Symantec™ Sygate Enterprise Protection 防护代理安装使用指南

Similar documents

AL-MX200 Series

ClientHelpSymantec™ Endpoint Protection 及 Symantec Network Access Control 客户端指南

1 SQL Server 2005 SQL Server Microsoft Windows Server 2003NTFS NTFS SQL Server 2000 Randy Dyess DBA SQL Server SQL Server DBA SQL Server SQL Se

IP505SM_manual_cn.doc

ansoft_setup21.doc

User Group SMTP

Basic System Administration

WebSphere Studio Application Developer IBM Portal Toolkit... 2/21 1. WebSphere Portal Portal WebSphere Application Server stopserver.bat -configfile..

1.1 OfficeScan OfficeScan V5.02 SOP OfficeScan HTTP-based Windows NT/Windows Intel Pentium II 233 MHz 64 MB 200 MB 640 x Wi

Quick Start Guide

<%DOC NAME%> (User Manual)

Cadence SPB 15.2 VOICE Cadence SPB 15.2 PC Cadence 3 (1) CD1 1of 2 (2) CD2 2of 2 (3) CD3 Concept HDL 1of 1

Junos Pulse Mobile Security R1 2012, Juniper Networks, Inc.

AXIS P7224 Video Encoder Blade – Installation Guide

SL2511 SR Plus 操作手冊_單面.doc

GoFlex Home UG Book.book

T1028_Manual_KO_V3 0.pdf

IC-900W Wireless Pan & Tilt Wireless Pan & Tilt Remote Control / Night Vision FCC ID:RUJ-LR802UWG

<%DOC NAME%> (User Manual)

HP LaserJet Pro M1530 MFP Series User Guide - ZHTW

GPRS IP MODEM快速安装说明

Microsoft Word - Entry-Level Occupational Competencies for TCM in Canada200910_ch _2_.doc

飞鱼星多WAN防火墙路由器用户手册

<55342D323637CBB5C3F7CAE92E786C73>

Windows Server2003終端機服務 (M )

清华得实WebST网络安全行业解决方案

Microsoft Word - UserManualForEaton_SC.doc

2Office 365 Microsoft Office 365 Microsoft Office Microsoft Office Microsoft Office 365 Office (Office Web Apps) Office WindowsMAC OS Office 365 Offic

11N 无线宽带路由器

Microsoft Word - template.doc

穨UPSentry_SC_.PDF

AXIS M7014/M7010

CA Nimsoft Monitor Snap 快速入门指南

一．NETGEAR VPN防火墙产品介绍

The New Office Office 365 Office 2013 Project 2013 Visio 2013 Office 2013

P X-M PowerChute Business Edition v8.0 Basic 85

<%DOC NAME%> (User Manual)

1. Revo Uninstaller Pro Revo Uninstaller Pro Revo Uninstaller Pro Revo Uninstaller Pro Revo Uninsta ller Pro Revo Uninstaller Pro Revo Uninstaller Pro

KillTest 质量更高服务更好学习资料半年免费更新服务

ME3208E2-1.book

QVM330 多阜寬頻路由器

100/120EX A-61588_zh-tw 9E8696

<4D F736F F F696E74202D FC2B2B3F85FA44AAB49B0BBB4FABB50B977A8BEA874B2CEC2B2A4B6BB50C0B3A5CE2E707074>

1.Product Description

ARM JTAG实时仿真器安装使用指南

HY144-D-SRC 固件升级指南

<%DOC NAME%> (User Manual)

QVM330 多阜寬頻路由器

D-link用户手册.doc

Cisco WebEx Meetings Server 2.6 版常见问题解答

Desktop Management Guide

ADSLモデム-MNⅡ取扱説明書

Quick Start Guide

Microsoft Word - MP2018_Report_Chi _12Apr2012_.doc

南華大學數位論文

李天命的思考藝術

皮肤病防治.doc

中国南北特色风味名菜 _一）

Table of Contents Design Concept 03 Copyrights & TradeMark 04 Special Notice 05 Notice to concerned 05 Installation and Registration Introduction 07 s

509 (ii) (iii) (iv) (v) 200, , , , C 57

HP StorageWorks Automated Storage Manager 用户指南

<%DOC NAME%> (User Manual)

Sun Storage Common Array Manager 阵列管理指南，版本 6.9.0

PPP Intranet Chapter 3 Chapter IaaS PaaS SaaS

《计算机网络》实验指导书

经华名家讲堂

<4D F736F F D D352DBED6D3F2CDF8D7E9BDA8D3EBB9DCC0EDCFEEC4BFBDCCB3CCD5FDCEC42E646F63>

Transcription:

Symantec Sygate Enterprise Protection 防护代理安装使用指南 5.1 版

版权信息 Copyright 2005 Symantec Corporation. 2005 年 Symantec Corporation 版权所有 All rights reserved. 保留所有权利 Symantec Symantec 徽标 Sygate 和 Sygate S 徽标 Host Integrity 和 AutoLocation 是 Symantec Corporation 或其附属公司在美国和其它某些国家 / 地区的商标或注册商标 Symantec 和赛门铁克是 Symantec Corporation 在中国的注册商标其它名称可能是其各自所有者的商标本文档中介绍的产品根据限制其使用复制分发和反编译 / 逆向工程的授权许可协议进行分发未经 Symantec Corporation( 赛门铁克公司 ) 及其特许人 ( 如果存在 ) 事先书面授权, 不得以任何方式任何形式复制本文档的任何部分本文档按现状提供, 对于所有明示或暗示的条款陈述和保证, 包括任何适销性针对特定用途的适用性或无侵害知识产权的暗示保证, 均不提供任何担保, 除非此类免责声明的范围在法律上视为无效 SYMANTEC CORPORATION( 赛门铁克公司 ) 不对任何与性能或使用本文档相关的伴随或后果性损害负责本文档所含信息如有更改, 恕不另行通知 Symantec Corporation 20330 Stevens Creek Blvd. Cupertino, CA 95014 http://www.symantec.com 文档内部版本 :2009 出版日期 :2006 年 7 月

目录前言...ix 本指南的内容...ix 适用用户...ix 获取技术支持...x 第 1 章防护代理概述...1 Symantec Policy Manager 和 Symantec Protection Agent...1 防护代理软件的功能...2 主要功能...2 有些选项可能不可用...3 确定控制模式...3 客户端控制...3 服务器控制...3 超级用户模式...4 您的控制模式是什么?...4 控制模式可随时更改...4 第 2 章接收和安装防护代理软件...5 安装代理软件的系统要求...6 安装防护代理软件...6 卸载防护代理软件...7 第 3 章了解防护代理...9 浏览主控制台...9 菜单和工具栏按钮...11 通信历史记录图...11 正在运行的应用程序 (Running Applications) 字段...12 消息控制台...13 状态栏...13 使用菜单和工具栏...14 菜单和工具栏 ( 客户端控制 )...14 菜单和工具栏 ( 服务器控制 )...16 菜单和工具栏 ( 超级用户模式 )...18 使用系统托盘图标...20 系统托盘图标可告诉您什么...21 闪烁的系统托盘图标的含义是什么?...22 系统托盘图标菜单...23 隐藏和显示系统托盘图标...24 更改处所...25 导入和导出配置文件...25 使用安全规则查看器...26 服务器规则...26 代理规则和设置...27 代理与策略管理器规则的优先级顺序之比较...27 iii

Symantec Protection Agent 安装使用指南 iv 安全规则查看器的工作方式...27 第 4 章保护系统...29 扫描系统...29 扫描类型...30 快速扫描...30 隐藏扫描...31 特洛伊扫描...31 TCP 扫描...31 UDP 扫描...31 ICMP 扫描...31 为应用程序设置访问权...31 为应用程序设置高级选项...33 配置代理的设置...35 常规选项卡...35 网上邻居选项卡...37 安全性选项卡...38 电子邮件通知选项卡...42 日志选项卡...43 IEEE 802.1x 验证选项卡...44 设置高级规则...45 常规选项卡...46 主机选项卡...47 端口和协议选项卡...48 调度选项卡...50 应用程序选项卡...51 查看服务器和代理规则...52 临时禁用防护...54 第 5 章消息和警告...55 我为什么会收到弹出消息?...56 新应用程序弹出消息...56 已更改的应用程序弹出消息...58 快速用户切换弹出消息...59 自动更新通知...60 特洛伊木马警告...61 我为什么会收到安全通知?...61 禁止的应用程序通知...61 安全警报通知...62 我为什么会收到警告消息?...62 代理执行自动下载...62 您可能被禁止访问网络...63 第 6 章监控和日志记录...65 查看日志...65 通信日志...66 数据包日志...68 系统日志...70

目录安全日志...71 行为日志...73 启用和清除日志...75 回溯记录的事件...76 过滤记录的事件...77 保存日志...78 停止活动响应...78 响应访问状态弹出消息...78 词汇表...81 索引...99 v

