安全解决方案例.doc

目 录1.网络现状以及安全需求21.1.防火墙/VPN需求21.2.病毒潜在威胁分析31.3.内部、外部攻击以及网络行为监控52.防火墙/VPN解决方案52.1.NETSCREEN防火墙/VPN技术52.2.Netscreen/VPN解决方案特点72.3.防火墙/VPN部署82.4.产品选型82.5.方案特点92.6.产品信息102.6.1.NetScreen-5GT102.6.2.NetScreen-25143.防病毒解决方案223.1.防病毒结构体系223.2.防病毒产品的部署233.3.客户机防护243.4.服务器防护283.5.趋势科技网络防毒墙Network viruswall303.5.1.网络防毒墙功能简介303.5.2.详细特性描述313.5.3.部署NVW的效果343.6.中央控管体系343.7.防病毒解决方案特点383.8.产品清单404.入侵检测系统404.1.Netscreen的解决方案404.1.1.多重方法检测（MMD）提高精确度414.1.2.封包处理模式以提供精确数据424.1.3.带内操作模式提供真正保护424.1.4.集中式、基于规则的管理提供更高可控性43NetScreen-IDP系统利用中央式、基于规则的管理方式可以提供:434.1.5.总结444.2.Netscreen-IDP解决方案444.2.1.工作模式454.2.2.具体部署拓扑图484.2.3.实施步骤481. 网络现状以及安全需求珠海格力小家电中山新厂房（以下简称格力中山）网络是典型的三层结构，核心和汇聚层都是采用CISCO交换机设备，接入层使用DLINK交换机，服务器直接接在核心交换机上面，终端除了工作站以外还部署了IP电话系统，具体的网络拓扑如下图所示：1.1. 防火墙需求总公司网络通过专线接入互联网络，如果采用直接接入方式，就会使整个总公司内部局域网络暴露在互联网上面，而且有限的公网IP地址不能确保所有的机器访问互联网络，为了让整个内部局域网络能够接入互联网络，同时防止来自互联网络的恶意攻击，建议在总公司网络出口处架设防火墙。为了对网络进行严格、有效的安全控制，必须采用专用的基于网络层面的网络安全产品，访问控制机制应用在网络安全环境中，主要是限制用户可以建立什么样的连接以及通过网络传输什么样的数据。网络访问控制的目的就是在各网络连接之间建立一个安全控制点，通过允许、拒绝经过网络访问控制设备的数据流，实现对进、出内部网络的服务和访问的审计和控制。防火墙作为网络访问控制设备，有它自己的几个优点：1、它的包过滤功能实现要比路由器的ACL实现简单，特别是防火墙的GUI管理界面，更是简化了路由器的复杂配置；2、路由器上面实施多个ACL，会给路由器带来很大的负载，影响路由器原有功能的正常应用；3、防火墙建立在专有的安全操作系统上面，确保了防火墙本身的系统安全；4、基于硬件的防火墙处理网络流量速度快，不至于成为网络流量的瓶颈；5、能够抵御常见的端口扫描和攻击的能力；6、通过防火墙构建安全级别不同的区域，能够对这些安全功能区域进行访问控制。这些防火墙独有的特点决定了防火墙在网络安全产品中的不可替代的地位。1.2. 病毒潜在威胁分析由于客户机对服务器、INTERNET网络访问频繁，如果不加控制，病毒可能带来的威胁是相当现实。病毒一旦发作，带来的损失是不可估量的，而在信息被破坏后再杀毒也无法挽回已经造成的损失，对计算机病毒的态度将是防毒+杀毒的结合，以防为主。在病毒可能流传的各个渠道中都设有监控，结合定时病毒扫描和自动更新，才能保证系统的安全。同时需要结合对应的管理策略，充分发挥趋势产品在病毒防护集中管理、监控中的优势，在格力中山企业网中构建有效的病毒监控体系。基于上述病毒入侵途径的分析，评估格力中山目前是否存在以下病毒防护漏洞：l 是否具有良好的防病毒安全策略，且能构成动态自适应防病毒系统构建一个全面有效的网络防病毒系统，应根据特定的网络环境定制病毒防护策略：策略包括预防策略、升级策略、病毒爆发初期管理控制策略、集中清除策略、审计策略、集中管理策略等。从宏观角度统筹规划网络安全体系，全面顾及到网络系统病毒发生、预防、清除、审核等各个阶段，能够在病毒爆发生命周期各个阶段对病毒进行有效的控制，将病毒造成的损失降到最低。l 客户端机器没有及时更新微软补丁最近爆发的网络病毒对网络产生很大的影响，甚至一度导致互联网主干瘫痪。这些网络病毒与传统的应用文件型病毒还不一样，它主要是针对微软的漏洞进行攻击感染，在最短的时间内感染所有有同样漏洞的机器，进而影响整个网络的正常运行。通过使用漏洞评估工具发现格力中山的补丁更新情况很糟糕，连2003年的一些补丁都没有更新，这样的情况下，很容易受到网络病毒的攻击。l 缺少防病毒中央控管系统要管理好整个防病毒系统良好运行必须有一个良好的管理控制系统。能通过浏览器方式实现远程异地管理远程防病毒软件，监视该软件的运行状况参数（如防病毒软件病毒库、扫描引擎更新日期，系统配置等）。能实现病毒集中报警，准确定位病毒入侵节点，让管理员对病毒入侵节点做适当处理以防危险扩大。