1、<p><b>　　畢業(yè)設(shè)計任務(wù)書</b></p><p>　　畢 業(yè) 設(shè) 計 任 務(wù) 書</p><p>　1．畢業(yè)設(shè)計課題的任務(wù)和要求：</p><p>　計算機(jī)技術(shù)的不斷發(fā)展，計算機(jī)網(wǎng)絡(luò)已經(jīng)成為信息時代的重要特征，由于計算機(jī)的開放性、互聯(lián)性等特征，致使網(wǎng)絡(luò)易受來自網(wǎng)上黑客的攻擊。針對來自網(wǎng)上的各類攻擊，本設(shè)計要求掌握計算機(jī)網(wǎng)絡(luò)的

2、基礎(chǔ)知識和網(wǎng)絡(luò)體系的國際標(biāo)準(zhǔn)結(jié)構(gòu)；要求掌握常見網(wǎng)絡(luò)攻擊的類型及原理；要求掌握如何使用SEP及其組件對一個公司進(jìn)行網(wǎng)絡(luò)安全防護(hù)的設(shè)計并進(jìn)行策略的設(shè)定和發(fā)放；要求了解一些在使用SEP過程中常見的問題；要求參考資料不少于20篇；要求英譯漢一篇相關(guān)的文章（3~5千字）。</p><p>　2．畢業(yè)設(shè)計課題的具體工作內(nèi)容（包括原始數(shù)據(jù)、技術(shù)要求、工作要求等）：</p><p>　本文是以SEP及相對

3、應(yīng)的組件為基礎(chǔ)，在了解基本的企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)的前提下，對企業(yè)網(wǎng)絡(luò)的防護(hù)進(jìn)行設(shè)計。設(shè)計人員應(yīng)具備下列知識：了解計算機(jī)網(wǎng)絡(luò)防護(hù)的現(xiàn)狀及背景；掌握國際標(biāo)準(zhǔn)網(wǎng)絡(luò)體系結(jié)構(gòu)和來自網(wǎng)絡(luò)上的常見攻擊及原理；根據(jù)工作要求畫出網(wǎng)絡(luò)上的常見攻擊原理圖；重點(diǎn)掌握使用symantec的防護(hù)軟件SEP對整個企業(yè)的網(wǎng)絡(luò)進(jìn)行防護(hù)設(shè)計的方法以及對企業(yè)各部門使用策略防護(hù)的方法；本題目具體要求是：畫出網(wǎng)絡(luò)防護(hù)設(shè)計原理框圖，在word或是其他軟件下畫出結(jié)構(gòu)圖，作出相應(yīng)的說明。本設(shè)

4、計可以使得企業(yè)的網(wǎng)絡(luò)得到全方位安全的防護(hù)，先了解設(shè)計公司的企業(yè)結(jié)構(gòu)環(huán)境，后檢查SEP的使用環(huán)境及安裝要求，對企業(yè)的網(wǎng)絡(luò)防護(hù)進(jìn)行部署實(shí)施，實(shí)施過后對其下屬結(jié)構(gòu)使用策略上的設(shè)置和下發(fā)，是整個網(wǎng)絡(luò)得到全方位的保護(hù)，不受來自外部不可信網(wǎng)絡(luò)的攻擊，最后還要注意在使用SEP過程中會遇到的問題。</p><p>　　畢 業(yè) 設(shè) 計 任 務(wù) 書</p><p><b>　　摘要</b>

5、;</p><p>　　網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。 網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全。從廣義來說，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。在企業(yè)中，網(wǎng)絡(luò)安全尤為重要，其數(shù)據(jù)信息受網(wǎng)絡(luò)防護(hù)軟件保護(hù)。網(wǎng)絡(luò)安全防護(hù)是一種網(wǎng)絡(luò)安全技

6、術(shù)，指致力于解決諸如如何有效進(jìn)行介入控制，以及何如保證數(shù)據(jù)傳輸?shù)陌踩缘募夹g(shù)手段，主要包括物理安全分析技術(shù)，網(wǎng)絡(luò)結(jié)構(gòu)安全分析技術(shù)，系統(tǒng)安全分析技術(shù)，管理安全分析技術(shù)，及其它的安全服務(wù)和安全機(jī)制策略。Symantec是一家獨(dú)立軟件開發(fā)公司，旗下有很多產(chǎn)品為企業(yè)和個人解決網(wǎng)絡(luò)安全問題。本文介紹了symantec公司專門為企業(yè)制定的一款網(wǎng)絡(luò)安全防護(hù)軟件Symantec Endpoint Protection（稱SEP）客戶端的使用以及SEP

7、在以某公司為例的企業(yè)網(wǎng)絡(luò)防護(hù)的設(shè)計概況，SEP在企業(yè)中整個網(wǎng)絡(luò)中的部署可以使得企業(yè)的網(wǎng)絡(luò)受到全方位的保護(hù)，但網(wǎng)絡(luò)安全是一件非常復(fù)雜的事，需要各個崗位上人員的共同努力，S</p><p>　　關(guān)鍵詞 ：安全 網(wǎng)絡(luò)防護(hù) SEP客戶端</p><p><b>　　ABSTRACT</b></p><p>　　Network security

8、 refers to the network system hardware, software and its system of data protection, not because of accidental or malicious reasons and suffered damage, change, leak, a continuous and reliable system in normal operation,

9、the network services do not interrupt. Network security from its essentially is on the network information security. From broad sense, anyone who comes to network of information confidentiality, integrity, availability,

10、authenticity and controllability of the rela</p><p>　　Key words :Security Network Protection The SEP Client </p><p><b>　　目錄</b></p><p><b>　　緒論1</b><

11、;/p><p>　　第1章 網(wǎng)絡(luò)安全概述2</p><p>　　1.1 計算機(jī)網(wǎng)絡(luò)安全的含義2</p><p>　　1.2 網(wǎng)絡(luò)安全的背景和研究意義2</p><p>　　1.3 網(wǎng)絡(luò)體系結(jié)構(gòu)及協(xié)議3</p><p>　　1.4 典型的網(wǎng)絡(luò)安全拓?fù)浣Y(jié)構(gòu)及常見的網(wǎng)絡(luò)攻擊6</p><p>　

12、　1.4 計算機(jī)病毒8</p><p>　　1.4.1 計算機(jī)病毒基本原理8</p><p>　　1.4.2 計算機(jī)病毒的傳播8</p><p>　　1.5 計算機(jī)安全防護(hù)的基本原理9</p><p>　　1.6 本章小結(jié)10</p><p>　　第2章 SEP的功能及優(yōu)勢11</p><

13、;p>　　2.1 賽門鐵克簡介11</p><p>　　2.2 賽門鐵克技術(shù)簡介11</p><p>　　2.3賽門鐵克旗下產(chǎn)品11</p><p>　　2.4 Symantec Endpoint Protection 的功能13</p><p>　　2.5 SEP的優(yōu)勢所在15</p><p>　　2

14、.6 本章小結(jié)17</p><p>　　第3章 SEP的實(shí)施安裝18</p><p>　　3.1 企業(yè)中SEP的部署安裝過程18</p><p>　　3.2 SEP實(shí)施前的環(huán)境檢查19</p><p>　　3.3 本章小結(jié)23</p><p>　　第4章 SEP在企業(yè)里的使用24</p>&l

15、t;p>　　4.1 SEP在企業(yè)里的部署簡述25</p><p>　　4.2 SEP在企業(yè)部署的總體思路26</p><p>　　4.3 通過SEPM組管理控制SEP客戶端計算機(jī)28</p><p>　　4.3.1 管理客戶端計算機(jī)30</p><p>　　4.3.2 對客戶端計算機(jī)運(yùn)行的命令30</p><

16、;p>　　4.3.3 使用策略管理安全31</p><p>　　4.3.4 收集用戶信息32</p><p>　　4.3.5 使用密碼保護(hù)客戶端33</p><p>　　4.3.6 將非受管客戶端轉(zhuǎn)換為受管客戶端33</p><p>　　4.3.7 關(guān)于 LiveUpdate 策略的最佳做法設(shè)置34</p>&l

