Trong phần 5 của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn cách cấu hình tính năng Edge Subscription trên tường lửa TMG 2010.. Trong phần trước của loạt bài này, chúng tôi đã giớ
Trang 1Cài đặt, cấu hình giải pháp xử lý email trên TMG 2010
Firewall – Phần 5
Trang 2
Trong phần 5 của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn cách cấu hình tính năng Edge Subscription trên tường lửa TMG 2010
Một loạt bài khá dài, tuy nhiên chúng ta đã đi gần đến phần kết thúc của nó Trong phần trước của loạt bài này, chúng tôi đã giới thiệu cho các bạn quá trình cài đặt TMG, sau đó cài đặt thành phần Exchange Edge, kích hoạt tính năng xử lý email có trong Forefront Protection for Exchange Mọi thứ đều diễn ra khá êm đẹp và không có quá nhiều chướng ngại vật trên đường trong khi chúng ta thực hiện công việc
Trong phần này, sẽ là phần cuối cùng của loạt bài, chúng tôi sẽ giới thiệu cho các bạn cách cấu hình tính năng Edge Subscription Edge Subscription
là một tính năng rất hữu dụng, nó cho phép bạn có thể khóa chặn mail đã được trù định từ trước cho người dùng không nằm trong tổ chức Exchange của bạn Đây là một công cụ rất có giá trị, vì nếu bạn quan sát vào thống kê spam của mình, chắc chắn bạn sẽ thấy rằng đa phần các spam tràn ngập được nhắm đến người dùng không tồn tại trong tổ chức bạn Việc khóa các email “khai thác địa chỉ” kiểu như vậy có thể giúp chúng ta tiến một bước dài trong việc nâng cao hiệu suất toàn bộ cho máy chủ Exchange Server
Cuối cùng, chúng tôi cũng sẽ test cấu hình của mình và thử xem toàn bộ quá trình cấu hình mà chúng ta đã thực hiện có làm việc tốt hay không Chúng tôi đã thiết lập một máy chủ Exchange Server 2010 cơ bản phía sau tường lửa TMG Những gì chúng ta sẽ thực hiện là thử gửi đi một số spam từ một máy tính nào đó trong Internet qua tường lửa TMG, tiếp đó là gửi ra một số spam qua tường lửa TMG
Trang 3Tuy nhiên trước tiên, chúng ta hãy đi tạo một file Exchange Edge
Subscription và cấu hình subscription (hội viên) trên máy chủ Exchange mailbox server
Tạo một file Edge Subscription và cấu hình Edge Subscription
Thứ đầu tiên bạn cần biết là không phải tạo một Edge Subscription Mặc dù vậy, cách thức này sẽ giúp giải pháp xử lý email của bạn trở nên hiệu quả hơn Nó sẽ cải thiện được các tính năng anti-spam, cho phép tra cứu người nhận để mail được gửi đến người dùng không có trong tổ chức (non-user) sẽ
bị từ chối, bên cạnh đó là cho phép thu nạp danh sách an toàn Thông tin về người dùng trong Active Directory forest của bạn sẽ được gửi đến một cơ sở
dữ liệu Active Directory LDS nằm trên TMG firewall qua kết nối LDAP an toàn Thêm vào đó, các danh sách Safe Senders và thông tin người nhận sẽ
được hash để không bị chặn trong khi truyền
Các thông tin được truyền tải giữa Active Directory đến cơ sở dữ liệu TMG Active Directory LDS gồm có:
Thông tin Edge subscription
Thông tin cấu hình
Thông tin người nhận
Thông tin về tô pô mạng
Các dịch vụ EdgeSync sử dụng kết nối LDAP an toàn qua TCP port 50636
để đồng bộ thông tin thư mục giữa Exchange Hub Server và Exchange Edge server của TMG firewall
Trang 4Với một số kiến thức nền tảng, chúng ta hãy đi tạo file Edge Subscription
