Có khá nhiều lợi ích trong việc sử dụng nhiều cỗ máy antivirus: tăng khả năng bắt các mối đe dọa mới thậm chí không cần tất cả các cỗ máy đều được cập nhập mối đe dọa khẩn cấp này, và cu
Trang 1Hướng dẫn xử lý email trên TMG 2010 Firewall – Phần IV: Lọc Virus (phần 2)
Cấu hình Antivirus
Chúng ta hãy đi xem xét cấu hình Antivirus cho email trên TMG firewall
Kích liên kết Virus Filtering trong panel giữa của giao diện điều khiển
Có khá nhiều lợi ích trong việc sử dụng nhiều cỗ máy antivirus: tăng khả năng bắt các mối đe dọa mới thậm chí không cần tất cả các cỗ máy đều được cập nhập mối đe dọa khẩn cấp này, và cung cấp sự đề phòng trong trường hợp một cỗ máy nào đó gặp sự cố hoặc không được cập nhật kịp thời, các cỗ máy khác vẫn có thể bổ sung công việc cho nó Bạn có thể kích hoạt đến 5 cỗ máy khác nhau Lưu ý rằng, càng nhiều cỗ máy sẽ càng tốt, nhưng như vậy bạn sẽ trả giá về mặt hiệu suất
Tab đầu tiên mà chúng ta sẽ làm việc ở đây là Engines Trong tab này
chúng ta có các tùy chọn sau:
Use automatic engine management: Khi chọn tùy chọn này, FPE
sẽ quyết định sử dụng cỗ máy antivirus nào và cách chúng được sử dụng ra sao
Manually enable up to 5 engines: Chọn tùy chọn này nếu bạn
muốn kiểm soát các cỗ máy nào được sử dụng và kiểm soát chính sách lựa chọn hay sử dụng đối với các cỗ máy Khi chọn tùy chọn này, bạn phải chọn một hoặc nhiều cỗ máy antivirus từ danh sách
Always scan with all selected engines: Khi chọn các cỗ máy
antivirus mong muốn, bạn cần định nghĩa một chính sách chọn thông minh (Intelligent Engine Selection Policy) Khi chọn tùy
chọn Always scan with all selected engines, FPE sẽ quét thư bằng
tất cả các cỗ máy đã chọn
Scan with a subset of selected engines that are available: Một cỗ
máy có sẵn (available) là cỗ máy không nằm trong trạng thái đang nâng cấp Khi một cỗ máy đang được nâng cấp, nó sẽ được đánh dấu là không sẵn sàng (unavailable), vì vậy khi chọn tùy chọn này,
hệ thống sẽ không đợi cho tất cả các cỗ máy có sẵn trước khi hoàn thiện kiểm tra thư Tất cả các cỗ máy có sẵn sẽ được sử dụng khi bạn chọn tùy chọn này
Scan with a dynamically chosen subset of selected engines: Tùy
chọn này sử dụng phương pháp đánh giá dựa trên các kết quả gần
đây và các dự án thống kê để chọn ra nhiều cỗ máy nào được sử
dụng để quét thư
Trang 2 Scan with only one of the selected engines: Tùy chọn này cũng
sử dụng phương pháp đánh giá dựa trên các kết quả gần đây hoặc
các dự án thống kê để chọn ra một cỗ máy được sử dụng để quét
Bạn có thể thấy tất cả các tùy chọn này trong hình 6:
Hình 6
Hãy kích tab Remediation Ở tab này chúng ta có các tùy chọn dưới đây:
Skip (detect only): Tùy chọn này phát hiện và báo cáo virus, tuy
nhiên nó vẫn chuyển tiếp thư, với cả malware, đến cửa tiếp theo Đây rõ ràng không phải là một tùy chọn có lợi
Clean (repair attachment): Tùy chọn này sẽ cố gắng làm sạch các
đính kèm và sau đó phân phối đính kèm đã được làm sạch này đến đích kế tiếp của nó Nếu TMG không thể làm sạch đính kèm nào
đó, nó sẽ được remove và một đính kèm khác có đánh dấu đã xóa
sẽ được tích hợp vào thư
Delete: Tùy chọn này sẽ xóa một đính kèm có tiêm nhiễm virus và
một file được đánh dấu đã xóa sẽ thay thế cho đính kèm bị tiêm nhiễm này
Enable: Tùy chọn này cho phép file đánh dấu xóa, đó là một file
.txt có chứa văn bản xác nhận xóa mà bạn đã nhập vào trước
Trang 3 Deletion Text: Đây là thông tin được tích hợp vào file văn bản
xóa Entry %File% sẽ được thay thế bởi tên của file bị xóa
