2
Préparation de l'installation
Pour assurer l'utilisation en toute sécurité de McAfee Email Gateway Virtual Appliance, prenez en compte les éléments suivants avant de commencer l'installation.
• Vous devez vous familiariser avec ses fonctionnalités et modes de fonctionnement. Il est important de choisir une configuration correcte.
• Déterminez la manière dont vous souhaitez intégrer l'appliance dans votre réseau, ainsi que les informations dont vous avez besoin avant de commencer l'installation. Par exemple, le nom et l'adresse IP du périphérique.
Sommaire
Utilisation inappropriée
Eléments à prendre en compte concernant les modes réseau
Stratégies de déploiement pour utiliser le périphérique dans une zone démilitarisée (DMZ)
Configuration système
Exemples de scénarios d'installation
Utilisation inappropriée
Découvrez comment éviter d'utiliser ce produit de façon inappropriée.
McAfee Email Gateway Virtual Appliance est :
• N'est pas un pare
‑feu — Vous devez l'utiliser au sein de votre entreprise, derrière un pare‑feu correctement configuré.
• N'est pas un serveur de stockage de logiciels et fichiers supplémentaires — N'installez pas de logiciel sur le périphérique et n'y ajoutez aucun fichier supplémentaire, à moins d'avoir reçu une instruction en ce sens dans la documentation ou de la part du représentant du support technique.
Le périphérique ne gère pas tous les types de trafics. Si vous utilisez le mode proxy explicite, seuls les protocoles à analyser doivent être envoyés au périphérique.
Eléments à prendre en compte concernant les modes réseau
Découvrez les modes de fonctionnement (ou réseau) dans lesquels peut fonctionner le périphérique.
Avant de configurer votre appliance McAfee Email Gateway, vous devez décider du mode réseau à utiliser. Le mode choisi détermine la connexion physique de votre hôte VMware ESX à votre réseau.
Plusieurs modes ont également un impact sur votre configuration vSwitch à laquelle sera connectée votre appliance virtuelle. L'exécution de l'appliance virtuelle en mode proxy explicite requiert une configuration moindre sur votre hôte VMware ESX et simplifie l'installation. Pour installer l'appliance virtuelle dans l'un des modes transparents, d'autres éléments sont à prendre en compte. Toutes les
étapes nécessaires à la configuration ESX pour l'un des modes sont décrites ci ‑dessous.
McAfee
®
Email Gateway 7.x — Virtual Appliances Guide d'installation
11
2
Préparation de l'installation
Eléments à prendre en compte concernant les modes réseau
Vous avez le choix entre les modes réseau suivants :
• Mode proxy explicite : l'appliance virtuelle agit en tant que serveur proxy et relais de messagerie.
• Mode routeur transparent : l'appliance virtuelle agit en tant que routeur.
• Mode pont transparent : l'appliance virtuelle agit en tant que pont Ethernet.
Si, après avoir lu la présente section et les suivantes, vous n'êtes toujours pas certain du mode à choisir, contactez votre expert réseau.
Mode proxy explicite
Découvrez le mode proxy explicite disponible sur votre appliance McAfee Email Gateway.
En mode proxy explicite, certains périphériques réseau doivent être configurés explicitement pour acheminer le trafic vers le périphérique. Ce dernier fonctionne alors comme un proxy ou un relais, traitant le trafic pour le compte de ces périphériques.
Figure 2-1 Mode proxy explicite — Chemin d'accès aux données
Le mode proxy explicite convient idéalement aux réseaux sur lesquels les périphériques clients se connectent au périphérique via un seul périphérique en amont et en aval.
ce mode risque de ne pas être la meilleure option si la redirection du trafic vers le périphérique exige la reconfiguration de plusieurs périphériques réseau.
