il redirige le trafic des e-mails vers le périphérique. Le périphérique analyse le trafic des e-mails pour le compte de l'expéditeur avant de le transférer au serveur de messagerie externe. Le serveur de messagerie externe transfère ensuite le courrier au destinataire. De la même façon, le réseau doit être configuré pour que les e-mails entrants provenant d'internet soient remis au périphérique plutôt qu'au serveur de messagerie interne. Le périphérique analyse le trafic avant de le transférer, pour le compte de l'expéditeur, au serveur de messagerie interne pour remise au destinataire comme illustré. Par exemple, un serveur de messagerie externe peut communiquer directement avec le périphérique, même si le trafic passe par plusieurs serveurs réseau avant d'atteindre le périphérique. Le chemin perçu est celui du serveur de messagerie externe vers le périphérique. Protocoles Pour analyser un protocole pris en charge, vous devez configurer les autres serveurs réseau ou ordinateurs clients pour qu'ils fassent transiter le trafic de ce protocole par le périphérique afin qu'aucun trafic ne le contourne. Règles de pare-feu Le mode proxy explicite invalide les règles de pare-feu éventuellement mises en place pour gérer l'accès du client à Internet. En effet, le pare-feu voit l'adresse IP physique du périphérique et non celle des clients et ne peut donc pas appliquer ses règles d'accès Internet à ces derniers. Vérifiez que les règles de pare-feu sont à jour. Le pare-feu doit accepter le trafic provenant de l'appliance McAfee Email Gateway, mais non celui directement envoyé par les périphériques clients. Définissez des règles de pare-feu afin d'empêcher le trafic indésirable de pénétrer dans votre organisation. McAfee Email Gateway 7.0 Appliances Guide d'installation 15
1 Préparation de l'installation Eléments à prendre en compte concernant les modes réseau Où installer le périphérique Vous devez configurer les périphériques réseau afin qu'ils acheminent le trafic à analyser vers l'appliance McAfee Email Gateway. Cela est plus important que l'emplacement de l'appliance McAfee Email Gateway. Le routeur doit permettre à tous les utilisateurs de se connecter à l'appliance McAfee Email Gateway. Figure 1-6 Positionnement en mode proxy explicite L'appliance McAfee Email Gateway doit être placée à l'intérieur de votre organisation, derrière un pare-feu, tel qu'illustré à la figure 6 : Configuration en mode proxy explicite. En règle générale, le pare-feu est configuré de façon à bloquer le trafic ne provenant pas directement du périphérique. Si vous avez le moindre doute concernant la topologie de votre réseau et la manière d'intégrer le périphérique, contactez votre expert réseau. Utilisez cette configuration si : le périphérique fonctionne en mode proxy explicite ; vous utilisez une messagerie électronique (SMTP). Pour cette configuration, vous devez procéder de la manière suivante : Configurez les serveurs DNS (Domain Name System, système de noms de domaine) externes ou la fonction NAT (Network Address Translation, traduction des adresses réseau) du pare-feu de façon à ce que le serveur de messagerie externe envoie le courrier au périphérique et non au serveur de messagerie interne. Configurez les serveurs de messagerie internes pour qu'ils envoient le courrier au périphérique. Autrement dit, les serveurs de messagerie internes doivent utiliser le périphérique en tant qu'hôte actif. Assurez-vous que les périphériques clients peuvent remettre les e-mails aux serveurs de messagerie au sein de votre entreprise. Vérifiez que les règles de pare-feu sont à jour. Le pare-feu doit accepter le trafic provenant du périphérique, mais pas celui qui est directement envoyé par les périphériques clients. Définissez des règles afin d'empêcher le trafic indésirable de pénétrer dans votre entreprise. 16 McAfee Email Gateway 7.0 Appliances Guide d'installation
Préparation de l'installation Stratégies de déploiement pour utiliser le périphérique dans une zone démilitarisée (DMZ) 1 Stratégies de déploiement pour utiliser le périphérique dans une zone démilitarisée (DMZ) Découvrez les zones démilitarisées de votre réseau et comment les utiliser pour protéger vos serveurs de messagerie. Une zone démilitarisée (DMZ) est un réseau séparé de tous les autres par un pare-feu, y compris d'internet et des réseaux internes. En général, la mise en place d'une DMZ a pour but de bloquer l'accès à des serveurs fournissant des services destinés à Internet, comme la messagerie. Les pirates informatiques réussissent souvent à accéder à un réseau en identifiant les ports TCP/UDP sur lesquels les applications écoutent les requêtes et exploitent leurs vulnérabilités connues. Les pare-feu diminuent considérablement le risque de tels exploits en contrôlant l'accès à des ports spécifiques sur des serveurs spécifiques. Le périphérique peut être facilement intégré à une configuration DMZ. La manière dont vous utilisez le périphérique dans une DMZ dépend des protocoles que vous avez l'intention d'analyser. Configuration SMTP dans une zone démilitarisée (DMZ) Cette section explique comment configurer les périphériques SMTP dans une zone démilitarisée de votre réseau. La DMZ est un bon emplacement pour le chiffrement de la messagerie. Avant que le trafic de messagerie n'atteigne le pare-feu pour la deuxième fois (en allant de la DMZ à Internet), il a été chiffré. Les périphériques qui analysent le trafic SMTP dans une DMZ sont généralement configurés en mode proxy explicite. Les modifications de configuration doivent être apportées uniquement aux enregistrements MX pour les serveurs de messagerie. REMARQUE : vous pouvez utiliser le mode pont transparent lorsque vous analysez le trafic SMTP dans une DMZ. Cependant, si vous ne contrôlez pas correctement le flux de trafic, le périphérique analyse chaque message deux fois, une fois dans chaque direction. Ce mode est donc rarement utilisé pour l'analyse de trafic SMTP. Relais de messagerie Figure 1-7 Configuration en tant que relais de messagerie Si un relais de messagerie est déjà configuré dans votre DMZ, vous pouvez le remplacer par le périphérique. McAfee Email Gateway 7.0 Appliances Guide d'installation 17
1 Préparation de l'installation Stratégies de déploiement pour utiliser le périphérique dans une zone démilitarisée (DMZ) Pour utiliser vos stratégies de pare-feu existantes, donnez au périphérique la même adresse IP que le relais de messagerie. Passerelle de messagerie Le SMTP ne fournit pas de méthodes pour chiffrer les e-mails : vous pouvez utiliser le dispositif TLS (Transport Layer Security - sécurité de la couche de transport) pour chiffrer le lien, mais pas les messages. Par conséquent, certaines sociétés ne permettent pas ce trafic sur leur réseau interne. Pour pallier ce problème, elles utilisent souvent une passerelle de messagerie propriétaire telle que Lotus Notes ou Microsoft Exchange pour chiffrer le trafic de messagerie avant qu'il n'atteigne Internet. Pour mettre en œuvre une configuration DMZ en utilisant une passerelle de messagerie propriétaire, ajoutez le périphérique d'analyse à la DMZ du côté SMTP de la passerelle. Figure 1-8 Configuration en tant que passerelle de messagerie Dans un tel cas, configurez : les enregistrements MX publics de façon à ce qu'ils ordonnent aux serveurs de messagerie externes d'envoyer tous les messages entrants vers le périphérique (et non vers la passerelle) ; le périphérique de façon à ce qu'il transfère tout le courrier entrant vers la passerelle de messagerie et transmette tout le courrier sortant à l'aide d'un serveur DNS ou d'un relais externe ; la passerelle de messagerie de façon à ce qu'elle transfère tout le courrier entrant vers les serveurs de messagerie internes et le reste du courrier (sortant) vers le périphérique ; le pare-feu de façon à ce qu'il donne accès au courrier entrant destiné au périphérique seulement. il n'est pas nécessaire de reconfigurer les enregistrements MX publics des pare-feu configurés de façon à utiliser la fonction NAT et redirigeant le courrier entrant vers les serveurs de messagerie internes. Cela est dû au fait qu'ils redirigent le trafic vers le pare-feu et non vers la passerelle de messagerie. Dans un tel cas, vous devez reconfigurer le pare-feu de façon à ce qu'il dirige les requêtes de courrier entrant vers le périphérique. 18 McAfee Email Gateway 7.0 Appliances Guide d'installation
Préparation de l'installation Stratégies de déploiement pour utiliser le périphérique dans une zone démilitarisée (DMZ) 1 Règles de pare-feu spécifiques à Lotus Notes Découvrez comment identifier les éléments spécifiques à prendre en compte lors de la protection des systèmes Lotus Notes. Les serveurs Lotus Notes communiquent par défaut par le port TCP 1352. En général, les règles de pare-feu suivantes utilisées pour sécuriser les serveurs Notes dans une zone démilitarisée (DMZ) permettent à ce qui suit de passer au travers du pare-feu : Les requêtes SMTP (port TCP 25) en provenance d'internet et à destination du périphérique Les requêtes du port TCP 1352 en provenance de la passerelle Notes et à destination d'un serveur Notes interne Les requêtes du port TCP 1352 en provenance d'un serveur Notes interne et à destination de la passerelle Notes Les requêtes SMTP en provenance du périphérique et à destination d'internet Toutes les autres requêtes SMTP et TCP du port 1352 sont rejetées. Règles de pare-feu spécifiques à Microsoft Exchange Découvrez comment identifier les éléments spécifiques à prendre en compte lors de la protection des systèmes Microsoft Exchange. Les systèmes de messagerie basés sur Microsoft Exchange rencontrent un problème qui doit être contourné. Lorsque les serveurs Exchange communiquent entre eux, ils envoient leurs paquets initiaux en utilisant le protocole RPC (port TCP 135). Cependant, une fois la communication initiale établie, deux ports sont sélectionnés de façon dynamique et utilisés pour envoyer tous les paquets suivants jusqu'à la fin de la communication. Or, il est impossible de configurer un pare-feu de façon à ce qu'il reconnaisse des ports sélectionnés de façon dynamique. Par conséquent, le pare-feu interdit le passage des paquets. Pour contourner le problème, il est nécessaire de modifier le registre de chaque serveur Exchange dont les communications doivent franchir le pare-feu, de façon à ce que ces serveurs utilisent toujours les deux mêmes ports «dynamiques», puis d'ouvrir le port TCP 135 ainsi que ces deux ports dans le pare-feu. Nous décrivons cette méthode de contournement du problème dans le souci de fournir une documentation exhaustive ; en revanche, nous ne la recommandons pas. Le protocole RPC est largement répandu sur les réseaux Microsoft et la plupart des professionnels de la sécurité désapprouvent l'ouverture du port TCP 135 dans le sens entrant. Si vous souhaitez néanmoins utiliser cette méthode, vous pouvez en lire une description plus précise dans la base de connaissances du site web de Microsoft : http://support.microsoft.com/kb/q176466/ Gestion de la charge de travail Découvrez les fonctionnalités de gestion de la charge de travail de l'appliance McAfee Email Gateway. L'appliance dispose de sa propre gestion de charge de travail interne, qui distribue la charge d'analyse de façon égale entre toutes les appliances configurées pour travailler ensemble. Vous n'avez pas besoin de déployer un équilibreur de charge externe. McAfee Email Gateway 7.0 Appliances Guide d'installation 19
2 Installation 2 de l'appliance McAfee Email Gateway Découvrez le processus recommandé pour installer, connecter et configurer votre appliance McAfee Email Gateway. McAfee vous recommande de procéder comme suit, et dans cet ordre, pour installer l'appliance McAfee Email Gateway : 1 Déballez l'appliance McAfee Email Gateway et vérifiez la présence de toutes les pièces (vérifiez par rapport aux listes de pièces fournies). 2 Montez l'appliance McAfee Email Gateway en rack. 3 Connectez les périphériques à la source d'alimentation (écran, clavier). 4 Connectez l'appliance McAfee Email Gateway au réseau, en observant les scénarios de déploiement et le mode réseau désiré. 5 Installez le logiciel sur l'appliance McAfee Email Gateway. 6 Utilisez la console de configuration pour effectuer la configuration de base (nom du serveur, adresses IP, passerelle, etc.). 7 Connectez-vous à l'interface d'administration. 8 Exécutez l'assistant de configuration. 9 Acheminez le trafic réseau test via l'appliance McAfee Email Gateway. 10 Assurez-vous que le trafic réseau est bien analysé. 11 Configurez les stratégies et la génération de rapports. 12 Acheminez le trafic de production via l'appliance McAfee Email Gateway. La connexion de l'appliance McAfee Email Gateway à votre réseau peut perturber l'accès à Internet ou à d'autres services réseau. Prévoyez ainsi un temps d'indisponibilité du réseau et planifiez cette étape pour des périodes de faible utilisation du réseau. Sommaire Tableau de référence rapide d'installation Ports et connexions Installation physique de l'appliance Connexion au réseau Alimentation de l'appliance Installation du logiciel Utilisation de la console de configuration McAfee Email Gateway 7.0 Appliances Guide d'installation 21
2 Installation de l'appliance McAfee Email Gateway Tableau de référence rapide d'installation Tableau de référence rapide d'installation Utilisez ces informations comme référence rapide lors de l'installation de McAfee Email Gateway. Cette étape... 1. Déballez la palette et vérifiez le contenu par rapport aux listes de pièces fournies.... est décrite ici. Liste des composants 2. Connectez les périphériques et la source d'alimentation. 3. Connectez l'appliance au réseau. 4. Installez le logiciel. 5. Effectuez la configuration de base. 6. Connectez-vous à l'interface d'administration. 7. Acheminez le trafic réseau test via l'appliance. 8. Assurez-vous que le trafic réseau est bien analysé. 9. Configurez les stratégies et la génération de rapports. 10. Configurez le trafic de production via le système. Ports et connexions Ce guide ne contient plus d'informations relatives aux ports et aux connexions. Pour plus d'informations sur les ports et les connexions de l'appliance, veuillez consulter le guide d'identification des ports de McAfee Email Gateway. Installation physique de l'appliance Suivez cette procédure pour connecter physiquement votre appliance à votre réseau. Procédure 1 Retirez l'appliance de son emballage et placez-la sur une surface plane. 2 Pour installer l'appliance dans un rack de 19 pouces, suivez les étapes décrites dans la section Montage de l'appliance dans un rack. 3 Connectez un écran, un clavier et une souris à l'appliance. 4 Branchez les câbles électriques à l'écran et à l'appliance, mais ne les connectez pas encore aux sources d'alimentation. 5 Connectez l'appliance au réseau en prenant en compte le mode de fonctionnement choisi. Montage de l'appliance dans un rack Découvrez comment monter votre appliance dans un rack. Le kit de montage permet d'installer l'appliance dans un rack à quatre montants. Ce kit convient pour la majorité des racks standard de 19 pouces disponibles sur le marché. 22 McAfee Email Gateway 7.0 Appliances Guide d'installation
