Quản trị mạng – Trong phần 4 của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn các tính năng lọc nội dung và virus trên TMG 2010 Firewall.
Cài đặt, cấu hình giải pháp xử lý email trên TMG 2010 Firewall – Phần 1: Cài đặt
Cài đặt, cấu hình giải pháp xử lý email trên TMG 2010 Firewall – Phần 2: Chính sách E-Mail
Cài đặt, cấu hình giải pháp xử lý email trên TMG 2010 Firewall – Phần 3: Anti-spam
Trong phần 3 của loạt bài này, chúng tôi đã giới thiệu cho các bạn cách cấu hình tính năng anti-spam trên giải pháp xử lý email TMG. Phần 4 này sẽ tiếp tục với các bạn bằng những giới thiệu về các tính năng lọc nội dung và virus.
Lọc nội dung và virus
Trong giao diện điều khiển TMG firewall, kích Email Policy panel bên trái. Trong panel giữa của giao diện, kích tab Virus and Content Filtering. Khi đó bạn sẽ thấy ba tùy chọn cho việc lọc nội dung để bảo vệ email của TMG. Đó là:
- File Filtering: Tùy chọn này cho phép kiểm soát các đính kèm, file đính kèm nào được phép vào, ra hệ thống email trong mạng của bạn.
- Virus Filtering: Tùy chọn này cho phép khóa, không cho malware vào và ra hệ thống email.
- Message Body Filtering: Tùy chọn này cho phép kiểm soát email gửi vào và gửi ra dựa trên nội dung bên trong chúng.
Trong hình bên dưới, bạn có thể thấy hai liên kết chỉ thị rằng các tính năng Content Filtering và Virus Filtering đã được kích hoạt.
Hình 1
Lọc file
Chúng ta hãy bắt đầu với tùy chọn File Filtering. Kích liên kết File Filtering trong panel giữa. Trong hộp thoại xuất hiện File Filtering, bạn sẽ bắt gặp tab File Filters. Ở đây bạn có thể cấu hình bộ lọc file để chặn các file đính kèm vào, ra tổ chức. Kích nút Add, như thể hiện trong hình 2 bên dưới.
Hình 2
Khi đó bạn sẽ thấy hộp thoại File Filter. Trên tab General, có thể chọn các tùy chọn dưới đây:
- Enable this filter: Tùy chọn này có tác dụng bật hoặc tắt bộ lọc.
- Filter name: Tùy chọn này cho phép bạn nhập vào tên của bộ lọc mà mình đang tạo.
- Action for messages matching this filter: Tùy chọn này cho phép bạn chọn giữa các hành động sau: Skip, Identify, Delete và Purge. Tùy chọn Skip sẽ kiểm tra thư và ghi vào một entry nếu nó hợp lệ với các tiêu chuẩn lọc, tuy nhiên sau đó chuyển tiếp thư đó đến đích tiếp theo. Tùy chọn Identify sẽ gắn vào dòng chủ đề một từ tùy chỉnh, từ tùy chỉnh này có thể được sử dụng cho việc lọc thư trong inbox. Tùy chọn Delete sẽ xóa thư và Purge sẽ remove thư ra khỏi hệ thống.
- Scan inbound messages: Khi bạn kích hoạt tùy chọn này, TMG sẽ thanh tra các thư gửi vào tổ chức.
- Scan outbound messages: Khi kích hoạt tùy chọn này, TMG sẽ thanh tra các thư gửi ra từ tổ chức.
Các tùy chọn trong tab General được thể hiện trong hình 3 bên dưới.
Hình 3
Kích tab File Types. Ở đây bạn có khả năng kiểm soát kiểu file cần thanh tra. Khi hệ thống phát hiện một kiểu file nào đó đã chọn để thanh tra, hành động mà bạn cấu hình trong tab General sẽ được thực thi. Lưu ý rằng đây là một tính năng của Forefront Protection for Exchange (FPE), vì vậy sự phát hiện cho kiểu file có thật, không chỉ các mở rộng của file. Đó là một thứ khá thú vị vì các file có thể bị thay đổi tên để chỉ thị đuôi mở rộng khác với những gì thực sự với nó. Bạn có thể thấy tab File Types trong hình 4 bên dưới.
Hình 4
Tiếp đến, kích tab File Names. Ở đây bạn có thể cấu hình tên file để từ đó hệ thống sẽ tìm kiếm trong các đính kèm email. Có thể nhập vào tên file đầy đủ, hoặc có thể lợi dụng các ký tự đại diện như “?” và “*”. Dấu “?” ở đây được sử dụng để thay thế cho một ký tự nào đó trong một chuỗi, còn “*” được sử dụng để thay thế cho một số ký tự nào đó không rõ. Tab File Names được thể hiện trong hình 5.
