共用方式為

Microsoft Forefront:透過 Forefront 達成深度防禦

  • 發行項

您可以透過 Microsoft Forefront 提供的多層保護模式來設定保護措施,以滿足您確切的需要

William Stanek

網路是個危險地帶,到處充斥著垃圾郵件、病毒、網路釣魚詐騙郵件、惡意程式碼。壞人無不試圖入侵,而昨日的安全性求生工具和技術本身已不敷所需。為了超前一步,您必須重新整備和重新思考。而這正是 Microsoft Forefront 派上用場的地方。

Forefront 是多層式產品套件,提供企業級識別管理和保護解決方案。隨著產品樣貌的轉變,加上 Forefront 提供我所謂的「加倍深度防禦」(DiD2),試著在紛繁複雜的 Forefront 產品內容中找出適當的產品可能令人不知所措。

Forefront 套件內容或許有些變動,但當中的個別產品現在包括:

  • Forefront for Office Communications Server 2007 R2
  • Forefront Identity Manager 2010
  • Forefront Endpoint Protection 2010
  • Forefront Threat Management Gateway 2010
  • Forefront Unified Access Gateway 2010
  • Forefront Online Protection for Exchange Server
  • Forefront Protection 2010 for Exchange Server
  • Forefront Protection 2010 for SharePoint

陣容可說是相當堅強,特別是加上導入這些產品時被淘汰的相關產品,包括:

  • Identity Lifecycle Manager 2007
  • Forefront Client Security
  • ISA Server 2006
  • Intelligent Access Gateway 2007
  • Office Communications Server 2007
  • Forefront Security for Office Communications Server

替代產品

Lync Server 將取代 Office Communications Server 2007。Lync Server 是一種整合通訊 (UC) 平台,除了提供目前狀態、會議和即時訊息等功能,更提供可強化或取代傳統 PBX 系統的企業級語音功能。

您可以將 Forefront Protection 2010 for Lync Server 安裝在內部伺服器上來保護 UC 環境的安全。Forefront Protection 使用掃描引擎和篩選器來封鎖不符合原則的內容及過濾惡意程式碼和垃圾郵件,藉此防衛目前狀態、會議和即時訊息的安全。

Forefront Identity Manager 2010 會取代 Identity Lifecycle Manager 2007。Forefront Identity Manager 是用於控制使用者身分識別、使用者存取層級、資源和認證的統合原則管理系統。它是專為異質環境而設計,好讓企業主和 IT 能夠使用該產品確保所有企業系統,包括企業營運 (LOB) 應用程式、資料庫和目錄在內,全都遵守相同的原則集。Forefront Identity Manager (請參閱 [圖 1]) 首重:

  • **使用者管理:**使用者佈建和取消佈建存取權及資源
  • **認證管理:**管理和同步處理系統間的認證
  • **群組管理:**管理安全性群組和通訊群組清單
  • **原則管理:**在系統間建立及強制原則

Figure 1 Forefront Identity Manager 2010 at a glance

[圖 1] Forefront Identity Manager 2010 一覽

Forefront Endpoint Protection 2010 是用於管理和保護網路端點安全的整合式解決方案。端點電腦是指屬於企業的一部分並且一般不作閘道或進入點用途的單純用戶端或伺服器。Forefront Endpoint Protection 會取代 Forefront Client Security,並且是以 System Center Configuration Manager 2007 為基礎建置而成。

Forefront Endpoint Protection 使用 Configuration Manager 基礎結構來部署和管理端點保護。它有兩大元件:安全性代理程式和管理伺服器 (請參閱 [圖 2])。安全性代理程式是在端點電腦上執行,提供即時保護以防各類惡意程式碼,並且會根據預定的排程掃描威脅。管理伺服器可讓您集中化保護措施的部署和管理。

Figure 2 Forefront Endpoint Protection 2010 has two primary components

[圖 2] Forefront Endpoint Protection 2010 有兩大元件

Forefront Threat Management Gateway (TMG) 2010 會取代 ISA Server 2006。Forefront TMG 是防禦 Web 威脅的安全 Web 閘道。該伺服器相當於威脅管理防火牆,並且提供 URL 篩選、惡意程式碼偵測、入侵防範和 HTTP/HTTPS 檢查等功能。HTTPS 檢查 (請參閱 [圖 3]) 可讓 Forefront TMG 檢查在傳輸期間經過 SSL 加密的 Web 流量,以確保流量符合安全性原則。此舉可加速惡意程式碼偵測,並將 Web 使用限制在允許的網站,同時排除檢查特定敏感的網站,例如銀行網站。[圖 3] 提供此流程的運作概觀。

