在已记录的恶意软件事件中,通过网络发动的攻击是最多的。通常,发动恶意软件攻击是为了利用网络外围防护中的漏洞允许恶意软件访问组织 IT 基础结构中的主机设备。这些设备可以是客户端、服务器、路由器,或者甚至是防火墙。在此层上进行病毒防护所面临的最困难问题之一是,平衡 IT 系统用户的功能要求与创建有效防护所需的限制。例如,与许多最近的攻击类似,MyDoom 蠕虫使用电子邮件附件复制自己。从 IT 基础结构的角度来看,阻止所有传入附件是最简单、最安全的选项。但是,组织中电子邮件用户的需求可能不允许这样做。必须进行折衷,在组织的需求和它可以接受的风险级别之间达到平衡。
许多组织已经采用多层方法来设计其网络同时使用内部网络结构和外部网络结构。Microsoft 建议使用此方法,因为它正好符合深层防护安全模型。
注意:存在一种日益增长的趋势:将内部网络分解为多个安全区域,以便为每个安全区域建立外围。Microsoft 也建议使用此方法,因为它可帮助降低试图访问内部网络的恶意软件攻击的总体风险。但是,本指南仅对单个网络防护进行说明。如果您计划使用一个外围网络和多个内部网络,则可以将此指导直接应用于每个网络。
组织的第一个网络防护指外围网络防护。这些防护旨在防止恶意软件通过外部攻击进入组织。如本章前面所述,典型的恶意软件攻击集中于将文件复制到目标计算机。因此,您的病毒防护应该使用组织的常规安全措施,以确保只有经过适当授权的人员才能以安全方式(如通过加密的虚拟专用网络 (VPN) 连接)访问组织的数据。
注意:您也应该将任何无线局域网 (LAN) 和 VPN 视为外围网络。如果您的组织已经采用这些技术,则对其进行保护是很重要的。如果无法提供此安全性,则可能允许攻击者直接访问您的内部网络(避开标准的外围防护)以发动攻击。
在本指南中,假定网络安全设计为组织提供了所需的标识、授权、加密和保护级别,以防止未经授权的攻击者直接侵入。但是,此时病毒防护是不完整的。下一步是将网络层防护配置为检测和筛选使用允许的网络通信(如电子邮件、Web 浏览和即时消息)的恶意软件攻击。
网络防病毒配置
有许多专门设计用于为组织提供网络安全的配置和技术。虽然这些是组织安全设计的重要部分,但是本节仅集中说明与病毒防护有直接关系的区域。您的网络安全和设计小组应该确定在组织中如何使用以下每种方法。
网络入侵检测系统
因为外围网络是网络中风险很大的部分,因此您的网络管理系统能够尽快检测和报告攻击是极其重要的。网络入侵检测 (NID) 系统的作用仅仅是提供:外部攻击的快速检测和报告。虽然 NID 系统是总体系统安全设计的一部分,而且不是特定的防病毒工具,但是系统攻击和恶意软件攻击的许多最初迹象是相同的。例如,一些恶意软件使用 IP 扫描来查找可进行感染的系统。由于此原因,应该将 NID 系统配置为与组织的网络管理系统一起工作,将任何不寻常的网络行为的警告直接传递给组织的安全人员。
要了解的一个关键问题是:对于任何 NID 实现,其保护仅相当于在检测到入侵之后遵循的过程。此过程应该触发可以用来阻止攻击的防护,而且防护应该得到连续不断的实时监视。只有在此时,才能认为该过程是防护策略的一部分。否则,NID 系统实际上更像一个在攻击发生之后提供审核记录的工具。
有许多可供网络设计人员使用的企业级网络入侵检测系统。它们可以是独立的设备,也可以是集成到其他网络服务(如组织的防火墙服务)中的其他系统。例如,Microsoft Internet Security and Acceleration (ISA) Server 2000 和 2004 产品包含 NID 系统功能以及防火墙和代理服务。
应用程序层筛选
组织意识到使用 Internet 筛选技术监视和屏蔽网络通信中的非法内容(如病毒)不仅是有用的,而且是必需的。在过去,曾经使用防火墙服务提供的数据包层筛选执行了此筛选,仅允许根据源或目标 IP 地址或者特定的 TCP 或 UDP 网络端口来筛选网络流量。应用程序层筛选 (ALF) 在 OSI 网络模型的应用程序层上工作,因此它允许根据数据的内容检查和筛选数据。如果除了使用标准数据包层筛选外还使用 ALF,则可以实现的安全性要高得多。例如,使用数据包筛选可能允许您筛选通过组织防火墙的端口 80 网络流量,以便它只能传递到 Web 服务器。但是,此方法可能不提供足够的安全性。通过将 ALF 添加到解决方案中,您可以检查端口 80 上传递到 Web 服务器的所有数据,以确保它是有效的且不包含任何可疑代码。
ISA Server 可以在数据包通过组织防火墙时提供对它们的 ALF。可以扫描 Web 浏览和电子邮件,以确保特定于每个 Web 浏览和电子邮件的内容不包含可疑数据,如垃圾邮件或恶意软件。ISA Server 中的 ALF 功能启用深层内容分析,包括使用任何端口和协议检测、检查和验证流量的功能。
