產生背景
如今的商業領域,經常採用來自不同廠商的*8來保護不同類型的網路。這些解決方案有時候可以很好的
協同工作,有時候卻相互衝突。解決這些沖 突並不容易,而不同解決方案的不同界面和管理控制台,使得管理工作變得更加複雜。這些都令整個安全解決方案的成本變得難以估算。另外,伺服器和
客戶端的安全性可能是通過不同的產品獨立解決的。
雖然多產品方案具有諸多困難,但是採用單一解決方案也是不現實的,尤其是在考慮到更大的適用範圍時。一個適用範圍更大,成本效益更好的 方法是採用安全產品套裝,這是一系列針對不同環境設計的安全產品,他們可以很好的相互集成。這就是我們今天要說的Forefront,但是IT行業中仍然 有人對此不甚了解。下面我們就來認識一下Forefront是如何構建綜合的高擴展性的企業安全解決方案的。
主要產品
這些產品包括:
Forefront Security for SharePoint
Forefront Security for Exchange
Forefront Security for Office Communications Server (即以前的Live Communications Server)
另外,雖然
微軟的ISA Server 2006防火牆和通過收購Whale公司獲得的Intelligent Application Gateway(智慧型
套用網關)技術都沒有冠以Forefront的名稱,但是它們實際上已經作為Forefront家族中面向高端網路防護的前端組件 了。
擴展家族
綜述
Forefront安全概念的重點是,以上產品都不是以獨立軟體的形式存在的,而是完全集成進了微軟的其它產品中。這裡所說的其它產品,雖然並不是Forefront的“直系親屬”,但都與Forefront有著緊密的聯繫。
在一個小型企業中,Forefront可以與Windows作業系統協同工作,也可以和基礎套用伺服器,如Exchange郵件伺服器或 SharePoint協作伺服器協同工作。隨著公司規模的增長,你可以在系統中添加一些更高級的與安全相關的解決方案,比如Windows Rights Management Services (著作權管理服務,RMS),或者Microsoft Identity Integration Server (身份綜合服務MIIS),而不用擔心協作問題或者有任何衝突。
結合作業系統內置的安全機制(組策略,EFS, IPsec, UAC, NAP等),再加上上面提到的解決方案,可以為企業建立一套多層次的安全策略,並且隨著企業規模的增長或安全需求的增加,這種安全層次還可以不斷增加。
部署Forefront Client Security
在編寫本文時,FCS還處於測試階段,之前它被稱 為Microsoft Client Protection,預計在2007年會推出正式版本。FCS可以為多種作業系統提供保護,包括Windows 2000, XP, Server 2003以及Vista。可以針對病毒、木馬、蠕蟲、間諜軟體、rootkits以及其它惡意軟體威脅進行防護。它與Windows Defender和OneCare採用了相同的技術,為用戶提供了單一的、簡單的以及集中化的管理界面,並且採用了用戶熟悉的MMC控制台方式。你還可以 通過活動目錄的軟體發布功能,將創建的安全策略發布到網路中的其它系統上。而惡意軟體特徵庫的升級工作也可以通過Windows Server Update Services (WSUS)來實現。
FCS伺服器組件包括:
FCS Server
SQL Server/SQL Server reporting services
MOM 2005 Server
WSUS Server
如果你的企業規模不大,完全可以將全部伺服器套用軟體安裝在一台伺服器中。對於數據流量較大的大型企業來說,可以將WSUS發布伺服器和SQL數據倉庫單獨運行在各自的伺服器上。FCS可以根據企業的規模靈活的進行部署。
準Forefront安全工具
如果你的企業規模非常小,沒有預算用於Forefront這樣的統一化的安全解決方案,你仍然可以利用與之相同的安全技術,以下是與Forefront採用相同安全技術的微軟產品和服務:
Malicious Software Removal Tool (MSRT):該軟體可以發現並刪除系統中的蠕蟲和病毒,該軟體的更新符合“周四補丁”規則,每月都可以通過微軟的升級網站下載新版。
Windows Defender:這是微軟推出的一款反間諜軟體程式,已經內置在Windows Vista中了。在本文寫作時,最高版本為Beta 2,並且可以免費下載。
Windows Live Safety Center: 這是微軟推出的一套服務,可以幫助用戶將電腦中的病毒刪除,還可以清理硬碟中的垃圾檔案,從而提高系統運行效率。
以上這些工具,與用戶的反病毒軟體相結合,再加上Windows內置的安全工具,如Windows Firewall,可以為安全預算緊張的小型企業提供足夠的安全保護。
總結
