NAV架構(gòu)技術(shù)講解

SymantecAntivirus8.1諮安科技技術(shù)服務(wù)處賴秋愷（馬蓋）maguy@2024/5/9Agenda：關(guān)於簡報

病毒簡介Symantec的防護(hù)理念多層次的病毒防護(hù)系統(tǒng)Symantec的防毒技術(shù)病毒定義檔的架構(gòu)及更新方式Symantec的管理方式SSC（SymantecSystemCenter）Server&Client安裝介紹SCS簡介Page2

Agenda：關(guān)於實作

安裝管理員工具SSC（SAV8.1版新功能及注意事項

Demo）熟悉SSC操作介面安裝伺服器透過SSC的“AV伺服器傳送”安裝ClientPackager（Demo）WebServer光碟片直接安裝（GRC.DAT）更新病毒定義檔VDTM*.xdb

的更新方式（手動與自動）下載檔案認(rèn)証（MD5Demo）Page3

VirusVSWorm

VIRUS：一種會複製自己並依附在其他的物件上的程式在物件被存取或執(zhí)行時啟動跟隨著物件的移動而進(jìn)行擴(kuò)散WORM：一種會“自行”複製並傳送至下一個系統(tǒng)的電腦程式不需透過其依附物件的移動進(jìn)行擴(kuò)散“自行”尋找下一個目標(biāo)Page4

Worm病蟲：1.病蟲是一獨(dú)立程式，可從一臺電腦複製到另一電腦.2.不像病毒,電腦病蟲不需寄生和電腦傳播3.具網(wǎng)路或網(wǎng)際際網(wǎng)路特性4.同時快速傳播給多臺電腦5.不需依靠人類傳播如:VBS.LoveLetter.A;Nimda;Goner;Klez….Page5

FirewallGatewayGroupwareServerDesktopDesktop層級forWindows95/98//ME/XP中文版forNT/2KProWorkstations中文版forWindows3.x/DOS

Server層級forWindowsNT/2KServers中文版forOS/2forNetWareGroupWare層級SymantecAntiVirusforLotusNotesSymantecMailSecurityforMicrosoftExchangeGateway層級

SymantecAntiVirus

forSMTPGatewaysFireWall層級SymantecWebSecurity多層次病毒防護(hù)系統(tǒng)Page6

SymantecClient/Server管理架構(gòu)SAVClientSAVClientSAVClientWindowsNTServerWindowsNTWorkstationWindows2000ServerWindows2000ProfessionalWindows95/98Windows3.1/DOSSAVServerSAVServerWindowsNTServerWindowsNTWorkstationWindows2000ServerWindows2000ProfessionalNetwareServerSymantecSystemCenterWin/NTServerWin/NTWorkstationWin/2000ServerWin/2000Professional(SymantecAntiVirus企業(yè)網(wǎng)路版)管理介面被控者控管者Page7

SSC5.0架構(gòu)FirewallSMTPNotesExchangeW2KServerNetWareWindows9xWindowsNTWindows2KNTServerSymantecSystemCenterPage8

SSC5.0架構(gòu)─集中控管各分公司防毒群組Symantec

System

Center臺北Group高雄Group臺中GroupSymantec

System

CenterSymantec

System

CenterPage9

企業(yè)防毒伺服器及用戶端的平臺NetWareServerNT/W2KWorkstationNT/W2KServer次要SAV伺服器SAV用戶端主要SAV伺服器NetWareServerNT/W2KWorkstationNT/W2KServerWin9x(Nowin95)NT(sp6a)/W2KWorkstationNT/W2KServer/XPDOS/Win3xSAV防毒主機(jī)群組Page10

賽門鐵克防毒的技術(shù)SAV企業(yè)版實現(xiàn)防毒解毒自動化處理賽門鐵克的獨(dú)家技術(shù)：Bloodhound未知病毒偵測技術(shù)掃描與傳送（Scan&Deliver）SymantecAntiVirus

ResearchAutomation（SARA）自動解毒機(jī)制NAV

Extensions（NAVEX）病毒定義檔架構(gòu)Page11

Bloodhound啟發(fā)式技術(shù)放棄傳統(tǒng)的病毒碼比對方式，改採賽門鐵克專利的啟發(fā)性技術(shù)(HeuristicTechnology)

來檢視疑似病毒的行為為諾頓防毒軟體內(nèi)建對付未知病毒的標(biāo)準(zhǔn)功能。可偵測95%的未知巨集型病毒可偵測90%的未知開機(jī)型病毒可偵測80%的未知檔案型病毒已開發(fā)出偵測未知script型病毒的技術(shù)Page12

Multi-tierAVsolution,singleextensibleengine&best-of-breedutilitiesTechnologyandConsultingSystems&policy

managementTheBestof3Worlds…Page13

˙透過Internet自動將可疑的檔案傳送給SARA進(jìn)行分析與接受解決方案˙配合保密需求，可自動將文件型檔案的內(nèi)容在傳送前移除，僅傳送可疑的巨集樣本。掃描與傳送（Scan&Delivery）Page14

