企業(yè)對安全架構(gòu)的需求

在當前的企業(yè)安全環(huán)境中，其威脅性越來越高，攻擊行為也更為先進，而且很多情況下都因為直接經(jīng)濟利益的驅(qū)動而展開攻擊。而且攻擊目標的針對性也越來越強，傳播的速度也越來越快，留給系統(tǒng)管理人員和安全實施人員應(yīng)對這些威脅和攻擊防護的時間越來越短。一旦針對企業(yè)的攻擊得逞，入侵者將會采取各種方式實現(xiàn)對企業(yè)網(wǎng)絡(luò)的長期駐留，對企業(yè)造成的影響將難以估量。在企業(yè)面臨的外面安全威脅和挑戰(zhàn)中，發(fā)生最為頻繁的威脅當屬惡意軟件。惡意軟件的類型從原來單一的病毒，演化成目前流行的使用多種高級技術(shù)的蠕蟲、僵尸網(wǎng)絡(luò)、后門程序、木馬、間諜軟件等多種并存的局面，從傳播途徑上來說，企業(yè)日常使用最多的Web和電子郵件就是惡意軟件傳播的主要途徑。如圖1所示，當前企業(yè)安全管理人員要應(yīng)對圖示當中的挑戰(zhàn)：

圖1：當前企業(yè)的安全挑戰(zhàn)

當前大多企業(yè)安全解決方案存在的問題

在入侵者強大的攻勢面前，企業(yè)的IT工作人員和安全實施人員往往扮演著救火隊員的角色，在不知疲倦的各種類型的攻擊面前不知疲倦地應(yīng)付，發(fā)布威脅警報、發(fā)布安全補丁通告、企業(yè)系統(tǒng)修復(fù)、企業(yè)數(shù)據(jù)修復(fù)等等。究其根源，企業(yè)的安全解決方案存在著嚴重的缺陷。筆者認為主要問題如下：
1、缺乏可拓展的整體安全規(guī)劃。企業(yè)要面對的安全環(huán)境如同不斷變化的商務(wù)環(huán)境一樣，是一個動態(tài)變化的環(huán)境。因此任何缺乏長遠防護目標和缺乏可拓展的安全解決方案即意味著對企業(yè)安全防護的投資將付之東流。
2、企業(yè)安全涉眾人員的整體安全意識薄弱。盡管不同的企業(yè)采用不同的方式努力提高企業(yè)員工的安全意識，但是沒有任何一個企業(yè)的安全實施人員能夠確保公司的員工不會通過公司網(wǎng)絡(luò)訪問非法網(wǎng)站，并可能因此帶來針對整個企業(yè)的安全隱患。
3、相當多的企業(yè)缺乏足夠的安全解決方案實施預(yù)算。強大的安全防護依賴于強大的經(jīng)濟投入，防護級別意味著投資級別，硬件防火墻和軟件防火墻的成本不同，因此效率也不同。而對于缺乏預(yù)算的而言，難道只有望洋興嘆？任人竊取企業(yè)的敏感數(shù)據(jù)？所以，企業(yè)需要一個能夠提供企業(yè)架構(gòu)級別的安全解決方案，并能夠在長期的應(yīng)用過程中，實現(xiàn)對企業(yè)安全的高效、可擴展防護，更重要的是，這一解決方案不需要太多的財政預(yù)算。

Forefront簡介

Microsoft Forefront提供了完整的企業(yè)安全產(chǎn)品家族，能夠?qū)δ木W(wǎng)絡(luò)基礎(chǔ)架構(gòu)提供完善的防護與監(jiān)控。按照產(chǎn)品功能進行劃分，F(xiàn)orefront安全產(chǎn)品家族主要包括企業(yè)網(wǎng)絡(luò)邊界防護、服務(wù)器保護和客戶端保護三大類產(chǎn)品。

相應(yīng)的產(chǎn)品包括以下六大功能性產(chǎn)品：

企業(yè)網(wǎng)絡(luò)邊界防護：
Microsoft Internet Security and Acceleration (ISA) Server 2006；
Microsoft Intelligent Application Gateway (IAG) 2007。

服務(wù)器保護：
Microsoft Forefront Security for Exchange Server；
Microsoft Forefront Security for SharePoint；
Microsoft Forefront Security for Office Communications Server。

