每月十万次网络攻击微软如何度难关

来源：IT168 作者：出处：巧巧读书 2006-12-27 进入讨论组

二、“沙盒”连接（'Sandbox' connections）

微软公司对自己企业 VPN 网络的第二个层面的保护措施是“沙盒连接（'Sandbox' connections）”。该项措施是由 Windows Server 2003 系统的“网络访问免疫控制功能（Network Access Quarantine Control）”所实现的。当一台连网的计算机可以访问任何企业内部网络资源之前，一个特定的程序会首先扫描这台电脑，以检验其安全性。

首先，这台电脑上所运行的操作系统必须是经过了核准的，并且还要安装好了所有的关键安全更新；同时，这个扫描程序也是和微软的产品补丁部署系统联合在一起的，诸如微软更新站点（Microsoft Update site）等等。此外，这台电脑上的 Windows 防火墙必须是开启的。最后，这台远程电脑还不能同时连接到任何其它 VPN 网络，或是正在使用任何其它形式的远程访问软件。

如果扫描程序发现这台电脑存在任何缺陷和不足，它会尝试去进行修正。比如说，它会升级电脑的反病毒数据库，或是强制安装关键的系统安全补丁。如果用户拒绝进行这些更新，扫描程序就会自动终止其网络连接。一旦扫描程序确定了这台电脑是干净的，并且已经安装好了所有的安全补丁，这次网络连接就会被移除“沙盒”，真正地进入到企业的内部网络之中。

所有的这些预先检测都可能会非常地耗费时间，并有可能会让用户们感到不快。根据微软公司的 IT 部门的说法，扫描一次 VPN 登录行为有时可能会耗费长达五分钟的时间，并且在极少数情况下，所花费时间甚至会长达15分钟，比如在这台电脑不符合某些标准，并且最近都没有登录过企业内部网络的情况下。

通常情况下，如果一个网络连结花费了15分钟还无法登录的话，正常人的反应可能是早就将其给挂断了。并且，VPN 网络连结是一种非常有限的珍贵资源，不应该被白白浪费。因此，微软的 VPN 登录系统会为那些经常使用 VPN 网络的用户们加快登录进程。

在每一次登陆的时候，网络服务器会记得有哪些是已经被扫描过的，从而在一段时间之内就不需要再次扫描了。因此，那些经常使用 VPN 网络的用户们，可以在一分钟之内登陆进微软的企业内部网络。

微软公司遵守着它自己所推崇的 VPN 加密、授权、密码强度和密码更新规范。微软表示，它自己的绝大多数的安全 VPN 验证都是由使用智能识别卡的“扩展验证协议－传输层安全协议（EAP-TLS）”所提供的。而带有 EAP-TLS 的“点对点隧道协议（PPTP）”则为主要的 VPN 服务提供了封装和加密功能。

在 Windows Server 2003 操作系统当中，其系统默认的策略要求用户使用一个字符类型混合（大写字母、小写字母、数字和特殊符号）的中度长密码，并且在一定的天数后还要强迫用户对密码进行修改。而微软公司在自己的企业内部网络中所使用的密码策略，可以说就是Windows Server 2003 系统的默认密码策略的一个“轻度加强版”。

RAS 之外的电子邮件和及时消息

每当当地的气候恶劣，或是大雪成灾的时候，微软公司的 VPN 网络就会不堪重负，因为它绝大多数的员工们都会呆在家里工作，因而会花费更多时间通过 VPN 网络从自己的 Exchange 服务器上接收和发送电子邮件。

通常来讲，微软的员工都会接收和发送大量的电子邮件，并将其作为自己与他人进行协作或管理的主要手段之一。最终，Exchange 的研发团队开发出了的一种新的方法，能够在不需要客户端位于网络之上的情况下，使用户连接到邮件服务器，并使用上全部的相关功能。

这种方法是建立起一个 Exchange 代理服务器，以允许 Outlook 通过受到 SSL 加密保护的 RPC 访问 Exchange 服务，而不是 HTTP。在几年前，微软公司开始部属这种 Exchange 代理服务器，以及用于简化 Outlook 客户端代理服务设置的脚本语言。

对于那些使用自己的电脑进行远程工作的雇员和外部合作伙伴们来说，该解决方案是非常理想的。并且，它还减轻了使用 VPN 网络来收发电子邮件的需求。它比标准的POP3、IMAP mail 或 Web mail 邮件服务提供了更多的功能。Exchange 同样也提供了 Web mail 功能，而微软公司内部对“Outlook网络访问功能（Outlook Web Access）”使用量也非常的大。

许多微软的员工都拥有如此之多的电子邮件，以至于他们需要为那些尚未阅读的不是那么紧急的消息专门发展出一套回顾日志（backlog）。要想取消掉这种回顾日志，解决方法之一是使用“即时消息”，而微软公司在这一领域也提供了自己的企业级产品 —— Microsoft Office Communicator 2005。该产品能够在不使用 VPN 连接的情况下，使用代理服务器在互联网上提供安全的即时消息通讯。该产品是在微软早期的内部即时消息系统的基础之上开发出来的，而原来的那套系统会在用户需要安全地发送即时消息的时候，强制用户连接到 VPN 网络。

外部的 SharePoint 站点

另一个会使用到 VPN 网络连接的通常原因是需要处理那些来自于企业内部网络的文件。当仅仅只有极少数的用户需要访问到这些文件，或是这些文件非常机密的时候，这样做是非常合情合理的。但是，假如不是这样的话，假如这些文件不是那么的“敏感”，并且有许多远程工作的用户都需要使用到这些文件的的，比如说“微软公司对于计算机术语所制定的内部术语表”，那么此时还使用 VPN 进行连接的话，显然就没有什么必要了。

为了满足此类需求，微软公司的 IT 部门建立起了数个 SharePoint 分享站点，作为受到密码保护的保密的企业外延网。更精确地说，微软公司的IT部门所作的是，授权公司雇员根据自己面向的对象和涉及材料的敏感性，相应地建立起他们自己的 SharePoint 分享站点，作为自己内部网络或外延网络，并在其上面发布自己的内容。

从而，比如说，那些为微软公司项目工作的文章作者们，可以一方面从专门管理此类写作项目的微软团队所维护的外部网络站点上下载自己所需要的 Word 文档模板，另外一方面同时又可以从微软公司法律部门所维护的另外一个外部站点上下在到最新的版权协议和商标列表。

“不久之前，我们总部所在的地区遭受到了一次严重的暴风雪袭击，我们估计当时有超过四分之三的微软公司西雅图地区工作人员，被迫在自己的家中检查自己的电子邮件，并完成其他的工作内容。”微软公司的 CIO Stuart Scott 回忆到。“我们的网络和 Exchange 环境在保证了极高的安全性和机密性的前提下，经受住了如此巨大的需求考验。”

（原文作者：Martin Heller，文章来源：Computerworld，点击查看原文）

http://www.qqread.com/news/n290463.html