Forefront Security for Exchange Server 2007
마지막으로 수정된 항목: 2011-01-13
Microsoft Forefront는 기업 고객을 위한 종단 간 보안을 제공하는 포괄적인 통합 보안 제품군입니다. Forefront 제품군은 다음 구성 요소로 이루어져 있습니다.
위치 |
제품 |
클라이언트 |
Microsoft Forefront Client Security |
서버 |
Microsoft Forefront Security for Exchange Server Microsoft Forefront Security for SharePoint Microsoft FrontPage Security for Office Communications Server |
Edge |
Microsoft Internet Security and Acceleration (ISA) Server 2006 Intelligent Application Gateway(IAG) 2007 |
이 항목에서는 Forefront Security for Microsoft Exchange를 중점적으로 다룹니다. 이 제품은 Microsoft Exchange 2000 Server 및 Microsoft Exchange Server 2003용 Microsoft Antigen 제품군의 후속 제품으로 개발되었으며, 저장 및 전송 시 전자 메일을 계층적으로 보호할 수 있는 여러 검사 엔진을 제공합니다.
Forefront Security for Exchange Server의 새 기능
표준 Forefront for Exchange 라이선스에는 다음 바이러스 검사 엔진이 포함되어 있습니다.
Kaspersky Labs
CA의 InoculateIT 및 CA의 Vet
Sophos
Authentium
Ahn Labs
VirusBuster
Microsoft 맬웨어 방지 프로그램 엔진
동시에 실행할 검사 엔진을 전체 시스템에서 다양하게 조합하여 최대 5개까지 구성할 수 있습니다. 이렇게 검사 엔진을 다양하게 조합하여 구성하고 서명을 사용하면 추가 보호 기능이 제공되고 맬웨어 검색 확률이 높아집니다.
Forefront에는 다음 기능도 포함되어 있습니다.
메시징 인프라의 계층적 보호 및 Edge(있을 경우), 허브 및 사서함 역할에서 메시지 트래픽에 대한 검사점
각 메시지에 작성되며 Edge 또는 허브 전송에서 처음으로 검색되는 보안 바이러스 백신 헤더 스탬프
참고
메시지 검색 효율성을 높이기 위해 이후에 허브 또는 저장소에서 검색할 때 스탬프가 확인됩니다. 관리자가 명시적으로 검색을 요청하지 않았거나 서명이 업데이트되지 않은 경우 이 프로세스에서는 다시 검색이 수행되지 않습니다.
두 노드에서 구성과 서명이 업데이트되도록 Microsoft Exchange Server 2007 SCC 및 CCR 구성 지원
참고
Exchange 클러스터 장애 조치(failover)는 메시지 트래픽 보안에 영향을 주지 않습니다. 또한 한 검사 엔진에서 오류가 발생해도 다른 검사 엔진에는 영향을 주지 않습니다.
동작 특징을 기반으로 악성 코드를 검색하는 추론적 기능(파일 이름, 확장명 등을 기준으로 파일/첨부 파일 필터링)
Enterprise CAL을 사용하도록 설정하면, Exchange Server 2007 IP 신뢰도 필터, 매일 자동화되는 콘텐츠 필터링 업데이트, 매일 여러 번 대상이 지정되는 스팸 서명 데이터 등의 고급 스팸 방지 기능 제공
광범위한 보고 및 분석 기능(메시지 보낸 사람 또는 받는 사람에 대해 사용자 지정 가능한 알림)
대규모 환경에서의 중앙 집중식 배포, 구성 및 업데이트 기능을 제공하는 단일 콘솔
참고
11개 언어로 지역화됩니다. 그러므로 관리자는 자신의 로컬 언어로 전자 메일 보안을 관리할 수 있습니다.
일반적인 Forefront for Exchange 구성
Edge 전송, 허브 전송 및 사서함 서버에서 Forefront 검색이 가능합니다. 사용자가 받는 이 토폴로지의 모든 메시지는 메시지 출처에 따라 Edge 전송 또는 허브 전송에서 검색됩니다. 예를 들어 외부의 받는 사람이 보내는 메시지는 받는 사람에게 배달되기 전에 Edge 전송 서버에서 검색됩니다.
내부의 보낸 사람이 보내거나 통합 메시징 서버에서 보내는 메시지는 배달 경로의 첫 번째 허브 전송 서버에서 검색됩니다. 사용자 사서함과 공용 폴더는 사서함 서버의 저장소 수준에서 사전에 또는 사후 대응 방식으로 검색할 수도 있습니다.
Forefront Security for Exchange 설치
Forefront for Exchange 서버 설치를 위한 최소 시스템 요구 사항은 다음과 같습니다.
