OfficeScan10.6入侵防御防火墙（IDF）解决方案_20121010V1..docx

全球领先安全服务厂商OfficeScan 10.6入侵防御防火墙（IDF）解决方案趋势科技（中国）有限公司2012年10月10号1 概述随着计算机的广泛应用和网络的不断普及，来自网络内部和外部的危险和犯罪也日益增多；随着企业业务应用越来越多，面临着漏洞攻击、DDos攻击、应用管理复杂等问题。趋势科技入侵防御防火墙是一款集成于OfficeScan 10.6高级防御系统，能高防御防服务器漏洞、DDos攻击等攻击，有效的管控企业应用。备注：根据客户的实际情况写。2 IDF解决方案2.1 IDF设计思路为了构建一个强壮、有效的入侵防御体系，在分析了用户网络架构及相关应用之后，针对潜在的威胁，建议采用结合产品、防御策略、服务为一体的防御体系。在为用户设计的入侵防御体系中，考虑到能客观真实的反应防御现状，生成丰富的报表，集中报警等的需求，构建逻辑结构为三层的防御体系：第一层：中央管理层在服务器上部署趋势科技中央控管产品TMCM（Trend Micro Control Manager），该管理软件能够对防病毒软件进行集中化的监控及管理，借助其丰富的报表功能向领导汇报当前防病毒所取得的成就，并可自动从趋势服务器下载病毒爆发策略，部署到OfficeScan 10.6，对企业应用和漏洞进行通知和报警。第二层：产品层（OfficeScan 10.6）IDF插件考虑到用户的网络现状，可以将OfficeScan 10.6与控管中心（TMCM）安装在同一台服务器上，IDF插件集成在OfficeScan 10.6中。该层主要用于对OfficeScan 10.6服务器端进行纯一的管理，查看全网计算机的应用程序、系统漏洞攻击、违规外联等事件，并统一的病毒清除和病毒代码更新，统一下发给客户端。 第三层：产品客户端层位于防护体系的第三层次，由客户端防护产品OfficeScan 10.6客户端构成，主要用于防护客户机系统安全。2.2 IDF架构IDF是一款适用于防毒墙网络版OfficeScan 10.6入侵防御防火墙高级入侵防御系统，继承 Deep Security 的深度包检测技术 (Deep Packet Inspection)和终端代理管理机制，集成于OfficeScan 10.6，并提供虚拟补丁、高级的防火墙、入侵侦测/预防、应用程序过滤功能，其架构如下图：2.3 IDF简介2.3.1 概述IDF（Intrusion Defense Firewall）为终端入侵防护侦测，是一款适用于防毒墙网络版OfficeScan 10.6入侵防御防火墙高级入侵防御系统，继承 Deep Security 的深度包检测技术 （Deep Packet Inspection）和终端代理管理机制，集成于OfficeScan 10.6，并提供虚拟补丁、高级的防火墙、入侵侦测与预防、应用程序过滤功能。 通过入侵防御防火墙 （IDF），您可以创建并执行主动式保护敏感数据、应用程序、计算机或网段的各种安全策略，防止系统漏洞攻击。2.3.2 产品功能 深度包检查l 检查所有未遵照协议进出的通信，内含可能的攻击及政策违反；l 在侦测或预防模式下运作，以保护操作系统和企业应用程序漏洞；l 能够防御应用层攻击、SQLSQL Injection 及Cross-site跨网站程序代码改写的攻击；l 提供有价值的信息，包含攻击来源、攻击时间及试图利用什么方式进行攻击；l 当事件发生时，会立即自动通知管理员； 入侵侦测和防御l 防堵已知漏洞来抵挡已知及零时差攻击，避免无限制的攻击；l 每小时自动防堵发现到的最新漏洞，无须重新开机，即可在几分钟内就可将防御部署至成千上万的服务器上；l 提供数据库、网页、电子邮件和FTP服务器等100多个应用程序的漏洞保护；l 智能型防御规则提供零时差的保护，透过检测不寻常及内含恶意程序的通讯协议数据码，以确保不受未知的漏洞攻击。 