Microsoft 认识到大型组织机构在加强其网络周边安全方面面临着日益严峻的挑战。 随着组织机构的成长和业务关系的变更,控制对网络的物理访问越来越难以实现。 客户、供应商和顾问们可能出于正当的业务原因将移动设备连接至您的网络。 无线网络和无线连接技术的出现,使得网络访问比以前更为容易。 连接的增多意味着内部网络域成员需要承受来自内部网络中其他计算机的越来越大的安全风险,并且也影响到了周边环境的安全。
本指南阐述的逻辑隔离概念包含两个解决方案:服务器隔离方案确保服务器仅接受来自受信任的域成员或特定一组域成员的网络连接,域隔离方案用于将域成员与不受信任的连接隔离。 这两个解决方案可作为整体逻辑隔离解决方案的一部分单独使用或配合使用。
服务器与域隔离的核心是,它允许 IT 管理员限制作为受信任计算机的域成员的 TCP/IP 通信。 这些受信任的计算机可以被配置为仅允许来自其他受信任计算机或者特定一组受信任计算机的传入连接。 通过使用 Active Directory® 组策略来控制网络登录权限,可集中管理访问控制。 几乎所有 TCP/IP 网络连接都能够受保护,而不必更改应用程序,这是因为 IPsec 在应用层之下的网络层工作,它在计算机之间以端到端方式提供身份验证功能以及逐个数据包的安全性。 在各种可自定义的方案中,可以对网络通信流进行身份验证或者进行身份验证并加密。
本页内容
 | 业务益处 |
| 本指南的目标读者 |
业务益处
引入逻辑隔离防护层的益处包括:
| • | 更加安全。 逻辑隔离防护层使网络中所有被管理的计算机更加安全。 |
| • | 更严格地控制能够访问特定信息的人员。 通过使用此解决方案,计算机单凭连接到网络是不能自动获得所有网络资源的访问权限的。 |
| • | 成本更低。 此解决方案的实施费用通常远低于物理隔离解决方案。 |
| • | 增加了被管理的计算机的数目。 如果只有被管理的计算机才能访问组织的信息,那么所有设备都必须成为被管理的系统,它们的用户才能访问组织的信息。 |
| • | 提高了抵御恶意软件攻击的防护程度。 隔离解决方案有效地限制了不受信任计算机访问受信任资源的能力。 因此,不受信任计算机进行的恶意软件攻击不会得逞,这是因为不允许进行连接,即使攻击者获得了有效用户名和密码亦如此。 |
| • | 网络数据加密机制。 逻辑隔离使得要求对所选计算机之间的所有网络通信流进行加密成为可能。 |
| • | 快速紧急隔离。 此解决方案提供了一种机制来在受到攻击时快速有效地隔离网络中的特定资源。 |
| • | 改善了审核功能。 此解决方案提供了一种对被管理资源进行的网络访问进行记录和审核的方法。 |
本指南的目标读者
本指南旨在贯穿 IT 生命周期的所有阶段对服务器与域隔离解决方案提供支持,这些阶段包括最初的评估和核准阶段、随后的部署和测试阶段以及对已完成的实施进行的管理。 因此,本指南的各章节是针对各种读者的不同需求撰写的。
第 1 章主要是为业务决策人员设计的,他们确定其所在组织是否能够从服务器与域隔离项目中受益。 除了了解组织的业务和安全需求外,读者理解本章内容并不需要具备特定的技术知识。
本指南中有关规划的各章(第 2、3 和 4 章)对于负责为组织设计自定义解决方案的技术架构师和 IT 专业人员来说最有帮助。 要从这些章节获得最大益处,需要在技术上对所采用的技术和组织的当前基础结构有良好的了解。
第 5 章和附录旨在为负责替组织的解决方案创建部署规划的支持人员提供帮助。 本指南提供了许多建议来说明成功完成解决方案部署的过程以及用于创建测试实验室环境的实际实施步骤。
本指南的第 6 章旨在为解决方案实施并全面运作后负责日常操作的人员提供参考。 本章重点介绍的许多操作过程和步骤应该纳入组织的操作框架。
第 7 章提供了有关对服务器和域隔离部署进行疑难解答的信息。 由于 IPsec 从根本上影响了网络通信,因此疑难解答信息和技术作为本解决方案的一部分可以为实施 IPsec 的组织提供极大的帮助。
将您的意见反馈给我们
Microsoft 欢迎您对本资料提出反馈意见。 特别感谢您回答下列问题:
| • | 我们提供的信息实用性如何? |
| • | 循序渐进的过程是否准确? |
| • | 各章节是否具有可读性,是否有趣? |
| • | 您对本解决方案的总体评价如何? |
请将您的反馈意见发送到以下电子邮件地址:SecWish@Microsoft.com
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