Intel EM64T 또는 AMD64 플랫폼을 지원하는 프로세서가 내장된 X64 아키텍처 컴퓨터
Windows Server 2003
Microsoft Exchange
1GB의 RAM 권장(사용이 허가된 검사 엔진을 추가하려면 RAM 추가 필요)
사용 가능한 하드 디스크 공간 300MB
설치 프로그램을 실행하는 로컬 컴퓨터에 FrontPage for Exchange를 설치할 수 있습니다. 또한 효율적인 배포를 위해 원격 컴퓨터에 프로그램을 설치할 수 있습니다. 그리고 "클라이언트 – 관리 콘솔 전용" 설치를 수행하면 관리자가 워크스테이션에 Forefront 관리 콘솔을 설치할 수 있습니다.
설치 프로그램을 실행하면 엔진 선택 화면에 항상 Microsoft 맬웨어 방지 프로그램 엔진이 선택됩니다. 또한 이 화면에서 변경할 수 있는, 다른 엔진 4개가 임의로 선택됩니다. 엔진은 최대 5개까지 선택할 수 있습니다. 여기에는 Microsoft 맬웨어 방지 프로그램 엔진이 포함됩니다.
Forefront for Exchange에서는 Windows Server 2003 활성 또는 수동 클러스터가 인식됩니다. 클러스터에서 각 노드에 Forefront for Exchange를 설치해야 합니다. 검색 작업, 알림 등의 모든 구성 데이터와 서명 파일은 CMS(클러스터된 사서함 서버) 개체와 연결됩니다. 그러므로 각 노드에 데이터가 구성되고 복제됩니다. Exchange 서비스 팩과 핫픽스를 적용할 때 Forefront를 Exchange에서 "언후크"하는 것이 좋습니다. FSCUtility 도구를 사용하여 이 작업을 수행할 수 있습니다. 이 도구는 Forefront 설치 폴더에서 제공됩니다. 다음 구문을 사용합니다.
FSCUtility /disable
설치를 완료한 후 다음 구문을 사용하여 Forefront를 다시 사용하도록 설정할 수 있습니다.
FSCUtility /enable
Forefront Security for Exchange 기능
바이러스 검색: Forefront에서는 다양한 유형의 바이러스 백신 엔진과 온 액세스, 수동, 백그라운드 등의 검색 유형을 사용하여 메시지를 검색할 수 있습니다. 검색 시의 편차 수준 및 감염이 발견된 경우 수행할 작업(건너뛰기, 정리, 삭제 등)을 지정할 수 있습니다. Forefront에서는 중첩된 첨부 파일과 압축 파일을 검색할 수 있습니다.
파일 필터링: Forefront에서는 .exe, MP3 등의 파일 형식이나 파일 이름을 기준으로 필터링할 수 있습니다. 필터링된 파일은 격리할 수 있습니다. 보낸 사람과 받는 사람에게 보내는 알림에 사용자 지정 삭제 텍스트를 지정할 수 있습니다.
콘텐츠 필터링: Forefront에서는 들어오는 메시지의 콘텐츠를 보낸 사람 도메인, 제목 줄, MIME 헤더 등을 기준으로 필터링할 수 있습니다. 또한 Forefront에서는 사용자 지정 필터 목록을 만들고 가져올 수 있으며 이 목록으로 콘텐츠를 필터링할 수 있습니다. 메시지 본문의 키워드를 기준으로 메시지를 필터링할 수도 있습니다.
검색 유형
전송 검색: 이 검색은 메시지 경로의 첫 번째 Edge 전송 또는 허브 전송 서버에서 수행됩니다. 메시지가 검색되면 이 메시지에서 보안 바이러스 백신 헤더가 스탬프 처리됩니다. 이후에 다음 허브 전송 또는 사서함 서버에서 검색될 때 이 헤더가 있는지 확인됩니다. 헤더가 있을 경우 메시지가 다시 검색되지 않습니다. 메시지가 저장소로 전송되면 이 헤더 정보가 MAPI 속성으로 추가되며 헤더가 제거됩니다.
저장소 검색: Forefront에는 자동 검색(사용자 일정 지정이나 간섭이 필요 없음)과 필요 시 검색이라는 두 가지 범주의 저장소 검색이 있습니다.
이러한 각 범주에서는 다음과 같은 여러 검색 유형이 지원됩니다.
자동 검색
사전 검색: 메시지가 저장소에 전송되면 즉시 검색됩니다. 기본 구성에는 사전 검색이 사용되지 않습니다.
사전 검색을 사용하도록 설정하려면 다음 레지스트리 키를 설정합니다.
