操作系统或者应用程序的漏洞，往往是企业网络中比较薄弱的环节。或者说，攻击者90%以上的攻击行为，都是针对这些已知的漏洞所进行的。为此如果能够有效的防护这些已知的漏洞，就能够在很大程度上保障网络的安全。ForeFront安全网关为了这个问题，专门开发了一个NIS系统(网络检查系统)，来防护操作系统和应用程序中的已知漏洞。在这里，笔者就给大家介绍一下笔者使用这个NIS系统的经验，希望对各位读者有所帮助。

　　一、NIS系统的局限：只能够用来防护已知的漏洞

　　任何系统在使用上都有一定的局限性，NIS网络检查系统也是如此。其最大的一个局限就是只能够用来防护操作系统或者应用程序已知的漏洞。也就是说，如果微软没有发现漏洞，而是攻击者先发现了漏洞(在现实中这发生的比率比较高)，那么NIS网络检查系统并不能够对漏洞进行有效的防护。由于这个局限性，笔者认为管理员在日常工作中要做到以下两点。

　　一是需要定时去微软的官方网站上看看是否有最新的漏洞提示。一般来说，微软的MMPC(恶意软件防护中心)会将最新确认的漏洞都在官方网站上及时的公布出来，同时也会有对应的预防措施。管理人员需要对这些漏洞以及可能造成的危害心中有数。

　　二是需要及时的更新NIS。NIS网络检查系统其实也是根据配置文件来防护已有的漏洞。换句话说，在其配置文件中保存着所有的已知操作系统与应用程序的漏洞。管理员需要及时更新这个配置文件。只有如此，NIS网络检查系统才能够检测到最新的漏洞并对其进行有效的防护。

　　二、NIS网络检查系统与微软的漏洞修补程序

　　NIS网络检查系统是基于协议解码的通讯检查系统。主要的原理就是采用已知漏洞的签名检测来组织对网络资源发起的攻击(利用漏洞进行攻击的行为)。具体的说，NIS系统会检查企业内部网络用户的Web通讯，并根据微软通用的应用能够程序级协议分析程序来检测与阻止恶意通讯。这里需要注意的是，这个NIS系统的功能与微软自动更新的功能有什么区别呢?他们都可以有效的防止攻击者利用操作系统或者应用程序的漏洞对企业网络发起攻击。不过他们在效率上仍有所区别。主要的区别就是在反映的时间行。一般通过微软的漏洞修补程序，由于种种的限制(用户或者微软都有原因)，可能从漏洞出来，到修补需要经过几天甚至更长的时间。如有时候虽然微软已经发现了漏洞但是没有及时给出可行的补丁程序;又或者企业用户没有及时给操作系统或者应用软件应用补丁等等。而如果采用NIS网络检查系统的话，则可以将漏洞披露和修补程序部署之间的漏洞期限从几周减少到几个小时的时间。为此如果对于安全性要求比较高的企业来说，如金融企业，那么采用NIS网络检查系统要比采用微软的漏洞修补程序更加有效。

　　另外微软的漏洞修补程序会将每个漏洞补丁安装在客户端上。但是有时候微软的漏洞补丁可能会与客户端上已安装的应用程序(通常是非微软产的应用程序)有冲突。安装补丁后会发现系统速度运行缓慢。正是由于这种缺陷的存在，在采用漏洞修补程序来修补漏洞之前，往往需要进行额外的测试，以确定新的补丁与企业已经部署的应用程序没有不兼容的情况。而如果采用NIS网络检查系统的话，则没有这个顾虑。因为其只检查用户的通信流量，是一个基于协议解码的通信检查系统，利用协议分析程序来检测和阻止恶意通讯。并不会在每一个客户端上安装补丁。所以也就不会发生不兼容的情况。这也是NIS网络检查系统相比漏洞修补程序来说，一个比较突出的优势。

　　三、部署NIS系统时的注意事项

　　在部署NIS网络检查系统的时候，有一些细节性的内容需要注意。有时候细节往往会决定成败。具体的来说，有如下内容。

　　一是NIS网络检查系统只防护操作系统与应用程序级别的漏洞。在网络安全中，常见的漏洞有三种：操作系统漏洞、应用程序漏洞与文件漏洞。NIS网络检查系统并不能够防护全部的漏洞，其只能够防护系统漏洞和应用程序漏洞。对于文件漏洞来说，其无能为力。如病毒就是一种典型的文件漏洞。NIS网络检查系统并不会对病毒有任何的防护措施。此时就需要采用ForeFront产品的另一个组件：恶意软件检查功能来应对。

　　二是NIS网络检查系统仅仅支持MMPC(微软恶意软件防护中心)创作和发布的签名。操作系统或者应用程序的漏洞有时候可能并不是微软官方先发现的。此时只要微软MMPC没有发布相关的漏洞信息，那么即使其他人已经证实了这个漏洞的存在，NIS仍然不会对这个漏洞进行防护。这主要是因为NIS仅仅支持MMPC创作和发布的签名。就算是国家网络中心发布的漏洞对其也没有效力。另外需要注意的是，如果从MMPC下载最新的签名集时(最新的漏洞信息)，这些签名集仅仅用于新的连接。为此在创建安全策略的时候，必须要考虑长期连接用户的便利性以及向所有连接应用最新保护。一个比较简单的做法是，当发现有比较重大的漏洞时，告知相关的用户，让其重新建立连接。

　　三是需要注意，如果要让NIS网络检查系统能够防护最新的操作系统和应用程序的漏洞，网络管理员最好在部署之后要验证一下，NIS是否已经连接到预定的更新来源。这个来源可以使微软的官方网站，也可以是企业内部自己架设的WSUS。同时需要验证是否已经启用了最新签名集的自动安装。简单的说就是两个自动：自动更新与自动安装。