近日，在论坛上看到关于服务器防毒规划的讨论，感觉有些用处，故整理下来， 为各位读者参考。

　　问：如果有11台工作站通过1台服务器上网，请问这样的环境，该如何规划服务器的防毒系统呢？

　　答案1：用Avast，管理简单而且没出过什么问题。缺点是中控管理只有英文接口，幸好客户端都是中文接口。

　　答案2：公司用过趋势OfficeScan、卡巴斯基、NOD32、Sophos。目前使用Sophos，最近要换成趋势。比较一下各家的优缺点，OfficeScan服务不错，ESO可以掌握公司计算机中毒的情形，防毒功力还算可以。卡巴斯基防毒效果不错，缺点是计算机效能要强，否则会有变慢的现象。NOD32整体评价不错，缺点是价格很硬、授权数锁得很死，没有弹性空间。Sophos整体上还可以，但服务上不是很满意。

　　答案3：如果服务器是安装Windows操作系统，亦可考虑Forefront产品。以采租约方式计算，平均每点每个月租费约40元左右（跟EA一样的授权法），服务器可开启多个防毒引擎。Forefront内建九大知名防病毒厂商的扫描引擎，最多可同时启动五个。

　　答案4：个人偏好McAfee AntiVirus Enterprise搭配AntiSpyware Enterprise。它可以让你自订由HTTP、FTP、网上邻居更新病毒码，所以可以设定服务器上网去更新。如果服务器有HTTP服务器、FTP服务器或是网上邻居分享，都可以让不能上网的客户端一起更新。此外，它还可以设定多台，例如：研发部门就到研发专用主机去更新，业务部门就到业务主机去更新，避免大家同一时间更新时，造成网络及服务器负载过重。

　　McAfee除了检查病毒特征码之外，还有另一个我特别喜欢的保护方式，那就是哪里有弱点，那就去保护好这些弱点──不需要有特征码，一样可以阻挡病毒木马。例如，你可以设定不准去异动Hosts，或是不允许程序写入数据到系统数据夹，也可以限制浏览器快取目录的程序不准被执行等。

　　答案5：如果只是要服务器版的防毒软件，大家的建议都不错，可以藉由前端防毒主机病毒码更新，派送至后端计算机。但根据以往的经验，如果在客户端没有规画好信息使用政策，中毒的情况改善有限，像是USB随身碟的使用，往往是局域网中毒的最大元凶。