解析网络防护层配置以及物理安全性

　　组织意识到使用 Internet 筛选技术监视和屏蔽网络通信中的非法内容（如病毒）不仅是有用的，而且是必需的。在过去，曾经使用防火墙服务提供的数据包层筛选执行了此筛选，仅允许根据源或目标 IP 地址或者特定的 TCP 或 UDP 网络端口来筛选网络流量。应用程序层筛选 (ALF) 在 OSI 网络模型的应用程序层上工作，因此它允许根据数据的内容检查和筛选数据。如果除了使用标准数据包层筛选外还使用 ALF，则可以实现的安全性要高得多。例如，使用数据包筛选可能允许您筛选通过组织防火墙的端口 80 网络流量，以便它只能传递到 Web 服务器。但是，此方法可能不提供足够的安全性。通过将 ALF 添加到解决方案中，您可以检查端口 80 上传递到 Web 服务器的所有数据，以确保它是有效的且不包含任何可疑代码。

　　ISA Server 可以在数据包通过组织防火墙时提供对它们的 ALF。可以扫描 Web 浏览和电子邮件，以确保特定于每个 Web 浏览和电子邮件的内容不包含可疑数据，如垃圾邮件或恶意软件。ISA Server 中的 ALF 功能启用深层内容分析，包括使用任何端口和协议检测、检查和验证流量的功能。

　　内容扫描

　　内容扫描在更高级防火墙解决方案中作为一项功能提供，或者作为单独服务（如电子邮件）的组件提供。内容扫描询问允许通过有效数据通道进入或离开组织网络的数据。如果内容扫描是在电子邮件上执行的，则它通常与电子邮件服务器协同工作以检查电子邮件的特性（如附件）。此方法可以在数据通过服务时实时扫描和识别恶意软件内容。有许多与 Microsoft 协作为 Microsoft Exchange Server 和 ISA Server 提供增强安全功能（如实时防病毒内容扫描）的合作伙伴。

　　URL 筛选

　　对于网络管理员可能可用的另一个选项是 URL 筛选，您可以使用它阻止有问题的网站。例如，您可能使用 URL 筛选阻止已知的黑客网站、下载服务器和个人 HTTP 电子邮件服务。

　　注意：主要的 HTTP 电子邮件服务站点（如 Hotmail 和 Yahoo）提供防病毒扫描服务，但是有许多较小站点根本不提供防病毒扫描服务。对组织防护来说，这是严重的问题，因为这样的服务会提供直接从 Internet 到客户端的路由。

　　网络管理员可以使用两种基本的 URL 筛选方法：

　　• 阻止列表。防火墙先检查有问题站点的预定义列表，然后才允许连接。允许用户连接没有专门在阻止列表中列出的站点。

　　• 允许列表。此方法仅允许与在组织已批准网站的预定义列表中输入的网站进行通信。

　　第一种方法依赖于识别可能存在问题的网站并将它们添加到列表中的主动过程。由于 Internet 的大小和可变特性，此方法需要自动化解决方案或很大的管理开销，通常仅对阻止数目较小的已知有问题网站是有用的，无法提供综合性保护解决方案。第二种方法提供了更好的保护，因为它的限制特性允许控制可供系统用户访问的站点。但是，除非进行了正确调查以识别用户所需的所有站点，否则此方法可能对许多组织来说限制性太强。

　　仅当客户端处于组织防护内时，这两种方法才会提供保护。移动客户端在办公室外直接连接到 Internet 时，将不提供此保护，这意味着您的网络可能会受到攻击。如果组织中的移动客户端需要 URL 筛选解决方案，则您应该考虑使用基于客户端的防护系统。但是，此方法可能会带来很大的管理开销，尤其是在具有大量移动客户端的环境中。

　　隔离网络

　　为保护网络可以使用的另一种方法是：为不满足组织最低安全要求的计算机建立隔离网络。

　　注意：不应该将此方法与某些防病毒应用程序中提供的隔离功能相混淆，后者将感染文件移动到计算机上的安全区域中，直到可以将其清除。

　　隔离网络应该限制（或者甚至阻止）对组织资源的内部访问，但是提供一种连接级别（包括 Internet）允许临时访问者的计算机高效工作，而不会给内部网络的安全带来风险。如果访问者的便携式计算机感染了恶意软件并连接到网络，则隔离网络可以限制其感染内部网络上其他计算机的能力。

　　与此类似的方法成功应用于 VPN 类型的远程连接，已经有一段时间了。在执行系统测试的同时，将 VPN 客户端转移到临时隔离网络。如果客户端通过了测试（例如由于具有所需的安全更新和防病毒签名文件），则将授予它们访问组织内部网络的权限。如果客户端不满足这些要求，则将断开它们的连接或允许它们访问隔离网络，这可以用来获得通过测试所必需的更新。现在，网络设计人员正研究此技术以帮助改进内部网络的安全性。

上一页  [1] [2] [3]  下一页