Installation de l'appliance McAfee Email Gateway Connexion au réseau 2 Il contient les éléments suivants : 2 rails de montage 8 vis 2 colliers de serrage réutilisables Vous aurez besoin d'un tournevis adapté aux vis fournies. Veillez à bien suivre les avertissements de sécurité indiqués. Le chargement dans un rack s'effectue toujours de bas en haut. Si vous installez plusieurs appliances, veillez à placer la première dans l'emplacement le plus bas disponible. Connexion au réseau Cette section explique comment connecter votre appliance Email Gateway à votre réseau. Cette section décrit comment connecter l'appliance à votre réseau. Les ports et câbles que vous utilisez pour connecter votre réseau à l'appliance dépendent de la façon dont vous utiliserez cette dernière. Pour en savoir plus sur les modes réseau, consultez la section Eléments à prendre en compte concernant les modes réseau. Numéros de ports Découvrez certains des principaux ports utilisés par votre appliance. Lorsque vous connectez l'appliance à votre réseau, utilisez les numéros de ports suivants : Pour HTTPS, utilisez le port 443. Pour POP3, utilisez le port 110. Pour HTTP, utilisez le port 80. Pour FTP, utilisez le port 21. Pour SMTP, utilisez le port 25. Utilisation de connexions LAN cuivre Cette section explique comment connecter votre appliance Email Gateway à votre réseau en utilisant des connexions en cuivre. A l'aide des connexions des commutateurs LAN1 et LAN2 et des câbles réseau fournis (ou des câbles Ethernet équivalents de catégorie 5 ou 6), connectez l'appliance à votre réseau, conformément au mode réseau que vous avez choisi. Si la fonctionnalité DHCP est configurée sur votre réseau, les adresses IP pour ces ports sont automatiquement attribuées. Mode pont transparent Utilisez les câbles LAN cuivre (fournis) pour connecter les commutateurs LAN1 et LAN2 de l'appliance Email Gateway à votre réseau, de manière à intégrer cette dernière dans le flux de données. Mode routeur transparent L'appliance Email Gateway fonctionne comme un routeur. Par conséquent, les segments LAN connectés à ses deux interfaces réseau doivent appartenir à des sous-réseaux IP différents. Elle doit remplacer un routeur existant, faute de quoi un nouveau sous-réseau doit être créé sur un côté de l'appliance. Pour ce faire, modifiez l'adresse IP ou le masque réseau utilisé par les ordinateurs de ce côté. McAfee Email Gateway 7.0 Appliances Guide d'installation 23
2 Installation de l'appliance McAfee Email Gateway Alimentation de l'appliance Mode proxy explicite Utilisez un câble LAN cuivre (fourni) pour connecter le commutateur LAN1 ou LAN2 à votre réseau. Il s'agit d'un câble droit (non croisé) qui relie l'appliance à un commutateur RJ-45 non croisé standard. En mode proxy explicite, la connexion du commutateur inutilisée peut servir de port de gestion dédié. Pour gérer l'appliance en local, utilisez un câble Ethernet croisé de catégorie 5 pour connecter l'appliance à la carte réseau de l'ordinateur local. Utilisation de connexions LAN fibre optique Cette section explique comment connecter votre appliance Email Gateway à votre réseau en utilisant des connexions en fibre optique. A l'aide des connexions des commutateurs LAN1 et LAN2 et des câbles en fibre optique, connectez l'appliance à votre réseau, conformément au mode réseau que vous avez choisi. Mode pont transparent Utilisez les câbles en fibre optique pour relier les commutateurs LAN1 et LAN2 à votre réseau. Mode routeur transparent Utilisez les câbles en fibre optique pour relier les commutateurs LAN1 et LAN2 à différents sous-réseaux IP. Mode proxy explicite Utilisez un câble en fibre optique pour relier les commutateurs LAN1 de l'appliance à votre réseau. En mode proxy explicite, le connecteur inutilisé peut servir de port de gestion dédié. Si votre ordinateur de gestion est équipé d'une carte d'interface réseau compatible, vous pouvez le connecter au connecteur restant pour la gestion locale de l'appliance. Ecran, souris et clavier Découvrez comment brancher l'écran, la souris et le clavier d'un ordinateur à votre appliance McAfee Email Gateway. Branchez l'écran au connecteur VGA de votre appliance McAfee Email Gateway. Branchez le clavier et la souris aux connecteurs USB de l'appliance McAfee Email Gateway. Alimentation de l'appliance La procédure ci-après permet d'alimenter l'appliance et de la mettre sous tension. Procédure 1 Branchez l'écran et les câbles d'alimentation de l'appliance à des prises de courant. Si le cordon d'alimentation n'est pas compatible dans le pays d'utilisation, contactez votre fournisseur. 2 Mettez l'appliance sous tension en appuyant sur le bouton d'alimentation. Après avoir démarré, la console de configuration s'affiche à l'écran. 24 McAfee Email Gateway 7.0 Appliances Guide d'installation
Installation de l'appliance McAfee Email Gateway Installation du logiciel 2 Installation du logiciel Cette section présente le processus d'installation du logiciel pour McAfee Email Gateway. Procédure 1 Sur un ordinateur équipé d'un accès à Internet, téléchargez la dernière version du logiciel McAfee Email Gateway sur le site de téléchargement McAfee. (Vous aurez besoin de votre Grant Number.) 2 Créez un CD à partir de cette image. 3 Une fois le périphérique allumé, insérez le CD dans le lecteur de CD-ROM. 4 Redémarrez le périphérique. Au redémarrage de McAfee Email Gateway, le logiciel est installé sur le périphérique. Procédures Tâche Télécharger le logiciel d'installation, page 25 La procédure décrite ci-dessous permet de télécharger la version la plus récente du logiciel McAfee Email Gateway. Tâche Créer un CD à partir d'une image logicielle d'installation, page 26 La procédure décrite ci-dessous permet de créer un CD d'installation à partir d'une image logicielle téléchargée. Tâche Télécharger le logiciel d'installation La procédure décrite ci-dessous permet de télécharger la version la plus récente du logiciel McAfee Email Gateway. Avant de commencer Lisez le guide d'installation correspondant à votre produit. Procurez-vous l'id de Grant Number McAfee que vous avez reçu lorsque vous avez acheté McAfee Email Gateway. McAfee fournit le logiciel sous forme de fichier.iso (pour toute création de CD pour une installation sur des appliances physiques), disponible sur le site web de téléchargement McAfee. Procédure 1 Accédez au site web de McAfee http://www.mcafee.com. Pointez votre curseur sur votre type d'entreprise, puis cliquez sur Téléchargements. 2 Dans Mes produits - Téléchargements, cliquez sur Connexion. 3 Saisissez l'id de Grant Number McAfee que vous avez reçu lorsque vous avez acheté McAfee Email Gateway, puis cliquez sur Soumettre. 4 Dans la liste des produits, sélectionnez Email Gateway. 5 Acceptez les conditions de l'accord de licence, sélectionnez la version la plus récente, puis téléchargez-la. McAfee vous recommande de lire les notes de version qui accompagnent l'image logicielle avant de passer à l'installation. McAfee Email Gateway 7.0 Appliances Guide d'installation 25
2 Installation de l'appliance McAfee Email Gateway Utilisation de la console de configuration Tâche Créer un CD à partir d'une image logicielle d'installation La procédure décrite ci-dessous permet de créer un CD d'installation à partir d'une image logicielle téléchargée. Avant de commencer Téléchargez l'image logicielle au format.iso. Assurez-vous de disposer d'une méthode pour valider le fichier.iso téléchargé en comparant les totaux de contrôle MD5. Veillez à ce qu'un lecteur de CD-ROM inscriptible adapté soit connecté à votre système informatique et assurez-vous de disposer de CD inscriptibles adaptés. Assurez-vous qu'un logiciel de création de CD adapté est installé sur votre système informatique pour pouvoir créer une image CD à partir d'un fichier.iso. Depuis un ordinateur pouvant accéder à l'image.iso téléchargée, procédez comme suit : Procédure 1 Validez le fichier.iso téléchargé en générant un total de contrôle MD5 et en le comparant aux informations données sur le site de téléchargement. 2 Suivez les instructions fournies avec votre logiciel de création de CD pour ouvrir ce dernier. 3 En suivant le workflow du logiciel de création de CD, sélectionnez votre lecteur de CD-ROM inscriptible, ainsi que le fichier.iso de l'appliance McAfee Email Gateway, puis insérez un CD inscriptible vierge dans le lecteur. 4 Créez le CD d'installation. Utilisation de la console de configuration Découvrez comment utiliser la console de configuration pour configurer votre appliance McAfee Email GatewayMcAfee Email Gateway. Vous pouvez désormais configurer votre appliance McAfee Email Gateway soit à partir de la console de configuration, soit à partir de l'assistant de configuration dans l'interface utilisateur. La console de configuration se lance automatiquement à la fin de la séquence de démarrage après : le démarrage d'une appliance Email Gateway non configurée ; ou la réinitialisation des valeurs d'origine par défaut de l'appliance Email Gateway. Une fois lancée, la console de configuration fournit des options permettant soit de configurer votre périphérique dans la langue de votre choix à partir de la console de l'appliance Email Gateway, soit de vous connecter à l'assistant de configuration dans l'interface utilisateur à partir d'un autre ordinateur sur le même sous-réseau de classe C. Ces deux méthodes vous offrent les mêmes options de configuration. à partir de la console de configuration, vous pouvez configurer une nouvelle installation du logiciel de l'appliance. Toutefois, pour configurer votre appliance à l'aide d'un fichier de configuration précédemment enregistré, vous devez vous connecter à l'interface utilisateur de l'appliance et exécuter l'assistant de configuration (Système Assistant de configuration). 26 McAfee Email Gateway 7.0 Appliances Guide d'installation
Installation de l'appliance McAfee Email Gateway Utilisation de la console de configuration 2 Cette version du logiciel inclut également une configuration automatique via DHCP pour les paramètres suivants : Nom d'hôte Serveur DNS Nom de domaine Adresse IP allouée Passerelle par défaut Serveur NTP Présentation Cette page permet de sélectionner le type d'installation que vous voulez effectuer. Il s'agit de la première page de l'assistant de configuration. Utilisez cette page pour sélectionner le type d'installation que vous voulez effectuer. Configuration standard (par défaut) : cette option permet de configurer votre périphérique en mode pont transparent et de protéger votre réseau. Le protocole SMTP est activé par défaut. Vous pouvez choisir d'activer l'analyse du trafic POP3. Le choix de la configuration standard oblige le périphérique à fonctionner en mode pont transparent. Configuration personnalisée : cette option permet de sélectionner le mode de fonctionnement de votre périphérique. Vous pouvez choisir de protéger le trafic des e-mails à l'aide des protocoles SMTP et POP3. Vous devez utiliser cette option pour configurer l'ipv6 et pour apporter d'autres modifications à la configuration par défaut. Restaurer à partir d'un fichier (non disponible à partir de la console de configuration) : cette option permet de configurer votre périphérique à partir d'une configuration précédemment enregistrée. A l'issue de l'importation du fichier, vous allez pouvoir vérifier les paramètres importés avant de quitter l'assistant. Si le fichier est issu d'une version précédente de McAfee Email and Web Security Appliance, certains détails ne seront pas disponibles. Configuration de gestion epolicy Orchestrator : cette option permet de configurer votre périphérique de façon à ce qu'il puisse être géré par votre serveur epolicy Orchestrator (McAfee epo ). Les informations requises sont peu nombreuses étant donné que le périphérique récupérera la plupart de ses informations de configuration auprès de votre serveur epolicy Orchestrator. Configuration en mode de chiffrement uniquement : cette option permet de configurer votre appliance en tant que serveur de chiffrement autonome. Cette appliance fonctionne dans l'un des modes suivants : pont transparent, routeur transparent ou proxy explicite. Le mode choisi affecte la façon dont vous intégrez l'appliance à votre réseau et la façon dont celle-ci gère le trafic. Vous n'aurez besoin de changer de mode que si vous restructurez votre réseau. Configuration standard Découvrez le but de la configuration standard. La configuration standard vous permet de configurer rapidement votre appliance McAfee Email Gateway à l'aide des options les plus courantes. Utilisez cette option pour configurer votre périphérique en mode pont transparent et protéger votre réseau. Le protocole SMTP est activé par défaut. Vous pouvez choisir d'activer l'analyse du trafic POP3. Le choix de la configuration standard oblige le périphérique à fonctionner en mode pont transparent. McAfee Email Gateway 7.0 Appliances Guide d'installation 27
2 Installation de l'appliance McAfee Email Gateway Utilisation de la console de configuration Pour la configuration standard, l'assistant comprend les pages suivantes : Configuration des e-mails Paramètres de base Synthèse Page Configuration des e-mails (configuration standard) Découvrez les options disponibles sur cette page. Activer la protection contre les programmes potentiellement indésirables (PUP) Activer les commentaires sur le système McAfee Global Threat Intelligence Domaine de relais local Cliquez sur cette option pour activer la protection contre les programmes potentiellement indésirables (PUP). Lisez les conseils de McAfee concernant les effets de l'activation de cette protection. Sélectionnez cette option pour activer les commentaires sur le système McAfee Global Threat Intelligence. Cliquez sur Qu'est-ce que c'est? pour découvrir comment sont utilisés les commentaires et afficher la politique de confidentialité de McAfee. Saisissez l'adresse IP et le masque réseau de votre domaine de relais local. Page Paramètres de base (configuration standard) Cette page de l'assistant Configuration standard permet de spécifier les paramètres de base de l'appliance en mode pont transparent. Nom de périphérique Nom de domaine Définit un nom, par exemple, appliance1. Définit un nom, par exemple, domain1.com. Adresse IP Définit une adresse, par exemple, 198.168.200.10. Le nom de domaine complet (FQDN) (Nom de périphérique Nom de domaine) doit être converti en cette adresse IP en cas d'appel du serveur DNS (indiqué ici). Nous recommandons d'associer cette adresse IP à un nom de domaine complet (FQDN) par le biais d'une recherche inversée. Sous-réseau Spécifie une adresse de sous-réseau, par exemple 255.255.255.0. Adresse de la passerelle Adresse IP du serveur DNS Mode ID d'utilisateur Mot de passe actuel/ Nouveau mot de passe Définit une adresse, par exemple 198.168.10.1. Cela peut être un routeur ou un pare-feu. Vous pourrez vérifier ultérieurement que l'appliance communique avec ce périphérique. Précise l'adresse du serveur DNS que l'appliance utilisera pour convertir les adresses de sites web en adresses IP. Cela peut être un serveur Active Directory ou DNS. Vous pourrez vérifier ultérieurement que l'appliance communique avec ce serveur. Précise le mode, à savoir Pont transparent, Routeur transparent ou Proxy explicite. L'utilisateur scmadmin est le super administrateur. Vous ne pouvez pas modifier, désactiver ou supprimer ce compte. En revanche, vous pouvez ajouter d'autres comptes après l'installation. Le mot de passe par défaut est password. Spécifiez le nouveau mot de passe. Modifiez le mot de passe dès que possible pour garantir la sécurité de votre appliance. Vous devez saisir le nouveau mot de passe deux fois afin de le confirmer. 28 McAfee Email Gateway 7.0 Appliances Guide d'installation
