Symantec Sygate Enterprise Protection 防 护 代 理 安 装 使 用 指 南 5.1 版
版 权 信 息 Copyright 2005 Symantec Corporation. 2005 年 Symantec Corporation 版 权 所 有 All rights reserved. 保 留 所 有 权 利 Symantec Symantec 徽 标 Sygate 和 Sygate S 徽 标 Host Integrity 和 AutoLocation 是 Symantec Corporation 或 其 附 属 公 司 在 美 国 和 其 它 某 些 国 家 / 地 区 的 商 标 或 注 册 商 标 Symantec 和 赛 门 铁 克 是 Symantec Corporation 在 中 国 的 注 册 商 标 其 它 名 称 可 能 是 其 各 自 所 有 者 的 商 标 本 文 档 中 介 绍 的 产 品 根 据 限 制 其 使 用 复 制 分 发 和 反 编 译 / 逆 向 工 程 的 授 权 许 可 协 议 进 行 分 发 未 经 Symantec Corporation( 赛 门 铁 克 公 司 ) 及 其 特 许 人 ( 如 果 存 在 ) 事 先 书 面 授 权, 不 得 以 任 何 方 式 任 何 形 式 复 制 本 文 档 的 任 何 部 分 本 文 档 按 现 状 提 供, 对 于 所 有 明 示 或 暗 示 的 条 款 陈 述 和 保 证, 包 括 任 何 适 销 性 针 对 特 定 用 途 的 适 用 性 或 无 侵 害 知 识 产 权 的 暗 示 保 证, 均 不 提 供 任 何 担 保, 除 非 此 类 免 责 声 明 的 范 围 在 法 律 上 视 为 无 效 SYMANTEC CORPORATION( 赛 门 铁 克 公 司 ) 不 对 任 何 与 性 能 或 使 用 本 文 档 相 关 的 伴 随 或 后 果 性 损 害 负 责 本 文 档 所 含 信 息 如 有 更 改, 恕 不 另 行 通 知 Symantec Corporation 20330 Stevens Creek Blvd. Cupertino, CA 95014 http://www.symantec.com 文 档 内 部 版 本 :2009 出 版 日 期 :2006 年 7 月
目 录 前 言...ix 本 指 南 的 内 容...ix 适 用 用 户...ix 获 取 技 术 支 持...x 第 1 章 防 护 代 理 概 述...1 Symantec Policy Manager 和 Symantec Protection Agent...1 防 护 代 理 软 件 的 功 能...2 主 要 功 能...2 有 些 选 项 可 能 不 可 用...3 确 定 控 制 模 式...3 客 户 端 控 制...3 服 务 器 控 制...3 超 级 用 户 模 式...4 您 的 控 制 模 式 是 什 么?...4 控 制 模 式 可 随 时 更 改...4 第 2 章 接 收 和 安 装 防 护 代 理 软 件...5 安 装 代 理 软 件 的 系 统 要 求...6 安 装 防 护 代 理 软 件...6 卸 载 防 护 代 理 软 件...7 第 3 章 了 解 防 护 代 理...9 浏 览 主 控 制 台...9 菜 单 和 工 具 栏 按 钮...11 通 信 历 史 记 录 图...11 正 在 运 行 的 应 用 程 序 (Running Applications) 字 段...12 消 息 控 制 台...13 状 态 栏...13 使 用 菜 单 和 工 具 栏...14 菜 单 和 工 具 栏 ( 客 户 端 控 制 )...14 菜 单 和 工 具 栏 ( 服 务 器 控 制 )...16 菜 单 和 工 具 栏 ( 超 级 用 户 模 式 )...18 使 用 系 统 托 盘 图 标...20 系 统 托 盘 图 标 可 告 诉 您 什 么...21 闪 烁 的 系 统 托 盘 图 标 的 含 义 是 什 么?...22 系 统 托 盘 图 标 菜 单...23 隐 藏 和 显 示 系 统 托 盘 图 标...24 更 改 处 所...25 导 入 和 导 出 配 置 文 件...25 使 用 安 全 规 则 查 看 器...26 服 务 器 规 则...26 代 理 规 则 和 设 置...27 代 理 与 策 略 管 理 器 规 则 的 优 先 级 顺 序 之 比 较...27 iii
Symantec Protection Agent 安 装 使 用 指 南 iv 安 全 规 则 查 看 器 的 工 作 方 式...27 第 4 章 保 护 系 统...29 扫 描 系 统...29 扫 描 类 型...30 快 速 扫 描...30 隐 藏 扫 描...31 特 洛 伊 扫 描...31 TCP 扫 描...31 UDP 扫 描...31 ICMP 扫 描...31 为 应 用 程 序 设 置 访 问 权...31 为 应 用 程 序 设 置 高 级 选 项...33 配 置 代 理 的 设 置...35 常 规 选 项 卡...35 网 上 邻 居 选 项 卡...37 安 全 性 选 项 卡...38 电 子 邮 件 通 知 选 项 卡...42 日 志 选 项 卡...43 IEEE 802.1x 验 证 选 项 卡...44 设 置 高 级 规 则...45 常 规 选 项 卡...46 主 机 选 项 卡...47 端 口 和 协 议 选 项 卡...48 调 度 选 项 卡...50 应 用 程 序 选 项 卡...51 查 看 服 务 器 和 代 理 规 则...52 临 时 禁 用 防 护...54 第 5 章 消 息 和 警 告...55 我 为 什 么 会 收 到 弹 出 消 息?...56 新 应 用 程 序 弹 出 消 息...56 已 更 改 的 应 用 程 序 弹 出 消 息...58 快 速 用 户 切 换 弹 出 消 息...59 自 动 更 新 通 知...60 特 洛 伊 木 马 警 告...61 我 为 什 么 会 收 到 安 全 通 知?...61 禁 止 的 应 用 程 序 通 知...61 安 全 警 报 通 知...62 我 为 什 么 会 收 到 警 告 消 息?...62 代 理 执 行 自 动 下 载...62 您 可 能 被 禁 止 访 问 网 络...63 第 6 章 监 控 和 日 志 记 录...65 查 看 日 志...65 通 信 日 志...66 数 据 包 日 志...68 系 统 日 志...70
目 录 安 全 日 志...71 行 为 日 志...73 启 用 和 清 除 日 志...75 回 溯 记 录 的 事 件...76 过 滤 记 录 的 事 件...77 保 存 日 志...78 停 止 活 动 响 应...78 响 应 访 问 状 态 弹 出 消 息...78 词 汇 表...81 索 引...99 v
Symantec Protection Agent 安 装 使 用 指 南 附 表 目 录 表 1. 正 在 运 行 的 应 用 程 序 字 段...12 表 2. 代 理 菜 单 ( 客 户 端 控 制 )...14 表 3. 代 理 菜 单 ( 服 务 器 控 制 )...16 表 4. 代 理 菜 单 ( 超 级 用 户 )...18 表 5. 系 统 托 盘 图 标 颜 色...21 表 6. 系 统 托 盘 图 标 外 观...21 表 7. 系 统 托 盘 图 标 菜 单...23 表 8. 弹 出 : 请 记 住 答 案?...58 表 9. 通 信 日 志 图 标...66 表 10. 通 信 日 志 参 数 和 说 明...67 表 11. 数 据 包 日 志 图 标...68 表 12. 数 据 包 日 志 参 数 和 说 明...69 表 13. 系 统 日 志 图 标...70 表 14. 系 统 日 志 参 数 和 说 明...70 表 15. 安 全 日 志 图 标...71 表 16. 安 全 日 志 参 数 和 说 明...71 表 17. 代 理 行 为 日 志 参 数 和 说 明...74 表 18. 代 理 应 用 程 序 访 问 状 态...79 vi
目 录 附 图 目 录 图 1. 客 户 端 控 制 模 式 中 的 主 控 制 台...10 图 2. 服 务 器 控 制 模 式 中 的 主 控 制 台...10 图 3. 超 级 用 户 模 式 中 的 主 控 制 台...11 图 4. 通 信 历 史 记 录 图...11 图 5. 安 全 规 则 查 看 器...26 图 6. 选 项 : 常 规 选 项 卡...36 图 7. 选 项 : 网 上 邻 居 选 项 卡...38 图 8. 选 项 : 安 全 性 选 项 卡...39 图 9. 选 项 : 电 子 邮 件 通 知 选 项 卡...42 图 10. 选 项 : 日 志 选 项 卡...44 图 11. 选 项 :EEE 802.1x 验 证 选 项 卡...45 图 12. 高 级 规 则 : 常 规 选 项 卡...46 图 13. 高 级 规 则 : 主 机 选 项 卡...48 图 14. 高 级 规 则 : 端 口 和 协 议 选 项 卡...49 图 15. 高 级 规 则 : 调 度 选 项 卡...50 图 16. 高 级 规 则 : 应 用 程 序 选 项 卡...51 图 17. 安 全 规 则 查 看 器...53 图 18. 回 溯 数 据 包...76 vii
Symantec Protection Agent 安 装 使 用 指 南 viii
前 言 本 指 南 介 绍 了 如 何 安 装 和 使 用 Symantec Protection Agent 本 指 南 中 的 信 息 同 时 以 联 机 帮 助 形 式 提 供 在 代 理 控 制 台 中, 可 以 从 菜 单 栏 选 择 帮 助 (Help) 帮 助 主 题 (Help topics) 或 单 击 帮 助 (Help) 按 钮 有 关 此 版 本 的 最 新 消 息, 请 参 见 本 软 件 附 带 的 Readme.txt 文 件 本 指 南 的 内 容 本 文 档 提 供 了 以 下 方 面 的 相 关 信 息 : 了 解 防 护 代 理 接 收 和 安 装 代 理 软 件 访 问 代 理 界 面 保 护 系 统 了 解 并 响 应 代 理 弹 出 消 息 使 用 日 志 监 控 系 统 适 用 用 户 本 文 档 适 用 于 代 理 软 件 的 最 终 用 户 本 文 档 假 定 用 户 熟 悉 Windows 操 作 系 统 的 基 本 功 能 和 标 准 Windows 项 目, 如 按 钮 菜 单 工 具 栏 窗 口 等 等 此 外, 它 还 假 定 用 户 拥 有 网 络 或 Internet 连 接, 无 论 是 通 过 局 域 网 DSL 连 接 拨 号 调 制 解 调 器 无 线 接 入 点 还 是 其 他 连 接 方 法 ix
Symantec Protection Agent 安 装 使 用 指 南 获 取 技 术 支 持 Symantec Corporation 提 供 多 种 服 务 和 支 持 计 划 请 通 过 网 站 电 子 邮 件 或 电 话 与 企 业 支 持 联 系 网 站 : 电 子 邮 件 地 址 : www.sygate.com/support 电 话 号 码 : (510) 742-2622 EnterpriseSupport@sygate.com 免 费 号 码 : (877) TECH-800 (832-4800) x
第 1 章 防 护 代 理 概 述 Symantec Protection Agent( 代 理 ) 是 安 全 软 件, 并 且 是 Symantec Sygate Enterprise Protection 软 件 套 件 中 的 一 个 组 件 安 装 后, 代 理 将 提 供 可 自 定 义 的 防 火 墙, 以 保 护 计 算 机 免 受 入 侵 和 误 用 ( 不 管 是 恶 意 的 还 是 无 意 的 ) 的 危 害 它 可 以 检 测 并 识 别 已 知 的 特 洛 伊 端 口 扫 描 及 其 他 常 见 的 攻 击 作 为 回 应, 它 有 选 择 性 地 允 许 或 禁 止 通 信 各 种 网 络 服 务 应 用 程 序 端 口 和 组 件 代 理 使 用 安 全 策 略 ( 包 括 安 全 规 则 和 安 全 设 置 ) 来 保 护 个 人 计 算 机 免 受 可 造 成 危 害 的 网 络 通 信 的 侵 害 由 于 代 理 是 作 为 Symantec Sygate Enterprise Protection 安 全 套 件 的 组 成 部 分 部 署 的, 因 此 它 将 与 其 他 安 全 组 件 配 合 工 作 来 保 护 企 业 网 络 对 于 每 个 尝 试 通 过 网 络 连 接 来 获 取 访 问 的 应 用 程 序 或 服 务, 代 理 将 使 用 安 全 规 则 确 定 是 否 允 许 该 应 用 程 序 进 行 访 问 Symantec Policy Manager 和 Symantec Protection Agent Symantec Protection Agent 与 Symantec Sygate Enterprise Protection 软 件 的 另 一 个 软 件 组 件 Symantec Policy Manager 进 行 通 信, 并 且 接 收 来 自 Symantec Policy Manager 的 安 全 指 令 系 统 管 理 员 已 经 定 义 了 策 略 管 理 器 分 发 给 代 理 的 安 全 策 略 策 略 管 理 器 充 当 所 有 代 理 的 集 中 控 制 点 通 过 它, 系 统 管 理 员 可 以 定 义 和 分 发 安 全 策 略 收 集 日 志, 以 及 维 护 公 司 网 络 的 完 整 性 它 将 安 全 策 略 部 署 到 代 理 发 出 更 新 的 入 侵 检 测 特 征, 并 且 处 理 企 业 的 安 全 问 题 当 代 理 首 次 与 策 略 管 理 器 建 立 连 接 时, 会 自 动 更 新 其 策 略, 并 在 连 接 期 间 定 期 进 行 更 新 作 为 企 业 安 全 的 必 要 组 成 部 分, 代 理 还 跟 踪 对 安 全 策 略 的 尝 试 违 规, 并 将 这 一 信 息 以 日 志 的 形 式 传 递 给 策 略 管 理 器 系 统 管 理 员 将 制 定 直 接 影 响 您 对 代 理 的 使 用 的 决 策 他 们 可 能 授 予 您 对 自 己 的 安 全 策 略 的 更 多 或 更 少 的 控 制 权, 具 体 取 决 于 代 理 的 控 制 模 式 和 处 所 1
Symantec Protection Agent 安 装 使 用 指 南 防 护 代 理 软 件 的 功 能 代 理 保 护 个 人 计 算 机 不 受 可 造 成 危 害 的 网 络 通 信 的 侵 害 它 通 过 应 用 三 个 防 火 墙 规 则 之 一 来 实 现 此 目 的 : 允 许 代 理 允 许 某 些 流 量 通 过 通 常, 这 种 通 信 已 知 是 安 全 的, 原 因 是 : 您 受 服 务 器 控 制, 您 的 系 统 管 理 员 已 经 将 它 定 义 为 安 全 的 ; 或 者 您 受 客 户 端 控 制, 您 已 经 自 行 作 出 了 决 定 通 常 被 归 类 为 安 全 的 通 信 示 例 包 括 Outlook Internet Explorer Netscape Navigator Outlook Express 和 其 他 常 见 网 络 和 通 信 软 件 禁 止 代 理 禁 止 某 些 通 信 这 通 常 是 已 知 会 为 计 算 机 带 来 麻 烦 或 危 险 的 通 信 如 果 您 处 于 服 务 器 控 制 模 式 中, 则 您 的 系 统 管 理 员 已 经 在 该 区 域 中 制 定 了 一 些 决 策, 以 保 护 计 算 机 并 禁 止 已 知 为 或 被 认 为 是 危 险 的 通 信 询 问 代 理 询 问 您 是 否 允 许 传 入 的 通 信 访 问 您 的 计 算 机 或 组 织 的 网 络 资 源 如 果 代 理 处 于 客 户 端 控 制 模 式 中, 它 最 初 将 询 问 您 是 否 允 许 应 用 程 序 访 问 网 络 资 源 或 者, 它 会 记 住 您 的 响 应, 从 而 无 需 再 次 告 知 它 使 用 防 火 墙 规 则, 代 理 可 以 系 统 地 允 许 禁 止 或 询 问 针 对 特 定 IP 地 址 和 端 口 的 传 入 或 传 出 通 信 应 采 取 的 操 作 通 过 将 这 些 规 则 与 其 他 安 全 设 置 进 行 配 置, 可 以 使 安 全 代 理 保 护 您 的 计 算 机 主 要 功 能 代 理 可 在 各 种 网 络 环 境 中 使 用 这 些 环 境 中 有 一 些 包 括 到 本 地 LAN 或 无 线 网 络 的 直 接 连 接 使 用 虚 拟 专 用 网 络 (VPN) 或 拨 号 的 远 程 连 接, 或 者 完 全 断 开 与 任 何 网 络 的 连 接 它 的 功 能 非 常 强 大 且 灵 活, 在 与 Symantec Policy Manager 结 合 使 用 时, 尤 其 如 此 心 跳 同 步 代 理 是 企 业 安 全 必 不 可 少 的 组 成 部 分 它 不 断 发 送 状 态 日 志 并 接 收 来 自 策 略 管 理 器 的 安 全 策 略 代 理 和 策 略 管 理 器 之 间 这 种 持 续 的 检 查 称 为 心 跳 如 果 为 代 理 所 属 的 组 定 义 了 新 策 略, 则 它 会 在 下 一 次 心 跳 时 收 到 该 新 策 略 自 定 义 的 安 全 策 略 每 个 代 理 都 是 组 ( 例 如, 市 场 营 销 销 售 VPN 用 户 ) 的 一 个 成 员 系 统 管 理 员 为 每 个 组 定 义 安 全 策 略, 并 且 安 全 策 略 会 自 动 更 新 到 作 为 该 组 成 员 的 代 理 如 果 最 终 用 户 从 一 个 组 移 至 另 一 个 组, 则 下 一 次 心 跳 时 新 组 的 安 全 策 略 会 自 动 应 用 到 该 用 户 的 代 理 自 动 处 所 切 换 可 通 过 策 略 管 理 器 自 定 义 代 理, 以 自 动 识 别 它 的 工 作 环 境 ( 即 处 所 ), 并 立 即 切 换 到 已 经 为 该 处 所 创 建 的 安 全 策 略 例 如, 您 可 以 从 家 中 或 办 公 室 里 进 行 连 接 代 理 将 检 测 到 处 所, 并 自 动 切 换 处 所 可 将 每 个 代 理 配 置 为 具 有 各 种 预 定 义 的 处 所, 且 每 个 处 所 都 提 供 相 应 的 安 全 策 略 主 机 完 整 性 可 以 要 求 每 个 代 理 都 运 行 特 定 应 用 程 序 ( 如 病 毒 防 护 ), 并 且, 除 非 该 应 用 程 序 是 最 新 的 并 且 正 在 代 理 计 算 机 上 运 行, 否 则 禁 止 代 理 访 问 网 络 如 果 代 理 未 通 过 主 机 完 整 性 检 查, 那 么 代 理 可 以 自 动 被 路 由 到 适 当 的 位 置 以 下 载 并 安 装 所 需 的 更 新 这 些 更 新 可 包 括 操 作 系 统 补 丁 程 序 安 全 防 火 墙 软 件, 以 及 您 的 管 理 员 确 定 计 算 机 需 要 的 其 他 程 序 2
防 护 代 理 概 述 多 种 类 型 代 理 被 设 计 为 在 大 多 数 基 于 Windows 的 计 算 机 上 工 作, 包 括 服 务 器 和 工 作 站 自 动 处 所 切 换 功 能 通 常 部 署 在 远 程 计 算 机 或 便 携 式 计 算 机 上, 但 是 它 可 以 部 署 在 所 有 安 装 上 与 Symantec Enforcer 配 合 工 作 代 理 也 可 以 与 Enforcer 一 起 部 署, 后 者 提 供 了 一 个 额 外 的 安 全 保 护 层 Enforcer 是 Symantec Sygate Enterprise Protection 安 全 套 件 的 另 一 个 组 件 它 可 确 保 连 接 到 它 所 保 护 的 网 络 路 径 的 所 有 计 算 机 都 运 行 代 理 并 且 实 施 了 正 确 的 安 全 策 略 有 些 选 项 可 能 不 可 用 根 据 您 的 系 统 管 理 员 的 决 定, 代 理 控 制 台 上 的 功 能 有 时 可 能 会 有 所 变 化 代 理 对 某 些 用 户 可 能 完 全 不 可 见, 并 显 示 部 分 功 能 集 ; 对 其 他 用 户 集 则 显 示 完 全 用 户 界 面 这 些 区 别 取 决 于 代 理 运 行 的 控 制 模 式, 或 者 使 用 代 理 的 处 所 此 文 档 介 绍 了 代 理 支 持 的 所 有 功 能 和 选 项 您 或 您 的 公 司 可 能 购 买 了 受 限 许 可 证 ( 此 类 许 可 证 提 供 的 选 项 较 少 ); 或 者 出 于 安 全 原 因, 系 统 管 理 员 可 能 禁 用 了 某 些 选 项 选 项 警 报 (Option Alert): 将 为 已 禁 用 的 选 项 或 者 仅 当 您 工 作 在 特 定 控 制 模 式 中 时 才 可 用 的 选 项 显 示 该 图 标 确 定 控 制 模 式 为 了 防 止 计 算 机 遭 受 最 新 攻 击 和 存 在 的 漏 洞 的 危 害, 系 统 管 理 员 可 更 改 系 统 的 控 制 模 式 每 种 模 式 提 供 对 代 理 的 安 全 策 略 的 不 同 级 别 的 控 制 代 理 在 下 列 控 制 模 式 中 的 某 一 种 模 式 中 运 行 : 客 户 端 控 制 服 务 器 控 制 超 级 用 户 模 式 客 户 端 控 制 客 户 端 控 制 模 式 授 予 您 对 安 全 设 置 的 最 大 控 制 权 客 户 端 控 制 通 常 授 予 工 程 师 或 安 装 在 用 于 测 试 软 件 的 计 算 机 上 如 果 从 家 中 连 接 到 企 业 网 络, 则 便 携 式 计 算 机 上 可 能 具 有 客 户 端 控 制 的 代 理 如 果 使 用 同 一 台 便 携 式 计 算 机 连 接 到 工 作 网 络, 那 么 当 您 到 达 工 作 地 点 时 代 理 可 能 会 更 改 为 服 务 器 控 制 模 式 这 是 称 为 自 动 处 所 切 换 的 代 理 选 项 的 一 个 示 例 服 务 器 控 制 服 务 器 控 制 模 式 从 策 略 管 理 器 获 取 其 规 则 和 安 全 设 置 虽 然 您 不 能 从 代 理 中 更 改 这 些 设 置, 但 是 这 种 服 务 器 控 制 的 代 理 可 能 比 客 户 端 控 制 的 代 理 更 加 安 全 3
Symantec Protection Agent 安 装 使 用 指 南 超 级 用 户 模 式 超 级 用 户 模 式 是 一 种 混 合 控 制 模 式, 它 是 您 自 己 设 置 的 安 全 策 略 与 系 统 管 理 员 为 您 设 置 的 策 略 的 混 合, 其 中 后 者 将 覆 盖 前 者 系 统 管 理 员 事 先 确 定 您 可 以 更 改 哪 些 设 置 您 的 控 制 模 式 是 什 么? 没 有 一 种 明 显 的 方 式 可 告 知 代 理 所 处 的 模 式 但 是, 您 可 以 通 过 检 查 显 示 在 主 控 制 台 上 的 菜 单 和 工 具 栏 来 确 定 代 理 使 用 的 是 哪 种 控 制 模 式 例 如, 如 果 处 于 服 务 器 控 制 模 式, 则 退 出 Sygate Protection (Exit Sygate Protection) 按 钮 将 灰 显 如 果 您 单 击 了 工 具 (Tools) 菜 单, 然 后 看 到 安 全 规 则 查 看 器 (Security Rule Viewer) 和 高 级 规 则 (Advanced Rules), 则 您 的 代 理 处 于 超 级 用 户 模 式 如 果 是 处 于 客 户 端 控 制 模 式, 则 您 在 工 具 (Tools) 菜 单 上 只 能 看 到 高 级 规 则 (Advanced Rules) 控 制 模 式 可 随 时 更 改 代 理 是 一 个 更 大 环 境 的 组 成 部 分 在 这 个 更 大 的 企 业 环 境 中, 安 全 管 理 员 负 责 防 止 遭 受 最 新 攻 击 和 存 在 的 漏 洞 的 危 害 为 了 保 护 计 算 机, 系 统 管 理 员 可 随 时 更 改 代 理 上 的 控 制 模 式 或 控 制 模 式 的 默 认 设 置 系 统 管 理 员 在 策 略 管 理 器 级 别 进 行 更 改 后, 这 些 保 护 性 策 略 和 设 置 将 在 下 次 心 跳 ( 代 理 与 策 略 管 理 器 之 间 的 定 期 连 接 ) 时 自 动 在 代 理 上 实 施 根 据 策 略 管 理 器 级 别 的 更 改, 您 的 安 全 策 略 和 防 火 墙 规 则 也 可 能 会 更 改 这 样 做 的 好 处 是 系 统 管 理 员 可 以 跟 踪 安 全 威 胁 并 自 动 实 施 保 护 性 策 略 和 设 置 这 些 更 改 对 您 来 说 是 透 明 的, 这 样 您 就 无 需 采 取 任 何 操 作 来 实 施 它 们 但 是, 您 可 能 会 在 用 户 界 面 或 用 于 访 问 网 络 的 应 用 程 序 中 看 到 更 改 4
第 2 章 接 收 和 安 装 防 护 代 理 软 件 向 您 分 发 代 理 软 件 的 方 法 有 多 种 您 可 能 需 要 采 取 某 些 操 作 来 查 找 和 获 取 该 软 件, 或 者 也 可 能 已 经 安 装 了 该 软 件 网 络 下 载 安 装 文 件 由 管 理 员 放 在 了 网 络 上 的 某 个 位 置 或 Extranet 服 务 器 上 您 应 该 浏 览 到 该 位 置 以 便 解 压 缩 并 运 行 Setup.exe 程 序 来 安 装 代 理 对 于 此 类 安 装, 尽 管 您 的 系 统 管 理 员 可 能 已 经 为 您 进 行 了 某 些 选 择, 但 是 系 统 可 能 还 会 提 示 您 输 入 许 可 证 信 息 软 件 在 硬 盘 驱 动 器 上 的 位 置 等 等, 如 安 装 防 护 代 理 软 件 中 所 述 服 务 器 分 发 您 收 到 电 子 邮 件 或 其 他 链 接, 该 链 接 指 向 您 可 以 在 Intranet 或 Extranet 上 访 问 的 文 件 夹 中 的 Setup.exe 程 序 运 行 该 程 序, 它 会 安 装 代 理 对 于 此 类 安 装, 尽 管 您 的 系 统 管 理 员 可 能 已 经 为 您 进 行 了 某 些 选 择, 但 是 系 统 可 能 还 会 提 示 您 输 入 许 可 证 信 息 软 件 在 硬 盘 驱 动 器 上 的 位 置 等 等, 如 安 装 防 护 代 理 软 件 中 所 述 服 务 器 登 录 脚 本 安 全 管 理 员 设 置 自 动 安 装 代 理 软 件 的 登 录 脚 本 对 于 此 类 安 装, 系 统 通 常 不 会 提 示 您 提 供 任 何 信 息, 系 统 管 理 员 可 能 为 您 做 好 了 所 有 选 择 您 可 能 知 道 代 理 正 在 安 装, 或 者 管 理 员 可 能 以 您 看 不 见 的 静 默 模 式 执 行 安 装 光 盘 分 发 安 全 管 理 员 将 代 理 软 件 放 在 光 盘 上 然 后 您 运 行 Setup.exe 程 序 来 安 装 软 件, 如 安 装 防 护 代 理 软 件 一 节 所 述 映 像 文 件 代 理 软 件 包 包 含 在 一 个 映 像 文 件 中, 该 文 件 包 含 完 整 的 系 统 安 装 程 序 ( 包 括 操 作 系 统 和 应 用 程 序 ) 在 这 种 情 况 下, 您 可 能 无 需 自 行 进 行 任 何 安 装, 只 需 使 用 代 理 即 可 软 件 管 理 工 具 系 统 管 理 员 使 用 诸 如 Microsoft System Management Software IBM Tivoli 或 HP OpenView 等 工 具 将 代 理 打 包 成 自 动 安 装 在 这 种 情 况 下, 您 可 能 无 需 自 行 进 行 任 何 安 装, 只 需 使 用 代 理 即 可 5