17、t;p>　　4.4 在客戶端計算機(jī)上管理掃描34</p><p>　　4.5 阻止和處理病毒和間諜軟件對客戶端計算機(jī)的攻擊35</p><p>　　4.6 管理防火墻防護(hù)36</p><p>　　4.7本章小結(jié)38</p><p>　　第5章 使用SEP遇到的問題及應(yīng)對方法39</p><p><

18、b>　　結(jié)論43</b></p><p><b>　　致謝44</b></p><p><b>　　參考文獻(xiàn)45</b></p><p><b>　　附錄146</b></p><p><b>　　附錄257</b></p

19、><p><b>　　附錄366</b></p><p><b>　　附錄469</b></p><p><b>　　緒論</b></p><p>　　隨著計算機(jī)技術(shù)的不斷發(fā)展，計算機(jī)網(wǎng)絡(luò)已經(jīng)成為信息時代的重要特征，人們稱它為信息高速公路。網(wǎng)絡(luò)是計算機(jī)技術(shù)和通信技術(shù)的產(chǎn)物，是應(yīng)

20、社會對信息共享和信息傳遞的要求發(fā)展起來的，各國都在建設(shè)自己的信息高速公路。我國近年來計算機(jī)網(wǎng)絡(luò)發(fā)展的速度也很快，在國防、電信、銀行、廣播等方面都有廣泛的應(yīng)用。我相信在不長的時間里，計算機(jī)網(wǎng)絡(luò)一定會得到極大的發(fā)展，那時將全面進(jìn)入信息時代。但由于計算機(jī)網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開放性、互連性等特征，致使網(wǎng)絡(luò)易受黑客、病毒、惡意軟件和其他不軌行為的攻擊，所以網(wǎng)上信息的安全和保密是一個至關(guān)重要的問題。對于銀行、金融和證券機(jī)

21、構(gòu)等傳輸敏感數(shù)據(jù)的計算機(jī)網(wǎng)絡(luò)系統(tǒng)而言，其網(wǎng)上信息的安全和保密尤為重要。因此，上述的網(wǎng)絡(luò)必須有足夠強(qiáng)的安全措施，否則該網(wǎng)絡(luò)將是個無用、甚至?xí)＜皣野踩木W(wǎng)絡(luò)。無論是在局域網(wǎng)還是在廣域網(wǎng)中，都存在著自然和人為等諸多因素的潛在威脅和網(wǎng)絡(luò)的脆弱性。</p><p>　　我國的網(wǎng)絡(luò)安全問題也日益突出。面對信息安全的嚴(yán)峻形勢，我國的網(wǎng)絡(luò)安全系統(tǒng)在預(yù)測、反應(yīng)、防范和恢復(fù)能力方面存在許多薄弱環(huán)節(jié)。據(jù)英國《簡氏戰(zhàn)略報告》和其它網(wǎng)

22、絡(luò)組織對各國信息防護(hù)能力的評估，我國被列入防護(hù)能力最低的國家之一，不僅大大低于美國、俄羅斯和以色列等信息安全強(qiáng)國，而且排在印度、韓國之后。近年來，國內(nèi)與網(wǎng)絡(luò)有關(guān)的各類違法行為以每年30%的速度遞增，計算機(jī)系統(tǒng)遭受病毒感染和破壞的情況相當(dāng)嚴(yán)重。從國家計算機(jī)病毒應(yīng)急處理中心日常監(jiān)測結(jié)果看來，計算機(jī)病毒呈現(xiàn)出異?；钴S的態(tài)勢。據(jù)2001 年調(diào)查，我國約73%的計算機(jī)用戶曾感染病毒，2003 年上半年升至83%。其中，感染3 次以上的用戶高達(dá)59

23、%，而且病毒的破壞性較大，被病毒破壞全部數(shù)據(jù)的占14%，破壞部分?jǐn)?shù)據(jù)的占57%。目前我國95%與互聯(lián)網(wǎng)相聯(lián)的網(wǎng)絡(luò)管理中心都遭受過境內(nèi)外黑客的攻擊或侵入，其中銀行、金融和證券機(jī)構(gòu)是黑客攻擊的重點(diǎn)。</p><p>　　第1章 網(wǎng)絡(luò)安全概述</p><p>　　網(wǎng)絡(luò)安全是網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其中數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的破壞、更改、泄露，保證系統(tǒng)連續(xù)可靠地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷的措施。

24、凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。包括以下含義：</p><p>　　一，網(wǎng)絡(luò)運(yùn)行系統(tǒng)安全；</p><p>　　二，網(wǎng)絡(luò)上系統(tǒng)信息的安全；</p><p>　　三，網(wǎng)絡(luò)上信息傳播的安全，即信息傳播后果的安全；</p><p>　　四，網(wǎng)絡(luò)上信息內(nèi)容的安全。</p>

25、<p>　　內(nèi)容涵蓋多方面內(nèi)容主要包括以下幾個方面：一，網(wǎng)絡(luò)實(shí)體的安全；二，軟件安全；三，數(shù)據(jù)安全；四，安全管理；五，數(shù)據(jù)保密性；六，數(shù)據(jù)完整性；七，可用性；八，可審查性。</p><p>　　1.1 計算機(jī)網(wǎng)絡(luò)安全的含義</p><p>　　計算機(jī)網(wǎng)絡(luò)安全的具體含義會隨著使用者的變化而變化，使用者不同，對網(wǎng)絡(luò)安全的認(rèn)識和要求也就不同。例如從普通使用者的角度來說，可能僅僅希望

26、個人隱私或機(jī)密信息在網(wǎng)絡(luò)上傳輸時受到保護(hù)，避免被竊聽、篡改和偽造；而網(wǎng)絡(luò)提供商除了關(guān)心這些網(wǎng)絡(luò)信息安全外，還要考慮如何應(yīng)付突發(fā)的災(zāi)害、軍事打擊等對網(wǎng)絡(luò)硬件的破壞，以及在網(wǎng)絡(luò)出現(xiàn)異常時如何恢復(fù)網(wǎng)絡(luò)通信，保持網(wǎng)絡(luò)通信的連續(xù)性。</p><p>　　從本質(zhì)上來講，網(wǎng)絡(luò)安全包括組成網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其在網(wǎng)絡(luò)上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網(wǎng)絡(luò)安全既有技術(shù)方面的，也有管理方面的問題，兩方面相

27、互補(bǔ)充，缺一不可。人為的網(wǎng)絡(luò)入侵和攻擊行為使得網(wǎng)絡(luò)安全面臨新的挑戰(zhàn)。而使用有效地網(wǎng)絡(luò)防護(hù)軟件是我們一般慣用且管用的防護(hù)措施。</p><p>　　1.2 網(wǎng)絡(luò)安全的背景和研究意義</p><p>　　目前計算機(jī)網(wǎng)絡(luò)面臨著很大的威脅，其構(gòu)成的因素是多方面的，這種威脅將不斷給社會帶來了巨大的損失。網(wǎng)絡(luò)安全已被信息社會的各個領(lǐng)域所重視。隨著計算機(jī)網(wǎng)絡(luò)的不斷發(fā)展，全球信息化已成為人類發(fā)展的大趨勢，

28、給政府機(jī)構(gòu)、企事業(yè)單位帶來了革命性的改革，但由于計算機(jī)網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開放性、互連性等特征，致使網(wǎng)絡(luò)易受黑客、病毒、惡意軟件和其他不軌行為的攻擊，所以網(wǎng)上信息的安全和保密是一個至關(guān)重要的問題。對于軍用的自動化指揮網(wǎng)絡(luò)、C3I系統(tǒng)、銀行和政府等傳輸敏感數(shù)據(jù)的計算機(jī)網(wǎng)絡(luò)系統(tǒng)而言，其網(wǎng)上信息的安全和保密尤為重要。因此，上述的網(wǎng)絡(luò)必須有足夠強(qiáng)的安全措施，否則該網(wǎng)絡(luò)將是個無用、甚至?xí)＜皣野踩木W(wǎng)絡(luò)。無論是在局域

