Microsoft Forefront–全面的业务分类安全产品,它是微软全新的安全产品线,其中包含边缘网络,服务器,客户端三个领域的安全产品,通过使用微软多层次的集成防护技术,并与现有IT 基础架构的集成和简化部署、管理与分析工作,能够提供更好的保护与控制,让客户统一管理系统安全。
一、Forefront概述
Microsoft Forefront 商务安全产品系列可以帮助您更好地保护和控制网络基础架构的安全性。Forefront 的产品可以方便地相互集成,与企业的 IT 基础架构集成,并可以得到具有互操作性的第三方解决方案的补充,建立可以进行深度防范的端到端安全解决方案。简易的管理、报告、分析和部署可以让您更加有效地保护本企业的信息资源,并实现对应用程序和服务器的安全访问。有了 Microsoft 技术指导支持和Forefront快速反映的保护,您可满怀信心地应对不断变化的威胁和更高的业务需求。
众所周知,当前的安全产品市场状况很复杂,而且呈现分割状态。各产品之间缺乏协作能力、各自使用自己独立的管理控制台,缺乏统一的事件报告与分析管理工具,这种状况对管理员来说是一个挑战,对网络保护仍然难以部署、使用和管理,而且很昂贵。由于企业在寻求解决方案的时候,安全因素变的日益重要,上述不足就就会带来相当大的困难。
Forefront 是 Microsoft 向商业客户提供端到端安全策略的一个关键组成部分。这种理念从操作系统开始。随着 Windows XP SP2 和 Windows Server 2003 SP1 的推出,漏洞大为减少,而即将发布的 Windows Vista 和 Windows"Longhorn"Server 也强调强大的安全性。Forefront 安全产品提供更多的安全层,用于保护信息,并控制对关键资源与信息的访问,从而提高这些操作系统的安全性。这些信息的安全通过强大的数字权限管理得到进一步加强,确保即使文档落入未经授权的人手里,文档特有的安全性和对策略的遵从也能得到保证。
二、Forefront 产品线
Forefront 是一个提供多方位安全防护的综合解决方案,其中包含边缘网络,服务器,客户端三个领域的安全产品,具体如下:
1.客户端安全Microsoft Forefront Client Security(以前称 Microsoft Client Protection)
2.服务器安全 Microsoft Forefront Security for Exchange Server(以前称 Microsoft Antigen for Exchange)
3.服务器安全 Microsoft Forefront Security for SharePoint(以前称 Antigen for SharePoint)
4.服务器安全 Microsoft Forefront Security for Office Communications Server(现名 Antigen for Instant Messaging)
5.网络边缘安全Microsoft Internet Security and Acceleration (ISA) Server 2006
6.网络边缘安全Intelligent Application Gateway (IAG) 2007
三、Forefront的综合性
随着攻击的增加,企业所付出的代价越来越高,它们增加了用于恢复的宕机时间,并对员工工作效率和软件可用性产生了负面影响。
然而,供应商对这些快速变化的威胁的响应速度非常缓慢。此外,由于没有足够的针对不同企业和行业的技术指导来处理多点安全解决方案的技术难题,满足保护企业这个需求比以往任何时候都更加困难。
1. 确保能通过具有高响应能力的安全功能,保护客户端和服务器操作系统。
*Forefront Client Security 的反恶意软件功能带来了对新威胁的卓越的防护能力和快速的响应速度。
2. Forefront 适用于通过深度防御策略,保护基于 Microsoft 的应用服务器。这种防御策略采用了可靠的访问控制、针对各个应用和协议的数据检查和专用于保护特定应用的多引擎反恶意软件产品。
*Microsoft Internet Security and Acceleration (ISA) Server 2006 允许基于用户权限、端点类型、用户预验证和安全状态,进行可伸缩的应用访问。
*ISA Server 2006 提供针对各个应用和协议的数据检查过滤功能,可以帮助企业防范较新的、更危险的应用层攻击。
*Microsoft Antigen 产品组合了全球领先反病毒实验室(包括 Microsoft)的扫描引擎,从而缩小了在特定威胁面前的暴露窗口。
*Microsoft Antigen 反恶意软件产品专门用来保护应用服务器,例如 Exchange、SharePoint 和 Instant Messaging。
