【文章內容簡介】 加保護層，因此，即使不安裝安全漏洞補丁計算機也是安全的，從而為安裝計算安全補丁贏得了時間， 同時也提供了主動的安全防護手段。 McAfee VirusScan Enterprise 8i（簡稱 VSE 8i） ： VSE 8i 是 McAfee 企業(yè)機防病毒系統(tǒng)，其最大優(yōu)勢是可以完全做到不需要病毒簽名就可以阻擋任何蠕蟲病毒 ；另外， VSE8i 的內存掃描功能可以確保不需要重啟計算機就可以清除蠕蟲病毒或者后門程序；此外 VSE8i 還集成了 Mc Afee AntiSpyware，探測和清除間諜程序。 VSE 8i 通過免費的 Mc Afee ePolicy Orchestrator （簡稱 ePO）進行集中管理，包括分發(fā)、自動更新、報警、通知和報表管理，同時， ePO 可以探測為首防病毒軟件保護的計算機，然后發(fā)出警報。 McAfee Policy Enforcer（簡稱 MPE） ： MPE 是 McAfee 的網(wǎng)絡訪問控制產品，它的目的是為了確保連接到公司網(wǎng)絡的計算機沒有威脅存在，從而確保企業(yè)的網(wǎng)絡安全。所以，MPE 會在計算機連接到網(wǎng)絡是掃描評估計算機是否存在病毒、蠕蟲、是否存在被致命威脅利用的安全漏洞，是否違反企業(yè)的安全策略，一旦發(fā)現(xiàn)計算機存在威脅或者違反了企業(yè)安全策略， MPE 機通過局域網(wǎng)交換機隔離 該計算機，然后，通過單鍵點擊修補該計算機，經(jīng)重新評估計算機符合了企業(yè)安全策略后，才允許該計算機訪問企業(yè)網(wǎng)絡資源。 部署 方案 FS1000 的部署 FS1000 的部署如下圖 ： 本文檔僅限 McAfee 公司和被呈送方內部使用，未經(jīng)許可，請勿擴散到第三方。 第 13 頁 共 34 頁 FS10 00 部署生產網(wǎng)管理網(wǎng)寶鋼 /I nt e rne tFo u n d S to n eFS1 0 0 0Rem o teS ca n E n g ine此為案例，需要用戶提供拓撲后，再放置在合理的位置 FS1000 設備部署在 XXX 管理 網(wǎng) 絡 ，通過服務器的 LAN 1 端口連接到 OA 網(wǎng)接入交換機上 ，在 生產 網(wǎng)絡部署 Remote Scan Engine，通過 SOAP 和 SSL 加密連接 到 OA 網(wǎng)上的FS1000，由 FS1000 進行統(tǒng)一管理，用戶管理通過 在 OA 網(wǎng)絡上，通過訪問 FS1000 的 Web門戶 進行管理。 FS1000 每天自動從 McAfee 網(wǎng)站，通過 SSL 加密下載更新， 包括 OS 系統(tǒng)的補丁。 McAfee IntruShield 網(wǎng)絡入侵防護的部署 McAfee IntruShield 的部署如下圖所示： 本文檔僅限 McAfee 公司和被呈送方內部使用，未經(jīng)許可，請勿擴散到第三方。 第 14 頁 共 34 頁 網(wǎng)絡入侵防護部署生產網(wǎng)管理網(wǎng)寶鋼 /I nt e rne tI n tr u S h ieldI n tr u S h ieldI n tr u S h ield此為案例，需要用戶提供拓撲后，再放置在合理的位置 IntruShield 分別采用不同的部署方式不署在三個地方： 1） Inter 出口 ： 采用 McAfee IntruShield， InLine 方式部署，實時阻止黑客攻擊、蠕蟲病毒、間諜程序和后門程序進入 XXX 網(wǎng)絡。 2） 管理 網(wǎng)絡 ： 采用 IntruShield，使用 SPAN 的方式接入，探測 管理 網(wǎng)絡上的攻擊、掃描、蠕蟲、間諜程序和異常流量 ，監(jiān)控對生產網(wǎng)防火墻的掃描、攻擊等。 