Forefront 白皮书

为优化安全性和性能提供多个扫描引擎和最佳业务实践

 

摘要

Microsoft^® Forefront^™ Security for Exchange Server 和 Microsoft^® Forefront^™ Security for SharePoint^® 能够全面防护病毒和其它类型的恶意软件。这些产品非常灵活，管理员可通过最佳业务实践来部署和配置它们，以便在性能和安全性之间找到最佳均衡点。本文将介绍 Forefront Security for Exchange Server 和 Forefront Security for SharePoint 的多扫描引擎支持并针对不同的服务器规模和环境提供配置建议。

 

本文中的信息只代表 Microsoft Corporation 在本文出版之际对文章中所讨论的问题的当前观点。鉴于 Microsoft 必须响应市场变化，因此，本文不代表 Microsoft 的承诺，Microsoft 不保证在出版之后任何信息的准确性。

本白皮书只用于信息传达目的。MICROSOFT不对文中信息提供任何明示或暗含的保证。

用户有责任遵守所有现行的版权法。如果不受版权法的保护，严禁出于任何原因复制、保存或将文中信息编入检索系统，或者以任何形式进行传输 (电子、机械、原型和记录等)，除非事先得到 Microsoft Corporation 明确的书面许可。

Microsoft 对于本文涉及到的主题可能拥有专利、专利应用、商标、版权或其它知识财产所有权。除非与 Microsoft 签署了明确的书面许可协议，否则，允许您阅读这篇文章不代表授予您任何许可来使用这些专利、商标、版权或其它知识资产。

© 2006 Microsoft Corporation 版权所有，保留所有权利。

Microsoft, Forefront, Antigen, SharePoint, Windows, Windows Server System, 和  Windows Server System 标识是 Microsoft Corporation 或 Sybari Software, Inc. 在美国及/或其它国家的商标或注册商标。Sybari Software, Inc. 是 Microsoft Corporation 的子公司。

所有其它商标都是其各自所有人的财产。

面向 Exchange Server 和 SharePoint 的Forefront安全产品

为了满足客户对集成通信和协作系统的需求， Microsoft 始终致力于构建完整的通信和协作平台。 Microsoft 在这个领域的战略是构建一系列统一通信和协作解决方案，以便允许用户使用熟悉的工具轻松访问大量的工作模式 ― 即时消息传递、电子邮件、日历、团队空间和文件库等 ― 无论是否在办公室或者在旅途中。这些解决方案都基于并利用了 Active Directory 和 Windows Rights Management Services 等基础设施服务。

为了使服务和功能真正服务于业务，必须保证它们的安全性。每个 Microsoft 消息传递和协作产品都包括固有的安全特性，如加密、验证和审计。其它解决方案特定的安全特性，如 Microsoft Exchange Server 2007 中增强的服务器间加密以及 Microsoft SharePoint Server 2007 中固有的 Windows Rights Management Services 支持等，都属于增强安装功能。然而，能否适当地保护通信和协作系统的安全同时取决于系统对自身及其托管的数据的保护能力。 Microsoft Forefront 产品设计用于补充这些功能并提供全面的保护，能够与您的现有 IT 基础设施相集成并简化安全性的部署和管理工作。

近期宣布面市的 Microsoft ^® Forefront ^™ Security for Exchange Server 和 Microsoft ^® Forefront ^™ Security for SharePoint ^® 是 Microsoft Forefront ™ 产品系列的先锋军，为消息传递和协作服务器提供高级安全性和管理服务。这些产品是 Microsoft 2005 年通过收购 Sybari 而获得的、成熟的、得到公认的 Microsoft Antigen 系列反病毒产品的下一个版本。

Forefront Security for Exchange Server 和 Forefront Security for SharePoint 能够为传输中的以及保存在邮箱、文件库和工作位置的宝贵数据提供高级保护。它们与 Exchange Server 2007 和 SharePoint Server 2007 相集成，帮助优化效力和性能，设计用于简化部署和管理工作。

