计算机网络工程安全技术解决方案提供商

苏州海洋电子科技有限公司
赛门铁克整体防病毒解决方案

一、 苏州海洋电子科技有限公司网络网络结构、应用系统、防病毒现状
1.1 苏州海洋电子科技有限公司网络结构
苏州海洋电子科技有限公司的网络，内部使用100M交换机互联，上INTERNET使用CISCO的2506路由器，采用的是移动公司的2M线路，安全设备使用的方正的方御防火墙，公司的邮件服务器放在防火墙的DMZ区。
1.2海洋电子科技有限公司网络应用系统情况描述
海洋电子科技有限公司的网络应用系统主要为邮件和文件系统，和以后的WWW应用系统，服务器端为WINDOWS 2000 SVERVER。客户端有WINDOWS 98/2000/XP。服务器计2台，客户机大致有50台。
1.3 海洋电子科技有限公司网络防病毒现状
在防病毒方面，目前海洋电子科技有限公司网络内还没有实施统一的防病毒解决方案，针对全网络的杀毒软件还没有配置。在日常防病毒维护中不但管理员的管理工作繁重，而且不能实现统一的、集中的管理，易受到各种人为的因素的影响，即使在安装了一些个人版防病毒软件的情况下也不能确保整个网络的防病毒能力。

二、 海洋电子科技有限公司网络防病毒需求分析
在海洋电子科技有限公司网络的网络防病毒方案中，我们应该考虑在整个网络中只要有可能感染和传播病毒的地方都应该采取相应的防病毒手段，安装相应的防病毒软件。
因此主要考虑：
第一， 对大量客户端的防病毒
第二， 对WINDOWS文件服务器的防病毒
第三， 对邮件服务系统的防病毒
第四， 对网关的防病毒
针对海洋电子科技有限公司网络的具体情况，主要考虑对网络中的所有WINDOWS客户端的病毒防护，对所有WINDOWS文件服务器的病毒防护，对邮件服务器上的防病毒。

三、海洋电子科技有限公司网络网络防病毒的设计原则
考虑到网络防病毒的整体性，考虑只要有可能感染和传播病毒的地方都应该有相应的解决方案来挡住病毒的入侵和感染途径，防止病毒的入侵和传播，确保网络的安全。在海洋电子科技有限公司网络网络防病毒解决方案中，主要考虑和遵循以下几方面的原则：
 产品的完整性：应该是一个多层次、全方位的防病毒体系，而不仅仅是几套防病毒软件，同时具有跨平台的技术及强大功能，也就是说，在网络的每一个层次包括邮件服务器一级、服务器一级、客户端一级以及各种平台下都应有相应的解决方案。
 产品的防护能力：防病毒产品应采用先进的防病毒技术，能够有效的查杀各种多态病毒、未知病毒和已知病毒，能对病毒防范于未然。
 防病毒策略和相应配置的强制管理机制：防病毒软件应该提供对防病毒策略和相应配置的强制执行或锁定功能，尤其是对客户端防病毒策略的强制定义和执行，它可以确保客户端不会因为人为因素而造成防病毒策略的更改、破坏等。
 紧急处理能力和对新病毒的响应能力：防病毒解决方案在新病毒出现时应具有紧急处理能力，同时提供最快的响应速度。由于病毒总是先出现，因此对于这些新出现的病毒，防病毒体系是否具有足够强的紧急处理能力和快速的响应速度，从而确保在新病毒出现时，系统不受其影响，或尽量少地受其影响，同时提供响应的自动化手段和机制迅速对新病毒作出响应。
 病毒定义码和扫描引擎升级方式、途径：防病毒产品必须提供集中和方便的病毒定义码和扫描引擎升级、更新的方式和途径。由于在一个防病毒软件中，主要靠扫描引擎来清除病毒，因此能否方便、快捷地升级扫描引擎直接影响到防病毒体系的防毒能力，要求防病毒产品采用模块化的升级方式，同时下载病毒定义码和扫描引擎。
 统一、集中、智能和自动化的管理：在这个防病毒解决方案应该具有统一的、集中的、智能的和自动化的管理手段和管理工具，包括客户端自动化的安装、维护、配置、病毒定义码和扫描引擎的升级、定时调度、实时防护、防病毒策略的分发等，同时可以根据用户的需要灵活地进行多级管理机制。
 病毒事件报警、综合日志分析及报表功能：防病毒解决方案应提供方便、全面、友好的病毒警报和报表系统管理机制。
 产品的安装能力：由于防病毒解决方案的很大一部分工作量在于安装部署，因此防病毒软件应提供多种安装方式，以便用户在安装实施的过程中采用灵活的方式。
 尽量少地占用网络资源、、系统资源：防病毒软件在安装实施后应尽量少地占用现有的网络资源和系统资源，以便不影响用户现有网络、系统和应用的正常运转。
 产品的稳定性、兼容性和易用性：防病毒产品在安装完后应该稳定可靠，不影响现有系统的正常工作，同时提供友好的界面，便于用户使用。
 产品和产品修正的升级能力：防病毒产品应该提供简便、自动的产品和产品修正的更新、升级能力，如当有新版本的软件发布和产品的修正发布时，应该提供简便的、自动的升级方式，而不需要到每台计算机重新安装。
 病毒防护自动化服务机制：防病毒产品应提供防毒、杀毒的自动化机制。
 良好的服务与强大支持。
 时刻具有最强的防病毒能力。
 合理的预算规划和低廉的总拥有成本。

