【文章內(nèi)容簡(jiǎn)介】 加保護(hù)層，因此，即使不安裝安全漏洞補(bǔ)丁計(jì)算機(jī)也是安全的，從而為安裝計(jì)算安全補(bǔ)丁贏得了時(shí)間， 同時(shí)也提供了主動(dòng)的安全防護(hù)手段。 McAfee VirusScan Enterprise 8i（簡(jiǎn)稱 VSE 8i） ： VSE 8i 是 McAfee 企業(yè)機(jī)防病毒系統(tǒng)，其最大優(yōu)勢(shì)是可以完全做到不需要病毒簽名就可以阻擋任何蠕蟲病毒 ；另外， VSE8i 的內(nèi)存掃描功能可以確保不需要重啟計(jì)算機(jī)就可以清除蠕蟲病毒或者后門程序；此外 VSE8i 還集成了 Mc Afee AntiSpyware，探測(cè)和清除間諜程序。 VSE 8i 通過(guò)免費(fèi)的 Mc Afee ePolicy Orchestrator （簡(jiǎn)稱 ePO）進(jìn)行集中管理，包括分發(fā)、自動(dòng)更新、報(bào)警、通知和報(bào)表管理，同時(shí)， ePO 可以探測(cè)為首防病毒軟件保護(hù)的計(jì)算機(jī)，然后發(fā)出警報(bào)。 McAfee Policy Enforcer（簡(jiǎn)稱 MPE） ： MPE 是 McAfee 的網(wǎng)絡(luò)訪問(wèn)控制產(chǎn)品，它的目的是為了確保連接到公司網(wǎng)絡(luò)的計(jì)算機(jī)沒(méi)有威脅存在，從而確保企業(yè)的網(wǎng)絡(luò)安全。所以，MPE 會(huì)在計(jì)算機(jī)連接到網(wǎng)絡(luò)是掃描評(píng)估計(jì)算機(jī)是否存在病毒、蠕蟲、是否存在被致命威脅利用的安全漏洞，是否違反企業(yè)的安全策略，一旦發(fā)現(xiàn)計(jì)算機(jī)存在威脅或者違反了企業(yè)安全策略， MPE 機(jī)通過(guò)局域網(wǎng)交換機(jī)隔離 該計(jì)算機(jī)，然后，通過(guò)單鍵點(diǎn)擊修補(bǔ)該計(jì)算機(jī)，經(jīng)重新評(píng)估計(jì)算機(jī)符合了企業(yè)安全策略后，才允許該計(jì)算機(jī)訪問(wèn)企業(yè)網(wǎng)絡(luò)資源。 部署 方案 FS1000 的部署 FS1000 的部署如下圖 ： 本文檔僅限 McAfee 公司和被呈送方內(nèi)部使用，未經(jīng)許可，請(qǐng)勿擴(kuò)散到第三方。 第 13 頁(yè) 共 34 頁(yè) FS10 00 部署生產(chǎn)網(wǎng)管理網(wǎng)寶鋼 /I nt e rne tFo u n d S to n eFS1 0 0 0Rem o teS ca n E n g ine此為案例，需要用戶提供拓?fù)浜?，再放置在合理的位? FS1000 設(shè)備部署在 XXX 管理 網(wǎng) 絡(luò) ，通過(guò)服務(wù)器的 LAN 1 端口連接到 OA 網(wǎng)接入交換機(jī)上 ，在 生產(chǎn) 網(wǎng)絡(luò)部署 Remote Scan Engine，通過(guò) SOAP 和 SSL 加密連接 到 OA 網(wǎng)上的FS1000，由 FS1000 進(jìn)行統(tǒng)一管理，用戶管理通過(guò) 在 OA 網(wǎng)絡(luò)上，通過(guò)訪問(wèn) FS1000 的 Web門戶 進(jìn)行管理。 FS1000 每天自動(dòng)從 McAfee 網(wǎng)站，通過(guò) SSL 加密下載更新， 包括 OS 系統(tǒng)的補(bǔ)丁。 