使用Forefront为企业网络提供全方位保护

对企业的网络管理员来说，他们最关注的是如何 简单而高效的对企业网络进行管理，但现实中却是各种网络环境、各种操作系统平台和各种应用环境组成了无比复杂的企业网络环境。为此，Microsoft将原有的安全产品Antigen整合到新的安全产品线中，推出了称为Forefront，应用于由Microsoft产品所组成的企业网络的安全解决方案。但大部分的用户目前尚不了解Forefront的概念以及它会给自己的企业网络管理带来什么好处，因此，本文将向用户简单介绍Forefront的概念和组成，并通过一个简单的例子让用户了解Forefront给企业网络管理带来的简单高效。

按照业务和功能进行划分，企业的网络环境大概可以分为网络边缘、服务器和客户端三个部分，它们通常来自不同的厂商，功能的实现方式也各不相同。尽管有时候这些来自不同厂商的产品能够很好的协同工作，但更多时候，这些产品常常会出现冲突。同时，由于这些产品使用不同界面和管理控制台，缺乏统一的事件报告和分析体制，因此解决企业网络中所部署产品间的冲突或及时发现存在的安全隐患或安全事件并不容易，这就使企业网络所需要的管理工作更加复杂，管理成本大为提高。

企业如何处理并改善自己的网络管理环境？Microsoft Forefront给企业提供了一个相当优秀的选择。那Forefront的优势体现在哪里呢？

首先，Forefront产品线 考虑了上述企业网络环境的所有功能组成，按照所保护的目标分，Forefront的组成可以分为：

1、网络边缘保护
Microsoft Internet Security and Acceleration (ISA) Server 2006
Microsoft Intelligent Application Gateway (IAG) 2007

2、服务器保护
Microsoft Forefront Security for Exchange Server（以前称 Microsoft Antigen for Exchange）
Microsoft Forefront Security for SharePoint（以前称 Antigen for SharePoint）
Microsoft Forefront Security for Office Communications Server（现名 Antigen for instant Messaging）

3、客户端保护
Microsoft Forefront Client Security（以前称 Microsoft Client Protection）

可见Forefront的保护已经覆盖了企业网络中的所有应用组成。同时，Forefront的优势还体现在保护功能的完备上，我们也可以按照上文的分类方式，逐一看看Forefront所实现的保护功能：

1、网络边缘安全

Forefront产品线中提供网络边缘安全的成员便是Microsoft Internet Security and Acceleration Server 2006。许多用户从ISA家族的第一个成员ISA2000就开始使用，对它并不陌生。此产品作为企业级的防火墙，在原有版本的基础上为企业网络安全提供了强大支持，它主要功能如下：

对Internet的访问保护

ISA2006 通过可以遏制 Internet 威胁的多层深入内容检查技术、全面而灵活的安全策略、可以自定义的网络协议过滤器和网络路由关系，帮助企业对其网络环境进行保护，并防范源自网络外部的 Internet 威胁和内部的威胁。

安全远程访问

ISA2006通过统一的 SSL 加密的 VPN、应用程序层过滤和端点安全管理，使员工可以从不同的设备和位置，以优化的方式对企业内部网络中的关键应用程序、文档和数据进行 Intranet 访问。尤其是Microsoft Internet Security and Acceleration（SA）Server 2006可以与活动目录结合，通过基于身份的精细策略，控制企业网络中的端点进行的 Internet 和移动访问，执行企业可接受的信息资源使用，同时帮助企业满足法律和监管要求。

安全有效地连接分支机构

ISA2006通过 HTTP 压缩、内容缓存（包括软件更新）和与应用层过滤集成的站点到站点虚拟专用网（VPN）功能，使企业网络可以连接并保护其分支机构的网络，并有效地利用网络带宽，实现了更安全、更轻松的企业网络扩展。

另外，如果企业存在以下的使用需求：

需要基于浏览器的无客户端VPN访问，并需要有对企业网络中的数据和应用程序组件的精细策略控制
需要在访问 Web 和非 Web 资源时，对客户端提供更先进的安全与管理控制
需要对更大范围的第三方和业务分类应用程序的远程访问
需要接受来自非企业网络管理范围的 PC 或未知网络上的移动设备的访问
需要严格的端点安全验证
目标主机平台无可用的 IPSec VPN 客户端
需要将基于策略的访问延伸到合作伙伴和客户

则企业可以选择Forefront产品中的另一个网络边缘安全产品——Microsoft Intelligent Application Gateway (IAG) 2007。但该产品目前只在OEM厂商中提供，并未作为单独的软件产品进行出售。

2、服务器安全

企业对于通信协作要求越来越高，因此要求企业通信服务器上所部署的防护软件在保护消息及协作系统的同时，更要减少对服务器的影响及冲击。同时，企业还要求服务端的防护软件有较高的病毒检测率，并易于集中管理和监控。Forefront产品线中就专门包含了针对三种企业中最常见的通信协作服务器的反病毒方案，它们都基于Web控制台，能够对分散的杀毒软件提供集中式部署、隔离区管理、病毒签名更新、报警以及报表生成等功能。

Forefront产品线中的三款服务器安全产品分别是：

1）Microsoft Forefront Security for Exchange Server（以前称 Microsoft Antigen for Exchange）

针对电子邮件是病毒最常见的附着载体这一现实，Microsoft Forefront Security for Exchange Server强化了分层防御机制，并改进邮件内容过滤策略，同时充分考虑Exchange Server性能因素，有效确保电子邮件基础架构免遭病毒蠕虫感染。它的优势在于：可用性和控制力。