应用程序管理l 增加对应用程序访问的网络的控管及可见度；l 使用应用程序控管规则，可侦测出恶意程序私下访问网络的行为；l 降低服务器漏洞。 双向状态防火墙l 减少的实体、云端运算及虚拟服务器被攻击的机会；l 集中管理服务器防火墙政策，包括最常见的服务器类型；l 微粒的筛选特色（IP与MAC地址、通讯端口），可针对每个网络设计不同的接口和位置政策；l 防止DDos攻击，提供事先弱点扫描侦测；l 可保护所有基于IP通讯协议（TCP、 UDP、 ICMP 等）和所有框架类型（IP、ARP 等）。2.4 IDF部署2.4.1 IDF服务器插件系统要求 服务器 内存：1GB（推荐2GB） 磁盘空间：1.5GB（推荐6GB），必须使用NTFS分区 OfficeScan 10.6版本：8.0或以上 插件管理器版本：1.0.3151或以上 .NET Framework：2.0或以上 支持数据库：MS SQL Express或MS SQL Server 2005/2008 通讯端口 IDF服务器插件与IDF客户端插件通讯：4118IDF Web控制台：4119IDF客户端插件与IDF服务器插件通讯： 4120服务器连接趋势更新服务器更新：443 2.4.2 Web控制台和客户端要求 浏览器 MS Internet Explorer 6.0 SP1MS Internet Explorer 7.0MS Internet Explorer 8.0 客户端 内存：256MB磁盘空间：400MB 操作系统 MS Windows 2000 （x86）MS Windows XP （x86/x64）MS Windows 2003 （x86/x64）MS Windows Vista （x86/x64）MS Windows 2008 （x86/x64）2.4.3 IDF服务器插件安装 通过Internet下载安装登录OfficeScan 10.6管理控制台，下载完后在线安装，如下图：点击立即安装，显示如下：安装完毕，显示如下： 使用本地更新源安装（内网）u 下载IDF插件安装程序到本地 u 在OfficeScan 10.6的Web服务器上新建虚拟目录指向本地安装程序 u 在OfficeScan 10.6的Web控制台更改更新源到新建的虚拟目录 u 重启“防毒墙网络版插件管理器”服务 u 使用插件管理器下载安装 操作下图：2.4.4 IDF客户端部署1.等录OfficeScan 10.6控制台，点击插件管理器-入侵防御防火墙-管理程序，显示如下：2.点击计算机-Workgroup，显示如下：3.鼠标右键-处理措施-部署客户端软件，显示如下：4.部署完毕，登录OfficeScan 10.6客户端机器，查看OfficeScan 10.6客户端插件管理，安装成功显示如下：3 服务体系3.1 售后服务3.1.1 服务对象金融行业、企业用户。3.1.2 服务提供者趋势科技售后服务中心工程师。3.1.3 服务方式 电子化支持服务电子化支持服务的方式主要包括互联网、电子邮件和传真等方式。对于通过电子化方式报告的技术问题，趋势科技将在接到问题报告后的下一个工作日之内做出响应。另外，趋势科技还为客户提供5*8小时的基于互联网的常见问题解答和相关资料查询功能。网站： FTP：技术支持邮箱：传真：021-5356-3458 电话支持服务电话支持服务是指客户通过电话向供应商寻求防病毒软件方面的技术支持。趋势科技热线电话提供5*12小时的支持服务，并由专职工程师提供在线问题判断及基本操作协助。