Symantec Protection Agent 安装使用指南附表目录表 1. 正在运行的应用程序字段...12 表 2. 代理菜单 ( 客户端控制 )...14 表 3. 代理菜单 ( 服务器控制 )...16 表 4. 代理菜单 ( 超级用户 )...18 表 5. 系统托盘图标颜色...21 表 6. 系统托盘图标外观...21 表 7. 系统托盘图标菜单...23 表 8. 弹出 : 请记住答案?...58 表 9. 通信日志图标...66 表 10. 通信日志参数和说明...67 表 11. 数据包日志图标...68 表 12. 数据包日志参数和说明...69 表 13. 系统日志图标...70 表 14. 系统日志参数和说明...70 表 15. 安全日志图标...71 表 16. 安全日志参数和说明...71 表 17. 代理行为日志参数和说明...74 表 18. 代理应用程序访问状态...79 vi

目录附图目录图 1. 客户端控制模式中的主控制台...10 图 2. 服务器控制模式中的主控制台...10 图 3. 超级用户模式中的主控制台...11 图 4. 通信历史记录图...11 图 5. 安全规则查看器...26 图 6. 选项 : 常规选项卡...36 图 7. 选项 : 网上邻居选项卡...38 图 8. 选项 : 安全性选项卡...39 图 9. 选项 : 电子邮件通知选项卡...42 图 10. 选项 : 日志选项卡...44 图 11. 选项 :EEE 802.1x 验证选项卡...45 图 12. 高级规则 : 常规选项卡...46 图 13. 高级规则 : 主机选项卡...48 图 14. 高级规则 : 端口和协议选项卡...49 图 15. 高级规则 : 调度选项卡...50 图 16. 高级规则 : 应用程序选项卡...51 图 17. 安全规则查看器...53 图 18. 回溯数据包...76 vii

Symantec Protection Agent 安装使用指南 viii

前言本指南介绍了如何安装和使用 Symantec Protection Agent 本指南中的信息同时以联机帮助形式提供在代理控制台中, 可以从菜单栏选择帮助 (Help) 帮助主题 (Help topics) 或单击帮助 (Help) 按钮有关此版本的最新消息, 请参见本软件附带的 Readme.txt 文件本指南的内容本文档提供了以下方面的相关信息 : 了解防护代理接收和安装代理软件访问代理界面保护系统了解并响应代理弹出消息使用日志监控系统适用用户本文档适用于代理软件的最终用户本文档假定用户熟悉 Windows 操作系统的基本功能和标准 Windows 项目, 如按钮菜单工具栏窗口等等此外, 它还假定用户拥有网络或 Internet 连接, 无论是通过局域网 DSL 连接拨号调制解调器无线接入点还是其他连接方法 ix

Symantec Protection Agent 安装使用指南获取技术支持 Symantec Corporation 提供多种服务和支持计划请通过网站电子邮件或电话与企业支持联系网站 : 电子邮件地址 : www.sygate.com/support 电话号码 : (510) 742-2622 EnterpriseSupport@sygate.com 免费号码 : (877) TECH-800 (832-4800) x

第 1 章防护代理概述 Symantec Protection Agent( 代理 ) 是安全软件, 并且是 Symantec Sygate Enterprise Protection 软件套件中的一个组件安装后, 代理将提供可自定义的防火墙, 以保护计算机免受入侵和误用 ( 不管是恶意的还是无意的 ) 的危害它可以检测并识别已知的特洛伊端口扫描及其他常见的攻击作为回应, 它有选择性地允许或禁止通信各种网络服务应用程序端口和组件代理使用安全策略 ( 包括安全规则和安全设置 ) 来保护个人计算机免受可造成危害的网络通信的侵害由于代理是作为 Symantec Sygate Enterprise Protection 安全套件的组成部分部署的, 因此它将与其他安全组件配合工作来保护企业网络对于每个尝试通过网络连接来获取访问的应用程序或服务, 代理将使用安全规则确定是否允许该应用程序进行访问 Symantec Policy Manager 和 Symantec Protection Agent Symantec Protection Agent 与 Symantec Sygate Enterprise Protection 软件的另一个软件组件 Symantec Policy Manager 进行通信, 并且接收来自 Symantec Policy Manager 的安全指令系统管理员已经定义了策略管理器分发给代理的安全策略策略管理器充当所有代理的集中控制点通过它, 系统管理员可以定义和分发安全策略收集日志, 以及维护公司网络的完整性它将安全策略部署到代理发出更新的入侵检测特征, 并且处理企业的安全问题当代理首次与策略管理器建立连接时, 会自动更新其策略, 并在连接期间定期进行更新作为企业安全的必要组成部分, 代理还跟踪对安全策略的尝试违规, 并将这一信息以日志的形式传递给策略管理器系统管理员将制定直接影响您对代理的使用的决策他们可能授予您对自己的安全策略的更多或更少的控制权, 具体取决于代理的控制模式和处所 1

Symantec Protection Agent 安装使用指南防护代理软件的功能代理保护个人计算机不受可造成危害的网络通信的侵害它通过应用三个防火墙规则之一来实现此目的 : 允许代理允许某些流量通过通常, 这种通信已知是安全的, 原因是 : 您受服务器控制, 您的系统管理员已经将它定义为安全的 ; 或者您受客户端控制, 您已经自行作出了决定通常被归类为安全的通信示例包括 Outlook Internet Explorer Netscape Navigator Outlook Express 和其他常见网络和通信软件禁止代理禁止某些通信这通常是已知会为计算机带来麻烦或危险的通信如果您处于服务器控制模式中, 则您的系统管理员已经在该区域中制定了一些决策, 以保护计算机并禁止已知为或被认为是危险的通信询问代理询问您是否允许传入的通信访问您的计算机或组织的网络资源如果代理处于客户端控制模式中, 它最初将询问您是否允许应用程序访问网络资源或者, 它会记住您的响应, 从而无需再次告知它使用防火墙规则, 代理可以系统地允许禁止或询问针对特定 IP 地址和端口的传入或传出通信应采取的操作通过将这些规则与其他安全设置进行配置, 可以使安全代理保护您的计算机主要功能代理可在各种网络环境中使用这些环境中有一些包括到本地 LAN 或无线网络的直接连接使用虚拟专用网络 (VPN) 或拨号的远程连接, 或者完全断开与任何网络的连接它的功能非常强大且灵活, 在与 Symantec Policy Manager 结合使用时, 尤其如此心跳同步代理是企业安全必不可少的组成部分它不断发送状态日志并接收来自策略管理器的安全策略代理和策略管理器之间这种持续的检查称为心跳如果为代理所属的组定义了新策略, 则它会在下一次心跳时收到该新策略自定义的安全策略每个代理都是组 ( 例如, 市场营销销售 VPN 用户 ) 的一个成员系统管理员为每个组定义安全策略, 并且安全策略会自动更新到作为该组成员的代理如果最终用户从一个组移至另一个组, 则下一次心跳时新组的安全策略会自动应用到该用户的代理自动处所切换可通过策略管理器自定义代理, 以自动识别它的工作环境 ( 即处所 ), 并立即切换到已经为该处所创建的安全策略例如, 您可以从家中或办公室里进行连接代理将检测到处所, 并自动切换处所可将每个代理配置为具有各种预定义的处所, 且每个处所都提供相应的安全策略主机完整性可以要求每个代理都运行特定应用程序 ( 如病毒防护 ), 并且, 除非该应用程序是最新的并且正在代理计算机上运行, 否则禁止代理访问网络如果代理未通过主机完整性检查, 那么代理可以自动被路由到适当的位置以下载并安装所需的更新这些更新可包括操作系统补丁程序安全防火墙软件, 以及您的管理员确定计算机需要的其他程序 2

防护代理概述多种类型代理被设计为在大多数基于 Windows 的计算机上工作, 包括服务器和工作站自动处所切换功能通常部署在远程计算机或便携式计算机上, 但是它可以部署在所有安装上与 Symantec Enforcer 配合工作代理也可以与 Enforcer 一起部署, 后者提供了一个额外的安全保护层 Enforcer 是 Symantec Sygate Enterprise Protection 安全套件的另一个组件它可确保连接到它所保护的网络路径的所有计算机都运行代理并且实施了正确的安全策略有些选项可能不可用根据您的系统管理员的决定, 代理控制台上的功能有时可能会有所变化代理对某些用户可能完全不可见, 并显示部分功能集 ; 对其他用户集则显示完全用户界面这些区别取决于代理运行的控制模式, 或者使用代理的处所此文档介绍了代理支持的所有功能和选项您或您的公司可能购买了受限许可证 ( 此类许可证提供的选项较少 ); 或者出于安全原因, 系统管理员可能禁用了某些选项选项警报 (Option Alert): 将为已禁用的选项或者仅当您工作在特定控制模式中时才可用的选项显示该图标确定控制模式为了防止计算机遭受最新攻击和存在的漏洞的危害, 系统管理员可更改系统的控制模式每种模式提供对代理的安全策略的不同级别的控制代理在下列控制模式中的某一种模式中运行 : 客户端控制服务器控制超级用户模式客户端控制客户端控制模式授予您对安全设置的最大控制权客户端控制通常授予工程师或安装在用于测试软件的计算机上如果从家中连接到企业网络, 则便携式计算机上可能具有客户端控制的代理如果使用同一台便携式计算机连接到工作网络, 那么当您到达工作地点时代理可能会更改为服务器控制模式这是称为自动处所切换的代理选项的一个示例服务器控制服务器控制模式从策略管理器获取其规则和安全设置虽然您不能从代理中更改这些设置, 但是这种服务器控制的代理可能比客户端控制的代理更加安全 3

