企业网络防病毒

企业网络防病毒 总 体 解 决 方 案 成都创天时代科技发展有限公司 企业网络防病毒整体解决方案 目 录 1. 企业防病毒系统总体设计.......................................................................................................... 4 1.1(病毒防护问分析 .............................................................................................................. 4 1.2方案设计原则和特点 ............................................................................................................. 7 1.2.1、方案设计原则 ............................................................................................................... 7 1.2.2、AVD主要功能、特点 .................................................................................................. 9 1.2.3、建立防病毒系统主要考虑内容 ................................................................................. 11 2. MCAFEE公司防病毒产品介绍 .............................................................................................. 11 2.1(桌面和WINDOWS服务器保护产品 ................................................................................. 12 2.1.1 简述............................................................................................................................... 12 2.1.2 主要功能: ................................................................................................................... 12 2.1.3 VirusScan EnterPrise 8.0i .............................................................................................. 13 2.1.4 VirusScan EnterPrise 8.0i支持的操作系统平台 ......................................................... 18 2.2(服务器保护套件 ................................................................................................................ 19 2.2.1 简述............................................................................................................................... 19 2.2.2 服务器保护产品的主要功能: ................................................................................... 19 2.2.3 GroupShield for Lotus Notes/Domino 5.3 ...................................................................... 20 2.3. 网关保护套件 ..................................................................................................................... 20 2.3.1概述................................................................................................................................ 20 2.3.2 WebShield Appliance产品介绍 ..................................................................................... 21 2.3.3产品特性 ........................................................................................................................ 21 2.4. 管理控制台EPO 3.5 (EPOLICY ORCHESTRATOR) ............................................................... 25 3. 企业防病毒系统具体设计........................................................................................................ 34 3.1、企业病毒防护系统的组成 ................................................................................................ 34 3.2、防病毒系统总体架构 ........................................................................................................ 35 3.2.1总部防病毒系统 ............................................................................................................ 37 3.2.2二级单位防病毒系统 .................................................................................................... 39 4.2.3三级单位防病毒系统 .................................................................................................... 42 3.3部署模式............................................................................................................................... 44 3.4防病毒软件的安装分发 ....................................................................................................... 45 3.5 防病毒管理系统 .................................................................................................................. 46 3.5.1 集中管理、分级维护的防病毒管理体系 ................................................................... 46 3.5.2 扩展的防病毒管理体系 ............................................................................................... 47 3.5.3 防病毒管理系统的主要特点及功能 ........................................................................... 49 2 电话:028,85454338(总机) 地址:成都市临江东路36号锦江花园城钻石座18,C1 WWW.CTIME.COM.CN 企业网络防病毒整体解决方案 3.6 防病毒软件的分发、管理 .................................................................................................. 50 3.6.1 防病毒软件的分发: ................................................................................................... 50 3.6.2 防病毒软件的管理: ................................................................................................... 50 3.7 配置和集中管理 .................................................................................................................. 51 3.8 任务调度和执行 .................................................................................................................. 52 3.9 邮件服务器防病毒系统 ...................................................................................................... 52 3.9.1 环境............................................................................................................................... 52 3.9.2 产品............................................................................................................................... 53 3.9.3部署方式 ........................................................................................................................ 54 3.9.4 管理模式 ....................................................................................................................... 55 3.10 病毒自动更新和升级 ........................................................................................................ 55 3.11 小结 .................................................................................................................................... 