解析網路防護層配置以及物理安全性(轉)

解析網路防護層配置以及物理安全性(轉)[@more@]

　　在已記錄的惡意軟體事件中，透過網路發動的攻擊是最多的。通常，發動惡意軟體攻擊是為了利用網路外圍防護中的漏洞允許惡意軟體訪問組織 IT 基礎結構中的主機裝置。這些裝置可以是客戶端、伺服器、路由器，或者甚至是防火牆。在此層上進行病毒防護所面臨的最困難問題之一是，平衡 IT 系統使用者的功能要求與建立有效防護所需的限制。例如，與許多最近的攻擊類似，MyDoom 蠕蟲使用電子郵件附件複製自己。從 IT 基礎結構的角度來看，阻止所有傳入附件是最簡單、最安全的選項。但是，組織中電子郵件使用者的需求可能不允許這樣做。必須進行折衷，在組織的需求和它可以接受的風險級別之間達到平衡。

　　許多組織已經採用多層方法來設計其網路同時使用內部網路結構和外部網路結構。Microsoft 建議使用此方法，因為它正好符合深層防護安全模型。

　　注意：存在一種日益增長的趨勢：將內部網路分解為多個安全區域，以便為每個安全區域建立外圍。Microsoft 也建議使用此方法，因為它可幫助降低試圖訪問內部網路的惡意軟體攻擊的總體風險。但是，本指南僅對單個網路防護進行說明。如果您計劃使用一個外圍網路和多個內部網路，則可以將此指導直接應用於每個網路。

　　組織的第一個網路防護指外圍網路防護。這些防護旨在防止惡意軟體透過外部攻擊進入組織。如本章前面所述，典型的惡意軟體攻擊集中於將檔案複製到目標計算機。因此，您的病毒防護應該使用組織的常規安全措施，以確保只有經過適當授權的人員才能以安全方式（如透過加密的虛擬專用網路 (VPN) 連線）訪問組織的資料。

　　注意：您也應該將任何無線區域網 (LAN) 和 VPN 視為外圍網路。如果您的組織已經採用這些技術，則對其進行保護是很重要的。如果無法提供此安全性，則可能允許攻擊者直接訪問您的內部網路（避開標準的外圍防護）以發動攻擊。

　　在本指南中，假定網路安全設計為組織提供了所需的標識、授權、加密和保護級別，以防止未經授權的攻擊者直接侵入。但是，此時病毒防護是不完整的。下一步是將網路層防護配置為檢測和篩選使用允許的網路通訊（如電子郵件、Web 瀏覽和即時訊息）的惡意軟體攻擊。

　　網路防病毒配置

　　有許多專門設計用於為組織提供網路安全的配置和技術。雖然這些是組織安全設計的重要部分，但是本節僅集中說明與病毒防護有直接關係的區域。您的網路安全和設計小組應該確定在組織中如何使用以下每種方法。

　　網路入侵檢測系統

　　因為外圍網路是網路中風險很大的部分，因此您的網路管理系統能夠儘快檢測和報告攻擊是極其重要的。網路入侵檢測 (NID) 系統的作用僅僅是提供：外部攻擊的快速檢測和報告。雖然 NID 系統是總體系統安全設計的一部分，而且不是特定的防病毒工具，但是系統攻擊和惡意軟體攻擊的許多最初跡象是相同的。例如，一些惡意軟體使用 IP 掃描來查詢可進行感染的系統。由於此原因，應該將 NID 系統配置為與組織的網路管理系統一起工作，將任何不尋常的網路行為的警告直接傳遞給組織的安全人員。

　　要了解的一個關鍵問題是：對於任何 NID 實現，其保護僅相當於在檢測到入侵之後遵循的過程。此過程應該觸發可以用來阻止攻擊的防護，而且防護應該得到連續不斷的實時監視。只有在此時，才能認為該過程是防護策略的一部分。否則，NID 系統實際上更像一個在攻擊發生之後提供稽核記錄的工具。

　　有許多可供網路設計人員使用的企業級網路入侵檢測系統。它們可以是獨立的裝置，也可以是整合到其他網路服務（如組織的防火牆服務）中的其他系統。例如，Microsoft Internet Security and Acceleration (ISA) Server 2000 和 2004 產品包含 NID 系統功能以及防火牆和代理服務。

　　應用程式層篩選

　　組織意識到使用 Internet 篩選技術監視和遮蔽網路通訊中的非法內容（如病毒）不僅是有用的，而且是必需的。在過去，曾經使用防火牆服務提供的資料包層篩選執行了此篩選，僅允許根據源或目標 IP 地址或者特定的 TCP 或 UDP 網路埠來篩選網路流量。應用程式層篩選 (ALF) 在 OSI 網路模型的應用程式層上工作，因此它允許根據資料的內容檢查和篩選資料。如果除了使用標準資料包層篩選外還使用 ALF，則可以實現的安全性要高得多。例如，使用資料包篩選可能允許您篩選透過組織防火牆的埠 80 網路流量，以便它只能傳遞到 Web 伺服器。但是，此方法可能不提供足夠的安全性。透過將 ALF 新增到解決方案中，您可以檢查埠 80 上傳遞到 Web 伺服器的所有資料，以確保它是有效的且不包含任何可疑程式碼。

　　ISA Server 可以在資料包透過組織防火牆時提供對它們的 ALF。可以掃描 Web 瀏覽和電子郵件，以確保特定於每個 Web 瀏覽和電子郵件的內容不包含可疑資料，如垃圾郵件或惡意軟體。ISA Server 中的 ALF 功能啟用深層內容分析，包括使用任何埠和協議檢測、檢查和驗證流量的功能。