控制中心能与其它网络安全系统实现联动，协同管理工作。l 缺少全网病毒代码统一自动更新功能构建有效病毒防护的关键环节需要保证产品能做到定期升级，网络防病毒软件必须具备主动式、零干预、增量式的自动升级功能，同时具备自动分发功能，能够在单点更新，然后在不需要人为干预的情况下，实现全网所有产品的病毒码更新。l 尚未建立完善的安全制度和制定安全培训机制防病毒工作是一项复杂、长期的任务，需要全体人员配合，提高对病毒的警觉和防范意识。格力中山防病毒系统需要建立良好的安全规范，以制度严格控制不良行为，另外还得提高全体人员的防范病毒的能力。网络安全应急小组至少配备2-3人才能很好的处理网络安全运营的所有事件，应急处理技术和人员管理也需要专业应急小组提供技术培训和长时间的跟踪培训。l 缺乏完善的防病毒信息支援体系防病毒厂商长期提供防病毒信息，新病毒预警信息，安全培训等专业的支持，以提高整个网络使用人员的防病毒素质。格力中山内部尚未建立完善的信息支援系统。1.3. 内部、外部攻击以及网络行为监控据调查，在已有的网络安全攻击事件中约70%是来自内部网络的侵犯。比如内部人员故意泄漏内部网络的网络结构；安全管理员有意透露其用户名及口令；内部不怀好意员工编写破坏程序在内部网上传播或者内部人员通过各种方式盗取他人涉密信息传播出去；内部某些好奇的员工从网络或者是书籍上面学到了一些攻击网络的一些方法，在内部网络练手，造成连本人都没有想象到的一些损失和影响。内部攻击者通过Sniffer等嗅探程序来探测扫描网络及操作系统存在的安全漏洞，如网络IP地址、应用操作系统的类型、开放哪些TCP端口号、系统保存用户名和口令等安全信息的关键文件等，并通过相应攻击程序对内网进行攻击；通过网络监听等先进手段获得内部网用户的用户名、口令等信息，进而假冒内部合法身份进行非法登录，窃取内部网重要信息。这些工具可以从专门讲述黑客攻击的书籍所带光盘或者网络中获取，只要是会使用计算机的人都能按照书籍的指导掌握攻击方法。来在互联网的黑客们也不会放过任何破坏有漏洞的网络系统的机会，这些来自内部、外部的攻击要加以识别，并且要采取一定的动作去阻止这种攻击行为。2. 防火墙解决方案NetScreen 防火墙是一种整合式的网络安全硬件设备，专为互联网网络安全而设计，将防火墙、VPN和流量管理等功能集于一体，能够很好的满足格力中山现在的需求。NetScreen防火墙具有硬件加速的IPSec加密算法性能、低延时，可以无缝地部署到任何网络中。2.1. NETSCREEN防火墙l 防火墙技术NetScreen提供了可扩展的网络安全解决方案，适用于包括宽带移动用户、大中型企业，以至电子商务网站。NetScreen全功能防火墙采用实时检测技术，可以防止入侵者和拒绝服务(denial-of-service)的攻击。NetScreen的ScreenOS软件是ICSA认证的实时检测防火墙。全功能解决方案，采用安全优化的硬件、操作系统和防火墙，比拼凑而成的软件类方案提供更高级的安全水平。强大的攻击防御能力，包括SYN攻击、ICMP泛滥、端口扫描(Port Scan)等攻击防御能力，配备硬件加速的会话斜率(session ramp rates)性能，即使在最关键性的环境下也可以提供安全保护。提供网络地址翻译(NAT)、端口地址翻译(PAT)-隐藏内部、无法路由的IP地址。l 虚拟专用(VPN)所有NetScreen安全设备中都整合了一个全功能VPN解决方案，它们支持端到端VPN及远程接入VPN应用。通过VPNC测试，与其他通过IPSec认证的厂商设备兼容。三倍DES、DES和AES加密使用数字证书(PKI X.509)，自动的或手动的IKE。SHA-1和MD5认证。同时支持网状式(mesh)及集中星型(hub and spoke)的VPN网络，可按VPN部署的需求，配置用其一或整合两种网络拓扑。l 流量管理流量管理允许网络管理员实时监视、分析和分配各类网络流量使用的带宽，有助确保在用户上网浏览时或在执行其他非关键性应用时而不会影响关键性业务的流量。根据IP地址、用户、应用或时间段来进行管理。设定保障带宽和最大带宽。以八种优先等级，为流量分配优先权。支援符合行业标准的diffserv数据包标记，允许NetScreen安全设备在MPLS的环境下运行。l 强大的ASIC功能NetScreen的安全机制采用ASIC，在硬件中处理防火墙访问策略和加密算法，这方面运算的速度是软件类方案不能相比的；同时它还可以省出中央处理器资源用于管理数据流。目前，其他采用PC或工作站作为平台的软件类方案，往往令系统性能大打折扣。l 设备的可靠性和安全性NetScreen将所有功能集成于单一硬件产品中，它不仅易于安装和管理，而且能够提供更高可靠性和安全性。采用NetScreen设备，只需要对防火墙、VPN和流量管理功能进行配置和管理，减轻了配置另外的硬件和操作系统。l 完备简易的管理NetScreen的安全设备包括强健的管理支持，允许网络管理员安全地管理设备。由于VPN功能是内置的，因此可以对所有管理加密，从而实现真正的安全远程管理。