热线电话：800-8208839（021-5396-6699） 远程支持服务远程支持服务是在电子化支持和电话支持均无法解决问题的情况下，趋势科技工程师利用远程工具为客户处理问题。 现场支持服务现场支持服务是指在电子化支持、电话支持和远程支持均无法解决问题的情况下，公司应指派技术人员赶赴现场进行故障处理。趋势科技有专业的现场售后服务团队，在客户遇到紧急问题时，会第一时间亲临现场，帮客户处理问题，力争第一时间确保客户业务正常运行。3.1.4 服务时间服务时间周一至周五（国定节假日除外）9:00 - 12:00；13:00 - 17:30备注：特殊情况例外3.2 培训服务趋势科技对客户提供完善的培训体系，培训地点、培训人员、培训时间由用户确定，趋势科技提供讲师、讲义。培训内容包括以下几方面：l 现场维护培训产品实施完毕后，实施工程师会和相关的联系人进行交流，实施现场培训。l 防病毒知识培训趋势科技在防病毒领域积累了丰富的知识和经验。防病毒培训的主要内容包括病毒处理、如何加强日常防护等。l 用户安全意识小贴士趋势科技根据客户每月的信息安全现况，为用户提供专业的安全意识小贴士。小贴士的内容采取图文并茂的形式，加入许多安全常识和安全小技巧，提升终端用户的安全意识。针对培训的结果，趋势科技会进行现场测试，确保每一位参加培训的人员都能学到信息安全防范知识。3.3 产品升级服务3.3.1 产品组件升级在有效服务期内，客户所使用的产品的安全组件可免费合法进行自动或手工升级。可更新的安全组件包括：特征码(pattern)，扫描引擎(Engine)，产品本身的修补程序(Hot fix、Patch、Service Pack)，等等。3.3.2 产品版本升级在有效服务期内，针对客户正在使用的产品中，如果趋势科在市场上推出了相应的新版本，则客户享有在服务期内免费使用该新版本的权利。客户可随时免费下载最新版产品或服务升级包，使用所购产品的最新版本。3.4 特色服务趋势科技除了以上的服务外，还提供了特色服务，其内容包括以下几方面： 通过E-mail方式获得病毒及产品新技术信息通知，限2个邮箱； 重大病毒警戒手机短信通知，限2个手机号码。（重大病毒定义以趋势科技全球技术支持中心的黄色/红色警报为主）； 在本公司网站查询详实防毒信息； 以优惠价格购买专业的增值服务包，或各类单项服务项目； 免费商务客服电话、电子邮件、传真服务：电话：800-8208876 (021-5396-5887)邮箱：传真：021-5356-34584 附录附录1：关于趋势科技 趋势科技简介趋势科技1988年成立于美国，总部位于日本东京；员工人数4239人，其中技术支持1341人，R&D1126人，各占31.6%和26.6%；在50多个国家和地区设立了分公司和办事处，全球拥有10个Trend Labs（威胁研发实验室）和9个全球研发中心。趋势科技分别在日本东京证券交易所和美国NASDAQ上市，并在2002年10月入选日经指数成分股，创造了日本证券史上的奇迹。趋势科技2008年的全年销售收入超过10亿美金，是一家高成长性的跨国信息安全软件公司。Gartner Group 连续四年把趋势科技评定为最具创新能力的防毒管理供应商。IDC 数据表明，趋势科技在全球服务器架构防毒解决方案居领导地位，在整体服务器防毒软件市场、群组防毒软件市场、网关防毒软件市场的占有率均高居全球第一位。趋势科作为互联网内容安全领域的全球领导者，一直在推进集成威胁管理技术来保护运行连续性、个人信息以及财产不会受到恶意软件、垃圾邮件、数据泄漏和最新网络威胁的影响，致力于保证企业和个人用户数据信息交流的安全性。