Configuration du réseau et des périphériques
Si le périphérique est en mode proxy explicite, vous devez configurer explicitement votre serveur de messagerie interne pour qu'il redirige le trafic des e
‑mails vers le périphérique. Le périphérique analyse le trafic des e
‑mails pour le compte de l'expéditeur avant de le transférer au serveur de messagerie externe. Le serveur de messagerie externe transfère ensuite le courrier au destinataire.
De la même façon, le réseau doit être configuré pour que les e
‑mails entrants provenant d'Internet soient remis au périphérique plutôt qu'au serveur de messagerie interne.
Le périphérique analyse le trafic avant de le transférer, pour le compte de l'expéditeur, au serveur de messagerie interne pour remise au destinataire comme illustré.
Par exemple, un serveur de messagerie externe peut communiquer directement avec le périphérique, même si le trafic passe par plusieurs serveurs réseau avant d'atteindre le périphérique. Le chemin perçu est celui du serveur de messagerie externe vers le périphérique.
Protocoles
Pour analyser un protocole pris en charge, vous devez configurer les autres serveurs réseau ou ordinateurs clients pour qu'ils fassent transiter le trafic de ce protocole par le périphérique afin qu'aucun trafic ne le contourne.
12
McAfee
®
Email Gateway 7.x — Virtual Appliances Guide d'installation
Préparation de l'installation
Eléments à prendre en compte concernant les modes réseau
2
Règles de pare
‑feu
Le mode proxy explicite invalide les règles de pare
‑feu éventuellement mises en place pour gérer l'accès du client à Internet. En effet, le pare
‑feu voit l'adresse IP physique du périphérique et non celle des clients et ne peut donc pas appliquer ses règles d'accès Internet à ces derniers.
Vérifiez que les règles de pare
‑feu sont à jour. Le pare‑feu doit accepter le trafic provenant de l'appliance McAfee
®
Email Gateway, mais non celui directement envoyé par les périphériques clients.
Définissez des règles de pare
‑feu afin d'empêcher le trafic indésirable de pénétrer dans votre organisation.
Où installer le périphérique
Vous devez configurer les périphériques réseau afin qu'ils acheminent le trafic à analyser vers l'appliance McAfee ® Email Gateway. Cela est plus important que l'emplacement de l'appliance McAfee ®
Email Gateway.
Le routeur doit permettre à tous les utilisateurs de se connecter à l'appliance McAfee ® Email Gateway.
Figure 2-2 Positionnement en mode proxy explicite
L'appliance McAfee
®
Email Gateway doit être placée à l'intérieur de votre organisation, derrière un pare ‑feu, tel qu'illustré à la figure 6 : Configuration en mode proxy explicite.
En règle générale, le pare ‑feu est configuré de façon à bloquer le trafic ne provenant pas directement du périphérique. Si vous avez le moindre doute concernant la topologie de votre réseau et la manière d'intégrer le périphérique, contactez votre expert réseau.
Utilisez cette configuration si :
• le périphérique fonctionne en mode proxy explicite ;
• vous utilisez une messagerie électronique (SMTP).
McAfee
®
Email Gateway 7.x — Virtual Appliances Guide d'installation
13
2
Préparation de l'installation
Eléments à prendre en compte concernant les modes réseau
Pour cette configuration, vous devez procéder de la manière suivante :
• Configurez les serveurs DNS (Domain Name System, système de noms de domaine) externes ou la fonction NAT (Network Address Translation, traduction des adresses réseau) du pare
‑feu de façon à ce que le serveur de messagerie externe envoie le courrier au périphérique et non au serveur de messagerie interne.
• Configurez les serveurs de messagerie internes pour qu'ils envoient le courrier au périphérique.
Autrement dit, les serveurs de messagerie internes doivent utiliser le périphérique en tant qu'hôte actif. Assurez
‑vous que les périphériques clients peuvent remettre les e‑mails aux serveurs de messagerie au sein de votre entreprise.
• Vérifiez que les règles de pare
‑feu sont à jour. Le pare‑feu doit accepter le trafic provenant du périphérique, mais pas celui qui est directement envoyé par les périphériques clients. Définissez des règles afin d'empêcher le trafic indésirable de pénétrer dans votre entreprise.
