赛门铁克网络安全.docx
《赛门铁克网络安全.docx》由会员分享,可在线阅读,更多相关《赛门铁克网络安全.docx(12页珍藏版)》请在冰豆网上搜索。
赛门铁克网络安全
SymantecEndpointProtection11.0
4.1产品功能定位和概述
SymantecEndpointProtection让企业能够采用更为有效的整体方法,来保护笔记本电脑、台式机和服务器等端点。
其中结合了五种基本安全技术,可针对各种已知威胁和未知威胁主动提供最高级别的防护,这些威胁包括病毒、蠕虫、特洛伊木马、间谍软件、广告软件、Rootkit和零日攻击。
该产品将业界领先的防病毒软件、反间谍软件和防火墙与先进的主动防护技术集成到一个可部署代理中,通过中央管理控制台进行管理。
而且,管理员可以根据他们的具体需要,轻松禁用或启用上述任何技术。
4.2产品的工作原理、部署和工作方式
4.2.1产品结构和工作原理
SymantecEndpointProtection11.0有四个主要部分组成:
·SymantecEndpointProtectionManager控制台
·SymantecEndpointProtectionManager
·SymantecEndpointProtection客户端
·SymantecEndpointProtection中央隔离区
SymantecEndpointProtectionManager控制台:
SymantecEndpointProtectionManager控制台是中央管理控制台,可以使用它来执行以下管理操作:
在工作站和网络服务器上安装客户端防护,更新定义、特征和产品更新。
管理网络服务器和运行SymantecEndpointProtection收集和组织事件(包括病毒和安全风险警报、扫描、定义更新、端点遵从性事件和入侵企图)。
还允许您创建和打印详细的报告,并设置警报。
SymantecEndpointProtectionManager:
既网络端点防护服务器,管理客户端与端点客户端进行通信,并且使用SymantecEndpointProtectionManager控制台进行各种策略配置。
SymantecEndpointProtection客户端:
部署在网络中客户端PC机上,为网络计算机和非网络计算机提供病毒防护、防火墙、主动型威胁防护和入侵防护。
SymantecEndpointProtection中央隔离区:
作为数字免疫系统™的一部分运行,提供对通过启发式检测到的新的或无法识别的病毒的自动响应,并执行下列操作:
从SymantecEndpointProtection客户端接受未修复的受感染项目。
向Symantec安全响应中心发送可疑文件。
4.2.2产品部署模式
SymantecEndpointProtectionManager从光盘直接安装,SymantecEndpointProtection客户端可以用以下几种方法进行部署:
1.从SymantecEndpointProtectionManager管理控制台推送客户端。
2.由SymantecEndpointProtectionManager管理控制台导出客户端安装包,用客户端安装包直接安装,或放在共享文件夹中,网络中其它计算通访问共享文件夹进行安装。
3.由迁移布署向导进行由老版本到新版本升级安装,或直接推送新的客户端。
4.2.3产品体系结构
SymantecEndpointProtection11.0小型部署体系结构图如下:
小型部署可以使用内嵌的Sybase数据库,对1000点以下的客户端结构有较好的支持,要支持1,000个以上的客户端,您应该考虑购买并安装MicrosoftSQLServer。
每个使用MicrosoftSQLServer的SymantecEndpointProtectionManager最多可支持50,000个客户端。
如果您需要支持50,000个以上的客户端,应该再安装一个SymantecEndpointProtectionManager及MicrosoftSQLServer数据库。
SymantecEndpointProtection11.0大型部署体系结构图如下:
大型部署应该选用MicrosoftSQLServer可以将SymantecEndpointProtectionManager安装于运行或未运行MicrosoftSQLServer的计算机上。