Bạn có thể thấy hộp thoại này trong hình 7
Hình 7
Cuối cùng, hãy kích tab Options Đây là tab có các tùy chọn sau:
Scan doc files as containers: Bạn có thể thiết lập tùy chọn này để
quét các file doc có sử dụng dữ liệu nhúng OLE với tư cách tệp tin chứa để các file được nhúng cũng được quét
Container scanning timeout (seconds): Thời gian timeout mặc
định là 120 giây cho việc quét tệp tin chứa, tuy nhiên bạn có thể thay đổi giá trị này ở đây
Action to perform upon reaching scanner timeout: Ở đây bạn
có thể chọn hành động cần thực hiện khi chạm đến giới hạn
timeout
Action to perform for illegal MIME headers: Ở đây bạn có thể
chọn hành động gì cần thực hiện nếu phát hiện thấy một tiêu đề có
vẻ không hợp lệ (ví dụ như, thanh lọc hoặc xóa)
Trang 4 Transport sender information: Thiết lập này quyết định cách
truyền tải các thông tin của người gửi
Purge message if body is deleted: Mặc định, các thư sẽ được
thanh lọc nếu trong thân chúng có phát hiện thấy virus
Optimize for performance (do not rescan message): Mặc định,
thư sẽ không cần quét lại sau khi thực hiện lọc Điều này giúp tăng hiệu suất nhưng bạn có thể thay đổi tại đây
Hình 8
Lọc nội dung trong thân (Body) email
Kích liên kết Message Body Filtering trong phần panel giữa của giao diện điều khiển Trong hộp thoại Message Body Filtering, kích tab Message Body Filters Kích nút Add Khi đó bạn sẽ thấy xuất hiện hộp thoại Message Body Filter như thể hiện trong hình 8 bên dưới Trong tab General, bạn có các tùy chọn sau:
Enable this filter: Tùy chọn này sẽ kích hoạt bộ lọc mà bạn đang
tạo
Filter Name: Cho phép bạn đặt tên để phân biệt các bộ lọc
Action for messages matching this filter: Cho phép bạn chọn các hành động Skip, Identify, Delete và Purge Hành động Skip sẽ
Trang 5kiểm tra thư và ghi nó có hợp lệ với các tiêu chuẩn hay không, tuy nhiên sau đó sẽ chuyển tiếp nó đến đích tiếp theo Hành động
Identify sẽ gắn thêm vào dòng chủ đề một từ tùy chỉnh được sử dụng cho việc lọc thư trong inbox Còn hành động Delete sẽ xóa thư, Purge sẽ remove thư khỏi hệ thống
Scan inbound messages: Khi được kích hoạt, tùy chọn này sẽ cấu
hình FPE để quét các thư gửi vào tổ chức bạn
Scan outbound messages: Khi được kích hoạt, tùy chọn này sẽ
cấu hình FPE để quét các thư gửi ra khỏi tổ chức bạn
Hình 9
Trang 6Kích tab Keywords trong hộp thoại Message Body Filters, như thể hiện
trong hình 10 Ở đây bạn có thể định nghĩa các từ khóa cho việc kiểm tra bên trong nội dung (body) thư Có thể sử dụng các từ rời rạc hoặc có thể lợi dụng các rule cú pháp của danh sách từ khóa, hoạt động như các truy vấn nội dung của thư Cú pháp truy vấn là thứ khá phức tạp, tuy nhiên nhóm TMG firewall đã thực hiện một công việc tốt trong việc chi tiết hóa cách xây dựng các truy vấn này, hoàn toàn qua các ví dụ Bạn có thể kiểm tra các hướng dẫn của họ tại đây
Hình 10
Kết luận
Trang 7Trong phần này, chúng tôi đã giới thiệu cho các bạn về các tùy chọn Virus Filtering và Content Filtering Sử dụng TMG, bạn có thể khóa mail gửi đến và gửi đi có chứa malware; hoặc các thư có chứa nội dung bên trong chủ đề hoặc body của thư mà bạn cho rằng không thể chấp nhận Trong phần tiếp theo của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn thủ tục được sử dụng để tạo Edge Subscription với back-end Exchange Server Đây là một tính năng có giá trị vì nó cho phép bạn có thể thực hiện lọc người nhận để từ đó có thể chặn một số thư gửi đến các địa chỉ nào đó trong tổ chức của bạn
