中国石化symantecsep11.0防病毒培训教材.ppt

中国石化Symantec SEP
防病毒培训教材
2009年08月24日
1
目录
1、 产品功能和优势简介
2、 安装部署说明
3、 策略配置说明
4、
5、 常见技术问题解决方法
6、 客户端常见安装问题解决方法
7、 SEPM服务器灾难恢复处理方法
8、资料获取、技术支持、操作演示和现场答疑
2
Symantec 防病毒与先进的威胁防护技术结合起来
单一的解决方案提供终端安全防护
单代理、单控制台
结果:
降低了成本、复杂度，减少了风险的暴露
增强了保护、控制和管理性
防病毒
防间谍软件
防火墙
(主机) 入侵防护
设备控制
应用控制
(网络) 入侵防护
3
SNAC
防病毒
及防间谍软件
网络威胁 防护
主
主动性威胁防护
网络准入控制
Symantec端点安全管理器
防病毒及防间谍软件
检测、拦截和移除
病毒
间谍软件
Rootkits
其他恶意软件
主动性威胁防护
针对零时差攻击提供保护
基于策略拦截对设备的访问
网络威胁防护
检测和拦截外部威胁
进出数据访问控制
位置感知的策略
网络访问控制
强制端点遵守安全策略
拦截未授权的端点的访问行为
防护来自远程办公员工带来的危害
模块
4
Laptops
Desktops
SQL 数据库
-Policies
-Events& Logs
-Security Content
-Reporting Data
-State Information
-Updates and Patches
Java 控制台
-Policy Management
-Agent Management
-Roles and Administration
-Launch Reports
-View Alerts
Servers
客户端Symantec Endpoint Client
管理服务器Symantec Endpoint Protection Manager (SEPM)
HTTPS to Apache
HTTP to IIS for Reports
架构
5
防病毒 和防间谍软件的主要功能
最好的防护恶意软件的产品
强化了实时保护和拦截功能
自动清除
强化了对间谍软件的防护
新增的rootkit保护功能,裸磁盘扫描
改善了性能，为系统提供更好的保护，同时降低了对系统的影响
犯罪软件
间谍软件
蠕虫
病毒
防病毒及防间谍软件的主要功能
6
用户模式
内核 模式
Windows 文件系统
卷管理器
删除器
物理磁盘
MS 文件系统API
直接卷访问
现在的删除器
Rootkit挂点
间谍软件和Rootkit引擎
可扩展的 “清除器” 修复引擎，
自动更新，能够持续不断的改善
不依赖于新版本发布
提高病毒查杀能力
SEP
更底层的rootkit检测
直接裸硬盘扫描
-用户模式 Rootkits影响用户模式安全软件和用户模式操作系统-内核模式Rootkits影响文件系统和操作系统内核
间谍软件检测和移除的改善
7
网络威胁防护的主要特性
最好的基于规则的应用防火墙
IPS 引擎
对漏洞利用攻击的一般性拦截 (GEB)
基于包或流的IPS
定制的IPS 签名，与 Snort™类似
位置感知
缓存溢出
后门
混合型威胁
对已知漏洞的利用
网络威胁防护的主要功能
8
个人防火墙功能
基于规则的应用防火墙引擎
防火墙规则触发器
应用、主机、服务、时间
完全支持TCP/IP
TCP, UDP, ICMP, Raw IP Protocol，ARP
支持以外网协议
能够拦截协议驱动
例如： VMware, WinPcap
个人防火墙的主要功能
9
SSH
IM
SMTP
FTP
HTTP
RCP
rule tcp, tcp_flag&ack, daddr=$LOCALHOST, msg="[] RPC DCOM bufferoverflow attempt detected", content="\x05\x00\x00\x03\x10\x00\x00\x00"(0,8)
定制的签名引擎
签名的 IPS
GEB
SSH
IM
SMTP
FTP
HTTP
RCP
入侵防护功能
通用漏洞利用攻击拦截GEB(主动防护技术)
深入的包检查
IPS引擎允许管理员创建他们自己的签名
使用