29、網(wǎng)還是在廣域網(wǎng)中，都存在著自然和人為等諸多因素的潛在威脅和網(wǎng)絡(luò)的脆弱性。故此，網(wǎng)絡(luò)的安全措施應(yīng)是能全方位地針對各種不同的威脅和網(wǎng)絡(luò)的脆弱性，這樣才能確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。為了確保信息的安全與暢通，研究計算機(jī)網(wǎng)絡(luò)的安全以及防范措施已迫在眉睫。本文就進(jìn)行初步探討計算機(jī)網(wǎng)絡(luò)安全的管理及其技術(shù)措施。</p><p>　　認(rèn)真分析網(wǎng)絡(luò)面臨的威脅，我認(rèn)為計算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全防范工作是一個極為復(fù)雜的系統(tǒng)工程，是

30、一個安全管理和技術(shù)防范相結(jié)合的工程。在目前法律法規(guī)尚不完善的情況下，首先是各計算機(jī)網(wǎng)絡(luò)應(yīng)用部門領(lǐng)導(dǎo)的重視，加強(qiáng)工作人員的責(zé)任心和防范意識，自覺執(zhí)行各項(xiàng)安全制度，在此基礎(chǔ)上，再采用先進(jìn)的技術(shù)和產(chǎn)品，構(gòu)造全方位的防御機(jī)制，使系統(tǒng)在理想的狀態(tài)下運(yùn)行。當(dāng)然這也包括用戶在使用軟件產(chǎn)品時所享有的該軟件提供方相關(guān)的軟件網(wǎng)絡(luò)安全部署及相應(yīng)的技術(shù)指導(dǎo)工作。</p><p>　　1.3 網(wǎng)絡(luò)體系結(jié)構(gòu)及協(xié)議</p>&l

31、t;p>　　國際標(biāo)準(zhǔn)化組織（ISO）是一個能夠促進(jìn)全球范圍內(nèi)標(biāo)準(zhǔn)化的重要組織。ISO制定了網(wǎng)絡(luò)通信的標(biāo)準(zhǔn)即OSI（開放系統(tǒng)互聯(lián)）的參考模型，它將網(wǎng)絡(luò)通信分為七層，而每一層里面有自己的協(xié)議，OSI通過這些協(xié)議在其各層之間上下通信。</p><p><b>　　OSI的七層模型：</b></p><p>　　應(yīng)用層（第7層，Application layer）<

32、;/p><p>　　表示層（第6層，Presentation layer）</p><p>　　會話層（第5層，Session layer）</p><p>　　傳輸層（第4層，Transport layer）</p><p>　　網(wǎng)絡(luò)層（第3層，Network layer）</p><p>　　數(shù)據(jù)鏈路層（第2層，Dat

33、a Link layer）</p><p>　　物理層（第1層，Physical layer）</p><p>　　應(yīng)用層（Aplication Layer)是最靠近用戶的一層，只為實(shí)際的應(yīng)用程序服務(wù)，不為其它層提供服務(wù)，是應(yīng)用程序之間的接口，為通信的程序建立連接。</p><p>　　表示層（Presentation Layer）是由于信息交換雙方的計算機(jī)的編碼機(jī)

34、制會有所不同，這就需要在本層對來自各方不同的數(shù)據(jù)格式進(jìn)行轉(zhuǎn)換操作，以實(shí)現(xiàn)雙方的通信。除此之外，表示層還負(fù)責(zé)發(fā)送方數(shù)據(jù)的加密、接收方數(shù)據(jù)的解密和對文件的壓縮，這樣可以提高傳輸數(shù)據(jù)的安全性，也降低了傳輸?shù)馁M(fèi)用。</p><p>　　會話層（Session Layer）負(fù)責(zé)建立、管理和控制維護(hù)面向用戶的連接。在會話過程中，會話層會區(qū)分該通信方式是全雙工，還是半雙工，如果是半雙工通信，則只能有一個用戶能傳輸數(shù)據(jù)，其他用戶

35、需要等待，通過一個數(shù)據(jù)令牌來實(shí)現(xiàn)。如果是全雙工的話，那就要簡單很多。會話層還能使已斷開的數(shù)據(jù)傳輸從斷開點(diǎn)開始繼續(xù)傳輸。</p><p>　　傳輸層（Transport Layer）將數(shù)據(jù)分段并重組為數(shù)據(jù)流，是OSI參考模型中唯一的提供端到端節(jié)點(diǎn)間可靠數(shù)據(jù)傳輸。因?yàn)闊o論是TCP還是UDP，都要負(fù)責(zé)把上層傳來的數(shù)據(jù)從發(fā)送端傳送到接收端，不管其中跨越多少節(jié)點(diǎn)。不同的是TCP是可靠的傳輸，而UDP是不可靠的傳輸。傳輸層進(jìn)

36、行可靠的傳輸時（意味著使用了確認(rèn)、排序、和流量控制），是面向連接的通信 。流量控制可防止發(fā)送方主機(jī)是接收方主機(jī)的緩存區(qū)產(chǎn)生溢出即數(shù)據(jù)的丟失，有三種類型：緩沖、窗口機(jī)制和擁塞避免。（窗口用于已發(fā)出未得到確認(rèn)的數(shù)據(jù)段的數(shù)量控制）</p><p><b>　　面向連接特征：</b></p><p>　　1.建立了虛擬電路（如三次握手）</p><p>

37、;<b>　　2.使用了排序</b></p><p><b>　　3.使用了確認(rèn)</b></p><p><b>　　4.使用了流量控制</b></p><p>　　三次握手建立的連接是一種虛連接，而在傳輸層的面向連接中，就需要用到這種虛擬連接。三次握手：pc機(jī)雙方通過三次同步請求的方式建立連接，這個

38、過程又叫三次握手，如圖1.2所示。 圖1.1 三次握手 </p><p>　　網(wǎng)絡(luò)層（Network Layer）負(fù)責(zé)設(shè)備的尋址跟蹤網(wǎng)絡(luò)中設(shè)備的位置，并決定傳送數(shù)據(jù)的最佳路徑。路由器是網(wǎng)絡(luò)層中很重要的設(shè)備，在網(wǎng)絡(luò)中提供路由進(jìn)行邏輯尋址。 當(dāng)路由器接受到一個數(shù)據(jù)包時，路由器就檢查它的IP地址，

39、如果包不是發(fā)給他的，他就在其路由表中查找其目的網(wǎng)絡(luò)地址，在選擇一個外出接口，即可在那個接口上封裝成幀發(fā)送出去。若找不到相應(yīng)于包的目的網(wǎng)絡(luò)地址，就丟棄該數(shù)據(jù)包。</p><p>　　數(shù)據(jù)鏈路層（Data Link Layer）提供數(shù)據(jù)的物理傳輸即硬件尋址（MAC尋址），將比特組成字節(jié)，再將字節(jié)組合成幀，還進(jìn)行數(shù)據(jù)流控制。交換機(jī)和網(wǎng)橋就工作在這一層，可增加沖突域，減少沖突，但不可隔離廣播域。 &

40、lt;/p><p>　　包含兩個層LLC子層和MAC子層， MAC子層定義數(shù)據(jù)包怎么在介質(zhì)上傳輸，而LLC負(fù)責(zé)識別網(wǎng)絡(luò)層協(xié)議，然后進(jìn)行封裝。</p><p>　　物理層（Physical Layer）用于發(fā)送或接受比特流，比特流的值只有0和1。物理層直接與設(shè)備進(jìn)行通信，還可以通過編碼描述接口、電壓和線纜等。集線器工作在這一層，連接到集線器上的所有設(shè)備，處于同一個沖突域，也在同一個廣播域內(nèi)。&l

41、t;/p><p>　　網(wǎng)絡(luò)七層間封裝和解封裝過程如下圖1.3所示。（封裝過程由上往下，解封裝過程相反）</p><p>　　圖1.2 封裝與解封裝過程</p><p>　　主機(jī)雙方進(jìn)行網(wǎng)絡(luò)上的通信過程表示如下圖1.3，其中路由器工作在第三層設(shè)備，可介入至網(wǎng)絡(luò)層，起到路由尋址的作用，傳輸介質(zhì)在不同的情況下可選取不同的介質(zhì)進(jìn)行傳輸，如光纖、雙絞線等，在此不作詳細(xì)介紹。<

