McAfee 防病毒系统技术特色.docx
《McAfee 防病毒系统技术特色.docx》由会员分享,可在线阅读,更多相关《McAfee 防病毒系统技术特色.docx(20页珍藏版)》请在冰豆网上搜索。
McAfee防病毒系统技术特色
McAfee防病毒系统技术功能
对您的网络的威胁来自四面八方,而且每天都在变化。
如何去面对这些威胁呢?
答案是采用全面的多层病毒防护和有效的管理工具。
McAfee的防毒产品就具有这些特性并且可以为您提供更多功能。
ePolicyOrchestrator可以实现对桌面设备、文件服务器、群件服务器和互联网网关的综合保护–并且是将所有这些项目都集中在一个统一的防护方案之内。
借助McAfee,您的系统可以获得彻底的保护。
甚至可以包括您的PDA。
McAfeeSecurity解决方案可以为企业客户提供业内领先的防毒产品。
McAfeeActiveVirusDefense(AVD)产品套件是一个多层协作的病毒防护系统,其中包括VirusScan(用于桌面保护)、NetShield(用于Novell服务器保护)、GroupShield(用于群件保护)和WebShield(用于互联网网关保护)。
McAfee还通过ePolicyOrchestrator(集成ThreatScan)和Anti-VirusInformant提供了您可以用来管理和加强企业病毒安全策略以及对防毒产品进行更新和进行统计报告所需的所有工具。
利用AutoUpdate、EnterpriseSecureCast和ManagementEdition,管理员可以完全控制安全管理和报告的所有特性。
McAfee强大的反病毒研究团体McAfeeAVERT(反病毒紧急响应与预防小组)全力以赴为其产品提供支持,保护McAfee客户免受最新和最复杂病毒的攻击。
1.1EPO
McAfee®Security的ePolicyOrchestrator™是业界领先的管理工具,它能够集中地对防护性能进行协调和管理,从而帮助您实现上述两方面之间的平衡。
其功能包括部署、全面的策略管理、更新以及涵盖多个安全层和多个供应商的详细的图形报告。
管理员能够将防护功能更新到最新状态,对策略进行管理,并生成针对McAfee、Symantec和Dr.Ahn的防病毒产品,以及McAfeeDesktopFirewall™和McAfeeThreatScan™的详细图形报告。
更新速度有多快?
对安全策略进行前瞻性管理时,最困难的一个环节就是保持所有的系统都更新到最新的防护性能。
ePolicyOrchestrator在设计时考虑了企业伸缩性的要求,在绝大多数环境下,它能够在单一服务器上进行工作。
其智能设计使得服务器不会承担任何的更新任务。
所有的更新任务都分散在整个网络中,通过利用分布式知识库,实现了较低的网络流量和较高的性能。
更新内容包括所有的McAfeeDAT、引擎、服务包、修补程序以及补丁程序。
ePolicyOrchestrator启用了ExpressGlobalUpdating,从而实现了前所未有的更新速度。
通过使用“SuperAgents”将通信和更新负载分布到整个网络中,ExpressGlobalUpdating极大地提升了更新速度,使得IT管理员能够在一小时内完成50,000个系统的更新任务—所有更新都通过ePolicyOrchestrator强大的报告系统来进行验证。
这不仅节省了带宽资源,而且极大地提升了用户对各种新威胁的响应能力。
X射线般的透明度
你无法管理那些你看不到的东西—ePolicyOrchestrator为您提供了所需的透明度,帮助您评估策略的效率,发现网络中的薄弱环节。
通过ePolicyOrchestrator中预先设定的三十多种报告,您可以轻松地定位没有受到保护的系统、跟踪突发事件的来源、并评估安全策略的效率。
无论是只有一页的安全性摘要,还是有关病毒活动、桌面防火墙策略和致命漏洞的详细报告,都能够向您展现完整的信息。
您还可以简单地对报告进行自定义,以便符合自己的具体要求。