Symantec Protection Agent 安装使用指南超级用户模式超级用户模式是一种混合控制模式, 它是您自己设置的安全策略与系统管理员为您设置的策略的混合, 其中后者将覆盖前者系统管理员事先确定您可以更改哪些设置您的控制模式是什么? 没有一种明显的方式可告知代理所处的模式但是, 您可以通过检查显示在主控制台上的菜单和工具栏来确定代理使用的是哪种控制模式例如, 如果处于服务器控制模式, 则退出 Sygate Protection (Exit Sygate Protection) 按钮将灰显如果您单击了工具 (Tools) 菜单, 然后看到安全规则查看器 (Security Rule Viewer) 和高级规则 (Advanced Rules), 则您的代理处于超级用户模式如果是处于客户端控制模式, 则您在工具 (Tools) 菜单上只能看到高级规则 (Advanced Rules) 控制模式可随时更改代理是一个更大环境的组成部分在这个更大的企业环境中, 安全管理员负责防止遭受最新攻击和存在的漏洞的危害为了保护计算机, 系统管理员可随时更改代理上的控制模式或控制模式的默认设置系统管理员在策略管理器级别进行更改后, 这些保护性策略和设置将在下次心跳 ( 代理与策略管理器之间的定期连接 ) 时自动在代理上实施根据策略管理器级别的更改, 您的安全策略和防火墙规则也可能会更改这样做的好处是系统管理员可以跟踪安全威胁并自动实施保护性策略和设置这些更改对您来说是透明的, 这样您就无需采取任何操作来实施它们但是, 您可能会在用户界面或用于访问网络的应用程序中看到更改 4

第 2 章接收和安装防护代理软件向您分发代理软件的方法有多种您可能需要采取某些操作来查找和获取该软件, 或者也可能已经安装了该软件网络下载安装文件由管理员放在了网络上的某个位置或 Extranet 服务器上您应该浏览到该位置以便解压缩并运行 Setup.exe 程序来安装代理对于此类安装, 尽管您的系统管理员可能已经为您进行了某些选择, 但是系统可能还会提示您输入许可证信息软件在硬盘驱动器上的位置等等, 如安装防护代理软件中所述服务器分发您收到电子邮件或其他链接, 该链接指向您可以在 Intranet 或 Extranet 上访问的文件夹中的 Setup.exe 程序运行该程序, 它会安装代理对于此类安装, 尽管您的系统管理员可能已经为您进行了某些选择, 但是系统可能还会提示您输入许可证信息软件在硬盘驱动器上的位置等等, 如安装防护代理软件中所述服务器登录脚本安全管理员设置自动安装代理软件的登录脚本对于此类安装, 系统通常不会提示您提供任何信息, 系统管理员可能为您做好了所有选择您可能知道代理正在安装, 或者管理员可能以您看不见的静默模式执行安装光盘分发安全管理员将代理软件放在光盘上然后您运行 Setup.exe 程序来安装软件, 如安装防护代理软件一节所述映像文件代理软件包包含在一个映像文件中, 该文件包含完整的系统安装程序 ( 包括操作系统和应用程序 ) 在这种情况下, 您可能无需自行进行任何安装, 只需使用代理即可软件管理工具系统管理员使用诸如 Microsoft System Management Software IBM Tivoli 或 HP OpenView 等工具将代理打包成自动安装在这种情况下, 您可能无需自行进行任何安装, 只需使用代理即可 5

Symantec Protection Agent 安装使用指南安装代理软件的系统要求下面列出了要在计算机上成功运行 Symantec Protection Agent 所需的最低硬件和软件要求硬件要求 Pentium III 700 MHz 或更快处理器 128 MB RAM 40 MB 可用硬盘空间一 (1) 个以太网适配器 ( 已安装 TCP/IP) 软件要求已安装下列操作系统之一 : Windows 2000 Professional( 一直到 SP4) Windows 2000 Server Advanced Server 和 Data Center( 一直到 SP4) Windows XP Home Edition 或 Professional( 一直到 SP2) Windows Server 2003( 一直到 SP1) 安装防护代理软件如果系统管理员尚未在您的计算机上安装该软件, 则可能已经为您提供有关代理软件存放位置和安装方法的说明安装该软件 : 1. 运行 Setup.exe 将出现代理安装 (Agent Setup) 窗口 2. 单击下一步 (Next) 将出现授权许可协议 (License Agreement) 对话框浏览协议以确保您同意其中的条款 3. 如果同意, 单击我接受授权许可协议 (I accept the license agreement), 然后单击下一步 (Next) 将出现目标文件夹 (Destination Folder) 对话框 4. 单击下一步 (Next) 接受代理文件的默认位置, 或单击浏览 (Browse) 选择其他位置将出现准备安装应用程序 (Ready to Install the Application) 对话框 5. 单击下一步 (Next) 如果您正在更新以前的安装, 将出现升级安装 (Upgrade Installation) 对话框如果要保留以前的配置, 请单击是 (Yes) 否则, 请单击否 (No) 文件复制到系统中时会显示正在更新系统 (Updating System) 窗口, 随后显示完成 (Finish) 窗口 6

6. 单击完成 (Finish) 接收和安装防护代理软件将出现安装程序信息 (Installer Information) 对话框, 告知您必须重新启动计算机才能开始使用代理 7. 请单击是 (Yes) 重新启动系统并开始使用代理, 或者如果您打算以后手动重新启动, 请单击否 (No) 卸载防护代理软件如果需要卸载防护代理软件 : 1. 单击任务栏上的开始菜单 2. 单击设置控制面板添加 / 删除程序 3. 单击 Symantec Protection Agent 4. 单击删除 Windows 卸载程序会指导您完成该过程注意 : 管理员可能设置了密码, 您必须输入该密码才能卸载软件如果是这样, 请在卸载密码 (Uninstall Password) 对话框中输入密码如果输入的密码不正确, 则无法卸载代理软件 7

Symantec Protection Agent 安装使用指南 8

第 3 章了解防护代理当您打开计算机时, 代理将自动启动要配置代理, 或查看针对代理的潜在攻击的日志, 您可以打开代理控制台可通过两种方式打开代理 : 系统托盘图标双击任务栏右侧的图标, 或者右键单击该图标, 然后选择 Symantec Protection Agent 开始菜单单击开始所有程序 Symantec Protection Agent 每种方法都将打开主控制台, 即代理的控制中心您可以使用菜单和工具栏来浏览主控制台浏览主控制台打开代理后, 就可以看见主控制台主控制台提供实时的网络通信更新联机状态和策略管理器更新您还可以查看日志帮助文件应用程序列表, 以及访问多个规则和选项根据代理的不同控制模式, 主控制台将发生更改此外, 某些按钮可能不会显示, 具体取决于管理员配置代理的方式您可能处于下列控制模式中的一种 : 客户端控制服务器控制超级用户代理界面的大小是可调的, 因此您可以将其作为全屏或非全屏图像查看 9

Symantec Protection Agent 安装使用指南图 1. 客户端控制模式中的主控制台图 2. 服务器控制模式中的主控制台 10

了解防护代理图 3. 超级用户模式中的主控制台菜单和工具栏按钮屏幕的顶部将显示标准菜单和工具栏, 工具栏中的选项根据控制模式 ( 客户端控制服务器控制或超级用户模式 ) 的不同而不同此外, 某些按钮可能不会显示, 具体取决于管理员配置代理的方式工具栏按钮可用来快速访问日志查看帮助文件, 或者测试系统通信历史记录图工具栏下方是通信历史记录图通信历史记录图生成最近两分钟的通信历史记录的实时图片该图每秒钟都重新加载新信息, 提供关于传入和传出网络通信的即时数据 ( 以字节为单位 ) 图 4. 通信历史记录图 11

Symantec Protection Agent 安装使用指南通信历史记录图划分为三个部分图的左侧部分是传入和传出通信历史记录图这些图针对正在通过网络接口进入和离开计算机的当前通信提供了可视评估这包括允许的通信和禁止的通信绿色线条指示允许通过的通信, 红色指示代理禁止的通信此外, 控制台右侧的攻击历史记录图提供了有关对计算机发起的尝试攻击的信息广播通信广播通信是发送给特定子网中的每台计算机的网络通信, 因此它不是特别针对您的计算机的如果不希望看到此类通信, 那么您可以将其从这个图形视图中删除, 方法是单击隐藏广播通信 (Hide Broadcast Traffic) 框然后您将在该图中只看到单点传送的通信, 这种通信是特别针对您的计算机的要重新显示广播通信, 请单击以清除隐藏广播通信 (Hide Broadcast Traffic) 框正在运行的应用程序 (Running Applications) 字段正在运行的应用程序 (Running Applications) 字段提供了当前正在系统上运行的所有应用程序和系统服务的列表如果您处于客户端控制或超级用户模式, 您或许可以查看这些应用程序的访问状态应用程序的访问状态是指您授予应用程序的权限它显示应用程序是否可以访问 Internet 连接, 它是否可以在无需首先询问您的情况下访问 Internet 连接, 或者是否禁止它访问 Internet 或所有网络但如果您的代理是服务器控制的, 那么您可能看不到任何状态指示, 也不能更改应用程序的状态通过右键单击应用程序的图标, 并选择所需的状态, 您可以在正在运行的应用程序 (Running Applications) 字段中更改应用程序的状态表 1. 正在运行的应用程序字段图标状态说明允许图标正常显示, 不带任何标记询问图标显示为带有黄色的小问号的形式禁止图标显示为带有红色圆圈和删除线的形式通过在应用程序图标的左下角或右下角显示一个小篮点来指示它是否正在接收 ( 左侧 ) 或发送 ( 右侧 ) 通信 12