42、;/p><p>　　圖1.3 網(wǎng)絡(luò)上主機(jī)的七層通信</p><p>　　1.4 典型的網(wǎng)絡(luò)安全拓?fù)浣Y(jié)構(gòu)及常見的網(wǎng)絡(luò)攻擊</p><p>　　如圖1.5所示，公司內(nèi)部網(wǎng)是企業(yè)自己建立的大、中、小型的局域網(wǎng)，通過路由器或是公司的核心交換機(jī)再跨過防火墻，在通過路由器與外網(wǎng)進(jìn)行連接。外網(wǎng)所指的是internet。而從防火墻端另引出的一臺交換機(jī)所連接的DMZ區(qū)域叫非軍事區(qū)，DMZ

43、是英文“demilitarized zone”的縮寫，中文名稱為“隔離區(qū)”，也稱“非軍事化區(qū)”。它是為了解決安裝防火墻后外部網(wǎng)絡(luò)不能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題，而設(shè)立的一個非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)，這個緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi)，在這個小網(wǎng)絡(luò)區(qū)域內(nèi)可以放置一些必須公開的服務(wù)器設(shè)施，如企業(yè)Web服務(wù)器、FTP服務(wù)器和論壇等。另一方面，通過這樣一個DMZ區(qū)域，更加有效地保護(hù)了內(nèi)部網(wǎng)絡(luò)，因?yàn)檫@種網(wǎng)絡(luò)部署，比起一般

44、的防火墻方案，對攻擊者來說又多了一道關(guān)卡。</p><p>　　圖1.4 典型的安全網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)</p><p>　　網(wǎng)絡(luò)攻擊是利用網(wǎng)絡(luò)存在的漏洞和安全缺陷對網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)進(jìn)行的攻擊。常見的網(wǎng)絡(luò)攻擊如下：</p><p>　　應(yīng)用層攻擊（通過應(yīng)用程序獲取權(quán)限掠奪計算機(jī)資源）</p><p>　　autorooters（監(jiān)

45、視目標(biāo)主機(jī)的整個系統(tǒng)）</p><p>　　后門程序（特洛伊木馬代碼,隨時進(jìn)入系統(tǒng)）</p><p>　　拒絕服務(wù)和分布式拒絕服務(wù)攻擊</p><p><b>　　IP欺騙</b></p><p>　　特洛伊木馬攻擊（隱藏惡意代碼，感染計算機(jī)，善偽裝）</p><p>　　病毒（惡意程序，依附于w

46、indows系統(tǒng)解釋文件command.com之上然后瘋狂運(yùn)行，再感染）</p><p>　　蠕蟲（蠕蟲不需要附在別的程序內(nèi)，能自我復(fù)制或執(zhí)行。未必會直接破壞被感染的系統(tǒng)，卻幾乎都對網(wǎng)絡(luò)有害。）</p><p><b>　　........</b></p><p>　　攻擊正常協(xié)議棧的情況仿照傳輸層中三次握手的形式進(jìn)行數(shù)據(jù)的竊取，最終達(dá)到獲取利

47、益的目的，使用網(wǎng)銀或是支付寶時會遇到這種情況，具體過程可如圖1.5所示：</p><p>　　圖1.5 攻擊正常協(xié)議棧過程</p><p>　　企業(yè)網(wǎng)絡(luò)受攻擊途徑：</p><p>　　其實(shí)現(xiàn)實(shí)生活中，來自網(wǎng)絡(luò)上的黑客、攻擊者沒有想象中的這么多，世界上有這么多的電腦，如果黑客們想要去選擇性的攻擊的話，那要攻擊到猴年馬月也不一定能找到一個可以收獲頗豐的電腦，那么究竟是

48、為什么呢？很簡單，這一切的一切，都是由于人的行為不當(dāng)引起的，在沒有電腦之前，信息交流不是很方便，但是很安全，有了電腦，方便是方便了，由于有了人為因素在里面，漏洞就多了，黑客們就是利用人們的行為進(jìn)行網(wǎng)絡(luò)信息的竊取，最終達(dá)到獲取錢財?shù)哪康?，說白了，就是守株待兔。</p><p>　　圖1.6 企業(yè)網(wǎng)絡(luò)受攻擊途徑</p><p>　　攻擊者通過一些網(wǎng)頁瀏覽時關(guān)鍵信息的輸入、不法連接的點(diǎn)擊、違法網(wǎng)

49、站的進(jìn)入、未知有風(fēng)險文件的下載、娛樂聊天時信息的透露等行為上當(dāng)受騙，隨著現(xiàn)代科技的發(fā)展，移動通信機(jī)器的出現(xiàn)，潛在威脅也就更多了。例如，公司某成員使用iphone在網(wǎng)上為自己買過東西或?yàn)楣咎幚磉^業(yè)務(wù)，之后不小心丟失了手機(jī)，那么隨之丟失的還有他的個人信息，公司的運(yùn)營信息及其數(shù)據(jù)信息等。當(dāng)然，既然新時代有這些產(chǎn)品出現(xiàn)，我們也免不了要用這些東西，要想不受騙，就要做好一些力所能及的措施減少這些潛在的威脅。</p><p>

50、;<b>　　1.4 計算機(jī)病毒</b></p><p>　　1.4.1 計算機(jī)病毒基本原理</p><p>　　計算機(jī)病毒不同于生物醫(yī)學(xué)上的“病毒”，計算機(jī)病毒是指編制或者在計算機(jī)程序中插入的破壞計算機(jī)功能或者毀壞數(shù)據(jù)，影響計算機(jī)使用并能自我復(fù)制的一組計算機(jī)指令或者程序代碼。由于它的所做所為與生物病毒很相像，人們才給它起了這么一個“響亮”的名字。與生物病毒不同的是幾

51、乎所有的計算機(jī)病毒都是人為地故意制造出來的，有時一旦擴(kuò)散出來后連制造者自己也無法控制。它已經(jīng)不是一個簡單的技術(shù)問題，而是一個嚴(yán)重的社會問題了。目前，全球已有的計算機(jī)病毒約幾十萬種。</p><p>　　1.4.2 計算機(jī)病毒的傳播</p><p>　　1、計算機(jī)病毒的傳播途徑主要有：</p><p>　　1) 通過文件系統(tǒng)傳播；</p><p&g

52、t;　　2) 通過電子郵件傳播；</p><p>　　3) 通過局域網(wǎng)傳播；</p><p>　　4) 通過互聯(lián)網(wǎng)上即時通訊軟件和點(diǎn)對點(diǎn)軟件等常用工具傳播；</p><p>　　5) 利用系統(tǒng)、應(yīng)用軟件的漏洞進(jìn)行傳播；</p><p>　　6) 利用系統(tǒng)配置缺陷傳播，如弱口令、完全共享等；</p><p>　　7) 利

53、用欺騙等社會工程的方法傳播。</p><p>　　2、用戶計算機(jī)中毒的癥狀列舉如下：</p><p>　　1）計算機(jī)系統(tǒng)運(yùn)行速度減慢；</p><p>　　2）計算機(jī)系統(tǒng)經(jīng)常無故發(fā)生死機(jī)；</p><p>　　3）計算機(jī)存儲的容量異常減少；</p><p>　　4）系統(tǒng)引導(dǎo)速度減慢；</p><p&

54、gt;　　5）丟失文件或文件損壞；</p><p>　　6）計算機(jī)屏幕上出現(xiàn)異常顯示；</p><p>　　7）磁盤卷標(biāo)發(fā)生變化；</p><p>　　8）系統(tǒng)不識別硬盤；</p><p>　　9）對存儲系統(tǒng)異常訪問；</p><p>　　10）鍵盤輸入異常；</p><p>　　11）文件無法

55、正確讀取、復(fù)制或打開；</p><p>　　12）命令執(zhí)行出現(xiàn)錯誤；</p><p><b>　　13）虛假報警；</b></p><p>　　14）WINDOWS操作系統(tǒng)無故頻繁出現(xiàn)錯誤；</p><p>　　15）系統(tǒng)異常重新啟動；</p><p>　　16）一些外部設(shè)備工作異常等。</

56、p><p>　　1.5 計算機(jī)安全防護(hù)的基本原理</p><p>　　通常我們使用防病毒軟件來維護(hù)電腦的安全，計算機(jī)安全防護(hù)的原理其實(shí)也正是網(wǎng)絡(luò)防護(hù)軟件的防護(hù)原理。</p><p>　　計算機(jī)病毒的防治要從防毒、查毒、解毒三方面來進(jìn)行：</p><p>　?。ㄒ唬┓蓝?。是指根據(jù)系統(tǒng)特性，采取相應(yīng)的系統(tǒng)安全措施預(yù)防病毒侵入計算機(jī)。防毒能力是指通過采