管理员还可以随意选择一些可以打印和导出的图表类型,包括三维条状图、饼图、折线图以及表格等。
ePolicyOrchestrotor集成了SeagateCrystalReports技术和Microsoft的MSDE/SQL服务器,通过对简单性和整体性能的平衡来满足各种规模企业的需求。
简化的企业策略管理
ePolicyOrchestrotor的设计考虑了企业对伸缩性的要求,每台服务器可管理多达250,000个用户,并可以通过远程控制台简单地进行操作。
所管理的策略涵盖了恶意代码防护的每一个层面—更新频率、个人防火墙设置、漏洞扫描、需要扫描的文件类型以及扫描预设—都可以集中设置到每一台机器或每一个组中,而且完全可以由管理员来自定义设置。
所有性能都可以自动增强,确保了防护性能的全面性和有效性。
小型企业的需求一直在我们的考虑之中
通常,小型企业没有相关专业人员,也没有足够的时间来关注对恶意代码的防护。
SmallBusinessWizard提供了防护功能和安全策略简单快捷的部署功能,并针对小型企业环境进行了优化。
只需五个简单的步骤,即可将ePolicyOrchestrator自动部署到网络中可用的系统中—部署防护功能,实施安全策略。
所有操作都无须具备全面的安全性知识。
充分利用您的安全性投资
扩展性和行业支持一直是ePolicyOrchestrator的关键所在。
McAfee®提供了第一款针对第三方防病毒应用程序(例如Symantec和Dr.Ahn的产品)的管理和报告工具,并通过ePolicyOrchestratorFusionService帮助企业进一步扩展其安全投资的价值。
这些服务由McAfee专家服务提供,允许ePolicyOrchestrator集成其它第三方安全应用程序—将同等水平的集中控制和透明度扩展到其它第三方安全产品上。
保护远程用户
有了ePolicyOrchestrator,安全管理员再也不会谈“移动用户”而变色。
即使远程膝上型电脑没有连接到网络中,管理员也可以通过增强安全策略,使远程用户在连接到Internet时再进行更新,这样一来,ePolicyOrchestrator就能够有效地管理哪些平时得不到管理的环节。
由于移动用户对灵活性的要求比较高,因此,ePolicyOrchestrator自动允许移动用户通过距离自己最近的、带宽资源最有效的服务器来完成更新任务,此外,还提供了对可推迟更新和可继续更新的支持。
总的来说,ePolicyOrchestrator确保了移动用户能够像局域网用户一样得到全面的保护,并同样易于管理。
全面解决实际问题
McAfee很清楚客户所面临的挑战,因此推出了ePolicyOrchestrator来帮助您克服这些困难。
需要用多种语言来管理防护功能吗?
没问题。
需要同时管理传统防病毒产品和最新应用程序吗?
很简单。
需要不同的管理员来管理网络的不同部分吗?
可以。
希望同时拥有Windows和NetWare文件服务器吗?
没问题。
ExchangeServer和DominoServer同时存在?
可以。
需要添加桌面防火墙吗?
很简单。
针对客户需求而设计,ePolicyOrchestrator能够轻松解决所有这些问题。
突发事件响应
突发事件响应是ePolicyOrchestrator的核心功能。
有了ePolicyOrchestrator,管理员就能够针对不同的威胁指定特有的响应模式。
有些紧急情况需要您立即更新所有的机器,此时,服务器能够向所有代理发出“立即更新”的命令,并在整个网络中完成更新。
有时,突发事件可能需要更改桌面防火墙的安全策略,或者要求更新或更改网关上的安全策略。
借助ePolicyOrchestrator,您就能够针对目前的问题做出快速响应。
此外,ePolicyOrchestrator的报告功能可以协助您轻松完成经常性的审核或者“突发事件评估”,使您可以很容易地得到自己所需要的数据,保持恶意代码防护策略的有效性。
两个关键问题
在防御恶意代码的过程中,您可能会遇到很多问题,其中有两个是最为重要的。
第一个是“我们是否得到了保护?
”,第二个是“我们是否已经被感染?