Trong giao diện điều khiển TMG firewall, kích E-Mail Policy trong panel bên trái Trong phần panel bên phải của giao diện, kích Generate Edge
SubscriptionFiles, xem thể hiện trong hình bên dưới
Hình 1
Thao tác trên của bạn sẽ làm xuất hiện hộp thoại Browse For Folder Hãy tạo một thư mục mới mang tên SubFiles, bằng cách sử dụng nút Make New
Folder Kích OK sau khi tạo thư mục mới trên ổ C:
Hình 2
Trang 5Nếu mọi thứ làm việc theo đúng cách, bạn sẽ thấy một hộp thoại nó rằng 1
Edge Subscription file(s) were created in directory C:\SubFiles., như thể
hiện trong hình bên dưới
Hình 3
Nếu mở file, bạn sẽ thấy những gì giống như thể hiện trong hình bên dưới Bạn có thể thấy file được lưu dưới dạng văn bản trong sáng, vì vậy cần bảo đảm rằng sau khi import các thiết lập này vào Hub Transport Server, bạn cần xóa file ngay lập tức Không thực hiện hành động này có thể dẫn đến một số vấn đề nguy hại nếu kẻ xâm nhập có thể truy cập vào file đó Bạn cũng cần biết rằng file subscription chỉ tốt trong vòng 24h Nếu không sử dụng nó trước thời gian timeout, bạn cần phải tạo một yêu cầu khác
Hình 4
Trang 6Lúc này, copy file vào Exchange Hub server Do chúng tôi chỉ có một Exchange Server trong mạng test của mình, nên chúng tôi sẽ copy nó vào máy chủ đó Tại Exchange Server, mở Exchange Management Console và
kích Organization Configuration trong panel trái Kích Hub Transport
như thể hiện trong hình bên dưới
Hình 5
Trong phần panel phải của giao diện điều khiển, kích liên kết New Edge
Subscription, xem thể hiện trong hình dưới
Hình 6
Trang 7Thao tác trên của bạn sẽ xuất hiện trang New Edge Subscription Kích nút
Browse trong phần Active Directory site của trang này Khi đó bạn sẽ thấy
hộp thoại Select Active Directory Site xuất hiện Chọn
Default-Site-Site-Name và kích OK
Kích nút Browse trong phần Subscription file và tìm file mà bạn đã tạo tại
TMG firewall Trong ví dụ này, chúng tôi đã copy file vào một thư mục
mang tên Subfiles trên ổ đĩa C: của Exchange Server Hãy tích vào hộp kiểm
Automatically create a Send connector for this Edge Subscription và
kích New
Hình 7
Sau khi wizard hoàn tất, bạn sẽ thấy những gì như thể hiện trong hình bên dưới Lưu ý rằng có một cảnh báo:
EdgeSync requires that the Hub Transport servers in Active Directory site msfirewall.org/Configuration/Sites/Default-First-Site-Name be able to
Trang 8resolve the IP address for TMG2010.msfirewall.org, and be able to connect
to that host on port 50636
Chúng ta luôn phải tạo sự phân định tên và đây là một ví dụ khác về DNS quan trọng như thế nào đối với kịch bản TMG firewall
Hình 8
Kiểm tra xem chính sách hệ thống hỗ trợ truyền thông email
Khi bạn cấu hình TMG firewall với tư cách một cổng bảo mật email, chương trình sẽ cấu hình tự động một số thiết lập trong System Policy Trong hình
Trang 9bên dưới, bạn có thể thấy có ba System Policy Rules đã được tạo để cho phép truyền thông SMTP:
Cho phép SMTP từ Forefront TMG đến các máy chủ tin tưởng
Cho phép lưu lượng SMTP đến host nội bộ để lọc và bảo vệ mail
Cho phép lưu lượng SMTP đến Internet để lọc vào bảo vệ mail
Hình 9
Khi kích hoạt lưu lượng EdgeSync, bạn sẽ thấy System Policy Rule được tạo
để cho phép lưu lượng EdgeSync Đây là Allow LDAP/LDAPS traffic to
