浦钢防病毒方案mcafee.doc

宝钢集团浦钢搬迁工程网络防病毒方案McAfee公司上海办事处Tel: 021-614588782019年5月16日文档说明非常感谢宝钢集团浦钢（简称浦钢）给予McAfee公司机会参与宝钢集团浦钢搬迁工程网络防病毒项目，并希望本文档所提供的解决方案能在整个项目规划和建设中发挥应有的作用。需要指出的是，本文档所涉及到的文字、图表等，仅限于McAfee公司和宝钢集团浦钢内部使用，未经McAfee公司书面许可，请勿扩散到第三方。目 录 1技术方案概述61.1推荐网络防病毒系统产品61.2网络防病毒系统建立后达到的效果61.2.1部署McAfee Active Defender的效果61.2.2部署McAfee SCM的效果71.2.3部署ePO安全管理平台的效果82产品部署建议92.1网络防病毒客户端的部署92.2邮件服务器和邮件防病毒部署102.3安全内容管理网关（McAfee SCM）的部署112.3.1透明网桥112.3.2显式代理122.3.3存在BlueCoat等Web Cache设备时SCM设备的部署方式132.4防病毒管理服务器的部署133防病毒管理183.1配置epo agent和ePo服务器的通讯间隔183.2实时扫描策略183.3配置自动更新193.4计划手动扫描203.5病毒警报203.6生成Epo报告203.7策略强制214McAfee网络防病毒产品简介224.1McAfee VirusScan Enterprise 8i224.2邮件防病毒McAfee GroupShield264.3病毒和安全防护集中管理服务器ePO 3.6295McAfee SCM（安全内容管理）产品介绍325.1McAfee SCM产品325.2SCM的主要功能335.3强大的MQM功能355.4McAfee SCM功能列表365.5性能参数386产品实施396.1实施内容和步骤396.2项目实施的组织机构396.3项目实施计划（模拟实施）406.4系统验收417培训428McAfee技术支持448.1McAfee ServicePortal448.2McAfee Gold Technical Support (黄金级技术支持)458.3Platinum Technical Support（白金级技术支持）46附录一：国内主要客户名单481 技术方案概述1.1 推荐网络防病毒系统产品根据浦钢的防病毒技术要求，我们建议采用McAfee Active Defender产品作为终端防病毒产品，同时，也推荐采用McAfee SCM（安全内容管理网关）作为网络防病毒设备，有效的防御Web访问和email应用中的病毒、spyware、垃圾邮件、不良内容等安全威胁，产品包括：1） 计算机防病毒客户端：McAfee VirusScan 8.0i，包括各种Windows平台工作站、服务器防病毒客户端，包含On-Access实时扫描保护和On-Demand定制定时扫描两部分。2） 邮件服务器防病毒: McAfee GroupShield for Exchange/Domino3） 安全内容管理网关：McAfee Secure Content Gateway（SCM）4） 防病毒管理服务器：McAfee ePolicy Orchestrator 3.6。1.2 网络防病毒系统建立后达到的效果1.2.1 部署McAfee Active Defender的效果建议的McAfee Active Defender网络防病毒系统建立后，将达到以下防病毒效果：1） 主动的病毒防护，McAfee防病毒客户端不需要病毒签名就可以阻挡未知蠕虫病毒；2） Spyware间谍程序扫描和清除，McAfee防病毒系统集成了业界最强大的Spyware探测清除模块，同时，也可以通过McAfee SCM在网关出阻断spyware。3） Windows平台微软安全补丁安装状态检测和报警，并且提供详细的报表；4） 能够自动探测未受保护的计算机5） 能够自动探测外来用户电脑接入内部网络；6） 对浦钢网络内的应用服务器进行全面防护，包括Unix/Linux服务器，从而切断病毒在服务器内的寄生和传播；7） 对邮件服务器和邮件进行病毒防护，实时探测和阻挡病毒邮件，确保浦钢邮件和邮件服务器的安全；8） 对所有的客户机进行全面防护，彻底消除病毒对客户机的破坏，保证所有工作人员都有一个干净、安全的计算机平台；9） 通过分层的防病毒管理服务器实现分布式自动更新和分层分地域分权管理；10） 技术领先的病毒爆发响应，同过不需签名防护蠕虫病毒技术，端口锁定、文件、文件夹锁定和通知功能，使得在病毒爆发阻止和病毒爆发快速响应方面具有完善有效的技术手段。