Hình 5
Xem tiếp trang 2: Cấu hình Antivirus
Cấu hình Antivirus
Chúng ta hãy đi xem xét cấu hình Antivirus cho email trên TMG firewall. Kích liên kết Virus Filtering trong panel giữa của giao diện điều khiển. Có khá nhiều lợi ích trong việc sử dụng nhiều cỗ máy antivirus: tăng khả năng bắt các mối đe dọa mới thậm chí không cần tất cả các cỗ máy đều được cập nhập mối đe dọa khẩn cấp này, và cung cấp sự đề phòng trong trường hợp một cỗ máy nào đó gặp sự cố hoặc không được cập nhật kịp thời, các cỗ máy khác vẫn có thể bổ sung công việc cho nó. Bạn có thể kích hoạt đến 5 cỗ máy khác nhau. Lưu ý rằng, càng nhiều cỗ máy sẽ càng tốt, nhưng như vậy bạn sẽ trả giá về mặt hiệu suất.
Tab đầu tiên mà chúng ta sẽ làm việc ở đây là Engines. Trong tab này chúng ta có các tùy chọn sau:
- Use automatic engine management: Khi chọn tùy chọn này, FPE sẽ quyết định sử dụng cỗ máy antivirus nào và cách chúng được sử dụng ra sao.
- Manually enable up to 5 engines: Chọn tùy chọn này nếu bạn muốn kiểm soát các cỗ máy nào được sử dụng và kiểm soát chính sách lựa chọn hay sử dụng đối với các cỗ máy. Khi chọn tùy chọn này, bạn phải chọn một hoặc nhiều cỗ máy antivirus từ danh sách.
- Always scan with all selected engines: Khi chọn các cỗ máy antivirus mong muốn, bạn cần định nghĩa một chính sách chọn thông minh (Intelligent Engine Selection Policy). Khi chọn tùy chọn Always scan with all selected engines, FPE sẽ quét thư bằng tất cả các cỗ máy đã chọn.
- Scan with a subset of selected engines that are available: Một cỗ máy có sẵn (available) là cỗ máy không nằm trong trạng thái đang nâng cấp. Khi một cỗ máy đang được nâng cấp, nó sẽ được đánh dấu là không sẵn sàng (unavailable), vì vậy khi chọn tùy chọn này, hệ thống sẽ không đợi cho tất cả các cỗ máy có sẵn trước khi hoàn thiện kiểm tra thư. Tất cả các cỗ máy có sẵn sẽ được sử dụng khi bạn chọn tùy chọn này.
- Scan with a dynamically chosen subset of selected engines: Tùy chọn này sử dụng phương pháp đánh giá dựa trên các kết quả gần đây và các dự án thống kê để chọn ra nhiều cỗ máy nào được sử dụng để quét thư.
- Scan with only one of the selected engines: Tùy chọn này cũng sử dụng phương pháp đánh giá dựa trên các kết quả gần đây hoặc các dự án thống kê để chọn ra một cỗ máy được sử dụng để quét.
Bạn có thể thấy tất cả các tùy chọn này trong hình 6:
Hình 6
Hãy kích tab Remediation. Ở tab này chúng ta có các tùy chọn dưới đây:
- Skip (detect only): Tùy chọn này phát hiện và báo cáo virus, tuy nhiên nó vẫn chuyển tiếp thư, với cả malware, đến cửa tiếp theo. Đây rõ ràng không phải là một tùy chọn có lợi.
- Clean (repair attachment): Tùy chọn này sẽ cố gắng làm sạch các đính kèm và sau đó phân phối đính kèm đã được làm sạch này đến đích kế tiếp của nó. Nếu TMG không thể làm sạch đính kèm nào đó, nó sẽ được remove và một đính kèm khác có đánh dấu đã xóa sẽ được tích hợp vào thư.
- Delete: Tùy chọn này sẽ xóa một đính kèm có tiêm nhiễm virus và một file được đánh dấu đã xóa sẽ thay thế cho đính kèm bị tiêm nhiễm này.
- Enable: Tùy chọn này cho phép file đánh dấu xóa, đó là một file .txt có chứa văn bản xác nhận xóa mà bạn đã nhập vào trước.
- Deletion Text: Đây là thông tin được tích hợp vào file văn bản xóa. Entry %File% sẽ được thay thế bởi tên của file bị xóa.
