SEP售前资料.ppt

1、Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,Copyright Symantec Corporation 2007,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,SEP,售前文档,倪龙平,系统工程师,lpni,2,端点产

2、品包,独立产品,:,Symantec,Endpoint Protection 11.0,Symantec,Network Access Control 11.0,Symantec,Network Access Control Starter Edition 11.0,捆绑,/,多产品包,:,Symantec,Multi-tier Protection 11.0,Symantec,Endpoint Protection Small Business Edition 11.0,无可匹敌的全面保护,.,无需额外的端点解决方案,防病毒,反间谍软件,防火墙,（主机）入侵防御,设备控制,网络准入控制,应用

3、控制,（网络）入侵防御,所需的端点技术,Symantec,Endpoint,Protection,v11.0,竞争产品,B,A,C,集成,SNAC,内置到代理,简单许可便可实现,全面保护,一流的技术,本地创建与购买,*,SEP11.0,重新定义终端安全防护的概念,Symantec,防病毒与先进的威胁防护技术结合起来,单一的解决方案提供终端安全防护,单代理、单控制台,结果,:,降低了成本、复杂度，减少了风险的暴露,增强了保护、控制和管理性,防病毒,防间谍软件,防火墙,(,主机,),入侵防护,设备控制,应用控制,(,网络,),入侵防护,5,Symantec Policy Manager,Syman

4、tec System Center,Symantec Endpoint Protection Manager,SEP11.0:“,比单纯的防病毒做的更多,”,防火墙和,IPS,防病毒及防间谍软件,防病毒及防间谍软件,Confidence Online,网络访问控制,设备控制,防火墙,Symantec,防病毒,10.2,Symantec Client Security 3.1,Symantec WholeSecurity,Symantec Sygate Enterprise Protection 5.1,SEP 11.0,网络访问控制,防病毒及防间谍软件,主动性威胁保护,网络威胁保护,SNAC

5、11.0,SEP11.0,模块,防病毒 及防间谍软件,网络威胁 防护,主动性 威胁防护,网络访 问控制,Symantec,端点安全管理器,防病毒及防间谍软件,检测、拦截和移除,病毒,间谍软件,Rootkits,其他恶意软件,主动性威胁防护,针对零时差攻击提供保护,基于策略拦截对设备的访问,网络威胁防护,检测和拦截外部威胁,进出数据访问控制,位置感知的策略,网络访问控制,强制端点遵守安全策略,拦截未授权的端点的访问行为,防护来自远程办公员工带来的危害,9,客户端内存占用,21M,21MB,62MB,129MB,10,Module1,防病毒及防间谍软件主要功能,防病毒 和防间谍软件的主要功能,最好

6、的防护恶意软件的产品,强化了实时保护和拦截功能,自动清除,强化了对间谍软件的防护,新增的,rootkit,保护功能,裸磁盘扫描,改善了性能，为系统提供更好的保护，同时降低了对系统的影响,犯罪软件,间谍软件,蠕虫,病毒,全球领先的防病毒技术,连续,30,多次通过,VB100,测试,Virus Bulletin Feb 2007,AV Comparatives 2007,年,2,月,病毒检测率得分最高,12,间谍软件检测和移除的改善,用户模式,内核 模式,Windows,文件系统,卷管理器,删除器,物理磁盘,MS,文件系统,API,直接卷访问,现在的删除器,Rootkit,挂点,间谍软件和,Roo

7、tkit,引擎,可扩展的“清除器,”,修复引擎，,自动更新，能够持续不断的改善,不依赖于新版本发布,提高病毒查杀能力,SEP 11.0,的强化,更底层的,rootkit,检测,直接裸硬盘扫描,-,用户模式,Rootkits,影响用户模式安全软件和用户模式操作系统,-,内核模式,Rootkits,影响文件系统和操作系统内核,13,客户端性能的改善,客户端性能,根据加载点缓存更加快速的按要求扫描,改善了病毒清除器的性能,按要求扫描调优,“在我所测试过的机器中，用户体验非常不错。我可以轻松执行其他任务并在应用间自由切换 实际上，即使对于平衡性扫描,如果不是因为我听到硬盘的声音，我甚至不知道它在进行扫

8、描。,”,来自外界测试客户的反馈,14,Module2,网络威胁防护的主要功能,网络威胁防护的主要特性,最好的基于规则的应用防火墙,IPS,引擎,对漏洞利用攻击的一般性拦截,(GEB),基于包或流的,IPS,定制的,IPS,签名，与,Snort,类似,位置感知,缓存溢出,后门,1010101,1010101,1010101,混合型威胁,对已知漏洞的利用,15,业界最好的个人防火墙,This Magic Quadrant graphic was published by Gartner,Inc.as part of a larger research note and should be eva