HKEY_Local_Machine\System\CurrentControlSet\Services\MSExchangeIS\VirusScan\
이 하위 키에서 DWORD ProactiveScanning 값을 1로 설정합니다.
사전 검색은 전송 시 검색되지 않는 보낸 편지함, 보낼 편지함, 임시 보관함 및 공용 폴더의 메시지를 보호하는 데 유용합니다.
온 액세스 검색: 사용자나 응용 프로그램에서 메시지에 액세스하면 해당 메시지가 검색됩니다. 예를 들어 Outlook에서 메시지를 미리 보거나, 모바일 장치에서 메시지에 액세스하거나, 콘텐츠 인덱싱을 수행하는 동안 메시지가 검색됩니다. 기본 구성에는 온 액세스 검색이 사용됩니다.
전송 검색에서 이미 검색된 메일은 바이러스 백신 헤더를 기준으로 온 액세스 검색에서 다시 검색되지 않습니다. 온 액세스 검색은 보낸 편지함, 보낼 편지함, 임시 보관함 및 공용 폴더의 콘텐츠 등 대개 전송 시 검색되지 않는 메일을 보호하기 위한 용도입니다.
기본적으로 온 액세스 검색은 어제 안에 받은 메시지로만 제한됩니다. 그러므로 사서함을 Exchange 2007로 마이그레이션하거나 서버에 Forefront를 새로 설치할 경우 검색 요청이 쌓이는 것을 방지할 수 있습니다. 검색 요청이 안정화되면 이 값을 3일-7일로 늘리는 것이 좋습니다.
필요 시 검색
백그라운드 검색: 백그라운드 검색은 정리 역할로 작동하여, 전송 검색에 전혀 노출되지 않는 콘텐츠가 있는 보낸 편지함, 보낼 편지함, 임시 보관함 및 공용 폴더 등의 폴더에서 메시지를 검색하고 정리합니다. 다음을 수행하도록 백그라운드 검색을 구성할 수 있습니다.
사서함의 모든 항목 검색
지난 n일 동안 배달된 항목만 검색
첨부 파일이 있는 메시지만 검색
이전에 검색되지 않은 메시지 검색
기본 구성에서 백그라운드 검색은 매일 한 번 실행됩니다. 그리고 백그라운드 검색에서는 메시지의 이전 바이러스 검색 스탬프를 무시하고 다시 검색합니다.
수동 검색: 필요에 따라 수동 검색 일정(예: 매일, 매주 등)을 지정하거나 필요 시 콘솔에서 수동 검색을 실행할 수 있습니다. 이 프로세스에서는 선택한 사서함의 모든 폴더에 있는 메시지가 모두 검색됩니다. 그러므로 수동 검색을 실행하면 높은 오버헤드가 발생합니다. 수동 검색은 사서함에서 특정 첨부 파일을 검색할 때 가장 많이 사용되며 바이러스를 검사하는 데 반드시 사용하지 않아도 됩니다. 대개 보낸 기밀 문서를 찾는 데 사용됩니다.
빠른 검색: 필요 시 콘솔에서 빠른 검색을 실행할 수 있습니다. 대개 빠른 검색은 특정 사서함이나 공용 폴더에서 파일이나 콘텐츠가 아닌, 바이러스만 검색하는 데 사용됩니다. 이 프로세스에서는 사서함이나 공용 폴더를 검색할 특정 엔진을 선택할 수 있습니다.
바이러스 발생 시 저장소 검색 증가
바이러스가 널리 감염되었거나 의심되는 경우 관리자는 저장소에서의 검색을 늘려야 할 수 있습니다. Forefront에서 다음과 같은 방법으로 검색을 늘릴 수 있습니다.
검색 프로그램 업데이트 시 검색(발생 모드): 이 모드에서는 사전 검색이 자동으로 사용됩니다. 검사 엔진 서명이 업데이트될 때마다 바이러스 엔진 버전 번호가 증가합니다. 전송 검색 바이러스 엔진 버전 번호는 항상 1이기 때문에 저장소에 도달할 때 메시지 바이러스 백신 헤더는 항상 오래된 상태입니다. 그러므로 메시지가 전송될 때 이 헤더로 인해 메시지가 다시 검색됩니다. 조정 기간 동안 엔진이 업데이트된 경우 메시지에 액세스할 때 메시지가 다시 검색됩니다. 이 검색 모드는 서버 성능을 크게 저하시키므로 깊이 고려한 후에만 활성화해야 합니다.
이 기능을 사용하도록 설정하려면 Forefront 관리 콘솔에서 설정과 옵션을 차례로 클릭합니다.