Installation de l'appliance McAfee Email Gateway Utilisation de la console de configuration 2 Fuseau horaire de l'appliance Heure de l'appliance (UTC) Définir maintenant Heure du client Synchroniser l'appliance avec le client Indique le fuseau horaire de l'appliance. Vous devrez sans doute définir ce paramètre deux fois par an si votre région utilise l'heure d'été. Les fuseaux sont organisés d'ouest en est pour couvrir la partie orientale du Pacifique, l'amérique, l'europe, l'asie, l'afrique, l'inde, le Japon et l'australie. Indique la date et l'heure UTC de l'appliance. Pour sélectionner la date, cliquez sur l'icône en forme de calendrier. Vous pouvez déterminer l'heure UTC à partir de sites web tels que http://www.worldtimeserver.com. Lorsque vous cliquez sur cette option, la date et l'heure UTC que vous avez spécifiées sur cette ligne sont appliquées. Affiche l'heure de l'ordinateur client sur lequel votre navigateur est actuellement connecté à l'appliance. Lorsque cette option est sélectionnée, l'option Heure de l'appliance (UTC) prend immédiatement la valeur de l'option Heure du client. Vous pouvez cocher cette case en tant qu'alternative au paramétrage manuel de l'option Heure de l'appliance (UTC). L'appliance calcule l'heure UTC en fonction du fuseau horaire trouvé dans le navigateur du client. Assurez-vous que l'ordinateur client est configuré pour le passage à l'heure d'été. Sur Microsoft Windows, ce paramètre est accessible en cliquant avec le bouton droit sur le coin inférieur droit de l'écran. Adresse du serveur NTP Pour utiliser le protocole NTP (Network Time Protocol), indiquez l'adresse du serveur. Vous pourrez également le configurer ultérieurement. Page Synthèse (configuration standard) Cette page de l'assistant Configuration standard permet de consulter une synthèse des paramètres que vous avez établis pour les connexions réseau et l'analyse du trafic réseau. Pour modifier une valeur, cliquez sur le lien bleu afin d'afficher la page dans laquelle elle a été saisie. Une fois que vous avez cliqué sur Terminer, l'assistant de configuration se ferme et l'appliance est configurée en tant que pont transparent. Utilisez l'adresse IP indiquée ici pour accéder à l'interface. Par exemple, https://192.168.200.10. L'adresse commence par https et non par http. Lorsque vous vous connectez pour la première fois à l'interface, saisissez le nom d'utilisateur admin et le mot de passe que vous avez donné sur la page Paramètres de base. Tableau 2-1 Paramètres de base La valeur est définie selon les meilleures pratiques. La valeur est probablement incorrecte. Bien que la valeur soit valide, elle n'est pas définie selon les meilleures pratiques. Vérifiez la valeur avant de poursuivre. Aucune valeur n'a été définie. La valeur par défaut n'a pas été modifiée. Vérifiez la valeur avant de poursuivre. McAfee Email Gateway 7.0 Appliances Guide d'installation 29
2 Installation de l'appliance McAfee Email Gateway Utilisation de la console de configuration Configuration personnalisée Découvrez le but de la configuration personnalisée. Utilisez la configuration personnalisée pour mieux contrôler les options que vous pouvez sélectionner, y compris le mode de fonctionnement de votre périphérique. Vous pouvez choisir de protéger le trafic des e-mails à l'aide des protocoles SMTP et POP3. Vous devez utiliser cette option de configuration pour configurer l'ipv6 et pour apporter d'autres modifications à la configuration par défaut. Pour la configuration personnalisée, l'assistant comprend les pages suivantes : Configuration des e-mails DNS et routage Paramètres de base Paramètres temporels Paramètres réseau Mot de passe Gestion du cluster Synthèse Page Paramètres de base (configuration personnalisée) Cette page permet de spécifier les paramètres de base de l'appliance lors de la sélection de l'assistant Configuration personnalisée. L'appliance tente de vous transmettre certaines informations et les affiche surlignées en jaune. Pour modifier ces informations, cliquez dessus et écrasez-les. Mode cluster Définit les options présentes sur la page Gestion du cluster de l'assistant de configuration. Désactivé : il s'agit d'une appliance standard. Analyseur de cluster : l'appliance reçoit sa charge de travail d'analyse d'une appliance principale. Cluster principal : l'appliance contrôle la charge de travail d'analyse de plusieurs autres appliances. Reprise automatique de cluster : en cas de panne de l'appliance principale, cette appliance contrôle la charge de travail d'analyse à sa place. Nom de périphérique Nom de domaine Passerelle par défaut Routeur correspondant au tronçon suivant Interface réseau Définit un nom, par exemple, appliance1. Définit un nom, par exemple, domaine1.com. Définit une adresse IPv4 (par exemple, 198.168.10.1). Vous pourrez vérifier ultérieurement que l'appliance communique avec ce serveur. Définit une adresse IPv6 (par exemple, FD4A:A1B2:C3D4::1). Cette option est disponible lorsque vous définissez le routeur correspondant au tronçon suivant pour IPv6. Page Paramètres réseau Ces options permettent d'afficher et de configurer l'adresse IP et les vitesses réseau pour l'appliance. Vous pouvez utiliser des adresses IPv4 et IPv6, séparément ou en les combinant. Afin d'éviter la présence d'adresses IP en double sur votre réseau et de contrecarrer les plans des pirates informatiques, vous devez désactiver les adresses IP par défaut de l'appliance et lui en attribuer de nouvelles. Les adresses IP doivent être uniques et adaptées à votre réseau. Indiquez autant d'adresses IP que nécessaire. 30 McAfee Email Gateway 7.0 Appliances Guide d'installation
Installation de l'appliance McAfee Email Gateway Utilisation de la console de configuration 2 <mode> Interface réseau 1 Interface réseau 2 Modifier les paramètres réseau Afficher la disposition de l'interface réseau Mode de fonctionnement défini lors de l'installation ou dans l'assistant de configuration. Permet d'afficher l'adresse IP et le masque réseau associés à l'interface réseau 1, l'état de l'autonégociation et la taille MTU. Permet d'afficher l'adresse IP et le masque réseau associés à l'interface réseau 2, l'état de l'autonégociation et la taille MTU. Cliquez sur cette option pour ouvrir l'assistant d'interface réseau afin de spécifier l'adresse IP et les paramètres d'adaptateur pour NIC 1 et NIC 2, et de changer le mode de fonctionnement choisi. Cliquez sur cette option pour voir le <?> associé aux ports LAN1 et LAN2, ainsi que l'interface hors bande. Assistant d'interface réseau L'Assistant d'interface réseau permet de modifier le mode de fonctionnement choisi et de spécifier l'adresse IP et les paramètres d'adaptateur pour NIC 1 et NIC 2. Les options disponibles dans l'assistant d'interface réseau dépendent du mode de fonctionnement. Sur la première page de l'assistant, vous pouvez choisir de changer le mode de fonctionnement pour l'appliance. Vous pouvez modifier les paramètres en cliquant sur Modifier les paramètres réseau pour accéder à un Assistant. Cliquez sur Suivant pour passer d'une étape à l'autre de l'assistant. En mode proxy explicite, certains périphériques réseau acheminent le trafic vers l'appliance. Cette dernière fonctionne alors comme un proxy, qui traite le trafic pour le compte de ces périphériques. En mode routeur transparent ou pont transparent, les autres périphériques réseau, tels que les serveurs de messagerie, ne savent pas que l'appliance a intercepté et analysé l'e-mail avant de le transférer. L'intervention des appliances est transparente pour les périphériques. Si vous disposez d'une appliance autonome fonctionnant en mode pont transparent, vous avez la possibilité d'ajouter un périphérique de contournement en cas de défaillance de l'appliance. Si l'appliance fonctionne en mode pont Transparent et si le protocole Spanning Tree Protocol (STP) s'exécute sur votre réseau, assurez-vous que l'appliance est configurée conformément aux règles STP. Par ailleurs, vous pouvez configurer un périphérique de contournement en mode pont transparent. Assistant d'interface réseau Mode proxy explicite L'Assistant d'interface réseau permet de modifier le mode de fonctionnement choisi et de spécifier l'adresse IP et les paramètres d'adaptateur pour NIC 1 et NIC 2. Cette version de l'assistant d'interface réseau est disponible lorsque vous sélectionnez le mode proxy explicite. Spécifiez les détails pour Interface réseau 1, puis utilisez le bouton Suivant afin de définir les détails pour Interface réseau 2 comme nécessaire. McAfee Email Gateway 7.0 Appliances Guide d'installation 31
2 Installation de l'appliance McAfee Email Gateway Utilisation de la console de configuration Page Interface réseau 1 ou Interface réseau 2 Adresse IP Définit les adresses réseau permettant à l'appliance de communiquer avec votre réseau. Vous pouvez définir plusieurs adresses IP pour les ports réseau de l'appliance. L'adresse IP en haut de la liste correspond à l'adresse principale. Toutes les adresses IP suivantes sont des alias. Vous devez avoir au moins une adresse IP pour Interface réseau 1 et Interface réseau 2. Cependant, vous pouvez désélectionner l'option Activé à côté des adresses IP sur lesquelles vous ne souhaitez pas écouter. Masque de réseau Activé Virtuel Spécifie le masque de réseau. En IPv4, vous pouvez utiliser un format comme 255.255.255.0 ou une notation CIDR comme 24. En IPv6, vous pouvez utiliser la longueur du préfixe (64, par exemple). Si cette option est sélectionnée, l'appliance accepte les connexions sur l'adresse IP. Si cette option est sélectionnée, l'appliance traite cette adresse IP comme une adresse virtuelle. Cette option apparaît uniquement dans les configurations de cluster ou sur un serveur lame McAfee Content Security Blade Server. Nouvelle adresse/ Supprimer les adresses sélectionnées s de l'adaptateur NIC 1 ou s de l'adaptateur NIC 2 Ajoutez une nouvelle adresse ou supprimez une adresse IP sélectionnée. Développez l'option pour définir les éléments suivants : Taille MTU : définit la taille d'unité de transmission maximum (MTU). Il s'agit de la taille maximum, en octets, d'une unité de données (par exemple, une trame Ethernet) que vous pouvez envoyer via la connexion. La valeur par défaut est 1 500 octets. Etat de la négociation automatique : cette option peut être définie sur : Activé : autorise l'appliance à négocier la vitesse et l'état du duplex pour communiquer avec les autres périphériques réseau. Désactivé : vous autorise à sélectionner la vitesse et l'état du duplex. Vitesse de connexion : propose différentes vitesses au choix. La valeur par défaut est 100 Mo. Pour les systèmes à fibre, cette valeur est de 1 Go. Etat de duplex : propose différents états de duplex. La valeur par défaut est Duplex intégral. Activer la configuration automatique IPv6 : sélectionnez cette option pour permettre à l'appliance de configurer automatiquement ses adresses IPv6 et son routeur correspondant au tronçon IPv6 suivant en recevant les messages Router Advertisement envoyés depuis votre routeur IPv6. Cette option n'est pas disponible par défaut si votre appliance fonctionne en mode routeur transparent, si elle fait partie d'une configuration de cluster ou si elle fonctionne dans le cadre d'une installation de serveur lame (Blade Server). 32 McAfee Email Gateway 7.0 Appliances Guide d'installation
Installation de l'appliance McAfee Email Gateway Utilisation de la console de configuration 2 Assistant d'interface réseau Mode routeur transparent L'Assistant d'interface réseau permet de modifier le mode de fonctionnement choisi et de spécifier l'adresse IP et les paramètres d'adaptateur pour NIC 1 et NIC 2. Pages Interface réseau 1 ou Interface réseau 2 Adresse IP Masque de réseau Activé Virtuel Nouvelle adresse/ Supprimer les adresses sélectionnées s de l'adaptateur NIC 1 ou s de l'adaptateur NIC 2 Définit les adresses réseau permettant à l'appliance de communiquer avec votre réseau. Vous pouvez définir plusieurs adresses IP pour les ports de l'appliance. L'adresse IP en haut de la liste correspond à l'adresse principale. Toutes les adresses IP suivantes sont des alias. Définit le masque de réseau, par exemple : 255.255.255.0. En IPv4, vous pouvez utiliser un format comme 255.255.255.0 ou une notation CIDR comme 24. En IPv6, vous pouvez utiliser la longueur du préfixe (64, par exemple). Si cette option est sélectionnée, l'appliance accepte les connexions sur l'adresse IP. Si cette option est sélectionnée, l'appliance traite cette adresse IP comme une adresse virtuelle. Cette option apparaît uniquement dans les configurations de cluster ou sur un serveur lame McAfee Content Security Blade Server. Ajoutez une nouvelle adresse ou supprimez une adresse IP sélectionnée. Développez l'option pour définir les éléments suivants : Taille MTU : définit la taille d'unité de transmission maximum (MTU). Il s'agit de la taille maximum, en octets, d'une unité de données (par exemple, une trame Ethernet) que vous pouvez envoyer via la connexion. La valeur par défaut est 1 500 octets. Etat de la négociation automatique : cette option peut être définie sur : Activé : autorise l'appliance à négocier la vitesse et l'état du duplex pour communiquer avec les autres périphériques réseau. Désactivé : vous autorise à sélectionner la vitesse et l'état du duplex. Vitesse de connexion : propose différentes vitesses au choix. La valeur par défaut est 100 Mo. Pour les systèmes à fibre, cette valeur est de 1 Go. Etat de duplex : propose différents états de duplex. La valeur par défaut est Duplex intégral. Activer la configuration automatique IPv6 : sélectionnez cette option pour permettre à l'appliance de configurer automatiquement ses adresses IPv6 et son routeur correspondant au tronçon IPv6 suivant en recevant les messages Router Advertisement envoyés depuis votre routeur IPv6. Cette option n'est pas disponible par défaut si votre appliance fonctionne en mode routeur transparent, si elle fait partie d'une configuration de cluster ou si elle fonctionne dans le cadre d'une installation de serveur lame (Blade Server). Activer l'envoi de publicités du routeur IPv6 sur cette interface : cette option autorise l'envoi des publicités du routeur IPv6 aux machines du sous-réseau qui ont besoin d'une réponse du routeur pour exécuter la configuration automatique. McAfee Email Gateway 7.0 Appliances Guide d'installation 33
