病毒层层看重

　　病毒如洪水猛兽，因此要善于疏导与分流，现在我们就将安全问题进行分流，分析一下企业网络的几个安全防护层次。

主机与病毒
　　主机即企业网络中员工使用的电脑，这是最基本的安全。对于普通员工来说，他们可能不知道网段的概念，甚至不了解网络，但是他们每天至少有8个小时的时间都在使用电脑，一旦主机受到病毒的感染，轻　则占用系统资源，影响工作，重则使用户电脑崩溃，无法工作。
　　另一方面，在企业网络中，一旦一台主机感染了病毒，就会形成链式反应，使整个网络的主机都感染上病毒。而事实上，一些上网条件比较好的企业，员工可以不受限制地上网，由于员工计算机操作水平的良莠不齐，对安全的重视程度也大相径庭，在这种情况下，员工的电脑是很容易感染上一些如QQ病毒、MSN病毒、木马、网络蠕虫等病毒的，这时员工电脑的安全程度就成了整个企业安全中最短的那块木板。
因此，主机的安全需要格外重视。

服务器与病毒
一般企业要想维持网络的正常运转，都要配置不同的服务器，而且随着企业规模的增大，服务器的种类与数量也会不断增多。
服务器是一组能够高强度执行单一功能的设备，负责整个网络的某一项事务的集中处理，比如说邮件服务器，企业所有邮件的流出与流入都要经过邮件服务器的处理。一旦一些恶性的邮件蠕虫爆发，将会在短时间内产生大量的病毒邮件，会迅速耗尽邮件服务器的资源，使企业无法进行正常的邮件投递。而一旦这些邮件中的病毒被用户误运行，病毒就会在企业内部来回震荡，最终造成一场企业灾难。

网关与病毒
　　网关是每个企业网络的门户，是通往互联网的惟一途径，要同时面临着内、外网络病毒的双重攻击。　如果在网关处对网络加以控制，那么就会屏蔽掉许多有害因素，使内部网络免受无谓的影响。如果控制得不好，当病毒从该处长驱直入时，很快就会在内部网络进行扩大，最终使整个网络受到影响。

冠群金辰KSG网关
推荐理由：多管齐下，整体防御

　　冠群金辰KILL Shield Gateway是一款能在企业的网络边缘挡住有害数据的网关过滤产品，主要是针对当前越来越猖狂的通过SMTP和HTTP协议传播的病毒进行过滤，在企业网络的入口（即网关处）将其阻塞或清除，确保用户内部网络的信息安全。
　　KSG为用户提供了垃圾邮件过滤及邮件内容过滤功能，能够防止垃圾邮件的泛滥以及通过邮件散发包含不良言论的内容。而且，这项工作只与流量传输使用的协议相关，而与具体的邮件服务器和代理服务器无关，既可保持原邮件和代理服务器的稳定，还可以确保网络内部的安全性。

防毒分层入手

　　我们对安全问题进行了分层分析，那么只要对症下药，分层部署，就可以很好地提高整个网络的安全系数。

Symantec
AntiVirus 9.0
推荐理由：
全面的防病毒解决方案

　　赛门铁克防病毒软件中小企业版Symantec AntiVirus 9.0 防病毒多用户软件包为用户提供了强大且易于管理的保护。它可以自动杀除桌面系统和网络服务器中的病毒、蠕虫和特洛伊木马，并及时发送更新，防范已知和最新的威胁。
　　这款产品能够检测某些非病毒威胁，如间谍软件、广告软件和多种黑客工具，还能对传入的POP3附件进行病毒扫描，阻止蠕虫通过邮件传播，其集中式控制简化了安全管理并使威胁响应更加顺畅，使管理员能够在病毒爆发期间在网络范围内部署更新。而且，SAV还具有扩展的威胁管理、增强的电子邮件防护和增强的远程用户防护和管理等功能。

主机防毒
　　对于主机安全来说，目前只有杀毒软件这一种产品可以选择。杀毒软件是随着病毒一路走来的，随着病毒的发展也在不断地完善着，如今已经成为电脑安全防护的首选品牌。
　　不过，对于杀毒软件，用户也面临着选择，即选择单机版还是网络版。这两种版本使用的是一套反病毒引擎，因此病毒查杀能力是一样的，惟一的区别在于网络版集成一个网络管理模块，可以将整个网络的反病毒工作统一起来完成，这样的好处就是软件的安装、升级、维护都由被称为“控管中心”的模块统一完成，而这个控管中心只需要一个人在远程操作，就能够轻松完成全网所有节点的反病毒工作，确保整个网络内不留安全死角。所以，我们推荐使用网络版软件。
　　但是目前还是有许多中小企业选择单机版的软件来进行主机保护，这一方面是由于网络版的价格很高，是按照模块数收费的，而其中服务器模块与控管中心是必备模块，价格上又占了大头儿。当一个企业内部电脑数量很少时，那么平均每台电脑分摊下来的成本将会非常高，一般都会是单机软件的数倍，因此，中小企业往往都采取用单机版做整体主机保护这种并不可取的方式。
　　另一方面，网络版杀毒软件由于技术实现上和自身体系的问题，这类软件往往会占用大量的系统资源，使得一些企业用户也不愿意选用。比如说，在网络版进行大规模的全网扫毒和全网升级时，电脑往往无法再做其他大型的操作，比如用WORD编辑一个大的文档、用作图工具处理一张图片等消耗资源的工作，这种情况使得员工和领导都不太愿意使用网络版的杀毒软件。还有就是，现如今单机版软件都具备了自动升级的功能，该功能方便了用户使用，也使许多企业产生了麻痹心理，减缓了企业接受网络版杀毒软件的进程。
　　更何况，部分网络版杀毒软件并未实现自身与单机版应有的差别，仍存在着自动化程度低、不能进行全网统一杀毒、软件升级不及时、远程管理能力弱等缺陷，并不具备真正的网络防守实力。