McAfee IntruShield 網(wǎng)絡(luò)入侵防護(hù)的部署 McAfee IntruShield 的部署如下圖所示： 本文檔僅限 McAfee 公司和被呈送方內(nèi)部使用，未經(jīng)許可，請(qǐng)勿擴(kuò)散到第三方。 第 14 頁(yè) 共 34 頁(yè) 網(wǎng)絡(luò)入侵防護(hù)部署生產(chǎn)網(wǎng)管理網(wǎng)寶鋼 /I nt e rne tI n tr u S h ieldI n tr u S h ieldI n tr u S h ield此為案例，需要用戶提供拓?fù)浜?，再放置在合理的位? IntruShield 分別采用不同的部署方式不署在三個(gè)地方： 1） Inter 出口 ： 采用 McAfee IntruShield， InLine 方式部署，實(shí)時(shí)阻止黑客攻擊、蠕蟲病毒、間諜程序和后門程序進(jìn)入 XXX 網(wǎng)絡(luò)。 2） 管理 網(wǎng)絡(luò) ： 采用 IntruShield，使用 SPAN 的方式接入，探測(cè) 管理 網(wǎng)絡(luò)上的攻擊、掃描、蠕蟲、間諜程序和異常流量 ，監(jiān)控對(duì)生產(chǎn)網(wǎng)防火墻的掃描、攻擊等。 3） 生產(chǎn)網(wǎng)絡(luò) ：采用 IntruShield，使用 SPAN 的方式接入，探測(cè)生產(chǎn)網(wǎng)絡(luò)上的攻擊、掃描、蠕蟲、間諜程序和異常流量。 部署在 寶鋼 Inter 邊界、網(wǎng) A和 網(wǎng) B的 IntruShield Sensor 由 安裝在 管理 網(wǎng)的 IntruShield Manager 進(jìn)行統(tǒng)一管理。 IntruShield 的自動(dòng)更新由 IntruShield Manager 進(jìn)行。 IntruShield Manager 自動(dòng)從 Inter 本文檔僅限 McAfee 公司和被呈送方內(nèi)部使用，未經(jīng)許可，請(qǐng)勿擴(kuò)散到第三方。 第 15 頁(yè) 共 34 頁(yè) 下載更新，通過(guò)在 IntruShield Manager 上設(shè)置由 Manager 到 Sensor 的自動(dòng)更新計(jì)劃，對(duì) Sensor進(jìn)行自動(dòng)更新。 防病毒系統(tǒng)的部署 網(wǎng)絡(luò) 防病毒客戶端的部署 防病毒客戶端部署： 平臺(tái) 安裝客戶端版本 Windows NT Windows 2020 Windows 2020 Server McAfee VirusScan Enterprise Windows XP Windows 2020 Professional McAfee VirusScan Enterprise Unix/Linux 服務(wù)器 McAfee VirusScan Command Line 策略： ? 開啟 集成的防火墻與 HIPS 技術(shù) – 防火墻與入侵防護(hù)技術(shù)的集成使 VirusScan 具有最大限度的前瞻性防護(hù)功能，包括 Block 蠕蟲病毒發(fā)送異常流量的端口和不需新病毒 Signature 就可以阻止利用應(yīng)用 Buffer Overflow 漏洞的蠕蟲病毒。 ? 對(duì)新威脅增強(qiáng)防護(hù) – VirusScan 提供了對(duì)最新出現(xiàn)的、危及程序安全的惡意威脅（例如， “間諜”軟件）、特定程序的緩沖區(qū)溢 出攻擊、及混合病毒攻擊的防護(hù)。 ? 病毒突發(fā)期間的 策略 – 先進(jìn)的病毒爆發(fā)響應(yīng)功能可在 DAT 文件出現(xiàn)之前就關(guān)閉漏洞口，通過(guò)阻塞病毒入口和防止突發(fā)病毒蔓延的方法將損失限制在最低限度；文件、文件夾鎖定功能阻止病毒進(jìn)入計(jì)算機(jī)。 