Comments
Transcript
McAfee Content Security Blade Server インストールガイド
McAfee Content Security Blade Server インストール ガイド 著作権 Copyright © 2011 McAfee, Inc. All Rights Reserved. このマニュアルのいかなる部分も、McAfee, Inc. またはその代理店または関連会社の書面による許可なしに、形態、方法を問わず、複写、 送信、転載、検索システムへの保存、および多言語に翻訳することを禁じます。 商標 AVERT、EPO、EPOLICY ORCHESTRATOR、FOUNDSTONE、GROUPSHIELD、INTRUSHIELD、LINUXSHIELD、MAX (MCAFEE SECURITYALLIANCE EXCHANGE)、 MCAFEE、NETSHIELD、PORTALSHIELD、PREVENTSYS、SECURITYALLIANCE、SITEADVISOR、TOTAL PROTECTION、VIRUSSCAN、WEBSHIELD は米国法人 McAfee, Inc. または米国またはその他の国の関係会社における登録商標、または商標です。McAfee ブランドの製品は赤を基調としていま す。その他全ての登録商標及び商標はそれぞれの所有者に帰属します。 ライセンス情報 ライセンス条項 お客様へ: お客様がお買い求めになられたライセンスに従い、該当する契約書 (許諾されたソフトウェアの使用につき一般条項を定めるもの です、以下「本契約」といいます) をよくお読みください。お買い求めになられたライセンスの種類がわからない場合は、販売およびライセ ンス関連部署にご連絡いただくか、製品パッケージに付随する注文書、または別途送付された注文書 (パンフレット、製品 CD またはソフト ウェア パッケージをダウンロードした Web サイト上のファイル) をご確認ください。本契約の規定に同意されない場合は、製品をインス トールしないでください。この場合、弊社またはご購入元に速やかにご返信いただければ、所定の条件を満たすことによりご購入額全額をお 返しいたします。 2 McAfee Content Security Blade Server 目次 McAfee Content Security Blade Server の紹介............................................. 7 本書の使用方法............................................................................7 本書の対象者.......................................................................7 本書で使用する用語の定義..................................................................7 グラフィックの表記規則....................................................................9 マニュアル...............................................................................9 参照可能なリソース ................................................................9 ブレード サーバの紹介...................................................................... 11 ブレード サーバの重要な利点...............................................................11 ブレードの種類...........................................................................12 管理ブレード......................................................................13 フェールオーバー管理ブレード.......................................................13 コンテンツ スキャン ブレード.......................................................13 設置前 ....................................................................................... 15 このボックスの内容.......................................................................15 設置計画................................................................................16 不適切な使用.............................................................................16 ブレード サーバの設置場所................................................................16 ネットワーク モードに関する注意事項.......................................................17 透過型ブリッジ モード.............................................................17 透過型ルータ モード...............................................................20 明示的プロキシ モード.............................................................21 DMZ 内でデバイスを使用するための配備方針..................................................23 DMZ 内の SMTP 構成................................................................24 負荷の管理.......................................................................26 組み込みの冗長性..................................................................26 インストールの計画.......................................................................27 標準インストールの開始前に........................................................27 格納装置を設置する前に............................................................28 Lights-Out 管理のセットアップ......................................................29 設置後...........................................................................30 McAfee Content Security Blade Server 3 目次 ブレード サーバの接続と構成............................................................... 31 以前のバージョンからアップグレード........................................................31 以前のバージョンからアップグレードする場合の相互接続の構成..........................32 既存の構成をバックアップ..........................................................33 スキャン ブレードをシャットダウン..................................................33 管理ブレードをシャットダウン.......................................................33 管理ブレード ソフトウェアのアップグレード..........................................34 スキャン ブレードの再設置.........................................................35 標準インストール.........................................................................36 ブレード サーバの物理的な設置......................................................37 相互接続の設置....................................................................37 ブレード サーバに電源を供給.......................................................39 ネットワークへの接続..............................................................39 ソフトウェアのインストール...............................................................41 管理ブレードの設置順序............................................................41 ソフトウェア イメージ.............................................................41 コンテンツ スキャン ブレードへのソフトウェアのインストール..........................43 設定コンソールの使用.....................................................................43 ようこそページ....................................................................44 カスタム セットアップの実行.......................................................44 ファイルからの復元................................................................51 Content Security Blade Server の使用開始............................................... 52 ユーザ インターフェース..................................................................52 ダッシュボードの状態情報および構成オプション...............................................54 ブレード サーバの探索....................................................................58 フェールオーバーおよび負荷管理の実施...............................................59 ブレード サーバでの管理機能のテスト ...............................................60 ポリシーを使用したメッセージ スキャンの管理........................................61 構成のテスト.............................................................................66 接続性のテスト....................................................................66 DAT ファイルの更新................................................................66 メール トラフィックのテストおよびウイルス検出.......................................66 スパム検出のテスト................................................................67 Web トラフィックのテストおよびウイルス検出.........................................67 Content Security Blade Server の機能を閲覧................................................68 スキャン ポリシーとそのネットワークへの影響........................................68 電子メール コンプライアンス ルールを使用したコンテンツのスキャン.....................68 4 McAfee Content Security Blade Server 目次 機密データの損失の回避............................................................70 隔離されたメッセージの処理........................................................70 スパム検出の監視..................................................................71 Web アクティビティの監視..........................................................71 復元モードの動作............................................................................ 73 復元モードのハードウェアの使い方..........................................................73 復元モードを使用するかどうか決定..........................................................74 復元モードに再構成を開始する前に..........................................................75 ハードウェア情報..................................................................75 ユーザ名とパスワード..............................................................76 復元モードへの動作の移行.................................................................77 既存の構成をバックアップ..........................................................77 復元モード実行用に相互接続をインストール...........................................78 相互接続の構成....................................................................80 格納装置の構成の変更..............................................................82 復元モードを使用するために管理ブレードを構成.......................................84 外部ネットワークとの復元モードの接続...............................................84 ブレードに電源投入................................................................86 トラブルシューティング..................................................................... 87 ブレード特有のトラブルシューティング......................................................87 外部モニタリング システム.........................................................87 ネットワーク インターフェース カード ステータス.....................................88 システム イベント.................................................................88 システム構成.............................................................................88 透過的 Web 認証...................................................................88 スパム対策...............................................................................89 ウイルス対策の自動更新...................................................................91 配信....................................................................................91 ディレクトリ ハーベストの防止が機能しない.................................................92 電子メールの添付ファイル.................................................................92 ICAP....................................................................................93 メールに関する問題.......................................................................94 POP3....................................................................................95 全般的な問題.............................................................................96 システムのメンテナンス...................................................................96 その他の情報 - リンク バー...............................................................97 McAfee Content Security Blade Server 5 目次 付録 .......................................................................................... 98 相互接続の基本構成の例...................................................................98 シャーシの構成ファイルの例...............................................................99 ハードウェア交換手順....................................................................102 障害が発生したスキャン ブレードの交換.............................................102 障害が発生した管理ブレードの交換..................................................103 障害が発生したフェールオーバー管理ブレードの交換...................................103 障害が発生した相互接続の交換......................................................103 障害が発生したオンボード アドミニストレータ モジュールの交換.......................104 6 McAfee Content Security Blade Server McAfee Content Security Blade Server の紹介 本書は M3 ブレード サーバ シャーシ、または M7 ブレード サーバ シャーシと共に提供さ ® れている McAfee Content Security Blade Server バージョン 5.6 ソフトウェアをインス トールするために必要な情報を提供しています。設置プロセスの手順および確認方法も記載 されています。 注意: シャーシおよび格納装置という用語は、マニュアル全体を通して同じ意味で使用され ます。 この本書に記載されている手順に従って Content Security Blade Server 5.6 を設置および 構成すると、ユーザはブレード サーバを最大限に利用することができます。 目次 本書の使用方法 本書で使用する用語の定義 グラフィックの表記規則 マニュアル 本書の使用方法 このガイドは、次の場合に役立ちます。 • インストールを計画および実行する。 • インターフェースについて理解する。 • 製品が正しく機能することをテストする。 • 最新の検出定義ファイルを適用する。 • スキャン ポリシーを調べる、レポートを作成する、ステータス情報を取得する。 • 基本的な問題のトラブルシューティングを行う。 製品のスキャン機能の詳細については、オンライン ヘルプを参照してください。 本書の対象者 本書に記載されている情報は、主に、会社のウイルス対策およびセキュリティ プログラムを 担当するネットワーク管理者を対象としています。 本書で使用する用語の定義 ここでは、本書で使用してるいくつかの重要な用語を定義します。 McAfee Content Security Blade Server 7 McAfee Content Security Blade Server の紹介 本書で使用する用語の定義 用語 定義 非武装地帯(DMZ) プライベート ネットワークと外部のパブリック ネットワークの間に緩衝 として挿入された 1 台のコンピュータ ホストまたは小規模なネットワー ク。外部からのユーザがプライベート ネットワーク上のリソースに直接 アクセスするのを防ぎます。 DAT ファイル 検出定義(DAT)ファイル。シグネチャ ファイルとも呼ばれ、ウイルス、 トロイの木馬、スパイウェア、アドウェア、およびその他の怪しいプログ ラム(PUP)を特定して検出し、ファイルを修復する定義が含まれていま す。 動作モード 製品の 3 つの動作モード。明示的プロキシ モード、透過型ブリッジ モー ド、および透過型ルータ モードです。 ポリシー 構成設定、ベンチマーク、およびネットワーク アクセス規格など、セキュ リティ基準のコレクション。McAfee セキュリティ アプリケーションに よって評価または施行できる、ユーザ、デバイス、およびシステムに対し て要求される準拠レベルを定義します。 レピュテーション サービス チェック 送信者認証の一部。送信者がレピュテーション サービス チェックに失敗 した場合、アプライアンスは接続を終了して、メッセージを拒否するよう に設定されます。送信者の IP アドレスは、ブロックされた接続のリスト に追加され、それ以降はカーネル レベルで自動的にブロックされます。 OA(オンボード アドミニストレータ) HP ブレード シャーシ全体の管理を提供するモジュール。2 つのモジュー ルを単一のシャーシにはめ込むことによって復元の動作を提供します。 相互接続 ブレード デバイスと外部のインフラストラクチャの間にあるブレード シャーシ内のネットワーク スイッチの名前。 交差接続 相互接続ベイのペア 1 と 2 、3 と 4 、5 と 6 、および 7 と 8 の間に ある内部リンクの名前。シャーシ内に復元を提供するために使用されま す。相互接続ベイの各ペアの間に 2 つの交差接続があり、通常はボンディ ングされているモードで実行します。 STP(Spanning Tree Protocol) 冗長パスの許可中にネットワーク ブロードキャストのループを防止する ために使用する業界標準のプロトコルです。 PVST(Per VLAN Spanning Tree) Cisco 独自の STP の拡張であり、VLAN のグループ内で、同じ物理リンク を介する他の VLAN から独立して動作するスパニング ツリー。HP GbE2C 相互接続モジュールは PVST をサポートしています。 MSTP(Multiple Spanning Tree Protocol) これは業界標準の STP の拡張であり、異なる VLAN のグループでスパニ ング ツリーの独立した動作を可能にします。 iLO(Integrated Lights Out 管理モ ジュール) 各ブレードで「lights out」のブレード管理を許可するモジュールの名 前。 OOB(帯域外管理) スキャン済みトラフィックに使用されるものとは別のネットワーク イン ターフェース経由で Email and Web Security ソフトウェアの管理を許可 するための、 Email and Web Security ソフトウェアによって提供されて いる機能です。これを有効にすることで、Email and Web Security 管理 ポータルをスキャン済みトラフィックのインターフェースからブロックで きます。 PXE(Pre-boot eXecution Environment) オペレーティング システムのインストール前に、ネットワーク上のコン ピュータをブートする方法。 ボンディングされているリンク 2 つのネットワーク リンクを 単一のリンクとして扱う方法であり、(構 成によっては)、帯域幅を増加させます。 (トランク、リンク集約、イーサチャ ンネル、ポートチャンネルとも呼ばれ ます) VLAN(仮想ローカル エリア ネットワー 1 つのネットワーク接続内で独立したネットワークに分離する方法。標準 ク) IEEE 802.1Q によって定義されています。 8 McAfee Content Security Blade Server McAfee Content Security Blade Server の紹介 グラフィックの表記規則 グラフィックの表記規則 このガイドの図では、次の記号を使用します。 M3 格納装置 Content Security Blade Server M7 格納装置 Content Security Blade Server メール サーバ インターネット ユーザまたはクライアン ト コンピュータ その他のサーバ(DNS サー バなど) スイッチ ルータ ネットワーク ゾーン(DMZ または VLAN) ファイアウォール 実際のデータ パス ネットワーク 認識されるデータ パス マニュアル 本書は製品に付属しています。追加情報については、製品のオンライン ヘルプを参照してく ださい。その他のマニュアルは、McAfee の Web サイト(http://mysupport.mcafee.com)か ら入手できます。 参照可能なリソース ここでは、詳細情報とヘルプの入手先を紹介します。 McAfee 製品 McAfee ナレッジベース。 https://mysupport.mcafee.com/eservice/Default.aspx にアクセスし、[Search the KnowledgeBase (ナレッジベースを検索)]をクリックしま す。 製品ガイド McAfee ダウンロード サイト。基本概念、ポ リシー、プロトコル(SMTP、POP3、FTP、 HTTP、および ICAP)、保守、および監視に 関する情報が記載されています。承認 ID 番 号が必要です。 オンライン ヘルプ 製品インターフェース。基本概念、ポリ シー、プロトコル(SMTP、POP3、FTP、HTTP、 McAfee Content Security Blade Server 9 McAfee Content Security Blade Server の紹介 マニュアル および ICAP)、保守、および監視に関する 情報が記載されています。 10 McAfee Content Security Blade Server ブレード サーバの紹介 ® McAfee Content Security Blade Server バージョン 5.6 は、ネットワークをウイルスやス パム、およびその他の脅威から保護するために web および電子メール トラフィックをスキャ ンします。 ブレード サーバは、McAfee Email and Web Security 製品群の範囲で最も高機能のモデルで す。 ブレード サーバは次のことを行います。 • SMTP および POP3 メッセージング トラフィック(電子メール セキュリティ ソフトウェ ア)をスキャンし、処理します。 • HTTP、ICAP、および FTP トラフィック(Web セキュリティ ソフトウェア)をスキャン し、処理します。 • スタンドアロンの Email and Web Security アプライアンスの 8 倍の速さで実行されま す。 • データセンターでのスタンドアロン アプライアンスの保存コストおよび実行コストを削 減します。 • 拡張可能です。コンテンツ スキャン ブレードを追加することにより、パフォーマンスの 低下を招くことなくスキャンのスループットを向上させることができます。 • 管理が容易です。スキャンの負荷を分散し、ブレード全体にわたり検出定義(DAT)ファ イルをアップデートします。 • McAfee Web Gateway(以前は WebWasher)ソフトウェアをいくつかの、またはすべてのコ ンテンツ スキャン ブレードで実行できます。 注意: ブレード サーバには組み込み負荷管理が備わっています。ネットワークですでに負荷 分散を使用している場合、ブレード サーバを設置する際に、前に負荷分散ツールは不要でも そのままそこにおいて置くことができます。 目次 ブレード サーバの重要な利点 ブレードの種類 ブレード サーバの重要な利点 電子メールの脅威からの保護 • 実績豊富な電子メールの脅威からの保護 • 電子メール システムのスパム、フィッシング詐欺、スパイウェア、およびウイルスを検 出し、ブロックします。 McAfee Content Security Blade Server 11 ブレード サーバの紹介 ブレードの種類 Web の脅威からの保護 • フィッシング サイト、スパイウェア、不審なプログラム、およびネットワークからダウ ンロードされたウイルスを検出し、ブロックします。 • Content Security Blade Server ソフトウェアに同梱されている Web スキャン機能を使 用、または McAfee Web Gateway(以前は WebWasher)ソフトウェアを一部またはすべて のコンテンツ スキャン ブレードにインストールします。 • 実績豊富な McAfee SiteAdvisor は、不適切なサイトへのアクセスからユーザを保護しま す。 