Forefront TMG 可當作虛擬私人網路 (VPN) 端點,允許站對站 VPN 並讓遠端存取的 VPN 用戶端在 TMG 伺服器終止。它還能夠檢查在 TMG 伺服器上終止的 VPN 流量,確保該流量符合安全性原則。此流程的運作方式與 HTTPS 檢查類似。TMG 伺服器同時可做為分公司的託管快取伺服器,以簡化 BranchCache 部署。同一部伺服器也可以當作分公司的唯讀網域控制站。

Figure 3 HTTPS inspection with Forefront Threat Management Gateway 2010

[圖 3] 透過 Forefront Threat Management Gateway 2010 進行 HTTPS 檢查

注意郵件

Forefront 提供穩固的 Exchange 伺服器保護:

  • Forefront Online Protection for Exchange Server 使用外部部署的託管掃描引擎和篩選器封鎖不符合原則的內容,並且在惡意程式碼和垃圾郵件抵達企業 Exchange 伺服器前加以過濾,藉此來保護輸入和輸出電子郵件的安全
  • Forefront Online Protection 2010 for Exchange Server 使用安裝在本機的掃描引擎和篩選器封鎖不符合原則的內容,以及過濾惡意程式碼和垃圾郵件,來保護內部 Exchange 伺服器的電子郵件的輸入和輸出

外部部署的託管解決方案無需安裝硬體或軟體,並且是以 Microsoft Online Services 的形式提供。您可以將此解決方案與內部部署、託管或 Exchange Online 訊息搭配使用。無論是哪種方式,都有助於在郵件抵達收件匣前進行過濾。

內部部署解決方案是為了與內部部署 Exchange 訊息搭配使用而設計。您必須將它安裝在邊緣、中樞、信箱和公用資料夾伺服器上。它會在郵件傳輸的過程中及送達之前進行過濾。當與託管解決方案搭配使用時,它還會在您內部部署的訊息環境與外部部署解決安裝之間建立經過安全性強化的資料流。

掃描引擎和篩選器是這兩種產品的核心。兩者皆使用多重掃描引擎和篩選器,以確保當有一部引擎失敗或因更新而離線時,它們會繼續封鎖垃圾郵件、危險的附件及其他不當內容。它會即時檢查由邊緣和中樞伺服器傳輸的郵件,也會檢查位於信箱和公用資料夾伺服器上的存放區內的郵件 (請參閱 [圖 4])。

Figure 4 Message scanning with Forefront Protection 2010 for Exchange Server

[圖 4] 透過 Forefront Protection 2010 for Exchange Server 進行郵件掃描

Forefront Unified Access Gateway (UAG) 2010 會取代 Intelligent Access Gateway 2007。Forefront UAG 可讓遠端用戶端安全存取企業應用程式、資源和網路。您可以透過 Forefront UAG 發佈 Web 和非 Web 應用程式,以便經由 HTTP 或 HTTPS 從遠端存取它們。發佈的應用程式可包含 Microsoft 應用程式、LOB 應用程式和透過遠端桌面服務提供的 RemoteApps (請參閱 [圖 5])。您還可以將 Forefront UAG 設定成 DirectAccess 伺服器,無須 VPN 連線,即可將用戶端直接連接到內部資源。

Figure 5 Publishing applications for external access with Forefront Unified Access Gateway 2010

[圖 5] 透過 Forefront Unified Access Gateway 2010 發佈應用程式供外部存取

最後一個 Forefront 解決方案是 Forefront Protection 2010 for SharePoint。Forefront Protection 2010 for SharePoint 為 SharePoint 文件庫中存放和共用的文件提供多層式保護。它會在 SharePoint 伺服器上安裝掃描引擎和篩選器,以防使用者上載或下載內含病毒、惡意程式碼或其他類型的惡意內容的檔案。您可以設定原則來保衛機密資訊的安全,並封鎖不當內容。

以上是 Forefront 及相關系列產品的完整介紹。Forefront 最基本的作用是為端點電腦、通訊和共同作業伺服器,以及企業網路提供 DiD2 保護。

以下完整列出 Forefront 系列產品:

  • Forefront Protection 2010 for Lync Server
  • Forefront Identity Manager 2010
  • Forefront Endpoint Protection 2010
  • Forefront Threat Management Gateway 2010
  • Forefront Unified Access Gateway 2010
  • Forefront Online Protection for Exchange Server
  • Forefront Protection 2010 for Exchange Server
  • Forefront Protection 2010 for SharePoint

Joshua Hoffman

William R. Stanek 同時是知名的技術專家、培訓講師以及著作超過 100 本的得獎作家。Follow Stanek 的 Twitter 網址為 .twitter.com/WilliamStanek。

 

相關內容