57、取防毒措施，可以準(zhǔn)確、實(shí)時監(jiān)測預(yù)警經(jīng)由光盤、優(yōu)盤、硬盤不同目錄之間、局域網(wǎng)、互聯(lián)網(wǎng)（包括FTP方式、E-MAIL、HTTP方式）或其它形式的文件下載等多種方式的病毒感染；能夠在病毒侵入系統(tǒng)時發(fā)出警報，記錄攜帶病毒的文件，即時清除其中的病毒；對網(wǎng)絡(luò)而言，能夠向網(wǎng)絡(luò)管理員發(fā)送關(guān)于病毒入侵的信息，記錄病毒入侵的工作站，必要時還要能夠注銷工作站，隔離病毒源。</p><p>　　（二）查毒。是指對于確定的環(huán)境，能夠準(zhǔn)確地

58、報出病毒名稱，該環(huán)境包括內(nèi)存、文件、引導(dǎo)區(qū)（含主引導(dǎo)區(qū)）、網(wǎng)絡(luò)等。查毒能力是指發(fā)現(xiàn)和追蹤病毒來源的能力，通過查毒能準(zhǔn)確地發(fā)現(xiàn)信息網(wǎng)絡(luò)是否感染有病毒，準(zhǔn)確查找出病毒的來源，給出統(tǒng)計報告；查解病毒的能力應(yīng)由查毒率和誤報率來評判。</p><p>　　（三）解毒。是指根據(jù)不同類型病毒對感染對象的修改，并按照病毒的感染特性所進(jìn)行的恢復(fù)。該恢復(fù)過程不能破壞未被病毒修改的內(nèi)容。感染對象包括內(nèi)存、引導(dǎo)區(qū)（含主引導(dǎo)區(qū)）、可執(zhí)行文

59、件、文檔文件、網(wǎng)絡(luò)等。解毒能力是指從感染對象中清除病毒，恢復(fù)被病毒感染前的原始信息的能力。</p><p><b>　　1.6 本章小結(jié)</b></p><p>　　本章主要介紹了計算機(jī)網(wǎng)絡(luò)安全的定義，以及網(wǎng)絡(luò)安全的研究背景和意義。網(wǎng)絡(luò)安全包括組成網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其在網(wǎng)絡(luò)上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網(wǎng)絡(luò)安全既有技術(shù)方面的，也有管理

60、方面的問題，兩方面相互補(bǔ)充，缺一不可。網(wǎng)絡(luò)安全的體系結(jié)構(gòu)是由IOS定義的一個參考模型，通過對此模型及其對應(yīng)層協(xié)議的認(rèn)識可以了解網(wǎng)絡(luò)通行的過程。本章還介紹了網(wǎng)絡(luò)上一些常見的攻擊，病毒的傳播途徑以及感染病毒的癥狀，了解到計算機(jī)病毒多數(shù)是偽裝成一些正規(guī)的通信過程，從而對用戶造成侵害的。最后介紹了我們常用的網(wǎng)絡(luò)防護(hù)辦法，也即是使用網(wǎng)絡(luò)防護(hù)軟件對計算機(jī)進(jìn)行實(shí)時防護(hù)。</p><p>　　第2章 SEP的功能及優(yōu)勢</

61、p><p>　　目前國內(nèi)外有很多網(wǎng)絡(luò)防護(hù)軟件，包括企業(yè)型防護(hù)軟件以及個人型防護(hù)軟件，比如卡巴斯基、趨勢、Mcafee等等，本文所介紹的是賽門鐵克的一款防護(hù)軟件，而賽門鐵克是一家獨(dú)立的計算機(jī)軟件公司，其安全服務(wù)提供綜合了具有最佳延續(xù)性技術(shù)、安全專業(yè)技術(shù)和全球資源的信息安全解決方案，可以幫助企業(yè)實(shí)現(xiàn)電子商務(wù)的成功。</p><p>　　在介紹SEP對企業(yè)進(jìn)行防護(hù)之前，先了解一下關(guān)于Symantec

62、公司的背景。</p><p>　　2.1 賽門鐵克簡介 </p><p>　　賽門鐵克（Symantec）公司成立于1982年4月，公司總部位于加利福尼亞州的 Cupertino。賽門鐵克是信息安全領(lǐng)域全球領(lǐng)先的解決方案提供商，為企業(yè)、個人用戶和服務(wù)供應(yīng)商提供廣泛的內(nèi)容和網(wǎng)絡(luò)安全軟件及硬件的解決方案，可以幫助個人和企業(yè)確保信息的安全性、可用性和完整性。它向全球的企業(yè)及服務(wù)供應(yīng)商提供包括：病

63、毒防護(hù)、防火墻、VPN、風(fēng)險管理、入侵檢測、互聯(lián)網(wǎng)內(nèi)容及電子郵件過濾、遠(yuǎn)程管理技術(shù)及安全服務(wù)等。賽門鐵克是全球第四大獨(dú)立軟件公司，同時也是全球最大的信息安全廠商和服務(wù)商。</p><p>　　2.2 賽門鐵克技術(shù)簡介</p><p>　　隨著來自各方面不斷增加和日益復(fù)雜的對信息系統(tǒng)的威脅，硬件的網(wǎng)絡(luò)安全設(shè)備已經(jīng)不足以保護(hù)企業(yè)用戶的信息系統(tǒng)。賽門鐵克在各個網(wǎng)絡(luò)層都能提供最佳的安全解決方案。&

64、lt;/p><p>　　其中，賽門鐵克企業(yè)管理解決方案可以有效地管理硬件和軟件資產(chǎn)，為客戶提供公司范圍的計劃、跟蹤和應(yīng)用系統(tǒng)更改的能力，其中包括軟件分發(fā)、許可證管理、軟件計量和災(zāi)難恢復(fù)。</p><p>　　2.3賽門鐵克旗下產(chǎn)品</p><p>　　賽門鐵克是一家計算機(jī)軟件公司，其產(chǎn)品非常多，但是主要是以下幾款：　</p><p>　　1.賽門

65、鐵克殺毒軟件</p><p>　　包括Symantec AntiVirus即SAV系列、Symantec Client Security即SCS系列以及Symantec Endpoint Protection即SEP系列，都是專門為企業(yè)級用戶定制的。這3套Symantec殺毒軟件均包括服務(wù)器端安裝程序和客戶端安裝程序，在企業(yè)環(huán)境中通過配置服務(wù)器端，每臺客戶端都通過服務(wù)器端更新，服務(wù)器端通過網(wǎng)絡(luò)與 Symantec

66、升級服務(wù)器連接來進(jìn)行更新。這3款中，SAV是單獨(dú)的殺毒軟件不帶防火墻模塊；SCS是殺毒軟件和防火墻的套裝，但是僅僅是簡單的整合；SEP是殺毒軟件和防火墻的無縫整合，并且?guī)в兄鲃臃烙K。</p><p><b>　　2.諾頓殺毒軟件</b></p><p>　　包括Norton AntiVirus即NAV系列，Norton Internet Security即NIS系

67、列以及Norton 360即Norton360系列，都是為個人用戶設(shè)計的。其中NAV是單獨(dú)的殺毒軟件版本；NIS是帶有殺毒軟件和防火墻的網(wǎng)絡(luò)安全套裝，并且不僅僅是單獨(dú)的整合兩個模塊，整合后防御能力將獲得質(zhì)的提升，并且擁有個人身份防護(hù)功能；Norton360是諾頓殺毒軟件中功能最強(qiáng)大的產(chǎn)品，不僅僅包含了NIS系列的全部功能，還增加了系統(tǒng)優(yōu)化、垃圾文件清理、在線重要數(shù)據(jù)備份等整合的模塊。</p><p>　　3.Sy

68、mantec Ghost</p><p>　　著名的硬盤復(fù)制備份工具，因?yàn)樗梢詫⒁粋€硬盤（或分區(qū)）中的數(shù)據(jù)完全相同地復(fù)制到另一個硬盤（或分區(qū)）中。</p><p>　　4.Norton WinDoctor</p><p>　　諾頓系統(tǒng)醫(yī)生，通常安裝了大量軟件后，系統(tǒng)速度都會有所下降，用 WinDoctor 可以很大程度解決這個問題。諾頓系統(tǒng)醫(yī)生主要是修復(fù)注冊表的一

69、些錯誤和死鏈接（這些會使系統(tǒng)進(jìn)入迷宮中，嚴(yán)重影響系統(tǒng)速度），以及無效的快捷方式等。</p><p>　　5.Norton DiskDoctor</p><p>　　諾頓磁盤醫(yī)生，這是一款極好的磁盤檢測修復(fù)工具,可以安全并容易地診斷和修復(fù)各種磁盤故障，用它可以修復(fù)硬盤和移動存儲設(shè)備上的邏輯錯誤、壞道、丟失簇，非常的方便快捷，它將執(zhí)行幾項(xiàng)測試。</p><p>　　6.