Symantec Protection Agent 安 装 使 用 指 南 安 装 代 理 软 件 的 系 统 要 求 下 面 列 出 了 要 在 计 算 机 上 成 功 运 行 Symantec Protection Agent 所 需 的 最 低 硬 件 和 软 件 要 求 硬 件 要 求 Pentium III 700 MHz 或 更 快 处 理 器 128 MB RAM 40 MB 可 用 硬 盘 空 间 一 (1) 个 以 太 网 适 配 器 ( 已 安 装 TCP/IP) 软 件 要 求 已 安 装 下 列 操 作 系 统 之 一 : Windows 2000 Professional( 一 直 到 SP4) Windows 2000 Server Advanced Server 和 Data Center( 一 直 到 SP4) Windows XP Home Edition 或 Professional( 一 直 到 SP2) Windows Server 2003( 一 直 到 SP1) 安 装 防 护 代 理 软 件 如 果 系 统 管 理 员 尚 未 在 您 的 计 算 机 上 安 装 该 软 件, 则 可 能 已 经 为 您 提 供 有 关 代 理 软 件 存 放 位 置 和 安 装 方 法 的 说 明 安 装 该 软 件 : 1. 运 行 Setup.exe 将 出 现 代 理 安 装 (Agent Setup) 窗 口 2. 单 击 下 一 步 (Next) 将 出 现 授 权 许 可 协 议 (License Agreement) 对 话 框 浏 览 协 议 以 确 保 您 同 意 其 中 的 条 款 3. 如 果 同 意, 单 击 我 接 受 授 权 许 可 协 议 (I accept the license agreement), 然 后 单 击 下 一 步 (Next) 将 出 现 目 标 文 件 夹 (Destination Folder) 对 话 框 4. 单 击 下 一 步 (Next) 接 受 代 理 文 件 的 默 认 位 置, 或 单 击 浏 览 (Browse) 选 择 其 他 位 置 将 出 现 准 备 安 装 应 用 程 序 (Ready to Install the Application) 对 话 框 5. 单 击 下 一 步 (Next) 如 果 您 正 在 更 新 以 前 的 安 装, 将 出 现 升 级 安 装 (Upgrade Installation) 对 话 框 如 果 要 保 留 以 前 的 配 置, 请 单 击 是 (Yes) 否 则, 请 单 击 否 (No) 文 件 复 制 到 系 统 中 时 会 显 示 正 在 更 新 系 统 (Updating System) 窗 口, 随 后 显 示 完 成 (Finish) 窗 口 6
6. 单 击 完 成 (Finish) 接 收 和 安 装 防 护 代 理 软 件 将 出 现 安 装 程 序 信 息 (Installer Information) 对 话 框, 告 知 您 必 须 重 新 启 动 计 算 机 才 能 开 始 使 用 代 理 7. 请 单 击 是 (Yes) 重 新 启 动 系 统 并 开 始 使 用 代 理, 或 者 如 果 您 打 算 以 后 手 动 重 新 启 动, 请 单 击 否 (No) 卸 载 防 护 代 理 软 件 如 果 需 要 卸 载 防 护 代 理 软 件 : 1. 单 击 任 务 栏 上 的 开 始 菜 单 2. 单 击 设 置 控 制 面 板 添 加 / 删 除 程 序 3. 单 击 Symantec Protection Agent 4. 单 击 删 除 Windows 卸 载 程 序 会 指 导 您 完 成 该 过 程 注 意 : 管 理 员 可 能 设 置 了 密 码, 您 必 须 输 入 该 密 码 才 能 卸 载 软 件 如 果 是 这 样, 请 在 卸 载 密 码 (Uninstall Password) 对 话 框 中 输 入 密 码 如 果 输 入 的 密 码 不 正 确, 则 无 法 卸 载 代 理 软 件 7
Symantec Protection Agent 安 装 使 用 指 南 8
第 3 章 了 解 防 护 代 理 当 您 打 开 计 算 机 时, 代 理 将 自 动 启 动 要 配 置 代 理, 或 查 看 针 对 代 理 的 潜 在 攻 击 的 日 志, 您 可 以 打 开 代 理 控 制 台 可 通 过 两 种 方 式 打 开 代 理 : 系 统 托 盘 图 标 双 击 任 务 栏 右 侧 的 图 标, 或 者 右 键 单 击 该 图 标, 然 后 选 择 Symantec Protection Agent 开 始 菜 单 单 击 开 始 所 有 程 序 Symantec Protection Agent 每 种 方 法 都 将 打 开 主 控 制 台, 即 代 理 的 控 制 中 心 您 可 以 使 用 菜 单 和 工 具 栏 来 浏 览 主 控 制 台 浏 览 主 控 制 台 打 开 代 理 后, 就 可 以 看 见 主 控 制 台 主 控 制 台 提 供 实 时 的 网 络 通 信 更 新 联 机 状 态 和 策 略 管 理 器 更 新 您 还 可 以 查 看 日 志 帮 助 文 件 应 用 程 序 列 表, 以 及 访 问 多 个 规 则 和 选 项 根 据 代 理 的 不 同 控 制 模 式, 主 控 制 台 将 发 生 更 改 此 外, 某 些 按 钮 可 能 不 会 显 示, 具 体 取 决 于 管 理 员 配 置 代 理 的 方 式 您 可 能 处 于 下 列 控 制 模 式 中 的 一 种 : 客 户 端 控 制 服 务 器 控 制 超 级 用 户 代 理 界 面 的 大 小 是 可 调 的, 因 此 您 可 以 将 其 作 为 全 屏 或 非 全 屏 图 像 查 看 9
Symantec Protection Agent 安 装 使 用 指 南 图 1. 客 户 端 控 制 模 式 中 的 主 控 制 台 图 2. 服 务 器 控 制 模 式 中 的 主 控 制 台 10
了 解 防 护 代 理 图 3. 超 级 用 户 模 式 中 的 主 控 制 台 菜 单 和 工 具 栏 按 钮 屏 幕 的 顶 部 将 显 示 标 准 菜 单 和 工 具 栏, 工 具 栏 中 的 选 项 根 据 控 制 模 式 ( 客 户 端 控 制 服 务 器 控 制 或 超 级 用 户 模 式 ) 的 不 同 而 不 同 此 外, 某 些 按 钮 可 能 不 会 显 示, 具 体 取 决 于 管 理 员 配 置 代 理 的 方 式 工 具 栏 按 钮 可 用 来 快 速 访 问 日 志 查 看 帮 助 文 件, 或 者 测 试 系 统 通 信 历 史 记 录 图 工 具 栏 下 方 是 通 信 历 史 记 录 图 通 信 历 史 记 录 图 生 成 最 近 两 分 钟 的 通 信 历 史 记 录 的 实 时 图 片 该 图 每 秒 钟 都 重 新 加 载 新 信 息, 提 供 关 于 传 入 和 传 出 网 络 通 信 的 即 时 数 据 ( 以 字 节 为 单 位 ) 图 4. 通 信 历 史 记 录 图 11
Symantec Protection Agent 安 装 使 用 指 南 通 信 历 史 记 录 图 划 分 为 三 个 部 分 图 的 左 侧 部 分 是 传 入 和 传 出 通 信 历 史 记 录 图 这 些 图 针 对 正 在 通 过 网 络 接 口 进 入 和 离 开 计 算 机 的 当 前 通 信 提 供 了 可 视 评 估 这 包 括 允 许 的 通 信 和 禁 止 的 通 信 绿 色 线 条 指 示 允 许 通 过 的 通 信, 红 色 指 示 代 理 禁 止 的 通 信 此 外, 控 制 台 右 侧 的 攻 击 历 史 记 录 图 提 供 了 有 关 对 计 算 机 发 起 的 尝 试 攻 击 的 信 息 广 播 通 信 广 播 通 信 是 发 送 给 特 定 子 网 中 的 每 台 计 算 机 的 网 络 通 信, 因 此 它 不 是 特 别 针 对 您 的 计 算 机 的 如 果 不 希 望 看 到 此 类 通 信, 那 么 您 可 以 将 其 从 这 个 图 形 视 图 中 删 除, 方 法 是 单 击 隐 藏 广 播 通 信 (Hide Broadcast Traffic) 框 然 后 您 将 在 该 图 中 只 看 到 单 点 传 送 的 通 信, 这 种 通 信 是 特 别 针 对 您 的 计 算 机 的 要 重 新 显 示 广 播 通 信, 请 单 击 以 清 除 隐 藏 广 播 通 信 (Hide Broadcast Traffic) 框 正 在 运 行 的 应 用 程 序 (Running Applications) 字 段 正 在 运 行 的 应 用 程 序 (Running Applications) 字 段 提 供 了 当 前 正 在 系 统 上 运 行 的 所 有 应 用 程 序 和 系 统 服 务 的 列 表 如 果 您 处 于 客 户 端 控 制 或 超 级 用 户 模 式, 您 或 许 可 以 查 看 这 些 应 用 程 序 的 访 问 状 态 应 用 程 序 的 访 问 状 态 是 指 您 授 予 应 用 程 序 的 权 限 它 显 示 应 用 程 序 是 否 可 以 访 问 Internet 连 接, 它 是 否 可 以 在 无 需 首 先 询 问 您 的 情 况 下 访 问 Internet 连 接, 或 者 是 否 禁 止 它 访 问 Internet 或 所 有 网 络 但 如 果 您 的 代 理 是 服 务 器 控 制 的, 那 么 您 可 能 看 不 到 任 何 状 态 指 示, 也 不 能 更 改 应 用 程 序 的 状 态 通 过 右 键 单 击 应 用 程 序 的 图 标, 并 选 择 所 需 的 状 态, 您 可 以 在 正 在 运 行 的 应 用 程 序 (Running Applications) 字 段 中 更 改 应 用 程 序 的 状 态 表 1. 正 在 运 行 的 应 用 程 序 字 段 图 标 状 态 说 明 允 许 图 标 正 常 显 示, 不 带 任 何 标 记 询 问 图 标 显 示 为 带 有 黄 色 的 小 问 号 的 形 式 禁 止 图 标 显 示 为 带 有 红 色 圆 圈 和 删 除 线 的 形 式 通 过 在 应 用 程 序 图 标 的 左 下 角 或 右 下 角 显 示 一 个 小 篮 点 来 指 示 它 是 否 正 在 接 收 ( 左 侧 ) 或 发 送 ( 右 侧 ) 通 信 12
了 解 防 护 代 理 可 以 通 过 单 击 正 在 运 行 的 应 用 程 序 (Running Applications) 字 段 上 方 的 隐 藏 Windows 服 务 (Hide Windows Services) 来 隐 藏 系 统 服 务 的 显 示 在 任 一 给 定 的 时 间 都 有 多 个 服 务 在 运 行, 由 于 它 们 对 计 算 机 的 运 行 通 常 是 至 关 重 要 的, 因 此 您 很 有 可 能 希 望 允 许 它 们 如 果 您 的 代 理 是 客 户 端 控 制 的, 那 么 您 可 能 会 看 到 询 问 您 是 否 希 望 允 许 这 些 服 务 运 行 的 弹 出 消 息 通 常 允 许 它 们 运 行 没 有 问 题, 而 且 您 可 以 永 久 性 允 许 它 们 运 行 而 无 需 担 心 如 果 应 用 程 序 的 可 执 行 文 件 中 有 任 何 内 容 发 生 更 改, 那 么 代 理 将 禁 止 这 些 服 务 或 应 用 程 序 例 如, 如 果 您 下 载 了 影 响 某 个 服 务 或 应 用 程 序 的 特 洛 伊 木 马 或 电 子 邮 件 病 毒, 代 理 会 注 意 到 这 个 差 异 并 将 询 问 您 是 否 希 望 允 许 它 如 果 未 对 服 务 或 应 用 程 序 ( 如 升 级 程 序 ) 进 行 任 何 更 改, 那 么 您 可 能 希 望 禁 止 这 些 应 用 程 序 运 行 并 发 送 警 报 给 系 统 管 理 员 要 更 改 应 用 程 序 名 称 的 显 示, 可 以 单 击 查 看 (View) 菜 单, 或 者 右 键 单 击 正 在 运 行 的 应 用 程 序 (Running Applications) 字 段 并 选 择 所 需 的 视 图 您 可 以 通 过 右 键 单 击 正 在 运 行 的 应 用 程 序 (Running Applications) 字 段 中 的 某 个 应 用 程 序 并 单 击 终 止 (Terminate) 来 终 止 该 应 用 程 序 或 服 务 的 运 行 消 息 控 制 台 代 理 的 消 息 控 制 台 位 于 主 控 制 台 上 正 在 运 行 的 应 用 程 序 (Running Applications) 字 段 的 下 方 它 提 供 了 服 务 器 - 客 户 端 通 信 的 实 时 更 新, 其 中 包 括 配 置 文 件 下 载 配 置 文 件 序 列 号 和 服 务 器 连 接 状 态 默 认 情 况 下, 消 息 控 制 台 是 隐 藏 的 显 示 或 隐 藏 消 息 控 制 台 : 1. 在 正 在 运 行 的 应 用 程 序 (Running Applications) 字 段 下 方, 单 击 显 示 消 息 控 制 台 (Show Message Console) 将 出 现 消 息 控 制 台 2. 要 从 视 图 中 隐 藏 消 息 控 制 台, 请 单 击 隐 藏 消 息 控 制 台 (Hide Message Console) 状 态 栏 消 息 控 制 台 将 折 叠 并 显 示 显 示 消 息 控 制 台 (Show Message Console) 按 钮 位 于 代 理 主 控 制 台 底 部 的 状 态 栏 为 用 户 提 供 了 当 前 处 所 配 置 文 件 信 息 状 态 指 示 灯 位 于 主 控 制 台 右 下 角 的 状 态 指 示 灯 提 供 了 策 略 管 理 器 - 代 理 通 信 状 态 的 实 时 更 新 如 果 指 示 灯 为 绿 色, 则 指 示 代 理 处 于 联 机 状 态 并 且 正 在 和 策 略 管 理 器 通 信 如 果 为 灰 色, 则 代 理 未 连 接 到 策 略 管 理 器 13
Symantec Protection Agent 安 装 使 用 指 南 使 用 菜 单 和 工 具 栏 代 理 屏 幕 的 顶 部 显 示 的 是 标 准 菜 单 和 工 具 栏 选 项 根 据 代 理 的 控 制 模 式 的 不 同 而 不 同 : 客 户 端 控 制 服 务 器 控 制 超 级 用 户 模 式 菜 单 和 工 具 栏 ( 客 户 端 控 制 ) 客 户 端 控 制 模 式 中 的 工 具 栏 按 钮 可 用 来 更 改 应 用 程 序 配 置 文 件 访 问 日 志 测 试 代 理 或 者 查 看 帮 助 文 件 如 果 代 理 在 客 户 端 控 制 模 式 下 运 行, 那 么 菜 单 将 显 示 下 列 选 项 : 文 件 (File) 处 所 (Location) 工 具 (Tools) 查 看 (View) 和 帮 助 (Help) 表 2. 代 理 菜 单 ( 客 户 端 控 制 ) 菜 单 文 件 (File) 处 所 (Location) 工 具 (Tools) 菜 单 选 项 关 闭 (Close) 关 闭 代 理 主 控 制 台 退 出 Symantec Agent (Exit Symantec Agent) 关 闭 代 理, 实 际 上 相 当 于 关 闭 计 算 机 上 的 安 全 设 置 办 公 室 (Office) 定 义 为 其 配 置 代 理 的 处 所 可 能 会 显 示 其 他 处 所, 但 办 公 室 通 常 是 其 中 一 个 选 项 应 用 程 序 (Applications) 打 开 应 用 程 序 (Applications) 列 表 日 志 (Logs) 打 开 日 志 选 项 (Options) 打 开 选 项 (Options) 对 话 框, 其 中 包 含 许 多 安 全 选 项, 包 括 电 子 邮 件 警 报 网 上 邻 居 浏 览 权 限 和 日 志 文 件 配 置 高 级 规 则 (Advanced Rules) 打 开 高 级 规 则 (Advanced Rules) 对 话 框, 可 在 此 处 设 置 特 定 的 规 则 以 实 现 代 理 上 的 安 全 设 置 更 新 配 置 文 件 (Update Profile) 立 即 连 接 到 策 略 管 理 器 以 获 取 已 经 为 代 理 定 义 的 最 新 安 全 策 略 此 操 作 通 常 在 心 跳 间 隔 期 间 完 成 这 样 会 强 制 该 心 跳 立 即 发 生 如 果 您 访 问 网 络 有 困 难, 则 可 能 需 要 通 过 单 击 该 选 项 来 更 新 配 置 文 件 14
了 解 防 护 代 理 表 2. 代 理 菜 单 ( 客 户 端 控 制 ) 菜 单 菜 单 选 项 更 新 特 征 (Update Signature) 从 策 略 管 理 器 更 新 入 侵 防 护 特 征 如 果 策 略 管 理 器 上 没 有 启 用 此 功 能, 则 该 选 项 显 示 为 灰 色 运 行 主 机 完 整 性 检 查 (Run Host Integrity) 立 即 运 行 主 机 完 整 性 检 查 如 果 您 访 问 网 络 有 困 难, 则 可 能 需 要 通 过 单 击 该 选 项 来 更 新 主 机 完 整 性 状 态 如 果 策 略 管 理 器 上 没 有 为 此 处 所 启 用 主 机 完 整 性 检 查, 则 该 选 项 为 灰 色 自 动 启 动 服 务 (Automatically Start Service) 对 于 代 理 不 启 用 此 切 换 设 置 用 于 设 置 计 算 机 启 动 时 代 理 是 否 自 动 启 动 隐 藏 系 统 托 盘 图 标 (Hide System Tray Icon) 此 切 换 设 置 用 于 在 视 图 中 隐 藏 系 统 托 盘 图 标 如 果 选 中 该 选 项, 则 隐 藏 图 标 重 设 警 报 (Reset Alert) 出 现 安 全 警 报 后 重 设 代 理 图 标 状 态 测 试 系 统 安 全 性 (Test Your System Security) 允 许 您 扫 描 和 测 试 代 理 的 有 效 性 允 许 所 有 通 信 (Allow All Traffic) 允 许 计 算 机 上 的 所 有 网 络 通 信 禁 止 所 有 通 信 (Block All Traffic) 禁 止 计 算 机 上 的 所 有 网 络 通 信 查 看 (View) 菜 单 使 用 户 可 以 更 改 正 在 运 行 的 应 用 程 序 (Running Applications) 字 段 中 的 软 件 程 序 的 显 示 : 查 看 (View) 大 图 标 (Large Icons) 在 字 段 中 显 示 32x32 图 标 每 个 图 标 代 表 一 个 软 件 应 用 程 序 或 一 个 系 统 服 务 小 图 标 (Small Icons) 显 示 16x16 图 标 大 图 标 和 小 图 标 显 示 方 式 都 在 图 标 自 身 下 提 供 应 用 程 序 的 全 名, 这 些 图 标 以 软 木 板 形 式 显 示 列 表 (List) 在 标 准 列 表 中 显 示 小 图 标 应 用 程 序 详 细 信 息 (Applications Details) 不 仅 提 供 所 有 正 在 运 行 的 应 用 程 序 的 列 表, 还 提 供 有 关 每 个 应 用 程 序 的 版 本 号 和 位 置 路 径 的 有 用 信 息 连 接 详 细 信 息 (Connection Details) 提 供 有 关 每 个 访 问 网 络 适 配 器 的 应 用 程 序 所 建 立 的 连 接 类 型 的 详 细 信 息 还 显 示 协 议 本 地 和 远 程 端 口 及 使 用 的 IP 地 址 应 用 程 序 路 径 等 隐 藏 Windows 服 务 (Hide Windows Services) 在 正 在 运 行 的 应 用 程 序 (Running Applications) 字 段 中 切 换 Windows 服 务 的 显 示 隐 藏 广 播 通 信 (Hide Broadcast Traffic) 在 正 在 运 行 的 应 用 程 序 (Running Applications) 字 段 中 切 换 广 播 通 信 的 显 示 15
Symantec Protection Agent 安 装 使 用 指 南 表 2. 代 理 菜 单 ( 客 户 端 控 制 ) 菜 单 帮 助 (Help) 菜 单 选 项 帮 助 主 题 (Help Topics) 打 开 代 理 联 机 帮 助 文 件 关 于 (About) 打 开 关 于 (About) 屏 幕, 其 中 显 示 代 理 版 本 以 及 有 关 配 置 文 件 和 特 征 文 件 的 详 细 信 息 菜 单 和 工 具 栏 ( 服 务 器 控 制 ) 服 务 器 控 制 模 式 中 的 工 具 栏 按 钮 可 用 来 更 改 应 用 程 序 配 置 文 件, 访 问 日 志, 或 者 查 看 帮 助 文 件 系 统 管 理 员 可 能 会 禁 用 其 中 某 些 按 钮 如 果 代 理 在 服 务 器 控 制 模 式 下 运 行, 那 么 菜 单 将 显 示 下 列 选 项 : 文 件 (File) 处 所 (Location) 工 具 (Tools) 查 看 (View) 和 帮 助 (Help) 表 3. 代 理 菜 单 ( 服 务 器 控 制 ) 菜 单 文 件 (File) 处 所 (Location) 工 具 (Tools) 菜 单 选 项 导 入 配 置 文 件 (Import Profile) 导 入 代 理 配 置 文 件 导 出 配 置 文 件 (Export Profile) 导 出 代 理 配 置 文 件 关 闭 (Close) 关 闭 代 理 主 控 制 台 退 出 Symantec Protection Agent (Exit Symantec Protection Agent) 关 闭 代 理, 实 际 上 相 当 于 关 闭 计 算 机 上 的 安 全 设 置 在 服 务 器 控 制 模 式 中, 此 选 项 显 示 为 灰 色 办 公 室 (Office) 定 义 为 其 配 置 代 理 的 处 所 可 能 会 显 示 其 他 处 所, 但 办 公 室 通 常 是 其 中 一 个 选 项 应 用 程 序 (Applications) 打 开 应 用 程 序 (Applications) 列 表 日 志 (Logs) 打 开 代 理 日 志 更 新 配 置 文 件 (Update Profile) 立 即 连 接 到 策 略 管 理 器 以 获 取 已 经 为 代 理 定 义 的 最 新 安 全 策 略 此 操 作 通 常 在 心 跳 间 隔 期 间 完 成 这 样 会 强 制 该 心 跳 立 即 发 生 如 果 您 访 问 网 络 有 困 难, 则 可 能 需 要 通 过 单 击 该 选 项 来 更 新 配 置 文 件 更 新 特 征 (Update Signature) 从 策 略 管 理 器 更 新 入 侵 防 护 特 征 如 果 策 略 管 理 器 上 没 有 启 用 此 功 能, 则 该 选 项 显 示 为 灰 色 运 行 主 机 完 整 性 检 查 (Run Host Integrity) 立 即 运 行 主 机 完 整 16
了 解 防 护 代 理 表 3. 代 理 菜 单 ( 服 务 器 控 制 ) 菜 单 菜 单 选 项 性 检 查 如 果 您 访 问 网 络 有 困 难, 则 可 能 需 要 通 过 单 击 该 选 项 来 更 新 主 机 完 整 性 状 态 如 果 策 略 管 理 器 上 没 有 为 此 处 所 启 用 主 机 完 整 性 检 查, 则 该 选 项 为 灰 色 自 动 启 动 服 务 (Automatically Start Service) 对 于 代 理 不 启 用 此 切 换 设 置 用 于 设 置 计 算 机 启 动 时 代 理 是 否 自 动 启 动 隐 藏 系 统 托 盘 图 标 (Hide System Tray Icon) 此 切 换 设 置 用 于 在 视 图 中 隐 藏 系 统 托 盘 图 标 在 服 务 器 控 制 模 式 中 未 启 用 重 设 警 报 (Reset Alert) 出 现 安 全 警 报 后 重 设 代 理 图 标 状 态 测 试 系 统 安 全 性 (Test Your System Security) 允 许 您 扫 描 和 测 试 代 理 的 有 效 性 选 项 警 报 (Option Alert): 此 选 项 可 能 显 示 为 灰 色 禁 用 / 启 用 Symantec Protection Agent (Disable/Enable Symantec Protection Agent) 此 切 换 设 置 暂 时 禁 用 和 启 用 出 站 禁 止 代 理 安 全 防 护 根 据 策 略 管 理 器 上 的 安 全 设 置, 也 可 能 会 禁 用 入 站 禁 止 如 果 管 理 员 没 有 激 活 该 选 项, 则 不 会 显 示 查 看 (View) 查 看 (View) 菜 单 使 用 户 可 以 更 改 正 在 运 行 的 应 用 程 序 (Running Applications) 字 段 中 的 软 件 程 序 的 显 示 : 大 图 标 (Large Icons) 在 字 段 中 显 示 32x32 图 标 每 个 图 标 代 表 一 个 软 件 应 用 程 序 或 一 个 系 统 服 务 小 图 标 (Small Icons) 显 示 16x16 图 标 大 图 标 和 小 图 标 显 示 方 式 都 在 图 标 自 身 下 提 供 应 用 程 序 的 全 名, 这 些 图 标 以 软 木 板 形 式 显 示 列 表 (List) 在 标 准 列 表 中 显 示 小 图 标 应 用 程 序 详 细 信 息 (Applications Details) 不 仅 提 供 所 有 正 在 运 行 的 应 用 程 序 的 列 表, 还 提 供 有 关 每 个 应 用 程 序 的 版 本 号 和 位 置 路 径 的 有 用 信 息 连 接 详 细 信 息 (Connection Details) 提 供 有 关 每 个 访 问 网 络 适 配 器 的 应 用 程 序 所 建 立 的 连 接 类 型 的 详 细 信 息 以 及 协 议 本 地 和 远 程 端 口 及 使 用 的 IP 地 址 应 用 程 序 路 径 等 隐 藏 Windows 服 务 (Hide Windows Services) 在 正 在 运 行 的 应 用 程 序 (Running Applications) 字 段 中 切 换 Windows 服 务 的 显 示 隐 藏 广 播 通 信 (Hide Broadcast Traffic) 在 正 在 运 行 的 应 用 程 序 (Running Applications) 字 段 中 切 换 广 播 通 信 的 显 示 帮 助 (Help) 帮 助 主 题 (Help Topics) 打 开 代 理 联 机 帮 助 文 件 关 于 (About) 打 开 关 于 (About) 屏 幕, 其 中 显 示 代 理 版 本 以 及 有 关 其 配 置 文 件 和 特 征 文 件 的 详 细 信 息 17
