如今，互聯網越來越普及，網絡攻擊手段和方法被廣泛傳播，使得“黑客”的門檻越來越低。伴隨不斷有人將攻擊工具傻瓜化、病毒模塊化、入侵組織化和攻擊利益化，企業不得不嚴肅對待日益嚴峻的網絡安全形勢。

內部用戶數量不斷增加、用戶安全意識參差不齊，給企業的網絡安全帶來很多隱患。用戶使用P2P軟件進行隨意下載，占用大量網絡帶寬，降低網絡使用效率，而下載的數據也可能夾雜著惡意文件或代碼；VPN撥入用戶的客戶端安全防護不符合企業網絡安全的最低要求；內網客戶健康狀況不能及時被管理員了解，這些都成為企業網絡安全的不穩定因素。

面臨如此之多的威脅和挑戰的時侯，企業的需求并非僅僅一款安全產品就可滿足，企業需要的是一套完整的，能夠與現有系統完美結合的全面立體的解決方案。

如果你想改變企業網絡漏洞百出、結構松散、難于管理的防御狀態，微軟公司的ForeFront正是你要找的那個立體解決方案。

Microsoft ForeFront 是一套全面的業務分類安全解決方案，可以通過與現有IT基礎架構的集成和簡化部署、管理與分析工作，提供更好的保護與控制。

下面我們就從網絡邊界、服務器應用程序、客戶端和服務器等三方面分別簡介，看看ForeFront中的各個產品是如何來為企業的網絡安全提供由外到內的主體防護的。

網絡邊界安全

在邊界安全的防御上，ISA Server 2006為整個ForeFront防御體系提供了第一道安全屏障。

1. ISA Server 2006擁有強大的自我保護功能。

通過“常規”選項下的“啟用入侵檢測和DNS攻擊檢測”、“配置淹沒緩解設置”、“配置IP保護”等配置項，來實現簡化客戶端 IP 警報集中和連接限額，提高抵制蠕蟲的靈活性，將已感染病毒計算機對網絡的影響降到最低；阻止淹沒攻擊；IP電子欺騙保護；發現可疑活動將觸發警報、連接終止、服務終止、日志記錄。此外，ISA Server 2006企業版還提供了陣列和網絡負載平衡(NLB)功能。

2. ISA Server 2006更細化的防火墻策略

在管理員配置的防火墻策略上單擊“右鍵”，選擇“配置HTTP”。通過對文件擴展名、數據包中的簽名、HTTP頭等選項的配置，我們可以輕易掌控內網用戶訪問外部對企業安全的影響。

3. ISA Server 2006更周全的VPN隔離

VPN撥入，雖然方便了外部用戶對內網的訪問，同樣也增加了企業的網絡安全風險。ISA Server 2006的VPN隔離功能可以很好地解決這個問題。

例如，我們要檢查VPN客戶端，是不是開啟了ICF，沒有則被隔離，開啟則作為正常VPN客戶端進行網絡訪問。

ISA Server 2006通過連接管理器管理工具包(CMAK)，產生一個安裝包(含有檢測腳本(rqscript.vbs)和RQC.exe)，并發給客戶端。客戶端運行此安裝包，會生成一個撥號程序，客戶端用定義好的撥號程序撥叫ISA Server 2006，客戶端的腳本程序(rqscript.vbs)會檢查客戶端有沒有啟用ICF，通過RQC.exe發送腳本產生的值通知給ISA Server 2006，如果已經開啟了ICF，則ISA Server 2006通過RQS服務把客戶端從VPN隔離網絡轉移到VPN網絡。

通過在網絡邊界上ISA Server 2006的應用，我們已經能將大部分攻擊和安全威脅拒之門外了，剩下的企業內部網絡安全問題可以通過ForeFront其他成員來解決。

服務器應用程序安全

由于服務器上的應用程序有其自身特點，通用的殺毒軟件不能有針對性地對服務器上應用程序提供和傳輸的數據進行有效清查，有時還可能導致服務器停止響應或宕機，因此微軟為服務器應用程序開發了Forefront Server Security(簡稱FSS)，使服務器性能與安全性之間實現完美均衡。

FSS最大的特點是采用了多掃描引擎，并通過多引擎管理協調實現。在FSS產品中提供了八大知名防病毒廠商的防病毒引擎(分別是Microsoft Antivirus、Sophos、CA 、Norman、Kaspersky Lab、AhnLab、Authentium Command、Virus Buster)，在部署中，可以同時選擇5種引擎一起工作，大大提高了病毒防護能力。