70、Norton PartitionMagic</p><p>　　諾頓磁盤大師，這個軟件可在 WINDOOWS 系統(tǒng)桌面隨意調(diào)整磁盤容量和轉(zhuǎn)換NTFS、FAT32、FAT，是諾頓的分區(qū)魔法師。</p><p>　　Norton SystemWorks</p><p>　　諾頓系統(tǒng)大師，利用 Norton SystemWorks優(yōu)化您的計算機(jī)體驗(yàn)。 這種強(qiáng)大的解決方案提

71、供了高級防護(hù)功能，可以自動備份計算機(jī)上的所有內(nèi)容。 </p><p>　　8.Symantec PcAnywhere</p><p>　　賽門鐵克遠(yuǎn)程控制大師，全球領(lǐng)先的遠(yuǎn)程控制解決方案，不但集成了功能強(qiáng)大的文件傳輸工具、安全工具和遠(yuǎn)程管理工具，而且具有一套全新的功能，可以增強(qiáng)可訪問性、性能和安全性。</p><p>　　9.Symantec Mail Securi

72、ty</p><p>　　賽門鐵克郵件安全大師，提供了高性能的集成郵件防護(hù)功能，可以保護(hù) Microsoft Exchange 2000/2003/2007 服務(wù)器免遭病毒威脅、垃圾郵件和安全風(fēng)險的侵?jǐn)_，同時確保在這些服務(wù)器上實(shí)施內(nèi)部策略。</p><p>　　2.4 Symantec Endpoint Protection 的功能</p><p>　　Symant

73、ec Endpoint Protection 利用先進(jìn)的防護(hù)技術(shù)在網(wǎng)絡(luò)中的每臺計算機(jī)上集成了多種防護(hù)。它提供的先進(jìn)防護(hù)功能可抵御針對物理系統(tǒng)和虛擬系統(tǒng)的各種攻擊。將傳統(tǒng)掃描、行為分析、入侵防護(hù)以及社區(qū)情報結(jié)合到了一個出色的安全系統(tǒng)中。在此之前，先了解一些術(shù)語解釋：</p><p>　　1.SEPM：賽門鐵克公司客戶端安全產(chǎn)品服務(wù)端策略管理軟件。</p><p>　　2.SEP客戶端：賽門鐵

74、克公司客戶端安全產(chǎn)品客戶端控制代理軟件。</p><p>　　3.SEPM服務(wù)器：安裝SEPM軟件的服務(wù)器，SEPM服務(wù)器也稱為策略管理服務(wù)器。</p><p>　　4.站點(diǎn)：管理節(jié)點(diǎn)，一個站點(diǎn)由多個SEP客戶端和多個SEPM服務(wù)器組成，其中SEPM服務(wù)器包括一臺站點(diǎn)服務(wù)器和多臺緩存服務(wù)器。</p><p>　　5.LUA服務(wù)器：也稱為內(nèi)容更新服務(wù)器，用于對SEPM

75、進(jìn)行內(nèi)容更新。如果SEPM服務(wù)器服務(wù)器不能直接訪問互聯(lián)網(wǎng)，則可能需要內(nèi)容更新服務(wù)器首先連接至互聯(lián)網(wǎng)獲取內(nèi)容更新，然后再將內(nèi)容更新下發(fā)至SEPM服務(wù)器。</p><p>　　SEP所提供的威脅防護(hù)類型如下：</p><p>　　一，病毒和間諜軟件防護(hù)。病毒和間諜軟件防護(hù)可使計算機(jī)免受病毒和安全風(fēng)險的危害，并且在許多情況下可以彌補(bǔ)它們帶來的負(fù)面影響。此項(xiàng)防護(hù)包括文件和電子郵件的實(shí)時掃描，以及調(diào)

76、度掃描和按需掃描。病毒和間諜軟件掃描會檢測可能會使計算機(jī)以及網(wǎng)絡(luò)受到危害的病毒和安全風(fēng)險。安全風(fēng)險包括間諜軟件、廣告軟件和其他惡意文件。</p><p>　　病毒和間諜軟件防護(hù)不僅僅使用基于特征的解決方案和基于行為的解決方案，還采用了其他技術(shù)，因而可以更早、更準(zhǔn)確地檢測到新的威脅。Symantec Insight 可以更快、更準(zhǔn)確地執(zhí)行惡意軟件檢測，并能檢測到其他方法漏掉的新威脅和未知威脅。Insight 利用數(shù)

77、百個國家/地區(qū)的數(shù)百萬系統(tǒng)的集體智慧來識別新威脅和零時差威脅。Bloodhound 利用啟發(fā)式技術(shù)來檢測很高比例的已知和未知威脅。自動防護(hù)可以在從客戶端計算機(jī)讀取文件或向客戶端計算機(jī)寫入文件時， 根據(jù)特征列表掃描這些文件。</p><p>　　二，網(wǎng)絡(luò)威脅防護(hù)。網(wǎng)絡(luò)威脅防護(hù)提供防火墻和入侵防護(hù)保護(hù)功能，以阻擋入侵攻擊及惡意內(nèi)容進(jìn)入運(yùn)行客戶端軟件的計算機(jī)。防火墻會根據(jù)管理員設(shè)置的各種條件允許或禁止網(wǎng)絡(luò)通信。如果管理

78、員允許，最終用戶也可以配置防火墻策略。入侵防護(hù)系統(tǒng) (IPS) 可以分析所有傳入及傳出信息是否存在具有典型攻擊特征的數(shù)據(jù)模式。客戶端可檢測并禁止惡意通信以及外部用戶攻擊計算機(jī)的企圖。入侵防護(hù)還可用于監(jiān)視出站通信和防止蠕蟲傳播。</p><p>　　基于規(guī)則的防火墻引擎可以在惡意威脅出現(xiàn)前便將它們阻隔在計算機(jī)之外。IPS 會掃描網(wǎng)絡(luò)通信和文件有無入侵或企圖入侵跡象。瀏覽器入侵防護(hù)會掃描有無針對瀏覽器漏洞的攻擊。通用

79、下載防護(hù)會監(jiān)視從瀏覽器進(jìn)行的所有下載，并驗(yàn)證所下載內(nèi)容是否為惡意軟件。</p><p>　　三，主動型威脅防護(hù)。主動型威脅防護(hù)采用 SONAR 針對網(wǎng)絡(luò)中的零時差攻擊漏洞提供防護(hù)。利用零時差攻擊漏洞的威脅可避開基于特征的檢測（如間諜軟件定義）。零時差攻擊可以用于針對特定目標(biāo)的攻擊和惡意代碼的傳播。SONAR 通過監(jiān)控正在執(zhí)行的進(jìn)程和威脅來提供實(shí)時的行為防護(hù)。應(yīng)用程序與設(shè)備控制可監(jiān)控和控制客戶端計算機(jī)上應(yīng)用程序的行

80、為，并管理訪問客戶端計算機(jī)的硬件設(shè)備。</p><p>　　SONAR 會檢查正在運(yùn)行的程序，同時識別并停止新威脅和以前未知的威脅的惡意行為。SONAR使用啟發(fā)式以及信譽(yù)數(shù)據(jù)檢測新出現(xiàn)的和未知威脅。應(yīng)用程序控制會控制允許哪些應(yīng)用程序運(yùn)行或訪問系統(tǒng)資源。設(shè)備控制用于管理用戶可連接到臺式機(jī)的外圍設(shè)備。</p><p>　　Symantec Endpoint Protection 的組件：<