1.2.2 部署McAfee SCM的效果建议的McAfee SCM系统建立后，将达到以下效果：1） 防止间谍软件进入网络，减少桌面成本，降低信息被窃取的风险；2） 通过拦截已知病毒和蠕虫来保持业务的持续性；3） 通过阻止对不适当网站的访问，提高员工生产力并节省带宽资源；4） 透明的用户操作；5） 通过拦截垃圾邮件来提高员生产力、减轻电子邮件服务器压力；6） 通过拦截已知病毒和蠕虫来保持业务的持续性；7） 通过拦截网络钓鱼诈骗邮件来降低信息被窃取的风险；8） 使用单一的集中设备 McAfee ePolicy Orchestrator 统一管理网关 SMG 和桌面 McAfee VirusScan 安全，从而减轻员工的工作量；9） 通过对进出的电子邮件进行过滤来减少责任、提高信息安全性；10） 特有的MQM服务器，提供强大的隔离功能，确保企业邮件的绝对安全；11） 无与伦比的性价比。1.2.3 部署ePO安全管理平台的效果通过部署McAfee ePO安全管理平台，能够对McAfee的安全产品以及部分其他厂商的安全产品提供统一强大的部署、管理、升级和报表功能，同时，ePO提供强大的可扩展能力，能够为客户今后安全系统的扩展做好充分准备。2 产品部署建议2.1 网络防病毒客户端的部署防病毒客户端部署：平台安装客户端版本Windows NTWindows 2000Windows 2003 ServerMcAfee VirusScan Enterprise 8.0iWindows XP Windows 2000 ProfessionalMcAfee VirusScan Enterprise 8.0i策略：l 开启集成的防火墙与HIPS 技术 防火墙与入侵防护技术的集成使VirusScan具有最大限度的前瞻性防护功能，包括Block蠕虫病毒发送异常流量的端口和不需新病毒Signature就可以阻止利用应用Buffer Overflow漏洞的蠕虫病毒。l 对新威胁增强防护 VirusScan 8.0i 提供了对最新出现的、危及程序安全的恶意威胁（例如， “间谍”软件）、特定程序的缓冲区溢出攻击、及混合病毒攻击的防护。l 病毒突发期间的策略 先进的病毒爆发响应功能可在 DAT 文件出现之前就关闭漏洞口，通过阻塞病毒入口和防止突发病毒蔓延的方法将损失限制在最低限度；文件、文件夹锁定功能阻止病毒进入计算机。l McAfee 内存扫描技术 屡获殊荣的 McAfee 扫描引擎通过对内存的扫描来拦截那些不会将代码写入磁盘的病毒（如 Netsky 和 CodeRed) 所带来的威胁。l 集中式管理和报告编制 与 McAfee ePolicy Orchestrator 的集成为用户提供了全面的安全管理解决方案，包括从一个控制台进行详细的图形报告编制的功能。策略管理都通过连接在本地局域网上的二级EPO防病毒服务器l 报警集中发送到ePO 由防病毒管理服务器进行统一的报警和日志管理。l 升级更新 防病毒客户端到局域网上的二级防病毒管理服务器上下载更新，更新方式有任务设置定时更新和ePO实时更新通知两种方式，用户可根据需求选择。安装防病毒客户端时，可以在计算机客户端上部署防病毒管理服务器ePO的Agent，然后通过防病毒管理服务器进行自动分发部署。2.2 邮件服务器和邮件防病毒部署防病毒客户端部署：平台安装软件邮件服务器防病毒客户端McAfee VirusScan Enterprise 8.0i邮件防病毒系统McAfee GroupShield 6.3策略：1）邮件服务器防病毒客户端策略和2.1节的策略相同；2）GroupShield由管理网防病毒控管中心进行集中管理，包括策略配置、报表、报警和自动更新；3）GroupShield开启On-Access实时扫描部件，对进出邮件服务器的所有邮件进行病毒探测和清除；4）在管理网防病毒控管中心服务器上制定邮件服务器邮件数据库的定时扫描，定时探测清除邮件数据库中的病毒邮件。2.3 安全内容管理网关（McAfee SCM）的部署McAfee SCM的部署方式主要有三种，在本项目中主要将McAfee SCM部署在防火墙后边，使用透明网桥模式，当然，在今后使用的过程中，也可以灵活的更改部署方式。2.3.1 透明网桥E-MailWeb BrowsingHTTP, FTPE-Mail ServerEmailSMTP, POP3透明网桥部署采用SCM的两个10/100/100M自适应端口以串联方式接入到网络，如上图所示：透明网桥方式的优点：1) SCM配置简单；2) 透明网桥方式工作在网络ISO模型的第二层，对应用和网络层是透明的，因此，不需要修改SCM两端网络设备和服务器的任何配置，也不需要修改企业其它的任何配置；3) 选择透明网桥方式工作时，当设备出现故障，便于恢复，只需将设备从网络上撤下，就可以恢复正常邮件服务，而且最新的SCM 4.2已经支持fail-open功能，在设备故障的情况下，也不会影响网络的正常访问；4) 当进行HTTP扫描时，透明网桥接入方式不要求客户端浏览器输入代理服务器IP地址和端口。透明网桥的缺点：1) 由于透明网桥是串接在链路中，容易造成单点故障，但若采用了HA的双机热备部署方式则不存在此缺陷；2) 由于透明网桥是串接在链路中，不扫描的网络协议流量也经过SCM设备，由SCM设备从一个网络端口Forward到另一个端口，当网络流量很大，会影响SCM设备的性能。