Действия злоумышленников в Интернете становятся все разнообразнее и изощреннее, что сопровождается появлением новых типов атак и вредоносных программ. Эти действия направлены на получение несанкционированного доступа к ресурсам, закрытие доступа к информации авторизованным пользователям, изменение или уничтожение данных, истощение ресурсов и т.д. Ущерб, причиняемый действиями злоумышленников, не поддается измерению. Шлюз Microsoft Forefront Threat Management обеспечивает комплексную защиту компьютеров и сетей организации от действий злоумышленников и вредоносных программ. Средства защиты включают следующие технологии.
- Обнаружение вторжений. Выступая в роли первой линии
защиты, Forefront TMG обеспечивает механизмы проверки всего
пересылаемого трафика на наличие пакетов, предназначенных для
проведения атак известных типов. Дополнительные сведения см. в
разделе Обзор
обнаружения вторжений.
- Предотвращение Flood-атак. Злоумышленники могут
передавать большое число правильно сформированных пакетов,
разрешенных политикой межсетевого экрана, к адресам назначения для
проведения Flood-атак, которые приводят к исчерпанию ресурсов
клиентских компьютеров и отключению служб. Forefront TMG использует
счетчики подключений и ограничения на количество подключений, чтобы
выявлять и блокировать трафик от клиентов, создающих чрезмерный
объем трафика, и обеспечить передачу разрешенного трафика.
Дополнительные сведения см. в разделе Обзор предотвращения
Flood-атак.
- Проверка наличия вредоносных программ. Веб-трафик может
содержать вредоносные программы (например, черви, вирусы и
шпионские программы). В состав Forefront TMG входят универсальные
средства для проверки и блокирования опасного содержимого, файлов и
веб-узлов. Дополнительные сведения см. в разделе Обзор проверки на
наличие вредоносных программ.
Использование событий и оповещений
Когда Forefront TMG обнаруживает вредоносную активность и блокирует трафик, генерируется событие, которое может привести к срабатыванию заданных в конфигурации оповещений. Эти оповещения, отображаемые на вкладке Оповещения узла Наблюдение, могут использоваться для обнаружения и предотвращения атак. Оповещения можно настроить на выполнение определенных действий, в том числе отправку уведомлений по электронной почте, вызов команд, запись в журнал и запуск или остановку служб.
Также можно настроить условия, при соблюдении которых для соответствующего события срабатывает оповещение. В частности, можно настроить пороговые значения срабатывания, с помощью которых указывается общее число возникновений события или число возникновений события в секунду, необходимое для срабатывания оповещения. Кроме того, можно указать условия повторного срабатывания оповещения. Оповещение может выдаваться повторно каждый раз при превышении порогового значения, только после сброса оповещения или через указанный промежуток времени после предыдущего срабатывания этого оповещения. В большинстве случаев оповещение, связанное с вредоносной активностью, выдается повторно только после того, как будет сброшено предыдущее оповещение.
Запись вредоносной активности в журнал
События, которые генерируются Forefront TMG при блокировании трафика механизмом защиты, регистрируются в журнале Forefront TMG.
При обнаружении атаки в журнал записываются многие события. По умолчанию, если в результате проведения атаки ресурсы истощены и запись в журнал Forefront TMG становится невозможна, генерируется событие, которое приводит к срабатыванию оповещения «Ошибка записи в журнал». По умолчанию это оповещение приводит к закрытию службы межсетевого экрана Microsoft и переходу Forefront TMG в заблокированный режим. Если действие для оповещения «Ошибка записи в журнал» отключено, служба межсетевого экрана Microsoft продолжит работу при возникновении сбоя журнализации. Дополнительные сведения об изменении данных настроек см. в разделе Поддержка журналов для исключения блокировки.