如今,互联网越来越普及,网络攻击手段和方法被广泛传播,使得“黑客”的门槛越来越低。伴随不断有人将攻击工具傻瓜化、病毒模块化、入侵组织化和攻击利益化,企业不得不严肃对待日益严峻的网络安全形势。
内部用户数量不断增加、用户安全意识参差不齐,给企业的网络安全带来很多隐患。用户使用P2P软件进行随意下载,占用大量网络带宽,降低网络使用效率,而下载的数据也可能夹杂着恶意文件或代码;VPN拨入用户的客户端安全防护不符合企业网络安全的最低要求;内网客户健康状况不能及时被管理员了解,这些都成为企业网络安全的不稳定因素。
面临如此之多的威胁和挑战的时侯,企业的需求并非仅仅一款安全产品就可满足,企业需要的是一套完整的,能够与现有系统完美结合的全面立体的解决方案。
如果你想改变企业网络漏洞百出、结构松散、难于管理的防御状态,微软公司的ForeFront正是你要找的那个立体解决方案。
Microsoft ForeFront 是一套全面的业务分类安全解决方案,可以通过与现有IT基础架构的集成和简化部署、管理与分析工作,提供更好的保护与控制。
下面我们就从网络边界、服务器应用程序、客户端和服务器等三方面分别简介,看看ForeFront中的各个产品是如何来为企业的网络安全提供由外到内的主体防护的。
网络边界安全
在边界安全的防御上,ISA Server 2006为整个ForeFront防御体系提供了第一道安全屏障。
1. ISA Server 2006拥有强大的自我保护功能。
通过“常规”选项下的“启用入侵检测和DNS攻击检测”、“配置淹没缓解设置”、“配置IP保护”等配置项,来实现简化客户端 IP 警报集中和连接限额,提高抵制蠕虫的灵活性,将已感染病毒计算机对网络的影响降到最低;阻止淹没攻击;IP电子欺骗保护;发现可疑活动将触发警报、连接终止、服务终止、日志记录。此外,ISA Server 2006企业版还提供了阵列和网络负载平衡(NLB)功能。
2. ISA Server 2006更细化的防火墙策略
在管理员配置的防火墙策略上单击“右键”,选择“配置HTTP”。通过对文件扩展名、数据包中的签名、HTTP头等选项的配置,我们可以轻易掌控内网用户访问外部对企业安全的影响。
3. ISA Server 2006更周全的VPN隔离
VPN拨入,虽然方便了外部用户对内网的访问,同样也增加了企业的网络安全风险。ISA Server 2006的VPN隔离功能可以很好地解决这个问题。
例如,我们要检查VPN客户端,是不是开启了ICF,没有则被隔离,开启则作为正常VPN客户端进行网络访问。
ISA Server 2006通过连接管理器管理工具包(CMAK),产生一个安装包(含有检测脚本(rqscript.vbs)和RQC.exe),并发给客户端。客户端运行此安装包,会生成一个拨号程序,客户端用定义好的拨号程序拨叫ISA Server 2006,客户端的脚本程序(rqscript.vbs)会检查客户端有没有启用ICF,通过RQC.exe发送脚本产生的值通知给ISA Server 2006,如果已经开启了ICF,则ISA Server 2006通过RQS服务把客户端从VPN隔离网络转移到VPN网络。
通过在网络边界上ISA Server 2006的应用,我们已经能将大部分攻击和安全威胁拒之门外了,剩下的企业内部网络安全问题可以通过ForeFront其他成员来解决。
服务器应用程序安全
由于服务器上的应用程序有其自身特点,通用的杀毒软件不能有针对性地对服务器上应用程序提供和传输的数据进行有效清查,有时还可能导致服务器停止响应或宕机,因此微软为服务器应用程序开发了Forefront Server Security(简称FSS),使服务器性能与安全性之间实现完美均衡。
FSS最大的特点是采用了多扫描引擎,并通过多引擎管理协调实现。在FSS产品中提供了八大知名防病毒厂商的防病毒引擎(分别是Microsoft Antivirus、Sophos、CA 、Norman、Kaspersky Lab、AhnLab、Authentium Command、Virus Buster),在部署中,可以同时选择5种引擎一起工作,大大提高了病毒防护能力。
采用多引擎扫描的优势:
采用多引擎扫描可多次查杀,提高查杀的效果,当其中某个引擎失效,其他引擎仍将正常工作;当某个引擎正在更新时,其他工作引擎仍然坚持扫描,确保正常保护。不会出现邮件不被检测即被放行的情况。在更新时,引擎会经历离线、更新、测试后再激活的阶段,如果在上述任何一步中引擎失效,Forefront将自动回退到上一个正常工作的版本, 激活它, 然后发出警告信息。
