MCAFEE EMAIL GATEWAY 7.X - APPLIANCES - GUIDE D'INSTALLATION
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Guide d'installation Révision B McAfee® Email Gateway 7.x — Appliances
COPYRIGHT Copyright © 2013 McAfee, Inc. Copie sans autorisation interdite. DROITS DE MARQUES McAfee, le logo McAfee, McAfee Active Protection, McAfee AppPrism, McAfee Artemis, McAfee CleanBoot, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM, McAfee Enterprise Mobility Management, Foundscore, Foundstone, McAfee NetPrism, McAfee Policy Enforcer, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, SecureOS, McAfee Shredder, SiteAdvisor, SmartFilter, McAfee Stinger, McAfee Total Protection, TrustedSource, VirusScan, WaveSecure et WormTraq sont des marques commerciales ou des marques commerciales déposées de McAfee, Inc. ou de ses filiales aux Etats‑Unis et dans d'autres pays. Les autres noms et marques sont la propriété de leurs détenteurs respectifs. INFORMATIONS DE LICENCE Accord de licence À L'ATTENTION DE TOUS LES UTILISATEURS : VEUILLEZ LIRE ATTENTIVEMENT L'ACCORD LÉGAL APPROPRIÉ CORRESPONDANT À LA LICENCE QUE VOUS AVEZ ACHETÉE, QUI DÉFINIT LES CONDITIONS GÉNÉRALES D'UTILISATION DU LOGICIEL SOUS LICENCE. SI VOUS NE CONNAISSEZ PAS LE TYPE DE LICENCE QUE VOUS AVEZ ACQUIS, CONSULTEZ LES DOCUMENTS DE VENTE, D'ATTRIBUTION DE LICENCE OU LE BON DE COMMANDE QUI ACCOMPAGNENT LE LOGICIEL OU QUE VOUS AVEZ REÇUS SÉPARÉMENT LORS DE L'ACHAT (SOUS LA FORME D'UN LIVRET, D'UN FICHIER SUR LE CD- ROM DU PRODUIT OU D'UN FICHIER DISPONIBLE SUR LE SITE WEB À PARTIR DUQUEL VOUS AVEZ TÉLÉCHARGÉ LE PACKAGE LOGICIEL). SI VOUS N'ACCEPTEZ PAS TOUTES LES DISPOSITIONS DE CET ACCORD, NE PROCÉDEZ PAS À L'INSTALLATION DU LOGICIEL. LE CAS ÉCHÉANT, VOUS POUVEZ RETOURNER LE PRODUIT À MCAFEE OU À VOTRE REVENDEUR AFIN D'EN OBTENIR LE REMBOURSEMENT INTÉGRAL. 2 McAfee® Email Gateway 7.x — Appliances Guide d'installation
Sommaire
Préface 5
Présentation de ce guide . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Public visé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Conventions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Comment utiliser ce guide . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Accès à la documentation sur le produit . . . . . . . . . . . . . . . . . . . . . . . . . 7
1 Préparation de l'installation 9
Contenu de la boîte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Préparation de l'installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Utilisation inappropriée . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Conditions de fonctionnement . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Positionnement de l'appliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Eléments à prendre en compte concernant les modes réseau . . . . . . . . . . . . . . . . 11
Mode pont transparent . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Mode routeur transparent . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Mode proxy explicite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Stratégies de déploiement pour utiliser le périphérique dans une zone démilitarisée (DMZ) . . . . 17
Configuration SMTP dans une zone démilitarisée (DMZ) . . . . . . . . . . . . . . . 17
Gestion de la charge de travail . . . . . . . . . . . . . . . . . . . . . . . . . 19
2 Installation de l'appliance McAfee Email Gateway 21
Référence rapide d'installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Ports et connexions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Installation physique de l'appliance . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Montage de l'appliance dans un rack . . . . . . . . . . . . . . . . . . . . . . . 22
Connexion au réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
Numéros de ports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
Utilisation de connexions LAN cuivre . . . . . . . . . . . . . . . . . . . . . . . 23
Utilisation de connexions LAN fibre optique . . . . . . . . . . . . . . . . . . . . 24
Ecran, souris et clavier . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
Alimentation de l'appliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
Installation du logiciel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Tâche — Télécharger le logiciel d'installation . . . . . . . . . . . . . . . . . . . 25
Tâche — Créer un CD à partir d'une image logicielle d'installation . . . . . . . . . . . 26
Utilisation de la console de configuration . . . . . . . . . . . . . . . . . . . . . . . . 26
Configuration standard . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
Configuration personnalisée . . . . . . . . . . . . . . . . . . . . . . . . . . 27
Restauration à partir d'un fichier . . . . . . . . . . . . . . . . . . . . . . . . 27
Configuration de gestion ePolicy Orchestrator . . . . . . . . . . . . . . . . . . . 28
Configuration en mode de chiffrement uniquement . . . . . . . . . . . . . . . . . 30
3 Présentation du tableau de bord 31
Tableau de bord . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
Avantages du tableau de bord . . . . . . . . . . . . . . . . . . . . . . . . . 31
McAfee® Email Gateway 7.x — Appliances Guide d'installation 3Sommaire
Portlets du tableau de bord . . . . . . . . . . . . . . . . . . . . . . . . . . 32
4 Test de la configuration 35
Tâche — Tester la connectivité . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
Tâche — Mettre à jour les fichiers DAT . . . . . . . . . . . . . . . . . . . . . . . . . 35
Tâche — Tester la détection du trafic d'e-mails et des virus . . . . . . . . . . . . . . . . 36
Tâche — Tester la détection de spam . . . . . . . . . . . . . . . . . . . . . . . . . 37
5 Exploration des fonctionnalités de l'appliance 39
Présentation des stratégies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
Chiffrement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
Tâche — Identifier les e-mails mis en quarantaine . . . . . . . . . . . . . . . . . 41
Paramètres de conformité . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
Paramètres Data Loss Prevention . . . . . . . . . . . . . . . . . . . . . . . . 45
Index 47
4 McAfee® Email Gateway 7.x — Appliances Guide d'installationPréface
Ce guide fournit les informations nécessaires à l'installation du produit McAfee.