2.3.2 显式代理显式代理采用SCM 3200的第一个局域网端口接入到网络，如下图所示：switch工作方式选择显式代理。显式代理的优点：1) 不扫描的网络协议流量不经过Scm e500，不会影响设备的性能；2) 不会造成网络单点故障。显式代理缺点：1) 显式代理需要修改邮件服务器的DNS记录或修改网络地址翻译配置；2) 当扫描Http协议时，显式代理工作方式要求浏览器客户端配置代理服务器IP地址和端口；3) 当设备出现故障时，显式代理不容易恢复服务，要修改邮件服务器的DNS记录或修改网络地址翻译配置，才能恢复邮件服务；4) 代理模式时SCM配置较透明网桥模式复杂。2.3.3 存在BlueCoat等Web Cache设备时SCM设备的部署方式部署方式和网络数据流前后关系如下图：Web Caching ServerICAPswitch因SCM和BlueCoat之间有集成，所以这也是一种可靠的方式，但是这种方式当存在两台SCM设备时，最好有Radware或者F5的负载均衡设备。采用这种部署方式的好处是：1) 配置简单，并且SCM和BlueCoat间有集成；2) SCM只通过扫描的协议，不需要像透明网桥那样做桥的Forward功能3) 当有负载均衡设备时，不会存在单点故障缺点是：1) 多台SCM时，最好有专门的负载均衡设备2) 没有负载均衡设备时，两台设备无法实现HA双机热备的功能2.4 防病毒管理服务器的部署防病毒管理服务器采用ePolicy Orchestrator 3.6（以下简称ePO 3.6），防病毒管理服务器的部署如下：1）浦钢罗泾管理网部署1台防病毒控管中心，安装MS SQL Server 2003和 ePO 3.6，负责所有防病毒产品的集中控管；部署1台防病毒中心服务器，安装MSDE和ePO 3.6，负责管理网所属区域客户端及服务器的管理及病毒码升级。2.浦钢罗泾生产网部署2台防病毒中心服务器，安装MSDE和ePO 3.6，配置自动更新分布库，负责所属区域客户端及服务器的管理及病毒码升级。3.浦钢罗泾PCS_L2区域部署2台防病毒服务器，安装MSDE和ePO 3.6，配置分布更新库，服务器采用双网卡连接方式，一端连接PCS_L2网络，一端连接浦钢罗泾主干网，负责所属区域客户端及服务器的管理及病毒码升级。ePO 3.6安装平台要求：Windows 2000/2003 ServerCPU：P4 /内存512MB /硬盘40GBIE 6.0ePO使用三层架构：Manager、Agent和Remote Console（客户化的IE），由于用户接口基于web方式，因此更适合远程管理。部署分层结构图：防病毒管理中心提供以下功能：1）积极的爆发预防使用ePO病毒爆发响应中心，使用策略配置，可以采取积极的步骤保护您的网络不受逼近的病毒爆发的威胁。2）病毒爆发通知功能ePO能够根据设定的阈值自动发出病毒爆发通知。3）安全通信基础架构控制管理中心使用一种新的通信基础架构 建立在安全套接层(SSL) 协议上。根据使用的安全设置，通信可以加密或使用认证加密。4）管理权限管理权限分成全局、部分的管理域，在不同域上有不同用户权限。权限范围：生产网n权限范围：生产网一中心权限范围5）实时和按需扫描策略控制控制管理中心向您提供实时的产品控制。在控制台上做出的配置更改会立即发送到产品，甚至可以从控制台上运行手动扫描。这种没有等待时间的命令系统在病毒爆发期间是不可缺少的。6）集中式更新控制集中式更新策略规则、病毒码和扫描引擎文件，可以确保所有被管理的防病毒客户端都使用最新的组件。更新方式可以配置为定期任务更新和实时通知更新两种方式，同时ePO也可以统一管理McAfee SCM产品，并统一定制报表。8）微软安全漏洞检测和补丁安装状态检测通过ePO检测Windows平台计算机的安全漏洞和微软安全补丁安装状态，同时提供详细的报表。9）Rouge计算机和为保护计算机的探测通过ePO可以探测未安装防病毒软件的计算机，同时还可以探测接入浦钢网络的外来计算机。10）集中式日志报告使用全面的日志可以得到对防毒和内容安全网络性能的一个概览。防病毒管理中心可以从所有其管理的产品收集日志；您不再需要检查每个单个产品的日志。11）防病毒客户端配置修改保护功能ePO提供客户端锁定Password保护功能，当启用此功能时，客户端修改配置需要输入Password。3 防病毒管理3.1 配置epo agent和ePo服务器的通讯间隔1. 不显示epo Agent图标2. 设置epo与epo agent通讯时间间隔为60分钟（100M局域网）、360分钟（广域网）间隔时间段，单位为分钟。代理将在每个时间间隔回叫 ePolicyOrchestrator 一次，将属性发送到服务器并收集新的策略变改。在设置此时间间隔时，必须综合考虑客户机安全性和更新能力的需要与网络的带宽限制。时间间隔越短，客户机更新越频繁，产生的网络通讯量也就越多。