Microsoft Forefront Security for Exchange Server与Microsoft Exchange平台高度集成，不会占用过多的服务器资源，即使是在电子邮件蠕虫等威胁爆发期间也能确保提供电子邮件的安全防护。企业可凭借内存扫描、分布式多线程扫描进程和性能优先设置等特性，在无需额外增加电子邮件处理时间或导致服务器性能下降的前提下，获得Forefront Security for Exchange的多引擎扫描机制所提供的益处。另外，它还可立即检测并清除已知蠕虫，在电子邮件病毒爆发期间大幅降低邮件服务器流量，从而有效抑制对服务器工作负载和磁盘存储空间的需求。

抵制不安全内容
管理员可以制定内容过滤防护规则，在邮件标题行和消息正文中强制执行语言使用与信息保密等企业安全策略。管理员还可以配置文件过滤规则，在客户不受来源或目标影响的前提下，将已知病毒载体（如.exe文件）或可能导致违法的内容（如mp3文件）拒之门外。

可选的组件Spam Manager
此Forefront Security for Exchange的可选组件增强了邮件服务器的反垃圾邮件能力，它集成了来自于Mail-Filters的SpamCure反垃圾邮件引擎，这种引擎由一支专家团队不断加以更新，能够通过标识出相同垃圾邮件制造者所发出的不同垃圾邮件特征，高效准确的识别垃圾邮件。Spam Manager还可与Exchange Server 2003 所特有的基于试错原理的垃圾邮件扫描引擎Intelligent Message Filter（IMF，智能消息过滤器）相集成，扫描进入的邮件，并对消息进行分类、删除或归档。Spam Manager还可以通过基于签名的反垃圾邮件引擎和内容过滤规则，对所有过滤下来的邮件进行SCL分类，删除或归档残留的垃圾邮件。

2）Microsoft Forefront Security for SharePoint（以前称 Antigen for SharePoint）

Microsoft Forefront Security for SharePoint是一款服务器级的防病毒和文档筛选解决方案，专为满足企业对 SharePoint服务的安全需求而设计。借助多扫描引擎管理和一系列的筛选选项，它可自动检测与清除文档中感染的病毒，并依照公司内容策略地实施前瞻性防护。通过与 Office SharePoint 2007 和 Windows SharePoint Services 3.0 进行深入集成，Forefront Security for SharePoint 有助于在保护协作环境的同时，维持正常工作时间并优化服务器性能。它的特点在于：

多扫描引擎管理
与Microsoft Forefront Security for Exchange Server一样，Microsoft Forefront Security for SharePoint包含由全球安全公司提供的业界领先的防病毒引擎，这些公司包括 AhnLab、Authentium、CA、Kaspersky 实验室、Norman Data Defense、Microsoft、Sophos 和 VirusBuster，这种分层防御在识别恶意内容方面要比单一引擎技术更为有效。在一个引擎进行更新时，其它引擎可继续提供不间断的防护，同时，多引擎技术还减少了新病毒爆发期间存在的漏洞时间窗口，从而使Forefront Security 能够第一时间获得全球各个领先的病毒实验室提供的反病毒产品更新。

完善的扫描选项
Forefront Security for SharePoint具有大量用于提高系统性能的工具和选项，其中内存（In-memory）扫描功能可在应用程序内存空间及早地扫描文档，而无须等到病毒危害到文档之后再进行查杀，极大地提高了扫描性能和SharePoint服务器的资源效率。

内容和文件筛选
Forefront Security for SharePoint还提供内容控制，可阻止非法文件类型的上传。管理员可以配置基于文件扩展名、类型、名称、大小或通配符的文件筛选策略。而它的内容筛选功能则可检测 SharePoint 站点中的非法内容，并提供相应的隔离或阻挡选项。Microsoft Forefront Security for SharePoint还包括一些用于内容筛选的预填充词典 ，并允许管理员创建自己的词典，以过滤机密或非法关键字。这些功能都可以帮助组织创建和实施自己的安全策略。

通知选项
在发生与Forefront Security for SharePoint有关的事件时，管理员可以收到相应的电子邮件警报。管理员也可以将通知设置为自动添加为 Web 部件，而且Forefront所检测到的病毒信息也可追加到文档的说明字段。与此同时，病毒活动在Forefront产品控制台中都可以得到监控，还会以日志形式存储在系统事件日志或文本文件中。

3）Microsoft Forefront Security for Office Communications Server（现名 Antigen for instant Messaging）

随着即时通讯逐渐在企业网络通讯中占据重要地位，Forefront 产品线还增加了专门针对Office Communication Server的产品。和Forefront Security的前两个安全产品一样，Forefront Security for OCS也提供了基于多引擎、基于内存的扫描。它可在即时通讯会话中检测和清除病毒，支持文件传输和加密的对话，隔绝即时通讯中可能有害的链接，并通过可配置的安全策略拦截扫描和拦截即时通讯会话中和文档中的机密信息及关键字。

3、客户端 安全

Forefront Client Security是Forefront产品线中面向客户端 安全的产品，它由使用在 Windows Live OneCare、Windows Defender 和 Microsoft Forefront Security for Exchange Server 等产品中的保护技术所组成，可以为商用台式机、便携机和服务器操作系统提供恶意软件防护功能。Forefront Client Security通过一个代理(Agent)对病毒、间谍软件和其它恶意软件进行统一，为所有管理功能（包括配置、签名更新、报告和警报）提供本地或远程访问支持。Forefront Client Security中央管理控制台可以显示清晰的安全报告和摘要仪表盘，用户可以实时掌握企业网络中的恶意软件防护数据和新威胁趋势，关注关键信息。

Forefront Client Security 还可以方便地集成到已有环境中，可以通过 Active Directory Group Policy 和 Windows Server Update Services（WSUS），即可轻松完成Forefront Client Security进行分发安装配置工作，管理员也可以使用第三方软件分发系统来完成这些任务。

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。