趋势科技NVW实施方案模板.docx

客户名称文件编号：QQSP-JGGH-001-B01分类：外部限制项目名称日期趋势科技防毒墙NVW实施方案模版客户名称（项目名称）提交日期：2011年6月30日文档控制文档更新记录日期更新人版本备注文档审核记录文档去向记录拷贝份数接受人职务备注1方军2 文档控制21.目的42. 适用范围43. 参考文件44. 名词定义45. 职权部门46. 内容56.1目前网络状况描述5 6.2网络需求56.3规划网络拓扑56.4广域网网络设计说明76.5 路由选路控制.86.6相关路由协议配置命令.91. 目的为了规划广域网制定了以下规范。2. 适用范围适用于公司各部门。3. 参考文件 无4. 名词定义 无5. 职权部门信息部负责本规定的拟、修、废及执行。信息部门员工负责执行。6. 网络防毒墙NVWE3500i6.1 安装前准备 （预控制台）NVWE第一次安装后，IP为动态获得，所以第一次需要通过预设控制台来进行设置。准备：USB键盘，带有VGA口的显示器。连接：根据NVWE的提供的接口，将USB键盘和显示器的VGA接口接到NVWE上。6.1.2.基本配置接通电源后服务器启动后显示登录界面默认用户名admin,默认密码admin登录后：说明：Device Information and Status:NVWE 固件版本情况，CPU 和内容使用率信息。Device Settings：NVWE IP 地址设置。Register to Trend Micro Control Manager: 注册TMCM。Interface Grouping：NVWE 的Port 分组设置。Interface Settings：NVWE 的Port 功能设置（如设置端口速率；Port1-Port4的功能，如MGT，FOV等）。Failover Setting：如果是2 台NVWE 做Failover 模式，通过该菜单来设置主从信息。Advanced Settings：NVWE 高级设置。Access Control：针对SSH 连接，定义哪些IP 地址可以进行SSH 连接。System Tasks：系统任务，如配置导出，重新启动NVWE。View System Logs：查看NVWE 的实时日志。Save and Log Off：保存并注销。Log Off Without Saving: 注销但不保存选择2这里输入需要配置的IP地址（因为NVWE需要更新病毒码需要上互联网）HOST name 输入需要的设备名称IP地址默认为 配置好以后选择save and login off保存退出。备选如果内网是无法上互联网的可以注册到TMCM通过TMCM使用离线更新包来更新）注册到TMCM选择3Register to Trend Micro Control Manager（no）更改为(yes)输入TMCM的IP地址和端口6.2.策略配置部分（推荐策略）NVWEi3500的功能为1.网络管理服务 即时通讯管理 windows共享管理 网络协议管理 P2P应用管理 2. 网络威胁防护 网络蠕虫数据包扫描与阻断 3. ARP 病毒防范备注：（推荐使用网络威胁防护蠕虫数据包过滤功能）强制策略：1.网络阻断 2.ARP病毒防范 需要在客户端安装代理程序，并且受到网络规模和环境的影响开始部署会对网络造成一定影响，因此需要长时间调整和优化）6.2.1.登录NVWE3500i的控制台准备一台终端配置为192.168.252网段任意地址，使用网线与NVWE3500i的port5口连接然后在IE中输入 图中的1口为port5口输入登录名 admin，密码admin6.2.2 激活NVWE3500i激活NVWE3500i,在管理产品使用授权中输入激活码（产品激活码在设备的注册函中，第一次需要注册，详细注册方法见注册函）产品授权激活后NVWE3500i就会默认启用网络维护防护蠕虫数据包阻断病毒码更新情况可以实时查看。6.2.3部署到网络以前所有策略配置好以后可以将NVWE3500i部署到网络中部署方法：(部署完成后将每个端口对应的接入标记清楚即可)将防毒墙部署到恰恰集团网络主干线路中：1部署方法一：串联在核心交换和防火墙之间将核心交换一个借口接入port5口，防火墙的一个接口接入port6口2.