2 Installation de l'appliance McAfee Email Gateway Utilisation de la console de configuration Assistant d'interface réseau Mode pont transparent L'Assistant d'interface réseau permet de modifier le mode de fonctionnement choisi et de spécifier l'adresse IP et les paramètres d'adaptateur pour NIC 1 et NIC 2. Spécifiez les détails du pont Ethernet, puis utilisez le bouton Suivant pour définir les détails du protocole Spanning Tree Protocol et du périphérique de contournement si nécessaire. des options Page Pont Ethernet Tout sélectionner Adresse IP Masque de réseau Activé Nouvelle adresse/ Supprimer les adresses sélectionnées s de l'adaptateur NIC Cliquez sur cette option pour sélectionner toutes les adresses IP. Définit les adresses réseau permettant à l'appliance de communiquer avec votre réseau. Vous pouvez définir plusieurs adresses IP pour les ports de l'appliance. Les adresses IP sont combinées en une liste pour les deux ports. L'adresse IP en haut de la liste correspond à l'adresse principale. Toutes les adresses IP suivantes sont des alias. Utilisez les liens Déplacer pour déplacer les adresses si nécessaire. Définit le masque de réseau, par exemple : 255.255.255.0. En IPv4, vous pouvez utiliser un format comme 255.255.255.0 ou une notation CIDR comme 24. En IPv6, vous pouvez utiliser la longueur du préfixe (64, par exemple). Si cette option est sélectionnée, l'appliance accepte les connexions sur l'adresse IP. Ajoutez une nouvelle adresse ou supprimez une adresse IP sélectionnée. Développez l'option pour définir les éléments suivants : Taille MTU : définit la taille d'unité de transmission maximum (MTU). Il s'agit de la taille maximum, en octets, d'une unité de données (par exemple, une trame Ethernet) que vous pouvez envoyer via la connexion. La valeur par défaut est 1 500 octets. Etat de la négociation automatique : cette option peut être définie sur : Activé : autorise l'appliance à négocier la vitesse et l'état du duplex pour communiquer avec les autres périphériques réseau. Désactivé : vous autorise à sélectionner la vitesse et l'état du duplex. Vitesse de connexion : propose différentes vitesses au choix. La valeur par défaut est 100 Mo. Pour les systèmes à fibre, cette valeur est de 1 Go. Etat de duplex : propose différents états de duplex. La valeur par défaut est Duplex intégral. Activer la configuration automatique IPv6 : sélectionnez cette option pour permettre à l'appliance de configurer automatiquement ses adresses IPv6 et son routeur correspondant au tronçon IPv6 suivant en recevant les messages Router Advertisement envoyés depuis votre routeur IPv6. Cette option n'est pas disponible par défaut si votre appliance fonctionne en mode routeur transparent, si elle fait partie d'une configuration de cluster ou si elle fonctionne dans le cadre d'une installation de serveur lame (Blade Server). 34 McAfee Email Gateway 7.0 Appliances Guide d'installation
Installation de l'appliance McAfee Email Gateway Utilisation de la console de configuration 2 des options Page Paramètres du protocole STP Activer STP Priorité de pont Paramètres avancés STP est activé par défaut. Définit la priorité pour le pont STP. Les nombres les plus faibles ont la priorité la plus élevée. Le nombre maximum est 65535. Développez l'option pour définir les éléments suivants. Vous pouvez les modifier uniquement si vous connaissez les conséquences possibles ou après avoir consulté un expert. Retard dans le transfert en cours Intervalle Hello (en secondes) Temps maximum (en secondes) Intervalle de nettoyage de la mémoire (en secondes) Temps chronologique (en secondes) des options Page Paramètres du périphérique de contournement Sélectionner le périphérique de contournement Délai d'expiration de la supervision (en secondes) Intervalle entre les pulsations (en secondes) Paramètres avancés. Le périphérique de contournement hérite des paramètres que vous avez saisis au niveau des s de l'adaptateur NIC. Choisissez l'un des deux périphériques pris en charge. Pour le périphérique de contournement, il s'agit du temps (en secondes) pouvant s'écouler avant que le système ne contourne l'appliance. Définissez la surveillance de la pulsation par défaut. Cette option devient active dès lors que vous sélectionnez un périphérique de contournement. Mode : choisissez la surveillance de la pulsation ou l'activité de liens. Délai d'expiration de l'activité de liens (en secondes) : cette option devient active dès lors que vous sélectionnez Surveiller la pulsation et l'activité de liens dans Mode. Activer l'alarme sonore : cette option est activée par défaut. Si le périphérique de contournement ne parvient pas à détecter le signal de pulsation pour l'expiration du délai de surveillance configurée, l'alarme sonore retentit. Page Gestion du cluster Cette page permet d'indiquer les exigences relatives à l'équilibrage de la gestion du cluster. Selon le mode cluster que vous avez sélectionné sur la page Paramètres de base, différentes modifications sont apportées aux options présentes sur la page Gestion du cluster. Configuration de la gestion du cluster (appliance standard) Ne pas utiliser. La gestion du cluster est désactivée. McAfee Email Gateway 7.0 Appliances Guide d'installation 35
2 Installation de l'appliance McAfee Email Gateway Utilisation de la console de configuration Gestion du cluster (analyseur de cluster) Identificateur de cluster Si vous disposez de plusieurs clusters ou serveurs McAfee Content Security Blade Servers sur le même sous-réseau, attribuez un Identificateur de cluster à chacun pour vous assurer que les clusters n'entrent pas en conflit. La valeur peut être comprise en 0 et 255. Gestion du cluster (cluster principal) En mode proxy explicite ou routeur transparent, vous pouvez activer la reprise automatique entre deux appliances d'un cluster en attribuant une adresse IP virtuelle à une appliance et en configurant une autre appliance en tant qu'appliance de reprise automatique de cluster avec la même adresse virtuelle. En mode pont transparent, vous pouvez l'activer en définissant une priorité STP élevée pour une appliance et en configurant une autre appliance en tant qu'appliance de reprise automatique de cluster avec une priorité STP moins élevée. Identificateur de cluster Adresse à utiliser pour l'équilibrage de charge Activer l'analyse sur cette appliance Si vous disposez de plusieurs clusters ou serveurs McAfee Content Security Blade Servers sur le même sous-réseau, attribuez un Identificateur de cluster à chacun pour vous assurer que les clusters n'entrent pas en conflit. La valeur peut être comprise en 0 et 255. Définit l'adresse de l'appliance. Si cette option n'est pas sélectionnée, cette appliance distribue l'ensemble de la charge de travail d'analyse aux appliances d'analyse. Pour un cluster d'appliance, si vous ne disposez que d'une appliance principale et d'une de reprise automatique, toutes les deux configurées pour analyser le trafic, l'appliance principale enverra la plupart des connexions à l'appliance de reprise automatique pour analyse. des options Paramètres avancés du périphérique d'analyse Utilisez cette zone pour garantir un contrôle granulaire des périphériques d'analyse connectés. Vous pouvez également configurer les paramètres de façon à partager l'espace disque en vue du stockage des messages Secure Web Mail. Les périphériques d'un cluster sont identifiés par leur adresse MAC (Media Access Control, contrôle d'accès au support). Lorsque vous ajoutez une adresse MAC à la table, vous pouvez choisir de la désactiver, ce qui signifie que les requêtes d'analyse ne seront pas envoyées au périphérique, et de partager l'espace disque. Adresse MAC Désactivé Ajouter une adresse MAC Gérer les adresses MAC Indique l'adresse MAC (Media Access Control) du périphérique sous forme de 12 chiffres hexadécimaux, au format suivant : A1:B2:C3:D4:E5:F6. Sélectionnez cette option pour supprimer ce périphérique du pool de périphériques d'analyse. Cliquez sur cette option pour ajouter l'adresse MAC d'un nouveau périphérique. Ouvre la boîte de dialogue Adresses MAC qui vous permet de gérer la liste des adresses MAC disponibles. Même si vous pouvez ajouter les adresses MAC des périphériques de gestion et de reprise automatique à cette table, elles influent toujours sur l'espace disque pour les messages Secure Web Mail et ne peuvent pas être désactivées. 36 McAfee Email Gateway 7.0 Appliances Guide d'installation
Installation de l'appliance McAfee Email Gateway Utilisation de la console de configuration 2 Gestion du cluster (reprise automatique de cluster) Adresse à utiliser pour l'équilibrage de charge Identificateur de cluster Activer l'analyse sur cette appliance Définit l'adresse de l'appliance. Fournit la liste de tous les sous-réseaux attribués à l'appliance. Si vous disposez de plusieurs clusters ou serveurs McAfee Content Security Blade Servers sur le même sous-réseau, attribuez un Identificateur de cluster à chacun pour vous assurer que les clusters n'entrent pas en conflit. La valeur peut être comprise en 0 et 255. Si cette option n'est pas sélectionnée, cette appliance distribue l'ensemble de la charge de travail d'analyse aux appliances d'analyse. Pour un cluster d'appliance, si vous ne disposez que d'une appliance principale et d'une de reprise automatique, toutes les deux configurées pour analyser le trafic, l'appliance principale enverra la plupart des connexions à l'appliance de reprise automatique pour analyse. Page DNS et routage Cette page permet de configurer l'utilisation de DNS et des itinéraires par l'appliance. Les serveurs DNS (Domain Name System) convertissent ou «mappent» les noms des périphériques réseau en adresses IP (et inversement). L'appliance envoie les requêtes aux serveurs DNS dans l'ordre dans lequel elles sont répertoriées ici. Adresses du serveur DNS Adresse du serveur Nouveau serveur/ Supprimer les serveurs sélectionnés N'envoyer des requêtes qu'à ces serveurs Affiche les adresses IP des serveurs DNS. Le premier serveur de la liste doit être votre serveur le plus rapide ou le plus fiable. Si le premier serveur ne peut répondre à la requête, l'appliance contacte le deuxième serveur. Si aucun des serveurs de la liste ne peut répondre à la requête, l'appliance transmet la requête aux serveurs DNS racines sur Internet. Si votre pare-feu empêche la recherche DNS (généralement sur le port 53), indiquez l'adresse IP du périphérique local qui fournit la résolution de nom. Permet d'ajouter un nouveau serveur à la liste ou d'en supprimer un lorsque vous devez, par exemple, mettre un serveur hors service en raison de modifications du réseau. sélectionnée par défaut. McAfee recommande de laisser cette option sélectionnée car elle peut accélérer les requêtes DNS puisque l'appliance envoie les requêtes uniquement aux serveurs DNS indiqués. Si l'adresse n'est pas connue, les requêtes sont transmises aux serveurs DNS racines sur Internet. Lorsqu'une réponse est donnée, l'appliance la reçoit et la met en cache de façon à ce que les autres serveurs qui interrogent ce serveur DNS puissent obtenir une réponse rapidement. Si vous désélectionnez cette option, l'appliance tente d'abord de répondre aux requêtes ou peut interroger des serveurs DNS qui se trouvent hors du réseau. Paramètres de routage Adresse réseau Saisissez l'adresse réseau de l'itinéraire. Masque Spécifie le nombre d'hôtes sur votre réseau (par exemple, 255.255.255.0). McAfee Email Gateway 7.0 Appliances Guide d'installation 37
2 Installation de l'appliance McAfee Email Gateway Utilisation de la console de configuration Passerelle Mesure Nouvel itinéraire/ Supprimer les itinéraires sélectionnés Activer le routage dynamique Définit l'adresse IP du routeur utilisé comme tronçon suivant en dehors du réseau. L'adresse 0.0.0.0 (IPv4) ou :: (IPv6) signifie que le routeur n'a pas de passerelle par défaut. Indique la préférence donnée à l'itinéraire. Une valeur faible indique une préférence élevée pour cet itinéraire. Ajoutez un nouvel itinéraire à la table ou supprimez-en plusieurs. Utilisez les flèches pour déplacer les itinéraires vers le haut ou le bas de la liste. Les itinéraires sont sélectionnés selon leur valeur de préférence. Utilisez cette option en mode routeur transparent uniquement. Une fois activée, l'appliance peut : recevoir les informations de routage de diffusion reçues via RIP (par défaut) qu'elle applique à sa table de routage de façon à ce que vous n'ayez pas à dupliquer ces informations sur l'appliance déjà présente sur le réseau ; diffuser les informations de routage si des itinéraires statiques ont été configurés à partir de l'interface utilisateur via RIP. Page Configuration des e-mails (configuration personnalisée) Découvrez les options disponibles sur cette page. Configuration initiale des e-mails Activer la protection contre les programmes potentiellement indésirables (PUP)... Activer les commentaires sur le système McAfee Global Threat Intelligence Analyser le trafic SMTP/Analyser le trafic POP3 Cliquez sur cette option pour activer la protection contre les programmes potentiellement indésirables (PUP). Lisez les conseils de McAfee concernant les effets de l'activation de cette protection. Cliquez sur Qu'est-ce que c'est? pour découvrir comment sont utilisés les commentaires et afficher la politique de confidentialité de McAfee. Ces deux protocoles sont sélectionnés par défaut. Désélectionnez-en un pour éviter toute analyse. des options Domaines pour lesquels l'appliance accepte ou rejette un e-mail Ces options permettent de définir comment l'appliance va relayer les e-mails. Après l'exécution de l'assistant de configuration, vous pouvez gérer les domaines depuis Messagerie Configuration des e-mails Réception d'e-mails 38 McAfee Email Gateway 7.0 Appliances Guide d'installation
Installation de l'appliance McAfee Email Gateway Utilisation de la console de configuration 2 Nom de domaine/ Adresse réseau/ Enregistrement MX Type Affiche les noms de domaines, les noms de domaines comportant des caractères génériques, les adresses réseau et les recherches MX en fonction desquels l'appliance acceptera ou refusera les e-mails. Nom de domaine : par exemple, example.dom. L'appliance utilise cette option pour comparer l'adresse e-mail du destinataire et la connexion par rapport à une recherche d'enregistrement A. Adresse réseau : par exemple, 192.168.0.2/32 ou 192.168.0.0/24. L'appliance utilise cette option pour comparer le littéral d'adresse IP du destinataire, comme user@[192.168.0.2], ou la connexion. Recherche d'enregistrements MX : par exemple, example.dom. L'appliance utilise cette option pour comparer la connexion par rapport à une recherche d'enregistrements MX. Nom de domaine comprenant des caractères génériques ; par exemple, *.example.dom. L'appliance n'utilise ces informations que pour comparer l'adresse e-mail du destinataire. Catégorie Ajouter un domaine Domaine local Domaine autorisé Domaine refusé Cette option permet de spécifier le domaine pouvant relayer les messages via l'appliance jusqu'au destinataire. s disponibles : Domaine local : domaines ou réseaux pour lesquels la remise de l'e-mail est acceptée. Pour vous simplifier la tâche, vous pouvez importer une liste des noms de vos domaines locaux via les options Importer les listes et Exporter les listes. McAfee vous recommande d'ajouter tous les domaines ou réseaux autorisés à relayer les messages en tant que domaines locaux. Domaine autorisé : les e-mails sont acceptés. Utilisez les domaines autorisés pour gérer les exceptions. Domaine refusé : les e-mails sont refusés. Utilisez les domaines refusés pour gérer les exceptions. Placez le curseur de la souris sur le champ pour voir le format recommandé. Vous devez configurer au moins un domaine local. Ajouter la recherche MX Supprimer les éléments sélectionnés Sélectionnez cette option pour spécifier un domaine que l'appliance utilisera pour identifier toutes les adresses IP du serveur de messagerie à partir duquel elle va remettre les messages. Supprimez l'élément sélectionné du tableau. Vous devez appliquer les modifications avant que l'élément ne soit totalement supprimé de la configuration de l'appliance. des options Routage des domaines Configurez les hôtes que l'appliance utilisera pour acheminer les e-mails. Après l'exécution de l'assistant de configuration, vous pouvez gérer les domaines depuis Messagerie Configuration des e-mails Envoi d'e-mails McAfee Email Gateway 7.0 Appliances Guide d'installation 39