了解防护代理可以通过单击正在运行的应用程序 (Running Applications) 字段上方的隐藏 Windows 服务 (Hide Windows Services) 来隐藏系统服务的显示在任一给定的时间都有多个服务在运行, 由于它们对计算机的运行通常是至关重要的, 因此您很有可能希望允许它们如果您的代理是客户端控制的, 那么您可能会看到询问您是否希望允许这些服务运行的弹出消息通常允许它们运行没有问题, 而且您可以永久性允许它们运行而无需担心如果应用程序的可执行文件中有任何内容发生更改, 那么代理将禁止这些服务或应用程序例如, 如果您下载了影响某个服务或应用程序的特洛伊木马或电子邮件病毒, 代理会注意到这个差异并将询问您是否希望允许它如果未对服务或应用程序 ( 如升级程序 ) 进行任何更改, 那么您可能希望禁止这些应用程序运行并发送警报给系统管理员要更改应用程序名称的显示, 可以单击查看 (View) 菜单, 或者右键单击正在运行的应用程序 (Running Applications) 字段并选择所需的视图您可以通过右键单击正在运行的应用程序 (Running Applications) 字段中的某个应用程序并单击终止 (Terminate) 来终止该应用程序或服务的运行消息控制台代理的消息控制台位于主控制台上正在运行的应用程序 (Running Applications) 字段的下方它提供了服务器 - 客户端通信的实时更新, 其中包括配置文件下载配置文件序列号和服务器连接状态默认情况下, 消息控制台是隐藏的显示或隐藏消息控制台 : 1. 在正在运行的应用程序 (Running Applications) 字段下方, 单击显示消息控制台 (Show Message Console) 将出现消息控制台 2. 要从视图中隐藏消息控制台, 请单击隐藏消息控制台 (Hide Message Console) 状态栏消息控制台将折叠并显示显示消息控制台 (Show Message Console) 按钮位于代理主控制台底部的状态栏为用户提供了当前处所配置文件信息状态指示灯位于主控制台右下角的状态指示灯提供了策略管理器 - 代理通信状态的实时更新如果指示灯为绿色, 则指示代理处于联机状态并且正在和策略管理器通信如果为灰色, 则代理未连接到策略管理器 13

Symantec Protection Agent 安装使用指南使用菜单和工具栏代理屏幕的顶部显示的是标准菜单和工具栏选项根据代理的控制模式的不同而不同 : 客户端控制服务器控制超级用户模式菜单和工具栏 ( 客户端控制 ) 客户端控制模式中的工具栏按钮可用来更改应用程序配置文件访问日志测试代理或者查看帮助文件如果代理在客户端控制模式下运行, 那么菜单将显示下列选项 : 文件 (File) 处所 (Location) 工具 (Tools) 查看 (View) 和帮助 (Help) 表 2. 代理菜单 ( 客户端控制 ) 菜单文件 (File) 处所 (Location) 工具 (Tools) 菜单选项关闭 (Close) 关闭代理主控制台退出 Symantec Agent (Exit Symantec Agent) 关闭代理, 实际上相当于关闭计算机上的安全设置办公室 (Office) 定义为其配置代理的处所可能会显示其他处所, 但办公室通常是其中一个选项应用程序 (Applications) 打开应用程序 (Applications) 列表日志 (Logs) 打开日志选项 (Options) 打开选项 (Options) 对话框, 其中包含许多安全选项, 包括电子邮件警报网上邻居浏览权限和日志文件配置高级规则 (Advanced Rules) 打开高级规则 (Advanced Rules) 对话框, 可在此处设置特定的规则以实现代理上的安全设置更新配置文件 (Update Profile) 立即连接到策略管理器以获取已经为代理定义的最新安全策略此操作通常在心跳间隔期间完成这样会强制该心跳立即发生如果您访问网络有困难, 则可能需要通过单击该选项来更新配置文件 14

了解防护代理表 2. 代理菜单 ( 客户端控制 ) 菜单菜单选项更新特征 (Update Signature) 从策略管理器更新入侵防护特征如果策略管理器上没有启用此功能, 则该选项显示为灰色运行主机完整性检查 (Run Host Integrity) 立即运行主机完整性检查如果您访问网络有困难, 则可能需要通过单击该选项来更新主机完整性状态如果策略管理器上没有为此处所启用主机完整性检查, 则该选项为灰色自动启动服务 (Automatically Start Service) 对于代理不启用此切换设置用于设置计算机启动时代理是否自动启动隐藏系统托盘图标 (Hide System Tray Icon) 此切换设置用于在视图中隐藏系统托盘图标如果选中该选项, 则隐藏图标重设警报 (Reset Alert) 出现安全警报后重设代理图标状态测试系统安全性 (Test Your System Security) 允许您扫描和测试代理的有效性允许所有通信 (Allow All Traffic) 允许计算机上的所有网络通信禁止所有通信 (Block All Traffic) 禁止计算机上的所有网络通信查看 (View) 菜单使用户可以更改正在运行的应用程序 (Running Applications) 字段中的软件程序的显示 : 查看 (View) 大图标 (Large Icons) 在字段中显示 32x32 图标每个图标代表一个软件应用程序或一个系统服务小图标 (Small Icons) 显示 16x16 图标大图标和小图标显示方式都在图标自身下提供应用程序的全名, 这些图标以软木板形式显示列表 (List) 在标准列表中显示小图标应用程序详细信息 (Applications Details) 不仅提供所有正在运行的应用程序的列表, 还提供有关每个应用程序的版本号和位置路径的有用信息连接详细信息 (Connection Details) 提供有关每个访问网络适配器的应用程序所建立的连接类型的详细信息还显示协议本地和远程端口及使用的 IP 地址应用程序路径等隐藏 Windows 服务 (Hide Windows Services) 在正在运行的应用程序 (Running Applications) 字段中切换 Windows 服务的显示隐藏广播通信 (Hide Broadcast Traffic) 在正在运行的应用程序 (Running Applications) 字段中切换广播通信的显示 15

Symantec Protection Agent 安装使用指南表 2. 代理菜单 ( 客户端控制 ) 菜单帮助 (Help) 菜单选项帮助主题 (Help Topics) 打开代理联机帮助文件关于 (About) 打开关于 (About) 屏幕, 其中显示代理版本以及有关配置文件和特征文件的详细信息菜单和工具栏 ( 服务器控制 ) 服务器控制模式中的工具栏按钮可用来更改应用程序配置文件, 访问日志, 或者查看帮助文件系统管理员可能会禁用其中某些按钮如果代理在服务器控制模式下运行, 那么菜单将显示下列选项 : 文件 (File) 处所 (Location) 工具 (Tools) 查看 (View) 和帮助 (Help) 表 3. 代理菜单 ( 服务器控制 ) 菜单文件 (File) 处所 (Location) 工具 (Tools) 菜单选项导入配置文件 (Import Profile) 导入代理配置文件导出配置文件 (Export Profile) 导出代理配置文件关闭 (Close) 关闭代理主控制台退出 Symantec Protection Agent (Exit Symantec Protection Agent) 关闭代理, 实际上相当于关闭计算机上的安全设置在服务器控制模式中, 此选项显示为灰色办公室 (Office) 定义为其配置代理的处所可能会显示其他处所, 但办公室通常是其中一个选项应用程序 (Applications) 打开应用程序 (Applications) 列表日志 (Logs) 打开代理日志更新配置文件 (Update Profile) 立即连接到策略管理器以获取已经为代理定义的最新安全策略此操作通常在心跳间隔期间完成这样会强制该心跳立即发生如果您访问网络有困难, 则可能需要通过单击该选项来更新配置文件更新特征 (Update Signature) 从策略管理器更新入侵防护特征如果策略管理器上没有启用此功能, 则该选项显示为灰色运行主机完整性检查 (Run Host Integrity) 立即运行主机完整 16

了解防护代理表 3. 代理菜单 ( 服务器控制 ) 菜单菜单选项性检查如果您访问网络有困难, 则可能需要通过单击该选项来更新主机完整性状态如果策略管理器上没有为此处所启用主机完整性检查, 则该选项为灰色自动启动服务 (Automatically Start Service) 对于代理不启用此切换设置用于设置计算机启动时代理是否自动启动隐藏系统托盘图标 (Hide System Tray Icon) 此切换设置用于在视图中隐藏系统托盘图标在服务器控制模式中未启用重设警报 (Reset Alert) 出现安全警报后重设代理图标状态测试系统安全性 (Test Your System Security) 允许您扫描和测试代理的有效性选项警报 (Option Alert): 此选项可能显示为灰色禁用 / 启用 Symantec Protection Agent (Disable/Enable Symantec Protection Agent) 此切换设置暂时禁用和启用出站禁止代理安全防护根据策略管理器上的安全设置, 也可能会禁用入站禁止如果管理员没有激活该选项, 则不会显示查看 (View) 查看 (View) 菜单使用户可以更改正在运行的应用程序 (Running Applications) 字段中的软件程序的显示 : 大图标 (Large Icons) 在字段中显示 32x32 图标每个图标代表一个软件应用程序或一个系统服务小图标 (Small Icons) 显示 16x16 图标大图标和小图标显示方式都在图标自身下提供应用程序的全名, 这些图标以软木板形式显示列表 (List) 在标准列表中显示小图标应用程序详细信息 (Applications Details) 不仅提供所有正在运行的应用程序的列表, 还提供有关每个应用程序的版本号和位置路径的有用信息连接详细信息 (Connection Details) 提供有关每个访问网络适配器的应用程序所建立的连接类型的详细信息以及协议本地和远程端口及使用的 IP 地址应用程序路径等隐藏 Windows 服务 (Hide Windows Services) 在正在运行的应用程序 (Running Applications) 字段中切换 Windows 服务的显示隐藏广播通信 (Hide Broadcast Traffic) 在正在运行的应用程序 (Running Applications) 字段中切换广播通信的显示帮助 (Help) 帮助主题 (Help Topics) 打开代理联机帮助文件关于 (About) 打开关于 (About) 屏幕, 其中显示代理版本以及有关其配置文件和特征文件的详细信息 17