Sommaire
Présentation de ce guide
Accès à la documentation sur le produit
Présentation de ce guide
Cette section présente le public ciblé par ce guide, les conventions typographiques et les icônes
utilisées ainsi que la structure du guide.
Public visé
La documentation de McAfee a été préparée de façon minutieuse et est spécifiquement conçue pour le
public visé.
Les informations présentées dans ce guide sont destinées principalement aux personnes suivantes :
• Administrateurs : personnes qui appliquent et font respecter le programme de sécurité de
l'entreprise.
Conventions
Les conventions typographiques et icônes suivantes sont respectées dans le présent guide.
Titre du manuel, terme, Titre d'un manuel, chapitre ou rubrique ; nouveau terme ; accentuation.
accentuation
Gras Texte mis en évidence de manière particulière.
Entrée utilisateur, Commandes et autre texte saisi par l'utilisateur ; exemple de code ;
code, message message affiché.
Texte d'interface Termes de l'interface du produit, par exemple les options, menus,
boutons et boîtes de dialogue.
Lien hypertexte bleu Lien actif vers une rubrique ou un site web externe.
Remarque : Informations complémentaires, par exemple un autre
moyen d'accéder à une option.
Conseil : Suggestions et recommandations.
Important/Attention : Conseil important visant à protéger un
système informatique, l'installation d'un logiciel, un réseau ou des
données.
Avertissement : Conseil crucial visant à empêcher les dommages
corporels lors de l'utilisation du matériel informatique.
McAfee® Email Gateway 7.x — Appliances Guide d'installation 5Préface
Présentation de ce guide
Conventions graphiques
Découvrez les symboles graphiques utilisés dans ce document.
Appliance Réseaux Internet ou
externes
Serveur de messagerie Autres serveurs (DNS, par
exemple)
Ordinateur d'utilisateur ou Routeur
ordinateur client
Commutateur Pare‑feu
Zone réseau (démilitarisée DMZ ou Réseau
VLAN)
Chemin d'accès réel des données Chemin d'accès perçu des
données
Définitions des termes utilisés dans ce guide
Découvrez certains termes clés utilisés dans ce document.
Terme Définition
Zone démilitarisée Hôte ou petit réseau qui fait office de tampon entre un réseau privé et le
(DMZ) réseau public extérieur, dans le but d'interdire un accès direct de la part des
utilisateurs extérieurs aux ressources du réseau privé.
Fichiers DAT Fichiers de définition de détection (DAT), également appelés fichiers de
signatures, contenant les définitions qui identifient, détectent et réparent les
virus, les chevaux de Troie, les logiciels espions (spywares), les logiciels
publicitaires (adwares) et les programmes potentiellement indésirables (PUP).
Mode de Le produit dispose de trois modes de fonctionnement : proxy explicite,
fonctionnement routeur transparent et pont transparent.
Stratégie Ensemble de critères de sécurité, par exemple des paramètres de
configuration, des bases de référence et des spécifications d'accès réseau, qui
permet de définir le niveau de conformité requis pour les utilisateurs, les
périphériques et les systèmes évalués ou mis en œuvre par une application de
sécurité McAfee.
Vérification par le Fait partie de l'authentification de l'expéditeur. Si la vérification d'un
service de réputation expéditeur soumis au service de réputation échoue, l'appliance est
paramétrée de façon à refermer la connexion et à refuser le message
correspondant. L'adresse IP de l'expéditeur est ajoutée à la liste des
connexions bloquées et est automatiquement bloquée au niveau du noyau.
6 McAfee® Email Gateway 7.x — Appliances Guide d'installationPréface
Accès à la documentation sur le produit
Comment utiliser ce guide
Cette section présente brièvement les informations contenues dans ce document.
Ce guide vous aidera à procéder aux opérations suivantes :
• Prévoir et effectuer votre installation
• Vous familiariser avec l'interface
• Tester le bon fonctionnement du produit
• Appliquer les fichiers de définition de détection les plus récents
• Explorer des stratégies d'analyse, créer des rapports et obtenir des informations d'état
• Résoudre les problèmes de base
Des informations supplémentaires sur les fonctionnalités d'analyse du produit sont disponibles dans
l'aide en ligne du produit et dans la dernière version du Guide de l'administrateur de McAfee Email
Gateway.
Accès à la documentation sur le produit
McAfee fournit les informations nécessaires à chaque phase de la mise en œuvre du produit, de
l'installation à l'utilisation au quotidien et à la résolution de problèmes. Après la distribution d'un
produit, des informations le concernant sont publiées dans la base de connaissances en ligne
(KnowledgeBase) de McAfee.
Procédure
1 Accédez au portail de support technique ServicePortal McAfee à l'adresse http://
mysupport.mcafee.com.
2 Sous Self Service (Libre service), accédez au type d'informations dont vous avez besoin :
Pour accéder à Opérations à exécuter
Documentation 1 Cliquez sur Product Documentation (Documentation produit).
utilisateur
2 Sélectionnez un produit, puis une version.
3 Sélectionnez un document.
Base de connaissances • Cliquez sur Search the KnowledgeBase (Rechercher dans la base de
(KnowledgeBase) connaissances) pour trouver des réponses aux questions que vous
vous posez sur le logiciel.
• Cliquez sur Browse the KnowledgeBase (Parcourir la base de
connaissances) pour obtenir une liste des articles par produit et
version.
McAfee® Email Gateway 7.x — Appliances Guide d'installation 7Préface
Accès à la documentation sur le produit
8 McAfee® Email Gateway 7.x — Appliances Guide d'installation1 Préparation de l'installation
Pour assurer l'utilisation en toute sécurité de McAfee Email Gateway Appliance, prenez en compte les
éléments suivants avant de commencer l'installation.
• Vous devez vous familiariser avec ses fonctionnalités et modes de fonctionnement. Il est important
de choisir une configuration correcte.