81、;/p><p>　　1.Symantec Endpoint Protection Manager：Symantec Endpoint Protection Manager 是管理服務(wù)器，用于管理連接至您公司網(wǎng)絡(luò)的客戶端計算機(jī)。Symantec Endpoint Protection Manager 包括下列軟件：</p><p>　　1）控制臺軟件用于協(xié)調(diào)和管理安全策略、客戶端計算機(jī)、報告和日

82、志。控制臺是連接管理服務(wù)器的接口。該控制臺可通過管理服務(wù)器的網(wǎng)絡(luò)連接以遠(yuǎn)程方式在任何計算機(jī)上安裝和使用。</p><p>　　管理服務(wù)器軟件用于實(shí)現(xiàn)傳出和傳入客戶端計算機(jī)及控制臺的安全通信。</p><p>　　數(shù)據(jù)庫：數(shù)據(jù)庫用于存儲安全策略和事件，數(shù)據(jù)庫安裝在承載Symantec Endpoint Protection Manager 的計算機(jī)上。</p><p>

83、;　　Symantec Endpoint Protection客戶端：Symantec Endpoint Protection 客戶端通過病毒和間諜軟件掃描、SONAR、下載智能掃描、防火墻、入侵防護(hù)系統(tǒng)及其他防護(hù)技術(shù)保護(hù)計算機(jī)安全。它在您要防護(hù)的服務(wù)器、臺式機(jī)及便攜式計算機(jī)上運(yùn)行。Symantec Endpoint Protection Mac 客戶端通過病毒和間諜軟件掃描來保護(hù)計算機(jī)。</p><p>　　S

84、ymantec Protection Center：當(dāng)您安裝 Symantec Endpoint Protection Manager 時，會一并安裝 Symantec Protection Center。Protection Center 允許您將多個受支持的 Symantec 安全產(chǎn)品的管理控制臺集成到單一管理環(huán)境中。</p><p>　　LiveUpdate Administrator（可選）：LiveUp

85、date Administrator 可從 Symantec LiveUpdate 服務(wù)器下載定義、特征和產(chǎn)品更新，并將更新分發(fā)至客戶端計算機(jī)。</p><p>　　中央隔離區(qū)（選用）：中央隔離區(qū)從 Symantec Endpoint Protection 客戶端接收可疑文件及未修復(fù)的受感染條目。中央隔離區(qū)會將示例轉(zhuǎn)發(fā)到Symantec 安全響應(yīng)中心進(jìn)行分析。如果是新的威脅，Symantec 安全響應(yīng)中心會生成安

86、全更新。</p><p>　　7.Symantec Network Access Control：通過Symantec Network Access Control能夠安全地控制企業(yè)網(wǎng)絡(luò)的訪問、實(shí)施終端安全策略，以及與現(xiàn)有的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)輕松集成。不管終端以何種方式與網(wǎng)絡(luò)相連，賽門鐵克獲獎的網(wǎng)絡(luò)準(zhǔn)入控制解決方案都能夠發(fā)現(xiàn)并評估終端遵從狀態(tài)、設(shè)置適當(dāng)?shù)木W(wǎng)絡(luò)訪問權(quán)限并提供補(bǔ)救功能。</p><p&g

87、t;　　網(wǎng)絡(luò)中的產(chǎn)品組件分布如圖2.1，受管的客戶端需要與SEPM等組件進(jìn)行組合使用才能一起保護(hù)好整個企業(yè)的網(wǎng)絡(luò)，圖中SEPM除了可以管理本地的SEP客戶端，連接在遠(yuǎn)程網(wǎng)絡(luò)上的SEP客戶端也受其管理，如下圖所示： </p><p>　　圖2.1 SEP產(chǎn)品組件簡略分布圖</p><p>　　2.5 SEP的優(yōu)勢所在</p><p>　　Symantec Endpo

88、int Protection 是一款客戶端/服務(wù)器解決方案，用于為網(wǎng)絡(luò)中的筆記本電腦、臺式機(jī)、Mac（蘋果）計算機(jī)和服務(wù)器防范惡意軟件。Symantec Endpoint Protection 結(jié)合了病毒防護(hù)和高級威脅防護(hù)，能主動保護(hù)計算機(jī)的安全，使其不受已知和未知威脅的攻擊。</p><p>　　Symantec Endpoint Protection 可防范惡意軟件，例如病毒、蠕蟲、特洛伊木馬、間諜軟件和廣告

89、軟件。即使是針對可躲避傳統(tǒng)安全措施的最復(fù)雜攻擊（如 Rootkit、零時差攻擊和變種間諜軟件），它也能提供防護(hù)。Symantec Endpoint Protection具有維護(hù)開銷低而性能強(qiáng)大的優(yōu)點(diǎn)，能通過網(wǎng)絡(luò)進(jìn)行通信，從而自動為計算機(jī)防范針對物理系統(tǒng)和虛擬系統(tǒng)的攻擊。</p><p>　　這款全面的解決方案通過在單個集成客戶端中綜合運(yùn)用多層防護(hù)來保護(hù)機(jī)密及有價值的信息。Symantec Endpoint Pro

90、tection 提供單一管理控制臺和單一客戶端，因而可減少管理開銷、時間和成本。</p><p>　　Symantec Endpoint Protection 使用信譽(yù)數(shù)據(jù)來做出關(guān)于文件的決策。Symantec 會從其數(shù)百萬用戶的全球社區(qū)及其全球情報網(wǎng)中收集有關(guān)文件的信息。所收集的信息形成 Symantec 承載的一個信譽(yù)數(shù)據(jù)庫。Symantec 產(chǎn)品利用該信息保護(hù)客戶端計算機(jī)，使其免受新威脅、目標(biāo)威脅和變異威脅

91、的侵害。該數(shù)據(jù)有時稱為“在云端”，因?yàn)樗瘩v留在客戶端計算機(jī)上?？蛻舳擞嬎銠C(jī)必須請求或查詢信譽(yù)數(shù)據(jù)庫。Symantec 使用一項(xiàng)稱為“智能掃描”的技術(shù)來確定每個文件的風(fēng)險級別或“安全等級”。智能掃描通過檢查文件及其上下文的以下特征來確定文件的安全等級：</p><p><b>　　1.文件的源</b></p><p><b>　　2.文件的新舊程度</

92、b></p><p>　　3.文件在社區(qū)中的常用程度</p><p>　　4.其他安全衡量標(biāo)準(zhǔn)，如文件可能與惡意軟件的關(guān)聯(lián)程度</p><p>　　Symantec Endpoint Protection 中的掃描功能利用智能掃描做出有關(guān)文件和應(yīng)用程序的決策。病毒和間諜軟件防護(hù)包括一項(xiàng)稱為“下載智能掃描”的功能。下載智能掃描依靠信譽(yù)信息進(jìn)行檢測。如果禁用智能掃

93、描查找，下載智能掃描會運(yùn)行但不能進(jìn)行檢測。其他防護(hù)功能（如智能掃描查找和 SONAR）使用信譽(yù)信息進(jìn)行檢測；不過，這些功能可使用其他技術(shù)進(jìn)行檢測。默認(rèn)情況下，客戶端計算機(jī)會將有關(guān)信譽(yù)檢測的信息發(fā)送至 Symantec 安全響應(yīng)中心進(jìn)行分析。此信息有助于優(yōu)化智能掃描的信譽(yù)數(shù)據(jù)庫。提交信息的客戶端越多，信譽(yù)數(shù)據(jù)庫就會變得越有用。您可以禁用信譽(yù)信息的提交。但是 Symantec 建議您將提交功能保持為啟用狀態(tài)。客戶端計算機(jī)還會將有關(guān)檢測的其他

94、類型的信息提交至 Symantec 安全響應(yīng)中心。</p><p>　　主要優(yōu)勢： 1.阻截惡意軟件，如病毒、蠕蟲、特洛伊木馬、間諜軟件、惡意軟件、Bo、零日威脅和 rootkit。 </p><p>　　防止安全違規(guī)事件的發(fā)生，從而降低管理開銷。 3.降低保障端點(diǎn)安全的總擁有成本。</p><p>　　企業(yè)版防護(hù)軟件的比較：SEP是依靠官方的病毒數(shù)