”。
ePolicyOrchestrator能够回答这两个问题—验证并确保您的防护功能的有效性,并显示出您的薄弱环节。
1.1.1ePO3.6技术特色
●前瞻性漏洞评估—ePO能够抢在病毒和蠕虫之前首先发现系统中的安全缺口,它不仅能够对安全策略的一致性进行扫描(包括Microsoft安全补丁),而且能够及时发现系统中隐藏的设备、未受到保护的设备以及容易受到攻击的设备。
●发现Rogue计算机:
能够探测外部计算机接入网络,并且向管理员发出报警。
∙成熟高效的企业更新过程—可采用完全自动或完全手动两种模式来完成更新,不仅速度快、占用带宽资源非常少,而且还可以通过一致性报告进行验证;ExpressGlobalUpdate则可以在不到一小时的时间里完成50,000个系统的更新
●完善的通知系统
1.1.2服务器和控制台系统要求
●WindowsNT4.0,SP6a、Windows2000AdvancedServer,SP1、SP2或SP3、Windows2000Server,SP1、SP2或SP3、Windows2003Enterprise、Standard或Web。
●250节点以下需要233MHz的处理器;250节点以上需要500MHz或更高的处理器(有关大型环境的要求,请参阅安装指南)
●1GB空闲磁盘空间
●NTFS分区
●128MBRAM
●250节点以上推荐使用专用服务器
●有关磁盘空间和数据库软件要求的完整信息,请参阅ePolicyOrchestrator安装指南
1.1.3代理系统要求
●Windows95/98、WindowsNTServer4.0SP4、SP5、SP6或SP6a、WindowsNTWorkstationSP4、SP5、SP6或SP6a、Windows2000AdvancedServer,SP1、SP2或SP3、Windows2000Server,SP1、SP2或SP3、Windows2000ProfessionalSP1、SP2或SP3、Windows2000DatacenterSP1、SP2或SP3、WindowsMe、WindowsXPProfessionalSP1、Windows2003Enterprise、Standard或Web
●NetWare4.2、4.6、5.0、5.1、6.0或者6.1
1.1.4技术支持
McAfee®的所有产品由PrimeSupport®和McAfeeLaboratories提供支持。
PrimeSupport服务针对客户企业的需求而定制,提供基本的产品知识和快速、可靠的技术解决方案,以确保客户企业的顺利运营。
McAfeeLaboratories是全球信息系统和安全技术的领导者,向客户保证了我们将不断开发和完善我们所有的产品。
1.2VirusScan
McAfee®VirusScan®8.5i进一步提高了病毒防护功能,将入侵防护功能与防火墙技术集成于针对计算机和文件服务器的单一解决方案中。
这种强有力的结合为用户提供了极具前瞻性的防护,使其免受当今最新威胁的侵扰—包括缓冲区溢出和混合病毒的攻击—并提供先进的病毒突发管理响应功能,从而能够减少损失和病毒突发带来的成本费用。
McAfeeePolicyOrchestrator®或ProtectionPilot™提供全面管理,便于遵守易于扩展的安全策略,并进行图形报告编制。
1.2.1主要优势
VirusScanEnterprise8.5i
●集成的防火墙与HIPS技术–防火墙与入侵防护技术的集成使VirusScan具有最大限度的前瞻性防护功能,包括Block蠕虫病毒发送异常流量的端口和不需新病毒Signature就可以阻止利用应用BufferOverflow漏洞的蠕虫病毒。
●对新威胁增强防护–VirusScan8.5i提供了对最新出现的、危及程序安全的恶意威胁(例如,“间谍”软件)、特定程序的缓冲区溢出攻击、及混合病毒攻击的防护。
●端口阻塞——病毒突发期间的低成本响应–先进的outbreak功能可在DAT文件出现之前就关闭漏洞口,通过阻塞病毒入口和防止突发病毒蔓延的方法将损失限制在最低限度。
●McAfee扫描技术–屡获殊荣的McAfee扫描引擎通过对内存的扫描来拦截那些不会将代码写入磁盘的病毒(如Netsky和CodeRed)所带来的威胁。
●访问控制—阻止未知蠕虫病毒通过访问控制,保护某些目录,可以阻止蠕虫病毒传染计算机。
1.2.2产品功能
全方位的McAfee病毒防护
McAfee防病毒扫描引擎能够拦截各种病毒和恶意代码威胁,包括宏病毒、木马程序、Internet蠕虫、32位高级病毒,甚至是恶意的ActiveX和Java对象。
VirusScan采用的防病毒技术能够对压缩数据进行深入分析,因而能够检测出隐藏在.zip或其他类型压缩文件中的威胁。
