文档库

最新最全的文档下载
当前位置:文档库 > McAfee 防病毒产品技术特色

McAfee 防病毒产品技术特色

McAfee 防病毒系统产品技术功能

对您的网络的威胁来自四面八方,而且每天都在变化。如何去面对这些威胁呢?答案是采用全面的多层病毒防护和有效的管理工具。McAfee的防毒产品就具有这些特性并且可以为您提供更多功能。ePolicy Orchestrator可以实现对桌面设备、文件服务器、群件服务器和互联网网关的综合保护–并且是将所有这些项目都集中在一个统一的防护方案之内。借助McAfee,您的系统可以获得彻底的保护。甚至可以包括您的PDA。

McAfee Security解决方案可以为企业客户提供业内领先的防毒产品。McAfee Active Virus Defense (A VD)产品套件是一个多层协作的病毒防护系统,其中包括VirusScan(用于桌面保护)、NetShield(用于Novell服务器保护)、GroupShield (用于群件保护)和WebShield(用于互联网网关保护)。McAfee还通过ePolicy Orchestrator(集成ThreatScan)和Anti-Virus Informant提供了您可以用来管理和加强企业病毒安全策略以及对防毒产品进行更新和进行统计报告所需的所有工具。利用AutoUpdate、Enterprise SecureCast和Management Edition,管理员可以完全控制安全管理和报告的所有特性。McAfee强大的反病毒研究团体McAfee A VERT(反病毒紧急响应与预防小组)全力以赴为其产品提供支持,保护McAfee客户免受最新和最复杂病毒的攻击。

1.1 强大的控制管理中心EPO

McAfee? Security 的ePolicy Orchestrator?是业界领先的管理工具,它能够集中地对防护性能进行协调和管理,从而帮助您实现上述两方面之间的平衡。其功能包括部署、全面的策略管理、更新以及涵盖多个安全层和多个供应商的详细的图形报告。管理员能够将防护功能更新到最新状态,对策略进行管理,并生成针对McAfee、Symantec 和Dr. Ahn 的防病毒产品,以及McAfee Desktop Firewall?和McAfee ThreatScan?的详细图形报告。

更新速度有多快?

对安全策略进行前瞻性管理时,最困难的一个环节就是保持所有的系统都更新到最新的防护性能。ePolicy Orchestrator 在设计时考虑了企业伸缩性的要求,在绝大多数环境下,它能够在单一服务器上进行工作。其智能设计使得服务器不会承担任何的更新任务。所有的更新任务都分散在整个网络中,通过利用分布式知识库,实现了较低的网络流量和较高的性能。更新内容包括所有的McAfee DAT、引擎、服务包、修补程序以及补丁程序。

ePolicy Orchestrator 启用了Express Global Updating,从而实现了前所未有的更新速度。通过使用“SuperAgents”将通信和更新负载分布到整个网络中,Express Global Updating 极大地提升了更新速度,使得IT 管理员能够在一小时内完成50,000 个系统的更新任务—所有更新都通过ePolicy Orchestrator 强大的报告系统来进行验证。这不仅节省了带宽资源,而且极大地提升了用户对各种新威胁的响应能力。X 射线般的透明度

你无法管理那些你看不到的东西—ePolicy Orchestrator 为您提供了所需的透明度,帮助您评估策略的效率,发现网络中的薄弱环节。

通过ePolicy Orchestrator 中预先设定的三十多种报告,您可以轻松地定位没有受到保护的系统、跟踪突发事件的来源、并评估安全策略的效率。无论是只有一页的安全性摘要,还是有关病毒活动、桌面防火墙策略和致命漏洞的详细报告,都能够向您展现完整的信息。您还可以简单地对报告进行自定义,以便符合自己的具体要求。

管理员还可以随意选择一些可以打印和导出的图表类型,包括三维条状图、饼图、折线图以及表格等。ePolicy Orchestrotor 集成了Seagate Crystal Reports 技术和Microsoft 的MSDE/SQL 服务器,通过对简单性和整体性能的平衡来满足各种规模企业的需求。

简化的企业策略管理

ePolicy Orchestrotor 的设计考虑了企业对伸缩性的要求,每台服务器可管理多达250,000 个用户,并可以通过远程控制台简单地进行操作。所管理的策略涵盖了恶意代码防护的每一个层面—更新频率、个人防火墙设置、漏洞扫描、需要扫描的文件类型以及扫描预设—都可以集中设置到每一台机器或每一个组中,而且完全可以由管理员来自定义设置。所有性能都可以自动增强,确保了防护性能的全面性和有效性。