(167台/分钟) 现在设置的是60分钟。3. 采取最少属性，以减少epo agent和epo服务器的通讯量3.2 实时扫描策略1) 访问保护策略（Directory/policies/vse8.0/Access Protection policies）添加需要阻止的端口添加需要阻止的操作2) 缓冲区溢出防护（Directory/policies/vse8.0/Buffer Overflow Protection ）n 启用缓冲区溢出防护n 清除“检测到溢出防护时报警”选择框n 可以添加需要排除的应用程序，切记API和Process名称正确3.3 配置自动更新1. 计划ePO服务器的计划更新A Epo服务器每天更新一次，时间可以放在凌晨。现在设置的是4：00为保证epo的更新不致失败，可以创建额外的一条任务，时间间隔为45分钟之后如：凌晨4：45B 计划分布式资料库的增量复制任务在第二条epo更新任务的45分钟后创建分布式资料库的增量复制任务,对各地的分布式资料库进行升级,比如：凌晨5：30C 创建一条对分布式资料库每周进行一次完全复制的任务，时间也要放在epo更新任务之后，间隔为45分钟比如：凌晨6：30D 创建一条对非活动代理维护，每周一次时间是10点2. 创建McAfee VirusScan Enterprise的更新任务A 在epo的Directory下创建一条McAfee的update任务，时间为8：30，间隔为每天B 在epo的Directory下创建一条McAfee的update任务，时间为11：30，间隔为每天3.4 计划手动扫描在directory下创建两条VirusScan Enterprise 8.0的按访问扫描任务，时间为8：35和 11：30，间隔为每天。在VSE8.0任务的高级选项中将CPU的利用率设为70%。3.5 病毒警报网络中的病毒监测和扫描情况，应按照最初的配置要求进行报警。3.6 生成Epo报告每周生成一次病毒感染报告，根据网络中反馈的信息按需要生成图形或文本汇报。包括前10台主机感染报告，包括Top 10种病毒报告等等3.7 策略强制（1）在控制台上对一个用户对象或COMPUTER对象的配置进行更改，在Agent规定的通讯和任务执行时间之后，到客户机器上查看是否已做相应的更改；（2）在一台客户机器上更改配置并保存。在Agent规定的通讯和任务执行时间之后，到客户机器上查看是否更改的配置已恢复原来的设定。4 McAfee网络防病毒产品简介McAfee Active Defender是获奖的集成防病毒产品包，它包括：McAfee VirusScan Enterprise，McAfee GroupShield for Exchang/Domino和McAfee ePolicy Orchestrator 3.6，下面分别详细介绍这些产品。4.1 McAfee VirusScan Enterprise 8iMcAfee VirusScan 8.0i 进一步提高了病毒防护功能，将入侵防护功能与防火墙技术集成于针对计算机和文件服务器的单一解决方案中。 这种强有力的结合为用户提供了极具前瞻性的防护，使其免受当今最新威胁的侵扰包括缓冲区溢出和混合病毒的攻击并提供先进的病毒突发管理响应功能，从而能够减少损失和病毒突发带来的成本费用。 McAfee ePolicy Orchestrator提供全面管理，便于遵守易于扩展的安全策略，并进行图形报告编制。主要优势： 集成的防火墙与 IPS 技术 防火墙与入侵防护技术的集成使单一集成包具有最大限度的前瞻性防护功能。 对新威胁增强防护 VirusScan 8.0i 提供了对最新出现的、危及程序安全的恶意威胁（例如， “间谍”软件）、特定程序的缓冲区溢出攻击、及混合病毒攻击的防护。 病毒突发期间的低成本响应 先进的 outbreak 功能可在 DAT 文件出现之前就关闭漏洞口，通过阻塞病毒入口和防止突发病毒蔓延的方法将损失限制在最低限度。 McAfee 扫描技术 屡获殊荣的 McAfee 扫描引擎通过对内存的扫描来拦截那些不会将代码写入磁盘的病毒（如 Netsky 和 CodeRed) 所带来的威胁。 集中式管理和报告编制 与 McAfee ePolicy Orchestrator 和 ProtectionPilot 的集成为用户提供了全面的安全管理解决方案，包括从一个控制台进行详细的图形报告编制的功能全方位的 McAfee 病毒防护McAfee 防病毒扫描引擎能够拦截各种病毒和恶意代码威胁，包括宏病毒、木马程序、Internet 蠕虫、32 位高级病毒，甚至是恶意的 ActiveX 和 Java 对象。 VirusScan 采用的防病毒技术能够对压缩数据进行深入分析，因而能够检测出隐藏在 .zip 或其他类型压缩文件中的威胁。 先进的启发式检测和通用检测技术使 VirusScan 具有了前瞻性的防护能力，能够“提前”防御各种新的、未知的病毒以及其它多种威胁。