面對如潮水般兇猛的網(wǎng)絡(luò)安全威脅，企業(yè)通過部署各種安全產(chǎn)品來保護(hù)自身的應(yīng)用安全。但是僅僅進(jìn)行網(wǎng)絡(luò)防護(hù)層部署并不能滿足網(wǎng)絡(luò)防護(hù)需求，合理的進(jìn)行網(wǎng)絡(luò)防護(hù)層配置才能夠更好的答到企業(yè)網(wǎng)絡(luò)安全防護(hù)的標(biāo)準(zhǔn)。從IT基礎(chǔ)結(jié)構(gòu)的角度來看，阻止所有傳入附件是最簡單、最安全的選項(xiàng)。但是，組織中電子郵件用戶的需求可能不允許這樣做。必須進(jìn)行折衷，在組織的需求和它可以接受的風(fēng)險(xiǎn)級別之間達(dá)到平衡。

許多組織已經(jīng)采用多層方法來設(shè)計(jì)其網(wǎng)絡(luò)同時使用內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)和外部網(wǎng)絡(luò)結(jié)構(gòu)。Microsoft建議使用此方法，因?yàn)樗�正好符合深層防護(hù)安全模型。

注意：存在一種日益增長的趨勢：將內(nèi)部網(wǎng)絡(luò)分解為多個安全區(qū)域，以便為每個安全區(qū)域建立外圍。Microsoft也建議使用此方法，因?yàn)樗�可幫助降低試圖訪問內(nèi)部網(wǎng)絡(luò)的惡意軟件攻擊的總體風(fēng)險(xiǎn)。但是，本指南僅對單個網(wǎng)絡(luò)防護(hù)進(jìn)行說明。如果您計(jì)劃使用一個外圍網(wǎng)絡(luò)和多個內(nèi)部網(wǎng)絡(luò)，則可以將此指導(dǎo)直接應(yīng)用于每個網(wǎng)絡(luò)。

組織的第一個網(wǎng)絡(luò)防護(hù)指外圍網(wǎng)絡(luò)防護(hù)。這些防護(hù)旨在防止惡意軟件通過外部攻擊進(jìn)入組織。如本章前面所述，典型的惡意軟件攻擊集中于將文件復(fù)制到目標(biāo)計(jì)算機(jī)。因此，您的病毒防護(hù)應(yīng)該使用組織的常規(guī)安全措施，以確保只有經(jīng)過適當(dāng)授權(quán)的人員才能以安全方式(如通過加密的虛擬專用網(wǎng)絡(luò)(VPN)連接)訪問組織的數(shù)據(jù)。

注意：您也應(yīng)該將任何無線局域網(wǎng) (LAN) 和VPN視為外圍網(wǎng)絡(luò)。如果您的組織已經(jīng)采用這些技術(shù)，則對其進(jìn)行保護(hù)是很重要的。如果無法提供此安全性，則可能允許攻擊者直接訪問您的內(nèi)部網(wǎng)絡(luò)(避開標(biāo)準(zhǔn)的外圍防護(hù))以發(fā)動攻擊。

在本指南中，假定網(wǎng)絡(luò)安全設(shè)計(jì)為組織提供了所需的標(biāo)識、授權(quán)、加密和保護(hù)級別，以防止未經(jīng)授權(quán)的攻擊者直接侵入。但是，此時病毒防護(hù)是不完整的。下一步是將網(wǎng)絡(luò)層防護(hù)配置為檢測和篩選使用允許的網(wǎng)絡(luò)通信(如電子郵件、Web瀏覽和即時消息)的惡意軟件攻擊。

網(wǎng)絡(luò)防護(hù)層配置之網(wǎng)絡(luò)防病毒配置

有許多專門設(shè)計(jì)用于為組織提供網(wǎng)絡(luò)安全的配置和技術(shù)。雖然這些是組織安全設(shè)計(jì)的重要部分，但是本節(jié)僅集中說明與病毒防護(hù)有直接關(guān)系的區(qū)域。您的網(wǎng)絡(luò)安全和設(shè)計(jì)小組應(yīng)該確定在組織中如何使用以下每種方法。