Microsoft 新推出的这些 Forefront 服务器安全产品主要关注三个重点领域：

・         全面保护： 这两个产品都包含业界领先的安全公司提供的多个扫描引擎。这些引擎集成到一个解决方案中，与单一引擎解决方案相比，能够提高保护力度、加快新威胁的检测速度、降低将安全漏洞暴露给威胁的几率并降低单点故障的几率。

・         优化性能： 这两个服务器安全产品都充分利用了 Exchange 2007 和 SharePoint Server 2007 提供的反病毒 API ，为自动化引擎更新和使用流程提供强大的多引擎管理器，为加快处理速度提供多线程和内存中扫描功能，并且为服务器性能与安全性之间实现完美均衡提供性能控制工具。这些特性结合在一起，可帮助保护消息传递和协作系统的安全性，同时维护服务器的正常运行并优化服务器性能。

・         简化管理： 这两个 Forefront 服务器安全产品都提供直观用户界面，兼容 Microsoft^® Forefront^™ Server Security Management Console 并能够自动执行引擎更新、作业扫描和报告任务，从而允许管理员在所有服务器上轻松管理并部署保护服务。

鉴于这些 Forefront 服务器安全产品都支持多个扫描引擎，因此，许多管理员都开始置疑多个扫描引擎存在的必要性，不知道该在什么时候使用哪些引擎组合以及同时使用多个引擎对系统性能的影响。本文将回答最常见的问题，举例说明特殊引擎组合及配置的适用环境，重点讲述有着特殊要求的   IT 环境。

 

 

 

Forefront 的安全性和多引擎支持

Forefront Security for Exchange Server 和 Forefront Security for SharePoint 允许同时使用多个扫描引擎，由 Forefront Security Multiple Engine Manager (MEM) 负责协调引擎的运行。 MEM 为管理员提供工具，允许他们监控已安装的引擎的状态、控制引擎的运行、并在引擎需要更新或在实施期间发生故障时负责安排适当行动。

为什么要使用多个引擎？

使用多个引擎对同一组消息或文件进行恶意软件扫描的概念听起来有些奇怪；毕竟，如果扫描引擎能够担此重任，您会认为没有必要对相同项目进行多次扫描。然而，同时使用多个引擎自然有它的道理，运行多个引擎的能力一直都是 Antigen 系列产品（现在的 Forefront Security for Exchange Server 和 Forefront Security for SharePoint ）最强大的功能。

使用多个引擎的主要原因是帮助找到更多的病毒，且速度也比单一引擎快。独立 AV-Test.org 组织日前开展的一组测试发现，多个著名的反病毒软件在签名更新时间上存在显著差距。反病毒响应时间的测试使用了 2006 年 4-7 月间发现的 82 个 “in the wild” 病毒和变体。所有扫描引擎都迅速发现了其中的 26 个病毒。对于剩下的 56 个病毒，某些引擎在 24 小时后都没有检测出来。有些 ( 特别是 0506 Banwarum.C@mm ) 供应商产品并不通过更新签名来阻断病毒，直到 5 天后才有所发现！ Forefront Security for Exchange Server 和 Forefront Security for SharePoint 产品结合了多个引擎，从而大幅度降低了长时间不能检测到或阻断病毒的几率。您可受益于所有引擎的更新，而不仅仅是一个引擎。

多个引擎还能帮助深入实施安全防御机制。 Forefront Multiple Engine Manager 可帮助确保定期更新每个引擎以及当一个引擎在更新时，其它引擎能够继续处理消息和文件。

 

Forefront Security for Exchange Server 和 Forefront Security for SharePoint 通过多个引擎提供的其它保护还能大幅度降低服务器性能影响。在 3Sharp 2006 年 10 月开展的基准测试中，增加 Forefront Security for Exchange Server 和 Forefront Security for SharePoint 分配用于传输扫描作业的扫描引擎的数量，将只增加 1�C4% 的 CPU 负载 ― 意味着使用 5 引擎扫描只会给传输服务器的 CPU 增加 4% 的负担 ( 图 1) 。

