McAfee Content Security Blade Server Guía de instalación

Transcripción

1 Guía de instalación

2 COPYRIGHT Copyright 2011 McAfee, Inc. Reservados todos los derechos. Queda prohibida la reproducción, transmisión, transcripción, almacenamiento en un sistema de recuperación o traducción a ningún idioma, de este documento o parte del mismo, de ninguna forma ni por ningún medio, sin el consentimiento previo por escrito de McAfee, Inc., sus proveedores o sus empresas filiales. ATRIBUCIONES DE MARCAS COMERCIALES AVERT, EPO, EPOLICY ORCHESTRATOR, FOUNDSTONE, GROUPSHIELD, INTRUSHIELD, LINUXSHIELD, MAX (MCAFEE SECURITYALLIANCE EXCHANGE), MCAFEE, NETSHIELD, PORTALSHIELD, PREVENTSYS, SECURITYALLIANCE, SITEADVISOR, TOTAL PROTECTION, VIRUSSCAN y WEBSHIELD son marcas comerciales registradas o marcas comerciales de McAfee, Inc. y/o sus empresas filiales en EE.UU. y/o en otros países. El color rojo asociado a la seguridad es el distintivo de los productos de la marca McAfee. Todas las demás marcas comerciales, tanto registradas como no registradas, mencionadas en este documento son propiedad exclusiva de sus propietarios respectivos. INFORMACIÓN DE LICENCIA Acuerdo de licencia AVISO A TODOS LOS USUARIOS: LEA DETENIDAMENTE EL ACUERDO LEGAL CORRESPONDIENTE A LA LICENCIA QUE HA ADQUIRIDO, QUE ESTIPULA LOS TÉRMINOS Y CONDICIONES GENERALES PARA EL USO DEL SOFTWARE CON LICENCIA. SI NO SABE QUÉ TIPO DE LICENCIA HA ADQUIRIDO, CONSULTE LOS DOCUMENTOS DE VENTA Y OTROS DOCUMENTOS RELACIONADOS CON LA CONCESIÓN DE LA LICENCIA O CON LA ORDEN DE COMPRA QUE ACOMPAÑAN AL PAQUETE DE SOFTWARE, O QUE HAYA RECIBIDO POR SEPARADO COMO PARTE DE LA COMPRA (POR EJEMPLO, UN MANUAL, UN ARCHIVO DEL CD DEL PRODUCTO O UN ARCHIVO DISPONIBLE EN EL SITIO WEB DESDE EL QUE DESCARGÓ EL PAQUETE DE SOFTWARE). SI NO ACEPTA TODOS LOS TÉRMINOS DESCRITOS EN EL ACUERDO, NO INSTALE EL SOFTWARE. SI PROCEDE, PUEDE DEVOLVER EL PRODUCTO A MCAFEE O AL LUGAR DONDE LO ADQUIRIÓ CON EL FIN DE OBTENER SU REEMBOLSO ÍNTEGRO. 2

3 Contenido Presentación de Uso de esta guía A quién va dirigida esta guía Definición de los términos utilizados en esta guía Convenciones gráficas Documentación Recursos disponibles Presentación de los servidores blade Ventajas clave de los servidores blade Tipos de blade Servidor blade de administración Servidor blade de administración para conmutación en caso de error Servidores blade de análisis de contenido Preinstalación Contenido de la caja Planificación de la instalación Uso indebido Colocación del servidor blade Consideraciones sobre los modos de red Modo Puente transparente Modo Router transparente Modo Proxy explícito Estrategias de despliegue para el uso del dispositivo en una DMZ Configuración SMTP en una DMZ Administración de la carga de trabajo Redundancia integrada Planificación de la instalación Pasos preliminares para la instalación estándar Antes de la instalación de la carcasa Configuración de la administración desasistida Después de la instalación

4 Contenido Conexión y configuración del servidor blade Ampliación de versiones anteriores Configuración de las interconexiones al ampliar una versión anterior Realización de copias de seguridad de la configuración actual Apagado de los servidores blade de análisis Apagado de los servidores blade de administración Ampliación del software del servidor blade de administración Reinstalación de los servidores blade de análisis Instalación estándar Instalación física del servidor blade Instalación de las interconexiones Alimentación del servidor blade Conexión a la red Instalación del software Orden de instalación de los servidores blade de administración Imágenes de software Instalación del software en un servidor blade de análisis de contenido Uso de la Consola de configuración Página de bienvenida Realización de una configuración personalizada Restauración desde un archivo Introducción a Content Security Blade Server Interfaz del usuario Información de estado del Panel y opciones de configuración Exploración del servidor blade Demostración de la administración de la carga de trabajo y la conmutación en caso de error Prueba de las funciones de administración del servidor blade Uso de directivas para administrar el análisis de mensajes Comprobación de la configuración Comprobación de la conectividad Actualización de archivos DAT Comprobación del tráfico de correo electrónico y la detección de virus Comprobación de la detección de spam Comprobación del tráfico web y la detección de virus Funciones de análisis de Content Security Blade Server Análisis de directivas y su repercusión en la red

5 Contenido Análisis de contenido con reglas de conformidad de correo electrónico Cómo evitar la pérdida de información confidencial Tratamiento de mensajes en cuarentena Supervisión de la detección de spam Supervisión de la actividad web Funcionamiento en modo resistente Funcionamiento del modo resistente en el hardware Cómo decidir si utilizar el modo resistente Pasos preliminares para volver a configurar para el modo resistente Información sobre el hardware Nombres de usuario y contraseñas Paso al funcionamiento en modo resistente Realización de copias de seguridad de la configuración actual Instalación de las interconexiones para modo resistente Configuración de las interconexiones Modificación de la configuración de la carcasa Configuración del servidor blade de administración para utilizar el modo resistente Conexiones de modo resistente a la red externa Cómo encender los servidores blade Solución de problemas Solución de problemas específicos del servidor blade Sistemas de supervisión externa Estado de la tarjeta de interfaz de red Eventos del sistema Configuración del sistema Autenticación web transparente Antispam Actualización automática de antivirus Entrega La prevención de la recopilación de direcciones no funciona Datos adjuntos de correo electrónico ICAP Problemas relacionados con el correo POP Problemas generales Mantenimiento del sistema Ayuda adicional: la barra de vínculos

6 Contenido Apéndices Ejemplo de configuración base de las interconexiones Ejemplo de archivo de configuración del chasis Procedimientos de cambio de hardware Sustitución de servidores blade de análisis con fallo Sustitución de un servidor blade de administración con fallo Sustitución de un servidor blade de administración para conmutación en caso de error con fallo Sustitución de una interconexión con fallo Sustitución de un módulo de administrador de tarjeta

7 Presentación de McAfee Content Security Blade Server Esta guía proporciona la información necesaria para llevar a cabo la instalación de la versión 5.6 del software McAfee Content Security Blade Server, que se facilita con el chasis del servidor blade M3 o el chasis del servidor blade M7. Proporciona los pasos y las comprobaciones correspondientes al proceso de instalación. NOTA: los términos chasis y carcasa se utilizan indistintamente en la documentación. Esta guía muestra cómo realizar la instalación y configuración de Content Security Blade Server 5.6 y, una vez se hayan completado, dispondrá de un servidor blade completamente operativo. Contenido Uso de esta guía Definición de los términos utilizados en esta guía Convenciones gráficas Documentación Uso de esta guía Esta guía le ayuda a: Planificar y realizar la instalación. Familiarizarse con el uso de la interfaz. Comprobar que el producto funciona correctamente. Aplicar los archivos de definición de detecciones más recientes. Examinar determinados análisis de directivas, crear informes y obtener información de estado. Solucionar problemas básicos. Podrá encontrar más información sobre las características de análisis del producto en la Ayuda online. A quién va dirigida esta guía La información incluida en esta guía está dirigida principalmente a los administradores de redes responsables del programa de seguridad y de antivirus de la empresa. 7

8 Presentación de Definición de los términos utilizados en esta guía Definición de los términos utilizados en esta guía En esta información se definen algunos de los términos clave de la guía. Término Zona desmilitarizada (DMZ) Archivos DAT Modo de funcionamiento Directiva Comprobación del servicio de reputación OA (Administrador de tarjeta) Interconexión Conexión cruzada STP (Protocolo de árbol de expansión) PVST (Per VLAN Spanning Tree, protocolo de árbol de expansión por VLAN) MSTP (Protocolo de árbol de expansión múltiple) ilo (módulo de administración desasistida integrado) OOB (administración fuera de banda) PXE (Pre-boot execution Environment, entorno de ejecución de prearranque) Vínculos unidos Definición Un equipo host o una red pequeña introducida como búfer entre una red privada y la red pública externa para evitar el acceso directo de los usuarios externos a los recursos de la red privada. Archivos de definición de detecciones (DAT), también denominados archivos de firma, que contienen las definiciones que identifican, detectan y reparan virus, troyanos, spyware, adware y otros programas potencialmente no deseados (PUP). El producto cuenta con tres modos operativos: modo proxy explícito, modo de puente transparente y modo de router transparente. Recopilación de criterios de seguridad, como las opciones de configuración, puntos de referencia y especificaciones de acceso a la red, que define el nivel de conformidad requerido para los usuarios, dispositivos y sistemas que una aplicación de McAfee Security puede evaluar o aplicar. Parte de la autenticación de remitente Si un remitente no supera la comprobación del servicio de reputación, el dispositivo está configurado para detener la conexión y denegar el mensaje. La dirección IP del remitente se añade a una lista de conexiones bloqueadas y se bloqueará automáticamente en el futuro en el nivel de kernel. El módulo que proporciona administración del chasis del servidor blade de HP completo. Se pueden colocar dos módulos en un solo chasis para proporcionar funcionamiento en modo resistente. El nombre proporcionado a los conmutadores de red que residen en el chasis del blade entre la infraestructura externa y los dispositivos blade. El nombre proporcionado a los vínculos internos entre los pares 1 y 2, 3 y 4, 5 y 6 y 7 y 8 de los compartimentos de interconexión. Éstos se utilizan para proporcionar resistencia en el chasis. Hay dos conexiones cruzadas entre cada uno de los pares de compartimentos de interconexión y se ejecutan habitualmente en modo de unión. Protocolo estándar del sector que se utiliza para evitar bucles en redes de difusión mientras se permiten rutas redundantes. Extensión patentada de Cisco para el protocolo STP en el que el árbol de expansión funciona en un grupo de VLAN, independientemente de otras VLAN que se proporcionan mediante los mismos enlaces físicos. Los módulos de interconexión GbE2C de HP admiten PVST. Extensión estándar del sector para el protocolo STP para permitir que el árbol de expansión funcione de forma independiente en grupos diferentes de VLAN. El nombre dado al módulo de cada uno de los blade que permite la administración desasistida del blade. Prestación facilitada por el software and Web Security para permitir la administración del software and Web Security a través de una interfaz de red independiente con respecto a la que utiliza el tráfico analizado. Con esta prestación habilitada, el portal de administración de and Web Security se puede bloquear desde las interfaces de tráfico analizado. Medio de arranque de un equipo en la red antes de la instalación de un sistema operativo. Un medio de tratar dos vínculos de red como uno solo y, de esta forma, proporcionar resistencia en caso de que se produjera el fallo de un vínculo único y, según la configuración, un mayor ancho de banda. 8

9 Presentación de Convenciones gráficas Término (También se conoce como enlace troncal, agregación de vínculos, EtherChannel o canal de puertos.) VLAN (LAN virtual) Definición Un medio de separar redes diferentes en una única conexión de red. Definido en la normativa IEEE 802.1Q. Convenciones gráficas Las figuras de esta guía utilizan los símbolos siguientes: Carcasa M3 de Content Security Blade Server Carcasa M7 de Content Security Blade Server Servidor de correo Internet Equipo cliente o usuario Otro tipo de servidor (por ejemplo, un servidor DNS) Conmutador Router Zona de red (DMZ o VLAN) Firewall Ruta de datos real Red Ruta de datos percibida Documentación Esta guía se incluye junto con el producto. Puede encontrar información adicional en la Ayuda online que incluye el producto y en el sitio web Recursos disponibles En esta información se describe dónde obtener ayuda e información adicional. Productos de McAfee McAfee KnowledgeBase. Vaya a y haga clic en Search the KnowledgeBase (Búsqueda en KnowledgeBase). 9

10 Presentación de Documentación Guía del producto Ayuda online Sitio de descarga de McAfee. Incluye información sobre conceptos básicos, directivas, protocolos (SMTP, POP3, FTP, HTTP e ICAP), mantenimiento y supervisión. Necesitará su número de identificación de concesión. Interfaz del producto. Incluye información sobre conceptos básicos, directivas, protocolos (SMTP, POP3, FTP, HTTP e ICAP), mantenimiento y supervisión. 10