Symantec Protection Agent 安 装 使 用 指 南 菜 单 和 工 具 栏 ( 超 级 用 户 模 式 ) 如 果 代 理 在 超 级 用 户 模 式 下 运 行, 那 么 菜 单 将 显 示 下 列 选 项 : 文 件 (File) 处 所 (Location) 工 具 (Tools) 查 看 (View) 和 帮 助 (Help) 此 菜 单 是 客 户 端 控 制 和 服 务 器 控 制 模 式 中 可 用 选 项 的 合 并, 对 于 工 具 (Tools) 菜 单 尤 其 如 此 表 4. 代 理 菜 单 ( 超 级 用 户 ) 菜 单 文 件 (File) 处 所 (Location) 工 具 (Tools) 菜 单 选 项 导 入 配 置 文 件 (Import Profile) 导 入 代 理 配 置 文 件 导 出 配 置 文 件 (Export Profile) 导 出 代 理 配 置 文 件 关 闭 (Close) 关 闭 代 理 主 控 制 台 退 出 Symantec Agent (Exit Symantec Agent) 关 闭 代 理, 实 际 上 相 当 于 关 闭 计 算 机 上 的 安 全 设 置 选 项 警 报 (Option Alert): 此 选 项 可 能 显 示 为 灰 色 或 根 本 不 显 示 办 公 室 (Office) 定 义 为 其 配 置 代 理 的 处 所 可 能 会 显 示 其 他 处 所, 但 办 公 室 通 常 是 其 中 一 个 选 项 应 用 程 序 (Applications) 打 开 应 用 程 序 (Applications) 列 表 日 志 (Logs) 打 开 代 理 日 志 选 项 (Options) 打 开 选 项 (Options) 对 话 框, 其 中 包 含 许 多 安 全 选 项, 包 括 电 子 邮 件 警 报 网 上 邻 居 浏 览 权 限 和 日 志 文 件 配 置 高 级 规 则 (Advanced Rules) 打 开 高 级 规 则 (Advanced Rules) 对 话 框, 可 在 此 处 设 置 特 定 的 规 则 以 实 现 代 理 上 的 安 全 设 置 安 全 规 则 查 看 器 (Security Rule Viewer) 此 选 项 将 打 开 安 全 规 则 查 看 器, 以 便 查 看 由 超 级 用 户 模 式 表 示 的 安 全 策 略 的 合 并 情 况 更 新 配 置 文 件 (Update Profile) 立 即 连 接 到 策 略 管 理 器 以 获 取 已 经 为 代 理 定 义 的 最 新 安 全 策 略 此 操 作 通 常 在 心 跳 间 隔 期 间 完 成 这 样 会 强 制 该 心 跳 立 即 发 生 如 果 您 访 问 网 络 有 困 难, 则 可 能 需 要 通 过 单 击 该 选 项 来 更 新 配 置 文 件 更 新 特 征 (Update Signature) 从 策 略 管 理 器 更 新 入 侵 防 护 特 征 如 果 策 略 管 理 器 上 没 有 启 用 此 功 能, 则 该 选 项 显 示 为 灰 色 18
了 解 防 护 代 理 表 4. 代 理 菜 单 ( 超 级 用 户 ) 菜 单 菜 单 选 项 运 行 主 机 完 整 性 检 查 (Run Host Integrity) 立 即 运 行 主 机 完 整 性 检 查 如 果 您 访 问 网 络 有 困 难, 则 可 能 需 要 通 过 单 击 该 选 项 来 更 新 主 机 完 整 性 状 态 如 果 策 略 管 理 器 上 没 有 为 此 处 所 启 用 主 机 完 整 性 检 查, 则 该 选 项 为 灰 色 自 动 启 动 服 务 (Automatically Start Service) 对 于 代 理 不 启 用 此 切 换 设 置 用 于 设 置 计 算 机 启 动 时 代 理 是 否 自 动 启 动 隐 藏 系 统 托 盘 图 标 (Hide System Tray Icon) 此 切 换 设 置 用 于 在 视 图 中 隐 藏 系 统 托 盘 图 标 如 果 选 中 该 选 项, 则 隐 藏 图 标 选 项 警 报 (Option Alert): 此 选 项 可 能 显 示 为 灰 色 或 根 本 不 显 示 重 设 警 报 (Reset Alert) 出 现 安 全 警 报 后 重 设 代 理 图 标 状 态 测 试 系 统 安 全 性 (Test Your System Security) 允 许 您 扫 描 站 点 和 测 试 代 理 的 有 效 性 选 项 警 报 (Option Alert): 此 选 项 可 能 显 示 为 灰 色 或 根 本 不 显 示 允 许 所 有 通 信 (Allow All Traffic) 允 许 计 算 机 上 的 所 有 网 络 通 信 这 几 乎 与 退 出 代 理 一 样 不 安 全, 因 此 不 建 议 使 用 禁 止 所 有 通 信 (Block All Traffic) 禁 止 计 算 机 上 的 所 有 网 络 通 信 禁 用 / 启 用 Symantec Protection Agent (Disable/Enable Symantec Protection Agent) 此 切 换 设 置 暂 时 禁 用 和 启 用 出 站 禁 止 代 理 安 全 防 护 根 据 策 略 管 理 器 上 的 安 全 设 置, 也 可 能 会 禁 用 入 站 禁 止 如 果 管 理 员 没 有 激 活 该 选 项, 则 不 会 显 示 19
Symantec Protection Agent 安 装 使 用 指 南 表 4. 代 理 菜 单 ( 超 级 用 户 ) 菜 单 查 看 (View) 帮 助 (Help) 菜 单 选 项 查 看 (View) 菜 单 使 用 户 可 以 更 改 正 在 运 行 的 应 用 程 序 (Running Applications) 字 段 中 的 软 件 程 序 的 显 示 : 大 图 标 (Large Icons) 在 字 段 中 显 示 32x32 图 标 每 个 图 标 代 表 一 个 软 件 应 用 程 序 或 一 个 系 统 服 务 小 图 标 (Small Icons) 显 示 16x16 图 标 大 图 标 和 小 图 标 显 示 方 式 都 在 图 标 自 身 下 提 供 应 用 程 序 的 全 名, 这 些 图 标 以 软 木 板 形 式 显 示 列 表 (List) 在 标 准 列 表 中 显 示 小 图 标 应 用 程 序 详 细 信 息 (Applications Details) 不 仅 提 供 所 有 正 在 运 行 的 应 用 程 序 的 列 表, 还 提 供 有 关 每 个 应 用 程 序 的 版 本 号 和 位 置 路 径 的 有 用 信 息 连 接 详 细 信 息 (Connection Details) 提 供 有 关 每 个 访 问 网 络 适 配 器 的 应 用 程 序 所 建 立 的 连 接 类 型 的 详 细 信 息 以 及 协 议 本 地 和 远 程 端 口 及 使 用 的 IP 地 址 应 用 程 序 路 径 等 隐 藏 Windows 服 务 (Hide Windows Services) 在 正 在 运 行 的 应 用 程 序 (Running Applications) 字 段 中 切 换 Windows 服 务 的 显 示 隐 藏 广 播 通 信 (Hide Broadcast Traffic) 在 正 在 运 行 的 应 用 程 序 (Running Applications) 字 段 中 切 换 广 播 通 信 的 显 示 帮 助 主 题 (Help Topics) 打 开 代 理 联 机 帮 助 文 件 关 于 (About) 打 开 关 于 (About) 屏 幕, 其 中 显 示 代 理 版 本 以 及 有 关 配 置 文 件 和 特 征 文 件 的 详 细 信 息 使 用 系 统 托 盘 图 标 安 装 后, 代 理 将 在 系 统 托 盘 中 显 示 一 个 小 图 标 ( 位 于 任 务 栏 的 右 侧 ) 您 可 以 双 击 来 打 开 代 理 或 右 键 单 击 来 查 看 命 令 菜 单 图 标 由 表 示 系 统 通 信 的 两 个 箭 头 组 成 : 向 上 箭 头 是 传 出 通 信, 向 下 箭 头 是 传 入 通 信 这 些 箭 头 提 供 了 计 算 机 的 通 信 流 的 实 时 更 新 图 标 的 持 续 显 示 时 间 不 会 超 过 几 秒 钟, 当 您 频 繁 使 用 Internet 或 网 络 连 接 时 尤 其 如 此 20
了 解 防 护 代 理 系 统 托 盘 图 标 可 告 诉 您 什 么 箭 头 的 颜 色 始 终 在 变 ( 计 算 机 上 的 通 信 流 也 在 变 ) 对 于 大 多 数 用 户 而 言, 记 住 关 于 图 标 颜 色 的 下 列 几 点 应 该 足 够 了 表 5. 系 统 托 盘 图 标 颜 色 如 果 箭 头 的 颜 色 是 - 则 表 示 - 红 色 代 理 正 在 禁 止 通 信 蓝 色 代 理 没 有 中 断 通 信 灰 色 该 方 向 没 有 流 量 通 过 带 有 绿 点 的 灰 色 没 有 流 量 通 过, 但 是 代 理 已 连 接 到 策 略 管 理 器 下 表 说 明 了 系 统 托 盘 图 标 可 能 具 有 的 不 同 外 观, 以 及 它 们 的 含 义 表 6. 系 统 托 盘 图 标 外 观 图 标 说 明 代 理 处 于 警 报 模 式 这 意 味 着 在 安 全 日 志 中 记 录 了 对 计 算 机 发 起 的 尝 试 攻 击 要 使 图 标 停 止 闪 烁, 请 双 击 该 图 标 安 全 日 志 将 打 开, 并 显 示 一 个 新 的 日 志 条 目 代 理 处 于 全 部 允 许 模 式 代 理 处 于 全 部 禁 止 模 式 传 入 通 信 正 在 持 续 进 行, 没 有 传 出 通 信 传 入 和 传 出 通 信 都 在 持 续 进 行 没 有 传 入 通 信, 传 出 通 信 正 在 持 续 进 行 21
Symantec Protection Agent 安 装 使 用 指 南 表 6. 系 统 托 盘 图 标 外 观 图 标 说 明 传 入 通 信 被 禁 止, 传 出 通 信 正 在 持 续 进 行 传 入 通 信 被 禁 止, 没 有 传 出 通 信 传 入 和 传 出 通 信 都 被 禁 止 没 有 传 入 通 信, 传 出 通 信 被 禁 止 传 入 通 信 正 在 持 续 进 行, 传 出 通 信 被 禁 止 在 两 个 方 向 都 没 有 通 信 进 行 传 入 和 传 出 通 信 持 续 进 行, 代 理 被 禁 用 闪 烁 的 系 统 托 盘 图 标 的 含 义 是 什 么? 系 统 托 盘 图 标 以 下 原 因 之 一 引 起 的 : 有 时 会 持 续 闪 烁 这 意 味 着 代 理 处 于 警 报 模 式, 这 种 情 况 是 由 于 在 计 算 机 上 的 安 全 日 志 中 记 录 了 一 次 攻 击 您 缺 少 系 统 管 理 员 要 求 的 某 个 文 件 或 应 用 程 序 没 有 它, 无 法 登 录 到 网 络 如 果 文 件 或 应 用 程 序 缺 失, 可 能 会 显 示 一 条 消 息, 列 出 缺 失 的 文 件 或 应 用 程 序 您 需 要 安 装 它 才 能 继 续 如 果 系 统 管 理 员 没 有 配 置 代 理 以 显 示 某 些 类 型 的 消 息, 就 不 会 出 现 通 知 如 果 出 现 闪 烁 的 原 因 是 存 在 攻 击, 那 么 您 可 以 打 开 安 全 日 志 这 会 停 止 图 标 闪 烁 否 则, 图 标 将 持 续 闪 烁, 而 您 需 要 询 问 系 统 管 理 员 以 安 装 所 有 缺 失 的 文 件 或 应 用 程 序 您 还 可 以 使 用 工 具 (Tools) 菜 单 上 的 重 设 警 报 (Reset Alert) 选 项 在 出 现 警 报 后 重 设 代 理 图 标 的 状 态 22
了 解 防 护 代 理 系 统 托 盘 图 标 菜 单 您 甚 至 无 需 打 开 主 控 制 台 就 可 以 轻 松 配 置 代 理 的 基 本 内 容 您 可 以 右 键 单 击 系 统 托 盘 图 标 来 显 示 一 个 菜 单 您 在 此 菜 单 上 看 到 的 内 容 取 决 于 代 理 的 控 制 模 式 您 可 以 在 系 统 托 盘 图 标 上 滚 动 鼠 标 来 查 看 当 前 处 所 主 机 完 整 性 状 态 和 连 接 状 态 系 统 托 盘 图 标 包 括 以 下 右 键 单 击 命 令 表 7. 系 统 托 盘 图 标 菜 单 服 务 器 控 制 客 户 端 控 制 超 级 用 户 菜 单 选 项 说 明 X X X Symantec Protection Agent 打 开 代 理 的 主 控 制 台 X X X 处 所 (Location) 打 开 处 所 (Location) 列 表 如 果 安 全 设 置 允 许, 您 可 以 更 改 处 所 X X X 应 用 程 序 (Applications) 打 开 应 用 程 序 (Applications) 列 表 X X X 日 志 (Logs) 打 开 代 理 日 志 X X 选 项... (Options...) 打 开 选 项 (Options) 对 话 框, 您 可 以 在 其 中 配 置 代 理 的 设 置 X X 高 级 规 则 (Advanced Rules) X X X 运 行 主 机 完 整 性 检 查 (Run Host Integrity) 打 开 高 级 规 则 (Advanced Rules) 对 话 框, 您 可 以 在 其 中 编 写 特 定 规 则 以 便 允 许 或 禁 止 网 络 访 问 立 即 开 始 主 机 完 整 性 检 查 这 将 确 保 代 理 运 行 的 是 已 经 在 策 略 管 理 器 上 定 义 好 的 最 新 的 安 全 策 略 并 拥 有 最 新 的 软 件 补 丁 程 序 病 毒 定 义 等 如 果 您 所 在 的 处 所 中 禁 用 了 主 机 完 整 性 检 查, 则 不 会 进 行 任 何 检 查 23
Symantec Protection Agent 安 装 使 用 指 南 表 7. 系 统 托 盘 图 标 菜 单 服 务 器 控 制 客 户 端 控 制 超 级 用 户 菜 单 选 项 说 明 X X X 隐 藏 系 统 托 盘 图 标 (Hide System Tray Icon) 从 任 务 栏 中 删 除 系 统 托 盘 图 标 代 理 仍 然 在 运 行 要 重 新 显 示 该 图 标, 请 在 开 始 菜 单 上, 单 击 程 序 Symantec Protection Agent 然 后, 在 工 具 (Tools) 菜 单 上, 单 击 隐 藏 系 统 托 盘 图 标 (Hide System Tray Icon) 来 将 该 选 项 切 换 回 打 开 状 态 选 项 警 报 (Option Alert): 此 选 项 可 能 显 示 为 灰 色 或 根 本 不 显 示 X X X 帮 助 主 题... (Help Topics...) 打 开 联 机 帮 助 系 统 X X X 关 于... (About...) 打 开 关 于 (About) 对 话 框, 该 对 话 框 提 供 代 理 的 版 本 信 息 X X X 退 出 Symantec Protection Agent (Exit Symantec Protection Agent) 停 止 代 理 运 行 您 需 要 重 新 启 动 代 理 以 便 保 护 系 统 选 项 警 报 (Option Alert): 此 选 项 可 能 显 示 为 灰 色 或 根 本 不 显 示 隐 藏 和 显 示 系 统 托 盘 图 标 有 几 种 在 任 务 栏 上 隐 藏 和 重 新 显 示 系 统 托 盘 图 标 的 方 式 选 项 警 报 (Option Alert): 在 您 的 控 制 模 式 中, 此 选 项 可 能 不 可 用 隐 藏 系 统 托 盘 图 标 : 右 键 单 击 系 统 托 盘 图 标, 然 后 单 击 隐 藏 系 统 托 盘 图 标 (Hide System Tray Icon) 单 击 工 具 (Tools) 隐 藏 系 统 托 盘 图 标 (Hide System Tray Icon) 显 示 系 统 托 盘 图 标 : 单 击 工 具 (Tools) 隐 藏 系 统 托 盘 图 标 (Hide System Tray Icon) 24
了 解 防 护 代 理 更 改 处 所 处 所 是 在 策 略 管 理 器 中 由 系 统 管 理 员 定 义 的 管 理 员 可 以 使 用 处 所 (Locations) 来 根 据 当 您 尝 试 连 接 到 网 络 时 的 物 理 位 置 定 义 不 同 的 安 全 级 别 例 如, 如 果 您 在 家 中 使 用 便 携 式 计 算 机 连 接 到 办 公 室 网 络, 则 系 统 管 理 员 可 创 建 一 个 名 为 家 庭 的 处 所 如 果 您 在 办 公 室 中 使 用 便 携 式 计 算 机, 则 您 可 使 用 名 为 办 公 室 的 处 所 其 他 处 所 可 包 括 VPN 分 公 司 或 宾 馆 这 些 处 所 中 的 任 一 处 所 都 可 能 拥 有 不 同 的 安 全 策 略 当 您 处 于 办 公 室 中 时 可 以 执 行 一 些 操 作, 这 些 操 作 在 您 从 宾 馆 进 行 连 接 时 可 能 不 允 许 执 行 系 统 管 理 员 已 经 规 划 并 配 置 好 处 所, 代 理 很 可 能 会 检 测 到 这 些 更 改 并 在 您 连 接 时 自 动 进 行 切 换 根 据 为 您 设 置 的 配 置 文 件, 您 可 能 在 该 菜 单 下 有 多 个 可 用 处 所, 也 可 能 只 有 一 个 您 可 能 会 发 现, 单 击 某 个 处 所 时, 并 没 有 转 至 该 处 所 这 表 示 网 络 配 置 不 适 合 该 处 所 例 如, 如 果 有 一 个 名 为 办 公 室 的 处 所, 可 以 将 它 配 置 为 仅 当 检 测 到 办 公 室 的 局 域 网 时 才 使 用 这 个 处 所 如 果 您 当 前 不 在 该 网 络 上, 则 无 法 转 至 该 处 所 更 改 处 所 : 1. 执 行 以 下 任 务 之 一 : o 在 主 控 制 台 上, 单 击 处 所 (Location) 菜 单 o 右 键 单 击 系 统 托 盘 图 标, 然 后 单 击 处 所 (Location) 2. 单 击 其 中 一 个 列 出 的 处 所 导 入 和 导 出 配 置 文 件 可 以 从 代 理 控 制 台 导 入 和 导 出 配 置 文 件 系 统 管 理 员 可 能 会 要 求 你 执 行 此 操 作, 但 是 在 不 同 的 情 况 下, 您 可 能 不 需 要 执 行 此 操 作 选 项 警 报 (Option Alert): 此 选 项 只 在 服 务 器 控 制 和 超 级 用 户 模 式 中 可 用 从 主 控 制 台 导 出 配 置 文 件 : 1. 在 文 件 (File) 菜 单 中, 单 击 导 出 配 置 文 件 (Export Profile) 2. 另 存 为 (Save As) 对 话 框 即 会 打 开 通 过 浏 览 为 该 文 件 找 到 适 当 的 文 件 夹, 然 后 输 入 文 件 名 3. 单 击 确 定 (OK) 即 会 在 指 定 位 置 将 该 文 件 保 存 为 XML 文 件 将 配 置 文 件 导 入 到 主 控 制 台 : 1. 在 文 件 (File) 菜 单 中, 单 击 导 入 配 置 文 件 (Import Profile) 2. 打 开 (Open) 对 话 框 即 会 打 开 通 过 浏 览 找 到 适 当 的 文 件 3. 单 击 确 定 (OK) 该 配 置 文 件 即 会 应 用 到 代 理 25
Symantec Protection Agent 安 装 使 用 指 南 使 用 安 全 规 则 查 看 器 安 全 规 则 查 看 器 (Security Rule Viewer)( 规 则 查 看 器 ) 是 了 解 计 算 机 上 生 效 的 安 全 策 略 的 关 键 它 显 示 了 策 略 管 理 器 置 于 您 计 算 机 上 的 规 则 以 及 您 自 己 创 建 的 规 则 和 安 全 设 置 这 些 都 存 在 于 单 个 查 看 器 中, 该 查 看 器 显 示 了 每 条 规 则 或 设 置 规 则 或 设 置 的 说 明 以 及 规 则 引 起 的 操 作 ( 通 常 为 允 许 (Allow) 或 禁 止 (Block)) 选 项 警 报 (Option Alert): 此 选 项 只 在 超 级 用 户 模 式 中 可 用 服 务 器 规 则 将 首 先 显 示 安 全 管 理 员 确 定 应 该 应 用 于 您 的 计 算 机 的 规 则 和 设 置, 列 出 的 这 些 规 则 和 设 置 带 有 一 个 数 字 服 务 器 规 则 : 字 样, 以 及 规 则 的 简 要 说 明 有 时, 说 明 只 是 规 则 的 名 称, 在 这 种 情 况 下, 屏 幕 底 部 的 规 则 摘 要 将 提 供 更 多 详 细 信 息 一 般 来 说, 服 务 器 规 则 的 优 先 级 比 代 理 规 则 高 所 有 规 则 都 以 带 编 号 的 列 表 形 式 显 示 在 规 则 查 看 器 中 图 5. 安 全 规 则 查 看 器 26
了 解 防 护 代 理 代 理 规 则 和 设 置 您 应 用 于 自 己 的 计 算 机 的 规 则 和 设 置 将 与 策 略 管 理 器 部 署 给 您 的 代 理 的 规 则 进 行 合 并 代 理 与 策 略 管 理 器 规 则 的 优 先 级 顺 序 之 比 较 优 先 级 顺 序 : 1. 具 有 高 优 先 级 的 服 务 器 规 则 是 由 系 统 管 理 员 分 配 的 2. 代 理 高 级 规 则 3. 具 有 较 低 优 先 级 的 服 务 器 规 则 4. 代 理 网 上 邻 居 设 置 5. 代 理 应 用 程 序 设 置 安 全 规 则 查 看 器 的 工 作 方 式 安 全 规 则 查 看 器 为 您 提 供 正 在 代 理 上 运 行 的 安 全 规 则 和 设 置 的 综 合 视 图 如 果 您 单 击 一 个 服 务 器 规 则, 则 会 在 屏 幕 底 部 的 摘 要 框 中 显 示 该 规 则 的 摘 要 单 击 某 个 代 理 规 则 会 使 您 直 接 转 到 应 用 程 序 列 表 (Applications List) 配 置 选 项 (Configuration Options) 对 话 框 或 高 级 规 则 设 置 (Advanced Rule Settings) 对 话 框, 您 可 以 在 这 些 位 置 微 调 该 规 则 27
Symantec Protection Agent 安 装 使 用 指 南 28
第 4 章 保 护 系 统 某 些 代 理 安 全 设 置 是 由 管 理 员 确 定 的 您 可 以 从 代 理 上 设 置 以 下 一 项 或 多 项 配 置 设 置 应 用 程 序 的 访 问 状 态 高 级 应 用 程 序 配 置 常 规 配 置 设 置 高 级 规 则 选 项 警 报 (Option Alert): 只 在 客 户 端 控 制 或 超 级 用 户 模 式 中 启 用 了 常 规 配 置 设 置 和 高 级 规 则 您 可 以 使 用 应 用 程 序 列 表 来 设 置 应 用 程 序 访 问 权 您 可 以 将 每 个 应 用 程 序 的 状 态 设 置 为 允 许 (Allow) 询 问 (Ask) 或 禁 止 (Block) 允 许 (Allow) 状 态 授 予 应 用 程 序 完 全 访 问 权, 询 问 (Ask) 状 态 需 要 您 的 干 预 来 确 定 状 态, 禁 止 (Block) 状 态 完 全 禁 止 该 应 用 程 序 在 应 用 程 序 (Application) 窗 口 中, 您 可 以 使 用 高 级 (Advanced) 按 钮 来 配 置 高 级 应 用 程 序 设 置 这 些 设 置 包 括 可 信 IP 地 址 端 口 和 调 度 在 客 户 端 控 制 或 超 级 用 户 模 式 中, 您 可 以 使 用 工 具 (Tools) 菜 单 中 的 选 项 (Options) 来 设 置 常 规 配 置 设 置 在 此 处 您 可 以 设 置 诸 如 电 子 邮 件 通 知 日 志 设 置 和 IEEE 验 证 之 类 的 项 目 在 客 户 端 控 制 或 超 级 用 户 模 式 中, 您 可 以 使 用 高 级 规 则 (Advanced Rules) 选 项 来 配 置 这 样 的 规 则 : 覆 盖 在 常 规 的 用 户 - 防 火 墙 交 互 过 程 中 防 火 墙 自 动 创 建 的 规 则 和 您 为 单 个 应 用 程 序 创 建 的 规 则 高 级 规 则 将 影 响 所 有 应 用 程 序 您 可 以 使 用 扫 描 功 能 来 测 试 系 统 的 漏 洞 扫 描 可 帮 助 您 确 定 系 统 的 安 全 类 型 您 或 许 还 可 以 选 择 临 时 禁 用 代 理 安 全 防 护 扫 描 系 统 针 对 某 个 攻 击 评 估 漏 洞 是 您 可 以 执 行 的 用 于 确 保 系 统 不 受 可 能 的 入 侵 者 侵 害 的 最 重 要 的 步 骤 之 一 使 用 从 这 组 测 试 中 了 解 到 的 信 息, 您 可 以 更 有 效 地 在 代 理 上 设 置 各 种 选 项, 以 保 护 系 统 不 受 攻 击 29
Symantec Protection Agent 安 装 使 用 指 南 选 项 警 报 (Option Alert): 此 选 项 可 能 显 示 为 灰 色 或 根 本 不 显 示 扫 描 系 统 : 1. 执 行 下 列 操 作 之 一 : o 在 工 具 栏 上, 单 击 安 全 测 试 (Security Test) 按 钮 o 在 工 具 (Tools) 菜 单 上, 单 击 测 试 系 统 安 全 性 (Test Your System Security) o 在 Internet 浏 览 器 窗 口 中, 直 接 打 开 Symantec( 以 前 称 为 Sygate Technologies, Inc.) 网 页 (http://scan.sygate.com) 2. 在 该 网 页 上, 单 击 立 即 扫 描 (Scan Now) Symantec( 以 前 称 为 Sygate Technologies, Inc.) 联 机 服 务 扫 描 程 序 将 扫 描 您 的 计 算 机, 并 尝 试 确 定 您 的 IP 地 址 操 作 系 统 Web 浏 览 器 以 及 系 统 的 其 他 信 息 3. 有 关 特 定 扫 描 类 型 的 信 息, 请 单 击 以 下 内 容 之 一 : o 快 速 扫 描 o 隐 藏 扫 描 o 特 洛 伊 扫 描 o TCP 扫 描 o UDP 扫 描 o ICMP 扫 描 4. 单 击 立 即 扫 描 (Scan Now) 在 主 扫 描 页 中, 还 会 提 供 一 个 关 于 Symantec( 以 前 称 为 Sygate Technologies, Inc.) 联 机 服 务 的 常 见 问 题 的 简 短 文 档 单 击 屏 幕 左 下 方 的 扫 描 常 见 问 题 (Scan FAQ) 扫 描 类 型 您 可 以 从 以 下 扫 描 类 型 中 选 择 一 种 快 速 扫 描 快 速 扫 描 是 一 种 简 短 的 常 规 扫 描, 它 包 括 若 干 扫 描 过 程 它 通 常 需 要 20 秒 或 更 少 的 时 间 来 精 确 扫 描 计 算 机 的 端 口 协 议 服 务 以 及 可 能 的 特 洛 伊 结 果 记 录 在 代 理 的 安 全 日 志 中 30