趋势科技云安全（Smart Protection Network）是一种下一代云客户端内容安全架构，旨在保护客户免受网络威胁的影响，同时降低对网络和系统的影响以及对传统的特征码文件下载的依赖。借助提供领先内容安全解决方案的内部专业技能以及来自客户环境的实时反馈，趋势科技云安全把来自多个地址的信息关联起来，实现全面的网络威胁保护。趋势科技云安全可以用在现场或托管网络、信息以及端点安全解决方案中，保护公司和终端用户免受网络威胁的影响，这些网络威胁会破坏信息，严重损害公司或个人的信誉。 趋势科技在中国2001 年7 月趋势科技正式进军中国市场，在上海、北京、广州等地设立分支机构，以“用创新服务用户的需要”为宗旨，为中国各行业的用户提供高品质的产品与服务。迄今为止，趋势科技在中国大陆已有接近800 名员工，其中在南京建立的研发中心超过300 人，保证了最快速的产品及技术更新和本地化支持，包括IWSA、IMSA、Scan Mail、Server Protect等趋势科技拳头产品主要有中国研发中心负责。2003 年趋势科技与国家计算机防病毒应急中心达成协议，将在国家计算机防病毒应急中心设立“趋势科技*中国防病毒研发暨技术支持中心国家防病毒应急中心联合实验室”（Trend Labs China），便于双方能够进行广泛的技术交流，促进中国的网络安全事业的发展，协助国家应中心打击网络安全犯罪和更好地服务于国内的广大用户。趋势科技中国实验室将充分利用总部位于菲律宾的趋势科技全球防毒研发暨技术支持中心Trend Labs 的丰富资源，Trend Labs 是全球唯一一家通过ISO9002 认证的防毒机构，由400 多位资深安全专家组成，能够为趋势科技全球用户提供7*24 小时不间断的专业防毒服务。Trend Labs China 在天津的正式成立，必将对Trend Labs 更好地为中国用户服务起到积极的促进作用。附录2：趋势科技中国研发中心趋势科技中国研发中心位于南京，始于 1997 年 8 月，经过十年多由本地人才进行国际软件研发的成功经验，趋势科技决定于 2004 年起扩大在中国研发中心的投资，加速中国研发中心的发展。迄今为止，趋势科技中国研发中心已超过700名员工。在趋势科技中国研发中心的精英中，计算机相关科系毕业的硕士博士超过半数，而来自于南京大学、东南大学、清华大学等知名学府的员工更高达 88；目前中国研发中心已申请和获得多项美国专利技术。 中国研发中心主要负责趋势科技的软件开发，主要研发方向在于防毒软件及网络安全产品或相关功能的研究与开发。包括关键安全技术的研究、企业级防毒产品的研发，以及核心产品功能的研制；主要目标是向趋势科技业务部门提供先进的软件开发与质量保证功能，为中国、亚太地区和全球的客户提供世界一流的软件设计产品和服务。中国研发中心承担了多项非常核心的先进项目，开创了IT业跨国公司在华研发中心风气之先河。通过中国优秀的工程师人才资源，趋势科技将高速、高效地向全球市场提供创新的高质量的产品与服务。以下是趋势科技中国研发中心的环境照片： 图1：公司一览 图2：公司病毒服务器附录3：趋势科技的整体优势 业界领先的专业安全厂商趋势科技是网络安全软件及服务领域的全球领导者，自1988年成立以来，专注于防病毒产品体系的构建和防病毒服务的提供，以卓越的前瞻和革新能力引领了桌面防毒、服务器防毒、网关防毒、网络层防毒的技术潮流，成为一家高成长性的跨国信息安全软件公司。目前，趋势科技在全球设立有30个分支机构，并先后在东京证券交易所和NASDAQ上市。趋势科技在把创新思想成功转化为尖端科技方面享有盛誉，Gartner Group连续多年将趋势科技评定为最具创新能力的防毒管理供应商。2005年IDC防毒市场分析报告表明，趋势科技在全球服务器架构防毒解决方案居领导地位，在整体服务器防毒软件市场、邮件防毒软件市场、网关防毒软件市场的占有率均高居全球第一位。 