57 3 电话:028,85454338(总机) 地址:成都市临江东路36号锦江花园城钻石座18,C1 WWW.CTIME.COM.CN 企业网络防病毒整体解决方案 1. 企业防病毒系统总体设计 1.1(病毒防护问题分析 随着计算机技术应用的普及，各个企业的运行越来越依赖和离不开计算机，各种业务的运行架构于现代化的网络环境中。保证各种业务系统和工作的正常、可靠和安全地进行是信息系统工作的一个重要话题。由于计算机系统的安全威胁，给企业带来了重大的经济损失，这种损失可分为直接损失和间接损失;直接损失是由此而带来的经济损失，间接损失是由于安全而导致工作效率降低、机密情报数据泄露、系统不正常、修复系统而导致工作无法进行等。间接损失往往是很难以数字来衡量的，而且是巨大的。在所有计算机安全威胁中，计算机病毒是最为严重的，它往往是发生的频率高、损失大、潜伏性强、覆盖面广。计算机病毒直接涉及到每一个计算机使用人员，是每一个使用人员经常会碰到和感到头痛的事。 计算机病毒事实上是一种计算机程序，具有可自我复制性、传染性、潜伏性、破坏性等。目前存在的病毒表现有很多特点:病毒种类越来越多、危害性越来越强、传染速度快和感染方式多、发展和增长速度快、病毒传染源多、病毒变种多和速度快。 病毒种类可以按不同的来分。根据病毒所运行的操作系统环境分，有运行于DOS、Win3.x、Win95、Win98、NT workstation、NT、Windows 2000、Windows XP、Windows 2003 服务器、Novell和Unix操作系统的病毒;按照运行环境有单机病毒、群件环境(如LotusNotes和MSExchange等)和服务器下的病毒;按照受感染的载体不同有操作系统病毒、执行文件病毒、宏病毒、ActiveX/JavaApplet 病毒等;按照传染方式分软盘病毒、光盘病毒、Internet病毒(包括Email病毒、HTTP病毒)等;按照病毒的创作过程来分有单一病毒、变体病毒和混合病毒。随着Internet技术和信息技术的发展，病毒的种类越来越多，这样对病毒防护系统提出了新的挑战，要求病毒防护系统能适合于各种操作系统、各种运行环境和防 4 电话:028,85454338(总机) 地址:成都市临江东路36号锦江花园城钻石座18,C1 WWW.CTIME.COM.CN 企业网络防病毒整体解决方案 护各种类型的病毒。 病毒的危害性有各种各样的表现，从CIH病毒对主板和硬盘的破坏到BO病毒对主机信息的泄露;从Explore病毒对文件系统的破坏到各种宏病毒对文档的破坏和感染;所有这些都只是病毒破坏的一些表现。总体来讲，病毒的破坏有:直接对主板和硬盘破坏;破坏文件系统和文件;浪费和占用系统资源(如CPU和硬盘)，导致系统性能、速度降低;泄露主机信息，向外发送主机的相关信息，或者被远程控制端控制和留有后门，随时可以由远程进入和控制;一些善意的病毒往往发送一些问候消息，也有一些病毒开一些玩笑。病毒破坏的表现多种多样，但是结果是一样的，都会直接或间接地破坏系统、浪费资源，从而浪费生产力，降低效率和信息系统的利用率。 由于Internet技术及信息技术的普及和发展，病毒的传染速度越来越快。在Internet发展以前，所有病毒都是通过磁盘的拷贝来传染的，这时病毒的传染速度比较慢，病毒表现出存在一定的国界。但是，Internet的发展使的病毒没有国界，5分钟以前在美国发现的病毒，有可能在5分钟之后，就到了国内;依赖于Internet，病毒可以通过邮件、HTTP、网络共享、系统漏洞等实时的方式感染到企业内部。另外，在企业内部的群件系统和办公自动化、工作流系统的使用(如Notes、Exchange)，使得病毒在企业内部的传染速度加快，各个员工在共享信息的同时，有可能共享病毒;同时，在群件环境中，部分机器的防病毒能力弱，会导致整个系统弱的防病毒能力;这样就要求整个企业防病毒系统的防病毒能力的一致性。一个和Internet相连的企业，最主要的病毒入口就是Internet，主要的传染方式是群件系统;控制Internet入口处的病毒侵入，就抑制了最主要的病毒源;好的群件系统防病毒，将病毒的传染域隔离到孤立的某一台机器，这样病毒的破坏就会控制到最小范围。如图所示典型企业的病毒防护体系。 5 电话:028,85454338(总机) 地址:成都市临江东路36号锦江花园城钻石座18,C1 WWW.CTIME.COM.CN 企业网络防病毒整体解决方案 图 病毒防护体系示意图 由于Internet的发展和信息共享程度的增强，人们可以从Internet上浏览到大量的丰富的信息，其中在Internet上有大量的关于病毒的信息，包括:典型病毒的原理解释、病毒源代码、病毒工具库、病毒编写教程等，人们可以很容易从网上得到这些信息，利用这些信息可以产生新的病毒;另外宏语言的发展，简化了病毒编写的复杂性，程序员可以利用各种宏语言编写出具有危害性的宏病毒;Java和ActiveX技术的发展，也简化了病毒的编写，增加了病毒的种类。目前，每月都会有300种新的病毒出现。 病毒的飞速发展要求防病毒系统也要相应地发展，病毒和防病毒是一个动态的发展过程;对于构建防病毒系统，自升级能力是一个重要的指标;只有自我加强的防病毒系统才能保证对新出现病毒的免疫。另外，一个企业内防病毒系统的一致性和完整性是避免病毒防御系统漏洞的重要的一个方面。 在大的企业里，为了保证防病毒系统的一致性、完整性和自升级能力，必须 6 电话:028,85454338(总机) 地址:成都市临江东路36号锦江花园城钻石座18,C1 WWW.CTIME.COM.CN 企业网络防病毒整体解决方案 有一个完善的病毒防护管理体系，负责病毒软件的自动分发、自动升级、集中配置和管理、统一事件和告警处理、保证整个企业范围内病毒防护体系的一致性和完整性。 McAfee公司是全球反病毒解决方案的领导者，它提供了一套现成的解决方案，即McAfee Active Virus Defense套件(简称AVD)。作为全面管理和维护网络安全方案的重要组件，AVD在一个集中控制的软件包里为您提供一套反病毒解决方案，使企业范围的防病毒管理成为现实。具体说，AVD可以在每个进入点抵御病毒和恶意小程序的入侵，保护网络中的PC机、服务器和Internet网关。同时它也是一个功能强大的管理工具，可以自动进行文件更新，使管理和服务作业合理化，并可用来从控制中心管理企业范围的反病毒安全机制。 AVD的目标是:从桌面到整个企业系统，优化系统性能、解决及预防问题、处理管理事物和执行正常的管理工作、保护公司资产免受攻击和危害、降低企业成本并提高用户和企业生产率。 1.2方案设计原则和特点 1.2.1、方案设计原则 技术和产品的成熟性、稳定性和适用的广泛性 充分考虑防病毒产品本身和技术上的成熟性。选择在国际上广泛使用的产品和技术，具有一定的参照性。McAfee的McAfee AVD正是成熟而且经受大量考验的防病毒产品，在国际上很多企业在使用。根据IDC报告，MCAFEE公司的防病毒产品已经连续六年占据企业级防病毒市场的第一位。 技术和产品的先进性 由于防病毒领域是一个动态的发展过程，必须要求今天的防病毒系统不仅仅能够全面检测到已经发现的病毒，还能接受明天病毒的挑战，MCAFEE的AVD采用了独特的启发式技术，可以检测病毒变体和未知病毒。MCAFEE的AVD产 7 电话:028,85454338(总机) 地址:成都市临江东路36号锦江花园城钻石座18,C1 WWW.CTIME.COM.CN 企业网络防病毒整体解决方案 品有专用的程序，可以自动地分离新的病毒。 扩展性和可升级性 可升级能力是衡量防病毒系统是否具有生命力的重要指标。AVD实现机制将病毒样本文件和引擎分离，企业定期地从Internet上下载最新的病毒样本文件，保证企业的防病毒系统和MCAFEE公司保持一致。同时，AVD的管理能力和所包含的组件在功能、性能上都在向前发展。 可管理性 对于一个大企业，采用手工管理防病毒软件的分发、升级、配置和支持是非常困难的事情，这就要求提供防病毒系统的管理平台，对企业内部的防病毒系统进行有效的管理。 易用性 在一个大的企业，计算机使用人员层次差别非常大，而且大部分的使用人员并非计算机专业人员，这就要求客户端的防病毒软件必须简单易用，自动化程度高，最好无须用户干预。而AVD中的VirusScan自动对病毒实时检测、清除和报告，简化了使用的复杂度。 跨平台和操作系统 防病毒软件基本要覆盖已有各种机器和操作系统，如Microsoft Windows系列产品、OS2、各种Unix等。这些机器都可能是潜在的病毒传染源。 完整的产品线 防病毒软件应支持较全的产品线，包括桌面防病毒产品，服务器防病毒产品，群件防病毒产品和网关防病毒产品以及强大的中央管理平台。并且应该支持多种平台和操作系统。 8 电话:028,85454338(总机) 地址:成都市临江东路36号锦江花园城钻石座18,C1 WWW.CTIME.COM.CN 企业网络防病毒整体解决方案 1.2.2、AVD主要功能、特点 项目 功能描述 MCAFEE针对广域网络进行了优化，是目前业界功能最 强大的防病毒管理软件。基于加密的通信和基于数据库管理功能简介 的报告、统计功能，可为用户提供详细、直观的图形化 报告。MCAFEE服务器的基于目录的管理结构和在单一 服务器上设置多种策略的功能，更适于企业的管理。 MCAFEE不采用域模式管理，不要求企业建立相应的NT管理方式 域管理模式。MCAFEE只采用TCP/IP作为管理的。 服务器的管理能单台MCAFEE服务器最多可管理250,000台客户机。 力 服MCAFEE服务器是基于目录管理的。在一个MCAFEE服单台服务器的不务务器上可以针对不同的组设置不同的组策略。也可针对同策略管理能力 器每台计算机进行策略设置。 管 MCAFEE支持多种客户端防病毒软件安装方式:登录脚理 安装方式 本安装、服务器分发、直接安装。 功 能 MCAFEE的Agent可自动检测计算机是否已拨号成功，并拨号用户管理 与Server采用Secure HTTP通信。 MCAFEE被设计为可通过局域网/广域网/Internet进行策广域网管理的可 略管理，MCAFEE的管理采用可靠的TCP协议，客户可靠性 以通过广域网进行管理工作，甚至可以管理拨号用户。 MCAFEE也支持服务器的远程管理。但充分考虑了安全远程管理 性，Console通过加密对远程服务器进行控制，只传输结 果，不会造成网络压力。 数据统计方法及MCAFEE采用数据库技术，可对Agent收集的信息进行汇能力 总、分析，并可根据需要生成定制报告。 9 电话:028,85454338(总机) 地址:成都市临江东路36号锦江花园城钻石座18,C1 WWW.CTIME.COM.CN 企业网络防病毒整体解决方案 MCAFEE提供38种图形化的报告，并且用户可根据NT域 报告能力 名、工作组、IP地址、用户、计算机名、时间、感染病 毒、动作等进行定制报告。 MCAFEE可实现各客户端的自动升级、更新功能。若客 网络升级 户端没有执行服务器更新、升级策略，当客户开机或者 连接到网络时，自动地进行更新、升级。 客应急恢复 客户端软件提供主引导区、引导区备份功能， 户压缩文件支持 支持多种压缩文件格式 端URL过滤 提供URL过滤功能，可根据域名或IP进行过滤 软恶意代码过滤功可以过滤恶意Java、Activex功能 件能 功MCAFEE采用启发式扫描式技术，可以发现未知的宏病 未知病毒防范 能 毒和程序文件病毒 支持Dos、Win3.x、Win9x、WinNT、Windows2000、 平台的支持能力 Windows XP、Windows 2003 Server 对不可清除的病毒，放置到隔离区中，利用病毒发送工 隔离功能 具发送到MCAFEE病毒研究中心(AVERT)，并可对文 件内容进行剥离 卸载功能 支持从客户端或管理服务器完全卸载功能 产提供病毒定义码的增量更新功能，每次更新只需100K左 增量更新 品右数据 更支持通过网络自动进行更新升级方式(HTTP、FTP或 多种更新升级方 新UNC)和通过软盘或光盘运行更新升级程序进行更新升 法 升级 级统一性 所有防病毒产品采用统一的病毒定义码和扫描引擎 功方便性 更新或升级后不需要重新启动计算机或应用程序 能 病毒定义码每周进行更新，若有新病毒爆发时，随时进 更新周期 行更新 10 电话:028,85454338(总机) 地址:成都市临江东路36号锦江花园城钻石座18,C1 WWW.CTIME.COM.CN 企业网络防病毒整体解决方案 MCAFEE采用备份和病毒定义码回退功能，保证更新升 可靠性 级的可靠性 1.2.3、建立防病毒系统主要考虑内容 , 控制传染源 , 控制传染途径 , 简化企业防病毒体系的管理 , 防病毒软件的集中分发和维护 , 病毒事件的集中管理和报警 , 预防胜于杀毒 , 防病毒的自动化 , 考虑明天的防病毒体系--升级能力 , 如何考虑性能的折中 2. MCAFEE公司防病毒产品介绍 MCAFEE公司的AVD套件包含了企业防病毒所需的所有组件模块，它由以下几部分组成: , 桌面和文件服务器防病毒产品VirusScan; , 邮件服务器产品GroupShield; , 网关防病毒产品WebShield e-appliance , 防病毒系统网管ePO(ePolicy Orchestrator); AVD目前支持的平台如下所示。 