内容扫描
内容扫描在更高级防火墙解决方案中作为一项功能提供,或者作为单独服务(如电子邮件)的组件提供。内容扫描询问允许通过有效数据通道进入或离开组织网络的数据。如果内容扫描是在电子邮件上执行的,则它通常与电子邮件服务器协同工作以检查电子邮件的特性(如附件)。此方法可以在数据通过服务时实时扫描和识别恶意软件内容。有许多与 Microsoft 协作为 Microsoft Exchange Server 和 ISA Server 提供增强安全功能(如实时防病毒内容扫描)的合作伙伴。
URL 筛选
对于网络管理员可能可用的另一个选项是 URL 筛选,您可以使用它阻止有问题的网站。例如,您可能使用 URL 筛选阻止已知的黑客网站、下载服务器和个人 HTTP 电子邮件服务。
注意:主要的 HTTP 电子邮件服务站点(如 Hotmail 和 Yahoo)提供防病毒扫描服务,但是有许多较小站点根本不提供防病毒扫描服务。对组织防护来说,这是严重的问题,因为这样的服务会提供直接从 Internet 到客户端的路由。
网络管理员可以使用两种基本的 URL 筛选方法:
• 阻止列表。防火墙先检查有问题站点的预定义列表,然后才允许连接。允许用户连接没有专门在阻止列表中列出的站点。
• 允许列表。此方法仅允许与在组织已批准网站的预定义列表中输入的网站进行通信。
第一种方法依赖于识别可能存在问题的网站并将它们添加到列表中的主动过程。由于 Internet 的大小和可变特性,此方法需要自动化解决方案或很大的管理开销,通常仅对阻止数目较小的已知有问题网站是有用的,无法提供综合性保护解决方案。第二种方法提供了更好的保护,因为它的限制特性允许控制可供系统用户访问的站点。但是,除非进行了正确调查以识别用户所需的所有站点,否则此方法可能对许多组织来说限制性太强。
仅当客户端处于组织防护内时,这两种方法才会提供保护。移动客户端在办公室外直接连接到 Internet 时,将不提供此保护,这意味着您的网络可能会受到攻击。如果组织中的移动客户端需要 URL 筛选解决方案,则您应该考虑使用基于客户端的防护系统。但是,此方法可能会带来很大的管理开销,尤其是在具有大量移动客户端的环境中。
隔离网络
为保护网络可以使用的另一种方法是:为不满足组织最低安全要求的计算机建立隔离网络。
注意:不应该将此方法与某些防病毒应用程序中提供的隔离功能相混淆,后者将感染文件移动到计算机上的安全区域中,直到可以将其清除。
隔离网络应该限制(或者甚至阻止)对组织资源的内部访问,但是提供一种连接级别(包括 Internet)允许临时访问者的计算机高效工作,而不会给内部网络的安全带来风险。如果访问者的便携式计算机感染了恶意软件并连接到网络,则隔离网络可以限制其感染内部网络上其他计算机的能力。
与此类似的方法成功应用于 VPN 类型的远程连接,已经有一段时间了。在执行系统测试的同时,将 VPN 客户端转移到临时隔离网络。如果客户端通过了测试(例如由于具有所需的安全更新和防病毒签名文件),则将授予它们访问组织内部网络的权限。如果客户端不满足这些要求,则将断开它们的连接或允许它们访问隔离网络,这可以用来获得通过测试所必需的更新。现在,网络设计人员正研究此技术以帮助改进内部网络的安全性。
ISA Server Feature Pack
如果您的组织使用 ISA Server 2000,则 Microsoft 还建议您使用在 ISA Server Feature Pack 1 中提供的其他功能。此免费附件提供其他安全功能,您可以使用这些功能提高网络防护中跨防火墙的通信(包括电子邮件)的安全性。您可以用来改进防病毒网络防护的功能包括:
• 增强的 SMTP 筛选器。此功能有助于以增强的可靠性和安全性筛选电子邮件。筛选基于附件的名称、大小或扩展名,以及发件人、域、关键字和任何 SMTP 命令及其长度。
• 增强的 Exchange 远程过程调用 (RPC) 筛选器。此功能保护通过不受信任的网络与 Exchange Server 计算机进行的 Outlook 电子邮件通信,而不要求您建立 VPN。为此,在 ISA Server Feature Pack 1 中还附带了以下额外功能:
• 管理员能够在 Outlook 和 Exchange Server 之间强制 RPC 加密。
• 出站 RPC 通信可以安全地通过 ISA Server,这又允许连接到 ISA Server 计算机的 Outlook 客户端访问外部 Exchange Server 计算机。
• UrlScan 2.5。此工具有助于在 ISA Server 计算机上的恶意 Web 请求能够进入网络和访问 Web 服务器之前,阻止这些请求。
• Outlook Web Access (OWA) 向导。您可以使用此向导快速而轻松地