下面以ForeFront Security for Exchange Server为例来介绍一下作为中流砥柱的FSS是如何保护服务器应用程序的安全的。
Microsoft ForeFront Security for Exchange Server利用多个扫描引擎的集成,形成一个全面、分层的解决方案,帮助企业保护其Microsoft Exchange Server邮件环境,防范病毒、蠕虫、垃圾邮件和不适当内容。
Forefront Security for Exchange Server允许创建模板来规定对特殊类型的应用使用哪些偏好和引擎,例如针对一个复杂的Exchange环境,可通过模板将Exchange 2007 Hub Transport 服务器上的传输扫描规定为“中立”,并使用第二个模板将Mailbox的定期后台扫描规定为“最大实效”,同理在Edge transport server定为“最佳性能”,并在不同服务器中使用不同的防病毒引擎。
这样,后台扫描能够在收件箱中查出事前未发现的恶意文件,在Mailbox上确保在使用者的收件箱内没有得到恶意文件;Hub Transport Server 上防毒引擎确保在Mailbox与Edge Transport Server之间没有恶意文件传送;Edge Transport Server上防毒引擎确保企业内送出与接收的邮件做好了防毒。
创建不同的模板来灵活应对不同的Exchange环境,这样FSS就很方便地为Exchange Server构建了一道由外到内屏障。
注:Forefront Security for Exchange Server只支持Exchange Server 2007。
当我们用FSS保障了服务器应用程序的安全后,下一步就要去围剿分散在各个客户端上的毒瘤了。
客户端和服务器安全
Microsoft Forefront Client Security 向商用台式机、便携机和服务器操作系统提供易于管理与控制的统一恶意软件防护功能,可以防范间谍软件、Rootkit 等新威胁,以及病毒、蠕虫和特洛伊木马等传统威胁,通过中央管理的方式来提供简易管理,并提供至关重要的威胁和漏洞可见性,还可以与Active Directory 等已有基础架构软件集成,并对其他Microsoft 安全技术发挥补充作用,实现强化的保护和更大的控制。
FCS有很多特点,比如利用安全策略通过GPO进行集中部署的便利;通过WSUS进行更新的快捷以及强大的防护功能等等,但最令人着迷的是它那细致、完善的报表功能。
FCS管理控制台提供了一个带策略管理的仪表板,从中可以直观地看到近期报告出现问题的客户端、报告没出现问题的客户端以及还未提呈报告的客户端各自所占比率。该仪表板还提供了快速链接来生成各类概要报表,报告整个系统受感染的情况,恶意软件的总馈,还有企业级的安全评估。最令人满意的是部署概要报表,它使我们只要通过一个单一页面就可查看策略部署、间谍软件和防病毒软件特征码分发以及客户引擎部署情况。我们甚至可根据每个安全策略一一分离出相应信息。这些报表最初是作为Web页面格式来呈现的,也可以以XML、CSV、Excel或PDF格式轻松输出报表。(如图)
通过这些报表我们可以很清楚地了解企业网络中弱的环节出现在哪里,并采取措施,使企业网络安全隐患减到最低。
FCS强悍地保护着客户端和服务器,细致入微地反映着企业网络中每一个细小的安全问题,将恶意文件和安全隐患彻底清剿。
总结
ForeFront 产品是面向IT基础架构提供端到端保护的全面的解决方案。它不但为客户端提供了可以查杀和防护病毒、间谍软件、rootkit 和其他威胁的FCS,更有针对性地提供了拥有多扫描引擎的、灵活高效的FSS为应用服务器保驾护航,同时应用ISA2006对网络边缘进行可控访问及敏感数据保护。
ForeFront 产品旨在简化部署、设置、管理、报告和分析过程,让企业IT管理员的工作更加轻松高效,减少培训时间,并控制商业成本,保障管理员在能够获得更高的效率的同时还做到加大对网络安全的控制,从而提升企业整体的安全性,让企业的数据快速、高效、安全地支持企业业务发展。
如果你仍在为企业的安全问题而苦恼,何不来感受一下ForeFront带来的从外到内的安全防护呢!