コンテンツ フィルタリング • 医療保険の携行性と責任に関する法律(HIPAA)、Sarbanes-Oxley Act(SOX)、European Union(EU)指令および国内法などの電子メール個人情報保護法などの法令に順守してい ます。 経費節約 • 製品取得、ライセンス、およびサポートの経費を削減します。 • データ センターの空調、スペース、および電源の経費を節減します。 • 長期的資本コストを削減します。 高いスループット、拡張性、および信頼性 • ホットスワップ可能なブレードの使用によりダウンタイムなしで、必要に応じて能力を拡 張します。 • 冗長な電源供給および自動フェールオーバー。 • 復元モードはスキャンを中断するネットワーク問題からより強力に保護します。 優れたスパム対策技術 • 最新のイメージ、PDF、および MP3 のスパム攻撃を含め、誤検知なしで(サードパーティ テストによる計測)98 パーセント以上のスパムを検出し、ブロックします。 • 2~3 分おきにストリーミングをアップデートして新しい形式のスパムを迅速にシャット ダウンします。 • スパム対策の効果は、以下の技術の組み合わせによって達成されます。 • McAfee® IP レピュテーション バージョン • ドメイン名レピュテーション スコアリング • ヒューリスティック検出 • コンテンツ フィルタリング • Sender Policy Framework(SPF)および DomainKeys Identified Mail(DKIM)標準に 基づく送信者認証 • 一時的に不明の送信者からの電子メールを拒否し、既知の正当な送信者からのメールを 追跡および許可するグレーリスト ブレードの種類 このセクションでは、ブレード サーバに付属しているさまざまな種類のブレードについて説 明します。 12 McAfee Content Security Blade Server ブレード サーバの紹介 ブレードの種類 • 管理ブレード • フェールオーバー管理ブレード • コンテンツ スキャン ブレード 管理ブレード 管理ブレードはネットワーク トラフィックを管理し、内部の負荷管理を使用してトラフィッ クをコンテンツ スキャン ブレードに渡します。管理ブレードは、ファイルをスキャンする ためには使用されません。管理ブレードは次のことを行います。 • コンテンツ スキャン ブレードの初期ソフトウェアのインストールを行います。 • 他のブレードのすべてのアップデートを管理します。 • すべてのイベント、隔離された電子メール、および遅延電子メールを集計します。 一時点で有効にできるのは、管理ブレードまたはフェールオーバー管理ブレードのいずれか となります。同時に両方を有効にすることはできません。 管理ブレードとコンテンツ スキャン ブレードは、次の場合に単一システムとして同時に動 作することができます。 • Web ベースのインターフェースを使用して設定の変更を行う • DAT ファイルを更新する • ステータス情報を表示する また管理ブレードによって次のことが可能となります。 • アップデート中にシステム全体にダウンタイムを引き起こしません。 • 前のアップデートが失敗しても、またアップデートする必要がありません。 • ブレードが追加、削除、または障害が発生した場合は、関連するメッセージ(SNMP など) が生成されます。 管理ブレードは以下のものと対話できます。 • コンテンツ スキャン ブレードと対話して、個別のコンテンツ スキャン ブレードをシャッ トダウン、再起動、または無効化。 • McAfee Quarantine Manager。Quarantine Manager アプリケーションでは、ネットワーク で一元的にリソースを隔離できます。 フェールオーバー管理ブレード フェールオーバー管理ブレードは管理ブレードと同じです。フェールオーバー管理ブレード は、管理ブレードに問題が発生した場合に管理機能を引き継ぎます。これを実行するため、 以下のものを使用します。 • 透過型ブリッジ モード用の Spanning Tree Protocol(STP) • 透過型ルータ モードおよび明示的プロキシ モード用の Virtual Router Redundancy Protocol(VRRP) フェールオーバー管理ブレードは、ファイルをスキャンするためには使用されません。フェー ルオーバー管理ブレードが構成されている場合、必要となるまでは休止状態となります。 コンテンツ スキャン ブレード ブレード サーバには最低でも 1 つのコンテンツ スキャン ブレードが提供されています。 McAfee Content Security Blade Server 13 ブレード サーバの紹介 ブレードの種類 最初にコンテンツ スキャン ブレードを設置する場合、管理ブレードは自動的に新しいブレー ドにスキャン ソフトウェア イメージをインストールします。インストールされるスキャン ソフトウェア イメージは、ブレード サーバの構成のときに選択したオプションによって異 なります。 Content Security Blade Server ソフトウェアに同梱されているスキャン機能をインストー ルするよう選択するか、または McAfee Web Gateway 6.8.5(以前は WebWasher)ソフトウェ アを一部またはすべてのコンテンツ スキャン ブレードにインストールできます。次のもの をインストールできます。 • Email and Web Security ソフトウェア — これはすべてのコンテンツ スキャン ブレード にインストールされ、各ブレードは電子メールと Web トラフィックの両方をスキャンし ます。 • Email Security ソフトウェア — Email Security ソフトウェアをインストールするコン テンツ スキャン ブレードを選択できます。 • Web Security ソフトウェア — Web Security ソフトウェアをインストールするコンテン ツ スキャン ブレードを選択できます。 • McAfee Web Gateway ソフトウェア — McAfee Web Gateway ソフトウェアをインストール するコンテンツ スキャン ブレードを選択できます。 注意: McAfee Web Gateway ソフトウェアを選択してインストールする場合、同じシャーシ上 に Email and Web Security ソフトウェアおよび Web Security ソフトウェアのどちらもイ ンストールできません。また、McAfee Web Gateway ソフトウェアを使用する場合は、ブレー ド サーバを 明示的プロキシ モードでブレード サーバをインストールする必要があります。 ソフトウェアがインストールされると、直ちに各コンテンツ スキャン ブレードはスキャン を開始します。 コンテンツ スキャン ブレードはトラフィックをスキャンするためにのみ使用されます。こ れは管理ブレードではありません。コンテンツ スキャン ブレードは次のことを行います。 • 管理ブレードから DAT ファイルとソフトウェア パッチを受け取ります。 • すべてのスキャン イベントおよび検出イベントに関する情報を管理ブレードに送信しま す。 • すべての隔離されたおよび遅延された電子メール メッセージとファイルを管理ブレード に送信します。 14 McAfee Content Security Blade Server 設置前 製品を安全に使用するために、アプライアンスの設置を開始する前に次の点を考慮してくだ さい。 • ブレード サーバおよび電源装置の電源要件を理解してください。 • アプライアンスの動作モードと機能を十分に理解してください。有効な構成を選択するこ とが重要です。 • ネットワークへのブレード サーバの統合方法を決定し、作業を開始する前に必要な情報 を確認してください(ブレード サーバの名前や IP アドレスなど)。 • 設置場所のできるだけ近くで製品を開梱してください。 • 製品を保護パッケージから取り出し、平らな場所に置いてください。 • 同梱されている安全上の注意をすべて確認してください。 警告: 同梱されている安全に関する情報をすべて確認し、十分に理解してください。 内容 ブレード サーバの設置場所 このボックスの内容 すべてのコンポーネントが揃っていることを確認するには、製品に付属している梱包リスト を参照してください。 通常、このボックスの内容は次のとおりです。 • ブレード サーバ格納装置(M3 または M7 格納装置のいずれか) • 管理ブレード • フェールオーバー管理ブレード • 1 つまたは複数の、注文に従った数のスキャン ブレード • 電源コード • ネットワーク ケーブル • Email and Web Security のインストールおよびリカバリ CD • Linux ソース コード CD • McAfee Quarantine Manager CD • ドキュメント CD 不足または破損しているものがある場合は、販売店に問い合わせてください。 McAfee Content Security Blade Server 15 設置前 設置計画 設置計画 Content Security Blade Server を開梱する前に、設置と配備に関する計画を立てることが 重要です。 役立つ情報:『HP BladeSystem c-Class Site Planning Guide』(HP BladeSystem c-Class 設置計画ガイド)。 次の点を考慮してください。 • サイトを準備するための一般的なガイドライン Content Security Blade Server ハードウェア用にコンピュータ ルームの設備を準備す るための一般的なサイト要件の概要。 • 環境要件 温度、エアフロー、スペース要件など、サイトの環境要件に関する情報。 • 電源に関する要件および注意事項 設置前に考慮しなければならない電源要件および電気に関する要素。 電力配分装置(PDU)の設置を含みます。 • ハードウェアの仕様および要件 ブレード サーバの格納装置、ラック、単相および三相電源に関するシステム仕様。 • 構成シナリオ • 設置前の準備。 不適切な使用 製品の使用にあたっては、次の点に注意してください。 • 本製品はファイアウォールではありません - 組織の内部で、適切に構成されたファイア ウォールの内側で使用する必要があります。 • 本製品は他のソフトウェアやファイルを格納するためのサーバではありません - 製品マ ニュアルに記載されているか、サポート担当者から指示されない限り、製品にソフトウェ アをインストールしたり、余分なファイルを追加したりしないでください。デバイスで は、すべてのタイプのトラフィックを処理できるわけではありません。明示的プロキシ モードを使用している場合、スキャン対象のプロトコルのみがデバイスに送信されるよう に構成する必要があります。 ブレード サーバの設置場所 ブレード サーバは、ユニットへの物理的なアクセスを制御でき、ポートおよび接続にアクセ スできるような場所に配置します。 ブレード サーバ シャーシに付属しているラックマウント キットを使用すると、19 インチ のラックにブレード サーバを設置できます。 HP BladeSystem c3000 Enclosure Quick Setup Instructions または HP BladeSystem c7000 Enclosure Quick Setup Instructions を参照してください。 16 McAfee Content Security Blade Server 設置前 ネットワーク モードに関する注意事項 ネットワーク モードに関する注意事項 Content Security Blade Server をインストールして構成する前に、使用するネットワーク モードを決定する必要があります。選択したモードによって、ブレード サーバをネットワー クに物理的に接続する方法が決まります。 次のネットワーク モードから選択できます。 • 透過型ブリッジ モード - デバイスが Ethernet ブリッジとして動作します。 • 透過型ルータ モード - デバイスがルータとして動作します。 • 明示的プロキシ モード — デバイスがプロキシサーバおよびメール リレーとして動作し ます。 このセクションと次のセクションを読んでも、使用するモードについて不明な点がある場合 は、ネットワーク担当者にお問い合わせください。 警告: McAfee Web Gateway(以前の WebWasher)ソフトウェアを実行する 1 つ以上のスキャ ン ブレードを配備することを計画している場合は、ブレード サーバを明示的プロキシ モー ドで構成する必要があります。 ネットワーク モードに関する構造上の考慮事項 ネットワーク モードについては、主に次の点を考慮する必要があります。 • 通信デバイスでデバイスの存在が認識されるかどうか。つまり、デバイスが透過型モード のいずれかで動作しているかどうか。 • デバイスがどのようにしてネットワークに物理的に接続されているか。 • デバイスをネットワークに組み込むために必要な構成。 • 構成が必要なネットワークの部分。 ネットワーク モードの変更に関する注意事項 明示的プロキシ モードおよび透過型ルータ モードでは、LAN1 および LAN2 ポートに複数の IP アドレスを設定することによって、デバイスを複数のネットワークに設定できます。 明示的プロキシ モードまたは透過型ルータ モードから透過型ブリッジ モードに変更した場 合、各ポートに設定された有効な IP アドレスのみが引き継がれます。 ヒント: ネットワーク モードを選択した後は、デバイスを移動したりネットワークを再構築 したりする場合を除き、モードを変更しないことをお勧めします。 目次 透過型ブリッジ モード 明示的プロキシ モード 透過型ブリッジ モード 透過型ブリッジ モードの場合、通信サーバではデバイスが認識されません。デバイスの動作 はサーバに対して透過的です。 図 1: 透過型通信 McAfee Content Security Blade Server 17 設置前 ネットワーク モードに関する注意事項 図 1: 透過型通信では、外部メール サーバ(A)が内部メール サーバ(C)に電子メール メッセージを送信しています。外部メール サーバでは、電子メール メッセージがデバイス (B)によってインターセプトされてスキャンされていることが認識されません。 外部メール サーバでは、内部メール サーバと直接通信していると認識されます。このパス は点線で示されています。実際には、内部メール サーバに到達する前に、トラフィックは複 数のネットワーク デバイスを通過し、デバイスによってインターセプトされてスキャンされ ている可能性があります。 デバイスの動作 透過型ブリッジ モードでは、デバイスは LAN1 ポートと LAN2 ポートを使用してネットワー クに接続します。デバイスは、受信したトラフィックをスキャンし、2 つのネットワーク セ グメントを接続するブリッジとして機能します。ただし、2 つのネットワーク セグメントを 1 つの論理ネットワークとして処理します。 構成 透過型ブリッジ モードでは、透過型ルータ モードや明示的プロキシ モードより構成が少な くて済みます。トラフィックをデバイスに送信するために、クライアント、デフォルト ゲー トウェイ、MX レコード、ファイアウォール NAT、およびメール サーバをすべて再構成する 必要はありません。このモードではデバイスはルータとして機能しないため、ルーティング テーブルを更新する必要はありません。 デバイスの配置場所 セキュリティ上の理由から、組織の内部、つまりファイアウォールの内側でデバイスを使用 する必要があります。 図 2: 単一の論理ネットワーク ヒント: 透過型ブリッジ モードでは、図 2: 単一の論理ネットワークのように、ファイア ウォールとルータの間にデバイスを配置してください。 このモードでは、2 つのネットワーク セグメントを物理的にデバイスに接続すると、これら のセグメントが 1 つの論理ネットワークとして処理されます。デバイス(ファイアウォー ル、デバイス、およびルータ)が同一の論理ネットワーク上に存在するので、同じサブネッ ト上の互換性がある IP アドレスをすべてのデバイスに設定する必要があります。 ブリッジの反対側にある他のデバイス(ファイアウォールなど)と通信するデバイス(ルー タなど)では、ブリッジが認識されません。これらのデバイスでは、トラフィックがインター 18 McAfee Content Security Blade Server 設置前 ネットワーク モードに関する注意事項 セプトされてスキャンされていることが認識されないので、このデバイスは透過型ブリッジ として機能していることになります。 図 3: 透過型ブリッジ モード ブリッジの優先度管理用の STP(Spanning Tree Protocol) ブレードに問題が発生した場合、STP(Spanning Tree Protocol)はネットワーク トラフィッ クをブリッジの優先度が次に高位のブレードに送信します。 透過型ブリッジモードでは、管理ブレードとフェールオーバー管理ブレードは別々の IP ア ドレスです。 透過型ルータおよび明示的プロキシ モードでは、2 つのブレードはやはり別々の IP アドレ スを持ちますが、同じ仮想 IP アドレスで構成されます。 通常、電子メール トラフィックは管理ブレードによって処理されます。ブレードに問題が発 生すると、電子メール トラフィックはフェールオーバー管理ブレードによって処理されま す。 それぞれのブレードは異なるブリッジの優先度を持っています。管理ブレードの優先度が最 も高くなるため(たとえば、STP 値が 100)、管理ブレードは通常ネットワーク トラフィッ クをスキャンします。管理ブレードに問題が発生した場合、STP はパスを介してネットワー ク トラフィックをブリッジの優先度が次に高位のブレード、すなわちフェールオーバー管理 ブレード(たとえば STP 値が 200)に送信します。 ブレード サーバを設定するには以下の手順に従います。 1 以下の手順でブリッジ ループを防止します。 a すべての相互接続のポート 1 と 2 のSTPを無効にします。 b すべてのポートが STG1 のメンバーであることを確認します。 c STG1 を無効にします。 2 フェールオーバー管理ブレードをスロット 2 に設置します。 3 フェールオーバー管理ブレードのセットアップ中に、ブリッジの優先度をたとえば 200 などにセットします。 4 管理ブレードをスロット 1 に設置します。 5 管理ブレードのセットアップ中に、ブリッジの優先度をたとえば 100 などにセットしま す。 McAfee Content Security Blade Server 19 設置前 ネットワーク モードに関する注意事項 6 管理ブレードとフェールオーバー管理ブレードに別々の IP アドレスを割り当てます。 透過型ルータ モード 透過型ルータ モードでは、デバイスは 2 つのネットワーク間の電子メール トラフィックを スキャンします。各インターフェースは 1 つ以上の IP アドレスがあります。 通信ネットワーク サーバではデバイスの介入が認識されません。デバイスの動作はネット ワーク サーバに対して透過的です。 デバイスの動作 構成 ファイアウォール ルール デバイスの配置場所 デバイスの動作 透過型ルータ モードでは、デバイスは LAN1 ポートと LAN2 ポートを使用してネットワーク に接続します。一方のネットワークから受信したトラフィックをスキャンし、別のネットワー ク上にある次のネットワーク デバイスに転送します。デバイスはルータとして機能し、ルー ティング テーブル内の情報に基づいて、ネットワーク間でトラフィックをルーティングしま す。 構成 透過型ルータ モードを使用すると、デバイスにトラフィックを送信するようにネットワーク デバイスを明示的に再構成する必要がありません。デバイスのルーティング テーブルを構成 し、デバイスの両側にあるネットワーク デバイス(LAN1 ポートと LAN2 ポートに接続され たデバイス)の一部のルーティング情報を変更すればよいだけです。たとえば、デバイスを デフォルト ゲートウェイにすることをお勧めします。 透過型ルータ モードでは、デバイスが 2 つのネットワークを結合する必要があります。組 織の内部、つまりファイアウォールの内側にデバイスを配置する必要があります。 注意: 透過型ルータ モードでは、マルチキャスト IP トラフィック、および NETBEUI や IPX などの IP 以外のプロトコルはサポートされません。 ファイアウォール ルール 透過型ルータ モードでは、ファイアウォールは LAN1/LAN2 接続の IP アドレスを使用して 管理ブレードに接続します。 20 McAfee Content Security Blade Server 設置前 ネットワーク モードに関する注意事項 デバイスの配置場所 ネットワークの既存のルータの代わりに使用するには、デバイスを透過型ルータ モードで使 用します。 ヒント: 既存のルータの代わりとしてではなく透過型ルータ モードを使用する場合は、トラ フィックがデバイスを経由して正しくルーティングされるように、ネットワークの一部を再 構成する必要があります。 図 4: 透過型ルータ モードの構成 以下の操作が必要です。 • デフォルト ゲートウェイを指すようにクライアント デバイスを構成する必要がありま す。 • インターネット ゲートウェイをデフォルトのゲートウェイとして使用するようにデバイ スを構成する必要があります。 • クライアント デバイスが組織内のメール サーバに電子メール メッセージを配信できる ことを確認する必要があります。 明示的プロキシ モード 明示的プロキシ モードでは、デバイスにトラフィックを送信するように一部のネットワーク デバイスを明示的に設定する必要があります。この場合、デバイスはプロキシまたはリレー として機能し、デバイスに代わってトラフィックを処理します。 明示的プロキシ モードは、クライアント デバイスが 1 つのアップストリームおよびダウン ストリーム デバイスを介してこのデバイスに接続されているネットワークに最適です。 ヒント: トラフィックをデバイスに送信するように複数のネットワーク デバイスを再構成す る必要がある場合、このオプションは適さないことがあります。 ネットワークとデバイスの構成 デバイスが明示的プロキシ モードに設定されている場合は、電子メール トラフィックをデ バイスへリレーするように内部メール サーバを明示的に構成する必要があります。デバイス McAfee Content Security Blade Server 21 設置前 ネットワーク モードに関する注意事項 は電子メール トラフィックをスキャンしてから、送信者に代わって外部メール サーバに転 送します。その後、外部メール サーバから受信者に電子メール メッセージが転送されます。 同様に、インターネットからの受信電子メール メッセージが内部メール サーバではなくデ バイスに配信されるようにネットワークを構成する必要があります。 図 5: 電子メール トラフィックのリレー 図 5: 電子メール トラフィックのリレー のように、デバイスはトラフィックをスキャンし てから、送信者に代わって内部メール サーバに転送します。その後、内部メール サーバか らメールが配信されます。 たとえば、外部メール サーバはデバイスと直接通信できます。ただし、トラフィックはデバ イスに到達する前に複数のネットワーク サーバを通過することがあります。認識されるパス は、外部メール サーバからデバイスへのパスです。 プロトコル サポートされているプロトコルをスキャンするには、いずれのトラフィックもデバイスを迂 回しないように、デバイス経由でプロトコルをルーティングするよう他のネットワーク サー バやクライアント コンピュータを構成する必要があります。 ファイアウォール ルール 明示的プロキシ モードでは、インターネットへのクライアント アクセスについて設定され ているファイアウォール ルールが無効になります。ファイアウォールでは、デバイスの IP アドレス情報のみが参照され、クライアントの IP アドレスは参照されないため、インター ネット アクセス ルールをクライアントに適用することができません。 デバイスの配置場所 スキャンする必要があるトラフィックをデバイスに送信するようにネットワーク デバイスを 構成してください。これは、デバイスの場所より重要です。 22 McAfee Content Security Blade Server 設置前 DMZ 内でデバイスを使用するための配備方針 ルータでは、すべてのユーザにデバイスへの接続を許可する必要があります。 図 6: 明示的プロキシの構成 図 6: 明示的プロキシの構成のように、組織の内部、つまりファイアウォールの内側にデバ イスを配置する必要があります。 ファイアウォールは通常、デバイスから直接送信されないトラフィックをブロックするよう に構成されています。 ネットワークのトポロジやデバイスの統合方法について不明な点がある場合は、ネットワー ク担当者にお問い合わせください。 この構成は、次の場合に使用します。 • デバイスが明示的プロキシ モードで動作している。 • 電子メール(SMTP)を使用している。 この構成では、次の点に注意する必要があります。 • 外部メール サーバが内部メール サーバではなくデバイスにメールを配信するように、外 部ドメイン名システム(DNS)サーバまたはファイアウォール上のネットワーク アドレス 変換(NAT)を構成してください。 • 電子メール メッセージをデバイスに送信するように内部メール サーバを構成してくださ い。つまり、内部メール サーバでは、デバイスをスマート ホストとして使用する必要が あります。クライアント デバイスが組織内のメール サーバに電子メール メッセージを 配信できることを確認してください。 • ファイアウォール ルールが更新されていることを確認してください。ファイアウォール では、デバイスからのトラフィックを受け入れ、クライアント デバイスから直接送信さ れるトラフィックを受け入れないようにする必要があります。不要なトラフィックが組織 に侵入するのを防ぐためのルールを設定してください。 DMZ 内でデバイスを使用するための配備方針 非武装地帯(DMZ)は、インターネットやその他の内部ネットワークなど、他のすべてのネッ トワークからファイアウォールによって分離されたネットワークです。通常は、電子メール など、インターネットにサービスを提供するサーバへのアクセスを完全に遮断することを目 的として DMZ を実装します。 McAfee Content Security Blade Server 23 設置前 DMZ 内でデバイスを使用するための配備方針 ハッカーは一般に、アプリケーションがリクエストを待機している TCP/UDP ポートを特定 し、アプリケーションの既知の脆弱性を悪用してネットワークにアクセスします。ファイア ウォールは、特定のサーバの特定のポートへのアクセスを制御することによって、このよう な悪用のリスクを大幅に軽減します。 このデバイスは、DMZ 構成に簡単に追加できます。DMZ 内でのデバイスの使用方法は、スキャ ンするプロトコルによって異なります。 内容 DMZ 内の SMTP 構成 負荷の管理 組み込みの冗長性 DMZ 内の SMTP 構成 DMZ は、メールを暗号化するのに適した場所です。メール トラフィックが 2 度目にファイ アウォールに到達した時点(DMZ から内部ネットワークへの途中)では、メール トラフィッ クが暗号化されています。 DMZ 内の SMTP トラフィックをスキャンするデバイスは通常、明示的プロキシ モードで構成 されます。 構成を変更する必要があるのは、メール サーバの MX レコードのみです。 注意: DMZ 内で SMTP をスキャンする場合は、透過型ブリッジ モードを使用できます。ただ し、トラフィックの流れを適切に制御しないと、それぞれの方向で各メッセージが 1 回ず つ、合計 2 回スキャンされることになります。そのため、SMTP スキャンには通常、明示的 プロキシ モードを使用します。 メール リレー 図 7: DMZ 内の明示的プロキシ構成のデバイス DMZ 内にメール リレーをすでに設定している場合、そのリレーの代わりにこのデバイスを使 用することができます。 既存のファイアウォール ポリシーを使用するには、メール リレーと同じ IP アドレスをデ バイスに指定してください。 24 McAfee Content Security Blade Server 設置前 DMZ 内でデバイスを使用するための配備方針 メール ゲートウェイ SMTP には、メール メッセージを暗号化する方法がありません。Transport Layer Security (TLS)を使用すると、リンクを暗号化することはできますが、メール メッセージを暗号化 することはできません。そのため、一部の企業では、社内ネットワークでこのようなトラ フィックを許可していません。この問題を解決するために、多くの場合、Lotus Notes® や Microsoft® Exchange のような独自のメール ゲートウェイを使用して、メール トラフィック が社内ネットワークに到達する前に暗号化します。 独自のメール ゲートウェイを使用する DMZ 構成を実装するには、ゲートウェイの SMTP 側 の DMZ にスキャン デバイスを追加してください。 図 8: DMZ でのメール ゲートウェイの保護 この場合は、以下を構成します。 • すべての受信メールを(ゲートウェイではなく)デバイスに送信するよう外部メール サー バに指示するパブリック MX レコード • すべての受信メールをメール ゲートウェイに転送し、DNS または外部リレーを使用して すべての送信メールを配信するデバイス • すべての受信メールを内部メール サーバに転送し、他のすべての(送信)メールをデバ イスに転送するメール ゲートウェイ • デバイスに向かう受信メールのみを許可するファイアウォール 注意: ネットワーク アドレス変換(NAT)を使用するように構成され、受信メールを内部 メール サーバにリダイレクトするファイアウォールでは、パブリック MX レコードを再構成 する必要はありません。これは、メール ゲートウェイ自体ではなく、ファイアウォールにト ラフィックが送られるためです。この場合は、代わりに、受信メール リクエストをデバイス に送るようファイアウォールを再構成する必要があります。 McAfee Content Security Blade Server 25 設置前 DMZ 内でデバイスを使用するための配備方針 Lotus Notes に固有のファイアウォール ルール Lotus Notes サーバは、デフォルトで TCP ポート 1352 を介して通信します。DMZ 内の Notes サーバの安全を確保するために一般的に使用されるファイアウォール ルールでは、ファイア ウォールを介して許可されるリクエストは次のとおりです。 • インターネットからデバイスに送信される受信 SMTP リクエスト(TCP ポート 25) • Notes ゲートウェイから内部の Notes サーバに送信される TCP ポート 1352 リクエスト • 内部の Notes サーバから Notes ゲートウェイに送信される TCP ポート 1352 リクエス ト • デバイスからインターネットに送信される SMTP リクエスト 他の SMTP リクエストおよび TCP ポート 1352 リクエストはすべて拒否されます。 Microsoft Exchange に固有のファイアウォール ルール Microsoft Exchange ベースのメール システムには大幅な改善策が必要です。 Exchange サーバが相互に通信する場合、RPC プロトコル(TCP ポート 135)を使用して最初 のパケットを送信します。ただし、最初の通信が確立されると、残りの通信については 2 つ のポートが動的に選択され、その後のすべてのパケットの送信にこれらのポートが使用され ます。動的に選択されたこれらのポートを認識するようにファイアウォールを構成すること はできません。そのため、パケットはファイアウォールを通過することができません。 改善策として、ファイアウォールを介して通信している 各 Exchange サーバのレジストリを 常に同じ 2 つの「動的」ポートを使用するように変更し、TCP 135 とこれらの 2 つのポー トをファイアウォール上で開きます。 この改善策は、包括的な説明を提供するために記載しているものであり、お勧めするもので はありません。Microsoft ネットワークでは RPC プロトコルが普及しているので、TCP 135 受信を開くことは、ほとんどのセキュリティ担当者にとって赤信号です。 この改善策を使用する場合は、Microsoft の Web サイトで次のサポート技術情報の記事を参 照してください。 • Q155831 • Q176466 負荷の管理 ブレード サーバには独自の内部負荷管理が組み込まれており、格納装置内に設置されている すべてのスキャン ブレード間でスキャンの負荷が均等に分散されます。 外部の負荷分散装置を配備する必要はありません。 