保 护 系 统 隐 藏 扫 描 隐 藏 扫 描 使 用 专 门 的 隐 藏 技 术 来 扫 描 计 算 机, 这 种 技 术 模 拟 合 法 计 算 机 通 信 的 组 成 部 分, 以 便 检 测 是 否 存 在 计 算 机 隐 藏 扫 描 需 要 大 约 20 秒 才 能 完 成, 并 且 很 有 可 能 不 记 录 在 安 全 日 志 中 特 洛 伊 扫 描 特 洛 伊 扫 描 功 能 扫 描 计 算 机 上 的 全 部 65,535 个 端 口, 以 检 测 您 或 其 他 人 无 意 下 载 的 活 动 特 洛 伊 木 马 程 序 特 洛 伊 扫 描 需 要 大 约 10 分 钟 才 能 完 成 网 站 上 提 供 了 常 见 特 洛 伊 列 表 TCP 扫 描 TCP 扫 描 检 查 主 要 为 TCP 服 务 ( 如 即 时 消 息 服 务 ) 保 留 的 1,024 个 端 口, 以 便 查 看 这 些 端 口 是 否 对 通 信 开 放 开 放 端 口 可 能 指 示 了 可 以 被 恶 意 黑 客 利 用 的 危 险 的 安 全 漏 洞 它 扫 描 计 算 机 上 连 接 到 诸 如 路 由 器 和 代 理 服 务 器 之 类 的 设 备 的 端 口, 用 户 可 以 通 过 此 类 设 备 连 接 到 网 站 这 种 扫 描 需 要 大 约 20 分 钟 才 能 完 成, 并 由 代 理 将 其 作 为 扫 描 事 件 记 录 在 安 全 日 志 中 UDP 扫 描 UDP 扫 描 采 用 多 种 方 法 和 协 议 来 探 查 使 用 UDP 的 开 放 端 口 UDP 扫 描 将 扫 描 计 算 机 上 连 接 到 诸 如 路 由 器 和 代 理 服 务 器 之 类 的 设 备 的 端 口, 用 户 可 以 通 过 此 类 设 备 连 接 到 网 站 这 种 扫 描 需 要 大 约 10 分 钟, 并 且 应 作 为 来 自 Symantec( 以 前 称 为 Sygate Technologies, Inc.) 的 端 口 扫 描 被 记 录 在 安 全 日 志 中 ICMP 扫 描 当 ICMP 扫 描 完 成 对 用 户 计 算 机 的 扫 描 后, 它 会 显 示 带 有 扫 描 结 果 的 页 面 如 果 用 户 正 在 运 行 代 理, 那 么 所 有 的 扫 描 都 会 被 禁 止 为 应 用 程 序 设 置 访 问 权 您 可 以 为 每 个 尝 试 通 过 网 络 连 接 获 取 访 问 权 的 应 用 程 序 或 服 务 ( 如 Internet Explorer) 设 置 访 问 状 态 ( 允 许 (Allow)/ 禁 止 (Block)/ 询 问 (Ask)) 访 问 状 态 类 型 有 : 允 许 (Allow) 代 理 允 许 传 入 和 传 出 的 通 信 访 问 网 络 通 常, 这 种 通 信 已 知 是 安 全 的, 原 因 是 : 您 受 服 务 器 控 制, 您 的 系 统 管 理 员 已 经 将 它 定 义 为 安 全 的 ; 或 者 您 受 客 户 端 控 制, 您 已 经 自 行 作 出 了 决 定 应 用 程 序 还 可 以 被 配 置 为 仅 当 使 用 某 个 端 口 时 或 者 在 某 几 个 小 时 内, 才 可 以 访 问 网 络 询 问 (Ask) 如 果 您 处 于 默 认 设 置 ( 普 通 (Normal)) 下, 当 新 的 应 用 程 序 尝 试 访 问 网 络 连 接 时, 代 理 将 显 示 弹 出 窗 口 来 询 问 您 是 否 希 望 允 许 该 应 用 程 序 31
Symantec Protection Agent 安 装 使 用 指 南 访 问 网 络 如 果 您 尚 未 允 许 或 禁 止 某 个 应 用 程 序, 那 么 每 次 该 应 用 程 序 尝 试 访 问 网 络 或 调 制 解 调 器 时, 代 理 都 会 提 示 您 您 也 可 以 告 知 代 理 记 住 您 的 响 应, 以 便 在 该 应 用 程 序 将 来 发 出 访 问 尝 试 时 使 用 禁 止 (Block) 代 理 拒 绝 传 入 和 传 出 通 信 如 果 您 处 于 服 务 器 控 制 模 式 中, 那 么 系 统 管 理 员 已 经 创 建 了 禁 止 计 算 机 的 规 则 更 改 应 用 程 序 的 访 问 状 态 : 1. 执 行 下 列 操 作 之 一 : 单 击 工 具 栏 上 的 应 用 程 序 (Applications) 图 标 单 击 工 具 (Tools) 应 用 程 序 (Applications) 右 键 单 击 系 统 托 盘 图 标, 然 后 单 击 应 用 程 序 (Applications) 应 用 程 序 (Applications) 对 话 框 将 显 示 自 从 安 装 代 理 以 来, 向 您 发 出 请 求, 以 获 取 网 络 连 接 的 访 问 权 限 的 所 有 应 用 程 序 和 服 务 列 表 某 些 应 用 程 序 可 能 已 经 过 系 统 管 理 员 的 预 先 批 准, 因 此 不 会 显 示 在 此 对 话 框 中 2. 单 击 相 应 应 用 程 序 的 文 件 名, 以 便 突 出 显 示 这 一 行 3. 右 键 单 击 突 出 显 示 的 行 4. 单 击 快 捷 菜 单 中 相 应 的 访 问 状 态 ( 允 许 (Allow) 询 问 (Ask) 或 禁 止 (Block)) 5. 单 击 确 定 (OK) 以 关 闭 应 用 程 序 (Applications) 对 话 框 32
注 意 : 保 护 系 统 您 可 以 通 过 单 击 删 除 (Remove) 或 全 部 删 除 (Remove All) 按 钮 从 列 表 中 删 除 所 选 的 或 全 部 应 用 程 序 将 某 个 应 用 程 序 / 服 务 从 应 用 程 序 (Applications) 列 表 中 删 除 后, 其 状 态 为 已 删 除 如 果 该 应 用 程 序 / 服 务 再 次 尝 试 连 接 到 网 络, 您 将 收 到 一 条 弹 出 消 息, 并 再 次 被 要 求 为 该 应 用 程 序 / 服 务 分 配 新 的 状 态 您 可 以 通 过 以 下 方 式 更 改 应 用 程 序 和 服 务 的 显 示 视 图 : 右 键 单 击 应 用 程 序 (Applications) 列 表 中 的 任 一 位 置, 单 击 查 看 (View), 然 后 单 击 所 需 的 视 图 只 有 牢 固 掌 握 计 算 机 端 口 和 应 用 程 序 协 议 方 面 知 识 的 用 户 才 可 以 使 用 高 级 (Advanced) 按 钮 来 设 置 高 级 配 置 选 项 有 关 详 细 信 息, 请 参 见 为 应 用 程 序 设 置 高 级 选 项 为 应 用 程 序 设 置 高 级 选 项 除 了 可 以 按 照 为 应 用 程 序 设 置 访 问 权 中 的 说 明, 为 应 用 程 序 (Applications) 列 表 上 的 应 用 程 序 设 置 访 问 权 之 外, 您 还 可 以 为 该 列 表 上 的 单 个 应 用 程 序 设 置 高 级 安 全 设 置 您 可 以 通 过 对 应 用 程 序 可 能 使 用 的 IP 地 址 和 端 口 设 置 某 些 限 制 来 实 现 这 一 点 只 有 牢 固 掌 握 计 算 机 端 口 和 应 用 程 序 协 议 方 面 知 识 的 用 户 才 可 以 使 用 高 级 配 置 选 项 为 应 用 程 序 设 置 高 级 配 置 选 项 : 1. 执 行 以 下 操 作 之 一 来 打 开 应 用 程 序 (Applications) 列 表 : 单 击 工 具 栏 上 的 应 用 程 序 (Applications) 图 标 单 击 工 具 (Tools) 应 用 程 序 (Applications) 右 键 单 击 系 统 托 盘 图 标, 然 后 单 击 应 用 程 序 (Applications) 应 用 程 序 (Applications) 对 话 框 显 示 应 用 程 序 的 当 前 列 表 2. 通 过 单 击 应 用 程 序 或 服 务 所 在 行 上 的 任 一 位 置 来 选 择 该 应 用 程 序 或 服 务 以 便 进 行 配 置 3. 单 击 应 用 程 序 (Applications) 列 表 屏 幕 底 部 左 下 角 的 高 级 (Advanced) 按 钮 高 级 应 用 程 序 配 置 (Advanced Application Configuration) 对 话 框 将 打 开 33
Symantec Protection Agent 安 装 使 用 指 南 4. 您 现 在 可 以 为 此 应 用 程 序 设 置 选 项 了 应 用 程 序 限 制 (Application Restrictions): 在 用 于 应 用 程 序 的 受 信 任 IP (Trusted IPs for the Application) 文 本 框 中 输 入 受 信 任 IP 或 IP 范 围 远 程 服 务 器 端 口 (Remote Server Ports): 输 入 可 以 被 此 应 用 程 序 使 用 的 远 程 端 口 或 远 程 端 口 范 围 本 地 端 口 (Local Ports): 输 入 可 以 被 此 应 用 程 序 使 用 的 本 地 端 口 或 端 口 范 围 允 许 ICMP 通 信 (Allow ICMP Traffic): 传 出 ICMP 回 显 请 求 ( 类 型 :8, 代 码 :0) 和 传 入 ICMP 回 显 回 复 ( 类 型 :0, 代 码 :0) 将 始 终 被 允 许 处 于 屏 保 模 式 期 间 允 许 (Allow during Screensaver Mode): 确 定 在 屏 保 模 式 期 间 是 否 应 该 允 许 应 用 程 序 进 行 网 络 访 问 启 用 调 度 (Enable Scheduling): 如 果 您 希 望 设 置 时 间 限 制 或 调 度 限 制 将 生 效 的 特 定 时 间 段, 请 选 择 此 选 项 您 可 以 设 置 高 级 配 置 生 效 的 时 间 使 用 此 调 度, 您 可 以 设 置 应 用 程 序 限 制 在 特 定 的 时 间 段 内 生 效, 或 者 除 特 定 时 间 段 外 的 其 他 时 间 生 效 5. 单 击 确 定 (OK) 保 存 选 项, 然 后 在 应 用 程 序 (Applications) 对 话 框 上 再 次 单 击 确 定 (OK) 34
保 护 系 统 配 置 代 理 的 设 置 您 可 以 为 代 理 设 置 高 级 安 全 选 项, 其 中 包 括 攻 击 的 电 子 邮 件 通 知 可 自 定 义 的 弹 出 消 息 心 跳 设 置 日 志 文 件 配 置 文 件 共 享 选 项 计 算 机 控 制 设 置, 以 及 诸 如 智 能 DHCP 和 防 MAC 欺 骗 之 类 的 高 级 安 全 措 施 选 项 警 报 (Option Alert): 此 选 项 只 对 客 户 端 控 制 和 超 级 用 户 模 式 可 用 要 配 置 代 理, 请 执 行 以 下 操 作 之 一 : 在 工 具 (Tools) 菜 单 上, 单 击 选 项 (Options) 右 键 单 击 系 统 托 盘 图 标, 然 后 单 击 选 项 (Options) 在 任 何 日 志 的 文 件 (File) 菜 单 上, 单 击 选 项 (Options) 选 项 (Options) 对 话 框 由 以 下 选 项 卡 组 成 : 常 规 (General) 选 项 卡 网 上 邻 居 (Network Neighborhood) 选 项 卡 安 全 性 (Security) 选 项 卡 电 子 邮 件 通 知 (E-Mail Notification) 选 项 卡 日 志 (Log) 选 项 卡 IEEE 802.1x 验 证 (IEEE 802.1x Authentication) 选 项 卡 常 规 选 项 卡 常 规 (General) 选 项 卡 包 括 一 些 更 加 广 泛 和 全 局 的 设 置 35
Symantec Protection Agent 安 装 使 用 指 南 图 6. 选 项 : 常 规 选 项 卡 隐 藏 Symantec Protection Agent 系 统 托 盘 图 标 从 任 务 栏 上 的 视 图 中 隐 藏 图 标 要 重 新 显 示, 请 单 击 以 清 除 此 复 选 框 启 动 时 自 动 加 载 Symantec Protection Agent 服 务 启 动 时 自 动 加 载 代 理 服 务 处 于 屏 保 模 式 时 禁 止 网 上 邻 居 通 信 当 计 算 机 的 屏 保 被 激 活 时, 自 动 将 安 全 级 别 设 置 为 全 部 禁 止 (Block All) 只 要 再 次 使 用 计 算 机, 安 全 级 别 就 恢 复 为 以 前 分 配 的 级 别 隐 藏 通 知 消 息 禁 用 系 统 托 盘 通 知 消 息 默 认 情 况 下, 此 选 项 未 选 中 通 知 前 发 出 蜂 鸣 声 允 许 在 显 示 系 统 托 盘 通 知 消 息 之 前 先 发 出 声 音 通 知 显 示 消 息 秒 允 许 您 设 置 消 息 将 显 示 的 持 续 时 间 默 认 值 是 6 秒 36
设 置 密 码 保 护 系 统 选 项 警 报 (Option Alert): 此 选 项 只 在 客 户 端 控 制 和 超 级 用 户 模 式 中 可 用 打 开 密 码 (Password) 对 话 框, 以 便 您 可 以 在 代 理 上 设 置 密 码 保 护 这 会 禁 止 其 他 用 户 访 问 您 的 代 理, 并 禁 止 他 们 可 能 更 改 您 的 设 置 如 果 启 用, 密 码 保 护 将 在 您 每 次 访 问 代 理 的 主 控 制 台 时 提 示 您 输 入 密 码 您 可 以 设 置 代 理 在 执 行 任 何 安 全 更 改 之 前 要 求 提 供 密 码, 以 及 在 退 出 代 理 之 前 要 求 提 供 密 码 启 用 密 码 保 护 : 1. 单 击 工 具 (Tools) 选 项 (Options) 常 规 (General) 选 项 卡 2. 单 击 对 话 框 底 部 右 侧 的 设 置 密 码... (Set Password...) 按 钮 将 出 现 下 面 的 密 码 (Password) 对 话 框 3. 在 新 密 码 (New Password) 和 确 认 新 密 码 (Confirm New Password) 字 段 中 输 入 新 密 码 注 意 : 您 可 以 通 过 将 新 密 码 (New Password) 和 确 认 新 密 码 (Confirm New Password) 字 段 留 空 来 禁 用 密 码 保 护 4. 为 了 让 代 理 在 您 退 出 它 之 前 提 示 您 提 供 密 码, 请 在 常 规 (General) 选 项 卡 上, 单 击 退 出 时 询 问 密 码 (Ask password while exiting) 5. 单 击 确 定 (OK) 进 行 确 认 或 者 单 击 取 消 (Cancel) 放 弃 更 改 退 出 时 询 问 密 码 关 闭 代 理 时 提 示 您 输 入 密 码 网 上 邻 居 选 项 卡 网 上 邻 居 (Network Neighborhood) 选 项 卡 提 供 了 多 种 接 口 支 持 和 网 络 浏 览 权 限 配 置 37
Symantec Protection Agent 安 装 使 用 指 南 图 7. 选 项 : 网 上 邻 居 选 项 卡 网 络 接 口 指 定 您 要 访 问 的 网 络 允 许 浏 览 网 上 邻 居 文 件 和 打 印 机 允 许 您 访 问 所 选 网 络 上 的 其 他 文 件 和 打 印 机 允 许 他 人 共 享 我 的 文 件 和 打 印 机 允 许 所 选 网 络 上 的 其 他 用 户 浏 览 您 的 计 算 机 和 打 印 机 安 全 性 选 项 卡 安 全 性 (Security) 选 项 卡 提 供 了 一 种 启 用 和 禁 用 一 些 更 复 杂 的 安 全 性 选 项 的 方 式 您 应 该 先 测 试 此 处 进 行 的 设 置, 然 后 再 将 其 传 播 给 其 他 计 算 机, 以 便 确 保 设 置 能 够 按 照 预 期 的 方 式 工 作 38
保 护 系 统 图 8. 选 项 : 安 全 性 选 项 卡 启 用 入 侵 防 护 系 统 当 其 他 用 户 试 图 破 坏 您 的 系 统 时, 向 您 发 出 警 报 代 理 上 的 入 侵 防 护 实 际 上 启 用 的 是 入 侵 检 测 系 统 (IDS) 和 入 侵 防 护 系 统 (IPS) 的 组 合 最 终 结 果 是 一 个 系 统, 它 可 以 分 析 网 络 数 据 包, 并 将 其 与 已 知 攻 击 和 已 知 攻 击 模 式 进 行 比 较, 然 后 禁 止 这 些 攻 击 入 侵 防 护 系 统 的 一 个 重 要 功 能 就 是 它 可 以 进 行 深 入 的 数 据 包 检 查 默 认 情 况 下, 代 理 上 启 用 此 选 项 启 用 端 口 扫 描 检 测 检 测 是 否 有 人 在 扫 描 您 的 端 口, 并 通 知 您 端 口 扫 描 是 一 种 黑 客 用 来 确 定 计 算 机 的 哪 些 端 口 开 放 以 进 行 通 信 的 常 用 方 法 端 口 由 代 理 动 态 禁 止, 因 此 可 以 防 止 黑 客 攻 击 尝 试 如 果 禁 用, 代 理 就 不 会 检 测 扫 描 或 通 知 您, 但 是 它 仍 然 会 防 止 黑 客 对 您 的 端 口 进 行 攻 击 尝 试 默 认 情 况 下, 代 理 上 启 用 此 选 项 启 用 驱 动 程 序 级 别 防 护 禁 止 协 议 驱 动 程 序 访 问 网 络, 除 非 用 户 授 予 权 限 如 果 协 议 驱 动 程 序 尝 试 访 问 网 络, 则 会 显 示 一 条 弹 出 消 息 询 问 您 是 否 希 望 允 许 它 默 认 情 况 下, 此 选 项 已 经 启 用 39
Symantec Protection Agent 安 装 使 用 指 南 启 用 隐 藏 模 式 浏 览 隐 藏 模 式 是 指 计 算 机 从 Web 服 务 器 中 隐 藏 但 仍 位 于 网 络 上 例 如, 如 果 在 隐 藏 模 式 下, 就 无 法 通 过 端 口 扫 描 或 通 信 尝 试 ( 如 ping) 检 测 到 Internet 上 的 计 算 机 默 认 情 况 下, 禁 用 此 选 项 启 用 DoS 检 测 使 代 理 检 查 传 入 通 信 中 是 否 存 在 已 知 拒 绝 服 务 (DoS) 攻 击 模 式 DoS 攻 击 的 特 点 是 入 侵 者 发 起 明 确 的 攻 击 尝 试, 以 阻 止 服 务 的 合 法 用 户 使 用 该 服 务 默 认 情 况 下, 启 用 此 选 项 禁 止 通 用 即 插 即 用 通 信 使 代 理 查 找 并 禁 止 UPnP 通 信 以 防 御 由 此 操 作 系 统 功 能 引 入 的 漏 洞 : 第 一 个 漏 洞 可 能 会 使 攻 击 者 完 全 控 制 受 影 响 的 系 统, 而 第 二 个 漏 洞 可 能 会 使 攻 击 者 阻 止 受 影 响 的 系 统 提 供 有 用 服 务, 或 者 利 用 多 个 用 户 的 系 统 对 单 个 目 标 发 起 分 布 式 拒 绝 服 务 攻 击 当 用 户 使 用 需 要 UPnP 协 议 才 能 运 行 的 应 用 程 序 时, 可 以 禁 用 此 功 能 默 认 情 况 下, 启 用 此 选 项 自 动 禁 止 攻 击 者 的 IP 地 址... 秒 一 旦 检 测 到 攻 击, 即 禁 止 源 主 机 的 所 有 通 信 例 如, 如 果 代 理 检 测 到 源 自 某 个 IP 地 址 的 DoS 攻 击, 则 代 理 将 禁 止 来 自 该 IP 的 所 有 通 信, 禁 止 持 续 时 间 在 秒 字 段 中 指 定 默 认 情 况 下, 启 用 此 选 项 未 加 载 服 务 时 禁 止 所 有 通 信 在 从 打 开 计 算 机 到 启 动 代 理 的 几 秒 钟 时 间 内 阻 止 任 何 通 信 进 入 或 离 开 计 算 机 此 时 间 段 是 一 个 小 的 安 全 漏 洞, 可 能 允 许 未 经 授 权 的 通 信 启 用 此 功 能 可 以 阻 止 可 能 的 特 洛 伊 木 马 或 其 他 未 经 授 权 的 应 用 程 序 与 其 他 计 算 机 或 设 备 通 信 如 果 代 理 崩 溃 或 关 闭, 此 功 能 也 会 发 挥 作 用 默 认 情 况 下, 启 用 此 选 项 允 许 初 始 通 信 启 用 基 本 网 络 连 接 所 需 的 初 始 通 信 这 包 括 初 始 DHCP 和 NetBIOS 通 信, 以 便 代 理 可 以 获 取 IP 地 址 默 认 情 况 下, 启 用 此 选 项 启 用 防 MAC 欺 骗 仅 当 向 该 特 定 主 机 发 出 ARP 请 求 时, 才 允 许 传 入 和 传 出 地 址 解 析 协 议 (ARP) 通 信 它 禁 止 所 有 其 他 意 外 的 ARP 通 信, 并 将 其 记 录 到 安 全 日 志 中 默 认 情 况 下, 代 理 上 启 用 此 选 项 某 些 黑 客 使 用 MAC 欺 骗 来 试 图 拦 截 两 台 计 算 机 之 间 的 通 信 会 话, 以 攻 击 其 中 一 台 计 算 机 MAC( 介 质 访 问 控 制 ) 地 址 是 标 识 计 算 机 设 备 服 务 器 路 由 器 等 的 硬 件 地 址 如 果 计 算 机 A 想 要 与 计 算 机 B 进 行 通 信, 那 么 它 可 能 会 向 计 算 机 B 发 送 一 个 ARP 数 据 包 40
启 用 防 IP 欺 骗 保 护 系 统 IP 欺 骗 是 黑 客 用 于 拦 截 两 台 计 算 机 之 间 的 通 信 会 话 的 一 个 过 程 例 如, 如 果 有 计 算 机 A 和 B, 则 黑 客 可 以 发 送 导 致 计 算 机 A 丢 弃 通 信 的 数 据 包 然 后 假 装 成 计 算 机 A, 这 样 黑 客 就 可 以 与 计 算 机 B 通 信, 从 而 拦 截 通 信 会 话 并 试 图 攻 击 计 算 机 B 防 IP 欺 骗 通 过 随 机 化 每 个 通 信 数 据 包 的 序 列 号, 以 防 止 黑 客 预 测 并 截 获 数 据 包, 从 而 可 以 阻 止 大 多 数 IP 欺 骗 尝 试 建 议 您 启 用 此 选 项 和 启 用 操 作 系 统 指 纹 伪 装 (Enable OS fingerprint masquerading) 选 项 默 认 情 况 下, 启 用 此 选 项 启 用 操 作 系 统 指 纹 伪 装 阻 止 程 序 检 测 运 行 代 理 软 件 的 计 算 机 的 操 作 系 统 当 启 用 操 作 系 统 指 纹 伪 装 时, 代 理 会 修 改 TCP/IP 数 据 包, 这 样 就 不 能 确 定 其 操 作 系 统 建 议 您 启 用 此 选 项 和 以 前 讨 论 的 启 用 防 IP 欺 骗 (Enable anti-ip spoofing) 选 项 默 认 情 况 下, 启 用 此 选 项 NetBIOS 防 护 禁 止 来 自 位 于 代 理 的 本 地 子 网 范 围 外 的 计 算 机 的 所 有 通 信 在 UDP 端 口 88 137 和 138 以 及 TCP 端 口 135 139 445 和 1026 上 禁 止 NetBIOS 通 信 请 注 意, 如 果 连 接 到 位 于 其 他 子 网 上 的 Exchange 服 务 器, 这 可 能 会 导 致 Outlook 出 现 问 题 如 果 发 生 此 类 情 况, 您 应 该 创 建 一 个 专 门 允 许 访 问 该 服 务 器 的 高 级 规 则 启 用 防 应 用 程 序 拦 截 使 代 理 检 查 通 过 将 DLL 和 Windows 挂 钩 程 序 插 入 Windows 应 用 程 序 来 工 作 的 恶 意 应 用 程 序, 并 在 发 现 这 些 恶 意 应 用 程 序 时 禁 止 它 们 允 许 令 牌 环 通 信 允 许 代 理 通 过 令 牌 环 适 配 器 连 接 以 访 问 企 业 网 络 默 认 情 况 下, 启 用 此 选 项 启 用 智 能 DNS 禁 止 除 传 出 DNS 请 求 和 相 应 回 复 外 的 所 有 DNS 通 信 这 意 味 着 如 果 您 的 计 算 机 发 出 DNS 请 求, 而 另 一 台 计 算 机 在 五 秒 钟 内 发 出 响 应, 则 允 许 该 通 信 将 丢 弃 所 有 其 他 DNS 数 据 包 如 果 您 禁 用 此 功 能, 请 注 意 您 将 需 要 手 动 允 许 DNS 名 称 解 析, 方 法 是 : 为 远 程 端 口 53 创 建 允 许 UDP 通 信 的 高 级 规 则 默 认 情 况 下, 启 用 此 选 项 启 用 智 能 DHCP 仅 允 许 传 出 DHCP 请 求 和 传 入 DHCP 回 复, 并 且 仅 允 许 支 持 DHCP 的 网 卡 如 果 您 禁 用 此 功 能 并 需 要 使 用 DHCP, 则 必 须 为 远 程 端 口 67 和 68 上 的 UDP 数 据 包 创 建 高 级 规 则 默 认 情 况 下, 启 用 此 选 项 41
Symantec Protection Agent 安 装 使 用 指 南 启 用 智 能 WINS 仅 当 收 到 请 求 时, 才 允 许 Windows Internet 名 称 服 务 (WINS) 请 求 如 果 没 有 请 求 通 信, 将 禁 止 WINS 回 复 默 认 情 况 下, 禁 用 此 选 项 电 子 邮 件 通 知 选 项 卡 电 子 邮 件 通 知 (E-Mail Notification) 选 项 卡 使 您 可 以 通 过 电 子 邮 件 自 动 通 知 指 定 收 件 人 关 于 对 计 算 机 的 所 有 攻 击 的 信 息 注 意 : 在 输 入 电 子 邮 件 地 址 后, 您 应 该 始 终 使 用 测 试 电 子 邮 件 通 知 (Test E-Mail Notification) 按 钮 来 验 证 输 入 的 地 址 是 否 正 确, 这 一 点 很 重 要 图 9. 选 项 : 电 子 邮 件 通 知 选 项 卡 前 三 个 选 项 设 置 邮 件 的 频 率 不 通 知 禁 用 电 子 邮 件 通 知 选 项 立 即 通 知 在 发 生 对 计 算 机 的 攻 击 后 立 即 发 送 电 子 邮 件 每 隔 分 钟 在 发 生 攻 击 后 以 固 定 的 间 隔 发 送 电 子 邮 件, 间 隔 是 在 每 隔 分 钟 (After Every Minute(s)) 对 话 框 中 指 定 的 42
