Forefront Security For Exchange——企业邮箱的守护神
企业资讯
Forefront是微软为企业用户设计的一个全方位的安全平台,旨在为用户提供从服务器到客户端,从网络边缘到内部计算机的全方位安全解决方案。Forefront系列产品的最大亮点是有一个强大的安全引擎平台,这个平台中包括了9家知名安全厂商提供的安全引擎,换句话说,使用Forefront相当于安装了9家安全公司的杀毒软件而且不会引发彼此间的冲突。管理员可以根据需要选择启用引擎的数量,在性能和安全之间取得平衡。
微软Forefront系列共有6款产品,分别是Forefront Security For Exchange、Forefront Security For Office Communications Server、Forefront Security For Sharepoint、ISA、Host Integration Server以及Forefront Client Security。其中的ISA和Host Integration Server用于保护企业的边缘安全,Forefront Client Security负责保护客户机操作系统,Forefront Client for Exchange用于保护Exchange服务器,Forefront Security For Office Communications Server用于保护即时通信服务器,Forefront Security For Sharepoint则负责Sharepoint网站的安全。
今天笔者就为大家介绍Forefront产品中的Forefront Security For Exchange,这款产品是针对Exchange服务器设计的,可以清除邮件中的病毒、木马等恶意程序,可以根据关键字对邮件进行拦截,还可以限定在邮件中传送的文件类型,功能非常强大。我们知道,Exchange是微软最著名的服务器产品之一,Exchange为很多企业提供了一个“健壮”的大型邮件系统来支撑其业务,如果Exchange的邮件系统中有病毒蔓延,这对企业来说是个非常严重的安全威胁。而且Exchange的邮件存储在数据库中,我们无法用单机版的普通杀毒软件对邮件进行扫描,必须使用专用的安全产品。接下来就通过对Forefront Security For Exchange的一系列体验来看看它的表现到底如何。
Forefront Security For Exchange的部署
首先要进行的是Forefront Security For Exchange的部署。拓扑结构如图1所示,DCSERVER是域控制器兼DNS服务器;WSUSERVER是分发服务器,负责补丁分发;MAILSERVER是Exchange2007服务器,Forefront Security For Exchange部署在MAILSERVER上。
1.笔者在MAILSERVER上放入Forefront Security For Exchange的评估版安装光盘,光盘自动运行后出现Forefront Security For Exchange的安装界面,点击“下一步”继续。
2.在接下来的安装界面中选择“是”同意软件许可协议,继续安装过程,填写完客户信息后点击“下一步”继续。
3.接下来要选择把Forefront安装在本地还是安装在远程计算机上,选择“本地安装”,点击“下一步”继续。选择安装类型时,需要进行Forefront完全安装,也就是安装Forefront管理控制台以及Forefront服务器组件。
4.选择使用Microsoft Update来检查Forefront的病毒库更新状况,选择“安全模式”进行隔离安全设置。
5.接下来安装向导会提示在安装完成后注意升级Forefront的安全引擎,这是可以理解的,不更新引擎的安全软件是无法对抗日新月异的计算机病毒的,点击“下一步”继续。
6.代理服务器的设置是可选项,如果没有使用代理服务器,可以直接跳过此设置,点击“下一步”继续。Forefront的安装路径使用默认设置就可以了。
7.接下来设置Forefront安装的程序文件夹,同样保持默认值。至此,Forefront安装前的信息收集工作已经结束,点击“下一步”开始安装。
Forefront的安装过程并不复杂,很快就会出现安装结束的提示界面,点击“完成”按钮就可以顺利结束Forefront Security For Exchange的部署了。
反病毒测试
完成了Forefront Security For Exchange(以下简称Forefront)的部署后,接下来首先要对Forefront进行反病毒能力的测试,看看用户在邮件中夹带病毒时能否被Forefront查杀拦截,这个功能应该是Forefront的最基本功能。
在Mailserver上依次点击“开始→程序→Microsoft Forefront Server Security→Exchange Server→Forefront Server Security管理员程序”,就会看到如图2所示的Forefront的管理界面。切换到“设置”选项中的“防病毒”标签,可以在右侧窗口选择使用哪些病毒扫描引擎。如果觉得手工选择引擎比较麻烦,也可以同时针对Forefront的工作风格进行设置。如果Forefront的风格偏向“性能”,那Forefront就会倾向于使用少一些的杀毒引擎。如果Forefront的风格偏向“确定性”,Forefront就会尽量使用多一些的杀毒引擎来进行扫描。一般情况下,我们选择“无偏向”的风格即可,这样设置的平衡性较好。
