Home > MS FOREFRONT TMG > Microsoft Forefront TMG 2010: How Malware Inspection Works

Microsoft Forefront TMG 2010: How Malware Inspection Works

Chúng ta đã thực hiện bài lab thử nghiệm chức năng Malware Inspection (kiểm tra mã độc hại) của Microsoft Forefront TMG 2010. Trong phần này chúng ta sẽ tìm hiểu cách hoạt động của tính năng mới này và một số cấu hình thêm của Malware Inspection.
hmiw

B1. Client gửi yêu cầu (HTTP request) tới trang web server và yêu cầu tải về 1 file.
B2. TMG tiếp nhận yêu cầu này và kiểm tra yêu cầu này có thỏa các rule nào đã đặt ra không để quyết định cho phép hay không cho phép thực hiện. Trong trường hợp thỏa rule đã đặt ra và chức năng kiểm tra mã độc hại được kích hoạt, TMG kiểm tra yêu cầu đó có chứa mã độc hại không?
B3. Nếu yêu cầu đó hợp lệ và không chứa mã độc hại, TMG gửi yêu cầu đến web server
B4. Web Server nhận được yêu cầu và hồi đáp tương ứng yêu cầu.
B5.TMG nhận được phản hồi từ Web server và xử lý phản hồi đó trước hết là thông qua proxy engine.
B6.Nếu rule có chỉ định kiểm tra mã độc hại, proxy engine gửi body của file đó đến bộ lọc kiểm tra mã độc hại (Malware Inspection Filter). Malware Inspection Filter kiểm tra 64KB đầu tiên của file yêu cầu download, nội dung đoạn mã đó được lưu và xử lý tại bộ nhớ (RAM) mà không cần lưu vào đĩa cứng rồi mới kiểm tra mã độc hại. Sau đó trả quyền kiểm soát cho proxy engine.
B7. Nếu file đó không chứa mã độc hại, TMG gửi file gốc cho người dùng. Nếu file có mã độc hại và TMG không thể xóa mã độc hại đó, TMG sẽ gửi một trang HTML cảnh báo người dùng file này đã bị chặn tải về do có chứa mã độc hại.

Bật tính năng kiểm tra mã độc hại (Malware Inspection)

Thực hiện như hình sau

NMalwareInspection001

Đánh dấu Enable malware inspection

NMalwareInspection002

Chọn tab Definition Updates để chọn hình thức và thời gian cập nhật engine và signature dùng cho việc kiểm tra mã độc hại

NMalwareInspection003

Tab License Details là nơi nhập thông tin hợp lệ về license > OK

NMalwareInspection004

Chọn như hình

NMalwareInspection005

Tại đây cũng có thể bật hoặc tắt Malware inspection

NMalwareInspection006

Tab Inspection settings đưa ra một số lựa chọn trong việc kiểm tra mã độc hại như: làm sạch các file chứa mã độc hại, ngăn chặn các file nghi ngờ bị lây nhiễm, ngăn chặn file mã hóa, ngăn chặn file mà Malware Inspection phải scan mất gần 300 giây, ngăn chặn các file nén với mức nén tối đa là 20 lần, ngăn chặn file lớn hơn 1000 MB, ngăn chặn các file sau khi giải nén có dung lượng lớn hơn 4095 MB…

NMalwareInspection007

Tab Content Delivery cho phép chọn phương thức scan mã độc hại của Malware inspection

– Standard trickling: Đầu tiên Forefront TMG sẽ gửi nội dung file download về cho client với tốc độ rất chậm, đồng thời cũng scan mã độc hại của file này. Khi quá trình scan hoàn tất, TMG sẽ tiếp tục gửi nội dung file download với tốc độ cao nhất mà có thể thực hiện được.

– Fast trickling: Phương thức scan này lệ thuộc vào kinh nghiệm của người quản trị. Việc scan mã độc hại nhiều hay ít tỷ lệ nghịch với hiệu quả hoạt động của TMG.

NMalwareInspection008

Ngoài ra có thể chỉ định các content type nào sẽ phải scan

Advertisements
  1. No comments yet.
  1. No trackbacks yet.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: