安全防护套件的部署——架构和最佳实践

日期: 2010-06-24 来源:TechTarget中国

虚拟大会现场视频资料请点击查看   赛门铁克在安全方面有很多产品线,比如说,终端安全、邮件安全和网页安全。这么多产品,企业用户很难选择,为此赛门铁克推出了一个全面的安全解决方案,Symantec Protection Suite。本文主要从终端、邮件和网页安全这三方面介绍该解决方案。   其实企业最重视的安全防护主要是PC安全,同时还有终端、邮件、防火墙和网页应用安全。

Symantec Protection Suite可以满足企业这些方面的需求,解决企业基本的安全防护。   为什么要把终端、邮件和网页安全这三个方面绑定在一起呢?我们考虑到分层理念防护的重要性。   下图是一个典型的企业环境  ……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

虚拟大会现场视频资料请点击查看

  赛门铁克在安全方面有很多产品线,比如说,终端安全、邮件安全和网页安全。这么多产品,企业用户很难选择,为此赛门铁克推出了一个全面的安全解决方案,Symantec Protection Suite。本文主要从终端、邮件和网页安全这三方面介绍该解决方案。

  其实企业最重视的安全防护主要是PC安全,同时还有终端、邮件、防火墙和网页应用安全。Symantec Protection Suite可以满足企业这些方面的需求,解决企业基本的安全防护。

  为什么要把终端、邮件和网页安全这三个方面绑定在一起呢?我们考虑到分层理念防护的重要性。

  下图是一个典型的企业环境

  未受防护的企业,其终端可以被随意的访问(不管是信任的用户还是非信任的用户),一般企业都会安装防火墙,但是防火墙不能阻止许多未知的和其防御范围之外的威胁,这样终端就很容易受到攻击。所以许多企业用户也意识到,光靠防火墙是远远不够的。端点的安全防护十分重要。

  上图是受赛门铁克安全产品保护的企业环境,从图中可以看出,除了拥有防火墙之外,企业还有许多其他的安全防护产品,在服务器、邮件、移动设备(笔记本、手机)以及网关上都有相应的安全防护产品,同时赛门铁克防护中心还会及时提供安全更新,确保企业的安全。有了这样一个全面的防护措施,可以说企业的基本安全已经得到了很好的保护,这样企业受攻击的可能性也会大大减少。为什么要进行分层的防护呢?因为防火墙不能防止所有的威胁,每个平台和应用都需要分别部署安全防护,通过将企业进行分层保护,可以更好地保护企业安全。

  下面主要介绍,赛门铁克在分层防护每个层面的产品,首先是Symantec Web Gateway(SWG),Symantec Web Gateway是赛门铁克为企业Web安全防护设计的产品。

  如果客户端访问Web服务器,特别是恶意的Web服务器(含木马、恶意软件等),企业防火墙一般不能阻止这些威胁,而Symantec Web Gateway可以实现。它可以阻止恶意软件域与 IP、过滤URL(防止恶意网站传播病毒)、扫描恶意软件内容、控制应用程序(如聊天软件)、检测受感染客户端以及检测僵尸网络(防止企业网络变成僵尸,同时也防止企业受僵尸网络的攻击)。从多个方面防护,从而使企业有一个全面的安全防护。

  Symantec Web Gateway的硬件设备选件分为两种:SWG-8450SWG-8490 ,下表将这两种类型进行了对比,企业用户可以根据自身的情况来选择。

  SWG是如何部署的?

  方法一:流线部署

  SWG是透明的 L2 桥梁,这就意味着它不需要改变网络拓扑结构。它可以监控所有的端口和协议,恶意软件、URL、应用程序和僵尸网络;同时它还能阻截所有端口和协议,恶意软件、URL、应用程序、僵尸网络、恶意软件内容下载,上传及下载(HTTP、FTP、IM);它是基于用户身份验证和组的策略的,可以通过横向扩展,来满足更高负载的要求。还能添加中心智能设备,实现集中管理和报告。

  SWG的流线部署有两种:一种是直接放在网络中间与活动目录连通;另一种是将它放在旁边,通过代理,将流量经过服务器进来。同时我们还有一个智能设备对其进行监控。如下图所示:



  第二种: SPAN/TAP部署

  如果要通过SPAN/TAP 来部署的话,SWG 则通过 SPAN 连接到核心交换机或通过 TAP 连接到瓶颈点。

  通过这种方法部署SWG,它能监控所有端口和协议,恶意软件、URL、应用程序和僵尸网络;能阻截URL、HTTP、TCP,无内容下载(比上一种部署方法所阻截的内容少)。它是基于用户身份验证及组策略的,通过横向扩展,适合多个接入点要求,它也提供 CIU。

  SWG安全配置建议

  • 以流线模式安装 SWG,同时将阻截作为默认选项
  • 确保 SWG 配置为自动更新防护内容
  • 将 SWG 配置为阻截受感染的文件、活动内容和间谍软件回拨通信
  • 确保能够阻截高风险 URL 类别(恶意软件、网页仿冒、垃圾邮件)
  • 利用应用程序控制来阻截高风险协议
  • 考虑创建一个隔离策略,在受感染的用户清除威胁之前拒绝其访问互联网
  • 如果安装在代理之后,将 SWG 配置为检测代理端口

  安全套件的第二个产品是Symantec Endpoint Protection(SEP)

  赛门铁克SEP产品的优势是,与单纯使用AV相比,其IPS 所展现的恶意软件防护能力提升了高达 1700%。为什么呢?因为赛门铁克的SEP不单是杀毒软件,除了防病毒之外,它还能进行主动威胁防护、应用程序与设备控制、网络威胁防护、网络准入控制。

  SEP的架构组件

  • 站点:单个数据库及一个或多个 Symantec Endpoint Protection Manager (SEPM);数据库存储受管理端点的配置、内容(病毒定义等)和日志信息;SEPM与端点进行通信,以向管理员分发策略和内容,同时收集日志并提供管理功能。
  • Group Update Provider(GUP):运行 SEP 代理的主机(服务器或工作站),可以存储其对等计算机的内容,以减少网络负载。
  • 受管理端点:由 SEP 代理提供保护并由 SEPM 进行管理的主机(服务器或工作站)。

  举例说明:

  单个站点

  • 对于用户数量不超过 2500 名的首选架构
  • 小规模部署(最多 5 千个端点)可以在与 SEPM 相同的主机上使用嵌入数据库
  • 较大规模的部署应该在与 SEPM 不同的单独服务器上保存数据库 (MS SQL)
  • 如有必要,使用 1 个以上的 SEPM 来归档 HA 或 LB

  单个站点,多个位置

  • 对于在多个位置用户数量不超过 2500 名的首选架构
  • 小规模部署(最多 5 千个端点)可以在与 SEPM相同的主机上使用嵌入数据库
  • 较大规模的部署应该在与 SEPM 不同的单独服务器上保存数据库(MS SQL)
  • 如有必要,使用 1 个以上的 SEPM 来归档 HA 或 LB
  • 使用 GUP 而不是新站点来支持远程位置的内容更新(最多 1 万个端点)

  分布式站点

  • 如果客户拥有多个数据中心,但是没有集中式日志记录要求,那么这是首选架构
  • 当内容和日志无法复制时,降低站点之间的带宽要求(仅限策略和组)
  • GUP 还可以用来满足与每个主站点连接的远程位置或地区办公室的需求

  集中式日志记录

  • 如果客户端拥有多个数据中心或大型站点和集中式日志记录要求,那么这是首选架构
  • GUP 还可以用来满足与每个主站点连接的远程位置或地区办公室的需求
  • 由于日志复制而需要站点之间具有额外的带宽
  • 备选方案:SSIM 或 IT Analytics

  灾难恢复和高可用性架构

  • 通过在一个站点上使用多个 SEPM 并在管理服务器列表(MSL)中为它们指定相同的优先级,归档 HA 和 LB。端点将自动进行负载均衡和故障转移。
  • 端点不得在站点之间“翻转”。“被动”灾难恢复站点上的 SEPM 应该在 MSL 上拥有较低的优先级。
  • 应该使用本地 MSFT SQL Server 集群归档 Database HA。

  SEP硬件规模调整建议

  对于不超过 5000 个端点的企业,可使用赛门铁克的嵌入数据库Symantec Endpoint Protection Manager、Windows Server 2003 或 2008。需要:至少 2GB 内存,单个 CPU。对于超过 5000 个端点的企业,可以在专用主机上使用 Microsoft SQL Server 2005 或 2008、Windows Server 2003 或 2008 64 位。需要:至少 4GB 内存、至少双 CPU。

  SEP整体最佳实践

  • 尽量使用 GUP 来替换站点
  • 如果没有必要,就不要复制日志或内容
  • 在每个 SEPM 上保留足够的内容包,以确保保持脱机状态(例如在假日期间)的客户端仍然可以,获得增量定义
  • 计划压缩和删除 SEP 数据库中的旧事件
  • 在 SEP 数据库上执行定期数据库维护作业(重新编制索引及碎片整理)
  • 确保定期备份 SEP 数据库和SEPM
  • 在虚拟机上运行时考虑到 25-30% 的性能管理开销

  SEP安全配置最佳实践

  • 启用 SEP 的入侵防御系统(IPS)
  • 利用主机完整性策略确保所有主机都拥有最新的补丁程序和更新
  • 使用设备控制功能阻截不需要的设备
  • 禁用自动运行/自动播放
  • 在关键系统上使用高安全性防病毒策略:启用自动防护,以终止无用进程和服务;启用 BloodHound 最高防护;调整主动威胁防护的灵敏度和频率。
  • 配置定期计划扫描,以对计算机进行深入扫描
  • 使用应用程序控制功能锁定具有风险的应用程序,如 IE 或 Adobe Reader/Flash

  安全套件中的第三个产品Symantec Brightmail Gateway(SBG)

  Symantec Brightmail Gateway主要是针对邮件网关。对邮件进行过滤。

  SBG功能概述

  保护功能(入站防护)

  • 有效而准确的反垃圾邮件和防病毒防护
  • 适应性信誉管理功能(全局和自学式本地信誉)
  • 全球最庞大的全球情报网络

  控制功能(出站控制)

  • 先进的内容过滤功能
  • 数据泄露防护
  • 法规遵从
  • 基于策略的灵活工作流程和规则集
  • 预置模板和字典
  • 遵从文件夹

  管理功能(管理和控制)


  • 统一控制和管理
  • 垃圾邮件/病毒持续自动更新
  • 全面的日志记录和警报
  • 即时报告和情报
  • 虚拟硬件设备

  SBG硬件设备选件,如下图:

  硬件设备可以部署为:

  • 专用扫描器
  • 专用控制中心
  • 组合扫描器/控制中心:适合较小规模的企业

  SBG系统规模调整

  • 处于各种原因考虑,客户可能希望加大规模
  • 冗余性/可用性(多个扫描器、备份控制中心)
  • 为负载高峰留出空间
  • 为未来发展提供后备容量

  SBG配置建议

  • 确保启用全局声誉数据
  • 启用连接分类
  • 启用目录搜集攻击检测
  • 启用反弹攻击验证并拒绝失败的消息
  • 启用电子邮件病毒攻击检测
  • 将 BloodHound 设置为最高灵敏度
  • 考虑删除入站可执行文件
  • 配置内容遵从策略,以防数据泄露

相关推荐