賽門鐵克數(shù)位免疫系統(tǒng)—封閉迴路自動化機(jī)制某企業(yè)網(wǎng)路其它單位網(wǎng)路個人用戶工作站工作站工作站網(wǎng)路管理者主機(jī)NAVCE主機(jī)/中央隔離所工作站病毒警示工作站工作站工作站IBM主機(jī)病毒培養(yǎng)皿分析病毒的行為與結(jié)構(gòu)取得特徵製造解藥1235674Page15

病毒定義檔的架構(gòu)2024/5/9NAVEX(NortonAntiVirus

Extension)將掃描引擎自掃描軟體中分離出來成為一個可迅速以LiveUpdate

更新的模組。所有諾頓防毒軟體均共用同一個模組。掃描引擎更新後無須重新啟動電腦。掃毒應(yīng)用軟體NAVEX掃描引擎病毒定義檔諾頓防毒軟體病毒定義檔案更新通常較容易且迅速掃描引擎必須與掃毒軟體一起更新掃毒軟體更新較複雜且須長時間測試掃毒應(yīng)用軟體掃描引擎病毒定義檔其他防毒軟體NAVEXPage17

如何更新病毒定義檔？1.VDTM（自動）主要NAV防毒伺服器更新後，整個群組的次要NAV防毒伺服器與NAV防毒用戶端全部自動背景更新。2.LiveUpdate（自動）所有賽門鐵克產(chǎn)品的最佳後援服務(wù)單鍵產(chǎn)品與病毒檔更新3.企業(yè)內(nèi)LiveUpdate

伺服器（自動）可包含所有賽門鐵克的產(chǎn)品解決網(wǎng)際網(wǎng)路頻寬與版本一致問題4.下載病毒定義檔（自動或手動）*.xdb

的更新方式（此方式僅適用於SAV8.1版）Page18

1.VDTM(VirusDefinitionTransportMethod)次要SAV伺服器SAV用戶端主要SAV伺服器架設(shè)SAV防毒群組InternetPage19

2.透過Internet

執(zhí)行LiveUpdate賽門鐵克產(chǎn)品賽門鐵克產(chǎn)品Page20

3.架設(shè)企業(yè)集團(tuán)企業(yè)內(nèi)部LiveUpdate

伺服器賽門鐵克產(chǎn)品賽門鐵克產(chǎn)品LiveUpdate

伺服器Page21

4-1.自動下載病毒定義檔http://.tw/Page22

4-2.手動下載病毒定義檔Http://Page23

用戶端安裝：

部署安裝

登入檔安裝PackagerWebInstall

網(wǎng)路分享SAVClientSAVClientPrimarySAVServerSymantecSystemCenterSecondarySAVServer部署安裝Server&ClientInstallation

Page24

伺服器升級及安裝前的注意事項先瞭解企業(yè)中作業(yè)系統(tǒng)的平臺及網(wǎng)路架構(gòu)防毒伺服器請避免為該公司之網(wǎng)域控制站、MailServer或是存有資料庫之伺服器

防毒伺服器請避免安裝二片(含)以上的網(wǎng)路卡防毒伺服器請設(shè)定固定IP位址，並確保ComputerName解析正常(可透過DNS；WINS；LMHOSTS；HOSTS）若規(guī)劃該伺服器為NortonAntiVirus7.x升級時:請先移除舊版本之SymantecSystemCenter及其元件請先移除舊版本之NortonAntiVirus7.xServer為避免升級後用戶端與防毒伺服器有失聯(lián)情況，升級前可在伺服器上將用戶端資料匯出Page25

用戶端升級及安裝前的注意事項確認(rèn)用戶端的作業(yè)系統(tǒng)是否符合SAV8.x之需求確認(rèn)用戶端的硬碟空間是否足夠

確認(rèn)用戶端是否可正確解析出防毒伺服器的電腦名稱作業(yè)系統(tǒng)若為NT/2000/2003/XP時，請確認(rèn)使用者權(quán)限6.安裝確實關(guān)閉系統(tǒng)中正在執(zhí)行之應(yīng)用程式5.由於SAV8.x是使用MSI2.0模式進(jìn)行安裝，因此安裝時會先更新MSI版本，作業(yè)系統(tǒng)若為Win9x時，安裝過程中需重新啟動系統(tǒng)多次。Page26

用戶端與伺服器的溝通方式（一）SAV伺服器SAV用戶端

1KStatusReport用戶端預(yù)設(shè)自開機(jī)後每60分鐘傳送1K的狀態(tài)封包給伺服器。如果一切正確，伺服器不回應(yīng)。Page27