本文檔僅限 McAfee 公司和被呈送方內(nèi)部使用，未經(jīng)許可，請(qǐng)勿擴(kuò)散到第三方。 第 16 頁(yè) 共 34 頁(yè) ? McAfee 內(nèi)存 掃描技術(shù) – 屢獲殊榮的 McAfee 掃描引擎通過(guò)對(duì)內(nèi)存的掃描來(lái)攔截那些不會(huì)將代碼寫入磁盤的病毒（如 Netsky 和 CodeRed) 所帶來(lái)的威脅。 ? 集中式管理和報(bào)告編制 – 與 McAfee ePolicy Orchestrator 的集成為用戶提供了全面的安全管 理解決方案，包括從一個(gè)控制臺(tái)進(jìn)行詳細(xì)的圖形報(bào)告編制的功能。策略管理都通過(guò)連接在本地局域網(wǎng)上的二級(jí) EPO 防病毒服務(wù)器 ? 報(bào)警集中發(fā)送到 ePO – 由防病毒管理服務(wù)器進(jìn)行統(tǒng)一的報(bào)警和日志管理。 ? 升級(jí)更新 – 防病毒客戶端 到局域網(wǎng)上的二級(jí)防病毒管理服務(wù)器上下載更新，更新方式有任務(wù)設(shè)置定時(shí)更新和 ePO 實(shí)時(shí)更新通知兩種方式，用戶可根據(jù)需求選擇。 安裝防病毒客戶端時(shí)，可以在計(jì)算機(jī)客戶端上部署防病毒管理服務(wù)器 ePO 的 Agent，然后通過(guò)防病毒管理服務(wù)器進(jìn)行自動(dòng)分發(fā)部署。 防病毒管理服務(wù)器的部署 防病毒管理服務(wù)器 采用 ePolicy Orchestrator （以下簡(jiǎn)稱 ePO ） ，既是防病毒系統(tǒng) 的集中策略管理中心，同時(shí)也是產(chǎn)品、掃描引擎和病毒特征碼更新中心，單臺(tái) ePO 服務(wù)器支持對(duì) 25 萬(wàn)個(gè)防病毒客戶端的集中管理。 整個(gè) XXX 的防病毒管理分成兩級(jí)， 中心 部署一臺(tái)中心防病毒服務(wù)器，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中各種平臺(tái)上的防病毒客戶端的集中管理，包括自動(dòng)升級(jí)更新管理、策略管理、報(bào)表管理、報(bào)警管理和病毒爆發(fā)響應(yīng)管理； 在下屬機(jī)構(gòu)部署 設(shè) 立 防病毒分 管理中心， 對(duì) 轄內(nèi)的計(jì)算機(jī)進(jìn)行防病毒管理，包括升級(jí)策略管理、防病毒策略管理、報(bào)表管理、報(bào)警管理 和病毒爆發(fā)響應(yīng)管理。 ePO 安裝平臺(tái)要求： Windows 2020/2020 Server CPU： P4 /內(nèi)存 512MB /硬盤 40GB IE ePO 使用三層架構(gòu)： Manager、 Agent 和 Remote Console（客戶化的 IE），由于用戶接口 本文檔僅限 McAfee 公司和被呈送方內(nèi)部使用，未經(jīng)許可，請(qǐng)勿擴(kuò)散到第三方。 第 17 頁(yè) 共 34 頁(yè) 基于 web 方式，因此更適合遠(yuǎn)程管理。 部署 分層結(jié)構(gòu)圖 ： 防病毒管理架構(gòu)中心管理e P O 服務(wù)器二級(jí)管理服務(wù)器：e P O分布資料庫(kù)自動(dòng)更新自動(dòng)更新自動(dòng)更新從 Mc Afee 公司更新服務(wù)器下載更新二級(jí)管理服務(wù)器：e P O 分布資料庫(kù)二級(jí)管理服務(wù)器：e P O分布資料庫(kù) 防病毒管理中心提供以下功能： 1） 積極的爆發(fā)預(yù)防 使用 ePO 病毒爆發(fā)響應(yīng) 中心， 使用策略配置， 可以采取積極的步驟保護(hù)您的 網(wǎng)絡(luò)不受逼近的病毒爆發(fā)的威脅。 