四、 海洋电子科技有限公司网络网络防病毒的设计目标
对整个海洋电子科技有限公司网络实施防病毒系统，应力求达到在整个海洋电子科技有限公司网络系统中构造一个整体的、全方位的、无缝的、功能强大的防病毒体系。保护网络免遭来自网络外部和网络内部病毒的威胁和破坏，从根本杜绝病毒的发作和传播，有效地保护网络内部资源，同时对新出现的病毒有一个很好的、快速的响应系统。

五、推荐赛门铁克系列防病毒产品
5.1 Symantec AntiVirus Corporate Edition
5.2 Symantec Client Security
5.3 Symantec AntiVirus/Filtering for Exchange
5.4 Symantec AntiVirus for SMTP Gateways

六、赛门铁克系列防病毒产品特点介绍
6.1 Symantec AntiVirus Corporate Edition
Symantec AntiVirus Corporate Edition为企业范围内的工作站和网络服务器提供全面的病毒防护。其主要特点如下：
〉 数字免疫系统可提供企业级保护 Symantec Antivirus™ Corporate Edition8.0可以在整个企业的工作站和网络服务器层提供最佳的多平台病毒防护。数字免疫系统能够访问智能化后端服务以及独有的自动响应机制。闭环自动操作是一种响应特性，可以分析并部署比病毒扩散更快的经过质量测试的对策。即使在受到快速扩散的攻击时面临极大的需求，赛门铁克的可扩展性后端结构能够确保更快地提供病毒定义码。新版本提供更小的病毒定义码文件和多线程的服务器部署，能够实现更快的响应。在工作站和网络服务器层之上，Symantec Antivirus™Corporate Edition还可以为存储环境提供额外保护。 〉 集中化策略管理使得系统时时受到保护 Symantec Antivirus™ Corporate Edition可以提供集中化管理功能，使得IT管理人员可以管理按照逻辑关系组织的客户和服务器，创建、部署和锁定策略和设置，从而保证系统在所有时候都能够保持最新状态。管理人员可以从集中化的控制台来管理策略，从而保证DOS、Windows以及Netware服务器和工作站都能够得到更新并且恰当配置。为了在企业迁移到新技术的时候提供不间断的保护，最新版本的赛门铁克久负盛誉的解决方案现在可以同Netware 6.0兼容。所有客户端设置都可以锁定，用户不能更改。此外，客户系统可以从管理控制台上配置并进行监控。如果检测到病毒，可以自动进行修复，并且通过赛门铁克系统中心控制台来向IT管理员通报。 〉 易于安装和部署 赛门铁克系统中心可以集中化地向多种平台的工作站和网络服务器部署病毒定义码和产品更新，从而极大地降低在企业中部署更新的成本。集中化发送可以降低部署时遇到的麻烦，如“sneaker nets”、任务失败以及错误安装等。集中化管理可以简化企业规划和服务器层面及分组织的创建。安装过程能够智能化地预测可能遇到的问题，从而极大地减少安装失败的可能性及其可能引发的网络问题。 〉 提供自动病毒防护周期的先进技术 Symantec Antivirus™ Corporate Edition的数字免疫系统，具有无可比拟的自动功能。数字免疫系统可以自动提交潜在威胁，并自动将解决方案发送到有问题的机器或者整个企业。数字免疫系统同赛门铁克全面的后台架构（包括硬件资源、结构设计最新的扫描引擎和Web Crawler）相结合，能够确保最高水平的服务可用性。 基于赛门铁克安全响应中心这个全球领先的互联网安全研究和支持组织全天候告警相结合，Symantec Antivirus™ Corporate Edition可以极大地减少新病毒信息提交和解决方案的周转时间。大量智能化和强大的技术可以增强解决方案的自动响应能力。
● NAVEX技术可以实现快速、跨平台的部署，在病毒定义码定时更新时扫描和修复引擎同时自动更新。不需要重新部署软件或重启系统，客户可以接收病毒解决方案，修复各种用传统病毒特征方式无法解决的新型威胁。 ● 基于互联网的技术同后端闭环自动操作结合，使得管理员可以轻松地通过互联网使用HTTPS直接将可疑文件自动提交给赛门铁克，不需要IT人员干涉。这就能够消除对电子邮件的依赖，实现病毒解决方案的自动发送，从而使得管理员来控制自动化的程度。解决方案可首先被测试或者自动部署到受感染的终端或者整个企业。闭环自动操作极大削减了对快速传播的威胁程序的响应时间，有助于减小攻击期间网络发生故障的可能性。 ● 赛门铁克特有的Bloodhound技术可以通过检测类似病毒的行为来识别未知病毒。经过验证，Bloodhound能及时防御百分之九十以上的新型宏病毒以及百分之八十以上的新型文件病毒。 ● 集中化隔离功能可以实现集中化病毒管理，使得管理人员可以将所有不可修复的、受病毒感染的文件转向到一个集中化的服务器，以实现进一步的检测。将病毒从主要的运算环境清除，可以提供更好的防护，并且防止它们在企业内部蔓延。由于能够在提交受宏病毒感染的文件之前就能从其中剥离敏感、专用的数据，它还有助于维护IT的可信性。 ● 采用最先进的自动宏病毒分析和修改技术，赛门铁克防病毒研究自动化（SARA）机制能够分析提交给赛门铁克安全响应中心的样本，并通过电子邮件发送一条病毒定义码来修复新型病毒。 ● 病毒定义码传输方法（VDTM）可以提供最好的方法来快速部署新的病毒定义码。只需简单地将一套新的病毒定义码置于一个主服务器，此时病毒定义码就可以自动地传送到二级服务器和客户机。此外，新的更小的病毒定义码文件可以加速处理流程。