11 电话:028,85454338(总机) 地址:成都市临江东路36号锦江花园城钻石座18,C1 WWW.CTIME.COM.CN 企业网络防病毒整体解决方案 产 品 平 台 VirusScan Windows95/98/ME/WinNT4.0/Windows2000/Windows XP/Windows 2003/Windows3.x/Mac/OS2/DOS/UNIX NetShield Novell NetWare Groupshield Notes 4.5或更高版本和Exchange5.5/2000/2003 ePO Windows NT4.0 Server和Windows 2000/2003 Server Webshield SMTP:Windows NT和Windows 2000 Proxy:Sun Solaris E-appliance 专用硬件产品 2.1(桌面和Windows服务器保护产品 2.1.1 简述 在防病毒策略的注意力大部分集中在保护服务器和网关上的同时，MCAFEE注意到相当多比率的病毒仍是通过软盘、光盘进入内联网络的。AVD中的VirusScan为所有的桌面计算机和Windows服务器提供所能获得的、最为全面的跨平台病毒保护。 2.1.2 主要功能: , 实时病毒扫描和清除; , 定时/按命令扫描和清除; , 电子邮件病毒扫描; , Internet下载扫描; , Internet访问控制和过滤; , 压缩文件支持; , 设置保护; , 启发式扫描; 12 电话:028,85454338(总机) 地址:成都市临江东路36号锦江花园城钻石座18,C1 WWW.CTIME.COM.CN 企业网络防病毒整体解决方案 , 配置帮助; , 自动更新; , 自动升级; , 告警和报告; 2.1.3 VirusScan EnterPrise 8.0i 下一代防病毒软件产品，针对 PC 和服务器提供创新性的集成入侵防护解决方案。 恶意代码不仅是在爆发时对企业产生影响，而且今后也会不断地产生各种问题和隐患。在初始攻击爆发后，用户还要经过很长的一段时间才能意识到攻击的后续破坏性，它不仅会影响企业的生产力，而且还会威胁到企业的净收益。企业也逐渐认识到，生存的首要条件就是能够有效抵御已知的 81,000 多种病毒和无数的恶意代码。而有效抵御的关键就是在攻击爆发前前瞻性地对其进行拦截。 创新的防病毒技术 McAfee? VirusScan? Enterprise 8.0i 是创新性的下一代防病毒技术，能够为 PC 和服务器提供全面的保护。它不仅能够前瞻性地拦截并清除恶意软件，而且能够有效地检测出新的安全风险，从而显著降低企业管理爆发响应的成本。VirusScan Enterprise 8.0i 防护解决方案突破了传统防病毒软件的局限性，它不仅有效缩短了修补漏洞的时间，而且即使在没有更新的情况下也能够准确拦截多种威胁。修补漏洞的时间是指从首次发现恶意软件开始，到将修补程序部署到网络中的所有系统上所需要的时间。传统防病毒软件往往使大型企业和中小型企业处于一种极端薄弱的境地:如今，面对复杂的混合威胁，响应式的防护已远远不足以确保企业的安全了。企业不能为了等待签名文件的更新而承受这种漏洞修补时间的存在。 针对 PC 和服务器增强的集成防护 VirusScan Enterprise 8.0i 扩展了对新安全威胁的防护范围(包括混合威胁以及潜在的恶意程序，例如间谍软件)，从而增强了针对 PC 和服务器的集成 13 电话:028,85454338(总机) 地址:成都市临江东路36号锦江花园城钻石座18,C1 WWW.CTIME.COM.CN 企业网络防病毒整体解决方案 保护。扩展的防护范围还包括通过规则和策略对访问进行保护，以及来自入侵防护和系统防火墙的其它多种集成功能。复杂的混合威胁愈加难以检测，它们常常能够骗过传统的防病毒解决方案。此外，传统防病毒软件对新安全威胁的抵御能力较差，即便应用了最新的防病毒签名，它们面对新出现的比较高级的混合攻击时仍会束手无策，任凭这些攻击肆意破坏您的系统。因此，传统防病毒软件程序是无法有效地抵御这些新的攻击类型的。 VirusScan Enterprise 8.0i 提供了自动化的系统防护策略和感染跟踪/拦截报告功能，在对病毒或攻击爆发做出响应时，它能够显著降低安全防护解决方案的总拥有成本。VirusScan Enterprise 8.0i 不仅能够自动跟踪并报告感染源(IP 地址)，而且能够拦截系统与感染源的后续通信。尽早识别并修补感染源就意味着节省时间、资源和金钱 — 或者说确保业务的正常运转。但是，使用传统防病毒软件来定位感染源却需要耗费很长的时间，不仅导致拥有成本居高不下，而且还会降低企业的生产力，影响企业的核心业务。 入侵防护的重要性 — 缓冲区溢出防护技术 VirusScan Enterprise 8.0i 在防病毒软件行业中率先推出了带有特定于应用程序缓冲区溢出防护功能的入侵防护解决方案。这就使得用户能够前瞻性地预防以 Microsoft? 应用程序和操作系统服务漏洞为目标的缓冲区溢出攻击。对操作系统漏洞的攻击可能导致终端系统的重复感染，即便应用了最新的签名文件也于事无补。缓冲区溢出防护功能可以在此类攻击(例如 Sasser、SQL 以及 Slammer)感染系统之前先一步对它们进行拦截。降低漏洞的暴露程度就意味着您不必在每次发现新攻击时都必须进行更新。同样，终端系统也可能不需要重启(或多次重启)来清除感染。防病毒技术与入侵防护和防火墙技术的结合为用户提供了一种功能更强、更先进的终端系统安全防护解决方案。由此可见，传统的响应式防病毒解决方案已经过时了。引入入侵防护功能后，VirusScan Enterprise 8.0i 就能够确保关键服务器和数据不会受到任何影响，从而确保企业业务的顺利进行。 14 电话:028,85454338(总机) 地址:成都市临江东路36号锦江花园城钻石座18,C1 WWW.CTIME.COM.CN 企业网络防病毒整体解决方案 VirusScan Enterprise 8.0i 不仅是值得您信赖的安全产品，而且也是同行业中针对 PC 和服务器的最先进的前瞻性防护解决方案，它无可比拟的伸缩性能够充分满足任何规模企业的要求。在病毒或攻击爆发时，企业的业务需要依赖于 VirusScan Enterprise 8.0i 的关键功能所提供的保护，其中包括: 清除内存、注册表和文件，并防止恶意代码向其它系统扩散或传播。VirusScan Enterprise 8.0i 还引入了防病毒、入侵防护以及防火墙等多种功能，能够有效地抵御已知和未知的攻击。 访问保护 — 全新的高级功能 VirusScan Enterprise 8.0i 提供了多种全新的高级功能，它们不仅可以抵御常规的威胁技术，而且能够有效地拦截多种新的和未知的恶意软件文件。这些新功能包括: 端口拦截 (Port Blocking)、文件名拦截 (File Name Blocking)、文件夹/目录锁定 (Folder/Directory Lockdown)、共享锁定 (Share Lockdown) 以及感染跟踪和拦截 (Infection Trace and Block)。 • 端口拦截使得管理员或用户能够关闭(拦截)传入或传出网络流量的端口。 对传入的网络流量进行保护就意味着降低它们暴露给蠕虫或黑客的几率和风 险。关闭未被使用的网络端口就可以防止攻击者探测操作系统和应用程序中 的漏洞 • 文件名拦截是一种入侵防护功能，它允许管理员通过创建一个或多个策略来 控制系统或网络对特定文件或文件组可以执行的操作 • 文件夹和目录锁定也是一种入侵防护功能，它允许管理员通过创建一个或多 个策略来控制系统或网络能够对特定目录或文件夹的内容执行的操作 • 共享锁定则使得管理员能够通过创建一个或多个策略来控制系统或网络能够 对共享执行的操作 • 如果某个终端系统向运行着 VirusScan Enterprise 8.0i 的系统发送了恶意 代码，那么感染跟踪和报告功能就可以帮助管理员快速发现并报告(跟踪) 该终端系统的 IP 地址，并自动拦截来自该 IP 地址的后续通信 15 电话:028,85454338(总机) 地址:成都市临江东路36号锦江花园城钻石座18,C1 WWW.CTIME.COM.CN 企业网络防病毒整体解决方案 前瞻性地处理新混合威胁意味着有效减少病毒或攻击爆发的情况。攻击的多种因素都可以通过 VirusScan Enterprise 8.0i 的不同功能得到有效的解决: 端口拦截、文件/目录/共享锁定以及缓冲区溢出防护。管理员可以从此摆脱对传统产品更新响应的依赖。 增强的电子邮件扫描功能 VirusScan Enterprise 8.0i 新增了针对 Lotus Notes 客户端系统的电子邮件扫描功能。它能够扫描 Lotus Notes 客户端发送给桌面机的所有电子邮件(HTML 文本和附件)。无论客户使用哪种电子邮件客户端，都可以通过单一的配置面板完成配置。VirusScan Enterprise 8.0i 既支持安装了 Outlook 的系统，也支持安装了 Lotus Notes 客户端的系统。 脚本扫描程序 (Java 脚本和 Visual Basic 脚本) 脚本扫描程序能够检测并防止系统执行利用了 Java 脚本和 VBScript 脚本的恶意代码(例如尼姆达 (Nimda)、JS.NoClose 以及 LoveLetter)，从而能够有效地防止系统感染。脚本扫描程序还能够阻止恶意代码通过网站，或者使用 Java 和 Visual Basic 脚本功能感染终端系统。 潜在恶意程序安全防护 VirusScan Enterprise 8.0i 使得用户和管理员能够从容应对某些最常见的潜在恶意软件程序。VirusScan Enterprise 8.0i 扩展了对新类型恶意代码的检测功能，这就意味着它能够为企业的敏感信息和资产提供更有效、更强大的保护。该产品在初始配置情况下能够防护约 200 种最具危险性的潜在恶意程序，用户还可以按照在潜在恶意程序安全列表中添加新发现的恶意程序。VirusScan Enterprise 8.0i 所包含的操作在细化程度上有了显著的提升: 警告/通知、清除、删除/移除、移动/隔离以及操作提示。VirusScan Enterprise 8.0i 还允许用户和管理员根据企业的实际情况来添加、定义或创建恶意程序列表，例如广告软件、拨号软件、恶意玩笑程序、密码破解程序以及间谍软件等。潜在恶意程序安全防护功能可以帮助企业确保终端系统符合 COE 的要求，并便于用户和管理员进行控制和管理。 产品的大小问题 16 电话:028,85454338(总机) 地址:成都市临江东路36号锦江花园城钻石座18,C1 WWW.CTIME.COM.CN 企业网络防病毒整体解决方案 VirusScan Enterprise 8.0i 是一种单一的、高度集成的软件安全代理，它占用的空间非常小(约 10Mb)，与多个安全代理相比，VirusScan Enterprise 8.0i 更易于部署、配置和管理。VirusScan Enterprise 8.0i 采用增量更新模式，不仅大大节省了磁盘空间，而且可以节省带宽资源并加快更新速度。 对速度的需求 目前已知的病毒已有 81,000 多种，根据 ICSA Labs 的报告，病毒数量正在以每个月 200 多种的速度迅速增长，由此可见，威胁的数量越多，扫描病毒、蠕虫以及其它恶意代码时所面临的压力也就越大。到目前为止，病毒扫描速度没有逐渐减缓甚至停止的主要原因就是硬件性能的不断提升。与以往的版本相比，VirusScan Enterprise 8.0i 进一步提升了按需扫描的速度。通过使用最先进的技术和基础架构，VirusScan Enterprise 8.0i 的性能不但没有下降，反而得到了极大的提升。高风险性应用程序，如电子邮件、浏览器和 Office 应用程序将得到全面高强度的扫描，而备份软件和数据库则可以划分到低风险性类别，其要求的扫描强度也相对较小。 潜在的威胁 VirusScan Enterprise 8.0i 针对移动用户和远程办公机构提供了全面的控制和防护功能。许多移动办公人员通过低带宽和低速的拨号连接来保持互联状态，并在此基础上完成自己的工作。在他们进出网络中受保护的区域时，就很容易受到恶意攻击的威胁。VirusScan Enterprise 8.0i 的设计消除了您的这种顾虑，使他们不会成为一种潜在的威胁。 有效防护的关键所在 抵御威胁仅仅是这场战争的一半。确保防护方案的有效性才能帮助您赢得最终的胜利。有效防护的关键就在于集中管理和强制执行，为此，VirusScan Enterprise 8.0i 实现了与多种 McAfee 管理工具的无缝集成。无论是中小型企业 (SMB) 还是大型企业，McAfee 总有一款管理工具能够适合您的要求。