先进的启发式检测和通用检测技术使VirusScan具有了前瞻性的防护能力,能够“提前”防御各种新的、未知的病毒以及其它多种威胁。
潜在“垃圾”程序安全
VirusScan能够自动检测“垃圾”程序,有效防止隐藏程序跟踪企业和用户的Internet使用记录、访问用户个人数据(例如密码和帐户信息)或者在用户系统中造成安全漏洞。
当ViruScan侦测到“垃圾”程序时,用户或管理员可选择让ViruScan作出下列回应之一(警告、清除、删除、和隔离)。
管理员甚至可以按公司定义一个“垃圾”程序列单,如“adware、dialers或joke程序,从而使公司的端点系统“COEcompliant”。
缓冲区溢出防护(IPS功能)
VirusScan8.5i可防护大约20种最常用的软件应用程序和Microsoft®Windows®OS服务,其中包括MicrosoftWord、Excel、InternetExplorer、Outlook和SQLServer。
必要时,管理员还可以按程序指定例外情况。
全面的病毒突发回应
VirusScan8.5i内设的病毒突发回应功能可在生成DAT文件之前就提供有效防护,这使得管理员可以在发现病毒之后、接到DAT文件之前对严重的漏洞口采取及时的行动。
突发回应功能包括:
∙端口阻塞/锁定(防火墙功能)
允许管理员或用户“关闭”(阻塞)特定的端口,使传出或传入的网络流量无法进行端口(例如,对于MyDoom,应该堵塞端口#3196;而对于Bagel.n,应堵塞是端口port#2556)。
∙应用程序监控:
电子邮件引擎(防火墙功能)
允许管理员阻塞传出端口,但制定允许某些程序通过已阻塞端口进行交流。
例如,管理员有可能阻塞了传出流量的端口25,但却允许outlook.exe通过该端口进行传出交流。
如果开启了该功能,NetSky和MyDoom当时就不可能溜出系统了。
∙文件锁闭、目录锁闭、文件夹/share锁闭(IPS功能)
按系统或传入的网络程序来生成用策略,用以控制已获授权、可能发生在特定文件、目录或文件夹/share等(所使用的名称格式中含文字、通配符)的行动。
例如,为名为Sasser的蠕虫制定的策略有可能会影响到阻塞avserve*.exe,skynetave.exe,lsasss.exe,napatch.exe,*_up.exe,cmd.ftp,ftplog.txt,winlog2.*,和win*.log。
∙传染追溯与拦截
VirusScan可以发现和追溯将恶意代码发送到运行ViruScanEnterprise8.5i的端点系统的IP地址(传染源),并将传染源信息发送会管理控制台。
另外,它还可以使来自传染源端点系统的信息交流被阻塞一段时间(可配置的)或使其始终受阻(直到重新另行设置后)。
强大的内存扫描
VirusScan8.5i 增强了扫描功能,包括可以对病毒、蠕冲和木马进行“按需扫描”或“定时的存储扫描”。
也就是说,VirusScan能够抵御多种诸如CodeRed和SQLSlammer的威胁因素,虽然此类威胁不会将代码写入到磁盘中,但VirusScanEnterprise却可以从内存中直接清除掉它们的进程。
集中的管理和报告功能
VirusScan8.5i集成了McAfeeePolicyOrchestrator,唯一名副其实易于扩展的安全策略管理工具之一,从而可提供策略干练、详细的图形报告编制和软件部署。
ePolicyOrchestrator具有促进防护实施的集中授权,可提供一个单一的控制台,以管理您的McAfee部署。
另外,小型和中型企业还可以利用用户友好的McAfeeProtectionPilot管理控制台来简化管理和监控程序。
增强的电子邮件扫描功能
VirusScan8.5i除了对MicrosoftOutlook的邮件进行扫描外,还可以将发送到桌面机的所有LotusNotesClients电子邮件(包括HTML文本和附件)进行扫描。
还可以对安装了Outlook和Lotus这两种电子邮件接发软件的系统提供支持。
对使用脚本带来的威胁的防护
VirusScan8.5i可以通过侦测和防止利用JavaScript和(或)VisualBasic(VB)脚本(例如,Nimda或LoveLetter)实施的恶意代码而导致的感染。
针对移动用户的优化功能
区域服务器路由使得用户能够根据地理位置和连接速度对现场更新进行优化,较小的文件规模也使得用户能够轻松地通过连接速度较慢的网络(例如拨号连接)来下载更新文件。
借助于可恢复的更新功能,即使远程用户的网络连接被中断,他们也仍然能够在其它时间从中断处继续下载更新文件。
1.2.3系统要求
注意:
以下列出的仅为最低系统要求。