客戶端保護：
Microsoft Forefront Client Security

以上六大功能產(chǎn)品是當前被廣泛應(yīng)用的微軟Forefront安全解決方案產(chǎn)品，企業(yè)可以根據(jù)自己的業(yè)務(wù)和安全需求，靈活選擇相應(yīng)的產(chǎn)品。對于大型企業(yè)而言，需要全面的安全防護解決方案，同時擁有充足的IT預(yù)算，因此可以采用多種微軟Forefront安全產(chǎn)品；對于僅希望加強企業(yè)某一方面安全防護能力的企業(yè)而言，則可以根據(jù)實際需求選擇一種或多種相應(yīng)功能的安全產(chǎn)品。

Forefront能夠給企業(yè)帶來的益處

以被企業(yè)長期青睞并進行投資的Windows技術(shù)體系為依托，Microsoft Forefront安全產(chǎn)品能夠輕易地與其他供應(yīng)商的產(chǎn)品、企業(yè)中遺留的應(yīng)用系統(tǒng)以及企業(yè)的IT基礎(chǔ)架構(gòu)整合在一起，并且能夠通過與合作伙伴的解決方案一起，為企業(yè)實現(xiàn)端到端的安全解決架構(gòu)解決方案。在實施了Microsoft Forefront的安全解決方案以后，其簡單的部署、管理和分析，能夠讓企業(yè)的IT安全實施人員更加有效地保護企業(yè)信息的安全，并且能夠安全地應(yīng)用和保護服務(wù)器上的應(yīng)用程序。

通過實施Forefront安全解決方案，能夠讓企業(yè)IT安全實施人員在面對瞬息萬變的威脅和與日俱增的企業(yè)安全需求面前應(yīng)對自如、充滿信心。

在企業(yè)網(wǎng)絡(luò)邊界防護上，Microsoft Internet Security and Acceleration (ISA) Server 2006作為企業(yè)級防火墻，為企業(yè)信息安全提供了強大的邊界防護支持，它通過深入內(nèi)容檢測、強大的VPN技術(shù)以及采用HTTP 壓縮、內(nèi)容緩存和與應(yīng)用層過濾集成的站點到站點VPN功能等，滿足企業(yè)在Internet訪問保護、安全遠程訪問以及安全有效的分支機構(gòu)連接上的需求。而Microsoft Intelligent Application Gateway (IAG) 2007則可以滿足對企業(yè)邊界安全有更高要求的企業(yè)的需求。

在服務(wù)器保護上，F(xiàn)orefront推出了三款分別針對郵件防護、病毒防護與內(nèi)容控制，以及針對日益廣泛應(yīng)用的企業(yè)即時通信工具保護的功能性安全工具，其中Microsoft Forefront Security for Exchange Server通過強化分層防御機制，改進了對郵件內(nèi)容過濾的策略，確保電子郵件系統(tǒng)免遭病毒蠕蟲感染；Microsoft Forefront Security for SharePoint通過多掃描引擎管理和一系列的篩選選項來自動檢測與清除文檔中感染的病毒，并依照公司內(nèi)容策略地實施前瞻性防護；Microsoft Forefront Security for Office Communications Server可在即時通訊會話中檢測和清除病毒，支持文件傳輸和加密的對話，隔絕即時通訊中可能有害的鏈接，并通過可配置的安全策略攔截掃描和攔截即時通訊會話中和文檔中的機密信息及關(guān)鍵字，幫助企業(yè)實時把握信息的脈搏。

對于客戶端的保護，Microsoft Forefront Client Security（FCS）針對企業(yè)內(nèi)桌面電腦、筆記本電腦以及服務(wù)器應(yīng)用系統(tǒng)，提供更易管理且全面的惡意程序防護。FCS能夠幫助企業(yè)應(yīng)對多種新興的威脅（如惡意軟件和Rootkit等）以及傳統(tǒng)的威脅（如病毒、蠕蟲和木馬程序）。FCS通過集中式的管理來簡化系統(tǒng)管理，并針對威脅和安全缺陷提供可見度，提供高效的防護功能。