11 Presentación de los servidores blade La versión 5.6 de McAfee Content Security Blade Server analiza el tráfico de correo electrónico y la Web en busca de virus, spam y otro tipo de amenazas para su red. Los servidores blade son los modelos de mayor capacidad de la gama de productos McAfee and Web Security. El servidor blade: Analiza y procesa el tráfico de mensajes SMTP y POP3 (software Security). Analiza y procesa el tráfico HTTP, ICAP y FTP (software Web Security). Funciona ocho veces más rápido que un dispositivo and Web Security independiente. Reduce el coste de almacenamiento y ejecución de dispositivos independientes en el centro de datos. Es escalable. Puede añadir más servidores blade de análisis de contenido para aumentar la capacidad del proceso de análisis sin que se vea afectado el rendimiento. Resulta fácil de gestionar y administrar. Equilibra la carga de trabajo de análisis y actualiza los archivos de definición de detecciones (DAT) en los servidores blade. Puede ejecutar el software McAfee Web Gateway (anteriormente WebWasher) en algunos de los servidores blade de análisis de contenido o en todos ellos. NOTA: el servidor blade cuenta con administración de carga de trabajo integrada. Si ya utiliza un dispositivo de equilibrio de carga en la red, puede mantenerlo cuando instale el servidor blade, aunque ya no es necesario equilibrar la carga de trabajo de análisis. Contenido Ventajas clave de los servidores blade Tipos de blade Ventajas clave de los servidores blade Protección frente a amenazas de correo electrónico Protección galardonada frente a amenazas de correo electrónico Detección y bloqueo de spam, phishing, spyware y virus procedentes de los sistemas de correo electrónico Protección frente a amenazas de la Web Detección y bloqueo de sitios de phishing, spyware, programas potencialmente no deseados y virus con el fin de impedir que se descarguen en su red. 11

12 Presentación de los servidores blade Ventajas clave de los servidores blade Puede utilizar las funciones de análisis web incluidas en el software Content Security Blade Server o instalar el software McAfee Web Gateway (anteriormente WebWasher) en algunos de los servidores blade de análisis de contenido o en todos ellos. El galardonado McAfee SiteAdvisor protege a los usuarios frente a las visitas a sitios web no apropiados. Filtrado de contenido Conforme con normativas de privacidad del correo electrónico, como la Ley de portabilidad y responsabilidad del seguro médico (HIPAA, Health Insurance Portability and Accountability Act), la Ley Sarbanes Oxley (SOX, Sarbanes-Oxley Act), directivas de la Unión Europea (UE) y leyes nacionales, entre otras. Ahorro Reducción de las cuotas de soporte, licencia y adquisición Reducción del coste de centros de datos con respecto a la refrigeración, el espacio y la alimentación Reducción de los gastos de capital a largo plazo Máximo rendimiento, escalabilidad y fiabilidad Incremento de la capacidad según sea necesario sin períodos de inactividad con servidores blade intercambiables "en caliente". Fuentes de alimentación redundantes y conmutación en caso de error automática. Modo resistente que proporciona una mayor protección frente a los problemas de red que provocan interrupciones en el análisis. Tecnología antispam demostrada Detección y bloqueo de más del 98 por ciento de spam, incluidos los últimos ataques de spam a MP3, PDF e imágenes, sin falsos positivos importantes (según pruebas realizadas por terceros). Actualizaciones continuas cada dos o tres minutos que bloquean nuevas formas de spam con rapidez. La eficacia antispam se consigue a través de una combinación de tecnologías, algunas de las cuales son: Filtrado por reputación de IP de McAfee Calificación de reputación de nombres de dominio Detección heurística Filtrado de contenido Autenticación de remitente basada en los estándares Sender Policy Framework (SPF) y DomainKeys Identified Mail (DKIM) Listas de rechazo transitorio que rastrean el correo procedente de remitentes legítimos y permiten su paso a la vez que rechazan de forma temporal el de remitentes desconocidos 12

13 Presentación de los servidores blade Tipos de blade Tipos de blade Esta sección describe los distintos tipos de blade que incluye el servidor blade: Servidor blade de administración Servidor blade de administración para conmutación en caso de error Servidores blade de análisis de contenido Servidor blade de administración El servidor blade de administración administra el tráfico de la red y lo remite a los servidores blade de análisis de contenido utilizando para ello la administración de carga de trabajo interna. El servidor blade de administración no se utiliza para analizar archivos. El servidor blade de administración: Proporciona la instalación del software inicial para los servidores blade de análisis de contenido. Administra todas las actualizaciones para los otros servidores blade. Agrega todos los eventos, mensajes de correo electrónico puestos en cuarentena y mensajes de correo electrónico aplazados. Habrá un servidor activo en todo momento: ya sea el servidor blade de administración o el servidor blade de administración para conmutación en caso de error. No pueden estar activos a la vez. El servidor blade de análisis de contenido y el servidor blade de administración funcionan de forma conjunta como un único sistema cuando se lleva a cabo lo siguiente: Se efectúan cambios de configuración con una interfaz basada en la Web. Se actualizan los archivos DAT. Se visualiza información de estado. El servidor blade de administración también garantiza que: No se experimenten períodos de inactividad durante las actualizaciones en todo el sistema. No se produzcan las actualizaciones si se produce un error en una actualización anterior. Se generen alertas relevantes (SNMP, por ejemplo) al añadir o eliminar un servidor blade o cuando se producen errores en él. El servidor blade de administración puede interactuar con: Los servidores blade de análisis de contenido para apagar, reiniciar o desactivar servidores blade de análisis de contenido individual. McAfee Quarantine Manager La aplicación Quarantine Manager garantiza que su red cuente con un recurso de cuarentena centralizado. Servidor blade de administración para conmutación en caso de error El servidor blade de administración para conmutación en caso de error es idéntico al servidor blade de administración. Asume las funciones de administración en caso de que se produzca un error en el servidor blade de administración. Para ello, utiliza lo siguiente: El Protocolo de árbol de expansión (STP, Spanning Tree Protocol) para el modo de puente transparente. 13

14 Presentación de los servidores blade Tipos de blade El Protocolo de redundancia de router virtual (VRRP, Virtual Router Redundancy Protocol) para los modos de proxy explícito y router transparente. El servidor blade de administración para conmutación en caso de error no se utiliza para analizar archivos. Una vez configurado, permanece inactivo hasta que se necesite. Servidores blade de análisis de contenido Con el servidor blade se proporciona al menos un servidor blade de análisis de contenido. La primera vez que instale un servidor blade de análisis de contenido, el servidor blade de administración instala automáticamente la imagen del software de análisis en el nuevo servidor blade. La imagen del software de análisis instalada depende de las opciones que se seleccionaran durante la configuración del servidor blade. Puede optar por instalar las funciones de análisis incluidas en el software Content Security Blade Server o instalar el software McAfee Web Gateway (anteriormente WebWasher) en alguno de los servidores blade de análisis de contenido o en todos ellos. Puede instalar lo siguiente: El software and Web Security: se instala en todos los servidores blade de análisis de contenido, cada uno de los cuales analiza tanto el tráfico web como de correo electrónico. Software Security: puede seleccionar los servidores blade de análisis de contenido para instalar el software Security. Software Web Security: puede seleccionar los servidores blade de análisis de contenido para instalar el software Web Security. Software McAfee Web Gateway: puede seleccionar los servidores blade de análisis de contenido para instalar el software McAfee Web Gateway (anteriormente WebWasher). NOTA: si selecciona e instala el software McAfee Web Gateway, no podrá instalar el software and Web Security ni el software Web Security en el mismo chasis. También debe instalar el servidor blade en modo Proxy explícito si tiene previsto utilizar el software McAfee Web Gateway. Todos los servidores blade de análisis de contenido comienzan el análisis inmediatamente después de la instalación del software. El servidor blade de análisis de contenido se utiliza únicamente para analizar el tráfico. No es un servidor blade de administración. El servidor blade de análisis de contenido: Recibe los archivos DAT y los parches de software del servidor blade de administración. Envía información acerca de todos los eventos de detección y análisis al servidor blade de administración. Envía información acerca de todos los mensajes de correo electrónico aplazados y puestos en cuarentena al servidor blade de administración. 14

15 Preinstalación Para asegurarse del funcionamiento seguro del producto, tenga en cuenta lo siguiente antes de comenzar la instalación. Conozca los requisitos de alimentación del servidor blade y el sistema de suministro eléctrico. Familiarícese con las capacidades y modos operativos. Es importante que elija una configuración válida. Decida cómo integrar el servidor blade en la red y determine qué información necesita antes de empezar. Por ejemplo, el nombre y la dirección IP del servidor blade. Desembale el producto lo más cerca posible de la ubicación que va a tener. Extraiga el producto del embalaje de protección y colóquelo en una superficie plana. Lea todas las advertencias de seguridad proporcionadas. ATENCIÓN: revise toda la información de seguridad proporcionada y familiarícese con ella. Contenido Colocación del servidor blade Contenido de la caja Para comprobar que el paquete contiene todos los componentes, consulte la lista que se suministra junto al producto. Normalmente, debe incluir lo siguiente: Una carcasa de servidor blade (M3 o M7) Un servidor blade de administración Un servidor blade de administración para conmutación en caso de error Uno o más servidores blade de análisis, según lo solicitado Cables de alimentación Cables de red CD de instalación y recuperación de and Web Security CD de código fuente de Linux CD de McAfee Quarantine Manager CD de documentación Si falta algún elemento o está dañado, póngase en contacto con el proveedor. 15

16 Preinstalación Planificación de la instalación Planificación de la instalación Antes de desembalar el Content Security Blade Server, es importante planificar la instalación y el despliegue. Encontrará información de ayuda en: HP BladeSystem c-class Site Planning Guide. Tenga en cuenta lo siguiente: Directrices generales para preparar el sitio Descripción de los requisitos generales del sitio para preparar las instalaciones informáticas para el hardware de Content Security Blade Server. Requisitos ambientales Información sobre los requisitos ambientales del sitio, entre los que se incluyen los relacionados con la temperatura, la ventilación y el espacio. Consideraciones y requisitos de alimentación Requisitos de alimentación y factores eléctricos que deben tenerse en cuenta antes de la instalación. Incluye la instalación de la unidad de distribución de alimentación (PDU). Requisitos y especificaciones de hardware Especificaciones del sistema para la carcasa del servidor blade, los bastidores y las fuentes de alimentación de una y tres fases. Situaciones hipotéticas de configuración Preparación de la instalación Uso indebido El producto: No es un firewall. Debe utilizarlo en la organización protegido por un firewall debidamente configurado. No es un servidor para almacenar archivos y software adicionales. No instale ningún software en el dispositivo ni agregue archivos adicionales a menos que así se lo indique la documentación del producto o el representante de soporte técnico. El dispositivo no puede gestionar todos los tipos de tráfico. Si usa el modo proxy explícito, sólo los protocolos que pueden analizarse se enviarán al dispositivo. Colocación del servidor blade Instale el servidor blade de modo que pueda controlar el acceso físico a la unidad y el acceso a los puertos y las conexiones. Junto con el chasis del servidor blade, se suministra un kit de montaje en bastidor que permite instalar el servidor blade en un bastidor de 19 pulgadas. Consulte HP BladeSystem c3000 Enclosure Quick Setup Instructions o HP BladeSystem c7000 Enclosure Quick Setup Instructions. 16

17 Preinstalación Consideraciones sobre los modos de red Consideraciones sobre los modos de red Antes de instalar y configurar Content Security Blade Server, debe decidir qué modo de red va a utilizar. El modo que elija determinará la conexión física del servidor blade a la red. Puede seleccionar uno de los siguientes modos de red: Modo Puente transparente: el dispositivo actúa como un puente Ethernet. Modo Router transparente: el dispositivo actúa como un router. Modo Proxy explícito: el dispositivo actúa como un servidor proxy y un dispositivo de retransmisión de correo. Si, después de haber leído ésta y las secciones siguientes, sigue sin estar seguro del modo que va a utilizar, póngase en contacto con un experto en redes. ATENCIÓN: si tiene previsto desplegar uno o varios servidores blade de análisis mediante la ejecución del software de McAfee Web Gateway (anteriormente WebWasher), debe configurar el servidor blade en modo proxy explícito. Consideraciones acerca de la arquitectura de los modos de red Las principales consideraciones sobre los modos de red son: Si los dispositivos en comunicación conocen la existencia del dispositivo. Es decir, si el dispositivo está funcionando en uno de los modos transparentes. Cómo se conecta físicamente el dispositivo a la red. La configuración necesaria para que el dispositivo se incorpore a la red. Si la configuración tiene lugar en la red. Consideraciones previas al cambio de modos de red En los modos de proxy explícito y router transparente, puede configurar el dispositivo para que se sitúe en más de una red. Para ello, deben configurarse varias direcciones IP para los puertos LAN1 y LAN2. Si cambia a modo de puente transparente desde el modo de proxy explícito o de router transparente, sólo se transferirán las direcciones IP habilitadas para cada puerto. SUGERENCIA: una vez seleccionado un modo de red, no es aconsejable cambiarlo, a menos que mueva el dispositivo o reestructure la red. Contenido Modo Puente transparente Modo Proxy explícito Modo Puente transparente En el modo de puente transparente, los servidores en comunicación ignoran la existencia del dispositivo: el funcionamiento del dispositivo es transparente para los servidores. Figura 1: Comunicación transparente 17