潜在“恶意/间谍程序/广告软件”程序安全 VirusScan 能够自动检测“恶意/间谍/广告”程序，有效防止隐藏程序跟踪企业和用户的 Internet 使用记录、访问用户个人数据（例如密码和帐户信息）或者在用户系统中造成安全漏洞。 当 ViruScan 侦测到“垃圾”程序时，用户或管理员可选择让 ViruScan 作出下列回应之一（警告、清除、删除、和隔离）。 管理员甚至可以按公司定义一个“垃圾”程序列单，如“Spyware、Adware、dialers、Passwork Crack 或 joke 程序。缓冲区溢出防护（IPS 功能）VirusScan 8.0i 可防护大约 20 种最常用的软件应用程序和 Microsoft Windows OS 服务，其中包括 Microsoft Word、 Excel、Internet Explorer、Outlook 和 SQL Server。 必要时，管理员还可以按程序指定例外情况。全面的病毒突发回应VirusScan 8.0i 内设的病毒突发回应功能可在生成 DAT 文件之前就提供 有效防护，这使得管理员可以在发现病毒之后、接到 DAT 文件之前对严重的漏洞口采取及时的行动。 突发回应功能包括： l 端口阻塞/锁定（防火墙功能）允许管理员或用户“关闭”（阻塞）特定的端口，使传出或传入的网络流量无法进行端口（例如，对于 MyDoom，应该堵塞端口 #3196;而对于 Bagel.n，应堵塞是端口 port #2556）。l 应用程序监控：电子邮件引擎（防火墙功能）允许管理员阻塞传出端口，但制定允许某些程序通过已阻塞端口进行交流。 例如，管理员有可能阻塞了传出流量的端口 25，但却允许 outlook.exe 通过该端口进行传出交流。 如果开启了该功能，NetSky 和 MyDoom 当时就不可能溜出系统了。l 文件锁闭、目录锁闭、文件夹/share 锁闭（IPS 功能）按系统或传入的网络程序来生成用策略，用以控制已获授权、可能发生在特定文件、目录或文件夹/share 等（所使用的名称格式中含文字、通配符）的行动。 例如，为名为 Sasser 的蠕虫制定的策略有可能会影响到阻塞 avserve*.exe, skynetave.exe, lsasss.exe, napatch.exe, *_up.exe, cmd.ftp, ftplog.txt, winlog2.*, 和 win*.log。l 传染追溯与拦截VirusScan 可以发现和追溯将恶意代码发送到运行 ViruScan Enterprise 8.0i 的端点系统的 IP 地址（传染源），并将传染源信息发送会管理控制台。 另外，它还可以使来自传染源端点系统的信息交流被阻塞一段时间（可配置的）或使其始终受阻（直到重新另行设置后）。强大的内存扫描VirusScan 8.0i 增强了扫描功能，包括可以对病毒、蠕冲和木马进行“按需扫描”或“定时的存储扫描”。 也就是说，VirusScan 能够抵御多种诸如 CodeRed 和 SQLSlammer 的威胁因素，虽然此类威胁不会将代码写入到磁盘中，但 VirusScan Enterprise 却可以从内存中直接清除掉它们的进程。集中的管理和报告功能VirusScan 8.0i 集成了 McAfee ePolicy Orchestrator，唯一名副其实易于扩展的安全策略管理工具之一，从而可提供策略干练、详细的图形报告编制和软件部署。 ePolicy Orchestrator 具有促进防护实施的集中授权，可提供一个单一的控制台，以管理您的 McAfee 部署。 另外，小型和中型企业还可以利用用户友好的 McAfee ProtectionPilot 管理控制台来简化管理和监控程序。增强的电子邮件扫描功能VirusScan 8.0i 除了对 Microsoft Outlook 的邮件进行扫描外，还可以将发送到桌面机的所有 Lotus Notes Clients 电子邮件（包括 HTML 文本和附件）进行扫描。 还可以对安装了 Outlook 和 Lotus 这两种电子邮件接发软件的系统提供支持。对使用脚本带来的威胁的防护VirusScan 8.0i 可以通过侦测和防止利用 JavaScript 和（或）Visual Basic (VB) 脚本（例如，Nimda 或 LoveLetter）实施的恶意代码而导致的感染。针对移动用户的优化功能区域服务器路由使得用户能够根据地理位置和连接速度对现场更新进行优化，较小的文件规模也使得用户能够轻松地通过连接速度较慢的网络（例如拨号连接）来下载更新文件。 借助于可恢复的更新功能，即使远程用户的网络连接被中断，他们也仍然能够在其它时间从中断处继续下载更新文件。完全自动化的更新 McAfee AutoUpdate TM 保证通过http，ftp，UNC共享，本地或映射驱动进行快速更新。 更新信息包括小型增量DAT，完整DAT，引擎更新，Extra.DAT，SP或hot-fix等。 可恢复更新，是那些使使用缓慢、不稳定连接的工作狂的理想选择。