Symantec Protection Agent 安装使用指南菜单和工具栏 ( 超级用户模式 ) 如果代理在超级用户模式下运行, 那么菜单将显示下列选项 : 文件 (File) 处所 (Location) 工具 (Tools) 查看 (View) 和帮助 (Help) 此菜单是客户端控制和服务器控制模式中可用选项的合并, 对于工具 (Tools) 菜单尤其如此表 4. 代理菜单 ( 超级用户 ) 菜单文件 (File) 处所 (Location) 工具 (Tools) 菜单选项导入配置文件 (Import Profile) 导入代理配置文件导出配置文件 (Export Profile) 导出代理配置文件关闭 (Close) 关闭代理主控制台退出 Symantec Agent (Exit Symantec Agent) 关闭代理, 实际上相当于关闭计算机上的安全设置选项警报 (Option Alert): 此选项可能显示为灰色或根本不显示办公室 (Office) 定义为其配置代理的处所可能会显示其他处所, 但办公室通常是其中一个选项应用程序 (Applications) 打开应用程序 (Applications) 列表日志 (Logs) 打开代理日志选项 (Options) 打开选项 (Options) 对话框, 其中包含许多安全选项, 包括电子邮件警报网上邻居浏览权限和日志文件配置高级规则 (Advanced Rules) 打开高级规则 (Advanced Rules) 对话框, 可在此处设置特定的规则以实现代理上的安全设置安全规则查看器 (Security Rule Viewer) 此选项将打开安全规则查看器, 以便查看由超级用户模式表示的安全策略的合并情况更新配置文件 (Update Profile) 立即连接到策略管理器以获取已经为代理定义的最新安全策略此操作通常在心跳间隔期间完成这样会强制该心跳立即发生如果您访问网络有困难, 则可能需要通过单击该选项来更新配置文件更新特征 (Update Signature) 从策略管理器更新入侵防护特征如果策略管理器上没有启用此功能, 则该选项显示为灰色 18

了解防护代理表 4. 代理菜单 ( 超级用户 ) 菜单菜单选项运行主机完整性检查 (Run Host Integrity) 立即运行主机完整性检查如果您访问网络有困难, 则可能需要通过单击该选项来更新主机完整性状态如果策略管理器上没有为此处所启用主机完整性检查, 则该选项为灰色自动启动服务 (Automatically Start Service) 对于代理不启用此切换设置用于设置计算机启动时代理是否自动启动隐藏系统托盘图标 (Hide System Tray Icon) 此切换设置用于在视图中隐藏系统托盘图标如果选中该选项, 则隐藏图标选项警报 (Option Alert): 此选项可能显示为灰色或根本不显示重设警报 (Reset Alert) 出现安全警报后重设代理图标状态测试系统安全性 (Test Your System Security) 允许您扫描站点和测试代理的有效性选项警报 (Option Alert): 此选项可能显示为灰色或根本不显示允许所有通信 (Allow All Traffic) 允许计算机上的所有网络通信这几乎与退出代理一样不安全, 因此不建议使用禁止所有通信 (Block All Traffic) 禁止计算机上的所有网络通信禁用 / 启用 Symantec Protection Agent (Disable/Enable Symantec Protection Agent) 此切换设置暂时禁用和启用出站禁止代理安全防护根据策略管理器上的安全设置, 也可能会禁用入站禁止如果管理员没有激活该选项, 则不会显示 19

Symantec Protection Agent 安装使用指南表 4. 代理菜单 ( 超级用户 ) 菜单查看 (View) 帮助 (Help) 菜单选项查看 (View) 菜单使用户可以更改正在运行的应用程序 (Running Applications) 字段中的软件程序的显示 : 大图标 (Large Icons) 在字段中显示 32x32 图标每个图标代表一个软件应用程序或一个系统服务小图标 (Small Icons) 显示 16x16 图标大图标和小图标显示方式都在图标自身下提供应用程序的全名, 这些图标以软木板形式显示列表 (List) 在标准列表中显示小图标应用程序详细信息 (Applications Details) 不仅提供所有正在运行的应用程序的列表, 还提供有关每个应用程序的版本号和位置路径的有用信息连接详细信息 (Connection Details) 提供有关每个访问网络适配器的应用程序所建立的连接类型的详细信息以及协议本地和远程端口及使用的 IP 地址应用程序路径等隐藏 Windows 服务 (Hide Windows Services) 在正在运行的应用程序 (Running Applications) 字段中切换 Windows 服务的显示隐藏广播通信 (Hide Broadcast Traffic) 在正在运行的应用程序 (Running Applications) 字段中切换广播通信的显示帮助主题 (Help Topics) 打开代理联机帮助文件关于 (About) 打开关于 (About) 屏幕, 其中显示代理版本以及有关配置文件和特征文件的详细信息使用系统托盘图标安装后, 代理将在系统托盘中显示一个小图标 ( 位于任务栏的右侧 ) 您可以双击来打开代理或右键单击来查看命令菜单图标由表示系统通信的两个箭头组成 : 向上箭头是传出通信, 向下箭头是传入通信这些箭头提供了计算机的通信流的实时更新图标的持续显示时间不会超过几秒钟, 当您频繁使用 Internet 或网络连接时尤其如此 20

了解防护代理系统托盘图标可告诉您什么箭头的颜色始终在变 ( 计算机上的通信流也在变 ) 对于大多数用户而言, 记住关于图标颜色的下列几点应该足够了表 5. 系统托盘图标颜色如果箭头的颜色是 - 则表示 - 红色代理正在禁止通信蓝色代理没有中断通信灰色该方向没有流量通过带有绿点的灰色没有流量通过, 但是代理已连接到策略管理器下表说明了系统托盘图标可能具有的不同外观, 以及它们的含义表 6. 系统托盘图标外观图标说明代理处于警报模式这意味着在安全日志中记录了对计算机发起的尝试攻击要使图标停止闪烁, 请双击该图标安全日志将打开, 并显示一个新的日志条目代理处于全部允许模式代理处于全部禁止模式传入通信正在持续进行, 没有传出通信传入和传出通信都在持续进行没有传入通信, 传出通信正在持续进行 21

Symantec Protection Agent 安装使用指南表 6. 系统托盘图标外观图标说明传入通信被禁止, 传出通信正在持续进行传入通信被禁止, 没有传出通信传入和传出通信都被禁止没有传入通信, 传出通信被禁止传入通信正在持续进行, 传出通信被禁止在两个方向都没有通信进行传入和传出通信持续进行, 代理被禁用闪烁的系统托盘图标的含义是什么? 系统托盘图标以下原因之一引起的 : 有时会持续闪烁这意味着代理处于警报模式, 这种情况是由于在计算机上的安全日志中记录了一次攻击您缺少系统管理员要求的某个文件或应用程序没有它, 无法登录到网络如果文件或应用程序缺失, 可能会显示一条消息, 列出缺失的文件或应用程序您需要安装它才能继续如果系统管理员没有配置代理以显示某些类型的消息, 就不会出现通知如果出现闪烁的原因是存在攻击, 那么您可以打开安全日志这会停止图标闪烁否则, 图标将持续闪烁, 而您需要询问系统管理员以安装所有缺失的文件或应用程序您还可以使用工具 (Tools) 菜单上的重设警报 (Reset Alert) 选项在出现警报后重设代理图标的状态 22

了解防护代理系统托盘图标菜单您甚至无需打开主控制台就可以轻松配置代理的基本内容您可以右键单击系统托盘图标来显示一个菜单您在此菜单上看到的内容取决于代理的控制模式您可以在系统托盘图标上滚动鼠标来查看当前处所主机完整性状态和连接状态系统托盘图标包括以下右键单击命令表 7. 系统托盘图标菜单服务器控制客户端控制超级用户菜单选项说明 X X X Symantec Protection Agent 打开代理的主控制台 X X X 处所 (Location) 打开处所 (Location) 列表如果安全设置允许, 您可以更改处所 X X X 应用程序 (Applications) 打开应用程序 (Applications) 列表 X X X 日志 (Logs) 打开代理日志 X X 选项... (Options...) 打开选项 (Options) 对话框, 您可以在其中配置代理的设置 X X 高级规则 (Advanced Rules) X X X 运行主机完整性检查 (Run Host Integrity) 打开高级规则 (Advanced Rules) 对话框, 您可以在其中编写特定规则以便允许或禁止网络访问立即开始主机完整性检查这将确保代理运行的是已经在策略管理器上定义好的最新的安全策略并拥有最新的软件补丁程序病毒定义等如果您所在的处所中禁用了主机完整性检查, 则不会进行任何检查 23