6.2 Symantec Client Security
Symantec Client Security为客户端提供集成的防病毒、防火墙以及入侵检测功能。其主要特点如下：
〉 集成客户端安全产品需求
对IT基础设施威胁的复杂性正在不断增加。诸如Nimda和红色代码等混合型威胁，将病毒、蠕虫、特洛伊木马以及（或）恶意代码的特征同利用服务器和互联网漏洞的方法相结合，启动、发送和传播攻击。为了防御这些威胁，网络管理员正在企业网范围的客户端上部署防病毒和防火墙等单点产品，同时还包括越来越多的连接到企业LAN或WAN的远程客户端。
采用来自不同厂商的多种单点产品使得全面防护变为一项极为复杂甚至根本不可能的任务，因为跨厂商的互操作性问题往往会存在漏洞，从而使威胁乘虚而入危及安全性。此外，当病毒发作时，必须针对各种不同的技术，对每个厂商提供的修复方案进行测试和验证。这样就降低了对攻击的反应速度，并潜在地增加了成本。事实证明，如果不将多个单点产品进行集成则无法有效管理，从而增加了管理和支持成本以及总体购买成本。
〉 全面防护，高效管理
SymantecTM Client Security已将网络和远程客户端的安全功能集成在一个解决方案中。它不存在互操作性问题，通过集成赛门铁克久负盛誉的防病毒、防火墙和入侵检测等技术为客户提供更强的攻击防护能力，包括那些混合威胁在内。来自一个厂商的多种集成化技术使得协作管理和响应成为可能，从而增加了防护能力，降低了管理和支持成本，削减了整体购买成本。
〉 集成安全管理
通过赛门铁克久经考验的架构——赛门铁克系统中心来实现集成安全管理，可以提供全面的防病毒、防火墙和入侵检测功能。这就可以提供先进的安全管理，并且简化了针对企业网络内每个客户端（包括远程用户）复杂威胁的安全管理过程。通过这种方法可以优化管理员资源，因为安装、报告和更新都可以从一个控制台上来完成。管理功能包括：
● 集成化管理——使用赛门铁克系统中心，管理员从单个控制台就可以完全配置、安装、管理和更新客户端病毒、防火墙以及入侵检测功能。管理员还可以使用赛门铁克系统中心控制台来配置、部署和执行企业网络策略。
● 逻辑组管理——Symantec Client Security能够创建和管理服务器组中的按逻辑划分的客户端和服务器组。这对于需要用同一种方法管理相同功能实体的组织来说尤为适用，可减少管理不同客户端组所需要的父服务器数目。
● 易于安装——Symantec PackagerTM 能够预先配置防病毒、防火墙和入侵检测的安装程序包，从而最大化部署灵活性，将部署成本降至最低。有三种预先配置的部署选项可用：全面管理、简单管理和瘦客户端。
〉 集成化响应
Symantec Client Security可以为防病毒、防火墙以及入侵检测提供通用的部署和更新功能，有助于减少更新的开销、风险和管理。此外，集成化响应功能还能够使企业对于违背安全策略和病毒发作更快做出响应，从而提高网络的整体安全状态。
这种集成化更新和响应功能是由赛门铁克安全性响应中心这个世界领先的互联网安全性研究和支持组织完成的。使用赛门铁克久负盛誉的自动更新技术，Symantec Client Security可以在可自动安装（如果管理员愿意，也可手动安装）的单个集成化的数据包中发送病毒定义码、防火墙规则以及入侵特征库。在病毒发作时，赛门铁克通过各种集成化技术来测试和检验其解决方案。由于定义码更新文件很小，Symantec Client Security可以确保带宽预留和快速实施，从而对网络性能产生的影响最小。

赛门铁克安全响应中心提供了一系列功能强大的安全资源，包括世界一流的产品支持以及业界领先的赛门铁克全球研究和技术支持中心提供的无间断的报警服务。赛门铁克的防入侵专家、安全工程师、防病毒防护专家协同工作，每天 24 小时持续不断地研究病毒、恶意代码、不断发展的漏洞以及最新的入侵技术。此外，赛门铁克安全响应中心始终致力于开发自动紧急事件响应系统，用于检测安全问题、向客户发出告警，并为 SymantecTM Enterprise Security 客户提供安全的解决方案。
〉 有效的保护
Symantec Client Security融合了集成化防护、久负盛誉的技术以及全面的安全特性来使管理员安心：
● 客户安全策略实施——根据防火墙规则扫描传入和传出流量。Symantec Client Security内的防火墙技术可以同防病毒技术无缝协作，保护客户端不受病毒影响。即使在管理员或用户将实时病毒防护停用也可以实现上述防护。
通过客户端防火墙和入侵检测技术的结合，它扫描并将所有传入和传出的流量同已知的特征组相比较，如果检测到入侵企图，可以将一个入侵IP地址阻塞超过30分钟。
● 融合领先的技术——Symantec Client Security构筑在久负盛誉的业界领先防病毒、防火墙和入侵检测技术基础之上。
数字免疫系统可以自动提交潜在威胁，并且将应对方案自动发送到有问题的机器或者整个企业。在包括硬件资源、架构设计、最新扫描引擎以及Web crawlers在内的精密完善的基础设施支持下，数字免疫系统可以确保最高的服务可用性。
● 可扩展性——Symantec Client Security可以提供快速响应和更高的扩展性，利用赛门铁克技术采用的很小的定义码文件、病毒定义码传输方法以及病毒定义码的多线程服务器部署、防火墙规则以及入侵特征库等特性，可以保护客户端层免受新型威胁的侵害。
多点产品并不提供全面检测所需要的部件。Symantec Client Security是唯一一种这样的单厂商解决方案，可以真正集成多种技术，提高客户机对当前复杂的互联网威胁的防御能力。