18 Preinstalación Consideraciones sobre los modos de red En la Figura 1: Comunicación transparente, el servidor de correo externo (A) envía mensajes de correo electrónico al servidor de correo interno (C). El servidor de correo externo ignora que el dispositivo intercepta y analiza el mensaje de correo electrónico (B). Parece que el servidor de correo externo se comunica directamente con el servidor de correo interno (la ruta se muestra como una línea de puntos). En realidad, el tráfico debe pasar por varios dispositivos de red y el dispositivo debe interceptarlo y analizarlo antes de que llegue al servidor de correo interno. Funcionamiento del dispositivo Configuración En el modo de puente transparente, el dispositivo se conecta a la red mediante los puertos LAN1 y LAN2. El dispositivo analiza el tráfico que recibe y actúa como un puente, conectando dos segmentos de red, pero tratándolos como una única red lógica. El modo de puente transparente requiere menos configuración que los modos de router transparente y de proxy explícito. No necesita volver a configurar todos los clientes, la gateway predeterminada, los registros MX, el firewall con NAT ni los servidores de correo para enviar tráfico al dispositivo. Debido a que el dispositivo no funciona como router en este modo, no necesita actualizar una tabla de enrutamiento. Ubicación del dispositivo Por motivos de seguridad, debe utilizar el dispositivo en la organización protegido por un firewall. Figura 2: Única red lógica SUGERENCIA: en el modo de puente transparente, coloque el dispositivo entre el firewall y el router, tal y como se muestra en la Figura 2: Única red lógica. En este modo, se conectan físicamente dos segmentos de red al dispositivo y éste los trata como una única red lógica. Como los dispositivos (firewall, dispositivo y router) se encuentran en la misma red lógica, deben tener direcciones IP compatibles en la misma subred. Los dispositivos de un lado del puente (como un router) que se comunican con los dispositivos del otro lado del puente (como un firewall) ignoran la existencia del puente. Ignoran que el 18

19 Preinstalación Consideraciones sobre los modos de red tráfico se intercepta y analiza, razón por la cual se dice que el dispositivo funciona como un puente transparente. Figura 3: Modo Puente transparente Protocolo de árbol de expansión para administrar la prioridad de puente Si se produce un error en el blade, el Protocolo de árbol de expansión (Spanning Tree Protocol, STP) dirige el tráfico de red al servidor blade con la prioridad de puente superior siguiente. En el modo de puente transparente, el servidor blade de administración y el servidor blade de administración para conmutación en caso de error tienen diferentes direcciones IP. En los modos de proxy explícito y router transparente, los dos blades tienen de nuevo direcciones IP diferentes, pero se configuran con las mismas direcciones o dirección IP virtuales. Por lo general, el servidor blade de administración gestiona el tráfico de correo electrónico. Si dicho servidor blade falla, el servidor blade de administración para conmutación en caso de error se encarga de gestionar el tráfico de correo electrónico. Cada uno de los servidores blade tienen una prioridad de puente diferente. Puesto que la prioridad del servidor blade de administración es superior (por ejemplo, un valor STP de 100), el servidor blade de administración analiza generalmente el tráfico de red. Si el servidor blade de administración falla, el STP dirige el tráfico de red a través de una ruta con la prioridad de puente inmediatamente superior, concretamente, el servidor blade de administración para conmutación en caso de error (por ejemplo, con un valor STP de 200). Para configurar el servidor blade: 1 Para impedir los bucles de puente: a b c Desactive STP en los puertos 1 y 2 de todas las interconexiones. Compruebe que todos los puertos son miembros de STG1. Desactive STG1. 2 Instale el servidor blade de administración para conmutación en caso de error en la ranura 2. 3 Durante la instalación del servidor blade de administración para conmutación en caso de error, defina la prioridad de puente, por ejemplo, Instale el servidor blade de administración en la ranura 1. 19

20 Preinstalación Consideraciones sobre los modos de red 5 Durante la instalación del servidor blade de administración, defina la prioridad de puente, por ejemplo, Asigne diferentes direcciones IP al servidor blade de administración y al servidor blade de administración para conmutación en caso de error. Modo Router transparente En el modo de router transparente, el dispositivo analiza el tráfico de correo electrónico entre dos redes. Cada interfaz cuenta con una o varias direcciones IP. Los servidores de red en comunicación ignoran la intervención del dispositivo: el funcionamiento del dispositivo es transparente para los dispositivos. Funcionamiento del dispositivo Configuración Reglas de firewall Ubicación del dispositivo Funcionamiento del dispositivo Configuración En el modo de router transparente, el dispositivo se conecta a las redes mediante los puertos LAN1 y LAN2. El dispositivo analiza el tráfico que recibe en una red y lo reenvía al siguiente dispositivo de red en una red diferente. El dispositivo actúa como un router, enrutando el tráfico entre las diferentes redes, en función de la información incluida en sus tablas de enrutamiento. En el modo de router transparente, no necesita volver a configurar de forma explícita los dispositivos de red para enviar tráfico al dispositivo. Tan sólo es necesario configurar la tabla de enrutamiento del dispositivo y modificar algunos de los datos de enrutamiento de los dispositivos de red a ambos lados de éste (los dispositivos conectados a sus puertos LAN1 y LAN2). Por ejemplo, puede ser necesario designar el dispositivo como gateway predeterminada. En el modo de router transparente, el dispositivo debe unir dos redes. El dispositivo debe estar situado dentro de la organización junto con un firewall. NOTA: el modo de router transparente no es compatible con el tráfico IP multidifusión ni con los protocolos que no sean IP, como NETBEUI o IPX. Reglas de firewall En modo de router transparente, el firewall se conecta a la dirección IP física para la conexión LAN1/LAN2 al servidor blade de administración. 20

21 Preinstalación Consideraciones sobre los modos de red Ubicación del dispositivo Use el dispositivo en modo de router transparente para sustituir un router existente en la red. SUGERENCIA: si usa el modo de router transparente y no sustituye un router existente, debe volver a configurar parte de la red para que enrute el tráfico correctamente a través del dispositivo. Figura 4: Configuración del modo Router transparente Debe hacer lo que se indica a continuación: Configurar los dispositivos cliente para que apunten a la gateway predeterminada. Configurar el dispositivo para utilizar la gateway de Internet como gateway predeterminada. Asegurarse de que los dispositivos cliente pueden entregar mensajes de correo electrónico a los servidores de correo de la organización. Modo Proxy explícito En el modo Proxy explícito, deben configurarse explícitamente determinados dispositivos de red para que envíen tráfico al dispositivo. Así, el dispositivo funciona como un proxy o dispositivo de retransmisión que procesa el tráfico en nombre de los dispositivos. El modo proxy explícito resulta más adecuado en aquellas redes en las que los dispositivos cliente se conectan al dispositivo a través de un único dispositivo ascendente y descendente. SUGERENCIA: puede que ésta no sea la mejor opción cuando sea preciso reconfigurar varios dispositivos de red para enviar tráfico al dispositivo. Configuración de red y de dispositivos Si el dispositivo está configurado en modo proxy explícito, debe configurar de forma explícita el servidor de correo interno para que retransmita el tráfico de correo electrónico al dispositivo. El dispositivo analiza el tráfico de correo electrónico antes de reenviarlo, en nombre del remitente, al servidor de correo externo. Entonces, el servidor de correo externo reenvía el mensaje de correo electrónico al destinatario. 21

22 Preinstalación Consideraciones sobre los modos de red De igual forma, la red debe configurarse de manera que los mensajes de correo electrónico entrantes procedentes de Internet se entreguen al dispositivo en lugar de entregarse al servidor de correo interno. Figura 5: Retransmisión del tráfico de correo electrónico El dispositivo analiza el tráfico antes de reenviarlo, en nombre del remitente, al servidor de correo interno para la entrega, como se muestra en la Figura 5: Retransmisión del tráfico de correo electrónico. Por ejemplo, un servidor de correo externo puede comunicarse directamente con el dispositivo, aunque el tráfico puede pasar por varios servidores de red antes de llegar al dispositivo. La ruta percibida es del servidor de correo externo al dispositivo. Protocolos Para analizar un protocolo admitido, debe configurar el resto de los servidores de red o los equipos cliente para enrutar dicho protocolo a través del dispositivo, de forma que éste filtre todo. Reglas de firewall El modo Proxy explícito invalida cualquier regla de firewall configurada para el acceso del cliente a Internet. El firewall sólo ve la información de la dirección IP del dispositivo y no las direcciones IP de los clientes, lo que significa que el firewall no puede aplicar sus reglas de acceso a Internet a los clientes. Ubicación del dispositivo Configure los dispositivos de red de forma que el tráfico objeto de análisis se envíe al dispositivo. Esto es más importante que la ubicación del dispositivo. 22

23 Preinstalación Estrategias de despliegue para el uso del dispositivo en una DMZ El router debe permitir a todos los usuarios conectarse al dispositivo. Figura 6: Configuración de proxy explícito El dispositivo debe colocarse dentro de la organización y protegido por un firewall, como se muestra en la Figura 6: Configuración de proxy explícito. Normalmente, el firewall está configurado para bloquear el tráfico que no proviene directamente del dispositivo. Si tiene alguna duda acerca de la topología de la red y de cómo integrar el dispositivo, consulte a un experto en redes. Utilice esta configuración en los casos siguientes: El dispositivo funciona en modo proxy explícito. Usa correo electrónico (SMTP). En esta configuración, debe: Configurar los servidores externos de sistema de nombres de dominio (DNS) o la conversión de direcciones de red (NAT, Network Address Translation) en el firewall, de manera que el servidor de correo externo entregue el correo al dispositivo y no al servidor de correo interno. Configurar los servidores de correo interno para que envíen mensajes de correo electrónico al dispositivo. Es decir, los servidores de correo interno deben utilizar el dispositivo como un host inteligente. Asegúrese de que los dispositivos cliente pueden enviar mensajes de correo electrónico a los servidores de correo en la organización. Asegurarse de que las reglas del firewall están actualizadas. El firewall debe aceptar tráfico del dispositivo, pero no el tráfico que proviene directamente de los dispositivos cliente. Configure reglas para evitar que tráfico no deseado entre en la organización. Estrategias de despliegue para el uso del dispositivo en una DMZ Una zona desmilitarizada (DMZ) es una red separada por un firewall del resto de redes, incluido Internet y otras redes internas. El objetivo habitual de la implementación de una DMZ es bloquear el acceso a los servidores que proporcionan servicios a Internet, como el correo electrónico. 23

24 Preinstalación Estrategias de despliegue para el uso del dispositivo en una DMZ Los piratas informáticos suelen obtener acceso a las redes mediante la identificación de puertos TCP/UDP en los que las aplicaciones hacen escuchas de solicitudes y se aprovechan de las vulnerabilidades conocidas de las aplicaciones. Los firewalls reducen en gran medida el riesgo de dichos abusos mediante el control del acceso a puertos específicos de servidores concretos. El dispositivo puede agregarse fácilmente a una configuración de DMZ. La forma de usar el dispositivo en una DMZ depende de los protocolos que tenga pensado analizar. Contenido Configuración SMTP en una DMZ Administración de la carga de trabajo Redundancia integrada Configuración SMTP en una DMZ Una DMZ es una buena ubicación para el correo cifrado. En el momento en que el tráfico de correo llega al firewall por segunda vez (en su camino desde la DMZ hacia la red interna), ya se ha cifrado. Por regla general, los dispositivos que analizan tráfico SMTP en una DMZ están configurados en modo proxy explícito. Los cambios de configuración deben aplicarse únicamente en los registros MX de los servidores de correo. NOTA: cuando analice SMTP en una DMZ, puede utilizar el modo de puente transparente. Sin embargo, si no controla el flujo de tráfico correctamente, el dispositivo analizará todos los mensajes dos veces, una vez en cada dirección. Éste es el motivo por el que normalmente se utiliza el modo proxy explícito en el análisis de SMTP. Retransmisión de correo Figura 7: Dispositivo en configuración de proxy explícito en una DMZ Si dispone de un dispositivo de retransmisión de correo ya configurado en la DMZ, puede sustituirlo con el dispositivo. Para utilizar las directivas de firewall existentes, asigne al dispositivo la misma dirección IP que al dispositivo de retransmisión de correo. 24