3. Forefront 提供一个可靠的解决方案,利用多种防火墙、VPN 与加密技术和身份管理功能(确保只有经认证的用户才能访问相应的 IT 资源和数据),控制和帮助保护本地与远程网络访问的安全。
*ISA Server 2006 IPSec VPN 提供连到企业应用的高度安全的有线和无线远程连接。
* ISA Server 2006 通过支持 RADIUS OTP 和智能卡,并利用 Microsoft 的身份管理技术,实现了单一登录。
* ISA Server 2006 使用针对各个应用程序的先进数据检查功能,确保能为关键数据类型和服务器提供可靠的内容安全性。
4. Forefront 通过在网络中同时提供针对各个应用程序的过滤器,以及可以保证重要数据的机密性和真实性的技术,保护敏感数据的安全和知识产权。
* ISA Server 2006 利用针对各个应用程序的先进数据过滤功能,防范危险的应用层攻击。
* Forefront Security 和 Microsoft Antigen 提供可配置的规则,防范已知可以携带病毒或者违反监管要求的入站和出站文件类型。
* ISA Server 2006 提供经过验证和加密的 IPSec VPN(提供计算机之间的专有通信通道),防范对网络通信的恶意捕捉和截获,以及在数据传输过程中的数据篡改。
5. Forefront 同第三方安全解决方案的集成提供了更大的网络覆盖率。
* Microsoft 正与其生态系统合作伙伴携手,构建对 Internet 标准的支持。这些标准包括 WS-Management。针对符合标准的产品,这些标准能实现更高程度的互操作性。
四、Forefront的集成性
通常,安全产品无法很好地彼此集成或同现有 IT 基础架构集成。现有基础架构中的这种协作性的缺乏使得基础架构更加难以控制,有可能在网络中产生空白和低效现象。
Microsoft Forefront 将安全功能集成到整个产品线、Microsoft 服务器应用程序及现有 IT 基础设施,因此您可以提高效率,并更好地控制网络安全。
1. Forefront 同 Active Directory、组策略和 Windows Server Update Services 等现有基于 Microsoft 的 IT 基础架构集成,从而减少了部署的障碍,并确保各种安全产品更好地进行协作
*ISA Server 2006 具有与 Active Directory 的内置集成,使您能够基于 Active Directory 用户和组,构建针对不同的企业角色和职务级别的自定义访问控制。
* Forefront Client Security 同 Active Directory 和软件分发系统集成,可以让您定义和管理自定义配置策略。这些策略可以在您的组织内方便地分发、更新和执行。
*对 RADIUS OTP、DHCP 和智能卡的支持是对 Active Directory 和 ISA Server 2006 之间的紧密集成的一种补充,实现了一种基于现有 IT 基础架构的可靠的"单一登录"解决方案。
2. Forefront 与其他 Microsoft 安全产品和 Microsoft 服务器应用程序集成,利用其功能实现一种更加完整和深入的解决方案。
*Microsoft Antigen 反恶意软件产品经过特别调整,集成并保护 Exchange、SharePoint 和 Instant Messaging 等特定应用程序服务器,帮助其防范有针对性的威胁。
* Microsoft Internet Security and Acceleration (ISA) Server 2006 同特定Microsoft 应用程序无缝集成,为关键的服务器提供先进的应用层数据检查和内容安全性。
3. Forefront 利用现有的平台和管理基础架构,降低了培训和管理成本,腾出目前使用的时间和资源,用于分析和维护不同的系统。
*所有 Forefront 产品都采用了 SQL Server 和 SQL Server Reporting and Analysis Services 这个共同基础,确保为事件存储和分析提供单一存储库,从而避免管理和报告基础结构中出现不必要和昂贵的重复性。
* Forefront Server Security Management Console、Forefront Client Security Management Console 和 Microsoft Antigen Enterprise Manager 均与 MOM、SMS 和 WSUS 等标准的管理工具集成。在降低部署和培训成本的同时,发挥了既有解决方案和过程的作用。
