作者：不拘一格     

    通过网络发动的恶意攻击行为不断增多，恶意软件攻击是为了利用网络外围防护中的漏洞允许恶意软件访问组织IT基础结构中的主机设备。许多组织已经采用多层方法来设计其网络同时使用内部网络结构和外部网络结构……

　　如今，通过网络发动的恶意攻击行为不断增多。恶意软件攻击是为了利用网络外围防护中的漏洞允许恶意软件访问组织IT基础结构中的主机设备。这些设备可以是客户端、服务器、路由器，或者甚至是防火墙。在此层上进行病毒防护所面临的最困难问题之一是，平衡IT系统用户的功能要求与创建有效防护所需的限制。例如，与许多最近的攻击类似，MyDoom 蠕虫使用电子邮件附件复制自己。从IT基础结构的角度来看，阻止所有传入附件是最简单、最安全的选项。但是，组织中电子邮件用户的需求可能不允许这样做。必须进行折衷，在组织的需求和它可以接受的风险级别之间达到平衡。

　　许多组织已经采用多层方法来设计其网络同时使用内部网络结构和外部网络结构。Microsoft 建议使用此方法，因为它正好符合深层防护安全模型。

　　注意：存在一种日益增长的趋势：将内部网络分解为多个安全区域，以便为每个安全区域建立外围。Microsoft 也建议使用此方法，因为它可帮助降低试图访问内部网络的恶意软件攻击的总体风险。但是，本指南仅对单个网络防护进行说明。如果您计划使用一个外围网络和多个内部网络，则可以将此指导直接应用于每个网络。

　　组织的第一个网络防护指外围网络防护。这些防护旨在防止恶意软件通过外部攻击进入组织。如本章前面所述，典型的恶意软件攻击集中于将文件复制到目标计算机。因此，您的病毒防护应该使用组织的常规安全措施，以确保只有经过适当授权的人员才能以安全方式(如通过加密的虚拟专用网络 (VPN) 连接)访问组织的数据。

　　注意：您也应该将任何无线局域网 (LAN) 和 VPN 视为外围网络。如果您的组织已经采用这些技术，则对其进行保护是很重要的。如果无法提供此安全性，则可能允许攻击者直接访问您的内部网络(避开标准的外围防护)以发动攻击。

　　在本指南中，假定网络安全设计为组织提供了所需的标识、授权、加密和保护级别，以防止未经授权的攻击者直接侵入。但是，此时病毒防护是不完整的。下一步是将网络层防护配置为检测和筛选使用允许的网络通信(如电子邮件、Web 浏览和即时消息)的恶意软件攻击。

　　网络防病毒配置

　　有许多专门设计用于为组织提供网络安全的配置和技术。虽然这些是组织安全设计的重要部分，但是本节仅集中说明与病毒防护有直接关系的区域。您的网络安全和设计小组应该确定在组织中如何使用以下每种方法。

　　网络入侵检测系统

　　因为外围网络是网络中风险很大的部分，因此您的网络管理系统能够尽快检测和报告攻击是极其重要的。网络入侵检测 (NID) 系统的作用仅仅是提供：外部攻击的快速检测和报告。虽然 NID 系统是总体系统安全设计的一部分，而且不是特定的防病毒工具，但是系统攻击和恶意软件攻击的许多最初迹象是相同的。例如，一些恶意软件使用 IP 扫描来查找可进行感染的系统。由于此原因，应该将 NID 系统配置为与组织的网络管理系统一起工作，将任何不寻常的网络行为的警告直接传递给组织的安全人员。

　　要了解的一个关键问题是：对于任何 NID 实现，其保护仅相当于在检测到入侵之后遵循的过程。此过程应该触发可以用来阻止攻击的防护，而且防护应该得到连续不断的实时监视。只有在此时，才能认为该过程是防护策略的一部分。否则，NID 系统实际上更像一个在攻击发生之后提供审核记录的工具。

　　有许多可供网络设计人员使用的企业级网络入侵检测系统。它们可以是独立的设备，也可以是集成到其他网络服务(如组织的防火墙服务)中的其他系统。例如，Microsoft Internet Security and Acceleration (ISA) Server 2000 和 2004 产品包含 NID 系统功能以及防火墙和代理服务。

　　应用程序层筛选

　　组织意识到使用 Internet 筛选技术监视和屏蔽网络通信中的非法内容(如病毒)不仅是有用的，而且是必需的。在过去，曾经使用防火墙服务提供的数据包层筛选执行了此筛选，仅允许根据源或目标 IP 地址或者特定的 TCP 或 UDP 网络端口来筛选网络流量。应用程序层筛选 (ALF) 在 OSI 网络模型的应用程序层上工作，因此它允许根据数据的内容检查和筛选数据。如果除了使用标准数据包层筛选外还使用 ALF，则可以实现的安全性要高得多。例如，使用数据包筛选可能允许您筛选通过组织防火墙的端口 80 网络流量，以便它只能传递到 Web 服务器。但是，此方法可能不提供足够的安全性。通过将 ALF 添加到解决方案中，您可以检查端口 80 上传递到 Web 服务器的所有数据，以确保它是有效的且不包含任何可疑代码。

　　ISA Server 可以在数据包通过组织防火墙时提供对它们的 ALF。可以扫描 Web 浏览和电子邮件，以确保特定于每个 Web 浏览和电子邮件的内容不包含可疑数据，如垃圾邮件或恶意软件。ISA Server 中的 ALF 功能启用深层内容分析，包括使用任何端口和协议检测、检查和验证流量的功能。

　　内容扫描

　　内容扫描在更高级防火墙解决方案中作为一项功能提供，或者作为单独服务(如电子邮件)的组件提供。内容扫描询问允许通过有效数据通道进入或离开组织网络的数据。如果内容扫描是在电子邮件上执行的，则它通常与电子邮件服务器协同工作以检查电子邮件的特性(如附件)。此方法可以在数据通过服务时实时扫描和识别恶意软件内容。有许多与 Microsoft 协作为 Microsoft Exchange Server 和 ISA Server 提供增强安全功能(如实时防病毒内容扫描)的合作伙伴。

　　URL 筛选

　　对于网络管理员可能可用的另一个选项是 URL 筛选，您可以使用它阻止有问题的网站。例如，您可能使用 URL 筛选阻止已知的黑客网站、下载服务器和个人 HTTP 电子邮件服务。

　　注意：主要的 HTTP 电子邮件服务站点(如 Hotmail 和 Yahoo)提供防病毒扫描服务，但是有许多较小站点根本不提供防病毒扫描服务。对组织防护来说，这是严重的问题，因为这样的服务会提供直接从 Internet 到客户端的路由。