快速的全球病毒响应体系趋势科技公司在成立初期就构建了覆盖全球的病毒处理中心Trend Lab，通过全球防毒体系的建立，对任何一个地方的病毒事件趋势科技都可以快速地进行样本分析和解决方案递交。目前Trend Lab总部设在菲律宾，在北美、欧洲、亚洲等多个地方设有分中心，是业界惟一通过ISO9002和BS7799认证的病毒分析实验室，提供7*24小时、全年无休的专业防毒服务，是惟一可以承诺两小时内完成向用户提供病毒解决方案的病毒处理中心。 国内投资规模最大的防毒厂商趋势科技（中国）有限公司成立于2001年8月，公司目前人员规模已超过400人，是国内防毒厂商中投资规模最大的一家。趋势科技（中国）有限公司在北京、上海、广州构建销售平台中心，在上海构建技术服务中心、在天津构建病毒处理中心、在南京构建研发中心，是惟一在国内构建有四大中心的国际防毒厂商。趋势科技（中国）有限公司立足长远，希望与国内广大客户建立更为密切的业务合作关系。 国内最具权威的病毒信息发布提供商2003年，趋势科技与公安部下辖的国家计算机病毒应急处理中心达成协议，趋势科技与国家计算机病毒应急处理中心共同成立“趋势科技*中国防病毒研发暨技术支持中心国家计算机病毒应急处理中心联合实验室”(Trend Labs China)，便于双方能够进行广泛的技术交流，促进中国的网络安全事业的发展，协助国应中心打击网络安全犯罪和更好地服务于国内的广大用户。目前公安部病毒预警信息发布、中央电视台下周病毒预警信息皆来源于该联合实验室。 唯一具备一级服务资质的防毒厂商2005年，趋势科技（中国）有限公司通过了中国信息安全产品测评认证中心的服务资质认证，获安全工程类一级证书，是国内唯一通过此认证的防毒厂商。一级服务资质的获得，标志着趋势科技（中国）有限公司作为安全服务的提供者，安全服务整体能力和安全服务管理体系在国家高度上获得认可，是对趋势科技长期注重安全服务流程构建的充分肯定。 创新的病毒防护处理机制2002年，趋势科技在全球向用户推广企业安全防护战略，基于此战略的全新的防护机制向用户提供更全面、更及时、更彻底的病毒保护服务。通俗来讲，趋势科技的防毒系统可以针对病毒进行分阶段抑制，实现病毒防护的最佳效果。趋势新科技防毒系统在新病毒出现前、刚出现、出现中、出现后的每一阶段都有相应的应对策略，使得用户在面对象“冲击波”这样恶性病毒的时候，并不是仅仅依靠病毒代码这根救命稻草，而是在病毒代码到来之前就可以通过漏洞控制、阻止策略等获得防护能力。在后期的病毒清除中，也不再需要手工清除，而是通过工具分发，可以实现集中大清除。一句话，全新的安全防护机制将病毒爆发周期完整地保护起来，面对恶性病毒，用户不再感到恐惧和无助。 全方位、多层次的防毒体系趋势科技提供的防病毒体系，构建有全方位、多层次的病毒防线，分别是针对病毒传播途径的网络层防护、邮件网关防护、Web网关防护、邮件服务器防护，针对病毒驻留场所的存储服务器防护、应用服务器防护和客户机防护，实现病毒的全面防范，将病毒的生存空间压到最小，将病毒的扩散和危害降到最低。 集中统一的高管理性趋势科技防毒系统可以实现了跨广域网的多级控制与管理，集中分发漏洞检测码、阻止策略、病毒代码、扫描引擎、清除工具，并自动生成日志报表，帮助管理员快速定位传染源和发现未部署防毒系统的漏洞节点，一个管理人员就可以轻松地完成整个所辖网络防毒系统的管理，大大减少了人力投入，同时保证了防毒系统策略的一致性。趋势科技集中管理采用Web方式，管理支持SSL，同时管理信息通讯中采用128位加密机制，实现了管理方便性与安全性的统一。 安全防护技术的全面集成趋势科技防毒系统绝不仅仅是病毒代码+扫描引擎的简单组合，它更集成了行