小型企业的需求一直在我们的考虑之中

通常,小型企业没有相关专业人员,也没有足够的时间来关注对恶意代码的防护。Small Business Wizard 提供了防护功能和安全策略简单快捷的部署功能,并针对小型企业环境进行了优化。只需五个简单的步骤,即可将ePolicy Orchestrator 自动部署到网络中可用的系统中—部署防护功能,实施安全策略。所有操作都无须具备全面的安全性知识。

充分利用您的安全性投资

扩展性和行业支持一直是ePolicy Orchestrator 的关键所在。McAfee? 提供了第一款针对第三方防病毒应用程序(例如Symantec 和Dr. Ahn 的产品)的管理和报告工具,并通过ePolicy Orchestrator Fusion Service 帮助企业进一步扩展其安全投资的价值。这些服务由McAfee 专家服务提供,允许ePolicy Orchestrator 集成其它第三方安全应用程序—将同等水平的集中控制和透明度扩展到其它第三方安全产品上。

保护远程用户

有了ePolicy Orchestrator,安全管理员再也不会谈“移动用户”而变色。即使远程膝上型电脑没有连接到网络中,管理员也可以通过增强安全策略,使远程用户在连接到Internet 时再进行更新,这样一来,ePolicy Orchestrator 就能够有效地管理哪些平时得不到管理的环节。由于移动用户对灵活性的要求比较高,因此,ePolicy Orchestrator 自动允许移动用户通过距离自己最近的、带宽资源最有效的服务器来完成更新任务,此外,还提供了对可推迟更新和可继续更新的支持。总的来说,ePolicy Orchestrator 确保了移动用户能够像局域网用户一样得到全面的保护,并同样易于管理。

全面解决实际问题

McAfee 很清楚客户所面临的挑战,因此推出了ePolicy Orchestrator 来帮助您克服这些困难。需要用多种语言来管理防护功能吗?没问题。需要同时管理传统防病毒产品和最新应用程序吗?很简单。需要不同的管理员来管理网络的不同部分吗?可以。希望同时拥有Windows 和NetWare 文件服务器吗?没问题。Exchange Server 和Domino Server 同时存在?可以。需要添加桌面防火墙吗?很简单。针对客户需求而设计,ePolicy Orchestrator 能够轻松解决所有这些问题。

突发事件响应

突发事件响应是ePolicy Orchestrator 的核心功能。有了ePolicy Orchestrator,管理员就能够针对不同的威胁指定特有的响应模式。有些紧急情况需要您立即更新所有的机器,此时,服务器能够向所有代理发出“立即更新”的命令,并在整个网络中完成更新。有时,突发事件可能需要更改桌面防火墙的安全策略,或者要求更新或更改网关上的安全策略。借助ePolicy Orchestrator,您就能够针对目前的问题做出快速响应。此外,ePolicy Orchestrator 的报告功能可以协助您轻松完成经常性的审核或者“突发事件评估”,使您可以很容易地得到自己所需要的数据,保持恶意代码防护策略的有效性。

两个关键问题

在防御恶意代码的过程中,您可能会遇到很多问题,其中有两个是最为重要的。第一个是“我们是否得到了保护?”,第二个是“我们是否已经被感染?”。ePolicy Orchestrator 能够回答这两个问题—验证并确保您的防护功能的有效性,并显示出您的薄弱环节。

1.1.1ePO 3.6技术特色

前瞻性漏洞评估—ePO 能够抢在病毒和蠕虫之前首先发现系统中的安全缺口,它不仅能够对安全策略的一致性进行扫描(包括 Microsoft 安全补丁),而且能够及时发现系

统中隐藏的设备、未受到保护的设备以及容易受到攻击的设备。

McAfee 防病毒产品技术特色

发现Rogue计算机:能够探测外部计算机接入网络,并且向管理员发出报警。

McAfee 防病毒产品技术特色

成熟高效的企业更新过程—可采用完全自动或完全手动两种模式来完成更新,不仅速度快、占用带宽资源非常少,而且还可以通过一致性报告进行验证;Express Global Update 则可以在不到一小时的时间里完成 50,000 个系统的更新