发 件 人 : 保 护 系 统 指 定 邮 件 发 件 人 的 电 子 邮 件 地 址 这 可 以 是 个 人 电 子 邮 件 地 址, 也 可 以 是 其 他 电 子 邮 件 地 址 收 件 人 : 指 定 收 件 人 电 子 邮 件 地 址 这 可 以 是 管 理 员 的 电 子 邮 件 地 址, 也 可 以 是 任 何 其 他 电 子 邮 件 地 址 抄 送 : 指 定 一 个 电 子 邮 件 地 址, 以 便 发 送 每 封 电 子 邮 件 的 副 本 主 题 : 说 明 电 子 邮 件 的 主 题 SMTP 服 务 器 地 址 : 指 定 SMTP 服 务 器 地 址 我 的 电 子 邮 件 服 务 器 要 求 验 证 指 定 您 的 电 子 邮 件 服 务 器 是 否 要 求 验 证 验 证 服 务 器 地 址 : 指 定 验 证 服 务 器 的 地 址 用 户 名 / 密 码 : 在 相 应 的 字 段 中 指 定 用 于 验 证 服 务 器 的 用 户 名 和 密 码 测 试 电 子 邮 件 通 知 向 您 在 收 件 人 (To:) 和 抄 送 : (Cc:) 字 段 中 指 定 的 电 子 邮 件 地 址 发 送 测 试 邮 件 您 应 该 使 用 测 试 按 钮 来 验 证 输 入 的 任 何 电 子 邮 件 地 址, 这 很 重 要 日 志 选 项 卡 日 志 (Log) 选 项 卡 提 供 了 管 理 代 理 的 日 志 的 集 中 位 置 您 可 以 确 定 每 个 日 志 的 标 准 日 志 大 小, 以 及 指 定 在 每 个 日 志 中 记 录 多 少 天 的 条 目 您 还 可 以 切 换 是 否 记 录 每 种 类 型 的 日 志 43
Symantec Protection Agent 安 装 使 用 指 南 图 10. 选 项 : 日 志 选 项 卡 启 用 日 志 启 用 安 全 性 通 信 系 统 和 数 据 包 日 志 默 认 情 况 下, 不 启 用 数 据 包 日 志 最 大 日 志 文 件 大 小 指 定 日 志 文 件 的 最 大 大 小 ( 以 千 字 节 为 单 位 ) 默 认 设 置 是 512 KB 或 1024 KB 建 议 使 日 志 文 件 尽 可 能 小 保 存 过 去 xx 天 的 日 志 文 件 对 于 您 要 配 置 的 日 志, 请 指 定 保 存 日 志 的 天 数 清 除 日 志 清 除 所 选 的 日 志 IEEE 802.1x 验 证 选 项 卡 仅 当 您 公 司 网 络 使 用 Symantec LAN Enforcer, 才 使 用 IEEE 802.1x 验 证 (IEEE 802.1x Authentication) 选 项 卡 LAN Enforcer 与 支 持 802.1x 验 证 的 交 换 机 或 无 线 接 入 点 一 起 使 用 为 了 与 LAN Enforcer 配 合 使 用, 代 理 必 须 启 用 802.1x 验 证 选 项 警 报 (Option Alert):IEEE 802.1x 验 证 (IEEE 802.1x Authentication) 选 项 卡 只 在 客 户 端 控 制 中 可 用 44
保 护 系 统 图 11. 选 项 :EEE 802.1x 验 证 选 项 卡 启 用 IEEE 802.1x 验 证 此 选 项 仅 在 客 户 端 控 制 模 式 中 可 用 必 须 为 代 理 启 用 此 选 项, 以 便 与 Symantec LAN Enforcer 进 行 通 信 LAN Enforcer 连 接 到 交 换 机 或 无 线 接 入 点, 并 且 可 以 连 接 到 RADIUS 服 务 器 以 进 行 其 他 验 证 请 在 设 置 此 选 项 之 前 与 系 统 管 理 员 联 系 将 代 理 用 作 802.1x 请 求 者 此 选 项 仅 在 客 户 端 控 制 模 式 中 可 用 仅 当 您 的 网 络 在 透 明 模 式 中 使 用 LAN Enforcer 时 才 需 要 此 选 项, 在 透 明 模 式 中 Symantec Protection Agent 必 须 作 为 802.1x 请 求 者 运 行 要 将 代 理 用 作 802.1x 请 求 者, 您 需 要 卸 载 可 能 正 在 系 统 上 运 行 的 所 有 其 他 802.1x 请 求 者 请 在 设 置 此 选 项 之 前 与 系 统 管 理 员 联 系 设 置 高 级 规 则 与 使 用 应 用 程 序 (Applications) 选 项 ( 请 参 见 为 应 用 程 序 设 置 访 问 权 ) 设 置 的 单 个 应 用 程 序 规 则 不 同, 高 级 规 则 (Advanced Rules) 应 用 于 所 有 应 用 程 序 如 果 您 创 建 了 禁 止 下 午 10 点 到 上 午 8 点 之 间 的 所 有 通 信 的 高 级 规 则, 那 么 该 规 则 将 覆 盖 为 每 个 应 用 程 序 设 置 的 所 有 其 他 调 度 和 配 置 选 项 警 报 (Option Alert): 此 选 项 只 在 客 户 端 控 制 和 超 级 用 户 模 式 中 可 用 45
Symantec Protection Agent 安 装 使 用 指 南 设 置 高 级 规 则 : 1. 在 工 具 (Tools) 菜 单 上, 单 击 高 级 规 则 (Advanced Rules) 将 打 开 高 级 规 则 (Advanced Rules) 对 话 框 2. 单 击 添 加 (Add) 将 打 开 高 级 规 则 设 置 (Advanced Rule Settings) 对 话 框, 其 中 显 示 常 规 (General) 选 项 卡 3. 在 规 则 说 明 (Rule Description) 文 本 框 中 输 入 规 则 的 名 称, 然 后 单 击 禁 止 该 通 信 (Block this traffic) 或 允 许 该 通 信 (Allow this traffic) 4. 单 击 应 用 程 序 (Applications) 选 项 卡, 然 后 单 击 您 要 允 许 或 禁 止 的 应 用 程 序 的 复 选 框, 或 者 单 击 浏 览 (Browse) 按 钮 来 查 找 它 5. 要 创 建 带 有 默 认 设 置 的 规 则, 请 单 击 确 定 (OK) 您 还 可 以 在 以 下 任 一 选 项 卡 上 自 定 义 设 置 : 常 规 (General) 主 机 (Hosts) 端 口 和 协 议 (Ports and Protocols) 调 度 (Scheduling) 以 及 应 用 程 序 (Applications) 6. 单 击 上 移 (Move Up) 或 下 移 (Move Down) 按 钮 可 更 改 规 则 应 用 的 顺 序 注 意 : 规 则 按 照 它 们 被 列 出 的 顺 序 应 用 例 如, 如 果 首 先 列 出 禁 止 所 有 通 信 的 规 则, 然 后 是 允 许 所 有 通 信 的 规 则, 那 么 代 理 将 禁 止 所 有 通 信, 无 论 另 一 条 规 则 如 何 7. 要 在 代 理 上 启 用 某 个 规 则, 请 确 保 选 中 标 记 出 现 在 说 明 (Description) 列 中 常 规 选 项 卡 常 规 (General) 选 项 卡 用 于 为 您 正 在 创 建 的 规 则 提 供 名 称, 以 及 该 规 则 将 起 到 的 作 用 ( 允 许 或 禁 止 通 信 ) 图 12. 高 级 规 则 : 常 规 选 项 卡 46
保 护 系 统 规 则 说 明 与 规 则 名 称 的 作 用 相 同, 它 应 该 指 示 规 则 的 性 质 例 如, Rule1 对 规 则 来 说 可 能 不 是 好 名 称, 而 Block After 1 AM 就 比 较 好 禁 止 该 通 信 拒 绝 规 则 指 定 的 通 信 访 问 您 的 网 络 允 许 该 通 信 允 许 规 则 指 定 的 通 信 访 问 您 的 网 络 将 规 则 应 用 于 网 络 接 口 指 定 此 规 则 应 用 于 哪 个 网 络 接 口 卡 如 果 您 有 多 个 网 卡, 请 从 列 表 框 中 选 择 一 个, 或 者 选 择 所 有 网 络 接 口 卡 (All network interface cards) 以 便 将 规 则 应 用 于 每 个 网 卡 处 于 屏 保 模 式 期 间 应 用 此 规 则 即 使 计 算 机 的 屏 保 打 开 时 也 激 活 该 规 则 ( 如 果 适 用 ) o 开 (On) 只 有 屏 保 打 开 时 才 激 活 该 规 则 如 果 您 希 望 在 计 算 机 处 于 闲 置 状 态 时 禁 止 所 有 通 信 和 所 有 端 口, 那 么 请 启 用 此 选 项 o 关 (Off) 仅 当 屏 保 关 闭 且 所 有 其 他 条 件 都 满 足 时 才 激 活 此 规 则 o 开 和 关 (Both On and Off) 此 规 则 不 受 屏 保 影 响 在 数 据 包 日 志 中 记 录 该 通 信 在 数 据 包 日 志 中 记 录 受 此 规 则 影 响 的 通 信 规 则 摘 要 字 段 提 供 规 则 的 功 能 摘 要 主 机 选 项 卡 在 主 机 (Hosts) 选 项 卡 中, 您 可 以 指 定 通 信 的 源 (IP 地 址 MAC 地 址 或 子 网 范 围 ) 47
Symantec Protection Agent 安 装 使 用 指 南 图 13. 高 级 规 则 : 主 机 选 项 卡 所 有 地 址 将 规 则 应 用 于 所 有 地 址 MAC 地 址 将 规 则 应 用 于 通 信 的 MAC 地 址 IP 地 址 将 规 则 应 用 于 通 信 的 IP 地 址 或 地 址 范 围 子 网 将 规 则 应 用 于 通 信 的 子 网 地 址 和 子 网 掩 码 规 则 摘 要 字 段 提 供 规 则 的 功 能 摘 要 端 口 和 协 议 选 项 卡 端 口 和 协 议 (Ports and Protocols) 选 项 卡 提 供 了 这 样 的 区 域 : 用 于 指 定 哪 些 端 口 和 协 议 ( 如 果 有 ) 应 该 受 到 规 则 中 指 定 的 通 信 的 影 响 48
保 护 系 统 图 14. 高 级 规 则 : 端 口 和 协 议 选 项 卡 协 议 为 规 则 指 定 协 议 所 有 协 议 应 用 于 所 有 端 口 上 的 所 有 协 议 您 可 以 选 择 规 则 将 应 用 于 哪 个 通 信 方 向 : 传 入 通 信 传 出 通 信, 或 两 者 TCP 再 显 示 两 个 列 表 框, 您 可 以 在 其 中 指 定 哪 些 端 口 ( 远 程 和 / 或 本 地 ) 将 受 到 规 则 的 影 响 您 可 以 为 本 地 和 远 程 端 口 键 入 端 口 号 或 者 从 列 表 框 中 选 择 端 口 类 型 如 果 您 不 输 入 或 选 择 端 口 号, 那 么 所 有 端 口 都 将 受 到 规 则 的 影 响 如 果 您 为 本 地 端 口 条 目 输 入 了 端 口 号, 而 没 有 为 远 程 端 口 条 目 输 入 端 口 号, 那 么 您 输 入 的 本 地 端 口 以 及 所 有 远 程 端 口 都 将 受 到 规 则 的 影 响 您 还 可 以 选 择 规 则 将 影 响 哪 个 通 信 方 向 UDP 显 示 两 个 端 口 列 表 框 您 可 以 为 本 地 和 远 程 端 口 键 入 端 口 号, 或 者 从 列 表 框 中 选 择 端 口 类 型 如 果 您 不 输 入 或 选 择 端 口 号, 那 么 所 有 端 口 都 将 受 到 规 则 的 影 响 如 果 您 为 本 地 端 口 条 目 输 入 了 端 口 号, 而 没 有 为 远 程 端 口 条 目 输 入 端 口 号, 那 么 您 输 入 的 本 地 端 口 以 及 所 有 远 程 端 口 都 将 受 到 规 则 的 影 响 此 外, 您 还 可 以 选 择 状 态 UDP (Stateful UDP) 来 启 用 UDP 会 话 的 状 态 监 控 您 还 可 以 选 择 规 则 将 影 响 哪 个 通 信 方 向 49
Symantec Protection Agent 安 装 使 用 指 南 ICMP 显 示 ICMP 类 型 的 列 表 选 择 您 希 望 允 许 或 禁 止 的 ICMP 类 型 然 后 选 择 规 则 将 影 响 哪 个 通 信 方 向 IP 类 型 显 示 出 现 在 端 口 和 协 议 (Ports and Protocols) 选 项 卡 的 下 半 部 分 的 IP 协 议 类 型 的 列 表 通 信 方 向 您 可 以 选 择 传 入 传 出 或 两 者 规 则 摘 要 字 段 提 供 规 则 的 说 明 以 及 它 会 影 响 系 统 上 的 哪 些 通 信 调 度 选 项 卡 使 用 调 度 (Scheduling) 选 项 卡, 您 可 以 创 建 只 在 某 个 时 间 段 内 ( 或 该 时 间 段 外 ) 生 效 的 规 则 例 如, 如 果 您 想 要 禁 止 凌 晨 1 点 以 后 的 所 有 通 信, 那 么 您 可 以 创 建 一 个 调 度 来 实 现 这 一 点 图 15. 高 级 规 则 : 调 度 选 项 卡 启 用 调 度 启 用 调 度 功 能 50
保 护 系 统 在 以 下 时 段 内 启 用 要 在 某 个 时 间 段 内 发 生 的 调 度 排 除 以 下 时 段 启 用 要 在 某 个 时 间 段 以 外 的 时 间 内 发 生 的 调 度 开 始 时 间 指 定 调 度 开 始 的 时 间, 包 括 月 日 小 时 和 分 钟 您 也 可 以 保 留 默 认 设 置, 即 全 年 的 每 一 天 都 全 天 应 用 调 度 持 续 时 间 如 果 您 指 定 了 开 始 时 间, 那 么 该 选 项 指 定 规 则 将 在 多 长 时 间 内 有 效 规 则 摘 要 字 段 提 供 规 则 的 功 能 摘 要 应 用 程 序 选 项 卡 您 可 以 指 定 规 则 影 响 的 应 用 程 序 应 用 程 序 (Applications) 选 项 卡 提 供 了 已 访 问 过 您 的 网 络 连 接 的 所 有 应 用 程 序 的 列 表 图 16. 高 级 规 则 : 应 用 程 序 选 项 卡 51
Symantec Protection Agent 安 装 使 用 指 南 只 显 示 所 选 的 应 用 程 序 只 显 示 受 此 规 则 控 制 的 应 用 程 序 应 用 程 序 列 出 传 入 和 传 出 所 有 端 口 和 协 议 的 通 信 要 选 择 一 个 应 用 程 序, 请 单 击 文 件 名 (FileName) 列 下 方 该 应 用 程 序 名 称 旁 边 的 框 全 选 选 择 表 中 的 所 有 应 用 程 序 全 部 清 除 清 除 表 中 的 所 有 应 用 程 序 浏 览 打 开 打 开 (Open) 对 话 框, 以 便 您 可 以 搜 索 未 在 表 中 显 示 的 应 用 程 序 规 则 摘 要 字 段 提 供 规 则 的 说 明 以 及 它 会 影 响 系 统 上 的 哪 些 通 信 查 看 服 务 器 和 代 理 规 则 安 全 规 则 查 看 器 ( 规 则 查 看 器 ) 显 示 哪 些 安 全 策 略 或 安 全 规 则 集 在 计 算 机 上 起 作 用 选 项 警 报 (Option Alert): 此 选 项 只 在 超 级 用 户 模 式 中 可 用 它 为 您 显 示 服 务 器 规 则 策 略 管 理 器 在 您 的 计 算 机 上 部 署 的 规 则 代 理 规 则 以 及 您 自 己 创 建 的 规 则 这 些 规 则 都 存 在 于 单 个 查 看 器 中, 该 查 看 器 显 示 了 每 条 规 则 或 设 置 规 则 或 设 置 的 说 明 以 及 规 则 引 起 的 操 作 ( 允 许 (Allow) 或 禁 止 (Block)) 打 开 安 全 规 则 查 看 器 : 安 全 规 则 查 看 器 在 工 具 (Tools) 菜 单 上, 单 击 安 全 规 则 查 看 器 (Security Rule Viewer) 安 全 规 则 查 看 器 为 您 提 供 正 在 代 理 上 运 行 的 安 全 规 则 和 设 置 的 综 合 视 图 代 理 规 则 将 与 服 务 器 规 则 合 并 所 有 规 则 都 以 带 编 号 的 列 表 形 式 显 示 在 规 则 查 看 器 中 将 首 先 显 示 服 务 器 规 则, 列 出 的 这 些 规 则 带 有 一 个 数 字 服 务 器 规 则 : 字 样, 以 及 规 则 的 简 要 说 明 单 击 一 个 规 则, 将 在 屏 幕 底 部 的 摘 要 框 中 显 示 该 规 则 的 摘 要 52
保 护 系 统 如 果 这 个 规 则 是 代 理 规 则, 单 击 该 规 则 会 使 您 直 接 转 到 应 用 程 序 列 表 (Applications List) 配 置 选 项 (Configuration Options) 对 话 框 或 高 级 规 则 设 置 (Advanced Rule Settings) 对 话 框, 您 可 以 在 这 些 位 置 微 调 该 规 则 图 17. 安 全 规 则 查 看 器 代 理 规 则 与 服 务 器 规 则 优 先 级 顺 序 之 比 较 优 先 级 顺 序 : 1. 具 有 高 优 先 级 的 服 务 器 规 则, 由 系 统 管 理 员 分 配 2. 代 理 高 级 规 则 3. 具 有 较 低 优 先 级 的 服 务 器 规 则 4. 代 理 网 上 邻 居 设 置 5. 代 理 应 用 程 序 设 置 53
Symantec Protection Agent 安 装 使 用 指 南 临 时 禁 用 防 护 您 有 时 可 能 需 要 禁 用 代 理 的 安 全 性, 以 便 代 理 不 会 禁 止 出 站 通 信, 例 如, 当 您 正 在 排 查 网 络 访 问 问 题 时 使 用 禁 用 (Disable) 按 钮, 您 可 以 临 时 禁 用 代 理 禁 止, 禁 用 的 时 间 长 度 在 策 略 管 理 器 上 指 定 管 理 员 还 可 以 限 制 在 重 新 启 动 代 理 之 前, 您 可 以 使 用 禁 用 (Disable) 选 项 的 频 率 根 据 策 略 管 理 器 上 的 安 全 设 置, 当 您 选 择 禁 用 (Disable) 按 钮 时 入 站 禁 止 可 能 也 会 被 禁 用 选 项 警 报 (Option Alert): 此 选 项 可 能 显 示 为 灰 色 或 根 本 不 显 示, 具 体 取 决 于 您 的 控 制 模 式 和 管 理 员 设 置 要 临 时 禁 用 禁 止, 请 执 行 下 列 操 作 之 一 : 在 工 具 栏 上, 单 击 禁 用 (Disable) 按 钮 在 工 具 (Tools) 菜 单 上, 单 击 禁 用 Symantec Protection Agent (Disable Symantec Protection Agent) 右 键 单 击 系 统 托 盘 图 标, 然 后 单 击 禁 用 Symantec Protection Agent (Disable Symantec Protection Agent) 禁 用 (Disable) 按 钮 是 一 种 切 换 设 置, 它 将 变 为 启 用 (Enable) 按 钮 以 便 允 许 您 恢 复 代 理 安 全 防 护 54
第 5 章 消 息 和 警 告 您 可 能 会 看 到 若 干 不 同 类 型 的 消 息 这 些 消 息 通 常 会 说 明 所 处 的 情 况 并 指 示 代 理 正 在 如 何 尝 试 解 决 问 题 两 种 主 要 的 弹 出 消 息 类 型 是 : 安 全 通 知 警 告 消 息 这 些 是 安 全 警 告 的 示 例 这 是 警 告 消 息 的 示 例 55
Symantec Protection Agent 安 装 使 用 指 南 我 为 什 么 会 收 到 弹 出 消 息? 由 于 以 下 某 个 原 因, 会 出 现 应 用 程 序 相 关 的 弹 出 消 息 : 代 理 以 前 从 未 看 到 过 的 应 用 程 序, 或 者 已 经 被 分 配 询 问 (Ask) 状 态 的 应 用 程 序 正 在 尝 试 访 问 您 的 网 络 连 接 正 常 访 问 网 络 连 接 的 应 用 程 序 已 发 生 更 改, 很 可 能 是 由 于 产 品 升 级 您 使 用 的 是 Windows XP, 并 且 使 用 快 速 用 户 切 换 切 换 了 用 户 您 的 代 理 软 件 正 在 更 新 代 理 在 计 算 机 上 检 测 到 了 特 洛 伊 木 马 新 应 用 程 序 弹 出 消 息 您 偶 尔 会 在 计 算 机 屏 幕 上 看 到 以 下 类 型 的 弹 出 消 息 这 意 味 着 什 么? 弹 出 消 息 中 的 信 息 告 诉 您 哪 种 应 用 程 序 或 服 务 正 在 尝 试 访 问 您 的 计 算 机 访 问 的 是 哪 个 端 口, 并 且 通 常 还 有 其 他 信 息 出 现 这 个 弹 出 消 息 的 原 因 是 应 用 程 序 被 打 开 了, 可 能 是 由 您 直 接 或 间 接 打 开 的, 或 者 是 由 其 他 应 用 程 序 打 开 的 如 果 您 没 有 打 开 任 何 程 序 或 单 击 任 何 链 接, 而 某 个 程 序 突 然 尝 试 访 问 网 络 连 接, 这 是 怎 么 回 事? 同 样, 这 可 能 有 许 多 不 同 的 原 因 但 是, 如 果 您 没 有 打 开 使 用 弹 出 消 息 中 列 出 的 应 用 程 序 的 任 何 程 序, 或 者 找 不 到 该 应 用 程 序 应 该 尝 试 访 问 您 的 网 络 连 接 的 原 因, 通 常 最 安 全 的 做 法 是 单 击 否 (No) 这 可 能 指 示 计 算 机 上 存 在 特 洛 伊 木 马, 如 果 是 这 样, 您 需 要 立 即 检 查 详 细 信 息 单 击 详 细 信 息 (Detail) 按 钮 可 展 开 弹 出 框, 其 中 提 供 有 关 应 用 程 序 正 试 图 建 立 的 连 接 的 更 多 详 细 信 息 将 提 供 文 件 名 版 本 和 路 径 等 信 息 查 看 这 些 项 目 以 确 保 它 们 与 您 通 常 使 用 的 应 用 程 序 的 说 明 相 匹 配 详 细 信 息 部 分 还 应 指 示 文 件 正 试 图 连 接 到 的 位 置 : 本 地 ( 意 味 着 它 试 图 连 接 到 您 的 计 算 机 ) 或 远 程 ( 意 味 着 应 用 程 序 试 图 连 接 到 外 部 目 标 ) 此 外, 还 应 该 提 供 本 地 和 远 程 端 口 号 以 及 IP 地 址, 如 下 图 所 示 : 56
消 息 和 警 告 我 该 怎 么 办? 如 果 您 首 次 使 用 代 理 启 动, 那 么 这 种 消 息 很 常 见 如 果 您 确 信 自 己 触 发 了 此 应 用 程 序, 那 么 单 击 是 (Yes) 应 该 很 安 全 您 还 可 以 让 代 理 以 后 记 住 您 的 答 案 如 果 您 单 击 了 请 记 住 答 案, 不 要 再 针 对 此 应 用 程 序 询 问 我 (Remember my answer, and do not ask me again for this application), 那 么 代 理 会 记 住 您 的 选 择, 当 下 次 此 应 用 程 序 尝 试 访 问 您 的 网 络 连 接 时 会 执 行 相 应 的 操 作 如 果 您 已 尝 试 打 开 使 用 其 他 应 用 程 序 访 问 Internet( 如 介 质 流 程 序 ) 的 应 用 程 序 ( 如 Web 浏 览 器 ) 或 程 序, 并 且 您 感 觉 准 许 此 应 用 程 序 访 问 网 络 连 接 没 有 问 题, 那 么 您 可 以 单 击 是 (Yes) 然 后 该 应 用 程 序 将 能 够 访 问 您 的 网 络 您 可 以 在 正 在 运 行 的 应 用 程 序 (Running Applications) 字 段 或 应 用 程 序 列 表 (Applications List) 中 随 时 更 改 应 用 程 序 的 状 态 但 是, 如 果 弹 出 消 息 是 意 外 出 现 的, 而 且 您 找 不 到 列 出 的 应 用 程 序 应 该 尝 试 访 问 您 的 网 络 连 接 的 原 因, 那 么 请 单 击 否 (No), 然 后 单 击 请 记 住 答 案 (Remember my answer) 这 将 为 该 应 用 程 序 分 配 禁 止 (Block) 状 态, 以 便 任 何 时 候 当 它 尝 试 获 取 访 问 权 时 都 自 动 禁 止 它 访 问 网 络 连 接 您 可 以 在 正 在 运 行 的 应 用 程 序 (Running 57
Symantec Protection Agent 安 装 使 用 指 南 Applications) 字 段 或 应 用 程 序 列 表 (Applications List) 中 随 时 更 改 应 用 程 序 的 状 态 您 还 应 该 运 行 病 毒 扫 描, 以 便 确 保 没 有 在 无 意 中 下 载 了 可 能 感 染 计 算 机 文 件 的 病 毒 或 特 洛 伊 木 马 表 8. 弹 出 : 请 记 住 答 案? 单 击 是 否 选 中 请 记 住 答 案... (Remember my answer...) 框? 分 配 的 状 态 是 (Yes) 是 (Yes) 允 许 是 (Yes) 否 (No) 询 问 否 (No) 是 (Yes) 禁 止 否 (No) 否 (No) 询 问 更 改 应 用 程 序 的 状 态 如 果 在 允 许 或 禁 止 某 个 应 用 程 序 后 改 变 了 主 意 该 怎 么 办? 只 需 转 到 代 理 的 主 控 制 台, 右 键 单 击 正 在 运 行 的 应 用 程 序 (Running Applications) 字 段 中 该 应 用 程 序 的 图 标, 然 后 在 出 现 的 菜 单 中 单 击 所 需 的 状 态 ( 允 许 (Allow) 询 问 (Ask) 或 禁 止 (Block)) 即 可 已 更 改 的 应 用 程 序 弹 出 消 息 您 偶 尔 会 看 到 指 示 某 个 应 用 程 序 已 更 改 的 弹 出 消 息 Telnet 程 序 自 从 您 上 次 打 开 后 已 发 生 更 改, 这 可 能 是 由 于 您 最 近 更 新 过 它 是 否 允 许 它 访 问 网 络? (Telnet Program has changed since the last time you opened it, this could be because you have updated it recently. Do you want to allow it to access the network?) 这 意 味 着 什 么? 弹 出 消 息 上 列 出 的 应 用 程 序 正 在 尝 试 访 问 您 的 网 络 连 接 虽 然 代 理 能 够 识 别 该 应 用 程 序 的 名 称, 但 是 自 从 代 理 上 次 遇 到 该 应 用 程 序 后, 它 的 某 些 内 容 已 经 更 改 这 可 能 是 由 于 您 最 近 升 级 过 该 产 品 代 理 使 用 MD5 校 验 和 来 确 定 应 用 程 序 的 合 法 性 升 级 的 版 本 可 能 不 能 通 过 校 验 和 测 试, 因 为 应 用 程 序 的 新 内 部 版 本 或 新 版 本 很 可 能 具 有 不 同 的 校 验 和 值 58
