forefront

   

   如今的商业领域，经常采用来自不同厂商的安全解决方案来保护不同类型的网络。这些解决方案有时候可以很好的协同工作，有时候却相互冲突。解决这些冲 突并不容易，而不同解决方案的不同界面和管理控制台，使得管理工作变得更加复杂。这些都令整个安全解决方案的成本变得难以估算。另外，服务器和客户端的安 全性可能是通过不同的产品独立解决的。

虽然多产品方案具有诸多困难，但是采用单一解决方案也是不现实的，尤其是在考虑到更大的适用范围时。一个适用范围更大，成本效益更好的 方法是采用安全产品套装，这是一系列针对不同环境设计的安全产品，他们可以很好的相互集成。这就是我们今天要说的Forefront，但是IT行业中仍然 有人对此不甚了解。下面我们就来认识一下Forefront是如何构建综合的高扩展性的企业安全解决方案的。

Forefront家族简介

虽然Forefront Client Security (FCS)的推出受到了多方关注，但是它只是微软的Forefront产品线中的一个部分。由于FCS被设计用来为Windows系统（不论版本，包括 Windows桌面和服务器操作系统）提供保护，它也被认为是Forefront家族的旗舰产品。而Forefront家族的另一个产品线则包含了 Antigen反病毒产品和反恶意软件产品，用来为服务器应用提供保护。这些产品包括：

Forefront Security for SharePoint
Forefront Security for Exchange
Forefront Security for Office Communications Server (即以前的Live Communications Server)
另外，虽然微软的ISA Server 2006防火墙和通过收购Whale公司获得的Intelligent Application Gateway（智能应用网关）技术都没有冠以Forefront的名称，但是它们实际上已经作为Forefront家族中面向高端网络防护的前端组件 了。

扩展家族

Forefront安全概念的重点是，以上产品都不是以独立软件的形式存在的，而是完全集成进了微软的其它产品中。这里所说的其它产品，虽然并不是Forefront的“直系亲属”，但都与Forefront有着紧密的联系。

在一个小型企业中，Forefront可以与Windows操作系统协同工作，也可以和基础应用服务器，如Exchange邮件服务器或 SharePoint协作服务器协同工作。随着公司规模的增长，你可以在系统中添加一些更高级的与安全相关的解决方案，比如Windows Rights Management Services (版权管理服务，RMS)，或者Microsoft Identity Integration Server (身份综合服务MIIS)，而不用担心协作问题或者有任何冲突。

结合操作系统内置的安全机制（组策略，EFS, IPsec, UAC, NAP等），再加上上面提到的解决方案，可以为企业建立一套多层次的安全策略，并且随着企业规模的增长或安全需求的增加，这种安全层次还可以不断增加。

部署Forefront Client Security

在编写本文时，FCS还处于测试阶段，之前它被称 为Microsoft Client Protection，预计在2007年会推出正式版本。FCS可以为多种操作系统提供保护，包括Windows 2000, XP, Server 2003以及Vista。可以针对病毒、木马、蠕虫、间谍软件、rootkits以及其它恶意软件威胁进行防护。它与Windows Defender和OneCare采用了相同的技术，为用户提供了单一的、简单的以及集中化的管理界面，并且采用了用户熟悉的MMC控制台方式。你还可以 通过活动目录的软件发布功能，将创建的安全策略发布到网络中的其它系统上。而恶意软件特征库的升级工作也可以通过Windows Server Update Services (WSUS)来实现。

FCS服务器组件包括：

FCS Server
SQL Server/SQL Server reporting services
MOM 2005 Server
WSUS Server
如果你的企业规模不大，完全可以将全部服务器应用软件安装在一台服务器中。对于数据流量较大的大型企业来说，可以将WSUS发布服务器和SQL数据仓库单独运行在各自的服务器上。FCS可以根据企业的规模灵活的进行部署。

准Forefront安全工具

如果你的企业规模非常小，没有预算用于Forefront这样的统一化的安全解决方案，你仍然可以利用与之相同的安全技术，以下是与Forefront采用相同安全技术的微软产品和服务：

Malicious Software Removal Tool (MSRT):该软件可以发现并删除系统中的蠕虫和病毒，该软件的更新符合“周四补丁”规则，每月都可以通过微软的升级网站下载新版。
Windows Defender:这是微软推出的一款反间谍软件程序，已经内置在Windows Vista中了。在本文写作时，最高版本为Beta 2，并且可以免费下载。
Windows Live Safety Center: 这是微软推出的一套服务，可以帮助用户将电脑中的病毒删除，还可以清理硬盘中的垃圾文件，从而提高系统运行效率。通过以下地址可以进行这种安全扫描： http://safety.live.com/site/en-us/default.htm.
以上这些工具，与用户的反病毒软件相结合，再加上Windows内置的安全工具，如Windows Firewall，可以为安全预算紧张的小型企业提供足够的安全保护。

