Orfront Security让企业的远程访问更安全

现代企业的业务发展，在很大程度上取决于是否能即时获取和准确处理业务相关信息。信息和通信技术的快速发展正好适应了现代企业的信息获取和处理需求，因此，许多企业都大量使用计算机网络作为连接企业内外实体的主要媒介：企业的内部网络（Intranet）承担着信息发布、处理和协作等企业内部信息处理的重要功能；企业的外部网络(Extranet)则作为企业本身和外界交换信息的重要渠道，发挥着信息获取和输出的重要功能；企业往往还通过互联网(Internet)和潜在的客户保持联络、开展业务。

企业远程访问的安全需求

信息技术的发展和网络环境的构建，使计算机网络成为现代企业顺利进行业务流程和处理业务信息的重要支撑。进出企业内外的远程访问也变得非常频繁：企业内部的员工在工作时间要接入互联网进行业务相关信息的获取、和客户保持联络；在外地的分支机构或在企业外部的移动员工，要通过互联网进入企业总部的内部网络中进行业务相关信息的共享和处理；企业与合作伙伴及分销商之间通过互联网共享业务的相关信息，开展业务；对于有电子商务业务的企业来说，也需要通过互联网和客户进行交易。这些与企业业务进行联系的远程访问行为，都有可能受到来自外界各种安全威胁的攻击，而企业内部员工在工作中对互联网的不安全访问行为，也有可能给企业的内部网络带入恶意软件和黑客攻击等威胁因素。

因此，防御来自企业IT架构内外的各种安全威胁，保证远程访问操作的安全和可靠，已经成为企业顺利开展业务的关键因素。我们可以将企业对远程访问操作的安全需求归纳如下：
·安全的远程访问：企业需要提供安全的远程访问服务，以供内部员工、合作伙伴和客户通过任意的设备从任意地点安全地访问到企业的信息资源。

·分支机构连接安全：企业的分支机构与总部之间的远程访问连接需要有足够高的安全性和可靠性。

·互联网访问保护：企业的网络设施要能够提供针对各种基于互联网的威胁的更好防御能力。

Forefront Edge Security家族中的边界安全产品

针对企业对远程访问操作的安全需求，Microsoft在其最新推出的Forefront Security安全解决方案中包含了相应的边界安全产品——Internet Security & Acceleration Server 2006(ISA 2006)。ISA Server 2006能够在提供给用户对企业应用程序和数据快速安全的远程访问服务的同时，保证企业的IT环境免受各种基于互联网的安全威胁的破坏。

Forefront Edge Security如何满足企业远程访问的安全需求

企业用户可以通过结合ISA Server 2006这个产品所提供的强大安全功能，进行网络区域隔离，并对进出企业内部网络的所有访问和数据进行完全控制，从而为企业内部网络增加能够防御来自互联网的各种威胁的全面边界安全功能。那么，ISA具体是如何满足企业远程访问的安全需求的呢？

·安全的远程访问：ISA可以给企业提供安全的应用程序发布和SSL VPN功能，这些功能让目标企业可以通过受到完全保护的应用层连接，向它们关键的最终用户提供诸如Microsoft Exchange Server、Microsoft SharePoint Portal Server、文件共享及其他信息资源的服务。同时，通过在用户获得对任意已发布的服务器的访问之前对用户进行预验证操作，在用户访问的整个过程提供应用层加密保护，并提供自动化的发布工具。Forefront Edge Security使企业通过互联网提供安全的远程访问变得十分简便。

·分支机构连接安全：企业可以使用ISA Server 2006来连接企业总部和分支机构，ISA所提供的HTTP压缩、内容缓存（包括软件升级）和集成应用层过滤的站对站VPN支持，都使之能够很好地满足企业开展业务时所需要的使用网络技术将外地的分支机构和企业总部进行安全增强的连接，并在有限的带宽下更为有效地交换信息。

·互联网访问保护：ISA Server 2006可以帮助企业保护自己的IT环境免受各种来自企业内部网络或外部互联网的安全威胁的破坏，ISA还提供了代理防火墙架构、深度内容扫描、可配置的安全策略以及完整的报警和监视能力，使之能够充分地满足企业在进行业务必需的远程访问时的安全需求，如外部的恶意软件侵入、有害内容、恶意文件和网站等。

Forefront Edge Security的部署示例

下面我们将通过企业中两个最常见的远程访问场景，来演示Forefront Edge Security的部署方法，并了解它是如何满足企业日常开展业务和进行远程访问的安全需求的。

·将Forefront Edge Security当作企业内部网络网关使用的场景：某个拥有中等规模的内部网络的企业需要部署一套承担连接企业内部和外部网络任务的网关设备，要求除了有一般的网络出口网关的功能外，还要对黑客所发起的DoS、DDoS和DNS等攻击有足够的防御能力，能够对企业员工日常进行互联网访问所使用的通信协议进行内容检查过滤，并对内部网络中的恶意软件行为有功能完备的报警和响应支持。该企业可以选择Forefront Security家族中的ISA Server 2006作为网络网关，ISA能够很好地防御攻击者通过互联网所发起的各种攻击，ISA内置了对超过120种网络通信协议的支持，能够充分满足企业对员工日常进行互联网访问时的内容检查及过滤需求。

另外，ISA还提供了对内部网络中的节点的并发连接控制功能，在内部网络中的某个节点发生蠕虫攻击事故时，能及时通过并发连接控制功能防止蠕虫的扩散，并及时通知管理员进行恶意软件事件响应。ISA还支持多个ISA Server组成ISA Server集群，通过集群的方式来满足企业网络出口网关的高可用性和网络性能的要求。

将Forefront Edge Security作为企业远程访问服务的场景：某个企业有众多的员工经常在外地出差或在家加班，他们需要通过互联网进入企业内部网络，访问完成自己工作所需的应用程序和信息资源。该企业的内部网络中使用了Microsoft Active Directory作为验证服务，还提供了诸如Microsoft Exchange Server、SharePoint Server等应用服务器。该企业可以选择Forefront Edge Security家族中的ISA Server 2006作为远程用户进入企业内部网络的入口，ISA提供了NTLM、Kerberos和通过LDAP的Active Directory作为远程用户的身份验证功能。出于增强安全性的考虑，条件允许的企业还可以使用智能卡或一次性密码等多因素验证方法来加强远程访问的安全性。

由于远程访问都是通过互联网进行的，ISA Server对所有在互联网上传输的信息都使用SSL桥接加密，防止黑客通过监听互联网通信来获得远程访问中的敏感信息。

为了简化用户的使用和提高安全性，ISA Server还提供了进入内部网络的单点登录服务及强壮的基于用户/组的访问控制，用户只需在ISA Server进行一次身份验证，便可以直接访问内部网络中的所有已经授权的应用服务器，而无需再次输入密码。

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。