Несколько месяцев назад компания Microsoft выпустила Beta 2 версию программного продукта Microsoft Forefront TMG (Threat Management Gateway), который имеет множество удивительных функций.
В этой части я покажу вам, как Microsoft Forefront TMG действует в качестве шлюза фильтрации файлов и вирусов.
Итак, начнем
Microsoft Forefront TMG является брандмауэром Microsoft с интегрированной функцией SMTP прокси-сервера и собственными функциями антивируса и антиспама. TMG сочетает в себе компонент Exchange Server 2007 Edge Server, который предоставляет большую часть функций антиспама. Помимо функции антиспама, TMG также производит осмотр почтового трафика на наличие вирусов с помощью нескольких антивирусных решений, здесь содержимое сообщений просматривается максимум пятью различными компонентами, основанными на решении Microsoft Forefront Security.
Microsoft Forefront TMG имеет новый узел политики под названием политика электронной почты (e-mail policy), в котором настраиваются все параметры антиспама, антивируса и SMTP пересылки, как показано на следующем рисунке.
Рисунок 1: Параметры фильтрации содержимого и вирусов
Фильтрация файлов
Давайте начнем с рассмотрения параметров фильтрации файлов в Microsoft Forefront TMG. В TMG гораздо проще фильтровать файлы на основе их расширения, MIME типа и полного имени файла. Можно глобально включать или отключать фильтрацию файлов в Forefront TMG, как показано на следующем рисунке.
Рисунок 2: Включение фильтрации файлов
Сначала нужно дать имя фильтру и настроить действие, которое будет предпринято, если фильтр соответствует политике. Можно также определять, хотите ли вы сканировать входящие и/или исходящие сообщения.
Рисунок 3: Общие параметры фильтра
Действия для сообщений, соответствующих этому фильтру:
Удалить - удаляет файл вложений. Обнаруженный файл вложения удаляется из сообщения. Идентифицировать (Identify) - помечает строку темы или заголовок сообщения обнаруженного сообщения настраиваемым словом или фразой, чтобы его можно было в последствии идентифицировать для обработки в папке входящих сообщений. Отчистить (Purge) - удаляет сообщение с вашей почтовой системы. Пропустить (Skip) - записывает количество сообщений, соответствующих выбранным критериям, но позволяет в нормальном режиме передавать их. После выбора действия фильтра нужно выбрать типы файлов, которые вы хотите фильтровать в сообщениях.
Рисунок 4: Фильтрация по типу файлов
Можно также фильтровать по имени файла. На следующем рисунке я настроил фильтр на поиск файла под названием dangerous.exe.
Рисунок 5: Фильтрация по имени файла
Фильтр тела сообщения
Еще одной опцией в Microsoft Forefront TMG является фильтрация содержимого сообщения на основе ключевых слов в теле сообщения. Можно включать и отключать эту функцию. Действия фильтра такие же, как для предыдущего фильтра.
Рисунок 6: Фильтрация тела сообщения
Далее нужно указать ключевые слова, которые вы хотите фильтровать (если TMG найдет эти слова в теле сообщения).
Рисунок 7: Ключевые слова фильтра
Конфигурация антивирусной функции
Параметры антивируса также можно включить или отключить глобально в Microsoft Forefront TMG и можно выбирать до пяти механизмов антивирусного сканирования. Механизмы антивирусного сканирования и приемы, используемые этой функцией, основаны на продуктах безопасности Microsoft forefront Security.
Для надежного сканирования нужно выбрать как минимум два антивирусных механизма. Чем больше механизмов вы выберете, тем лучше будут результаты осмотра, но если выбирать больше механизмов сканирования на вирусы, производительность сервера может значительно снижаться.
Рисунок 8: Выбор механизмов сканирования на вирусы
Можно позволить TMG выбрать механизмы антивирусного сканирования на основе политики Intelligent Engine Selection Policy. По умолчанию будет производиться осмотр рядом выбранных имеющихся механизмов.
Когда вирус обнаружен, TMG администраторы могут выбирать различные действия, например, пропускать сканированное сообщение, попытаться отчистить вложение или удалить зараженное сообщение. Чтобы информировать получателя, можно отправлять ему настраиваемое уведомление.
Рисунок 9: Настройка действий при обнаружении вируса
Опции антивируса
Можно настраивать несколько опций осмотра на вирусы. Одной из важнейших опций является выбор того, должны ли файлы doc сканироваться как контейнеры. Эта опция настраивает программу антивирусного осмотра на сканирование .doc файлов и любых других файлов, использующих структурированные данные и OLE встроенный формат данных (например, .xls, .ppt или .shs) как контейнерные файлы. Это позволяет убедиться в том, что любые встроенные файлы будут сканироваться как потенциальные носители вируса. Этот параметр отключен по умолчанию.
Можно также настраивать таймаут загрузки сканирования и контейнерного сканирования, который по умолчанию составляет 300 секунд для таймаута сканирования и 120 секунд для таймаута контейнерного сканирования.
В целях безопасности можно настраивать действие удаления сообщения, если процесс сканирования достигает таймаута.
Если TMG находит некорректные MIME заголовки, можно определять дополнительные действия.
Рисунок 10: Параметры фильтрации вирусов
Сообщения всегда удаляются по умолчанию, если удаляется тело сообщения. Из соображений производительности TMG не проводит повторного осмотра после применения действий фильтрации.
Заключение
В этой части цикла я предоставил обзор того, как Microsoft Forefront Threat Management Gateway использует возможности осмотра содержимого на вирусы. Благодаря этим новым функциям Microsoft Forefront TMG и другим отличным возможностям ISA Server 2006, TMG является более мощным решением, чем ISA Server 2006, готовым к противостоянию современным угрозам.
Дополнительные ссылки