Total ％ of processor time ： 处理器时间的总百分比

Number of Scan Engines ： 扫描引擎数量

图         Authentium Command Antivirus 引擎

・         AhnLab 引擎

・         CA Vet

・         Kaspersky Labs 引擎

・         Norman Data Defense 引擎

・         Microsoft Antimalware 引擎，基于 Microsoft 2004 年通过收购 GeCAD 获得的技术

・         Sophos Virus Detection 引擎

・         VirusBuster AntiVirus 引擎

安装期间， Forefront Security for Exchange Server 个 Forefront Security for SharePoint 随机选择一组四个引擎外加一个 Microsoft Antimalware 引擎。您可使用这个默认的引擎组合，也可配置不同的引擎组。

Forefront 能够为所有已激活的引擎自动检索并安装签名和引擎更新。默认周期设置是每个引擎每小时更新一次，起始时间递延五分钟。然而，您可选择不同的更新频率。    

 

扫描消息

Forefront MEM 系统可监控每个活动引擎的性能，根据引擎识别新威胁的能力以及现在的病毒定义方式为引擎的历史表现评分。这些分数 ( 或 MEM 等级 ) 以及管理员规定的偏好 ( 性能控制 ) 设置可用于决定使用哪些引擎。控制设置共分五类：

• 最大性能：对于高度重视扫描性能的环境，这个设置指示 Forefront Security for Exchange Server 和 Forefront Security for SharePoint 通过一个选定的引擎扫描每个项目。产品将基于 MEM 等级自动选择引擎，主要用于捕获入站威胁。
• 侧重性能：产品基于服务器的 CPU 负载来调整用于扫描入站项目的引擎数量。产品根据引擎的 MEM 等级从您定义的一组引擎中进行选择。
• 中立：使用选定的一半引擎来扫描每个项目。可使用更多引擎，具体取决于消息到达速度和服务器资源利用率。
• 侧重实效：使用全部的可用引擎扫描每个项目；不包括脱机的引擎。
• 最大实效：为了尽量提供最佳保护，这个设置规定使用所有选定的引擎扫描每个项目。如果一个引擎脱机(如正在更新)，将停止处理消息或文件，直到这个引擎恢复联机为止。

为了简化管理， Forefront Security for Exchange Server 和 Forefront Security for SharePoint 允许您创建模板来规定对特殊类型的应用使用哪些偏好和引擎。例如，您可通过模板将 Exchange 2007 Hub Transport 服务器上的传输扫描规定为“中立”，并使用第二个模板将邮箱服务器的定期后台扫描规定为“最大实效”。使用模板允许您更简单地为整个公司中的各类应用实施并维护标准设置。

Forefront 多引擎配置的考虑因素

两个主要因素决定哪个扫描 引擎的配置最适合您的环境：您所需的安全级别以及服务性能水平。 Forefront Security for Exchange Server 和 Forefront Security for SharePoint 提供巨大的灵活性，允许您基于具体的环境情况定制引擎的配置。

安全性考虑因素

恶意软件变得越来越高明，攻击人日益将桌面应用中的零时差安全漏洞作为首选攻击方法。这些林林总总的因素提高了对消息和内容进行恶意威胁扫描的重要性。

您在规划 Forefront 服务器安全产品的部署时应主要考虑：需要为特殊情况提供怎样的保护？包括：

・         是否已经开始使用外围或边缘过滤服务或产品。例如， Microsoft Exchange Hosted Filtering service 使用 Kaspersky 、 Sophos 、 Symantec 和 Trend 引擎。如果您正在使用这项服务，可选择其它扫描引擎与 Forefront Security for Exchange Server 一起在边缘或中枢传输服务器上使用，以便增强覆盖深度。