Symantec Protection Agent 安装使用指南表 7. 系统托盘图标菜单服务器控制客户端控制超级用户菜单选项说明 X X X 隐藏系统托盘图标 (Hide System Tray Icon) 从任务栏中删除系统托盘图标代理仍然在运行要重新显示该图标, 请在开始菜单上, 单击程序 Symantec Protection Agent 然后, 在工具 (Tools) 菜单上, 单击隐藏系统托盘图标 (Hide System Tray Icon) 来将该选项切换回打开状态选项警报 (Option Alert): 此选项可能显示为灰色或根本不显示 X X X 帮助主题... (Help Topics...) 打开联机帮助系统 X X X 关于... (About...) 打开关于 (About) 对话框, 该对话框提供代理的版本信息 X X X 退出 Symantec Protection Agent (Exit Symantec Protection Agent) 停止代理运行您需要重新启动代理以便保护系统选项警报 (Option Alert): 此选项可能显示为灰色或根本不显示隐藏和显示系统托盘图标有几种在任务栏上隐藏和重新显示系统托盘图标的方式选项警报 (Option Alert): 在您的控制模式中, 此选项可能不可用隐藏系统托盘图标 : 右键单击系统托盘图标, 然后单击隐藏系统托盘图标 (Hide System Tray Icon) 单击工具 (Tools) 隐藏系统托盘图标 (Hide System Tray Icon) 显示系统托盘图标 : 单击工具 (Tools) 隐藏系统托盘图标 (Hide System Tray Icon) 24

了解防护代理更改处所处所是在策略管理器中由系统管理员定义的管理员可以使用处所 (Locations) 来根据当您尝试连接到网络时的物理位置定义不同的安全级别例如, 如果您在家中使用便携式计算机连接到办公室网络, 则系统管理员可创建一个名为家庭的处所如果您在办公室中使用便携式计算机, 则您可使用名为办公室的处所其他处所可包括 VPN 分公司或宾馆这些处所中的任一处所都可能拥有不同的安全策略当您处于办公室中时可以执行一些操作, 这些操作在您从宾馆进行连接时可能不允许执行系统管理员已经规划并配置好处所, 代理很可能会检测到这些更改并在您连接时自动进行切换根据为您设置的配置文件, 您可能在该菜单下有多个可用处所, 也可能只有一个您可能会发现, 单击某个处所时, 并没有转至该处所这表示网络配置不适合该处所例如, 如果有一个名为办公室的处所, 可以将它配置为仅当检测到办公室的局域网时才使用这个处所如果您当前不在该网络上, 则无法转至该处所更改处所 : 1. 执行以下任务之一 : o 在主控制台上, 单击处所 (Location) 菜单 o 右键单击系统托盘图标, 然后单击处所 (Location) 2. 单击其中一个列出的处所导入和导出配置文件可以从代理控制台导入和导出配置文件系统管理员可能会要求你执行此操作, 但是在不同的情况下, 您可能不需要执行此操作选项警报 (Option Alert): 此选项只在服务器控制和超级用户模式中可用从主控制台导出配置文件 : 1. 在文件 (File) 菜单中, 单击导出配置文件 (Export Profile) 2. 另存为 (Save As) 对话框即会打开通过浏览为该文件找到适当的文件夹, 然后输入文件名 3. 单击确定 (OK) 即会在指定位置将该文件保存为 XML 文件将配置文件导入到主控制台 : 1. 在文件 (File) 菜单中, 单击导入配置文件 (Import Profile) 2. 打开 (Open) 对话框即会打开通过浏览找到适当的文件 3. 单击确定 (OK) 该配置文件即会应用到代理 25

Symantec Protection Agent 安装使用指南使用安全规则查看器安全规则查看器 (Security Rule Viewer)( 规则查看器 ) 是了解计算机上生效的安全策略的关键它显示了策略管理器置于您计算机上的规则以及您自己创建的规则和安全设置这些都存在于单个查看器中, 该查看器显示了每条规则或设置规则或设置的说明以及规则引起的操作 ( 通常为允许 (Allow) 或禁止 (Block)) 选项警报 (Option Alert): 此选项只在超级用户模式中可用服务器规则将首先显示安全管理员确定应该应用于您的计算机的规则和设置, 列出的这些规则和设置带有一个数字服务器规则 : 字样, 以及规则的简要说明有时, 说明只是规则的名称, 在这种情况下, 屏幕底部的规则摘要将提供更多详细信息一般来说, 服务器规则的优先级比代理规则高所有规则都以带编号的列表形式显示在规则查看器中图 5. 安全规则查看器 26

了解防护代理代理规则和设置您应用于自己的计算机的规则和设置将与策略管理器部署给您的代理的规则进行合并代理与策略管理器规则的优先级顺序之比较优先级顺序 : 1. 具有高优先级的服务器规则是由系统管理员分配的 2. 代理高级规则 3. 具有较低优先级的服务器规则 4. 代理网上邻居设置 5. 代理应用程序设置安全规则查看器的工作方式安全规则查看器为您提供正在代理上运行的安全规则和设置的综合视图如果您单击一个服务器规则, 则会在屏幕底部的摘要框中显示该规则的摘要单击某个代理规则会使您直接转到应用程序列表 (Applications List) 配置选项 (Configuration Options) 对话框或高级规则设置 (Advanced Rule Settings) 对话框, 您可以在这些位置微调该规则 27

Symantec Protection Agent 安装使用指南 28

第 4 章保护系统某些代理安全设置是由管理员确定的您可以从代理上设置以下一项或多项配置设置应用程序的访问状态高级应用程序配置常规配置设置高级规则选项警报 (Option Alert): 只在客户端控制或超级用户模式中启用了常规配置设置和高级规则您可以使用应用程序列表来设置应用程序访问权您可以将每个应用程序的状态设置为允许 (Allow) 询问 (Ask) 或禁止 (Block) 允许 (Allow) 状态授予应用程序完全访问权, 询问 (Ask) 状态需要您的干预来确定状态, 禁止 (Block) 状态完全禁止该应用程序在应用程序 (Application) 窗口中, 您可以使用高级 (Advanced) 按钮来配置高级应用程序设置这些设置包括可信 IP 地址端口和调度在客户端控制或超级用户模式中, 您可以使用工具 (Tools) 菜单中的选项 (Options) 来设置常规配置设置在此处您可以设置诸如电子邮件通知日志设置和 IEEE 验证之类的项目在客户端控制或超级用户模式中, 您可以使用高级规则 (Advanced Rules) 选项来配置这样的规则 : 覆盖在常规的用户 - 防火墙交互过程中防火墙自动创建的规则和您为单个应用程序创建的规则高级规则将影响所有应用程序您可以使用扫描功能来测试系统的漏洞扫描可帮助您确定系统的安全类型您或许还可以选择临时禁用代理安全防护扫描系统针对某个攻击评估漏洞是您可以执行的用于确保系统不受可能的入侵者侵害的最重要的步骤之一使用从这组测试中了解到的信息, 您可以更有效地在代理上设置各种选项, 以保护系统不受攻击 29

Symantec Protection Agent 安装使用指南选项警报 (Option Alert): 此选项可能显示为灰色或根本不显示扫描系统 : 1. 执行下列操作之一 : o 在工具栏上, 单击安全测试 (Security Test) 按钮 o 在工具 (Tools) 菜单上, 单击测试系统安全性 (Test Your System Security) o 在 Internet 浏览器窗口中, 直接打开 Symantec( 以前称为 Sygate Technologies, Inc.) 网页 (http://scan.sygate.com) 2. 在该网页上, 单击立即扫描 (Scan Now) Symantec( 以前称为 Sygate Technologies, Inc.) 联机服务扫描程序将扫描您的计算机, 并尝试确定您的 IP 地址操作系统 Web 浏览器以及系统的其他信息 3. 有关特定扫描类型的信息, 请单击以下内容之一 : o 快速扫描 o 隐藏扫描 o 特洛伊扫描 o TCP 扫描 o UDP 扫描 o ICMP 扫描 4. 单击立即扫描 (Scan Now) 在主扫描页中, 还会提供一个关于 Symantec( 以前称为 Sygate Technologies, Inc.) 联机服务的常见问题的简短文档单击屏幕左下方的扫描常见问题 (Scan FAQ) 扫描类型您可以从以下扫描类型中选择一种快速扫描快速扫描是一种简短的常规扫描, 它包括若干扫描过程它通常需要 20 秒或更少的时间来精确扫描计算机的端口协议服务以及可能的特洛伊结果记录在代理的安全日志中 30