采用多引擎掃描的優勢：

采用多引擎掃描可多次查殺，提高查殺的效果，當其中某個引擎失效，其他引擎仍將正常工作；當某個引擎正在更新時，其他工作引擎仍然堅持掃描，確保正常保護。不會出現郵件不被檢測即被放行的情況。在更新時，引擎會經歷離線、更新、測試后再激活的階段，如果在上述任何一步中引擎失效，Forefront將自動回退到上一個正常工作的版本, 激活它, 然后發出警告信息。

下面以ForeFront Security for Exchange Server為例來介紹一下作為中流砥柱的FSS是如何保護服務器應用程序的安全的。

Microsoft ForeFront Security for Exchange Server利用多個掃描引擎的集成，形成一個全面、分層的解決方案，幫助企業保護其Microsoft Exchange Server郵件環境，防范病毒、蠕蟲、垃圾郵件和不適當內容。

Forefront Security for Exchange Server允許創建模板來規定對特殊類型的應用使用哪些偏好和引擎，例如針對一個復雜的Exchange環境，可通過模板將Exchange 2007 Hub Transport 服務器上的傳輸掃描規定為“中立”，并使用第二個模板將Mailbox的定期后臺掃描規定為“最大實效”，同理在Edge transport server定為“最佳性能”，并在不同服務器中使用不同的防病毒引擎。

這樣，后臺掃描能夠在收件箱中查出事前未發現的惡意文件，在Mailbox上確保在使用者的收件箱內沒有得到惡意文件；Hub Transport Server 上防毒引擎確保在Mailbox與Edge Transport Server之間沒有惡意文件傳送；Edge Transport Server上防毒引擎確保企業內送出與接收的郵件做好了防毒。

創建不同的模板來靈活應對不同的Exchange環境，這樣FSS就很方便地為Exchange Server構建了一道由外到內屏障。

注：Forefront Security for Exchange Server只支持Exchange Server 2007。

當我們用FSS保障了服務器應用程序的安全后，下一步就要去圍剿分散在各個客戶端上的毒瘤了。

客戶端和服務器安全

Microsoft Forefront Client Security 向商用臺式機、便攜機和服務器操作系統提供易于管理與控制的統一惡意軟件防護功能，可以防范間諜軟件、Rootkit 等新威脅，以及病毒、蠕蟲和特洛伊木馬等傳統威脅，通過中央管理的方式來提供簡易管理，并提供至關重要的威脅和漏洞可見性，還可以與Active Directory 等已有基礎架構軟件集成，并對其他Microsoft 安全技術發揮補充作用，實現強化的保護和更大的控制。

FCS有很多特點，比如利用安全策略通過GPO進行集中部署的便利；通過WSUS進行更新的快捷以及強大的防護功能等等，但最令人著迷的是它那細致、完善的報表功能。

FCS管理控制臺提供了一個帶策略管理的儀表板，從中可以直觀地看到近期報告出現問題的客戶端、報告沒出現問題的客戶端以及還未提呈報告的客戶端各自所占比率。該儀表板還提供了快速鏈接來生成各類概要報表，報告整個系統受感染的情況，惡意軟件的總饋，還有企業級的安全評估。最令人滿意的是部署概要報表，它使我們只要通過一個單一頁面就可查看策略部署、間諜軟件和防病毒軟件特征碼分發以及客戶引擎部署情況。我們甚至可根據每個安全策略一一分離出相應信息。這些報表最初是作為Web頁面格式來呈現的，也可以以XML、CSV、Excel或PDF格式輕松輸出報表。（如圖）

通過這些報表我們可以很清楚地了解企業網絡中弱的環節出現在哪里，并采取措施，使企業網絡安全隱患減到最低。

FCS強悍地保護著客戶端和服務器，細致入微地反映著企業網絡中每一個細小的安全問題，將惡意文件和安全隱患徹底清剿。

總結

ForeFront 產品是面向IT基礎架構提供端到端保護的全面的解決方案。它不但為客戶端提供了可以查殺和防護病毒、間諜軟件、rootkit 和其他威脅的FCS，更有針對性地提供了擁有多掃描引擎的、靈活高效的FSS為應用服務器保駕護航，同時應用ISA2006對網絡邊緣進行可控訪問及敏感數據保護。

ForeFront 產品旨在簡化部署、設置、管理、報告和分析過程，讓企業IT管理員的工作更加輕松高效，減少培訓時間，并控制商業成本，保障管理員在能夠獲得更高的效率的同時還做到加大對網絡安全的控制，從而提升企業整體的安全性，讓企業的數據快速、高效、安全地支持企業業務發展。

如果你仍在為企業的安全問題而苦惱，何不來感受一下ForeFront帶來的從外到內的安全防護呢!