組み込みの冗長性 ® McAfee Content Security Blade Server で、いずれかのコンテンツ スキャン ブレードが失 敗したら、負荷管理機能は作業を残りのコンテンツ スキャン ブレードに分配します。 管理ブレードが失敗した場合、フェールオーバー管理ブレードは引き続き負荷管理を処理し て、高い信頼性のあるスキャンを保証します。 ブレード サーバは格納装置内に複数の電源装置と冷却ファンを持っており、冗長性を備えて います。電源装置や冷却ファンに問題が発生しても、ブレード サーバは動作し続け、一方問 題の発生したコンポーネントはブレード サーバの電源を切らずに取り替えることができま す。 26 McAfee Content Security Blade Server 設置前 インストールの計画 さらに、ブレード サーバを復元モードでの動作に構成することによって、ブレード サーバ 格納装置内の、またはケーブルの損傷、切断、または外部ネットワーク自体によるネットワー ク接続の障害が発生する場合などの際にブレード サーバの免疫性を向上させることができま す。次を参照してください。 この詳細については「復元モードの動作」を参照してくださ い。 インストールの計画 既存のネットワークの構成は、ネットワーク内にブレード サーバをどのように配置すべきか 参考となることがあります。 ブレード サーバを配備する前に、ネットワーク トポグラフィーのダイアグラムを分析し、 既存のネットワークについて十分に理解する必要があります。 新しいブレード サーバから最高のパフォーマンスを得るためには、既存のネットワーク内で のトラフィックのフローを注意深く監視し、そのフローを変えるためにはどのようにブレー ド サーバを統合していくべきか分析することは不可欠なことです。 目次 標準インストールの開始前に 格納装置を設置する前に Lights-Out 管理のセットアップ 設置後 標準インストールの開始前に ® McAfee Content Security Blade Server の構成を開始する前に、McAfee は以下のものを識 別することを推奨します。 • IP アドレス 各 Content Security Blade Server 格納装置は以下のものに IP アドレスが必要です。 • オンボード アドミニストレータ(OA)モジュール • Integrated Lights Out(iLO)モジュール(構成によって 8 から 16 の間のアドレス 数) • 相互接続モジュール(x2) • 管理ブレードの帯域外(OOB)IP アドレス • 管理ブレードの LAN IP アドレス(動作モードによって 1 つまたは 2 つ) • フェールオーバー管理ブレード OOB IP アドレス • フェールオーバー管理ブレードの LAN IP アドレス(動作モードによって 1 つまたは 2 つ) • システムの仮想 IP アドレス(動作モードによって 1 つまたは 2 つ) • ファームウェア バージョン すべてのハードウェアは少なくとも以下のバージョンにアップグレードする必要がありま す。 • オンボード アドミニストレータ - v3.21 • HP GbE2c 相互接続 - v5.1.3 • ブレード BIOS(G6 ブレード)-I24 2010/03/30 McAfee Content Security Blade Server 27 設置前 インストールの計画 • ブレード BIOS(G1 ブレード)-I15 2009/07/10 • ブレード iLO - 1.82 注意: ファームウェア リリース セットの iso イメージ、Smart Update Firmware DVD ISO, v9.10 (C) - August 30, 2010を、http://www.hp.com/go/bladesystemupdates/から ダウンロードできます。 • ネットワーク ダイアグラム Content Security Blade Server 格納装置の内部ネットワーク(LAN1、LAN2、OOB、およ び OA ネットワーク)が、どのように既存のネットワーク インフラストラクチャに統合 するか表示するネットワーク ダイアグラムがあると便利です。 透過型ブリッジ モード配備では、どの VLAN をブリッジするかという知識を持つことは 不可欠です。 格納装置を設置する前に 格納装置を設置する前に、次のことを決めておく必要があります。 • 電源と空調。 • ネットワーク モード。 • ネットワーク アドレス。 • オンボード アドミニストレータ • Lights-out 管理。 • フェールオーバー要件。 電源と空調 予想される数のブレードを搭載した場合の格納装置の電源要件および空調要件を決定するに は、以下を参照してください。 • HP BladeSystem cClass Solution Overview • M3 格納装置には、 HP BladeSystem c3000 Enclosure Setup and Installation Guide • M7 格納装置には、 HP BladeSystem c7000 Enclosure Setup and Installation Guide • HP BladeSystem Power Sizer Tool ネットワーク モード 設置で使用するネットワーク モードを決める必要があります。 • 透過型ルータ モード。 • 透過型ブリッジ モード。 • 明示的プロキシ モード。 IP アドレス 各 Content Security Blade Server 格納装置は以下のものに IP アドレスが必要です。 • オンボード アドミニストレータ(OA)モジュール • Integrated Lights Out(iLO)モジュール(構成によって 8 から 16 の間のアドレス数) • 相互接続モジュール(x2) • 管理ブレードの帯域外(OOB)IP アドレス 28 McAfee Content Security Blade Server 設置前 インストールの計画 • 管理ブレードの LAN IP アドレス(動作モードによって 1 つまたは 2 つ) • フェールオーバー管理ブレード OOB IP アドレス • フェールオーバー管理ブレードの LAN IP アドレス(動作モードによって 1 つまたは 2 つ) • システムの仮想 IP アドレス(動作モードによって 1 つまたは 2 つ) オンボード アドミニストレータ Oboard Administrator をセットアップする場合には、次の操作を行います。 • シャーシのディスプレイを使用して Onboard Administrator を構成する。 • HTTP を介して Onboard Administrator インターフェースにログインする。 • Onboard Administrator セットアップ ウィザードを実行する。 M3 格納装置には、HP BladeSystem c7000 Enclosure Setup and Installation Guide を参照 してください。 HP BladeSystem c3000 Enclosure Setup and Installation Guide M7 格納装置には、HP BladeSystem c7000 Enclosure Setup and Installation Guide を参照 してください。. Lights-out 管理 Lights-out 管理にはネットワーク インフラストラクチャを決める必要があります。 フェールオーバー要件 フェールオーバー要件は、ブレード サーバを構成するのに使用されるモードによって異なり ます。 • 透過型ブリッジ モード ブリッジの優先度(STP 設定)によって、どちらが管理ブレードでどちらがフェールオー バー管理ブレードかが決まります。優先度の値の小さい方が管理ブレードとなります。環 境に応じて、2 つのブレードに対して使用するブリッジの優先度を決定する必要がありま す。 • 透過型ルータと明示的プロキシ モード ブレード サーバは VRRP(Virtual Router Redundancy Protocol)を使用して管理ブレー ドとフェールオーバー管理ブレードを構成します。管理ブレードとフェールオーバー管理 ブレードはそれぞれ異なる IP アドレスを持ちますが、ブレード サーバに接続する外部 デバイスは仮想の IP アドレスを使用します。このように、外部デバイスはどの物理ブ レードが有効であるかにかかわらず、同じ仮想 IP アドレスを使用してブレード サーバ に接続できます。次のことを行う必要があります。 • 外部デバイス用の仮想 IP アドレスを決定する。 • 管理ブレードとフェールオーバー管理ブレード用の IP アドレスを決定する。 • どっちが管理ブレードとなるかを指定する。 Lights-Out 管理のセットアップ このタスクを使用してブレード サーバのリモート ハードウェア管理用の Lights-Out 管理 をセットアップします。 Lights-Out 管理のセットアップおよび使用の詳細については、HP Integrated Lights-Out 2 User Guide を参照してください。 McAfee Content Security Blade Server 29 設置前 インストールの計画 タスク 1 オンボード アドミニストレータを使用して、ブレードごとに iLO(integrated Lights Out)の IP アドレスを割り当てます。 2 HP 管理システムにログオンします。 3 ブレード サーバに IP アドレスを割り当てます。 設置後 ブレード サーバを設置した後、構成が正常に機能していることを確認します。「構成のテス ト」を参照してください。 30 McAfee Content Security Blade Server ブレード サーバの接続と構成 ® McAfee Content Security Blade Server バージョン 5.6 はネットワークに接続して次のモー ドに構成できます。 • 標準(非復元)モード • 復元モード 標準(非復元)モード ® 標準(非復元)モードは、McAfee Content Security Blade Server 製品の以前のすべての バージョンと同じコンポーネントおよびプロセスを、ブレード サーバをネットワークに接続 するために、使用しています。 注意: 標準(非復元)モードでは、ブレード サーバはハードウェアの障害による影響に対し て免疫はありません。ハードウェアの障害に対して復元を可能にするには、ブレード サーバ をセットアップ、構成、およびテストした後、復元モードに移行することを考慮してくださ い。 復元モード ® McAfee Content Security Blade Server のバージョン 5.6 はブレード サーバの復元モード の動作を紹介します。このモードでは、ネットワーク、ブレード サーバ、およびブレード サーバの格納装置内との間のすべての接続は、複数のパスが使用されるように作成されます。 これらの複数のパスウェイは、ブレード サーバ内のあらゆるコンポーネント、ネットワーク デバイス、またはネットワークとブレード サーバの間でトラフィックをルーティングするの に必要な配線の障害に対して、強化された復元を提供します。 ブレード サーバを標準モード(非復元)モードで動作するように構成した後、復元モードの 動作への移行についての詳細は復元モードの動作を参照してください。 目次 以前のバージョンからアップグレード 標準インストール ソフトウェアのインストール 設定コンソールの使用 以前のバージョンからアップグレード ® 次のトピックでは、既存の McAfee Content Security Blade Server のバージョン 5.6 のソ フトウェアのアップグレードについて説明があります。 McAfee Content Security Blade Server 31 ブレード サーバの接続と構成 以前のバージョンからアップグレード 復元モードの動作に移行する場合は、ブレード サーバ内で物理的に相互接続を再構成する必 要があります。 警告: 以前のバージョンから McAfee Content Security Blade Server バージョン 5.6 に アップグレードする場合、ブレード サーバのアップグレード中はトラフィックのスキャンが 停止されるため、ネットワーク停止を計画する必要があります。 注意: 管理ブレードおよびフェールオーバー管理ブレードのソフトウェアをアップグレード する前に以前のバージョンからアップグレードする場合の相互接続の構成を参照してくださ い。また復元モードの使用を考慮している場合は復元モードのハードウェアの使い方を参照 してください。 手順 詳細情報 1. 既存の構成をバックアップ 既存の構成をバックアップ 2. すべてのスキャン ブレードをシャットダ ウン スキャン ブレードをシャットダウン 3. 両方の管理ブレードをシャットダウン 管理ブレードをシャットダウン 4. 両方の管理ブレードのソフトウェアをアッ 管理ブレード ソフトウェアのアップグレード プグレード 5. スキャン ブレードの再設置 スキャン ブレードの再設置 6. 復元モードのために構成(必要である場 合) 復元モードを使用するかどうか決定 復元モードへの動作の移行 目次 ブレード サーバの接続と構成 以前のバージョンからアップグレードする場合の相互接続の構成 既存の構成をバックアップ スキャン ブレードをシャットダウン 管理ブレードをシャットダウン 管理ブレード ソフトウェアのアップグレード スキャン ブレードの再設置 以前のバージョンからアップグレードする場合の相互接続の構成 ® McAfee Content Security Blade Server バージョン 5.6 ではブレード サーバのハードウェ アの使い方にいくつかの変更、具体的には格納装置内の相互接続モジュールを導入します。 ® 以前のバージョンの McAfee Content Security Blade Server は 2 つの相互接続モジュール を使用します。LAN1 に相互接続 1 、LAN2 に相互接続 2 を使用します。 バージョン 5.6 で提供されたハードウェアはいずれかの構成を使用します。 • 標準(非復元モード)で LAN 1 に相互接続 1 、LAN2 に相互接続 3 • 復元モードでは LAN1 に相互接続 1 と相互接続 2、および LAN2 に相互接続 3 と 相互 接続 4 詳細については、復元モードのハードウェアの使い方を参照してください。 以前のバージョンからのハードウェアにソフトウェアのアップグレードを行う場合、および ブレード サーバが標準(非復元)モード使用のために構成されている場合、バージョン 5.6 は以前のバージョンからの相互接続(LAN1 に相互接続 1、および LAN2 に相互接続 2)を引 き続き使用します。 32 McAfee Content Security Blade Server ブレード サーバの接続と構成 以前のバージョンからアップグレード ただし、復元モードを使用する場合、復元モード実行用に相互接続をインストールの詳細に 従って相互接続を使用して、ネットワーク インフラストラクチャを再構成する必要がありま す。 以前のバージョンからアップグレード 既存の構成をバックアップ ® このタスクを使用して既存の McAfee Content Security Blade Server の構成をバックアッ プします。アップグレードを実行する前にブレード サーバの構成のフル バックアップを作 成することは、構成のバックアップおよび復元を含むアップグレードのオプションの使用を 意図する場合でも、ベスト プラクティスとされています。 タスク 1 ユーザ インターフェースから、[システム]、[クラスタ管理]、[バックアップおよ び復元の構成]に移動します。 2 バックアップの中に含めるオプションの項目を選択します(バージョンによります)。 McAfee はブレード サーバをアップグレードする前に、すべてのオプションをバックアッ プすることをお勧めします。 3 [バックアップ構成]をクリックします。 4 その後すぐに、ダイアログ ボックスが表示され、バックアップされた構成ファイルを ローカル コンピュータにダウンロードすることが可能になります。 復元モードへの動作の移行 以前のバージョンからアップグレード スキャン ブレードをシャットダウン このタスクを使用して、スキャン ブレードをシャットダウンします。 開始する前に ネットワーク トラフィックが最も低くて遮断を最小限に抑えれる、スキャン ブレードを シャットダウンするための適切な時間を用意したことを確認します。 タスク 1 管理ブレード ユーザ インターフェースから、[システム]、[クラスタ管理]、[負 荷分散]に移動します。 2 管理者パスワードをテキスト ボックスに入力してください。 3 シャットダウンするスキャン ブレードの横にある[シャットダウン]をクリックしま す。 4 必要である場合は、シャットダウンする他のスキャン ブレードで繰り返します。 以前のバージョンからアップグレード 管理ブレードをシャットダウン ® このタスクを使用して、McAfee Content Security Blade Server 内から管理ブレード、また はフェールオーバー管理ブレードをシャットダウンします。 McAfee Content Security Blade Server 33 ブレード サーバの接続と構成 以前のバージョンからアップグレード 開始する前に ネットワーク トラフィックが最も低くて遮断を最小限に抑えれる、管理ブレードをシャット ダウンするための適切な時間を用意したことを確認します。 タスク 1 シャットダウンする管理ブレード、またはフェールオーバー管理ブレードのユーザ イン ターフェースから、[システム]、[アプライアンスの管理]、[システム管理]に移 動します。 2 [アプライアンスをシャットダウンする]の横にあるテキスト ボックスにパスワードを 入力します。 3 [アプライアンスをシャットダウンする]をクリックします。 4 必要である場合は、残りの管理ブレードで繰り返します。 以前のバージョンからアップグレード 管理ブレード ソフトウェアのアップグレード このタスクを使用して管理ブレード、およびフェールオーバー管理ブレードにインストール ® されている McAfee Content Security Blade Server ソフトウェアをアップグレードします。 ® 既存の McAfee Content Security Blade Server を最新バージョンのソフトウェアにアップ グレードする場合、ソフトウェアを管理ブレードとフェールオーバー管理ブレードの両方に インストールしてください。 ブレード サーバのソフトウェアをアップグレードする方法を選択できます。 • 既存のデータを上書きするフル インストールを実行 • 構成および電子メール メッセージを保持するソフトウェアをインストール • ネットワーク構成を保持するソフトウェアのみをインストール • 構成のみを保持するソフトウェアをインストール 注意: 以前のバージョンからバージョン 5.6 でソフトウェアのアーキテクチャが変更された ため、以前のバージョンの構成を引き継ぐ方法を使用する場合、[クラスタ識別子]を変更 して確実に 0 から 255 の値にセットすることを必要があります。この構成は[システム]、 [クラスタ管理]、[負荷分散]、[クラスタ モード]、[クラスタ識別子]からアクセス できます。 開始する前に HP Integrated Lights-Out モジュールを理解しているかことを確認してください。詳細につ いては、HP Integrated Lights-Out User Guide を参照してください。 タスク 1 アップグレード中の管理ブレードをシャットダウンします。 2 Email and Web Security v5.6 ソフトウェアを含む CD-ROM を挿入します。 • M3 格納装置では、組み込まれている CD-ROM ドライブに CD-ROM を挿入します。 3 34 • M7 格納装置では、外部 CD-ROM ドライブをアップグレード中の管理ブレードに接続 します。接続したら、CD-ROM を CD-ROM ドライブに挿入します。 Integrated Lights-Out 機能を実行中のコンピュータから、格納装置に接続します。 McAfee Content Security Blade Server ブレード サーバの接続と構成 以前のバージョンからアップグレード 4 Integrated Lights-Out コンソール内から管理ブレードを選択します。 注意: 管理ブレードは格納装置のスロット 1 に、フェールオーバー管理ブレードは格納 装置のスロット 2 にあります。 5 [起動オプション]タブを選択します。 注意: ブレードまたは格納装置に接続されている、または integrated Lights-Out 機能 を実行中のコンピュータに接続されている USB ドライブからも、ソフトウェアをインス トールできます。 6 [CD-ROM]がブート リストにリストされている最初のデバイスであることをチェックし ます。 7 [仮想デバイス]タブを選択します。 8 [瞬間押下]をクリックして CD-ROM から管理ブレードをブートします。 9 プロンプトに従い、必要なアップグレード オプションを選択して、インストールするソ フトウェア イメージを選択します。 注意: [構成および電子メール メッセージを保持するソフトウェアをインストール]を 選択する場合は、ブレード サーバに既存のパーティション構成が復元されます。これは レスキュー パーティションが作成されないことを意味します。[ネットワーク構成を保 持するソフトウェアのみをインストール]、または[構成を保持するソフトウェアのみ をインストール]を使用すると、レスキュー パーティションが作成されます。 以前のバージョンからアップグレード スキャン ブレードの再設置 ® このタスクを使用して、McAfee Content Security Blade Server 内のスキャン ブレードの 再設置を行います。 開始する前に HP Integrated Lights-Out モジュールを理解しているかことを確認してください。詳細につ いては、HP Integrated Lights-Out User Guide を参照してください。 タスク 1 HP Integrated Lights-Out インターフェースを使用して、再設置するスキャン ブレー ドを選択します。 2 [起動オプション] タブを選択します。 3 [一回だけブート]のドロップダウン リストから、[PXE NIC **]を選択してくださ い。 4 [適用]をクリックします。 5 [仮想デバイス]タブを選択します。 6 [瞬間押下]をクリックして、管理ブレードに保存されているイメージからスキャン ブ レードをブートします。 7 再設置するスキャン ブレードそれぞれに繰り返します。 以前のバージョンからアップグレード McAfee Content Security Blade Server 35 ブレード サーバの接続と構成 標準インストール 標準インストール ® 次のテーブルは McAfee Content Security Blade Server バージョン 5.6 のインストールの 概要を提供します。 このテーブルは、復元モードの動作用にブレード サーバの再構成を意図する場合も、初期段 階として適用できます。 手順 詳細情報 1. パレットを開梱し、箱の中に入っている梱 梱包明細書 包明細書を参照して、製品の内容を確認し ます。 2. ラックを格納装置にマウントし、OA と相 互接続を設置します。 ブレード サーバの物理的な設置 相互接続の設置 関連項目 HP BladeSystem c3000 Enclosure Quick Setup Instructions または HP BladeSystem c7000 Enclosure Quick Setup Instructions HP BladeSystem c3000 Enclosure Setup and Installation Guide または HP BladeSystem c7000 Enclosure Setup and Installation Guide HP Integrated Lights-Out User Guide 3. 周辺機器と電源を接続します。 ブレード サーバに電源を供給 関連項目 HP BladeSystem c3000 Enclosure Quick Setup Instructions または HP BladeSystem c7000 Enclosure Quick Setup Instructions HP BladeSystem c3000 Enclosure Setup and Installation Guide または HP BladeSystem c7000 Enclosure Setup and Installation Guide HP Integrated Lights-Out User Guide 4. ブレード サーバをネットワークに接続し ます。 ネットワークへの接続 5. 管理ブレードにソフトウェアをインストー ソフトウェアのインストール ルします。 6. 基本構成を行います。 7. インストールするソフトウェアを選択しま ソフトウェア イメージ す。 8. 各コンテンツ スキャン ブレードを順番に コンテンツ スキャン ブレードへのソフトウェアのインストール 設置し、管理ブレードから PXE を起動し ます。 9. ブレード サーバを介してテストのネット ワーク トラフィックをルーティングしま す。 構成のテスト 10. ネットワーク トラフィックがスキャンさ れることをテストします。 構成のテスト 11. ポリシーおよびレポートを構成します。 ポリシーを使用したメッセージ スキャンの管理 12. システムを経由する実働用のトラフィック 設定コンソールの使用 を構成します。 設定コンソールの使用 警告: ブレード サーバをネットワークに接続すると、インターネット アクセスやその他の ネットワーク サービスに影響を与える場合があります。このネットワーク ダウンタイムを 36 McAfee Content Security Blade Server ブレード サーバの接続と構成 標準インストール 調整しており、ネットワーク使用率の低い時間帯にこの作業を予定していることを確認して ください。 目次 ブレード サーバの接続と構成 ブレード サーバの物理的な設置 相互接続の設置 ブレード サーバに電源を供給 ネットワークへの接続 ブレード サーバの物理的な設置 注意: ブレード格納装置とコンポーネントの再構築および分解の詳細について、M3 格納装置 では HP BladeSystem c3000 Enclosure Quick Setup Instructions および HP BladeSystem c3000 Enclosure Setup and Installation Guide、M7 では HP BladeSystem c7000 Enclosure Quick Setup Instructions および HP BladeSystem c7000 Enclosure Setup and Installation Guide を参照してください。 ブレード サーバを物理的に設置するには、このタスクを実行します。 タスク 1 ブレード サーバを保護パッケージから取り出し、平らな場所に置きます。 ヒント: 重量を考慮し、設置場所のできるだけ近くでブレード サーバを開梱します。 2 ブレード サーバから前面と背面のコンポーネント、および背面ケージを取り外します。 3 背面ケージ、電源装置、冷却ファン、相互接続、およびオンボード アドミニストレータ を再設置します。 ヒント: 電源装置または冷却ユニットに障害が発生する場合に冗長を提供するため、 McAfee はすべての電源装置と冷却ファンを設置および使用することをお勧めします。 4 モニタとキーボードをブレード サーバに接続します。 5 電源コードを電源に接続せずに、まずモニタとブレード サーバに接続します。 相互接続の設置 接続を行う前に、Ethernet 相互接続を設置および構成する必要があります。 表 1: 図 9 と 10 の凡例記号 # 説明 電源接続 相互接続 1 (LAN 1 に接続) 相互接続 3(LAN 2に接続)(既存のハードウェアからアップグレードする場合は、以前のバージョンから アップグレードする場合の相互接続の構成を参照してください。) オンボード アドミニストレータ接続 オンボード アドミニストレータ モジュール 帯域外アクセス(ポート 20)(これは相互接続の構成後のみに有効です。) McAfee Content Security Blade Server 37 ブレード サーバの接続と構成 標準インストール M3 格納装置 M3 格納装置では、相互接続は格納装置の背面に取り付けられます。 LAN 1 相互接続は左上の相互接続 ベイにはめ込み、LAN 2 相互接続は右上の相互接続 ベイ にはめ込みます。 図 9: M3 格納装置 - 背面のコンポーネントの位置 - 標準(非復元)モード M7 格納装置 M7 格納装置では、相互接続は冷却ファンの上段の下にある格納装置の背面に取り付けられま す。 LAN 1 相互接続は左上の相互接続 ベイにはめ込み、LAN 2 相互接続は LAN1 相互接続のすぐ 下の左下の相互接続 ベイにはめ込みます。 図 10: M7 格納装置 - 背面のコンポーネントの位置 - 標準(非復元)モード 次の点を確認してください。 • STP(Spanning Tree Protocol)を Spanning Tree Group 1 に対して無効にします(デ フォルトでは、すべてのポートが STP Group 1 のメンバーになっています。)(透過型 ブリッジ モードでブレード サーバを設置する場合。) 38 McAfee Content Security Blade Server ブレード サーバの接続と構成 標準インストール • コンテンツ スキャン ブレードが外部 DHCP アドレスを受信しないように、相互接続の ACL(Access Control List)を構成します。 • ブレードのハートビート パケットがブレード サーバ内に保持されるように ACL を構成 します。 • VLAN タグ付きトラフィックがブレード サーバを通過する場合は、このトラフィックの通 過を許可するよう相互接続を構成する必要があります。 構成方法の詳細については、以下のドキュメントに記載されています。 • 『HP GbE2c Layer 2/3 Ethernet Blade Switch for c-Class BladeSystem Quick Setup』 (BladeSystem c-Class GbE2c L2/3 ネットワーク スイッチ モジュール クイック セッ トアップ) • 『HP GbE2c Layer 2/3 Ethernet Blade Switch for c-Class BladeSystem User Guide』 (BladeSystem c-Class GbE2c L2/3 ネットワーク スイッチ モジュール ユーザ ガイド) 注意: 後日にブレード サーバを復元モードの操作のために再構成する計画がある場合、必要 な相互接続すべてを復元モード実行用に相互接続をインストールに従って取りつけることを この段階で検討してください。 標準インストール ブレード サーバに電源を供給 ブレード サーバに電源を供給して電源スイッチを入れるには、このタスクを実行します。 タスク 1 ブレード サーバの電源ケーブルをブレード電源装置、および電源コンセントに接続しま す。 注意 • 確実にすべてのブレードに電源が入るようにするため、異なる 2 つの電気回路を使 用します。1 つの回路しか使用しておらず、電源管理の設定が AC 冗長電源(推奨通 り)に設定されている場合、一部のブレードの電源が入らない場合があります。 • 使用可能な電源に電源コードが適合していない場合は、販売店に連絡してください。 2 管理ブレードとフェールオーバー管理ブレードの電源ボタンを押して、ブレード サーバ の電源をオンにします。 標準インストール ネットワークへの接続 ブレード サーバをネットワークに接続するのに使用する相互接続およびケーブルは、ブレー ド サーバのネットワーク モードによって異なります。ネットワーク モードの詳細について は、「ネットワーク モードに関する注意事項」を参照してください。 注意: 既存のハードウェアの以前のバージョンからアップグレードする場合は、使用するネッ トワーク接続の情報について「以前のバージョンからアップグレードする場合の相互接続の 構成」を参照してください。 標準モードでは、ブレード サーバとネットワーク スイッチの間に次の接続が必要です。 • 透過型ブリッジ モード - ブレード サーバが 2 つのネットワーク セグメントの間のブ リッジとして動作します。各相互接続ユニットのポート 21-24 のいずれかに接続されて いるケーブルを使用して、相互接続 1(LAN1)を 1 つのセグメントに、相互接続 3(LAN2) McAfee Content Security Blade Server 39 ブレード サーバの接続と構成 標準インストール をもう 1 つのセグメントに接続してください。 