3） 生產網(wǎng)絡 ：采用 IntruShield，使用 SPAN 的方式接入，探測生產網(wǎng)絡上的攻擊、掃描、蠕蟲、間諜程序和異常流量。 部署在 寶鋼 Inter 邊界、網(wǎng) A和 網(wǎng) B的 IntruShield Sensor 由 安裝在 管理 網(wǎng)的 IntruShield Manager 進行統(tǒng)一管理。 IntruShield 的自動更新由 IntruShield Manager 進行。 IntruShield Manager 自動從 Inter 本文檔僅限 McAfee 公司和被呈送方內部使用，未經(jīng)許可，請勿擴散到第三方。 第 15 頁 共 34 頁 下載更新，通過在 IntruShield Manager 上設置由 Manager 到 Sensor 的自動更新計劃，對 Sensor進行自動更新。 防病毒系統(tǒng)的部署 網(wǎng)絡 防病毒客戶端的部署 防病毒客戶端部署： 平臺 安裝客戶端版本 Windows NT Windows 2020 Windows 2020 Server McAfee VirusScan Enterprise Windows XP Windows 2020 Professional McAfee VirusScan Enterprise Unix/Linux 服務器 McAfee VirusScan Command Line 策略： ? 開啟 集成的防火墻與 HIPS 技術 – 防火墻與入侵防護技術的集成使 VirusScan 具有最大限度的前瞻性防護功能，包括 Block 蠕蟲病毒發(fā)送異常流量的端口和不需新病毒 Signature 就可以阻止利用應用 Buffer Overflow 漏洞的蠕蟲病毒。 ? 對新威脅增強防護 – VirusScan 提供了對最新出現(xiàn)的、危及程序安全的惡意威脅（例如， “間諜”軟件）、特定程序的緩沖區(qū)溢 出攻擊、及混合病毒攻擊的防護。 ? 病毒突發(fā)期間的 策略 – 先進的病毒爆發(fā)響應功能可在 DAT 文件出現(xiàn)之前就關閉漏洞口，通過阻塞病毒入口和防止突發(fā)病毒蔓延的方法將損失限制在最低限度；文件、文件夾鎖定功能阻止病毒進入計算機。 本文檔僅限 McAfee 公司和被呈送方內部使用，未經(jīng)許可，請勿擴散到第三方。 第 16 頁 共 34 頁 ? McAfee 內存 掃描技術 – 屢獲殊榮的 McAfee 掃描引擎通過對內存的掃描來攔截那些不會將代碼寫入磁盤的病毒（如 Netsky 和 CodeRed) 所帶來的威脅。 ? 集中式管理和報告編制 – 與 McAfee ePolicy Orchestrator 的集成為用戶提供了全面的安全管 理解決方案，包括從一個控制臺進行詳細的圖形報告編制的功能。策略管理都通過連接在本地局域網(wǎng)上的二級 EPO 防病毒服務器 ? 報警集中發(fā)送到 ePO – 由防病毒管理服務器進行統(tǒng)一的報警和日志管理。 ? 升級更新 – 防病毒客戶端 到局域網(wǎng)上的二級防病毒管理服務器上下載更新，更新方式有任務設置定時更新和 ePO 實時更新通知兩種方式，用戶可根據(jù)需求選擇。 安裝防病毒客戶端時，可以在計算機客戶端上部署防病毒管理服務器 ePO 的 Agent，然后通過防病毒管理服務器進行自動分發(fā)部署。 防病毒管理服務器的部署 防病毒管理服務器 采用 ePolicy Orchestrator （以下簡稱 ePO ） ，既是防病毒系統(tǒng) 的集中策略管理中心，同時也是產品、掃描引擎和病毒特征碼更新中心，單臺 ePO 服務器支持對 25 萬個防病毒客戶端的集中管理。 