xxx网络安全解决方案

xxx网络安全解决方案内容摘要：

加保护层，因此，即使不安装安全漏洞补丁计算机也是安全的，从而为安装计算安全补丁赢得了时间， 同时也提供了主动的安全防护手段。 McAfee VirusScan Enterprise 8i（简称 VSE 8i） ： VSE 8i 是 McAfee 企业机防病毒系统，其最大优势是可以完全做到不需要病毒签名就可以阻挡任何蠕虫病毒 ；另外， VSE8i 的内存扫描功能可以确保不需要重启计算机就可以清除蠕虫病毒或者后门程序；此外 VSE8i 还集成了 Mc Afee AntiSpyware，探测和清除间谍程序。 VSE 8i 通过免费的 Mc Afee ePolicy Orchestrator （简称 ePO）进行集中管理，包括分发、自动更新、报警、通知和报表管理，同时， ePO 可以探测为首防病毒软件保护的计算机，然后发出警报。 McAfee Policy Enforcer（简称 MPE） ： MPE 是 McAfee 的网络访问控制产品，它的目的是为了确保连接到公司网络的计算机没有威胁存在，从而确保企业的网络安全。 所以，MPE 会在计算机连接到网络是扫描评估计算机是否存在病毒、蠕虫、是否存在被致命威胁利用的安全漏洞，是否违反企业的安全策略，一旦发现计算机存在威胁或者违反了企业安全策略， MPE 机通过局域网交换机隔离 该计算机，然后，通过单键点击修补该计算机，经重新评估计算机符合了企业安全策略后，才允许该计算机访问企业网络资源。 部署 方案 FS1000 的部署 FS1000 的部署如下图 ： 本文档仅限 McAfee 公司和被呈送方内部使用，未经许可，请勿扩散到第三方。 第 13 页 共 34 页 FS10 00 部署生产网管理网宝钢 /I nt e rne tFo u n d S to n eFS1 0 0 0Rem o teS ca n E n g ine此为案例，需要用户提供拓扑后，再放置在合理的位置 FS1000 设备部署在 XXX 管理 网 络 ，通过服务器的 LAN 1 端口连接到 OA 网接入交换机上 ，在 生产 网络部署 Remote Scan Engine，通过 SOAP 和 SSL 加密连接 到 OA 网上的FS1000，由 FS1000 进行统一管理，用户管理通过 在 OA 网络上，通过访问 FS1000 的 Web门户 进行管理。 FS1000 每天自动从 McAfee 网站，通过 SSL 加密下载更新， 包括 OS 系统的补丁。 McAfee IntruShield 网络入侵防护的部署 McAfee IntruShield 的部署如下图所示： 本文档仅限 McAfee 公司和被呈送方内部使用，未经许可，请勿扩散到第三方。 第 14 页 共 34 页 网络入侵防护部署生产网管理网宝钢 /I nt e rne tI n tr u S h ieldI n tr u S h ieldI n tr u S h ield此为案例，需要用户提供拓扑后，再放置在合理的位置 IntruShield 分别采用不同的部署方式不署在三个地方： 1） Inter 出口 ： 采用 McAfee IntruShield， InLine 方式部署，实时阻止黑客攻击、蠕虫病毒、间谍程序和后门程序进入 XXX 网络。 2） 管理 网络 ： 采用 IntruShield，使用 SPAN 的方式接入，探测 管理 网络上的攻击、扫描、蠕虫、间谍程序和异常流量 ，监控对生产网防火墙的扫描、攻击等。 3） 生产网络 ：采用 IntruShield，使用 SPAN 的方式接入，探测生产网络上的攻击、扫描、蠕虫、间谍程序和异常流量。 部署在 宝钢 Inter 边界、网 A和 网 B的 IntruShield Sensor 由 安装在 管理 网的 IntruShield Manager 进行统一管理。 IntruShield 的自动更新由 IntruShield Manager 进行。 IntruShield Manager 自动从 Inter 本文档仅限 McAfee 公司和被呈送方内部使用，未经许可，请勿扩散到第三方。 第 15 页 共 34 页 下载更新，通过在 IntruShield Manager 上设置由 Manager 到 Sensor 的自动更新计划，对 Sensor进行自动更新。 防病毒系统的部署 网络 防病毒客户端的部署 防病毒客户端部署： 平台 安装客户端版本 Windows NT Windows 2020 Windows 2020 Server McAfee VirusScan Enterprise Windows XP Windows 2020 Professional McAfee VirusScan Enterprise Unix/Linux 服务器 McAfee VirusScan Command Line 策略：  开启 集成的防火墙与 HIPS 技术 – 防火墙与入侵防护技术的集成使 VirusScan 具有最大限度的前瞻性防护功能，包括 Block 蠕虫病毒发送异常流量的端口和不需新病毒 Signature 就可以阻止利用应用 Buffer Overflow 漏洞的蠕虫病毒。  