企業網絡防護解決方案
  • 微軟企業網絡防護解決方案
  •    隨著不同規模的企業在IT環境上的不斷變化,獨立的信息安全、身份安全、訪問安全已經無法完全抵御愈演愈烈的網絡威脅。各行各業都在尋求一種 全面的安全保護措施,以解決現實中遇到的問題,并對現有的IT環境提供更好的保護和控制。而微軟憑借Microsoft Forefront產品體系,構建了一套針對企業網絡防護的解決方案
  • ,通過多層次持續更新的保護措施,讓企業用戶能夠安全而高效地使用 Internet 開展業務,而不必擔心惡意軟件或來自其他方面的威脅,全面的實現了企業網絡安全防護能力。

  • 商業優勢
  • 減少由于安全問題導致的服務中斷所帶來的業務影響。
  • 整合管理方式,集中控制手段,更好地支持業務運行。
  • 提供全面的視圖和功能,嚴格抵御安全威脅。
  • 在預算有限的情況下,利用最少的資源,提供最優質的保護服務。
  • 技術優勢
  • 通過與X64位服務平臺的完美集成,提高了對用戶,帶寬、鏈接的支持。
  • 在內置的反病毒引擎中實現特征定義,有效的過濾掉"非法"訪問。
  • 在分支機構的環境中,杜絕遠程站點的非安全性訪問。
  • 隔離不符合遵從性要求的遠程系統和不穩定的業務線(LOB)應用程序。

  • 解決方案價值

  • 需求
    分類
                需求描述
                              方案亮點

    技術需求
    阻止外部入侵內部
    企業內部網絡經常遭受來自外部的網絡端口掃描和應用程序攻擊,網絡設備及服務器面臨著巨大的安全壓力。
    由于缺乏安全措施,經常出現未經授權的用戶訪問內部資源,盜取重要信息,甚至在內部種植"木馬",開啟入侵的"后門"。
    通過對Windows Server 2012 X64 Standard的支持,能夠最大化硬件與產品的性能,還可憑借與Windows Server Active Directory的集成,實現用戶身份驗證,將內/外部的訪問身份明確的劃分開。
    增強后的NAT轉換功能,將源地址的選擇多樣化,可以在路由規則中選擇1個或多個源地址,使地址轉換更加靈活。
    全新的網絡檢查系統(NIS),可以對特定的行為,進行自行判定,也可以對常見的協議進行標準化的檢查,盡可能的降低由于系統漏洞帶來的危險。

    允許用戶安全訪問外部
    公司建立網絡安全策略的主要目的就是為了能夠讓內部用戶安全的瀏覽Internet。
    內部員工每天花在網絡娛樂上的時間與正常的工作時間成正比,如何能夠控制員工對外訪問的范圍,是很多IT人員比較頭疼的問題。
    非公司內部人員來公司辦公時,可以隨意通過有線、無線的連接方式接入網絡從而進行下載、娛樂等行為,大量占用網絡帶寬,給內網帶來安全隱患。
    通過Web代理,使內部用戶與外部網絡完全隔離,并對狀態包及應用程序進行深度檢測,增強了訪問的安全性。
    正/反向內容緩存使得防火墻能夠將用戶經常訪問的信息保存在指定區域,為后續的重復訪問節省了帶寬,加快了"返回"速度。
    多種策略元素與Active Directory對象的整合,將訪問對象、訪問內容、訪問范圍、訪問時間有效的控制在有限范圍內,解決了滯后的監控手段。
    針對非內部人員的對外訪問,可單獨建立訪問策略和"來賓"身份,使其網絡訪問行為受到制約,避免對正常使用網絡的用戶造成影響。
    在Forefront TMG SP1中實現的托管緩存服務,還可簡化分公司的 BranchCache 部署過程,加速分支結構的訪問速度。

    允許外部隨時訪問內部
    移動辦公用戶需要隨時隨地的對公司內部文件服務器、存儲服務器進行資源訪問,以及時獲取、更新準確的信息。
    外出用戶需要隨時使用企業郵箱,安全的收發各類業務郵件。
    公司網站每天都要面對大量的外部訪問,網站的安全性受到嚴格的考驗,如何才能平衡網站壓力,避免惡意用戶對網站的破環。
    Forefront TMG不但可以實現PPTP、L2TP/IPSec、SSTP三種VPN模式,還可集成RADIUS服務器進行身份驗證,使外部撥入安全可靠。
    基于 Forefront Protection 2010 for Exchange Serve提供的郵件保護訂閱服務,可實現SMTP流量中繼、郵件掃描、病毒查找、垃圾郵件篩選等功能。
    發布Web服務器場,解決了單一Web站點的壓力,使企業的網站具備可靠性和冗災的能力。
    利用發布應用程序或服務器選項,將郵件、Web、FTP等內部服務器安全的映射到防火墻的特定地址與端口,供外部用戶訪問。
    Forefront TMG SP1支持對SharePoint Server 2013的安全發布。

