如何实现纵深化的网络安全防御？

核心提示： 客户端保护，尽管不是消息传递和协作基础结构的组成部分，如何实现纵深化的网络安全防御？(4)，但受危害的客户端可以自由地访问一些安全区域，因此，微软希望通过Forefront使企业的安全跨入到一个新的层次，Forefront安全解决方案以纵深防御理念为出发点，必须在客户端上提供桌面防病毒、反

客户端保护。尽管不是消息传递和协作基础结构的组成部分，但受危害的客户端可以自由地访问一些安全区域。因此，必须在客户端上提供桌面防病毒、反垃圾邮件和个人防火墙保护。同时需要在客户端部署防止用户转发、打印或共享机密材料的信息控制技术。

信息保护。数字信息保护是一项任重而道远的任务。通常，企业使用基于周边的安全方法来保护数字信息。防火墙可以限制对于网络的访问，而访问控制列表(ACL) 可以限制对于特定数据的访问。此外，企业还可以使用加密和身份验证技术、产品在邮件传送时提供保护，同时帮助确保目标收件人是第一个打开邮件的人。

这些方法可以帮助企业控制对于敏感数据的访问。然而，收件人仍然能够对他们收到的信息自由执行任何操作。在获得访问授权后，访问者要对数据执行任何操作或是将数据发送到哪里都没有任何办法可以控制。基于周边的安全方法不能对员工使用数据的方式以及员工将数据分发到周边外部的方式强制应用企业规则以进行控制，也不能在周边被渗透之后强制应用企业规则。

作为企业整体安全策略的重要组成部分，一个好的信息保护解决方案必须提供控制数据使用和分发的方法，而不是仅提供简单的访问控制。它必须在防火墙后帮助保护敏感的企业信息，并确保数据得到保护而且不能被篡改。

多种技术

除了在整个网络中提供多个防御层之外，纵深防御体系还使用多种技术来揭露和防止安全威胁。它并非依赖于单一技术来防御攻击，从而消除了企业整个安全体系结构中的单点故障。

与基础结构集成

不管要提供什么保护，安全解决方案都必须可靠和可管理才行。如果IT管理员要不断重启崩溃的服务器、重新设置配置或是手动分发更新，那不仅会严重削弱保护，而且还会影响效率增长，这与企业使用安全解决方案的初衷背道而驰。

要确保安全解决方案很好地发挥作用，一个重要的方法就是确保与消息传递和协作基础结构紧密集成。这种集成让安全应用程序可以集中全力提供保护，而不用执行冗余的消息传递应用程序任务。例如，如果防病毒解决方案与本机Microsoft Windows SMTP 协议栈集成，它就不需要利用端口25重定向器，只需执行病毒扫描即可，而不用执行路由功能。

紧密集成同时还增加了安全解决方案的性能、可用性和可管理性优点。紧密集成的安全解决方案一般能够更好地执行，这意味着可以管理更多流量而不会影响服务器性能。

为了帮助用户构建安全可靠的IT环境，微软2006年推出了最新的安全解决方案Forefront，微软希望通过Forefront使企业的安全跨入到一个新的层次，Forefront安全解决方案以纵深防御理念为出发点，从客户端、服务器、网络边缘三个方面对网络加以防护。