未解决
此帖子已超过 5 年
2 Intern
•
2.8K 消息
0
1253
配置VNX或者Celerra病毒检查最佳实践
配置VNX或者Celerra病毒检查
EMC- https://community.emc.com/go/chinese
介绍
CAVA 为使用VNX或者Celerra的客户端提供了一种反病毒解决方案。它在Windows Server 2003、Windows 2000或Windows NT 域中使用行业标准(通用Internet文件系统)协议。CAVA通过第三方反病毒软件来识别已知病毒,并且在存储系统上的文件受到感染之前消除病毒。
VNX和Celerra的自身体系结构可抵御病毒的入侵,可是Windows客户端仍需要病毒防护。客户端上的病毒防护可减少客户端在服务器上存储受感染文件的机会,并可在客户端打开受感染文件的情况下提供保护。本文将介绍配置VNX或者Celerra病毒检查的最佳实践。
更多信息
拓扑
1. 配置防病毒检测至少需要2台防病毒服务器。这样设计是出于访问型、冗余性和负载均衡方面考虑。每个防病毒服务器需要一个CAVA许可证。基本版CAVA软件包提供二个许可证,额外许可证需要购买。
2. 防病毒引擎供应商(第三方防毒软件)需要对环境做初始sizing。在负荷高的环境中,需要提供更多防毒引擎为用户提供服务。防病毒引擎数量可以根据不同环境来决定。具体基于访问共享并发用户数、防病毒服务器硬件、网络连接、峰值用户负载和触发病毒检测CIFS活跃用户等因素。您可以联系您当地EMC代表了解“CAVA sizing tool”特性,以用于计算环境中需要的防病毒引擎数量。
3. 建议使用专用网络,以确保最优性能和对生产环境的影响最小。
4. 在CIFS用户数增加或者Data Mover负载增加时,应该考虑增加额外的防病毒服务器。
病毒检查配置文件考虑事项
(文件viruschecker.conf保存在Data Mover)
1. 参考防病毒软件供应商文档,以确认在不同平台区那些文件类型支持实时网络扫描,那些文件类型不支持实时网络扫描。
2. Mask参数可以极大地影响病毒检查性能。推荐不要将参数mask设置为*.*以扫描所有文件类型。很多文件类型不会感染病毒,因此参数mask设置为*.*效率非常低。大多数防病毒引擎不扫描所有文件类型。扫描未知的扩展文件类型将导致扫描整个文件,这将增加网络带宽和资源利用率。
3. 推荐在防病毒功能设置中将.pst文件类型和其他相同类型文件从扫描中去除。McAfee和赛门铁克不会扫描Outlook的.pst文件,并推荐将它们从扫描中移除。不论在桌面级或者Exchange服务器的特定产品或者Exchange客户端管理单元,都可以遵循这个建议。
4. 建议您不要设置数据库的实时扫描。访问数据库通常会触发大量的扫描,这会导致很大的延时。为了确保您的数据库文件安全,您可以在数据库不使用时安排时间定期扫描。您可以通过防病毒引擎来安排杀毒引擎时间。知识库文档EMC60746列举了应该排错的特定扩展名。
5. 大多数防病毒厂商建议不对实时网络压缩和归档文件扫描。扫描压缩文件和归档文件将消耗大量的系统资源。为了扫描压缩文件和归档文件,防病毒软件必须解压缩文件到一个临时位置,扫描,然后替换该文件。此功能会消耗内存、硬盘空间和CPU资源,从而降低服务器的整体性能。在一个完整的网络防病毒解决方案中,任何被发现的感染文件将被从压缩文件或者归档文件中添加、移除或者开始。这强调保持多层次的防病毒方法(即:基于服务器文件扫描、桌面扫描等)
6. 根据第三方防病毒包,压缩的内容或者递归压缩文件,或二者可能或可能不支持网络共享实施扫描。如果防病毒供应商不支持扫描压缩文件和递归实时压缩文件,或者未启动扫描压缩文件,就应该从扫描中排除。
7. 由于已知Microsoft Excel和MS Project软件与防病毒软件的兼容问题,您将需要修改排除列表。这是为了避免定时或8个字符的创建临时文件,它保存或修改文件时的死锁问题。更多关于修改配错列表信息,请参考文档EMC60253。