〉 由赛门铁克安全全响应中心提供支持 赛门铁克安全响应中心，是业界最大的专门致力于病毒防护研究的专家小组，他们正在坚持不懈地工作，其目标是在病毒危害系统和文件之前就发现和清除它们。赛门铁克安全响应中心对病毒发作提供快捷的全球响应，对病毒未来威胁提供前瞻性的研究，并提供持续培训。

6.4 Symantec AntiVirus/Filtering for Exchange
Symantec AntiVirus/Filtering 3.0 for Microsoft Exchange可以自动检测并删除在Exchange服务器上各种新旧病毒，为用户提供全面、自动的防护，将所需要的管理疏漏降到了最低程度。利用最新的Microsoft Virus Scanning API，Symantec AntiVirus/Filtering可对电子邮件正文及附件进行扫描，提供最大限度的防护，同时把对网络性能的影响降到最小。由于管理人员在添加新的病毒定义时无需重装扫描引擎，从而大大降低了拥有成本。
其主要特点如下：
〉 针对当前和未来的病毒实现全面防护抵御 Symantec AntiVirus/Filtering for Microsoft Exchange 使用独特的扫描及修复技术为用户提供最全面的防护，以抵御所有流行的压缩及编码格式的病毒，包括 ARJ、CAB、LHA/LZH、LZ、MIME、UUEncod、ZIP 甚至那些目前尚无定义的格式。由于支持 Microsoft Virus Scanning API 2.0，它可以在其它任何进程或客户端应用程序运行之前扫描和修复所有接收和发出的电子邮件，从而保持性能、扩展性以及Microsoft Exchange 2000 系统的完整性。而且，由于支持 Exchange 2000，Symantec AntiVirus/Filtering 是为企业向最新的Microsoft 技术移植提供持续病毒防护的理想解决方案。 〉 提供前瞻性防病毒过滤功能 为优化对病毒爆发的管理响应能力，Symantec AntiVirus/Filtering 允许管理人员依据信息长度、主题显示行、附件名称或扩展名等特征自动拦截电子邮件。通过启用主动的安全措施，Symantec AntiVirus/Filtering可以防范电子邮件垃圾，如爱虫病毒的爆发，同时减少潜在的网络瓶颈及存储问题。 〉 无可匹敌的响应能力 Symantec AntiVirus/Filtering 可以自动将可疑文件发送到隔离服务器上进行安全检测。为了提供无可匹敌的分析和响应能力，Symantec AntiVirus/Filtering 集成了赛门铁克自动化数字免疫系统技术，该技术可使管理人员直接将可疑文件转发到赛门铁克安全响应中心(前身为 SARC)，在这里94%的问题都会在 24 小时内得到解决。 〉 新功能大大降低总拥有成本 赛门铁克可扩展的 NAVEXTM 扫描引擎允许管理人员随时添加新的病毒定义，而无需在每次发现新病毒时都重装软件或中断Exchange的基本服务。此外，几种新功能使 Symantec AntiVirus/Filtering 更便于管理和使用，为其他任务释放资源，进一步降低了拥有成本。多服务器管理控制台允许管理人员远程管理几个 Exchange 服务器，加强了解决方案的可伸缩性。 大规模病毒爆发报警功能允许管理人员在病毒被识别或定义前，对潜在的爆发做出主动的响应。而新的零维护模式设置通过预先选定的默认策略，简化了配置和管理。 〉 支持集中式管理 通过使用一个 HTML 界面进行集中式安装与报警，管理变得十分轻松。安装只需花费几分钟。管理人员能够给不同的服务器设置不同的配置，选择实时、按需或定时扫描，同时对感染的文件进行修复，隔离或删除。独有的 LiveUpdate™ 软件使管理人员能够得到带有最新病毒定义的自动更新，并且可以在单个地点完成部署工作，只需数分钟既可更新整个企业。 Symantec AntiVirus/Filtering 还能生成定 制化报告，以提供大量有用的、能够以各种报告格式输出的数据。 〉 由赛门铁克安全响应中心提供支持 Symantec AntiVirus/Filtering 由赛门铁克安全响应中心—— 业界最大的专门致力于病毒防护研究的专家小组提供支持，为用户提供最新的、全天候的防护。赛门铁克安全响应中心对病毒发作提供快捷的、全球响应，对病毒未来威胁进行前瞻性的研究，并提供持续培训。