the local host for the Exchange Server EdgeSync Protocol Trong hình
bên dưới, bạn sẽ thấy Protocol Definition cho phép TCP port 50636 gửi ra
Hình 10
Trang 10Lúc này điều gì sẽ xảy ra nếu chúng ta gửi một email sạch qua tường lửa? Đây là entry file bản ghi của một email như vậy:
TCP2/28/2010 8:57:43 AM 10.0.0.1 10.0.0.3
25 SMTP Closed Connection Inspected [System] Allow SMTP from
Forefront TMG to trusted servers 0x80074e20
FWX_E_GRACEFUL_SHUTDOWN Local Host Internal
- TMG2010RTMB - Firewall
Chúng tôi đã nêu bật thực tế rằng kết nối này đã bị lộ bởi Network
Inspection System Bộ lọc SMTP không còn được sử dụng trong TMG khi
sử dụng các tính năng bảo vệ email tích hợp Thay vào đó, bạn sẽ hưởng lợi
từ NIS, Exchange Edge và Forefront Protection for Exchange (FPE) Kết quả cuối cùng là một cấu hình bảo vệ email an toàn hơn so với những gì bạn
có thể nhận được với chỉ một bộ lọc SMTP
Test tiếp theo sẽ là gửi một số malware đến Exchange Server thông qua TMG firewall Với test này, chúng tôi đã sử dụng file test trước mà bạn đã download từ đây Chúng tôi đã phát hiện thấy rằng các file bản ghi không thực sự thú vị cho quá trình xử lý các file test, chi tiết bạn có thể thấy trong hình bên dưới
Trang 11Hình 11
Trong thực tế, chúng tôi đã không tìm thấy thông tin nào có liên quan đến các bản ghi SMTP Kiểm tra trên TechNet bạn có thể tìm được một bài báo khá toàn diện về cách làm việc của tính năng bảo vệ email này như thế nào tại đây, tuy nhiên bài báo không đề cập đến cách tìm các thông tin được ghi lại cho malware đã phát hiện được Thêm vào đó, giao diện FPE không tiết
lộ khi bạn cài đặt tính năng bảo vệ email trên TMG, vì vậy bạn không thể kiểm tra các thông tin malware đã được phát hiện ở đây
Mặc dù vậy, nếu kiểm tra thông báo email, bạn sẽ thấy rằng TMG đã thực hiện những gì mà nó được dự định thực hiện
Trang 12Hình 12
Nếu mở file eicar_com.zip.txt, bạn sẽ thấy như dưới đây:
Hình 13
Phải thừa nhận rằng không có gì thú vị, tuy nhiên cần phải nhớ rằng bạn có thể tùy chỉnh thông báo này bằng cách kích hoạt tính năng thông báo, như những gì thể hiện trong hình bên dưới
Trang 13Hình 14
Kết luận
Trong phần cuối cùng của loạt bài này, chúng tôi đã giới thiệu được cho các bạn cách cấu hình tính năng EdgeSync bằng cách tạo một file trên TMG firewall và sau đó sử dụng file này để cấu hình tự động Exchange Hub server cho việc nhận và giử mail đến và đi qua TMG firewall Trong bài chúng tôi cũng đã cấu hình một máy khách email sử dụng TMG server với
tư cách là máy chủ email để test xem tính năng AV có làm việc đúng cách hay không Chúng tôi đã sử dụng file test eicar giống như một loại virus mô phỏng Và TMG firewall đã có thể chặn virus này, ngăn không cho nó đến được hòm thư người dùng, thêm vào đó còn tích hợp thêm cả một file văn
Trang 14bản để báo cáo rằng đính kèm đã được remove Tuy nhiên có một thứ mà chúng tôi cảm thấy vẫn thiếu ở đây là mức ghi hoặc báo cáo về sự phát hiện malware Hy vọng đó sẽ là một phần trong tính năng FPE, tuy nhiên sự tích hợp FPE trong phiên bản RTM của TMG firewall đã lấy đi sự truy cập đến giao diện FPE Cầu mong sao cho Microsoft sẽ nhanh chóng khắc phục vấn
đề này trong một gói dịch vụ gần đây