• Déterminez la manière dont vous souhaitez intégrer l'appliance dans votre réseau, ainsi que les
informations dont vous avez besoin avant de commencer l'installation. Par exemple, le nom et
l'adresse IP du périphérique.
• Déballez le produit le plus près possible de son emplacement prévu.
• Retirez le produit de son emballage et placez‑le sur une surface plane.
• Respectez tous les avertissements de sécurité fournis.
Passez en revue toutes les informations de sécurité fournies et familiarisez‑vous avec elles.
Sommaire
Contenu de la boîte
Préparation de l'installation
Utilisation inappropriée
Conditions de fonctionnement
Positionnement de l'appliance
Eléments à prendre en compte concernant les modes réseau
Stratégies de déploiement pour utiliser le périphérique dans une zone démilitarisée (DMZ)
Contenu de la boîte
Découvrez comment vérifier si la livraison de votre produit est complète.
Pour vérifier que tous les composants ont été livrés, consultez la liste de pièces fournie avec votre
produit.
De façon générale, vous devriez avoir les éléments suivants :
• Une appliance
• Des cordons d'alimentation
• Des câbles réseau
• Un CD d'installation et de récupération McAfee Email Gateway
• Un CD de code source Linux
• Le CD de documentation
McAfee® Email Gateway 7.x — Appliances Guide d'installation 91
Préparation de l'installation
Préparation de l'installation
En cas d'élément manquant ou endommagé, contactez votre fournisseur.
Préparation de l'installation
Découvrez comment préparer l'installation de votre périphérique.
Avant de déballer votre appliance McAfee Email Gateway, il est important de préparer l'installation et
le déploiement.
Prenez en compte les éléments suivants :
• Exigences environnementales
Informations sur les exigences de site environnementales, y compris la température, le débit d'air
et l'espace.
• Exigences et éléments à prendre en compte pour l'alimentation
Exigences d'alimentation et facteurs électriques à prendre en compte avant l'installation.
• Spécifications et exigences matérielles
• Scénarios de configuration
• Préparation de l'installation
Utilisation inappropriée
Découvrez comment éviter d'utiliser ce produit de façon inappropriée.
McAfee Email Gateway est :
• N'est pas un pare‑feu — Vous devez l'utiliser au sein de votre entreprise, derrière un pare‑feu
correctement configuré.
• N'est pas un serveur de stockage de logiciels et fichiers supplémentaires — N'installez pas
de logiciel sur le périphérique et n'y ajoutez aucun fichier supplémentaire, à moins d'avoir reçu une
instruction en ce sens dans la documentation ou de la part du représentant du support technique.
Le périphérique ne gère pas tous les types de trafics. Si vous utilisez le mode proxy explicite, seuls les
protocoles à analyser doivent être envoyés au périphérique.
Conditions de fonctionnement
Découvrez les conditions environnementales nécessaires pour votre appliance McAfee Email Gateway.
Température de fonctionnement +10 à +30 °C ou +10 à +35 °C (selon le modèle), avec un taux
de variation maximal de 10 °C par heure
Température à l'arrêt ‑40 à +70 °C
Taux d'humidité relative à l'arrêt 90 %, sans condensation, à 35 °C
Vibration, sans emballage 5 à 500 Hz, 2,20 g RMS aléatoire
Choc, en fonctionnement Semi‑sinusoïdal, pic de 2 g, 11 ms
Choc, sans emballage, trapézoïdal 25 g, variation de vitesse 345 cm/s (≧ 18 kg à > 36 kg)
Conditions de refroidissement du 1 660 BTU/h ou 2 550 BTU/h (selon le modèle)
système en BTU/h
10 McAfee® Email Gateway 7.x — Appliances Guide d'installation1
Préparation de l'installation
Positionnement de l'appliance
Positionnement de l'appliance
Découvrez où placer l'appliance McAfee Email Gateway avant de la configurer et de l'utiliser.
Sélectionnez la position finale de l'appliance, puis installez‑la, de sorte qu'elle respecte les conditions
de fonctionnement, que vous puissiez contrôler l'accès physique à l'appliance et que vous puissiez
accéder à tous les ports et connexions des panneaux avant et arrière.
Un kit de montage en rack est fourni avec l'appliance ; vous pouvez ainsi l'installer dans un rack 19
pouces.
Eléments à prendre en compte concernant les modes réseau
Découvrez les modes de fonctionnement (ou réseau) dans lesquels peut fonctionner le périphérique.
Avant d'installer et de configurer votre appliance McAfee Email Gateway, vous devez décider du mode
réseau à utiliser. Le mode choisi détermine la connexion physique de l'appliance à votre réseau.
Vous avez le choix entre les modes réseau suivants :
• Mode pont transparent : le périphérique agit en tant que pont Ethernet.
• Mode routeur transparent : le périphérique agit en tant que routeur.
• Mode proxy explicite : le périphérique agit en tant que serveur proxy et relais de messagerie.
Si, après avoir lu la présente section et les suivantes, vous n'êtes toujours pas certain du mode à
choisir, contactez votre expert réseau.
Eléments architecturaux à prendre en compte concernant les modes réseau
Les principaux éléments à prendre en compte concernant les modes réseau sont les suivants :
• Savoir si les périphériques de communication reconnaissent la présence du périphérique,
c'est‑à‑dire, si le périphérique fonctionne dans l'un des modes transparents.
• Comment le périphérique est‑il physiquement connecté au réseau ?
• Quelle est la configuration nécessaire à l'intégration du périphérique au réseau ?
• Où la configuration a‑t‑elle lieu dans le réseau ?
Eléments à prendre en compte avant de changer de mode réseau
En mode proxy explicite ou routeur transparent, vous pouvez configurer le périphérique de sorte qu'il
intervienne sur plusieurs réseaux. Pour cela, vous devez configurer plusieurs adresses IP pour les
ports LAN1 et LAN2.
Si vous passez du mode proxy explicite ou du mode routeur transparent au mode pont transparent,
seules les adresses IP activées pour chaque port seront prises en compte.
Une fois que vous avez sélectionné un mode réseau, McAfee conseille de ne pas en changer, sauf si
vous déplacez le périphérique ou restructurez le réseau.