6.5 Symantec AntiVirus for SMTP Gateways
Symantec AntiVirus for SMTP Gateways可以最好地将病毒、蠕虫、特洛伊木马、垃圾邮件以及其它一些恶意邮件内容阻挡在企业网关之外，使其在进入的第一时刻就得以阻拦。Symantec AntiVirus for SMTP Gateways* 3.0能够在最短时间内扫描所有Windows和Solaris平台的病毒并阻挡诸如垃圾邮件等恶意邮件内容，从而提供可靠的互联网电子邮件网关保护。
其主要特点如下：
〉 以最快的方案实现病毒防护
通过电子邮件传播的病毒将极为迅速地蔓延，需要在每个网络层面加以制止。一种有效的解决方案是确保最快的恢复正常，不论在什么平台或者网络层面。Symantec AntiVirus for SMTP Gateways同其它所有多平台、多层面的赛门铁克防病毒产品（包括那些用于工作站和网络服务器的产品）共享通用NAVEX 扫描引擎技术。因而，当有病毒定义码更新的时候，所有必要的升级都可以无缝地完成，包括SMTP网关在内的所有防护系统都得到相同等级的检测和修复。
〉 不仅仅只是病毒的问题
紧随病毒之后，垃圾邮件很快变为互联网最大的灾难来源，并且威胁到网络资源：它将耗尽带宽和邮件存储空间，并影响终端用户的工作效率。Symantec AntiVirus for SMTP Gateways支持MAPS的RBL、DUL、RSS以及RBL+等反垃圾列表，从而防止Spammer病毒生成的大量电子邮件攻击您的网络并耗尽电子邮件服务器资源。管理员还可以通过发送者的地址和域名、标题、甚至最大邮件大小等指标来删除不希望看到的电子邮件内容。
〉 紧密结合以实现最佳性能
由于该产品能够将防病毒扫描以及内容过滤功能紧密地结合，因而管理员可以在进入网络的第一位置来高效、有效地制止恶意代码和不希望看到的内容，从而在病毒蔓延之前就中止病毒发作。
〉 易于管理
Symantec AntiVirus for SMTP Gateways只需要一次安装、一个管理控制界面以及一种产品就可实现管理和维护。Symantec AntiVirus for SMTP Gateways将关键的网关功能融入单个产品中，能够提供最大的效率、有效性，并且易于维护。它还可提供灵活选项来处理受感染的文件、建立阻断策略、调度更新和接收自动发送的系统警告及病毒警报，并生成专业的报告。
* 以前的Norton AntiVirus for Gateways

Symantec AntiVirus for SMTP Gateways是第一种可以防护电子邮件病毒、垃圾邮件以及其它恶意邮件内容的产品。通过将内容屏蔽技术和传统的病毒扫描技术在SMTP网关上结合，企业用户现在不仅可以防护已知的病毒，而且还能够屏蔽新的批量邮件发送病毒直至有了修复解决方案，从而能够有效地防止网络遭受最新病毒的攻击。
〉 安全网关
SMTP网关解决方案可以迅速成为病毒作者以及黑客的第一道攻击防线。Symantec AntiVirus for SMTP Gateways可防护已知的漏洞攻击、拒绝服务工具、口令窃听以及未授权访问，是Symantec AntiVirus for SMTP Gateways防护功能的一个整体部分。
〉 久负盛誉的技术以及自动更新
Symantec AntiVirus for SMTP Gateways融合了久负盛誉的赛门铁克防病毒技术，包括NAVEX 这种让管理人员可以快速、经济有效地更新扫描引擎来实施病毒修复的技术，无须中断实时病毒扫描，也不会导致系统中断。采用其集成的LiveUpdate功能，可以在整个企业范围内自动杀毒，从而可以在病毒发作期间实现快速防护。
〉 由赛门铁克安全响应中心提供世界级的支持
赛门铁克安全响应中心提供了一系列功能强大的安全资源，包括世界一流的产品支持以及业界领先的赛门铁克全球研究和技术支持中心提供的无间断的报警服务。赛门铁克的防入侵专家、安全工程师、防病毒专家协同工作，每天24小时持续不断地研究病毒、恶意代码、不断发展的漏洞以及最新的入侵技术。Symantec AntiVirus for SMTP Gateways是一种快速而可靠、高性能的电子邮件病毒检测和清除解决方案。
七、赛门铁克防病毒产品部署、管理、维护规划
7.1 Symantec AntiVirus Corporate Edition
7.1.1 部署、管理规划
简单的说，Symantec AntiVirus Corporate Edition的部署就是在所有企业范围内的工作站和网络服务器（WINDOWS NT/2000和NETWARE平台）上部署Symantec AntiVirus Corporate Edition客户端软件，同时，部署一台或多台Symantec AntiVirus Corporate Edition 服务器（在服务器上安装管理控制工具），由一台服务器来集中管理、配置客户端或多台服务器分级管理、配置客户端。
根据海洋电子科技有限公司的总体框架，我们特别设计赛门铁克防病毒企业版产品的部
署、维护管理、升级架构如下：
 分级实施、分级维护管理：
首先，在公司机房部署一台赛门铁克防病毒企业版服务器，并在服务器上安装专用管理工具——赛门铁克系统中心，这台服务器就作为总部的防病毒中心，由它来集中维护、管理总部的所有防病毒客户端。
并在服务器上安装专用管理工具——赛门铁克系统中心，这台服务器就作为分公司的防病毒中心，由它来集中维护、管理公司所有防病毒客户端。
 上级集中监控，必要时直接管理下级：
公司的防病毒中心除了日常维护管理总部的所有防病毒客户端，还集中监控下级的防病毒客户端。
7.1.2病毒定义码和扫描引擎升级方式
病毒定义码的升级是防病毒软件运行后最必要也是最重要的日常维护管理工作，所以为了保证及时、可靠的升级病毒定义码，我们采用了阶梯形升级模式，即只要机房防病毒中心有新的病毒定义码那么各防病毒客户端也会自动随着防病毒中心升级。这样阶梯形升级模式保证了全系统内病毒定义码的智能自动升级，就可以避免由于人为因素造成网络中某些机器或某个网络因为没有及时更新最新的病毒定义码而失去最强的防病毒能力。
7.1.3 紧急处理措施和对新病毒的响应方式
针对未知病毒的处理响应措施，可以通过赛门铁克的数字免疫系统来自动、快速完成。当各支网络中某个或某些客户端发现有新病毒出现，而防病毒软件无法清除时，客户端会通过隔离技术首先在本地把被感染的文件隔离，首先保证病毒不会发作，同时在本地做备份（取决于管理员的设置），然后再做一份拷贝，自动传送到局域网内的隔离区服务器，同时通过上推机制，该被感染文件会自动传至上级防病毒中心，由上级防病毒中心的防病毒管理软件自动传至赛门铁克的病毒相应网关，或由上级防病毒中心提交给赛门铁克中国公司，由赛门铁克中国公司负责提交。网关会根据当时的病毒定义码情况在几秒钟、几分钟、几十分钟、几小时或48小时内返回针对该病毒的解决方案，当返回相应的病毒定义码和扫描引擎后，可以通过预先的设置，把最新的病毒定义码和扫描引擎自动安装到全某某集团网络的所有防病毒服务器和发现病毒的那台计算机上，同时也可以安装到指定的几台或一台防病毒服务器上。
7.1.4 病毒时间报警、综合日志分析及报表功能
当网络中检测到病毒时，防病毒软件除了会进行相应的处理外，还可以通过多种方式通知给管理员，通过赛门铁克的报警管理系统（AMS），可以通过如电子邮件方式、传送警报窗口、采用BP机方式、发送SNMP陷阱等方式把病毒发作和感染的情况通知管理员。病毒的信息可以记录出现病毒的时间、计算机的名称、IP地址、用户名情况、感染情况、处理情况、感染病毒文件的名称和位置等。
管理员可以把传上来得病毒信息按病毒名称、日期、用户名、计算机名、病毒类型、时间段等关键字形成报表，同时也可以通过赛门铁克提供的图形报表插件生成图形化的报告。如下图是一些图形化报告的例子：

