企业对安全架构的需求
在当前的企业安全环境中,其威胁性越来越高,攻击行为也更为先进,而且很多情况下都因为直接经济利益的驱动而展开攻击。而且攻击目标的针对性也越来越强,传播的速度也越来越快,留给系统管理人员和安全实施人员应对这些威胁和攻击防护的时间越来越短。一旦针对企业的攻击得逞,入侵者将会采取各种方式实现对企业网络的长期驻留,对企业造成的影响将难以估量。在企业面临的外面安全威胁和挑战中,发生最为频繁的威胁当属恶意软件。恶意软件的类型从原来单一的病毒,演化成目前流行的使用多种高级技术的蠕虫、僵尸网络、后门程序、木马、间谍软件等多种并存的局面,从传播途径上来说,企业日常使用最多的Web和电子邮件就是恶意软件传播的主要途径。如图1所示,当前企业安全管理人员要应对图示当中的挑战:
 |
| 图1:当前企业的安全挑战 |
当前大多企业安全解决方案存在的问题
在入侵者强大的攻势面前,企业的IT工作人员和安全实施人员往往扮演着救火队员的角色,在不知疲倦的各种类型的攻击面前不知疲倦地应付,发布威胁警报、发布安全补丁通告、企业系统修复、企业数据修复等等。究其根源,企业的安全解决方案存在着严重的缺陷。笔者认为主要问题如下:
1、缺乏可拓展的整体安全规划。企业要面对的安全环境如同不断变化的商务环境一样,是一个动态变化的环境。因此任何缺乏长远防护目标和缺乏可拓展的安全解决方案即意味着对企业安全防护的投资将付之东流。
2、企业安全涉众人员的整体安全意识薄弱。尽管不同的企业采用不同的方式努力提高企业员工的安全意识,但是没有任何一个企业的安全实施人员能够确保公司的员工不会通过公司网络访问非法网站,并可能因此带来针对整个企业的安全隐患。
3、相当多的企业缺乏足够的安全解决方案实施预算。强大的安全防护依赖于强大的经济投入,防护级别意味着投资级别,硬件防火墙和软件防火墙的成本不同,因此效率也不同。而对于缺乏预算的而言,难道只有望洋兴叹?任人窃取企业的敏感数据?所以,企业需要一个能够提供企业架构级别的安全解决方案,并能够在长期的应用过程中,实现对企业安全的高效、可扩展防护,更重要的是,这一解决方案不需要太多的财政预算。
Forefront简介
Microsoft Forefront提供了完整的企业安全产品家族,能够对您的网络基础架构提供完善的防护与监控。按照产品功能进行划分,Forefront安全产品家族主要包括企业网络边界防护、服务器保护和客户端保护三大类产品。
相应的产品包括以下六大功能性产品:
企业网络边界防护:
Microsoft Internet Security and Acceleration (ISA) Server 2006;
Microsoft Intelligent Application Gateway (IAG) 2007。
服务器保护:
Microsoft Forefront Security for Exchange Server;
Microsoft Forefront Security for SharePoint;
Microsoft Forefront Security for Office Communications Server。
客户端保护:
Microsoft Forefront Client Security
以上六大功能产品是当前被广泛应用的微软Forefront安全解决方案产品,企业可以根据自己的业务和安全需求,灵活选择相应的产品。对于大型企业而言,需要全面的安全防护解决方案,同时拥有充足的IT预算,因此可以采用多种微软Forefront安全产品;对于仅希望加强企业某一方面安全防护能力的企业而言,则可以根据实际需求选择一种或多种相应功能的安全产品。
Forefront能够给企业带来的益处
以被企业长期青睐并进行投资的Windows技术体系为依托,Microsoft Forefront安全产品能够轻易地与其他供应商的产品、企业中遗留的应用系统以及企业的IT基础架构整合在一起,并且能够通过与合作伙伴的解决方案一起,为企业实现端到端的安全解决架构解决方案。在实施了Microsoft Forefront的安全解决方案以后,其简单的部署、管理和分析,能够让企业的IT安全实施人员更加有效地保护企业信息的安全,并且能够安全地应用和保护服务器上的应用程序。
通过实施Forefront安全解决方案,能够让企业IT安全实施人员在面对瞬息万变的威胁和与日俱增的企业安全需求面前应对自如、充满信心。
在企业网络边界防护上,Microsoft Internet Security and Acceleration (ISA) Server 2006作为企业级防火墙,为企业信息安全提供了强大的边界防护支持,它通过深入内容检测、强大的VPN技术以及采用HTTP 压缩、内容缓存和与应用层过滤集成的站点到站点VPN功能等,满足企业在Internet访问保护、安全远程访问以及安全有效的分支机构连接上的需求。而Microsoft Intelligent Application Gateway (IAG) 2007则可以满足对企业边界安全有更高要求的企业的需求。