McAfee® Email Gateway 7.x — Appliances Guide d'installation 111
Préparation de l'installation
Eléments à prendre en compte concernant les modes réseau
Mode pont transparent
Découvrez le mode pont transparent disponible sur votre appliance McAfee Email Gateway.
En mode pont transparent, les serveurs qui communiquent ne détectent pas l'intervention du
périphérique. On dit alors que le fonctionnement de ce dernier est transparent.
Figure 1-1 Mode pont transparent — Chemin d'accès aux données
Dans la figure, le serveur de messagerie externe (A) envoie des e‑mails au serveur de messagerie
interne (C). Ce serveur de messagerie externe ne détecte pas que le périphérique (B) a intercepté et
analysé cet e‑mail.
Le serveur de messagerie externe semble communiquer directement avec le serveur de messagerie
interne (le chemin d'accès est représenté en pointillés). En réalité, le trafic peut traverser plusieurs
périphériques réseau et être intercepté et analysé par le périphérique avant d'atteindre le serveur de
messagerie interne.
Fonction du périphérique en mode pont transparent
En mode pont transparent, le périphérique se connecte à votre réseau par l'intermédiaire des ports
LAN1 et LAN2. Il analyse le trafic qu'il reçoit et agit comme un pont, puisqu'il connecte deux segments
de réseau qu'il traite comme un seul réseau logique.
Configuration en mode pont transparent
Le mode pont transparent requiert moins de configuration que les modes routeur transparent et proxy
explicite. Vous n'avez pas besoin de reconfigurer tous vos clients, la passerelle par défaut, les
enregistrements MX, la fonction NAT du pare‑feu ou les serveurs de messagerie pour acheminer le
trafic vers le périphérique. Dans la mesure où ce mode n'utilise pas le périphérique comme un routeur,
vous n'avez pas de table de routage à mettre à jour.
Où installer le périphérique lors de l'utilisation du mode pont transparent
Pour des raisons de sécurité, vous devez utiliser le périphérique à l'intérieur de votre entreprise,
protégé par un pare‑feu.
Figure 1-2 Positionnement en mode pont transparent
En mode pont transparent, positionnez le périphérique entre le pare‑feu et votre routeur comme illustré.
Dans ce mode, vous connectez physiquement deux segments de réseau au périphérique ; celui‑ci les
traite comme un seul réseau logique. Les différents périphériques (pare‑feu, périphérique et routeur)
étant sur le même réseau logique, ils doivent avoir des adresses IP compatibles sur le même
sous‑réseau.
12 McAfee® Email Gateway 7.x — Appliances Guide d'installation1
Préparation de l'installation
Eléments à prendre en compte concernant les modes réseau
Les périphériques (tels qu'un routeur) se trouvant d'un côté du pont et communiquant avec des
périphériques (tels qu'un pare‑feu) situés de l'autre côté du pont ne détectent pas la présence de
celui‑ci. Ils ne détectent pas que le trafic est intercepté et analysé : le périphérique fonctionne comme
un pont transparent.
Figure 1-3 Structure du réseau — Mode pont transparent
Mode routeur transparent
Découvrez le mode routeur transparent disponible sur votre appliance McAfee Email Gateway.
En mode routeur transparent, le périphérique analyse le trafic de messagerie entre deux réseaux. Il
dispose d'une adresse IP pour le trafic analysé sortant, et doit également en avoir une pour le trafic
entrant.
Les serveurs réseau qui communiquent ne détectent pas l'intervention du périphérique (son
fonctionnement est transparent pour les périphériques).
Fonction du périphérique en mode routeur transparent
En mode routeur transparent, le périphérique se connecte à vos réseaux par l'intermédiaire des ports
LAN1 et LAN2. Le périphérique analyse le trafic qu'il reçoit sur un réseau et le transmet sur le
périphérique réseau suivant d'un autre réseau. Il joue ainsi le rôle de routeur, acheminant le trafic
entre des réseaux conformément aux informations fournies par ses tables de routage.
McAfee® Email Gateway 7.x — Appliances Guide d'installation 131
Préparation de l'installation
Eléments à prendre en compte concernant les modes réseau
Configuration en mode routeur transparent
En mode routeur transparent, il n'est pas nécessaire de reconfigurer explicitement tous les
périphériques réseau pour acheminer le trafic vers le périphérique. Il vous suffit de configurer la table
de routage associée au périphérique et de modifier certaines informations de routage concernant les
périphériques réseau placés d'un côté ou de l'autre de celui‑ci (et connectés aux ports LAN1 et LAN2).
Par exemple, vous devez peut‑être définir le périphérique comme la passerelle par défaut.
En mode routeur transparent, le périphérique doit relier deux réseaux. Le périphérique doit être placé
à l'intérieur de l'entreprise, derrière un pare‑feu.
le mode routeur transparent ne prend pas en charge les protocoles autres qu'IP (par exemple NetBEUI
ou IPX) ni le trafic Multicast IP.
Règles de pare‑feu
En mode routeur transparent, le pare‑feu se connecte à l'adresse IP physique pour la connexion LAN1/
LAN2 à la lame de gestion (management blade).
Où installer le périphérique
Utilisez le périphérique en mode routeur transparent pour remplacer un routeur existant sur votre
réseau.
si vous utilisez le mode routeur transparent et que vous ne remplacez pas le routeur existant, vous
devrez reconfigurer une partie de votre réseau pour acheminer correctement le trafic via le
périphérique.
Figure 1-4 Structure du réseau — Mode pont transparent
Vous devez :
• configurer vos périphériques clients pour qu'ils pointent vers la passerelle par défaut ;
• configurer le périphérique pour qu'il utilise la passerelle Internet comme passerelle par défaut ;
• vérifier que les périphériques clients peuvent remettre les e‑mails aux serveurs de messagerie à
l'intérieur de votre entreprise.
14 McAfee® Email Gateway 7.x — Appliances Guide d'installation1
Préparation de l'installation
Eléments à prendre en compte concernant les modes réseau
Mode proxy explicite
Découvrez le mode proxy explicite disponible sur votre appliance McAfee Email Gateway.
