三、修改与配置恶意软件检查规则

　　启用了恶意软件检查功能之后，还需要根据企业自身的安全需求，对相关的规则进行配置。这里的规则一般包括两个层次。一是全局层次，即对安全网关中的所有访问规则都有效。二是访问规则层次，即指针对特定的访问规则有效。在实际工作中，笔者建议对于大部分的设置最好都是在全局层次进行。这可以实现统一的管理。而对于一些特殊的、个性化的内容，才在访问规则层次设置。

　　要配置恶意检查软件规则的话，是在“任务”选项卡上的“配制恶意软件检查”窗口中进行。由于相关的配置都是可视化的界面，为此笔者就不做过多介绍。笔者这里需要强调的是，配置过程中需要用到的几个重要选项。这些选项直接关系到后续恶意软件检查的效果。

　　第一个选项是“阻止可疑文件”。当外部服务器上传过来的文件，如果Forefront安全网关认为其比较可疑，则其就会阻止这个文件。注意这里是可疑文件，这跟已感染的文件不同。已感染的文件是指安全网关根据其数据库中的资料，已经可以确性这个文件中带有恶意软件。而可疑文件是指这个文件不正常，根据相关的规则判定其似乎已经感染了某个恶意软件。而这个恶意软件在Forefront数据库中没有相关资料。也即是说，可疑文件是安全网关系统智能化分析的结果。所以这个结果有可能是正确的，也有可能是错误的。不过一般情况下，是正确的比率高一点。故是否需要启用这个选项，需要根据企业的安全需求来判断。

　　第二个选项是“阻止损坏的文件”。这个跟上面这个选项类似，也是安全网关智能分析的一个结果。不过这个规则比上面的选项更严。有些恶意软件会故意伪装成一个损坏的文件，来逃避相关的安全机制的检查。不过从实际应用的效果来看，启用这个选项的话，安全网关误判的几率会高许多。为此如果没有特别的需要，笔者还是建议不要启用这个选项。

　　第三个选项是“存档深度级别超过以下值时阻止文件”选项。道高一尺、魔高一丈。有些恶意软件为了逃避检查，会故意做成嵌套文件，即多穿几件外衣。而有些安全系统为了提高检查的效率，可能不会进行深层次的检查。Forefront安全网关也是这么设计的。此时就给恶意软件可乘之机。这个选项就是用来阻止为回避检测而进行了深层次嵌套存档的恶意软件。一般情况下，需要启用这个选项。并根据企业的安全级别，选择一个合适的值。这个值到底多少合适，没有统一的标准。这需要安全管理人员进行不断的追踪分析，最终确定一个合适的值。