在服务器保护上,Forefront推出了三款分别针对邮件防护、病毒防护与内容控制,以及针对日益广泛应用的企业即时通信工具保护的功能性安全工具,其中Microsoft Forefront Security for Exchange Server通过强化分层防御机制,改进了对邮件内容过滤的策略,确保电子邮件系统免遭病毒蠕虫感染;Microsoft Forefront Security for SharePoint通过多扫描引擎管理和一系列的筛选选项来自动检测与清除文档中感染的病毒,并依照公司内容策略地实施前瞻性防护;Microsoft Forefront Security for Office Communications Server可在即时通讯会话中检测和清除病毒,支持文件传输和加密的对话,隔绝即时通讯中可能有害的链接,并通过可配置的安全策略拦截扫描和拦截即时通讯会话中和文档中的机密信息及关键字,帮助企业实时把握信息的脉搏。
对于客户端的保护,Microsoft Forefront Client Security(FCS)针对企业内桌面电脑、笔记本电脑以及服务器应用系统,提供更易管理且全面的恶意程序防护。FCS能够帮助企业应对多种新兴的威胁(如恶意软件和Rootkit等)以及传统的威胁(如病毒、蠕虫和木马程序)。FCS通过集中式的管理来简化系统管理,并针对威胁和安全缺陷提供可见度,提供高效的防护功能。
应用Forefront安全解决方案
本文将主要介绍基于FCS的客户端保护解决方案和基于ISA Server 2006的企业网络边界解决方案。
客户端保护解决方案:
企业可以以安全解决方案套件的方式部署Forefront客户端防护套件,在客户端防护套件中包含了微软提供的所有的安全防护和管理功能,通过对一部或多部电脑部署相同的防护规则,在安全防护程序内实现反间谍软件、反病毒、安全状态防护等功能。FCS支持本机和远程存取的所有管理功能,包括设置、病毒库更新、报告和警报等。
集中式的管理控制台通过详尽的并优先排序的安全报告和摘要仪表盘,能够为企业IT管理人员和IT安全实施人员提供关键可见度和控制能力,让企业掌握并控制恶意代码的威胁。单一仪表盘提供了威胁和弱点的可见度。状态评估扫描能够协助企业判断哪些受管理的程序需要打上安全补丁或者需要更新安全防护策略,或者那些系统有不安全的配置。通过威胁警报,企业IT安全实施人员不需要搜索大量的资料或者咨询其他的实施人员,而只需要简单地关注于这些详尽的资料,即可让企业实现对威胁事态发展趋势的评估,并把重点放在重要的信息上,同时能够让企业IT安全实施人员获得更多的信息。
在FCS中已经有针对设定安全代理程序的Active Directory群组策略,以及发布数字认证的Windows Server Update Services(WSUS)最优化应用策略。企业可以通过采用Microsoft合作伙伴的软件应用系统配合FCS一起应用来实现最佳的防护效果。如图2所示FCS各个组件之间的拓扑关系图。
 |
|
图2:Microsoft |
企业网络边界安全解决方案:
作为企业级防护墙软件,ISA Server与微软其他服务器保护软件一起,构筑起对企业各个层面上应用程序的防护长城。企业可以在整体架构方案中同时引入Exchange Server、SharePoint、Active Directory等企业级工具。
Internet访问保护
ISA 2006通过使用SSL桥接的加密流量监测、HTTP侦听限制用户身份验证支持访问
工具、NTLM、Kerberos、基于增强用户/密码的访问控制等功能,实现对Internet访问保护,防范源自企业网络外部的 Internet 威胁和企业内部的威胁。
安全远程访问
ISA 2006通过采用SSL加密VPN、应用程序层过滤和端点安全管理,使员工可以从不同的位置,以被优化的方式对企业内部网络中的关键应用程序、文档和数据通过企业Intranet进行访问。
安全有效地连接到分支机构
ISA 2006通过采用HTTP 压缩、内容缓存和与应用层过滤集成的站点到站点VPN功能,使企业网络可以连接并保护其分支机构的网络,实现更安全、更轻松的企业网络扩展。
在经过基于ISA 2006的企业边界防护以后,然后分别采用Exchange Server对企业邮件进行防护和SharePoint实施基于内容监控的防护,构建起企业端到端的安全防护体系,确保企业IT应用免受多种外界威胁的侵害。如图3所示,微软ISA 2006解决方案架构。
 |
|
图3:Microsoft |