帯域外管理は他の LAN2 ポートに接続と 設定ができます。 • 透過型ルータ モード - ブレード サーバがルータとして動作し、2 つの別のネットワー クをつなげます。各相互接続ユニットのポート 21-24 のいずれかに接続されているケー ブルを使用して、相互接続 1(LAN1)を 1 つのネットワークに、相互接続 3(LAN2)を もう 1 つのセグメントに接続してください。帯域外管理は他の LAN2 ポートに接続と設 定ができます。 • 明示的プロキシ モード - 相互接続 3(LAN2)とネットワークの間に単一の接続が必要 です。(古いハードウェアを使用するアプグレードされているシステムでは、相互接続 2 をしようしてLAN 2が接続されます。)LAN1 を使用してネットワークに接続できます が、最大のパフォーマンスは LAN1 がブレード サーバ内でスキャン ネットワークに使用 する場合に得られます。(この制限は復元モードを使用する場合に適用されません。) 銅線 LAN 接続の使用 LAN1 および LAN2 相互接続の接続および付属のネットワーク ケーブル(あるいは同等の Cat 5e または Cat 6 イーサネット ケーブル)を使用して、選択したネットワーク モードに従っ てブレード サーバをネットワークに接続します。 透過型ブリッジ モード 銅線 LAN ケーブル(付属)を使用してブレード サーバの LAN1 相互接続と LAN2 接続をネッ トワークに接続し、ブレード サーバがデータ ストリームを受信できるようにします。 透過型ルータ モード ブレード サーバはルータとして機能します。そのため、2 つのネットワーク インターフェー スに接続している LAN セグメントは、異なる IP サブネット上に存在する必要があります。 既存のルータを置き換えるか、新しいサブセットをブレード サーバの片側で作成する必要が あります。そのためには、サブネットを作成する側でコンピュータによって使用されている IP アドレスまたはネットマスクを変更します。 明示的プロキシ モード 銅線 LAN ケーブル(付属)を使用して LAN2 相互接続をネットワークに接続します。ケーブ ルはストレート ケーブルです(クロス ケーブルではありません)。通常のストレート RJ-45 ネットワーク相互接続にブレード サーバを接続します。 LAN1 を使用してネットワークに接続できますが、最大のパフォーマンスは LAN1 がブレード サーバ内でスキャン ネットワークに使用する場合に得られます。(この制限は復元モードを 使用する場合に適用されません。) ファイバー LAN 接続の使用 接続を行う前に、光ファイバーは Small Form-Factor Pluggable(SFP)トランシーバを設置 する必要があります。これを行うには、HP GbE2c Layer 2/3 Ethernet Blade Switch for c-Class BladeSystem を参照してください。 注意: HP または McAfee で提供されている光ファイバー SFP トランシーバのみを使用して ください。他のベンダーの SFP トランシーバを使用するとブレード サーバにアクセスでき ない可能性があります。 ファイバー ケーブルを使用して、LAN1 相互接続および LAN2 相互接続をネットワークに接 続します。使用する相互接続およびケーブルはブレード サーバの使用方法によって異なりま す。 40 McAfee Content Security Blade Server ブレード サーバの接続と構成 ソフトウェアのインストール 透過型ブリッジ モード ファイバー ケーブルを使用して、LAN1 相互接続および LAN2 相互接続をネットワークに接 続します。 透過型ルータ モード ファイバー ケーブルを使用して、LAN1 相互接続および LAN2 相互接続を別の IP サブネッ トに接続します。 明示的プロキシ モード ファイバー LAN ケーブル(付属)を使用して LAN2 相互接続をネットワークに接続します。 LAN1 を使用してネットワークに接続できますが、最大のパフォーマンスは LAN1 がブレード サーバ内でスキャン ネットワークに使用する場合に得られます。(この制限は復元モードを 使用する場合に適用されません。) ソフトウェアのインストール ブレード サーバ ソフトウェアを管理ブレードまたはフェールオーバー管理ブレードへイン ストールするには、以下のタスクを使用します。 タスク ブレード サーバの接続と構成 管理ブレードの設置順序 ソフトウェア イメージ コンテンツ スキャン ブレードへのソフトウェアのインストール 管理ブレードの設置順序 管理ブレードとフェールオーバー管理ブレードを物理的にブレード サーバ格納装置内のス ロット 1 と 2 に設置します。 管理ブレードにソフトウェアをインストールの手順を使用して、両方の管理ブレードに接続 してソフトウェアをインストールします。 両方の管理ブレードを同時に構成することでプロセスが短期間になるだけでなく、1 つ目の 管理ブレードが DHCP サーバを起動するとき、2 つ目の管理ブレードに IP アドレスがスキャ ン ネットワークで割り当てられることを防止します。 ソフトウェアのインストール ソフトウェア イメージ Content Security Blade Server 5.6 では、コンテンツ スキャン ブレードにインストール できるソフトウェア イメージを選択できます。以下のオプションから選択します。 • Email and Web Security • 電子メール セキュリティ • Web セキュリティ • McAfee Web Gateway(以前は WebWasher) McAfee Content Security Blade Server 41 ブレード サーバの接続と構成 ソフトウェアのインストール Email and Web Security を選択する場合、すべてのコンテンツ スキャン ブレードにこのソ フトウェア イメージがインストールされます。Email Security と Web Security または McAfee Web Gateway のいずれかを選択する場合、各コンテンツ スキャン ブレードで電子 メールまたは Web トラフィックのどちらをスキャンするか設定します。 注意: Web Security または McAfee Web Gateway のどちらかを選択できます。両方の Web スキャン イメージを同じブレード システムにインストールすることはできません。 McAfee Web Gateway ソフトウェアの詳細については、『McAfee Web Gateway Appliances イ ンストールおよびコンフィグレーション ガイド』を参照してください。 ソフトウェアのインストール 管理ブレードにソフトウェアをインストール 構成変更の同期化 管理ブレードにソフトウェアをインストール このタスクを使用して管理ブレード、またはフェールオーバー管理ブレードにソフトウェア をインストールします。 ブレード サーバがローカルである場合、または integrated Lights-Out 機能を使用してリ モートに、ソフトウェアをインストールできます。integrated Lights-Out 機能には、イン ストール情報を含む物理 CD-ROM ドライブ、iso イメージ ファイル、または USB ドライブ をリモートでマウントするための仮想メディア機能があります。 開始する前に McAfee ダウンロード サイトから新しいバージョンのソフトウェアが入手可能かどうか確認 してください。 http://www.mcafee.com/us/downloads/ 注意: 有効な承認番号が必要です。 タスク 1 管理ブレードを位置 1(管理ブレードの場合)または位置 2(フェールオーバー管理ブ レードの場合)に差し込みます。 2 ブレード サーバに接続するには、以下の手順に従います。 • M3 格納装置では、シャーシの背面にある KVM にモニタとキーボードを接続します。 次に、KVM インターフェースを使用して、設置されている管理ブレードに CD/DVD-ROM ドライブをマウントします。 • M7 格納装置では、付属しているケーブルを使用して、モニタ、キーボード、および USB CD-ROM ドライブを管理ブレードまたはフェールオーバー管理ブレードの前方の コネクタに接続します。 3 4 • リモートのインストールでは、オンボード アドミニストレータを使用して、integrated Lights-Out モジュールにアクセスして、KVM のリモート セッションを確立します。 インストール CD およびリカバリ CD から管理ブレードまたはフェールオーバー管理ブ レードを起動します。選択したブレードにソフトウェアがインストールされます。 基本設定を行います。「設定コンソールの使用」を参照してください。 ソフトウェア イメージ 42 McAfee Content Security Blade Server ブレード サーバの接続と構成 設定コンソールの使用 構成変更の同期化 管理ブレードの構成に対して行ったいかなる変更も、フェールオーバー管理ブレードおよび コンテンツ スキャン ブレードによって自動的に同期化されます。 [ダッシュボード]で、同期化が実行されたことを確認するために、管理ブレードおよび フェールオーバー管理ブレードの状態を確認してください。 コンテンツ スキャン ブレードへのソフトウェアのインストール コンテンツ スキャン ブレードにソフトウェアをインストールするには、このタスクを使用 します。 タスク 1 ユーザ インターフェースで、[ダッシュボード]を選択します。ページの下部には[ブ レード ステータス]が表示されています。 2 コンテンツ スキャン ブレードを格納装置に指し込みます。ブレードは[ブレード ス テータス]ページに[INSTALL]のステータスで表示されます。 ソフトウェアは、管理ブレードから自動的にコンテンツ スキャン ブレードにインストー ルされます。この処理の完了には、約 10 分かかります。 3 情報は自動的に更新されます。 数分後にステータスは[BOOT]となり、次に[SYNC]となり、最後に[OK]となります。 これで新規のコンテンツ スキャン ブレードは動作中です。 ソフトウェアのインストール 設定コンソールの使用 バージョン 5.6 のソフトウェアでは、構成プロセスが簡素化されています。設定コンソール からも、ユーザ インターフェース内のセットアップ ウィザードからも、デバイスを構成で きるようになりました。 設定コンソールは、次のいずれかの後、起動シーケンスの最後に自動的に起動します。 • 構成されていないデバイスが起動した後 • デバイスが出荷時のデフォルト値にリセットされた後 設定コンソールが起動したら、デバイス コンソールから希望の言語でデバイスを構成する か、同じサブネット上の別のコンピュータのユーザ インターフェース内でセットアップ ウィ ザードに接続して、表示される指示に従ってデバイスを構成するかを選択できます。どちら の方法でも、デバイスを構成するためのオプションは同じです。 注意: 設定コンソールでは、ブレード サーバ ソフトウェアの新規インストールを構成でき ます。ただし、前に保存した構成ファイルを使用してブレード サーバを構成するには、ブ レード サーバのユーザ インターフェースにログオンし、セットアップ ウィザードを実行す る必要があります([システム]、[セットアップ ウィザード]の順に選択します)。 このバージョンのソフトウェアでは、次のパラメータに対して DHCP を使用した自動構成も 含まれています。 • ホスト名 • ドメイン名 • デフォルト ゲートウェイ McAfee Content Security Blade Server 43 ブレード サーバの接続と構成 設定コンソールの使用 • DNS サーバ • リースの IP アドレス • NTP サーバ ブレード サーバの接続と構成 ようこそページ カスタム セットアップの実行 ファイルからの復元 ようこそページ セットアップ ウィザードの最初のページです。[カスタム セットアップ]を選択してブレー ド サーバを構成、または[ファイルから復元]を選択して以前保存したブレード サーバ構 成を復元します。 注意: セットアップ ウィザードからこのページにアクセスする際には、ユーザ名とパスワー ドを入力するように求められます。 カスタム セットアップの実行 カスタム セットアップの場合、ウィザードには次のページが表示されます。 • トラフィック • 基本設定 • ネットワーク設定 • クラスタ管理 • DNS とルーティング • 時間の設定 • パスワード • サマリ トラフィック このページでは、デバイスでスキャンするトラフィックのタイプを指定します。 • Web トラフィックには、HTTP(Web 参照用)、ICAP(ICAP クライアントで使用)、およ びファイル転送用の FTP があります。 • 電子メール トラフィックには、SMTP および POP3 があります。 各プロトコル(SMTP、POP3、HTTP、ICAP、および FTP)を有効または無効にすることができ ます。デバイスが透過型ルータ モードまたは透過型ブリッジ モードの場合、プロトコルが 無効になっていれば、プロトコルのトラフィックはデバイスを通過しますが、スキャンは行 われません。 注意: McAfee Web Gateway ソフトウェアをインストールしている場合は、デバイスを明示的 プロキシ モードで構成する必要があります。 Web Security Gateway を使用する予定がある場合は、このページでソフトウェア アップデー トのスケジュールを指定し、ライセンス ファイルをアップロードしてください。 デバイスが明示的プロキシ モードの場合、プロトコルが無効になっていれば、そのプロトコ ルのブレード サーバに送信されたトラフィックは拒否されます。プロトコルは、デバイスで 44 McAfee Content Security Blade Server ブレード サーバの接続と構成 設定コンソールの使用 ブロックされます。明示的プロキシ モードでは、SMTP、POP3、HTTP、ICAP、および FTP ト ラフィックのみがブレード サーバによって処理されます。それ以外のトラフィックはすべて 拒否されます。 インストール後、どのタイプのトラフィックもスキャンしない場合は、各プロトコルのペー ジから無効にすることができます。メニューから、[電子メール、電子メールの構成、プロ トコル構成]または[Web、Web 構成]の順に選択します。 オプション定義 オプション 定義 [Web トラフィックのス キャン] [Web Gateway スキャン デバイスの使用] 1 つ以上のコンテンツ スキャン ブレードに McAfee Web Gateway(以前の WebWasher)ソフトウェアをインストール する場合、このオプションを選択します。 その他のオプションでは、次の操作を行うことができま す。 • Web Gateway ライセンス ファイルのアップロード • URL フィルタのアップデート間隔の設定 • McAfee Web Gateway のウイルス対策アップデート間隔 の設定 • プロアクティブ スキャンのアップデート間隔の設定 • CRL のアップデート間隔の設定 [Web Security スキャン ブレード サーバに Web Security スキャンをインストール デバイスの使用] する場合、このオプションを選択します。 [怪しいプログラム(スパイウェアを含む)に対する保 護を有効にする]を選択することもできます。 McAfee Anti-Spyware は、スパイウェア、アドウェア、 リモート管理ツール、ダイアラ、パスワード クラッカな ど、さまざまなタイプの怪しいソフトウェアからネット ワークを保護します。この機能は、デフォルトでは有効 になっていません。 注意: McAfee Anti-Spyware は怪しいプログラム(PUP)を 検出し、ユーザの同意の上で削除します。購入したプログ ラムまたは意図的にダウンロードしたプログラムの中には、 PUP のホストとして動作するものがあります。これらの PUP を削除すると、ホストが動作しなくなる場合がありま す。これらのホスト プログラムの詳細については、使用許 諾契約を確認してください。McAfee, Inc. は、お客様がこ れまでに締結した使用許諾契約に対する違反行為を奨励お よび許容するものではありません。どのソフトウェアをダ ウンロードまたはインストールする場合も、あらかじめす べての使用許諾契約およびプライバシー ポリシーの詳細を 念入りにお読みください。 [電子メール トラフィッ クのスキャン] 電子メール トラフィックには、SMTP および POP3 トラフィックがあります。インス トール後の動作は次のとおりです。 デバイスはウィルス、スパム、およびフィッシングからネットワークを保護し、不審 な電子メールからネットワークを保護するには McAfee TrustedSource を使用しま す。 その他のオプションは次のとおりです。 • [怪しいプログラム(スパイウェアを含む)に対する保護を有効にする] • [SMTP トラフィックのスキャン] • [POP3 トラフィックのスキャン] [ローカル リレー ドメイ [リレー オプション]で、DHCP 経由で使用可能な場合はドメイン情報が提示されま ン] す。アスタリスクを削除してドメイン名を受け入れるか、別のドメイン名を入力してく ださい。 McAfee Content Security Blade Server 45 ブレード サーバの接続と構成 設定コンソールの使用 基本設定 このページでは、ブレード サーバの基本設定を指定します。 ブレード サーバから提供された情報は黄色で強調表示されます。情報を変更するには、ク リックして入力し直します。 オプション定義 オプション 定義 [クラスタ モード] • [クラスタ マスタ]- このブレードが管理ブレードとなり、他の複数のコンテンツ スキャン ブレードのスキャンの負荷を制御します。 • [クラスタ フェールオーバー]- 管理ブレードで障害が発生した場合、このブレー ドが代わりにスキャンの負荷を制御します。 [デバイス名] appliance1 などの名前を指定します。 [ドメイン名] domain.example.com などの名前を指定します。 [デフォルト ゲートウェ 198.168.10.1 などの IPv4 アドレスを指定します。アプライアンスがこのサーバと通 イ(IPv4)] 信可能かどうかを後でテストできます。 [ネクスト ホップ ルー タ(IPv6)] FD4A:A1B2:C3D4::1 などの IPv6 アドレスを指定します。 ネットワーク設定 新規のインストールで最初に構成を行う際(またはデフォルト設定に戻す際)には、[ネッ トワーク設定]ページが表示されます。デバイスのクラスタ モードを変更する場合にも、こ のページが表示されます。 このページでは、デバイスの IP アドレス、ネットワーク速度、および動作モードを構成し ます。 可能であれば、これらのオプションの多くが DHCP を使用して設定されます。IP アドレスは 一意で、ネットワークに対して適切でなければなりません。IP アドレスは必要な数だけを指 定してください。 オプション定義 オプション 定義 [ネットワーク設定を変更す クリックすると、以下のオプションがあるウィザードが起動します。 る] [動作モード] モードを選択します。 [透過型ルータ]モードまたは[透過型ブリッジ]モードの場合、メール サーバ などの他のネットワーク デバイスでは、ブレード サーバが転送前に電子メールを インターセプトしてスキャンしたことが認識されません。動作は、デバイスに対し て[透過型]となります。 [明示的プロキシ]モードでは、一部のネットワーク デバイスからアプライアン スにトラフィックが送信されます。ブレード サーバは[プロキシ]として動作し、 デバイスに代わってトラフィックを処理します。 [LAN インターフェース タ 接続タイプ(銅線または光ファイバー)を指定します。このオプションは、高速アプ イプ] ライアンスのみで利用できます。 [IP アドレス] ブレード サーバがネットワークと通信できるように、ネットワーク アドレスを指 定します。たとえば、198.168.10.1 のように指定します。 各管理ブレードの IP アドレスを指定します。 46 McAfee Content Security Blade Server ブレード サーバの接続と構成 設定コンソールの使用 オプション 定義 ブレード サーバのポートに複数の IP アドレスを指定できます。ブレード サーバ が透過型ブリッジ モードの場合、IP アドレスは両方のポートについて 1 つのリ ストに結合されます。その他のモードの場合は、[ネットワーク インターフェー ス 1]または[ネットワーク インターフェース 2]をクリックして、2 つのリス トのそれぞれで作業します。 管理ブレードの IP アドレスと負荷分散用の IP アドレスを構成します。明示的プ ロキシ モードまたは透過型ルータ モードの場合は、仮想 IP アドレスを作成しま す。仮想 IP アドレスは、マスタ管理ブレードとフェールオーバー管理ブレードの 両方で同じでなければなりません。 注意: 物理 IP アドレスについても負荷分散用の IP アドレスについても、管理ブ レードとは異なる IP アドレスでフェールオーバー管理ブレードをセットアップする 必要があります。 リストの一番上にある IP アドレスはプライマリ アドレスです。その下にある IP アドレスは「エイリアス」です。 [ネットワーク マスク] IPv4 ネットワーク マスクを指定します。たとえば、255.255.255.0 のように指定し ます。または、IPv6 プリフィックスの長さ(1 ~ 64 または 128)を指定します。 クラスタ管理 このページでは、負荷分散要件を指定します。 • クラスタ管理(クラスタ マスタ) • クラスタ管理(クラスタ フェールオーバー) クラスタは、ネットワーク トラフィックの構成と負荷の両方を共有するデバイスのグループ です。 クラスタは次のもので構成されます。 • 1 つのクラスタ マスタ。マスタは構成を同期して、ネットワーク トラフィックの負荷を 他のクラスタ メンバに分散します。 • 1 つのクラスタ フェールオーバー。クラスタ マスタで障害が発生した場合、クラスタ フェールオーバーがクラスタ マスタの作業をシームレスに引き継ぎます。 • 1 つまたは複数のクラスタ スキャナ。マスタから同期されたポリシーに従ってトラフィッ クをスキャンします。 利点 • 複数のデバイスに負荷を分散することによりパフォーマンスが拡張可能となり、アップグ レードのコストが削減されます。 • 構成およびアップデートの同期を通じて管理が容易になるため、管理上のオーバーヘッド が削減されます。 • 高可用性を通じて回復力が向上し、予定されていない停止が生じる可能性が低くなりま す。 • 統合レポートを通じて有用な情報が提供されます。 クラスタのセットアップ マスタまたはフェールオーバーを構成する際、管理者は次の作業を行う必要があります。 • プロキシ モードまたは透過型ルータ モードの場合、マスタとフェールオーバーの両方で 同じ仮想 IP アドレスを設定します。クラスタ メンバはフェールオーバーに VRRP を使 用します。 McAfee Content Security Blade Server 47 ブレード サーバの接続と構成 設定コンソールの使用 • 透過型ブリッジの場合、フェールオーバーに STP を使用するようにクラスタをセットアッ プします。ブリッジの優先度はマスタのほうが低くなければなりません(デフォルトで設 定)。 すべてのクラスタ メンバについて、管理者はクラスタ識別子を設定する必要があります。こ の固有の識別子によって、クラスタのメンバが正しく結合されます。複数のクラスタを作成 するには、クラスタごとに異なる識別子を使用します。 スキャン対象のすべてのネットワーク トラフィックがクラスタ マスタ(クラスタ フェール オーバーが使用される場合は仮想 IP アドレス)に送信されるように設定します。 クラスタの管理 構成したクラスタは、クラスタ識別子を使用して自動的に結合されます。クラスタ マスタの ダッシュボードには、デバイスとクラスタのタイプが一覧表示されます。 管理者は、クラスタ マスタのユーザ インターフェースのみを使用して、スキャン ポリシー の設定などの管理を行うことができます。その後、クラスタ マスタから他のクラスタ メン バにこの構成が自動的にプッシュされます。 クラスタ マスタでは次の情報が照合されます。 • ウイルス対策アップデート • レポート • キューに入れられた電子メール • McAfee Quarantine Manager(MQM) 注意: ソフトウェア パッチは管理ブレードに適用する必要があり、これらは次にフェール オーバー管理ブレードとコンテンツ スキャン ブレードに配信されます。 クラスタ管理(クラスタ マスタ) このページでは、管理ブレードに関する情報を指定します。 オプション 定義 負荷分散に使用するアドレス 管理ブレードのアドレスを指定します。 クラスタ識別子 識別子を指定します。範囲は 0 ~ 255 です。 クラスタ管理(クラスタ フェールオーバー) このページでは、フェールオーバー管理ブレードに関する情報を指定します。 オプション 定義 負荷分散に使用するアドレス フェールオーバー管理ブレードのアドレスを指定します。アプライアンスに割り当て られるすべてのサブネットのリストが表示されます。 クラスタ識別子 識別子を指定します。範囲は 0 ~ 255 です。 DNS とルーティング このページでは、デバイスによる DNS とルーティングの使用を構成します。 ドメイン ネーム システム(DNS)サーバは、ネットワーク デバイスの名前を IP アドレス に変換または「マップ」します(逆の処理も行います)。デバイスは、ここに記載している 順序で DNS サーバにリクエストを送信します。 48 McAfee Content Security Blade Server ブレード サーバの接続と構成 設定コンソールの使用 オプション定義 オプション [サーバ アドレス] 定義 DNS サーバを指定します。リストの最初のサーバは、最速のサーバまたは最も信頼 できるサーバである必要があります。最初のサーバがリクエストを解決できない場 合、デバイスは 2 番目のサーバに接続します。リスト内のどのサーバもリクエス トを解決できない場合は、インターネット上の DNS ルート ネーム サーバにリク エストを転送します。 ファイアウォールで DNS 参照(通常は ポート 53 上)を防ぐ場合は、名前解決を 行うローカル デバイスの IP デバイスを指定します。 [ネットワーク アドレス] ルーティング デバイスのネットワーク アドレスが表示されます。 [マスク] 255.255.255.0 のようなネットワーク サブネット マスクが表示されます。 [ゲートウェイ] デバイスがネットワークと通信する際の他のゲートウェイ(通常はファイアウォー ルまたはルータ)の IP アドレスを指定します。 [基本設定]ページでデフォルト ゲートウェイが指定されています。 [メトリック] ルーティング ソフトウェアで使用する数値が表示されます。デフォルト値は 0.0 です。 [動的ルーティングを有効に する] 動的ルーティングを有効にすると、このデバイスを含むネットワーク デバイスは、 ルータがネットワーク上でブロードキャストするルーティング情報を待機すること ができます。デバイスは、この情報を使用して独自のルーティング情報を構成でき ます。 注意: デバイスは、Routing Information Protocol(RIP)および Open Shortest Path First(OSPF)ルーティング プロトコルのみをサポートしています。 時間の設定 このページでは、時刻と日付、およびネットワーク タイム プロトコル(NTP)の使用に関す る詳細を設定します。NTP は、ネットワーク内のデバイス間で時間を同期します。インター ネット サービス プロバイダ(ISP)の中には、タイムキーピング サービスを提供している ものもあります。NTP の詳細については、www.apps.ietf.org/rfc/rfc1305.html、 www.ntp.org、または www.ntp.isc.org で RFC 1305 を参照してください。 デバイスは、他のデバイスと時間の設定を同期することによって、ログ、レポート、および スケジュールを正確に保持することができます。NTP メッセージは頻繁に送信されるわけで はないので、ブレード サーバのパフォーマンスに大きな影響はありません。 オプション定義 オプション 定義 [タイム ゾーン] ローカル タイムゾーンを指定します。夏時間を適用している地域の場合は、年に 2 回これを設定することをお勧めします。 [システム時間(ローカ ル)] ローカル時間の日付と時刻を設定します。日付を設定するには、カレンダー アイコ ンをクリックします。 [時刻を今すぐ設定する] クリックすると、デバイスの時刻が設定されます。このボタンをクリックしてから、 [次へ]をクリックする必要があります。 必要に応じて、インストール後にネットワーク タイム プロトコル(NTP)を構成 できます。 [NTP を有効にする] 選択すると、指定したサーバまたはネットワーク ブロードキャストからの NTP メッ セージを受け取ります。 McAfee Content Security Blade Server 49 ブレード サーバの接続と構成 設定コンソールの使用 オプション 定義 [NTP クライアント ブロー 選択すると、ネットワーク ブロードキャストからの NTP メッセージのみを受け取り ドキャストを有効にする] ます。この方法は、トラフィックが多いネットワークで、ネットワーク内のその他の デバイスを信頼する必要がある場合に有効です。 選択しなかった場合、リストで指定されているサーバからの NTP メッセージのみ を受け取ります。 [NTP サーバ] デバイスで使用する 1 つまたは複数の NTP サーバのネットワーク アドレスまたは ドメイン名が表示されます。 複数のサーバを指定した場合、各 NTP メッセージが順番に検査され、正確な時刻 が特定されます。 パスワード このページでは、デバイスのパスワードを指定します。パスワードを強力にするには、文字 と数字の両方を使用します。15 文字まで入力できます。 オプション定義 オプション 定義 [ユーザ ID] scmadmin です。後でユーザを追加することができます。 [パスワード] 新しいパスワードを指定します。デバイスを安全に保つために、できるだけ早くパス ワードを変更してください。 新しいパスワードは、確認のために 2 回入力する必要があります。元のデフォル ト パスワードは scmchangeme です。 注意: 構成を適用する前に、パスワードをデフォルト値から変更する必要がありま す。 サマリ このページでは、セットアップ ウィザードで設定した内容の概要を確認します。値を変更す るには、青色のリンクをクリックして、値を入力した元のページを表示します。 [完了]をクリックして、セットアップ ウィザードを完了します。 このページに表示されている IP アドレスを使用して、インターフェースにアクセスします (例: https://192.168.200.10)。アドレスは、http でなく https で始まります。 初めてインターフェースにログオンするときには、ユーザ名[scmadmin]と、このセットアッ プ ウィザードで指定したパスワードを入力してください。 オプション定義 オプション 定義 適切な値が設定されています。 値が適切でない可能性があります。 値が有効であったとしても、適切でないものが設定されている可能性があります。値を 確認してから続行してください。 値が設定されていません。値がデフォルト値から変更されていません。値を確認してか ら続行してください。 50 McAfee Content Security Blade Server ブレード サーバの接続と構成 設定コンソールの使用 オプション 定義 ファイルからの復元 ユーザ インターフェース内でセットアップ ウィザードからブレード サーバを構成する際 に、[ファイルから復元]オプションを使用すると、前に保存した構成情報をインポートし てブレード サーバに適用できます。この情報のインポートが完了したら、構成を適用する前 に変更を行うことができます。 オプション 定義 [構成のインポート] 前に保存した構成ファイルを参照して選択し、デバイスにアップロードします。 [復元する値] デフォルトでは、すべての構成が復元されます。復元する必要のない情報の選択を 解除すると、構成ファイルの特定の部分のみを復元することができます。 変更を適用する前に、変更した内容を確認できます。 [構成のインポート メッ セージ] 構成ファイルがインポートされるとき、メッセージが表示されます。 構成情報のインポートが終了すると、カスタム モードの[セットアップ ウィザード]が表 示されます(カスタム セットアップの実行を参照してください。)