許多組織已經(jīng)采用多層方法來設(shè)計其網(wǎng)絡(luò)同時使用內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)和外部網(wǎng)絡(luò)結(jié)構(gòu)。Microsoft 建議使用此方法，因為它正好符合深層防護安全模型。

　　注意：存在一種日益增長的趨勢：將內(nèi)部網(wǎng)絡(luò)分解為多個安全區(qū)域，以便為每個安全區(qū)域建立外圍。Microsoft 也建議使用此方法，因為它可幫助降低試圖訪問內(nèi)部網(wǎng)絡(luò)的惡意軟件攻擊的總體風(fēng)險。但是，本指南僅對單個網(wǎng)絡(luò)防護進(jìn)行說明。如果您計劃使用一個外圍網(wǎng)絡(luò)和多個內(nèi)部網(wǎng)絡(luò)，則可以將此指導(dǎo)直接應(yīng)用于每個網(wǎng)絡(luò)。

　　組織的第一個網(wǎng)絡(luò)防護指外圍網(wǎng)絡(luò)防護。這些防護旨在防止惡意軟件通過外部攻擊進(jìn)入組織。如本章前面所述，典型的惡意軟件攻擊集中于將文件復(fù)制到目標(biāo)計算機。因此，您的病毒防護應(yīng)該使用組織的常規(guī)安全措施，以確保只有經(jīng)過適當(dāng)授權(quán)的人員才能以安全方式（如通過加密的虛擬專用網(wǎng)絡(luò) (VPN) 連接）訪問組織的數(shù)據(jù)。

　　注意：您也應(yīng)該將任何無線局域網(wǎng) (LAN) 和 VPN 視為外圍網(wǎng)絡(luò)。如果您的組織已經(jīng)采用這些技術(shù)，則對其進(jìn)行保護是很重要的。如果無法提供此安全性，則可能允許攻擊者直接訪問您的內(nèi)部網(wǎng)絡(luò)（避開標(biāo)準(zhǔn)的外圍防護）以發(fā)動攻擊。

　　在本指南中，假定網(wǎng)絡(luò)安全設(shè)計為組織提供了所需的標(biāo)識、授權(quán)、加密和保護級別，以防止未經(jīng)授權(quán)的攻擊者直接侵入。但是，此時病毒防護是不完整的。下一步是將網(wǎng)絡(luò)層防護配置為檢測和篩選使用允許的網(wǎng)絡(luò)通信（如電子郵件、Web 瀏覽和即時消息）的惡意軟件攻擊。

　　網(wǎng)絡(luò)防病毒配置

　　有許多專門設(shè)計用于為組織提供網(wǎng)絡(luò)安全的配置和技術(shù)。雖然這些是組織安全設(shè)計的重要部分，但是本節(jié)僅集中說明與病毒防護有直接關(guān)系的區(qū)域。您的網(wǎng)絡(luò)安全和設(shè)計小組應(yīng)該確定在組織中如何使用以下每種方法。

　　網(wǎng)絡(luò)入侵檢測系統(tǒng)

　　因為外圍網(wǎng)絡(luò)是網(wǎng)絡(luò)中風(fēng)險很大的部分，因此您的網(wǎng)絡(luò)管理系統(tǒng)能夠盡快檢測和報告攻擊是極其重要的。網(wǎng)絡(luò)入侵檢測 (NID) 系統(tǒng)的作用僅僅是提供：外部攻擊的快速檢測和報告。雖然 NID 系統(tǒng)是總體系統(tǒng)安全設(shè)計的一部分，而且不是特定的防病毒工具，但是系統(tǒng)攻擊和惡意軟件攻擊的許多最初跡象是相同的。例如，一些惡意軟件使用 IP 掃描來查找可進(jìn)行感染的系統(tǒng)。由于此原因，應(yīng)該將 NID 系統(tǒng)配置為與組織的網(wǎng)絡(luò)管理系統(tǒng)一起工作，將任何不尋常的網(wǎng)絡(luò)行為的警告直接傳遞給組織的安全人員。

　　要了解的一個關(guān)鍵問題是：對于任何 NID 實現(xiàn)，其保護僅相當(dāng)于在檢測到入侵之后遵循的過程。此過程應(yīng)該觸發(fā)可以用來阻止攻擊的防護，而且防護應(yīng)該得到連續(xù)不斷的實時監(jiān)視。只有在此時，才能認(rèn)為該過程是防護策略的一部分。否則，NID 系統(tǒng)實際上更像一個在攻擊發(fā)生之后提供審核記錄的工具。

　　有許多可供網(wǎng)絡(luò)設(shè)計人員使用的企業(yè)級網(wǎng)絡(luò)入侵檢測系統(tǒng)。它們可以是獨立的設(shè)備，也可以是集成到其他網(wǎng)絡(luò)服務(wù)（如組織的防火墻服務(wù)）中的其他系統(tǒng)。例如，Microsoft Internet Security and Acceleration (ISA) Server 2000 和 2004 產(chǎn)品包含 NID 系統(tǒng)功能以及防火墻和代理服務(wù)。