Mode pont transparent
Découvrez le mode pont transparent disponible sur votre appliance McAfee Email Gateway.
En mode pont transparent, les serveurs qui communiquent ne détectent pas l'intervention du périphérique. On dit alors que le fonctionnement de ce dernier est transparent.
Figure 2-3 Mode pont transparent — Chemin d'accès aux données
Dans la figure, le serveur de messagerie externe (A) envoie des e
‑mails au serveur de messagerie interne (C). Ce serveur de messagerie externe ne détecte pas que le périphérique (B) a intercepté et analysé cet e
‑mail.
Le serveur de messagerie externe semble communiquer directement avec le serveur de messagerie interne (le chemin d'accès est représenté en pointillés). En réalité, le trafic peut traverser plusieurs périphériques réseau et être intercepté et analysé par le périphérique avant d'atteindre le serveur de messagerie interne.
Fonction du périphérique en mode pont transparent
En mode pont transparent, le périphérique se connecte à votre réseau par l'intermédiaire des ports
LAN1 et LAN2. Il analyse le trafic qu'il reçoit et agit comme un pont, puisqu'il connecte deux segments de réseau qu'il traite comme un seul réseau logique.
Configuration en mode pont transparent
Le mode pont transparent requiert moins de configuration que les modes routeur transparent et proxy explicite. Vous n'avez pas besoin de reconfigurer tous vos clients, la passerelle par défaut, les enregistrements MX, la fonction NAT du pare ‑feu ou les serveurs de messagerie pour acheminer le trafic vers le périphérique. Dans la mesure où ce mode n'utilise pas le périphérique comme un routeur, vous n'avez pas de table de routage à mettre à jour.
14
McAfee
®
Email Gateway 7.x — Virtual Appliances Guide d'installation
Préparation de l'installation
Eléments à prendre en compte concernant les modes réseau
Où installer le périphérique lors de l'utilisation du mode pont transparent
Pour des raisons de sécurité, vous devez utiliser le périphérique à l'intérieur de votre entreprise, protégé par un pare
‑feu.
2
Figure 2-4 Positionnement en mode pont transparent
En mode pont transparent, positionnez le périphérique entre le pare
‑feu et votre routeur comme illustré.
Dans ce mode, vous connectez physiquement deux segments de réseau au périphérique ; celui
‑ci les traite comme un seul réseau logique. Les différents périphériques (pare
‑feu, périphérique et routeur)
étant sur le même réseau logique, ils doivent avoir des adresses IP compatibles sur le même sous
‑réseau.
Les périphériques (tels qu'un routeur) se trouvant d'un côté du pont et communiquant avec des périphériques (tels qu'un pare
‑feu) situés de l'autre côté du pont ne détectent pas la présence de celui
‑ci. Ils ne détectent pas que le trafic est intercepté et analysé : le périphérique fonctionne comme un pont transparent.
Figure 2-5 Structure du réseau — Mode pont transparent
McAfee
®
Email Gateway 7.x — Virtual Appliances Guide d'installation
15
2
Préparation de l'installation
Eléments à prendre en compte concernant les modes réseau
Mode routeur transparent
Découvrez le mode routeur transparent disponible sur votre appliance McAfee Email Gateway.
En mode routeur transparent, le périphérique analyse le trafic de messagerie entre deux réseaux. Il dispose d'une adresse IP pour le trafic analysé sortant, et doit également en avoir une pour le trafic entrant.
Les serveurs réseau qui communiquent ne détectent pas l'intervention du périphérique (son fonctionnement est transparent pour les périphériques).
Fonction du périphérique en mode routeur transparent
En mode routeur transparent, le périphérique se connecte à vos réseaux par l'intermédiaire des ports
LAN1 et LAN2. Le périphérique analyse le trafic qu'il reçoit sur un réseau et le transmet sur le périphérique réseau suivant d'un autre réseau. Il joue ainsi le rôle de routeur, acheminant le trafic entre des réseaux conformément aux informations fournies par ses tables de routage.