ウィザードのページに は、インポートされたすべてのオプションが表示され、構成を適用する前に変更を行うこと ができます。 設定コンソールの使用 McAfee Content Security Blade Server 51 Content Security Blade Server の使用開始 この情報は McAfee Content Security Blade Server バージョン 5.6 で使用されているイン ターフェース要素を紹介します。 目次 ユーザ インターフェース ダッシュボードの状態情報および構成オプション ユーザ インターフェース この情報を使用して、ユーザ インターフェースについて理解できます。 注意: 表示されるインターフェースは、インストールされているブレードの数、および選択 されている言語によって異なるため、図 11: ダッシュボード で示すものとは多少異なる場 合があります。 このインターフェースには次の要素が表示されます。 • ナビゲーション バー ナビゲーション バーには、ユーザ情報、セクション アイコン、タブ バー、およびサポー ト コントロールの 4 つの領域があります。 • ユーザ情報バー • セクション アイコン セクション アイコンの数は、使用しているソフトウェアのバージョンによって異なりま す。アイコンをクリックすると、コンテンツ領域およびタブ バーの情報を変更できます。 次のアイコンがあります。 表 2: セクション項目 アイコン 52 McAfee Content Security Blade Server メニュー 機能 ダッシュボード このページには、アプライアンスの 概要が表示されます。このページか ら、アプライアンスを制御するほと んどのページにアクセスすることが できます。 レポート [レポート]ページには、電子メー ル メッセージ内や Web アクセス中 に検出されたウイルスなど、アプラ イアンスに記録されたイベント、お よび最近の更新やログインの詳細な どのシステム アクティビティが表 示されます。 Content Security Blade Server の使用開始 ユーザ インターフェース アイコン メニュー 機能 電子メール [電子メール]ページでは、電子 メール メッセージに対する脅威、 感染した電子メールの隔離、および 電子メールのその他の構成を管理し ます。 Web [Web]ページでは、Web ダウンロー ドに対する脅威、およびその他の Web 構成を管理します。 システム [システム]ページでは、アプライ アンスのさまざまな機能を構成しま す。 トラブルシューティング [トラブルシューティング]ページ では、アプライアンスに関する問題 を診断します。 • タブ バー タブ バーの内容は、選択したセクション アイコンによって制御されます。選択したタブ によって、コンテンツ領域に表示される情報が決まります。 • サポート コントロール ボタン サポート コントロール ボタンは、コンテンツ領域に適用されるアクションです。 表 3: サポート コントロール ボタン アイコン 説明 コンテンツを更新またはアップデートします。 前に参照したページに戻ります。ブラウザの[戻る] ボタンではなく、このボタンをクリックすることをお 勧めします。 何か構成を行う際に表示され、変更内容を適用できま す。 何か構成を行う際に表示され、変更内容をキャンセル できます。 ヘルプ情報のウィンドウが開きます。このウィンドウ 内の多くの情報は『製品ガイド』にも記載されていま す。 • 表示制御 表示制御ボタンは、ステータス ウィンドウの表示/非表示を切り替えます。 インターフェースの右下に表示されるステータス ウィンドウには、最近のアクティビティ が表示されます。新しいメッセージは、ウィンドウの一番上に追加されます。メッセージ が青い下線の付いたリンクで表示される場合、そのリンクをクリックして他のページに移 動できます。また、ウィンドウにある[クリア]リンクおよび[閉じる]リンクを使用す ると、そのウィンドウを管理することもできます。 • コンテンツ領域 コンテンツ領域には、現在アクティブなコンテンツが表示されます。ほとんどの操作がこ こで行われます。 注意: 緑色のチェックマークをクリックすると、変更内容が適用されます。 McAfee Content Security Blade Server 53 Content Security Blade Server の使用開始 ダッシュボードの状態情報および構成オプション ダッシュボードの状態情報および構成オプション ダッシュボード ページには、アプライアンスのアクティビティのサマリが表示されます。 このページを使用して、アプライアンスを制御するほとんどのページにアクセスする ことができます。クラスタ マスタ アプライアンスでは、このページを使用してアプライア ンスのアクティビティのサマリも表示できます。 注意: 任意のセクションでビューを変更するには、[編集]クリックして、別のウィンドウ を開きます。 ダッシュボードは、アプライアンスのアクティビティのサマリを表示するための単一の場所 を提供します。 アプライアンスの構成方法に応じて、以下に関する情報を表示することができます。 • アプライアンスを介して入ってきた電子メール • スキャン中の Web トラフィック • アプライアンスのシステム全体の状態 • 現在の検出率 • ネットワークのパフォーマンス • アプライアンスによってキューイングされている電子メール メッセージ • プロトコル別の実施中のスキャン ポリシーの数 また、頻繁に使用するタスクへのリンクのリストを構成し、ユーザ インターフェースの目的 の領域に早くそして簡単に移動する方法を提供することもできます。 このページの下側のペインには、アプライアンスのパフォーマンスに関する重要なグラフィッ ク情報が表示されます。これらのダッシュボード ペインはそれぞれ、もっとも頻繁に必要と する情報を表示するようカスタマイズすることができます。 アプライアンスにログオンし、構成ページ内で作業を行うと、画面の右下にダイアログ ボッ クスが表示され、推奨される任意の構成変更を通知したり、アプライアンスの動作や設定に 関する警告メッセージを表示したりします。たとえば、すべてのポリシーに対して、Global Threat Intelligence フィードバックを有効にしていない場合に、警告メッセージが表示さ れます。 図 11: ダッシュボード 54 McAfee Content Security Blade Server Content Security Blade Server の使用開始 ダッシュボードの状態情報および構成オプション [ダッシュボード ペイン] 表 4: ダッシュボードのオプションの定義 オプション 定義 [電子メール検出]および [Web 検出] 各プロトコルで検出した数を表示します。[編集]をク リックして、このウィンドウの表示を変更します。プロ トコルの情報を表示しないように選択できますが、アプ ライアンスは引き続きそのトラフィックをスキャンしま す。 [システムの状態] 重要なコンポーネントのステータスが表示され、推奨さ れるシステム構成変更の設定を変更することができます。 • [アップデート]では、緑色のチェックマークで、 コンポーネントが自動的に自身を更新することが示 されています。手動で更新するには、青色のリンク をクリックします。 • その他のコンポーネントでは、緑色のチェックマー クで、コンポーネントが許容できる限度内で動作し ていることが示されています。詳細については、青 色のリンクをクリックしてください。 • 警告アイコンおよびアラート アイコンが表示される レベルを調整し、推奨される構成変更ダイアログ ボックスが表示する内容を変更するには、[編集] をクリックします。 [現在の検出率] アイコンを使用してアプライアンスの重要な検出の状態 を表示します。 ネットワーク 各プロトコルの下に接続の数を表示します。[編集]を クリックした後でプロトコルを選択解除することができ ますが、アプライアンスは引き続きそのトラフィックを 処理します。 [電子メール キュー] アイコンを使用して、アプライアンスによって保持され ているキューイングされている、および解放リクエスト キューの各処理待ち項目に対する項目数および受信者の 数が表示されます。キューを管理するページに移動する には、青色のリンクをクリックします。キューの電子メー ルをすばやく検索するには、[クイック検索]をクリッ クします。ユーザ インターフェースは送信用にキューイ ングされている、または McAfee Quarantine Manager サーバに送られている電子メール メッセージの数も報告 します。 [スキャン ポリシー] アプライアンスが適用しているポリシーのリストを表示 します。[編集]をクリックした後でプロトコルを選択 解除することができますが、アプライアンスは引き続き そのトラフィックにポリシーを適用します。スキャン ポ リシーを表示する、またはより多くのポリシーを追加す るには、青色のリンクをクリックします。 タスク 共通のタスクのリストを表示します。タスクを削除また は再構成するには、[編集]をクリックします。 負荷分散 マスタ クラスタ アプライアンスでは、アプライアンス のクラスタの状態を表示します。メーターの設定を変更 するには、[編集]をクリックします。 [グラフ...] 時間の経過に伴うアプライアンスのアクティビティを示 すグラフを表示します。[編集]をクリックした後でプ ロトコルを選択解除することができますが、アプライア ンスは引き続きそのトラフィックを監視します。 McAfee Content Security Blade Server 55 Content Security Blade Server の使用開始 ダッシュボードの状態情報および構成オプション 負荷分散 注意: このセクションは、クラスタ マスタ アプライアンスまたは管理ブレード(Content Security Blade Server)上でのみ利用可能です。 表 5: 負荷分散オプションの定義 オプション 定義 [電子メール]、[Web] クリックすると、メーターに 1 時間あたりのメッセージ (電子メール)または 1 時間あたりのカンバセーション (Web)が表示されます。 [1 時間あたりのメッセージ(電子メール)1 時間あた 2、3 分おきにとった測定値に基づくクラスタの平均ス ループットを表示します。クラスタに 2 倍のスキャン りのカンバセーション(Web)] アプライアンスがある場合、そのスループットの大半も 2 倍になります。追加の管理アクティビティは、処理パ ワーの一部を消費します。 [ステータス] デバイスの状態を表示します。 • - 正常に動作中 • • [スキャン デバイス タイプ] - 注意が必要 - 早急に対処が必要 以下のスキャン デバイスのタイプを表示します。 • - クラスタ マスタ • - クラスタ フェールオーバー • - Email and Web Security Appliance • - Email Security Appliance • - Web Security Appliance • — Web Gateway アプライアンス 56 [名前] アプライアンスの名前が設定どおりに表示されます。 [状態] 以下のように各アプライアンスの現在の状態を表示しま す。 McAfee Content Security Blade Server • [ネットワーク]- ネットワークに接続済み。 • [冗長]- クラスタ フェールオーバー デバイスは 現在実行されていませんが、マスタ クラスタ アプ ライアンスに障害が発生した場合は処理を引き継ぎ ます。 • [インストール]- ソフトウェアをインストール 中。 • [同期]- クラスタ マスタと同期中。 • [ブート]- ブート中。 • [シャットダウン]- シャットダウン中。 • [不正設定]- 設定ファイルが間違っています。 • [未設定]- 負荷分散用に設定されていません。 • [無効]- ユーザによって無効になっています。 • [失敗]— ネットワーク上にありません。ハートビー トが検出されませんでした。 • [エラー]- このアプライアンスでエラーが検出さ れました。 Content Security Blade Server の使用開始 ダッシュボードの状態情報および構成オプション オプション 定義 • [レガシー]- 負荷分散に対応していません。 [負荷] 5 分間のシステム平均負荷を表示します。 [アクティブ] 各アプライアンスのアクティブなカンバーセーションの 数を表示します。クラスタ マスタの行はすべてのアプラ イアンスの合計を示します。 [接続] カウンタが最後にリセットされてから各アプライアンス によって処理された接続数を表示します。 [コンポーネント バージョン情報] スパム対策およびウイルス対策 DAT ファイルのバージョ ンを表示します。アプライアンスが最新のものである場 合、バージョン番号は同一です。更新中に、値は異なる 場合があります。詳細を表示するには、カーソルをテキ ストの上に移動し、黄色いボックスが表示されるのを待 ちます。 カウンタの動作 すべてのカウンタは、検出のたびに 1 度トリガされます。たとえば、1 つのメッセージに両 方ともウイルス コンテンツが含まれている 2 つの添付ファイルがある場合、[ウイルス] カウンタは 2 増分します。次の表の情報は、特に指定がない限り、SMTP 統計および POP3 統計に適用されます。 表 6: カウンタの動作 カウンタ 動作 [メッセージ] [SMTP]カウンタは、以下の場合に 1 回増分します。 • アプライアンス上の SMTP ポートに対して TCP 接続 が確立される場合 • 同じ SMTP カンバーセーションで 1 つより多くの電 子メールが受信された場合、2 番目以降の <MAIL FROM> コマンド検出時 [POP3]カウンタは、アプライアンスでダウンロード するメッセージごとに 1 回増分します。 [安全なメッセージ] [ブロックされた接続] 以下の場合に 1 回増分します。 • 標準の SMTP ポートを介して STARTTLS コマンドが 発行される場合 • アプライアンスで TLS カンバーセーションをイン ターセプトした場合、同じ SMTP カンバーセーショ ン内で 1 つより多くの電子メールが受信されたとき は、2 番目以降の <MAIL FROM> コマンド検出時 • メッセージが SMTPS 経由で送信される場合 拒否、クローズおよび拒否(ブロック)アクションをト リガした IP アドレスから入ってくる SYN パケットごと に 1 回増分します。リアルタイム ブラックホール リス ト(RBL)参照機能は、次の 10 分間にデフォルトでこの アクションを実行するように構成されています。 [ウイルス]、[PUP]、[コンプライアンス]、[Data 検出のたびに 1 回増分します。たとえば、1 つのメッ セージに両方ともウイルス コンテンツが含まれている Loss Prevention] 2 つの添付ファイルがある場合、[ウイルス]カウンタ は 2 増分します。 [スパムやフィッシング詐欺]および[送信者認証] スキャナをトリガするメッセージごとに 1 回増分しま す。 [その他] その他のカウンタは、検出のたびに 1 回トリガされま す。サイズによってフィルタリングされたメッセージ、 不正中継対策チェックおよびディレクトリ ハーベスト McAfee Content Security Blade Server 57 Content Security Blade Server の使用開始 ブレード サーバの探索 カウンタ 動作 チェックに失敗したメッセージ、および破損したコンテ ンツ、保護されたコンテンツ、暗号化されたコンテンツ、 あるいは署名付きのコンテンツを含むメッセージに適用 されます。 注意: ダッシュボードのカウンタの集計方法が原因で、ダッシュボードに表示される情報と スケジュール設定されたレポートで返される情報は多少異なります。 電子メール キュー リストに表示される統計に関する情報 この情報は、[キューイング]、[隔離]、および[解放リクエスト]キューに対して適用 されます。 • 1 つのメッセージを 2 人の受信者に送信するときに、配信用にキューイングされる場合 (たとえば、オンワード MTA がダウンしているため)。 • アプライアンスで受信したメッセージは 1 つであるため、キュー内の項目の数は 1 と なります。 • このメッセージには 2 人の受信者が存在するため、受信者の数は 2 となります。 注意: [キューイング]のハイパーリンクをクリックすると、各受信者ごとに 1 つの メッセージがあるため 2 つの項目が表示されます。 • 2 つのメッセージを 1 人の受信者に送信するときに、配信用にキューイングされる場合 (たとえば、オンワード MTA がダウンしているため)。 • アプライアンスで受信したメッセージは 2 つであるため、キュー内の項目の数は 2 と なります。 • 各メッセージには 1 人の受信が含まれているため、受信者の数は 2 となります。 注意: す。 [キューイング]のハイパーリンクをクリックすると、2 つの項目が表示されま タスク-「McAfee Global Threat Intelligence フィードバックが無効」の警告をオフにす る デフォルトでは、McAfee Global Threat Intelligence(GTI)フィードバックが有効になっ ていない場合、アプライアンスでは警告メッセージが表示されます。McAfee では情報通知の この形態を有効にすることがベスト プラクティスであると考えているためです。 1 アプライアンスの[ダッシュボード]の[システムの状態]領域で、[編集]を選択し ます。 2 [McAfee GTI のフィードバックが有効でない場合は警告を表示する]を選択解除しま す。 3 [OK]をクリックします。 ブレード サーバの探索 このセクションには、ブレード サーバを使用してゲートウェイを保護する際に、主要なメ リットをもたらすタスクおよびシナリオが含まれています。 タスクおよびシナリオを完了するためには、設定コンソールやセットアップ ウィザードで入 力した情報が必要となります。 タスク フェールオーバーおよび負荷管理の実施 58 McAfee Content Security Blade Server Content Security Blade Server の使用開始 ブレード サーバの探索 ブレード サーバでの管理機能のテスト フェールオーバーおよび負荷管理の実施 このタスクを使用してブレード サーバの負荷管理および組み込みの冗長管理を実施できま す。 ブレード サーバには最低でも 1 つのコンテンツ スキャン ブレードが付属しています。必 要に応じて追加することができます。このテストでは、2 つのコンテンツ スキャン ブレー ドがあるものとします。 注意: 格納装置からのブレードの追加と取り外しに関する情報には、HP BladeSystem c3000 Enclosure Quick Setup Instructions または HP BladeSystem c7000 Enclosure Quick Setup Instructions を参照してください。 タスク 1 [ダッシュボード]、[ブレード]ページで、[ブレード ステータス]タブを選択し、 ブレード サーバが正しく動作していることを確認します。 • 管理ブレードには、設定コンソールを使用するときの入力した名前がついています。 管理ブレードのステータスは、[NETWORK]です。 • フェールオーバー管理ブレードには、設定コンソールを使用するときの入力した名前 がついています。フェールオーバー管理ブレードのステータスは、[REDUNDANT]で す。 • コンテンツ スキャン ブレードは、ブレード <番号> と呼ばれ、[OK]のステータス を持っています。 2 管理ブレードをシャットダウンして格納装置から取り外し、引き続きフェールオーバー 管理ブレードを使用してブレード サーバとして機能していることを確認します。 • フェールオーバー管理ブレードの状態は、[Network]に変わります。 • 管理ブレードの状態は、[Failed]に変わります。 3 [システム]、[クラスタ管理]から、コンテンツ スキャン ブレードを選択し[無効] をクリックしてコンテンツ スキャン ブレードをオフラインにします。ブレード サーバ は、スキャン トラフィックを継続します。 警告: ブレード サーバの設計では、まず初めにコンテンツ スキャン ブレードを停止し なくても、格納装置からコンテンツ スキャン ブレードを取り外すことができます。し かし、ディスク ドライブにある情報を壊してしまう危険性が多少なりとも伴うため、こ れを行うことをお勧めしません。 4 [メッセージ]列を参照して、各コンテンツ スキャン ブレードで処理されたメッセー ジの数を確認します。 5 [ブレード ステータス]に戻り、オフにしたコンテンツ スキャン ブレードを選択し、 [開始]をクリックします。 6 再び[メッセージ]列を確認してください。ブレード サーバは、より多くのトラフィッ クをスキャンし、自動的に 2 つのブレード間のスキャンの負荷のバランスをとります。 7 オプション: 3 つめのコンテンツ スキャン ブレードを格納装置に追加し、有効にしま す。 8 再び[ブレード ステータス]を確認します。ブレード サーバは、より多くのメッセー ジをスキャンし、自動的に 3 つのブレード間のスキャンの負荷のバランスをとります。 McAfee Content Security Blade Server 59 Content Security Blade Server の使用開始 ブレード サーバの探索 ブレード サーバでの管理機能のテスト これらのタスクを使用して、ブレード サーバ管理機能によってシステム管理の負荷を軽減す る方法を説明します。ご使用のコンテンツ スキャン ブレードが 1 つであっても複数であっ ても、システムは 1 つのシステムとして管理されます。 ステータス情報とログ情報を使用して、すべてのブレードに関するレポートとステータス情 報を取得することができます。すべてのコンテンツ スキャン ブレードで DAT ファイルを最 新に保ち、また隔離場所も管理するには、管理ブレードを使用できます。 ブレード サーバ ステータス情報 トラフィックがブレード サーバを通過するとき、[ダッシュボード]には各プロトコルのト ラフィック全体のスループット、検出、およびパフォーマンスに関する最新の情報が表示さ れます。 [ダッシュボード]には、以下のようなブレード サーバ固有の情報が含まれています。 • [ステータス(全般)](管理ブレードおよびフェールオーバー管理ブレード) • [ハードウェアのステータス](管理ブレード) • [ブレード ステータス](すべてのブレード) この表には、すべてのブレードに関する詳細が示されています。 [スピードメータ] 平均のブレード サーバのスループットは、2、3 分ごとの測定値に基づきます。 [名前] ブレード名: • 管理ブレード。 • フェールオーバー管理ブレード。 注意: これらの名前は設定コンソールを使用して指定されます。 • Blade <番号> — コンテンツ スキャン ブレード。 [状態] 各ブレードの現在の状態。 [負荷] 各ブレードのシステム全体の負荷。 [アクティブ] 各ブレードで現在アクティブな接続の数。管理ブレードの行はすべてのコンテン ツ スキャン ブレードの合計を表示します。 [接続] カウンタが前回リセットされてからの接続の総数。管理ブレードの行はすべての コンテンツ スキャン ブレードの合計を表示します。 その他の列 ウイルス対策エンジン、ウイルス対策 DAT ファイル、スパム対策エンジン、お よびスパム対策ルールのバージョン情報。ブレードが最新のものである場合、 バージョン番号は同一です。更新中に、値は異なる場合があります。 レポートの生成 Content Security Blade Server には、PDF、HTML、またはテキスト形式でダウンロードでき るいくつかの事前定義されたレポートが含まれています。これらのレポートが生成されるス ケジュールを定め、またレポートの送信先も定めておくことができます。独自のレポートを 作成することもできます。 ブレード サーバ ログには、選択したレポート タイプとレポート期間に基づく、イベント情 報が表示されます。ブレード サーバの独自のレポート機能を使用して、ブレード サーバお よびそのアクティビティに関する幅広い範囲のデータ(メモリやプロセッサの使用率など) について、レポートの生成やログ、統計、パフォーマンス統計およびグラフの表示を行うこ とができます。 60 McAfee Content Security Blade Server Content Security Blade Server の使用開始 ブレード サーバの探索 たとえば、メール トラフィックのテストおよびウイルス検出 の手順を実行した後、[電子 メール]、[メッセージ検索]をクリックします。検出した EICAR テスト ファイルが表示 されます。 レポートの詳細情報 これにより、次の操作を実行できます。 • レポートを[お気に入り]に保存します。これによって今後同じレポートを実行できま す。 • 関連する場合、レポートされたデータのさまざまなビューを切り替えることができます。 タスク ブレード サーバの DAT ファイルを更新し、更新レポートを表示するには、このタスクを実 行します。 注意: デフォルトでは、ブレード サーバにログオンするたびに[ダッシュボード]が表示さ れます。 1 [システム]、[コンポーネントの管理]、[更新ステータス]の順に選択します。 2 [バージョン情報とアップデート]で、アップデートするウイルス対策またはスパム対 策 DAT ファイルについて[今すぐアップデート]をクリックします。 3 [レポート]、[システム レポート]の順に選択します。 4 [フィルタ]、[更新]の順に選択します。 5 [適用]をクリックします。ブレード サーバに適用された更新に関する情報が表示され ます。 ポリシーを使用したメッセージ スキャンの管理 これらのタスクでは、ブレード サーバのスキャン機能の動作について説明します。サンプル ポリシーを作成してテストする手順とともに、適切なレポートを生成する方法を解説します。 ポリシーとは、特定の脅威からネットワークを保護する方法をブレード サーバに指示する設 定およびルールの集合です。組織で実際に使用するスキャン ポリシーを作成する際には、要 件の調査と計画に時間をかけることが重要です。ポリシーの計画に役立つガイドラインにつ いては、オンライン ヘルプを参照してください。 ポリシーを作成する前に 隔離アクションはすべて、デフォルトでは無効になっています。有効にする前に、McAfee Quarantine Manager を使用して隔離場所を管理するようにブレード サーバを構成してくだ さい。これを行うには、以下の手順を実行します。 1 ユーザ インターフェースから、[電子メール]、[隔離構成]の順に選択します。 2 [他のコンピュータの McAfee Quarantine Manager(MQM)サービスを使用]を選択しま す。 3 McAfee Quarantine Manager の詳細を入力します。 注意: 既存の McAfee アプライアンスを McAfee Content Security Blade Server と交 換する場合は、既存の [アプライアンス ID]の使用を確認してください。別の[アプ ライアンス ID]を使用した場合、古いアプライアンスで隔離されたメッセージを解放す ることができなくなります。 4 変更を適用します。 McAfee Content Security Blade Server 61 Content Security Blade Server の使用開始 ブレード サーバの探索 ウイルス対策スキャン ポリシーの作成 次の処理を行うためのウイルス対策スキャン ポリシーを作成します。 • 受信メッセージに含まれるウイルスの検出 • 元の電子メールの隔離 • 受信者への通知 • 送信者へのアラートの送信 タスク このタスクでは、大量メール発信ウイルスに関するルールが EICAR テスト ファイルによっ て起動された場合の動作およびその場合に実行可能なアクションについて説明します。 1 デバイスで McAfee Quarantine Manager を使用していることを確認します([電子メー ル、隔離構成、隔離オプション]の順に選択します)。 2 デバイスで、[電子メール、電子メール ポリシー、スキャン ポリシー]の順に選択し ます。 駆除に失敗した場合、デフォルト ポリシーは[アラートで駆除または置換]に設定され ます。 3 [ウイルス: アラートで駆除または置換]をクリックして、[デフォルトのウイルス対 策設定(SMTP)]を表示します。. 4 [アクション]の下の[ウイルスが検出された場合]で、[駆除を試行する]が選択さ れていることを確認します。 5 アクションの下の[次も実行]セクションで、[送信者に通知メールを配信]と[元の 電子メールを隔離]を選択します。 6 [駆除に失敗した場合]で、[検出されたアイテムをアラートで置換]を選択します。 7 [駆除に失敗した場合]の下の[次も実行]セクションで、[送信者に通知メールを配 信]と[元の電子メールを隔離]を選択します。 8 [OK]をクリックします。 9 [電子メール、電子メール ポリシー、スキャン ポリシー [スキャナ オプション] -電子メール アドレス構成]の順に選択します。 10 [バウンスされた電子メール]で、電子メール アドレスとして管理者の電子メール ア ドレスを割り当てます。 この構成を行わないと、電子メール通知に[差出人:]アドレスが含まれません。ほとん どの電子メール サーバでは、必ず[差出人:]アドレスを含めて電子メールを配信しま す。 11 [OK]をクリックして、緑色のチェックマーク アイコンをクリックします。 12 [電子メール、電子メール ポリシー、スキャン ポリシー [ウイルス対策]、カスタム マルウェア オプション]の順に選択します。 13 [大量メール送信型]を選択し、次に[検出された場合]を[接続を拒否(ブロック)] に設定します。 送信側のメール サーバは、[コード 550: ポリシーによって拒否されました]というエ ラー メッセージを受信します。デバイスでは、どのような状況でも電子メールの送信が 禁止されている接続のリストが管理されています。リストを表示するには、[電子メー ル、電子メールの構成、電子メールの受信、許可と拒否 [+] 許可およびブロックされ た接続]の順に選択します。[拒否された接続]オプションについては、オンライン ヘ ルプを参照してください。 14 構成をテストします。 62 McAfee Content Security Blade Server Content Security Blade Server の使用開始 ブレード サーバの探索 a <クライアントの電子メール アドレス> から <サーバの電子メール アドレス> に電 子メールを送信します。 b 以下の文字列を含むテキスト ファイルを作成します。 X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* c eicar.txt という名前でそのファイルを保存します。 d そのファイルを電子メールに添付します。 ゲートウェイ セキュリティ デバイスによってそのファイルがアラートに置換され、 送信者に通知アラートが送信されます。 15 [カスタム マルウェア オプション]に戻り、[特定の検出名:]をクリックします。 16 「EICAR」と入力します。 17 プライマリ アクションが[オリジナルのデータを拒否してエラー コードを返します(ブ ロック)]であることを確認し、[OK]をクリックします。 18 外部の電子メール アカウントでメッセージを作成し、EICAR テスト ファイルを添付し ます。 その電子メール クライアントは、[コード 550: ポリシーによって拒否されました]と いうエラー メッセージを受信します。 [電子メール、電子メールの構成、電子メールの受信、許可と拒否のリスト [+] ブ ロックされた接続]は空です。 19 [カスタム マルウェア オプション]で、プライマリ アクションを[接続を拒否]に変 更し、[OK]をクリックします。 20 同じ電子メールを送信し、拒否された接続を確認します。拒否された接続には、クライ アント マシンの IP アドレス(サンプルの IP アドレス)が含まれているはずです。 21 問題のない電子メールを送信してみます。接続拒否リストが原因で、この電子メールも 拒否されます。送信側のサーバでは、そのサーバがオンラインであることが認識されま せん。 電子メール ゲートウェイに到着したメッセージが検査され、ウイルスが含まれていることが 確認されます。メッセージは隔離され、そのメッセージがウイルスに感染していることが受 信者と送信者に通知されます。 スパム対策スキャン ポリシーの作成 このタスクでは、組織が未承諾の迷惑メッセージを受信しないようにするためのポリシーを 設定します。 