・         您使用什么附件过滤策略。某些机构过于偏激地阻断附件，而另外一些机构则过于宽容。您许可的附件类型越多，在网络外围和存储服务器上 ( 收件箱 / 公共文件夹 ) 扫描恶意软件就越重要。

・         您属于什么行业。特定的恶意软件攻击常针对严重依赖信息及宝贵的知识资产开展工作的行业或公司。此外，学校、政府机关和其它政治团体也是威胁的主要目标。

・         您希望在服务器性能 ( 我们将在下个章节讨论 ) 与安全性之间实现怎样的均衡。由于您可以对不同的作用类型和服务器应用不同的偏好设置，因此，能够对每个特殊应用进行细粒度的控制。

这两个 Forefront 服务器安全产品的默认配置 ( 五个引擎和“中立”偏好 ) 在安全性与性能之间可实现良好均衡，且适用于多种情况，您也可调整安全级别来满足特殊需求。

性能考虑因素

对于部署 Forefront Security for Exchange Server 或者 Forefront Security for SharePoint ，一个最常见的问题是使用多个引擎对服务器的总体性能有什么影响。指定扫描配置的具体影响由多个因素决定。其中最重要的因素是您的服务器在当前工作负载情况下运行情况如何，这对了解如何配置产品至关重要。对于已接近性能极限的邮箱、 SharePoint 或传输服务器，如果再增加对内容进行恶意软件和策略违规扫描的额外任务，无造成性能降级。您在部署 Forefront Security for Exchange Server 或 Forefront Security for SharePoint 之前，应了解您希望保护的服务器的基准性能，同时包括正常运行和高峰期。

除上述常用规则外，您还能考虑多个更具体的因素。

首先，使用多个引擎的性能影响可能比您想像得要低。 3Sharp 日前使用 Exchange Server 2007 和 Forefront Security for Exchange Server 的预发行版本开展了一系列基准测试。我们测试了 Forefront 扫描引擎的多种组合，以评估添加传输扫描引擎的性能影响。我们发现将引擎从一个增加到两个将提高 1% 的 CPU 利用率；添加第三个引擎约提高 3% 的 CPU 利用率，添加第四个引擎为 4% 。然而，当我们添加了第五个引擎后， CPU 利用率的平均增长速度还不到 1% 。

其次，请切记， Forefront 产品的性能总是与服务器的活动级别相关。例如，随着检入文件逐渐增多，配置用于扫描全新检入文件的 Forefront Security for SharePoint 的任务也在不断增加。在活动高峰期，消息或文件处理与交付流程将出现暂时减速。

最后，您应考虑应用这些控制设置的问题。“侧重实效”和“最大实效”需要使用的引擎数量要多于“侧重性能”和“最大性能”，因此自然需要更多的服务器资源。然而，使用“实效”设置可增强安全性，因此成为多数管理员的选择。

对于边缘传输或中枢传输服务器上的扫描 ( 传输扫描 ) ，消息到达速度是重要考虑因素。 Forefront Security for Exchange Server 和 Forefront Security for SharePoint 允许您设置多个扫描线程，以便允许多个引擎针对一组消息进行循环扫描，从而提高消息处理效率。例如，如果您选择了四个引擎、“最大实效”偏好和四个扫描线程，有十条消息等待扫描，则线程 1 将通过所有引擎扫描第 1 条消息；同时，线程 2 将通过所有引擎扫描第 2 条消息；线程 3 将通过所有引擎扫描第 3 条消息；线程 4 将通过所有引擎扫描第 4 条消息。一旦扫描完成，这些引擎将开始扫描它们尚未扫描的另一条消息。 Multiple Engine Manager 可协调所有扫描活动以确保配置好的引擎根据选定的控制条件扫描所有消息，这项工作必须在消息发放之前完成。