部署方法二：串联在二个逻辑层交换和核心交换之间将一个逻层交换接入到prot5口，核心交换接入到port6口将另一个逻层交换接入到port7口,核心交换接入到port8口注port5口为管理口，此网段必须接入同网段对应的交换机接口)因此以上部署port5口的网段必须属于连接网段如果无法配置相关连接网段的地址可以使用port1port4口作为管理口使用。配置单独的管理口，请参见附录6.3.强制策略部分（可选策略）6.3.1.设置网络区域设置网络区域（可用于源地址网络或目的地址网络，即您需要进行强制策略检测的客户机网络。点击策略强制-网络区域，在该页面中添加您需要设置的网络信息。点击添加，参考页面上的网络信息添加说明添加需要进行强制策略的网络信息。如果需要限定在特定网口或者VLAN上，则在接口/VLAN页面进行设置。默认不用配置。 如果有一些部分客户机不执行这条策略，您可以在例外页面中添加。这些客户机不会执行这条策略，如果后续策略有匹配到，会执行后续策略。6.3.2.设置URL列表设置URL列表，该列表内的网站是用于策略中的URL例外使用的，主要是用于被阻挡(Block)客户端额外可以访问的URL 地址，建议您将客户端杀毒软件的更新源地址，Windows Update 的更新地址添加进去，默认已经有windows update 和趋势科技的更新源地址。l 点击策略强制-URL 列表，在该页面中添加您需要例外的URL地址l 点击添加，添加您需要的地址。添加地址时务必使用通配符*。6.3.3.添加策略l 点击策略强制-策略，点击添加。l 步骤一：指定端点设置启用此策略:如果勾选，则在策略设置完成后就会马上生效。无代理：该选项选择后，终端不会安装TMAgent客户端。但后续策略中的部分功能将不可用。一次性使用代理：TMAgent运行方式的一种。此种方式TMAgent 在客户端运行收集完信息后会自动停止。下次运行是需要客户端通过IE 访问来触发的或者NVWE远程登录来启动（此种模式需要启用远程登录的安装模式）。持久代理：如果勾选，TMAgent 安装成功后会一直处于运行状态，并且开机后TMAgent 自动运行。建议您使用此种模式。端点安装方法: TMAgent 的安装方式。对非windows操作系统禁用端点评估：对非windows平台不进行强制策略检测的操作。建议您勾选该选项。对不可识别的操作系统禁用端点评估：对无法识别的操作系统不进行强制策略检测。无法识别的操作系统可能原因是由于客户端安装了防火墙或者其他网络访问限制。推荐您不要勾选该选项。在以下时间后重新评估符合策略的端点: 对于符合策略的客户机(Endpoint)，多久之后重新进行评估。建议您使用默认值。在以下时间后重新评估不符合策略的端点: 对于不符合策略的客户机(Endpoint)多久之后进行重新评估，根据您的网络环境设置合适的时间。l 步骤二：指定认证和网络区域启用用户认证:是否启用身份认证功能。如果启用，需要至管理-LDAP 设置 页面进行LDAP 设置。端点网络区域：设置源地址，选择选定网络区域，先前设置的网络区域 应会在可用网络区域中出现，将其挪至选定网络区域。点击左边的显示详细信息 可以看到如下更多设置。数据包目标网络区域: 目的地址。建议您选择任何网络区域。TCP/UDP协议端口：TCP/UDP 端口，默认为所有端口，您可以指定对部分端口访问进行强制策略。时间表：设置策略应用时间。l 步骤三： 指定强制策略该步骤设置强制策略检查的核心内容。防病毒产品扫描：杀毒软件检测。可以在列表中选择需要检测的杀毒软件。如果全都不选，则客户端会永久违反策略。如果勾选只使用网络协议仅评估趋势科技产品，则NVWE 将通过网络协议去检测杀毒软件。如果勾选了该选项， 需要配置防毒墙网络版的端口： 策略强制-防毒墙网络版设置。如果在此定义了重定向到URL,请务必确认访问的URL 地址在URL 例外中有定义，或者该URL 的IP 地址在全局端点例外中有定义。NVWE 支持对杀毒软件的病毒码版本进行检测，并且允许客户端的病毒码可以低于最新版本10个版本。NVWE 支持对系统进行威胁扫描，并采取处理措施。NVWE 支持对操作系统进行漏洞检查。漏洞检查列表和分类基于微软发布的信息。如果需要对特定的漏洞进行检查，点击分类链接，在弹出的对话框中进行选择。NVWE 支持对客户端的注册表项，键值进行检测。在此设置需要检测的注册表信息。另外，建议勾选记录策略违例和向端点通知策略违例。注意：如果在步骤一中选择了无代理模式，则在该步骤中，部分内容不可设置。