このようなポリシーによって、生産性の低下やサーバ経由のメッセージ トラフィックの増加 を招く未承諾の迷惑電子メール メッセージをユーザが受信しないように保護することができ ます。 タスク 1 デバイスで、McAfee Quarantine Manager を使用していることを確認します([電子メー ル]、[隔離構成]の順に選択します)。 2 [電子メール、電子メール ポリシー、スキャン ポリシー]の順に選択します。 SMTP プロトコルと POP3 プロトコルには、別個のスパム対策ポリシーを設定する必要が あります。 3 プライマリ アクションを[データを受け入れてからドロップ]に設定します。 4 セカンダリ アクションを[元の電子メールを隔離]に設定します。スパム スコアを「5」 に変更します。 McAfee Content Security Blade Server 63 Content Security Blade Server の使用開始 ブレード サーバの探索 スパム対策検出を有効にする場合、McAfee ではフィッシング対策検出も有効にすること をお勧めします。スパム対策検出とフィッシング対策検出の両方を実行しても、スキャ ンのパフォーマンスに影響はありません。 5 外部の電子メール アカウントから、デバイスで保護されているメールボックス宛ての メッセージを作成します。 6 メッセージ本文に、次のテキストを使用します。 XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE-STANDARD-ANTI-UBE-TEST-EMAIL*C.34X 7 メッセージを送信します。 8 McAfee Quarantine Manager を開き、スパム キューを調べます。 9 スパム メッセージを解放します。 10 受信者の電子メール アカウントを調べ、メッセージを表示します。 検出されたメッセージは McAfee Quarantine Manager に送信されるので、管理者が管理でき ます。 コンプライアンス ポリシーの作成 このタスクでは、好ましくないコンテンツを含む受信メッセージを隔離するためのポリシー を設定します。ここでは、ウィザードの手順に沿って説明します。 次の手順に従って、コンプライアンスのサンプルを設定してください。 タスク 1 デバイスで、[電子メール]、[電子メール ポリシー]、[ディクショナリ]の順に選 択します。 2 [電子メール ディクショナリ リスト]を選択します。 3 [... に関するディクショナリの詳細]の領域を表示します。 4 [電子メール]、[電子メール ポリシー]、[スキャン ポリシー]の順に選択します。 5 [コンプライアンス]で、[コンプライアンス]を選択します。 6 [コンプライアンスを有効にする]、[はい]を選択します。 7 [OK]をクリックします。 8 [ルール]で、[新しいルールの作成]をクリックします。 9 ルールの名前を入力します。 10 [Next(次へ)]をクリックします。 11 [含めるディクショナリ]を選択します。このテストのためには、財務ベースのディク ショナリを選択します。 12 [Next(次へ)]をクリックします。 13 [除外するディクショナリ]を選択します。 14 実行するアクションを選択します。 15 <サーバのサンプル電子メール アドレス> から <クライアントのサンプル電子メール ア ドレス> に宛てた電子メールをサーバで作成します。次のテキストを挿入します。こんに ちは。出資金の認定累計額を評価する必要があります。資産の元金が予想より少ない場合は、調停 を検討してください。 16 メッセージを送信します。 17 [電子メール]、[電子メールの概要]、[受信メール サマリ]を使用して、結果を表 示します。 64 McAfee Content Security Blade Server Content Security Blade Server の使用開始 ブレード サーバの探索 クライアント電子メール エージェントは、電子メールを受信しません。サーバの電子メール のアカウントは、電子メール メッセージを 2 通受信します。メッセージがコンプライアン スのテストを通らなかったという電子メールの通知、および元の電子メールのコピーが受信 されます。 仮想ホスト管理について 仮想ホストを使用すると、1 つのデバイスが複数のデバイスのように動作します。仮想デバ イスはそれぞれ、IP アドレスの指定されたプール内でトラフィックを管理することができま す。そのため、デバイスは多数のソースやカスタマからのトラフィックにスキャン サービス を提供することができます。 利点 • それぞれのカスタマのトラフィックを分離します。 • カスタマまたはホストごとにポリシーを作成できるため、構成が簡素化され、複雑なポリ シーで発生する可能性があるクラッシュを妨ぐことができます。 • カスタマまたはホストごとに個別にレポートを利用できるため、複雑なフィルタリングを 行う必要がありません。 • 何らかの動作によってデバイスがレピュテーション ブラックリスト リストに配置された 場合、仮想ホストのみが影響を受け、デバイス全体に影響が及ぶことはありません。 仮想ホストのセットアップ この機能は SMTP スキャンのみに利用できます。受信 IP アドレスのプールおよび送信アド レスのオプションのプールを指定するには、System | Virtual Hosting | Virtual Hosts お よび System | Virtual Hosting | Virtual Networks ページを参照してください。 仮想ホストの管理 機能 動作 電子メール ポリシー 仮想ホストごとに独自のタブがあり、スキャン ポリシーを作成することができま す。 電子メールの構成 仮想ホストごとに独自のタブがあり、ホストに固有の MTA 機能を構成することがで きます。 キューに入れられた電子メー キューに入れられたすべての電子メールを表示することも、各ホストのキューに入 ル れられた電子メールのみを表示することもできます。 隔離された電子メール 隔離されたすべての電子メールを表示することも、各ホストの隔離された電子メー ルのみを表示することもできます。 レポート すべてのレポートを表示することも、各ホストのレポートのみを表示することもで きます。 デバイスと MTA 間の動作 デバイスで仮想ホストの IP アドレス範囲に送信された電子メールを受信すると、仮想ホス トは次のように動作します。 • 独自の SMTP ウェルカム バナーを使用して SMTP 通信に応答します。 • 必要に応じて、独自のアドレス情報を受信済みヘッダに追加します。 • 独自のポリシーに従って電子メールをスキャンします。 デバイスが電子メールを配信する際には、次のように動作します。 • 送信アドレス プール、または物理 IP アドレス(送信アドレス プールが設定されていな い場合)から IP アドレスが取得されます。 • 受信側のメール転送エージェント(MTA)で仮想ホストの IP アドレスが確認されます。 McAfee Content Security Blade Server 65 Content Security Blade Server の使用開始 構成のテスト • アドレス プールがある場合、「ラウンドロビン」で IP アドレスが選択されます。 • 仮想ホストに対して EHLO 応答が行われます。 構成のテスト ここでは、Content Security Blade Server がインストール後に正常に機能しているかどう かをテストする方法について説明します。推奨される構成が変更される際には、まずアプラ イアンスにログインして、McAfee はダッシュボードのシステムの状態のエリアを確認するこ とをお勧めします。 接続性のテスト このタスクでは、基本的な接続性を確認します。ブレード サーバは、ゲートウェイ、アップ デート サーバ、および DNS サーバと通信できることをチェックします。また、名前および ドメイン名が有効であることを確認します。 タスク 1 以下のいずれかの方法を使用して、[システム テスト]ページを開きます。 • [ダッシュボード]の[タスク]セクションで、[システム診断テストの実行]を選 択します。 2 3 • ナビゲーション バーで[トラブルシューティング]を選択します。 [テスト]タブをクリックします。 [テストの開始]をクリックします。各テストが正常な結果で完了したことを確認しま す。 DAT ファイルの更新 設定コンソールを完了したら、Content Security Blade Server はすべての有効なスキャナ を更新しようとします。このタスクを使用してブレード サーバの検出定義(DAT)ファイル が最新であることを確認します。 Content Security Blade Server の使用を続けるうちに、必要に応じて、定義ファイルの個 別の種類を選択して更新したり、スケジュールされたデフォルトのアップデートを変更した りすることができます。 タスク 1 次の方法のいずれかを使用して[更新]ページを開きます。 • [ダッシュボード]の[システムの状態]領域で、[更新]を選択します。 2 • [システム]、[コンポーネントの管理]、[更新ステータス]の順に選択します。 すべての DAT ファイルを更新するためには、ウイルス対策エンジン コンポーネントの 隣の[今すぐアップデート]をクリックします。 メール トラフィックのテストおよびウイルス検出 このタスクを使用して、メール トラフィックがブレード サーバ間を正常に通過し、脅威が 正しく識別されることをテストします。McAfee では、EICAR テスト ファイル(ウイルス検 出をトリガする無害なファイル)を使用します。 66 McAfee Content Security Blade Server Content Security Blade Server の使用開始 構成のテスト タスク 1 外部電子メール アカウント(Hotmail など)から内部メールボックスに電子メール メッ セージを送信し、その電子メール メッセージが到着したことを確認します。 2 [ダッシュボード]で[電子メールの検出]領域を確認します。メッセージの送信に使 用したプロトコルのリストに、メッセージが到着したことが表示されます。 3 次の行をファイルにコピーします。スペースや改行を含めないでください。 X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARDANTIVIRUS-TEST-FILE!$H+H* 4 ファイルを EICAR.COM という名前で保存します。 5 外部電子メール アカウント(SMTP クライアント)から、EICAR.COM ファイルを添付し たメッセージを作成し、そのメッセージを内部メールボックスに送信します。 6 [ダッシュボード]に戻って[電子メールの検出]領域を確認します。ウイルスが検出 されたことが表示されます。 7 インストールしたソフトウェアのテストが完了したら、テストについて知らないユーザ に警告が表示されないように、メッセージを削除してください。 スパム検出のテスト このタスクを使用して、GTUBE(General Test mail for Unsolicited Bulk Email)を実行し て、受信スパムが検出されることを検証します。 タスク 1 外部の電子メール アカウント(SMTP クライアント)で、新しい電子メール メッセージ を作成します。 2 メッセージの本文に、次のテキストをコピーします。 XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE-STANDARDANTI-UBE-TEST-EMAIL*C.34X スペースや改行は含めないでください。 3 新しい電子メール メッセージを内部のメールボックス アドレスに送信します。ソフト ウェアがメッセージをスキャンして迷惑電子メール メッセージであると認識し、適切に 処理します。GTUBE は、ブラックリストおよびホワイトリストより優先されます。 Web トラフィックのテストおよびウイルス検出 このタスクを使用して、Web トラフィックが Content Security Blade Server 間を正常に通 過することをテストします。 タスク 1 外部 Web サイトにアクセスして、一般の接続を確認します。 2 ダッシュボードに移動します。[HTTP]リストに、Web サイトにアクセスしたことが表 示されます。 3 EICAR の Web サイト(http://www.eicar.org)にアクセスして、EICAR テスト ファイ ルを開きます。 4 [ダッシュボード]に戻って[Web 検出]領域を確認します。HTTP リストに、ウイルス が検出されたことが表示されます。 McAfee Content Security Blade Server 67 Content Security Blade Server の使用開始 Content Security Blade Server の機能を閲覧 Content Security Blade Server の機能を閲覧 このセクションには、Content Security Blade Server のスキャン機能を実施するタスクが 含まれています。サンプル ポリシーを作成してテストする手順とともに、適切なレポートを 生成する方法を解説します。 目次 機密データの損失の回避 隔離されたメッセージの処理 スキャン ポリシーとそのネットワークへの影響 ポリシーとは、特定の脅威からネットワークを保護する方法を Content Security Blade Server に指示する設定およびルールの集合です。組織で実際に使用するスキャン ポリシー を作成する際には、要件の調査と計画に時間をかけることが重要です。製品インターフェー スからアクセスできるオンライン ヘルプに、ポリシーの計画に役立つガイドラインが記載さ れています。 電子メール コンプライアンス ルールを使用したコンテンツのスキャ ン コンプライアンス スキャンを使用することにより、規則への準拠および企業の運営規制に対 して適合しやすくなります。事前定義されたコンプライアンス ルールのライブラリから選 択、あるいは組織に固有の独自のルールおよびディクショナリを作成することもできます。 コンプライアンス ルールは、ディクショナリ内の個別の用語が検出された場合にトリガされ る直接的なものから、特定のしきい値に達した場合にのみトリガされるスコアベースのディ クショナリを組み合わせて作成される複雑なものまでさまざまです。コンプライアンス ルー ルの詳細な機能を使用すると、「any of」、「all of」、あるいは「except」の論理演算を 使用してディクショナリを組み合わせることができます。 1 「脅迫的言語」ポリシーに違反する電子メール メッセージをブロックするためには、以 下の手順に従ってください。 a [電子メール]、[電子メール ポリシー]、[スキャン ポリシー]に移動し、[コ ンプライアンス]を選択します。 b [デフォルトのコンプライアンス設定]ダイアログ ボックスで、[はい]をクリッ クしてポリシーを有効にします。 c [テンプレートから新しいルールを作成する]をクリックして、ルール作成ウィザー ドを開きます。 d [有効な使用 - 脅迫的言語]ポリシーを選択し、[次へ]をクリックします。 e オプションでルールの名前を変更し、[次へ]をクリックします。 f プライマリ アクションを[データを受け入れてからドロップ(ブロック)]に変更 し、[完了]をクリックします。 g [OK]をクリックし、変更を適用します。 2 単純なカスタム ルールを作成して社会保障番号を含む電子メール メッセージをブロッ クするためには、以下の手順に従ってください。 a [電子メール]、[電子メール ポリシー]、[スキャン ポリシー]に移動し、[コ ンプライアンス]を選択します。 68 McAfee Content Security Blade Server Content Security Blade Server の使用開始 Content Security Blade Server の機能を閲覧 b [デフォルトのコンプライアンス設定]ダイアログ ボックスで、[はい]をクリッ クしてポリシーを有効にします。 c [新しいルールを作成する]をクリックして、[ルール作成ウィザード]を開きま す。 d ルールの名前を入力し、[次へ]をクリックします。 e [検索]フィールドで、socialと入力します。 f [社会保障番号]ディクショナリを選択して、[次へ]をクリックします。 g [データを受け入れてからドロップ(ブロック)]アクションを選択し、[完了]を クリックします。 3 この手順を使用して、ディクショナリ A とディクショナリ B の両方が検出された場合 にトリガし、ただしディクショナリ C も検出された場合にはトリガしない複雑なルール を作成します。 a [電子メール]、[電子メール ポリシー]、[スキャン ポリシー]に移動し、[コ ンプライアンス]を選択します。 b [デフォルトのコンプライアンス設定]ダイアログ ボックスで、[はい]をクリッ クしてポリシーを有効にします。 c [新しいルールを作成する]をクリックして、ルール作成ウィザードを開きます。 d ルールの名前を入力し、[次へ]をクリックします。 e ルールに含める 2 つのディクショナリを選択して、[次へ]をクリックします。 f ルールから除外するディクショナリを除外リストに選択します。 g ルールがトリガされた場合に行うべきアクションを選択します。 h [また条件付きで]ドロップダウン ボックスから、[すべて]を選択し、[完了] をクリックします。 4 以下の手順に従って、既存のルールに新しいディクショナリを追加してください。 a [電子メール]、[電子メール ポリシー]、[スキャン ポリシー]に移動し、[コ ンプライアンス]を選択します。 b 編集するルールを展開します。 c [ディクショナリの追加]を選択します。 d 含める新しいディクショナリを選択し、[OK]をクリックします。 5 低いしきい値でモニタする「不満」ルールを作成し、高いしきい値でブロックするため には、以下の手順に従ってください。 a [電子メール]、[電子メール ポリシー]、[スキャン ポリシー]に移動し、[コ ンプライアンス]を選択します。 b [新しいルールの作成]をクリックし、Discontent - Low などの名前を入力し、[次 へ]をクリックします。 c 「不満」ディクショナリを選択し、[しきい値]に 20 と入力します。 d [次へ]をクリックし、[次へ]を再度クリックします。 e [コンプライアンス ルールがトリガされた場合]で、デフォルト アクションを受け 入れます。 f [完了]をクリックします。 g 新しい別のルールを作成するには手順 2 ~ 4 を繰り返し、ただし Discontent - High と名前を付け、これにしきい値 40 を割り当てます。 h [コンプライアンス ルールがトリガされた場合]で、[データを受け入れてからド ロップ(ブロック)]を選択します。 McAfee Content Security Blade Server 69 Content Security Blade Server の使用開始 Content Security Blade Server の機能を閲覧 i [完了]をクリックします。 j [OK]をクリックし、変更を適用します。 6 これらの手順に従って、既存のルールに関連付けられたしきい値を編集してください。 このタスクは、ルールにしきい値に基づいたアクションをトリガするディクショナリ、 たとえば補償と福祉手当ディクショナリなどが含まれていることを前提としています。 a [電子メール]、[電子メール ポリシー]、[スキャン ポリシー]に移動し、[コ ンプライアンス]を選択します。 b 編集するルールを展開し、スコアを変更したいディクショナリの隣の[編集]アイコ ンを選択します。 c ディクショナリのしきい値に、ルールでトリガしたいスコアを入力し、[OK]をク リックします。 7 ディクショナリの用語のスコアへの寄与を制限するために、以下の手順に従ってくださ い。このタスクは、ルールにしきい値に基づいたアクションをトリガするディクショナ リ、たとえば補償と福祉手当ディクショナリなどが含まれていることを前提としていま す。このようなディクショナリに対して、ある用語がスコア全体に対して寄与する回数 を制限することができます。 a [電子メール]、[電子メール ポリシー]、[スキャン ポリシー]に移動し、[コ ンプライアンス]を選択します。 b 編集するルールを展開し、スコアを変更したいディクショナリの隣の[編集]アイコ ンをクリックします。 c [最大用語カウント]で、1 つの用語がスコアに寄与する最大回数を入力します。 注意: HTTP ポリシーを編集して、同じポリシーを Web メールに適用できます。 機密データの損失の回避 このタスクを使用して、重要な財務ドキュメントが組織外部に送信されるのをブロックして ください。 タスク 1 [電子メール]、[電子メール ポリシー]、[登録済みドキュメント]に進み、Finance という名前のカテゴリを作成します。 2 [電子メール]、[電子メール ポリシー]、[スキャン ポリシー]に移動し、[Data Loss Prevention]ポリシーを選択します。 3 [デフォルトの Data Loss Prevention の設定]ダイアログ ボックスで、[はい]をク リックしてポリシーを有効にします。 4 [新規ルールの作成]をクリックし、財務分類を選択し、[OK]をクリックしてルール リストに分類が表示されるようにします。 5 分類に関連付けられたアクションを選択し、プライマリ アクションを[データを受け入 れてからドロップ(ブロック)]に変更し、[OK]をクリックします。 6 再び[OK]をクリックし、変更を適用します。 隔離されたメッセージの処理 ® ® McAfee Content Security Blade Server は McAfee Quarantine Manager ソフトウェアを使 用して、電子メール メッセージのための「オフボックス」隔離のソリューションを提供して います。 70 McAfee Content Security Blade Server Content Security Blade Server の使用開始 Content Security Blade Server の機能を閲覧 ® 隔離されているメッセージを検索するには、McAfee Quarantine Manager を参照してくださ い。 スパム検出の監視 このタスクを使用して、追加設定なしの SMTP スパム検出ポリシーを使用してスパム検出率 を監視します。設定コンソールを完了するとすぐに、これらの設定が動作し、ネットワーク およびユーザを不審なスパム メッセージから守ります。設定に関しては、ユーザ インター フェースからアクセス可能なオンライン ヘルプに詳細な説明が記されています。 デフォルトで、Content Security Blade Server は次の項目を行います。 • フィッシング メッセージをブロックする。 • スパムとしてのスコアが 5 以上のメッセージをマークする。 • スコアが 10 以上のスパム メッセージをドロップする。 • 送信者認証を有効にする。 これらのデフォルトの設定を使用すると、Content Security Blade Server は 98% を超える すべてのスパム メッセージを検出します。 注意: 送信者認証設定は、McAfee Global Threat Intelligence メッセージ レピュテーショ ンを組み込んでいます。送信者が McAfee Global Threat Intelligence メッセージのレピュ テーション チェックに失敗した場合、ブレード サーバは電子メールを受け入れず、接続を 終了して、送信 IP アドレスを拒否します。送信者の IP アドレスは、ブロックされている 接続のリストに追加され、カーネル レベルで 10 分間ブロックされます(デフォルトのブ ロック期間は変更できます)。ダッシュボードの[電子メール検出]領域で、ブロックされ た接続数が表示されます。 タスク 1 ダッシュボードの[スキャン ポリシー]領域から、[SMTP]、[デフォルト ポリシー] を選択し、標準のスパム対策検出の設定を表示します。 2 スパム検出設定をトリガする Content Security Blade Server を介してメッセージを送 信し、スパム メッセージが正確に識別されることを確認します。 3 検出率を監視するには、ダッシュボードに戻り、[電子メール検出]領域を確認します。 [スパムとフィッシング]の図および[送信者認証]の図がインクレメントします。送 信者認証検出図には、McAfee Global Threat Intelligence メッセージ レピュテーショ ン サービス チェックに失敗した送信者数が含まれます。[電子メールのグラフ]によ り、データがグラフィック表示されます。 4 電子メール アクティビティのレポートを取得するには、[タスク]に進み、[お気に入 りの電子メール レポートを表示]を選択します。 5 [ブロック済み(今日)]レポートおよび[上位のスパム送信者(今日)]レポートを 確認します。 Web アクティビティの監視 このタスクを使用して、HTTP を使用したアクションで SiteAdvisor およびデフォルトの Web カテゴリ設定を確認します。セットアップ プロセスを完了したらすぐに、これらの設定が動 作し、ネットワークおよびユーザを不適切または悪意のある Web サイトから守ります。 McAfee Content Security Blade Server 71 Content Security Blade Server の使用開始 Content Security Blade Server の機能を閲覧 タスク 72 1 ダッシュボードの[スキャン ポリシー]領域から、[HTTP]を選択して[デフォルト ポリシー]をクリックします。 2 [McAfee GTI Web レピュテーションと Web 分類]を選択して、デフォルト設定を表示 します。SiteAdvisor は、サイトを[警告]の分類にあると評価した場合、URL へのア クセスを拒否します。 3 SiteAdvisor が HTTP トラフィックを正しくスキャンしていることをテストするには、 次のリンクを参照します。 http://warn.siteadvisor. 4 [ダッシュボード]に戻って[Web 検出]領域を確認します。HTTP カラムでは、 SiteAdvisor の入力はインクレメントします。 5 ダッシュボードから Web レピュテーション アクティビティの視覚的な表示を入手する ために、[Web のグラフ]に SiteAdvisor バーがあります。 6 [タスク]領域で[お気に入り Web レポートを表示]をクリックし、[Web レポート] を選択します。 7 [ブロックされた(SiteAdvisor、直近の 24 時間)]レポートを確認し、その日にブ ロック、修正、または監視された Web クエリの数を見つけます。 8 [上位 URL リスト]レポートを見て、その日に最も頻繁に開かれた URL を確認します。 McAfee Content Security Blade Server 復元モードの動作 ® McAfee Content Security Blade Server のバージョン 5.6 はブレード サーバの復元モード の動作を紹介します。このモードでは、ネットワーク、ブレード サーバ、およびブレード サーバの格納装置内との間のすべての接続は、複数のパスが使用されるように作成されます。 これらの複数のパスウェイは、ブレード サーバ内のあらゆるコンポーネント、ネットワーク デバイス、またはネットワークとブレード サーバの間でトラフィックをルーティングするの に必要な配線の障害に対して、強化された復元を提供します。 目次 復元モードのハードウェアの使い方 復元モードを使用するかどうか決定 復元モードに再構成を開始する前に 復元モードへの動作の移行 復元モードのハードウェアの使い方 復元モードでは、ネットワーク接続はブレード サーバの格納装置内の、および格納装置を介 する以下のセグメントに分割されます。 • LAN1 および LAN2 はスキャンされたトラフィックを送信するため、外部ネットワークと の接続に使用されます。これらは 2 つの異なるネットワーク(明示的プロキシ モードま たは透過型ルータ モードのため)、または透過型ブリッジ モードの配備に 2 つのリン クとして使用されます。 スキャンされたトラフィックは常にすべてのアクティブな相互接続を介して送信すること によって、最大のスループットおよび復元を提供します。 • 帯域外(OOB)ネットワークは管理トラフィックをスキャンされたトラフィックから分離 する手段を提供します。使用されている場合、LAN1 および LAN2 ネットワークからのシ ステム管理を防止するように、システムを構成できます。 M7 格納装置では、OOB ネットワークは通常 2 つのダイレクト パススルー モジュールの 使用によって提供され、アクティブ/パッシブ冗長性を提供します。 M3 格納装置では、OOB ネットワークは異なる外部のスイッチ リンクの使用によって分離 された VLAN で、LAN2 相互接続を介して送信します。 注意: また、いずれかの格納装置で、OOB ネットワークは LAN 1 および LAN2 と同じ外 部相互接続ポートを介する VLAN ネットワークに設置できます。 • 管理ブレードとスキャンブレードの間のトラフィックは、ブレード サーバ格納装置内の 異なる VLAN によって処理されます。これは格納装置内の非公開 VLAN であり、通常は格 納装置の外部に公開されません。 McAfee Content Security Blade Server 73 復元モードの動作 復元モードを使用するかどうか決定 スキャン VLAN は管理ブレードにタグ付けされますが、スキャン ブレードにはタグなし にされます。これはスキャン ブレードの Preboot Execution Environment(PXE)インス トールが予想どおりに機能することを可能にします。 注意: 相互接続の構成は、管理ブレードとスキャン ブレードでは異なります。構成の問 題を防止するために、McAfee は本書に推奨されているブレード スロットのみを管理およ びスキャン ブレードに使用することお勧めします。 4 つの相互接続を格納装置内で使用することによって、上記に説明されているすべての単一 ネットワーク内の障害 1 つに対して復元を提供します。次の障害に対して復元を提供しま す。 • 外部リンク障害 格納装置外部の復元は集約リンクのサポートで提供します(またはボンディング、トラン ク、ポート チャンネルまたはイーサチャンネルとして知られています)。最大 5 つのリ ンクをボンディングすることによって、最大の復元を提供します。いずれかのリンクへの 障害は、その瞬間に障害のあるリンクに流れているパケットのみを影響します。相互接続 と隣のインフラストラクチャは自動的に障害のあるリンクの使用を停止します。 • 内部リンク障害 内部の交差接続リンク ペアの使用によって、隣同士の相互接続の間に冗長接続を提供し ます。これは、相互接続外部でブレード格納装置内にあるすべてのリンクに障害が発生す る場合、トラフィックは隣の相互接続および交差接続を通過して、元のブレードにフロー することができます。リンクへの障害は、その瞬間に障害のあるリンクに流れているパ ケットのみを影響します。STP はネットワーク ループを防ぐために使用されます。 • ブレード NIC 障害 すべてのブレードは各ネットワークへのパスが 2 つあります。NIC(またはその相互接続 への接続)に障害が発生する場合でも、スイッチ ネットワークへの冗長パスは常にあり ます。NIC の障害は、リンクに障害が発生するその瞬間にリンクに流れているパケットの みを影響します。 • スキャン ブレード障害 スキャン ブレードに障害が発生する場合は、管理ブレードが自動的にスキャン トラフィッ クを残りのスキャン ブレードに送信します。障害が発生した時に接続中の接続は切断さ れます。 • 管理ブレード障害 管理ブレードに障害が発生した場合、フェールオーバー ブレードがマスタを引き継ぎ、 スキャン ブレードへのトラフィックの配信を開始します。障害が発生した時に接続中の 接続は切断されます。 • 完全な相互接続障害 これは内部と外部リンクの障害と同様に処理されます。すべてのトラフィックは残りの相 互接続に直接、および相互接続を介してフローします。 復元モードの動作 復元モードを使用するかどうか決定 標準(非復元)モードでは、McAfee Content Security Blade Server は各ローカル エリア ネットワーク(LAN1 と LAN2)にブレード サーバに必要な単一の相互接続モジュールを使用 します。 74 McAfee Content Security Blade Server 復元モードの動作 復元モードに再構成を開始する前に 復元モードでは、2 つの相互接続モジュールが各ローカル エリア ネットワークに使用され ることによって、複数のネットワーク パスを LAN1 と LAN2 それぞれに生成することを可能 にします。 