深层防毒指南－－ 网络防护层配置以及物理安全性

网络防护层

在已记录的恶意软件事件中，通过网络发动的攻击是最多的。通常，发动恶意软件攻击是为了利用网络外围防护中的漏洞允许恶意软件访问组织 IT 基础结构中的主机设备。这些设备可以是客户端、服务器、路由器，或者甚至是防火墙。在此层上进行病毒防护所面临的最困难问题之一是，平衡 IT 系统用户的功能要求与创建有效防护所需的限制。例如，与许多最近的攻击类似，MyDoom 蠕虫使用电子邮件附件复制自己。从 IT 基础结构的角度来看，阻止所有传入附件是最简单、最安全的选项。但是，组织中电子邮件用户的需求可能不允许这样做。必须进行折衷，在组织的需求和它可以接受的风险级别之间达到平衡。

许多组织已经采用多层方法来设计其网络同时使用内部网络结构和外部网络结构。Microsoft 建议使用此方法，因为它正好符合深层防护安全模型。

注意：存在一种日益增长的趋势：将内部网络分解为多个安全区域，以便为每个安全区域建立外围。Microsoft 也建议使用此方法，因为它可帮助降低试图访问内部网络的恶意软件攻击的总体风险。但是，本指南仅对单个网络防护进行说明。如果您计划使用一个外围网络和多个内部网络，则可以将此指导直接应用于每个网络。

组织的第一个网络防护指外围网络防护。这些防护旨在防止恶意软件通过外部攻击进入组织。如本章前面所述，典型的恶意软件攻击集中于将文件复制到目标计算机。因此，您的病毒防护应该使用组织的常规安全措施，以确保只有经过适当授权的人员才能以安全方式（如通过加密的虚拟专用网络 (VPN) 连接）访问组织的数据。

注意：您也应该将任何无线局域网 (LAN) 和 VPN 视为外围网络。如果您的组织已经采用这些技术，则对其进行保护是很重要的。如果无法提供此安全性，则可能允许攻击者直接访问您的内部网络（避开标准的外围防护）以发动攻击。