l 步骤四： 指定网络病毒策略。此步骤设置匹配这条策略的网络病毒数据包如何处理。建议选择丢弃数据包。如果选择隔离端点，则该客户端的数据包将无法通过NVWE。同时，该客户端会在日志-端点历史记录的隔离类别中出现，被隔离的客户机可以在此列表中释放。l 步骤五：指定网络应用程序策略应用程序协议检测: 可以在此定义TCP/UDP 端口和ICMP。如果勾选该设置，则匹配该策略的数据包如果其TCP 或者UDP 端口在其中，数据包将会根据设置的动作进行处理。即时通讯检测：可以针对MSN, Yahoo, ICQ/AIM IRC 进行检测。文件传输检测: 可以对文件传输进行检测。发生爆发时允许控制管理中心修改网络应用程序策略设置：TMCM 的爆发阻止策略可以定义阻止端口和文件扩展名，该选项设置是否可以允许TMCM 的爆发阻止策略复写这些设置。l 步骤六：启用威胁清除该模块需要结合Threat Discovery Appliance(TDA)威胁发现设备使用。如果没有威胁发现设备，请勿启用该模块。l 步骤七：策略URL例外在此设置客户端可以访问的URL 地址。即使客户端违反了策略被Block 了，在此定义的URL 是可以访问的。l 点击下一步，NVWE将再次显示所有步骤的摘要信息。如果没有问题，则点击保存。l 表示策略未启用，表示策略已启用。鼠标点击已启用下图标，该策略会在启用和未启用之间切换。设置完毕后，点击保存。l 如果需要对不同的网段设置不同的策略，则通过以上方法针对每个网段进行设置。6.3.4.设置ARP欺骗设置网络病毒墙(NVWE 3500I)提供了ARP保护功能。该功能通过以下2种途径来实现防ARP欺骗。l 静态IP和MAC绑定：通过在NVWE的界面上添加对应的IP和MAC地址，TMAgent会将这些信息写入windows系统的静态arp表中。l 监控经常发包的进程：TMAgent通过监控进程发包情况，如果发现有进程发包异常，TMAgent会结束该进程。设置方法： a) 点击策略强制-ARP欺骗设置。b) 静态IP和MAC绑定：勾选启用预防ARP欺骗功能，在IP地址和MAC地址中输入对应的IP地址和MAC。一般输入的内容为网关IP和对应的网关MAC地址。c) 监控经常发包的进程：勾选在端点上启用ARP欺骗监控即可。如果需要TMAgent结束发包异常的进程，则勾选在端点上启用ARP欺骗阻止。d) 设置完毕后，TMAgent会在下一次通讯过程中获取该配置信息。您也可以让TMAgent重新评估一次来获取该设置信息。检查策略设置效果a) 客户端。当客户端使用浏览器通过NVWE 访问其他资源时，如果TMAgent未安装过，则会出现安装页面。b) 如果TMAgent已经成功安装并在运行状态，则违反策略的客户端会在Web 页面中看到被Block 的提示。c) 在NVWE的Web界面的摘要页面上，会看到违反策略的端点统计信息。d) 日志-端点历史纪录日志中，可以查看到违反和符合策略的客户机信息。6.3.5.其他设置l 支持的产品该列表提供罗列了该版本的NVWE 支持的所有杀毒软件的版本信息。l 全局端点例外在网络中，存在一些设备或者Linux 服务器是不需要进行强制策略检查或者网络病毒扫描的。此时，建议您将设置设备的IP 地址添加到全局例外列表中，在该列表中的IP 地址，NVWE 不会进行强制策略检测，同时也不会进行网络病毒扫描。6.4.附录附录1：使用U盘恢复网络病毒墙(NVWE 3500I)至出厂设置准备：系统U盘在收货单中查找请将USB键盘和 显示器接到NVWE上。1. 将U盘插入NVWE的USB接口上。2. 重新启动NVWE。3. 当看到如下输出时，按F11。4. 设备启动一段时间后，会进入BIOS Boot Manager菜单，见下图，选择Hard Disk，在弹出的菜单中，选择对应USB设备。Integrated SAS #0300为设备自带的硬盘。5. 从U盘启动后，将会看到如下菜单。6. 选择Install NVWE3500i System。7. NVWE的程序将会被自动安装。安装过程中，您将会看到类似如下的输出。8. 成功安装后，会看到如下提示信息。附录2：如何单独设置网络病毒墙(NVWE 3500I)的管理口在某些特殊的情况下，NVWE3500i接入的环境可能没有更多得IP给NVWE使用，或者在特殊情况下，需要将NVWE的管理IP配置到NVWE的其它端口上。此内容说明了如何设置