locked
訪客NB要存取File Server,要如何保護以防止病毒攻擊?? RRS feed

  • 問題

  • 小弟公司架構如下:

    Client/Server------ISA2004----------Internet---------大陸分公司ISA2004

    目前遇到兩個問題:
    1)某些訪客(有業務往來的廠商)需要存取File server上的檔案
    2)透過Internet從遠端連回來的VPN使用者


    這些電腦可能帶有病毒,要如何防護? 廠商給我類似這樣的架構:
    Client/Server-----(SonicWALL)----ISA----Internet-------大陸分公司ISA2004
                                           I
                                           I
                                   訪客電腦

    不過我想這麼做 (於ISA上裝過濾HTTP/FTP/SMTP病毒的軟體):
    Client/Server--------ISA2004---------------------Internet-------大陸分公司ISA2004
                                           I
                                           I
                                   訪客電腦

    想請教各位老師有沒有比較好的建議??又,各位老師是否有用過上述for ISA的anti-virus軟體?

    謝謝

     

    PS1.為何許多廠商一聽到ISA,都覺得是個不穩定/Windows base=漏洞多/很難搞/防護力差...的咚咚呢?
           實際用起來並不差阿?除了不支援Transparet mode的設備讓我詬病外,我覺得還算不錯用呀?
    PS2.小弟已經去isaserver.org逛了一圈,不過還是想聽聽各位老師的想法.
    PS3.我知道ISA有個遠端存取隔離控管 (Quarantine Control) 功能,可是我不能因為訪客電腦沒上Hotfix,
            沒有裝防毒軟體就不他們存取File Server上面的文件, Boss會說:到底我是老闆還是你是老闆??

    2006年11月22日 上午 08:05

解答

  • GFI Webmonitor for ISA Server 裡面有多個防毒引擎

    不過這是以HTTP/FTP通訊協定下載檔案時,才會進行病毒檢測(www.gfi.com  or  www.magg.com.tw )

    跟File server的防毒無關

    小弟淺見,依您自己的架構,將訪客電腦接在ISA上面獨立網卡,成為一個獨立網路,用ISA的Access Rule存取規則控制只能夠以特定通訊協定存取該File Server,這樣子就算訪客電腦有病毒,也只會影響到該File Server,File Server上面的防毒軟體應該也可以偵測並防止病毒入侵。

    我想如果File Server上面的防毒軟體都擋不住的病毒,用Sonicwall也不竟然可以擋,多個Sonicwall的最大好處則是讓File Server不要耗費效能去擋由訪客電腦來的病毒(不過還是要擋內部其他電腦來的病毒啊...:>)

     

    2006年11月22日 上午 10:56

所有回覆

  •  lcn0 寫信:

    不過我想這麼做 (於ISA上裝過濾HTTP/FTP/SMTP病毒的軟體):
    Client/Server--------ISA2004---------------------Internet-------大陸分公司ISA2004
                                           I
                                           I
                                   訪客電腦

    你過濾HTTP/FTP/SMTP 跟file server有什麼關係??

    要阻擋攻擊還是中間卡一台比較好吧,就是廠商幫你規劃的,畢竟ISA功能是firewall

    2006年11月22日 上午 09:39
  • 因為Client端需要上網,想說連同這些需求一起整合到ISA上面 .

    謝謝您的回覆,我會跟廠商借測看看.

    2006年11月22日 上午 10:01
  • GFI Webmonitor for ISA Server 裡面有多個防毒引擎

    不過這是以HTTP/FTP通訊協定下載檔案時,才會進行病毒檢測(www.gfi.com  or  www.magg.com.tw )

    跟File server的防毒無關

    小弟淺見,依您自己的架構,將訪客電腦接在ISA上面獨立網卡,成為一個獨立網路,用ISA的Access Rule存取規則控制只能夠以特定通訊協定存取該File Server,這樣子就算訪客電腦有病毒,也只會影響到該File Server,File Server上面的防毒軟體應該也可以偵測並防止病毒入侵。

    我想如果File Server上面的防毒軟體都擋不住的病毒,用Sonicwall也不竟然可以擋,多個Sonicwall的最大好處則是讓File Server不要耗費效能去擋由訪客電腦來的病毒(不過還是要擋內部其他電腦來的病毒啊...:>)

     

    2006年11月22日 上午 10:56
  • 了解,感謝您的回答!!

    謝謝您.

    2006年11月23日 上午 11:35
  • PS1. 人搞不定就說機器不穩定呀,機器又不會站出來為自己說話。到底是人的問題? 還是機器的問題? 廠商為了要賣你東西當然會無所不用其極的點出您環境中的弱點,然後加上自己的產品來補強。
    PS2. 專門給 ISA Server 使用的防毒或是過濾程式其實不多,不過您的重點應該著重於 File Server 本身的防毒。
    PS3. 看公司的安全政策囉,若老闆執意開放,那就告訴他可能的風險吧。

    2006年11月23日 下午 12:13