2）病毒爆發(fā)通知功能 ePO 能夠根據(jù)設(shè)定的閾值自動(dòng)發(fā)出病毒爆發(fā)通知。 3） 安全通信基礎(chǔ)架構(gòu) 本文檔僅限 McAfee 公司和被呈送方內(nèi)部使用，未經(jīng)許可，請(qǐng)勿擴(kuò)散到第三方。 第 18 頁(yè) 共 34 頁(yè) 控制管理中心使用一種新的通信基礎(chǔ)架構(gòu) — 建立在安全套接層 (SSL) 協(xié)議上。 根據(jù)使用的安全設(shè)置，通信可以加密或使用認(rèn)證加密。 4） 管理權(quán)限 管理權(quán)限分成全局、部分的管理域，在不同域上有不同用戶權(quán)限 。 5） 實(shí)時(shí) 和 按需 掃描策略 控制 控制管理中心向您提供實(shí)時(shí)的產(chǎn)品控制。在控制臺(tái)上做出的配置更改會(huì)立即發(fā)送到產(chǎn)品，甚至可以從控制臺(tái)上運(yùn)行手動(dòng)掃描。這種沒(méi)有等待時(shí)間的命令系統(tǒng)在病毒爆發(fā)期間是 不可缺少的。 6） 集中式更新控制 集中式更新 策略 規(guī)則、病毒碼和掃描引擎文件，可以確保所有被管理的 防病毒客戶端 都使用最新的組件。 更新方式可以配置為定期任務(wù)更新和實(shí)時(shí)通知更新兩種方式 。 7） 集中式配置 集中式配置使您可以從一個(gè)單一控制臺(tái)協(xié)調(diào)病毒響應(yīng)和安全措施。這確保了 整個(gè) XXX網(wǎng)絡(luò) 的防毒和內(nèi)容安全策略的一致實(shí)施。 8）微軟安全漏洞檢測(cè)和補(bǔ)丁安裝狀態(tài)檢測(cè) 通過(guò) ePO 檢測(cè) Windows 平臺(tái)計(jì)算機(jī)的安全漏洞和微軟安全補(bǔ)丁安裝狀態(tài)，同時(shí)提供詳細(xì)的報(bào)表。 9） Rouge 計(jì)算機(jī)和為保護(hù)計(jì)算機(jī)的探測(cè) 通過(guò) ePO 可以探測(cè)未 安裝防病毒軟件的計(jì)算機(jī)，同時(shí)還可以探測(cè)接入 XXX 網(wǎng)絡(luò)的外來(lái)計(jì)算機(jī)。 10） 集中式日志報(bào)告 使用全面的日志可以得到對(duì)防毒和內(nèi)容安全網(wǎng)絡(luò)性能的一個(gè)概覽。 防病毒 管理中 心可以從所有其管理的產(chǎn)品收集日志；您不再需要檢查每個(gè)單個(gè)產(chǎn)品的日志。 本文檔僅限 McAfee 公司和被呈送方內(nèi)部使用，未經(jīng)許可，請(qǐng)勿擴(kuò)散到第三方。 第 19 頁(yè) 共 34 頁(yè) 11）防病毒客戶端配置修改保護(hù)功能 ePO 提供客戶端鎖定 Password 保護(hù)功能，當(dāng)啟用此功能時(shí)，客戶端修改配置需要輸入Password。 主機(jī)入侵防護(hù) (HIPS)的部署 主機(jī)入侵防護(hù)系統(tǒng)主要部署在管理網(wǎng)的桌面計(jì)算機(jī)上，通過(guò) ePO 進(jìn)行自動(dòng)分發(fā)到管理網(wǎng)的主面計(jì)算機(jī)。 HIPS 的日常策略配置、更新、報(bào)表和集中的安全事件報(bào)警均通過(guò) ePO 進(jìn)行集中管理。 缺省的 HIPS 策略即可進(jìn)行主機(jī)安全防護(hù)。 HIPS