消 息 和 警 告 另 一 方 面, 如 果 您 最 近 没 有 升 级 过 该 应 用 程 序, 并 且 也 找 不 到 此 消 息 出 现 的 任 何 理 由, 那 么 这 可 能 是 尝 试 访 问 您 的 网 络 的 特 洛 伊 木 马 的 一 个 实 例 详 细 信 息 单 击 详 细 信 息 (Detail) 按 钮 可 展 开 弹 出 框, 其 中 提 供 有 关 应 用 程 序 正 试 图 建 立 的 连 接 的 更 多 详 细 信 息 将 提 供 文 件 名 版 本 和 路 径 等 信 息 查 看 这 些 项 目 以 确 保 它 们 与 您 通 常 使 用 的 应 用 程 序 的 说 明 相 匹 配 详 细 信 息 部 分 还 应 指 示 文 件 正 试 图 连 接 到 的 位 置 : 本 地 ( 意 味 着 它 试 图 连 接 到 您 的 计 算 机 ) 或 远 程 ( 意 味 着 应 用 程 序 试 图 连 接 到 外 部 目 标 ) 此 外, 还 应 该 提 供 本 地 和 远 程 端 口 号 以 及 IP 地 址 我 该 怎 么 办? 如 果 您 最 近 升 级 过 弹 出 消 息 中 提 到 的 应 用 程 序, 那 么 单 击 是 (Yes) 并 允 许 该 应 用 程 序 进 行 网 络 访 问 可 能 是 安 全 的 但 是, 如 果 您 不 认 为 最 近 升 级 过 列 出 的 应 用 程 序, 那 么 您 应 该 单 击 否 (No) 并 运 行 防 病 毒 软 件 程 序 如 果 您 正 在 上 班, 请 与 IT 部 门 联 系 更 改 应 用 程 序 的 状 态 如 果 在 允 许 或 禁 止 某 个 应 用 程 序 后 改 变 了 主 意 该 怎 么 办? 只 需 转 到 代 理 的 主 控 制 台, 右 键 单 击 正 在 运 行 的 应 用 程 序 (Running Applications) 字 段 中 该 应 用 程 序 的 图 标, 然 后 在 出 现 的 菜 单 中 单 击 所 需 的 状 态 ( 允 许 (Allow) 询 问 (Ask) 或 禁 止 (Block)) 即 可 快 速 用 户 切 换 弹 出 消 息 如 果 您 使 用 的 是 Windows XP, 那 么 您 可 能 会 看 到 以 下 某 条 弹 出 消 息 : Symantec Protection Agent 无 法 显 示 用 户 界 面 如 果 您 使 用 的 是 Windows XP 快 速 用 户 切 换, 请 确 保 所 有 其 他 用 户 都 从 Windows 注 销, 并 且 您 也 尝 试 从 Windows 注 销, 然 后 重 新 登 录 如 果 您 使 用 的 是 终 端 服 务, 则 不 支 持 用 户 界 面 (Symantec Protection Agent is unable to show the user interface. If you are using Windows XP Fast User Switching, make sure all other users are logged off of Windows and try logging off of Windows and then log back on. If you are using Terminal Services, the user interface is not supported.) 或 者 Symantec Protection Agent 未 运 行, 但 是 将 启 动 它 但 是,Symantec Protection Agent 无 法 显 示 用 户 界 面 如 果 您 使 用 的 是 Windows XP 快 速 用 户 切 换, 请 确 保 所 有 其 他 用 户 都 从 Windows 注 销, 并 且 您 也 尝 试 从 Windows 注 销, 然 后 重 新 登 录 如 果 您 使 用 的 是 终 端 服 务, 则 不 支 持 用 户 界 面 (Symantec Protection Agent was not running but will be started. However, the Symantec Protection Agent is unable to show the user interface. If you are using Windows XP Fast User Switching, make sure all other users are logged off of Windows and try logging off of Windows and then log back on. If you are using Terminal Services, the user interface is not supported.) 59
Symantec Protection Agent 安 装 使 用 指 南 这 意 味 着 什 么? 快 速 用 户 切 换 是 当 Windows XP Home Edition 和 Windows XP Professional 没 有 加 入 域 时 的 一 种 功 能, 它 使 您 能 够 快 速 切 换 用 户, 而 无 需 实 际 上 从 计 算 机 注 销 多 个 用 户 可 以 共 享 一 台 计 算 机 并 同 时 使 用 它, 方 法 是 : 在 不 关 闭 他 们 正 在 运 行 的 程 序 的 情 况 下 来 回 切 换 用 户 如 果 您 使 用 快 速 用 户 切 换 功 能 来 切 换 用 户, 那 么 这 些 窗 口 中 的 某 一 个 窗 口 将 出 现 我 该 怎 么 办? 按 照 对 话 框 中 的 说 明 进 行 操 作 自 动 更 新 通 知 策 略 管 理 器 可 以 自 动 更 新 您 的 代 理 您 可 能 会 看 到 下 面 某 条 通 知 弹 出 消 息 : 如 果 看 到 这 个 对 话 框, 您 可 以 立 即 下 载 该 软 件, 也 可 以 单 击 以 后 提 醒 我 (Remind me later) 以 便 在 指 定 的 时 间 后 收 到 提 醒 当 这 个 时 间 到 来 时, 您 将 面 临 同 样 的 选 择 当 进 行 更 新 时, 您 将 看 到 下 面 的 通 知, 并 且 必 须 单 击 确 定 (OK): 60
消 息 和 警 告 特 洛 伊 木 马 警 告 但 愿 您 永 远 不 会 看 到 类 似 于 以 下 内 容 的 弹 出 消 息 : C:\WINNT\System32\UMGR32.EXE, 在 您 的 计 算 机 上 检 测 到 一 个 特 洛 伊 木 马 应 用 程 序 它 已 被 Symantec Protection Agent 禁 止 (C:\WINNT\System32\UMGR32.EXE, a Trojan horse application has been detected on your computer. It has been blocked by the Symantec Protection Agent.) 这 意 味 着 什 么? 此 消 息 指 示 代 理 在 您 的 计 算 机 上 检 测 到 了 一 个 已 知 的 特 洛 伊 木 马 它 还 说 明 该 特 洛 伊 木 马 已 被 禁 止 访 问 您 的 网 络 这 意 味 着 在 您 的 系 统 上 存 在 特 洛 伊 木 马, 并 且 已 经 被 激 活 或 者 您 尝 试 了 打 开 被 识 别 为 特 洛 伊 木 马 的 程 序, 或 者 它 已 被 计 算 机 上 的 其 他 程 序 触 发 可 能 当 您 安 装 代 理 时 特 洛 伊 就 已 经 在 计 算 机 上 了, 或 者 您 最 近 通 过 合 法 应 用 程 序 ( 如 Web 浏 览 器 ) 下 载 了 它 特 洛 伊 尝 试 过 访 问 您 的 网 络 连 接, 并 且 已 经 被 代 理 禁 止 我 该 怎 么 办? 您 应 该 立 即 通 知 IT 部 门 代 理 将 禁 止 特 洛 伊 从 ( 或 向 ) 您 的 计 算 机 发 送 任 何 信 息, 但 还 应 该 尽 早 将 其 从 系 统 中 删 除, 这 很 重 要 代 理 将 自 动 终 止 特 洛 伊 进 程, 但 是 删 除 还 需 要 IT 部 门 的 协 助 我 为 什 么 会 收 到 安 全 通 知? 安 全 通 知 旨 在 让 您 了 解 安 全 的 状 态 由 于 以 下 两 个 原 因 之 一, 您 会 看 到 安 全 通 知 : 禁 止 的 应 用 程 序 通 知 (Blocked Application Notification): 已 经 根 据 系 统 管 理 员 设 置 的 规 则 禁 止 了 某 个 从 计 算 机 上 启 动 的 应 用 程 序 管 理 员 设 置 此 通 知 还 为 了 通 知 您 这 个 策 略 安 全 警 报 通 知 (Security Alert Notification): 存 在 对 您 的 计 算 机 发 动 的 攻 击, 此 通 知 或 者 简 单 地 通 知 您 这 一 情 况, 或 者 提 供 如 何 处 理 攻 击 的 说 明 禁 止 的 应 用 程 序 通 知 您 可 能 会 不 时 地 看 到 系 统 托 盘 图 标 上 的 通 知 消 息 它 们 指 示 系 统 已 经 禁 止 了 您 指 定 为 不 可 信 的 通 信 如 果 您 在 全 部 禁 止 (Block All ) 模 式 下 运 行, 那 么 您 可 以 经 常 查 看 这 些 消 息 相 反, 如 果 您 在 全 部 允 许 (Allow All) 模 式 下 运 行, 那 么 您 根 本 不 能 查 看 任 何 通 知 61
Symantec Protection Agent 安 装 使 用 指 南 如 果 这 些 通 知 开 始 打 扰 您 了, 您 可 以 单 击 不 要 再 显 示 此 窗 口 (Do not show this window again), 或 者 在 选 项 (Options) 窗 口 中 的 常 规 (General) 选 项 卡 下 完 全 禁 用 这 些 消 息 安 全 警 报 通 知 您 可 能 会 不 时 地 看 到 系 统 托 盘 图 标 上 的 通 知 消 息 下 图 所 示 的 通 知 指 示 代 理 记 录 了 一 次 攻 击 如 果 您 不 想 看 到 这 些 通 知, 您 可 以 单 击 不 要 再 显 示 此 窗 口 (Do not show this window again), 或 者 您 也 可 以 在 选 项 (Options) 对 话 框 中 的 常 规 (General) 选 项 卡 下 完 全 禁 用 这 些 消 息 我 为 什 么 会 收 到 警 告 消 息? 警 告 消 息 通 知 您 计 算 机 中 存 在 的 问 题, 您 必 须 纠 正 此 类 问 题 然 后 才 能 访 问 网 络 它 们 基 于 代 理 策 略 管 理 器 和 Enforcer 中 内 置 的 主 机 完 整 性 检 查 功 能 有 些 消 息 指 示 您 缺 少 连 接 到 网 络 所 需 的 应 用 程 序 引 起 此 类 警 告 的 问 题 的 类 型 包 括 : 应 该 运 行 的 应 用 程 序 没 有 运 行 系 统 会 提 示 您 将 其 启 动, 或 者, 代 理 会 为 您 启 动 它 系 统 上 的 防 病 毒 特 征 文 件 过 期 代 理 转 至 网 络 上 以 检 索 并 安 装 该 文 件 操 作 系 统 文 件 没 有 所 需 的 补 丁 程 序 代 理 转 至 网 络 上 以 检 索 并 安 装 该 补 丁 程 序 代 理 执 行 自 动 下 载 如 果 您 的 文 件 不 是 最 新 的 或 者 丢 失, 则 代 理 会 尝 试 连 接 到 网 络 以 下 载 可 解 决 该 问 题 的 文 件 62
在 下 载 过 程 中, 您 会 看 到 进 度 条, 为 您 提 供 该 过 程 的 相 关 信 息 在 该 过 程 结 束 时, 代 理 会 提 醒 您 它 已 经 被 恢 复, 以 便 符 合 最 新 的 安 全 策 略 您 可 能 被 禁 止 访 问 网 络 消 息 和 警 告 如 果 代 理 没 有 运 行 适 当 的 软 件 ( 如 防 病 毒 软 件 ), 而 该 软 件 不 能 被 安 装 在 您 的 计 算 机 上, 那 么 系 统 管 理 员 可 能 已 经 决 定 通 过 禁 止 您 的 计 算 机 访 问 网 络 来 保 护 网 络 如 果 代 理 被 禁 止 并 且 不 能 下 载 适 当 的 软 件, 请 与 管 理 员 联 系 63
Symantec Protection Agent 安 装 使 用 指 南 64
第 6 章 监 控 和 日 志 记 录 代 理 的 日 志 是 一 种 跟 踪 计 算 机 的 活 动 以 及 它 与 其 他 计 算 机 和 网 络 的 交 互 情 况 的 重 要 方 法 日 志 记 录 关 于 代 理 状 态 的 信 息 以 及 关 于 尝 试 通 过 网 络 连 接 进 入 或 离 开 计 算 机 的 通 信 的 信 息 有 五 个 单 独 的 日 志, 分 别 监 控 网 络 连 接 的 不 同 方 面 : 安 全 日 志 通 信 日 志 数 据 包 日 志 系 统 日 志 行 为 日 志 这 些 日 志 告 诉 您 计 算 机 是 何 时 被 禁 止 访 问 网 络 的 及 其 原 因 ( 在 某 种 程 度 上 ) 它 们 对 于 检 测 诸 如 端 口 扫 描 之 类 的 潜 在 危 险 活 动 尤 其 有 用 它 们 还 会 帮 助 您 排 查 连 接 问 题 或 可 能 的 网 络 攻 击 所 有 日 志 都 会 定 期 上 载 到 策 略 管 理 器, 在 策 略 管 理 器 中, 可 以 使 用 它 们 进 行 整 体 安 全 分 析 这 些 上 载 在 每 次 心 跳 时 发 生 您 还 可 以 使 用 代 理 日 志 进 行 回 溯, 回 溯 让 您 能 够 使 用 ICMP 来 确 定 您 的 计 算 机 与 另 一 台 计 算 机 上 的 入 侵 者 之 间 的 所 有 跃 点 查 看 日 志 在 代 理 上 查 看 日 志 : 1. 执 行 下 列 操 作 之 一 : o 单 击 工 具 (Tools) 日 志 (Logs) o 在 工 具 栏 上, 单 击 日 志 (Logs) 图 标 旁 边 的 下 拉 箭 头 注 意 : 单 击 日 志 (Logs) 图 标 可 显 示 最 近 查 看 过 的 日 志 65
Symantec Protection Agent 安 装 使 用 指 南 2. 单 击 下 列 某 个 日 志 类 型 : 安 全 日 志 (Security Log) 通 信 日 志 (Traffic Log) 数 据 包 日 志 (Packet Log) 系 统 日 志 (System Log) 或 行 为 日 志 (Behavior Log) 每 个 日 志 都 将 打 开 日 志 查 看 器 (Log Viewer) 对 话 框 日 志 查 看 器 (Log Viewer) 是 一 张 数 据 表, 其 中 每 一 行 代 表 一 个 记 录 的 事 件, 而 列 显 示 关 于 该 事 件 的 信 息 有 关 每 种 日 志 的 图 标 和 参 数 之 间 的 区 别 的 详 细 信 息, 请 参 见 安 全 日 志 通 信 日 志 数 据 包 日 志 系 统 日 志 和 行 为 日 志 3. 在 日 志 查 看 器 (Log Viewer) 对 话 框 中, 单 击 查 看 (View) 菜 单, 然 后 单 击 本 地 视 图 (Local View)( 默 认 设 置 ), 或 者 源 视 图 (Source View) 根 据 您 选 择 的 是 本 地 视 图 还 是 源 视 图, 日 志 中 的 字 段 会 有 所 不 同 4. 在 查 看 (View) 菜 单 中, 可 单 击 其 他 日 志 名 称 ( 如 果 愿 意 ) 5. 单 击 刷 新 (Refresh) 或 按 F5 以 更 新 正 在 查 看 的 日 志 6. 单 击 文 件 (File) 退 出 (Exit) 来 关 闭 日 志 通 信 日 志 无 论 何 时 计 算 机 通 过 网 络 进 行 连 接, 这 个 事 务 都 将 记 录 在 通 信 日 志 中 通 信 日 志 的 图 标 打 开 通 信 日 志 时, 图 标 会 显 示 在 第 一 列 的 左 侧 它 们 是 每 一 行 中 记 录 的 通 信 种 类 的 图 形 表 示 形 式, 通 过 它 们, 您 可 以 轻 松 浏 览 通 信 日 志 通 信 日 志 包 括 关 于 传 入 和 传 出 通 信 的 信 息 表 9. 图 标 通 信 日 志 图 标 传 入 通 信 ; 已 通 过 代 理 传 入 通 信 ; 已 被 代 理 禁 止 传 出 通 信 ; 已 通 过 代 理 传 出 通 信 ; 已 被 代 理 禁 止 通 信 方 向 未 知 ; 已 通 过 代 理 通 信 方 向 未 知 ; 已 被 代 理 禁 止 说 明 66
监 控 和 日 志 记 录 通 信 日 志 参 数 和 说 明 记 录 的 事 件 所 使 用 的 列 包 括 以 下 这 些 : 表 10. 通 信 日 志 参 数 和 说 明 参 数 名 称 说 明 时 间 (Time) 操 作 (Action) 严 重 性 (Severity) 记 录 事 件 的 确 切 日 期 和 时 间 代 理 采 取 的 操 作 : 已 禁 止 已 询 问 或 已 允 许 通 信 的 严 重 性 方 向 (Direction) 通 信 的 传 送 方 向 ( 传 入 或 传 出 ) 协 议 (Protocol) 远 程 主 机 (Remote Host) 远 程 MAC (Remote MAC) 远 程 端 口 /ICMP 类 型 (Remote Port/ICMP Type) 本 地 主 机 (Local Host) 本 地 MAC (Local MAC) 本 地 端 口 /ICMP 代 码 (Local Port/ICMP Code) 应 用 程 序 名 称 (Application Name) 用 户 (User) 协 议 类 型 UDP TCP 和 ICMP 远 程 计 算 机 的 名 称 ( 仅 在 本 地 视 图 中 显 示 这 是 默 认 设 置 ) 远 程 设 备 的 MAC 地 址 如 果 远 程 设 备 位 于 子 网 外 部, 则 为 路 由 器 的 MAC 地 址 ( 仅 在 本 地 视 图 中 显 示 这 是 默 认 设 置 ) 远 程 计 算 机 的 端 口 和 ICMP 类 型 ( 仅 在 本 地 视 图 中 显 示 这 是 默 认 设 置 ) 本 地 计 算 机 的 IP 地 址 ( 仅 在 本 地 视 图 中 显 示 这 是 默 认 设 置 ) 本 地 计 算 机 的 MAC 地 址 ( 仅 在 本 地 视 图 中 显 示 这 是 默 认 设 置 ) 代 理 计 算 机 上 使 用 的 端 口 和 ICMP 代 码 ( 仅 在 本 地 视 图 中 显 示 这 是 默 认 设 置 ) 与 攻 击 关 联 的 应 用 程 序 的 名 称 用 户 的 登 录 名 67
Symantec Protection Agent 安 装 使 用 指 南 表 10. 通 信 日 志 参 数 和 说 明 参 数 名 称 说 明 域 (Domain) 用 户 域 处 所 (Location) 攻 击 发 生 时 生 效 的 处 所 ( 办 公 室 家 庭 VPN 等 等 ) 发 生 次 数 (Occurrences) 开 始 时 间 (Begin Time) 结 束 时 间 (End Time) 规 则 名 称 (Rule Name) 每 条 通 信 在 开 始 时 间 和 结 束 时 间 之 间 发 送 的 数 据 包 数 目 通 信 开 始 匹 配 规 则 的 时 间 通 信 停 止 匹 配 规 则 的 时 间 确 定 此 通 信 是 通 过 还 是 禁 止 的 规 则 通 信 日 志 的 说 明 和 数 据 字 段 说 明 (Description) 和 数 据 (Data) 字 段 位 于 已 记 录 事 件 的 行 下 面 如 果 单 击 某 个 事 件 行, 将 突 出 显 示 整 个 行 事 件 的 说 明 将 显 示 在 说 明 (Description) 字 段 中 数 据 包 日 志 数 据 包 日 志 捕 获 进 入 或 离 开 计 算 机 上 的 端 口 的 每 个 数 据 包 默 认 情 况 下, 在 代 理 中 数 据 包 日 志 是 禁 用 的, 因 为 它 可 能 会 很 大 您 必 须 先 启 用 数 据 包 日 志 选 项 警 报 (Option Alert): 如 果 您 看 不 到 选 项 (Options) 菜 单 项, 那 么 数 据 包 日 志 在 代 理 上 不 可 用 数 据 包 日 志 的 图 标 在 数 据 包 日 志 中 只 显 示 一 种 图 标 它 指 示 源 数 据 包 的 捕 获 表 11. 图 标 数 据 包 日 志 图 标 捕 获 到 完 整 的 数 据 包 说 明 68
监 控 和 日 志 记 录 数 据 包 日 志 参 数 和 说 明 记 录 的 事 件 所 使 用 的 列 包 括 以 下 这 些 : 表 12. 数 据 包 日 志 参 数 和 说 明 参 数 名 称 时 间 (Time) 远 程 主 机 (Remote Host) 远 程 端 口 (Remote Port) 本 地 主 机 (Local Host) 本 地 端 口 (Local Port) 源 主 机 (Source Host) 源 端 口 (Source Port) 目 标 主 机 (Destination Host) 目 标 端 口 (Destination Port) 方 向 (Direction) 操 作 (Action) 应 用 程 序 名 称 (Application Name) 记 录 数 据 包 的 确 切 日 期 和 时 间 说 明 远 程 计 算 机 的 名 称 ( 仅 在 本 地 视 图 中 显 示 这 是 默 认 设 置 ) 远 程 主 机 上 发 送 / 接 收 通 信 的 端 口 ( 仅 在 本 地 视 图 中 显 示 这 是 默 认 设 置 ) 本 地 计 算 机 的 IP 地 址 ( 仅 在 本 地 视 图 中 显 示 这 是 默 认 设 置 ) 此 数 据 包 在 代 理 计 算 机 上 使 用 的 端 口 ( 仅 在 本 地 视 图 中 显 示 这 是 默 认 设 置 ) 源 计 算 机 的 名 称 ( 仅 在 源 视 图 中 显 示 ) 源 主 机 上 发 送 / 接 收 通 信 的 端 口 ( 仅 在 源 视 图 中 显 示 ) 目 标 计 算 机 的 IP 地 址 ( 仅 在 源 视 图 中 显 示 ) 此 数 据 包 在 目 标 计 算 机 上 使 用 的 端 口 ( 仅 在 源 视 图 中 显 示 ) 通 信 的 传 送 方 向 ( 传 入 或 传 出 ) 代 理 采 取 的 操 作 : 已 禁 止 或 已 允 许 与 数 据 包 关 联 的 应 用 程 序 的 名 称 69
Symantec Protection Agent 安 装 使 用 指 南 数 据 包 日 志 的 数 据 包 解 码 和 数 据 包 转 储 在 日 志 查 看 器 (Log Viewer) 下 方 还 有 两 个 数 据 字 段, 它 们 提 供 了 关 于 所 选 事 件 的 更 多 详 细 信 息 在 数 据 包 日 志 中, 这 些 字 段 被 标 识 为 数 据 包 解 码 (Packet Decode) 和 数 据 包 转 储 (Packet Dump): 前 者 提 供 关 于 记 录 的 数 据 包 类 型 的 数 据, 后 者 记 录 实 际 的 数 据 包 系 统 日 志 系 统 日 志 记 录 所 有 操 作 更 改, 如 服 务 的 启 动 和 停 止 网 络 应 用 程 序 的 检 测 软 件 配 置 修 改 和 软 件 执 行 错 误 它 还 记 录 与 策 略 管 理 器 的 通 信, 包 括 连 接 和 下 载 系 统 日 志 中 提 供 的 所 有 信 息 还 会 实 时 显 示 在 消 息 控 制 台 中 系 统 日 志 对 于 排 查 代 理 故 障 尤 其 有 用 系 统 日 志 的 图 标 打 开 系 统 日 志 时, 图 标 会 显 示 在 第 一 列 的 左 侧 这 些 图 标 是 每 一 行 中 记 录 的 事 件 种 类 的 图 形 表 示 形 式, 通 过 它 们, 您 可 以 轻 松 浏 览 系 统 日 志, 以 查 找 可 能 存 在 的 系 统 错 误 表 13. 图 标 系 统 日 志 图 标 策 略 管 理 器 出 错 警 告 ; 策 略 管 理 器 存 在 潜 在 问 题 策 略 管 理 器 的 相 关 信 息 说 明 系 统 日 志 参 数 和 说 明 记 录 的 事 件 所 使 用 的 列 包 括 以 下 这 些 : 表 14. 系 统 日 志 参 数 和 说 明 参 数 名 称 说 明 时 间 (Time) 类 型 (Type) ID 摘 要 (Summary) 记 录 事 件 的 日 期 和 时 间 事 件 类 型 可 以 为 错 误 警 告 或 信 息 错 误 日 志 指 出 源 存 在 问 题 ; 警 告 日 志 指 出 潜 在 问 题 ; 信 息 日 志 提 供 涉 及 代 理 的 事 件 的 相 关 信 息 代 理 为 事 件 分 配 的 ID 事 件 的 摘 要 说 明 70
系 统 日 志 的 说 明 和 数 据 字 段 监 控 和 日 志 记 录 说 明 (Description) 和 数 据 (Data) 字 段 位 于 已 记 录 事 件 的 行 下 面 如 果 单 击 某 个 事 件 行, 将 突 出 显 示 整 个 行 事 件 的 说 明, 如 成 功 安 装 了 WsProcessSensor...(Install WsProcessSensor successful...), 将 显 示 在 说 明 (Description) 字 段 中 安 全 日 志 安 全 日 志 记 录 了 对 您 的 计 算 机 发 起 的 潜 在 危 险 的 活 动, 如 端 口 扫 描 或 拒 绝 服 务 攻 击 安 全 日 志 可 能 是 代 理 中 最 重 要 的 日 志 文 件 安 全 日 志 的 图 标 打 开 安 全 日 志 时, 图 标 会 显 示 在 第 一 列 的 左 侧 这 些 图 标 是 每 一 行 中 记 录 的 攻 击 种 类 的 图 形 表 示 形 式 通 过 它 们, 您 可 以 轻 松 浏 览 安 全 日 志, 以 查 找 可 能 存 在 的 系 统 错 误 表 15. 图 标 安 全 日 志 图 标 严 重 攻 击 重 要 攻 击 次 要 攻 击 信 息 说 明 安 全 日 志 参 数 和 说 明 记 录 的 事 件 所 使 用 的 列 包 括 以 下 这 些 : 表 16. 安 全 日 志 参 数 和 说 明 参 数 名 称 说 明 时 间 (Time) 安 全 类 型 (Security Type) 严 重 性 (Severity) 记 录 事 件 的 确 切 日 期 和 时 间 安 全 警 报 的 类 型 ( 例 如 :DoS 攻 击 可 执 行 文 件 死 亡 之 Ping) 攻 击 的 严 重 性 ( 严 重 重 要 次 要 或 信 息 ) 71
