微软SP2与防火墙ISA Server 2004共谋安全

　　【赛迪网讯】9月中旬，以安全作为最大卖点的简体中文服务包Windows XP SP2(简称SP2)便可向中国用户免费提供；而在同期举行的微软技术教育大会TechED 2004上，微软还将发布防火墙产品ISA Server 2004；从而在桌面和网络两个层面形成安全双管齐下的场面。

　　从被动挨打到主动防御

　　近些年，病毒和黑客攻击愈演愈烈，CIH、红色代码、冲击波等病毒给Windows用户带来了难以估量的损失；与此同时，Windows也从文字处理、音视频等个人消费走向企业级应用，这样，安全也就替代了性能，成为PC用户最为关心的问题。当然，某种程度上也要感谢Linux，因为在与Windows竞争的过程中，安全也是Linux的卖点之一。

　　在这些背景下，盖茨在2002年春季提出了高信度计算的理念，其中最重要的内容就是信息安全，以期扭转Windows平台在信息安全上仅靠发布安全通告和发放安全补丁的被动局面。

　　根据高信度计算的理念，微软提出了“SD3+C”的安全框架，即：安全是由对产品架构的不断改进，在缺省设置时不激活不必要的功能，使用过程中通过很好的工具和指导来持续不断地对产品防护、检测、抵御、恢复和维护，以及强有力的沟通等手段来保证的。

　　“安全问题是我们所处的行业有史以来遇到的最大也是最重要的挑战之一。这不是一个仅仅凭借修复漏洞就可以解决的问题。”今年3月，盖茨在一封有关安全的信件中表示，“如果想要将病毒或‘蠕虫’带来的冲击降低到可接受的程度，我们需要对以下问题进行全新的思考：软件质量、工具和程序不断改进，对可恢复性的新安全技术的持续投入(目的是在恶意或破坏性软件代码造成重大损失前阻止它们)。此外，还需要计算机用户积极主动地部署和管理使用中的产品。”

　　SP2：不是产品胜似产品

　　“严格来讲SP2不应该叫做服务包，因为我们在SP2上研发的投入是非常巨大的，如果称之为新版本的Windows也不为过。”微软(中国)有限公司副总经理孙建东在8月11日举办的媒体预览会上表示，“这次投入的重点就是安全，我们采用了一个主动保护的技术，从根本上增强了Windows抵抗病毒入侵的能力，使所有的工作和信息受到保护。”

　　微软中国公司安全市场总监朱晓文介绍说，SP2从网络、电子邮件与即时消息、网页浏览、内存和维护等方面增强了Windows XP的安全性。

　　网络方面，SP2增强内置在Windows中个人防火墙的功能，并默认为开启状态，并将一些不必要的功能设置默认为关闭状态，并通过新添的安全中心来统一管理或显示系统的安全设置和相关厂商的安全软件。

　　以往，当用户碰到可疑邮件时只有两种方法，要么不下载，要么冒着被病毒感染的风险下载。而现在则有了更好的办法，SP2与Outlook Express配合，可以将可疑邮件下载到一个隔离的区域，然后，通过防病毒软件进行检测。

　　很多人并没有意识到网上浏览也是一个充满风险的过程，浏览中网页不时弹出的窗口、可执行文件的下载与运行等都可能隐含着危险。SP2通过禁止或者警告的方式降低用户浏览时的风险。

　　记者个人认为，SP2中最有意义的是与处理器厂商联手，通过EVP(增强的病毒防护)技术，软硬兼施地对付“缓冲区溢出”问题。信息安全之所以是个艰巨而长期的工作，一来是因为软件复杂到一定程度后，缺陷和漏洞是不可避免的；二来是千奇百怪的病毒和变化多端的黑客攻击使得传统而滞后的打安全补丁的做法防不胜防。但是病毒和黑客“万变不离其宗”，据统计，超过80%的病毒和黑客攻击都是通过“缓冲区溢出”的方式获得操作系统控制权的。

　　SP2与处理器厂商合作，通过只执行明确标记为可执行区域的代码的方式，来防止病毒与黑客程序或者应用程序的缺陷通过“缓冲区溢出”的途径有意或者无意地控制操作系统。

　　这个对信息安全至关重要的功能，人们只能从AMD的平台上享受到，因为英特尔至少在几个月后甚至年底之前，才能推出具有EVP技术的CPU。

　　ISA：防御向纵深发展

　　“请大家关注这两个数字：95%的安全问题实际上都是由于人为的错误配置所致，70%以上的攻击是针对网络应用层的。”来自微软总部商业安全与技术部产品群经理Joseph Landes 8月17日对京城IT媒体表示。

　　Landes说：“前者，通过正确部署防火墙产品可以避免很多安全问题；后者，由于几年前，应用层的安全隐患并没有引起一些做防火墙的企业的足够重视，因此带来很大的安全问题。”

　　据介绍，传统防火墙仅对数据包中的IP数据头或者TCP数据头进行检查，而对紧随其后的应用层不作任何处理。于是，像“红色代码”、尼姆达这样通过应用层入侵的病毒和利用假冒IP地址等方式通过应用层入侵的黑客，都可以“大行其道”。

　　正是针对传统防火墙无法抵御来自网络应用层的攻击，及其配置和管理难度较大的问题，微软在4年后的今天推出了新一代防火墙产品ISA Server 2004(Internet安全与加速服务器)。

　　ISA引入了深度防护的概念，即通过内置多个常用协议过滤器，对应用层进行多层次的过滤，从而实现对数据内容的精细控制、命令和消息过滤、接口拦截、只读支持、媒体属性过滤、DNS入侵检测、POP3入侵检测等安全防范功能。

　　Landes强调，ISA是一个开放的平台，微软也已同赛门铁克等安全厂商合作，在ISA上构建更有针对性的防火墙。

　　与其他防火墙不同的是，ISA还是一个Web访问加速器。通过内置的缓冲区，ISA可以将网络带宽“扩大”10倍。“很多企业盲目追求带宽，带宽动辄千兆，而微软中国有700多人，包括视频会议在内的各种应用，100兆带宽应付有余。”微软中国公司产品经理王倩说。

　　消除兼容性问题

　　还是在未正式发布之前的测试阶段，SP2的兼容性问题就引发了众人的关注。据外电报道，有50多种应用存在兼容性的问题。据孙建东介绍，SP2的测试是微软有史以来最大范围的测试，微软测试了1000多种软件和大量的设备驱动。只有极个别的环境、旧的软件和配置可能存在兼容性问题。

　　“为了使中国Windows用户能够非常容易地使用，我们已经做了非常大量的测试工作，对市面上流行的防火墙、聊天软件、字处理等软件都做了广泛的测试，兼容性是非常好的。”孙建东说，“此外，设在北京的微软中国技术中心还与本地一些独立软硬件供应商有着密切的联系和合作。”

（编辑：555手机网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!