图5 根据病毒类型分类

图8 根据日期的病毒统计表

7.1.5 Symantec AntiVirus Corporate Edition软件的安装方法
从原理上，防病毒软件的安装可以从广域网直接进行，但因为这样做要占用大量的广域网带宽，效率极低，因此直接从广域网安装不切实际，而应以局域网为单位进行安装，具体的实施过程参照省防病毒中心提供的实施计划，对于防病毒软件的安装，管理员可以根据具体情况灵活采用以下几种方式：
 登录脚本：装一台域控制器PDC，然后在PDC上安装SSC，建立一个用户NAVSETUP,在用户的配置文件属性中，设置登录脚本VPLOGON.BAT。客户端使用该用户登录到PDC域中自动运行VPLOGON.BAT，客户端将自动安装防病毒软件。
 共享目录：用户只需要在网上邻居找到控制中心共享的VPLOGON共享名下的VPLOGON.BAT，运行此文件也可自动安装。
 自定义安装包：可利用PACKAGER程序生成一个自解压安装包，工作站运行此安装包，即可轻松完成安装。
 采用CD 直接到客户端安装：按提示一步一步应答。
 基于Web 的客户端安装：也可以通过现有的企业内部WEB服务器，或在防病毒服务器上建立一个WEB安装服务器，客户端通过浏览器进入WEB安装服务器，进行防病毒软件的安装。

7.1.6 软件对现有系统和应用的影响
赛门铁克防病毒企业版软件对现有系统正常使用不会有任何影响。同时赛门铁克防病毒企业版软件全部是简体中文版，便于管理员管理和客户端使用。
7.1.7 制定相应的管理制度
为了确保网络和系统的正常运转，企业必须指定相应的管理制度，如：
1. 配备相应的MIS人员负责整个网络安全的目常管理及维护。
2. 制定相应的机房上机管理制度。
3. 强制实施统一的防病毒策略。
4. 及时更新升级最新的病毒定义码。一般情况下每星期应该更新一次病毒定义码和扫描引擎，在特别情况下如有新病毒出现时可能需要每天更新病毒定义码和扫描引擎。因此，管理员最好经常浏览Symantec的网站，查看有关最新病毒和有关病毒定义码和扫描引擎的最新动态。
5. 如果发现隔离区有不能清楚的病毒时，要及时把其提交到赛门铁克的防病毒研究中心（SARC），以尽快得到相应的病毒定义码和扫描引擎。
不要随意使用盗版软件和盗版光盘。

