Forefront Security for Exchange Server 最佳實務 - 部署考量

 

適用於: Forefront Security for Exchange Server

主題上次修改日期: 2007-12-27

若希望整個企業能享有「基本」防護,建議您在所有 Edge 和 Hub Server 上部署 Forefront Security for Exchange Server。在這種組態環境下,所有傳入郵件、外寄郵件和內部郵件全會在轉送過程中於傳輸伺服器上掃描。但是,公用資料夾、寄件備份和行事曆項目之類不會被傳送的物件 (僅能在信箱伺服器上進行掃描),就不會受到保護。在傳輸伺服器上掃描過的內容,一旦傳送到信箱伺服器之後便不會再掃描,因此某些攻擊仍能在傳輸掃描保護下滲透系統。

若希望整個企業能享有「通用」防護,建議您在所有 Edge Server、Hub Server 和 Mailbox Server 上部署 Forefront Security for Exchange Server。若要獲得最佳效能,所有伺服器都應該具有相同保護設定 (雖然 Edge Server 可能會因為要確保所有郵件都能經過多個引擎掃描,而使用較多引擎且偏差設定較大,因此能獲得優勢)。

當郵件送達 Hub 或 Edge Transport Server 後,根據預設,郵件會經過掃描並加上特殊的內部戳記屬性,稱為「AV 戳記」。這個「AV 戳記」屬性 (Exchange 2007 用以降低 Transport 和 Mailbox server role 上的重複掃描) 會附隨於郵件,以避免郵件在不同轉送點和第一次存入儲存庫時重新掃描。雖然有這項最佳化機制,但將 FSE (或任何防毒掃描軟體) 安裝在 Mailbox Server 上之前,您還是應該謹慎規劃容量並評估效能,確保伺服器擁有足夠可用處理容量,以容納防毒掃描工作所造成的額外負載。

Forefront 多引擎架構的多元化可發揮最大防毒保護效用。根據研究指出,利用五個引擎進行掃描,可讓從感染上在外散播的新威脅到至少一家引擎軟體廠商發佈保護簽章這段時間中所產生的攻擊面得以減少。根據預設,Forefront 僅會掃描郵件一次;然而,您最好能排定在 Mailbox Server 上進行背景掃描,定期以最新可用簽章重新掃描。在 Exchange 2003 中,背景掃描僅能掃描整個信箱儲存區,而且掃描時間很長;在 Exchange 2007,增量背景掃描可讓您選擇性地掃描伺服器上某部分最可能感染病毒的郵件。因此,最好能排定在儲存區上定期進行背景掃描,以重新掃描最近兩天收到的項目。中型或大型郵件伺服器大多採用此設定;若是載存較少信箱的小型伺服器,也可以掃描大量選取郵件,在某些情況下,甚至可以在離峰時段每隔 24 小時掃描所有儲存的郵件。設定定期背景掃描的程序如下:

  • 在 [一般選項] 窗格的 [背景掃描] 區段中,選取 [掃描下列時間內收到的郵件:] (請依上述建議指定為 2 天),和 [僅掃描帶有附件的郵件]。

    注意事項注意:
    請注意切勿選取 [僅掃描未掃描的郵件] 設定,否則所有以舊簽章版本掃描過的郵件都不會再掃描。
  • 啟用 [排程工作] 窗格中的 [背景掃描工作],讓該工作在選定的日期和時間執行,並設定其頻率。

    注意事項注意:
    在大型信箱伺服器上,如果選取超過兩天的郵件,背景掃描可能會持續數天。掃描工作可隨時手動停止,只要按下 [排程工作] 窗格中的 [停止] 按鈕即可。
 
顯示: