Symantec SEP 11.05部署实战之一SAV升级及SEP简介

本篇文章导读：

第一部分：公司现有的Symantec防病毒解决方案

第二部分：名称为SEP的新型解决方案的功能

第三部分：从SAV升级到SEP的解决之道

第一部分：公司现有的防病毒解决方案

    公司正在使用的网络防病毒解决方案是采用的Symantec Antivirus corporate edition 10.1.5（SAV）版本，部署的客户端中分两类，一类是服务器操作系统如Windows Server 2003，一类是桌面操作系统如Windows XP。部署的目的主要分为以下三个：

1、 从一个管理控制台提供企业范围的高级病毒防护和监视。

2、 利用赛门铁克篡改防护功能防止未授权的病毒进行访问和攻击，保护用户免遭试图禁用 安全措施的病毒攻击。

3、 通过报表功能显示病毒威胁列表及客户端更新状态等。

    由于公司规模相对较大，有一个集中的数据中心，并在全国有多家分支机构。基于这样的公司物理布局，设计了一个一级服务器兼管理控制台、报表服务，多个分支机构安装二级服务器，其机构内的客户端系统的病毒库更新由当地的二级服务器来担负。且各二级服务器与一级服务器之间是通过MPLS网络连接进行通讯的。下图展示了现有的中心管理控制台界面，由于涉及

公司部分机密，做了相应处理。

第二部分：名称为SEP的新型解决方案的功能

     近来，赛门铁克公司推出了其新的防病毒解决方案，称为赛门铁克端点保护（防护）解决方案，其英文名为：Symantec Endpoint Protection（SEP）。在新型的解决方案将多重安全技术集成到单一代理，并由单一控制台进行管理，增强并简化各种类型企业的安全。
    在这个简称为SEP的防病毒解决方案中，纳入了主动防护技术，能自动分析应用行为和网络沟通，从而检测并主动拦截威胁。而且Symantec Endpoint Protection是唯一通过单一集成代理、在单一管理控制台注册便可提供基本安全技术（防病毒、反间谍软件、桌面防火墙、入侵防护和设备控制）的产品。使用户可获得单一的解决方案，集成了防病毒、反间谍软件、防火墙、基于主机和网络的入侵防护方案以及应用和设备控制，并十分易于部署和管理。

下面通过引用网络上的说明来反映SEP的不同的功能：
1、增强端点安全
      Symantec Endpoint Protection主要是为了确保用户获得真正的集成体验，实现全面、强健的端点防护。该解决方案降低80%以上的内存空间，从而有效利用资源。该方案混合了基于签名的病毒防护与新型主动威胁检测技术，从而有效地应对传统和新型威胁。主要包括以下技术：
2、增强型防病毒和反间谍软件技术

      提供优化的实时恶意软件检测，加以拦截并修复。它的主要特征包括性能优化、新型用户界面和来自Veritas的新型深度扫描技术，从而可以发现并移除经常逃避检测的rootkit。
3、新型主动威胁防护

     通过利用基于行为的扫描，抵御未知或零日威胁。通过设定检测 所有行为的运算法则，大幅降低了误报的发生。此外，还包括来自Whole Security的独特技术Proactive Threat Scan，能够检测并拦截恶意软件，无需签名便可防止其爆发。根据指定的安全策略，设备控制可帮助用户严格限制设备访问权，包括USB存储、备份驱动等，从而降低数据丢失的风险。
4、新型网络威胁防护

     整合了Generic Exploit Blocking，利用独特的基于漏洞的IPS技术。 由于这种IPS技术是嵌入在网络层级，因此可以在恶意软件进入系统之前加以拦截。GEB与传统基于漏洞利用的IPS技术不同之处在于，它可以凭借单一签名拦截所有新型漏洞利用，从而提高检测，加速修复。Sygate同样提供了基于规则的新型防火墙。该防火墙可以进行动态调整port设置，防止威胁扩散，并检测加密和纯文本的网络流量。
5、简化与扩展
     随着访问企业资源的用户群体不断扩大，端点保护和安全策略遵从之间结合得更加紧密。Symantec Endpoint Protection支持NAC。通过将NAC和安全性集成到单一的端点代理，赛门铁克可帮助用户更加快速简便地部署Symantec Network Access Control，并极大地提高运行效率，包括单一软件和策略更新、统一报告、以及统一执照和维护等。

通过上述文字，让大家了解了SEP的威力，接下来的图示就是安装好后的管理控制台：

第三部分：从SAV升级到SEP的解决之道

通过使用第三部分功能的介绍，相信各位有所心动了，其实，在安装过程中还是有一些不错的功能还没有说出来呢：

1、 通过控制台“主页”可以清晰明确的了解企业中防病毒状态。

2、 可以使用不同类型的安全策略来管理网络安全性。这些策略是在安装期间自动创建

的。可以使用默认策略，也可以自定义策略以符合特定环境的需要。

3、针对不同的区域或分组可以制作不同的客户端安装包，或是依据不同的客户端操作系统制作不同的安装包。（据Symantec集成商说SERVER OS只能具备防病毒及反间谍功能）如下两图所示，这些设置会在安装管理中有说明的，此处仅以此辅助说明下：

4、和活动目录集成，基于组和用户、计算机进行客户端管理。如下图所示：

     在SEP解决方案中，是不存在二级服务器的角色的，但可以安装一个客户端代理，并赋予更新点的角色，也就是说可以通过在管理控制台的设置，让一个分支机构的（在SEP控制台就是以客户端组的概念）客户端病毒库及策略更新均从其上得到。

     了解了新型解决方案的好处，接下来要处理的就是如何进行升级了，也就是SAV升级到SEP的最佳实践是什么呢。

      网上有些朋友提供了通过一些设置（相当复杂，请自行查找）来进行更新的解决方案，不但麻烦，而且还忽略了一个问题：现有的客户端的更新在二级服务器不提供服务时怎么办？

      经过分析研究，针对第一部分中所描述的现有的防病毒部署环境，提出了下列注意事项及解决方法：

1、 数据中心全新安装一台SEP服务器，与原SAV一级服务器并行使用。这样可以保证分支机构的二级服务器从此更新，从而保证客户端防病毒更新的及时性。

2、 通过SEP管理制台，制作针对数据中心服务器操作系统及各分支机构桌面操作系统的两种安装包（具备的功能不同，见之前3中的server和client截图）。

3、 数据中心服务器直接使用服务器操作系统客户端安装包进行安装。并以SEP服务器为更新点。

     同时，分支机构分时间段进行，比方说用一周时间安装一个分支机构，这些分支机构的桌面操作系统安装SEP客户端后，暂时找数据中心的SEP服务器进行更新，当然要保证两者的通讯正常（也就是硬件防火墙开启相应的端口）。当一个分支完成所桌面系统客户端的更新后，再把原来的二级服务器卸载掉。这样子做，就不会造成由于安装时间的前后造成一些原来的SAV客户端不能及时更新病毒库的局面啦。

     注意：分支机构的更新点若是服务器操作系统时要注意，其自身不具备的功能（但经Symantec技术中工程师确认，更新点即使是服务器OS，也不会影响客户端是桌面操作系统的更新的）。

     注意：可以在安装有SAV客户端的机器直接安装SEP客户端，会自动卸载旧客户端，并且安装完成后无需重启（但建议计划重启行为）。

4、 依3、中分步分时进行分支机构客户端更新，并在完成一个地方后，通过SEP服务器控制台进行设置每个分支的本地更新点。

      通过本文介绍，已经明白采用何种办法来进行SEP解决方案的部署了，在下一篇文章中会介绍如何安装SEP服务器及注意事项。