如果使用MicrosoftSQLServer,则安装其他用于故障转移和负载平衡的SymantecEndpointProtectionManager时会有更大的灵活性。
您可以安装两个或更多与一个MicrosoftSQLServer进行通信的SymantecEndpointProtectionManager,并将其配置用于故障转移和负载平衡。
如果一台服务器崩溃,故障转移配置会让另一台服务器承担客户端通信负载。
配置负载平衡后,各服务器能分担客户端通信负载,并自动执行其中一台崩溃服务器的故障转移。
负载均衡结构示意图如下:
4.3产品主要技术特点:
4.3.1统一管理控制台
SymantecEndpointProtection提供通过一个统一控制台管理所有服务的功能,让管理员可通过整体方法来管理端点安全。
通过使用SymantecEndpointProtectionManager,控制台管理员可以创建和管理各种策略、将策略分配给代理、查看日志并运行端点安全活动报告。
它通过图形报告、集中日志记录和阈值警报等功能提供全面的端点可见性。
统一控制台不仅简化了端点安全管理,而且还提供了出色的操作效能,如集中软件更新、策略更新、报告和许可维护。
该控制台采用企业级的管理架构,可进行扩展以适合最高要求的环境。
它可以提供对管理任务的更细致控制,同时简化并统一管理工作以降低总拥有成本。
它采用灵活的管理结构,可以根据不同管理员的角色和职责,为他们授予不同级别的管理系统访问权限。
另外,它支持从ActiveDirectory导入OrganizationUnits,而且可与SMS等领先软件部署工具一起工作,可为管理员进一步增强管理功能。
4.3.2集成的端点防护方法
近几年来,IT威胁趋势发生了显著的变化。
过去,大多数攻击的目的仅仅是出名而已。
现在,攻击变得更复杂、更隐蔽,往往以特定企业为目标来获得经济利益。
防病毒软件、反间谍软件和其它基于特征的防护方法主要是反应性方法,它们在几年前可能足以保护企业的重要资源,但已不能满足当前的安全需要。
企业目前需要主动的端点安全方法,来防御零日攻击乃至未知威胁。
他们需要层次化的端点安全方法,实施不仅能够防御各级威胁,而且可提供互操作性、无缝实施和集中管理的全面解决方案。
SymantecEndpointProtection提供全面的多层端点防护方法,满足了这一需要。
该产品将SymantecAntiVirus™与高级威胁防御相结合,可以为笔记本、台式机和服务器提供无与伦比的恶意软件防护能力,这些已知和未知的恶意软件包括病毒、蠕虫、特洛伊木马、间谍软件和广告软件。
它甚至可以防御复杂攻击,这些攻击能够躲避传统的安全措施,如Rootkit、零日攻击和不断变化的间谍软件。
SymantecEndpointProtection不仅提供了世界一流、业界领先且基于特征的防病毒和反间谍软件防护。
它还提供了久经考验的主动防护技术,能够保护端点免遭目标性攻击以及之前没有发现的未知攻击侵扰。
它包括即刻可用的主动防护技术以及管理控制功能;主动防护技术能够自动分析应用程序行为和网络通信,以检测并阻止可疑活动,而管理控制功能让管理员能够拒绝对企业来说被视为高风险的特定设备和应用程序活动。
这些功能甚至可以根据用户位置阻止特定操作。
4.3.3最全面的端点安全
SymantecEndpointProtection将一流的防护机制无缝结合到一个代理中,可提供最全面的端点安全:
•防病毒软件/反间谍软件
•网络威胁防护
•主动威胁防护
防病毒和反间谍软件
防病毒和反间谍软件解决方案一般采用基于扫描的传统技术,来识别端点设备上的病毒、蠕虫、特洛伊木马、间谍软件和其它恶意软件。
典型的防病毒和反间谍软件解决方案会在系统中搜索与已知威胁的特点(或称威胁特征)匹配的文件,从而检测这些威胁。
在检测到威胁后,该解决方案会对其进行补救,通常是删除或控制威胁。
多年来,该方法在针对已知威胁保护端点时一直非常有效。
虽然该方法不足以防御未知威胁和零日威胁,但它仍然是整体端点安全中的基本要素。
由于整个行业日益重视端点安全,所以防病毒和反间谍软件市场中最近新出现了各种产品。
在这些第一代和第二代解决方案中,虽然有许多产品可以提供一定程度的防护,但它们往往无法提供全面防护。
许多技术仅在一种操作系统上工作。
其它技术缺少与防火墙、设备控制和入侵防御等其它基本端点安全技术互操作的功能。