　　組織意識到使用 Internet 篩選技術(shù)監(jiān)視和屏蔽網(wǎng)絡(luò)通信中的非法內(nèi)容（如病毒）不僅是有用的，而且是必需的。在過去，曾經(jīng)使用防火墻服務(wù)提供的數(shù)據(jù)包層篩選執(zhí)行了此篩選，僅允許根據(jù)源或目標(biāo) IP 地址或者特定的 TCP 或 UDP 網(wǎng)絡(luò)端口來篩選網(wǎng)絡(luò)流量。應(yīng)用程序?qū)雍Y選 (ALF) 在 OSI 網(wǎng)絡(luò)模型的應(yīng)用程序?qū)由瞎ぷ�，因此它允許根據(jù)數(shù)據(jù)的內(nèi)容檢查和篩選數(shù)據(jù)。如果除了使用標(biāo)準(zhǔn)數(shù)據(jù)包層篩選外還使用 ALF，則可以實現(xiàn)的安全性要高得多。例如，使用數(shù)據(jù)包篩選可能允許您篩選通過組織防火墻的端口 80 網(wǎng)絡(luò)流量，以便它只能傳遞到 Web 服務(wù)器。但是，此方法可能不提供足夠的安全性。通過將 ALF 添加到解決方案中，您可以檢查端口 80 上傳遞到 Web 服務(wù)器的所有數(shù)據(jù)，以確保它是有效的且不包含任何可疑代碼。

　　ISA Server 可以在數(shù)據(jù)包通過組織防火墻時提供對它們的 ALF�？梢話呙� Web 瀏覽和電子郵件，以確保特定于每個 Web 瀏覽和電子郵件的內(nèi)容不包含可疑數(shù)據(jù)，如垃圾郵件或惡意軟件。ISA Server 中的 ALF 功能啟用深層內(nèi)容分析，包括使用任何端口和協(xié)議檢測、檢查和驗證流量的功能。

　　內(nèi)容掃描

　　內(nèi)容掃描在更高級防火墻解決方案中作為一項功能提供，或者作為單獨服務(wù)（如電子郵件）的組件提供。內(nèi)容掃描詢問允許通過有效數(shù)據(jù)通道進(jìn)入或離開組織網(wǎng)絡(luò)的數(shù)據(jù)。如果內(nèi)容掃描是在電子郵件上執(zhí)行的，則它通常與電子郵件服務(wù)器協(xié)同工作以檢查電子郵件的特性（如附件）。此方法可以在數(shù)據(jù)通過服務(wù)時實時掃描和識別惡意軟件內(nèi)容。有許多與 Microsoft 協(xié)作為 Microsoft Exchange Server 和 ISA Server 提供增強安全功能（如實時防病毒內(nèi)容掃描）的合作伙伴。

　　URL 篩選

　　對于網(wǎng)絡(luò)管理員可能可用的另一個選項是 URL 篩選，您可以使用它阻止有問題的網(wǎng)站。例如，您可能使用 URL 篩選阻止已知的黑客網(wǎng)站、下載服務(wù)器和個人 HTTP 電子郵件服務(wù)。

　　注意：主要的 HTTP 電子郵件服務(wù)站點（如 Hotmail 和 Yahoo）提供防病毒掃描服務(wù)，但是有許多較小站點根本不提供防病毒掃描服務(wù)。對組織防護來說，這是嚴(yán)重的問題，因為這樣的服務(wù)會提供直接從 Internet 到客戶端的路由。

　　網(wǎng)絡(luò)管理員可以使用兩種基本的 URL 篩選方法：

　　• 阻止列表。防火墻先檢查有問題站點的預(yù)定義列表，然后才允許連接。允許用戶連接沒有專門在阻止列表中列出的站點。

　　• 允許列表。此方法僅允許與在組織已批準(zhǔn)網(wǎng)站的預(yù)定義列表中輸入的網(wǎng)站進(jìn)行通信。

　　第一種方法依賴于識別可能存在問題的網(wǎng)站并將它們添加到列表中的主動過程。由于 Internet 的大小和可變特性，此方法需要自動化解決方案或很大的管理開銷，通常僅對阻止數(shù)目較小的已知有問題網(wǎng)站是有用的，無法提供綜合性保護解決方案。第二種方法提供了更好的保護，因為它的限制特性允許控制可供系統(tǒng)用戶訪問的站點。但是，除非進(jìn)行了正確調(diào)查以識別用戶所需的所有站點，否則此方法可能對許多組織來說限制性太強。

　　僅當(dāng)客戶端處于組織防護內(nèi)時，這兩種方法才會提供保護。移動客戶端在辦公室外直接連接到 Internet 時，將不提供此保護，這意味著您的網(wǎng)絡(luò)可能會受到攻擊。如果組織中的移動客戶端需要 URL 篩選解決方案，則您應(yīng)該考慮使用基于客戶端的防護系統(tǒng)。但是，此方法可能會帶來很大的管理開銷，尤其是在具有大量移動客戶端的環(huán)境中。