Forefront引擎扫描到病毒后默认会进行“修复”操作。修复操作其实是把附件中的病毒删除掉,然后换成Forefront设置的一个文本文件。文件内容提示用户邮件中有某某病毒,已经被Forefront扫描到并对病毒进行了隔离,并非Forefront能把病毒修复成正常的程序。
在进行病毒测试之前,笔者先在Forefront的管理工具中切换到“扫描程序更新”,选择把病毒引擎升级到最新版本。然后开始进行病毒测试,让张三给李四发一封邮件,邮件的附件中有一个压缩文件eicar-com.zip,这个压缩文件中有一个用于测试杀毒软件的文件ercai.com,看看Forefront能不能把这个藏在压缩文件中的测试病毒找出来。
测试结果是这样的:李四收到了张三的邮件,但邮件的附件大小似乎不太对劲,这是为什么呢?打开邮件中的附件就明白了,附件中显示的仍然是张三发送的压缩文件eicar-com.zip,但这个文件中的内容改变了,如图3所示,附件中原有的eicar.com被换成了一个文本文件,文件中提示邮件有病毒而且病毒已经被隔离了。看来,Forefront对病毒的反应还算不错,虽然这只是个测试病毒,但联想到微软前不久发布的免费杀毒软件MSE在PCSL的评测中都获得了五星的高分,大家对收费的Forefront的反病毒能力就不用太怀疑了。
那么病毒被隔离到什么地方去了呢?打开Forefront管理工具,在“报告”菜单中找到“隔离”选项,就可以发现被隔离的病毒文件了。
关键字过滤测试
测试完Forefront的反病毒能力后,接下来测试一下Forefront的关键字过滤能力。Forefront可以根据关键字对邮件内容进行过滤,筛除一些包含不良内容的电子邮件。下面我们通过一个例子为大家介绍如何实现关键字过滤功能。
在MAILSERVER上打开Forefront管理工具,出现如图4所示的Forefront管理界面。在管理界面中切换到“筛选”菜单中的“筛选器列表”,在右侧的列表类型中选择“关键字”,这时发现关键字列表为空,Forefront没有预设关键字。点击界面下方的“添加”按钮,准备自定义一个关键字列表。
我们把关键字列表命名为“TEST”,点击列表下方的“编辑”按钮,在关键字列表中添加一个关键字“色情”。添加完关键字列表后,在Forefront管理工具中切换到“筛选”菜单中的“关键字”, 把“TEST”关键字设置为“已启动”。Forefront启用关键字筛选后如果发现有邮件符合筛选要求,默认操作是对邮件进行标示操作,也就是把这封邮件标注为可疑邮件,我们也可以对此类邮件使用更激进的删除操作。
开始测试,还是让张三给李四发一封邮件,邮件内容是“色情”。很快,我们发现李四收到了张三的邮件,但是邮件被标示为“可疑”,这就是Forefront所进行的邮件标示操作。邮件可疑的原因可以在Forefrong管理工具的“报告”菜单下的“隔离”中找到,这里会显示邮件内容和哪个关键字列表发生了冲突。
限制文件发送测试
Forefront Security For Exchange除了可以清除邮件中的病毒、过滤邮件中的关键字,还可以限制邮件中附件的文件类型。例如,我们可以限制不允许在邮件中发送压缩文件、音频文件、视频文件等。而且,Forefront限制文件的准确率比较高,Forefront不是根据文件名进行限制,而是通过文件开头的信息判断出文件类型。
我们在MAILSERVER上打开Forefront的管理工具,切换到“筛选”菜单下的“文件”,点击“添加”按钮创建一个文件名列表。我们把这个文件名列表命名为*.*,这表示这个列表对附件中的任何文件名都起作用。如果我们把文件列表名称改为*.rar,那显然只会限制附件中扩展名为rar的文件。
接下来,在文件名列表的右侧菜单中把此列表限制的文件类型设定为BMP位图类型,文件筛选器设定为启用,操作设定为“移除内容”,这意味着Forefront发现邮件的内容中有被限制的BMP位图文件后,将把文件从邮件中删除,放到隔离区。
设置完成后,还是让张三给李四发送一封邮件,邮件中的附件是一个BMP位图文件,我们来观察一下Forefront会对邮件进行什么样的操作。测试的结果是,李四收到的邮件附件中原有的位图文件被替换成了一个文本文件。文件中提示由于附件中的文件和我们设定的筛选规则有冲突,因此文件被Forefront隔离起来了。
再来测试一下Forefront对文件的识别能力,我们继续让张三给李四发送一封邮件,邮件附件中仍然是一个BMP位图文件,但张三在发送附件时把文件扩展名改为了JPG。测试的结果让我们很满意,Forefront准确地识别出了文件类型,把这个“山寨版”的JPG文件拦在了门外。显然,Forefront在判断文件类型时不是单纯地依靠文件的扩展名。
通过上述的测试,我们看到了Forefront在邮件安全方面的强大功能,加上Forefront和微软产品良好的兼容性(如Forefront可以通过WSUS服务器更新安全引擎,可以利用SQL Server生成报表,可以结合Active Directory进行策略控制),因此我们完全可以认为,Forefront Security For Exchange是Exchange服务器的最佳安全搭档,Forefront产品将拥有广泛的应用前景。