Cài đặt, cấu hình giải pháp xử lý email trên TMG 2010
Firewall – Phần 5

Trong phần 5 của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn cách
cấu hình tính năng Edge Subscription trên tường lửa TMG 2010.
Một loạt bài khá dài, tuy nhiên chúng ta đã đi gần đến phần kết thúc của nó.
Trong phần trước của loạt bài này, chúng tôi đã giới thiệu cho các bạn quá
trình cài đặt TMG, sau đó cài đặt thành phần Exchange Edge, kích hoạt tính
năng xử lý email có trong Forefront Protection for Exchange. Mọi thứ đều
diễn ra khá êm đẹp và không có quá nhiều chướng ngại vật trên đường trong
khi chúng ta thực hiện công việc.
Trong phần này, sẽ là phần cuối cùng của loạt bài, chúng tôi sẽ giới thiệu
cho các bạn cách cấu hình tính năng Edge Subscription. Edge Subscription
là một tính năng rất hữu dụng, nó cho phép bạn có thể khóa chặn mail đã
được trù định từ trước cho người dùng không nằm trong tổ chức Exchange
của bạn. Đây là một công cụ rất có giá trị, vì nếu bạn quan sát vào thống kê
spam của mình, chắc chắn bạn sẽ thấy rằng đa phần các spam tràn ngập
được nhắm đến người dùng không tồn tại trong tổ chức bạn. Việc khóa các
email “khai thác địa chỉ” kiểu như vậy có thể giúp chúng ta tiến một bước
dài trong việc nâng cao hiệu suất toàn bộ cho máy chủ Exchange Server.
Cuối cùng, chúng tôi cũng sẽ test cấu hình của mình và thử xem toàn bộ quá
trình cấu hình mà chúng ta đã thực hiện có làm việc tốt hay không. Chúng
tôi đã thiết lập một máy chủ Exchange Server 2010 cơ bản phía sau tường
lửa TMG. Những gì chúng ta sẽ thực hiện là thử gửi đi một số spam từ một
máy tính nào đó trong Internet qua tường lửa TMG, tiếp đó là gửi ra một số
spam qua tường lửa TMG.
Tuy nhiên trước tiên, chúng ta hãy đi tạo một file Exchange Edge
Subscription và cấu hình subscription (hội viên) trên máy chủ Exchange
mailbox server.
Tạo một file Edge Subscription và cấu hình Edge Subscription
Thứ đầu tiên bạn cần biết là không phải tạo một Edge Subscription. Mặc dù


Hình 2
Nếu mọi thứ làm việc theo đúng cách, bạn sẽ thấy một hộp thoại nó rằng 1
Edge Subscription file(s) were created in directory C:\SubFiles., như thể
hiện trong hình bên dưới.

Hình 3
Nếu mở file, bạn sẽ thấy những gì giống như thể hiện trong hình bên dưới.
Bạn có thể thấy file được lưu dưới dạng văn bản trong sáng, vì vậy cần bảo
đảm rằng sau khi import các thiết lập này vào Hub Transport Server, bạn cần
xóa file ngay lập tức. Không thực hiện hành động này có thể dẫn đến một số
vấn đề nguy hại nếu kẻ xâm nhập có thể truy cập vào file đó. Bạn cũng cần
biết rằng file subscription chỉ tốt trong vòng 24h. Nếu không sử dụng nó
trước thời gian timeout, bạn cần phải tạo một yêu cầu khác.

Hình 4
Lúc này, copy file vào Exchange Hub server. Do chúng tôi chỉ có một
Exchange Server trong mạng test của mình, nên chúng tôi sẽ copy nó vào
máy chủ đó. Tại Exchange Server, mở Exchange Management Console và
kích Organization Configuration trong panel trái. Kích Hub Transport
như thể hiện trong hình bên dưới.

Hình 5
Trong phần panel phải của giao diện điều khiển, kích liên kết New Edge
Subscription, xem thể hiện trong hình dưới.

Hình 6
Thao tác trên của bạn sẽ xuất hiện trang New Edge Subscription. Kích nút
Browse trong phần Active Directory site của trang này. Khi đó bạn sẽ thấy
hộp thoại Select Active Directory Site xuất hiện. Chọn Default-Site-Site-

Hình 9
Khi kích hoạt lưu lượng EdgeSync, bạn sẽ thấy System Policy Rule được tạo
để cho phép lưu lượng EdgeSync. Đây là Allow LDAP/LDAPS traffic to
the local host for the Exchange Server EdgeSync Protocol. Trong hình
bên dưới, bạn sẽ thấy Protocol Definition cho phép TCP port 50636 gửi ra.

Hình 10
Lúc này điều gì sẽ xảy ra nếu chúng ta gửi một email sạch qua tường lửa?
Đây là entry file bản ghi của một email như vậy:
TCP2/28/2010 8:57:43 AM 10.0.0.1 10.0.0.3
25 SMTP Closed Connection Inspected [System] Allow SMTP from
Forefront TMG to trusted servers 0x80074e20
FWX_E_GRACEFUL_SHUTDOWN Local Host Internal
- TMG2010RTMB - Firewall
Chúng tôi đã nêu bật thực tế rằng kết nối này đã bị lộ bởi Network
Inspection System. Bộ lọc SMTP không còn được sử dụng trong TMG khi
sử dụng các tính năng bảo vệ email tích hợp. Thay vào đó, bạn sẽ hưởng lợi
từ NIS, Exchange Edge và Forefront Protection for Exchange (FPE). Kết
quả cuối cùng là một cấu hình bảo vệ email an toàn hơn so với những gì bạn
có thể nhận được với chỉ một bộ lọc SMTP.
Test tiếp theo sẽ là gửi một số malware đến Exchange Server thông qua
TMG firewall. Với test này, chúng tôi đã sử dụng file test trước mà bạn đã
download từ đây
. Chúng tôi đã phát hiện thấy rằng các file bản ghi không
thực sự thú vị cho quá trình xử lý các file test, chi tiết bạn có thể thấy trong
hình bên dưới.

Hình 11
Trong thực tế, chúng tôi đã không tìm thấy thông tin nào có liên quan đến
các bản ghi SMTP. Kiểm tra trên TechNet bạn có thể tìm được một bài báo

malware. Hy vọng đó sẽ là một phần trong tính năng FPE, tuy nhiên sự tích
hợp FPE trong phiên bản RTM của TMG firewall đã lấy đi sự truy cập đến
giao diện FPE. Cầu mong sao cho Microsoft sẽ nhanh chóng khắc phục vấn
đề này trong một gói dịch vụ gần đây.