2 Installation de l'appliance McAfee Email Gateway Utilisation de la console de configuration Nom de domaine/ Adresse réseau/ Enregistrement MX Type Affiche une liste de domaines. Cette liste vous permet de spécifier les relais spécifiques/ensembles de relais à utiliser pour remettre les messages destinés à des domaines spécifiques. Les domaines peuvent être identifiés via les correspondances exactes ou les correspondances de modèles comme *.example.com. Pour spécifier plusieurs relais pour un seul domaine, insérez un espace entre chacun d'entre eux. Si le premier relais de messagerie accepte le message, tous les e-mails lui seront remis. Si ce relais n'accepte plus de messages, les autres e-mails sont remis au relais suivant dans la liste. Nom de domaine : par exemple, example.dom. L'appliance utilise cette option pour comparer l'adresse e-mail du destinataire et la connexion par rapport à une recherche d'enregistrement A. Adresse réseau : par exemple, 192.168.0.2/32 ou 192.168.0.0/24. L'appliance utilise cette option pour comparer le littéral d'adresse IP du destinataire, comme user@[192.168.0.2], ou la connexion. Recherche d'enregistrements MX : par exemple, example.dom. L'appliance utilise cette option pour comparer la connexion par rapport à une recherche d'enregistrements MX. Nom de domaine comprenant des caractères génériques ; par exemple, *.example.dom. L'appliance n'utilise ces informations que pour comparer l'adresse e-mail du destinataire. Catégorie Ajouter la liste de relais Domaine local Domaine autorisé Domaine refusé Cliquez sur cette option pour remplir le tableau Hôtes relais et domaines connus avec une liste des noms d'hôtes ou des adresses IP en vue de la remise. La remise sera tentée dans l'ordre spécifié, sauf si vous sélectionnez l'option Répétition alternée - Hôtes ci-dessus qui répartira la charge entre les hôtes spécifiés. Les noms d'hôtes/adresses IP peuvent inclure un numéro de port. Ajouter la recherche MX Cliquez sur cette option pour remplir le tableau Hôtes relais et domaines connus avec une recherche d'enregistrements MX afin de déterminer les adresses IP en vue de la remise. Une tentative de remise aux noms d'hôtes renvoyés par la recherche MX sera exécutée dans l'ordre de priorité donné par le serveur DNS. Supprimer les éléments sélectionnés Activer la recherche DNS pour les domaines non répertoriés ci-dessus Supprimez l'élément sélectionné du tableau. Vous devez appliquer les modifications avant que l'élément ne soit totalement supprimé de la configuration de l'appliance. Cette option permet à l'appliance d'utiliser la méthode DNS pour acheminer les messages pour les autres domaines non spécifiés. La remise DNS effectue une tentative de recherche d'enregistrement MX. S'il n'y a aucun enregistrement MX, une recherche d'enregistrement A est effectuée. Si vous décochez cette case, l'appliance ne remettra les messages qu'aux domaines figurant dans la liste Hôtes relais et domaines connus. 40 McAfee Email Gateway 7.0 Appliances Guide d'installation
Installation de l'appliance McAfee Email Gateway Utilisation de la console de configuration 2 Page Paramètres temporels Cette page permet de définir l'heure et la date, ainsi que tous les détails d'utilisation du protocole NTP (Network Time Protocol). Fuseau horaire de l'appliance Heure de l'appliance (UTC) Définir maintenant Heure du client Synchroniser l'appliance avec le client Indique le fuseau horaire de l'appliance. Vous devrez sans doute définir ce paramètre deux fois par an si votre région utilise l'heure d'été. Indique la date et l'heure UTC de l'appliance. Pour sélectionner la date, cliquez sur l'icône en forme de calendrier. Vous pouvez déterminer l'heure UTC à partir de sites web tels que http://www.worldtimeserver.com. Lorsque vous cliquez sur cette option, la date et l'heure UTC que vous avez spécifiées sur cette ligne sont appliquées. Affiche l'heure de l'ordinateur client sur lequel votre navigateur est actuellement connecté à l'appliance. Lorsque cette option est sélectionnée, l'option Heure de l'appliance (UTC) prend immédiatement la valeur de l'option Heure du client. Vous pouvez cocher cette case en tant qu'alternative au paramétrage manuel de l'option Heure de l'appliance (UTC). L'appliance calcule l'heure UTC en fonction du fuseau horaire trouvé dans le navigateur du client. Assurez-vous que l'ordinateur client est configuré pour le passage à l'heure d'été. Sur Microsoft Windows, ce paramètre est accessible en cliquant avec le bouton droit sur le coin inférieur droit de l'écran. Activer NTP Activer les diffusions vers les clients NTP Serveur NTP Nouveau serveur Permet d'accepter les messages NTP provenant d'un serveur spécifié ou d'un réseau. Le protocole NTP synchronise les horloges des différents périphériques d'un réseau. Certains fournisseurs d'accès Internet (FAI) fournissent un service de synchronisation d'horloge. Les messages NTP n'ont pas d'incidence particulière sur les performances de l'appliance car ils ne sont pas souvent envoyés. Permet d'accepter uniquement les messages NTP provenant des réseaux. Cette méthode est utile si le réseau est encombré. Cependant, elle nécessite que tous les autres périphériques du réseau soient efficacement protégés. Lorsque cette option est désélectionnée, seuls les messages NTP provenant de serveurs de la liste sont acceptés. Indique l'adresse réseau ou le nom de domaine d'un ou de plusieurs serveurs NTP utilisés par l'appliance. Par exemple : time.nist.gov. Si vous spécifiez plusieurs serveurs, l'appliance examine successivement chaque message NTP afin de déterminer l'heure appropriée. Saisissez l'adresse IP d'un nouveau serveur NTP. Page Mot de passe Cette page permet de définir un mot de passe pour l'appliance. Utilisez des lettres et des chiffres pour créer un mot de passe sécurisé. Vous pouvez saisir jusqu'à 15 caractères. ID utilisateur Mot de passe L'ID utilisateur est admin. Vous pourrez ajouter d'autres utilisateurs ultérieurement. Permet de spécifier le nouveau mot de passe. Modifiez le mot de passe dès que possible pour garantir la sécurité de votre appliance. Vous devez saisir le nouveau mot de passe deux fois afin de le confirmer. Le mot de passe par défaut est password. McAfee Email Gateway 7.0 Appliances Guide d'installation 41
2 Installation de l'appliance McAfee Email Gateway Utilisation de la console de configuration Page Synthèse Consultez une synthèse des paramètres que vous avez établis pour les connexions réseau et l'analyse du trafic des e-mails. Pour modifier une valeur, cliquez sur le lien bleu afin d'afficher la page dans laquelle elle a été saisie. Lorsque vous cliquez sur Terminer, l'assistant de configuration se ferme. Utilisez l'adresse IP indiquée ici pour accéder à l'interface. Par exemple, https://192.168.200.10. L'adresse commence par https et non par http. Si vous avez configuré votre appliance McAfee Email Gateway pour fournir Secure Web Mail, vous devez ensuite accéder à l'appliance à l'aide du port 10443. Ainsi, comme dans l'exemple ci-dessus, vous devez entrer https://192.168.200.10:10443. Lorsque vous vous connectez pour la première fois à l'interface, saisissez le nom d'utilisateur admin et le mot de passe que vous avez donné sur la page Mot de passe. Tableau 2-2 Paramètres de base La valeur est définie selon les meilleures pratiques. La valeur est probablement incorrecte. Bien que la valeur soit valide, elle n'est pas définie selon les meilleures pratiques. Vérifiez la valeur avant de poursuivre. Aucune valeur n'a été définie. La valeur par défaut n'a pas été modifiée. Vérifiez la valeur avant de poursuivre. Restauration à partir d'un fichier Découvrez le but d'une restauration à partir d'un fichier. Lors de la configuration de votre périphérique à partir de l'assistant de configuration dans l'interface utilisateur, l'option Restaurer à partir d'un fichier vous permet d'importer les informations de configuration précédemment enregistrées et de les appliquer à votre périphérique. Une fois ces informations importées, vous pouvez apporter des modifications avant d'appliquer la configuration. L'option Restaurer à partir d'un fichier n'est pas disponible depuis la console de configuration. Pour utiliser cette option, vous devez vous connecter à l'appliance McAfee Email Gateway, puis sélectionner Restaurer à partir d'un fichier dans le menu Système Assistant de configuration. Une fois les informations de configuration importées, les options de configuration personnalisée sont disponibles dans l'assistant de configuration (voir la section Configuration personnalisée). Toutes les options importées sont indiquées sur les pages de l'assistant, ce qui vous permet d'apporter des modifications avant d'appliquer la configuration. Lorsque l'option Restaurer à partir d'un fichier est utilisée, l'assistant comprend les pages suivantes : Importer la configuration Valeurs à restaurer Une fois ces informations chargées, les pages Configuration personnalisée sont disponibles. Vous pouvez ainsi apporter des modifications supplémentaires avant d'appliquer la nouvelle configuration : Configuration des e-mails DNS et routage Paramètres de base Paramètres temporels 42 McAfee Email Gateway 7.0 Appliances Guide d'installation
Installation de l'appliance McAfee Email Gateway Utilisation de la console de configuration 2 Paramètres réseau Mot de passe Gestion du cluster Synthèse Page Paramètres de base (configuration personnalisée) Cette page permet de spécifier les paramètres de base de l'appliance lors de la sélection de l'assistant Configuration personnalisée. L'appliance tente de vous transmettre certaines informations et les affiche surlignées en jaune. Pour modifier ces informations, cliquez dessus et écrasez-les. Mode cluster Définit les options présentes sur la page Gestion du cluster de l'assistant de configuration. Désactivé : il s'agit d'une appliance standard. Analyseur de cluster : l'appliance reçoit sa charge de travail d'analyse d'une appliance principale. Cluster principal : l'appliance contrôle la charge de travail d'analyse de plusieurs autres appliances. Reprise automatique de cluster : en cas de panne de l'appliance principale, cette appliance contrôle la charge de travail d'analyse à sa place. Nom de périphérique Nom de domaine Passerelle par défaut Routeur correspondant au tronçon suivant Interface réseau Définit un nom, par exemple, appliance1. Définit un nom, par exemple, domaine1.com. Définit une adresse IPv4 (par exemple, 198.168.10.1). Vous pourrez vérifier ultérieurement que l'appliance communique avec ce serveur. Définit une adresse IPv6 (par exemple, FD4A:A1B2:C3D4::1). Cette option est disponible lorsque vous définissez le routeur correspondant au tronçon suivant pour IPv6. Page Gestion du cluster Cette page permet d'indiquer les exigences relatives à l'équilibrage de la gestion du cluster. Selon le mode cluster que vous avez sélectionné sur la page Paramètres de base, différentes modifications sont apportées aux options présentes sur la page Gestion du cluster. Configuration de la gestion du cluster (appliance standard) Ne pas utiliser. La gestion du cluster est désactivée. Gestion du cluster (analyseur de cluster) Identificateur de cluster Si vous disposez de plusieurs clusters ou serveurs McAfee Content Security Blade Servers sur le même sous-réseau, attribuez un Identificateur de cluster à chacun pour vous assurer que les clusters n'entrent pas en conflit. La valeur peut être comprise en 0 et 255. McAfee Email Gateway 7.0 Appliances Guide d'installation 43
2 Installation de l'appliance McAfee Email Gateway Utilisation de la console de configuration Gestion du cluster (cluster principal) En mode proxy explicite ou routeur transparent, vous pouvez activer la reprise automatique entre deux appliances d'un cluster en attribuant une adresse IP virtuelle à une appliance et en configurant une autre appliance en tant qu'appliance de reprise automatique de cluster avec la même adresse virtuelle. En mode pont transparent, vous pouvez l'activer en définissant une priorité STP élevée pour une appliance et en configurant une autre appliance en tant qu'appliance de reprise automatique de cluster avec une priorité STP moins élevée. Identificateur de cluster Adresse à utiliser pour l'équilibrage de charge Activer l'analyse sur cette appliance Si vous disposez de plusieurs clusters ou serveurs McAfee Content Security Blade Servers sur le même sous-réseau, attribuez un Identificateur de cluster à chacun pour vous assurer que les clusters n'entrent pas en conflit. La valeur peut être comprise en 0 et 255. Définit l'adresse de l'appliance. Si cette option n'est pas sélectionnée, cette appliance distribue l'ensemble de la charge de travail d'analyse aux appliances d'analyse. Pour un cluster d'appliance, si vous ne disposez que d'une appliance principale et d'une de reprise automatique, toutes les deux configurées pour analyser le trafic, l'appliance principale enverra la plupart des connexions à l'appliance de reprise automatique pour analyse. des options Paramètres avancés du périphérique d'analyse Utilisez cette zone pour garantir un contrôle granulaire des périphériques d'analyse connectés. Vous pouvez également configurer les paramètres de façon à partager l'espace disque en vue du stockage des messages Secure Web Mail. Les périphériques d'un cluster sont identifiés par leur adresse MAC (Media Access Control, contrôle d'accès au support). Lorsque vous ajoutez une adresse MAC à la table, vous pouvez choisir de la désactiver, ce qui signifie que les requêtes d'analyse ne seront pas envoyées au périphérique, et de partager l'espace disque. Adresse MAC Désactivé Ajouter une adresse MAC Gérer les adresses MAC Indique l'adresse MAC (Media Access Control) du périphérique sous forme de 12 chiffres hexadécimaux, au format suivant : A1:B2:C3:D4:E5:F6. Sélectionnez cette option pour supprimer ce périphérique du pool de périphériques d'analyse. Cliquez sur cette option pour ajouter l'adresse MAC d'un nouveau périphérique. Ouvre la boîte de dialogue Adresses MAC qui vous permet de gérer la liste des adresses MAC disponibles. Même si vous pouvez ajouter les adresses MAC des périphériques de gestion et de reprise automatique à cette table, elles influent toujours sur l'espace disque pour les messages Secure Web Mail et ne peuvent pas être désactivées. 44 McAfee Email Gateway 7.0 Appliances Guide d'installation
Installation de l'appliance McAfee Email Gateway Utilisation de la console de configuration 2 Gestion du cluster (reprise automatique de cluster) Adresse à utiliser pour l'équilibrage de charge Identificateur de cluster Activer l'analyse sur cette appliance Définit l'adresse de l'appliance. Fournit la liste de tous les sous-réseaux attribués à l'appliance. Si vous disposez de plusieurs clusters ou serveurs McAfee Content Security Blade Servers sur le même sous-réseau, attribuez un Identificateur de cluster à chacun pour vous assurer que les clusters n'entrent pas en conflit. La valeur peut être comprise en 0 et 255. Si cette option n'est pas sélectionnée, cette appliance distribue l'ensemble de la charge de travail d'analyse aux appliances d'analyse. Pour un cluster d'appliance, si vous ne disposez que d'une appliance principale et d'une de reprise automatique, toutes les deux configurées pour analyser le trafic, l'appliance principale enverra la plupart des connexions à l'appliance de reprise automatique pour analyse. Page DNS et routage Cette page permet de configurer l'utilisation de DNS et des itinéraires par l'appliance. Les serveurs DNS (Domain Name System) convertissent ou «mappent» les noms des périphériques réseau en adresses IP (et inversement). L'appliance envoie les requêtes aux serveurs DNS dans l'ordre dans lequel elles sont répertoriées ici. Adresses du serveur DNS Adresse du serveur Nouveau serveur/ Supprimer les serveurs sélectionnés N'envoyer des requêtes qu'à ces serveurs Affiche les adresses IP des serveurs DNS. Le premier serveur de la liste doit être votre serveur le plus rapide ou le plus fiable. Si le premier serveur ne peut répondre à la requête, l'appliance contacte le deuxième serveur. Si aucun des serveurs de la liste ne peut répondre à la requête, l'appliance transmet la requête aux serveurs DNS racines sur Internet. Si votre pare-feu empêche la recherche DNS (généralement sur le port 53), indiquez l'adresse IP du périphérique local qui fournit la résolution de nom. Permet d'ajouter un nouveau serveur à la liste ou d'en supprimer un lorsque vous devez, par exemple, mettre un serveur hors service en raison de modifications du réseau. sélectionnée par défaut. McAfee recommande de laisser cette option sélectionnée car elle peut accélérer les requêtes DNS puisque l'appliance envoie les requêtes uniquement aux serveurs DNS indiqués. Si l'adresse n'est pas connue, les requêtes sont transmises aux serveurs DNS racines sur Internet. Lorsqu'une réponse est donnée, l'appliance la reçoit et la met en cache de façon à ce que les autres serveurs qui interrogent ce serveur DNS puissent obtenir une réponse rapidement. Si vous désélectionnez cette option, l'appliance tente d'abord de répondre aux requêtes ou peut interroger des serveurs DNS qui se trouvent hors du réseau. Paramètres de routage Adresse réseau Saisissez l'adresse réseau de l'itinéraire. Masque Spécifie le nombre d'hôtes sur votre réseau (par exemple, 255.255.255.0). McAfee Email Gateway 7.0 Appliances Guide d'installation 45
2 Installation de l'appliance McAfee Email Gateway Utilisation de la console de configuration Passerelle Mesure Nouvel itinéraire/ Supprimer les itinéraires sélectionnés Activer le routage dynamique Définit l'adresse IP du routeur utilisé comme tronçon suivant en dehors du réseau. L'adresse 0.0.0.0 (IPv4) ou :: (IPv6) signifie que le routeur n'a pas de passerelle par défaut. Indique la préférence donnée à l'itinéraire. Une valeur faible indique une préférence élevée pour cet itinéraire. Ajoutez un nouvel itinéraire à la table ou supprimez-en plusieurs. Utilisez les flèches pour déplacer les itinéraires vers le haut ou le bas de la liste. Les itinéraires sont sélectionnés selon leur valeur de préférence. Utilisez cette option en mode routeur transparent uniquement. Une fois activée, l'appliance peut : recevoir les informations de routage de diffusion reçues via RIP (par défaut) qu'elle applique à sa table de routage de façon à ce que vous n'ayez pas à dupliquer ces informations sur l'appliance déjà présente sur le réseau ; diffuser les informations de routage si des itinéraires statiques ont été configurés à partir de l'interface utilisateur via RIP. Page Paramètres temporels Cette page permet de définir l'heure et la date, ainsi que tous les détails d'utilisation du protocole NTP (Network Time Protocol). Fuseau horaire de l'appliance Heure de l'appliance (UTC) Définir maintenant Heure du client Synchroniser l'appliance avec le client Indique le fuseau horaire de l'appliance. Vous devrez sans doute définir ce paramètre deux fois par an si votre région utilise l'heure d'été. Indique la date et l'heure UTC de l'appliance. Pour sélectionner la date, cliquez sur l'icône en forme de calendrier. Vous pouvez déterminer l'heure UTC à partir de sites web tels que http://www.worldtimeserver.com. Lorsque vous cliquez sur cette option, la date et l'heure UTC que vous avez spécifiées sur cette ligne sont appliquées. Affiche l'heure de l'ordinateur client sur lequel votre navigateur est actuellement connecté à l'appliance. Lorsque cette option est sélectionnée, l'option Heure de l'appliance (UTC) prend immédiatement la valeur de l'option Heure du client. Vous pouvez cocher cette case en tant qu'alternative au paramétrage manuel de l'option Heure de l'appliance (UTC). L'appliance calcule l'heure UTC en fonction du fuseau horaire trouvé dans le navigateur du client. Assurez-vous que l'ordinateur client est configuré pour le passage à l'heure d'été. Sur Microsoft Windows, ce paramètre est accessible en cliquant avec le bouton droit sur le coin inférieur droit de l'écran. Activer NTP Activer les diffusions vers les clients NTP Permet d'accepter les messages NTP provenant d'un serveur spécifié ou d'un réseau. Le protocole NTP synchronise les horloges des différents périphériques d'un réseau. Certains fournisseurs d'accès Internet (FAI) fournissent un service de synchronisation d'horloge. Les messages NTP n'ont pas d'incidence particulière sur les performances de l'appliance car ils ne sont pas souvent envoyés. Permet d'accepter uniquement les messages NTP provenant des réseaux. Cette méthode est utile si le réseau est encombré. Cependant, elle nécessite que tous les autres périphériques du réseau soient efficacement protégés. Lorsque cette option est désélectionnée, seuls les messages NTP provenant de serveurs de la liste sont acceptés. 46 McAfee Email Gateway 7.0 Appliances Guide d'installation
Installation de l'appliance McAfee Email Gateway Utilisation de la console de configuration 2 Serveur NTP Nouveau serveur Indique l'adresse réseau ou le nom de domaine d'un ou de plusieurs serveurs NTP utilisés par l'appliance. Par exemple : time.nist.gov. Si vous spécifiez plusieurs serveurs, l'appliance examine successivement chaque message NTP afin de déterminer l'heure appropriée. Saisissez l'adresse IP d'un nouveau serveur NTP. Page Mot de passe Cette page permet de définir un mot de passe pour l'appliance. Utilisez des lettres et des chiffres pour créer un mot de passe sécurisé. Vous pouvez saisir jusqu'à 15 caractères. ID utilisateur Mot de passe L'ID utilisateur est admin. Vous pourrez ajouter d'autres utilisateurs ultérieurement. Permet de spécifier le nouveau mot de passe. Modifiez le mot de passe dès que possible pour garantir la sécurité de votre appliance. Vous devez saisir le nouveau mot de passe deux fois afin de le confirmer. Le mot de passe par défaut est password. Page Synthèse Consultez une synthèse des paramètres que vous avez établis pour les connexions réseau et l'analyse du trafic des e-mails. Pour modifier une valeur, cliquez sur le lien bleu afin d'afficher la page dans laquelle elle a été saisie. Lorsque vous cliquez sur Terminer, l'assistant de configuration se ferme. Utilisez l'adresse IP indiquée ici pour accéder à l'interface. Par exemple, https://192.168.200.10. L'adresse commence par https et non par http. Si vous avez configuré votre appliance McAfee Email Gateway pour fournir Secure Web Mail, vous devez ensuite accéder à l'appliance à l'aide du port 10443. Ainsi, comme dans l'exemple ci-dessus, vous devez entrer https://192.168.200.10:10443. Lorsque vous vous connectez pour la première fois à l'interface, saisissez le nom d'utilisateur admin et le mot de passe que vous avez donné sur la page Mot de passe. Tableau 2-3 Paramètres de base La valeur est définie selon les meilleures pratiques. La valeur est probablement incorrecte. Bien que la valeur soit valide, elle n'est pas définie selon les meilleures pratiques. Vérifiez la valeur avant de poursuivre. Aucune valeur n'a été définie. La valeur par défaut n'a pas été modifiée. Vérifiez la valeur avant de poursuivre. Configuration de gestion epolicy Orchestrator Découvrez le but de la configuration standard. McAfee epolicy Orchestrator vous permet de gérer toutes vos appliances logicielles et matérielles McAfee depuis une console de gestion unique. McAfee Email Gateway 7.0 Appliances Guide d'installation 47
2 Installation de l'appliance McAfee Email Gateway Utilisation de la console de configuration La configuration de gestion epolicy Orchestrator permet de configurer votre périphérique de façon à ce qu'il puisse être géré par votre serveur epolicy Orchestrator. Les informations requises sont peu nombreuses étant donné que le périphérique récupérera la plupart de ses informations de configuration auprès de votre serveur epolicy Orchestrator. Paramètres de gestion epolicy Orchestrator Sélectionnez Configuration de gestion epolicy Orchestrator dans l'assistant de configuration pour configurer votre appliance afin qu'elle soit gérée par McAfee epolicy Orchestrator. Extensions epo Téléchargez les extensions epolicy Orchestrator pour les produits McAfee Gateway, notamment McAfee Email Gateway 7.0. Le fichier MEGv7.0_ePOextensions.zip contient les extensions epolicy Orchestrator EWG et MEG. L'extension EWG permet de générer des rapports depuis epolicy Orchestrator pour les produits suivants : Appliances McAfee Email and Web Security Appliance McAfee Web Gateway Appliances McAfee Email Gateway L'extension MEG fournit une gestion epolicy Orchestrator complète pour McAfee Email Gateway 7.0. Pour pouvoir utiliser epolicy Orchestrator à des fins de génération de rapports ou de gestion, vous devez installer les extensions epolicy Orchestrator sur votre serveur epolicy Orchestrator. Extensions d'aide epo Importer les paramètres de connexion epo Téléchargez les extensions d'aide epolicy Orchestrator. Le fichier MEGv7.0_ePOhelpextensions.zip contient les informations d'aide en ligne pour les extensions epolicy Orchestrator mentionnées ci-dessus. Ce fichier permet d'installer les extensions d'aide relatives aux extensions epolicy Orchestrator pour les appliances McAfee Email and Web Gateway et McAfee Email Gateway 7.0 sur votre serveur epolicy Orchestrator. Cliquez sur cette option pour naviguer jusqu'au fichier de paramètres de connexion epolicy Orchestrator et importer les informations de connexion epolicy Orchestrator vers l'appliance. Tâche Configurer l'appliance pour l'utiliser avec epolicy Orchestrator Cette tâche permet de configurer l'appliance de façon à la gérer par epolicy Orchestrator : 1 Depuis votre appliance McAfee Email Gateway, dans Paramètres de gestion epo, sélectionnez Extensions epo, puis cliquez sur Enregistrer pour télécharger le fichier d'extension. 2 Depuis votre appliance McAfee Email Gateway, dans Paramètres de gestion epo, sélectionnez Extensions d'aide epo, puis cliquez sur Enregistrer pour télécharger le fichier d'extension d'aide. 3 Sur votre serveur epolicy Orchestrator, installez ces extensions depuis Menu Logiciels Extensions Installer une extension. 4 Sur le serveur epolicy Orchestrator, enregistrez les paramètres de connexion depuis Menu Protection de passerelle Email and Web Gateway Actions Exporter les paramètres de connexion. 48 McAfee Email Gateway 7.0 Appliances Guide d'installation
Installation de l'appliance McAfee Email Gateway Utilisation de la console de configuration 2 5 Depuis l'appliance McAfee Email Gateway, retournez à la page Paramètres de gestion epo de l'assistant de configuration, puis cliquez sur Importer les paramètres de connexion epo. Naviguez jusqu'au fichier de paramètres de connexion epolicy Orchestrator. 6 Cliquez sur Suivant pour passer à la page Paramètres de base de l'assistant de configuration. Page Paramètres de base (configuration de gestion epolicy Orchestrator) Cette page permet de configurer les paramètres de base de l'appliance qui sera alors gérée par epolicy Orchestrator. Mode cluster Les options sont les suivantes : Désactivé (appliance standard) Analyseur de cluster Appliance principale de cluster Reprise automatique de cluster Nom de périphérique Nom de domaine Passerelle par défaut (IPv4) Routeur correspondant au tronçon suivant (IPv6) Interface réseau Définit un nom, par exemple, appliance1. Définit un nom, par exemple, domaine1.com. Définit une adresse IPv4 (par exemple, 198.168.10.1). Vous pourrez vérifier ultérieurement que l'appliance communique avec ce serveur. Définit une adresse IPv6 (par exemple, FD4A:A1B2:C3D4::1). Cette option est disponible lorsque vous définissez le routeur correspondant au tronçon suivant pour IPv6. Page Gestion du cluster (configuration de gestion epolicy Orchestrator) Cette page permet de spécifier les exigences relatives à l'équilibrage de charge qui s'appliquent aux appliances gérées par epolicy Orchestrator. Configuration de la gestion du cluster (appliance standard) N'utilisez pas cette page. La gestion du cluster est désactivée. Gestion du cluster (analyseur de cluster) Cette page permet de définir les informations relatives à une appliance d'analyse. Identificateur de cluster Spécifie un identificateur. La valeur peut être comprise entre 0 et 255. Gestion du cluster (cluster principal) Cette page permet de définir les informations relatives à une appliance principale. Adresse à utiliser pour l'équilibrage de charge Définit l'adresse de l'appliance. Identificateur de cluster Spécifie un identificateur. La valeur peut être comprise entre 0 et 255. Activer l'analyse sur cette appliance Si cette option n'est pas sélectionnée, cette appliance distribue l'ensemble de la charge de travail d'analyse aux appliances d'analyse. McAfee Email Gateway 7.0 Appliances Guide d'installation 49