8. 为了最大限度的保护,防病毒软件厂商建议扫描所有可执行文件和包含可执行代码的文件。为了获得最佳性能,并降低网络带宽和资源,应排错不包括可执行代码的文件类型。请参考您的防病毒软件供应商的最新信息。推荐将配置文件viruschecker.conf中的”shutdown=”配置为shutdown=virus checking。这个“shutdown=”是Data Mover上的例行选项,以确认那些病毒服务器处于“在线”状态,如果它不能找到任何“在线”病毒服务器时要采取的行动。当有行动触发告警时,告警应该被配置并再次获得防病毒服务器功能。在病毒检查服务器是离线的时间内,为了保护服务器运行手动扫描或使用在第一次扫描读取功能。这个推荐在没有防病毒服务器可用的情况下允许病毒检查继续。如果防病毒服务器长期离线,符合病毒检查条件的文件类型将一直在收集者队列中等待,直到防病毒服务器恢复“在线”工作。在队列中的文件将不能被访问,直到文件被成功扫描。每个扫描请求联系Data mover上的一个进程,这样可能在一段时间内耗尽所有Data Mover上的进程。
注:“online”状态表示成功的通信VC客户端之间的Data Mover、CAVA和第三方防病毒软件运行的防病毒服务器。在任何特定时间要验证防病毒服务器的状态,可以运行server_viruschk server_x命令。
9. RPC需求超时时间应设定为高于防病毒引擎上设置的“scan timeout”值。
防病毒服务器工作站
1. 确保所有文件类型配置符合Data Mover上的病毒检测标准,以便防病毒服务器能够检查这些文件类型。第三方防病毒软件的“文件类型”扫描和排除设置应符合文件viruschecker.conf的配置。对于防病毒服务器上防毒软件没有配置扫描的文件类型,在Data Mover的VC客户端也不应该被配置为触发扫描。
2. 防病毒服务器应严格专用于CAVA服务。它不应该可用于其它windows服务,如域控制器、DNS、WINS、备份服务器、CIFS客户端等。
3. 每个防病毒服务器上只能运行一种第三方防病毒软件产品。
4. CAVA服务开始时,专用的“防病毒用户”域帐号就应该被配置,以便密码不会过期。确保CAVA和第三方软件服务的CAVA服务器上使用的是“防病毒用户”域帐号,而不是本地管理员或者防病毒帐号。
5. 如果防病毒服务器使用防病毒厂商提供的组策略惯例软件包进行管理,那么防病毒服务器应该使用一个单独的策略进行惯例,以维护所需的用户、权限和扫描需求。
6. 防病毒服务器不可以用于拷贝或者扫描产品测试。这些测试可以在客户端执行。
7. 如果一个防病毒服务器需要临时或者永久被移除,那么应该在CAVA服务器关闭前将文件viruschecker.conf中对应的IP地址删除。
8. 谨慎使用“网卡绑定”。如果配置错误,将会不适当地与“Celerra默认配置”冲突。更多关于正确配置“网卡绑定”,请参考文档EMC258915。
9. “Dual-homed”的防病毒服务器不支持。一个“Dual-homed”服务器拥有多个接口,使用单一主机名在DNS上注册了多个IP地址。虽然这样做在技术上可行,但我们不建议在viruschecker.conf文件添加第二个IP地址。CAVA认为每个IP地址都对应一台单独的防病毒引擎,这将导致该工作站承担双倍的工作量。
Data Mover
1. 安装病毒检查之前应配置、测试和运行CIFS。使用VNX或者Celerra病毒检查产品之前,应验证合适环境测试配置已确认Data Mover(S)生产负载。
2. 确保CIFS的线程使用数量大于病毒检查线程。
3. 除非有Engineering/TS2的指示,否则不要修改”maxVCThreads=”参数。
4. VirusChecker只能被配置在物理Data Mover的常规CIFS服务器上,而不是DM的CIFS服务器。因为只有物理Data Mover的根可以承载检查$共享用于viruschecking操作。
其他注意事项
1. 监控server_log 或者system log (位置/nas/log/sys_log) 中的”VC; high water mark reached”告警。这些信息可能表明需要额外的防病毒服务器。
2. 除非对Celerra病毒检查特性,其余避免使用Celerra共享文件实时网络扫描。客户端防病毒扫描Celerra CIFS共享应该被禁用,这可能会导致共享冲突和影响性能。
3. 在迁移过程中,病毒检查功能必须被禁用。迁移前或者迁移后,文件应该在被完全扫描。病毒检查解决方案假设您使用的是干净的文件系统。
参考
Primus EMC62326
应用于
配置VNX或者Celerra病毒检查