总结

微软在安全软件市场已经有了长足的进步。而本文介绍的Forefront安全软件套件针对的则是那些希 望拥有统一化的安全解决方案的企业。Forefront产品可以与微软操作系统和服务器应用软件和睦共处，当与其它微软安全解决方案协同工作时， Forefront可以提供适合各种网络规模的安全解决方案。如果你的公司预算不足，还可以使用微软提供的一系列免费工具，维护系统安全。

Forefront 概述
&＃8226; 了解 Forefront Security 产品在 Microsoft 整个产品图中的位置。

今天的安全产品市场状况很复杂，而且呈分割状态。各产品之间缺乏协作能力、各使用自己独立的管理控制台，缺乏统一的事件报告与分析管理工具，这种状况对管理员来说是一个挑战。总之，对网络保护仍然难以部署、使用和管理，而且很昂贵。由于企业在寻求解决方案的时候，安全因素变的日益重要，上述不足就就会带来很大的困难。
Microsoft Forefront 商务安全产品系列可以帮助您更好地保护和控制网络基础架构的安全性。Forefront 的产品可以方便地相互集成，与企业的 IT 基础架构集成，并可以得到具有互操作性的第三方解决方案的补充，建立可以进行深度防范的端到端安全解决方案。简易的管理、报告、分析和部署可以让您更加有效地保护本企业的信息资源，并实现对应用程序和服务器的安全访问。有了 Microsoft 技术指导支持和Forefront快速反映的保护，您可满怀信心地应对不断变化的威胁和更高的业务需求。
Forefront 是 Microsoft 向商业客户提供端到端安全策略的一个关键组成部分。这种理念从操作系统开始。随着 Windows XP SP2 和 Windows Server 2003 SP1 的推出，漏洞大为减少，而即将发布的 Windows Vista 和 Windows“Longhorn”Server 也强调强大的安全性。Forefront 安全产品提供更多的安全层，用于保护信息，并控制对关键资源与信息的访问，从而提高这些操作系统的安全性。这些信息的安全通过强大的数字权限管理得到进一步加强，确保即使文档落入未经授权的人手里，文档特有的安全性和对策略的遵从也能得到保证。
Microsoft 的安全产品通过一个强大的身份管理基础架构而联系在一起。该身份管理基础架构可以提供很好的精度和控制水平。能够提供强大的事件收集、分析和报告的一组丰富的管理及报告功能，加上用于创建和实施最佳安全措施的工具，进一步保证了这种控制。最后，Microsoft 提供广泛的技术和分行业的指导，帮助企业正确而有效地配置其安全产品。
随着攻击的增加，企业所付出的代价越来越高，它们增加了用于恢复的宕机时间，并对员工工作效率和软件可用性产生了负面影响。
然而，供应商对这些快速变化的威胁的响应速度非常缓慢。此外，由于没有足够的针对不同企业和行业的技术指导来处理多点安全解决方案的技术难题，满足保护企业这个需求比以往任何时候都更加困难。
Forefront 的益处

确保能通过具有高响应能力的安全功能，保护客户端和服务器操作系统。
&＃8226; Forefront Client Security 的反恶意软件功能带来了对新威胁的卓越的防护能力和快速的响应速度。


Forefront 适用于通过深度防御策略，保护基于 Microsoft 的应用服务器。这种防御策略采用了可靠的访问控制、针对各个应用和协议的数据检查和专用于保护特定应用的多引擎反恶意软件产品。
&＃8226; Microsoft Internet Security and Acceleration (ISA) Server 2006 允许基于用户权限、端点类型、用户预验证和安全状态，进行可伸缩的应用访问。

&＃8226; ISA Server 2006 提供针对各个应用和协议的数据检查过滤功能，可以帮助企业防范较新的、更危险的应用层攻击。

&＃8226; Microsoft Antigen 产品组合了全球领先反病毒实验室（包括 Microsoft）的扫描引擎，从而缩小了在特定威胁面前的暴露窗口。

&＃8226; Microsoft Antigen 反恶意软件产品专门用来保护应用服务器，例如 Exchange、SharePoint 和 Instant Messaging。


Forefront 提供一个可靠的解决方案，利用多种防火墙、VPN 与加密技术和身份管理功能（确保只有经认证的用户才能访问相应的 IT 资源和数据），控制和帮助保护本地与远程网络访问的安全。
&＃8226; ISA Server 2006 IPSec VPN 提供连到企业应用的高度安全的有线和无线远程连接。

&＃8226; ISA Server 2006 通过支持 RADIUS OTP 和智能卡，并利用 Microsoft 的身份管理技术，实现了单一登录。

&＃8226; ISA Server 2006 使用针对各个应用程序的先进数据检查功能，确保能为关键数据类型和服务器提供可靠的内容安全性。


Forefront 通过在网络中同时提供针对各个应用程序的过滤器，以及可以保证重要数据的机密性和真实性的技术，保护敏感数据的安全和知识产权。
&＃8226; ISA Server 2006 利用针对各个应用程序的先进数据过滤功能，防范危险的应用层攻击。