Configuration en mode routeur transparent
En mode routeur transparent, il n'est pas nécessaire de reconfigurer explicitement tous les périphériques réseau pour acheminer le trafic vers le périphérique. Il vous suffit de configurer la table de routage associée au périphérique et de modifier certaines informations de routage concernant les périphériques réseau placés d'un côté ou de l'autre de celui ‑ci (et connectés aux ports LAN1 et LAN2).
Par exemple, vous devez peut ‑être définir le périphérique comme la passerelle par défaut.
En mode routeur transparent, le périphérique doit relier deux réseaux. Le périphérique doit être placé
à l'intérieur de l'entreprise, derrière un pare ‑feu.
le mode routeur transparent ne prend pas en charge les protocoles autres qu'IP (par exemple NetBEUI ou IPX) ni le trafic Multicast IP.
Règles de pare
‑feu
En mode routeur transparent, le pare
‑feu se connecte à l'adresse IP physique pour la connexion LAN1/
LAN2 à la lame de gestion (management blade).
16
McAfee
®
Email Gateway 7.x — Virtual Appliances Guide d'installation
Préparation de l'installation
Eléments à prendre en compte concernant les modes réseau
Où installer le périphérique
Utilisez le périphérique en mode routeur transparent pour remplacer un routeur existant sur votre réseau.
si vous utilisez le mode routeur transparent et que vous ne remplacez pas le routeur existant, vous devrez reconfigurer une partie de votre réseau pour acheminer correctement le trafic via le périphérique.
2
Figure 2-6 Structure du réseau — Mode pont transparent
Vous devez :
• configurer vos périphériques clients pour qu'ils pointent vers la passerelle par défaut ;
• configurer le périphérique pour qu'il utilise la passerelle Internet comme passerelle par défaut ;
• vérifier que les périphériques clients peuvent remettre les e ‑mails aux serveurs de messagerie à l'intérieur de votre entreprise.
Configuration réseau de VMware vSphere
Ces procédures expliquent comment préparer la configuration de votre vSwitch pour chacun des modes de fonctionnement disponibles.
Tâche — Configurer VMware vSphere pour une installation en mode proxy explicite
La procédure ci ‑après permet de configurer VMware vSphere pour installer l'appliance virtuelle en mode proxy explicite.
Avant de commencer
Assurez ‑vous qu'au moins deux interfaces physiques différentes sont disponibles sur votre hôte VMware ESX. Il est possible d'utiliser une troisième interface pour la gestion hors bande.
McAfee
®
Email Gateway 7.x — Virtual Appliances Guide d'installation
17
2
18
Préparation de l'installation
Eléments à prendre en compte concernant les modes réseau
Pour obtenir des performances optimales, McAfee recommande que les interfaces utilisées par la machine virtuelle McAfee Email Gateway Virtual Appliance ne soient pas partagées avec d'autres machines virtuelles sur cet hôte VMware ESX. Avant de commencer l'installation de l'appliance virtuelle, assurez ‑vous d'avoir créé et parfaitement configuré des vSwitch auxquels les interfaces LAN 1 et LAN 2 de l'appliance virtuelle peuvent se connecter.
Lorsque vous importez le fichier .OVA de McAfee Email Gateway Virtual Appliance, assurez ‑vous que l'interface LAN 1 est connectée à votre premier vSwitch et que l'interface LAN 2 est connectée à votre deuxième vSwitch.
Vous devez créer des vSwitch identiques sur chaque hôte du cluster de haute disponibilité si la technologie vMotion est utilisée.
Procédure
1
Connectez ‑vous à votre client vSphere.
2
Dans Hosts and Clusters (Hôtes et clusters), sélectionnez, à gauche, l'hôte sur lequel vous envisagez d'installer l'appliance virtuelle.
3
A droite, sélectionnez Configuration.