McAfee 防病毒产品技术特色

完善的通知系统

McAfee 防病毒产品技术特色

1.1.2服务器和控制台系统要求

●Windows NT 4.0, SP 6a、Windows 2000 Advanced Server, SP1、SP2 或SP3、Windows 2000 Server,

SP1、SP2 或SP3、Windows 2003 Enterprise、Standard 或Web。

●250 节点以下需要233MHz 的处理器;250 节点以上需要500MHz 或更高的处理器(有关大型

环境的要求,请参阅安装指南)

●1GB 空闲磁盘空间

●NTFS 分区

●128MB RAM

●250 节点以上推荐使用专用服务器

●有关磁盘空间和数据库软件要求的完整信息,请参阅ePolicy Orchestrator 安装指南

1.1.3代理系统要求

●Windows 95/98、Windows NT Server 4.0 SP4、SP5、SP6 或SP6a、Windows NT Workstation SP4、SP5、

SP6 或SP6a、Windows 2000 Advanced Server, SP1、SP2 或SP3、Windows 2000 Server, SP1、SP2 或SP3、Windows 2000 Professional SP1、SP2 或SP3、Windows 2000 Datacenter SP1、SP2 或SP3、Windows Me、Windows XP Professional SP1、Windows 2003 Enterprise、Standard 或Web

●NetWare 4.2、4.6、5.0、5.1、6.0 或者6.1

1.1.4完善的技术支持

McAfee? 的所有产品由PrimeSupport? 和McAfee Laboratories 提供支持。PrimeSupport 服务针对客户企业的需求而定制,提供基本的产品知识和快速、可靠的技术解决方案,以确保客户企业的顺利运营。McAfee Laboratories 是全球信息系统和安全技术的领导者,向客户保证了我们将不断开发和完善我们所有

的产品。

1.2 防病毒产品VirusScan

McAfee? VirusScan? 8.5i 进一步提高了病毒防护功能,将入侵防护功能与防火墙技术集成于针对计算机和文件服务器的单一解决方案中。这种强有力的结合为用户提供了极具前瞻性的防护,使其免受当今最新威胁的侵扰—包括缓冲区溢出和混合病毒的攻击—并提供先进的病毒突发管理响应功能,从而能够减少损失和病毒突发带来的成本费用。McAfee ePolicy Orchestrator? 或ProtectionPilot? 提供全面管理,便于遵守易于扩展的安全策略,并进行图形报告编制。

1.2.1主要优势

VirusScan Enterprise 8.5i

●集成的防火墙与HIPS 技术–防火墙与入侵防护技术的集成使VirusScan具有最大限度的前瞻

性防护功能,包括Block蠕虫病毒发送异常流量的端口和不需新病毒Signature就可以阻止利用应用Buffer Overflow漏洞的蠕虫病毒。

McAfee 防病毒产品技术特色

●对新威胁增强防护–VirusScan 8.5i 提供了对最新出现的、危及程序安全的恶意威胁(例如,“间

谍”软件)、特定程序的缓冲区溢出攻击、及混合病毒攻击的防护。

McAfee 防病毒产品技术特色

端口阻塞——病毒突发期间的低成本响应–先进的outbreak 功能可在DAT 文件出现之前就关闭漏洞口,通过阻塞病毒入口和防止突发病毒蔓延的方法将损失限制在最低限度。

McAfee 防病毒产品技术特色

●McAfee 扫描技术–屡获殊荣的McAfee 扫描引擎通过对内存的扫描来拦截那些不会将代码

写入磁盘的病毒(如Netsky 和CodeRed) 所带来的威胁。

McAfee 防病毒产品技术特色

●访问控制—阻止未知蠕虫病毒通过访问控制,保护某些目录,可以阻止蠕虫病毒传染计算机。

McAfee 防病毒产品技术特色

1.2.2产品功能

全方位的McAfee 病毒防护

McAfee 防病毒扫描引擎能够拦截各种病毒和恶意代码威胁,包括宏病毒、木马程序、Internet 蠕虫、32 位高级病毒,甚至是恶意的ActiveX 和Java 对象。VirusScan 采用的防病毒技术能够对压缩数据进行深入分析,因而能够检测出隐藏在.zip 或其他类型压缩文件中的威胁。先进的启发式检测和通用检测技术使VirusScan 具有了前瞻性的防护能力,能够―提前‖防御各种新的、未知的病毒以及其它多种威胁。潜在―垃圾‖程序安全