用戶端與伺服器的溝通方式（二）SAV伺服器SAV用戶端GRC.DAT(3K)如果設(shè)定不相符，伺服器會傳送GRC.DAT檔案給用戶端。用戶端收到並自動處理GRC.DAT後會將其刪除。Page28

用戶端與伺服器的溝通方式（三）SAV伺服器SAV用戶端Def.Request如果GRC.DAT檔案指出病毒定義必須更新，則用戶端會向伺服器提出更新要求。伺服器會依照要求先後順序依次排列。Page29

用戶端與伺服器的溝通方式（四）SAV伺服器SAV用戶端Def.File(80K)伺服器傳送定義檔案給用戶端。用戶端自動更新掃描引擎與定義檔案Page30

SSC--集中式管理主控臺提供單一管理主控臺，可以容易地安裝與管理企業(yè)中多種混合平臺：

-MS-DOS/Windows3.x

-Windows9x

-WindowsNT/2000/XP

-NovellNetWare自動地將最新的SymantecAntiVirus

軟體、病毒定義與產(chǎn)品組態(tài)檔案，散佈至用戶端與其他伺服器。（WinXPHome&Win95不支援）嵌入MicrosoftManagementConsole（MMC），提供標(biāo)準(zhǔn)中文介面給使用者。Page31

組態(tài)集中管理：整合用戶端管理邏輯群組管理，方便設(shè)定不同部門的安全政策諮安科技業(yè)務(wù)部研發(fā)部管理部系統(tǒng)部財務(wù)部鎖定政策管理，給予管理者較彈性的政策管理採用累進(jìn)式更新技術(shù)--約

80k

持續(xù)LiveUpdate–只要定義檔超過預(yù)定日期未更新，將自動啟動背景更新電池檢查

–在電池供電時，不執(zhí)行定期掃描統(tǒng)一管理主控臺Page32

SSC--遠(yuǎn)端作業(yè)與即時管理

直接地由SSC檢視網(wǎng)域內(nèi)所有伺服器與用戶端，以及啟動整個企業(yè)環(huán)境內(nèi)的病毒掃除、手動或排程掃描，節(jié)省時間與力氣。Page33

SSC--強(qiáng)制執(zhí)行政策˙提供完全的控制權(quán)，可以由遠(yuǎn)端設(shè)定與監(jiān)視用戶端/伺服器的組態(tài)，以確定已強(qiáng)制執(zhí)行企業(yè)安全政策。˙鎖定用戶端組態(tài)或隱藏使用者介面，以防止使用者建立或修改防毒設(shè)定值。˙降低病毒因使用者

違反防毒政策而侵

入系統(tǒng)的機(jī)會Page34

集中警訊與報表管理˙提供完整且集中化事件記錄功能，可以查詢、儲存與檢視病毒問題˙可以快速地且徹底地辨認(rèn)與移除病毒威脅，以增加系統(tǒng)的執(zhí)行時間與IT的威信˙當(dāng)發(fā)現(xiàn)系統(tǒng)中有病毒活動時，立即透過下列方法發(fā)出警示：Internet電子郵件執(zhí)行特殊程式或SNMP警訊對網(wǎng)域、系統(tǒng)或使用者發(fā)出網(wǎng)路廣播警示Page35

PC安裝與設(shè)定OS昇級集中控管個人PC設(shè)定災(zāi)難回復(fù)緊急應(yīng)變計畫--使用Ghost備份電腦資料與環(huán)境累加式備份軟體派送Page36

VS客戶用戶端IntrusionDetectionAntivirusFirewallSymantecClientSecurityManagement

Console賽門鐵克提供更好的解決方案。單靠防毒產(chǎn)品不足以有效對抗駭客攻擊與混合式威脅－必須增加防火牆與入侵偵測。在眾多的客戶端安裝與管理多套安全產(chǎn)品成本甚高。旦遭受攻擊時，想要同時從不同廠商處取得並安裝病毒定義、防火牆規(guī)則與入侵特徵風(fēng)險過大ZoneAlarmFirewallManagement

ConsoleManagement

ConsoleManagement

ConsoleMcAfeeVirusISSIDSPage37

SymantecClientSecurity包含SymantecAntiVirus8.0+SymantecSystemCenter5.0+SymantecClientFirewall3.0+SymantecPackager1.0

Page38

1.防火牆規(guī)則進(jìn)行連線程式控管，避免病蟲擴(kuò)散

2.入侵偵測特徵，攔截並抓出亂源12Symantec的解決方案--SCSPage39

單一產(chǎn)品同時整合防毒、防火牆、入侵偵測功能彼此會互相交談的安全防護(hù)功能─形成互相聯(lián)防的防護(hù)網(wǎng)單一部署機(jī)制─降低安裝的複雜度與部署成本單一管理主控臺─降低用戶端防護(hù)的管理負(fù)擔(dān)和人力成本單一更新機(jī)