实际需求视客户的具体环境而定,可能有所不同。
工作站要求
∙Pentium或Celeron处理器,最低运行频率166MHz
∙32MBRAM
∙最小硬盘空间10MB,建议保留20MB硬盘空间
∙WindowsNT4.0SP6或更高版本
∙WindowsXPHome和ProfessionalSP1
∙Windows2000ProfessionalSP1或更高版本
∙MicrosoftInternetExplorer4.0或更高版本
∙注意:
VirusScan4.5.1支持MicrosoftWindows95/98/ME
服务器要求
∙Pentium、Celeron或Itanium处理器,最低运行频率166MHz
∙32MBRAM
∙20MB硬盘空间
∙WindowsNT4.0ServerSP6或更高版本;WindowsNT4.0EnterpriseServerSP6或更高版本
∙Windows2000ServerSP1或更高版本;Windows2000AdvancedServerSP1或更高版本
∙WindowsServer2003:
Standard、Enterprise或WebEdition
∙MicrosoftClusterServer(MSCS)
∙支持的其他平台:
CitrixMetaFrame1.8和XP;EMCCelerra文件服务器
∙MicrosoftInternetExplorer4.0或更高版本
1.3McAfeeThreatScan(集成在EPO中)
在病毒和蠕虫之前抢先发现网络漏洞
近几年来,恶意代码的威胁发生了巨大的变化。
到目前为止,威胁种类已超过了72,000种,每个月出现的新威胁类型达200多种。
除“传统”病毒威胁以外,我们还面临着大量邮件群发、常见Internet蠕虫、DDoS(分布式拒绝服务)攻击、后门木马程序以及Zombie。
如今的混合威胁也比以往更加智能化。
它们能够利用多种攻击机制,将系统资源占用(以前只有黑客攻击才会用到)与病毒和Internet蠕虫的扩散能力结合起来展开攻击。
今天,威胁的扩散速度也比以往快,在几小时,甚至几分钟内就能够扩散到全球范围。
面对如此严峻的形势,IT管理人员需要保护的设备也比以往大大增加,不仅要保护桌面计算机,而且要保护移动设备。
最终的结果,就是在新威胁的出现与企业部署修补程序的能力之间形成了一个不断增长的“易损性窗口”。
为了保护您的IT基础架构免受攻击,您必须采用这样一种战略:
既要利用传统的防病毒软件,又要采用前瞻性工具,在病毒和蠕虫之前发现漏洞所在,确保网络中所有的机器都能够得到保护。
McAfee®ThreatScan™能够进行前瞻性的扫描和报告,确定客户企业中的机器是否得到了保护和管理、是否存在安全漏洞、以及是否已经被感染。
借助ThreatScan,您将能够部署主动的预防措施,避免设备被感染,降低相关的成本,而不仅仅是针对感染问题采取“响应型”措施。
主要优势
∙识别出以往没有被发现、没有得到管理的机器,将容易受到网络感染的机器标记为“未保护”机器或“存在漏洞的”机器,从而提升安全策略的兼容性。
∙抢在“即将爆发”的新病毒或蠕虫之前发现客户企业的漏洞。
∙对病毒、蠕虫或木马程序所使用的活动网络端口进行识别,从而在获得病毒定义之前,对新的威胁进行前瞻性的检测。
∙利用详细的图形化报告对企业中的漏洞进行快速、简单的跟踪。
识别出以往没有被发现、没有得到管理的机器
在今天,要想击败恶意代码的攻击,首先就要保持一个高水平的策略兼容性—也就是确保网络中的机器都得到了妥善的保护。
但是,如果对象无法衡量,也就无法对其进行管理。
如果要对一台机器进行管理,就要确认它是真实存在的。
目前,很多企业都被那些自己没有发现的、没有保护和管理的、以及存在安全漏洞,极易受到攻击的设备搞得不知所措。
而ThreatScan则能够识别出连接到网络的所有设备,并能够提供相关的详细信息,包括机器名、操作系统(包括服务包)、以及该机器是否为企业病毒防护管理解决方案的一个组成部分。
找出整个网络中的安全漏洞
目前,越来越多的威胁都是利用我们正在使用的操作系统和应用程序中的安全漏洞发起攻击的。
这些漏洞为病毒和蠕虫提供了一个立足点,使它们能够轻易进入企业网络,并在机器之间、以及整个企业网络内迅速扩散。
单就Microsoft®产品来说,其2002版产品就需要70多个安全补丁,如此看来,软件维护并不是一个轻松的任务。
除此以外,软件更新程序的容量也导致很多组织忽视了这项关键任务。
ThreatScan能够抢在病毒和蠕虫之前,发现网络中的漏洞所在。
它还能够为用户说明这些威胁所带来的风险,以及应该如何解决这些问题。
这包括容易受到攻击的应用程序、操作系统、网络协议、或者是以往的
升级会员 