2.2. 防火墙的部署在路由器与核心交换机之间部署防火墙，具体部署拓扑图如下图所示：通过使用防火墙的NAT功能可以确保内部网络使用单个公网IP访问INTERNET，同时Netscreen防火墙的MIP和VIP功能可以让外面访问内部的服务器，使得内部服务器安全的对外部提供服务。同时通过开启Netscreen防火墙的SCREEN功能，可以防御大多数DoS攻击，保护内部网络不受到外部拒绝服务攻击。同时可以划分多个功能安全区域，特别是可以把那些对外提供服务的服务器集中在一起，放在一个独立的安全功能区域，可以对它们实行更为细粒度的访问控制策略，加强其安全性能。2.3. 产品选型NS-500ES-FE2-ACNetScreen-500ES System, 2 Dual-Port 10/100 I/O Modules, 1 AC Power Supplies, 0 Virtual Systems2.4. 产品信息NetScreen-500集防火墙、VPN及流量管理等功能于一体，占用2U机架空间。它是一款高性能的产品，支持多个安全域。NetScreen-500具有NetScreen-1000及NetScreen-100的所有优点。另外在功能上设有高可用性交换端口、管理端口及四个流量模块组，还有一个可编辑的LCD指示屏，使管理变得更加容易。 产品性能 拥有NetScreen千兆级ASIC 700Mbps防火墙和NAT处理能力 250Mbps 3DES VPN处理能力 250000并发会话处理能力 每秒产生22000个新的会话 10000个VPN通道 25个虚拟系统，100个VLAN 支持NAT、路由模式及透明模式 基于策略的NAT 集中星型VPN 与Websense(URL地址过滤软件)兼容 10/100双口或GBIC（SX/LX接收器）接口 具有高可用性界面 10/100M出口带宽接口 可编辑的LCD显示屏 性能并发会话：250,000(1)每秒的新会话数：22,000(1)防火墙性能：700Mbps三倍DES(128位)：250Mbps策略：20,000(1)时间表：256(1) 虚拟系统虚拟系统最大数量：25支持的VLAN数量：100工作模式透明模式（所有端口）：是(2)；路由模式：是；NAT(网络地址转换)：是；PAT(端口地址转换）：是；虚拟IP(VIP):4(2)；映射IP(MIP)：256(1)；IP路由-静态路由：256(1)；基于策略的NAT：是；每个端口的用户数：没有限制 防 火 墙攻击检测同步攻击：是(3)ICMP flood检测:是(3)UDP flood泛滥检测:是(3)检测死ping(Ping of death):是(3)检测IP欺骗(IP spoofing):是(3)检测端口扫描(Port scan):是(3)检测陆地攻击(Land attack):是(3)检测撕毁攻击(Tear drop attack):是(3)过滤IP源路由选项(Filter IP source route option):是(3)检测IP地址扫描攻击(IP address sweep attack):是(3)检测WinNuke attack攻击:是(3)Java/ActiveX/Zip/EXE:是(3)默认分组拒绝(Default packet deny):是(3)Dos & DDoS保护:是(3)VPN 专用隧道：(10,000)(1)手动密匙、IKE、PKI(X.509) ：是；DES(56-bit)&三倍DES(168bit)加密encryption；完全正向保密(DH群组)Perfect forward secrecy(DH Groups)：1,2,5；防止回复攻击(Prevent replay attack)：是；远程接入VPN(Remote access VPN)：是；站点间VPN(Site-to-site VPN)：是；集中星型VPN网络拓扑：是；L2TP ：是；IPSec认证：SHA-1:是MD5:是认证请求（PKCS 7& PKCS 10）：是支持的证书服务器：Versign认证中心:是Entrust认证中心:是Microsoft认证中心:是RSA Keon认证中心:是IPlanet(Netscape)认证中心:是Baltimore认证中心:是高可用性(HA)高可用性(HA)：是；防火墙和VPN会话保护 ：是；设备故障检测：是；链路故障检测：是；故障切换网络通知：是防火墙和PN用户认证内置（内部）数据库用户限额：15，000；RADIUS（外部）数据库：是；SA SecureID(外部）数据库：是；LDAP（外部）数据库：是；流 量 管 理有保障的带宽：是(2)最大带宽：是(2)优先使用带宽：是(2)DiffServ标记：是(2)系 统 管 理网 址 浏 览 器 配 置 管 理（WebUI:HTTP and HTTPS）；命令行界面（Command line interface:console，telnet）；安全命令外壳（兼容ssh v1)Secure Command Shell(ssh