无论是从质量还是级别来看,SymantecEndpointProtection提供的防护都远远超越了竞争对手的产品。
与第一代打包解决方案相比,SymantecEndpointProtection提供更高级别的实时防护,而且赛门铁克的表现比许多老牌安全解决方案提供商更胜一筹。
例如,赛门铁克是1999年以来唯一连续获得30多项VB100奖的供应商。
AV-Comparatives在2007年2月进行了一项测试研究,在进行多态病毒测试的15种防病毒解决方案中,只有赛门铁克和另一家供应商在所有类别中均获得100分的分数。
根据AV-Comparatives,多态测试可确定防病毒扫描引擎的灵活性和检测复杂病毒的性能。
另外AV-Comparatives认为100分以下的所有多态测试分数都属于失败或不可靠检测,因为即使只漏过一次复制攻击,也会导致再感染病毒。
ThompsonCyberSecurityLabs在2006年9月进行的一次研究显示,赛门铁克提供的Rootkit检测和删除性能超越了竞争的供应商。
Rootkit是一种隐蔽的应用程序或脚本,黑客使用它逃避系统检测,同时获得对系统的管理员级别访问权限。
互联网上随处可见现成的Rootkit应用程序,即使经验不足的黑客也能使用Rootkit,而不必了解它是如何工作的。
Rootkit通常用于收集用户ID、帐号和密码等机密信息。
要检测和删除Rootkit,需要对操作系统执行全面分析和修复。
为此,SymantecEndpointProtection中包含了VeritasRawDiskScan,与其它任何解决方案相比都可提供更深入的文件系统检查,实现通过进行必要地分析和修复来防御最复杂的Rootkit攻击。
另外,SymantecEndpointProtection由赛门铁克全球情报网络提供支持,该集成式服务为客户提供了必需的情报,让他们能够降低安全风险、提高法规遵从性并改善整体安全状况。
赛门铁克全球情报服务提供了对全球、行业和本地最新威胁与攻击的洞察,以便企业可以主动响应新出现的威胁。
通过将威胁预警和赛门铁克托管安全服务完美结合,赛门铁克全球情报服务可以对整个企业中的恶意活动进行实时分析,从而帮助企业保护关键信息资产。
网络威胁防护
端点上的网络威胁防护对于防御混合型威胁和阻止爆发至关重要。
为保证有效性,绝不能仅仅依赖防火墙。
网络威胁防护应包含多种先进防护技术,包括入侵防御以及先进的网络通信控制功能。
过去,安全专家争论的焦点是:
是否需要在企业网络边界本身或个别台式机上部署防火墙。
由于目前的威胁极为复杂,而且移动办公人员已经扩展到企业计算基础架构的边界以外,所以端点已成为漏洞利用和攻击的主要目标。
威胁通常首先感染网络边界以外的一台笔记本电脑,之后,在这台笔记本电脑连接到内部网络时,该威胁就会传播到其它端点。
可以利用端点防火墙,不仅阻止内部网络攻击入侵连接到网络的任何端点,甚至阻止这些威胁离开最初感染的端点。
SymantecEndpointProtection端点安全代理结合最佳的防火墙解决方案,兼备赛门铁克客户端防火墙与Sygate™防火墙的功能。
其中包括:
•基于规则的防火墙引擎
•预定义的防病毒、反间谍软件和个人防火墙检查
•按应用程序、主机、服务和时间触发的防火墙规则
•全面TCP/IP支持(TCP、UDP、ICMP、RawIPProtocol)
•用于允许或禁止网络协议支持的选项,包括以太网、令牌环、IPX/SPX、AppleTalk和NetBEUI
•阻止VMware和WinPcap等协议驱动程序的功能
•特定于适配器的规则
•检查加密和明文网络通信的功能
•数据包和数据流入侵防御系统(IPS)阻止、自定义IPS特征阻止以及一般漏洞利用禁止实现主动威胁防御
主动威胁防护
虽然基于特征的文件扫描和网络扫描技术覆盖了主要的必备保护领域,但仍然需要并非基于特征的技术,来防御隐蔽攻击使用的不断增多的未知威胁。
这类技术被称为主动威胁防护技术。
SymantecEndpointProtection包括ProactiveThreatScan,它是一种主动威胁防护技术,可防御利用已知漏洞的多种变种和前所未见的威胁。
它具有独特的主机入侵防御功能,让企业有能力针对未知或零日威胁保护自己。
ProactiveThreatScan基于分析系统所运行进程的行为来检测潜在威胁的启发式技术。
大多数基于主机的IPS仅检测它们认为的“不良行为”。