保护系统隐藏扫描隐藏扫描使用专门的隐藏技术来扫描计算机, 这种技术模拟合法计算机通信的组成部分, 以便检测是否存在计算机隐藏扫描需要大约 20 秒才能完成, 并且很有可能不记录在安全日志中特洛伊扫描特洛伊扫描功能扫描计算机上的全部 65,535 个端口, 以检测您或其他人无意下载的活动特洛伊木马程序特洛伊扫描需要大约 10 分钟才能完成网站上提供了常见特洛伊列表 TCP 扫描 TCP 扫描检查主要为 TCP 服务 ( 如即时消息服务 ) 保留的 1,024 个端口, 以便查看这些端口是否对通信开放开放端口可能指示了可以被恶意黑客利用的危险的安全漏洞它扫描计算机上连接到诸如路由器和代理服务器之类的设备的端口, 用户可以通过此类设备连接到网站这种扫描需要大约 20 分钟才能完成, 并由代理将其作为扫描事件记录在安全日志中 UDP 扫描 UDP 扫描采用多种方法和协议来探查使用 UDP 的开放端口 UDP 扫描将扫描计算机上连接到诸如路由器和代理服务器之类的设备的端口, 用户可以通过此类设备连接到网站这种扫描需要大约 10 分钟, 并且应作为来自 Symantec( 以前称为 Sygate Technologies, Inc.) 的端口扫描被记录在安全日志中 ICMP 扫描当 ICMP 扫描完成对用户计算机的扫描后, 它会显示带有扫描结果的页面如果用户正在运行代理, 那么所有的扫描都会被禁止为应用程序设置访问权您可以为每个尝试通过网络连接获取访问权的应用程序或服务 ( 如 Internet Explorer) 设置访问状态 ( 允许 (Allow)/ 禁止 (Block)/ 询问 (Ask)) 访问状态类型有 : 允许 (Allow) 代理允许传入和传出的通信访问网络通常, 这种通信已知是安全的, 原因是 : 您受服务器控制, 您的系统管理员已经将它定义为安全的 ; 或者您受客户端控制, 您已经自行作出了决定应用程序还可以被配置为仅当使用某个端口时或者在某几个小时内, 才可以访问网络询问 (Ask) 如果您处于默认设置 ( 普通 (Normal)) 下, 当新的应用程序尝试访问网络连接时, 代理将显示弹出窗口来询问您是否希望允许该应用程序 31

Symantec Protection Agent 安装使用指南访问网络如果您尚未允许或禁止某个应用程序, 那么每次该应用程序尝试访问网络或调制解调器时, 代理都会提示您您也可以告知代理记住您的响应, 以便在该应用程序将来发出访问尝试时使用禁止 (Block) 代理拒绝传入和传出通信如果您处于服务器控制模式中, 那么系统管理员已经创建了禁止计算机的规则更改应用程序的访问状态 : 1. 执行下列操作之一 : 单击工具栏上的应用程序 (Applications) 图标单击工具 (Tools) 应用程序 (Applications) 右键单击系统托盘图标, 然后单击应用程序 (Applications) 应用程序 (Applications) 对话框将显示自从安装代理以来, 向您发出请求, 以获取网络连接的访问权限的所有应用程序和服务列表某些应用程序可能已经过系统管理员的预先批准, 因此不会显示在此对话框中 2. 单击相应应用程序的文件名, 以便突出显示这一行 3. 右键单击突出显示的行 4. 单击快捷菜单中相应的访问状态 ( 允许 (Allow) 询问 (Ask) 或禁止 (Block)) 5. 单击确定 (OK) 以关闭应用程序 (Applications) 对话框 32

注意 : 保护系统您可以通过单击删除 (Remove) 或全部删除 (Remove All) 按钮从列表中删除所选的或全部应用程序将某个应用程序 / 服务从应用程序 (Applications) 列表中删除后, 其状态为已删除如果该应用程序 / 服务再次尝试连接到网络, 您将收到一条弹出消息, 并再次被要求为该应用程序 / 服务分配新的状态您可以通过以下方式更改应用程序和服务的显示视图 : 右键单击应用程序 (Applications) 列表中的任一位置, 单击查看 (View), 然后单击所需的视图只有牢固掌握计算机端口和应用程序协议方面知识的用户才可以使用高级 (Advanced) 按钮来设置高级配置选项有关详细信息, 请参见为应用程序设置高级选项为应用程序设置高级选项除了可以按照为应用程序设置访问权中的说明, 为应用程序 (Applications) 列表上的应用程序设置访问权之外, 您还可以为该列表上的单个应用程序设置高级安全设置您可以通过对应用程序可能使用的 IP 地址和端口设置某些限制来实现这一点只有牢固掌握计算机端口和应用程序协议方面知识的用户才可以使用高级配置选项为应用程序设置高级配置选项 : 1. 执行以下操作之一来打开应用程序 (Applications) 列表 : 单击工具栏上的应用程序 (Applications) 图标单击工具 (Tools) 应用程序 (Applications) 右键单击系统托盘图标, 然后单击应用程序 (Applications) 应用程序 (Applications) 对话框显示应用程序的当前列表 2. 通过单击应用程序或服务所在行上的任一位置来选择该应用程序或服务以便进行配置 3. 单击应用程序 (Applications) 列表屏幕底部左下角的高级 (Advanced) 按钮高级应用程序配置 (Advanced Application Configuration) 对话框将打开 33

Symantec Protection Agent 安装使用指南 4. 您现在可以为此应用程序设置选项了应用程序限制 (Application Restrictions): 在用于应用程序的受信任 IP (Trusted IPs for the Application) 文本框中输入受信任 IP 或 IP 范围远程服务器端口 (Remote Server Ports): 输入可以被此应用程序使用的远程端口或远程端口范围本地端口 (Local Ports): 输入可以被此应用程序使用的本地端口或端口范围允许 ICMP 通信 (Allow ICMP Traffic): 传出 ICMP 回显请求 ( 类型 :8, 代码 :0) 和传入 ICMP 回显回复 ( 类型 :0, 代码 :0) 将始终被允许处于屏保模式期间允许 (Allow during Screensaver Mode): 确定在屏保模式期间是否应该允许应用程序进行网络访问启用调度 (Enable Scheduling): 如果您希望设置时间限制或调度限制将生效的特定时间段, 请选择此选项您可以设置高级配置生效的时间使用此调度, 您可以设置应用程序限制在特定的时间段内生效, 或者除特定时间段外的其他时间生效 5. 单击确定 (OK) 保存选项, 然后在应用程序 (Applications) 对话框上再次单击确定 (OK) 34

保护系统配置代理的设置您可以为代理设置高级安全选项, 其中包括攻击的电子邮件通知可自定义的弹出消息心跳设置日志文件配置文件共享选项计算机控制设置, 以及诸如智能 DHCP 和防 MAC 欺骗之类的高级安全措施选项警报 (Option Alert): 此选项只对客户端控制和超级用户模式可用要配置代理, 请执行以下操作之一 : 在工具 (Tools) 菜单上, 单击选项 (Options) 右键单击系统托盘图标, 然后单击选项 (Options) 在任何日志的文件 (File) 菜单上, 单击选项 (Options) 选项 (Options) 对话框由以下选项卡组成 : 常规 (General) 选项卡网上邻居 (Network Neighborhood) 选项卡安全性 (Security) 选项卡电子邮件通知 (E-Mail Notification) 选项卡日志 (Log) 选项卡 IEEE 802.1x 验证 (IEEE 802.1x Authentication) 选项卡常规选项卡常规 (General) 选项卡包括一些更加广泛和全局的设置 35

Symantec Protection Agent 安装使用指南图 6. 选项 : 常规选项卡隐藏 Symantec Protection Agent 系统托盘图标从任务栏上的视图中隐藏图标要重新显示, 请单击以清除此复选框启动时自动加载 Symantec Protection Agent 服务启动时自动加载代理服务处于屏保模式时禁止网上邻居通信当计算机的屏保被激活时, 自动将安全级别设置为全部禁止 (Block All) 只要再次使用计算机, 安全级别就恢复为以前分配的级别隐藏通知消息禁用系统托盘通知消息默认情况下, 此选项未选中通知前发出蜂鸣声允许在显示系统托盘通知消息之前先发出声音通知显示消息秒允许您设置消息将显示的持续时间默认值是 6 秒 36

设置密码保护系统选项警报 (Option Alert): 此选项只在客户端控制和超级用户模式中可用打开密码 (Password) 对话框, 以便您可以在代理上设置密码保护这会禁止其他用户访问您的代理, 并禁止他们可能更改您的设置如果启用, 密码保护将在您每次访问代理的主控制台时提示您输入密码您可以设置代理在执行任何安全更改之前要求提供密码, 以及在退出代理之前要求提供密码启用密码保护 : 1. 单击工具 (Tools) 选项 (Options) 常规 (General) 选项卡 2. 单击对话框底部右侧的设置密码... (Set Password...) 按钮将出现下面的密码 (Password) 对话框 3. 在新密码 (New Password) 和确认新密码 (Confirm New Password) 字段中输入新密码注意 : 您可以通过将新密码 (New Password) 和确认新密码 (Confirm New Password) 字段留空来禁用密码保护 4. 为了让代理在您退出它之前提示您提供密码, 请在常规 (General) 选项卡上, 单击退出时询问密码 (Ask password while exiting) 5. 单击确定 (OK) 进行确认或者单击取消 (Cancel) 放弃更改退出时询问密码关闭代理时提示您输入密码网上邻居选项卡网上邻居 (Network Neighborhood) 选项卡提供了多种接口支持和网络浏览权限配置 37