同时，McAfee ProtectionPilot? (SMB) 和 McAfee ePolicy Orchestrator? (Enterprise) 都能够帮助 VirusScan Enterprise 8.0i 提供集中的部署功能、策略 17 电话:028,85454338(总机) 地址:成都市临江东路36号锦江花园城钻石座18,C1 WWW.CTIME.COM.CN 企业网络防病毒整体解决方案 配置和强制实施、以及详细的报告功能。这些工具将帮助您全面控制自己的系统，使您的组织能够有效抵御各种已知的和未知的威胁。 强大功能的动力引擎 VirusScan Enterprise 8.0i 采用了经用户验证的、全球知名的 McAfee 扫描引擎。McAfee 恶意软件防护扫描引擎提供了对病毒、蠕虫以及其他恶意代码攻击的全面防护。McAfee 针对目前的各种威胁提供了一套全面的“发现-修补”解决方案，并采用先进的启发式技术和多种通用技术实现了对新威胁的前瞻性防护。McAfee 恶意软件防护扫描引擎所采用的技术能够向下搜索全部数据，包括压缩文件、归档文件和打包文件，从而能够发现隐藏在最深处的威胁。所有这些功能都具有高度的可靠性，不会出现误报问题。 2.1.4 VirusScan EnterPrise 8.0i支持的操作系统平台 桌面计算机系统: , Windows NT 4.0 WorkStation , Windows 2000 Professional , Windows XP 文件服务器系统: , Windows NT 4 Server , Windows NT 4 Terminal Server , Windows 2000 Server , Windows 2000 Advanced Server , Windows 2000 DataCenter Server , Windows Server 2003, Standard Edition , Windows Server 2003, Enterprise Edition , Windows Server 2003, Web Edition 18 电话:028,85454338(总机) 地址:成都市临江东路36号锦江花园城钻石座18,C1 WWW.CTIME.COM.CN 企业网络防病毒整体解决方案 2.2(服务器保护套件 2.2.1 简述 一台桌面PC感染病毒会造成一些麻烦，但若是一台服务器感染病毒，损失就会多几倍以上。被感染的服务器文件成为病毒感染的源头，会迅速从桌面发展到整个网络的病毒爆发，尤其象Microsoft Exchange或Lotus Notes这样的群件更会加快病毒的传播速度。网络病毒感染造成的员工劳动损失、数据丢失带来的成本增加以及清除病毒感染需要的费用是惊人的。因此，提供基于服务器的病毒保护已成为当务之急。 MCAFEE作为网络安全专家的首选公司，提供了基于全球领先的反病毒技术的服务器套件。它从一个直观的控制台保护整个企业的文件、应用程序和群件服务器。其中，GroupShield支持Lotus Notes、Microsoft Exchange等多种服务器的保护，可以方便地从本地服务器或工作站监测、配置和执行远程服务。集中化管理可以实现对警告传送的控制、问题的生成和活动日志的自主选择。GroupShield套件提供了所能获得的最为全面的基于服务器的病毒防护。 2.2.2 服务器保护产品的主要功能: , 通过管理控制台集中管理。 , 对进出邮件系统的邮件进行病毒扫描。 , 实时扫描Notes数据库。 , 内容过滤功能。 , 防垃圾邮件功能。 , 实时病毒扫描和清除，实时报警; , 定时/按命令扫描和清除; , 压缩文件支持; , 启发式扫描; , 管理; 19 电话:028,85454338(总机) 地址:成都市临江东路36号锦江花园城钻石座18,C1 WWW.CTIME.COM.CN 企业网络防病毒整体解决方案 , 事件查看; , 配置帮助; , 报警和报告; , 性能优化; , 自动更新; , 自动升级; 2.2.3 GroupShield for Lotus Notes/Domino 5.3 基于LotusNotes群件服务器的防病毒保护解决方案。GroupShield提供了强大的管理功能，控制所有文件、应用程序并执行远程服务、安装与配置。强大的集中警告功能可以通过SNMP、电子邮件(SMTP)、打印机、寻呼机、DMI警告或网络消息，传送各种上下文相关的病毒警告给消息的寄件人、收件人和系统管理员。利用可选的SNMP警告功能，可以自动地在流行的桌面帮助应用程序生成问题票卷。一旦发现病毒，可以在本地或远程的事件日志里记录活动日志，或将它们保存在专门的病毒日志中。 群件病毒保护支持的平台: Lotus Notes: R5, R6 操作系统:Windows NT 4.0, Windows 2000 Server, Windows 2003 Server, IBM AIX, SUN Solaris. 2.3. 网关保护套件 2.3.1概述 据国际计算机安全委员会(ICSA)统计，去年企业用户感染的病毒中，有87,的病毒是通过电子邮件进行传播的。Internet大大加快了病毒在世界范围内的传播速度并使很多公司陷于瘫痪。McAfee 在Internet 网关上对任何一个可能 20 电话:028,85454338(总机) 地址:成都市临江东路36号锦江花园城钻石座18,C1 WWW.CTIME.COM.CN 企业网络防病毒整体解决方案 的病毒进入点提供全面的病毒保护。 2.3.2 WebShield Appliance产品介绍 McAfee WebShield Appliance硬件网关防病毒产品设备结合了获奖的防毒和内容管理软件与增强型硬件，是一个集成解决方案。它所提供的屡获殊荣的McAfee防毒保护可以快速解决您的主要业务安全问题。WebShield Appliance设备可以扫描电子邮件通讯(SMTP)、Web通讯(HTTP)、文件传输(FTP)和邮件通讯(POP3)。 相比于其它公司要求您购买复合型的产品，McAfee可以为您的网络提供价格适中、综合的集成周边保护，可以在病毒对关键业务系统产生破坏之前把它拒之门外。这一单一、易用的产品可以保护您的用户免遭几乎所有通过因特网进行传播的病毒和恶件(包括Java和ActiveX内容)的威胁，并且是通过一个被称为“即配即忘”的系统来完成的。这一高性价比的解决方案可以有效缓解对机构IT资源的压力，并让网关安全保护更容易。WebShield Appliance共有三款型号:WebShield e250、WebShield e500、WebShield e1000。 2.3.3产品特性 高性能 WebShield 设备具有高性能和高可靠性。WebShield e250是为小型企业而设计的，可处理的SMTP邮件吞吐量达到每小时30,000条，或者HTTP通讯每秒250KBytes。WebShield e500适用于中到大型企业，扫描能力是SMTP邮件每小时80,000条或HTTP通讯每秒1MBytes。e1000的性能接近e500 的两倍， 并且可以支持大量的并行用户。此外， e1000还支持由铜缆连接的千兆位网络基础设施。 21 电话:028,85454338(总机) 地址:成都市临江东路36号锦江花园城钻石座18,C1 WWW.CTIME.COM.CN 企业网络防病毒整体解决方案 多功能 Webshield硬件网关防病毒提供了防病毒、防邮件中继、内容过滤，并且集 成了多层的防垃圾邮件功能: , 防病毒采用了在业界屡获殊荣的McAfee防病毒引擎; , 在单一的设备中对SMTP、HTTP、FTP、POP3四种协议进行扫描; , 支持透明网桥、透明路由、代理三种接入模式; , 扫描入站、出站流量; , 病毒库和扫描引擎自动更新; , 内容过滤; , 根据邮件大小、附件大小、附件数量进行过滤; , 图像化的报告; , 通过e-mail 和 SNMP 实施告警; , McAfee WebShield 设备可以让您对进出网络的内容了然于胸。WebShield 的内容过滤功能可对用户进行保护，使其免受攻击性或骚扰性邮件的烦 扰;同时，此功能还可以预防此类邮件经由您的公司发出，从而避免可能 发生的法律纠纷。由于增加了合法保护，McAfee WebShield 设备允许向 所有进出网络的邮件中插入责任声明文字。 , 防垃圾邮件采用了五个层次的防护:完整性分析、内容过滤、白名单和黑 名单、实时黑名单服务器、基于评分的启发式检查，评分系统以广泛的规 则集为基础，来决定某个电子邮件是否为垃圾邮件。对于每一封电子邮件， 都会采用上百种规则对其进行评估，每一种规则都对应着固定的分数，分 数有正、负两种。对应负分数的规则表示合法邮件的属性;而对应正分数 的规则则表示垃圾邮件的属性。将所有分数汇总在一起，就能够得出每一 封邮件的“总体级别”。接下来，一个通用算法将对分数进行优化处理， 并使用数百万个垃圾邮件和非垃圾邮件存档消息来评估每一个规则的分 22 电话:028,85454338(总机) 地址:成都市临江东路36号锦江花园城钻石座18,C1 WWW.CTIME.COM.CN 企业网络防病毒整体解决方案 数。最后，SpamKiller 将根据具体分数决定将该邮件移动到用户的收件 箱、个人垃圾邮件文件夹、或者系统内的垃圾邮件文件夹中。 高可扩展性 WebShield系列产品内置的负荷共享功能使您能够在需要较高性能时添加多台同类设备，如果还想获得高可用性，则可用第三方的解决方案对该设备进行配置。 透明的联机扫描 WebShield 设备提供的透明扫描选项意味着在对SMTP、HTTP、FTP或POP3通讯进行扫描时不再需要对客户机器进行配置，也不需要对来自邮件服务器的通讯进行重新定向。WebShield 设备提供了两种透明扫描模式，即透明桥接或透明路由。透明桥接意味着在扫描通讯时不再需要对网络或防火墙进行更改。另一方面，在执行扫描任务时，Mcafee WebShield 设备也可以在代理模式运行。这种安装方式意味着只有SMTP、HTTP、FTP和POP3通讯能够通过该设备而其他类型协议的通讯则不能够通过。 详尽的报告 WebShield 设备可以在网关提供针对主要病毒活动的图形报告功能。详尽的报告使您可以了解网络上何处触发了内容过滤规则、何处有对被禁止的URL的访问企图。此外，令管理员如虎添翼的全面的病毒趋势分析和报告也使所有病毒活动无可遁形。 23 电话:028,85454338(总机) 地址:成都市临江东路36号锦江花园城钻石座18,C1 WWW.CTIME.COM.CN 企业网络防病毒整体解决方案 24 电话:028,85454338(总机) 地址:成都市临江东路36号锦江花园城钻石座18,C1 WWW.CTIME.COM.CN 企业网络防病毒整体解决方案 性能 2.4. 管理控制台ePO 3.5 (ePolicy Orchestrator) ePO是业界领先的、具有强大可扩展能力的的防病毒软件管理系统，可以同时为25万台客户提供策略管理、软件分发等基本功能，并可为用户生成详细的图形化报告。ePO采用Client-Server工作模式，客户端计算机需要安装ePO的代理程序(Agent)，由代理程序与ePO服务器进行联系。ePO为用户提供了基于TCP/IP的解决方案，安装Agent的计算机只需要通过IP与ePO服务器建立连接，用户可通过Internet对远端的主机进行管理。ePO的代理程序(Agent)采用先进的PGP加密用法与ePO服务器进行通信，可有效地保护数据的安全性。用户通过网络远程安装、配置、管理、升级和删除防病毒软件，通过集中地升级网络上的防病毒软件、集中地报告检测到的病毒攻击来保护网络免受病毒破坏。 25 电话:028,85454338(总机) 地址:成都市临江东路36号锦江花园城钻石座18,C1 WWW.CTIME.COM.CN 企业网络防病毒整体解决方案 现代的企业大多采用网络进行工作，病毒可通过网络在内联网络内部快速地传播。对病毒的清除工作要花费大量的人力、物力。ePO可帮助用户检测、清除和删除病毒，阻止病毒的传播，使客户节省费用，提高工作效率。 ePO支持通过多种通信链路与远程的安装代理软件的客户机或控制台进行连接，如微软远程接入服务(RAS)，虚拟专用网(VPN)，或ISP等。单台ePO服务器可管理250，000台计算机，可管理VirusScan、NetShield、GroupShield、WebShield和Norton防病毒软件等产品。可根据用户的需求，设置不同的策略。并生成相应的报告。 利用ePO提供的图形化报告，管理员可获得网络中各种计算机的信息，如计算机的内存、CPU、IP地址、工作组、计算机名等，同时也可知道已安装防病毒软件的信息，如扫描引擎的版本、病毒数据文件的版本。利用报告可按照不同的策略生成内容丰富的报告，并可生成3D柱状图、饼图、线图和报表等各种图表。报告与Seagate Crystal RePOrts技术和微软MSDE/SQL7.0/SQL2000相结合，提供企业级的保护功能。 在企业中部署ePOlicyOrchestrator是非常容易的，因为它采用单一服务器模式且具有管理VirusScan、NetShield、GroupShield、WebShield和Norton防病毒软件等产品的能力。