所以,它们经常会将可接受的应用程序行为识别为威胁并将它们关闭,严重影响用户和技术支持中心的工作效率,让管理员面临着艰巨的挑战。
不过,ProactiveThreatScan会同时记录应用程序的正常行为和不良行为,提供更加准确的威胁检测,可显著减少误报的数量。
所以,SymantecEndpointProtection让企业能够检测到任何基于特征的技术都检测不到的未知威胁。
应用程序和设备控制
SymantecEndpointProtection还结合了设备和应用程序控制功能,让管理员能够拒绝被认为存在高风险的特定设备和应用程序活动,使企业能够根据用户位置禁止特定的操作。
设备控制技术让管理员能够决定并控制允许哪些设备连接端点。
例如,它可以锁定端点,禁止便携硬盘、CD刻录机、打印机或其它USB设备连接到系统,以防止将机密信息从系统复制到其中。
禁止设备连接的功能还可以帮助防止端点受来自上述设备以及其它设备的病毒感染。
应用程序控制技术让管理员能够按照用户和其它应用程序,控制对特定流程、文件和文件夹的访问。
它提供应用程序分析、流程控制、文件和注册表访问控制、模块和DLL控制。
如果管理员希望限制被认为可疑或存在高风险的某些活动,则可以使用该高级功能。
4.3.4简化端点保护—多重技术、一个产品
为抵御日益增加的以IT基础架构为目标的威胁,管理员了解端点防护技术的重要性。
不过,这通常意味着确保在每个端点上安装防病毒软件、反间谍软件、台式机防火墙、入侵防御和设备控制技术。
在每个端点上分别部署这些安全产品时,不仅需要很长时间,而且还会增加IT复杂性和成本。
于是,企业需要提供为各类不同的端点安全解决方案提供管理、培训和支持。
另外,不同技术往往会相互妨碍,或者由于资源消耗较大而对系统性能造成不良影响。
为了降低与部署和管理多个解决方案相关的复杂性和成本,赛门铁克SymantecEndpointProtection将多种一流的端点防护技术整合为一个集成代理,可通过一个统一管理控制台进行管理。
SymantecEndpointProtection将防病毒软件、反间谍软件、防火墙、设备控制和先进的入侵防御集成为一个代理,让企业能够自定义端点防护的级别以及一起工作的技术。
SymantecEndpointProtection需要更少内存、占用更少资源,同时可增强防护。
另外,管理员可以对该代理进行优化,以减少它在用户活动较多的时段内使用的资源,从而保证端点性能。
通过将多种功能整合到一个端点安全代理,可以提高操作效能,如在所有安全技术中使用
SymantecEndpointProtection在客户端上提供一个简化的用户界面。
管理员能够自定义该界面,所以他们可以决定在客户端上运行哪些技术,以及哪些配置选项对最终用户不可用。
管理员还可以选择对用户完全隐藏该界面。
这些功能为管理员提供灵活性和控制能力,让他们能够按照符合企业特有需要的方法保护端点设备。
另外,管理员可以随时打开或关闭各种功能和选项。
4.3.5降低总拥有成本
SymantecEndpointProtection在一个产品中提供多种基本端点安全技术的优势,可以降低总体拥有成本,让企业能够减少管理开销以及管理多个端点安全产品引发的成本。
该产品还可以利用现有IT投资。
•减少管理开销—减少管理多点解决方案需要的人手和工作量
•降低成本—减少管理端点安全、用户和网络停机时间以及补救工作的相关工作量
•利用现有IT投资—可与领先的软件部署工具、补丁程序管理工具、SIM工具、数据库和操作系统一起工作
§5工程师点评
SymantecEndpointProtection11.0的发布是企业信息安全产品的一个新的里程碑,将成为信息安全产品一个新的标准。
SymantecEndpointProtection11.0不仅具有传统防病毒产品的防病毒和防间谍软件功能,还提供了对各种网络威胁的防护及对各种未知的主动威胁的防护,并增加了对各种设备和应用程序的控制功能,全面加强了对企业网络及各端点的防护。
集中的控制台使增加的功能并未增加管理员的管理难度。
SymantecEndpointProtection11.0客户端在常规情况下只有20M左右的内存占用率,减少了对客户端PC性能的影响。
针对贵公司笔记本等移动设备较多,可以设置不同的位置策略,以满足安全策略灵活性的要求。
SymantecEndpointProtection11.0优秀的性能完全可以满足XX企业网络安全的需求。
升级会员 