應(yīng)用Forefront安全解決方案

本文將主要介紹基于FCS的客戶端保護解決方案和基于ISA Server 2006的企業(yè)網(wǎng)絡(luò)邊界解決方案。

客戶端保護解決方案：

企業(yè)可以以安全解決方案套件的方式部署Forefront客戶端防護套件，在客戶端防護套件中包含了微軟提供的所有的安全防護和管理功能，通過對一部或多部電腦部署相同的防護規(guī)則，在安全防護程序內(nèi)實現(xiàn)反間諜軟件、反病毒、安全狀態(tài)防護等功能。FCS支持本機和遠程存取的所有管理功能，包括設(shè)置、病毒庫更新、報告和警報等。

集中式的管理控制臺通過詳盡的并優(yōu)先排序的安全報告和摘要儀表盤，能夠為企業(yè)IT管理人員和IT安全實施人員提供關(guān)鍵可見度和控制能力，讓企業(yè)掌握并控制惡意代碼的威脅。單一儀表盤提供了威脅和弱點的可見度。狀態(tài)評估掃描能夠協(xié)助企業(yè)判斷哪些受管理的程序需要打上安全補丁或者需要更新安全防護策略，或者那些系統(tǒng)有不安全的配置。通過威脅警報，企業(yè)IT安全實施人員不需要搜索大量的資料或者咨詢其他的實施人員，而只需要簡單地關(guān)注于這些詳盡的資料，即可讓企業(yè)實現(xiàn)對威脅事態(tài)發(fā)展趨勢的評估，并把重點放在重要的信息上，同時能夠讓企業(yè)IT安全實施人員獲得更多的信息。

在FCS中已經(jīng)有針對設(shè)定安全代理程序的Active Directory群組策略，以及發(fā)布數(shù)字認證的Windows Server Update Services（WSUS）最優(yōu)化應(yīng)用策略。企業(yè)可以通過采用Microsoft合作伙伴的軟件應(yīng)用系統(tǒng)配合FCS一起應(yīng)用來實現(xiàn)最佳的防護效果。如圖2所示FCS各個組件之間的拓撲關(guān)系圖。

圖2：Microsoft FCS 客戶端保護解決方案架構(gòu)圖

企業(yè)網(wǎng)絡(luò)邊界安全解決方案：

作為企業(yè)級防護墻軟件，ISA Server與微軟其他服務(wù)器保護軟件一起，構(gòu)筑起對企業(yè)各個層面上應(yīng)用程序的防護長城。企業(yè)可以在整體架構(gòu)方案中同時引入Exchange Server、SharePoint、Active Directory等企業(yè)級工具。

Internet訪問保護

ISA 2006通過使用SSL橋接的加密流量監(jiān)測、HTTP偵聽限制用戶身份驗證支持訪問

工具、NTLM、Kerberos、基于增強用戶/密碼的訪問控制等功能，實現(xiàn)對Internet訪問保護，防范源自企業(yè)網(wǎng)絡(luò)外部的 Internet 威脅和企業(yè)內(nèi)部的威脅。

安全遠程訪問

ISA 2006通過采用SSL加密VPN、應(yīng)用程序?qū)舆^濾和端點安全管理，使員工可以從不同的位置，以被優(yōu)化的方式對企業(yè)內(nèi)部網(wǎng)絡(luò)中的關(guān)鍵應(yīng)用程序、文檔和數(shù)據(jù)通過企業(yè)Intranet進行訪問。

安全有效地連接到分支機構(gòu)

ISA 2006通過采用HTTP 壓縮、內(nèi)容緩存和與應(yīng)用層過濾集成的站點到站點VPN功能，使企業(yè)網(wǎng)絡(luò)可以連接并保護其分支機構(gòu)的網(wǎng)絡(luò)，實現(xiàn)更安全、更輕松的企業(yè)網(wǎng)絡(luò)擴展。

在經(jīng)過基于ISA 2006的企業(yè)邊界防護以后，然后分別采用Exchange Server對企業(yè)郵件進行防護和SharePoint實施基于內(nèi)容監(jiān)控的防護，構(gòu)建起企業(yè)端到端的安全防護體系，確保企業(yè)IT應(yīng)用免受多種外界威脅的侵害。如圖3所示，微軟ISA 2006解決方案架構(gòu)。

圖3：Microsoft ISA 2006解決方案架構(gòu)圖