2 Installation de l'appliance McAfee Email Gateway Utilisation de la console de configuration Gestion du cluster (reprise automatique de cluster) Cette page permet de définir les informations relatives à une appliance de reprise automatique. Adresse à utiliser pour l'équilibrage de charge Définit l'adresse de l'appliance. Fournit la liste de tous les sous-réseaux attribués à l'appliance. Identificateur de cluster Spécifie un identificateur. La valeur peut être comprise entre 0 et 255. Activer l'analyse sur cette appliance Si cette option n'est pas sélectionnée, cette appliance distribue l'ensemble de la charge de travail d'analyse aux appliances d'analyse. Page DNS et routage Cette page permet de configurer l'utilisation de DNS et des itinéraires par l'appliance. Les serveurs DNS (Domain Name System) convertissent ou «mappent» les noms des périphériques réseau en adresses IP (et inversement). L'appliance envoie les requêtes aux serveurs DNS dans l'ordre dans lequel elles sont répertoriées ici. Adresses du serveur DNS Adresse du serveur Nouveau serveur/ Supprimer les serveurs sélectionnés N'envoyer des requêtes qu'à ces serveurs Affiche les adresses IP des serveurs DNS. Le premier serveur de la liste doit être votre serveur le plus rapide ou le plus fiable. Si le premier serveur ne peut répondre à la requête, l'appliance contacte le deuxième serveur. Si aucun des serveurs de la liste ne peut répondre à la requête, l'appliance transmet la requête aux serveurs DNS racines sur Internet. Si votre pare-feu empêche la recherche DNS (généralement sur le port 53), indiquez l'adresse IP du périphérique local qui fournit la résolution de nom. Permet d'ajouter un nouveau serveur à la liste ou d'en supprimer un lorsque vous devez, par exemple, mettre un serveur hors service en raison de modifications du réseau. sélectionnée par défaut. McAfee recommande de laisser cette option sélectionnée car elle peut accélérer les requêtes DNS puisque l'appliance envoie les requêtes uniquement aux serveurs DNS indiqués. Si l'adresse n'est pas connue, les requêtes sont transmises aux serveurs DNS racines sur Internet. Lorsqu'une réponse est donnée, l'appliance la reçoit et la met en cache de façon à ce que les autres serveurs qui interrogent ce serveur DNS puissent obtenir une réponse rapidement. Si vous désélectionnez cette option, l'appliance tente d'abord de répondre aux requêtes ou peut interroger des serveurs DNS qui se trouvent hors du réseau. Paramètres de routage Adresse réseau Saisissez l'adresse réseau de l'itinéraire. Masque Spécifie le nombre d'hôtes sur votre réseau (par exemple, 255.255.255.0). Passerelle Mesure Définit l'adresse IP du routeur utilisé comme tronçon suivant en dehors du réseau. L'adresse 0.0.0.0 (IPv4) ou :: (IPv6) signifie que le routeur n'a pas de passerelle par défaut. Indique la préférence donnée à l'itinéraire. Une valeur faible indique une préférence élevée pour cet itinéraire. 50 McAfee Email Gateway 7.0 Appliances Guide d'installation
Installation de l'appliance McAfee Email Gateway Utilisation de la console de configuration 2 Nouvel itinéraire/ Supprimer les itinéraires sélectionnés Activer le routage dynamique Ajoutez un nouvel itinéraire à la table ou supprimez-en plusieurs. Utilisez les flèches pour déplacer les itinéraires vers le haut ou le bas de la liste. Les itinéraires sont sélectionnés selon leur valeur de préférence. Utilisez cette option en mode routeur transparent uniquement. Une fois activée, l'appliance peut : recevoir les informations de routage de diffusion reçues via RIP (par défaut) qu'elle applique à sa table de routage de façon à ce que vous n'ayez pas à dupliquer ces informations sur l'appliance déjà présente sur le réseau ; diffuser les informations de routage si des itinéraires statiques ont été configurés à partir de l'interface utilisateur via RIP. Page Paramètres temporels Cette page permet de définir l'heure et la date, ainsi que tous les détails d'utilisation du protocole NTP (Network Time Protocol). Fuseau horaire de l'appliance Heure de l'appliance (UTC) Définir maintenant Heure du client Synchroniser l'appliance avec le client Indique le fuseau horaire de l'appliance. Vous devrez sans doute définir ce paramètre deux fois par an si votre région utilise l'heure d'été. Indique la date et l'heure UTC de l'appliance. Pour sélectionner la date, cliquez sur l'icône en forme de calendrier. Vous pouvez déterminer l'heure UTC à partir de sites web tels que http://www.worldtimeserver.com. Lorsque vous cliquez sur cette option, la date et l'heure UTC que vous avez spécifiées sur cette ligne sont appliquées. Affiche l'heure de l'ordinateur client sur lequel votre navigateur est actuellement connecté à l'appliance. Lorsque cette option est sélectionnée, l'option Heure de l'appliance (UTC) prend immédiatement la valeur de l'option Heure du client. Vous pouvez cocher cette case en tant qu'alternative au paramétrage manuel de l'option Heure de l'appliance (UTC). L'appliance calcule l'heure UTC en fonction du fuseau horaire trouvé dans le navigateur du client. Assurez-vous que l'ordinateur client est configuré pour le passage à l'heure d'été. Sur Microsoft Windows, ce paramètre est accessible en cliquant avec le bouton droit sur le coin inférieur droit de l'écran. Activer NTP Activer les diffusions vers les clients NTP Serveur NTP Nouveau serveur Permet d'accepter les messages NTP provenant d'un serveur spécifié ou d'un réseau. Le protocole NTP synchronise les horloges des différents périphériques d'un réseau. Certains fournisseurs d'accès Internet (FAI) fournissent un service de synchronisation d'horloge. Les messages NTP n'ont pas d'incidence particulière sur les performances de l'appliance car ils ne sont pas souvent envoyés. Permet d'accepter uniquement les messages NTP provenant des réseaux. Cette méthode est utile si le réseau est encombré. Cependant, elle nécessite que tous les autres périphériques du réseau soient efficacement protégés. Lorsque cette option est désélectionnée, seuls les messages NTP provenant de serveurs de la liste sont acceptés. Indique l'adresse réseau ou le nom de domaine d'un ou de plusieurs serveurs NTP utilisés par l'appliance. Par exemple : time.nist.gov. Si vous spécifiez plusieurs serveurs, l'appliance examine successivement chaque message NTP afin de déterminer l'heure appropriée. Saisissez l'adresse IP d'un nouveau serveur NTP. McAfee Email Gateway 7.0 Appliances Guide d'installation 51
2 Installation de l'appliance McAfee Email Gateway Utilisation de la console de configuration Page Mot de passe Cette page permet de définir un mot de passe pour l'appliance. Utilisez des lettres et des chiffres pour créer un mot de passe sécurisé. Vous pouvez saisir jusqu'à 15 caractères. ID utilisateur Mot de passe L'ID utilisateur est admin. Vous pourrez ajouter d'autres utilisateurs ultérieurement. Permet de spécifier le nouveau mot de passe. Modifiez le mot de passe dès que possible pour garantir la sécurité de votre appliance. Vous devez saisir le nouveau mot de passe deux fois afin de le confirmer. Le mot de passe par défaut est password. Synthèse Configuration de gestion epolicy Orchestrator Lorsque vous utilisez l'assistant de configuration epolicy Orchestrator, cette page permet de consulter une synthèse des paramètres que vous avez établis pour les connexions réseau et l'analyse du trafic réseau, l'état du cluster et les paramètres d'analyse qu'epolicy Orchestrator gérera pour l'appliance. Pour modifier une valeur, cliquez sur le lien bleu afin d'afficher la page dans laquelle elle a été saisie. Lorsque vous cliquez sur Terminer, l'assistant de configuration se ferme. Utilisez l'adresse IP indiquée ici pour accéder à l'interface. Par exemple, https://192.168.200.10. Notez que l'adresse commence par https et non par http. Lorsque vous vous connectez pour la première fois à l'interface, saisissez le nom d'utilisateur admin et le mot de passe que vous avez donné à l'assistant de configuration. L'appliance est désormais gérée par epolicy Orchestrator. Connectez-vous au serveur epolicy Orchestrator pour gérer votre appliance. Tableau 2-4 Paramètres de base La valeur est définie selon les meilleures pratiques. La valeur est probablement incorrecte. Bien que la valeur soit valide, elle n'est pas définie selon les meilleures pratiques. Vérifiez la valeur avant de poursuivre. Aucune valeur n'a été définie. La valeur par défaut n'a pas été modifiée. Vérifiez la valeur avant de poursuivre. Configuration en mode de chiffrement uniquement Découvrez le but des options de configuration en mode de chiffrement uniquement. Pour les PME, il suffit souvent d'utiliser la même appliance McAfee Email Gateway pour exécuter les tâches d'analyse de messagerie et celles de chiffrement des e-mails. Cependant, si vous faites partie d'une organisation de plus grande taille ou si vous travaillez dans un secteur où tous vos e-mails (ou une grande partie d'entre eux) doivent être remis en toute sécurité, vous pouvez configurer une ou plusieurs de vos appliances McAfee Email Gateway en tant que serveurs autonomes de chiffrement uniquement. Dans ce cas, les options Configuration en mode de chiffrement uniquement de l'assistant de configuration vous proposent les paramètres appropriés nécessaires pour utiliser le mode de chiffrement uniquement. Pour la configuration en mode de chiffrement uniquement, l'assistant comprend les pages suivantes : 52 McAfee Email Gateway 7.0 Appliances Guide d'installation
Installation de l'appliance McAfee Email Gateway Utilisation de la console de configuration 2 Page Configuration des e-mails (configuration en mode de chiffrement uniquement) Définissez comment l'appliance doit relayer les e-mails et configurez les hôtes que l'appliance doit utiliser pour acheminer les e-mails. Domaines pour lesquels l'appliance accepte ou rejette un e-mail Après l'exécution de l'assistant de configuration, vous pouvez gérer les domaines depuis Messagerie Configuration des e-mails Réception d'e-mails. Nom de domaine/ Adresse réseau/ Enregistrement MX Type Affiche les noms de domaines, les noms de domaines comportant des caractères génériques, les adresses réseau et les recherches MX en fonction desquels l'appliance acceptera ou refusera les e-mails. Nom de domaine : par exemple, example.dom. L'appliance utilise cette option pour comparer l'adresse e-mail du destinataire et la connexion par rapport à une recherche d'enregistrement A. Adresse réseau : par exemple, 192.168.0.2/32 ou 192.168.0.0/24. L'appliance utilise cette option pour comparer le littéral d'adresse IP du destinataire, comme user@[192.168.0.2] ou la connexion. Recherche d'enregistrements MX : par exemple, example.dom. L'appliance utilise cette option pour comparer la connexion par rapport à une recherche d'enregistrements MX. Nom de domaine comprenant des caractères génériques : par exemple, *.example.dom. L'appliance n'utilise ces informations que pour comparer l'adresse e-mail du destinataire. Catégorie Ajouter un domaine Domaine local Domaine autorisé Domaine refusé Cette option permet de spécifier le domaine pouvant relayer les messages via l'appliance jusqu'au destinataire. s disponibles : Domaine local : domaines ou réseaux pour lesquels la remise de l'e-mail est acceptée. Pour vous simplifier la tâche, vous pouvez importer une liste des noms de vos domaines locaux via les options Importer les listes et Exporter les listes. McAfee vous recommande d'ajouter tous les domaines ou réseaux autorisés à relayer les messages en tant que domaines locaux. Domaine autorisé : les e-mails sont acceptés. Utilisez les domaines autorisés pour gérer les exceptions. Domaine refusé : les e-mails sont refusés. Utilisez les domaines refusés pour gérer les exceptions. Placez le curseur de la souris sur le champ pour voir le format recommandé. Vous devez configurer au moins un domaine local. Ajouter la recherche MX Supprimer les éléments sélectionnés Sélectionnez cette option pour spécifier un domaine que l'appliance utilisera pour identifier toutes les adresses IP du serveur de messagerie à partir duquel elle va remettre les messages. Supprimez l'élément sélectionné du tableau. Vous devez appliquer les modifications avant que l'élément ne soit totalement supprimé de la configuration de l'appliance. McAfee Email Gateway 7.0 Appliances Guide d'installation 53
2 Installation de l'appliance McAfee Email Gateway Utilisation de la console de configuration Routage des domaines Après l'exécution de l'assistant de configuration, vous pouvez gérer les domaines depuis Messagerie Configuration des e-mails Envoi d'e-mails. Domaine Type Affiche une liste de domaines. Nom de domaine : par exemple, example.dom. L'appliance utilise cette option pour comparer l'adresse e-mail du destinataire et la connexion par rapport à une recherche d'enregistrement A. Adresse réseau : par exemple, 192.168.0.2/32 ou 192.168.0.0/24. L'appliance utilise cette option pour comparer le littéral d'adresse IP du destinataire, comme user@[192.168.0.2] ou la connexion. Recherche d'enregistrements MX : par exemple, example.dom. L'appliance utilise cette option pour comparer la connexion par rapport à une recherche d'enregistrements MX. Nom de domaine comprenant des caractères génériques : par exemple, *.example.dom. L'appliance n'utilise ces informations que pour comparer l'adresse e-mail du destinataire. Liste de relais/ Enregistrement MX Ajouter la liste de relais Affiche la liste de relais ou l'enregistrement MX pour le domaine sélectionné. Cliquez sur cette option pour remplir le tableau Hôtes relais et domaines connus avec une liste des noms d'hôtes ou des adresses IP en vue de la remise. La remise sera tentée dans l'ordre spécifié, sauf si vous sélectionnez l'option Répétition alternée - Hôtes ci-dessus qui répartira la charge entre les hôtes spécifiés. Les noms d'hôtes/adresses IP peuvent inclure un numéro de port. Ajouter la recherche MX Cliquez sur cette option pour remplir le tableau Hôtes relais et domaines connus avec une recherche d'enregistrements MX afin de déterminer les adresses IP en vue de la remise. Une tentative de remise aux noms d'hôtes renvoyés par la recherche MX sera exécutée dans l'ordre de priorité donné par le serveur DNS. Supprimer les éléments sélectionnés Activer la recherche DNS pour les domaines non répertoriés ci-dessus Supprimez l'élément sélectionné du tableau. Vous devez appliquer les modifications avant que l'élément ne soit totalement supprimé de la configuration de l'appliance. Cette option permet à l'appliance d'utiliser la méthode DNS pour acheminer les messages pour les autres domaines non spécifiés. La remise DNS effectue une tentative de recherche d'enregistrement MX. S'il n'y a aucun enregistrement MX, une recherche d'enregistrement A est effectuée. Si vous décochez cette case, l'appliance ne remettra les e-mails qu'aux domaines figurant dans la liste Hôtes relais et domaines connus. 54 McAfee Email Gateway 7.0 Appliances Guide d'installation