4
Cliquez sur Networking (Réseau).
5
Cliquez sur Add Networking (Ajouter un réseau).
6
Dans Add Network Wizard (Assistant d'ajout d'un réseau), sélectionnez Virtual Machine (Machine virtuelle), puis cliquez sur Next (Suivant).
7
Sélectionnez Create a virtual switch (Créer un commutateur virtuel), choisissez l'interface physique que vous voulez utiliser pour la connexion LAN1 de votre appliance virtuelle, puis cliquez sur Next
(Suivant).
8
Saisissez une étiquette pour votre nouveau réseau (par exemple, MEG LAN 1).
9
Cliquez sur Next (Suivant), puis sur Finish (Terminer).
10 Répétez les étapes 5 à 10 pour ajouter un deuxième vSwitch pour votre interface LAN 2.
Tâche — Configurer VMware vSphere pour une installation en mode pont transparent
La procédure ci
‑après permet de configurer VMware vSphere pour installer l'appliance virtuelle en mode pont transparent.
Avant de commencer
Assurez
‑vous qu'au moins deux interfaces physiques différentes sont disponibles sur votre hôte VMware ESX. Les deux interfaces utilisées pour le pont doivent être connectées à des domaines de diffusion différents pour éviter toute boucle et toute interruption importante sur votre réseau. Il est possible d'utiliser une troisième interface pour la gestion hors bande.
Pour obtenir des performances optimales, McAfee recommande que les interfaces utilisées par le pont soient dédiées à la machine virtuelle McAfee Email Gateway Virtual Appliance et ne soient pas partagées avec d'autres machines virtuelles sur cet hôte VMware ESX. Avant de commencer l'installation de l'appliance virtuelle, assurez
‑vous d'avoir créé et parfaitement configuré des vSwitch auxquels les interfaces LAN 1 et LAN 2 de l'appliance virtuelle peuvent se connecter.
McAfee
®
Email Gateway 7.x — Virtual Appliances Guide d'installation
Préparation de l'installation
Eléments à prendre en compte concernant les modes réseau
2
Lorsque vous importez le fichier .OVA de McAfee Email Gateway Virtual Appliance, assurez ‑vous que l'interface LAN 1 est connectée à votre premier vSwitch et que l'interface LAN 2 est connectée à votre deuxième vSwitch.
Vous devez créer des vSwitch identiques sur chaque hôte du cluster de haute disponibilité si la technologie vMotion est utilisée.
Procédure
1
Connectez ‑vous à votre client vSphere.
2
Dans Hosts and Clusters (Hôtes et clusters), sélectionnez, à gauche, l'hôte sur lequel vous envisagez d'installer l'appliance virtuelle.
3
A droite, sélectionnez Configuration.
4
Cliquez sur Networking (Réseau).
5
Cliquez sur Add Networking (Ajouter un réseau).
6
Dans Add Network Wizard (Assistant d'ajout d'un réseau), sélectionnez Virtual Machine (Machine virtuelle), puis cliquez sur Next (Suivant).
7
Sélectionnez Create a virtual switch (Créer un commutateur virtuel), choisissez l'interface physique que vous voulez utiliser pour la connexion LAN1 de votre appliance virtuelle, puis cliquez sur Next
(Suivant).
8
Saisissez une étiquette pour votre nouveau réseau (par exemple, MEG LAN 1).
Par défaut, VMware ESX supprime les étiquettes VLAN. Pour que l'appliance virtuelle détecte le trafic signalé comme VLAN (par exemple, pour créer des stratégies spécifiques par réseau local virtuel), vous devez activer l'option Virtual Guest Tagging (Marquage des invités virtuels). Pour ce faire, reportez
‑vous à l'article 1004252 de la base de connaissances VMware.
9
Cliquez sur Next (Suivant), puis sur Finish (Terminer).
10 Faites défiler la page vers le bas jusqu'au commutateur virtuel que vous venez de créer, puis cliquez sur Properties (Propriétés).