所有的管理操作可通过一台远程控制台实现。利用熟悉的McAfee接口，为企业配置安全策略只需几分钟。策略可以是针对某台计算机或某组计算机，所有这些完全取决管理员。 ePOlicyOrchestrator是非常灵活的，其灵活性体现在ePOlicyOrchestrator产品的各个方面，包括为计算机设置目录组以便管理、部署Agent，以及为单个或一组计算机设置安全策略。 ePO的特点: 集中管理您的系统安全 网络系统必须时刻警惕各种恶意威胁和攻击 — 威胁和攻击在网络中无处不在，它们在不断地探测网络的薄弱环节，并伺机对您的安全防护系统发起冲击。 26 电话:028,85454338(总机) 地址:成都市临江东路36号锦江花园城钻石座18,C1 WWW.CTIME.COM.CN 企业网络防病毒整体解决方案 因此，管理员的工作就更像是一种取得“平衡”的任务。一方面是业务的要求 — 既要管理不断增加的设备，又要对不断增多的移动用户的需求做出响应。另一方面是安全性的要求 — 既要保证系统符合安全性要求，又要对下一代防护解决方案和产品(用于抵御不断翻新的威胁)的多个层级进行管理。 因此，全面掌控系统的安全性，并对已有的安全部署进行增加，就成为了至关重要的一个环节。从根本上说，这些要求都是持续的，而且具有同等的重要性。忽视其中的任何一个都会使您陷入完全失衡的窘境。 McAfee? ePolicy Orchestrator? 3.5 (ePO?) 是一款在行业中居领先地位的系统安全管理解决方案 — 它为企业提供了一种协同的、前瞻性的防护手段，能够帮助企业有效抵御各种恶意威胁和攻击。ePO 3.5 是 McAfee 系统防护解决方案的核心，管理员可以通过它来降低恶意系统或不符合安全要求的系统所造成的风险、保持防护体系的最新状态、配置并强制实施防护策略、并通过一个真正企业级的、可伸缩的中央控制台对系统的安全状态进行全天候(24X7)的监控。 降低恶意系统和不符合安全要求的系统所造成的风险 对于所有的安全防护团队来说，减少易受攻击的漏洞数量应该是优先级最高的一项工作。一个缺乏合理防护管理的未知系统会给整个网络带来严重的威胁 — 未知威胁的不断重复感染、新漏洞的出现、潜在的威胁攻击目标或者传播点都是这些恶意系统所表现出来的病征和风险。因此，了解连接到该网络的所有系统对于确保企业安全性来说是至关重要的。 有时，恶意系统的问题还会被其它因素进一步恶化，例如，在绝大多数网络中，接入网络的唯一要求就是物理连接。承包商、外包员工、会议室的访客或者一些已被遗忘的系统都有同等的机会连接到企业网络，而且会在不经意之间对网络的完整性和可用性构成严重的威胁。 ePO 3.5 能够通过一种独特的方法来降低恶意系统或不符合安全要求的系统所造成的风险。通过分布式传感器，ePO 3.5 能够被动式地监控网络中任何 27 电话:028,85454338(总机) 地址:成都市临江东路36号锦江花园城钻石座18,C1 WWW.CTIME.COM.CN 企业网络防病毒整体解决方案 一个基于局域网的连接，快速判断出这些连接当前是否由 ePO 3.5 进行管理，并能够向没有被 ePO 3.5 管理的恶意系统提供多种基于策略的响应。通过快速识别未经管理的系统，管理员就可以极大地提升系统的安全性，并减少恶意系统和不符合安全要求的系统所存在的漏洞。 全天候(24X7)的系统安全监控 ePO 3.5 的集成通知服务和图形报表提供了全天候的安全可视性，使用户可以有效地监控系统的安全性、评估安全策略的状态并发现网络中的薄弱环节。 快速、前瞻性的信息对于安全专家来说是至关重要的，尤其是对安全一致性和威胁活动进行监控时。ePO 3.5 针对安全一致性、威胁活动以及恶意系统提供了集成的警报和通知功能。由管理员定义的阀值将确保重要的警报能够通过电子邮件、SMS、文本寻呼机或 SNMP 陷阱发送给指定的负责人员。这些警报主要针对对威胁活动、防病毒一致性水平以及恶意系统的检测。 ePO 3.5 提供了四十多种预定义报告，涵盖范围非常广泛。利用这些报告，用户可以轻松定位不符合安全要求的系统、跟踪突发问题的来源或确定安全策略的有效性。您可以随时获取各种信息，包括仅有一页的安全报告摘要以及有关病毒策略和活动、桌面机防火墙策略、系统漏洞、垃圾邮件和内容过滤策略的详细信息。此外，您还可以通过自定义报告来满足自己的特定需求。管理员可从多种可打印、可导出的报表形式中任意选择，其中包括三维条形图、饼图、折线图以及表格。ePO 3.5 集成了 Business Objects? Crystal Reports 技术和 Microsoft? MSDE/SQL Server，在操作的简便性和强大的功能之间实现了完美的平衡，能够满足任何规模企业的要求。 强制防护和更新 前瞻性管理安全策略遇到的一个最大的问题就是如何确保所有的系统都获得了最新的保护。ePO 3.5 通过自动强制实施策略确保了整个企业都能够符合安全性的要求，既防止了某些系统得不到及时更新，又有效地避免了最终用户修改设置或禁用某些关键性的防护。 28 电话:028,85454338(总机) 地址:成都市临江东路36号锦江花园城钻石座18,C1 WWW.CTIME.COM.CN 企业网络防病毒整体解决方案 ePO 3.5 是有效管理更新过程的中心。管理员可以指定更新间隔(按计划更新)，或者指定按系统、用户组或其它方式进行更新。分布式数据库的智能化设计无需服务器参与更新操作，所有更新都在整个网络范围内实施，从而降低了网络流量并提高了性能。此外，ePO 3.5 具有最全面的更新部署能力，能够有效地部署 McAfee 的所有 DAT、引擎、服务包、修补文件以及补丁文件。 前瞻性地评估 Microsoft 补丁的应用情况 借助于 ePO 3.5，您可以简单直观地采取前瞻性措施来减少系统漏洞，并对补丁文件的部署效率进行评估。System Compliance Profiler (SCP) 是 ePO 3.5 的一个组件，它使得安全专家能够快速评估整个企业内系统安全的实施情况，包括重要的 Microsoft 安全补丁的部署情况。这种配置是基于规则的，而且可以由管理员或通过从 McAfee 下载的模板进行自定义设置，配置过程会在系统中搜索特定的文件、服务、注册表项或特定的 Microsoft 补丁引用信息。此外，您还可以通过补丁指纹(使用 MD5 哈希码)来确保 Microsoft 安全补丁的绝对完整性，并防止补丁伪造。安全一致性的重要性级别可由管理员来设定，并可以通过详细的、图形化的一致性报告进行监控。 快速响应爆发事件 ePO 3.5 是对爆发事件做出有效响应的关键所在，它使得管理员能够针对威胁定制出特定的响应措施。面对紧急情况，您可能需要立即更新所有的机器，此时，服务器就会命令所有的代理立即更新，并在整个网络中使更新立即生效。除此以外，爆发事件还可能要求您更改系统防火墙的策略，或者仅对网关策略进行修改或更新。ePO 3.5 使您能够做出快速响应，并可以集中处理当前的任务。 Express Global Updating 确保了快速的企业更新(一小时内最多可更新 50,000 个系统)，并能够通过 ePO 3.5 强大的报表功能对所有的更新进行验证。通过全局网络对更新进行分发不仅提升了带宽的使用效率，而且大大提高了对新威胁和突发威胁的响应能力。 保护移动用户 有了 ePO 3.5，对移动员工的管理再也不会是令安全团队挠头的问题了。即使膝上型电脑没有连接到网络，通过强制实施策略以及在连接到 Internet 时进 29 电话:028,85454338(总机) 地址:成都市临江东路36号锦江花园城钻石座18,C1 WWW.CTIME.COM.CN 企业网络防病毒整体解决方案 行更新，ePO 3.5 也可以有效地管理您无法管理的基础架构。由于移动用户和远程用户要求更高的灵活性，ePO 3.5 可以从最近的数据库中以最有效利用带宽资源的方式为他们提供更新，并允许延迟更新和重新开始更新。借助于 ePO 3.5，您的远程用户和移动用户就能够得到与局域网用户同样完善的保护，您也可以同样简单地对他们进行管理。 简化整个企业范围内的管理 ePO 3.5 的设计兼顾了企业级的扩展性能，可以通过每台服务器管理多达 250,000 个用户，并可以轻松地使用远程控制台从任何位置进行操作，从而大大节省了企业的硬件和管理成本。这些策略覆盖了恶意威胁防护的每一个层面，包括更新频率、个人防火墙设置、补丁评估、要扫描的文件类型以及启发式扫描设置，可设置于每一台计算机或每个组，并可完全由管理员进行定义。所有这些都可以被强制实施，从而确保对用户的妥善保护。 您需要以多种语言管理企业的安全防护,没问题～ 您既要管理传统防病毒产品，又要管理最新的安全应用程序,简单～ 您需要不同管理员负责管理网络的不同部分,别担心～ 您有 Windows? 服务器、Linux 服务器和 NetWare 文件服务器,容易～ 想与 Microsoft Active Directory 进行集成,没问题～ 想增加系统防火墙和入侵预防,还是没问题～ePO 3.5 能够帮助您轻松解决所有这些问题。 集成已有的关键性基础架构 ePO 3.5 在设计之初就考虑了管理的效率问题，它能够很好地利用您在 Microsoft Active Directory (AD) 做出的投入，不仅简化了变更控制，而且确保了整个企业内目录的一致性。与 Microsoft AD 的集成使得用户能够按照计划将系统从 AD 目录导入到 ePO 3.5 目录，此外，如果需要的话，您还可以在 ePO 3.5 目录中创建出完全相同的 AD 组镜像。 降低运行成本和基础架构成本 ePO 3.5 将帮助您整合现有的安全供应商，与您的网络和安全基础架构集成，并通过对系统安全性进行集中管理来降低您的运行成本。 30 电话:028,85454338(总机) 地址:成都市临江东路36号锦江花园城钻石座18,C1 WWW.CTIME.COM.CN 企业网络防病毒整体解决方案 两个重要问题 在对抗恶意代码的过程中，您可能会有很多的疑问，但其中只有两个才是最为关键的。第一个是:我们是否已得到了保护,第二个是:我们是否已被感染,ePO 3.5 能够为您回答这两个问题 — 一方面验证并确保防护已到位，另一方面显示出您的系统中的漏洞。 ePO由下列组件组成: 管理控制台(ePO Console):配置、管理和安装防病毒软件到网络中的主机; 管理服务器(ePO Server):协调病毒扫描调度、接收报警、产生整个防病毒的报告; 管理代理(ePO Agent):是ePO与MCAFEE防病毒软件的通讯桥梁。它能接收来自ePO的配置信息并传递给防病毒软件，同时它向管理服务器发送病毒报警;通过调度启动病毒扫描，向管理服务器发送病毒报警; 这些组件集成到一起提供防病毒域中机器的管理，每个组件都可以通过控制台来管理和配置。 系统要求 在开始安装以前，请确保所有用作ePolicy Orchestrator 服务器、控制台和远程控制台的计算机，用作ePolicy Orchestrator 数据库的计算机，用作ePolicy Orchestrator 报告的计算机和用作ePolicy Orchestrator 代理程序的计算机都满足 最低系统要求: 服务器和控制台要求 ePolicy Orchestrator 服务器和控制台可以安装和运行在具有如下配置的任何Intel Pentium II 或速度更快的兼容机中: , 浏览器- Microsoft Internet Explorer 6.0。 , 专用服务器- 如果管理的客户机超过250 台，建议使用专用服务器。 , 文件系统- 建议使用NTFS (NT 文件系统)分区。 31 电话:028,85454338(总机) 地址:成都市临江东路36号锦江花园城钻石座18,C1 WWW.CTIME.COM.CN 企业网络防病毒整体解决方案 , 可用磁盘空间- 至少250MB (首次安装);至少650MB (升级);建议 为 1GB。 , IP 地址- 我们建议对ePolicy Orchestrator 服务器采用静态IP 地址。 , 内存- 256 MB RAM。 , 显示器- 1024x768、256 色VGA 显示器。 , NIC - 支持TCP/IP 的网络接口卡(NIC)。 , 操作系统- 以下任何Microsoft Windows 操作系统: o 带有Service Pack 1、2 或3 的Windows 2000 Advanced Server。 o 带有Service Pack 1、2 或3 的Windows 2000 Server。 o 带有Service Pack 6a 的Windows NT Server 4.0。 o Windows Server 2003 Enterprise。 o Windows Server 2003 Standard。 o Windows Server 2003 Web。 远程控制台要求 ePolicy Orchestrator 远程控制台安装并运行在具有如下配置的任何Intel Pentium 或速度更快的计算机或兼容机上: , 浏览器- Microsoft Internet Explorer 6.0。 , 文件系统- NTFS 或FAT 文件系统分区。 , 可用磁盘空间- 120MB。 , 内存- 128 MB RAM。 , 显示器- 1024x768、256 色VGA 显示器。 , NIC - 支持TCP/IP 的网络接口卡(NIC)。 , 操作系统- 以下任何Microsoft Windows 操作系统: o 带有Service Pack 1 或更高的Windows 2000 Advanced Server。 o 带有Service Pack 1 或更高的Windows 2000 Professional。 o 带有Service Pack 1 或更高的Windows 2000 Server。 o 带有Service Pack 6a 的Windows NT Server 4.0。 o 带有Service Pack 6a 的Windows NT Workstation 4.0。 32 电话:028,85454338(总机) 地址:成都市临江东路36号锦江花园城钻石座18,C1 WWW.CTIME.COM.CN 企业网络防病毒整体解决方案 o Windows Server 2003 Enterprise。 o Windows Server 2003 Standard。 o Windows Server 2003 Web。 o Windows XP Professional。 数据库要求 ePolicy Orchestrator 数据库要求: 数据库软件- 下列任意一项: , 带有Service Pack 3 的Microsoft Data Engine 7 (MSDE)。 , 带有Service Pack 3 的Microsoft SQL Server 2000 Desktop Engine(MSDE 2000)。 , 带有Service Pack 3的Microsoft SQL Server 2000 Standard或Enterprise Edition。 , 带有Service Pack 3或4的Microsoft SQL Server 7 Standard或Enterprise Edition。 Windows 代理程序要求 用于Windows 的ePolicy Orchestrator 代理程序安装并运行在至少具有如下配 置的任何Intel Pentium、Celeron 或兼容处理器的计算机上: , Citrix - 支持的操作系统都支持以下这些Citrix 产品: o Citrix Metaframe 1. 8 for Windows。 o Citrix Metaframe XP for Windows。 , 集群- 当使用集群服务时，系统可支持Microsoft Cluster Server (MSCS)。 , 可用磁盘空间(代理程序) - 5 MB。 , 可用磁盘空间(产品)- 要部署的每个McAfee 防病毒产品和安全产品都 要求在客户机上有足够的磁盘空间。详细信息，请参阅相应的产品文档。 , 内存- 8 MB RAM。 , 网络环境- Microsoft 或Novell NetWare 网络。NetWare 网络需要TCP/IP 协议。 , NIC - 支持TCP/IP 的网络接口卡(NIC)。 33 电话:028,85454338(总机) 地址:成都市临江东路36号锦江花园城钻石座18,C1 WWW.CTIME.COM.CN 企业网络防病毒整体解决方案 , 操作系统- 以下任何Microsoft Windows 操作系统: o 带有Service Pack 1、2 或3 的Windows 2000 Advanced Server。 o 带有Service Pack 1、2 或3 的Windows 2000 Datacenter Server。 o 带有Service Pack 1、2 或3 的Windows 2000 Professional。 o 带有Service Pack 1、2 或3 的Windows 2000 Server。 o Windows 95。 o Windows 98 Second Edition (SE)。 o Windows 98。 o Windows Millennium Edition (Me)。 o 带有Service Pack 4、5、6 或6a 的Windows NT 4.0 Enterprise Server。 o 带有Service Pack 4、5、6 或6a 的Windows NT Server 4.0。 o 带有Service Pack 4、5、6 或6a 的Windows NT Workstation 4.0。 o Windows Server 2003 Enterprise。 o Windows Server 2003 Standard。 o Windows Server 2003 Web。 o 带有Service Pack 1 的Windows XP Home。 o 带有Service Pack 1 的Windows XP Professional。 3. 企业防病毒系统具体设计 3.1、企业病毒防护系统的组成 根据企业的网络结构和对病毒来源的分析，企业病毒防护系统由四部分组 成: , 网关病毒防护:对出入网关的HTTP,FTP,SMTP,POP3流量进行病毒防护。 , 服务器和群件病毒防护:对各种服务器进行病毒扫描和清除，集中报警; 对Lotus Notes/Domino服务器、数据库进行病毒扫描和清除。 , 桌面病毒防护:针对各种桌面操作系统，进行病毒扫描和清除; 34 电话:028,85454338(总机) 地址:成都市临江东路36号锦江花园城钻石座18,C1 WWW.CTIME.COM.CN 企业网络防病毒整体解决方案 , 防病毒管理系统:在企业内部安装、建立防病毒软件管理系统，对所有客 户端防病毒软件进行统一管理。 3.2、防病毒系统总体架构 为了实现全局防病毒的总体目标，遵循企业防病毒系统建立原则，提出以下的防病毒技术整体架构: 整体架构包括了全方位的防病毒产品部署及管理。在全局网络中，防病毒机制实现总部、二级单位、三级单位三级管理，在三级网络中分别部署防病毒服务器。 总部设立全局的根服务器，承担全局的防病毒产品升级、防护策略制订、报警管理、病毒统计报表生成等工作，总部管理控制台管理总部内部所有防病毒产品;二级单位分别部署管理服务器，作为自己所在局域网络的防病毒管理控制台，二级单位管理控制台管理所在单位的防病毒产品;三级单位部署防病毒服务器，承担所在三级单位的软件分发、升级和病毒防护策略的分发。实现全网防病毒体系的三级管理。 以下是企业网络防病毒整体架构拓扑图: 35 电话:028,85454338(总机) 地址:成都市临江东路36号锦江花园城钻石座18,C1 WWW.CTIME.COM.CN 企业网络防病毒整体解决方案 图2.2企业防病毒整体架构拓扑图 在企业防病毒整体架构中，需要部署以下几方面功能组件: , 防病毒集中管理平台:负责产品自动分发、升级、生成病毒报告等。 , 服务器防病毒:负责生产办公网络中的所有服务器的病毒防护。 , 群件防病毒:负责邮件系统病毒防护 , 客户端防病毒:全面防护各种类型操作系统的客户端的病毒 , 网关防病毒:防护来自Internet的病毒，对从Internet来的流量进行内容 过滤 下面分别对企业防病毒体系对以上几方面功能组件的需求进行具体描述: 企业的防病毒系统分为总部、二级单位、三级单位三个层次，上级单位有查看、监控下级单位的权限。在总部网络中心、二级单位网络中心和三级单位网络中心部署ePO服务器，由专职或兼职的防病毒系统管理员进行维护。ePO服 36 电话:028,85454338(总机) 地址:成都市临江东路36号锦江花园城钻石座18,C1 WWW.CTIME.COM.CN 企业网络防病毒整体解决方案 务器用来对防病毒软件进行集中管理、配置，并收集、汇总防病毒系统的报告。 各级网络中心的管理服务器和网管负责所辖范围的防病毒软件的配置、安装和事件管理，整个防病毒系统由分层的结构组成，同时又构成上下级层次关系。在管理上，上级单位只需管到下级单位就可以，而无须越级管理。 各级单位负责自己所辖区域的防病毒软件的分发、管理、配置、安装和升级数据的提供，集中收集所辖区域的病毒报警事件，汇总病毒扫描报告和状态，维护所辖区域防病毒软件的一致性和动态防御能力。 利用管理控制台，在一个集中的界面下，对所辖防病毒域的机器安装防病毒域软件、卸载防病毒软件、配置和修改防病毒软件，这些所有操作简化了最终用户使用防病毒软件的复杂性，同时使管理对所辖范围的病毒感染情况和防病毒情况有一个集中的了解，利用这些数据再制定所辖域的防病毒策略。 在全局范围内部署升级体系，维护统一的升级策略，实现全网病毒定义码、扫描引擎、防病毒软件补丁、Extra.DAT等的统一自动更新和升级。 3.2.1总部防病毒系统 管理控制台部署 总部网络中心负责建立总部的防病毒系统;接收各二级单位网络中心的防病毒报告;负责建立全局的主升级服务器;对各二级单位网络中心的管理服务器进行监控。 在总部网络中心安装防病毒管理服务器ePO和ePO控制台。总部网络中心的管理服务器和防病毒系统管理员负责总部的防病毒软件的配置、安装和事件管理，同时收集所辖区域的防病毒软件产生的报告。 在总部网络中心的ePO服务器上对各二级单位网络中心的ePO服务器的数据进行定期、自动地汇总，收集全局的防病毒系统实施情况、部署情况，收集全局的病毒信息，并作出相应的对策。 在总部网络中心建立全局的升级服务器，定期、自动地同MCAFEE病毒升级站点FTP://ftp.McAfee.com或的最新的病毒定义 37 电话:028,85454338(总机) 地址:成都市临江东路36号锦江花园城钻石座18,C1 WWW.CTIME.COM.CN 企业网络防病毒整体解决方案 码和扫描引擎进行同步，为二级单位网络中心的升级服务器提供数据。 总部网络中心负责向MCAFEE公司的病毒响应组织AVERT提交下级单位提交的病毒样本，并根据AVERT的建议，采取相应的措施，如是否进行全网规模的病毒定义码的紧急更新。 在总部网络中心的内部网Web服务器上开设防病毒支持专栏，提供文件下载、病毒告警、常见技术问题解答，用户讨论。 服务器及工作站防病毒产品部署 总部网络上所有的Windows服务器、工作站，均安装部署服务器和客户端防病毒软件VirusScan EnterPrise，定期或者在每次登录网络时自动检查防病毒服务器版本、自动更新，配置统一的病毒实时监测、实时查杀策略及报警策略，随时向防病毒服务器发送病毒报警信息。客户端不能修改相关策略。 邮件/群件防病毒产品部署 Notes服务器部署针对Lotus Notes平台开发的专用防毒产品GroupShield，GroupShield能够即时扫描邮件附加文档、资料库附加文档中的病毒，并且支持扫描常用的压缩文档格式和电子邮件编码格式。发现病毒时可自动加以清除，并自动寄送使用者的警示信息给寄件人、收件人及系统管理者。防止病毒经由Lotus Notes环境扩散。GroupShield同样由防病毒服务器ePO进行管理、升级和报告汇总。 网关防病毒产品部署 总部出口防火墙处部署Internet网关防病毒产品WebShield e1000，在Internet网关位置全面拦截病毒，随时监控避免病毒威胁，实时扫描FTP、SMTP、POP3传输渠道自动清除染毒文件;实时扫描HTTP传输渠道锁定可疑的Java applets和ActiveX等插件。WebShield e1000同样由防病毒服务器ePO进行管理、升级和报告汇总。 辅助手段的部署 防病毒产品部署后，仍然会存在这样的问题:如果客户端不安装、或者安装但不启用、启用而不及时升级或拒绝升级、拒绝统一管理都会造成部署的失败， 38 电话:028,85454338(总机) 地址:成都市临江东路36号锦江花园城钻石座18,C1 WWW.CTIME.COM.CN 企业网络防病毒整体解决方案 防病毒体系不能发挥应有的作用。因此，一定要有客户端强制分发、软件强制自动升级、防病毒实时监视器强制打开、强制的日志及警报机制。同时需要部署客户端扫描产品，扫描发现指定网段内未装防毒软件的客户端，扫描网内客户端易被病毒攻击的漏洞，对未安装补丁程序的机器发出告警或实施隔离;部署网络流量异常查看分析工具，及时发现网内的可疑流量，迅速定位染毒主机;ePO防病毒服务器提供了该部分的功能。 总部防病毒部署构想拓扑图如下: 图2.3总部防病毒部署拓扑图 3.2.2二级单位防病毒系统 管理控制台部署 二级单位网络中心防病毒系统管理二级单位网络中心各LAN及三级单位网络中心防病毒系统。 39 电话:028,85454338(总机) 地址:成都市临江东路36号锦江花园城钻石座18,C1 WWW.CTIME.COM.CN 企业网络防病毒整体解决方案 在各二级单位网络中心安装病毒管理服务器ePO和ePO控制台，可在一台服务器上集成安装ePO管理服务器和ePO控制台。各二级单位网络中心的管理服务器负责所辖范围的防病毒软件的配置、安装和事件管理，同时收集所管理的防病毒软件产生的报告。 在二级单位网络中心安装建立升级服务器，定期、自动地从总部网络中心得到最新的病毒定义码的扫描引擎，同时为所辖三级单位网络中心的升级服务器提供数据。 