v1compatible)；NetScreen Global Manager：不适用；NetScreen Global Pro：很快提供；所有管理均经过任何接口上的VPN隧道：是管理多个管理员：20(2)；远程数据库管理： RADIUS；网络管理：6；根管理、管理和只读三种用户权限(Root Admin,Admin,&ReadOnly user levels)：是；软件升级和配置变动：TFTP/WebUI日志/监控系统日志(Syslog):外部；电子邮件(两个地址)E-mail(2 addresses):是；Web Trends:外部；SNMP:是；Traceroute:是；VPN隧道监视程序(VPN tunnel monitor)：是；Websense URL过滤:外部(3)PCMCIAPCMCIA卡:440MB，Type2和3事件日志和告警(Event logs & alarms):是；系统配置脚本(System config script):是；ScreenOS软件(ScreenOS software):是支持的标准ARP,TCP/IP,UDP,ICMP,HTTP,RADIUS,IPSeC(IPESP,IPAH),MD5,SHA1,DES,3DES,IKE,TFTP(client),SNMP,X.509v3,VLAN 802.1q安全标准认证安全认证：CSAEMI：FCC Part 15 class A,CE,VCCI,C-Tick,BSMI3. 防病毒解决方案3.1. 防病毒结构体系根据对格力中山网络现状分析以及潜在的病毒威胁分析，使用趋势科技防病毒产品为其构建的整体防病毒安全体系简述如下：1. 分级管理，集中控制的三层次防病毒体系：趋势科技为格力中山防病毒所设计的防病毒体系，采用了三层次的架构，从集中式管理控制台到单一产品的管理控制台，最终到每一个客户端。三层次管理体系可以避免采用两个层次的防病毒体系所带来的“单点故障”（单点故障：中心服务器一旦出现故障，整个防病毒体系处于瘫痪）。同时，整个防病毒系统中的病毒日志都可以集中收集到集中式管理控制台。2. 独一无二的“网络层防病毒”：对于当今网络病毒的巨大威胁，趋势科技摆脱了传统的防病毒软件厂商所固有的在 应用层防范病毒的模式，推出了全球创新的，独树一帜的网络层病毒扫描产品趋势科技网络病毒墙，确保了病毒在网络设备之间传播的过程中就能够直接被清除，以避免对整个网络造成冲击。3. 防病毒产品的全面性，领先性：采用全方位，多层次防毒的方式，部署多层次病毒防线，具体来说就是在整个格力中山网络中的客户端采用趋势科技防毒墙网络版Officescan，对整个格力中山网络中的服务器部署趋势科技防病毒墙服务器版Serverprotect，为了防范现今流行的网络病毒，在网关处部署网络防毒墙NVW，对于整个格力中山整体的防病毒系统的中央控管则可以通过趋势科技中央控管软件TMCM来整体中央控管。4. 独创的企业保护战略：趋势科技结合当今病毒的特性，提出并应用了针对病毒生命周期的新一代的防病毒体系，将其他防病毒厂商只是针对病毒码更新的解决方案扩展到四个阶段：l 漏洞扫描和防御：趋势科技利用自身产品帮助用户找出网络中存在微软安全漏洞的计算机，同时区分漏洞的轻重缓急，隔离具有系统漏洞的计算机，强制打补丁，以次确保当病毒来临时，不会因为系统的漏洞造成网络的受到病毒攻击而瘫痪l 病毒发作防御：趋势科技利用独创的病毒爆发防御策略技术（可更新的数据包），在新病毒爆发而新病毒码还没更新的“防病毒真空期”，趋势科技利用病毒爆发防御策略技术，将网络内部所有病毒可能利用的途径全部关闭，例如：自动关闭病毒的利用和攻击的特定端口，并自动的隔离已经感染病毒的PC，关闭共享文件夹等l 病毒响应：利用趋势科技全球病毒响应系统，同时，结合全球唯一病毒响应承诺即病毒码制作有严格的时间限制“无论什么病毒2小时给出解决方案”。这也是趋势科技对自己服务和病毒响应信心的体现，从而确保用户在更新病毒码时，有时间上的保证l 评估与恢复：通过趋势科技中央控管安全平台，收集整个网络所有的计算机的防病毒信息，通过周报表，月报表等方式，对整个网络的防病毒工作做一个整体的评估，同时，利用趋势损害和清理服务从后台自动的将被病毒感染的机器清除干净，避免了人为手动清除病毒，从而将网管从大量的手动清除病毒的状态下解脱出来。5. 厂商和代理商全面的服务：趋势科技授权服务商和趋势科技，格力中山相关人员组成专门的防病毒以及安全小组，负责对格力中山的防病毒体系部署，防病毒安全规范的制定。趋势科技授权服务商相关人员将对格力中山的防病毒体系定期进行巡检，在格力中山的病毒爆发造成业务影响的紧急时刻，趋势科技授权服务商工程师将至格力中山现场服务。3.2. 防病毒产品的部署根据提出的整体防病毒体系以及格力中山的网络实际应用，建议采用趋势科技的客户机防护产品OfficeScan Corporate Edition 6.5、服务器防护产品ServerProtect、网络防病毒墙NVW2500以及集中式管理控制中心，具体部署图如图2所示：3.3. 