25 Preinstalación Estrategias de despliegue para el uso del dispositivo en una DMZ Gateway de correo SMTP no ofrece ningún método para cifrar mensajes de correo: puede utilizar la Transport Layer Security (TLS) para cifrar el vínculo, pero no los mensajes de correo. Como resultado, algunas empresas no permiten ese tipo de tráfico en sus redes internas. Para solucionar este problema, se suele utilizar una gateway de correo patentada, como Lotus Notes o Microsoft Exchange, para cifrar el tráfico de correo antes de que llegue a la red interna. Para implementar una configuración de DMZ mediante una gateway de correo patentada, añada el dispositivo de análisis a la DMZ en el lado SMTP de la gateway. Figura 8: Protección de una gateway de correo en DMZ En esta situación, configure lo siguiente: Los registros MX públicos, para indicar a los servidores de correo externos que envíen todos los correos entrantes al dispositivo (en lugar de la gateway). El dispositivo, para que reenvíe todo el correo entrante a la gateway de correo y entregue todo el correo saliente mediante el DNS o un dispositivo de retransmisión externo. La gateway de correo, para que reenvíe todo el correo entrante a los servidores de correo internos y el resto del correo (saliente) al dispositivo. El firewall, para que permita el correo entrante destinado únicamente al dispositivo. NOTA: los firewalls configurados para utilizar la conversión de direcciones de red (NAT, Network Address Translation) y que redirigen el correo entrante a los servidores de correo internos no necesitan que vuelvan a configurarse sus registros MX públicos. Esto se debe a que están dirigiendo el tráfico al firewall en lugar de a la gateway de correo. En este caso, el firewall debe volver a configurarse para dirigir las solicitudes de correo entrante al dispositivo. Reglas de firewall específicas para Lotus Notes De forma predeterminada, los servidores de Lotus Notes se comunican a través del puerto TCP Las reglas de firewall usadas normalmente para asegurar los servidores de Notes en una DMZ permiten lo siguiente a través del firewall: 25

26 Preinstalación Estrategias de despliegue para el uso del dispositivo en una DMZ Solicitudes SMTP entrantes (puerto TCP 25), que se originan desde Internet y están destinadas al dispositivo. Solicitudes del puerto TCP 1352, que se originan desde la gateway de Notes y están destinadas a un servidor interno de Notes. Solicitudes del puerto TCP 1352, que se originan desde un servidor interno de Notes y están destinadas a una gateway de Notes. Solicitudes SMTP, que se originan desde el dispositivo y están destinadas a Internet. El resto de solicitudes SMTP y del puerto TCP 1352 se deniegan. Reglas de firewall específicas de Microsoft Exchange Un sistema de correo basado en Microsoft Exchange requiere una gran solución. Cuando los servidores de Exchange se comunican entre sí, envían sus paquetes iniciales mediante el protocolo RPC (puerto TCP 135). Sin embargo, una vez establecida la comunicación inicial, se eligen dos puertos de forma dinámica y se utilizan para enviar todos los paquetes siguientes durante el resto de la comunicación. No puede configurar un firewall para reconocer estos puertos elegidos de forma dinámica. Por lo tanto, el firewall no permite el paso de los paquetes. La solución consiste en modificar el Registro de cada uno de los servidores de Exchange que se comunican a través del firewall para utilizar siempre los mismos dos puertos "dinámicos" y, a continuación, abrir TCP 135 y estos dos puertos en el firewall. Mencionamos esta solución para ofrecer una explicación exhaustiva, pero no la recomendamos. El protocolo RPC está extendido en redes de Microsoft: abrir la entrada TCP 135 es un indicador de advertencia para la mayoría de los profesionales de la seguridad. Si tiene previsto utilizar esta solución, encontrará información detallada en los siguientes artículos de la Knowledge Base en el sitio web de Microsoft: Q Q Administración de la carga de trabajo El servidor blade incluye su propio sistema interno de administración de carga de trabajo, que permite distribuir uniformemente la carga de análisis entre todos los servidores blade de análisis instalados en la carcasa. No necesita desplegar un sistema de control de carga externo. Redundancia integrada Con McAfee Content Security Blade Server, las funciones de administración de la carga de trabajo distribuyen las tareas entre los servidores blade de análisis de contenido restantes en caso de que se produzca un fallo en el servidor blade de análisis de contenido. Si fallara el servidor blade de administración, el servidor blade de administración para conmutación en caso de error sigue gestionando la administración de la carga de trabajo, con lo que se garantiza un análisis de gran fiabilidad. El servidor blade incluye redundancia en la carcasa al disponer de varios sistemas de alimentación y ventiladores de refrigeración. Si se produce un fallo en una fuente de alimentación o un ventilador, el servidor blade se sigue ejecutando y es posible sustituir el componente fallido sin necesidad de apagar el servidor blade. 26

27 Preinstalación Planificación de la instalación Además, mediante la configuración del servidor blade para que funcione en modo resistente, puede mejorar la inmunidad del servidor blade a accidentes como el fallo de una conexión de red, ya se produzcan estos en la carcasa del servidor blade, debido a daños producidos en un cable o a la desconexión de éste, o en la propia red externa. Consulte Funcionamiento en modo resistente para obtener más información al respecto. Planificación de la instalación La configuración de la red existente determina normalmente la forma en que se debe introducir el servidor blade en la red. Antes de desplegar el servidor blade, analice los diagramas de la topografía de la red y familiarícese con su red actual. Para conseguir el mejor rendimiento posible del servidor blade, es esencial supervisar el flujo de tráfico de la red actual con detenimiento y analizar de qué forma la integración de servidor blade cambiará dicho flujo. Contenido Pasos preliminares para la instalación estándar Antes de la instalación de la carcasa Configuración de la administración desasistida Después de la instalación Pasos preliminares para la instalación estándar Antes de comenzar a configurar McAfee Content Security Blade Server, es aconsejable identificar los siguientes elementos: Direcciones IP Cada una de las carcasas de Content Security Blade Server requiere direcciones IP para lo siguiente: Módulo del administrador de tarjeta (OA) Módulos desasistidos integrados (ilo, Integrated Lights Out) (entre ocho y 16 direcciones, según su configuración) Módulos de interconexión (x2) Dirección IP fuera de banda (OOB) del servidor blade de administración Dirección IP de la LAN del servidor blade de administración (1 ó 2, según el modo de funcionamiento) Dirección IP OOB del servidor blade de administración para conmutación en caso de error Dirección IP (1 ó 2, según el modo de funcionamiento) de la LAN del servidor blade de administración para conmutación en caso de error Dirección IP virtual (1 ó 2, según el modo de funcionamiento) del sistema Revisiones de firmware Se debe ampliar todo el hardware como mínimo a las siguientes versiones: Administración de tarjeta: v3.21 Interconexiones GbE2c de HP: v

28 Preinstalación Planificación de la instalación BIOS del blade (blades G6): I24 30/03/2010 BIOS del blade (blades G1): I15 10/07/2009 ilo del blade: 1.82 NOTA: puede descargar una imagen ISO del conjunto de la versión de firmware, Smart Update Firmware DVD ISO, v9.10 (C): 30 de agosto de 2010 de Diagrama de red Resulta práctico contar con diagramas de red disponibles que muestren la forma en que se integran las redes internas de la carcasa de Content Security Blade Server (redes LAN1, LAN2, OOB y OA) en la infraestructura de red existente. Para los despliegues de modo de puente transparente, también resulta primordial saber qué VLAN se van a puentear. Antes de la instalación de la carcasa Antes de instalar la carcasa, determine lo siguiente: Alimentación y aire acondicionado Modo de red Direcciones de red Administrador de tarjeta Administración desasistida Requisitos de conmutación en caso de error Alimentación y aire acondicionado Para determinar los requisitos relacionados con la alimentación y el aire acondicionado de la carcasa con el número esperado de servidores blade, consulte: HP BladeSystem cclass Solution Overview En carcasas M3: HP BladeSystem c3000 Enclosure Setup and Installation Guide En carcasas M7: HP BladeSystem c7000 Enclosure Setup and Installation Guide HP BladeSystem Power Sizer Tool Modo de red Debe decidir el modo de red que utilizará para la instalación: Modo Router transparente Modo Puente transparente Modo Proxy explícito Direcciones IP Cada una de las carcasas de Content Security Blade Server requiere direcciones IP para lo siguiente: Módulo del administrador de tarjeta (OA) Módulos desasistidos integrados (ilo, Integrated Lights Out) (entre ocho y 16 direcciones, según su configuración) 28

29 Preinstalación Planificación de la instalación Módulos de interconexión (x2) Dirección IP fuera de banda (OOB) del servidor blade de administración Dirección IP de la LAN del servidor blade de administración (1 ó 2, según el modo de funcionamiento) Dirección IP OOB del servidor blade de administración para conmutación en caso de error Dirección IP (1 ó 2, según el modo de funcionamiento) de la LAN del servidor blade de administración para conmutación en caso de error Dirección IP virtual (1 ó 2, según el modo de funcionamiento) del sistema Administrador de tarjeta Cuando instale el administrador de tarjeta: Configure el administrador de tarjeta utilizando la pantalla del chasis. Inicie sesión en la interfaz del administrador de tarjeta a través de HTTP. Ejecute el asistente para la instalación del administrador de tarjeta. Para carcasas M3, consulte: HP BladeSystem c3000 Enclosure Setup and Installation Guide Para carcasas M7, consulte: HP BladeSystem c7000 Enclosure Setup and Installation Guide. Administración desasistida Debe determinar la infraestructura de red para la administración desasistida. Requisitos de conmutación en caso de error Los requisitos de conmutación en caso de error dependen del modo utilizado para configurar el servidor blade. Modo Puente transparente La prioridad de puente (configuración de STP) determina cuál es el servidor blade de administración y cuál el servidor blade de administración para conmutación en caso de error. El servidor blade con la prioridad más baja se convierte en el servidor blade de administración. Debe determinar la prioridad de puente que se usará para los dos servidores blade, en función de su entorno. Modos de proxy explícito y router transparente El servidor blade utiliza el Protocolo de redundancia de router virtual (VRRP, Virtual Router Redundancy Protocol) para configurar el servidor blade de administración y el servidor blade de administración para conmutación en caso de error. El servidor blade de administración y el servidor blade de administración para conmutación en caso de error cuentan, cada uno de ellos, con una dirección IP diferente, pero los dispositivos externos se conectan al servidor blade mediante una dirección IP virtual. De este modo, los dispositivos externos pueden conectarse al servidor blade (con la misma dirección IP virtual), independientemente del servidor blade físico que esté activo. Debe hacer lo siguiente: Determinar la dirección IP virtual de los dispositivos externos. Determinar las direcciones IP del servidor blade de administración y el servidor blade de administración para conmutación en caso de error. Especificar qué servidor blade será el de administración. 29

30 Preinstalación Planificación de la instalación Configuración de la administración desasistida Realice esta tarea para configurar la administración desasistida para la gestión remota del hardware del servidor blade. Para obtener más detalles sobre la configuración y el uso de la administración desasistida, consulte la HP Integrated Lights-Out 2 User Guide. Tarea 1 Con el administrador en tarjeta, asigne direcciones IP a los módulos Integrated Lights Out (ilo) para cada uno de los servidores blade. 2 Inicie sesión en el sistema de administración de HP. 3 Asigne una dirección IP para el servidor blade. Después de la instalación Una vez instalado el servidor blade, asegúrese de que su configuración funciona correctamente. Consulte Comprobación de la configuración. 30

31 Conexión y configuración del servidor blade La versión 5.6 de McAfee Content Security Blade Server se puede conectar a la red y configurar en los modos siguientes: Modo estándar (no resistente) Modo resistente Modo estándar (no resistente) El modo estándar (no resistente) utiliza los mismos componentes y procesos para conectar el servidor blade a la red que se han utilizado para todas las versiones anteriores del producto McAfee Content Security Blade Server. NOTA: en modo estándar (no resistente), el servidor blade no es inmune a los efectos provocados por fallos del hardware. Para resistir a ellos, plantéese el paso a modo resistente una vez que haya terminado de instalar, configurar y probar el servidor blade. Modo resistente La versión 5.6 de McAfee Content Security Blade Server incluye el funcionamiento en modo resistente para el servidor blade. En este modo, todas las conexiones entre la red y el servidor blade, así como las conexiones de la carcasa del servidor blade, se establecen de tal modo que se utilizan varias rutas. Las diversas rutas proporcionan una mayor resistencia frente al fallo de cualquiera de los componentes del servidor blade, los dispositivos de red o el cableado necesario para transportar el tráfico entre la red y el servidor blade. Después de configurar el servidor blade para que funcione en modo estándar (no resistente), consulte Funcionamiento en modo resistente para obtener más detalles sobre el paso al funcionamiento en modo resistente. Contenido Ampliación de versiones anteriores Instalación estándar Instalación del software Uso de la Consola de configuración Ampliación de versiones anteriores Los siguientes temas tratan la ampliación del software McAfee Content Security Blade Server a la versión