各二级单位网络中心负责自己所辖区域的防病毒软件的分发、管理、配置、安装和升级数据的提供，集中收集所辖区域的病毒报警事件，汇总病毒扫描报告和状态，维护所辖区域防病毒软件的一致性和动态防御能力。 二级单位网络中心负责向总部网络中心提交下级单位提交上来的病毒样本，并根据总部网络中心的决定，采取相应的措施，如是否进行病毒定义码的紧急更新。 在有条件的二级单位网络中心的内部网Web服务器上开设防病毒支持专栏，提供文件下载、病毒告警、常见技术问题解答。 服务器及工作站防病毒产品部署 二级单位网络上所有的Windows服务器、工作站，均安装部署服务器和客户端防病毒软件VirusScan EnterPrise，定期或者在每次登录网络时自动检查防病毒服务器版本、自动更新，配置统一的病毒实时监测、实时查杀策略及报警策略，随时向防病毒服务器发送病毒报警信息。客户端不能修改相关策略。 邮件/群件防病毒产品部署 Notes服务器部署针对Lotus Notes平台开发的专用防毒产品GroupShield，GroupShield能够即时扫描邮件附加文档、资料库附加文档中的病毒，并且支持扫描常用的压缩文档格式和电子邮件编码格式。发现病毒时可自动加以清除，并自动寄送使用者的警示信息给寄件人、收件人及系统管理者。防止病毒经由Lotus Notes环境扩散。GroupShield同样由防病毒服务器ePO进行管理、升级和报告汇总。 40 电话:028,85454338(总机) 地址:成都市临江东路36号锦江花园城钻石座18,C1 WWW.CTIME.COM.CN 企业网络防病毒整体解决方案 网关防病毒产品部署 有独立Internet出口的二级单位，在出口防火墙处部署Internet网关防病毒产品WebShield e500，在Internet网关位置全面拦截病毒，随时监控避免病毒威胁，实时扫描FTP、SMTP、POP3传输渠道自动清除染毒文件;实时扫描HTTP传输渠道锁定可疑的Java applets和ActiveX等插件。WebShield e500同样由防病毒服务器ePO进行管理、升级和报告汇总。 辅助手段的部署 防病毒产品部署后，仍然会存在这样的问题:如果客户端不安装、或者安装但不启用、启用而不及时升级或拒绝升级、拒绝统一管理都会造成部署的失败，防病毒体系不能发挥应有的作用。因此，一定要有客户端强制分发、软件强制自动升级、防病毒实时监视器强制打开、强制的日志及警报机制。同时需要部署客户端扫描产品，扫描发现指定网段内未装防毒软件的客户端，扫描网内客户端易被病毒攻击的漏洞，对未安装补丁程序的机器发出告警或实施隔离;部署网络流量异常查看分析工具，及时发现网内的可疑流量，迅速定位染毒主机;ePO防病毒服务器提供了该部分的功能。 二级单位防病毒部署构想拓扑图如下: 41 电话:028,85454338(总机) 地址:成都市临江东路36号锦江花园城钻石座18,C1 WWW.CTIME.COM.CN 企业网络防病毒整体解决方案 图2.4二级单位防病毒部署拓扑图 4.2.3三级单位防病毒系统 防病毒管理服务器部署 三级单位网络中心防病毒系统管理三级单位网络中心各LAN及所属各下级单位防病毒系统。 在各三级单位网络中心安装病毒管理服务器ePO和ePO控制台，可在一台服务器上集成安装ePO管理服务器和ePO控制台。各三级单位网络中心的管理服务器负责所辖范围的防病毒软件的配置、安装和事件管理，同时收集所管理的防病毒软件产生的报告。 在三级单位网络中心安装建立升级服务器，定期、自动地从二级单位网络中心得到最新的病毒定义码的扫描引擎。 42 电话:028,85454338(总机) 地址:成都市临江东路36号锦江花园城钻石座18,C1 WWW.CTIME.COM.CN 企业网络防病毒整体解决方案 各三级单位网络中心负责自己所辖区域的防病毒软件的分发、管理、配置、安装和升级数据的提供，集中收集所辖区域的病毒报警事件，汇总病毒扫描报告和状态，维护所辖区域防病毒软件的一致性和动态防御能力。 三级单位网络中心负责向二级单位网络中心提交下级单位提交上来的病毒样本，并根据二级单位网络中心的决定，采取相应的措施，如是否进行病毒定义码的紧急更新。 服务器及工作站防病毒产品部署 三级单位网络上所有的Windows服务器、工作站，均安装部署服务器和客户端防病毒软件VirusScan EnterPrise，定期或者在每次登录网络时自动检查防病毒服务器版本、自动更新，配置统一的病毒实时监测、实时查杀策略及报警策略，随时向防病毒服务器发送病毒报警信息。客户端不能修改相关策略。 邮件/群件防病毒产品部署 Notes服务器部署针对Lotus Notes平台开发的专用防毒产品GroupShield，GroupShield能够即时扫描邮件附加文档、资料库附加文档中的病毒，并且支持扫描常用的压缩文档格式和电子邮件编码格式。发现病毒时可自动加以清除，并自动寄送使用者的警示信息给寄件人、收件人及系统管理者。防止病毒经由Lotus Notes环境扩散。GroupShield同样由防病毒服务器ePO进行管理、升级和报告汇总。 三级单位防病毒部署构想拓扑图如下: 43 电话:028,85454338(总机) 地址:成都市临江东路36号锦江花园城钻石座18,C1 WWW.CTIME.COM.CN 企业网络防病毒整体解决方案 图2.5三级单位防病毒部署拓扑图 3.3部署模式 防病毒系统的部署按照企业的管理模式分为3级，总部,二级单位,三级单位。三级模式包含升级、配置和管理工作的三个层次。 1) 病毒管理体系分为3个层次，总部,二级单位,三级单位。 2) 各级网络中心必须建立完整的管理平台，包含管理服务器、控制台、升级服 务器。 3) 管理系统(ePO) 必须在各级网络中心部署。 4) 总部网络中心负责建立总部的防病毒系统;接收各二级单位网络中心的防病 毒报告;负责建立全局的主升级服务器。对各二级单位网络中心的管理服务 器进行监控。 5) 二级单位网络中心负责管理全省的防病毒系统，与三级单位网络中心的管理 44 电话:028,85454338(总机) 地址:成都市临江东路36号锦江花园城钻石座18,C1 WWW.CTIME.COM.CN 企业网络防病毒整体解决方案 关系类似总部网络中心与二级单位网络中心的管理关系。 6) 各二级单位网络中心的ePO负责管理直属于二级单位的联网PC和服务器。 二级单位网络中心的病毒代码更新、升级服务器与总部网络中心的病毒代码 更新、升级服务器作镜像。 7) 三级单位网络中心安装ePO，负责管理三级单位及各下级单位的防病毒系 统。 8) 病毒报告由三级单位, 二级单位,总部集中。 9) 病毒定义码更新和扫描引擎升级由总部,二级单位,三级单位进行Mirror 同步。 10) 病毒警报由总部,二级单位,三级单位传达。 3.4防病毒软件的安装分发 在防病毒系统的实施过程中，防病毒软件的安装、管理是非常重要的一个方面。MCAFEE公司的ePO管理平台提供了灵活的、形式多样的软件安装方法。总部网络中心和各分支机构可根据实际情况，选择安装方式。 防病毒软件的安装方法: (1) 利用光盘直接安装:直接在客户端运行安装程序，可采用按提 示安装，或采用Silent安装(即无提示安装)，同时安装ePO Agent程序。这种方法适用于大规模的部署实施，安装速度较 快，在安装的同时可对计算机中的病毒进行清除。 (2) 通过ePO分发:对于安装ePO代理程序(Agent)的客户端， 可以通过ePO对防病毒软件进行分发并管理。这种情况适用于 Agent以较高的速率与ePO Server通信，例如，Agent与Server 在同一个局域网。 (3) 登录脚本:若客户端可以登录到域，可采用域登录脚本的方式 进行安装。 (4) WEB下载安装:在企业的内部站点上放置安装程序，用户可 从网站下载程序进行安装。同时，安装ePO Agent 45 电话:028,85454338(总机) 地址:成都市临江东路36号锦江花园城钻石座18,C1 WWW.CTIME.COM.CN 企业网络防病毒整体解决方案 (5) 文件共享:在文件服务器或共享目录中放置安装程序。 ePO对客户端的管理非常方便，只要在客户端安装Agent程序即可被ePO所管理。ePO的Agent与ePO的通信是基于IP的，不需要WINS服务或NT域服务，可以轻松地跨越路由器、VLAN等不同网段。 ePO所维护的防病毒软件库可以同时维护和管理不同版本、不同语言、不同操作系统的防病毒软件，用户可以任选所需的版本进行分发安装。对于已经安装了Norton防病毒软件的客户端，如果不想安装McAfee的防病毒软件，ePO服务器一样也可以对Norton的防病毒软件进行集中管理，包括防病毒软件的配置、升级、扫描和报告。 3.5 防病毒管理系统 MCAFEE公司的AVD可为企业提供灵活的、可扩展的防病毒管理系统。 AVD的ePO管理平台具有强大的扩展能力，不仅可以管理所有的McAfee防病毒软件，也可以管理第三方(如Norton)的防病毒软件，对于已经购买了一部分第三方防病毒软件的用户，可以最限度地保护用户已有的投资和使用习惯。一台ePO服务器最多可管理25万台计算机的管理能力，可为基于大数据中心模型的集中管理模式提供强有力的保证。基于加密的通信方式也保证的数据中心对安全性的要求。 3.5.1 集中管理、分级维护的防病毒管理体系 在企业总部网络中心分别安装防病毒网管、管理服务器和防病毒软件库。管理服务器和网管负责所辖范围的防病毒软件的配置、安装和事件管理，同时收集所辖区域的防病毒软件产生的报告。 在各二级单位网络中心分别安装防病毒网管、管理服务器和防病毒软件库。各二级单位网络中心的管理服务器和网管负责所辖范围的防病毒软件的配置、安装和事件管理，同时收集所辖区域的防病毒软件产生的报告。 46 电话:028,85454338(总机) 地址:成都市临江东路36号锦江花园城钻石座18,C1 WWW.CTIME.COM.CN 企业网络防病毒整体解决方案 通过ePO内置的数据库和病毒信息数据库的合并功能。各二级单位网络中心可以共享病毒信息，由此制定出相应的防病毒策略。各二级单位网络中心管理各自的防病毒区域，总部网络中心可通过管理控制台来管理或查看各二级单位网络中心的防病毒管理策略、情况等。 3.5.2 扩展的防病毒管理体系 根据企业的管理模式、各三级单位网络中心的规模情况和网络的带宽，我们也可以建立扩展的防病毒管理体系。 具体地来说，可以根据上述几点，在某些需要建立防病毒管理系统的三级单位网络中心，建立相应的防病毒管理服务器。负责管理本级网络及其所辖各分支机构的防病毒软件，并向二级单位网络中心作防病毒报告。 各级网络中心的管理服务器和网管负责所辖范围的防病毒软件的配置、安装和事件管理，整个防病毒系统由分层的结构组成，同时又构成上下级层次关系。在管理上，上级只需管到下级就可以，而无须越级管理。 各级网络中心负责自己所辖区域的防病毒软件的分发、管理、配置、安装和升级数据的提供，集中收集所辖区域的病毒报警事件，汇总病毒扫描报告和状态，维护所辖区域防病毒软件的一致性和动态防御能力。 47 电话:028,85454338(总机) 地址:成都市临江东路36号锦江花园城钻石座18,C1 WWW.CTIME.COM.CN 企业网络防病毒整体解决方案 95/98/3.95/98/3.x/x/ 总行 NT WS/NT ServerNT WS/NT Server 管理服务器 软件库 控制台 省行 广域网 95/98/3.x/ 95/98/3.x/ NT WS/NT Server NT WS/NT Server 管理服务器 软件库 控制台 管理服务器 软件库 控制台 广域网 地市行 95/98/3.x/ 管理服务器 软件库 NT WS/NT Server 图 企业防病毒系统的扩展总体结构 和企业的网络结构相对应，防病毒系统的管理也构成层次型的结构，如下图 所示。防病毒系统是按照各自的防病毒区域来管理的。 总行管理控制台 省行管理控制台 地市行管理控制台 48 电话:028,85454338(总机) 地址:成都市临江东路36号锦江花园城钻石座18,C1 WWW.CTIME.COM.CN 企业网络防病毒整体解决方案 图 防病毒的管理结构 利用管理控制台，在一个集中的界面下，对所辖防病毒域的机器安装防病毒域软件、卸载防病毒软件、配置和修改防病毒软件，这些所有操作简化了最终用户使用防病毒软件的复杂性，同时使管理对所辖范围的病毒感染情况和反病毒情况有一个集中的了解，利用这些数据再制定所辖域的防病毒策略。 3.5.3 防病毒管理系统的主要特点及功能 3.5.3.1 强大的广域网管理能力 MCAFEE的防病毒管理系统是针对广域网络进行了优化设计，更加适合通过广域网络进行防病毒软件的管理。提供带宽控制功能，在ePO服务器上，可对同时的并发连接数量进行控制，可有效地对内联网络带宽进行控制。 3.5.3.2 安全性 Agent与服务器的通信采用加密技术，控制台与服务器的通信也采用加密技术，这些都保证了防病毒管理系统的安全性。也满足了企业对安全、保密性的要求。 3.5.3.3 基于目录的管理方法 MCAFEE公司的防病毒管理系统提供基于目录的管理方法。在单一的防病毒管理服务器上(ePO服务器)，可以设置不同的组，每一个组可以有不同的管理策略。