划定网络安全防线

布置好网络的安全防线，实现随时随地对内网所有终端的有效监控。

划定网络安全防线，人们通常首先会想到企业级防火墙、邮件网关、入侵检测规则等，但上述安全措施的实施对安全管理员来说并不难，实际操作中甚至可以请相关产品的厂商代劳。

在划定网络安全防线过程中，真正困扰安全管理员的难题，是随时随地对内网所有终端的有效监控。举例来说，局域网经常会有新客户端的加入，这些新客户端是否都安装了防火墙、防病毒软件？它们的防火墙规则及病毒定义库是否及时与相关服务器进行了同步？它们的系统安全补丁是否到位？要解决这类问题，就要求我们事先划定一条安全防线，保证防线内的所有终端都能自动安装防火墙、防病毒软件，并自动与相关服务器同步，系统补丁自动与内网SUS（Software Update Service）服务器同步。这些工作全部可以通过微软的“零管理”策略来实现。下面先来谈一谈划定网络安全防线，实施网络安全零管理的前提条件——规范化的域建设。

规范化的域建设　　

域的规模可大可小，既可以是纯正的Windows 2000的DC域，也可是含Windows NT 4.0服务器的混合域，但所有客户端必须加入到域中，从而使安全管理员获取足够的对所有客户端的管理权限。安全管理员可将加入域的操作权限放宽，甚至下放至所有授权用户，并按照员工花名册逐一创建其域用户账号。上一级安全管理员可将Windows 2000 Professional和Windows XP Professional加入域的方法及所属网段的IP地址资源一同发给下一级安全管理员，并要求其在将客户端加入域的同时，逐一建立尽可能详尽的客户端技术文档，以备将来与通过其他网管工具获取的同类报告进行校验与互补。

有了上述的域，安全管理员的管理范围就清晰了，网络安全防线也就划定了。接下来的工作就是具体的布防工作。
　　
布防安全防线

我单位使用的是McAfee公司的ePO产品，它统领几乎所有McAfee网络安全产品，从防火墙、防病毒、邮件网关、入侵检测及其同步升级，到搜索不接受管理的客户端的传感器，还有扫描系统安全补丁缺项的Compliance报告，等等。安全管理员只须先期通过域，将ePO代理推送至客户端，接下来的工作全部由ePO自动完成。ePO大大减轻了安全管理员的劳动强度，还为个性化管理提供了便利。举一个个性化管理的例子——创建病毒动态报告：我们可利用ePO数据库，将各终端的中毒汇总日志发布在动态网页上，以警示频繁中毒者加强自律。

如果我们已购置了其他厂商的安全产品，同样可利用域进行统一推送部署，减少企业的总体拥有成本。我们还可以利用组策略推送SUS客户端，使之与内网SUS服务器同步，保证所有终端在第一时间自动打上微软的最新安全补丁。

SMS对域管理模式的全方位扩充

 微软的Systems Management Server（SMS） 2003被IT专家网（TechTarget）评为Windows平台2004年度企业级客户端管理最佳产品，受到业界越来越多的关注。从网管角度来看，其优势主要还是体现在对域管理模式的全方位扩充。

首先，SMS将全部数据存储在后台SQL数据库中，便于相关人员动态调用、动态处理。第二，7种预置终端发现方法，帮助安全管理员及时发现域外未接受管理者，及早将其“拉入”安全防线，实施全面管理。该功能对笔记本类移动用户非常具有实用价值。第三，便捷易用的远程工具，甚至可清晰地看到客户端的鼠标动作，安全管理员无须预先部署来自客户端的授权，即可直接操作客户端，对安全措施不到位者实施强制管理。第四，SMS已包含微软即将推出的SUS的换代产品WUS的全部功能，支持SQL服务器、Exchange服务器、Office产品的补丁升级。第五，最为使用者称道的报告功能。SMS将软硬件资产详细列表及软件计量数据，按160张预置报表，通过Web方式提供给相关人员。

它们除了为安全管理员提供便利外，还为本单位IT领导提供丰富的、动态的、准确的决策依据。比如，微软已经数度提出要停止对Windows 98的技术支持，而且实际上相关的技术支持也已大打折扣。这样，局域网内那些继续使用Windows 98操作系统的终端已经成为实际上的安全隐患。SMS报告可准确地统计出这类隐患的数量，并确切地将其定位，同时进一步列出这些终端的硬件配置，判断出哪些可直接升级到Windows 2000 Professional，哪些还需要硬件投入。 

将这个例子引申一下，再加上前面提到的将客户端加入域时，由安全管理员手工完成的客户端技术文档，我们就可以制定出符合本单位实际需要的《客户端技术规范》，完善我们的域建设，加强我们的网络安全防线。