9、luated in the context of the entire report.The Gartner report is available upon request from Symantec.The Magic Quadrant is copyrighted June 2006 by Gartner,Inc.and is reused with permission.The Magic Quadrant is a graphical representation of a marketplace at and for a specific time period.It depict

10、s Gartners analysis of how certain vendors measure against criteria for that marketplace,as defined by Gartner.Gartner does not endorse any vendor,product or service depicted in the Magic Quadrant,and does not advise technology users to select only those vendors placed in the Leaders quadrant.The Ma

11、gic Quadrant is intended solely as a research tool,and is not meant to be a specific guide to action.Gartner disclaims all warranties,express or implied,with respect to this research,including any warranties of merchantability or fitness for a particular purpose.,来源,:,个人防火墙的神奇四相限，,06,年,1,季,John Gira

12、ld,2006,年,6,月,27,日,个人防火墙功能,基于规则的应用防火墙引擎,防火墙规则触发器,应用、主机、服务、时间,完全支持,TCP/IP,TCP,UDP,ICMP,Raw IP Protocol,，,ARP,支持以外网协议,能够拦截协议驱动,例如：,VMware,WinPcap,16,SSH,IM,SMTP,FTP,HTTP,RCP,入侵防护系统,rule tcp,tcp_flag&ack,daddr=$LOCALHOST,msg=182.1 RPC DCOM bufferoverflow attempt detected,content=x05x00 x00 x03x10 x00 x

13、00 x00(0,8),定制的签名引擎,签名的,IPS,GEB,SSH,IM,SMTP,FTP,HTTP,RCP,入侵防护功能,通用漏洞利用攻击拦截,GEB(,主动防护技术,),深入的包检查,IPS,引擎允许管理员创建他们自己的签名,使用类似于,SNORT,的签名格式,抵御普通的和高级的逃避技术,17,位置感知策略，自动处所切换,AutoLocation,触发器,IP,地址,(,访问或掩码,),DNS,服务器,DHCP,服务器,WINS,服务器,网关地址,TMP,令牌,(,硬件令牌,),DNS,名称解析到,IP,连接了管理服务器,网络连接类型,(,无线、,VPN,以太网,拨号,),支持和,/,

14、或关系,测试,:,办公,策略,:,远程,企业,LAN,远程位置,(,家,咖啡馆，宾馆等,),VPN,18,Module3,主动威胁防护的主要功能,主动性威胁防护的主要功能,行为的威胁防护,与,Whole Security Confidence Online,完全集成,非基于签名的恶意软件检测和拦截,防护零日攻击和未知威胁,设备控制,拦截外设，拦截读写执行,系统锁定和操作系统保护,增强了对本地文件系统和应用的保护,系统设备,零日漏洞利用，,未知威胁,系统权限,19,主动威胁防护,:,行为检测引擎,枚举进程,枚举所有进程和嵌入式组件,分析进程的行为,评估每个进程的行为和特征,为每个进程打分,检测程

15、序是有权重的，进程被分级,自动保护,标识出恶意代码，做出报告并自动进行处理,?,每个进程有,2,个分值：,正常分值,Valid Score,恶意分值,Malicious Score,20,操作系统保护,应用行为分析,监控行为或应用,进程执行控制,阻止有害程序运行,文件访问控制,拦截对文件和文件夹的非法访问,注册表访问控制,控制对注册表键值的访问和写入,模块及,DLL,加载控制,阻止应用程序加载模块,WINDOWSsystem32,21,系统锁定,系统锁定功能,在受保护的系统中，阻止任何未授权代码的运行,恶意软件,未授权的应用,创建系统的指纹,工具,Checksum.exe,建立这个清单,追踪每

16、个可执行文件的运行痕迹,(exe,com,dll,ocx,etc.),对任何不在列表上的执行文件进行拦截,22,设备保护,心怀不满的员工,/,内部攻击者,自动运行的漏洞利用攻击,rootkits,间谍软件等,设备拦截端口,支持所有常用端口,USB,红外,蓝牙,串口,并口,火线,(,Firewire,),SCSI,PCMCIA,设备保护的功能,按类型拦截设备,(Windows Class ID),拦截来自移动设备的读,/,写,/,运行,23,Symantec Endpoint Security Manager,功能概览,监控及报告,邮件报告发布,集中式的事件日志,可定制的报告过滤器,实时事件视图