* ISA Server 管理软件包提供 ISA Server 2006 和 Microsoft 之间的紧密集成。
4. Forefront 同第三方安全解决方案的集成增大了网络的覆盖率。
*Microsoft 正与其生态系统合作伙伴协作,共同构建对标准(如 WS-Management)的支持,确保让符合标准的产品实现更高程度的互操作性。
*ISA Server 2006 支持 RADIUS OTP、LDAP 和Kerberos,而不支持 Active Directory和第三方智能卡产品(如 SecurID),从而实现了单一登录解决方案。
* ISA Server 2006 支持 VPN 和网络标准(如 IPSec),实现了与符合标准的产品的安全和异构连接。
五、Forefront的简易性
要获得您的网络安全状态的关键可见性是非常困难的事情,特别是在没有一个单一的集中管理工具情况下。没有这种可见性,部署和管理安全性会更加困难、低效、容易出错,而且非常耗时。
没有控制安全性、使安全数据相互关联、并保护整个 IT 环境安全的轻松途径,将导致信息过载和可用安全数据完整性的缺乏。安全性对企业而言是非常关键的,这只会增加对中央报告和集中化策略控制措施的需求。
1.通过对网络提供单一的视图,Forefront 增加了对您的网络安全状态的可见性,从而可以实现更好和更有根据的管理和威胁缓解过程。
*改进的事件收集和报告功能为网络的安全状态提供了当前的和统一的视图,并且作为单个元素,以更加精炼的方式和更高的策略等级,使您查看和控制安全的能力最大化。
* Microsoft Forefront Client Security 提供一个单一的仪表板视图,并显示一个最新的恶意软件安全状态的摘要,包括实时信息和趋势信息,需要在什么地方采取行动,以及深入了解所需详细信息的能力。
* Forefront Client Security 提供状态评估扫描,从而可以提供哪些受管理的计算机需要补丁程序和配置不安全的可见性。
* Microsoft 安全管理工具对 WS-Management 等行业标准的支持,以及合作伙伴群的支持,实现了统一的报告和警报措施。
*用于 ISA Server 2006、Forefront 和 Antigen 服务器安全产品的 MOM 管理软件包使管理员能够利用其当前的 MOM 部署,收集和监控安全技术。
* SMS 的库存功能使管理员能够更好地了解连接到网络的系统。
2. 通过减少必要的管理控制台的数量,Forefront 简化了管理,从而节省了管理时间,降低了复杂性。
* Forefront Client Security Management Console 为所有基于 Windows 的台式机提供集中的管理(包括配置、特征更新、报告和报警)和恶意软件处理。
* Microsoft Antigen Enterprise Manager 提供单一的控制台。从这一控制台可以管理和更新到最新的多个来自全球的行业领先的反病毒实验室(包括 Microsoft)的最新引擎, 缩小暴露给任何威胁的窗口。
*提供管理员过去使用过的、熟悉的 Microsoft 界面,从而降低培训时间和费用。
3. Forefront 在企业中的各个点均提供对合理配置的安全产品和功能的简化部署。
*安全签名和更新的公共数据库确保向安全管理控制台、更新工具和安全分析器提供一致的数据和结果。
* ISA 基于向导的配置工具有助于减少对 VPN 和 ISA 放火墙的错误配置(而这正是损害系统安全的首要问题来源),同时还特别设计了可以更好地保护 SharePoint 和 Exchangea 安全的更多配置向导。
* Forefront Client Security 代理可以在删除早期的安全技术之前进行批量部署,从而可以保证系统防护的持续性。
ISA Server 2006 中的改进管理功能可以提高您广泛而合适地部署安全技术(包括分支机构)的能力,而且只需要极少的 IT 工作人员和技能。
4.Forefront 提供基于策略的统一安全管理方案,为安全策略与企业策略和最佳措施的结合带来了更大的方便。
* Forefront Client Security 可以确保计算机满足"健康"策略(比如拥有最新的操作系统和防病毒更新程序),并且确保这些计算机配置正确。
* Forefront Security for Exchange Server 和 Microsoft Antigen 产品提供管理员定义的邮件、即时通信和文档库内容过滤规则,执行企业的语言使用和保密策略。
*管理员可以使用 Active Directory 组策略和支持工具(如 Microsoft Systems Management Server (SMS) 或 Windows Server Update Services),确保加入域的计算机均符合企业的安全策略。