    保護用戶上網行為
    用戶在訪問Internet的過程中很難發現網絡中存在的安全隱患,致使病毒、木馬等程序利用Web漏洞進入到內網進行大肆的破壞和傳播,造成了內部網絡的癱瘓,客戶端也受到了嚴重的影響。
    商務人員經常需要在網絡上進行車票、機票、禮品、酒店等訂閱及購買,非常擔心在網絡購買的同時被惡意用戶通過某種手段獲取到帳戶和密碼,造成經濟上的損失。
    企業希望通過某種手段能夠記錄那些在工作期間,經常訪問與工作無關的網站信息(或特定區域)的人員,以規范公司的管理制度。
    HTTPS檢查,可以提前確定訪問會話是否存在惡意軟件或漏洞利用情況,對阻止病毒、木馬、間諜軟件等非法軟件通過 HTTPS 協議傳播起到了很好抵御作用。
    Web 反惡意軟件是 Forefront TMG Web保護訂閱服務的一部分,可掃描網頁以查找病毒、惡意軟件和其他威脅。
    URL篩選可根據 URL 類別(例如色情內容、毒品、仇恨或購物)允許或拒絕訪問網站。組織不僅可以阻止員工訪問包含已知惡意軟件的網站,而且可通過限制或阻止訪問干擾網站來確保業務效率。而增強后的URL篩選功能還能根據組織的需要自定義拒絕通知頁。
    在Forefront TMG SP1中提供的"新報告功能",將用戶在網絡中的瀏覽活動(包括指定期間內特定用戶已請求的網站和 URL 類別)進行記錄,并生成一個顯示用戶和特定網站之間數據傳輸的報告。


  • 解決方案架構
  • 企業網絡防護解決方案利用集成的平臺環境,統一的平臺管理、完善的安全策略以及豐富的管理功能,協助企業IT人員保護網絡環境免受內/外部的安全威脅。
企業桌面端安全及管理解決方案

企業桌面端安全及管理解決方案

隨著不同規模的企業在IT環境上的不斷變化,獨立的信息安全、身份安全、訪問安全已經無法完全抵御愈演愈烈的網絡威脅。各行各業都在尋求一種 全面的安全保護措施,以解決現實中遇到的問題,并對現有的IT環境提供更好的保護和控制。而微軟憑借Microsoft Forefront產品體系,構建了一套針對企業網絡防護的解決方案,通過多層次持續更新的保護措施,讓企業用戶能夠安全而高效地使用 Internet 開展業務,而不必擔心惡意軟件或來自其他方面的威脅,全面的實現了企業網絡安全防護能力。


商業優勢

通過不同接入方式連接到內部的客戶端實現高效的終端管理。

通過簡單的方式,實現統一的IT環境安全策略規劃,降低管理成本。

自動的實現商業桌面操作系統的推送式部署,節省了重置時間。


技術優勢

靈活的軟件分發設置能夠滿足企業中不同用戶的需求。

利用靈活的遠程控制手段,實現Help Desk功能。

實時監控企業內客戶端的運行狀態,及時發現問題以做變更處理。


需求分類
            需求描述
             方案亮點

技術需求
統一規劃用戶權限
企業桌面用戶相對獨立,無法控制執行權限,導致內部用戶隨意安裝、擴展自己的桌面端應用程序,策略無法統一執行,身份管理得不到有效的控制。
通過微軟Windows Server平臺中的Active Directory服務,統一用戶身份,規劃權限控制,借助策略管理為組織對象推送不同級別的策略應用,有效的控制內部用戶的權力范圍。

實現批量升級管理
企業內部客戶端軟硬件情況不同,當面對大批量的應用程序部署和系統的升級更新時,IT專業人員大都采用逐臺處理的方法進行,導致維護時間冗長,嚴重的影響了業務應用。
借助Configuration Manager中的應用程序交付及軟件升級管理,簡化了整個企業IT系統更新的復雜任務,并允許用戶通過不同的網絡連接方式從任意地點自助的獲得應用程序使用,極大的減少了IT人員復雜、繁重的工作量。

快速部署桌面系統
面對網絡中存在的臺式機、服務器、筆記本、移動終端等物理設備,如何能夠快速的實現操作系統部署,已減少手工安裝帶來的低效與錯誤。
通過Configuration ManagerWindows Server的有效結合,建立屬于自己的系統鏡像和驅動程序庫,通過網絡喚醒、軟硬件審核等方式,自動部署操作系統和應用程序,極大的節省了部署時間,提高了部署的準確性。

時時的終端監控
大部分IT管理人員都是被動響應客戶端的故障請求,難以通過有效的監控手段主動發現來自桌面端的錯誤警告和硬件狀況,一旦出現嚴重問題,直接影響到了業務的正常運行。
利用有效的"客戶端健康和監控"手段,對整個桌面環境進行健康狀況的評估與檢查,通過統一的控制臺,監控客戶端的活動狀況,對低于閾值的客戶端及時進行處理和修復。

詳細的清單報告
隨著企業的持續發展,內部PC的軟/硬件不斷升級,很多用戶都是根據自己的操作習慣來部署操作系統及應用程序,致使IT部門很難統計和收集軟/硬件資產清單和監控報告。
借助Configuration Manager提供的"資產智能""注冊庫"技術,從當前環境中提取軟/硬件資產和利用率情況,并為IT專業人員提供豐富的可視化報表,幫助企業定制新的購買與升級策略。

全方位的安全保障
大部分安全軟件都是針對獨立的客戶端或服務器系統進行安全防范和拒絕攻擊的,而且無法同時提供對系統漏洞和軟件更新的能力。致使企業需要花費額外的開支購買多個安全產品保證IT環境的健康運行。
System Center 2012 Endpoint ProtectionConfiguration Manager 為基礎構建而來,利用其單一的、繼承性平臺,提供了下列保障:實現客戶端管理與保護的單一基礎架構業界領先的惡意軟件檢測技術增強的識別與修補漏洞的洞察力




解決方案框架