Symantec Protection Agent 安装使用指南图 7. 选项 : 网上邻居选项卡网络接口指定您要访问的网络允许浏览网上邻居文件和打印机允许您访问所选网络上的其他文件和打印机允许他人共享我的文件和打印机允许所选网络上的其他用户浏览您的计算机和打印机安全性选项卡安全性 (Security) 选项卡提供了一种启用和禁用一些更复杂的安全性选项的方式您应该先测试此处进行的设置, 然后再将其传播给其他计算机, 以便确保设置能够按照预期的方式工作 38

保护系统图 8. 选项 : 安全性选项卡启用入侵防护系统当其他用户试图破坏您的系统时, 向您发出警报代理上的入侵防护实际上启用的是入侵检测系统 (IDS) 和入侵防护系统 (IPS) 的组合最终结果是一个系统, 它可以分析网络数据包, 并将其与已知攻击和已知攻击模式进行比较, 然后禁止这些攻击入侵防护系统的一个重要功能就是它可以进行深入的数据包检查默认情况下, 代理上启用此选项启用端口扫描检测检测是否有人在扫描您的端口, 并通知您端口扫描是一种黑客用来确定计算机的哪些端口开放以进行通信的常用方法端口由代理动态禁止, 因此可以防止黑客攻击尝试如果禁用, 代理就不会检测扫描或通知您, 但是它仍然会防止黑客对您的端口进行攻击尝试默认情况下, 代理上启用此选项启用驱动程序级别防护禁止协议驱动程序访问网络, 除非用户授予权限如果协议驱动程序尝试访问网络, 则会显示一条弹出消息询问您是否希望允许它默认情况下, 此选项已经启用 39

Symantec Protection Agent 安装使用指南启用隐藏模式浏览隐藏模式是指计算机从 Web 服务器中隐藏但仍位于网络上例如, 如果在隐藏模式下, 就无法通过端口扫描或通信尝试 ( 如 ping) 检测到 Internet 上的计算机默认情况下, 禁用此选项启用 DoS 检测使代理检查传入通信中是否存在已知拒绝服务 (DoS) 攻击模式 DoS 攻击的特点是入侵者发起明确的攻击尝试, 以阻止服务的合法用户使用该服务默认情况下, 启用此选项禁止通用即插即用通信使代理查找并禁止 UPnP 通信以防御由此操作系统功能引入的漏洞 : 第一个漏洞可能会使攻击者完全控制受影响的系统, 而第二个漏洞可能会使攻击者阻止受影响的系统提供有用服务, 或者利用多个用户的系统对单个目标发起分布式拒绝服务攻击当用户使用需要 UPnP 协议才能运行的应用程序时, 可以禁用此功能默认情况下, 启用此选项自动禁止攻击者的 IP 地址... 秒一旦检测到攻击, 即禁止源主机的所有通信例如, 如果代理检测到源自某个 IP 地址的 DoS 攻击, 则代理将禁止来自该 IP 的所有通信, 禁止持续时间在秒字段中指定默认情况下, 启用此选项未加载服务时禁止所有通信在从打开计算机到启动代理的几秒钟时间内阻止任何通信进入或离开计算机此时间段是一个小的安全漏洞, 可能允许未经授权的通信启用此功能可以阻止可能的特洛伊木马或其他未经授权的应用程序与其他计算机或设备通信如果代理崩溃或关闭, 此功能也会发挥作用默认情况下, 启用此选项允许初始通信启用基本网络连接所需的初始通信这包括初始 DHCP 和 NetBIOS 通信, 以便代理可以获取 IP 地址默认情况下, 启用此选项启用防 MAC 欺骗仅当向该特定主机发出 ARP 请求时, 才允许传入和传出地址解析协议 (ARP) 通信它禁止所有其他意外的 ARP 通信, 并将其记录到安全日志中默认情况下, 代理上启用此选项某些黑客使用 MAC 欺骗来试图拦截两台计算机之间的通信会话, 以攻击其中一台计算机 MAC( 介质访问控制 ) 地址是标识计算机设备服务器路由器等的硬件地址如果计算机 A 想要与计算机 B 进行通信, 那么它可能会向计算机 B 发送一个 ARP 数据包 40

启用防 IP 欺骗保护系统 IP 欺骗是黑客用于拦截两台计算机之间的通信会话的一个过程例如, 如果有计算机 A 和 B, 则黑客可以发送导致计算机 A 丢弃通信的数据包然后假装成计算机 A, 这样黑客就可以与计算机 B 通信, 从而拦截通信会话并试图攻击计算机 B 防 IP 欺骗通过随机化每个通信数据包的序列号, 以防止黑客预测并截获数据包, 从而可以阻止大多数 IP 欺骗尝试建议您启用此选项和启用操作系统指纹伪装 (Enable OS fingerprint masquerading) 选项默认情况下, 启用此选项启用操作系统指纹伪装阻止程序检测运行代理软件的计算机的操作系统当启用操作系统指纹伪装时, 代理会修改 TCP/IP 数据包, 这样就不能确定其操作系统建议您启用此选项和以前讨论的启用防 IP 欺骗 (Enable anti-ip spoofing) 选项默认情况下, 启用此选项 NetBIOS 防护禁止来自位于代理的本地子网范围外的计算机的所有通信在 UDP 端口 88 137 和 138 以及 TCP 端口 135 139 445 和 1026 上禁止 NetBIOS 通信请注意, 如果连接到位于其他子网上的 Exchange 服务器, 这可能会导致 Outlook 出现问题如果发生此类情况, 您应该创建一个专门允许访问该服务器的高级规则启用防应用程序拦截使代理检查通过将 DLL 和 Windows 挂钩程序插入 Windows 应用程序来工作的恶意应用程序, 并在发现这些恶意应用程序时禁止它们允许令牌环通信允许代理通过令牌环适配器连接以访问企业网络默认情况下, 启用此选项启用智能 DNS 禁止除传出 DNS 请求和相应回复外的所有 DNS 通信这意味着如果您的计算机发出 DNS 请求, 而另一台计算机在五秒钟内发出响应, 则允许该通信将丢弃所有其他 DNS 数据包如果您禁用此功能, 请注意您将需要手动允许 DNS 名称解析, 方法是 : 为远程端口 53 创建允许 UDP 通信的高级规则默认情况下, 启用此选项启用智能 DHCP 仅允许传出 DHCP 请求和传入 DHCP 回复, 并且仅允许支持 DHCP 的网卡如果您禁用此功能并需要使用 DHCP, 则必须为远程端口 67 和 68 上的 UDP 数据包创建高级规则默认情况下, 启用此选项 41

Symantec Protection Agent 安装使用指南启用智能 WINS 仅当收到请求时, 才允许 Windows Internet 名称服务 (WINS) 请求如果没有请求通信, 将禁止 WINS 回复默认情况下, 禁用此选项电子邮件通知选项卡电子邮件通知 (E-Mail Notification) 选项卡使您可以通过电子邮件自动通知指定收件人关于对计算机的所有攻击的信息注意 : 在输入电子邮件地址后, 您应该始终使用测试电子邮件通知 (Test E-Mail Notification) 按钮来验证输入的地址是否正确, 这一点很重要图 9. 选项 : 电子邮件通知选项卡前三个选项设置邮件的频率不通知禁用电子邮件通知选项立即通知在发生对计算机的攻击后立即发送电子邮件每隔分钟在发生攻击后以固定的间隔发送电子邮件, 间隔是在每隔分钟 (After Every Minute(s)) 对话框中指定的 42

发件人 : 保护系统指定邮件发件人的电子邮件地址这可以是个人电子邮件地址, 也可以是其他电子邮件地址收件人 : 指定收件人电子邮件地址这可以是管理员的电子邮件地址, 也可以是任何其他电子邮件地址抄送 : 指定一个电子邮件地址, 以便发送每封电子邮件的副本主题 : 说明电子邮件的主题 SMTP 服务器地址 : 指定 SMTP 服务器地址我的电子邮件服务器要求验证指定您的电子邮件服务器是否要求验证验证服务器地址 : 指定验证服务器的地址用户名 / 密码 : 在相应的字段中指定用于验证服务器的用户名和密码测试电子邮件通知向您在收件人 (To:) 和抄送 : (Cc:) 字段中指定的电子邮件地址发送测试邮件您应该使用测试按钮来验证输入的任何电子邮件地址, 这很重要日志选项卡日志 (Log) 选项卡提供了管理代理的日志的集中位置您可以确定每个日志的标准日志大小, 以及指定在每个日志中记录多少天的条目您还可以切换是否记录每种类型的日志 43

Symantec Protection Agent 安装使用指南图 10. 选项 : 日志选项卡启用日志启用安全性通信系统和数据包日志默认情况下, 不启用数据包日志最大日志文件大小指定日志文件的最大大小 ( 以千字节为单位 ) 默认设置是 512 KB 或 1024 KB 建议使日志文件尽可能小保存过去 xx 天的日志文件对于您要配置的日志, 请指定保存日志的天数清除日志清除所选的日志 IEEE 802.1x 验证选项卡仅当您公司网络使用 Symantec LAN Enforcer, 才使用 IEEE 802.1x 验证 (IEEE 802.1x Authentication) 选项卡 LAN Enforcer 与支持 802.1x 验证的交换机或无线接入点一起使用为了与 LAN Enforcer 配合使用, 代理必须启用 802.1x 验证选项警报 (Option Alert):IEEE 802.1x 验证 (IEEE 802.1x Authentication) 选项卡只在客户端控制中可用 44