引擎每次扫描消息时 ( 无论是传输中的还是已经交付到邮箱中的消息 ) ，都会附以说明性标记，指示已对消息进行了扫描，从而避免重复扫描。例如，如果消息在到达边缘传输服务器后被扫描，则中枢传输服务器上的相同引擎不会再次扫描这条消息。

对于存储 ( 邮箱 / 公共文件夹 ) 服务器扫描， Exchange 病毒扫描 API (VSAPI) 支持两类扫描。扫描仪可在消息被打开时扫描它们 ( 访问时扫描 ) ，也可作为后台任务检查邮箱和公共文件夹中的消息 ( 后台扫描 ) 。对于不带‘已扫描’标记的消息， Exchange 总是使用访问时扫描方法；这可帮助确保消息在被用户打开之前至少被扫描一次。后台扫描按您规定的周期进行，通过标记来指示扫描的时间和具体环境。

您可通过多个选项来控制后台扫描对服务器资源的使用情况；这些选项同时适用于 Forefront Security for Exchange 和 Forefront Security for SharePoint ：

• 您可选择配置访问时扫描，以便在曾用于扫描项目的签名或引擎出现更新后再次扫描曾被扫描过的文件或消息。这种做法将增加用户请求打开消息或文件的杂费，但可帮助确保所有项目在被用户打开之前都得到充分扫描。
• 根据默认设置，后台扫描任务负责扫描两天内到达的项目，但您可根据具体需求延长或缩短这个期限。
• 后台扫描运行在后台模式中，您可在非高峰期安排它们的启动时间。

面向特定环境的引擎配置

Microsoft 的引擎配置建议很简单：选择最适合满足您的安全性和服务器性能需求的配置。默认的“中立”设置是通过适中的资源利用率提供高级保护的理想选择。然而，您还需选择使用哪个引擎，您可能希望在不同位置使用不同的设置和引擎组合。您在规划引擎组合和偏好配置时应考虑以下两个重要的环境问题：

• 您现在使用哪个保护层，如主机托管的电子邮件过滤或者桌面反病毒扫描仪
• 您运行着多少个 Exchange 或 SharePoint 服务器，它们的作用是什么

总的来说，您在考虑这些因素时，目标应该是尽量使用多个不同引擎。使用同一个引擎多次扫描相同消息或文件意义不大，而尽量使用多个引擎来扫描每个消息或文件将带来最佳保护。

其它保护层

传统的理想化反恶意软件保护模型中包括三层：外围或入口扫描，负责检查出入网络的内容；基于服务器的扫描，负责检查提交给服务器以便永久性保存的内容；基于台式机的扫描，负责检查每个用户电脑检索或访问的项目。并非所有机构都使用全部三个层次或在所有三个层次上都部署独特的引擎。您选择的保护类型将影响您对 Forefront Security for Exchange Server 和 Forefront Security for SharePoint 的部署。

如果您正在使用外围过滤技术，应该熟悉它所使用的防恶意软件管理器。一般情况下，您希望优化对这些过滤器的使用，因为它们能够在消息进入服务器之前拦截它们，从而节省带宽和服务器资源。您可能还希望使用边缘或中枢传输服务器上的 Forefront Security for Exchange Server 提供的过滤功能来检查出站消息和内部客户提交的消息并且增强来自互联网的入站消息的安全性。由于 Forefront Security for Exchange Server 能够标记它所扫描过的消息，因此，您可通过在边缘和中枢产生服务器进行扫描来获得分层保护：边缘服务器上的扫描可避免中枢传输服务器上对消息进行重复扫描，但中枢传输服务器仍然扫描组织中服务器之间发送的消息或者被发送到外包用户的消息。

如果您没有使用外围过滤技术，则应尽量使用更多的引擎，偏好应该是“实效”。从计算的角度看，边缘服务器的工作并不密集，因此，您的服务器有足够的 CPU 容量来运行四个或五个引擎，以便您更好地拦截受感染的消息，防止它们到达邮箱服务器或客户端。