&＃8226; Forefront Security 和 Microsoft Antigen 提供可配置的规则，防范已知可以携带病毒或者违反监管要求的入站和出站文件类型。

&＃8226; ISA Server 2006 提供经过验证和加密的 IPSec VPN（提供计算机之间的专有通信通道），防范对网络通信的恶意捕捉和截获，以及在数据传输过程中的数据篡改。


Forefront 同第三方安全解决方案的集成提供了更大的网络覆盖率。
&＃8226; Microsoft 正与其生态系统合作伙伴携手，构建对 Internet 标准的支持。这些标准包括 WS-Management。针对符合标准的产品，这些标准能实现更高程度的互操作性。



要获得您的网络安全状态的关键可见性是非常困难的事情，特别是在没有一个单一的集中管理工具情况下。没有这种可见性，部署和管理安全性会更加困难、低效、容易出错，而且非常耗时。
没有控制安全性、使安全数据相互关联、并保护整个 IT 环境安全的轻松途径，将导致信息过载和可用安全数据完整性的缺乏。安全性对企业而言是非常关键的，这只会增加对中央报告和集中化策略控制措施的需求。
Forefront 益处

通过对网络提供单一的视图，Forefront 增加了对您的网络安全状态的可见性，从而可以实现更好和更有根据的管理和威胁缓解过程。
&＃8226; 改进的事件收集和报告功能为网络的安全状态提供了当前的和统一的视图，并且作为单个元素，以更加精炼的方式和更高的策略等级，使您查看和控制安全的能力最大化。

&＃8226; Microsoft Forefront Client Security 提供一个单一的仪表板视图，并显示一个最新的恶意软件安全状态的摘要，包括实时信息和趋势信息，需要在什么地方采取行动，以及深入了解所需详细信息的能力。

&＃8226; Forefront Client Security 提供状态评估扫描，从而可以提供哪些受管理的计算机需要补丁程序和配置不安全的可见性。

&＃8226; Microsoft 安全管理工具对 WS-Management 等行业标准的支持，以及合作伙伴群的支持，实现了统一的报告和警报措施。

&＃8226; 用于 ISA Server 2006、Forefront 和 Antigen 服务器安全产品的 MOM 管理软件包使管理员能够利用其当前的 MOM 部署，收集和监控安全技术。

&＃8226; SMS 的库存功能使管理员能够更好地了解连接到网络的系统。


通过减少必要的管理控制台的数量，Forefront 简化了管理，从而节省了管理时间，降低了复杂性。
&＃8226; Forefront Client Security Management Console 为所有基于 Windows 的台式机提供集中的管理（包括配置、特征更新、报告和报警）和恶意软件处理。

&＃8226; Microsoft Antigen Enterprise Manager 提供单一的控制台。从这一控制台可以管理和更新到最新的多个来自全球的行业领先的反病毒实验室（包括 Microsoft）的最新引擎， 缩小暴露给任何威胁的窗口。

&＃8226; 提供管理员过去使用过的、熟悉的 Microsoft 界面，从而降低培训时间和费用。


Forefront 在企业中的各个点均提供对合理配置的安全产品和功能的简化部署。
&＃8226; 安全签名和更新的公共数据库确保向安全管理控制台、更新工具和安全分析器提供一致的数据和结果。

&＃8226; ISA 基于向导的配置工具有助于减少对 VPN 和 ISA 放火墙的错误配置（而这正是损害系统安全的首要问题来源），同时还特别设计了可以更好地保护 SharePoint 和 Exchangea 安全的更多配置向导。

&＃8226; Forefront Client Security 代理可以在删除早期的安全技术之前进行批量部署，从而可以保证系统防护的持续性。

&＃8226; ISA Server 2006 中的改进管理功能可以提高您广泛而合适地部署安全技术（包括分支机构）的能力，而且只需要极少的 IT 工作人员和技能。


Forefront 提供基于策略的统一安全管理方案，为安全策略与企业策略和最佳措施的结合带来了更大的方便。
&＃8226; Forefront Client Security 可以确保计算机满足“健康”策略（比如拥有最新的操作系统和防病毒更新程序），并且确保这些计算机配置正确。

&＃8226; Forefront Security for Exchange Server 和 Microsoft Antigen 产品提供管理员定义的邮件、即时通信和文档库内容过滤规则，执行企业的语言使用和保密策略。

&＃8226; 管理员可以使用 Active Directory 组策略和支持工具（如 Microsoft Systems Management Server (SMS) 或 Windows Server Update Services），确保加入域的计算机均符合企业的安全策略。