En mode proxy explicite, certains périphériques réseau doivent être configurés explicitement pour
acheminer le trafic vers le périphérique. Ce dernier fonctionne alors comme un proxy ou un relais,
traitant le trafic pour le compte de ces périphériques.
Figure 1-5 Mode proxy explicite — Chemin d'accès aux données
Le mode proxy explicite convient idéalement aux réseaux sur lesquels les périphériques clients se
connectent au périphérique via un seul périphérique en amont et en aval.
ce mode risque de ne pas être la meilleure option si la redirection du trafic vers le périphérique exige la
reconfiguration de plusieurs périphériques réseau.
Configuration du réseau et des périphériques
Si le périphérique est en mode proxy explicite, vous devez configurer explicitement votre serveur de
messagerie interne pour qu'il redirige le trafic des e‑mails vers le périphérique. Le périphérique
analyse le trafic des e‑mails pour le compte de l'expéditeur avant de le transférer au serveur de
messagerie externe. Le serveur de messagerie externe transfère ensuite le courrier au destinataire.
De la même façon, le réseau doit être configuré pour que les e‑mails entrants provenant d'Internet
soient remis au périphérique plutôt qu'au serveur de messagerie interne.
Le périphérique analyse le trafic avant de le transférer, pour le compte de l'expéditeur, au serveur de
messagerie interne pour remise au destinataire comme illustré.
Par exemple, un serveur de messagerie externe peut communiquer directement avec le périphérique,
même si le trafic passe par plusieurs serveurs réseau avant d'atteindre le périphérique. Le chemin
perçu est celui du serveur de messagerie externe vers le périphérique.
Protocoles
Pour analyser un protocole pris en charge, vous devez configurer les autres serveurs réseau ou
ordinateurs clients pour qu'ils fassent transiter le trafic de ce protocole par le périphérique afin
qu'aucun trafic ne le contourne.
Règles de pare‑feu
Le mode proxy explicite invalide les règles de pare‑feu éventuellement mises en place pour gérer
l'accès du client à Internet. En effet, le pare‑feu voit l'adresse IP physique du périphérique et non celle
des clients et ne peut donc pas appliquer ses règles d'accès Internet à ces derniers.
Vérifiez que les règles de pare‑feu sont à jour. Le pare‑feu doit accepter le trafic provenant de
l'appliance McAfee® Email Gateway, mais non celui directement envoyé par les périphériques clients.
Définissez des règles de pare‑feu afin d'empêcher le trafic indésirable de pénétrer dans votre
organisation.
McAfee® Email Gateway 7.x — Appliances Guide d'installation 151
Préparation de l'installation
Eléments à prendre en compte concernant les modes réseau
Où installer le périphérique
Vous devez configurer les périphériques réseau afin qu'ils acheminent le trafic à analyser vers
l'appliance McAfee® Email Gateway. Cela est plus important que l'emplacement de l'appliance McAfee®
Email Gateway.
Le routeur doit permettre à tous les utilisateurs de se connecter à l'appliance McAfee® Email Gateway.
Figure 1-6 Positionnement en mode proxy explicite
L'appliance McAfee® Email Gateway doit être placée à l'intérieur de votre organisation, derrière un
pare‑feu, tel qu'illustré à la figure 6 : Configuration en mode proxy explicite.
En règle générale, le pare‑feu est configuré de façon à bloquer le trafic ne provenant pas directement
du périphérique. Si vous avez le moindre doute concernant la topologie de votre réseau et la manière
d'intégrer le périphérique, contactez votre expert réseau.
Utilisez cette configuration si :
• le périphérique fonctionne en mode proxy explicite ;
• vous utilisez une messagerie électronique (SMTP).
Pour cette configuration, vous devez procéder de la manière suivante :
• Configurez les serveurs DNS (Domain Name System, système de noms de domaine) externes ou la
fonction NAT (Network Address Translation, traduction des adresses réseau) du pare‑feu de façon à
ce que le serveur de messagerie externe envoie le courrier au périphérique et non au serveur de
messagerie interne.
• Configurez les serveurs de messagerie internes pour qu'ils envoient le courrier au périphérique.
Autrement dit, les serveurs de messagerie internes doivent utiliser le périphérique en tant qu'hôte
actif. Assurez‑vous que les périphériques clients peuvent remettre les e‑mails aux serveurs de
messagerie au sein de votre entreprise.
• Vérifiez que les règles de pare‑feu sont à jour. Le pare‑feu doit accepter le trafic provenant du
périphérique, mais pas celui qui est directement envoyé par les périphériques clients. Définissez
des règles afin d'empêcher le trafic indésirable de pénétrer dans votre entreprise.
16 McAfee® Email Gateway 7.x — Appliances Guide d'installation1
Préparation de l'installation
Stratégies de déploiement pour utiliser le périphérique dans une zone démilitarisée (DMZ)
Stratégies de déploiement pour utiliser le périphérique dans
une zone démilitarisée (DMZ)
Découvrez les zones démilitarisées de votre réseau et comment les utiliser pour protéger vos serveurs
de messagerie.
Une zone démilitarisée (DMZ) est un réseau séparé de tous les autres par un pare‑feu, y compris
d'Internet et des réseaux internes. En général, la mise en place d'une DMZ a pour but de bloquer
l'accès à des serveurs fournissant des services destinés à Internet, comme la messagerie.
Les pirates informatiques réussissent souvent à accéder à un réseau en identifiant les ports TCP/UDP
sur lesquels les applications écoutent les requêtes et exploitent leurs vulnérabilités connues. Les
pare‑feu diminuent considérablement le risque de tels exploits en contrôlant l'accès à des ports
spécifiques sur des serveurs spécifiques.
Le périphérique peut être facilement intégré à une configuration DMZ. La manière dont vous utilisez le
périphérique dans une DMZ dépend des protocoles que vous avez l'intention d'analyser.
Configuration SMTP dans une zone démilitarisée (DMZ)
Cette section explique comment configurer les périphériques SMTP dans une zone démilitarisée de
votre réseau.