　　隔離網(wǎng)絡(luò)

　　為保護網(wǎng)絡(luò)可以使用的另一種方法是：為不滿足組織最低安全要求的計算機建立隔離網(wǎng)絡(luò)。

　　注意：不應(yīng)該將此方法與某些防病毒應(yīng)用程序中提供的隔離功能相混淆，后者將感染文件移動到計算機上的安全區(qū)域中，直到可以將其清除。

　　隔離網(wǎng)絡(luò)應(yīng)該限制（或者甚至阻止）對組織資源的內(nèi)部訪問，但是提供一種連接級別（包括 Internet）允許臨時訪問者的計算機高效工作，而不會給內(nèi)部網(wǎng)絡(luò)的安全帶來風(fēng)險。如果訪問者的便攜式計算機感染了惡意軟件并連接到網(wǎng)絡(luò)，則隔離網(wǎng)絡(luò)可以限制其感染內(nèi)部網(wǎng)絡(luò)上其他計算機的能力。

　　與此類似的方法成功應(yīng)用于 VPN 類型的遠(yuǎn)程連接，已經(jīng)有一段時間了。在執(zhí)行系統(tǒng)測試的同時，將 VPN 客戶端轉(zhuǎn)移到臨時隔離網(wǎng)絡(luò)。如果客戶端通過了測試（例如由于具有所需的安全更新和防病毒簽名文件），則將授予它們訪問組織內(nèi)部網(wǎng)絡(luò)的權(quán)限。如果客戶端不滿足這些要求，則將斷開它們的連接或允許它們訪問隔離網(wǎng)絡(luò)，這可以用來獲得通過測試所必需的更新�，F(xiàn)在，網(wǎng)絡(luò)設(shè)計人員正研究此技術(shù)以幫助改進(jìn)內(nèi)部網(wǎng)絡(luò)的安全性。

　　如果您的組織使用 ISA Server 2000，則 Microsoft 還建議您使用在 ISA Server Feature Pack 1 中提供的其他功能。此免費附件提供其他安全功能，您可以使用這些功能提高網(wǎng)絡(luò)防護中跨防火墻的通信（包括電子郵件）的安全性。您可以用來改進(jìn)防病毒網(wǎng)絡(luò)防護的功能包括：

　　• 增強的 SMTP 篩選器。此功能有助于以增強的可靠性和安全性篩選電子郵件。篩選基于附件的名稱、大小或擴展名，以及發(fā)件人、域、關(guān)鍵字和任何 SMTP 命令及其長度。

　　• 增強的 Exchange 遠(yuǎn)程過程調(diào)用 (RPC) 篩選器。此功能保護通過不受信任的網(wǎng)絡(luò)與 Exchange Server 計算機進(jìn)行的 Outlook 電子郵件通信，而不要求您建立 VPN。為此，在 ISA Server Feature Pack 1 中還附帶了以下額外功能：

　　• 管理員能夠在 Outlook 和 Exchange Server 之間強制 RPC 加密。

　　• 出站 RPC 通信可以安全地通過 ISA Server，這又允許連接到 ISA Server 計算機的 Outlook 客戶端訪問外部 Exchange Server 計算機。

　　• UrlScan 2.5。此工具有助于在 ISA Server 計算機上的惡意 Web 請求能夠進(jìn)入網(wǎng)絡(luò)和訪問 Web 服務(wù)器之前，阻止這些請求。

　　• Outlook Web Access (OWA) 向?qū)�。您可以使用此向�(qū)Э焖俣�輕松地配置 ISA Server 以幫助保護 OWA 部署。

　　• RPC 篩選器配置向?qū)�。您可以使用此向�(qū)�僅允許對內(nèi)部網(wǎng)絡(luò)上的 RPC 服務(wù)進(jìn)行精確級別的訪問，而不是訪問所有的 RPC 通信。

　　物理安全性

　　與其說物理安全性是特定的惡意軟件問題，不如說它是一般的安全問題，但是如果沒有用于組織基礎(chǔ)結(jié)構(gòu)中所有客戶端、服務(wù)器和網(wǎng)絡(luò)設(shè)備的有效物理防護計劃，則無法避免惡意軟件的攻擊。在有效的物理防護計劃中有許多關(guān)鍵元素，其中包括：

　　• 建立安全性

　　• 人員安全性

　　• 網(wǎng)絡(luò)接入點

　　• 服務(wù)器計算機

　　• 工作站計算機

　　• 移動計算機和設(shè)備

　　在組織的安全風(fēng)險評估中，應(yīng)該評估其中的每個元素。如果攻擊者損害其中的任一元素，則風(fēng)險級別增加，惡意軟件可以繞過外部和內(nèi)部網(wǎng)絡(luò)防護邊界感染網(wǎng)絡(luò)上的主機。

　　保護對您的工具和計算系統(tǒng)的訪問應(yīng)該是組織總體安全策略的基本元素。這些注意事項的詳細(xì)說明已經(jīng)超出了此解決方案的范圍。