微軟在安全軟體市場已經有了長足的進步。而本文介紹的Forefront安全軟體套件針對的則是那些希 望擁有統一化的安全解決方案的企業。Forefront產品可以與微軟作業系統和伺服器套用軟體和睦共處,當與其它微軟安全解決方案協同工作時, Forefront可以提供適合各種網路規模的安全解決方案。如果你的公司預算不足,還可以使用微軟提供的一系列免費工具,維護系統安全。
產品定位
了解 Forefront Security 產品在 Microsoft 整個產品圖中的位置。
今天的安全產品市場狀況很複雜,而且呈分割狀態。各產品之間缺乏協作能力、他們使用自己獨立的管理控制台,缺乏統一的事件報告與分析管理工具,這種狀況對管理員來說是一個挑戰。總之,對網路保護仍然難以部署、使用和管理,而且很昂貴。由於企業在尋求解決方案的時候,安全因素變的日益重要,上述不足就就會帶來很大的困難。
Microsoft Forefront 商務安全產品系列可以幫助您更好地保護和控制網路基礎架構的安全性。Forefront 的產品可以方便地相互集成,與企業的 IT 基礎架構集成,並可以得到具有互操作性的第三方解決方案的補充,建立可以進行深度防範的端到端安全解決方案。簡易的管理、報告、分析和部署可以讓您更加有效地保護本企業的信息資源,並實現對應用程式和伺服器的安全訪問。有了 Microsoft 技術指導支持和Forefront快速反映的保護,您可滿懷信心地應對不斷變化的威脅和更高的業務需求。
Forefront 是 Microsoft 向商業客戶提供端到端安全策略的一個關鍵組成部分。這種理念從
作業系統開始。隨著 Windows XP SP2 和 Windows Server 2003 SP1 的推出,漏洞大為減少,而即將發布的 Windows Vista 和 Windows“Longhorn”Server 也強調強大的安全性。Forefront 安全產品提供更多的安全層,用於保護信息,並控制對關鍵資源與信息的訪問,從而提高這些
作業系統的安全性。這些信息的安全通過強大的數字許可權管理得到進一步加強,確保即使文檔落入未經授權的人手裡,文檔特有的安全性和對策略的遵從也能得到保證。
Microsoft 的安全產品通過一個強大的身份管理基礎架構而聯繫在一起。該身份管理基礎架構可以提供很好的精度和控制水平。能夠提供強大的事件收集、分析和報告的一組豐富的管理及報告功能,加上用於創建和實施最佳安全措施的工具,進一步保證了這種控制。最後,Microsoft 提供廣泛的技術和分行業的指導,幫助企業正確而有效地配置其安全產品。
隨著攻擊的增加,企業所付出的代價越來越高,它們增加了用於恢復的宕機時間,並對員工工作效率和
軟體可用性產生了負面影響。
然而,供應商對這些快速變化的威脅的回響速度非常緩慢。此外,由於沒有足夠的針對不同企業和行業的技術指導來處理多點安全解決方案的技術難題,滿足保護企業這個需求比以往任何時候都更加困難。
產品優勢
· Forefront Client Security 的反惡意
軟體功能帶來了對新威脅的卓越的防護能力和快速的回響速度。
Forefront 適用於通過深度防禦策略,保護基於 Microsoft 的
套用伺服器。這種防禦策略採用了可靠的訪問控制、針對各個套用和協定的數據檢查和專用於保護特定套用的多引擎反惡意
軟體產品。
· Microsoft Internet Security and Acceleration (ISA) Server 2006 允許基於用戶許可權、端點類型、用戶預驗證和安全狀態,進行可伸縮的套用訪問。
· ISA Server 2006 提供針對各個套用和協定的數據檢查過濾功能,可以幫助企業防範較新的、更危險的套用層攻擊。
· Microsoft Antigen 產品組合了全球領先反
病毒實驗室(包括 Microsoft)的掃描引擎,從而縮小了在特定威脅面前的暴露視窗。
· Microsoft Antigen 反惡意
軟體產品專門用來保護
套用伺服器,例如 Exchange、SharePoint 和 Instant Messaging。
Forefront 提供一個可靠的解決方案,利用多種防火牆、VPN 與加密技術和身份管理功能(確保只有經認證的用戶才能訪問相應的 IT 資源和數據),控制和幫助保護本地與遠程網路訪問的安全。
· ISA Server 2006 IPSec VPN 提供連到企業套用的高度安全的有線和無線
遠程連線。
· ISA Server 2006 通過支持 RADIUS OTP 和智慧卡,並利用 Microsoft 的身份管理技術,實現了單一登錄。
· ISA Server 2006 使用針對各個應用程式的先進數據檢查功能,確保能為關鍵
數據類型和伺服器提供可靠的內容安全性。
Forefront 通過在網路中同時提供針對各個應用程式的過濾器,以及可以保證重要數據的機密性和真實性的技術,保護敏感數據的安全和智慧財產權。
· ISA Server 2006 利用針對各個應用程式的先進數據過濾功能,防範危險的
套用層攻擊。