　　內容掃描

　　內容掃描在更高階防火牆解決方案中作為一項功能提供，或者作為單獨服務（如電子郵件）的元件提供。內容掃描詢問允許透過有效資料通道進入或離開組織網路的資料。如果內容掃描是在電子郵件上執行的，則它通常與電子郵件伺服器協同工作以檢查電子郵件的特性（如附件）。此方法可以在資料透過服務時實時掃描和識別惡意軟體內容。有許多與 Microsoft 協作為 Microsoft Exchange Server 和 ISA Server 提供增強安全功能（如實時防病毒內容掃描）的合作伙伴。

　　URL 篩選

　　對於網路管理員可能可用的另一個選項是 URL 篩選，您可以使用它阻止有問題的網站。例如，您可能使用 URL 篩選阻止已知的駭客網站、下載伺服器和個人 HTTP 電子郵件服務。

　　注意：主要的 HTTP 電子郵件服務站點（如 Hotmail 和 Yahoo）提供防病毒掃描服務，但是有許多較小站點根本不提供防病毒掃描服務。對組織防護來說，這是嚴重的問題，因為這樣的服務會提供直接從 Internet 到客戶端的路由。

　　網路管理員可以使用兩種基本的 URL 篩選方法：

　　• 阻止列表。防火牆先檢查有問題站點的預定義列表，然後才允許連線。允許使用者連線沒有專門在阻止列表中列出的站點。

　　• 允許列表。此方法僅允許與在組織已批准網站的預定義列表中輸入的網站進行通訊。

　　第一種方法依賴於識別可能存在問題的網站並將它們新增到列表中的主動過程。由於 Internet 的大小和可變特性，此方法需要自動化解決方案或很大的管理開銷，通常僅對阻止數目較小的已知有問題網站是有用的，無法提供綜合性保護解決方案。第二種方法提供了更好的保護，因為它的限制特性允許控制可供系統使用者訪問的站點。但是，除非進行了正確調查以識別使用者所需的所有站點，否則此方法可能對許多組織來說限制性太強。

　　僅當客戶端處於組織防護內時，這兩種方法才會提供保護。移動客戶端在辦公室外直接連線到 Internet 時，將不提供此保護，這意味著您的網路可能會受到攻擊。如果組織中的移動客戶端需要 URL 篩選解決方案，則您應該考慮使用基於客戶端的防護系統。但是，此方法可能會帶來很大的管理開銷，尤其是在具有大量移動客戶端的環境中。

　　隔離網路

　　為保護網路可以使用的另一種方法是：為不滿足組織最低安全要求的計算機建立隔離網路。

　　注意：不應該將此方法與某些防病毒應用程式中提供的隔離功能相混淆，後者將感染檔案移動到計算機上的安全區域中，直到可以將其清除。

　　隔離網路應該限制（或者甚至阻止）對組織資源的內部訪問，但是提供一種連線級別（包括 Internet）允許臨時訪問者的計算機高效工作，而不會給內部網路的安全帶來風險。如果訪問者的行動式計算機感染了惡意軟體並連線到網路，則隔離網路可以限制其感染內部網路上其他計算機的能力。

　　與此類似的方法成功應用於 VPN 型別的遠端連線，已經有一段時間了。在執行系統測試的同時，將 VPN 客戶端轉移到臨時隔離網路。如果客戶端透過了測試（例如由於具有所需的安全更新和防病毒簽名檔案），則將授予它們訪問組織內部網路的許可權。如果客戶端不滿足這些要求，則將斷開它們的連線或允許它們訪問隔離網路，這可以用來獲得透過測試所必需的更新。現在，網路設計人員正研究此技術以幫助改進內部網路的安全性。

　　ISA Server Feature Pack

　　如果您的組織使用 ISA Server 2000，則 Microsoft 還建議您使用在 ISA Server Feature Pack 1 中提供的其他功能。此免費附件提供其他安全功能，您可以使用這些功能提高網路防護中跨防火牆的通訊（包括電子郵件）的安全性。您可以用來改進防病毒網路防護的功能包括：

　　• 增強的 SMTP 篩選器。此功能有助於以增強的可靠性和安全性篩選電子郵件。篩選基於附件的名稱、大小或副檔名，以及發件人、域、關鍵字和任何 SMTP 命令及其長度。

　　• 增強的 Exchange 遠端過程呼叫 (RPC) 篩選器。此功能保護透過不受信任的網路與 Exchange Server 計算機進行的 Outlook 電子郵件通訊，而不要求您建立 VPN。為此，在 ISA Server Feature Pack 1 中還附帶了以下額外功能：

　　• 管理員能夠在 Outlook 和 Exchange Server 之間強制 RPC 加密。

　　• 出站 RPC 通訊可以安全地透過 ISA Server，這又允許連線到 ISA Server 計算機的 Outlook 客戶端訪問外部 Exchange Server 計算機。

　　• UrlScan 2.5。此工具有助於在 ISA Server 計算機上的惡意 Web 請求能夠進入網路和訪問 Web 伺服器之前，阻止這些請求。

　　• Outlook Web Access (OWA) 嚮導。您可以使用此嚮導快速而輕鬆地

　　

·上一篇：

·下一篇：

最新更新
	· · · · · · · · · · · · · · · · · · · · · · · · · · · · · ·