DisableAVStamping: 이 모드에서는 전송 검색 중에 바이러스 백신 검색 헤더를 만들 수 없습니다. 다음 레지스트리 하위 키를 변경하여 DisableAVStamping 모드를 사용하도록 설정할 수 있습니다.
HKLM\SOFTWARE\Wow6432Node\Microsoft\Forefront Server Security\Exchange Server
이 하위 키에서 DWORD DisableAVStamping 값을 1로 설정합니다.
모든 허브 및 Edge 전송 서버에서 이 값을 설정해야 합니다. 전송 시 메시지는 검색되지만 스탬프 처리는 되지 않습니다. 메시지는 "검색되지 않음"으로 표시되어 저장소에 전송됩니다. 그런 다음 메시지에 처음 액세스할 때 메시지가 검색됩니다. 보호를 강화하기 위해 다른 검사 엔진을 사용하도록 전송 검색과 저장소 검색을 구성할 수 있습니다.
[검색 프로그램 업데이트 시 검색]으로 백그라운드 검색(최대 보안 모드): 이 모드는 사용 가능한 모드 중에서 가장 높은 수준의 보안을 제공합니다. 검사 엔진이 업데이트될 때마다 백그라운드 검색이 시작됩니다. 검사 엔진이 업데이트되면 연속하여 사서함이 계속 검색됩니다. 이로 인해, 엔진이 업데이트되기 전에 검색 시 사서함의 초기 단계가 종료되는 문제가 방지됩니다. 엔진이 업데이트되면 검색이 다시 시작되므로 프로세스가 첫 번째 사서함으로 돌아가서 첫 번째 단계에서 모든 사서함을 다시 검색합니다. 그런 다음 이러한 사서함이 반복적으로 검색되며 나머지 사서함은 전혀 검색되지 않습니다. 또한 메시지는 저장소로 전송될 때 검색됩니다. 그런 다음 전송 검색 후 엔진이 업데이트되면 메시지에 액세스할 때 메시지가 다시 검색됩니다. 최대 보안 모드는 모든 검색 모드 중에서 가장 많은 리소스를 사용합니다.
최대 보안 모드는 Forefront 관리 콘솔에서 사용하도록 설정할 수 있습니다. 이렇게 하려면 검색 프로그램 업데이트 시 검색 모드를 사용하도록 설정한 후, [검색 프로그램 업데이트 시 검색]을 사용하는 경우 백그라운드 검색 사용을 선택합니다.
검색: 성능과 보안 비교
Forefront for Exchange에는 검색 성능과 보안 간의 균형을 원하는 대로 유지할 수 있는 Bias라는 매개 변수가 있습니다. 이 매개 변수를 사용할 경우 다음과 같은 이점이 있습니다.
최대 성능: 선택한 엔진 중 하나만 사용하여 모든 항목을 검색하므로 성능은 가장 높지만 확신도가 가장 낮습니다.
권장 우선: 임의로 선택한 검사 엔진 중 원하는 개수만큼(엔진 하나에서 선택한 엔진 중 1/2까지) 사용하여 모든 항목을 검색합니다.
중립: 선택한 엔진 중 최소 1/2 이상을 사용하여 모든 항목을 검색합니다.
확신도 우선: 임의로 선택한 검사 엔진 중 원하는 개수만큼(엔진 하나에서 선택한 엔진 중 1/2까지) 사용하여 모든 항목을 검색합니다.
최대 확신도: 선택한 모든 엔진을 사용하여 모든 항목을 검색하므로 성능은 가장 낮지만 확신도는 가장 높습니다.
여러 보안 모드의 검색 프로세스
모드 |
전송 시 |
저장소에 전송 시 |
처음 액세스 시 |
이후 액세스 시 |
백그라운드 검색 |
기본 작동 모드 |
검색 |
검색 안 함 |
이전에 검색한 경우 검색 안 함 |
검색 안 함 |
매일 한 번 |
발생 모드 |
검색 |
검색 |
검색 안 함 |
이전 검색 후 엔진이 업데이트된 경우 검색 |
매일 한 번 |
최대 보안 모드 |
검색 |
검색 |
이전 검색 후 엔진이 업데이트된 경우 검색 |
이전 검색 후 엔진이 업데이트된 경우 검색 |
엔진이 업데이트될 때마다 |
자세한 내용
여러 가지 검사 엔진에 대한 자세한 내용은 백서, Multiple Scan Engine Advantage and Best Practices for Optimal Security and Performance(영문)를 참조하십시오.
Forefront Security for Exchange Server 사용 방법에 대한 자세한 내용은 다음 항목을 참조하십시오.