32 Conexión y configuración del servidor blade Ampliación de versiones anteriores Si tiene previsto pasar al funcionamiento en modo resistente, debe volver a configurar físicamente las interconexiones del servidor blade. ATENCIÓN: para ampliar versiones anteriores a la versión 5.6 de McAfee Content Security Blade Server, debe organizar una caída de red, puesto que el servidor blade interrumpirá el análisis del tráfico mientras se lleva a cabo la ampliación. NOTA: antes de ampliar el software en los servidores blade de administración para conmutación en caso de error y de administración, consulte Configuración de las interconexiones al ampliar una versión anterior y, si está considerando la utilización del modo resistente, Funcionamiento del modo resistente en el hardware. Este paso... está descrito aquí Haga copias de seguridad de la configuración actual. Apague todos los servidores blade de análisis. Apague los dos servidores blade de administración. Amplíe el software en los dos servidores blade de administración. Reinstale los servidores blade de análisis. Lleve a cabo la configuración para el modo resistente (si es necesario). Realización de copias de seguridad de la configuración actual Apagado de los servidores blade de análisis Apagado de los servidores blade de administración Ampliación del software del servidor blade de administración Reinstalación de los servidores blade de análisis Cómo decidir si utilizar el modo resistente Paso al funcionamiento en modo resistente Contenido Conexión y configuración del servidor blade Configuración de las interconexiones al ampliar una versión anterior Realización de copias de seguridad de la configuración actual Apagado de los servidores blade de análisis Apagado de los servidores blade de administración Ampliación del software del servidor blade de administración Reinstalación de los servidores blade de análisis Configuración de las interconexiones al ampliar una versión anterior La versión 5.6 de McAfee Content Security Blade Server presenta algunos cambios en el modo en que el servidor blade utiliza el hardware en la carcasa del blade, en concreto, los módulos de interconexión. Las versiones anteriores de McAfee Content Security Blade Server utilizaban dos módulos de interconexión: interconexión 1 para LAN1 e interconexión 2 para LAN2. El hardware proporcionado con la versión 5.6 utiliza: Interconexión 1 para LAN1 e interconexión 3 para LAN2 en modo estándar (no resistente). Interconexiones 1 y 2 para LAN1, e interconexiones 3 y 4 para LAN2 en modo resistente. Consulte Funcionamiento del modo resistente en el hardware para obtener más detalles. 32

33 Conexión y configuración del servidor blade Ampliación de versiones anteriores Al ampliar el software o el hardware a partir de una versión anterior, la versión 5.6 continúa utilizando las interconexiones de la versión anterior (interconexión 1 para LAN1 e interconexión 2 para LAN2) cuando el servidor blade se configura para usar el modo estándar (no resistente). No obstante, si opta por utilizar el modo resistente, debe volver a configurar la infraestructura de red para usar las interconexiones según se detalla en Instalación de las interconexiones para modo resistente. Ampliación de versiones anteriores Realización de copias de seguridad de la configuración actual Realice esta tarea para hacer copias de seguridad de la configuración del servidor McAfee Content Security Blade Server actual. Se recomienda crear una copia de seguridad completa de la configuración del servidor blade antes de llevar a cabo una ampliación, aunque tenga previsto utilizar una de las opciones de ampliación que incluyen una copia de seguridad y restauración de la configuración. Tarea 1 A partir de la interfaz de usuario, navegue a Sistema Administración de clústeres Configuración de copia de seguridad y restauración. 2 Seleccione los elementos opcionales que desee incluir en la copia de seguridad (pueden variar según la versión). Es aconsejable hacer copias de seguridad de todas las opciones antes de ampliar el servidor blade. 3 Haga clic en Configuración de copia de seguridad. 4 Tras un breve lapso de tiempo, aparece un cuadro de diálogo que le permite descargar el archivo de configuración con copia de seguridad a su equipo local. Paso al funcionamiento en modo resistente Ampliación de versiones anteriores Apagado de los servidores blade de análisis Realice esta tarea para apagar los servidores blade de análisis. Pasos preliminares Asegúrese de escoger un momento apropiado para apagar los servidores blade de análisis: cuando más bajo sea el nivel de tráfico de la red y más pequeña la interrupción. Tarea 1 En la interfaz de usuario del servidor blade de administración, vaya a Sistema Administración de clústeres Equilibrio de carga. 2 Introduzca la contraseña de administrador en el cuadro de texto. 3 Haga clic en Apagado, junto al servidor blade de análisis que desee apagar. 4 Si es necesario, repita el procedimiento para otros servidores blade de análisis que desee apagar. Ampliación de versiones anteriores 33

34 Conexión y configuración del servidor blade Ampliación de versiones anteriores Apagado de los servidores blade de administración Realice esta tarea para apagar el servidor blade de administración para conmutación en caso de error o el servidor blade de administración de McAfee Content Security Blade Server. Pasos preliminares Asegúrese de escoger un momento apropiado para apagar los servidores blade de administración: cuando más bajo sea el nivel de tráfico de la red y más pequeña la interrupción. Tarea 1 Desde la interfaz de usuario del servidor blade de administración para conmutación en caso de error y del servidor blade de administración, vaya a Sistema Administración de dispositivo Administración del sistema. 2 Introduzca la contraseña en el cuadro de texto situado junto a Apagar dispositivo. 3 Haga clic en Apagar dispositivo. 4 Si es necesario, repita este procedimiento en el servidor blade de administración restante. Ampliación de versiones anteriores Ampliación del software del servidor blade de administración Realice esta tarea para ampliar el software McAfee Content Security Blade Server instalado en los servidores blade de administración para conmutación en caso de error y de administración. Cuando vaya a realizar la ampliación de un servidor McAfee Content Security Blade Server existente a la versión más reciente, asegúrese de instalar el software tanto en el servidor blade de administración como en el servidor blade de administración para conmutación en caso de error. Puede escoger el modo en que se va a ampliar el software del servidor blade: Instalación completa sobrescribiendo los datos existentes Instalación del software conservando la configuración y los mensajes de correo electrónico Instalación del software conservando sólo la configuración de red Instalación del software conservando sólo la configuración NOTA: debido a un cambio de arquitectura entre las versiones anteriores y la versión 5.6 del software, al realizar una ampliación mediante un método que mantenga la configuración de la versión anterior, debe asegurarse de modificar el Identificador de clúster y establecerlo en un valor entre 0 y 255. Esta configuración se puede encontrar en Sistema Administración de clústeres Equilibrio de carga Modo de clúster Identificador de clúster. Pasos preliminares Familiarícese con el módulo Integrated Lights-Out de HP. Consulte HP Integrated Lights-Out User Guide para obtener más detalles. Tarea 1 Apague el servidor blade de administración que se va a ampliar. 2 Introduzca el CD-ROM que contiene el software and Web Security v5.6. En las carcasas M3, introduzca el CD-ROM en la unidad de CD-ROM integrada. 34

35 Conexión y configuración del servidor blade Ampliación de versiones anteriores En las carcasas M7, conecte la unidad de CD-ROM externa al servidor blade de administración que se va a ampliar. Cuando esté conectada, introduzca el CD-ROM en la unidad de CD-ROM. 3 Conéctese a la carcasa a partir de un equipo en el que se esté ejecutando la prestación Integrated Lights-Out. 4 Seleccione los servidores blade de administración desde la consola Integrated Lights-Out. NOTA: el servidor blade de administración se encuentra en la ranura 1 y el servidor blade de administración para conmutación en caso de error, en la ranura 2 de la carcasa. 5 Seleccione la ficha Opciones de arranque. NOTA: también puede instalar el software a partir de una unidad USB, ya sea conectada al servidor blade o a la carcasa, o al equipo que ejecuta la prestación Integrated Lights-Out. 6 Compruebe que CD-ROM es el primer dispositivo que aparece en la lista de arranque. 7 Seleccione la ficha Dispositivos virtuales. 8 Haga clic en Pulsación momentánea para arrancar el servidor blade de administración desde el CD-ROM. 9 Siga las instrucciones que se le facilitan para seleccionar la opción de ampliación que necesite y para seleccionar las imágenes de software que se van a instalar. NOTA: si selecciona Instalación del software conservando la configuración y los mensajes de correo electrónico, la estructura de partición existente se restablecerá en el servidor blade. Esto quiere decir que no se creará una partición de rescate. Con Instalación del software conservando sólo la configuración de red o Instalación del software conservando sólo la configuración, se creará una partición de rescate. Ampliación de versiones anteriores Reinstalación de los servidores blade de análisis Realice esta tarea para volver a instalar los servidores blade de análisis en McAfee Content Security Blade Server. Pasos preliminares Familiarícese con el módulo Integrated Lights-Out de HP. Consulte HP Integrated Lights-Out User Guide para obtener más detalles. Tarea 1 Mediante la interfaz de Integrated Lights-Out de HP, seleccione el servidor blade de análisis que va a volver a instalar. 2 Seleccione la ficha Opciones de arranque. 3 En la lista desplegable Arranque único desde:, seleccione Tarjeta de interfaz de red de PXE **. 4 Haga clic en Aplicar. 5 Seleccione la ficha Dispositivos virtuales. 6 Haga clic en Pulsación momentánea para arrancar el servidor blade de análisis a partir de la imagen almacenada en el servidor blade de administración. 7 Repita este proceso en cada servidor blade de análisis que se vuelva a instalar. 35

36 Conexión y configuración del servidor blade Instalación estándar Ampliación de versiones anteriores Instalación estándar La siguiente tabla proporciona una descripción general del proceso para instalar la versión 5.6 de McAfee Content Security Blade Server. Los pasos de esta tabla también pueden llevarse a cabo como pasos preliminares en caso de que deba volver a configurar el servidor blade para su funcionamiento en modo resistente. Este paso... está descrito aquí Desembale el paquete y compruebe que el contenido se corresponde con las listas de embalaje de la caja. Monte la carcasa en el bastidor e instale el administrador de tarjeta y todas las interconexiones. Conecte los dispositivos periféricos y enciéndalos. Conecte el servidor blade a la red. Instale el software en los servidores blade de administración. Lleve a cabo una configuración básica. Seleccione el software para instalar. Listas de embalaje Instalación física del servidor blade Instalación de las interconexiones Véase también HP BladeSystem c3000 Enclosure Quick Setup Instructions o HP BladeSystem c7000 Enclosure Quick Setup Instructions HP BladeSystem c3000 Enclosure Setup and Installation Guide o HP BladeSystem c7000 Enclosure Setup and Installation Guide HP Integrated Lights-Out User Guide Alimentación del servidor blade Véase también HP BladeSystem c3000 Enclosure Quick Setup Instructions o HP BladeSystem c7000 Enclosure Quick Setup Instructions HP BladeSystem c3000 Enclosure Setup and Installation Guide o HP BladeSystem c7000 Enclosure Setup and Installation Guide HP Integrated Lights-Out User Guide Conexión a la red Instalación del software Uso de la Consola de configuración Imágenes de software 8. Instale cada uno de los servidores blade de análisis de contenido por separado y efectúe el arranque PXE desde el servidor blade de administración. Instalación del software en un servidor blade de análisis de contenido Enrute el tráfico de red de prueba a través del servidor blade. Compruebe que se analiza el tráfico de red. Configure las directivas y la generación de informes. Configure el tráfico de producción que pasa a través del sistema. Comprobación de la configuración Comprobación de la configuración Uso de directivas para administrar el análisis de mensajes Uso de la Consola de configuración ATENCIÓN: si conecta el servidor blade a la red, el acceso a Internet o el acceso a otros servicios de red pueden verse afectados. Asegúrese de que ha escogido un momento de inactividad de la red para ello y de que la planificación se corresponde con períodos de poco uso de la red. 36

37 Conexión y configuración del servidor blade Instalación estándar Contenido Conexión y configuración del servidor blade Instalación física del servidor blade Instalación de las interconexiones Alimentación del servidor blade Conexión a la red Instalación física del servidor blade NOTA: si desea obtener más información sobre el montaje y desmontaje de los componentes y las carcasas del blade, consulte HP BladeSystem c3000 Enclosure Quick Setup Instructions y HP BladeSystem c3000 Enclosure Setup and Installation Guide para carcasas M3, o HP BladeSystem c7000 Enclosure Quick Setup Instructions y HP BladeSystem c7000 Enclosure Setup and Installation Guide para carcasas M7. Use esta tarea para efectuar una instalación física del servidor blade. Tarea 1 Saque el servidor blade del paquete que lo protege y colóquelo en una superficie plana. SUGERENCIA: debido a su peso, desembale el servidor blade lo más cerca posible de la ubicación de instalación. 2 Extraiga los componentes frontales, los componentes traseros y el armazón trasero del servidor blade. 3 Vuelva a instalar el armazón trasero, las fuentes de alimentación, los ventiladores de refrigeración, las interconexiones y los componentes del administrador de tarjeta. SUGERENCIA: para proporcionar redundancia en caso de que se produzca un fallo en una unidad de refrigeración o fuente de alimentación, es aconsejable instalar y utilizar todas las fuentes de alimentación y ventiladores de refrigeración. 4 Conecte un monitor y un teclado al servidor blade. 5 Conecte los cables de alimentación al monitor y al servidor blade, pero no los conecte aún a la fuente de alimentación. Instalación de las interconexiones Antes de establecer conexiones, debe instalar y configurar las interconexiones de Ethernet. Tabla 1: Clave para las figuras 9 y 10 # Descripción Conexiones de alimentación Interconexión 1 (se conecta a LAN1) Interconexión 3 (se conecta con LAN2) (en caso de ampliación de versiones anteriores en el hardware existente, consulte Configuración de las interconexiones al ampliar una versión anterior). Conexión del administrador de tarjeta Módulo del administrador de tarjeta 37

