網絡防護層配置以及物理安全性

　　在已記錄的惡意軟件事件中，通過網絡發動的攻擊是最多的。通常，發動惡意軟件攻擊是為了利用網絡外圍防護中的漏洞允許惡意軟件訪問組織IT基礎結構中的主機設備。這些設備可以是客戶端、服務器、路由器，或者甚至是防火牆。在此層上進行病毒防護所面臨的最困難問題之一是，平衡 IT 系統用戶的功能要求與創建有效防護所需的限制。例如，與許多最近的攻擊類似，MyDoom 蠕蟲使用電子郵件附件復制自己。從 IT 基礎結構的角度來看，阻止所有傳入附件是最簡單、最安全的選項。但是，組織中電子郵件用戶的需求可能不允許這樣做。必須進行折衷，在組織的需求和它可以接受的風險級別之間達到平衡。

　　許多組織已經采用多層方法來設計其網絡同時使用內部網絡結構和外部網絡結構。Microsoft 建議使用此方法，因為它正好符合深層防護安全模型。

　 注意：存在一種日益增長的趨勢：將內部網絡分解為多個安全區域，以便為每個安全區域建立外圍。Microsoft 也建議使用此方法，因為它可幫助降低試圖訪問內部網絡的惡意軟件攻擊的總體風險。但是，本指南僅對單個網絡防護進行說明。如果您計劃使用一個外圍網絡和多個內部網絡，則可以將此指導直接應用於每個網絡。

　 組織的第一個網絡防護指外圍網絡防護。這些防護旨在防止惡意軟件通過外部攻擊進入組織。如本章前面所述，典型的惡意軟件攻擊集中於將文件復制到目標計算機。因此，您的病毒防護應該使用組織的常規安全措施，以確保只有經過適當授權的人員才能以安全方式（如通過加密的虛擬專用網絡 (VPN) 連接）訪問組織的數據。

　　注意：您也應該將任何無線局域網 (LAN) 和 VPN 視為外圍網絡。如果您的組織已經采用這些技術，則對其進行保護是很重要的。如果無法提供此安全性，則可能允許攻擊者直接訪問您的內部網絡（避開標准的外圍防護）以發動攻擊。

　　在本指南中，假定網絡安全設計為組織提供了所需的標識、授權、加密和保護級別，以防止未經授權的攻擊者直接侵入。但是，此時病毒防護是不完整的。下一步是將網絡層防護配置為檢測和篩選使用允許的網絡通信（如電子郵件、Web 浏覽和即時消息）的惡意軟件攻擊。

　　網絡防病毒配置

　　有許多專門設計用於為組織提供網絡安全的配置和技術。雖然這些是組織安全設計的重要部分，但是本節僅集中說明與病毒防護有直接關系的區域。您的網絡安全和設計小組應該確定在組織中如何使用以下每種方法。

　　網絡入侵檢測系統

　　因為外圍網絡是網絡中風險很大的部分，因此您的網絡管理系統能夠盡快檢測和報告攻擊是極其重要的。網絡入侵檢測 (NID) 系統的作用僅僅是提供：外部攻擊的快速檢測和報告。雖然 NID 系統是總體系統安全設計的一部分，而且不是特定的防病毒工具，但是系統攻擊和惡意軟件攻擊的許多最初跡象是相同的。例如，一些惡意軟件使用 IP 掃描來查找可進行感染的系統。由於此原因，應該將 NID 系統配置為與組織的網絡管理系統一起工作，將任何不尋常的網絡行為的警告直接傳遞給組織的安全人員。

　　要了解的一個關鍵問題是：對於任何 NID 實現，其保護僅相當於在檢測到入侵之後遵循的過程。此過程應該觸發可以用來阻止攻擊的防護，而且防護應該得到連續不斷的實時監視。只有在此時，才能認為該過程是防護策略的一部分。否則，NID 系統實際上更像一個在攻擊發生之後提供審核記錄的工具。

　　有許多可供網絡設計人員使用的企業級網絡入侵檢測系統。它們可以是獨立的設備，也可以是集成到其他網絡服務（如組織的防火牆服務）中的其他系統。例如，Microsoft Internet Security and Acceleration (ISA) Server 2000 和 2004 產品包含 NID 系統功能以及防火牆和代理服務。

　　應用程序層篩選

　　組織意識到使用 Internet 篩選技術監視和屏蔽網絡通信中的非法內容（如病毒）不僅是有用的，而且是必需的。在過去，曾經使用防火牆服務提供的數據包層篩選執行了此篩選，僅允許根據源或目標 IP 地址或者特定的 TCP 或 UDP 網絡端口來篩選網絡流量。應用程序層篩選 (ALF) 在 OSI 網絡模型的應用程序層上工作，因此它允許根據數據的內容檢查和篩選數據。如果除了使用標准數據包層篩選外還使用 ALF，則可以實現的安全性要高得多。例如，使用數據包篩選可能允許您篩選通過組織防火牆的端口 80 網絡流量，以便它只能傳遞到 Web 服務器。但是，此方法可能不提供足夠的安全性。通過將 ALF 添加到解決方案中，您可以檢查端口 80 上傳遞到 Web 服務器的所有數據，以確保它是有效的且不包含任何可疑代碼。