对新威胁增强防护 – VirusScan 提供了对最新出现的、危及程序安全的恶意威胁（例如， “间谍”软件）、特定程序的缓冲区溢 出攻击、及混合病毒攻击的防护。  病毒突发期间的 策略 – 先进的病毒爆发响应功能可在 DAT 文件出现之前就关闭漏洞口，通过阻塞病毒入口和防止突发病毒蔓延的方法将损失限制在最低限度；文件、文件夹锁定功能阻止病毒进入计算机。 本文档仅限 McAfee 公司和被呈送方内部使用，未经许可，请勿扩散到第三方。 第 16 页 共 34 页  McAfee 内存 扫描技术 – 屡获殊荣的 McAfee 扫描引擎通过对内存的扫描来拦截那些不会将代码写入磁盘的病毒（如 Netsky 和 CodeRed) 所带来的威胁。  集中式管理和报告编制 – 与 McAfee ePolicy Orchestrator 的集成为用户提供了全面的安全管 理解决方案，包括从一个控制台进行详细的图形报告编制的功能。 策略管理都通过连接在本地局域网上的二级 EPO 防病毒服务器  报警集中发送到 ePO – 由防病毒管理服务器进行统一的报警和日志管理。  升级更新 – 防病毒客户端 到局域网上的二级防病毒管理服务器上下载更新，更新方式有任务设置定时更新和 ePO 实时更新通知两种方式，用户可根据需求选择。 安装防病毒客户端时，可以在计算机客户端上部署防病毒管理服务器 ePO 的 Agent，然后通过防病毒管理服务器进行自动分发部署。 防病毒管理服务器的部署 防病毒管理服务器 采用 ePolicy Orchestrator （以下简称 ePO ） ，既是防病毒系统 的集中策略管理中心，同时也是产品、扫描引擎和病毒特征码更新中心，单台 ePO 服务器支持对 25 万个防病毒客户端的集中管理。 整个 XXX 的防病毒管理分成两级， 中心 部署一台中心防病毒服务器，实现对网络中各种平台上的防病毒客户端的集中管理，包括自动升级更新管理、策略管理、报表管理、报警管理和病毒爆发响应管理； 在下属机构部署 设 立 防病毒分 管理中心， 对 辖内的计算机进行防病毒管理，包括升级策略管理、防病毒策略管理、报表管理、报警管理 和病毒爆发响应管理。 ePO 安装平台要求： Windows 2020/2020 Server CPU： P4 /内存 512MB /硬盘 40GB IE ePO 使用三层架构： Manager、 Agent 和 Remote Console（客户化的 IE），由于用户接口 本文档仅限 McAfee 公司和被呈送方内部使用，未经许可，请勿扩散到第三方。 第 17 页 共 34 页 基于 web 方式，因此更适合远程管理。 部署 分层结构图 ： 防病毒管理架构中心管理e P O 服务器二级管理服务器：e P O分布资料库自动更新自动更新自动更新从 Mc Afee 公司更新服务器下载更新二级管理服务器：e P O 分布资料库二级管理服务器：e P O分布资料库 防病毒管理中心提供以下功能： 1） 积极的爆发预防 使用 ePO 病毒爆发响应 中心， 使用策略配置， 可以采取积极的步骤保护您的 网络不受逼近的病毒爆发的威胁。 2）病毒爆发通知功能 ePO 能够根据设定的阈值自动发出病毒爆发通知。 3） 安全通信基础架构 本文档仅限 McAfee 公司和被呈送方内部使用，未经许可，请勿扩散到第三方。 第 18 页 共 34 页 控制管理中心使用一种新的通信基础架构 — 建立在安全套接层 (SSL) 协议上。 根据使用的安全设置，通信可以加密或使用认证加密。 4） 管理权限 管理权限分成全局、部分的管理域，在不同域上有不同用户权限。 5） 实时 和 按需 扫描策略 控制 控制管理中心向您提供实时的产品控制。 在控制台上做出的配置更改会立即发送到产品，甚至可以从控制台上运行手动扫描。 这种没有等待时间的命令系统在病毒爆发期间是 不可缺少的。 6） 集中式更新控制 集中式更新 策略 规则、病毒码和扫描引擎文件，可以确保所有被管理的 防病毒客户端 都使用最新的组件。 更新方式可以配置为定期任务更新和实时通知更新两种方式。 7） 集中式配置 集中式配置使您可以从一个单一控制台协调病毒响应和安全措施。 这确保了 整个 XXX网络 的防毒和内容安全策略的一致实施。 8）微软安全漏洞检测和补丁安装状态检测 通过 ePO 检测 Windows 平台计算机的安全漏洞和微软安全补丁安装状态，同时提供详细的报表。 9） Rouge 计算机和为保护计算机的探测 通过 ePO 可以探测未 安装防病毒软件的计算机，同时还可以探测接入 XXX 网络的外来计算机。 10） 集中式日志报告 使用全面的日志可以得到对防毒和内容安全网络性能的一个概览。 防病毒 管理中 心可以从所有其管理的产品收集日志；您不再需要检查每个单个产品的日志。 本文档仅限 McAfee 公司和被呈送方内部使用，未经许可，请勿扩散到第三方。 第 19 页 共 34 页 11）防病毒客户端配置修改保护功能 ePO 提供客户端锁定 Password 保护功能，当启用此功能时，客户端修改配置需要输入Password。 主机入侵防护 (HIPS)的部署 主机入侵防护系统主要部署在管理网的桌面计算机上，通过 ePO 进行自动分发到管理网的主面计算机。 HIPS 的日常策略配置、更新、报表和集中的安全事件报警均通过 ePO 进行集中管理。 缺省的 HIPS 策略即可进行主机安全防护。 HIPS。