VirusScan 能够自动检测―垃圾‖程序,有效防止隐藏程序跟踪企业和用户的Internet 使用记录、访问用户个人数据(例如密码和帐户信息)或者在用户系统中造成安全漏洞。当ViruScan 侦测到―垃圾‖程序时,用户或管理员可选择让ViruScan 作出下列回应之一(警告、清除、删除、和隔离)。管理员甚至可以按公司定义一个―垃圾‖程序列单,如―adware、dialers 或joke 程序,从而使公司的端点系统―COE compliant‖。

缓冲区溢出防护(IPS 功能)

VirusScan 8.5i 可防护大约20 种最常用的软件应用程序和Microsoft? Windows? OS 服务,其中包括Microsoft Word、Excel、Internet Explorer、Outlook 和SQL Server。必要时,管理员还可以按程序指定例外情况。

全面的病毒突发回应

VirusScan 8.5i 内设的病毒突发回应功能可在生成DAT 文件之前就提供有效防护,这使得管理员可以在发现病毒之后、接到DAT 文件之前对严重的漏洞口采取及时的行动。突发回应功能包括:

?端口阻塞/锁定(防火墙功能)

允许管理员或用户―关闭‖(阻塞)特定的端口,使传出或传入的网络流量无法进行端口(例如,对于MyDoom,应该堵塞端口#3196;而对于Bagel.n,应堵塞是端口port #2556)。

?应用程序监控:电子邮件引擎(防火墙功能)

允许管理员阻塞传出端口,但制定允许某些程序通过已阻塞端口进行交流。例如,管理员有可能阻塞了传出流量的端口25,但却允许outlook.exe 通过该端口进行传出交流。如果开启了该功能,NetSky 和MyDoom 当时就不可能溜出系统了。

?文件锁闭、目录锁闭、文件夹/share 锁闭(IPS 功能)

按系统或传入的网络程序来生成用策略,用以控制已获授权、可能发生在特定文件、目录或文件夹/share 等(所使用的名称格式中含文字、通配符)的行动。例如,为名为Sasser 的蠕虫制定的策略有可能会影响到阻塞avserve*.exe, skynetave.exe, lsasss.exe, napatch.exe, *_up.exe, cmd.ftp, ftplog.txt, winlog2.*, 和win*.log。

?传染追溯与拦截

VirusScan 可以发现和追溯将恶意代码发送到运行ViruScan Enterprise 8.5i 的端点系统的IP 地址(传染源),并将传染源信息发送会管理控制台。另外,它还可以使来自传染源端点系统的信息交流被阻塞一段时间(可配置的)或使其始终受阻(直到重新另行设置后)。

强大的内存扫描

VirusScan 8.5i 增强了扫描功能,包括可以对病毒、蠕冲和木马进行―按需扫描‖或―定时的存储扫描‖。也就是说,VirusScan 能够抵御多种诸如CodeRed 和SQLSlammer 的威胁因素,虽然此类威胁不会将代码写入到磁盘中,但VirusScan Enterprise 却可以从内存中直接清除掉它们的进程。

集中的管理和报告功能

VirusScan 8.5i 集成了McAfee ePolicy Orchestrator,唯一名副其实易于扩展的安全策略管理工具之一,从而可提供策略干练、详细的图形报告编制和软件部署。ePolicy Orchestrator 具有促进防护实施的集中授权,可提供一个单一的控制台,以管理您的McAfee 部署。另外,小型和中型企业还可以利用用户友好的McAfee ProtectionPilot 管理控制台来简化管理和监控程序。

增强的电子邮件扫描功能

VirusScan 8.5i 除了对Microsoft Outlook 的邮件进行扫描外,还可以将发送到桌面机的所有Lotus Notes Clients 电子邮件(包括HTML 文本和附件)进行扫描。还可以对安装了Outlook 和Lotus 这两种电子邮件接发软件的系统提供支持。

对使用脚本带来的威胁的防护

VirusScan 8.5i 可以通过侦测和防止利用JavaScript 和(或)Visual Basic (VB) 脚本(例如,Nimda 或LoveLetter)实施的恶意代码而导致的感染。