網(wǎng)絡(luò)防護(hù)層配置之網(wǎng)絡(luò)入侵檢測系統(tǒng)

因?yàn)橥鈬�網(wǎng)絡(luò)是網(wǎng)絡(luò)中風(fēng)險(xiǎn)很大的部分，因此您的網(wǎng)絡(luò)管理系統(tǒng)能夠盡快檢測和報(bào)告攻擊是極其重要的。網(wǎng)絡(luò)入侵檢測(NID)系統(tǒng)的作用僅僅是提供：外部攻擊的快速檢測和報(bào)告。雖然NID系統(tǒng)是總體系統(tǒng)安全設(shè)計(jì)的一部分，而且不是特定的防病毒工具，但是系統(tǒng)攻擊和惡意軟件攻擊的許多最初跡象是相同的。例如，一些惡意軟件使用IP掃描來查找可進(jìn)行感染的系統(tǒng)。由于此原因，應(yīng)該將NID系統(tǒng)配置為與組織的網(wǎng)絡(luò)管理系統(tǒng)一起工作，將任何不尋常的網(wǎng)絡(luò)行為的警告直接傳遞給組織的安全人員。

要了解的一個關(guān)鍵問題是：對于任何NID實(shí)現(xiàn)，其保護(hù)僅相當(dāng)于在檢測到入侵之后遵循的過程。此過程應(yīng)該觸發(fā)可以用來阻止攻擊的防護(hù)，而且防護(hù)應(yīng)該得到連續(xù)不斷的實(shí)時監(jiān)視。只有在此時，才能認(rèn)為該過程是防護(hù)策略的一部分。否則，NID系統(tǒng)實(shí)際上更像一個在攻擊發(fā)生之后提供審核記錄的工具。

有許多可供網(wǎng)絡(luò)設(shè)計(jì)人員使用的企業(yè)級網(wǎng)絡(luò)入侵檢測系統(tǒng)。它們可以是獨(dú)立的設(shè)備，也可以是集成到其他網(wǎng)絡(luò)服務(wù)(如組織的防火墻服務(wù))中的其他系統(tǒng)。例如，MicrosoftInternetSecurity and Acceleration (ISA) Server 2000 和 2004 產(chǎn)品包含NID系統(tǒng)功能以及防火墻和代理服務(wù)。

網(wǎng)絡(luò)防護(hù)層配置之應(yīng)用程序?qū)雍Y選

組織意識到使用Internet篩選技術(shù)監(jiān)視和屏蔽網(wǎng)絡(luò)通信中的非法內(nèi)容(如病毒)不僅是有用的，而且是必需的。在過去，曾經(jīng)使用防火墻服務(wù)提供的數(shù)據(jù)包層篩選執(zhí)行了此篩選，僅允許根據(jù)源或目標(biāo)IP地址或者特定的 TCP 或 UDP 網(wǎng)絡(luò)端口來篩選網(wǎng)絡(luò)流量。應(yīng)用程序?qū)雍Y選 (ALF) 在OSI網(wǎng)絡(luò)模型的應(yīng)用程序?qū)由瞎ぷ�，因此它允許根據(jù)數(shù)據(jù)的內(nèi)容檢查和篩選數(shù)據(jù)。如果除了使用標(biāo)準(zhǔn)數(shù)據(jù)包層篩選外還使用ALF，則可以實(shí)現(xiàn)的安全性要高得多。例如，使用數(shù)據(jù)包篩選可能允許您篩選通過組織防火墻的端口80 網(wǎng)絡(luò)流量，以便它只能傳遞到 Web服務(wù)器。但是，此方法可能不提供足夠的安全性。通過將 ALF 添加到解決方案中，您可以檢查端口80 上傳遞到 Web服務(wù)器的所有數(shù)據(jù)，以確保它是有效的且不包含任何可疑代碼。