如果您在协作环境中使用桌面扫描解决方案，您可能需要选择一组桌面扫描引擎与 Forefront Security for SharePoint 一起使用，二者并不重叠。这种做法可帮助确保最大限度地覆盖库中的文件和文档。用于消息归档的 SharePoint 服务器无需重新扫描已被 Forefront Security for Exchange 扫描过的消息。然而， SharePoint 文件库应定期扫描，您可能希望使用 Forefront Security for SharePoint 作为内容策略执行工具，即便您的公司认为恶意软件入侵的风险很低也不例外。

单一服务器 vs 多服务器环境

如果您正在使用单一 Exchange 2007 服务器，可安装一组相同的内容过滤工具与边缘传输工具一起使用。然而，您将希望同时在服务器上执行传输和后台扫描。您可能需要减少引擎数量或更改偏好设置以便提供足够性能，具体取决于用户带给服务器的工作负载以及消息到达速度 。这里所说的“足够”因安装而异，取决于同步用户数量、服务器硬件的类型以及有效用户的类型。

当您使用一个服务器提供传输扫描功能，使用另一个服务器提供邮箱扫描功能时，可为每个服务器应用不同的扫描参数。如果您在传输阶段尽量使用“最大实效”或“侧重实效”的设置以及五个引擎进行激进的扫描，将获得最大的保护。添加更多引擎将对传输服务器的性能产生影响。然而，由于 Exchange 传输从本质上说是存储－转发流程，因此，用户几乎看不到这个性能影响。

在这种情况下，邮箱服务器上的后台扫描主要是密集传输扫描。如果拥有足够的性能扩展空间，您可对四个或五个引擎使用“实效”设置；如果没有，您可通过“侧重性能”的设置来维护足够的安全性并使用两个或三个有效引擎。由于您可调整消息的扫描天数以及后台扫描进程的使用量，因此，您可通过微调后台扫描进程来满足需求。您应监控 Performance Monitor 中的 Microsoft Forefront Server Security 对象；具体说， Messages Tagged 、 Total Messages Tagged 、 Messages Scanned 和 Total Messages Scanned 等消息将为您提供有用的信息，以便了解正常负载情况下 Forefront 在服务器上的表现。

服务器数量与 Forefront Security for SharePoint 部署之间的关系尚不明确。 SharePoint 服务器通常作为单独实体运行；一个服务器上的工作负载对机构中的其它服务器影响不大。 SharePoint 服务器的繁忙程度不一，具体取决于它们的作用－ 文件归档、消息归档、或者正常的最终用户文件和文档的保存与管理。由于您可控制后台扫描的时间，因此，您可能希望调节 Forefront 扫描周期，以确保只在服务器不忙时进行扫描，不与备份或维护任务相冲突。

结论

使用多个引擎可帮助您提高快速捕获新型恶意软件的几率，防止它们影响网络，从而大幅度提高网络安全性。为了充分利用这个优势，您应将 Forefront Security for Exchange Server 和 Forefront Security for SharePoint 配置成使用多个引擎来进行传输和后台扫描。当您部署 Forefront Security for Exchange Server 和 Forefront Security for SharePoint 时，可通过调整扫描引擎的设置以及控制扫描引擎在扫描管线中的使用来控制这两个引擎如何使用服务器资源。这个可能同时包括基准和长期性能监控的调整过程可帮助您在安全性与性能之间找到最佳均衡点，以满足特定需求。您可选择使用一组扫描引擎来补充现有的其它保护措施，利用这些 Forefront 服务器安全产品提供的高级多引擎支持来扩展覆盖范围并增强保护力度。

 

相关链接

关于 Microsoft Forefront 安全产品的最新信息，请访问 Microsoft Forefront 网站： [url]http://www.microsoft.com/forefront[/url] 。