La DMZ est un bon emplacement pour le chiffrement de la messagerie. Avant que le trafic de
messagerie n'atteigne le pare‑feu pour la deuxième fois (en allant de la DMZ à Internet), il a été
chiffré.
Les périphériques qui analysent le trafic SMTP dans une DMZ sont généralement configurés en mode
proxy explicite.
Les modifications de configuration doivent être apportées uniquement aux enregistrements MX pour
les serveurs de messagerie.
REMARQUE : vous pouvez utiliser le mode pont transparent lorsque vous analysez le trafic SMTP dans
une DMZ. Cependant, si vous ne contrôlez pas correctement le flux de trafic, le périphérique analyse
chaque message deux fois, une fois dans chaque direction. Ce mode est donc rarement utilisé pour
l'analyse de trafic SMTP.
Relais de messagerie
Figure 1-7 Configuration en tant que relais de messagerie
Si un relais de messagerie est déjà configuré dans votre DMZ, vous pouvez le remplacer par le
périphérique.
McAfee® Email Gateway 7.x — Appliances Guide d'installation 171
Préparation de l'installation
Stratégies de déploiement pour utiliser le périphérique dans une zone démilitarisée (DMZ)
Pour utiliser vos stratégies de pare‑feu existantes, donnez au périphérique la même adresse IP que le
relais de messagerie.
Passerelle de messagerie
Le SMTP ne fournit pas de méthodes pour chiffrer les e‑mails : vous pouvez utiliser le dispositif TLS
(Transport Layer Security ‑ sécurité de la couche de transport) pour chiffrer le lien, mais pas les
messages. Par conséquent, certaines sociétés ne permettent pas ce trafic sur leur réseau interne. Pour
pallier ce problème, elles utilisent souvent une passerelle de messagerie propriétaire telle que Lotus
Notes® ou Microsoft® Exchange pour chiffrer le trafic de messagerie avant qu'il n'atteigne Internet.
Pour mettre en œuvre une configuration DMZ en utilisant une passerelle de messagerie propriétaire,
ajoutez le périphérique d'analyse à la DMZ du côté SMTP de la passerelle.
Figure 1-8 Configuration en tant que passerelle de messagerie
Dans un tel cas, configurez :
• les enregistrements MX publics de façon à ce qu'ils ordonnent aux serveurs de messagerie externes
d'envoyer tous les messages entrants vers le périphérique (et non vers la passerelle) ;
• le périphérique de façon à ce qu'il transfère tout le courrier entrant vers la passerelle de
messagerie et transmette tout le courrier sortant à l'aide d'un serveur DNS ou d'un relais externe ;
• la passerelle de messagerie de façon à ce qu'elle transfère tout le courrier entrant vers les serveurs
de messagerie internes et le reste du courrier (sortant) vers le périphérique ;
• le pare‑feu de façon à ce qu'il donne accès au courrier entrant destiné au périphérique seulement.
il n'est pas nécessaire de reconfigurer les enregistrements MX publics des pare‑feu configurés de façon
à utiliser la fonction NAT et redirigeant le courrier entrant vers les serveurs de messagerie internes.
Cela est dû au fait qu'ils redirigent le trafic vers le pare‑feu et non vers la passerelle de messagerie.
Dans un tel cas, vous devez reconfigurer le pare‑feu de façon à ce qu'il dirige les requêtes de courrier
entrant vers le périphérique.
18 McAfee® Email Gateway 7.x — Appliances Guide d'installation1
Préparation de l'installation
Stratégies de déploiement pour utiliser le périphérique dans une zone démilitarisée (DMZ)
Règles de pare-feu spécifiques à Lotus Notes
Découvrez comment identifier les éléments spécifiques à prendre en compte lors de la protection des
systèmes Lotus Notes.
Les serveurs Lotus Notes communiquent par défaut par le port TCP 1352. En général, les règles de
pare‑feu suivantes utilisées pour sécuriser les serveurs Notes dans une zone démilitarisée (DMZ)
permettent à ce qui suit de passer au travers du pare‑feu :
• Les requêtes SMTP (port TCP 25) en provenance d'Internet et à destination du périphérique
• Les requêtes du port TCP 1352 en provenance de la passerelle Notes et à destination d'un serveur
Notes interne
• Les requêtes du port TCP 1352 en provenance d'un serveur Notes interne et à destination de la
passerelle Notes
• Les requêtes SMTP en provenance du périphérique et à destination d'Internet
Toutes les autres requêtes SMTP et TCP du port 1352 sont rejetées.
Règles de pare-feu spécifiques à Microsoft Exchange
Découvrez comment identifier les éléments spécifiques à prendre en compte lors de la protection des
systèmes Microsoft Exchange.
Les systèmes de messagerie basés sur Microsoft Exchange rencontrent un problème qui doit être
contourné.
Lorsque les serveurs Exchange communiquent entre eux, ils envoient leurs paquets initiaux en
utilisant le protocole RPC (port TCP 135). Cependant, une fois la communication initiale établie, deux
ports sont sélectionnés de façon dynamique et utilisés pour envoyer tous les paquets suivants jusqu'à
la fin de la communication. Or, il est impossible de configurer un pare‑feu de façon à ce qu'il
reconnaisse des ports sélectionnés de façon dynamique. Par conséquent, le pare‑feu interdit le
passage des paquets.
Pour contourner le problème, il est nécessaire de modifier le registre de chaque serveur Exchange
dont les communications doivent franchir le pare‑feu, de façon à ce que ces serveurs utilisent toujours
les deux mêmes ports « dynamiques », puis d'ouvrir le port TCP 135 ainsi que ces deux ports dans le
pare‑feu.
Nous décrivons cette méthode de contournement du problème dans le souci de fournir une
documentation exhaustive ; en revanche, nous ne la recommandons pas. Le protocole RPC est
largement répandu sur les réseaux Microsoft et la plupart des professionnels de la sécurité
désapprouvent l'ouverture du port TCP 135 dans le sens entrant.