注意: ブレード サーバを復元モード用にセットアップすることは、標準の非復元モードを使 用することよりはるかに複雑です。そのため、McAfee は関連するネットワークの作成および その他に必要な変更ができる場合のみに復元モードを使用することをお勧めします。 ® McAfee Content Security Blade Server バージョン 5.6 を復元モードの使用を意図して構 成する場合、McAfee はブレード サーバをまず最初は標準(非復元)モードで設置すること、 およびブレード サーバが期待通りに機能しているか確認することを推奨します。 すべてが正しく動作していることに満足してから、ブレード サーバを復元モードの動作用に 再構成してください。次のセクションではブレード サーバを標準(非復元)モードに構成す る手順、および必要であれば復元モードを使用するために必要な変更を加える方法の詳細が 表記されています。 復元モードの動作 復元モードに再構成を開始する前に ® McAfee Content Security Blade Server を復元モードの動作用に再構成を開始する前に、 McAfee は特定の情報インストールの計画にアクセスできるようにすることをお勧めします。 復元モードの動作 ハードウェア情報 ユーザ名とパスワード ハードウェア情報 ハードウェアを有効にして復元モードで実行するには、以下のものが必要です。 • 最小ブレード数。 復元モードの構成には少なくとも以下のものを提供する必要があります。 • 管理ブレード 1 つ • フェールオーバー管理ブレード 1 つ • スキャン ブレードを少なくとも 2 つ • すべてのブレードに十分な NIC 。 ® 新しい McAfee Content Security Blade Server を設置する際、受け取るハードウェアは 復元モードでの使用に適しています。 ® しかし、以前にインストールされている McAfee Content Security Blade Server を復元 モードで動作するように再構成している場合、個々のブレードにメザニン カードを加え ることでアップグレードする必要な場合があります。管理ブレードとフェールオーバー管 理ブレードは両方とも、McAfee 指定のメザニン カードを両方の利用可能なスロットには め込む必要があります。 M3 Content Security Blade Server 格納装置を使用する場合、すべてのスキャン ブレー ドは少なくても 1 つのメザニン カードをベイ 1 にはめ込む必要があります。 McAfee Content Security Blade Server 75 復元モードの動作 復元モードに再構成を開始する前に オンボード アドミニストレータ ユーザ インターフェースからこれらのカードの有無を 確認できます。メザニン カードについては、[デバイス ベイ]表示の[情報]タブで探 してください。 注意: メザニン カードは正しいタイプであり、正しいスロットに位置する必要がありま す。デュアル ポート メザニン カードは メザニン ベイ 1 に、クアッド ポート カード はメザニン ベイ 2 に入れる必要があります。 • 管理ブレードは格納装置のブレード ベイ 1 にあります。 • フェールオーバー管理ブレードは格納装置のブレード ベイ 2 にあります。 • Email and Web Security ソフトウェア バージョン 5.6 は CD-ROM 、USB ドライブ、ま たはオンボード アドミニストレータ経由でインストール可能です。 • 相互接続 • HP GBe2c 相互接続は相互接続ベイ 1 から 4 にはめ込む必要があります。 M7 Content Security Blade Server では、OOB 接続を得るためにパススルー モジュー ルも相互接続ベイ 5 と 6 にはめ込む必要があります。 • オンボード アドミニストレータ モジュール 冗長 OA モジュールは HP の指示に従ってはめ込むおよび構成する必要があります。 • 電源 格納装置は、計画されているブレード数の冗長動作を得るため、HP のドキュメントで推 奨されている通りに十分な電源装置をはめ込む必要があります。 復元モードに再構成を開始する前に ユーザ名とパスワード このページはブレード サーバ内のさまざまなコンポーネントに使用されるデフォルト ユー ザ名とパスワードを取得するために使用します。 注意: パスワードまたはユーザ名をデフォルト値から変更した場合は、下記のデフォルト情 報の代わりにそれらを使用してください。 コンポーネント デフォルト ユーザ名 HP オンボード アドミニスト Administrator レータ 格納装置ステッカーを参照してください HP 相互接続 admin admin HP iLO (HP オンボード アドミニストレータ経由で管理) Email and Web Security ソ scmadmin フトウェア ユーザ インター フェース scmchangeme Email and Web Security ソ フトウェア コンソール support scmchangeme McAfee Web Gateway ソフト ウェア ユーザ インター フェース admin webwasher 復元モードに再構成を開始する前に 76 デフォルト パスワード(またはパスワードの場所) McAfee Content Security Blade Server 復元モードの動作 復元モードへの動作の移行 復元モードへの動作の移行 McAfee® Content Security Blade Server バージョン 5.6 の標準(非復元)モードで設置お よび構成済みであることを前提に、次のテーブルではブレード サーバを復元モードに再構成 するためのプロセスの概要を提供します。 注意: ブレード サーバを復元モードでのセットアップを開始する前から、McAfee はブレー ド サーバが標準(非復元)モードですでに構成および実行されていることをお勧めします。 表 7: 復元モードのインストール手順の概要 手順 詳細情報 1. ブレード サーバを標準(非復元)モード で設置と構成を行い、正常に実行している ことを確認します。 標準インストール 2. 必要なネットワーク情報を収集します。 復元モードに再構成を開始する前に ハードウェア情報 ユーザ名とパスワード 3. 既存の構成をバックアップします。 既存の構成をバックアップ 4. 相互接続のために基本構成を作成します。 相互接続の構成 5. 編集した構成ファイルをアップロードしま す。 すべての相互接続に復元モードを適用 6. 生成された相互接続の構成ファイルをダウ ンロードと確認します。 生成された構成のダウンロードと確認 7. 復元モードでの使用のために管理ブレード を構成します。 復元モードを使用するために管理ブレードを構成 8. ブレード サーバの配線に必要な変更を適 用します。 外部ネットワークとの復元モードの接続 9. ブレードに電源を投入します。 ブレードに電源投入 警告: ブレード サーバをネットワークに接続すると、インターネット アクセスやその他の ネットワーク サービスに影響を与える場合があります。このネットワーク ダウンタイムを 調整しており、ネットワーク使用率の低い時間帯にこの作業を予定していることを確認して ください。 目次 復元モードの動作 既存の構成をバックアップ 復元モード実行用に相互接続をインストール 相互接続の構成 格納装置の構成の変更 復元モードを使用するために管理ブレードを構成 外部ネットワークとの復元モードの接続 ブレードに電源投入 既存の構成をバックアップ ® このタスクを使用して既存の McAfee Content Security Blade Server の構成をバックアッ プします。アップグレードを実行する前にブレード サーバの構成のフル バックアップを作 成することは、構成のバックアップおよび復元を含むアップグレードのオプションの使用を 意図する場合でも、ベスト プラクティスとされています。 McAfee Content Security Blade Server 77 復元モードの動作 復元モードへの動作の移行 タスク 1 ユーザ インターフェースから、[システム]、[クラスタ管理]、[バックアップおよ び復元の構成]に移動します。 2 バックアップの中に含めるオプションの項目を選択します(バージョンによります)。 McAfee はブレード サーバをアップグレードする前に、すべてのオプションをバックアッ プすることをお勧めします。 3 [バックアップ構成]をクリックします。 4 その後すぐに、ダイアログ ボックスが表示され、バックアップされた構成ファイルを ローカル コンピュータにダウンロードすることが可能になります。 復元モードへの動作の移行 以前のバージョンからアップグレード 復元モード実行用に相互接続をインストール 接続を行う前に、Ethernet 相互接続を設置および構成する必要があります。 表 8: 図 9 と 10 の凡例記号 # 説明 電源接続 相互接続 1 と 2(LAN 1 に接続) 相互接続 3 と 4(LAN 2 に接続) オンボード アドミニストレータ接続 オンボード アドミニストレータ モジュール 帯域外アクセス(ポート 20) 帯域外(パススルー)(M7 のみ) M3 格納装置 M3 格納装置では、相互接続は格納装置の背面に取り付けられます。 LAN 1 相互接続は左上と右上の相互接続 ベイにはめ込み、LAN 2 相互接続は左下と右下の相 互接続 ベイにはめ込みます。 図 12: M3 格納装置 - 背面のコンポーネントの位置 - 復元モード 78 McAfee Content Security Blade Server 復元モードの動作 復元モードへの動作の移行 M7 格納装置 M7 格納装置では、相互接続は冷却ファンの上段のすぐ下にある格納装置の背面に取り付けら れます。 LAN 1 相互接続は左上と右の相互接続ベイにはめ込み、LAN 2 相互接続は LAN 1 のすぐ下の 相互接続ベイにはめ込みます。 図 13: M7 格納装置 - 背面のコンポーネントの位置 - 復元モード 次の点を確認してください。 • STP(Spanning Tree Protocol)の状態が Spanning Tree Group 1 に対してオフになって いることを確認します(デフォルトでは、すべてのポートが STP Group 1 のメンバーに なっています。)(透過型ブリッジ モードでブレード サーバを設置する場合。) • コンテンツ スキャン ブレードが外部 DHCP アドレスを受信しないように、相互接続の ACL(Access Control List)を構成します。 • ブレードのハートビート パケットがブレード サーバ内に保持されるように ACL を構成 します。 • VLAN タグ付きトラフィックがブレード サーバを通過する場合は、このトラフィックの通 過を許可するよう相互接続を構成する必要があります。 構成方法の詳細については、以下のドキュメントに記載されています。 • 『HP GbE2c Layer 2/3 Ethernet Blade Switch for c-Class BladeSystem Quick Setup』 (BladeSystem c-Class GbE2c L2/3 ネットワーク スイッチ モジュール クイック セッ トアップ) • 『HP GbE2c Layer 2/3 Ethernet Blade Switch for c-Class BladeSystem User Guide』 (BladeSystem c-Class GbE2c L2/3 ネットワーク スイッチ モジュール ユーザ ガイド) McAfee Content Security Blade Server 79 復元モードの動作 復元モードへの動作の移行 次の表に各格納装置のタイプ(M3 または M7)にどの相互接続が使用されるか示します。デ フォルトでは、各相互接続の外部ポート 21-24 は各ネットワークとの接続に使用できます。 表 9: 相互接続の使用 M3 格納装置 M7 格納装置 相互接続 ベイ 標準(非復元)モード 復元モード 標準(非復元)モード 復元モード 1 LAN1 LAN1、SCAN LAN1 LAN1、SCAN 2 未使用 LAN1、SCAN 未使用 LAN1、SCAN 3 LAN2 LAN2、OOB LAN2 LAN2、(OOB) 4 OOB LAN2、OOB (OOB) LAN2、(OOB) 5 ---- ---- (OOB) OOB 6 ---- ---- 未使用 OOB 7 ---- ---- 未使用 未使用 8 ---- ---- 未使用 未使用 以下の点には注意してください。 • 標準(非復元)モードでは、スキャン ネットワークは直接 LAN1 の上に構築されます。 • 標準(非復元)モードでは、示されている帯域外(OOB)接続は相互に排他的な個別の接 続であって非復元です。 • M3 格納装置の復元モードでは、スキャン ネットワークはタグなしの VLAN をブレード内 にある専用の NIC を介して接続します。 • M7 格納装置の復元モードでは、スキャン ネットワークと LAN1 は同じ NIC を共有しま すが、LAN1 トラフィックのスキャンを分離するためにVLAN タグ付けされています。 • 復元モードでは、スキャン ブレードの PXE インストールを可能にするために、スキャン ブレード スロットのスキャン ネットワークはタグなしです。 • M7 格納装置では、相互接続 ベイ 5 と 6 はパススルー モジュールの占有によって、管 理ブレードとフェールオーバー管理ブレードとの直接接続を可能にします。スキャン ブ レードには帯域外接続がありません。帯域外接続はスキャン ネットワークを使用して、 管理ブレードからスキャン ブレードに経由することによって行われます。 • デフォルトでは、帯域外ネットワーク VLAN はすべての相互接続でポート 20 はタグなし に構成されています。相互接続 1 と 2 は、各相互接続のポート 20 を使用することで、 帯域外ネットワークを格納装置内の相互接続の管理に使用できます。相互接続 3 と 4 は、ポート 20 経由で Email and Web Security システムの帯域外管理に限定されていま す。 注意: 新規インストール、または復元モード実行用に構成したブレード サーバをのアップグ レードでは、LAN2 接続は以前のリリースから変更されています。既存のハードウェアの標準 (非復元)アップグレードでは、相互接続 2 が LAN2 トラフィックに使用されます。新規イ ンストール、または既存のハードウェアを使用する復元モードのアップグレードでは、相互 接続 3 が LAN2 トラフィックに使用されます。 復元モードへの動作の移行 相互接続の構成 ブレード サーバ内の相互接続は、格納装置の復元モードでの動作を有効にするには特定の構 成が必要です。Email and Web Security ソフトウェアは相互接続それぞれの基本構成を、ブ 80 McAfee Content Security Blade Server 復元モードの動作 復元モードへの動作の移行 レード サーバが復元モードを実行するために必要な、完全な相互接続の構成を生成するため に使用します。 ブレード サーバ内の相互接続は、格納装置の復元モードでの動作を有効にするには特定の構 成が必要です。Email and Web Security ソフトウェアは相互接続の基本構成を、ブレード サーバが復元モードを実行するために必要な、完全な相互接続の構成を生成するために使用 します。自動生成された構成を相互接続に適用するための手段は選択可能です。 表 10: 構成方法 1. 2. 役割 相互接続の構成の適用方法 提供される構成 ユーザが相互接続を管理 構成の情報はコピーされて相互接 続 CLI に貼り付けられます。 シャーシの構成には認証情報がありません。 構成は Email and Web Security ソフトウェア、または外部の FTP または TFTP サーバから相互接続 に直接ダウンロードされますが、 ユーザの管理下にあります。 シャーシの構成には認証情報がありません。 ユーザが相互接続を管理 相互接続の基本構成はアップロードされま せん。 相互接続の基本構成ファイルは Email and Web Security ソフトウェアにアップロード されます。 3. ユーザが相互接続を管理 相互接続 Web インターフェースを シャーシの構成には認証情報がありません。 使用して検索、および構成の変更 相互接続の基本構成はアップロードされま を行います。 せん。 4. ソフトウェアが相互接続を 構成が変更されるたびに Email and シャーシの構成は相互接続の認証情報を含み 管理 Web Security ソフトウェアから相 ます。 互接続に直接ダウンロードされま 相互接続の基本構成ファイルは Email and す。 Web Security ソフトウェアにアップロード されます。 相互接続およびシャーシの構成ファイルのための、基本構成ファイルに必要な情報の種類の 詳細については相互接続の基本構成の例およびシャーシの構成ファイルの例を参照してくだ さい。 EWS ソフトウェアで自動的に相互接続を構成する場合は、このタスクを使用して相互接続の 基本構成を生成します。 注意: 相互接続の基本構成ファイルに必要な形式は、はめ込まれている相互接続の種類に依 存します。HP GbE2c 相互接続は、構成ファイルが HP bladeos-cli 形式ではなく、iscli (Cisco IOS に類似する)形式で生成される必要があります。 タスク 1 ftp または tftp を使用、それぞれの相互接続の Web インターフェースにログイン、ま たは CLI を使用して、それぞれの相互接続からワークステーションに構成全体をダウン ロードします。 2 それぞれの相互接続の固有の情報を指定します。これは IP アドレス、ルーティング情 報、syslog サーバ、タイム サーバ、およびタイム ゾーンが含まれます。 3 相互接続の構成ジェネレータにポートが無視されるように指定がされていない場合、す べてのポートの構成エントリを削除します。 これはそれぞれの相互接続の基本構成となります。 4 /config/resiliency/interconnect.base.n(n = 相互接続番号)としてファイルを保存 して、バックアップされた構成の zip ファイルに追加します。 注意: このバックアップの構成の zip ファイルは格納装置の構成の変更で説明されてい る chassisconfig.xml を含むために使用します。 復元モードへの動作の移行 McAfee Content Security Blade Server 81 復元モードの動作 復元モードへの動作の移行 格納装置の構成の変更 このタスクを使用して、chassisconfig.xml の変更による、格納装置の構成ファイルに必要 な変更を行います。 chassisconfig.xml ファイルは構成の zip 内にあり、[システム]、[クラスタ管理]、 [バックアップおよび復元の構成]からバックアップ、およびダウンロードできます。 管理ブレードを初期構成を行うと、デフォルトの chassisconfig.xml が生成されます。 chassisconfig.xml ファイルがアップデートされると、ブレードの相互接続ポートの構成に よって、相互接続の構成は自動的に再生成されます。 chassisconfig.xml のファイル内の要素で、ネットワーク要件を満たすために、変更が必要 となる可能性が最も高いのが以下の要素です。 • ScanningVlan(デフォルト 4094) これはシャーシ内で使用される、スキャン ネットワークのための VLAN ID です。 通常の状況では、この VLAN は外部相互接続ポートに表示されません。 このネットワークは「scan」という記号名でポートにバインドできます。 • UntaggedVlan(デフォルト 4093) これはシャーシ内で使用される、外部ネットワークからタグなしのフレームを伝送するた めの VLAN ID です。 このネットワークは「defuntagged」という記号名でポートにバインドできます。 この VLAN は相互接続内のみで使用されます。管理ブレードに通過するトラフィックは外 部リンクに存在する同じタグでタグ付けされます。 • OobVlan(デフォルト 4092) これはシャーシ内で使用される、シャーシ内で OOB ネットワークを他のネットワークか ら分離するための VLAN ID です。 このネットワークは「oob」という記号名でポートにバインドできます。 • BridgeVlan(デフォルトのセットなし) これは透過型ブリッジモードの場合、LAN1 から LAN2 までブリッジされる VLAN のリス トです。自動的に追加されるため、EWS 透過型ブリッジ モードの構成でのスキャンに選 択された VLAN を指定する必要はありません。ここで指定される VLAN は、LAN1 から LAN2 までブリッジされるのみでスキャンされません。 この項目は、システムが透過型ブリッジ モードでない場合は使用されません。 外部 VLAN のリストは「external」の記号名で参照できます。 • ScanningSTG / ExternalSTG / OobStg これらは各スキャン ネットワーク、各外部ネットワーク、および各 OOB ネットワークそ れぞれのスパニング ツリーに使用されるスパニング ツリー グループの構成です。 外部ネットワーク トポロジによっては、これらの優先度フィールドを変更する必要な場 合があります。 • ブレード このセクションは各ブレード スロットの機能をリストします。スロットは管理ブレード として構成(スロット 1 と 2 に管理ブレードがない場合)、およびスロットは無視され るように構成できます。スロットが無視されるように構成する場合は、そのブレードに接 続している相互接続の構成は生成されません。 • 相互接続認証情報 82 McAfee Content Security Blade Server 復元モードの動作 復元モードへの動作の移行 EWS ソフトウェアで自動的に相互接続に構成を適用する必要がある場合、認証情報に正し い IP アドレス、ユーザ名、パスワードをここで追加する必要があります。 これらの認証情報はテキスト形式で保存されているため、EWS システムが侵害された場合 は読むことが可能であることに注意する必要があります。 • 相互接続ポート 相互接続ポートの動作モードをここで定義できます。相互接続のポート設定に変更におい て最も可能性の高い理由なのは、外部ポートで LACP を有効または無効にする場合、また は STP を有効または無効にする場合です。外部ポートをスキャン ネットワークに専用す るために、ポート設定を変更する必要がある場合があります。 タグなしのフレームが通過するポートの VLAN はここで定義されます。 Email and Web Security ソフトウェアが割り当てたデフォルトの名前が十分でない場合、 ここでポートに意味のある名前を付けると役立つこともあります。 Email and Web Security ソフトウェアの構成ジェネレータに無視されるようにもポート は指定できますが、ブレード スロットのそのポートに Email and Web Security ソフト ウェアが構成を適用する必要がある場合はエラーの原因になります。 • 相互接続 VLAN 相互接続の VLAN ポート メンバーシップはここで定義されます。VLAN ID は数値的に、 または Email and Web Security に関連する VLAN の場合は、上記にリストされている記 号名として参照できます。 他の考慮事項は以下のものを含みます。 • 外部接続ポートのトランキング • スパニング ツリーの構成 • 帯域外(OOB)管理ネットワークへのアクセス 相互接続の認証情報および IP アドレスを chassisconfig.xml 内に入れることによって、 Email and Web Security ソフトウェアで自動的に相互接続に構成を適用できます。 ただし、McAfee は自動生成された構成が正常に機能しているか確認できるまで、これは行わ ないことをお勧めします。 復元モードへの動作の移行 すべての相互接続に復元モードを適用 生成された構成のダウンロードと確認 すべての相互接続に復元モードを適用 このタスクを使用して、復元モードの構成を相互接続に適用します。 格納装置の構成の変更の記載に従い、McAfee はファイルをアップロードをして含まれている 情報が正しいか確認できるまで、相互接続の IP および認証情報を構成ファイルに含めない ことをお勧めします。これは相互接続の構成を不正な情報で行うことを防止します。 構成が期待通りであると確認したら、相互接続の IP および認証情報を追加して、再度アッ プロードします。これで相互接続に構成ファイルが適用されます。 変更したすべてのファイルを含む構成の zip ファイルを作成して、このファイルを[システ ム]、[クラスタ管理]、[バックアップおよび復元の構成]ページから復元することで、 変更した構成ファイルを管理ブレードにアップロードします。次のような構成ファイルがあ ります。 • すべての相互接続の基本構成ファイル • chassisconfig.xml ファイル McAfee Content Security Blade Server 83 復元モードの動作 復元モードへの動作の移行 アップロードされた構成をブレード サーバで使用する前に変更を適用する必要があります。 注意: 相互接続の認証情報および IP アドレスを格納装置の構成(chassisconfig.xml)ファ イルに追加した場合、復元モードの構成は自動的にそれぞれの相互接続に適用されます。 格納装置の構成の変更 生成された構成のダウンロードと確認 生成された interconnect_config.X.n 構成ファイルをダウンロードと確認して、生成された 構成が希望の構成に一致するか確認してください。 これらは[システム]、[クラスタ管理]、[復元モード]から確認できます。 これらのファイルからエラーが検出された場合、問題を修正するために定義されている手順 を繰り返して構成を生成してください。 格納装置の構成の変更 復元モードを使用するために管理ブレードを構成 このタスクを使用して、管理ブレードを復元モードの使用のために構成します。 タスク 1 ユーザ インターフェースから、[システム]、[クラスタ管理]、[復元モード]を参 照します。 2 [復元モードを有効にする]をクリックします。 3 [OK]をクリックして[復元モードの警告を有効にする]を理解していることを確認し ます。 4 管理ブレード、フェールオーバー管理ブレード、およびすべてのスキャン ブレードが自 動的にシャットダウンするまで待ちます。 5 必要な外部ネットワークからブレード サーバの相互接続への変更を行います。 6 電源を管理ブレードおよびフェールオーバー管理ブレードに適用します。 ダッシュボードをチェックして管理ブレードおよびフェールオーバー管理ブレードが正 常に機能していること、および同期化されていることを確認します。 7 すべてのコンテンツ スキャン ブレードに順番に電源を適用します。 復元モードへの動作の移行 外部ネットワークとの復元モードの接続 ® 外部ネットワークと McAfee Content Security Blade Server の間に必要な接続は、ブレー ド サーバでの使用のために選択する動作モード、および外部ネットワークの構成によって異 なります。 オンボード アドミニストレータを使用する場合、OA および相互接続との接続があることを 確認してください。 84 McAfee Content Security Blade Server 復元モードの動作 復元モードへの動作の移行 スイッチ、相互接続、またはケーブルに障害が発生した場合に復元を提供するため、ネット ワークとブレード サーバ相互接続の間の接続それぞれがボンディングされたリンクで構成さ れていることを、確認してください。 図 14: 通常のネットワーク接続 - 復元モード 表 11: キー LAN リンク(LAN1 、LAN2 、または OOB ネットワークのいずれか) 内部スキャン ネットワーク ボンディングされているリンク STP に通常ブロックされているリンク 1 外部ネットワーク 2 ネットワーク インフラストラクチャ 3 (LAN1 のために)相互接続 1 、(LAN2 または OOB のために)相互接続 3 4 (LAN1 のために)相互接続 2 、(LAN2 または OOB のために)相互接続 4 5 管理ブレード McAfee Content Security Blade Server 85 復元モードの動作 復元モードへの動作の移行 6 フェールオーバー管理ブレード 7 スキャン ブレード 注意: 簡単にするため、この図は 1 つの LAN/OOB パスのセットのみを示しています。LAN1 、LAN2 、および OOB のパスは類似しています。 復元モードへの動作の移行 ブレードに電源投入 ® このタスクを使用して、McAfee Content Security Blade Server 内のすべてのブレードに電 源を提供します。 開始する前に 本書の復元モードへの動作の移行セクションのタスクをすべて完了したか確認してください。 タスク 1 管理ブレードの電源ボタンを押します。 2 管理ブレードが起動シーケンスを完了した後、フェールオーバー管理ブレードの電源ボ タンを押します。 3 管理ブレード、およびフェールオーバー管理ブレードが両方ともブートアップ シーケン スを完了した後、コンテンツ スキャン ブレードの電源オンを開始できます。 注意: 出力スパイクを防止するために、McAfee は電源を次のコンテンツ スキャン ブ レードに適用する前に、各コンテンツ スキャン ブレードの起動シーケンスを完了させ ることをお勧めします。 復元モードへの動作の移行 86 McAfee Content Security Blade Server トラブルシューティング このセクションでは、既存のネットワークにデバイスを組み込む際に起こりうる問題点につ いて説明します。 トラブルシューティング ツールを使用するには、ナビゲーション バーで[トラブルシュー ティング]を選択します。 よくある質問(FAQ) ブレード特有のトラブルシューティング システム構成 スパム対策 ウイルス対策の自動更新 配信 ディレクトリ ハーベストの防止が機能しない 電子メールの添付ファイル ICAP メールに関する問題 POP3 全般的な問題 システムのメンテナンス その他の情報 - リンク バー ブレード特有のトラブルシューティング ® 次のトピックには McAfee Content Security Blade Server 特有のトラブルシューティング 情報が含まれています。 • 外部モニタリング システム • ネットワーク インターフェース カード ステータス • システム イベント 外部モニタリング システム McAfee は Content Security Blade Server 格納装置内の問題または障害の高度な警告を得 るために、専用のモニタリング システムを構成することをお勧めします。 格納装置および相互接続の状態は Simple Network Management Protocol(SNMP)を使用する ことによって直接監視することが可能で、Integrated Lights-Out モジュールはいかなるエ McAfee Content Security Blade Server 87 トラブルシューティング システム構成 ラーが発生した場合に SNMP トラップを送信するように構成することが可能です。Email and Web Security ソフトウェアも SNMP で監視が可能です。 ネットワーク インターフェース カード ステータス 各ブレードのネットワーク インターフェース カードのリンク ステータスは Email and Web Security Appliance ソフトウェア ユーザ インターフェースの[システム]、[クラスタ管 理]、[負荷分散]から入手可能です。 システム イベント Email and Web Security Appliance ソフトウェア ユーザ インターフェースから[レポー ト]、[システム レポート]を使用して、ブレード モニタリング システム、および相互接 続構成システムからの情報を表示できます。 システム構成 FTP プロトコルを無効にしたにもかかわらず、ユーザがブラウザで FTP を利用している ブラウザの FTP プロキシの設定を確認してください。Internet Explorer の場合、[ツール]、 [インターネット オプション]、[接続]、[LAN の設定]、[プロキシ サーバ]、[詳細] の順に 選択します。 アプライアンスでは、HTTP プロトコル ハンドラ上での FTP をサポートしています。そのた め、FTP プロキシがポート 80 を使用するよう設定すると、ユーザは FTP を使用することが できます。 注意: これは FTP ダウンロードのみです。