报告 VirusScan可以集中管理，配置，并可由ePolicy OrchestratorTM提供针对性的图形化报告。 以丰富、直观和灵活的图表方式，动态实时表现防病毒软件的运行状况，和病毒活动情况。在ePO中央控制台很容易统计出某一时间段的某一网络病毒爆发频度最高的几种病毒、病毒发作频度最高的几台计算机或者统计病毒发作频率最高的网络。增强的性能 通过按业务需要对性能进行均衡来提高用户生产率。 支持文件扫描高速缓存技术，保证不把处理能力浪费在对清洁文件的重复扫描上。基于风险的扫描 对如电子邮件、浏览器和办公室应用等高风险应用进行严格扫描；而备分软件和数据库作为低风险应用，可进行相对来说不太严格的扫描。4.2 邮件防病毒McAfee GroupShieldGroupShield for MS Exchange/Domino是专门针对MS Exchange/Domino的强大的群件防病毒解决方案，它具有如下特点：连续监控和保护MS Exchange/Domino网络免受MS Exchange/Domino邮件所携带的病毒和恶意程序的攻击；它实时地检测和隔离通过MS Exchange/Domino网络的病毒；GroupShield for MS Exchange/Domino允许主动对MS Exchange/Domino服务器进行病毒扫描，可以检测所有已知病毒和未知的病毒变体；当检测到时，可以清除、记录、隔离带病毒的附件，避免扩散到其他MS Exchange/Domino邮件；MS Exchange/Domino的病毒隔离区是MS Exchange/Domino数据库，它是所有检测到病毒的仓库；MS Exchange/Domino管理员可以从数据库中分析、跟踪新的或未知病毒源，简化MS Exchange环境的病毒检测；可以配置GroupShield for MS Exchange/Domino扫描所有MS Exchange/Domino 数据库访问或部分行为；同样，它可以扫描所有附件或指定类型的附件。病毒扫描可以按On-Demand或予设的任务计划来进行。GroupShield 采用MCAFEE最新的病毒扫描引擎，对boot区病毒、文件病毒、宏病毒、变形病毒、木马程序等进行高效扫描（70000种以上已知病毒），支持对压缩文件的实时扫描（.zip, .cab, uuencode, lzexe, lha/lzh, pklite），同时针对未知病毒支持启发式扫描。 当发现病毒时，可以清除病毒、拷贝感染文件到病毒隔离区、删除感染文件。GroupShield可以通知用户病毒感染，进行病毒数据和自身的升级。GroupShield 使用多线程技术和可设定的CPU优先级管理，以提供目前最高效的实时病毒扫描和清除。GroupShield for MS Exchange的病毒扫描分三种操作：l On-access Monitor：自动扫描MS Exchange/Domino数据库记录；可以指定对MS Exchange/Domino网络中的邮件及附件、数据库读、数据写；l On-Demand Task：按照予设的任务来进行病毒扫描；用户可以设定多个任务，完成不同的扫描任务；l 按命令即时扫描，对指定的MS Exchange/Domino数据库进行扫描；GroupShield 除了支持以上扫描、清除、处理功能外，还提供强大的系统管理功能：(1)集中配置和管理。从一个MS Exchange/Domino客户端可进行服务器参数设置，启动扫描命令，设定定期扫描计划。(2)集中管理多台GroupShield 的扫描和工作报告。GroupShield 的报告内容包含病毒事件的时间、病毒名称、感染文件或数据库、机器、发件人和收件人。告警方式支持MS Exchange/Domino邮件报警和McAfee的Alert Manager（9种告警方式,如电子邮件、SNMP、Pager等）。(3)按病毒、时间等设定的日志过滤功能使管理员能够分析、跟踪相关的病毒感染事件。(4)集中控制病毒特征和软件的定期更新和升级。(5)远程安装。GroupShield for MS Exchange/Domino包含丰富的统计和报告功能：l服务器状态：给出GroupShield的活动信息；l扫描状态：给出最近扫描的信息；l统计信息：给出已扫描文件的统计信息；GroupShield for MS Exchange/Domino在扫描病毒时，可以设定可占用的CPU资源，可用的CPU资源分为5个不同的等级。同时GroupShield可以实现增量扫描，只扫描上次扫描以来存储的文档，这样提高病毒的扫描效率。GroupShield for MS Exchange/Domino具有集中日志记录和病毒告警功能，病毒告警可以Email到指定的Email帐号，管理员可以看到所有范围的病毒事件。GroupShield for MS Exchange/Domino的自动升级有以下两种方式：l本地服务器；l远程计算机；在没有ePO的情况下，GroupShield可以自动从Internet上的McAfee更新站点下载更新，也可以通过本地更新镜像代理实现更新。