· Forefront Security 和 Microsoft Antigen 提供可配置的規則,防範已知可以攜帶
病毒或者違反監管要求的入站和出站檔案類型。
· ISA Server 2006 提供經過驗證和加密的 IPSec VPN(提供計算機之間的專有通信通道),防範對
網路通信的惡意捕捉和截獲,以及在數據傳輸過程中的
數據篡改。
Forefront 同第三方安全解決方案的集成提供了更大的網路覆蓋率。
· Microsoft 正與其生態系統合作夥伴攜手,構建對 Internet 標準的支持。這些標準包括
WS-Management。針對符合標準的產品,這些標準能實現更高程度的
互操作性。
要獲得您的
網路安全狀態的關鍵可見性是非常困難的事情,特別是在沒有一個單一的集中管理工具情況下。沒有這種可見性,部署和管理安全性會更加困難、低效、容易出錯,而且非常耗時。
沒有控制安全性、使安全數據相互關聯、並保護整個 IT 環境安全的輕鬆途徑,將導致信息過載和可用安全
數據完整性的缺乏。安全性對企業而言是非常關鍵的,這只會增加對中央報告和集中化策略控制措施的需求。
通過對網路提供單一的視圖,Forefront 增加了對您的
網路安全狀態的可見性,從而可以實現更好和更有根據的管理和威脅緩解過程。
· 改進的事件收集和報告功能為網路的
安全狀態提供了當前的和統一的視圖,並且作為單個元素,以更加精煉的方式和更高的策略等級,使您查看和控制安全的能力最大化。
· Microsoft Forefront Client Security 提供一個單一的儀錶板視圖,並顯示一個最新的惡意
軟體安全狀態的摘要,包括實時信息和趨勢信息,需要在什麼地方採取行動,以及深入了解所需詳細信息的能力。
· Forefront Client Security 提供狀態評估掃描,從而可以提供哪些受管理的計算機需要補丁程式和配置不安全的可見性。
· Microsoft 安全管理工具對
WS-Management 等行業標準的支持,以及合作夥伴群的支持,實現了統一的報告和警報措施。
· 用於 ISA Server 2006、Forefront 和 Antigen 伺服器安全產品的 MOM 管理
軟體包使管理員能夠利用其當前的 MOM 部署,收集和監控安全技術。
· SMS 的庫存功能使管理員能夠更好地了解連線到網路的系統。
通過減少必要的管理控制台的數量,Forefront 簡化了管理,從而節省了管理時間,降低了複雜性。
· Forefront Client Security Management Console 為所有基於 Windows 的
台式機提供集中的管理(包括配置、特徵更新、報告和報警)和惡意
軟體處理。
· Microsoft Antigen Enterprise Manager 提供單一的控制台。從這一控制台可以管理和更新到最新的多個來自全球的行業領先的反
病毒實驗室(包括 Microsoft)的最新引擎, 縮小暴露給任何威脅的視窗。
· 提供
管理員過去使用過的、熟悉的 Microsoft 界面,從而降低培訓時間和費用。
Forefront 在企業中的各個點均提供對合理配置的安全產品和功能的簡化部署。
· 安全簽名和更新的公共資料庫確保向安全管理控制台、更新工具和安全分析器提供一致的數據和結果。
· ISA 基於嚮導的配置工具有助於減少對 VPN 和 ISA 放火牆的錯誤配置(而這正是損害系統安全的首要問題來源),同時還特別設計了可以更好地保護 SharePoint 和 Exchangea 安全的更多配置嚮導。
· Forefront Client Security 代理可以在刪除早期的安全技術之前進行批量部署,從而可以保證系統防護的持續性。
· ISA Server 2006 中的改進管理功能可以提高您廣泛而合適地部署安全技術(包括分支機構)的能力,而且只需要極少的 IT 工作人員和技能。
Forefront 提供基於策略的統一安全管理方案,為安全策略與企業策略和最佳措施的結合帶來了更大的方便。
· Forefront Client Security 可以確保計算機滿足“健康”策略(比如擁有最新的
作業系統和
防病毒更新程式),並且確保這些計算機配置正確。
· Forefront Security for Exchange Server 和 Microsoft Antigen 產品提供管理員定義的郵件、即時通信和
文檔庫內容過濾規則,執行企業的語言使用和保密策略。
· 管理員可以使用 Active Directory
組策略和支持工具(如 Microsoft Systems Management Server (SMS) 或 Windows Server Update Services),確保加入域的計算機均符合企業的
安全策略。
Microsoft Forefront 能夠為不同規模的企業提供幫助,防止安全威脅危害其業務發展。請通過以下連結,深入了解 SAS、Cable & Wireless、Perot Systems 及維也納國際機場的成功案例,這些企業均因實施 Microsoft Forefront 而得到了完善的系統保護。