Symantec Protection Agent 安 装 使 用 指 南 表 16. 安 全 日 志 参 数 和 说 明 参 数 名 称 方 向 (Direction) 协 议 (Protocol) 源 主 机 (Source Host) 源 MAC (Source MAC) 目 标 主 机 (Destination Host) 目 标 MAC (Destination MAC) 远 程 主 机 (Remote Host) 远 程 MAC (Remote MAC) 本 地 主 机 (Local Host) 本 地 MAC (Local MAC) 应 用 程 序 名 称 (Application Name) 说 明 通 信 传 输 的 方 向 ( 传 入 传 出 或 未 知 ) 大 部 分 攻 击 是 传 入 通 信, 即 它 们 从 另 一 台 计 算 机 上 发 起 其 他 攻 击 ( 如 特 洛 伊 木 马 ) 是 下 载 到 您 的 计 算 机 的 程 序, 因 此 它 们 已 经 存 在 它 们 被 认 为 是 传 出 通 信 还 有 一 些 攻 击 方 向 是 未 知 的, 它 们 包 括 活 动 响 应 或 应 用 程 序 可 执 行 的 更 改 协 议 类 型 UDP TCP 和 ICMP 源 计 算 机 的 名 称 ( 仅 在 源 视 图 中 显 示 ) 源 计 算 机 的 MAC 地 址 ( 仅 在 源 视 图 中 显 示 ) 目 标 计 算 机 的 IP 地 址 ( 仅 在 源 视 图 中 显 示 ) 目 标 计 算 机 的 MAC 地 址 ( 仅 在 源 视 图 中 显 示 ) 远 程 计 算 机 的 名 称 ( 仅 在 本 地 视 图 中 显 示 这 是 默 认 设 置 ) 远 程 设 备 的 MAC 地 址 如 果 远 程 设 备 位 于 子 网 外 部, 则 为 路 由 器 的 MAC 地 址 ( 仅 在 本 地 视 图 中 显 示 这 是 默 认 设 置 ) 本 地 计 算 机 的 IP 地 址 ( 仅 在 本 地 视 图 中 显 示 这 是 默 认 设 置 ) 本 地 计 算 机 的 MAC 地 址 ( 仅 在 本 地 视 图 中 显 示 这 是 默 认 设 置 ) 与 攻 击 关 联 的 应 用 程 序 的 名 称 72
监 控 和 日 志 记 录 表 16. 安 全 日 志 参 数 和 说 明 参 数 名 称 用 户 名 (User Name) 域 (Domain) 处 所 (Location) 发 生 次 数 (Occurrences) 开 始 时 间 (Begin Time) 结 束 时 间 (End Time) 说 明 发 送 或 接 收 通 信 的 用 户 或 计 算 机 客 户 端 用 户 域 攻 击 发 生 时 生 效 的 处 所 ( 办 公 室 家 庭 VPN 等 等 ) 该 攻 击 方 法 的 发 生 次 数 攻 击 开 始 的 时 间 攻 击 结 束 的 时 间 安 全 日 志 的 说 明 和 数 据 字 段 说 明 (Description) 和 数 据 (Data) 字 段 位 于 已 记 录 事 件 的 行 下 面 如 果 单 击 某 个 事 件 行, 将 突 出 显 示 整 个 行 事 件 的 说 明, 如 有 人 正 在 扫 描 您 的 计 算 机, 发 起 了 13 次 尝 试 (Somebody is scanning your computer, with 13 attempts), 将 显 示 在 说 明 (Description) 字 段 中 行 为 日 志 您 的 管 理 员 可 能 已 经 在 策 略 管 理 器 上 设 置 了 一 些 操 作 系 统 保 护 规 则 操 作 系 统 保 护 策 略 是 具 有 以 下 功 能 的 安 全 规 则 和 设 置 : 保 护 注 册 表, 保 护 特 定 文 件 或 目 录, 控 制 进 程 DLL 以 及 应 用 程 序 执 行 行 为 日 志 专 门 记 录 某 个 应 用 程 序 的 行 为 活 动 它 记 录 某 个 应 用 程 序 访 问 的 注 册 表 键 文 件 和 DLL 以 及 它 运 行 的 应 用 程 序 如 果 某 个 应 用 程 序 执 行 超 出 其 允 许 范 围 的 活 动, 那 么 它 将 被 禁 止 例 如,Web 服 务 器 为 网 页 提 供 服 务 它 不 应 该 向 您 的 系 统 文 件 夹 复 制 文 件 行 为 日 志 中 提 供 的 所 有 信 息 都 是 由 于 操 作 系 统 保 护 规 则 而 记 录 的 下 表 说 明 了 这 些 字 段 73
Symantec Protection Agent 安 装 使 用 指 南 表 17. 代 理 行 为 日 志 参 数 和 说 明 参 数 名 称 严 重 性 (Severity) 操 作 (Action) 模 式 (Mode) 说 明 (Description) VAPI 类 名 (VAPI Class Name) 时 间 (Time) 规 则 名 称 (Rule Name) 呼 叫 者 进 程 ID (Caller Process ID) 呼 叫 者 进 程 名 (Caller Process Name) 参 数 (Parameter) 处 所 名 (Location Name) 用 户 名 (User Name) 域 名 (Domain Name) 说 明 行 为 的 严 重 性 选 项 有 : 严 重 (Severe) 重 要 (Critical) 次 要 (Minor) 和 信 息 (Information) 代 理 采 取 的 操 作 : 已 禁 止 或 已 允 许 忽 略 ( 规 则 被 触 发, 但 它 是 纯 粹 的 日 志 记 录 规 则 ) 终 止 ( 进 程 被 终 止 ) 正 常 或 测 试 代 理 上 的 行 为 的 说 明 导 致 记 录 此 行 为 的 API 的 名 称 记 录 事 件 的 确 切 日 期 和 时 间 导 致 记 录 此 行 为 的 规 则 名 称 触 发 日 志 记 录 的 进 程 的 ID 发 出 错 误 的 进 程 的 名 称 在 API 调 用 中 使 用 的 参 数, 该 参 数 转 换 成 字 符 串 并 且 通 过 空 格 字 符 隔 开 应 用 程 序 登 录 到 的 处 所 的 名 称 代 理 计 算 机 或 用 户 的 名 称 代 理 所 在 的 策 略 管 理 器 域 的 名 称 74
行 为 日 志 的 说 明 和 数 据 字 段 监 控 和 日 志 记 录 说 明 (Description) 和 数 据 (Data) 字 段 位 于 已 记 录 事 件 的 行 下 面 如 果 单 击 某 个 事 件 行, 将 突 出 显 示 整 个 行 事 件 的 说 明 将 显 示 在 说 明 (Description) 字 段 中 启 用 和 清 除 日 志 选 项 警 报 (Option Alert): 此 选 项 只 在 客 户 端 控 制 和 超 级 用 户 模 式 中 可 用 默 认 情 况 下, 启 用 安 全 通 信 行 为 和 系 统 日 志 您 必 须 启 用 数 据 包 日 志 之 后 才 能 查 看 其 中 的 内 容 启 用 日 志 并 设 置 日 志 的 大 小 : 1. 在 工 具 (Tools) 菜 单 上, 单 击 选 项 (Options) 2. 单 击 日 志 (Log) 选 项 卡 3. 单 击 相 应 的 日 志 复 选 框 以 将 其 启 用 4. 单 击 相 应 的 日 志 文 件 最 大 大 小 是 (Maximum Log File Size is) 字 段 并 输 入 日 志 文 件 的 大 小 ( 以 千 字 节 为 单 位 ) 默 认 设 置 是 256 KB 5. 单 击 确 定 (OK) 设 置 保 存 日 志 的 天 数 : 1. 在 工 具 (Tools) 菜 单 上, 单 击 选 项 (Options) 2. 单 击 日 志 (Log) 选 项 卡 3. 单 击 相 应 的 日 志 复 选 框 以 将 其 启 用 4. 为 要 配 置 的 日 志 单 击 保 存 过 去 多 少 天 的 日 志 文 件 (Save log file for the past) 字 段 5. 输 入 天 数 6. 单 击 确 定 (OK) 清 除 日 志 : 1. 在 每 个 日 志 中, 单 击 文 件 (File) 选 项 (Options) 2. 请 确 保 选 择 了 日 志 (Log) 选 项 卡 3. 为 要 清 除 的 日 志 单 击 清 除 日 志 (Clear Logs) 按 钮 注 意 : 对 于 每 个 日 志, 您 还 可 以 单 击 文 件 (File) 清 除 (Clear) 75
Symantec Protection Agent 安 装 使 用 指 南 回 溯 记 录 的 事 件 使 用 回 溯 可 以 指 出 记 录 的 事 件 中 的 数 据 的 来 源 就 像 在 犯 罪 现 场 追 溯 犯 罪 的 路 线, 回 溯 可 以 显 示 传 入 通 信 在 到 达 您 的 计 算 机 之 前 经 历 的 确 切 步 骤 图 18. 回 溯 数 据 包 回 溯 是 反 向 跟 踪 数 据 包 的 过 程, 目 的 是 找 出 该 数 据 是 使 用 哪 个 路 由 器 到 达 您 的 计 算 机 的 在 安 全 日 志 条 目 中, 您 可 以 跟 踪 攻 击 尝 试 中 使 用 的 数 据 包 数 据 包 通 过 的 每 个 路 由 器 都 有 一 个 IP 地 址, 这 个 IP 地 址 在 跟 踪 路 由 (Trace Route) 字 段 中 提 供 您 可 以 在 安 全 通 信 和 系 统 日 志 中 回 溯 记 录 的 事 件 回 溯 记 录 的 事 件 : 1. 打 开 日 志 文 件, 然 后 单 击 一 个 事 件 以 选 中 整 个 行 2. 右 键 单 击, 然 后 单 击 回 溯 (BackTrace), 或 者 单 击 操 作 (Action) 回 溯 (BackTrace) 代 理 将 开 始 回 溯 事 件 将 显 示 回 溯 信 息 (Back Trace Information) 对 话 框 跟 踪 路 由 (Trace route) 字 段 提 供 详 细 信 息, 如 代 理 记 录 的 数 据 包 生 成 的 每 个 跃 点 上 的 IP 地 址 跃 点, 通 常 是 路 由 器, 是 一 种 转 换 点, 信 息 数 据 包 在 公 共 网 络 ( 如 Internet) 上 从 一 台 计 算 机 到 达 另 一 台 计 算 机 时 要 通 过 它 3. 要 查 看 每 个 跃 点 上 的 详 细 信 息, 请 单 击 用 户 >> (WhoIs>>) 按 钮 76
监 控 和 日 志 记 录 一 个 下 拉 面 板 将 显 示 发 起 该 通 信 事 件 的 IP 地 址 所 有 者 的 详 细 信 息 请 注 意, 显 示 的 信 息 并 不 能 保 证 您 找 到 了 谁 是 真 正 的 黑 客 最 终 跃 点 的 IP 地 址 列 出 了 黑 客 通 过 它 进 行 连 接 的 路 由 器 的 所 有 者, 但 不 一 定 是 黑 客 本 身 4. 再 次 单 击 其 中 一 个 用 户 << (WhoIs<<) 按 钮 来 隐 藏 该 信 息 注 意 : 您 可 以 剪 切 和 粘 贴 详 细 信 息 (Detail information) 面 板 中 的 信 息, 方 法 是 : 按 Ctrl+C 将 该 信 息 复 制 到 剪 贴 板 中, 然 后 将 其 粘 贴 (Ctrl+V) 到 电 子 邮 件 中 以 发 给 系 统 管 理 员 不 建 议 与 详 细 信 息 (Detail information) 面 板 中 列 出 的 人 进 行 联 系, 除 非 您 的 安 全 日 志 中 有 大 量 攻 击 是 从 某 个 特 定 IP 地 址 发 起 的 5. 单 击 确 定 (OK) 以 返 回 到 日 志 查 看 器 (Log Viewer) 对 话 框 过 滤 记 录 的 事 件 在 日 志 查 看 器 (Log Viewer) 对 话 框 中 打 开 某 个 日 志 后, 可 以 根 据 攻 击 的 严 重 级 别 和 以 前 的 时 间 段 在 日 志 查 看 器 中 查 看 记 录 的 事 件 按 严 重 性 过 滤 日 志 事 件 : 1. 在 日 志 查 看 器 (Log Viewer) 对 话 框 中, 单 击 过 滤 器 (Filter) 菜 单 2. 单 击 严 重 性 (Severity) 即 会 出 现 严 重 性 (Severity) 子 菜 单 3. 单 击 严 重 性 级 别, 以 便 严 重 性 级 别 名 称 左 侧 显 示 一 个 选 中 标 记 可 选 择 下 列 选 项 : o 严 重 (Critical)( 仅 限 安 全 日 志 ) o 重 要 (Major) o 次 要 (Minor) o 错 误 (Error)( 仅 限 系 统 日 志 ) o 警 告 (Warning)( 仅 限 系 统 日 志 ) o 信 息 (Information) 您 可 以 一 次 查 看 多 个 事 件 类 型 日 志 查 看 器 会 自 动 重 新 加 载 按 时 间 段 过 滤 日 志 事 件 : 1. 在 日 志 查 看 器 (Log Viewer) 对 话 框 中, 单 击 过 滤 器 (Filter) 菜 单 2. 选 择 要 查 看 哪 个 时 间 段 的 日 志 事 件 例 如,2 周 的 日 志 (2 Week Logs) 会 显 示 在 过 去 14 天 内 记 录 的 事 件 该 日 志 自 动 显 示 所 请 求 的 事 件 77
Symantec Protection Agent 安 装 使 用 指 南 保 存 日 志 日 志 的 内 容 可 以 保 存 到 其 他 位 置 您 可 能 想 要 执 行 此 操 作 来 节 省 空 间, 但 是 更 有 可 能 是 为 了 将 日 志 发 送 给 系 统 管 理 员 进 行 安 全 审 阅, 或 将 它 们 导 入 到 Microsoft Excel 等 工 具 中 保 存 日 志 文 件 : 1. 在 日 志 查 看 器 中 打 开 日 志 2. 单 击 文 件 (File) 导 出 (Export) 3. 在 另 存 为 (Save As) 对 话 框 中, 为 该 日 志 文 件 选 择 位 置 4. 单 击 确 定 (OK) 停 止 活 动 响 应 在 代 理 上 检 测 到 的 任 何 安 全 攻 击 都 将 触 发 活 动 响 应 活 动 响 应 在 特 定 时 间 内 自 动 禁 止 已 知 入 侵 者 的 IP 地 址 长 达 ( 默 认 值 是 10 分 钟 ) 如 果 您 不 想 等 待 默 认 的 时 间 再 解 除 禁 止 该 IP 地 址, 那 么 您 可 以 立 即 停 止 活 动 响 应 系 统 管 理 员 在 策 略 管 理 器 中 设 置 默 认 的 时 间 您 只 能 在 安 全 日 志 中 停 止 活 动 响 应 停 止 活 动 响 应 : 1. 在 主 控 制 台 上, 单 击 工 具 (Tools) 日 志 (Logs) 安 全 (Security) 2. 选 择 您 要 解 除 禁 止 的 应 用 程 序 或 服 务 对 应 的 行 被 禁 止 的 通 信 在 操 作 (Action) 列 中 被 指 定 为 已 禁 止 (Blocked) 3. 在 操 作 (Action) 菜 单 中, 单 击 停 止 活 动 的 响 应 (Stop Active Response) 可 禁 止 所 选 的 应 用 程 序, 或 者 如 果 您 希 望 解 除 禁 止 所 有 禁 止 的 通 信, 请 单 击 停 止 所 有 活 动 的 响 应 (Stop All Active Response) 4. 当 活 动 响 应 (Active Response) 对 话 框 出 现 时, 请 单 击 确 定 (OK) 响 应 访 问 状 态 弹 出 消 息 选 项 警 报 (Option Alert): 在 您 的 控 制 模 式 中, 此 选 项 可 能 不 可 用 如 果 您 ( 或 系 统 管 理 员 ) 将 应 用 程 序 的 权 限 状 态 设 置 为 询 问 (Ask) 或 禁 止 (Block), 那 么 当 传 入 的 应 用 程 序 要 访 问 您 的 计 算 机 时, 将 显 示 一 条 应 用 程 序 弹 出 消 息 您 可 以 按 照 如 下 方 式 响 应 该 弹 出 消 息 78
监 控 和 日 志 记 录 表 18. 代 理 应 用 程 序 访 问 状 态 如 果 单 击 如 果 选 中 请 记 住 答 案...(Remember my answer...) 框? 代 理 将 会... 是 (Yes) 是 (Yes) 允 许 该 应 用 程 序, 并 不 再 询 问 是 (Yes) 否 (No) 允 许 该 应 用 程 序, 并 每 次 都 询 问 否 (No) 是 (Yes) 禁 止 该 应 用 程 序, 并 每 次 都 询 问 否 (No) 否 (No) 禁 止 该 应 用 程 序, 并 不 再 询 问. 要 更 改 应 用 程 序 的 访 问 状 态, 您 可 以 从 应 用 程 序 (Applications) 列 表 中 更 改 其 状 态 79
Symantec Protection Agent 安 装 使 用 指 南 80
词 汇 表 # 802.1x 验 证 : 通 过 有 线 或 无 线 LAN 传 递 EAP 的 标 准 Symantec LAN Enforcer 是 用 于 对 通 过 支 持 802.1x 验 证 的 交 换 机 或 无 线 接 入 点 连 接 到 LAN 的 客 户 端 强 制 执 行 标 准 请 参 见 LAN Enforcer A Active Directory: 一 种 Microsoft Windows 目 录 服 务, 可 在 Microsoft Windows Active Directory 服 务 器 上 保 留 有 关 连 接 网 络 的 对 象 的 信 息 Active Directory 使 网 络 用 户 只 需 登 录 一 次, 即 可 使 用 网 络 上 任 何 位 置 的 资 源 ( 用 户 已 被 授 权 访 问 这 些 资 源 ) 策 略 管 理 器 可 以 从 Active Directory 服 务 器 中 导 入 用 户 另 请 参 见 目 录 服 务 器 LDAP 安 全 策 略 : 已 应 用 于 特 定 组 以 保 护 企 业 的 计 算 完 整 性 的 所 有 安 全 规 则 和 设 置 的 组 合 安 全 策 略 可 包 括 关 于 以 下 内 容 的 规 则 : 允 许 的 应 用 程 序 连 接 类 型 VPN 以 太 网 无 线 以 及 某 组 织 要 强 制 执 行 的 任 何 其 他 限 制 或 规 格 另 请 参 见 操 作 系 统 保 护 防 火 墙 规 则 主 机 完 整 性 策 略 B 本 地 数 据 库 : 与 Symantec Policy Manager 安 装 在 同 一 计 算 机 上 的 嵌 入 数 据 库 或 SQL 数 据 库 如 果 使 用 的 是 嵌 入 数 据 库, 则 总 是 在 本 地 安 装 另 请 参 见 远 程 数 据 库 本 地 IP 地 址 : 从 代 理 的 角 度 看, 用 户 正 在 使 用 的 计 算 机 的 IP 地 址 另 请 参 见 IP 地 址 本 地 端 口 : 从 代 理 的 角 度 看, 正 用 于 此 连 接 的 计 算 机 上 的 端 口 另 请 参 见 端 口 本 地 站 点 : 您 已 登 录 的 控 制 台 所 在 的 策 略 管 理 器 报 告 : 由 一 个 标 准 集 定 义 的 一 组 记 录, 经 过 汇 总 和 组 织 而 成 为 可 读 文 档 生 成 的 报 告 可 包 括 实 时 信 息, 例 如 所 有 警 报 登 录 接 受 和 禁 止 的 客 户 端 执 行 的 应 用 程 序 和 其 他 摘 要 病 毒 : 一 种 可 以 自 己 从 一 台 计 算 机 传 播 到 另 一 台 计 算 机 的 程 序, 可 通 过 破 坏 或 删 除 数 据 消 耗 可 用 内 存 或 更 改 数 据 以 干 扰 用 户 的 方 式 来 潜 在 地 破 坏 系 统 病 毒 被 设 计 为 是 可 复 制 的 通 常, 它 通 过 感 染 其 他 文 件 来 进 行 传 播 81
Symantec Protection Agent 安 装 使 用 指 南 C Computers 组 : 可 将 客 户 端 添 加 到 Users 组 或 Computers 组 中 添 加 到 Computers 组 中 的 客 户 端 具 有 与 该 客 户 端 从 中 连 接 到 企 业 网 络 的 计 算 机 相 关 的 安 全 策 略 例 如, 在 开 放 区 域 中 由 多 个 用 户 使 用 的 计 算 机 都 将 分 配 更 严 格 的 安 全 性, 无 论 是 哪 个 用 户 登 录 另 请 参 见 客 户 端 Global 组 Users 组 处 所 : 一 组 Symantec Policy Manager 通 过 与 策 略 管 理 器 的 连 续 通 信 发 送 给 每 个 Symantec Agent 的 名 为 适 配 安 全 策 略 的 规 则 和 规 定 可 将 客 户 端 分 配 给 特 定 的 组, 这 些 组 可 以 有 一 个 或 多 个 与 其 关 联 的 处 所 当 客 户 端 登 录 时, 代 理 软 件 会 根 据 网 络 设 置 来 确 定 使 用 哪 个 处 所 ( 从 而 确 定 使 用 哪 些 安 全 策 略 ) 另 请 参 见 网 络 设 置 操 作 系 统 指 纹 掩 盖 : 仅 适 用 于 Symantec Sygate Enterprise Protection 一 种 高 级 防 火 墙 策 略 设 置, 可 防 止 程 序 检 测 正 运 行 代 理 的 计 算 机 的 操 作 系 统 当 启 用 了 操 作 系 统 指 纹 掩 盖 时, 防 护 代 理 会 修 改 TCP/IP 数 据 包, 这 样 便 无 法 确 定 其 操 作 系 统 操 作 系 统 保 护 : 仅 适 用 于 Symantec Sygate Enterprise Protection 可 提 供 多 种 防 护 的 策 略, 如 文 件 防 护 注 册 表 防 护 过 程 执 行 防 护 设 备 禁 止 和 应 用 程 序 强 制 执 行 另 请 参 见 操 作 系 统 保 护 模 板 操 作 系 统 保 护 模 板 : 仅 适 用 于 Symantec Sygate Enterprise Protection Symantec 专 门 为 强 化 台 式 机 或 服 务 器 ( 如 Apache DHCP IIS 或 SQL 服 务 器 ) 而 开 发 的 操 作 系 统 保 护 策 略 如 果 您 的 许 可 证 包 括 联 机 订 购, 则 当 Symantec 推 出 新 的 模 板 时, 您 就 可 以 访 问 它 们 另 请 参 见 操 作 系 统 保 护 出 站 通 信 : 从 本 地 计 算 机 发 起 的 通 信 另 请 参 见 入 站 通 信 策 略 : 请 参 见 安 全 策 略 策 略 库 : 集 中 管 理 的 资 源 池, 可 用 于 为 组 和 处 所 定 义 全 面 的 安 全 策 略 它 位 于 策 略 (Policies) 选 项 卡 上 策 略 管 理 器 列 表 : 包 括 代 理 和 Enforcer 在 安 装 后 可 连 接 到 的 所 有 策 略 管 理 器 的 列 表 列 表 按 优 先 级 的 顺 序 排 列 超 级 用 户 模 式 : 一 种 防 护 代 理 功 能, 可 允 许 特 权 用 户 或 具 有 提 升 权 限 的 用 户 自 定 义 其 个 人 计 算 机 上 的 安 全 设 置, 同 时 允 许 策 略 管 理 器 保 留 对 其 计 算 机 配 置 的 部 分 控 制 权 另 请 参 见 客 户 端 控 制 服 务 器 控 制 传 输 控 制 协 议 /Internet 协 议 (TCP/IP): 每 个 Internet 用 户 和 每 个 Internet 服 务 器 用 户 在 网 络 上 进 行 通 信 和 传 输 数 据 时 所 使 用 的 Internet 协 议 TCP 可 将 数 据 打 包 成 可 通 过 Internet 发 送 并 可 在 其 目 标 处 重 组 的 数 据 包 IP 可 处 理 对 每 个 数 据 包 的 寻 址 和 路 由, 以 便 将 其 发 送 到 正 确 的 目 标 82
词 汇 表 触 发 器 : 仅 适 用 于 Symantec Sygate Enterprise Protection 可 使 防 火 墙 规 则 生 效 的 事 件 在 创 建 规 则 时, 可 以 分 配 会 导 致 防 护 代 理 以 特 定 方 式 做 出 响 应 的 特 定 触 发 器, 并 指 定 当 触 发 器 活 动 时 应 采 取 的 操 作 例 如, 您 可 以 禁 止 来 自 特 定 IP 地 址 的 所 有 通 信 或 在 一 天 的 某 几 个 小 时 内 的 通 信 可 将 触 发 器 链 接 到 特 定 的 应 用 程 序 主 机 调 度 和 服 务 DES: 请 参 见 数 据 加 密 标 准 (DES) DHCP: 请 参 见 动 态 主 机 配 置 协 议 (DHCP) D DHCP Enforcer: 用 于 通 过 动 态 主 机 配 置 协 议 (DHCP) 服 务 器 接 收 动 态 IP 地 址 来 获 取 LAN 访 问 的 内 部 客 户 端 强 制 执 行 的 Symantec Enforcer 运 行 Symantec Agent 并 且 符 合 主 机 完 整 性 要 求 的 客 户 端 可 接 收 普 通 网 络 配 置, 否 则 客 户 端 将 接 收 隔 离 区 网 络 配 置 DLL: 动 态 链 接 库,Windows 应 用 程 序 所 使 用 的 功 能 或 数 据 的 列 表 大 多 数 DLL 的 文 件 扩 展 名 为.dll.ocx.exe.drv 或.fon DoS 攻 击 : 请 参 见 拒 绝 服 务 (DoS) 代 理 : 运 行 Symantec Protection Agent 或 Symantec Enforcement Agent 软 件 的 计 算 机 也 称 为 代 理 防 护 代 理 可 以 受 客 户 端 控 制 也 可 以 受 服 务 器 控 制, 并 且 受 到 防 火 墙 操 作 系 统 保 护 和 主 机 完 整 性 策 略 的 保 护 强 制 执 行 代 理 可 受 到 主 机 完 整 性 策 略 的 保 护 另 请 参 见 客 户 端 客 户 端 控 制 服 务 器 控 制 Symantec Protection Agent Symantec Enforcement Agent 动 态 主 机 配 置 协 议 (DHCP): 一 种 TCP/IP 协 议, 可 提 供 对 主 机 IP 地 址 的 动 态 配 置, 并 启 用 IP 网 络 上 的 单 个 计 算 机 以 从 DHCP 服 务 器 中 提 取 配 置 参 数 利 用 DHCP, 系 统 管 理 员 可 以 从 网 络 的 中 央 位 置 管 理 和 分 发 IP 地 址 端 点 : 任 何 连 接 到 企 业 网 络 并 运 行 基 于 网 络 的 应 用 程 序 的 网 络 设 备 网 络 设 备 包 括 便 携 式 计 算 机 台 式 机 和 服 务 器 另 请 参 见 接 入 点 端 点 强 制 执 行 : 仅 适 用 于 Symantec Sygate Enterprise Protection Symantec Protection Agent 独 立 于 Symantec Enforcer 执 行 主 机 完 整 性 规 则 的 能 力 如 果 主 机 完 整 性 规 则 失 败, 则 代 理 可 采 取 操 作, 通 过 切 换 到 隔 离 区 位 置 来 禁 止 访 问 企 业 网 络, 然 后 再 发 起 适 当 的 恢 复 操 作 也 称 为 自 强 制 执 行 多 点 传 送 : 同 时 向 网 络 上 的 多 个 目 标 发 送 消 息 另 请 参 见 广 播 单 点 传 送 端 口 : 计 算 机 上 的 连 接, 通 过 该 连 接 可 物 理 连 接 与 计 算 机 之 间 传 入 和 传 出 数 据 的 设 备 端 口 从 0 到 65535 进 行 编 号 保 留 端 口 0 到 1024 以 供 某 些 特 权 服 务 使 用 另 请 参 见 验 证 端 口 本 地 端 口 远 程 端 口 源 端 口 端 口 扫 描 : 黑 客 用 来 确 定 计 算 机 的 哪 些 端 口 开 放 以 进 行 通 信 的 方 法 这 是 通 过 向 计 算 机 端 口 发 送 消 息 以 找 到 有 漏 洞 的 位 置 来 完 成 的 尽 管 端 口 扫 描 可 以 是 入 侵 尝 试 的 先 驱, 但 它 本 身 并 不 能 提 供 对 远 程 系 统 的 访 问 另 请 参 见 端 口 扫 描 检 查 83