Bạn có thể thấy hộp thoại này trong hình 7.
Hình 7
Cuối cùng, hãy kích tab Options. Đây là tab có các tùy chọn sau:
- Scan doc files as containers: Bạn có thể thiết lập tùy chọn này để quét các file .doc có sử dụng dữ liệu nhúng OLE với tư cách tệp tin chứa để các file được nhúng cũng được quét.
- Container scanning timeout (seconds): Thời gian timeout mặc định là 120 giây cho việc quét tệp tin chứa, tuy nhiên bạn có thể thay đổi giá trị này ở đây.
- Action to perform upon reaching scanner timeout: Ở đây bạn có thể chọn hành động cần thực hiện khi chạm đến giới hạn timeout.
- Action to perform for illegal MIME headers: Ở đây bạn có thể chọn hành động gì cần thực hiện nếu phát hiện thấy một tiêu đề có vẻ không hợp lệ (ví dụ như, thanh lọc hoặc xóa).
- Transport sender information: Thiết lập này quyết định cách truyền tải các thông tin của người gửi.
- Purge message if body is deleted: Mặc định, các thư sẽ được thanh lọc nếu trong thân chúng có phát hiện thấy virus.
- Optimize for performance (do not rescan message): Mặc định, thư sẽ không cần quét lại sau khi thực hiện lọc. Điều này giúp tăng hiệu suất nhưng bạn có thể thay đổi tại đây.
Hình 8
Xem tiếp trang 3: Lọc nội dung trong thân (Body) email
Lọc nội dung trong thân (Body) email
Kích liên kết Message Body Filtering trong phần panel giữa của giao diện điều khiển. Trong hộp thoại Message Body Filtering, kích tab Message Body Filters. Kích nút Add. Khi đó bạn sẽ thấy xuất hiện hộp thoại Message Body Filter như thể hiện trong hình 8 bên dưới. Trong tab General, bạn có các tùy chọn sau:
- Enable this filter: Tùy chọn này sẽ kích hoạt bộ lọc mà bạn đang tạo
- Filter Name: Cho phép bạn đặt tên để phân biệt các bộ lọc.
- Action for messages matching this filter: Cho phép bạn chọn các hành động Skip, Identify, Delete và Purge. Hành động Skip sẽ kiểm tra thư và ghi nó có hợp lệ với các tiêu chuẩn hay không, tuy nhiên sau đó sẽ chuyển tiếp nó đến đích tiếp theo. Hành động Identify sẽ gắn thêm vào dòng chủ đề một từ tùy chỉnh được sử dụng cho việc lọc thư trong inbox. Còn hành động Delete sẽ xóa thư, Purge sẽ remove thư khỏi hệ thống.
- Scan inbound messages: Khi được kích hoạt, tùy chọn này sẽ cấu hình FPE để quét các thư gửi vào tổ chức bạn.
- Scan outbound messages: Khi được kích hoạt, tùy chọn này sẽ cấu hình FPE để quét các thư gửi ra khỏi tổ chức bạn.
Hình 9
Kích tab Keywords trong hộp thoại Message Body Filters, như thể hiện trong hình 10. Ở đây bạn có thể định nghĩa các từ khóa cho việc kiểm tra bên trong nội dung (body) thư. Có thể sử dụng các từ rời rạc hoặc có thể lợi dụng các rule cú pháp của danh sách từ khóa, hoạt động như các truy vấn nội dung của thư. Cú pháp truy vấn là thứ khá phức tạp, tuy nhiên nhóm TMG firewall đã thực hiện một công việc tốt trong việc chi tiết hóa cách xây dựng các truy vấn này, hoàn toàn qua các ví dụ. Bạn có thể kiểm tra các hướng dẫn của họ tại đây.
Hình 10
Kết luận
Trong phần này, chúng tôi đã giới thiệu cho các bạn về các tùy chọn Virus Filtering và Content Filtering. Sử dụng TMG, bạn có thể khóa mail gửi đến và gửi đi có chứa malware; hoặc các thư có chứa nội dung bên trong chủ đề hoặc body của thư mà bạn cho rằng không thể chấp nhận. Trong phần tiếp theo của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn thủ tục được sử dụng để tạo Edge Subscription với back-end Exchange Server. Đây là một tính năng có giá trị vì nó cho phép bạn có thể thực hiện lọc người nhận để từ đó có thể chặn một số thư gửi đến các địa chỉ nào đó trong tổ chức của bạn.