95、據(jù)庫來進(jìn)行殺毒的，防御能力很強(qiáng)，而像Mcafee是依靠用戶對其進(jìn)行規(guī)則定義進(jìn)行殺毒的，麥咖啡如果設(shè)置好規(guī)則，防御應(yīng)該是相當(dāng)好的，但設(shè)置好不好，看個人的水平了（技術(shù)高手可以用的很好），查殺率SEP偏高，也比Mcafee要安全，企業(yè)文件很難丟失。而卡巴斯基也有企業(yè)版，查毒殺毒讓人無話可說，但耗用資源較大，占用的內(nèi)存和CPU都很高，而這些都將轉(zhuǎn)換為開銷數(shù)據(jù)，而且查殺很強(qiáng)，操作不慎容易誤殺，同樣面臨企業(yè)文件資源誤殺丟失的問題。趨勢是老牌殺毒軟件

96、，但近年表現(xiàn)有所不如。不過底蘊(yùn)還在，技術(shù)是沒問題。</p><p><b>　　2.6 本章小結(jié)</b></p><p>　　本章介紹了全球獨(dú)立軟件開發(fā)公司symantec的一款企業(yè)型網(wǎng)絡(luò)防護(hù)軟件，先介紹了賽門鐵克公司的狀況，其公司開發(fā)的產(chǎn)品和技術(shù)簡介，本文需要了解的是SEP（即symantec endpoint protection）客戶端在企業(yè)的設(shè)計實(shí)施，在此章節(jié)

97、里簡要介紹了SEP相比于其他網(wǎng)絡(luò)訪華軟件的優(yōu)勢所在。Symantec Endpoint Protection 中的掃描功能利用智能掃描做出有關(guān)文件和應(yīng)用程序的決策。病毒和間諜軟件防護(hù)包括一項(xiàng)稱為“下載智能掃描”的功能。下載智能掃描依靠信譽(yù)信息進(jìn)行檢測。查殺率高且安全。下一章將介紹SEP是實(shí)施安裝過程。</p><p><b>　　SEP的實(shí)施安裝</b></p><p&g

98、t;　　SEP的使用，其實(shí)包括兩個方面，分為受管客戶端和非受管客戶端（即不受控制臺控制，用戶可自行調(diào)整設(shè)置），而前一章我們已經(jīng)提到過，Symantec Endpoint Protection即SEP系列是專門為企業(yè)級用戶定制的，應(yīng)該統(tǒng)一進(jìn)行監(jiān)控，以應(yīng)付出現(xiàn)的不良行為，也便于統(tǒng)一管理，所以對于企業(yè)中的SEP客戶端應(yīng)為受管的客戶端。受管的客戶端與非受管的客戶端的安裝和使用是不同的，在此側(cè)重于對受管的客戶端進(jìn)行說明，而安裝條件，對于受管和非受

99、管的客戶端來說，都是一樣的。安裝客戶端軟件之前，從計算機(jī)中卸載第三方病毒防護(hù)軟件。</p><p>　　3.1 企業(yè)中SEP的部署安裝過程</p><p>　　SEP在企業(yè)里的安裝流程大體如下。先查看所安裝機(jī)器是否符合器安裝條件，若符合，卸載第三方防病毒軟件，依據(jù)3.2節(jié)中安裝前準(zhǔn)備事項(xiàng)準(zhǔn)備服務(wù)器，然后安裝數(shù)據(jù)庫如Windows Server 2008及其補(bǔ)丁包Service Pack 1

100、,詳見附錄1，然后進(jìn)行SEPM的安裝，在此需要說明，若要完整安裝SEPM則應(yīng)該在Symantec Network Access Control的安裝啟動項(xiàng)里安裝過Symantec Endpoint Protection Manager（如下圖3.7），安裝完成后會自動彈出管理</p><p>　　圖3.7 SNAC安裝面板</p><p>　　服務(wù)器配置向?qū)О惭b詳情見附錄2，之后點(diǎn)擊進(jìn)入S

101、ymantec Endpoint Protection的安裝介質(zhì)目錄，點(diǎn)擊“Setup.exe”安裝，再次選擇Symantec Endpoint Protection Manager選項(xiàng)，會提示復(fù)制許可、復(fù)制安裝包等提示信息窗口，然后會出現(xiàn)升級向?qū)?，可對管理服?wù)器進(jìn)行升級，這樣做，才會在SEPM控制臺界面看到“策略完整性”選項(xiàng)，詳見附錄3，安裝完成后登陸SEPM控制臺，并在其管理員選項(xiàng)中的客戶端軟件安裝包里到處所需要的SEP安裝包，設(shè)置

102、安裝包的導(dǎo)出路徑，并選擇安裝包的功能模塊（僅限防病毒和防間諜軟件），指定本臺SEPM服務(wù)器所屬的組，點(diǎn)擊確認(rèn)即可，系統(tǒng)會自動開始創(chuàng)建軟件安裝包，安裝包創(chuàng)建完成后，進(jìn)入相關(guān)目錄，點(diǎn)擊安裝程序完成SEPM服務(wù)器的客戶端安裝，把安裝包放在需要進(jìn)行防護(hù)的計算機(jī)上進(jìn)行SEP的安裝，也可以在本服務(wù)器機(jī)器上安裝，導(dǎo)出及安裝SEP安裝包詳見附錄4，安裝完成后，安裝完畢，安裝界面自動退出，自動啟動SEP客戶端的服務(wù)，建議重新啟動計算機(jī)，重新加載相關(guān)模塊,

103、另外安裝完畢，重啟后，系統(tǒng)會自動升級病毒庫檢查客戶端狀態(tài)及各項(xiàng)防護(hù)是否正常</p><p>　　3.2 SEP實(shí)施前的環(huán)境檢查</p><p>　　一般而言，Symantec Endpoint Protection Manager 及客戶端的系統(tǒng)要求與所支持的操作系統(tǒng)的系統(tǒng)要求相同。</p><p>　　安裝Symantec Endpoint Protection

104、Manager 計算機(jī)系統(tǒng)的要求如下：</p><p>　　處理器所滿足的要求：對于32 位處理器：頻率最少為 1 GHz 的 Intel Pentium III 或性能相當(dāng)?shù)奶幚砥鳎ńㄗh使用 Intel Pentium 4 或性能相當(dāng)?shù)奶幚砥鳎?。?4 位處理器：頻率最少為 2 GHz 且支持 x86-64 的 Pentium 4 或性能相當(dāng)?shù)奶幚砥?lt;/p><p>　　注意：不支持 I

105、ntel Itanium IA-64 和 PowerPC 處理器。</p><p>　　物理RAM的要求如下：對于 32 位操作系統(tǒng)，需要 1 GB RAM；對于 64 位操作系統(tǒng)，需要 2GB RAM；對于具有更高要求的操作系統(tǒng)，則應(yīng)配備更多的RAM。</p><p>　　硬盤驅(qū)動器則要有4 GB 或更大的可用空間。</p><p>　　顯示器分辨率至少為8006

106、00。</p><p>　　適用的操作系統(tǒng)有：Windows 7、Windows XP（32 位，SP3 或更高版本；64 位，所有 SP）、Windows Server 2003（32 位、64 位，R2、SP1 或更高版本）、Windows Server 2008（32 位、64 位）、Windows Small Business Server 2008（64 位）、Windows Small Busines

107、s Server 2011（64 位）和Windows Essential Business Server 2008（64 位）。</p><p>　　使用的Web 瀏覽器需是：Microsoft Internet Explorer 7、8、9及以上版本或者是Mozilla Firefox 3.6 或 4.0及以上版本。</p><p>　　Symantec Endpoint Protec

108、tion Manager 包括嵌入式數(shù)據(jù)庫。您也可以選擇使用以下 Microsoft SQL Server 版本中的一種：SQL Server 2000、SP4 或更高版本、SQL Server 2005、SP2 或更高版本、SQL Server 2008。</p><p>　　如果在同一臺計算機(jī)上安裝 Symantec Endpoint Protection Manager 和 SQL數(shù)據(jù)庫，則建議至少使用 4