當(dāng)攻擊者試圖獲得訪問公司內(nèi)部網(wǎng)絡(luò)以及包含寶貴數(shù)據(jù)資產(chǎn)的服務(wù)器時，服務(wù)器與域隔離就會進(jìn)行阻擊，這是因為攻擊者使用的計算機(jī)并非受信任的公司設(shè)備，即使攻擊者使用的是有效用戶賬戶和密碼亦如此。

通過使用服務(wù)器與域隔離技術(shù)實現(xiàn)的邏輯隔離方法可以開發(fā)靈活、可伸縮并且易于治理的隔離解決方案，這種方案能夠提供安全隔離，并沒有物理邊界那樣需要成本和缺乏靈活性的缺陷。

引入邏輯隔離防護(hù)層的優(yōu)點：

● 更加安全。邏輯隔離防護(hù)層使網(wǎng)絡(luò)中所有被治理的計算機(jī)更加安全。

● 更嚴(yán)格地控制能夠訪問特定信息的人員。通過使用此解決方案，計算機(jī)單憑連接到網(wǎng)絡(luò)是不能自動獲得所有網(wǎng)絡(luò)資源的訪問權(quán)限的。

● 成本更低。此解決方案的實施費用通常遠(yuǎn)低于物理隔離解決方案。

● 增加了被治理的計算機(jī)的數(shù)目。假如只有被治理的計算機(jī)才能訪問組織的信息，那么所有設(shè)備都必須成為被治理的系統(tǒng)，它們的用戶才能訪問組織的信息。

● 提高了抵御惡意軟件攻擊的防護(hù)程度。隔離解決方案有效限制了不受信任的計算機(jī)訪問受信任資源的能力。因此，不受信任的計算機(jī)進(jìn)行的惡意軟件攻擊不會得逞，這是因為不答應(yīng)進(jìn)行連接，即使攻擊者獲得了有效用戶名和密碼亦如此。

● 網(wǎng)絡(luò)數(shù)據(jù)加密機(jī)制。邏輯隔離使得要求對所選計算機(jī)之間的所有網(wǎng)絡(luò)通信流進(jìn)行加密成為可能。

● 快速緊急隔離。確保系統(tǒng)受到攻擊時能快速有效地隔離網(wǎng)絡(luò)中的特定資源。

● 保護(hù)公用網(wǎng)絡(luò)連接。某些網(wǎng)絡(luò)連接點，如大廳的網(wǎng)絡(luò)連接點，將不能直接訪問網(wǎng)絡(luò)中的所有資源。

● 改善了審核功能。此解決方案提供了一種對被治理資源進(jìn)行的網(wǎng)絡(luò)訪問進(jìn)行記錄和審核的方法。

技術(shù)挑戰(zhàn)

單單是了解各種各樣有助于保護(hù)環(huán)境的技術(shù)對于很多人來說就已經(jīng)足夠困難了。確切了解解決方案如何融入典型IT基礎(chǔ)結(jié)構(gòu)以及它在補充現(xiàn)有網(wǎng)絡(luò)防護(hù)功能方面的設(shè)計對您會有所幫助。

右圖顯示了一個由許多網(wǎng)絡(luò)防護(hù)層組成的典型網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)，此圖說明了邏輯隔離在典型環(huán)境中的地位。

該圖旨在對各種技術(shù)提供簡單的說明，您可以采用這些技術(shù)來為典型的網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)提供深度安全防護(hù)設(shè)計。此類基礎(chǔ)結(jié)構(gòu)通常由下列元素組成：

● 遠(yuǎn)程工作人員和網(wǎng)絡(luò)。這些遠(yuǎn)程實體一般使用VPN來連接至組織的內(nèi)部網(wǎng)絡(luò)并訪問組織的IT基礎(chǔ)結(jié)構(gòu)。

● Internet。組織的內(nèi)部網(wǎng)絡(luò)通常通過一個或多個外圍防火墻設(shè)備連接至Internet。這些設(shè)備通常駐留在外圍網(wǎng)絡(luò)中，該網(wǎng)絡(luò)針對Internet連接所面臨的外部威脅提供了更高級別的保護(hù)。

● 外圍網(wǎng)絡(luò)。此網(wǎng)絡(luò)是為需要直接與Internet交互的服務(wù)器和設(shè)備（這意味著這些服務(wù)器和設(shè)備受攻擊的風(fēng)險更高）專門設(shè)立的。

● 內(nèi)部網(wǎng)絡(luò)。通常，此網(wǎng)絡(luò)代表組織內(nèi)的一組網(wǎng)絡(luò)，這些網(wǎng)絡(luò)在物理上位于作為IT基礎(chǔ)結(jié)構(gòu)一部分而擁有和治理的站點上。

● 隔離網(wǎng)絡(luò)。此網(wǎng)絡(luò)是一個相對較新的組件，它為無法滿足組織規(guī)定的最低必需安全標(biāo)準(zhǔn)的計算機(jī)提供受限制的連接。

● 伙伴網(wǎng)絡(luò)。由于這些網(wǎng)絡(luò)不歸組織擁有和治理，所以通常授予受到高度控制的訪問權(quán)限級別來答應(yīng)特定業(yè)務(wù)應(yīng)用程序或進(jìn)程通過負(fù)責(zé)提供外部網(wǎng)絡(luò)通信的VPN隧道或外圍路由器運行。

目前，這些不同的網(wǎng)絡(luò)防護(hù)措施通常是作為深度防護(hù)網(wǎng)絡(luò)設(shè)計的獨立組件進(jìn)行安裝和治理的。然而，在今后幾年內(nèi)，這些組件很可能匯聚成可作為單個端到端解決方案來實現(xiàn)和治理的公共網(wǎng)絡(luò)防護(hù)解決方案。

一直以來，微軟公司都把消費者的安全問題視為公司頭等大事，并致力于整合軟件、服務(wù)和最佳實踐來保護(hù)消費者的系統(tǒng)。得益于微軟穩(wěn)固的系統(tǒng)，消費者盡可放心享受科技與Internet所帶來的最大效益。

在安全與網(wǎng)絡(luò)安全領(lǐng)域，微軟公司所作的貢獻(xiàn)主要集中于以下三個方面：

1）技術(shù)投資：提高其產(chǎn)品的安全性，改進(jìn)升級流程，并提供加強安全保障的新特性與產(chǎn)品；

2）產(chǎn)業(yè)合作：與合作伙伴，消費者，政府和法律實施代理合作，為發(fā)展打擊計算機(jī)犯罪的相關(guān)政策和行動提供支持；

3）說明性指導(dǎo)與教育：廣泛傳播即時信息來幫助消費者提高他們的系統(tǒng)安全性，并且作好防范新威脅的預(yù)備。

進(jìn)行安全保障是一段長期的歷程，微軟已經(jīng)邁出了幫助消費者和公司進(jìn)行自我保護(hù)的第一步，嘗試了諸多全新安全創(chuàng)新，包括Windows xp Service Pack 2， Windows Server Service Pack 1，產(chǎn)品質(zhì)量改進(jìn)與升級預(yù)告，普遍適用的安全規(guī)范，與消費者、合作伙伴和政府間的協(xié)作等。

為主動防御新興安全和網(wǎng)絡(luò)安全威脅，微軟公司不斷進(jìn)行創(chuàng)新，這不僅強化了現(xiàn)有產(chǎn)品，更添加了全新特性，使消費者可以控制自己的防護(hù)和安全級別。這樣一來，由于系統(tǒng)已經(jīng)受到保護(hù)，他們盡可體驗技術(shù)優(yōu)勢，放心使用Internet資源。