物理安全性以及网络防护层配置

　　网络入侵检测系统

　　因为外围网络是网络中风险很大的部分，因此您的网络管理系统能够尽快检测和报告攻击是极其重要的。网络入侵检测 (NID) 系统的作用仅仅是提供：外部攻击的快速检测和报告。虽然 NID 系统是总体系统安全设计的一部分，而且不是特定的防病毒工具，但是系统攻击和恶意软件攻击的许多最初迹象是相同的。例如，一些恶意软件使用 IP 扫描来查找可进行感染的系统。由于此原因，应该将 NID 系统配置为与组织的网络管理系统一起工作，将任何不寻常的网络行为的警告直接传递给组织的安全人员。

　　要了解的一个关键问题是：对于任何 NID 实现，其保护仅相当于在检测到入侵之后遵循的过程。此过程应该触发可以用来阻止攻击的防护，而且防护应该得到连续不断的实时监视。只有在此时，才能认为该过程是防护策略的一部分。否则，NID 系统实际上更像一个在攻击发生之后提供审核记录的工具。

　　有许多可供网络设计人员使用的企业级网络入侵检测系统。它们可以是独立的设备，也可以是集成到其他网络服务(如组织的防火墙服务)中的其他系统。例如，Microsoft Internet Security and Acceleration (ISA) Server 2000 和 2004 产品包含 NID 系统功能以及防火墙和代理服务。

　　应用程序层筛选

　　组织意识到使用 Internet 筛选技术监视和屏蔽网络通信中的非法内容(如病毒)不仅是有用的，而且是必需的。在过去，曾经使用防火墙服务提供的数据包层筛选执行了此筛选，仅允许根据源或目标 IP 地址或者特定的 TCP 或 UDP 网络端口来筛选网络流量。应用程序层筛选 (ALF) 在 OSI 网络模型的应用程序层上工作，因此它允许根据数据的内容检查和筛选数据。如果除了使用标准数据包层筛选外还使用 ALF，则可以实现的安全性要高得多。例如，使用数据包筛选可能允许您筛选通过组织防火墙的端口 80 网络流量，以便它只能传递到 Web 服务器。但是，此方法可能不提供足够的安全性。通过将 ALF 添加到解决方案中，您可以检查端口 80 上传递到 Web 服务器的所有数据，以确保它是有效的且不包含任何可疑代码。

　　ISA Server 可以在数据包通过组织防火墙时提供对它们的 ALF。可以扫描 Web 浏览和电子邮件，以确保特定于每个 Web 浏览和电子邮件的内容不包含可疑数据，如垃圾邮件或恶意软件。ISA Server 中的 ALF 功能启用深层内容分析，包括使用任何端口和协议检测、检查和验证流量的功能。

　　内容扫描

　　内容扫描在更高级防火墙解决方案中作为一项功能提供，或者作为单独服务(如电子邮件)的组件提供。内容扫描询问允许通过有效数据通道进入或离开组织网络的数据。如果内容扫描是在电子邮件上执行的，则它通常与电子邮件服务器协同工作以检查电子邮件的特性(如附件)。此方法可以在数据通过服务时实时扫描和识别恶意软件内容。有许多与 Microsoft 协作为 Microsoft Exchange Server 和 ISA Server 提供增强安全功能(如实时防病毒内容扫描)的合作伙伴。