4.3 病毒和安全防护集中管理服务器ePO 3.6McAfee ePO 3.6的主要优势：主要优势 前瞻性漏洞评估 ePO 能够抢在病毒和蠕虫之前首先发现系统中的安全缺口，它不仅能够对安全策略的一致性进行扫描（包括 Microsoft 安全补丁），而且能够及时发现系统中隐藏的设备、未受到保护的设备以及容易受到攻击的设备。 发现Rogue计算机：能够探测外部计算机接入网络和未安装防病毒软件的未受保护的计算机，并且向管理员发出报警； 成熟高效的企业更新过程 可采用完全自动或完全手动两种模式来完成更新，不仅速度快、占用带宽资源非常少，而且还可以通过一致性报告进行验证；Express Global Update 则可以在不到一小时的时间里完成 50,000 个系统的更新 全面的策略管理 管理员可以针对每一个防护级别来定义安全策略（从更新频率到桌面机防火墙设置），并以“每机器”或“每群组”模式来应用这些策略 实时的图形化报告功能 用户可以根据自己的特殊要求对报告进行简单的自定义，也可以从 40 多种预定义的报告中进行选择 全面管理多个供应商的安全解决方案 ePO 不仅能够帮助您管理 McAfee Security 产品，而且还能够高效地管理其它第三方产品，例如 Symantec 和 Dr. Ahn 的安全解决方案McAfee Security ePolicy Orchestrator (ePO) 是市场上处于领先地位的用来对恶意攻击进行防护的集中式策略管理工具。 您可以使用 ePO 将防护功能保持为最新状态，配置和增强安全策略，以及通过 McAfee Security 和第三方产品（包括 Symantec 和 Dr Ahn 的防病毒产品），生成详细的图形报告。使防护功能保持最新对安全策略进行前瞻性管理的最大困难是如何在所有系统中都使防护功能保持最新的状态。 使用ePolicy Orchestrator，您可以轻松地了解是否处于最新状态。只需单击一次按钮，即可在整个网络中实施更新。在使用分布式数据库的智能化设计时，无需服务器参与更新操作，所有更新都在整个网络范围内实施，从而降低网络流量并提高性能。可以手动或自动部署对 McAfee Security DAT、引擎、服务包、Extra.DATs 和修补程序的更新。快速更新 ePO提供了任务定时更新和全局更新两种方式，全局更新可以实现实时地更新跟新，而且通过分布更新资料库、SuperAgent资料库的技术，一方面提高了更新速度，另一方面节省了网络带宽的使用。全局透明度您可以随时使用各种信息，包括仅有一页的安全报告摘要以及有关病毒活动、桌面机防火墙策略和病毒漏洞的详细信息。 轻松地自定义报告以适合您的特定需求。具有企业级扩展性能的策略管理ePolicy Orchestrator 的设计兼顾了企业级的扩展性能，可以通过每台服务器管理多达 250,000 个用户，并可以轻松地使用远程控制台从任何位置进行操作。充分利用在安全方面的投资可扩展性和业界支持始终是 ePolicy Orchestrator 核心关注点。 作为首个提供第三方防病毒应用程序管理和报告功能的工具，与 Symantec 和 Dr Ahn 相似，McAfee 可通过 ePolicy Orchestrator Fusion Service 帮助企业进一步提高安全投资所获得的回报。 这些服务由 McAfee Expert Services 工作组提供，允许 ePolicy Orchestrator 与其他第三方安全程序集成，为其他第三方安全层提供同样水平的集中控制和透明度。管理跨越多个供应商的全面防护改变攻击需要改变防护策略。 您可以建立协调、统一的防护。 McAfee 还意识到各个组织可能选择使用来自多个供应商的防病毒产品，因此 ePolicy Orchestrator 可管理和报告 Symantec 和 Dr Ahn 的桌面机和服务器防护功能。保护移动用户ePolicy Orchestrator 使您可以轻松地管理和保护移动用户，就像管理和保护通过局域网连接的用户一样。 即使膝上型电脑没有连接到网络，通过加强策略以及在连接到 Internet 时进行更新，ePolicy Orchestrator 也可以有效地管理您无法管理的项目。 由于移动用户要求更高的灵活性，ePolicy Orchestrator 可以从最近的数据库中以最有效利用带宽资源的方式为移动用户提供更新，并允许延迟更新和重新开始更新。突发响应单击按钮，系统即可执行“立即更新”命令，使策略更改生效 此操作可以针对所有系统，也可以仅针对网关等主要问题区域。 ePolicy Orchestrator 使您能够做出快速响应，并可以集中处理当前的任务。提供丰富的报表ePO可以提供详细丰富的各种报表，包括图形、文本、图形文本结合、CSV、Excel、Html等格式的报表。