11 Dans vSwitch Properties (Propriétés du commutateur virtuel), double
‑cliquez sur l'entrée vSwitch dans la liste de gauche.
12 Cliquez sur Security (Sécurité).
13 Dans Promiscuous Mode (Mode promiscuité), redéfinissez la valeur sur Accept (Accepter), puis cliquez sur OK.
14 Cliquez sur Close (Fermer).
15 Répétez les étapes 5 à 14 pour ajouter un deuxième vSwitch pour votre interface LAN 2.
Le deuxième vSwitch doit être connecté à une autre interface physique (elle
‑même connectée à un autre domaine de diffusion de votre réseau) que celle utilisée pour votre premier vSwitch.
McAfee
®
Email Gateway 7.x — Virtual Appliances Guide d'installation
19
2
Préparation de l'installation
Eléments à prendre en compte concernant les modes réseau
Tâche — Configurer VMware vSphere pour une installation en mode routeur transparent
La procédure ci
‑après permet de configurer VMware vSphere pour installer l'appliance virtuelle en mode routeur transparent.
Avant de commencer
Assurez
‑vous qu'au moins deux interfaces physiques différentes sont disponibles sur votre hôte VMware ESX. Il est possible d'utiliser une troisième interface pour la gestion hors bande.
Pour obtenir des performances optimales, McAfee recommande que les interfaces utilisées par la machine virtuelle McAfee Email Gateway Virtual Appliance ne soient pas partagées avec d'autres machines virtuelles sur cet hôte VMware ESX. Avant de commencer l'installation de l'appliance virtuelle, assurez
‑vous d'avoir créé et parfaitement configuré des vSwitch auxquels les interfaces LAN 1 et LAN 2 de l'appliance virtuelle peuvent se connecter.
Lorsque vous importez le fichier .OVA de McAfee Email Gateway Virtual Appliance, assurez
‑vous que l'interface LAN 1 est connectée à votre premier vSwitch et que l'interface LAN 2 est connectée à votre deuxième vSwitch.
Vous devez créer des vSwitch identiques sur chaque hôte du cluster de haute disponibilité si la technologie vMotion est utilisée.
Procédure
1
Connectez
‑vous à votre client vSphere.
2
Dans Hosts and Clusters (Hôtes et clusters), sélectionnez, à gauche, l'hôte sur lequel vous envisagez d'installer l'appliance virtuelle.
3
A droite, sélectionnez Configuration.
4
Cliquez sur Networking (Réseau).
5
Cliquez sur Add Networking (Ajouter un réseau).
6
Dans Add Network Wizard (Assistant d'ajout d'un réseau), sélectionnez Virtual Machine (Machine virtuelle), puis cliquez sur Next (Suivant).
7
Sélectionnez Create a virtual switch (Créer un commutateur virtuel), choisissez l'interface physique que vous voulez utiliser pour la connexion LAN1 de votre appliance virtuelle, puis cliquez sur Next
(Suivant).
8
Saisissez une étiquette pour votre nouveau réseau (par exemple, MEG LAN 1).
9
Cliquez sur Next (Suivant), puis sur Finish (Terminer).
10 Répétez les étapes 5 à 10 pour ajouter un deuxième vSwitch pour votre interface LAN 2.
Le deuxième vSwitch doit être connecté à une autre interface physique que celle utilisée pour votre premier vSwitch.
20
McAfee
®
Email Gateway 7.x — Virtual Appliances Guide d'installation
Préparation de l'installation
Stratégies de déploiement pour utiliser le périphérique dans une zone démilitarisée (DMZ)
2
Stratégies de déploiement pour utiliser le périphérique dans une zone démilitarisée (DMZ)
Découvrez les zones démilitarisées de votre réseau et comment les utiliser pour protéger vos serveurs de messagerie.