服务器防毒
　　对于服务器安全，一般的情况下是配备防病毒模块，这里用户也有两种选择:一种是选配网络版杀毒软件附属的服务器管理模块，一种是选配专一的反病毒插件。
　　比如说目前遭受病毒攻击最严重的服务器当属邮件服务器了，该种服务器很容易受到邮件蠕虫的攻击而无法正常工作。一些网管往往会采取限制邮件附件大小、过滤邮件标题和内容等方法来对一些垃圾邮件、病毒邮件进行过滤，但是这种做法只能在病毒大面积泛滥时对网络流量起到一定的减压作用，当遇到那些随时变换邮件标题和内容的病毒来说，就显得苍白了，而且，这种简单的过滤方式还会影响到一些正常邮件的传递。
　　在这种情况下，可以购买网络版杀毒软件中的服务器反病毒模块，当该模块工作时就可以对服务器的病毒进行过滤了，不过这种反病毒模块是通用型的，并没有针对一些特殊的应用进行优化，因此效率方面不如一些专用的反病毒插件高。
　　而反病毒插件是一种专门针对特殊应用进行开发的反病毒模块，由于考虑到了某些应用的特殊性，因此执行效率很高，如Exchange反病毒插件产品等。对服务器应用要求较高的企业或者专门提供服务器服务的企业，如邮件提供商,可以选用这类插件产品。

网关防毒
　　对于网关安全来说，我们可以选择防火墙或者是防毒墙。本来防火墙与防毒墙是两种不同的设备，防火墙是对网络数据流连接的合法性进行分析，虽然能够阻止一些病毒的攻击，但它是一种粗糙的解决方式，对那种从正常电脑上发送过来的病毒数据流是无能为力的，因为它无法识别合法数据包中是否存在非法病毒这一情况。而防毒墙则是为了解决防火墙天生的防毒缺陷而产生的一种安全设备,可以将数据流还原成文件，从而进行文件的查毒工作，对病毒的界定则更准确、更可靠。
　　随着技术的发展，防火墙与防毒墙有融合的趋势，有些称为防火墙产品的往往还具有病毒检测的功能，而另一些声称是防毒墙产品的也往往具有一般防火墙的网络管理功能。
　　不过防火墙虽然工作有些“粗糙”，但是往往具有更大的网络吞吐量。而防毒墙虽然控制粒度更细，但是由于要对网络协议进行解析还原，因此网络吞吐量不高，用防毒墙过滤只能达到网络正常流量的一半，即最快的百兆防毒墙的网络吞吐量也只有40兆左右。因此，如果是用在对网络流量要求较高的场合，则只能通过部署防火墙的方式来实现网络保护，而在对网络流量要求不高的情况下，才适合采用防毒墙这种高安全性、低效率性的设备。
　　当然，无论是防毒墙还是防火墙，它都是基于直路的处理，在很多时候，为了防止一个病毒，就会将许多不是病毒的数据拦在门外，也就是说，只要是基于直路的设备，或多或少地都会影响网络的效率。另外，防毒墙和防火墙都只能对即将进入网络的数据进行“盘查”，一旦有害数据进入内部网络，或者内部产生了有害数据，这两种设备就无能为力了。
　　实际上，经过病毒和防病毒技术的长期较量和病毒不断的变化，防病毒体系目前趋向于立体化，任何单一的防病毒产品技术、防火墙技术、入侵检测技术、物理隔离技术、VLAN、访问控制技术以及新出现的防毒墙、入侵防护技术等都不能全面有效地对付病毒。防治病毒，需要各种技术综合利用，共同发力。

趋势科技NVW
推荐理由：大幅降低安全威胁和疫情管理负担

　　趋势科技网络病毒墙Trend Micro Network VirusWall(NVW)是一款病毒疫情防御的硬件防护设备，可以协助企业防制Internet蠕虫之类的网络病毒。
　　NVW能够协助企业采取准确、快速的安全措施，并且主动侦测、预防围堵和进行善后清理。它能在发生攻击之前或当时选择性地隔离可能带有特定安全漏洞的计算机，预防病毒利用网络上的薄弱环节入侵；也可以在病毒疫情爆发时阻止未安装相关补丁程序的计算机感染其他网段上的计算机，避免造成网络交通拥塞。
　　疫情发生时，NVW还能够自动将TrendLabs提供的及时、明确、特定的防治策略部署在相应的LAN网段，用户还可根据需要选择手动部署方式，提供了更大的控制与弹性。

ISS Proventia Desktop
推荐理由：为桌面系统提供了前瞻性的全面防护