服务器与域隔离的优点以及技术挑战

当攻击者试图获得访问公司内部网络以及包含宝贵数据资产的服务器时，服务器与域隔离就会进行阻击，这是因为攻击者使用的计算机并非受信任的公司设备，即使攻击者使用的是有效用户账户和密码亦如此。

通过使用服务器与域隔离技术实现的逻辑隔离方法可以开发灵活、可伸缩并且易于管理的隔离解决方案，这种方案能够提供安全隔离，并没有物理边界那样需要成本和缺乏灵活性的缺陷。

引入逻辑隔离防护层的优点：

● 更加安全。逻辑隔离防护层使网络中所有被管理的计算机更加安全。

● 更严格地控制能够访问特定信息的人员。通过使用此解决方案，计算机单凭连接到网络是不能自动获得所有网络资源的访问权限的。

● 成本更低。此解决方案的实施费用通常远低于物理隔离解决方案。

● 增加了被管理的计算机的数目。如果只有被管理的计算机才能访问组织的信息，那么所有设备都必须成为被管理的系统，它们的用户才能访问组织的信息。

● 提高了抵御恶意软件攻击的防护程度。隔离解决方案有效限制了不受信任的计算机访问受信任资源的能力。因此，不受信任的计算机进行的恶意软件攻击不会得逞，这是因为不允许进行连接，即使攻击者获得了有效用户名和密码亦如此。

● 网络数据加密机制。逻辑隔离使得要求对所选计算机之间的所有网络通信流进行加密成为可能。

● 快速紧急隔离。确保系统受到攻击时能快速有效地隔离网络中的特定资源。

● 保护公用网络连接。某些网络连接点，如大厅的网络连接点，将不能直接访问网络中的所有资源。

● 改善了审核功能。此解决方案提供了一种对被管理资源进行的网络访问进行记录和审核的方法。

技术挑战

单单是了解各种各样有助于保护环境的技术对于很多人来说就已经足够困难了。确切了解解决方案如何融入典型IT基础结构以及它在补充现有网络防护功能方面的设计对您会有所帮助。

右图显示了一个由许多网络防护层组成的典型网络基础结构，此图说明了逻辑隔离在典型环境中的地位。

该图旨在对各种技术提供简单的说明，您可以采用这些技术来为典型的网络基础结构提供深度安全防护设计。此类基础结构通常由下列元素组成：

● 远程工作人员和网络。这些远程实体一般使用VPN来连接至组织的内部网络并访问组织的IT基础结构。

● Inte.net。组织的内部网络通常通过一个或多个外围防火墙设备连接至Internet。这些设备通常驻留在外围网络中，该网络针对Internet连接所面临的外部威胁提供了更高级别的保护。

● 外围网络。此网络是为需要直接与Internet交互的服务器和设备（这意味着这些服务器和设备受攻击的风险更高）专门设立的。

● 内部网络。通常，此网络代表组织内的一组网络，这些网络在物理上位于作为IT基础结构一部分而拥有和管理的站点上。

● 隔离网络。此网络是一个相对较新的组件，它为无法满足组织规定的最低必需安全标准的计算机提供受限制的连接。

● 伙伴网络。由于这些网络不归组织拥有和管理，所以通常授予受到高度控制的访问权限级别来允许特定业务应用程序或进程通过负责提供外部网络通信的VPN隧道或外围路由器运行。

目前，这些不同的网络防护措施通常是作为深度防护网络设计的独立组件进行安装和管理的。然而，在今后几年内，这些组件很可能汇聚成可作为单个端到端解决方案来实现和管理的公共网络防护解决方案。

一直以来，微软公司都把消费者的安全问题视为公司头等大事，并致力于整合软件、服务和最佳实践来保护消费者的系统。得益于微软稳固的系统，消费者尽可放心享受科技与Internet所带来的最大效益。

在安全与网络安全领域，微软公司所作的贡献主要集中于以下三个方面：

1）技术投资：提高其产品的安全性，改进升级流程，并提供加强安全保障的新特性与产品；

2）产业合作：与合作伙伴，消费者，政府和法律实施代理合作，为发展打击计算机犯罪的相关政策和行动提供支持；

3）说明性指导与教育：广泛传播即时信息来帮助消费者提高他们的系统安全性，并且作好防范新威胁的准备。

进行安全保障是一段长期的历程，微软已经迈出了帮助消费者和公司进行自我保护的第一步，尝试了诸多全新安全创新，包括Windows XP Service Pack 2， Windows Server Service Pack 1，产品质量改进与升级预告，普遍适用的安全规范，与消费者、合作伙伴和政府间的协作等。

为主动防御新兴安全和网络安全威胁，微软公司不断进行创新，这不仅强化了现有产品，更添加了全新特性，使消费者可以控制自己的防护和安全级别。这样一来，由于系统已经受到保护，他们尽可体验技术优势，放心使用Internet资源。