针对移动用户的优化功能

区域服务器路由使得用户能够根据地理位置和连接速度对现场更新进行优化,较小的文件规模也使得用户能够轻松地通过连接速度较慢的网络(例如拨号连接)来下载更新文件。借助于可恢复的更新功能,即使远程用户的网络连接被中断,他们也仍然能够在其它时间从中断处继续下载更新文件。

1.2.3系统要求

注意:以下列出的仅为最低系统要求。实际需求视客户的具体环境而定,可能有所不同。

工作站要求

?Pentium 或Celeron 处理器,最低运行频率166MHz

?32MB RAM

?最小硬盘空间10MB,建议保留20MB 硬盘空间

?Windows NT 4.0 SP6 或更高版本

?Windows XP Home 和Professional SP1

?Windows 2000 Professional SP1 或更高版本

?Microsoft Internet Explorer 4.0 或更高版本

?注意:VirusScan 4.5.1 支持Microsoft Windows 95/98/ME

服务器要求

?Pentium、Celeron 或Itanium 处理器,最低运行频率166MHz

?32MB RAM

?20MB 硬盘空间

?Windows NT 4.0 Server SP6 或更高版本;Windows NT 4.0 Enterprise Server SP6 或更高版本

?Windows 2000 Server SP1 或更高版本;Windows 2000 Advanced Server SP1 或更高版本?Windows Server 2003:Standard、Enterprise 或Web Edition

?Microsoft Cluster Server (MSCS)

?支持的其他平台:Citrix MetaFrame 1.8 和XP;EMC Celerra 文件服务器

?Microsoft Internet Explorer 4.0 或更高版本

1.3 McAfee ThreatScan(集成在EPO中)

在病毒和蠕虫之前抢先发现网络漏洞

近几年来,恶意代码的威胁发生了巨大的变化。到目前为止,威胁种类已超过了72,000 种,每个月出现的新威胁类型达200 多种。除“传统”病毒威胁以外,我们还面临着大量邮件群发、常见Internet 蠕虫、DDoS(分布式拒绝服务)攻击、后门木马程序以及Zombie。如今的混合威胁也比以往更加智能化。它们能够利用多种攻击机制,将系统资源占用(以前只有黑客攻击才会用到)与病毒和Internet 蠕虫的扩散能力结合起来展开攻击。今天,威胁的扩散速度也比以往快,在几小时,甚至几分钟内就能够扩散到全球范围。面对如此严峻的形势,IT 管理人员需要保护的设备也比以往大大增加,不仅要保护桌面计算机,而且要保护移动设备。最终的结果,就是在新威胁的出现与企业部署修补程序的能力之间形成了一个不断增长的“易损性窗口”。

为了保护您的IT 基础架构免受攻击,您必须采用这样一种战略:既要利用传统的防病毒软件,又要采用前瞻性工具,在病毒和蠕虫之前发现漏洞所在,确保网络中所有的机器都能够得到保护。

McAfee? ThreatScan?能够进行前瞻性的扫描和报告,确定客户企业中的机器是否得到了保护和管理、是否存在安全漏洞、以及是否已经被感染。借助ThreatScan,您将能够部署主动的预防措施,避免设备被感染,降低相关的成本,而不仅仅是针对感染问题采取“响应型”措施。

主要优势

?识别出以往没有被发现、没有得到管理的机器,将容易受到网络感染的机器标记为“未保护”机器或“存在漏洞的”机器,从而提升安全策略的兼容性。

?抢在“即将爆发”的新病毒或蠕虫之前发现客户企业的漏洞。

?对病毒、蠕虫或木马程序所使用的活动网络端口进行识别,从而在获得病毒定义之前,对新的威胁进行前瞻性的检测。

?利用详细的图形化报告对企业中的漏洞进行快速、简单的跟踪。

识别出以往没有被发现、没有得到管理的机器

在今天,要想击败恶意代码的攻击,首先就要保持一个高水平的策略兼容性—也就是确保网络中的

机器都得到了妥善的保护。但是,如果对象无法衡量,也就无法对其进行管理。如果要对一台机器进行管理,就要确认它是真实存在的。目前,很多企业都被那些自己没有发现的、没有保护和管理的、以及存在安全漏洞,极易受到攻击的设备搞得不知所措。而ThreatScan 则能够识别出连接到网络的所有设备,并能够提供相关的详细信息,包括机器名、操作系统(包括服务包)、以及该机器是否为企业病毒防护管理解决方案的一个组成部分。