客户机防护趋势科技防毒墙网络版6.5 OfficeScan Corporate Edition 6.5趋势科技的OfficeScan网络版防病毒产品将管理,配置与部署的功能集中到服务器端（Officescan服务器端）。透过Officescan服务器端的Web接口的管理主控台，管理人员可以从网络上的任何地点，来管理和设置全公司的防毒策略（每一台计算机都安装了Officescan客户端防病毒软件），并且也能迅速响应各种紧急事件。竞争优势：1) 支持防护策略的自动/手动配置：有效控制病毒扩散（通过主控服务器，在设定的时间段内，关闭所有客户机的共享文件，特定端口，保护文件或文件夹不被病毒修改）；2) 集成网络版防火墙：通过Officescan服务器端统一配置和管理每个计算上安装的网络版网络墙；3) 集成专杀工具：病毒专杀工具和客户端防病毒软件无缝集成，专杀工具的扫描引擎和病毒码可以自动更新，完全摆脱传统防病毒软件需要独立使用专杀工具，并且每一个病毒都有特定的专杀工具，造成数量巨大；4) 安全的通信机制：Officescan服务器和客户机的通讯不依赖ICMP（Ping），而采用Winsock API的方式；5) 移动管理界面：HTTP Base具有Web管理功能,可以跨WAN进行管理；6) 实时更新病毒日志：方便而简单的配置管理与实时报告；7) 自动更新：先进的自动更新技术,无须管理员与用户的手动操作,不需要重新启动；支持客户端自行上互联网更新防毒组件；8) 灵活的更新代理设置：通过设定网络中任意计算机做为病毒码更新源，将其它计算机指定到该计算机更新，以节省网络带宽。对低带宽网络环境特别有效；9) 检测为安装防病毒软件的计算机：支持网段扫描侦测尚未安装OfficeScan的用户机,杜绝防毒漏洞；10) 强大的数据库管理：支持将纪录数据导入SQL服务器方便数据分析与管理；11) 灵活的客户端迁移：支持在客户端可以在不同的OfficeScan服务器中转移,不需重新安装；12) 预扫描系统病毒：软件安装时可对病毒进行预处理；13) 定位病毒源头病毒：客户机的排行榜功能，帮助网管了解毒源、善后处理、报告领导；14) POP3病毒邮件的查杀；15) 支持多种Web Server: IIS 和 Apache;部署建议：Officescan6.5可以针对Windows95/98/2000Professional/XP全系列防范病毒。Officescan网络版防病毒软件的组织架构为：通过一台Officescan服务器去远程的控制和管理局域网内部，甚至广域网中Officescan客户端。Officescan客户端可以通过多种方式安装到计算机上：1、 通过网页远程自动下载安装；2、 通过制作Officescan客户端安装包安装；3、 通过共享文件夹方式安装4、 通过集成Windows域自动安装客户端5、 通过微软SMS安装；产品部署架构：针对格力中山目前的网络架构，建议在格力中山网络中心新增加一台专用的防病毒服务器，将OfficeScan服务器端软件安装在该专用的防病毒服务器。网络中的计算机可以通过上述方式安装客户机防病毒软件。如上图所示：趋势科技建议格力中山采用上述结构来部署Officescan6.5，通过该种方式部署Officescan6.5，格力中山网络中计算机防病毒体系达到如下效果:1、 一体化的管理机制：Officescan服务器统一控管整个网络的Officescan客户端，包括，防病毒策略的设定和配置，日志的收集，病毒码，扫描引擎等组件的更新；以点盖面大大的简化整个防病毒系统，防病毒管理人员只需利用有IE浏览器的计算机就可以对Officescan服务器进行操作，移动的进行远程Web管理。从而确保格力中山能够用最少的人力资源，维护好整个网络的计算机防病毒；2、 分组管理的机制：根据格力中山内部不同的部门在Officescan中设置不同的管理组，便于格力中山防病毒管理员针对不同的组设定不同的策略，开放不同的权限；3、 集成病毒专杀工具，清除病毒更彻底：病毒专杀工具和客户端防病毒软件无缝集成，专杀工具的扫描引擎和病毒码可以自动更新；完全摆脱传统防病毒软件需要独立使用专杀工具，并且每一个病毒都有特定的专杀工具，造成数量巨大；此项技术能够让格力中山的防病毒管理人员从服务器端主动触发整个网络所有客户机的专杀工具去扫描本机内存和注册表，清除内存中的病毒进程和恢复被病毒修改的注册表键值，从而彻底摆脱传统的清除病毒的工作：针对不同病毒，下载不同的专杀工具，到每一台计算机前，手动执行不同种类的专杀工具，反复重起计算机；同时，客户机也可以手动点击按钮，触发专杀工具清除病毒；4、 病毒爆发预防策略：Officescan应用该策略能够有选择性的关闭某些病毒攻击网络，服务器和客户机的端口，或共享文件夹等，从而，阻挡大量的蠕虫病毒，在网络中大面积爆发。从而，保护用户网络中的所有计算机不受到病毒攻击。