Si vous souhaitez néanmoins utiliser cette méthode, vous pouvez en lire une description plus précise
dans la base de connaissances du site web de Microsoft :
http://support.microsoft.com/kb/q176466/
Gestion de la charge de travail
Découvrez les fonctionnalités de gestion de la charge de travail de l'appliance McAfee Email Gateway.
L'appliance dispose de sa propre gestion de charge de travail interne, qui distribue la charge d'analyse
de façon égale entre toutes les appliances configurées pour travailler ensemble.
Vous n'avez pas besoin de déployer un équilibreur de charge externe.
McAfee® Email Gateway 7.x — Appliances Guide d'installation 191
Préparation de l'installation
Stratégies de déploiement pour utiliser le périphérique dans une zone démilitarisée (DMZ)
20 McAfee® Email Gateway 7.x — Appliances Guide d'installation2 Installation de l'appliance McAfee Email
Gateway
Découvrez le processus recommandé pour installer, connecter et configurer votre appliance McAfee
Email Gateway.
McAfee vous recommande de procéder comme suit, et dans cet ordre, pour installer l'appliance McAfee
Email Gateway :
1 Déballez l'appliance McAfee Email Gateway et vérifiez la présence de toutes les pièces (vérifiez par
rapport aux listes de pièces fournies).
2 Montez l'appliance McAfee Email Gateway en rack.
3 Connectez les périphériques à la source d'alimentation (écran, clavier).
4 Connectez l'appliance McAfee Email Gateway au réseau, en observant les scénarios de déploiement
et le mode réseau désiré.
5 Installez le logiciel sur l'appliance McAfee Email Gateway.
6 Utilisez la console de configuration oiu l'Assistant de configuration pour effectuer la configuration
initiale (nom du serveur, adresses P, passerelle, etc.).
7 Acheminez le trafic réseau test via l'appliance McAfee Email Gateway.
8 Assurez‑vous que le trafic réseau est bien analysé.
9 Configurez les stratégies et la génération de rapports.
10 Acheminez le trafic de production via l'appliance McAfee Email Gateway.
La connexion de l'appliance McAfee Email Gateway à votre réseau peut perturber les services réseau.
Prévoyez ainsi un temps d'indisponibilité du réseau et planifiez cette étape pour des périodes de faible
utilisation du réseau.
Sommaire
Référence rapide d'installation
Ports et connexions
Installation physique de l'appliance
Connexion au réseau
Alimentation de l'appliance
Installation du logiciel
Utilisation de la console de configuration
McAfee® Email Gateway 7.x — Appliances Guide d'installation 212
Installation de l'appliance McAfee Email Gateway
Référence rapide d'installation
Référence rapide d'installation
Cette section fournit des informations générales sur l'ordre d'installation.
1 Déballez la palette et vérifiez le contenu par rapport aux listes de pièces fournies.
2 Connectez les périphériques et la source d'alimentation.
3 Connectez l'appliance au réseau.
4 Installez le logiciel.
5 Effectuez la configuration initiale (nom du serveur, adresses IP, passerelle, etc.).
6 Acheminez le trafic réseau test via l'appliance.
7 Connectez‑vous à l'interface utilisateur à partir de l'adresse https://:10443.
8 Assurez‑vous que le trafic réseau est bien analysé.
9 Configurez les stratégies et la génération de rapports.
10 Configurez le trafic de production via le système.
Ports et connexions
Ce guide ne contient plus d'informations relatives aux ports et aux connexions.
Pour plus d'informations sur les ports et les connexions de l'appliance, veuillez consulter le guide
d'identification des ports de McAfee Email Gateway.
Installation physique de l'appliance
Suivez cette procédure pour connecter physiquement votre appliance à votre réseau.
Procédure
1 Retirez l'appliance de son emballage et placez‑la sur une surface plane.
2 Pour installer l'appliance dans un rack de 19 pouces, suivez les étapes décrites dans la section
Montage de l'appliance dans un rack.
3 Connectez un écran, un clavier et une souris à l'appliance.
4 Branchez les câbles électriques à l'écran et à l'appliance, mais ne les connectez pas encore aux
sources d'alimentation.
5 Connectez l'appliance au réseau en prenant en compte le mode de fonctionnement choisi.
Montage de l'appliance dans un rack
Découvrez comment monter votre appliance dans un rack.
Le kit de montage permet d'installer l'appliance dans un rack à quatre montants. Ce kit convient pour
la majorité des racks standard de 19 pouces disponibles sur le marché.
22 McAfee® Email Gateway 7.x — Appliances Guide d'installation2
Installation de l'appliance McAfee Email Gateway
Connexion au réseau
Il contient les éléments suivants :
• 2 rails de montage
• 8 vis
• 2 colliers de serrage réutilisables
Vous aurez besoin d'un tournevis adapté aux vis fournies.
Veillez à bien suivre les avertissements de sécurité indiqués. Le chargement dans un rack s'effectue
toujours de bas en haut. Si vous installez plusieurs appliances, veillez à placer la première dans
l'emplacement le plus bas disponible.
Connexion au réseau
Cette section explique comment connecter McAfee Email Gateway à votre réseau.
Cette section décrit comment connecter l'appliance à votre réseau.
Les ports et câbles que vous utilisez pour connecter votre réseau à l'appliance dépendent de la façon
dont vous utiliserez cette dernière. Pour en savoir plus sur les modes réseau, consultez la section
Eléments à prendre en compte concernant les modes réseau.
Numéros de ports
Découvrez certains des principaux ports utilisés par votre appliance.
Lorsque vous connectez l'appliance à votre réseau, utilisez les numéros de ports suivants :
• Pour HTTPS, utilisez le port 443. • Pour POP3, utilisez le port 110.
• Pour HTTP, utilisez le port 80. • Pour FTP, utilisez le port 21.
• Pour SMTP, utilisez le port 25.
Utilisation de connexions LAN cuivre
Cette section explique comment connecter McAfee Email Gateway à votre réseau en utilisant des
connexions en cuivre.