找出整个网络中的安全漏洞

目前,越来越多的威胁都是利用我们正在使用的操作系统和应用程序中的安全漏洞发起攻击的。这些漏洞为病毒和蠕虫提供了一个立足点,使它们能够轻易进入企业网络,并在机器之间、以及整个企业网络内迅速扩散。单就Microsoft? 产品来说,其2002 版产品就需要70 多个安全补丁,如此看来,软件维护并不是一个轻松的任务。除此以外,软件更新程序的容量也导致很多组织忽视了这项关键任务。ThreatScan 能够抢在病毒和蠕虫之前,发现网络中的漏洞所在。它还能够为用户说明这些威胁所带来的风险,以及应该如何解决这些问题。这包括容易受到攻击的应用程序、操作系统、网络协议、或者是以往的感染事件所造成的损失和危害。ThreatScan 还能够识别出网络中所有的开放式共享,正如我们所知道的,越来越多的威胁已经开始利用这些开放式共享作为在企业网络中进行扩散的手段。

对新威胁进行预防

新的威胁能够在几小时,甚至几分钟内在全球进行扩散,因此,我们必须采用相应的工具来预先识别这种感染趋势,直到部署新的病毒定义后,对其进行识别和清除。通过检查机器中处于活动状态的网络端口(TCP 和UDP),ThreatScan 能够找出远程访问木马程序以及其他攻击方式所能够利用的“立足点”,这些攻击通常会尝试在机器上打开一个新的端口,从而提供远程访问和控制。此外,ThreatScan 还能够帮助您识别机器中处于活动状态的恶意进程。ThreatScan 的常规模块更新会在每个月发布,帮助您保持与威胁的同步发展。紧急更新也将随着新威胁的出现而尽快发布。

通过ThreatScan 的进程报告全面了解您的网络

ThreatScan 集成了McAfee ePolicy Orchestrator?的强大功能,帮助您全面了解网络的每一个部分,包括那些以往没有得到ePolicy Orchestrator 管理和保护的设备。这就意味着您能够快速识别、量化以及解决网络中存在的问题,并采取适当的措施。ThreatScan 提供了一系列的报告,使您能够全面了解所有扫描的设备中的策略兼容性。这些报告包括策略兼容性进程报告、漏洞消除进程报告以及机器兼容性进程报告等,它们为您提供一个网络“快照”,使您能够通过对比,了解不同时间内网络中的进程情况。用户能够根据自己实际的网络环境对这些报告进行自定义设置,报告所支持的操作系统和设备包括:

?Microsoft Windows? 2000 Server、Advanced Server、Professional、NT4.0 Server、Workstation、9x、ME、XP Professional、以及XP Server

?AIX 3x 及4x

?BSDI、FreeBSD 以及NetBSD

?HP-UX 9x、10x 以及11x

?IRIX 6x

?Linux 10x、20x、21x、22x 以及23x

?MacOS 8x

?Solaris 2.6 及2.8

?HP LaserJet、Cisco ios 以及Ascend

ThreatScan 的工作模式

ThreatScan 通过ePolicy Orchestrator 进行管理,使用ThreatScan 代理对网络进行分析。代理可以使用ePolicy Orchestrator 安装到Windows NT4、Windows 2000 或者Windows XP 机器中。每个网段只需安装一个ThreatScan 代理,因此,您无需将ThreatScan 安装到网络中的所有机器中。代理将安装IP 范围、列表以及子网进行扫描。简单来说,只要您能够使用Ping 命令检测到对象机器,则ThreatScan 代理就能够对它进行扫描。ThreatScan 任务用来对网络中所有安装了代理的网段进行评估,这些任务由ePolicy Orchestrator 创建并负责日程规划,同时,一系列图形化的详细报告将帮助您了解扫描的结果。

Expert Services —帮助您实现最大的投资价值

随着对信息技术的依赖性不断提高,以及各种攻击技术的不断进步,评估安全状态、部署安全技术、采用切实可行的安全策略,已经称为了当今的企业能否获得成功的首要条件。McAfee? Expert Services 能够在安全规划管理的任何一个阶段为您提供实用的、专业的支持和协助,从设计、评估,到技术部署以及紧急响应。作为网络优化和安全服务的主要提供商,我们深深地认识到,可用性和安全性是同等重要的两个业务目标,对于企业能否获得成功具有同样关键的作用。遵从这个理念,我们所提供的解决方案能够帮助用户实现网络运行的有效性和安全控制之间的平衡,使安全防护手段真正服务于企业,而不会阻碍企业的业务和发展。