当格力中山网络内部不幸遭遇到新病毒攻击而病毒码还未更新时，利用病毒爆发预防策略能够将新病毒所利用的网络漏洞和系统漏洞完全堵死，让还没有进来的病毒进不进来，让已经进来的病毒无法扩散；5、 集成网络版防火墙和IDS：Officescan网络版防火墙和通过在客户机和网络之间创建屏障，来帮助保护Officescan网络版客户机免受黑客和网络病毒的侵扰，同时，IDS确保客户机不受到内部或外部的入侵攻击，确保格力中山内部计算机的系统安全和资料安全；6、 分布式的病毒码更新：鉴于格力中山网络中，有部分网络或者分支机构中的安装有Officescan客户机与Officescan服务器之间的连接带宽比较窄，只有几十K左右。为了避免病毒码升级时造成网络带宽被占用，趋势科技建议在部分网络或者分支机构中选择一台计算机做更新代理，如上图所示，其余计算机直接通过更新代理更新而不是通过Officescan服务器更新，如此就可以确保病毒码更新时不会占用网络带宽，确保格力中山的正常的业务数据不会因为网络带宽被占用，无法及时同步更新，当然，如果；部分网络或者分支机构（与Officescan服务器用窄带连接的环境）可以直接上Internet，则也可以通过Intetnet进行病毒码的更新；7、 病毒爆发监控：“病毒爆发监控”可以用来监控网络上有感染迹象的可疑活动。通过设定病毒爆发监控的敏感度，如：设定的时间段内，网络上的并发会话数量超过设定的值，这样在网络内部出现病毒爆发之前，提前向格力中山防病毒管理人员预警，防患于未然；8、 扫描有防病毒漏洞的计算机：通过趋势科技Officescan自带的TMVS客户机漏洞扫描工具，可以将格力中山网络中所有客户机做一个整体的扫描，将没有安装Officescan客户端软件的计算机的IP地址，计算机名字，操作系统等详细的信息生成报表，便于格力中山防病毒管理人员及时定位网络的未安装Officescan的计算机；9、 并入趋势科技整体防病毒体系：Officescan通过安装TMCM代理程序，就能够被整合在TMCM的管理体系中；3.4. 服务器防护趋势科技防毒墙服务器版 ServerProtect趋势科技的ServerProtect可以对Windows 2000/NT、Novell NertWare或Linux Redhat网络上的档案服务器，提供全面性的病毒防护。ServerProtect是通过直觉的、可携式的主控台来操作，它提供病毒疫情管理、集中式病毒扫描、病毒码更新、事件报告和防毒配置等功能。系统需求：l Microsoft Windows NT/2000 Server 含SP2及其它补丁l Netware3、4、5、6l RedHat 6.2、7.1、7.2l 建议至少64M内存l 50M可用磁盘空间l Intel Pentium 166 MHZ处理器或以上（或兼容处理器）l 网络通讯协议与服务：安装机器上必须执行TCP/IP、Microsoft Network、RPC服务所需的Netbios、Gateway Serveice和RPC服务。l 基于内部局域网或广域网（带宽大于128K即可）策略：l 防毒软件可通过单一的主控台来管理。l 安装时可以依照网域分组，同时替多部服务器进行安装。l 利用集中式报表，管理人员可以监看整个网络的状态。l 通过Task Manager，管理人员可以轻松地完成各种病毒维护工作，例如设定扫毒模式、更新病毒码和程序、编辑病毒报告，以及设定实时扫描的参数等l 反复扫描经过多层压缩的档案，支持的格式包括ARJ、Diet、LZEXE、LZH、PKLITE、PKZIP、Microsoft Compress，以及UUENCODE和MIME等邮件附件格式。 l 自动下载和分发病毒码、扫毒引擎和程序文件。l 支持MPLS VPN和IPSec等VPN竞争优势：l IDC统计数据：连续多年占据全球市场份额第一位l 病毒代码到来之前具备网络控制功能，有效控制病毒扩散l 可集中分发病毒清除工具，免除手动清除烦恼l 跨网段安装与管理l 有集中隔离工具,可以将感染病毒档案集中隔离到一台服务器l 有病毒追踪工具,当有病毒通过网络共享扩散时,可以侦测到感染病毒的机器l 可以实现远程集中安装、扫描、更新、管理l 软件安装时可对病毒进行预处理，安装后不需要重新启动l 强大、完善的日志管理功能l 安装简单、产品成熟、运行稳定、高效防毒部署建议：在NT、2000、Netware和Linux系统的服务器上安装ServerProtect防病毒系统，提供以上系统的实时病毒防护能力。l 为了满足大型企业的要求，ServerProtect本身被设计成一个多层结构的软件。它共有三个模块：Information Server (IS)，Normal Server (NS)，Management Console (MC)。NS是安装在每台文件服务器上的防毒模块，IS是所有NS的集中管理模块，可安装在某一台服务器上；MC是给管理员使用的管理界面模块，可安装在任何一台机器上。l 因此部署时，可以将IS和MC安装在防毒专用服务器上，NS安装在真正的文件及Proxy、邮件服务器上。产品部署架构：同时，通过安装TMCM代理程序，Serverprotect就能够被整合在TMCM的管理体系中，并且能够通过TMCM得到“病毒爆发抑制策略”。