面对如潮水般凶猛的网络安全威胁,企业通过部署各种安全产品来保护自身的应用安全。但是仅仅进行网络防护层部署并不能满足网络防护需求,合理的进行网络防护层配置才能够更好的答到企业网络安全防护的标准。从IT基础结构的角度来看,阻止所有传入附件是最简单、最安全的选项。但是,组织中电子邮件用户的需求可能不允许这样做。必须进行折衷,在组织的需求和它可以接受的风险级别之间达到平衡。
许多组织已经采用多层方法来设计其网络同时使用内部网络结构和外部网络结构。Microsoft建议使用此方法,因为它正好符合深层防护安全模型。
注意:存在一种日益增长的趋势:将内部网络分解为多个安全区域,以便为每个安全区域建立外围。Microsoft也建议使用此方法,因为它可帮助降低试图访问内部网络的恶意软件攻击的总体风险。但是,本指南仅对单个网络防护进行说明。如果您计划使用一个外围网络和多个内部网络,则可以将此指导直接应用于每个网络。
组织的第一个网络防护指外围网络防护。这些防护旨在防止恶意软件通过外部攻击进入组织。如本章前面所述,典型的恶意软件攻击集中于将文件复制到目标计算机。因此,您的病毒防护应该使用组织的常规安全措施,以确保只有经过适当授权的人员才能以安全方式(如通过加密的虚拟专用网络(VPN)连接)访问组织的数据。
注意:您也应该将任何无线局域网 (LAN) 和VPN视为外围网络。如果您的组织已经采用这些技术,则对其进行保护是很重要的。如果无法提供此安全性,则可能允许攻击者直接访问您的内部网络(避开标准的外围防护)以发动攻击。
在本指南中,假定网络安全设计为组织提供了所需的标识、授权、加密和保护级别,以防止未经授权的攻击者直接侵入。但是,此时病毒防护是不完整的。下一步是将网络层防护配置为检测和筛选使用允许的网络通信(如电子邮件、Web浏览和即时消息)的恶意软件攻击。
网络防护层配置之网络防病毒配置
有许多专门设计用于为组织提供网络安全的配置和技术。虽然这些是组织安全设计的重要部分,但是本节仅集中说明与病毒防护有直接关系的区域。您的网络安全和设计小组应该确定在组织中如何使用以下每种方法。
网络防护层配置之网络入侵检测系统
因为外围网络是网络中风险很大的部分,因此您的网络管理系统能够尽快检测和报告攻击是极其重要的。网络入侵检测(NID)系统的作用仅仅是提供:外部攻击的快速检测和报告。虽然NID系统是总体系统安全设计的一部分,而且不是特定的防病毒工具,但是系统攻击和恶意软件攻击的许多最初迹象是相同的。例如,一些恶意软件使用IP扫描来查找可进行感染的系统。由于此原因,应该将NID系统配置为与组织的网络管理系统一起工作,将任何不寻常的网络行为的警告直接传递给组织的安全人员。
要了解的一个关键问题是:对于任何NID实现,其保护仅相当于在检测到入侵之后遵循的过程。此过程应该触发可以用来阻止攻击的防护,而且防护应该得到连续不断的实时监视。只有在此时,才能认为该过程是防护策略的一部分。否则,NID系统实际上更像一个在攻击发生之后提供审核记录的工具。
有许多可供网络设计人员使用的企业级网络入侵检测系统。它们可以是独立的设备,也可以是集成到其他网络服务(如组织的防火墙服务)中的其他系统。例如,MicrosoftInternetSecurity and Acceleration (ISA) Server 2000 和 2004 产品包含NID系统功能以及防火墙和代理服务。
网络防护层配置之应用程序层筛选
组织意识到使用Internet筛选技术监视和屏蔽网络通信中的非法内容(如病毒)不仅是有用的,而且是必需的。在过去,曾经使用防火墙服务提供的数据包层筛选执行了此筛选,仅允许根据源或目标IP地址或者特定的 TCP 或 UDP 网络端口来筛选网络流量。应用程序层筛选 (ALF) 在OSI网络模型的应用程序层上工作,因此它允许根据数据的内容检查和筛选数据。如果除了使用标准数据包层筛选外还使用ALF,则可以实现的安全性要高得多。例如,使用数据包筛选可能允许您筛选通过组织防火墙的端口80 网络流量,以便它只能传递到 Web服务器。但是,此方法可能不提供足够的安全性。通过将 ALF 添加到解决方案中,您可以检查端口80 上传递到 Web服务器的所有数据,以确保它是有效的且不包含任何可疑代码。
相关阅读