Une zone démilitarisée (DMZ) est un réseau séparé de tous les autres par un pare
‑feu, y compris d'Internet et des réseaux internes. En général, la mise en place d'une DMZ a pour but de bloquer l'accès à des serveurs fournissant des services destinés à Internet, comme la messagerie.
Les pirates informatiques réussissent souvent à accéder à un réseau en identifiant les ports TCP/UDP sur lesquels les applications écoutent les requêtes et exploitent leurs vulnérabilités connues. Les pare
‑feu diminuent considérablement le risque de tels exploits en contrôlant l'accès à des ports spécifiques sur des serveurs spécifiques.
Le périphérique peut être facilement intégré à une configuration DMZ. La manière dont vous utilisez le périphérique dans une DMZ dépend des protocoles que vous avez l'intention d'analyser.
Configuration SMTP dans une zone démilitarisée (DMZ)
Cette section explique comment configurer les périphériques SMTP dans une zone démilitarisée de votre réseau.
La DMZ est un bon emplacement pour le chiffrement de la messagerie. Avant que le trafic de messagerie n'atteigne le pare
‑feu pour la deuxième fois (en allant de la DMZ à Internet), il a été chiffré.
Les périphériques qui analysent le trafic SMTP dans une DMZ sont généralement configurés en mode proxy explicite.
Les modifications de configuration doivent être apportées uniquement aux enregistrements MX pour les serveurs de messagerie.
REMARQUE : vous pouvez utiliser le mode pont transparent lorsque vous analysez le trafic SMTP dans une DMZ. Cependant, si vous ne contrôlez pas correctement le flux de trafic, le périphérique analyse chaque message deux fois, une fois dans chaque direction. Ce mode est donc rarement utilisé pour l'analyse de trafic SMTP.
Relais de messagerie
Figure 2-7 Configuration en tant que relais de messagerie
Si un relais de messagerie est déjà configuré dans votre DMZ, vous pouvez le remplacer par le périphérique.
McAfee
®
Email Gateway 7.x — Virtual Appliances Guide d'installation
21
2
Préparation de l'installation
Stratégies de déploiement pour utiliser le périphérique dans une zone démilitarisée (DMZ)
Pour utiliser vos stratégies de pare ‑feu existantes, donnez au périphérique la même adresse IP que le relais de messagerie.
Passerelle de messagerie
Le SMTP ne fournit pas de méthodes pour chiffrer les e
‑mails : vous pouvez utiliser le dispositif TLS
(Transport Layer Security
‑ sécurité de la couche de transport) pour chiffrer le lien, mais pas les messages. Par conséquent, certaines sociétés ne permettent pas ce trafic sur leur réseau interne. Pour pallier ce problème, elles utilisent souvent une passerelle de messagerie propriétaire telle que Lotus
Notes
®
ou Microsoft
®
Exchange pour chiffrer le trafic de messagerie avant qu'il n'atteigne Internet.
Pour mettre en œuvre une configuration DMZ en utilisant une passerelle de messagerie propriétaire, ajoutez le périphérique d'analyse à la DMZ du côté SMTP de la passerelle.
Figure 2-8 Configuration en tant que passerelle de messagerie
Dans un tel cas, configurez :
• les enregistrements MX publics de façon à ce qu'ils ordonnent aux serveurs de messagerie externes d'envoyer tous les messages entrants vers le périphérique (et non vers la passerelle) ;
• le périphérique de façon à ce qu'il transfère tout le courrier entrant vers la passerelle de messagerie et transmette tout le courrier sortant à l'aide d'un serveur DNS ou d'un relais externe ;
• la passerelle de messagerie de façon à ce qu'elle transfère tout le courrier entrant vers les serveurs de messagerie internes et le reste du courrier (sortant) vers le périphérique ;
• le pare
‑feu de façon à ce qu'il donne accès au courrier entrant destiné au périphérique seulement.
il n'est pas nécessaire de reconfigurer les enregistrements MX publics des pare ‑feu configurés de façon
à utiliser la fonction NAT et redirigeant le courrier entrant vers les serveurs de messagerie internes.
