2 page Case Study
Publikováno: 4/26/2013
20
Ohodnoťte tuto studii:

Farmaceutická fakulta Univerzity Karlovy Nová komunikační infrastruktura Farmaceutické fakulty UK je díky platformě Microsoft bezpečnější

Farmaceutická fakulta UK se rozhodla přehodnotit stávající komunikační infrastrukturu především z důvodu zajištění robustnější antivirové a antispamové ochrany, možnosti rozložení zátěže na jednotlivé komponenty a lepší škálovatelnosti celého řešení. Díky implementaci produktů Microsoft Exchange Server 2007 a Microsoft Forefront Security Server na výkonné 64-bitové platformě Intel bylo dosaženo především lepšího zabezpečení. Celý proces implementace řešení přitom proběhl bez výrazného omezení dostupnosti poštovních služeb pro koncové uživatele.

Výchozí stav

Farmaceutická fakulta Univerzity Karlovy se sídlem v Hradci Králové několik let provozovala systém Microsoft Exchange Server 2003 v kombinaci s firewallem Microsoft ISA Server 2004, později 2006. Ten plnil zároveň funkci firewallu a sofistikovaného aplikačního filtru, včetně hlavní SMTP brány. Kompletní e-mailová komunikace a její kontrola probíhala na úrovni hraničního ISA Serveru.

K antivirové a antispamové ochraně byl použit software společnosti GFi (GFi MailSecurity a GFi MailEssentials) a pro antivirovou kontrolu celého operačního systému pak eTrust od Computer Associates.

Přímo na ISA Serveru byl nainstalován produkt GFi MailSecurity, který v první vlně odstranil viry a potenciálně škodlivý kód z příchozích zpráv. Antispamový produkt GFi MailEssentials nainstalovaný na Exchange Serveru identifikoval nevyžádanou poštu a automaticky přesouval označené zprávy do složky Nevyžádaná pošta. Na Exchange 2003 Serveru pak byl nainstalován i Computer Associates eTrust, který zajišťoval antivirovou kontrolu na úrovni operačního systému.

Popsané řešení nevyhovovalo ze dvou důvodů. Neustále narůstající objem nevyžádané pošty měl za následek zvýšení zátěže hraničního ISA Serveru, a bylo proto rozhodnuto odstranit roli centrální SMTP brány z tohoto hraničního prvku. Druhý důvod byl ten, že antispamové řešení GFI MailEssentials bylo nainstalováno až na Exchange Serveru (aby bylo možno spam přesouvat přímo do složky Nevyžádaná pošta). Nevyžádaná pošta tedy putovala až do vnitřní sítě na Exchange Server hostující e-mailové schránky uživatelů.

Obchodní cíle

Hlavním cílem přechodu na platformu Microsoft Exchange Server 2007 a Microsoft Forefront Security byla vyšší bezpečnost, lepší škálovatelnost a dostupnost komunikační infrastruktury, snížení zátěže ISA serveru a implementace účinnější antivirové a antispamové ochrany. V neposlední řadě pak také pohodlné zpřístupnění souborů ukládaných uživateli na síťová úložiště včetně SharePoint úložišť přes službu Microsoft Outlook Web Access všem uživatelům pracujícím mimo lokální síť fakulty.

Řešení

V rámci implementace řešení byla provedena restrukturalizace stávající komunikační infrastruktury a bylo využito nových vlastností platformy Microsoft Exchange 2007 Server. Jeden server byl dedikován pro roli „Edge Transport“, druhý zajišťuje role „Hub Transport“, „Client Access“ a „Mailbox Server“. Na obou Exchange serverech je instalován Forefront Security for Exchange, který zajišťuje antivirovou a antispamovou ochranu.

Výhodou využití Microsoft Forefront Security je plná integrace do systému Microsoft Exchange Server. Forefront Security obsahuje devět scanovacích antivirových jader, přičemž je možné nastavit kontrolu zpráv jedním až pěti jádry najednou – tím je možné zajistit velice efektivní a spolehlivou ochranu při nižším zatížení použitých serverů. Kontrola zpráv je přitom prováděna přímo v paměti, což výrazně snižuje zátěž systému a zvyšuje rychlost scanování. Microsoft Forefront Security také podporuje tzv. "antivirové razítko", které zajišťuje, že jakmile je zpráva jednou prověřena na serveru s rolí Edge nebo Hub, není nutné provádět další prověření na serveru s rolí Mailbox.

Současně s instalací role Edge Transport na hraniční Exchange server byla z ISA serveru odstraněna centrální SMTP brána a příchozí pošta je okamžitě po kontrole aplikačním SMTP filtrem (ISA server) předána přímo na Exchange Edge Transport Server, kde je otestována pomocí Forefront Security modulu. Ačkoliv Exchange Edge Transport Server není členem domény, díky vlastnosti "Edge Synchronization" má k dispozici všechny potřebné informace jako seznam uživatelů včetně seznamu důvěryhodných a nedůvěryhodných odesilatelů. Je tedy schopen velice efektivně filtrovat příchozí zprávy a identifikovat nevyžádanou poštu.


Hlavní důvody pro přechod na Microsoft Exchange 2007 byly následující:

  • Role Edge Transport – hraniční server pro antivirovou a antispamovou kontrolu
  • Integrovaná antispamová a antivirová ochrana – Forefront Security for Exchange
    • IP přístupové filtry (statické i podle DNS jmen)
    • Filtrování pomocí Sender ID technologie, filtrování obsahu a příloh
    • Použití až 5 antivirových jader najednou
  • Transport Rules – možnost definovat pravidla definující routování zpráv v rámci Exchange organizace
  • Dedikovatelné Exchange role – možnost rozložení zátěže
  • Vysoký výkon – podpora x64, optimalizace úložiště
  • Vylepšený Outlook Web Access
    • vzdálený přístup k dokumentům a sdíleným složkám
    • integrace viewerů pro mnoho typů dokumentů

V první fázi byl do stávající Exchange Organizace nainstalován jeden Exchange 2007 Server s rolemi Hub, Mailbox a CAS, na který byly přesunuty uživatelské mailboxy, přičemž datový tok zůstal v podstatě stejný – viz Obrázek 1. V této fázi byl MAPI klientům (Outlook 2003) automaticky upraven profil tak, aby byli přesměrováni na nový server.


Insert into case study

Obrázek 1: SMTP mail flow, fáze 1


Následně byl nainstalován druhý Exchange 2007 Server s rolí Edge Transport. Implementace byla ukončena odinstalací původního serveru s Microsoft Exchange 2003 Server včetně modulu GFi MailSecurity na ISA serveru.

Insert into case study
Obrázek 2: SMTP mail flow, fáze 2

Přínosy

Mezi hlavní přínosy patří:

  • Zvýšení bezpečnosti řešení
  • Efektivnější antispamová a antivirová ochrana
  • Lepší škálovatelnost řešení
  • Možnost rozložení zátěže klíčových služeb

 

*
* Řešení nám přineslo vyšší úroveň zabezpečení, lepší identifikaci SPAMu a s novými vlastnostmi produktu Microsoft Exchange 2007 také daleko lepší práci
s poštou a využívání zdrojů sítě.
*

Ing. Ladislav Rudišar
vedoucí útvaru výpočetní techniky

*








Vybraná případová studie



Velikost společnosti: 2500 zaměstnanců

Software a služby
  • Microsoft Windows Server 2003 R2
  • Microsoft Forefront
  • Microsoft Exchange Server

Stát/Region
Česká republika

Jazyk
Čeština

Partneři
EMWAC Group s.r.o.

RSS