A l'aide des connexions des commutateurs LAN1 et LAN2 et des câbles réseau fournis (ou des câbles
Ethernet équivalents de catégorie 5 ou 6), connectez l'appliance à votre réseau, conformément au
mode réseau que vous avez choisi.
Si la fonctionnalité DHCP est configurée sur votre réseau, les adresses IP pour ces ports sont
automatiquement attribuées.
Mode pont transparent
Utilisez les câbles LAN cuivre (fournis) pour connecter les commutateurs LAN1 et LAN2 de l'appliance
Email Gateway à votre réseau, de manière à intégrer cette dernière dans le flux de données.
Mode routeur transparent
L'appliance Email Gateway fonctionne comme un routeur. Par conséquent, les segments LAN connectés
à ses deux interfaces réseau doivent appartenir à des sous‑réseaux IP différents. Elle doit remplacer
un routeur existant, faute de quoi un nouveau sous‑réseau doit être créé sur un côté de l'appliance.
Pour ce faire, modifiez l'adresse IP ou le masque réseau utilisé par les ordinateurs de ce côté.
McAfee® Email Gateway 7.x — Appliances Guide d'installation 232
Installation de l'appliance McAfee Email Gateway
Alimentation de l'appliance
Mode proxy explicite
Utilisez un câble LAN cuivre (fourni) pour connecter le commutateur LAN1 ou LAN2 à votre réseau. Il
s'agit d'un câble droit (non croisé) qui relie l'appliance à un commutateur RJ‑45 non croisé standard.
En mode proxy explicite, la connexion du commutateur inutilisée peut servir de port de gestion dédié.
Pour gérer l'appliance en local, utilisez un câble Ethernet croisé de catégorie 5 pour connecter
l'appliance à la carte réseau de l'ordinateur local.
Utilisation de connexions LAN fibre optique
Cette section explique comment connecter votre McAfee Email Gateway à votre réseau en utilisant des
connexions en fibre optique.
A l'aide des connexions des commutateurs LAN1 et LAN2 et des câbles en fibre optique, connectez
l'appliance à votre réseau, conformément au mode réseau que vous avez choisi.
Mode pont transparent
Utilisez les câbles en fibre optique pour relier les commutateurs LAN1 et LAN2 à votre réseau.
Mode routeur transparent
Utilisez les câbles en fibre optique pour relier les commutateurs LAN1 et LAN2 à différents
sous‑réseaux IP.
Mode proxy explicite
Utilisez un câble en fibre optique pour relier les commutateurs LAN1 de l'appliance à votre réseau.
En mode proxy explicite, le connecteur inutilisé peut servir de port de gestion dédié. Si votre
ordinateur de gestion est équipé d'une carte d'interface réseau compatible, vous pouvez le connecter
au connecteur restant pour la gestion locale de l'appliance.
Ecran, souris et clavier
Découvrez comment brancher l'écran, la souris et le clavier d'un ordinateur à votre appliance McAfee
Email Gateway.
Branchez l'écran au connecteur VGA de votre appliance McAfee Email Gateway.
Branchez le clavier et la souris aux connecteurs USB de l'appliance McAfee Email Gateway.
Alimentation de l'appliance
La procédure ci‑après permet d'alimenter l'appliance et de la mettre sous tension.
Procédure
1 Branchez l'écran et les câbles d'alimentation de l'appliance à des prises de courant.
Si le cordon d'alimentation n'est pas compatible dans le pays d'utilisation, contactez votre
fournisseur.
2 Mettez l'appliance sous tension en appuyant sur le bouton d'alimentation.
Après avoir démarré, la console de configuration s'affiche à l'écran.
24 McAfee® Email Gateway 7.x — Appliances Guide d'installation2
Installation de l'appliance McAfee Email Gateway
Installation du logiciel
Installation du logiciel
Cette section présente le processus d'installation du logiciel pour McAfee® Email Gateway.
Procédure
1 Sur un ordinateur équipé d'un accès à Internet, téléchargez la dernière version du logiciel McAfee®
Email Gateway sur le site de téléchargement McAfee. (Vous aurez besoin de votre Grant Number.)
2 Créez un CD à partir de cette image.
3 Une fois le périphérique allumé, insérez le CD dans le lecteur de CD‑ROM.
4 Redémarrez le périphérique.
Au redémarrage de McAfee® Email Gateway, le logiciel est installé sur le périphérique.
Procédures
• Tâche — Télécharger le logiciel d'installation , page 25
La procédure décrite ci‑dessous permet de télécharger la version la plus récente du logiciel
McAfee Email Gateway.
• Tâche — Créer un CD à partir d'une image logicielle d'installation , page 26
La procédure décrite ci‑dessous permet de créer un CD d'installation à partir d'une image
logicielle téléchargée.
Tâche — Télécharger le logiciel d'installation
La procédure décrite ci‑dessous permet de télécharger la version la plus récente du logiciel McAfee
Email Gateway.
Avant de commencer
• Lisez le guide d'installation correspondant à votre produit.
• Procurez‑vous l'ID de Grant Number McAfee que vous avez reçu lorsque vous avez
acheté McAfee Email Gateway.
McAfee fournit le logiciel sous forme de fichier .iso (pour toute création de CD pour une installation sur
des appliances physiques), disponible sur le site web de téléchargement McAfee.
Procédure
1 Accédez au site web de McAfee http://www.mcafee.com. Pointez votre curseur sur votre type
d'entreprise, puis cliquez sur Téléchargements.
2 Dans Mes produits ‑ Téléchargements, cliquez sur Connexion.
3 Saisissez l'ID de Grant Number McAfee que vous avez reçu lorsque vous avez acheté McAfee Email
Gateway, puis cliquez sur Soumettre.
4 Dans la liste des produits, sélectionnez Email Gateway.
5 Acceptez les conditions de l'accord de licence, sélectionnez la version la plus récente, puis
téléchargez‑la.
McAfee vous recommande de lire les notes de version qui accompagnent l'image logicielle avant de
passer à l'installation.
McAfee® Email Gateway 7.x — Appliances Guide d'installation 25Vous pouvez aussi lire