Cela est dû au fait qu'ils redirigent le trafic vers le pare ‑feu et non vers la passerelle de messagerie.
Dans un tel cas, vous devez reconfigurer le pare ‑feu de façon à ce qu'il dirige les requêtes de courrier entrant vers le périphérique.
22
McAfee
®
Email Gateway 7.x — Virtual Appliances Guide d'installation
Préparation de l'installation
Configuration système
2
Configuration système
Ces informations vous permettent de vous assurer que votre ordinateur hôte respecte la configuration système recommandée, quel que soit l'environnement virtuel VMware que vous avez choisi.
Reportez
‑vous à l'article 1003661 de la base de connaissances VMware disponible sur le site http:// www.vmware.com
pour connaître la configuration système minimale requise pour VMware ESX ou
VMware ESXi 4.x. Votre ordinateur doit disposer d'un processeur x86 64 bits.
Vérifiez également que la machine virtuelle que vous allez utiliser respecte la configuration minimale requise suivante :
Elément
Processeur
Mémoire virtuelle disponible
Espace disque disponible
Caractéristiques
Deux processeurs virtuels
2 Go
80 Go
Si vous envisagez d'installer McAfee Email Gateway Virtual Appliance en mode pont transparent, votre hôte VMware ESX physique doit disposer de deux interfaces réseau externes connectées à différents domaines de diffusion. Pour obtenir des performances optimales, McAfee recommande que ces deux interfaces ne soient pas partagées avec d'autres machines virtuelles sur le même hôte physique. La connexion des deux interfaces d'un pont au même domaine de diffusion crée une boucle STP dans votre réseau, ce qui peut provoquer des pannes réseau.
Exemples de scénarios d'installation
Cette section contient des informations sur l'installation de l'appliance virtuelle dans différentes configurations de serveur.
McAfee
®
Email Gateway 7.x — Virtual Appliances Guide d'installation
23
2
Préparation de l'installation
Exemples de scénarios d'installation
Exécution de l'appliance virtuelle en tant que seule machine virtuelle de l'hôte
Ces informations illustrent le déploiement possible d'un serveur de l'appliance virtuelle sur l'environnement virtuel VMware de votre choix.
VMware vSphere ou VMware vSphere Hypervisor sont des serveurs dédiés à l'appliance virtuelle. Leur configuration matérielle doit être supérieure à la configuration minimale décrite dans les instructions
des données de performances McAfee Email Gateway.
cet exemple part du principe que vous installez l'appliance virtuelle dans le mode proxy explicite recommandé.
Figure 2-9 Déploiement d'un serveur
Exécution de l'appliance virtuelle avec d'autres machines virtuelles
Déploiement possible de McAfee Email Gateway Virtual Appliance sur l'environnement virtuel de votre choix en parfaite intégration avec d'autres machines virtuelles.
Dans cet exemple, un seul hôte VMware a la charge de l'appliance virtuelle et des autres machines virtuelles qui s'exécutent toutes sur le même matériel. Visitez le site web VMware ( http:// www.vmware.com
) pour obtenir plus d'informations sur la mise en place d'un centre de ressources
24
McAfee
®
Email Gateway 7.x — Virtual Appliances Guide d'installation
Préparation de l'installation
Exemples de scénarios d'installation
2 dédié à l'appliance virtuelle. Ce centre de ressources doit en outre respecter la configuration minimale requise pour le processeur et la mémoire qui lui sont affectés, comme indiqué dans les instructions
des données de performances McAfee Email Gateway.
cet exemple part du principe que vous installez l'appliance virtuelle dans le mode proxy explicite recommandé.
Figure 2-10 Déploiement avec plusieurs serveurs
McAfee
®
Email Gateway 7.x — Virtual Appliances Guide d'installation
25
2
Préparation de l'installation
Exemples de scénarios d'installation
26
McAfee
®
Email Gateway 7.x — Virtual Appliances Guide d'installation