Serverprotect应用该策略能够有选择性的关闭某些病毒攻击网络，服务器和客户机的端口，或共享文件夹。从而保护网络中的服务器群，在最新的病毒码没做出来之前不被新病毒攻击。3.5. 趋势科技网络防毒墙Network viruswall3.5.1. 网络防毒墙功能简介Trend MicroTM Network VirusWallTM 是基于网络层，针对网络病毒防御的硬件防护设备，可协助公司企业防制Internet蠕虫之类的网络病毒，在爆发病毒疫情时隔绝高危险的网络脆弱环节，在网络层部署由趋势科技提供的安全防御策略，并能在缺乏防毒保护的设备等潜在感染源连接网络时，予以隔离和清除。不同于只监测安全威胁或提供信息的安全解决方案，Network VirusWall协助企业采取准确、快速的安全措施，并且主动侦测、预防围堵与进行善后清理。当企业在网络的各网段之间部署Network VirusWall之后，即可大幅降低安全威胁、网络宕机时间以疫情管理的负担。Network VirusWall支持趋势科技的企业安全防护策略（Enterprise Protection Strategy）。同时，部署在公司企业网络设备之间（如：交换机之间或交换机和集线器之间）的各个Network Viruswall设备，可以完全通过网络中的趋势科技网络安全中央控管平台Trend Micro Control Manager-TMCM来管理，信息管理人员只要通过TMCM的中央监控就可以控制到网络各个节点的防病毒状况以及网络中是否有异常的数据流量，并且Network Viruswall可以联动TMCM自动的为网络中被病毒感染的客户机去清除病毒。功能：l 病毒爆发防护服务l 网络病毒扫描l 网络病毒爆发监控隔离病毒爆发的那些特定网段l 损害清除服务Damage Cleanup Service 主动并且自动清除被病毒感染的系统l 强制策略强制进行防病毒产品部署病毒相关的漏洞评估3.5.2. 详细特性描述与TMCM实时联动：l 通过与趋势科技网络安全中央控管平台TMCM实时联动，确保管理员能够实时了解到网络中的异常情况：包括异常数据包，被病毒感染的客户机的信息以及处理方式等等。整个网络中所有的Network Viruswall都可以通过TMCM来集中管理，以方便管理员及时掌握网络中防病毒的第一手资料。隔离薄弱环节1: l 企业能在发生攻击之前或当时，选择性地隔离对于可能带有特定安全漏洞2 的计算机（例如未安装补丁程序），预防病毒利用网络上的薄弱环节入侵。l 爆发病毒疫情时，阻止未安装相关补丁程序的计算机再感染位于其它网段上的计算机，避免造成网络交通拥塞。网络疫情监测:l 使用智能型规则，提供关于网络病毒疫情的早期预警信息，以便企业采取主动、及时的安全措施。 监测方法包括：分析网络数据流量变化、任何时刻连入或连出任一客户端的联机数、任一端口号或通讯协议（TCP、UDP、ICMP和IGMP）突然流量激增。 找出中毒的主机、病毒攻击目标，以及针对特定弱点的攻击，并可透过集中管理控制台（TMCM）通知IT管理人员。预防网络疫情3:l 运用TrendLabsSM所提供的及时、明确特定的防治策略，来预防或围堵网络病毒。预防策略可在疫情爆发时，部署在网络的LAN网段以隔绝下列项目： 特定IP地址或范围（以预防这些计算机感染该网段之外的计算机） 网络端口号 通讯协议（TCP, UDP, ICMP） 实时通信（AIM, MSN, Yahoo, ICQ） 扩展名 档案传输（FTP, HTTP, Windows档案共享）这些策略可以自动部署，以扩大安全防护；或是手动部署，以提供更大的控制与弹性。禁止带有病毒的信息进出染毒的网络区域，以隔离与围堵病毒的散播，从而维持整体网络的正常运作。网络扫描与侦测l 利用TrendLabs提供的病毒码进行扫描与侦测，并且过滤掉染毒封包，以清除在网络层散播的病毒（例如Internet蠕虫）。并且运用防毒软件扫描潜藏在应用层（application layer）的病毒。自动清除损害4:l 找出网络上的染毒来源并在清除完成前予以隔离，以预防再次染毒。l 使用TrendLabs提供的损害清除模板（damage cleanup templates），不需透过代理程序即可从远程自动清理染毒主机，大幅降低手动清除与复原所产生的成本与管理负担。l 损害清除包括：清除或修复由蠕虫或木马程序所建立的登录项目，内存常驻蠕虫或木马程序，蠕虫或木马程序留下的垃圾文件或病毒文件，以及染毒或被病毒修改过的系统文件，如system.ini。安全策略的实施:l 公司企业可实施下列防毒安全策略，将网络中毒或再次中毒的可能性减至最少：o 当使用者存取网络时，侦测客户端防毒产品、扫描引擎和病毒码版本（Trend Micro），如果不合乎安全策略则拒绝其登入网络；并且根据公司的安全策略，让使用者下载扫描引擎和病毒码，或下载防毒产品。l 使用Orchestrator代理程序以及Trend Micro OfficeScan和ServerProtect for NT。