38 Conexión y configuración del servidor blade Instalación estándar # Descripción Acceso fuera de banda (puerto 20) (Sólo se activa una vez que se han configurado las interconexiones.) Carcasas M3 En las carcasas M3, las interconexiones se instalan en la parte posterior. La interconexión LAN1 se coloca en el compartimento de interconexión superior izquierdo y la LAN2, en el compartimento de interconexión inferior izquierdo. Figura 9: Modo estándar (no resistente) posición de los componentes traseros de la carcasa M3 Carcasas M7 En las carcasas M7, las interconexiones se instalan en la parte trasera, bajo la fila superior de ventiladores de refrigeración. 38

39 Conexión y configuración del servidor blade Instalación estándar La interconexión LAN1 se coloca en el compartimento de interconexión superior izquierdo y la interconexión LAN2, inmediatamente bajo la interconexión LAN1 en el compartimento de interconexión inferior izquierdo. Figura 10: Modo estándar (no resistente) posición de los componentes traseros de la carcasa M7 Asegúrese de hacer lo siguiente: Desactivar el protocolo de árbol de expansión (STP, Spanning Tree Protocol) para el grupo del árbol de expansión 1 (de forma predeterminada, todos los puertos son miembros del grupo STP 1). (Si está instalando el servidor blade en modo de puente transparente.) Configurar las listas de control de acceso (ACL) en las interconexiones para aislar los servidores blade de análisis de contenido de las direcciones DHCP externas de recepción. Configurar las listas de control de acceso (ACL) de modo que los paquetes de latido de blade se mantengan en el servidor blade. Si el tráfico con etiquetas VLAN va a pasar por el servidor blade, las interconexiones se deben configurar para permitir el paso de dicho tráfico. En la documentación incluida a continuación podrá encontrar información sobre el modo de hacerlo: HP GbE2c Layer 2/3 Ethernet Blade Switch for c-class BladeSystem Quick Setup HP GbE2c Layer 2/3 Ethernet Blade Switch for c-class BladeSystem User Guide NOTA: si tiene previsto volver a configurar el servidor blade para una operación en modo resistente en una fecha posterior, puede interesarle llevar a cabo la instalación de todas las interconexiones necesarias en esta fase, según se detalla en Instalación de las interconexiones para modo resistente. Instalación estándar Alimentación del servidor blade Realice esta tarea para suministrar alimentación al servidor blade y encenderlo. 39

40 Conexión y configuración del servidor blade Instalación estándar Tarea 1 Conecte los cables de alimentación del servidor blade a las unidades de alimentación del blade y a las tomas de alimentación. NOTAS Para asegurarse de que todos los servidores blade se encienden, utilice dos circuitos de alimentación distintos. Si sólo se utiliza uno y la configuración de administración de alimentación se configura como CA redundante (como se recomienda), algunos servidores blade no se encenderán. Si los cables de alimentación no son adecuados para el país en el que se van a utilizar, póngase en contacto con el proveedor. 2 Encienda el servidor blade con los botones para tal fin de los servidores blade de administración para conmutación en caso de error y de administración. Instalación estándar Conexión a la red Las interconexiones y los cables que utilice para conectar el servidor blade a su red dependen del modo de red que seleccione para su servidor blade. Para obtener más información acerca de los modos de red, consulte Consideraciones sobre los modos de red. NOTA: cuando realice la ampliación a partir de una versión anterior de un hardware existente, consulte Configuración de las interconexiones al ampliar una versión anterior para obtener información sobre las conexiones de red que se van a usar. En modo estándar, se necesitan las siguientes conexiones entre el servidor blade y los conmutadores de red: Modo Puente transparente: el servidor blade actúa a modo de puente entre dos segmentos de red. Conecte la interconexión 1 (LAN1) a un segmento y la interconexión 3 (LAN2) al otro mediante los cables conectados a uno de los puertos situados en cada una de las unidades de interconexión. La conexión de administración fuera de banda se puede realizar con otro de los puertos LAN2 y configurar según corresponda. Modo Router transparente: el servidor blade actúa a modo de router, uniendo dos redes separadas. Conecte la interconexión 1 (LAN1) a una red y la interconexión 3 (LAN2) a la otra mediante los cables conectados a uno de los puertos situados en cada una de las unidades de interconexión. La conexión de administración fuera de banda se puede realizar con otro de los puertos LAN2 y configurar según corresponda. Modo Proxy explícito: se necesita una única conexión entre la interconexión 3 (LAN2) y su red. (En los sistemas ampliados que utilizan hardware más antiguo, LAN2 se conecta mediante la interconexión 2.) LAN1 se puede utilizar para establecer conexión con la red, pero el máximo rendimiento se obtiene cuando se utiliza LAN1 para la red de análisis en el servidor blade. (Esta limitación no se aplica cuando se utiliza el modo resistente.) Uso de conexiones LAN de cobre Con las conexiones de interconexión de LAN1 y LAN2, y los cables de red proporcionados (o los cables Ethernet Cat 5e o Cat 6 equivalentes), conecte el servidor blade a la red de acuerdo con el modo de red que haya elegido. 40

41 Conexión y configuración del servidor blade Instalación del software Modo Puente transparente Use los cables LAN de cobre (proporcionados) para conectar las interconexiones de LAN1 y LAN2 del servidor blade a la red, de forma que éste quede insertado en la transmisión de datos. Modo Router transparente El servidor blade funciona como un router. Los segmentos LAN conectados a sus dos interfaces de red deben, por tanto, estar en subredes IP distintas. Debe sustituir un router existente o crear una nueva subred en un extremo del servidor blade. Para ello, cambie la dirección IP o la máscara de red usada por los equipos de esa parte. Modo Proxy explícito Use un cable LAN de cobre (proporcionado) para conectar la interconexión LAN2 a la red. El cable es recto (no cruzado) y conecta el servidor blade a una interconexión normal de red RJ-45 no cruzada. LAN1 se puede utilizar para establecer conexión con la red, pero el máximo rendimiento se obtiene cuando se utiliza LAN1 para la red de análisis en el servidor blade. (Esta limitación no se aplica cuando se utiliza el modo resistente.) Uso de conexiones LAN de fibra Antes de establecer cualquier tipo de conexión, debe instalar los receptores SFP (del inglés, Small Form-Factor Pluggable) de fibra óptica. Para ello, consulte HP GbE2c Layer 2/3 Ethernet Blade Switch for c-class BladeSystem. NOTA: utilice únicamente receptores SFP de fibra óptica suministrados por HP o McAfee. El uso de receptores SFP de otros proveedores puede impedir el acceso al servidor blade. Utilice los cables de fibra para conectar las interconexiones LAN1 y LAN2 a su red. Las interconexiones y los cables que utilice dependen del modo en que vaya a utilizar el servidor blade. Modo Puente transparente Utilice los cables de fibra para conectar las interconexiones LAN1 y LAN2 a su red. Modo Router transparente Utilice los cables de fibra para conectar las interconexiones LAN1 y LAN2 a diferentes subredes IP. Modo Proxy explícito Use un cable LAN de fibra (proporcionado) para conectar la interconexión LAN2 a la red. LAN1 se puede utilizar para establecer conexión con la red, pero el máximo rendimiento se obtiene cuando se utiliza LAN1 para la red de análisis en el servidor blade. (Esta limitación no se aplica cuando se utiliza el modo resistente.) Instalación del software Utilice estas tareas para instalar el software del servidor blade en los servidores blade de administración para conmutación en caso de error y de administración. 41

42 Conexión y configuración del servidor blade Instalación del software Tareas Conexión y configuración del servidor blade Orden de instalación de los servidores blade de administración Imágenes de software Instalación del software en un servidor blade de análisis de contenido Orden de instalación de los servidores blade de administración Instale físicamente tanto el servidor blade de administración para conmutación en caso de error como el de administración en las ranuras 1 y 2 de la carcasa del servidor blade. Con las instrucciones que se facilitan en Instalación del software en servidores blade de administración, conéctese a ambos servidores blade de administración e instale el software. Mediante la configuración simultánea de ambos servidores blade de administración, no sólo se agiliza el proceso, sino que se evita que se asigne una dirección IP al segundo servidor blade de administración en la red de análisis cuando el primer servidor blade de administración inicia su servidor DHCP. Instalación del software Imágenes de software Con Content Security Blade Server 5.6, puede seleccionar las imágenes de software que se pueden instalar en los servidores blade de análisis de contenido. Las opciones son las siguientes: and Web Security Security Web Security McAfee Web Gateway (anteriormente WebWasher) Si selecciona and Web Security, todos los servidores blade de análisis de contenido tienen esta imagen de software instalada. Si selecciona Security y Web Security o McAfee Web Gateway, configura cada servidor blade de análisis de contenido para que analice el tráfico web o de correo electrónico. NOTA: puede seleccionar Web Security o McAfee Web Gateway. No se pueden instalar ambas imágenes de análisis web en el mismo sistema de blade. Consulte la Guía de instalación y configuración de McAfee Web Gateway Appliances para obtener más información sobre la configuración del software McAfee Web Gateway. Instalación del software Instalación del software en servidores blade de administración Sincronización de cambios en la configuración Instalación del software en servidores blade de administración Realice esta tarea para instalar el software en el servidor blade de administración o en el servidor blade de administración para conmutación en caso de error. Puede instalar el software en el servidor blade tanto in situ como de forma remota, con la prestación Integrated Lights-Out. La prestación Integrated Lights-Out cuenta con una función multimedia virtual que puede utilizar para instalar de forma remota una unidad física de CD-ROM, un archivo de imagen iso o una unidad USB que contiene información de instalación. 42

43 Conexión y configuración del servidor blade Instalación del software Pasos preliminares Compruebe si hay versiones más recientes del software disponibles en el sitio de descarga de McAfee: NOTA: necesitará un número de concesión válido. Tarea 1 Introduzca el servidor blade de administración en la posición 1 (en el caso del servidor blade de administración) o en la posición 2 (en el caso del servidor blade de administración para conmutación en caso de error). 2 Conéctese al servidor blade: Para la carcasa M3, conecte un monitor y un teclado a KVM, que se encuentra en la parte posterior del chasis. A continuación, con la interfaz de KVM, monte la unidad de CD/DVD-ROM en el servidor blade de administración que se está instalando. Para la carcasa M7, utilice el cable proporcionado y conecte un monitor, un teclado y una unidad de CD-ROM o USB al conector directo del servidor blade de administración para conmutación en caso de error y del servidor blade de administración. Para la instalación remota, acceda al módulo Integrated Lights-Out mediante el administrador de tarjeta para establecer una sesión de KVM remota. 3 Arranque el servidor blade de administración o el servidor blade de administración para conmutación en caso de error desde el CD de recuperación e instalación. El software se instala en el servidor blade seleccionado. 4 Defina la configuración básica. Consulte Uso de la Consola de configuración. Imágenes de software Sincronización de cambios en la configuración Todo cambio realizado en la configuración del servidor blade de administración se sincroniza automáticamente con el servidor blade de administración para conmutación en caso de error y con los servidores blade de análisis de contenido. En el Panel, compruebe el estado del servidor blade de administración para conmutación en caso de error y del servidor blade de administración para asegurarse de que se ha producido la sincronización. Instalación del software en un servidor blade de análisis de contenido Realice esta tarea para instalar el software en un servidor blade de análisis de contenido. Tarea 1 En la interfaz de usuario, seleccione Panel. Estado de blade aparece en la parte inferior de la página. 2 Introduzca el servidor blade de análisis de contenido en la carcasa. El servidor blade aparece en la página Estado de blade con el estado INSTALACIÓN. El software se instala automáticamente en el servidor blade de análisis de contenido desde el servidor blade de administración. Para que se complete este proceso son necesarios unos 10 minutos aproximadamente. 43