7.2 Symantec Client Security
7.2.1 部署、管理规划
简单的说，Symantec AntiVirus Corporate Edition的部署就是在所有企业范围内的工作站和网络服务器（WINDOWS NT/2000和NETWARE平台）上部署Symantec AntiVirus Corporate Edition客户端软件，同时，部署一台或多台Symantec AntiVirus Corporate Edition 服务器（在服务器上安装管理控制工具），由一台服务器来集中管理、配置客户端或多台服务器分级管理、配置客户端。
根据海洋电子科技有限公司的总体框架，我们特别设计赛门铁克防病毒企业版产品的部
署、维护管理、升级架构如下：
在公司的网络机房设立全系统的总的防病毒中心，施行分级维护管理，上级集中监控，阶梯形升级的管理架构。
 分级实施、分级维护管理：
首先，在公司内的所有工作站和服务器上部署赛门铁克防病毒企业版服务器及客户端软件，同时，在计算机中心部署一台赛门铁克防病毒企业版服务器，并在服务器上安装专用管理工具——赛门铁克系统中心，这台服务器就作为公司的防病毒中心，由它来集中维护、管理总部的所有防病毒客户端。
然后，在公司内所有工作站上部署赛门铁克防病毒企业版客户端软件，上面的服务器就作为这些下属工作站的防病毒中心，由它来集中维护、管理这些下属工作站中的所有防病毒客户端。
 上级集中监控，直接管理下级：
总计算机机房的防病毒中心除了日常维护管理总部的所有防病毒客户端，还集中监控所有防病毒客户端。也就是说由上级防病毒中心集中监控下级防病毒客户端。
7.2.2 病毒定义码和扫描引擎升级方式
病毒定义码的升级是防病毒软件运行后最必要也是最重要的日常维护管理工作，所以为了保证及时、可靠的升级病毒定义码，采用了阶梯形升级模式，即依次把上级防病毒中心设置为下级客户端的病毒定义更新源，只要中心机房防病毒中心有新的病毒定义码那么各防病毒客户端就会自动随着中心升级，这样阶梯形升级模式保证了公司全系统内病毒定义码的智能自动升级，就可以避免由于人为因素造成网络中某些机器或某个网络因为没有及时更新最新的病毒定义码而失去最强的防病毒能力。
7.2.3 紧急处理措施和对新病毒的响应方式
针对未知病毒的处理响应措施，可以通过赛门铁克的数字免疫系统来自动、快速完成。当网络中某个或某些客户端发现有新病毒出现，而防病毒软件无法清除时，客户端会通过隔离技术首先在本地把被感染的文件隔离，首先保证病毒不会发作，同时在本地做备份（取决于管理员的设置），然后再做一份拷贝，自动传送到局域网内的隔离区服务器，同时通过上推机制，该被感染文件会自动传至上级防病毒中心，由上级防病毒中心的防病毒管理软件自动传至赛门铁克的病毒相应网关，或由上级防病毒中心提交给赛门铁克中国公司，由赛门铁克中国公司负责提交。网关会根据当时的病毒定义码情况在几秒钟、几分钟、几十分钟、几小时或48小时内返回针对该病毒的解决方案，当返回相应的病毒定义码和扫描引擎后，可以通过预先的设置，把最新的病毒定义码和扫描引擎自动安装到网络的所有防病毒服务器和发现病毒的那台计算机上，同时也可以安装到指定的几台或一台防病毒服务器上。
7.2.4 病毒时间报警、综合日志分析及报表功能
当网络中检测到病毒时，防病毒软件除了会进行相应的处理外，还可以通过多种方式通知给管理员，通过赛门铁克的报警管理系统（AMS），可以通过如电子邮件方式、传送警报窗口、采用BP机方式、发送SNMP陷阱等方式把病毒发作和感染的情况通知管理员。病毒的信息可以记录出现病毒的时间、计算机的名称、IP地址、用户名情况、感染情况、处理情况、感染病毒文件的名称和位置等。
管理员可以把传上来得病毒信息按病毒名称、日期、用户名、计算机名、病毒类型、时间段等关键字形成报表，同时也可以通过赛门铁克提供的图形报表插件生成图形化的报告。如下图是一些图形化报告的例子：

图5 根据病毒类型分类

图8 根据日期的病毒统计表

7.2.5 Symantec Client Security 软件的安装方法
防病毒软件的安装以局域网为单位进行安装，具体的实施过程参照省防病毒中心提供的实施计划，对于防病毒软件的安装，管理员可以根据具体情况灵活采用以下几种方式：
 登录脚本：装一台域控制器PDC，然后在PDC上安装SSC，建立一个用户NAVSETUP,在用户的配置文件属性中，设置登录脚本VPLOGON.BAT。客户端使用该用户登录到PDC域中自动运行VPLOGON.BAT，客户端将自动安装防病毒软件。
 共享目录：用户只需要在网上邻居找到控制中心共享的VPLOGON共享名下的VPLOGON.BAT，运行此文件也可自动安装。
 自定义安装包：可利用PACKAGER程序生成一个自解压安装包，工作站运行此安装包，即可轻松完成安装。
 采用CD 直接到客户端安装：按提示一步一步应答。
 基于Web 的客户端安装：也可以通过现有的企业内部WEB服务器，或在防病毒服务器上建立一个WEB安装服务器，客户端通过浏览器进入WEB安装服务器，进行防病毒软件的安装。

7.2.6 软件对现有系统和应用的影响
Symantec Client Security对现有系统正常使用不会有任何影响。同时Symantec Client Security全部是简体中文版，便于管理员管理和客户端使用。
7.2.7 制定相应的管理制度
为了确保网络和系统的正常运转，企业必须指定相应的管理制度，如：
6. 配备相应的MIS人员负责整个网络安全的目常管理及维护。
7. 制定相应的机房上机管理制度。
8. 强制实施统一的防病毒策略。
9. 及时更新升级最新的病毒定义码。一般情况下每星期应该更新一次病毒定义码和扫描引擎，在特别情况下如有新病毒出现时可能需要每天更新病毒定义码和扫描引擎。因此，管理员最好经常浏览Symantec的网站，查看有关最新病毒和有关病毒定义码和扫描引擎的最新动态。
10. 如果发现隔离区有不能清楚的病毒时，要及时把其提交到赛门铁克的防病毒研究中心（SARC），以尽快得到相应的病毒定义码和扫描引擎。
不要随意使用盗版软件和盗版光盘。
7.4 Symantec AntiVirus/Filtering for Exchange
7.4.1 部署、管理说明
它使用插件方式与Exchange服务器安装在一起，可以更深度的对Exchange服务器进行病毒过滤处理。实施时，在Exchange服务器上安装Symantec Antivirus for Exchange即可。
SAVF for Exchange管理方式有两种：
 管理员使用基于WEB 方式，输入Exchange 服务器的IP 地址和管理
端口号管理一台Symantec Antivirus for Microsoft Exchange。
 使用基于MMC 的Symantec AVF console管理多台Symantec
Antivirus for Microsoft Exchange。
7.4.2 病毒定义码和扫描引擎的升级方式
SAVF for Exchange的病毒定义码和扫描引擎的升级方式可以有几种方式：
 通过SAVF for Exchange本身的liveupdate 功能自动调度升级，到INTERNET上的专用升级服务器升级。
 如果是安装在NT、2000上的Exchange，应在Exchange服务器上同时安装赛门铁克防病毒客户端（Symantec Antivirus Corporate Edition ）。这样，当防病毒客户端从企业内部的防病毒服务器自动升级后，通过赛门铁克的NAVEX 技术， SAVF for Exchange的病毒定义码和扫描引擎会自动与防病毒客户端保持一致。
 如果Exchange 服务器无法连接INTERNET,可以通过企业内部的Liveupdate 服务器更新。