5 McAfee SCM（安全内容管理）产品介绍5.1 McAfee SCM产品在当今错综复杂的网络环境下，确保进出组织的信息的安全至关重要。 McAfee 安全内容管理设备可为各种规模的公司提供全面的 Web 和电子邮件安全防护。 其业界最佳的好性能平台可提供针对间谍软件、非法 Web 内容、网络钓鱼诈骗、垃圾邮件、已知病毒、蠕虫和木马的防护。McAfee Secure Web Gateway 及 McAfee Secure Messaging Gateway 可以为大型企业提供所需的极高吞吐量，McAfee Secure Internet Gateway 则专用于规模不超过 1000 个用户的中小型企业或分支机构。1） McAfee Secure Web Gateway (SWG) 是业界第一款企业级的高性能 Web 安全设备解决方案，它能提供全方位的保护，使您的网络免受 Web 威胁的侵扰。 其高性能的 ASIC 加速平台提供了无可比拟的性价比，而 McAfee 过滤技术则能拦截间谍软件、不适当 Web 内容、网络钓鱼诈骗、已知病毒、蠕虫和木马。 Secure Web Gateway 全方位的保护、极高的性价比和低廉的总拥有成本使其在业界同类产品中一枝独秀。 除了 McAfee SWG 外，McAfee 安全内容管理设备系列还包括 Secure Messaging Gateway (SMG)（一种专用电子邮件安全设备）和 Secure Internet Gateway (SIG)（一种面向中小型企业客户、完全集成 Web 和电子邮件的安全设备）。防病毒管理服务器：McAfee ePolicy Orchestrator 3.5。2） McAfee Secure Messaging Gateway (SMG) 是业内领先的电子邮件安全解决方案，它可以保护网络免受垃圾邮件、不适当内容、网络钓鱼诈骗攻击、蠕虫和已知病毒的侵扰。 这种专用设备旨在提供可以满足最苛刻的电子邮件安全要求的企业级性能。 单一的、统一管理控制台 (McAfee ePolicy Orchestrator?) 可以帮助您降低整体拥有成本，我们在从桌面机到网关的任何一款 McAfee 安全产品中都可以看见它的身影。 除了 McAfee SMG 外，McAfee Secure Content Management? 系列设备还包括 Secure Web Gateway (SWG)（一种专用 Web 安全设备），以及 Secure Internet Gateway (SIG)（一种面向中小型企业客户、完全集成 Web 和电子邮件的安全设备）。5.2 SCM的主要功能1) 无与伦比的间谍防护软件 - McAfee SCM 包括 McAfee 屡获殊荣的反间谍软件技术。 McAfee SCM 可过滤 HTTP 和 FTP 流量，保护您的网络免受间谍软件、广告软件、拨号程序、按键记录类程序和后门程序的侵扰。 McAfee SCM 使用与桌面安全产品 McAfee Anti-Spyware Enterprise 同样高度精确的样式文件将这些威胁拒于网络之外。 可选的 Web 过滤模块（见下文）可提供抵御间谍软件的第二级保护。 它可以防止员工访问带有间谍软件和广告软件的网站。2) 深层病毒防护 - McAfee SCM 基于屡获殊荣的桌面机防病毒产品的病毒防护技术。 McAfee 病毒防护的核心引擎通过拦截已知病毒和未知病毒，保护您的网络免受零时间攻击和新病毒威胁。 McAfee SCM 可扫描所有使用 HTTP 和 FTP 协议的 Web 流量。3) Web 过滤模块 - McAfee 的 Web 过滤模块能拦截与您的业务无关的网页，从而节省带宽，降低业务风险和法律责任，提高员工的生产力。 该模块与 McAfee SCM 完全集成，您可以通过可选的许可证使用该模块。 它包括一个拥有超过 6 百万个 URL 且每日更新的综合数据库，根据灵活的策略执行选项，这些 URL 可分为 69 种 URL 和 10 种用户定义类别。4) 全面的可扩展管理 - McAfee SCM 包括一个基于浏览器的内建管理系统，但也能够由 McAfee ePolicy Orchestrator (ePO) 管理。 通过 ePO 可以对所有关键安全措施（例如病毒防护解决方案、反间谍软件解决方案、垃圾邮件防护解决方案、反网络钓鱼诈骗解决方案和 Web 过滤解决方案）实现从网关设备到桌面系统的集中管理。 集中管理可以降低您的拥有成本。5) ICAP 支持 - 如果您现有的 Web 缓存服务器支持 ICAP，那么 McAfee SCM 将与其无缝结合，发挥出最佳性能。6) 深层邮件病毒防护 - McAfee SCM 基于屡获殊荣的桌面机防病毒产品的病毒防护技术。 McAfee 的病毒防的核心是一个能够拦截已知病毒和未知病毒的引擎。 该引擎能够保护您的网络免受零时间攻击和新病毒威胁。 McAfee SCM 能够扫描所有采用 SMTP 和 POP3 协议的进出邮件流量。7) 高