这种功能是在企业上实施防病毒管理系统的基本保证。举例来说，一个ePO服务器管理通过广域网络连接的位于不同地点的桌面端防病毒软件。我们可在ePO服务器上建立相应的组，可根据网络带宽等具体情况对每个组制定不同的策略，防止同时访问服务器对广域网络造成的压力。 49 电话:028,85454338(总机) 地址:成都市临江东路36号锦江花园城钻石座18,C1 WWW.CTIME.COM.CN 企业网络防病毒整体解决方案 3.5.3.4 强大的报告能力 MCAFEE的防病毒系统采用数据库技术进行事件统计、汇总，具有功能强大的报告能力。支持图形化报告，并可由用户定制报告模板和内容。 用户利用MCAFEE的报告功能，可对企业内部的病毒分布、感染情况有全面、直观的了解，快速地找出病毒源头，并制定出更加有效的防病毒策略。 3.6 防病毒软件的分发、管理 在防病毒系统的实施过程中，防病毒软件的分发、管理是非常重要的一个方面。MCAFEE公司的ePO管理平台提供了灵活的、形式多样的软件分发及管理方法。 3.6.1 防病毒软件的分发: , 通过ePO分发:对于安装ePO代理程序(Agent)的客户端，可以通过ePO 对防病毒软件进行分发并管理。这种情况适用于Agent以较高的速率与 ePO Server通信，例如，Agent与Server在同一个局域网。 , 直接安装:通过光盘安装、文件共享、登录脚本等多种方式，在客户端也 可以采取首先安装防病毒软件，再安装Agent程序。这样，防病毒软件可 直接纳入到防病毒管理系统中。这种情况适用于Agent与Server通过速率 较低的广域网相连接。 3.6.2 防病毒软件的管理: , 树形目录管理:ePO对客户端的管理采用树形目录管理，可按组织结构、 地理分布等信息组建相应的管理结构。 , 基于IP的管理:ePO Server与安装Agent的客户端只通过IP进行管理， 不需要复杂的WINS服务。 50 电话:028,85454338(总机) 地址:成都市临江东路36号锦江花园城钻石座18,C1 WWW.CTIME.COM.CN 企业网络防病毒整体解决方案 , 安全性:ePO Server与Agent的通信是加密传输的，保证了数据的安全性。 , 自动分类:ePO提供了自动分类的功能，可针对不同的目录组设置不同的 IP地址范围。这样，客户端可根据IP地址，自动地加入到相应的组中。 从上面安装方式，我们可知ePO对客户端的管理非常方便，只要在客户端安装Agent程序即可，并且Agent与ePO的通信是基于IP的，不需要WINS服务或NT域服务，可以轻松地跨越路由器、VLAN等不同网段。 ePO所维护的防病毒软件库可以同时维护和管理不同版本、不同语言、不同操作系统的防病毒软件，用户可以任选所需的版本进行安装和分发。 3.7 配置和集中管理 从管理台上可以集中对病毒软件库中的防病毒软件组件进行配置，通过配置可以简化客户端的管理和提高运行效率。配置内容包括: , 客户端防病毒软件的缺省安装方式和参数; , 防病毒软件的运行参数; , 扫描方式定制; , 缺省扫描范围确定; , 碰到病毒后的处理等; , 定时升级和更新设置; 从控制台上对所辖域进行病毒扫描控制，建立各种定时任务，由控制台触发，然后由各被管理机器运行。同时可对日志文件的各种格式进行控制。在管理服务器上建立了集中的病毒分发报告、各被管机器的病毒扫描报告、所安装软件的版本等报告，所有病毒扫描状态信息都可由控制台得到。病毒扫描状态表明了是报警、未知、正常或警告等。扫描状态信息按照时间信息来归类和存档。 控制台上可以对某些机器启动病毒扫描运行，同时，管理员可通过控制台确认各客户端的病毒扫描状态。 集中配置和管理可以针对一台计算机、一组计算机或全部计算机来进行。 51 电话:028,85454338(总机) 地址:成都市临江东路36号锦江花园城钻石座18,C1 WWW.CTIME.COM.CN 企业网络防病毒整体解决方案 集中管理和配置时，管理员可以设定某些配置项锁定，进行口令加密控制，使的用户不能随意改变防病毒软件的设置。在进行口令加密控制时，可以选择一组或一部分选项进行加密控制，而其他的选项允许用户来改变。 3.8 任务调度和执行 任务调度和执行分为客户端的调度和控制台的调度，控制台的调度可以设置指定时间启动病毒扫描，操作对象可以是一台机器、一组机器或整个域的机器。同时可以设定扫描时的参数和范围，扫描结果记录日志文件中。 对于客户端的调度，可以是指定时间进行升级和更新请求、或者是对指定文件或目录的病毒扫描、或者是对整个系统的扫描。扫描结果记入日志文件中并可通过控制台来浏览查看。 对于扫描范围的确定，可以是很灵活的，可根据上次的扫描状态来进行下次的扫描工作。 客户端和控制台调度都包含一个任务表，任务表给出每个任务的详细定义、对象和执行状态。 任务调度管理控制台，负责任务的建立、跟踪和启动。 3.9 邮件服务器防病毒系统 3.9.1 环境 Notes作为企业办公自动化的基础软件平台，在企业办公自动化系统的构建中起着举足轻重的作用。也就是说，为了建立企业办公自动化系统的防病毒体系，需要首先进行Notes结构分析，以建立以Notes为核心的信息传递平台的防病毒体系。 52 电话:028,85454338(总机) 地址:成都市临江东路36号锦江花园城钻石座18,C1 WWW.CTIME.COM.CN 企业网络防病毒整体解决方案 3.9.2 产品 利用MCAFEE的Group Shield 来解决Notes的防病毒， Group Shield是专门针对Notes数据库的强大的群件防病毒解决方案，它具有如下特点: 连续监控和保护Notes网络免受Notes邮件所携带的病毒和恶意程序的攻击;它实时地检测和隔离通过Notes网络的病毒; Group Shield允许主动对Notes网络进行病毒扫描，可以检测所有已知病毒、Notes程序攻击和未知的病毒变体;当检测到时，可以清除、记录、隔离带病毒的附件，避免扩散到其他Notes应用和Notes邮件; Notes的病毒隔离区是Notes数据库，它是所有检测到病毒的仓库;Notes管理员可以从数据库中分析、跟踪新的或未知病毒源，简化Notes环境的病毒检测; 可以配置Group Shield扫描所有Notes数据库访问或部分行为;同样，它可以扫描所有附件或指定类型的附件。病毒扫描可以按On-Demand或予设的任务计划来进行。 Group Shield采用MCAFEE最新的病毒扫描引擎，对boot区病毒、文件病毒、宏病毒、变形病毒、木马程序等进行高效扫描(80000种以上已知病毒)，支持对压缩文件的实时扫描(.zip,.cab,uuencode,lzexe,lha/lzh,pklite)，同时针对未知病毒支持启发式扫描。 当发现病毒时，可以清除病毒、拷贝感染文件到病毒隔离区、删除感染文件。Group Shield可以通知用户病毒感染，进行病毒数据和自身的升级。 GroupShield使用多线程技术和可设定的CPU优先级管理，以提供目前最高效的实时病毒扫描和清除。 GroupShield的病毒扫描分三种操作: , On-access Monitor:自动扫描Notes数据库记录;可以指定对Notes网 络中的邮件及附件、数据库读、数据写; , On-Demand Task:按照予设的任务来进行病毒扫描;用户可以设定多 53 电话:028,85454338(总机) 地址:成都市临江东路36号锦江花园城钻石座18,C1 WWW.CTIME.COM.CN 企业网络防病毒整体解决方案 个任务，完成不同的扫描任务; , 按命令即时扫描，对指定的Notes数据库进行扫描; GroupShield除了支持以上扫描、清除、处理功能外，还提供强大的系统管理功能: , 集中配置和管理。通过ePO服务器，可以从一个中央控制台对服务器 参数进行设置，启动扫描命令，设定定期扫描计划。 , 集中管理多台GroupShield的扫描和工作报告。GroupShield的报告内 容包含病毒事件的时间、病毒名称、感染文件或数据库、机器、发件 人和收件人。告警方式支持Notes邮件报警和MCAFEE的Alert Manager(9种告警方式,如电子邮件、SNMP、Pager等)。 , 按病毒、时间等设定的日志过滤功能使管理员能够分析、跟踪相关的 病毒感染事件。 , 集中控制病毒特征和软件的定期更新和升级。 GroupShield for Notes包含丰富的统计和报告功能: , 服务器状态:给出GroupShield的活动信息; , 扫描状态:给出最近扫描的信息; , 统计信息:给出已扫描文件的统计信息; GroupShield for Notes在扫描病毒时，可以设定可占用的CPU资源，可用的CPU资源分为5个不同的等级。同时GroupShield可以实现增量扫描，只扫描上次扫描以来存储的文档，这样提高病毒的扫描效率。 GroupShield for Notes具有集中日志记录和病毒告警功能，病毒告警可以Email到指定的Email帐号，管理员可以看到所有范围的病毒事件。 3.9.3部署方式 Notes病毒防护系统将保证病毒不通过Notes的电子邮件传播，并且不能进入Notes数据库;保证从Internet发来的电子邮件不能携带病毒进入Notes服务器。 54 电话:028,85454338(总机) 地址:成都市临江东路36号锦江花园城钻石座18,C1 WWW.CTIME.COM.CN 企业网络防病毒整体解决方案 Notes服务器上的GroupShield作为Notes的服务器应用，实时监视往来邮件的数据。一旦发现邮件中包含病毒，将实时清除病毒，并通知网管员、发件人和收件人。 GroupShield将配置为实时监视对设定的Notes数据的修改操作，一旦发现写入Notes数据库的文件包含病毒，将实时清除病毒并告警。 3.9.4 管理模式 GroupShield支持灵活的管理模式。通过设置适当的权限，企业中心可对整个Notes域内的所有GroupShield进行管理。 总部网络中心的管理工作包含: , 缺省配置管理; , 定时扫描管理; , 自动升级管理; , 报告和事件分析; , 远程启动扫描; 二级单位网络中心可同时对本省的GroupShield进行全面管理。各三级单位网络中心可对三级单位GroupShield进行管理。 3.10 病毒自动更新和升级 MCAFEE防病毒软件是由病毒特征样本文件和病毒扫描引擎组成，即:.DAT+引擎。其中.DAT文件包含了MCAFEE的防病毒软件所能扫描的病毒的特征样本，它决定者防病毒软件扫描病毒数量和范围。由于新病毒的出现频率较高，所以.DAT文件会经常变化和更新。.DAT文件的更新就会使原来的防病毒系统能处理新出现的病毒，保证防病毒系统的动态防御能力。引擎控制病毒扫描和清除的方式、效率，其中包含了独特的模式匹配技术和启发式扫描技术;一般来说，引擎的变化比较慢，周期比较长。只有当新的技术出现或对以前版本有补 55 电话:028,85454338(总机) 地址:成都市临江东路36号锦江花园城钻石座18,C1 WWW.CTIME.COM.CN 企业网络防病毒整体解决方案 充时，才会发布新的引擎。对于MCAFEE的所有防病毒产品，都共享同样的病毒特征样本文件。 病毒防护系统的升级包括.DAT文件和扫描引擎的自动更新(update)。MCAFEE提供了企业用户的.DAT文件和扫描引擎的升级方式。 对于企业用户，病毒样本文件的更新分为两个阶段: , 管理服务器自动从MCAFEE将最新的病毒库和扫描引擎下载到管理服务 器。 , 管理服务器自动将最新的病毒库和扫描引擎推送到企业内部的升级服务 器上。 , 企业内的各种用户(包括桌面，服务器等)从本地网络中的升级服务器中得 到更新的.DAT文件和扫描引擎; 对于ePO管理的计算机，由ePO制定相应的策略，ePO的Agent程序会遵循策略，自动地完成防病毒软件的更新、升级工作。 为了减少广域网的流量，可以在各级行网络中心为本地用户集中维护升级和更新数据。 企业防病毒系统升级方案如图所示。 56 电话:028,85454338(总机) 地址:成都市临江东路36号锦江花园城钻石座18,C1 WWW.CTIME.COM.CN 企业网络防病毒整体解决方案 图 企业防病毒系统升级方案 3.11 小结 综上所述，MCAFEE 反病毒产品完全满足企业病毒防治系统需求，能很好完成企业防病毒系统提出的产品完整性、优异的病毒防护能力、稳定性和兼容性、安装能力、紧急处理和新病毒响应能力、集中和统一的智能化管理、事件报警和日志分析综合能力、病毒代码和引擎的升级能力、系统资源占用情况的性能需求，并且利用ePO的强大管理能力，可以管理企业现有的第三方防病毒软件(如Norton产品),将其纳入ePO的统一管理平台之下，尽可能地保护用户已有的投资。 希望通过本设计方案，在企业系统内建立起强大的病毒防治系统，为企业建设作出贡献。 57 电话:028,85454338(总机) 地址:成都市临江东路36号锦江花园城钻石座18,C1 WWW.CTIME.COM.CN 企业网络防病毒整体解决方案 58 电话:028,85454338(总机) 地址:成都市临江东路36号锦江花园城钻石座18,C1 WWW.CTIME.COM.CN