整個 XXX 的防病毒管理分成兩級， 中心 部署一臺中心防病毒服務器，實現(xiàn)對網(wǎng)絡中各種平臺上的防病毒客戶端的集中管理，包括自動升級更新管理、策略管理、報表管理、報警管理和病毒爆發(fā)響應管理； 在下屬機構部署 設 立 防病毒分 管理中心， 對 轄內的計算機進行防病毒管理，包括升級策略管理、防病毒策略管理、報表管理、報警管理 和病毒爆發(fā)響應管理。 ePO 安裝平臺要求： Windows 2020/2020 Server CPU： P4 /內存 512MB /硬盤 40GB IE ePO 使用三層架構： Manager、 Agent 和 Remote Console（客戶化的 IE），由于用戶接口 本文檔僅限 McAfee 公司和被呈送方內部使用，未經(jīng)許可，請勿擴散到第三方。 第 17 頁 共 34 頁 基于 web 方式，因此更適合遠程管理。 部署 分層結構圖 ： 防病毒管理架構中心管理e P O 服務器二級管理服務器：e P O分布資料庫自動更新自動更新自動更新從 Mc Afee 公司更新服務器下載更新二級管理服務器：e P O 分布資料庫二級管理服務器：e P O分布資料庫 防病毒管理中心提供以下功能： 1） 積極的爆發(fā)預防 使用 ePO 病毒爆發(fā)響應 中心， 使用策略配置， 可以采取積極的步驟保護您的 網(wǎng)絡不受逼近的病毒爆發(fā)的威脅。 2）病毒爆發(fā)通知功能 ePO 能夠根據(jù)設定的閾值自動發(fā)出病毒爆發(fā)通知。 3） 安全通信基礎架構 本文檔僅限 McAfee 公司和被呈送方內部使用，未經(jīng)許可，請勿擴散到第三方。 第 18 頁 共 34 頁 控制管理中心使用一種新的通信基礎架構 — 建立在安全套接層 (SSL) 協(xié)議上。 根據(jù)使用的安全設置，通信可以加密或使用認證加密。 4） 管理權限 管理權限分成全局、部分的管理域，在不同域上有不同用戶權限 。 5） 實時 和 按需 掃描策略 控制 控制管理中心向您提供實時的產品控制。在控制臺上做出的配置更改會立即發(fā)送到產品，甚至可以從控制臺上運行手動掃描。這種沒有等待時間的命令系統(tǒng)在病毒爆發(fā)期間是 不可缺少的。 6） 集中式更新控制 集中式更新 策略 規(guī)則、病毒碼和掃描引擎文件，可以確保所有被管理的 防病毒客戶端 都使用最新的組件。 更新方式可以配置為定期任務更新和實時通知更新兩種方式 。 7） 集中式配置 集中式配置使您可以從一個單一控制臺協(xié)調病毒響應和安全措施。這確保了 整個 XXX網(wǎng)絡 的防毒和內容安全策略的一致實施。 8）微軟安全漏洞檢測和補丁安裝狀態(tài)檢測 通過 ePO 檢測 Windows 平臺計算機的安全漏洞和微軟安全補丁安裝狀態(tài)，同時提供詳細的報表。 9） Rouge 計算機和為保護計算機的探測 通過 ePO 可以探測未 安裝防病毒軟件的計算機，同時還可以探測接入 XXX 網(wǎng)絡的外來計算機。 10） 集中式日志報告 使用全面的日志可以得到對防毒和內容安全網(wǎng)絡性能的一個概覽。 防病毒 管理中 心可以從所有其管理的產品收集日志；您不再需要檢查每個單個產品的日志。 本文檔僅限 McAfee 公司和被呈送方內部使用，未經(jīng)許可，請勿擴散到第三方。 第 19 頁 共 34 頁 11）防病毒客戶端配置修改保護功能 ePO 提供客戶端鎖定 Password 保護功能，當啟用此功能時，客戶端修改配置需要輸入Password。 主機入侵防護 (HIPS)的部署 主機入侵防護系統(tǒng)主要部署在管理網(wǎng)的桌面計算機上，通過 ePO 進行自動分發(fā)到管理網(wǎng)的主面計算機。 HIPS 的日常策略配置、更新、報表和集中的安全事件報警均通過 ePO 進行集中管理。 缺省的 HIPS 策略即可進行主機安全防護。 HIPS