17、命令系统,网络安装状态视图,通知视图,事件导出到,SSIM,及第三方,SIEM,嵌入式及,MSSQL,支持,管理,基于,web,的集中式控制台,中小企业和大型企业简化了用户界面,基于角色的访问,管理域,按用户或用户组分配权限,用户定义的，多层的用户组,RSA,SecurID,认证,策略实施,对所有代理组件进行全面管理,单一控制台，定义和管理,AV,FW,NAC,及其他策略,基于组的策略应用,可重用的策略对象,exclusions,和,exceptions,的集中设置,部署和集成,客户端安装包构建器,补丁及更新,远程代理安装,导入和同步,AD,用户和组织机构,通过,AD,鉴别管理用户,可定制的

18、代理软件包安装设置,从,SAV,SCS,SSEP,及,SNAC,移植,24,端点策略,在管理服务器和,Datastore,间进行故障切换,企业级的高可用性架构,Datastore,集群中的数据库,SESM,SESM,SESM,Datastore,集群中的数据库,SESM,SESM,SESM,复制,站点,A,站点,B,25,集成,Microsoft Active Directory,MS Active Directory,SESM,和,Datastore,集成,AD,的几点好处,镜像,组织单元结构,目录一致性,管理效率,基于用户的策略管理,定期进行,AD,同步,26,管理员决定哪个客户端组应该升

19、级,SEP11.0,全自动的客户端升级,使用,SESM,创建,delta,包，包含了最新版本和以往所有版本的区别,客户端安装包,构建器,SEP 11.0.0,客户端,SEP 11.0.1,客户端,SEP 11.0.3,客户端,2,3,1,升级到,SEP 11.1,升级到,SEP 11.1,升级到,SEP 11.1,客户端等级并获得与当前版本相符的补丁,SAV,升级到,SEP11.0,第,1,步,:,安装,SESM,软件,可以被安装到父服务器上,第,2,步,:,从,SSC,迁移组和策略信息,使用转换工具,第,3,步,:,安装,SEP 11.0,软件,客户端将连接到,SESM,服务器上,客户端使用

20、默认配置，端点能够立刻得到保护,第,4,步,:,不再需要系统中心服务器,Symantec,系统中心,Symantec Endpoint,Security Manager,SAV,迁移到,SEP11.0,1.,安装,SESM,软件,也可以安装到独立的服务器上,2.,客户端安装,SEP 11.0,客户端连接到,SESM,服务器,3.,不再需要原,SAV,服务器,Symantec,系统中心,SEPM,SESM,方便快捷地升级或迁移到,SEP 11.0,基于向导的安装程序可以一步步的帮助您轻松安装,SEP11.0,客户端,支持对先前安装版本的,over-install,，不需要卸载现有的的客户端代理,

21、不需要在安装后重启客户端,大量的在线指导和指南，帮助您实施,SEP11.0,可采用软件分发工具、,SESM,安装工具、网络安装、登录脚本等方式进行客户端的升级,30,SEP 11.0,支持的平台,操作系统,32-bit,64-bit,客户端,Windows Vista,X,X,Windows 2003,X,X,Windows XP,X,X,Windows 2000(SP3,或更高,),X,MacOS(v10.3,或更高,),X*,Linux,X*,SESM,服务器,Windows 2003,X,X,Windows XP,X,Windows 2000(SP3,或更高,),X,SNAC 11.0,

22、SEP11.0,模块,防病毒 及防间谍软件,网络威胁 防护,主动性 威胁防护,网络访 问控制,Symantec,端点安全管理器,防病毒及防间谍软件,检测、拦截和移除,病毒,间谍软件,Rootkits,其他恶意软件,主动性威胁防护,针对零时差攻击提供保护,基于策略拦截对设备的访问,网络威胁防护,检测和拦截外部威胁,进出数据访问控制,位置感知的策略,网络访问控制,强制端点遵守安全策略,拦截未授权的端点的访问行为,防护来自远程办公员工带来的危害,SEP11.0,架构,Laptops,Desktops,SQL,数据库,-Policies,-Events&Logs,-Security Content,-

23、Reporting Data,-State Information,-Updates and Patches,Java,控制台,-Policy Management,-Agent Management,-Roles and Administration,-Launch Reports,-View Alerts,Servers,客户端,Symantec Endpoint Client,管理服务器,Symantec Endpoint Security Manager(SESM),HTTPS to Apache,HTTP to IIS for Reports,蠕虫无视当前的端点防护，侵入企业内部,来源,:,Enterprise Strategy Group,2005,年1,月,ESG,研究,报告,，网络安全和入侵防护,员工的笔记本,通过防火墙的互联网访问,第三方的笔记本,VPN,家用系统,未知,其他,43%,39%,34%,27%,8%,8%,“最常见的自动化网络蠕虫攻击的来源是什么,?”,AV,领域的竞争对手,