44 Conexión y configuración del servidor blade Uso de la Consola de configuración 3 La información se actualiza automáticamente. Tras unos minutos, el estado pasa a ARRANQUE, después a SINCRONIZACIÓN y, a continuación, a ACEPTAR. El nuevo servidor blade de análisis de contenido ya está operativo. Instalación del software Uso de la Consola de configuración El proceso de configuración se ha simplificado en la versión 5.6 del software. Ahora puede configurar el dispositivo desde la Consola de configuración o desde el Asistente de configuración en la interfaz de usuario. La Consola de configuración se inicia automáticamente en la última fase de la secuencia de inicio, después de lo siguiente: El inicio de un dispositivo sin configurar O bien, el restablecimiento de los valores predeterminados del dispositivo Cuando se inicia la Consola de configuración, ésta le proporciona una serie de opciones para configurar el dispositivo en el idioma que desee desde la consola del dispositivo; o bien, instrucciones para que se conecte al Asistente para la instalación en la interfaz de usuario desde otro equipo de la misma subred. Ambos métodos le proporcionan las mismas opciones para configurar el dispositivo. NOTA: en la Consola de configuración, puede configurar una nueva instalación del software del servidor blade. Sin embargo, para configurar el servidor blade con un archivo de configuración guardado con anterioridad, debe iniciar sesión en la interfaz de usuario del servidor blade y ejecutar el Asistente para la instalación (Sistema Asistente de configuración). Otra novedad de esta versión del software es la configuración automática a través de DHCP para los parámetros siguientes: Nombre de host Nombre de dominio Gateway predeterminada Servidor DNS Concesión de dirección IP Servidor NTP Conexión y configuración del servidor blade Página de bienvenida Realización de una configuración personalizada Restauración desde un archivo Página de bienvenida Esta es la primera página del Asistente para la instalación. Seleccione Instalación personalizada para configurar el servidor blade o Restaurar desde un archivo para restaurar la configuración de un servidor blade previamente guardada. NOTA: si accede a esta página desde el Asistente para la instalación, se le pedirá que introduzca su nombre de usuario y contraseña. 44

45 Conexión y configuración del servidor blade Uso de la Consola de configuración Realización de una configuración personalizada Tráfico Para efectuar una configuración personalizada, el asistente incluye las páginas siguientes: Tráfico Configuración básica Configuración de red Administración de clústeres DNS y enrutamiento Configuración de hora Contraseña Resumen Utilice esta página para especificar el tipo de tráfico que analiza el dispositivo. El tráfico web incluye HTTP (para navegación web), ICAP (para utilizar con clientes ICAP) y FTP para transferencia de archivos. El tráfico de correo electrónico incluye SMTP y POP3. Puede activar o desactivar cada uno de los protocolos (SMTP, POP3, HTTP, ICAP y FTP). Si el dispositivo se encuentra en modo Router transparente o en modo Puente transparente y el protocolo está desactivado, el tráfico del protocolo pasará por el dispositivo, pero no se analizará. NOTA: si está instalando el software McAfee Web Gateway, el dispositivo debe estar configurado en el modo Proxy explícito. Si va a utilizar Web Security Gateway, especifique la planificación de las actualizaciones de software en esta página y cargue el archivo de licencia. Si el dispositivo se encuentra en modo Proxy explícito y el protocolo está desactivado, se rechazará el tráfico dirigido al servidor blade para ese protocolo. El protocolo se encuentra bloqueado en el dispositivo. En el modo Proxy explícito, el servidor blade sólo administra tráfico SMTP, POP3, HTTP, ICAP y FTP. El resto de tráfico se rechaza. Si, después de la instalación, no desea analizar ninguno de los tipos de tráfico, puede desactivar cada uno de los protocolos desde su página. En el menú, seleccione Correo electrónico Configuración de correo electrónico Configuración de protocolo o Web Configuración web Definiciones de las opciones Opción Analizar tráfico web Definición Uso de dispositivos de análisis de Web Gateway Seleccione esta opción para instalar el software McAfee Web Gateway (anteriormente WebWasher) en uno o más servidores blade de análisis de contenido. Otras opciones le permiten: Cargar el archivo de licencia de Web Gateway. Definir el intervalo de actualizaciones del filtro de URL. Definir el intervalo de actualizaciones de antivirus de McAfee Web Gateway. Definir el intervalo de actualizaciones del análisis proactivo. 45

46 Conexión y configuración del servidor blade Uso de la Consola de configuración Opción Definición Definir el intervalo de actualizaciones de CRL. Uso de dispositivos de análisis de Web Security Seleccione esta opción para instalar el análisis de Web Security en el servidor blade. También puede seleccionar Activar protección contra programas potencialmente no deseados (incluido spyware). McAfee Anti-Spyware protege la red frente a numerosos tipos de softwares potencialmente no deseados como spyware, adware, herramientas de administración remota, marcadores y crackers de contraseñas. Esta función no está activada de forma predeterminada. NOTA: McAfee Anti-Spyware se ha diseñado para detectar y, con permiso del usuario, eliminar los programas potencialmente no deseados (PUP). Algunos programas que se compran o descargan intencionadamente actúan como host de los programas potencialmente no deseados. La eliminación de estos programas potencialmente no deseados puede impedir que sus host funcionen. Asegúrese de revisar los acuerdos de licencia de estos programas de host para obtener más información. McAfee, Inc. no fomenta ni aprueba el incumplimiento de los acuerdos de licencia que haya firmado. Antes de descargar o instalar un programa de software, lea detenidamente los detalles de todos los acuerdos de licencia y políticas de privacidad. Analizar tráfico de correo electrónico Dominio de retransmisión local El tráfico de correo electrónico incluye SMTP y POP3. Después de la instalación: El dispositivo protege la red contra virus, spam y phishing, además utiliza McAfee TrustedSource para proteger la red de correo electrónico no deseado. Otras opciones disponibles son: Activar protección contra programas potencialmente no deseados (incluido spyware) Analizar tráfico SMTP Analizar tráfico POP3 En Opciones de retransmisión, el dispositivo propone la información del dominio si ésta está disponible a través de DHCP. Borre el asterisco para aceptar el nombre de dominio o escriba otro nombre de dominio. Configuración básica Utilice esta página para especificar la configuración básica para el servidor blade. El servidor blade intenta proporcionarle información y muestra la información resaltada en ámbar. Para cambiar la información, haga clic y vuelva a escribir. Definiciones de las opciones Opción Definición Modo de clúster Dispositivo principal del clúster: este blade se convierte en el servidor blade de administración y controla la carga de trabajo de análisis para otros servidores blade de análisis de contenido. Dispositivo de conmutación en caso de error del clúster del servidor blade: si el servidor blade de administración falla, este blade controla la carga de trabajo de análisis en su lugar. Nombre del dispositivo Nombre de dominio Especifica un nombre como, por ejemplo, dispositivo1. Especifica un nombre como, por ejemplo, dominio.ejemplo.com. 46

47 Conexión y configuración del servidor blade Uso de la Consola de configuración Opción Gateway predeterminada (IPv4) Router de salto siguiente (IPv6) Definición Especifica una dirección IPv4 como, por ejemplo, Puede probar más tarde si el dispositivo se puede comunicar con este servidor. Especifica una dirección IPv6 como, por ejemplo, FD4A:A1B2:C3D4::1. Configuración de red La primera vez que ejecuta una configuración en una nueva instalación o que restablece la configuración predeterminada, se abre la página Configuración de red. Si cambia el modo de clúster del dispositivo, también se abrirá esta página. En esta página podrá configurar la dirección IP, la velocidad de la red y el modo operativo del dispositivo. Si es posible, el dispositivo llenará muchas de estas opciones mediante DHCP. Las direcciones IP deben ser únicas y adecuadas para la red. Especifique sólo las direcciones IP que necesite. Definiciones de las opciones Opción Cambiar la configuración de la red Modo operativo Tipo de interfaz LAN Dirección IP Definición Al hacer clic aquí, se inicia un asistente con las opciones siguientes. Permite seleccionar el modo. En el modo Router transparente o en el modo Puente transparente, otros dispositivos de red, como los servidores de correo, ignoran que el servidor blade ha interceptado y analizado el correo electrónico antes de reenviarlo. El funcionamiento es transparente para los dispositivos. En el modo Proxy explícito, algunos dispositivos de red envían tráfico al dispositivo. El servidor blade funciona entonces como proxy y procesa el tráfico en lugar de los dispositivos. Especifica el tipo de conexión: de hilo de cobre o de fibra óptica. Esta opción está disponible únicamente con dispositivos de mayor velocidad. Especifica las direcciones de red para permitir que el servidor blade se comunique con la red. Por ejemplo, Especifique la dirección IP para cada servidor blade de administración. Puede especificar varias direcciones IP para los puertos del servidor blade. Si el servidor blade se encuentra en modo de puente transparente, las direcciones IP se combinarán en una lista para ambos puertos. En el resto de modos, haga clic en Interfaz de red 1 o Interfaz de red 2 para trabajar en cada una de las dos listas. Configure la dirección IP para el servidor blade de administración y para el equilibrio de carga. Si está en modo de proxy explícito o de router transparente, cree una dirección IP virtual. La dirección IP virtual debe ser la misma tanto para el servidor blade de administración como para el servidor blade de administración para conmutación en caso de error. NOTA: tendrá que configurar el servidor blade de administración para conmutación en caso de error con direcciones IP diferentes a las del servidor blade de administración para la dirección IP física y el equilibrio de carga. La dirección IP de la parte superior de una lista es la dirección principal. Las direcciones IP que se encuentren por debajo son "alias". Máscara de red Especifica una máscara de red IPv4, por ejemplo: , o bien, especifica la longitud del prefijo IPv6 (1-64 ó 128). 47

48 Conexión y configuración del servidor blade Uso de la Consola de configuración Administración de clústeres Utilice esta página para especificar los requisitos del equilibrio de carga. Administración de clústeres (dispositivo principal del clúster) Administración de clústeres (dispositivo de conmutación en caso de error del clúster) Un clúster es un grupo de dispositivos que comparte su configuración y equilibra el tráfico de red. El clúster contiene: Un dispositivo principal del clúster. El dispositivo principal del clúster sincroniza la configuración y equilibra la carga de tráfico de red con otros miembros del clúster. Un dispositivo de conmutación en caso de error del clúster. Si el dispositivo principal del clúster falla, el dispositivo de conmutación en caso de error del clúster asumirá el trabajo del dispositivo principal sin problemas. Uno o más analizadores de clústeres. Éstos analizan el tráfico de acuerdo con las directivas sincronizadas desde el dispositivo principal del clúster. Ventajas El rendimiento se amplía gracias al equilibrio de carga entre varios dispositivos, lo que hace innecesarias las costosas ampliaciones. La administración es más sencilla gracias a la sincronización de la configuración y las actualizaciones, lo que reduce los gastos administrativos. La resistencia es mayor gracias a la alta disponibilidad, lo que reduce las posibles interrupciones no planificadas. La información es mejor gracias a informes consolidados. Configuración del clúster En la configuración del dispositivo principal o el de conmutación en caso de error, el administrador debe hacer lo siguiente: Para el modo Proxy o Router transparente, debe definir una dirección IP virtual que sea igual en el dispositivo principal y en el de conmutación en caso de error del clúster. Así, los miembros del clúster usarán el protocolo VRRP para la conmutación en caso de error. Para el modo Puente transparente, debe configurar el clúster de modo que utilice el protocolo STP para la conmutación en caso de error. La prioridad de puente debe ser inferior en el dispositivo principal (establecido de forma predeterminada). Para todos los miembros del clúster, el administrador debe definir el identificador de clúster. Este identificador único garantiza que los miembros del clúster están unidos correctamente. Para crear varios clústeres, puede usar un identificador distinto para cada uno. Dirija todo el tráfico de red que se va a analizar al dispositivo principal del clúster o a la dirección IP virtual si se va a utilizar un dispositivo de conmutación en caso de error del clúster. Administración del clúster Una vez que se ha configurado, el clúster se añade de forma automática a través del identificador de clúster. El Panel del dispositivo principal del clúster muestra el tipo de dispositivo y de clúster. Ahora, el administrador sólo necesita utilizar la interfaz de usuario del dispositivo principal del clúster para llevar a cabo las tareas de administración, por ejemplo, definir los análisis de directivas. El dispositivo principal del clúster insertará de forma automática esta configuración en el resto de miembros del clúster. El dispositivo principal del clúster reúne: Actualizaciones de antivirus 48