系统要求

1.3.1ePolicy Orchestrator 服务器和控制台要求

软件

?ePolicy Orchestrator 2.5(ThreatScan 2.0 或ThreatScan 2.1)

?ePolicy Orchestrator 3.6(ThreatScan 2.5)

处理器速度

?扫描250 个以下的目标主机—Intel Pentium 233MHz 或更高速度的处理器

?扫描250 个以上的目标主机—Intel Pentium 500MHz 或更高速度的处理器

操作系统

?Microsoft Windows NT Server 4.0 SP1 或更高版本(英文版)

?Microsoft Windows 2000 Server SP1 或Advanced Server SP1(英文版)

数据库

?Microsoft Data Engine(MSDE)或Microsoft SQL Server 7 SP3

磁盘空间

?最低250MB 初始磁盘空间(用户部署ThreatScan 代理并设置策略后,数据库大小和磁盘空间要求将会改变)

其他要求

?支持TCP/IP 的网络接口卡(NIC)

?1024x768,256 色VGA 显示器

?Microsoft Internet Explorer 5.01 SP1 或更高版本

1.3.2ThreatScan 代理要求

操作系统

?Microsoft Windows NT4.0 SP4 或更高版本

?Microsoft Windows 2000 Server SP1 或Advanced Server SP1

其他要求

?Intel? Pentium? 266MHz 或更高速度的处理器

?128MB 内存

?200MB 硬盘空间

?Microsoft Internet Explorer 5.01 SP1 或更高版本

?ThreatScan 代理可以与下列McAfee Security 产品安装在同一台机器中

?VirusScan? 4.5.1 SP1 或VirusScan Enterprise 7.0

?NetShield? 4.5.1 SP1

?Desktop Firewall? 7.5

语言支持

?ThreatScan 的用户界面、文档及报告仅提供英文版

?ThreatScan 能够扫描本地化的操作系统,并针对所支持的操作系统提供报告,但不提供本地化语言的报告

?ThreatScan 能够扫描并报告本地化的应用程序中的漏洞

1.3.3技术支持

我们的PrimeSupport? 活动和McAfee 实验室将对McAfee? 所有产品提供支持。根据客户的实际需求定制产品和解决方案,PrimeSupport 服务提供产品的基础知识和快速、可靠的技术解决方案,帮助您处于技术的最前沿。McAfee 实验室是全球信息系统和安全策略的领导者,对我们的技术进行不断的开发和改进,以保障您的应用和安全。

1.4 VirsScan CommandLine

McAfee Command Line Scanner和VirusScan for UNIX

何时使用command line(命令行)扫描器

McAfee VirusScan在有效抵御病毒攻击方面成绩卓著,倍受数百万家企业的信赖。当然,它在大多数情况下,可以提供Microsoft Windows不同版本下的持续后台保护。然而,在某些场合使用命令行扫描器也是很有用的。也许您需要在另一个应用旁并列使用一个命令行扫描器–例如,协同互联网网关与一个第三方内容过滤器。又或者也许您希望将命令行扫描器集成到您自己的客户业务应用或流程中。McAfee的VirusScan 命令行扫描器在此情形下表现完美。它将全面检测和清除与粒度控制结合在一起,这些都是命令行扫描器所具备的独特功能。

在DOS和Windows下扫描

当SCAN.EXE运行时,它会检查您是否运行了Windows。如果已经运行Windows,则它将使用McAfee的32位Windows 扫描引擎。如果您运行的是DOS,则它将调用SCANPM.EXE,该文件可以将PC切换到保护模式再使用McAfee的32位Windows扫描引擎执行扫描。如果它是显式地从命令行进行启动,则SCANPM.EXE运行于Windows环境中。然而,因为它没有针对此环境进行优化,所以一般不建议这样做。

扫描UNIX文件系统

McAfee为系列众多的UNIX平台提供了命令行扫描器,这些平台有AIX、FreeBSD、HP-UX、Linux v2.x kernels、SCO UNIX 和Solaris(SPARC)。我们的UNIX扫描器针对日益增长的“土生”UNIX病毒提供了比“search and destroy”(搜索与清除)更多的扫描功能。针对遍及您的