HTTP 上での FTP アップロードはサポートして いません。 透過的 Web 認証 Kerberos を使用した透過的 Web 認証の構成方法を教えてください ブレード サーバで Kerberos を使用して透過的 Web 認証を構成する場合、管理ブレードと フェールオーバー管理ブレードと別々にログインして、それぞれに Kerberos を構成します。 これは次の理由により、管理ブレードとフェールオーバー管理ブレードとの間で自動的に認 証情報が同期化されないからです。 透過型ブリッジ モードを使用している場合、管理ブレードとフェールオーバー管理ブレード の両方で動作するキータブを作成することができません。 この理由は、キータブには管理ブレードの IP アドレスまたはフェールオーバー管理ブレー ドの IP アドレスに解決するための、ブレード サーバのホスト名が含まれているからです。 Kerberos を透過型ブリッジ モードで動作するよう構成するには、2 つのキータブを作成し、 1 つには管理ブレードの IP アドレスとホスト名、そしてもう 1 つにはフェールオーバー管 理ブレードの IP アドレスとホスト名が含まれるようにします。それぞれのキータブを関連 する管理ブレードにインポートします。 注意: これは明示的プロキシ モードあるいは透過型ルータ モードの問題ではなく、ブレー ド サーバが現在有効な管理ブレード用に仮想 IP アドレスを使用するからです。 88 McAfee Content Security Blade Server トラブルシューティング スパム対策 NTLM を使用した透過的 Web 認証の構成方法を教えてください ブレード サーバで NTLM を使用して透過的 Web 認証を構成する場合、管理ブレードとフェー ルオーバー管理ブレードと別々にログインして、それぞれに NTLM を構成します。これは次 の理由により、管理ブレードとフェールオーバー管理ブレードとの間で自動的に認証情報が 同期化されないからです。 NTLM を使用して認証を行うには、ブレード サーバが NTLM ドメイン コントローラに接続で きるようにするためユーザ名とパスワードを入力する必要があります。セキュリティ上の理 由により、ユーザ名とパスワードはブレード サーバには保存されません。 管理ブレードとフェールオーバー管理ブレードに別々にログインして、ドメイン コントロー ラに接続する必要があります。どちらの場合も、初期の構成ではユーザ名とパスワードを適 用するだけです。 注意: McAfee では、管理ブレードを構成した後でフェールオーバー管理ブレードにログイン することをお勧めします。インターフェースには、キータブをインポート、または NTLM ド メイン コントローラを連結することを確認する警告メッセージが表示されます。 スパム対策 RBL サーバ チェックを使用してスパムを拒否するようアプライアンスを構成したが、それで も数件のスパム メールが届く。 完全に有効なスパム対策ソフトウェアはありません。どのソフトウェアでも、すべてのスパ ム電子メール メッセージをブロックすることは保証できません。アプライアンスでは、既知 の電子メール不正使用者と使用されているネットワークのリストを使用しています。このリ ストを使用することで、不審な電子メール メッセージを大幅に減らすことができますが、リ ストは完全なものではありません。 スパムの特定の送信者をブロックするには、その送信者の電子メール アドレスを[拒否する 送信者]リストに追加してください。 [電子メール]、[電子メールの構成]、[電子メールの受信]、[許可と拒否の リスト][+]許可およびブロックされた送信者] 通常の電子メール メッセージが届かない。 以下の理由により、通常の電子メール メッセージが届かない場合があります。 • 電子メール メッセージの送信者が[ブロックされた送信者]リストに指定されている可 能性があります。次の手順を実行してください。 • [ブロックされた送信者]リストで、必要な電子メール メッセージがブロックされて いないか確認します。たとえば、ドメインやネットワーク全体を拒否するのではなく、 特定の電子メール アドレスを拒否するように設定する必要があります。 • [許可送信者]リストに該当する送信者、ドメイン、またはネットワークを追加しま す。アプライアンスでは、このリストにある送信者、ドメイン、ネットワークからの電 子メールは、スパムかどうかスキャンしません。[許可送信者]リストのエントリは、 [ブロックされた送信者]リストのエントリより優先されます。 • 電子メール メッセージを送信した送信者または組織が、既知のスパム送信元を確認する ために使用しているリアルタイムのスパム対策チェック リストに指定されている可能性 があります。このため、電子メール メッセージがブロックされています。 McAfee Content Security Blade Server 89 トラブルシューティング スパム対策 • スパムのブロックと通常の電子メール メッセージの許可を調整する必要があります。た とえば、スパムを含む可能性が低い電子メール メッセージをアプライアンスでブロック するように設定すると、通常の電子メール メッセージがブロックされる危険性がありま す。必要な電子メール メッセージをブロックしてしまうよりは、一部のスパムを許可す る方が危険性は低いと考えられます。 • 電子メール メッセージにウイルスや怪しいプログラムが含まれている可能性があります。 この場合、ウイルス対策スキャンによって電子メール メッセージがブロックされます。 [電子メール]、[電子メールの構成]、[電子メールの受信]、[許可と拒否の リスト] ユーザにスパムが届いてしまう。 以下の理由により、ユーザにまだスパムが届いてしまう場合があります。 • スパムを含む可能性があるすべての電子メール メッセージを完全にブロックできるスパ ム対策ソフトウェアはありません。スパムの検出とブロックを最大限に利用するには、ア プライアンスで最新のスパム対策エンジン、スパム対策ルール、Extra ルール ファイル を使用していることを確認してください。不審な電子メールをブロックするすべての機能 を使用するようにするには、「送信者認証およびレピュテーション」を参照してくださ い。 • アプライアンスでストリーミング メディアの通過を許可しています。 ストリーミング メディアはアプライアンスでスキャンされないため、ストリーミング メ ディアがアプライアンスを通過できるようにすると、セキュリティ上のリスクが伴いま す。application/octet-stream または application/* タイプのストリーミング メディ アがアプライアンスを通過できないようにすることをお勧めします。これらの MIME タイ プは実行可能であり、セキュリティ上のリスクが伴うためです。 • スパム対策ポリシーをより厳しく設定しなければならない可能性があります。たとえば、 ユーザが受信する前により多くの電子メール メッセージをスパムとしてマークしたり、 アプライアンスでスパムをブロックすることをお勧めします。 • 電子メール メッセージの送信者が、[許可送信者]リストに指定されている送信者、ド メイン、またはネットワークである可能性があります。リストを調べて、それらの送信元 からの電子メール メッセージに対してスパム対策スキャンを本当に行わなくてもよいか どうかを確認してください。リストのエントリを調整することをお勧めします。たとえ ば、ドメインまたはネットワーク全体を許可するのではなく、個別の電子メール アドレ スを許可するように指定してください。[許可送信者]リストを参照してください。 • 電子メール クライアント ソフトウェアでは、不審なメッセージがスパム フォルダに自 動的に移動されるわけではありません。そのため、ユーザの受信トレイに引き続きスパム が配信されています。メール クライアントの設定方法については、「メール クライアン トの構成 」を参照してください。 • 電子メール メッセージのサイズが制限値を超えたために、スパム スキャンが実行されて いない可能性があります。サイズを変更するにはスパム対策設定の詳細オプションを参照 してください。 • 電子メール メッセージが、スパム対策ソフトウェアが有効になっているアプライアンス を通過していません。 [電子メール]、[電子メールの構成]、[電子メールの受信] 90 McAfee Content Security Blade Server トラブルシューティング ウイルス対策の自動更新 特定のタイプのスパムをブロックする方法を知りたい。 ブレード サーバは、スパム対策エンジンとスパム検出ルールを頻繁にアップデートします。 スパムの検出とブロックを最大限に利用するには、以下のことを確認してください。 • アプライアンスで、最新バージョンのスパム対策エンジンとスパム対策ルールを使用して いる。 • アプライアンスが、ストリーミング メディアの通過を許可するように構成されていない。 [システム]、[コンポーネントの管理]、[更新ステータス] ユーザのメールボックスがいっぱいになってしまう。 ユーザがメールボックスのスパム フォルダに自動的にスパムを転送している場合、メール ボックスがすぐにサイズの制限に達してしまう可能性があります。ユーザに、定期的にスパ ム用フォルダを確認し、不要なスパムを削除するよう確認してください。 ウイルス対策の自動更新 即時アップデートをリクエストしても何も起こらない。DAT のアップデート時期を確認した い。 DAT ファイルがダウンロードされ、チェック後に適用されます。確認もされずにただ追加さ れるわけではありません。アプライアンスは更新が完了するのを待ちはしませんが、更新は バックグランドで開始されます。高速のインターネット接続でも更新に数分かかる場合があ ります。 アプライアンスによって新しい DAT ファイルが正しくインストールされるとすぐに、インス トールされた DAT ファイルのバージョン番号が表示されます。 [システム]、[コンポーネントの管理]、[更新ステータス] [ダッシュボード]、[システムの状態 - 更新] 配信 メールの配信に問題がある場合、何を確認すればよいか。 内部メール サーバに受信メールが届かない場合は、このメール サーバが電子メールをアプ ライアンスから受信するように構成されているかどうかを確認してください。 電子メールの配信に使用されるローカル ドメインの一覧では、すべてに対応するワイルド カード ルールを指定しないでください。代わりに代替リレーを有効にし、一覧でこれを指定 してください。 McAfee Content Security Blade Server 91 トラブルシューティング ディレクトリ ハーベストの防止が機能しない [電子メール]、[電子メールの構成]、[電子メールの受信]、[不正中継対策 設定] ディレクトリ ハーベストの防止が機能しない ディレクトリ ハーベストの防止を正しく機能させるには、SMTP での通信中に電子メール サーバが有効な受信者を確認し、配信不能レポートを送信する必要があります。 SMTP の構成によって、一部の電子メール サーバでは「User unknown」エラーが送信されま せん。これには次のような電子メール サーバが該当します(ただし、これらのサーバに限り ません)。 • Microsoft Exchange 2000 および 2003(デフォルト構成の場合) • qmail • Lotus Domino 使用している電子メール サーバのマニュアルを確認して、メッセージが不明な受信者に送ら れた場合に SMTP カンバセーションの一部として、「550 受信者アドレスが拒否されました: 不明なユーザ」レポートが送信されるように電子メール サーバが設定されているかどうかを 確認してください。 LDAP 統合によって、この問題を回避できます。 電子メールの添付ファイル ブロックする添付ファイル数を少なく設定すると、アプライアンスはすべての電子メールを ブロックする この設定の目的は、帯域幅を消耗する大量のファイルが添付された電子メール メッセージを ブロックすることです。 一部のメール クライアント(Outlook Express など)では、添付ファイルに特別な情報が保 存されたり、メッセージの本文が埋め込まれたりします。 設定した数が少なすぎると、通常の電子メールまでが拒否される可能性があります。 [電子メール]、[電子メール ポリシー]、[スキャン ポリシー[コンテンツ] - メール サイズによるフィルタリング]、[添付ファイル数] EICAR(ウイルスのテスト)やブロックされるべきコンテンツが通過してしまう アプライアンスがメールのパスにあることを確認してください。電子メールのヘッダで確認 できます(Outlook では、[表示]、[オプション]、[インターネット ヘッダ]の順に選 択します)。 アプライアンスがメール パス内にあれば、ヘッダは[受信済み:from sender by appliance_name via ws_smtp]の形式で表示されます([sender]と[appliance_name]は それぞれ送信者名とアプライアンス名で置き換えられます)。 92 McAfee Content Security Blade Server トラブルシューティング ICAP アプライアンスがウイルスを検出すると、不正なコンテンツの通知が届く この問題は、HTML テンプレートの警告ページとコンテンツ スキャン ルールの競合が原因で 発生することがあります。 たとえば、[ウイルス]という単語に対してコンテンツ フィルタを行っているのに、ウイル ス検出時に「ウイルスが検出されました」と警告する HTML テンプレートを同時に設定して いるような場合です。ウイルスを含む受信メッセージがトリガとなり、「ウイルスが検出さ れました」というメッセージに置き換えられます。置換されたこのメッセージがコンテンツ フィルタを通過すると、[ウイルス]という単語がトリガとなって、メッセージがウイルス 通知ではなく不正なコンテンツの通知に置き換えられます。 [電子メール]、[電子メール ポリシー]、[スキャン ポリシー] インターフェースにログオンすると、アプライアンスの応答が遅くなる 接続元のブラウザがアプライアンスをプロキシとして使用していないか確認してください。 Internet Explorer の場合、[ツール]、[インターネット オプション]、[接続]、[LAN の設定]の順に選択し、[プロキシ サーバを使用する]の選択を解除してください。 アプライアンスで DNS の設定を確認します。[DNS サーバ]フィールドに、有効な DNS サー バの IP アドレスが入力されている必要があります。また、このサーバはアプライアンスか らアクセスが可能である必要があります。 アプライアンスに大きな負荷がかかっている場合は、インターフェースからの応答に時間が かかります。帯域外管理使用の検討してください。 [システム]、[アプライアンス管理]、[DNS とルーティング] [システム]、[アプライアンス管理]、[リモート アクセス]、[帯域外管理] ICAP ICAP サービスが見つからない このセクションでは、ICAP サービスの設定時や再構成時に発生する主な問題について説明し ます。 ICAP クライアントがリクエストされたサービスを見つけられない場合は、以下の項目を確認 してください。 • ICAP クライアントが有効な ICAP サービスをリクエストしているかどうか。ICAP クライ アントの構成時に、サービス パスを間違えて入力する場合があります。サービスのパス はスラッシュ(/)で開始され、大文字小文字が区別されます。正しいパス名を使用して いるかどうかを確認してください。たとえば、パス/REQMOD とパス /REQMOD/ は異なりま す。 • ICAP サービスがアプライアンスでサポートされているかどうか、リクエストされたサー ビスがアプライアンスで無効にされていないかどうか。 注意: すべての ICAP verb をサポートしていない ICAP サーバもあります。たとえば、 一部の ICAP クライアントでは REQMOD verb のみサポートされています。デフォルトで McAfee Content Security Blade Server 93 トラブルシューティング メールに関する問題 は、アプライアンスは REQMOD、RESPMOD、および OPTIONS verbs をサポートします。し かし、REQMOD と RESPMOD サービスは、アプライアンスで無効にすることができます。 • ICAP クライアントと ICAP サーバ間のネットワーク接続が機能しているかどうか。ping テストを行います。 [トラブルシューティング]、[ツール]、[Ping と Traceroute] アプライアンスの接続が無効 アプライアンスに有効な接続がない場合、ICAP プロトコルの再起動が必要になる場合があり ます。 ICAP ステータス コードについて ICAP ステータス コードのこのリストは、製品リリース時のものです。ステータス コードが テーブルに記載されていない場合は、ICAP RFC 標準で最新の情報を参照してください。 表 12: ICAP ステータス コード コード 説明 100 ICAP プレビュー後に継続します。 200 OK。このリクエストは、アプライアンスによって認識され、応答されます。 204 変更は必要ありません(または、204 コンテンツがありません)。 400 無効なリクエストです。 404 ICAP サービスが見つかりません。 405 このサービスでは許可されていないメソッドです。たとえば、REQMOD のみサポートするサービスに対す る RESPMOD リクエストなど。 408 リクエストがタイムアウトになりました。ICAP サーバは ICAP クライアントからのリクエストの待機を 中止します。 500 ICAP サーバのエラー。たとえば、ICAP サーバがディスク容量を使い果たすなど。 501 メソッド(verb)が実装されていません。 502 無効なゲートウェイです。 503 サービスの負荷が高くなっています。ICAP サーバ はサービスに割り当てられた接続数の制限を超えまし た。今後 ICAP クライアントがこの制限を超えないようにしてください。 505 この ICAP バージョンは ICAP サーバでサポートされていません。 メールに関する問題 送信者名を指定して不正中継をブロックできないのはなぜか スパム対策では送信者ベースでブロックを行うのに対し、不正中継対策ではシステム間でブ ロックを行います。 スパム対策の構成では、送信者に基づいてメッセージをブロックします。一方、不正中継対 策は、アプライアンスがメールを配信するドメインとネットワークを使用して構成されます。 94 McAfee Content Security Blade Server トラブルシューティング POP3 [電子メール]、[電子メールの構成]、[電子メールの受信]、[不正中継対策 設定]、[電子メール中継] [電子メール]、[電子メール ポリシー]、[スキャン ポリシー]、[スパム] ディレクトリ ハーベストの防止が機能しない ディレクトリ ハーベストの防止を正しく機能させるには、SMTP での通信中に電子メール サーバが有効な受信者を確認し、配信不能レポートを送信する必要があります。 SMTP の構成により、電子メール サーバから「User unknown」エラーが送信されない場合が あります。これには次のような電子メール サーバが該当します(ただし、これらのサーバに 限りません)。 • Microsoft Exchange 2000 および 2003(デフォルト構成の場合)。 • qmail • Lotus Domino 使用している電子メール サーバのマニュアルを確認して、メッセージの宛先が不明な場合に SMTP 通信で[550 Recipient address rejected:User unknown]レポートが送信されるか確 認してください。 LDAP 統合によって、この問題を回避できます。 [電子メール]、[電子メールの構成]、[電子メールの受信]、[受信者の認 証]、[ディレクトリ ハーベストの防止] メール サーバ間で複製が機能しない 2 つの Microsoft Exchange サーバの間でアプライアンスが動作する場合は、アプライアン スで Extended SMTP(ESMTP)電子メール ヘッダをブロックしないよう設定されていること を確認してください。すべての ESMTP 拡張機能の使用を有効にする:X-EXPS、X-LINK2STATE、 XEXCH50、および CHUNKING。 [電子メール]、[電子メールの構成]、[プロトコル構成]、[プロトコル設 定]、[透過型オプション]、[詳細オプション] POP3 専用の POP3 接続を設定したところ、POP3 が機能しなくなった 汎用サーバと専用サーバが同じポートを共有していないことを確認してください。POP3 のデ フォルト ポート番号は 110 です。専用サーバは汎用サーバより優先されます。 [電子メール]、[電子メールの構成]、[プロトコル構成]、[プロトコル設 定]、[POP3 プロトコル設定] McAfee Content Security Blade Server 95 トラブルシューティング 全般的な問題 Outlook Express を使用して POP3 でメールを取得する際に、タイムアウト メッセージが表 示され、[キャンセル]または[待機]を選ぶよう指示されることが時々ある アプライアンスは、メール メッセージを Outlook Express に渡す前に、メッセージ全体を ダウンロードしてスキャンする必要があります。メッセージのサイズが大きい場合や、メー ル サーバの速度が遅い場合は、時間がかかることがあります。[待機]をクリックして、ア プライアンスでメッセージの処理が終わるまで Outlook Express を待機させてください。 POP3 メール メッセージが 2 通届くことがある 一部のメール クライアントでは、タイムアウト処理を正確に行うことができません。アプラ イアンスが非常に大きいサイズのメッセージのダウンロードとスキャンを行う場合、応答の 待機中にクライアントがタイムアウトすることがあります。 ダウンロードを待つか、キャンセルするかを確認するポップアップ ウィンドウが表示されま す。[キャンセル]を選択し、再度ダウンロードしようとすると、メールボックスにメッセー ジが 2 通表示されることがあります。 全般的な問題 ブラウザの[戻る]ボタンを使用しても、前の画面に移動しない これは、Web ブラウザの既知の問題です。McAfee では、アプライアンス インターフェース の右上にある[戻る]矢印をクリックすることをお勧めします。 システムのメンテナンス アプライアンスが HotFix ファイルを受け付けない HotFix ファイルは、アプライアンスにコピーするまで解凍しないでください。アプライアン スでは、入手時のままのファイル(拡張子が .ZIP)しか使用できません。 [システム]、[コンポーネントの管理]、[パッケージ インストーラ] アプライアンスのログ ファイルのサイズを制御する方法を教えてください アプライアンスでは、内部ディスクのパーティション(/log)にテキストのような(XML)形 式でログ ファイルが保存されます。デフォルトでは、ログは数日おきにパージされます。領 域がいっぱいに近づくと(通常は 75% ~ 90%)、警告が表示されます。 McAfee では次のことを行うようお勧めします。 • ログ パーティションの使用率の割合を検索する。 • ログ ファイルのサイズを制限し、定期的にログのバックアップを取得する。 • 警告レベル(使用率)を調整する。 96 McAfee Content Security Blade Server トラブルシューティング その他の情報 - リンク バー [トラブルシューティング]、[ツール]、[ディスク容量] [システム]、[クラスタ管理]、[バックアップおよび復元の構成] [ダッシュボード]、[システムの状態]、[編集] その他の情報 - リンク バー アプライアンス インターフェース ウィンドウのリンク バーには、詳細情報へのリンクが用 意されています。次の作業を行うことができます。 • McAfee のオンライン ウイルス情報ライブラリにアクセスして、特定のウイルスに関する 詳細情報を参照する。 • ウイルスのサンプルを解析用に McAfee に送信する。 • McAfee テクニカル サポートに問い合わせる。 詳細については、オンライン ヘルプを参照してください。 McAfee Content Security Blade Server 97 付録 このセクションはブレード サーバを設置および構成する際に参考資料として役立つ情報を提 供しています。 目次 相互接続の基本構成の例 シャーシの構成ファイルの例 相互接続の基本構成の例 このページを使用して、復元モードでセットアップする場合のブレード サーバに使用されて いる相互接続の 1 つの基本構成の例を参照します。 注意: ブレード サーバ格納装置内にあるそれぞれの相互接続に基本構成ファイルが必要で す。 相互接続構成例— interconnect_base。n (n = 相互接続番号) version "5.1.3" switch-type "GbE2c L2/L3 Ethernet Blade Switch for HP c-Class BladeSystem" ! ! ! no system bootp hostname "sw1" system idle 60 ! ip dns primary-server 10.9.9.1 ! ntp enable ntp primary-server 10.9.9.1 ntp interval 60 ! system timezone 180 ! Europe/Britain/GB system daylight ! ! ! access user administrator-password "ebfec37e832a822ab6b7a2b7409a21d800e2b27007bb4b41b7dd3b7827e7ec0f" ! ! 98 McAfee Content Security Blade Server 付録 シャーシの構成ファイルの例 ! ! 付録 シャーシの構成ファイルの例 このページを使用して、復元モードで実行しているブレード サーバのシャーシ構成ファイル の例を参照します。 McAfee Content Security Blade Server 99 付録 シャーシの構成ファイルの例 Interconnect id="1" を表示する chassisconfig.xml の部分の例 100 McAfee Content Security Blade Server 付録 シャーシの構成ファイルの例 McAfee Content Security Blade Server 101 付録 ハードウェア交換手順 付録 ハードウェア交換手順 これらのタスクを使用して障害が出たハードウェア コンポーネントを交換します。 タスク 付録 障害が発生したスキャン ブレードの交換 障害が発生した管理ブレードの交換 障害が発生したフェールオーバー管理ブレードの交換 障害が発生した相互接続の交換 障害が発生したオンボード アドミニストレータ モジュールの交換 障害が発生したスキャン ブレードの交換 このタスクを使用して障害が発生したスキャン ブレードを交換します。 新しいブレードに空のハード ドライブがある場合、ブレードは自動的にスキャン ブレード のイメージをインストールします。そうでない場合、コンテンツ スキャン ブレードへのソ フトウェアのインストールの手順に従ってスキャン ブレードにソフトウェアのインストール を強制します。 102 McAfee Content Security Blade Server 付録 ハードウェア交換手順 タスク 1 ブレードをシャットダウン ブレードが電源オフになるのを待つ 2 電源がオフになったらブレードを交換。 障害が発生した管理ブレードの交換 このタスクを使用して、障害が発生した場合、管理ブレードを交換します。 タスク 1 管理ブレードをシャットダウンします。 2 古い管理ブレードを取り除きます。 3 新しい管理ブレードを挿入します。 4 EWS ソフトウェアをインストールします。ソフトウェアの再インストールおよび管理ブ レードからの構成についての情報はソフトウェアのインストールを参照してください。 5 新しいブレードを管理ブレードとして構成します(必要である場合)。 障害が発生したフェールオーバー管理ブレードの交換 このタスクを使用して、障害が発生した場合、フェールオーバー管理ブレードを交換します。 タスク 1 フェールオーバー管理ブレードをシャットダウンします。 2 古いフェールオーバー管理ブレードを取り除きます。 3 新しいフェールオーバー管理ブレードを挿入します。 4 EWS ソフトウェアをインストールします。ソフトウェアの再インストールおよびフェー ルオーバー管理ブレードからの構成についての情報はソフトウェアのインストールを参 照してください。 5 新しいブレードをフェールオーバー管理ブレードとして構成します(必要である場合)。 障害が発生した相互接続の交換 このタスクを使用して、障害が発生した相互接続を交換します。 相互接続を交換するには、その場で交換用の相互接続を構成するためにシステムのダウン タ イムをスケジュールする、あるいは 2 つ目のブレード サーバを使用して相互接続を実際の システムとは別に構成する必要があります。デフォルトの構成が実行中のネットワーク トポ ロジに妨害する場合があるため、交換用の相互接続はオフラインで構成する必要があります。 スペアのブレード サーバを利用できない場合の相互接続の交換には、以下の手順に従いま す。 タスク 1 すべてのスキャン ブレードをシャットダウンします。 2 フェールオーバー ブレードをシャットダウンします。 3 相互接続の構成ファイルを管理ブレードからダウンロードします(EWS ソフトウェアに 相互接続の自動構成を許可していない場合) McAfee Content Security Blade Server 103 付録 ハードウェア交換手順 4 シャーシを OOB ネットワーク以外(相互接続 1 または 2 を交換する場合)、または LAN1 ネットワーク以外(相互接続 3 または 4 を交換する場合)のすべてのネットワー クから切断して、残りの LAN と 1 つの相互接続の接続のみを残します。 5 相互接続を交換して電源をオンにします。 6 相互接続に適切な IP アドレスがあることを確認します。DHCP および OA モジュールを 介して相互接続に IP アドレスが提供されている場合、自動的にこのようになります。 7 EWS ソフトウェアが相互接続の自動構成を許可されていない場合、相互接続の構成をアッ プロードします。EWS ソフトウェアが相互接続の自動構成を許可されている場合は、EWS GUI またはテキスト モードのコンソールの[相互接続の構成を適用する]ボタンを使 用、または次のコマンドを管理ブレードで実行します。scm /opt/NETAwss/resiliency/apply_chassis_config 8 相互接続がエラーなしで構成を受け入れたことを確認します。 9 ネットワーク接続を復元します。 10 フェールオーバー ブレードおよびスキャン ブレードに電源を投入します。 障害が発生したオンボード アドミニストレータ モジュールの交換 オンボード アドミニストレータ モジュールの交換には HP のドキュメントで正しい手順を 参照してください。 104 McAfee Content Security Blade Server 索引 EICAR テスト ウイルス、電子メールで通過 92 スパム、通常の電子メール メッセージが届かない 89 スパム、特定のタイプをブロック 91 スパム、メールボックスがいっぱいになる 91 スパム、ユーザに届く 90 F て E FAQ 87 FAQ、ICAP 93 FTP、HTTP 経由でアップロード 88 FTP、ブラウザ 88 H HotFix、受け付けない 96 HTTP、HTTP 経由でアップロードできない 88 ディレクトリ ハーベストの防止、機能しない 95 ディレクトリ ハーベストの防止が機能しない 92 テスト ウイルス検出 66 と トラブルシューティング、はじめに 87 は I ハードウェア情報 75 ICAP FAQ 93 ふ L Lotus Domino 95 ブレード サーバ インストール 31 接続 31 P POP3、2 通のメッセージ 96 POP3、機能しない 95 Q qmail、Microsoft Exchange 2000 および 2003 95 い インストール ブレード サーバ 31 め メール、配信に関する問題 91 メール トラフィック テスト 66 メール トラフィックのテスト 66 メールボックスがいっぱいになる 91 よ よくある質問 87 れ う ウイルス、不正なコンテンツを引き起こす 93 ウイルス対策の更新、何も起こらない 91 レポート 60 生成 60 す ろ スパム、RBL 設定したのにスパムが届く 89 McAfee Content Security Blade Server ログ、サイズの制御 96 105 700-2816B16