Installation de l'appliance McAfee Email Gateway Utilisation de la console de configuration 2 Page Paramètres de base (configuration en mode de chiffrement uniquement) Cette page permet de spécifier les paramètres de base de l'appliance lors de la sélection de l'assistant Configuration en mode de chiffrement uniquement. L'appliance tente de vous transmettre certaines informations et les affiche surlignées en jaune. Pour modifier ces informations, cliquez dessus et écrasez-les. Mode cluster Définit les options présentes sur la page Gestion du cluster de l'assistant de configuration. Désactivé : il s'agit d'une appliance standard. Analyseur de cluster : l'appliance reçoit sa charge de travail d'analyse d'une appliance principale. Appliance principale de cluster : l'appliance contrôle la charge de travail d'analyse de plusieurs autres appliances. Appliance de reprise automatique de cluster : en cas de panne de l'appliance principale, cette appliance contrôle la charge de travail d'analyse à sa place. Nom de périphérique Nom de domaine Passerelle par défaut Routeur correspondant au tronçon suivant Interface réseau Sélectionner un port de gestion Définit un nom, par exemple, appliance1. Définit un nom, par exemple, domaine1.com. Définit une adresse IPv4 (par exemple, 198.168.10.1). Vous pourrez vérifier ultérieurement que l'appliance communique avec ce serveur. Définit une adresse IPv6 (par exemple, FD4A:A1B2:C3D4::1). Cette option est disponible lorsque vous définissez le routeur correspondant au tronçon suivant pour IPv6. Définit le port gérant la passerelle. Par défaut, McAfee Email Gateway utilise le port 10443. Page Paramètres réseau (configuration en mode de chiffrement uniquement) Ces options permettent d'afficher et de configurer l'adresse IP et les vitesses réseau pour l'appliancemcafee Email Gateway en tant qu'appliance en mode de chiffrement uniquement. Vous pouvez utiliser des adresses IPv4 et IPv6, séparément ou en les combinant. Afin d'éviter la présence d'adresses IP en double sur votre réseau et de contrecarrer les plans des pirates informatiques, vous devez désactiver les adresses IP par défaut de l'appliance et lui en attribuer de nouvelles. Les adresses IP doivent être uniques et adaptées à votre réseau. Indiquez autant d'adresses IP que nécessaire. <mode> Interface réseau 1 Interface réseau 2 Mode de fonctionnement défini lors de l'installation ou dans l'assistant de configuration Permet d'afficher l'adresse IP et le masque réseau associés à l'interface réseau 1, l'état de l'autonégociation et la taille MTU. Permet d'afficher l'adresse IP et le masque réseau associés à l'interface réseau 2, l'état de l'autonégociation et la taille MTU. McAfee Email Gateway 7.0 Appliances Guide d'installation 55
2 Installation de l'appliance McAfee Email Gateway Utilisation de la console de configuration Modifier les paramètres réseau Afficher la disposition de l'interface réseau Cliquez sur cette option pour ouvrir l'assistant d'interface réseau afin de spécifier l'adresse IP et les paramètres d'adaptateur pour NIC 1 et NIC 2, et de changer le mode de fonctionnement choisi. Cliquez sur cette option pour voir le <?> associé aux ports LAN1 et LAN2, ainsi que l'interface hors bande. Page Gestion du cluster (configuration en mode de chiffrement uniquement) La gestion du cluster permet d'indiquer les exigences relatives à l'équilibrage de charge. Selon le mode cluster que vous avez sélectionné sur la page Paramètres de base, différentes modifications sont apportées aux options présentes sur la page Gestion du cluster. Configuration de gestion du cluster (appliance standard) Ne pas utiliser. La gestion du cluster est désactivée. Gestion du cluster (analyseur de cluster) Identificateur de cluster Si vous disposez de plusieurs clusters ou serveurs McAfee Content Security Blade Servers sur le même sous-réseau, attribuez un Identificateur de cluster à chacun pour vous assurer que les clusters n'entrent pas en conflit. La valeur peut être comprise en 0 et 255. Gestion du cluster (appliance principale de cluster) En mode proxy explicite ou routeur transparent, vous pouvez activer la reprise automatique entre deux appliances d'un cluster en attribuant une adresse IP virtuelle à une appliance et en configurant une autre appliance en tant qu'appliance de reprise automatique de cluster avec la même adresse virtuelle. En mode pont transparent, vous pouvez l'activer en définissant une priorité STP élevée pour une appliance et en configurant une autre appliance en tant qu'appliance de reprise automatique de cluster avec une priorité STP moins élevée. Identificateur de cluster Adresse à utiliser pour l'équilibrage de charge Activer l'analyse sur cette appliance Si vous disposez de plusieurs clusters ou serveurs McAfee Content Security Blade Servers sur le même sous-réseau, attribuez un Identificateur de cluster à chacun pour vous assurer que les clusters n'entrent pas en conflit. La valeur peut être comprise en 0 et 255. Définit l'adresse de l'appliance. Si cette option n'est pas sélectionnée, cette appliance distribue l'ensemble de la charge de travail d'analyse aux appliances d'analyse. Pour un cluster d'appliance, si vous ne disposez que d'une appliance principale et d'une de reprise automatique, toutes les deux configurées pour analyser le trafic, l'appliance principale enverra la plupart des connexions à l'appliance de reprise automatique pour analyse. 56 McAfee Email Gateway 7.0 Appliances Guide d'installation
Installation de l'appliance McAfee Email Gateway Utilisation de la console de configuration 2 Gestion du cluster (appliance de reprise automatique de cluster) Adresse à utiliser pour l'équilibrage de charge Identificateur de cluster Activer l'analyse sur cette appliance Définit l'adresse de l'appliance. Fournit la liste de tous les sous-réseaux attribués à l'appliance. Si vous disposez de plusieurs clusters ou serveurs McAfee Content Security Blade Servers sur le même sous-réseau, attribuez un Identificateur de cluster à chacun pour vous assurer que les clusters n'entrent pas en conflit. La valeur peut être comprise en 0 et 255. Si cette option n'est pas sélectionnée, cette appliance distribue l'ensemble de la charge de travail d'analyse aux appliances d'analyse. Pour un cluster d'appliance, si vous ne disposez que d'une appliance principale et d'une de reprise automatique, toutes les deux configurées pour analyser le trafic, l'appliance principale enverra la plupart des connexions à l'appliance de reprise automatique pour analyse. Page DNS et routage (configuration en mode de chiffrement uniquement) Cette page permet de configurer l'utilisation de DNS et des itinéraires par l'appliance. Les serveurs DNS (Domain Name System) convertissent ou «mappent» les noms des périphériques réseau en adresses IP (et inversement). L'appliance envoie les requêtes aux serveurs DNS dans l'ordre dans lequel elles sont répertoriées ici. Adresses du serveur DNS Adresse du serveur Nouveau serveur/ Supprimer les serveurs sélectionnés N'envoyer des requêtes qu'à ces serveurs Affiche les adresses IP des serveurs DNS. Le premier serveur de la liste doit être votre serveur le plus rapide ou le plus fiable. Si le premier serveur ne peut répondre à la requête, l'appliance contacte le deuxième serveur. Si aucun des serveurs de la liste ne peut répondre à la requête, l'appliance transmet la requête aux serveurs DNS racines sur Internet. Si votre pare-feu empêche la recherche DNS (généralement sur le port 53), indiquez l'adresse IP du périphérique local qui fournit la résolution de nom. Permet d'ajouter un nouveau serveur à la liste ou d'en supprimer un lorsque vous devez, par exemple, mettre un serveur hors service en raison de modifications du réseau. sélectionnée par défaut. McAfee recommande de laisser cette option sélectionnée car elle peut accélérer les requêtes DNS puisque l'appliance envoie les requêtes uniquement aux serveurs DNS indiqués. Si l'adresse n'est pas connue, les requêtes sont transmises aux serveurs DNS racines sur Internet. Lorsqu'une réponse est donnée, l'appliance la reçoit et la met en cache de façon à ce que les autres serveurs qui interrogent ce serveur DNS puissent obtenir une réponse rapidement. Si vous désélectionnez cette option, l'appliance tente d'abord de répondre aux requêtes ou peut interroger des serveurs DNS qui se trouvent hors du réseau. Paramètres de routage Adresse réseau Saisissez l'adresse réseau de l'itinéraire. Masque Spécifie le nombre d'hôtes sur votre réseau (par exemple 255.255.255.0). McAfee Email Gateway 7.0 Appliances Guide d'installation 57
2 Installation de l'appliance McAfee Email Gateway Utilisation de la console de configuration Passerelle Mesure Nouvel itinéraire/ Supprimer les itinéraires sélectionnés Activer le routage dynamique Définit l'adresse IP du routeur utilisé comme tronçon suivant en dehors du réseau. L'adresse 0.0.0.0 (IPv4) ou :: (IPv6) signifie que le routeur n'a pas de passerelle par défaut. Indique la préférence donnée à l'itinéraire. Une valeur faible indique une préférence élevée pour cet itinéraire. Ajoutez un nouvel itinéraire à la table ou supprimez-en plusieurs. Utilisez les flèches pour déplacer les itinéraires vers le haut ou le bas de la liste. Les itinéraires sont sélectionnés selon leur valeur de préférence. Utilisez cette option en mode routeur transparent uniquement. Une fois activée, l'appliance peut : recevoir les informations de routage de diffusion reçues via RIP (par défaut) qu'elle applique à sa table de routage de façon à ce que vous n'ayez pas à dupliquer ces informations sur l'appliance qui est déjà présente sur le réseau ; diffuser les informations de routage si des itinéraires statiques ont été configurés à partir de l'interface utilisateur via RIP. Page Paramètres temporels Cette page permet de définir l'heure et la date, ainsi que tous les détails d'utilisation du protocole NTP (Network Time Protocol). Fuseau horaire de l'appliance Heure de l'appliance (UTC) Définir maintenant Heure du client Synchroniser l'appliance avec le client Indique le fuseau horaire de l'appliance. Vous devrez sans doute définir ce paramètre deux fois par an si votre région utilise l'heure d'été. Indique la date et l'heure UTC de l'appliance. Pour sélectionner la date, cliquez sur l'icône en forme de calendrier. Vous pouvez déterminer l'heure UTC à partir de sites web tels que http://www.worldtimeserver.com. Lorsque vous cliquez sur cette option, la date et l'heure UTC que vous avez spécifiées sur cette ligne sont appliquées. Affiche l'heure de l'ordinateur client sur lequel votre navigateur est actuellement connecté à l'appliance. Lorsque cette option est sélectionnée, l'option Heure de l'appliance (UTC) prend immédiatement la valeur de l'option Heure du client. Vous pouvez cocher cette case en tant qu'alternative au paramétrage manuel de l'option Heure de l'appliance (UTC). L'appliance calcule l'heure UTC en fonction du fuseau horaire trouvé dans le navigateur du client. Assurez-vous que l'ordinateur client est configuré pour le passage à l'heure d'été. Sur Microsoft Windows, ce paramètre est accessible en cliquant avec le bouton droit sur le coin inférieur droit de l'écran. Activer NTP Activer les diffusions vers les clients NTP Permet d'accepter les messages NTP provenant d'un serveur spécifié ou d'un réseau. Le protocole NTP synchronise les horloges des différents périphériques d'un réseau. Certains fournisseurs d'accès Internet (FAI) fournissent un service de synchronisation d'horloge. Les messages NTP n'ont pas d'incidence particulière sur les performances de l'appliance car ils ne sont pas souvent envoyés. Permet d'accepter uniquement les messages NTP provenant des réseaux. Cette méthode est utile si le réseau est encombré. Cependant, elle nécessite que tous les autres périphériques du réseau soient efficacement protégés. Lorsque cette option est désélectionnée, seuls les messages NTP provenant de serveurs de la liste sont acceptés. 58 McAfee Email Gateway 7.0 Appliances Guide d'installation
Installation de l'appliance McAfee Email Gateway Utilisation de la console de configuration 2 Serveur NTP Nouveau serveur Indique l'adresse réseau ou le nom de domaine d'un ou de plusieurs serveurs NTP utilisés par l'appliance. Par exemple : time.nist.gov. Si vous spécifiez plusieurs serveurs, l'appliance examine successivement chaque message NTP afin de déterminer l'heure appropriée. Saisissez l'adresse IP d'un nouveau serveur NTP. Page Mot de passe (configuration en mode de chiffrement uniquement) Spécifiez un mot de passe pour l'appliance. Utilisez des lettres et des chiffres pour créer un mot de passe sécurisé. Vous pouvez saisir jusqu'à 15 caractères. ID utilisateur Mot de passe actuel Nouveau mot de passe/ Confirmer le nouveau mot de passe L'ID utilisateur est admin. Vous pourrez ajouter d'autres utilisateurs ultérieurement. Mot de passe existant. Le mot de passe par défaut est password. Modifiez le mot de passe dès que possible pour garantir la sécurité de votre appliance. Permet de spécifier le nouveau mot de passe. Vous devez saisir le nouveau mot de passe deux fois afin de le confirmer. Page Synthèse (configuration en mode de chiffrement uniquement) Consultez une synthèse des paramètres que vous avez établis pour les connexions réseau et l'analyse du trafic des e-mails. Pour modifier une valeur, cliquez sur le lien bleu pour afficher la page dans laquelle elle a été saisie. Lorsque vous cliquez sur Terminer, l'assistant de configuration se ferme. Utilisez l'adresse IP indiquée ici pour accéder à l'interface. Par exemple, https://192.168.200.10. L'adresse commence par https et non par http. Si vous avez configuré votre appliance McAfee Email Gateway pour fournir Secure Web Mail, vous devez ensuite accéder à l'appliance à l'aide du port 10443. Ainsi, comme dans l'exemple ci-dessus, vous devez entrer https://192.168.200.10:10443. Lorsque vous vous connectez pour la première fois à l'interface, saisissez le nom d'utilisateur admin et le mot de passe que vous avez donné sur la page Mot de passe. Tableau 2-5 Paramètres de base La valeur est définie selon les meilleures pratiques. La valeur est probablement incorrecte. Bien que la valeur soit valide, elle n'est pas définie selon les meilleures pratiques. Vérifiez la valeur avant de poursuivre. Aucune valeur n'a été définie. La valeur par défaut n'a pas été modifiée. Vérifiez la valeur avant de poursuivre. McAfee Email Gateway 7.0 Appliances Guide d'installation 59
3 Présentation du tableau de bord Cette section décrit la page Tableau de bord et explique comment y modifier les préférences. Tableau de bord Le tableau de bord présente une synthèse de l'activité de l'appliance. Tableau de bord Cette page permet d'accéder à la plupart des autres pages qui contrôlent l'appliance. Sur l'appliance principale d'un cluster, cette page permet également d'afficher une synthèse de l'activité du cluster d'appliances. pour modifier l'affichage dans une section, cliquez sur Modifier afin d'ouvrir une autre fenêtre. McAfee Email Gateway 7.0 Appliances Guide d'installation 61
3 Présentation du tableau de bord Tableau de bord Avantages du tableau de bord Le tableau de bord propose un seul emplacement pour afficher les synthèses des activités de l'appliance via une série de portlets. Figure 3-1 Portlets du tableau de bord Certains portlets affichent des graphiques représentant l'activité de l'appliance au cours des périodes suivantes : 1 heure 2 semaines 1 jour (par défaut) 4 semaines 1 semaine Dans le tableau de bord, vous pouvez modifier les informations et les graphiques affichés : Développez et réduisez les données du portlet à l'aide des icônes et situés dans le coin supérieur droit du portlet. Accédez à des données spécifiques à l'aide des icônes et. Un indicateur d'état signale si l'élément requiert une attention particulière : Conforme. Les éléments signalés fonctionnent correctement. Requiert une attention immédiate. Un seuil critique a été dépassé. Désactivé. Un service n'est pas activé. 62 McAfee Email Gateway 7.0 Appliances Guide d'installation