49 Conexión y configuración del servidor blade Uso de la Consola de configuración Informes Correo electrónico en cola McAfee Quarantine Manager (MQM) NOTA: se deben aplicar parches de software en el servidor blade de administración, que, a su vez, los distribuirá al servidor blade de administración para conmutación en caso de error y a los servidores blade de análisis de contenido. Administración de clústeres (dispositivo principal del clúster) En esta página podrá especificar información para un servidor blade de administración. Opción Dirección que se debe utilizar para el equilibrio de carga Identificador de clúster Definición Especifica la dirección del servidor blade de administración. Especifica un identificador. El intervalo es Administración de clústeres (dispositivo de conmutación en caso de error del clúster) En esta página podrá especificar información para un servidor blade de administración para conmutación en caso de error. Opción Dirección que se debe utilizar para el equilibrio de carga Identificador de clúster Definición Especifica la dirección del servidor blade de administración para conmutación en caso de error. Proporciona una lista de todas las subredes asignadas al dispositivo. Especifica un identificador. El intervalo es DNS y enrutamiento En esta página podrá configurar el uso del dispositivo DNS y de las rutas. Los servidores de sistema de nombres de dominio (DNS) traducen o asignan los nombres de los dispositivos de red a direcciones IP (y a la inversa). El dispositivo envía solicitudes a los servidores DNS en el orden en que aparecen en esta lista. Definiciones de las opciones Opción Dirección del servidor Dirección de red Máscara Gateway Definición Especifica los servidores DNS. El primer servidor de la lista debe ser el servidor más rápido o fiable. Si el primer servidor no puede solucionar la solicitud, el dispositivo se pone en contacto con el segundo servidor. Si ningún servidor de la lista puede solucionar la solicitud, el dispositivo reenvía dicha solicitud a los servidores de nombre raíz de DNS de Internet. Si su firewall impide la búsqueda DNS (normalmente, en puerto 53), especifique la dirección IP de un dispositivo local que proporcione una resolución de nombres. Muestra la dirección de red de un dispositivo enrutado. Muestra la máscara de subred de red como, por ejemplo, Especifica las direcciones IP de otras gateways (normalmente, firewall o routers) a través de las cuales el dispositivo se comunicará con la red. La página de Configuración básica especifica la gateway predeterminada. 49

50 Conexión y configuración del servidor blade Uso de la Consola de configuración Opción Métrica Activar enrutamiento dinámico Definición Muestra un número utilizado por el software de enrutamiento. El valor predeterminado es 0.0. El enrutamiento dinámico permite que los dispositivos de red, incluido el propio dispositivo, escuchen la información de enrutamiento que los routers difunden en la red. Los dispositivos pueden utilizar esa información para configurar su propia información de enrutamiento. NOTA: el dispositivo sólo es compatible con el Protocolo de información de enrutamiento (RIP, Routing Information Protocol) y con los protocolos de enrutamiento Abrir primero la ruta de acceso más corta (OSPF, Open Shortest Path First). Configuración de hora En esta página podrá configurar la fecha y hora, así como cualquier detalle para la utilización del Network Time Protocol (NTP, Protocolo de tiempo de la red). El NTP sincroniza la hora de los dispositivos de una red. Algunos Proveedores de servicios de Internet (ISP, Internet Service Providers) proporcionan un servicio que determina la hora. Para obtener más información sobre el NTP, consulte RFC 1305 en o El dispositivo puede sincronizar la configuración de hora con otros dispositivos y mantener con precisión los propios registros, informes y programaciones. Dado que los mensajes NTP no se envían a menudo, no influyen de forma notable en el rendimiento de los servidores blade. Definiciones de las opciones Opción Zona horaria Hora del sistema (local) Definir hora Activar NTP Activar difusiones de cliente NTP Servidor NTP Definición Especifica su zona horaria local. Puede que necesite configurar esta opción dos veces al año si en su región se aplica el cambio horario. Especifica la fecha y la hora locales. Para configurar la fecha, haga clic en el icono del calendario. Al hacer clic en esta opción, se configura la hora del dispositivo. Debe hacer clic en este botón antes de hacer clic en Siguiente. Si es necesario, podrá configurar el Network Time Protocol (NTP) después de la instalación. Al seleccionar esta opción, acepta los mensajes NTP desde un servidor especificado o desde una difusión de red. Al seleccionar esta opción, sólo acepta los mensajes NTP de difusiones de red. Este método resulta útil en redes con tráfico denso pero debe confiar en otros dispositivos de la red. Al anular la selección de esta opción, sólo se aceptan mensajes NTP de servidores especificados en la lista. Muestra la dirección de red o un nombre de dominio de uno o varios servidores NTP utilizados por el dispositivo. Si especifica varios servidores, el dispositivo analiza cada uno de los mensajes NTP para determinar la hora correcta. 50

51 Conexión y configuración del servidor blade Uso de la Consola de configuración Contraseña En esta página podrá especificar una contraseña para el dispositivo. Para crear una contraseña segura, incluya letras y números. Puede introducir hasta 15 caracteres. Definiciones de las opciones Opción ID de usuario Contraseña Definición Éste es scmadmin. Puede agregar más usuarios posteriormente. Especifica la nueva contraseña. Cambie la contraseña lo antes posible para que su dispositivo se mantenga seguro. Debe introducir dos veces la nueva contraseña para confirmarla. La contraseña original predeterminada es scmchangeme. NOTA: debe cambiar la contraseña original predeterminada antes de que pueda aplicar la configuración. Resumen En esta página podrá consultar un resumen de la configuración realizada con el Asistente de configuración. Para modificar cualquier valor, haga clic en el vínculo azul para que se muestre la página en la que introdujo el valor anteriormente. Después de hacer clic en Finalizar, termina el Asistente de configuración. Utilice la dirección IP indicada en esta página para acceder a la interfaz. Por ejemplo, Observe que la dirección comienza por https y no http. Cuando inicia sesión en la interfaz por primera vez, introduzca el nombre de usuario scmadmin y la contraseña que le ha dado a este Asistente de configuración. Definiciones de las opciones Opción Definición El valor se configura según la práctica recomendada. Probablemente el valor no sea correcto. Aunque el valor es válido, no se encuentra configurado según la práctica recomendada. Compruebe el valor antes de continuar. No se ha configurado ningún valor. El valor no se ha modificado con respecto a su valor predeterminado. Compruebe el valor antes de continuar. Restauración desde un archivo Cuando configura el servidor blade desde el Asistente para la instalación de la interfaz de usuario, la opción Restaurar desde un archivo le permite importar información de configuración guardada anteriormente y aplicarla al servidor blade. Tras importar la información, puede realizar cambios en ella antes de aplicar la configuración. 51

52 Conexión y configuración del servidor blade Uso de la Consola de configuración Opción Importar configuración Valores para restaurar Configuración de mensajes de importación Definición Busque y seleccione un archivo de configuración guardado con anterioridad para cargarlo en el dispositivo. De forma predeterminada, se restaura toda la configuración. Puede restaurar sólo partes específicas de la configuración anulando la selección de la información que no desea restaurar. Tendrá la oportunidad de revisar estos cambios antes de aplicarlos. Mientras se importa el archivo de configuración, se muestran una serie de mensajes. Una vez que se ha importado la información de configuración, llega al modo personalizado del Asistente para la instalación (consulte Realización de una configuración personalizada). Todas las opciones importadas se muestran en las páginas del asistente, por lo que puede realizar correcciones antes de aplicar la configuración. Uso de la Consola de configuración 52

53 Introducción a Content Security Blade Server Esta información presenta los elementos de la interfaz utilizados en la versión 5.6 de McAfee Content Security Blade Server. Contenido Interfaz del usuario Información de estado del Panel y opciones de configuración Interfaz del usuario Use esta información para conocer cómo moverse por la interfaz de usuario. NOTA: la interfaz puede ser ligeramente diferente a la que se muestra en la Figura 11: Panel, ya que puede variar en función del número de servidores blade instalados y del idioma seleccionado. La interfaz contiene los elementos siguientes: Barra de navegación La barra de navegación contiene cuatro áreas: información del usuario, iconos de sección, barra de fichas y controles de soporte. Barra de información del usuario Iconos de sección El número de iconos de sección depende la versión del software que esté usando. Haga clic en un icono para cambiar la información que aparece en el área de contenido y en la barra de fichas. Los iconos incluyen lo siguiente: Tabla 2: Elementos de sección Icono Menú Funciones Panel Informes En esta página podrá ver un resumen del dispositivo. Desde esta página podrá acceder a la mayor parte de las páginas que controlan el dispositivo. Utilice las páginas de Informes para visualizar los eventos registrados en el dispositivo, como los virus detectados en los mensajes de correo electrónico o durante el acceso web; y las actividades del sistema, como detalles de las actualizaciones y de los inicios de sesión recientes. 53

54 Introducción a Content Security Blade Server Interfaz del usuario Icono Menú Correo electrónico Web Sistema Solución de problemas Funciones Utilice las páginas de Correo electrónico para administrar las amenazas a mensajes de correo electrónico, la cuarentena de los mensajes infectados u otros aspectos de la configuración de correo electrónico. Utilice las páginas Web para administrar las amenazas a las descargas de la Web y para administrar otros aspectos de la configuración web. Utilice las páginas del Sistema para configurar varias funciones en el dispositivo. Utilice las páginas de Solución de problemas para diagnosticar cualquier problema del dispositivo. Barra de fichas El icono de sección seleccionado controla el contenido de la barra de fichas. La ficha seleccionada rige lo que aparece en el área de contenido. Botones de control de soporte Los botones de control de soporte representan acciones aplicables al área de contenido. Tabla 3: Botones de control de soporte Icono Descripción Renueva o actualiza el contenido. Le lleva a la página anterior. Es aconsejable utilizar este botón en lugar del botón Atrás del navegador. Aparece al configurar alguna opción para permitirle que aplique los cambios. Aparece al configurar alguna opción para permitirle que cancele los cambios. Abre una ventana Información de ayuda. Gran parte de la información de esta ventana también aparece en la Guía del producto. Control de vista El botón de control de vista muestra u oculta la ventana Estado. La ventana Estado, que aparece en la parte inferior derecha de la interfaz, muestra la actividad reciente. Los mensajes nuevos se agregan a la parte superior de la ventana. Si un mensaje se muestra en azul y subrayado, puede hacer clic en el vínculo para visitar otra página. Además, puede administrar la ventana con los vínculos Borrar y Cerrar. Área de contenido 54

55 Introducción a Content Security Blade Server Información de estado del Panel y opciones de configuración El área de contenido incluye el contenido activo en ese momento y es en esta área donde tiene lugar la mayor parte de la interacción. NOTA: los cambios que realice tendrán efecto cuando haga clic en la marca de verificación verde. Información de estado del Panel y opciones de configuración El Panel muestra un resumen de la actividad del dispositivo. Utilice esta página para acceder a la mayor parte de las páginas que controlan el dispositivo. En el dispositivo principal de un clúster, utilice esta página también para ver un resumen de la actividad del clúster de dispositivos. NOTA: para cambiar la vista de cualquiera de las secciones, haga clic en Editar y se abrirá otra ventana. El Panel ofrece una única ubicación para ver resúmenes de la actividad del dispositivo. Según cómo se configure el dispositivo, podrá ver información acerca de: El flujo de correo electrónico del dispositivo El tráfico web que se está analizando El mantenimiento general del sistema del dispositivo Índices de detección actuales El rendimiento de la red Los mensajes de correo electrónico que ha puesto en cola el dispositivo El número de directivas de análisis implementadas, clasificadas por protocolo También puede configurar una lista de vínculos a las tareas que utiliza con frecuencia, lo que proporciona un método rápido y sencillo para pasar a la zona adecuada de la interfaz de usuario. El panel inferior de esta página muestra información gráfica clave acerca del rendimiento del dispositivo. Se puede personalizar cada una de estas secciones del Panel para que muestre la información que necesita con mayor frecuencia. Cuando inicie sesión en el dispositivo y a medida que trabaje en las páginas de configuración, aparecerá un cuadro de diálogo en la esquina inferior derecha de la pantalla con información acerca de los cambios de configuración recomendados o mensajes de advertencia acerca de la 55

56 Introducción a Content Security Blade Server Información de estado del Panel y opciones de configuración configuración o el funcionamiento del dispositivo. Por ejemplo, le avisa si los comentarios de Global Threat Intelligence no están activados para todas las directivas. Figura 11: Panel Secciones del Panel Tabla 4: Definiciones de opciones del Panel Opción Detecciones de correo electrónico y Detecciones web Mantenimiento del sistema Índices de detección actuales Red Colas de correo electrónico Definición Muestra el número de detecciones de cada protocolo. Haga clic en Editar para cambiar la vista de esta ventana. Aunque puede elegir que no se muestre información sobre un protocolo, el dispositivo seguirá analizando ese tráfico. Muestra el estado de los componentes importantes y le permite cambiar los ajustes de los cambios de configuración del sistema recomendados: En el caso de Actualizaciones, una marca de verificación verde indica que los componentes se actualizarán automáticamente. Para llevar a cabo una actualización manual, haga clic en el vínculo azul. Para los demás componentes, una marca de verificación verde indica que éste funciona dentro de los límites aceptables. Para obtener más información, haga clic en los vínculos azules. Para ajustar los niveles en los que aparecen los iconos de alerta y advertencia y para cambiar lo que muestra el cuadro de diálogo de cambios de configuración recomendados, haga clic en Editar. Muestra, mediante iconos, el estado de las detecciones importantes realizadas por el dispositivo. Muestra el número de conexiones para cada protocolo. Aunque puede anular la selección de un protocolo después de hacer clic en Editar, el dispositivo continúa administrando ese tráfico. Muestra, mediante iconos, el número de elementos y el número de destinatarios de todos los elementos que se han puesto en cola en las solicitudes de liberación y en cola mantenidas por el dispositivo. Para visitar las páginas que administran las colas, haga clic en los vínculos azules. Para buscar rápidamente en el correo electrónico de las 56