深层防毒指南－－ 网络防护层配置以及物理安全性

核心提示： 注意：主要的 HTTP 电子邮件服务站点（如 Hotmail 和 Yahoo）提供防病毒扫描服务，但是有许多较小站点根本不提供防病毒扫描服务，深层防毒指南－－ 网络防护层配置以及物理安全性(4)，对组织防护来说，这是严重的问题，注意：不应该将此方法与某些防病毒应用程序中提供的隔离功能相混淆

注意：主要的 HTTP 电子邮件服务站点（如 Hotmail 和 Yahoo）提供防病毒扫描服务，但是有许多较小站点根本不提供防病毒扫描服务。对组织防护来说，这是严重的问题，因为这样的服务会提供直接从 Internet 到客户端的路由。

网络管理员可以使用两种基本的 URL 筛选方法：

• 阻止列表。防火墙先检查有问题站点的预定义列表，然后才允许连接。允许用户连接没有专门在阻止列表中列出的站点。

• 允许列表。此方法仅允许与在组织已批准网站的预定义列表中输入的网站进行通信。

第一种方法依赖于识别可能存在问题的网站并将它们添加到列表中的主动过程。由于 Internet 的大小和可变特性，此方法需要自动化解决方案或很大的管理开销，通常仅对阻止数目较小的已知有问题网站是有用的，无法提供综合性保护解决方案。第二种方法提供了更好的保护，因为它的限制特性允许控制可供系统用户访问的站点。但是，除非进行了正确调查以识别用户所需的所有站点，否则此方法可能对许多组织来说限制性太强。

仅当客户端处于组织防护内时，这两种方法才会提供保护。移动客户端在办公室外直接连接到 Internet 时，将不提供此保护，这意味着您的网络可能会受到攻击。如果组织中的移动客户端需要 URL 筛选解决方案，则您应该考虑使用基于客户端的防护系统。但是，此方法可能会带来很大的管理开销，尤其是在具有大量移动客户端的环境中。

隔离网络

为保护网络可以使用的另一种方法是：为不满足组织最低安全要求的计算机建立隔离网络。

注意：不应该将此方法与某些防病毒应用程序中提供的隔离功能相混淆，后者将感染文件移动到计算机上的安全区域中，直到可以将其清除。