l 无需安装客户端代理程序、程序更新，也无需更改网络设定。便于使用、管理与安全控制: l Network VirusWall是部署关键性疫情防护服务的整合性防护设备，使用、配置、安装和管理均极简便。l SNMP监控可加强管理与检测能力。l 内建的本地（local host）防火墙有助于预防对Network VirusWall的攻击l 通过ActiveUpdate模块和TMCM集中管理控制台，可实现针对Network VirusWall定期和自动化的代码库或程序更新。3.5.3. 部署NVW的效果通过在格力中山的网关处部署NVW2500来保护内部网络的个人计算机和服务器。来自INTERNET的网络病毒会被NVW2500直接处理掉，而不会进入到内部网络，攻击有漏洞的计算机；NVW2500可以根据TMCM的漏洞评估结果，对内部计算机做安全强制策略，对于那些补丁没有打完整或者是没有安装客户机防病毒软件的客户机禁止对INTERNET进行访问，以避免这些机器从INTERNET感染病毒回来，继续感染内部网络其它计算机，导致整个系统不能正常使用；NVW2500可以根据趋势科技病毒实验室的爆发阻止策略保护内部网络不受到外部网络的网络病毒攻击；NVW2500可以通过TMCM对客户端进行网络病毒的自动清除工作，而且不用在客户端安装任何软件。3.6. 中央控管体系趋势科技中央控管产品 Trend Micro Control Manager趋势科技TMCM是一个管理控制台，为部署在网络中的趋势科技防毒和内容安全产品和服务提供集中的管理和保证它们在整个企业范围内的协调运行。趋势科技TMCM是企业保护战略(EPS)的一个核心的组成部分，它可帮助IT管理人员在他们的企业内部实施一致的安全策略，并对病毒爆发周期各个阶段做出快速响应 - 对于那些能够出现在网络多个区域的混合型病毒而言，这是对抗它们的一个必要条件。趋势科技TMCM可通过一个控制台来管理防毒和内容安全产品和服务，可帮助IT管理人员们获得有关病毒事件或异常活动的准确一致的信息，并创建用于分析和监控的图形报告。它可将它所支持的防毒和内容安全产品分成组以利于远程管理；可对各组群中的服务器进行同时配置或通过复制依次配置。通过趋势科技TMCM可将产品信息和任务功能进行映射，使管理员可以快速查看并对新安装的产品进行控制。系统需求：l TMCM 服务器：NT Server 4.0/2000 server上，Microsoft IIS 3.0 或更高版本，50MB 硬盘空间来储存软件程序，200MB 硬盘空间来储存纪录文件。 l TMCM 代理程序(Agent)：NT Workstation 或 Server 3.51 或更新版本，20MB 硬盘空间来储存软件程序。 l 浏览器：Netscape Navigator 3.0 或更新版本， 或者用 Microsoft Internet Explorer 3.02 或更新版本。 l 其它： TCP/IP 网络联机。通过呼叫器(Pager)来作病毒扩散警报通知，还需要有调制解调器联机。l 基于内部局域网或广域网（带宽大于128K即可）l 功能描述：l 通过TMCM可实现对防毒软件的病毒代码、扫描引擎、升级程序、预防策略、垃圾邮件列表的集中分发、管理。l 可实现对病毒侵入情况、各系统防毒情况、防毒软件的工作情况等的集中监控。并且由于TMCM采用Web管理方式，使得管理人员可以通过任何一台联网的计算机方便地访问TMCM，减轻了管理人员的负担。l 可实现对所有防毒软件的集中管理、集中设置、集中维护。管理人员可以通过TMCM的统一界面管理防毒软件。l 可集中反映整个系统内的病毒入侵情况,设置各种消息通报方式，对病毒的爆发进行报警。l 漏洞扫描和防御：趋势科技利用自身产品帮助用户找出网络中存在微软安全漏洞的计算机，同时区分漏洞的轻重缓急，隔离具有系统漏洞的计算机，强制打补丁，以次确保当病毒来临时，不会因为系统的漏洞造成网络的受到病毒攻击而瘫痪TMCM具备灾后集中清除及漏洞分析功能，不仅可以进行整个网络的集中病毒扫描工作，还可以针对系统漏洞提供报告，使得整个网络更加强健。l 病毒发作防御：趋势科技利用独创的病毒爆发防御策略技术（可更新的数据包），在新病毒爆发而新病毒码还没更新的“防病毒真空期”，趋势科技利用病毒爆发防御策略技术，将网络内部所有病毒可能利用的途径全部关闭，例如：自动关闭病毒的利用和攻击的特定端口，并自动的隔离已经感染病毒的PC，关闭共享文件夹等l 评估与恢复：通过趋势科技中央控管安全平台，收集整个网络所有的计算机的防病毒信息，通过周报表，月报表等方式，对整个网络的防病毒工作做一个整体的评估，同时，利用趋势损害和清理服务从后台自动的将被病毒感染的机器清除干净，避免了人为手动清除病毒，从而将网管从大量的手动清除病毒的状态下解脱出来。l 独创的层叠式管理：TMCM可以直接管理TMCM，间接管理趋势科技其他防病毒软件产品；而TMCM可以直接管理趋势科技其他防病毒软件产品。例如：省中心的TMCM直接管