企业网络的Windows桌面机,它们可以扫描所有驻留在任何作为文件存储器运行的UNIX系统中的病毒。

全面扫描当前的病毒

如今,有超过60,000种的病毒,除了“传统的”病毒,同时还有现在的mass-mailers、互联网蠕虫、DdoS(分布式拒绝服务)攻击、后门特洛伊木马及僵尸程序。McAfee的命令行扫描器,在McAfee扫描引擎中内置了高级的扫描技术,可以检测所有这些病毒。

高瞻远瞩的主动安全保护

新病毒不断出现,并且如今的许多病毒和蠕虫是以互联网速度来传播的,它们发作极快且移动迅速!所以,一个扫描器识别新的、未知病毒的能力比以往任何时候都重要。McAfee的命令行扫描器利用McAfee扫描引擎的主动检测技术来隔离新的病毒。

启发式检测

McAfee的高级启发式分析可让我们“透视”一个文件中的代码,以分析它产生的行为是否是病毒的典型行为。发现“类似病毒的”代码愈多,文件就愈有可能被感染。为了减少错误报警的风险–即在没有病毒时却“识别”出病毒–此一“正

面的”搜索方案是与“反面的”搜索方案相结合的–即搜索那些明显“非类似病毒”的代码。

类型检测和清除

类型检测包括使用一个单一病毒定义来检测和清除同一病毒族的许多变种。这在目前尤为有用,因为一个“成功的”病毒往往有一大群的变种。当然,它们必须全部被检测到,但在它们出现时,很难为每个变种建立个体特征代码。逐个检测不仅效率低下。它还意味着一个新变种将有机会在扫描器检测到它之前进行传播活动。

隐藏的病毒

经过数年的开发,McAfee的类型检测功能为McAfee的客户带来了很多的好处,使其可以预先受到保护以免受诸如AnnaKournilova、Homepage、Badtrans.b、Fbound.c、Klez.h和更多的其他病毒的攻击。

McAfee Command Line Scanner和VirusScan for UNIX

当一个文件属于压缩文件或档案文件时,它的起始字节作为空间保存过程的一部分被重新安排。如果受到感染的文件被压缩或存档,属于病毒的字节也会被重新安排并且由病毒扫描器寻找的特征“字符串”也可能不再存在。所以,必有隐藏的病毒潜伏在其它压缩的、归档的或包文件中。McAfee的命令行扫描器能够深入探察多层压缩以查出其中隐藏的病毒。

病毒不会仅局限于普通的档案应用如WinZip。Windows应用可以被打包来减小其“体积”。这样的打包文件也许会被合法使用,所以它们不会仅被标记为潜在的病毒。然而,如今的许多特洛伊木马程序是以打包的格式出现的,所以McAfee 命令行扫描器能在包中对恶意代码进行识别是非常重要的。

维持业务持续性

McAfee的命令行扫描器充分使用了扫描引擎的功能来对文件进行清除。这一点非常重要。如果一个扫描器简单标记一个感染事件,则系统管理员必须替换该文件–或者从原始的主磁盘或CD(例如EXE文件)或者从备份文件(例如文档和电子表格)- 如果备份文件存在的话。如果扫描器能够清除已感染的文件,业务持续必就可以得到保证,宕机时间就会缩短,成本也会降低。

主要功能

●32位命令行扫描器适用于Windows环境

●32位命令行扫描器适用于UNIX系列环境– AIX、FreeBSD、HP-UX、Linux v2.x kernels、SCO

UNIX和Solaris(SPARC)

●全面检测目前和将来的病毒

●检测病毒、互联网蠕虫、DdoS(分布式拒绝服务)攻击、后门特洛伊木马和僵尸程序

●使用启发式分析来标识新病毒,没有误报问题的出现。

●包括类型检测和清除功能,用于现有病毒的新变种

●扫描压缩、档案和打包文件

●通过清除已感染文件维持业务持续性

1.4.1系统要求

VirusScan 命令行扫描器

使用Intel 80386或同级处理器的IBM兼容PC。

VirusScan命令行扫描器支持下列平台。

SCANPM.EXE

●MS-DOS 6.22

SCAN.EXE

●MS-DOS 6.22(需要SCANPM.XE)。

●Windows 9x

●Windows ME

●Windows NT 3.51

●Windows NT 4

●Windows 2000

●Windows XP

至少4兆可用硬盘空间

至少4兆内存