포어프론트 TMG 2010 버전에서 새롭게 추가된 기능 가운데 엔드포인트(Endpoint, 사용자단)의 보안을 강화하는데 도움을 줄 수 있는 기능이 몇가지 추가되어 있습니다. 이 중에서 악성코드를 차단해 주는 EMP(Enhanced Malware Protection) 기능은 스타크래프트에서 사이언스베슬이 쉴드를 쳐주는 EMP와 거의 유사하다고 볼 수 있습니다.작명자의 센스가 느껴지기도 합니다. 믿거나 말거나... ...

EMP는 MS가 자체적으로 관리하는 보안 솔루션으로 인터넷 상에서 다운로드한 파일이 바이러스와 같은 악성코드에 감염되어 있는 경우 차단해 줍니다.

EMP를 사용하기 위해서는 WPS(Web Protection Service)를 반드시 구독해야 합니다. 정확히는 WPS를 구독하는 경우에 Malware Inspection과 URL Filtering 기능입니다.

EMP는 TMG 관리콘솔 -> Web Access Policy 노드에서 설정할 수 있습니다. 아래 그림을 참고하십시오.


EMP에서는 클라이언트가  웹브라우저나 FTP 클라이언트를 이용하여 인터넷에 있는 파일을 다운로드할 때 TMG가 먼저 다운로드하여 악성코드 여부를 검사한 후에 정상적인 파일만 다운로드할 수 있게 해주는 일종의 다운로드 프록시(download proxy) 기능입니다. 장점으로는 악성코드를 미리 차단할 수 있으며, 클라이언트보다 상대적으로 속도가 더 빠른 TMG에서 다운로드하기 때문에 큰 파일일 경우에는 실제 더 빠르게 다운로드할 수 있습니다. 하지만, TMG가 모두 다운로드할 때까지 클라이언트는 무작정 기다려야 하므로 사용자가 다운로드를 포기하는 경우가 발생할 수 있습니다.

EMP가 동작하는 방식은 다음과 같습니다.
  1. 사용자가 웹브라우저(or FTP)를 통해 다운로드를 요청.
  2. TMG에서는 웹필터를 통해 HTTP 트래픽의 허용 여부를 결정.
  3. 허용하는 경우 TMG가 컨텐츠를 미리 다운로드하여 메모리 또는 디스크에 저장.
  4. MMPE(Microsoft Malware Protection Engine)이 실제 악성 코드 여부를 검사
  5. 사용자에게 다운로드 페이지 제공
사용자가 파일을 요청하고 나서 TMG가 미리 다운로드하게 되면 아래와 같이 검사하는 과정을 보여 주게 됩니다.


 그리고, 파일에 아무런 문제점이 없다면 아래 화면과 같이 다운로드할 수 있습니다.


다운로드할 때에는 TMG에서 사용자 PC까지 전송하게 되므로 꽤 빠른 속도로 다운로드할 수 있습니다.


EMP를 설정하는 자세한 정보는 아래 링크를 참고하십시오.(한글 정보)



감사합니다.

Posted by 로버무트