7.5 Symantec AntiVirus for SMTP Gateways
7.5.1 部署、管理说明
SAV/NAV SMTP GateWay 旨在对邮件服务器上进出的邮件进行有效地病毒查杀。它同时包括了对企业内部转发的邮件和来自外部邮件的病毒检测。SAV/NAV SMTP GateWay 即可以和SMTP邮件服务器装在一起，也可以和SMTP 邮件服务器分开实施。鉴于邮件服务器本身的工作原理，我们建议将SAV/NAV SMTP GateWay 与SMTP 邮件服务器安装在同一台主机上。
SAV/NAV SMTP GateWay 有内置的SMTP 引擎，可以负责邮件的转发。当与邮件服务器装在一起时，需要将原邮件服务器占用的25端口改为其它的系统非占用端口，例如56789，SAV/NAV SMTP GateWay 的SMTP 端口要定义为25。这样，当一封邮件转发到本地邮件服务器时（通过DNS 的MX 记录），就会先由MX 记录中指定的邮件主机的25端口接收，即由SAV/NAV SMTP GateWay 接收从而进行病毒扫描与查杀。其后，SAV/NAV SMTP GateWay 将扫描后的邮件继续转发给邮件服务器端口56789，即本机的56789端口，将邮件最终转发到收件人信箱。
如果使用这种部署方式，无论对内还是对外的邮件都会先经过SAV/NAV SMTP GateWay进行病毒扫描、查杀，而后再将没有病毒的邮件通过邮件服务器转发。
请参考如下示意图：

SAV/NAV SMTP Gateway 与SMTP 服务器部署在一起

也可以另外增加一台机器安装SAV/NAV SMTP GateWay，如果需要将SAV/NAV SMTP GateWay 与SMTP 邮件服务器分开部署，则需要做如下额外的配置：
 在DNS 记录中添加MX 记录，使得SAV/NAV SMTP GateWay 的MX 优先级别高。这样任何经过原SMTP邮件服务器的邮件都会先经过SAV/NAV SMTP GateWay进行病毒扫描处理
 在SMTP 邮件服务器上添加一条relay 功能，使得从企业内部向外部的邮件会通过SAV/NAV SMTP GateWay 进行病毒扫描处理

SAV/NAV SMTP GateWay 是基于WEB 方式管理的。在IE 浏览器上输入SAV/NAV SMTP GateWay 的IP 地址和相应的管理端口号。

7.5.2 病毒定义码和扫描引擎的升级方式

SAV SMTP GateWay 的病毒定义码和扫描引擎的升级方式可以有几种方式：
 通过SAV SMTP GateWay 本身的liveupdate 功能自动调度, 到INTERNET上的专用升级服务器升级。
 如果是安装在NT、2000 ，应在SAV SMTP GateWay 同时安装赛门铁克防病毒客户端（Symantec Antivirus Corporate Edition ）。这样，当防病毒客户端从企业内部的防病毒服务器升级后，通过赛门铁克的NAVEX 技术，SAV SMTP GateWay 的病毒定义码和扫描引擎会自动与防病毒客户端保持一致。
 通过内部的服务器更新。

7.6 Symantec Web Security
7.5.1 部署、管理说明

SWS可以部署为网络中的代理服务器或是作为一个插件集成到与CVP（Content Vectoring Protocol）相兼容的防火墙中。一般建议部署为代理服务器。
单独用一台机器安装SWS做为HTTP代理， 接受所有内部用户的HTTP、HTTPS、FTP 请求。SWS根据管理员设置的内容策略执行下列操作之一：
-- 如果请求允许，SWS 将其发送到Internet;
-- 如果请求违背策略，SWS将拒绝其请求并通知用户；
SWS 对流进网络内部HTTP、HTTPS、FTP的流量进行基于内容策略的检查和病毒扫描，只允许没有病毒的文件和符合内容过滤的流量进入企业内部。如下图所示：
7.5.2 病毒定义码和扫描引擎的升级方式
SWS 的病毒定义码和扫描引擎的升级方式可以有几种方式：
 通过SWS 本身的liveupdate 功能自动调度, 到INTERNET上的专用升级服务器升级。
 如果是安装在NT、2000 ，应在SWS 同时安装赛门铁克防病毒客户端（Symantec Antivirus Corporate Edition ）。这样，当防病毒客户端从企业内部的防病毒服务器升级后，通过赛门铁克的NAVEX 技术，SWS 的病毒定义码和扫描引擎会自动与防病毒客户端保持一致。
 通过内部的更新服务器更新。