ForeFront构建从外到内企业安全.docVIP

ForeFront构建从外到内企业安全 　　如今，互联网越来越普及，网络攻击手段和方法被广泛传播，使得“黑客”的门槛越来越低。伴随不断有人将攻击工具傻瓜化、病毒模块化、入侵组织化和攻击利益化，企业不得不严肃对待日益严峻的网络安全形势。 　　内部用户数量不断增加、用户安全意识参差不齐，给企业的网络安全带来很多隐患。用户使用P2P软件进行随意下载，占用大量网络带宽，降低网络使用效率，而下载的数据也可能夹杂着恶意文件或代码；VPN拨入用户的客户端安全防护不符合企业网络安全的最低要求；内网客户健康状况不能及时被管理员了解，这些都成为企业网络安全的不稳定因素。 　　面临如此之多的威胁和挑战的时侯，企业的需求并非仅仅一款安全产品就可满足，企业需要的是一套完整的，能够与现有系统完美结合的全面立体的解决方案。 　　如果你想改变企业网络漏洞百出、结构松散、难于管理的防御状态，微软公司的ForeFront正是你要找的那个立体解决方案。 　　Microsoft ForeFront 是一套全面的业务分类安全解决方案，可以通过与现有IT基础架构的集成和简化部署、管理与分析工作，提供更好的保护与控制。 　　下面我们就从网络边界、服务器应用程序、客户端和服务器等三方面分别简介，看看ForeFront中的各个产品是如何来为企业的网络安全提供由外到内的主体防护的。 　　网络边界安全 　　在边界安全的防御上，ISA Server 2006为整个ForeFront防御体系提供了第一道安全屏障。 　　1. ISA Server 2006拥有强大的自我保护功能。 　　通过“常规”选项下的“启用入侵检测和DNS攻击检测”、“配置淹没缓解设置”、“配置IP保护”等配置项，来实现简化客户端 IP 警报集中和连接限额，提高抵制蠕虫的灵活性，将已感染病毒计算机对网络的影响降到最低；阻止淹没攻击；IP电子欺骗保护；发现可疑活动将触发警报、连接终止、服务终止、日志记录。此外，ISA Server 2006企业版还提供了阵列和网络负载平衡(NLB)功能。 　　2. ISA Server 2006更细化的防火墙策略 　　在管理员配置的防火墙策略上单击“右键”，选择“配置HTTP”。通过对文件扩展名、数据包中的签名、HTTP头等选项的配置???我们可以轻易掌控内网用户访问外部对企业安全的影响。 　　3. ISA Server 2006更周全的VPN隔离 　　VPN拨入，虽然方便了外部用户对内网的访问，同样也增加了企业的网络安全风险。ISA Server 2006的VPN隔离功能可以很好地解决这个问题。 　　例如，我们要检查VPN客户端，是不是开启了ICF，没有则被隔离，开启则作为正常VPN客户端进行网络访问。 　　ISA Server 2006通过连接管理器管理工具包(CMAK)，产生一个安装包(含有检测脚本(rqscript.vbs)和RQC.exe)，并发给客户端。客户端运行此安装包，会生成一个拨号程序，客户端用定义好的拨号程序拨叫ISA Server 2006，客户端的脚本程序(rqscript.vbs)会检查客户端有没有启用ICF，通过RQC.exe发送脚本产生的值通知给ISA Server 2006，如果已经开启了ICF，则ISA Server 2006通过RQS服务把客户端从VPN隔离网络转移到VPN网络。 　　通过在网络边界上ISA Server 2006的应用，我们已经能将大部分攻击和安全威胁拒之门外了，剩下的企业内部网络安全问题可以通过ForeFront其他成员来解决。 　　服务器应用程序安全 　　由于服务器上的应用程序有其自身特点，通用的杀毒软件不能有针对性地对服务器上应用程序提供和传输的数据进行有效清查，有时还可能导致服务器停止响应或宕机，因此微软为服务器应用程序开发了Forefront Server Security(简称FSS)，使服务器性能与安全性之间实现完美均衡。 　　FSS最大的特点是采用了多扫描引擎，并通过多引擎管理协调实现。在FSS产品中提供了八大知名防病毒厂商的防病毒引擎(分别是Microsoft Antivirus、Sophos、CA 、Norman、Kaspersky Lab、AhnLab、Authentium Command、Virus Buster)，在部署中，可以同时选择5种引擎一起工作，大大提高了病毒防护能力。 　　采用多引擎扫描的优势： 　　采用多引擎扫描可多次查杀，提高查杀的效果，当其中某个引擎失效，其他引擎仍将正常工作；当某个引擎正在更新时，其他工作引擎仍然坚持扫描，确保正常保护。不会出现邮件不被检测即被放行的情况。在更新时，引擎会经历离线、更新、测试后再激活的阶段，如果在上述任何一步中