Symantec Protection Agent 安 装 使 用 指 南 端 口 扫 描 检 查 : 仅 适 用 于 Symantec Sygate Enterprise Protection Symantec Policy Manager 上 的 一 个 入 侵 防 护 选 项, 可 监 控 所 有 被 任 何 安 全 规 则 禁 止 的 传 入 数 据 包 如 果 短 时 间 内 在 不 同 端 口 上 禁 止 了 若 干 不 同 的 数 据 包, 则 会 生 成 一 个 安 全 日 志 条 目 端 口 扫 描 检 查 不 会 禁 止 任 何 数 据 包 在 进 行 端 口 扫 描 的 情 况 下, 需 要 创 建 安 全 策 略 才 能 禁 止 通 信 E EAP: 可 扩 展 身 份 验 证 协 议 属 于 PPP 身 份 验 证 协 议, 并 为 多 个 不 同 的 验 证 方 法 提 供 一 个 概 括 性 的 框 架 EAP 可 用 于 在 请 求 者 ( 无 线 工 作 站 ) 和 验 证 服 务 器 之 间 传 递 验 证 信 息 可 根 据 EAP 的 类 型 来 定 义 和 处 理 实 际 的 验 证 作 为 验 证 者 的 接 入 点 只 是 一 个 允 许 请 求 者 与 验 证 服 务 器 进 行 通 信 的 代 理 Enforcer: 请 参 见 DHCP Enforcer Gateway Enforcer LAN Enforcer Symantec Enforcer F 防 IP 欺 骗 : 仅 适 用 于 Symantec Sygate Enterprise Protection 一 种 高 级 防 火 墙 策 略 设 置, 可 防 止 入 侵 者 利 用 伪 造 ( 或 欺 骗 ) 个 人 IP 地 址 的 能 力 另 请 参 见 IP 欺 骗 防 MAC 欺 骗 : 仅 适 用 于 Symantec Sygate Enterprise Protection 一 种 入 侵 防 护 设 置, 可 防 止 入 侵 者 利 用 伪 造 ( 或 欺 骗 ) 计 算 机 的 介 质 访 问 控 制 (MAC) 地 址 的 能 力 只 有 向 特 定 主 机 发 出 ARP( 地 址 解 析 协 议 ) 请 求 时, 防 MAC 欺 骗 才 允 许 传 入 和 传 出 ARP 通 信 它 会 禁 止 所 有 其 他 意 外 的 ARP 通 信, 并 将 其 记 录 在 安 全 日 志 中 另 请 参 见 智 能 ARP MAC 地 址 MAC 欺 骗 防 病 毒 : 用 于 检 测 恶 意 的 计 算 机 应 用 程 序 防 止 它 们 感 染 系 统 并 清 除 被 计 算 机 病 毒 感 染 的 文 件 或 应 用 程 序 的 软 件 和 技 术 Symantec Agent 软 件 可 与 防 病 毒 软 件 配 合 工 作 Enforcer 可 检 查 代 理 是 否 正 在 运 行 防 病 毒 软 件 版 本 是 否 正 确 以 及 当 前 的 病 毒 定 义 (.dat 文 件 ) 是 否 为 最 新 的 如 果 程 序 或.dat 文 件 不 是 最 新 的, 则 Enforcer 会 安 装 程 序 更 新.dat 文 件 并 将 其 启 动 另 请 参 见 病 毒 防 火 墙 : 用 于 防 止 未 经 授 权 的 Internet 用 户 访 问 专 用 网 络 的 硬 件 软 件 或 两 者 的 组 合 所 有 进 入 或 离 开 网 络 的 信 息 都 必 须 通 过 防 火 墙, 防 火 墙 会 检 查 信 息 数 据 包 并 禁 止 那 些 不 满 足 安 全 标 准 的 信 息 数 据 包 Symantec Sygate Enterprise Protection 的 Symantec Protection Agent 组 件 可 允 许 禁 止 或 询 问 是 否 允 许 传 入 通 信 访 问 组 织 的 网 络 或 资 源 使 用 防 火 墙 规 则, 代 理 可 系 统 地 对 来 自 特 定 IP 地 址 和 端 口 的 通 信 进 行 允 许 禁 止 和 询 问 问 题 另 请 参 见 防 火 墙 规 则 Symantec Protection Agent 防 火 墙 规 则 : 仅 适 用 于 Symantec Sygate Enterprise Protection 可 帮 助 确 定 某 台 计 算 机 是 否 能 够 访 问 网 络 的 规 则 例 如, 防 火 墙 规 则 可 表 述 为 允 许 端 口 80 一 种 规 则 类 型, 系 统 管 理 员 利 用 此 类 规 则 可 以 创 建 安 全 规 则, 而 无 需 定 义 优 先 级 严 重 性 触 发 器 和 事 件 例 如, 允 许 可 信 应 用 程 序 的 规 则 允 许 主 机 的 规 则 允 许 VPN 的 规 则 等 等 84
词 汇 表 分 段 数 据 包 : 被 拆 分 成 更 小 部 分 的 数 据 包, 以 便 更 有 效 地 通 过 组 织 的 网 络 或 Internet 发 送 数 据 包 在 策 略 管 理 器 中 启 用 允 许 分 段 数 据 包 后, 代 理 会 自 动 允 许 分 段 数 据 包 另 请 参 见 数 据 包 复 制 : 请 参 见 数 据 库 复 制 复 制 伙 伴 : 其 数 据 库 包 含 与 另 一 个 站 点 相 同 的 信 息 的 站 点 复 制 是 在 策 略 管 理 器 的 安 装 或 重 新 配 置 的 过 程 中 设 置 的 服 务 器 : 网 络 上 的 一 台 计 算 机, 可 管 理 一 个 或 多 个 客 户 端 的 网 络 资 源 在 本 软 件 产 品 的 环 境 中, 服 务 器 被 认 为 是 安 装 了 Symantec Policy Manager 的 计 算 机 在 本 文 档 中 称 为 策 略 管 理 器 另 请 参 见 Symantec Policy Manager 服 务 器 控 制 : 以 这 样 一 种 方 式 设 置 Symantec Protection Agent 或 Symantec Enforcer: 在 Symantec Policy Manager 上 配 置 并 控 制 客 户 端 配 置 文 件 和 设 置 本 选 项 可 提 供 比 客 户 端 控 制 或 超 级 用 户 模 式 选 项 更 加 集 中 的 管 理 控 制 另 请 参 见 客 户 端 控 制 超 级 用 户 模 式 服 务 : 一 个 网 络 端 口 UDP 端 口 IP 协 议 类 型 或 ICMP 类 型 G Gateway Enforcer: 用 于 对 通 过 VPN 无 线 LAN 或 远 程 访 问 服 务 器 (RAS) 远 程 连 接 的 外 部 计 算 机 的 接 入 点 强 制 执 行 的 Symantec Enforcer 除 非 客 户 端 正 在 运 行 Symantec Agent 并 且 符 合 主 机 完 整 性 要 求, 否 则 它 可 以 禁 止 客 户 端 的 访 问 另 请 参 见 强 制 执 行 Global 组 : 在 包 含 一 个 默 认 组 Temporary 组 和 其 他 由 管 理 员 创 建 的 组 的 网 络 中 处 于 最 高 位 置 的 组 它 可 包 含 并 控 制 网 络 上 所 有 代 理 的 属 性 默 认 情 况 下, 其 他 所 有 组 都 会 继 承 Global 组 的 安 全 策 略 另 请 参 见 Computers 组 组 继 承 Users 组 GUID: 全 局 唯 一 标 识 符 请 参 见 唯 一 ID 广 播 : 向 网 络 上 的 每 个 人 发 送 数 据 包 另 请 参 见 多 点 传 送 单 点 传 送 隔 离 区 (DMZ): 一 种 由 可 承 载 Internet 服 务 并 具 有 可 访 问 Internet 的 设 备 的 公 司 使 用 的 安 全 措 施 ;DMZ 是 Internet 与 内 部 网 络 之 间 的 一 个 区 域, 可 使 用 防 火 墙 或 网 关 来 防 止 未 经 授 权 访 问 内 部 公 司 网 络 Symantec Enforcer 可 在 提 供 有 限 网 络 访 问 的 DMZ 中 运 行, 因 此 如 果 必 要, 代 理 可 以 连 接 到 服 务 器 以 更 新 其 系 统 故 障 转 移 : 一 种 备 用 操 作, 如 果 主 系 统 发 生 故 障, 则 自 动 切 换 到 备 用 系 统 故 障 转 移 会 自 动 将 来 自 失 败 系 统 的 请 求 重 定 向 到 备 用 系 统 例 如, 您 可 以 在 不 同 的 计 算 机 上 安 装 多 个 Symantec Enforcer 和 Symantec Policy Manager 以 实 现 故 障 转 移 如 果 其 中 一 台 计 算 机 发 生 故 障, 则 在 独 立 计 算 机 上 安 装 的 另 一 个 策 略 管 理 器 或 Enforcer 会 自 动 将 客 户 端 连 接 到 公 司 网 络 另 请 参 见 数 据 库 复 制 过 滤 日 志 : 从 记 录 的 信 息 中 查 看 所 选 信 息 例 如, 可 以 设 置 一 个 过 滤 器, 以 便 只 查 看 禁 止 的 通 信 重 要 信 息 或 在 过 去 一 天 中 发 生 并 记 录 的 事 件 另 请 参 见 日 志 85
Symantec Protection Agent 安 装 使 用 指 南 管 理 服 务 器 : 现 在 被 称 为 策 略 管 理 器 请 参 见 Symantec Policy Manager 规 则 继 承 : 仅 适 用 于 Symantec Sygate Enterprise Protection 即 使 没 有 继 承 其 他 设 置 和 策 略, 也 可 以 从 其 父 组 中 继 承 为 子 组 创 建 的 策 略 中 的 防 火 墙 规 则 H 活 动 响 应 : 在 特 定 时 间 内 自 动 禁 止 已 知 入 侵 者 的 IP 地 址 的 能 力 可 将 防 护 代 理 禁 止 入 侵 者 的 IP 地 址 的 时 间 修 改 为 从 1 到 65,000 秒 之 间 的 任 何 间 隔 回 溯 : 一 种 使 用 ICMP 来 确 定 您 的 计 算 机 与 另 一 台 计 算 机 上 的 入 侵 者 之 间 的 所 有 跃 点 的 方 法 另 请 参 见 Internet 控 制 消 息 协 议 (ICMP) 缓 冲 区 溢 出 : 应 用 程 序 会 留 出 内 存 的 部 分 区 域, 即 缓 冲 区, 以 用 作 存 储 区 ; 通 常 只 为 缓 冲 区 留 出 有 限 的 内 存 当 应 用 程 序 尝 试 存 储 超 出 固 定 大 小 的 缓 冲 区 所 能 容 纳 的 数 据 时, 就 会 发 生 缓 冲 区 溢 出 如 果 入 侵 者 能 够 发 送 超 出 固 定 大 小 的 应 用 程 序 缓 冲 区 的 数 据, 而 应 用 程 序 未 进 行 检 查 以 确 保 这 种 情 况 不 会 发 生, 则 会 发 生 缓 冲 区 溢 出 攻 击 通 过 使 用 可 执 行 代 码 使 缓 冲 区 溢 出, 入 侵 者 可 使 用 已 授 予 应 用 程 序 的 权 限, 导 致 应 用 程 序 执 行 意 外 的 且 通 常 是 恶 意 的 操 作 环 境 规 格 : 例 如 注 册 表 设 置 正 在 运 行 的 应 用 程 序 文 件 属 性 ( 如 使 用 期 限 大 小 版 本 等 ) 的 信 息 可 将 环 境 规 格 用 于 主 机 完 整 性 设 置 环 境 变 量 : 相 对 于 当 前 环 境 而 定 义 的 一 个 字 符 串 ( 如 驱 动 器 路 径 或 文 件 名 称 ), 与 Windows 所 使 用 的 符 号 名 相 关 联 使 用 环 境 变 量 代 替 固 定 值, 您 可 以 创 建 规 则 或 指 定 允 许 某 些 信 息 发 生 变 化 的 程 序 要 列 出 Windows 上 的 环 境 变 量, 请 在 命 令 行 处 键 入 set 恢 复 : 请 参 见 主 机 完 整 性 恢 复 ICMP: 请 参 见 Internet 控 制 消 息 协 议 (ICMP) IDS: 请 参 见 入 侵 检 测 系 统 (IDS) I Internet 控 制 消 息 协 议 (ICMP): 一 种 Internet 协 议 ( 在 RFC 792 中 定 义 ), 主 要 用 于 报 告 TCP/IP 消 息 中 的 错 误 以 及 交 换 有 限 的 状 态 和 控 制 信 息 Internet 信 息 服 务 (IIS):Microsoft 提 供 的 Web 服 务 软 件, 是 适 用 于 Microsoft Windows 平 台 的 超 文 本 传 输 协 议 (HTTP) 服 务 器 为 了 成 功 安 装 策 略 管 理 器, 需 要 在 Symantec Policy Manager 中 使 用 Microsoft IIS IP 地 址 : 一 种 用 于 识 别 网 络 上 的 节 点 的 32 位 地 址 必 须 为 网 络 上 的 每 个 节 点 都 分 配 一 个 唯 一 的 以 点 分 隔 的 数 字 符 号 地 址, 如 125.132.42.7 另 请 参 见 本 地 IP 地 址 远 程 IP 地 址 IP 碎 片 : 一 个 已 分 割 为 两 个 或 更 多 个 数 据 包 的 数 据 包 Symantec Protection Agent 支 持 IP 碎 片, 即 通 过 网 络 接 收 或 发 送 不 完 整 数 据 包 的 能 力 另 请 参 见 数 据 包 分 段 数 据 包 86
词 汇 表 IP 欺 骗 :IP 欺 骗 是 指 入 侵 者 使 用 另 一 台 计 算 机 的 IP 地 址 来 获 取 信 息 或 进 行 访 问 的 过 程 由 于 入 侵 者 显 示 为 其 他 人, 因 此, 如 果 发 送 回 复, 则 该 回 复 将 到 达 欺 骗 的 地 址, 而 不 是 入 侵 者 的 地 址 IPS: 请 参 见 入 侵 防 护 系 统 (IPS) 接 入 点 : 允 许 计 算 机 或 用 户 连 接 到 企 业 网 络 的 网 络 连 接 例 如 : 虚 拟 专 用 网 络 (VPN) 无 线 通 信 和 远 程 访 问 服 务 (RAS) 拨 号 连 接 另 请 参 见 端 点 无 线 接 入 点 ( 无 线 AP) J 拒 绝 服 务 (DoS): 一 种 基 于 网 络 的 攻 击, 其 特 点 是 入 侵 者 显 式 地 试 图 阻 止 某 项 服 务 的 合 法 用 户 使 用 该 服 务 另 请 参 见 拒 绝 服 务 检 查 拒 绝 服 务 检 查 : 仅 适 用 于 Symantec Sygate Enterprise Protection 策 略 管 理 器 中 的 一 种 入 侵 防 护 设 置, 指 示 防 护 代 理 使 用 已 知 的 拒 绝 服 务 (DoS) 技 术 来 检 查 传 入 通 信 加 密 : 一 种 算 法 的 使 用, 可 将 通 常 很 敏 感 的 数 据 转 换 为 只 有 授 权 用 户 才 可 读 的 形 式 另 请 参 见 通 信 信 道 加 密 继 承 : 在 组 和 子 组 之 间 执 行 安 全 策 略 ( 包 括 规 则 和 设 置 ) 的 一 种 方 法 可 以 全 局 创 建 安 全 策 略, 以 使 它 们 可 以 过 滤 所 有 子 组 可 以 继 承 的 特 征 包 括 策 略 处 所 ( 不 能 继 承 的 默 认 处 所 除 外 ) 和 组 设 置 使 用 策 略 (Policies) 选 项 卡 上 的 复 选 框 可 以 打 开 和 关 闭 继 承 ( 使 用 与 父 组 相 同 的 策 略 ) 另 请 参 见 规 则 继 承 静 默 模 式 : 对 最 终 用 户 隐 藏 Symantec Agent 用 户 界 面 的 能 力, 以 便 在 运 行 时 不 干 扰 最 终 用 户 的 工 作 K 客 户 端 : 可 使 用 另 一 台 被 称 为 服 务 器 的 计 算 机 中 的 共 享 资 源 的 计 算 机 或 程 序 在 Symantec Sygate Enterprise Protection 或 Symantec Network Access Control 软 件 环 境 中, 客 户 端 是 指 在 可 向 策 略 管 理 器 报 告 的 工 作 站 台 式 机 或 便 携 式 计 算 机 上 运 行 的 Symantec Protection Agent 或 Symantec Enforcement Agent 可 将 客 户 端 组 织 到 组 中 另 请 参 见 客 户 端 组 服 务 器 Symantec Protection Agent Symantec Enforcement Agent Symantec Policy Manager 客 户 端 控 制 : 一 个 策 略 管 理 器 选 项, 用 于 在 计 算 机 上 设 置 Symantec Protection Agent, 以 使 用 户 能 够 自 定 义 个 人 安 全 设 置 此 选 项 可 提 供 比 服 务 器 控 制 选 项 更 强 的 用 户 控 制 另 请 参 见 服 务 器 控 制 超 级 用 户 模 式 客 户 端 组 : 可 将 登 录 到 网 络 的 客 户 端 组 织 到 组 中, 并 可 将 组 设 置 为 Users 或 Computers 另 请 参 见 Computers 组 Users 组 Global 组 控 制 台 访 问 策 略 : 指 定 允 许 访 问 策 略 管 理 器 远 程 控 制 台 的 所 有 IP 地 址 库 : 请 参 见 特 征 库 系 统 库 自 定 义 库 可 信 IP 地 址 : 允 许 在 未 运 行 Symantec Agent 的 情 况 下 访 问 企 业 网 络 的 IP 地 址 另 请 参 见 IP 地 址 87
Symantec Protection Agent 安 装 使 用 指 南 L LAN Enforcer: 用 于 通 过 支 持 802.1x 验 证 的 交 换 机 或 无 线 接 入 点 连 接 到 LAN 的 内 部 客 户 端 强 制 执 行 的 Symantec Enforcer LAN Enforcer 可 对 客 户 端 进 行 验 证, 以 确 保 它 们 正 在 运 行 Symantec Agent 并 符 合 主 机 完 整 性 要 求 LAN Enforcer 可 以 在 或 不 在 RADIUS 服 务 器 ( 该 服 务 器 提 供 用 户 级 别 的 验 证 ) 的 配 合 下 工 作 LAN 感 应 器 : 仅 适 用 于 Symantec Sygate Enterprise Protection 被 设 置 为 LAN 感 应 器 的 防 护 代 理 可 检 测 新 的 连 接 到 网 络 的 设 备, 并 将 此 信 息 发 送 给 策 略 管 理 器, 然 后 策 略 管 理 器 会 生 成 与 该 新 设 备 相 关 的 报 告 LDAP: 请 参 见 轻 型 目 录 访 问 协 议 (LDAP) 拦 截 : 一 种 攻 击 类 型, 入 侵 者 会 控 制 服 务 器 与 已 连 接 并 已 经 过 该 服 务 器 验 证 的 合 法 用 户 之 间 的 现 有 通 信 会 话 入 侵 者 可 以 监 控 被 动 地 记 录 敏 感 信 息 ( 如 密 码 和 代 码 ) 传 输 的 会 话 另 一 种 类 型 的 拦 截 包 括 通 过 强 制 用 户 脱 机 ( 利 用 拒 绝 服 务 攻 击 ) 并 接 管 会 话 来 进 行 的 活 动 攻 击 入 侵 者 开 始 时 表 现 得 好 像 用 户 一 样, 执 行 命 令 并 向 服 务 器 发 送 信 息 lsass.exe:windows 操 作 系 统 中 的 本 地 安 全 验 证 服 务 可 执 行 文 件 和 服 务 器 DLL 这 是 用 于 验 证 用 户 登 录 的 Windows 安 全 机 制 M MAC 地 址 : 供 应 商 的 介 质 访 问 控 制 硬 件 地 址, 用 于 识 别 计 算 机 服 务 器 路 由 器 或 其 他 网 络 设 备 另 请 参 见 防 MAC 欺 骗 MAC 欺 骗 : 入 侵 者 使 用 一 项 名 为 MAC( 介 质 访 问 控 制 ) 欺 骗 的 技 术, 利 用 另 一 台 计 算 机 的 MAC 地 址 向 受 害 者 发 送 ARP( 地 址 解 析 协 议 ) 响 应 数 据 包 ( 即 使 受 害 者 并 未 发 送 ARP 请 求 ), 从 而 侵 入 受 害 计 算 机 受 害 主 机 将 使 用 恶 意 的 ARP 响 应 数 据 包 来 续 订 内 部 ARP 表 另 请 参 见 防 MAC 欺 骗 mapisp32.exe:microsoft Windows Messaging Subsystem Spooler, 允 许 邮 件 应 用 程 序 使 用 标 准 的 消 息 应 用 程 序 接 口 (MAPI) 来 访 问 消 息 地 址 和 传 输 服 务 MD5 散 列 :RSA Data Security, Inc. MD5 消 息 摘 要 算 法 : 一 种 可 产 生 唯 一 的 128 位 值 的 单 向 功 能 MD5 散 列 会 转 换 信 息 并 生 成 一 个 无 法 变 回 其 原 来 形 式 的 值 此 方 法 可 用 于 加 密 验 证 ( 例 如, 验 证 密 码 或 验 证 应 用 程 序 ) mstask.exe:windows 操 作 系 统 所 使 用 的 任 务 调 度 程 序 引 擎 默 认 处 所 :Symantec Policy Manager 上 的 一 个 设 置, 可 指 定 在 Symantec Agent 首 次 启 动 时 或 在 自 动 处 所 切 换 过 程 中 两 个 处 所 之 间 发 生 冲 突 时,Symantec Agent 将 要 使 用 的 处 所 最 初, 可 向 所 有 组 中 添 加 一 个 默 认 处 所 :Office 处 所 ( 但 它 是 可 以 更 改 的 ) 另 请 参 见 自 动 处 所 切 换 处 所 目 标 IP 地 址 : 接 收 信 息 数 据 包 的 计 算 机 的 IP 地 址 目 标 端 口 : 接 收 信 息 数 据 包 的 计 算 机 的 端 口 88
词 汇 表 目 录 服 务 器 : 用 于 管 理 用 户 的 帐 户 和 网 络 权 限 的 软 件 Active Directory 是 使 用 轻 型 目 录 访 问 协 议 (LDAP) 访 问 的 目 录 服 务 器 的 一 个 示 例 另 请 参 见 Active Directory 轻 型 目 录 访 问 协 议 (LDAP) N NetBIOS 防 护 : 策 略 管 理 器 上 的 一 个 选 项, 可 禁 止 来 自 客 户 端 的 本 地 子 网 范 围 以 外 的 计 算 机 的 所 有 通 信 在 UDP 端 口 88 137 和 138 以 及 TCP 端 口 135 139 445 和 1026 上, 禁 止 NetBIOS 通 信 另 请 参 见 子 网 ntoskrnl.exe:nt 内 核 和 系 统, 一 种 标 准 的 Windows 服 务, 可 在 会 话 过 程 中 启 动 所 需 的 内 核 和 驱 动 程 序 排 除 主 机 : 一 个 主 机 列 表, 代 理 将 忽 略 该 列 表 中 主 机 的 所 有 传 出 和 传 入 通 信 配 置 文 件 : 请 参 见 安 全 策 略 P 配 置 文 件 序 列 号 : 每 次 代 理 的 安 全 策 略 发 生 更 改 时, 策 略 管 理 器 自 动 生 成 的 数 字 Q 驱 动 程 序 级 别 防 护 : 一 种 除 非 用 户 授 权, 否 则 禁 止 协 议 驱 动 程 序 获 得 网 络 访 问 权 限 的 软 件 功 能 如 果 协 议 驱 动 程 序 尝 试 通 过 运 行 Symantec Protection Agent 的 客 户 端 来 获 取 网 络 访 问 权 限, 则 会 根 据 规 则 集, 允 许 或 禁 止 协 议 驱 动 程 序 或 者 显 示 一 条 弹 出 消 息 另 请 参 见 协 议 驱 动 程 序 禁 止 嵌 入 数 据 库 : 策 略 管 理 器 所 包 含 的 一 种 数 据 库, 可 用 作 对 Microsoft SQL 数 据 库 的 一 个 替 代 强 制 执 行 : 在 所 有 企 业 网 络 端 点 和 接 入 点, 强 制 遵 守 安 全 策 略 或 服 从 主 机 完 整 性 规 则 Symantec Sygate Enterprise Protection 软 件 和 Symantec Network Access Control 软 件 可 通 过 将 用 户 设 备 和 应 用 程 序 链 接 到 可 信 网 络 通 信, 自 动 强 制 执 行 企 业 的 安 全 策 略 可 在 每 个 设 备 上 都 安 装 Symantec Agent 软 件, 以 便 提 供 对 整 个 企 业 的 策 略 强 制 执 行 功 能 如 果 尝 试 访 问 的 代 理 无 法 满 足 安 全 要 求, 则 会 执 行 禁 止 代 理 访 问 网 络 的 操 作 另 请 参 见 VPN 强 制 执 行 端 点 强 制 执 行 无 线 强 制 执 行 轻 型 目 录 访 问 协 议 (LDAP): 一 种 标 准 的 目 录 访 问 协 议, 用 于 搜 索 和 更 新 包 含 电 子 邮 件 地 址 电 话 号 码 和 计 算 机 名 称 及 地 址 等 信 息 的 信 息 目 录 LDAP 是 用 于 访 问 目 录 服 务 器 ( 如 Active Directory) 的 主 要 协 议 另 请 参 见 Active Directory 目 录 服 务 器 欺 骗 : 入 侵 者 通 过 伪 造 已 知 的 网 络 证 书 来 对 计 算 机 系 统 或 网 络 进 行 未 经 授 权 的 网 络 访 问 时 所 使 用 的 一 种 技 术 IP 欺 骗 是 入 侵 者 对 计 算 机 系 统 或 网 络 进 行 未 经 授 权 的 网 络 访 问 的 一 种 常 见 方 法 入 站 通 信 : 从 远 程 计 算 机 发 起 的 通 信 另 请 参 见 出 站 通 信 R 89
Symantec Protection Agent 安 装 使 用 指 南 入 侵 检 测 系 统 (IDS): 仅 适 用 于 Symantec Sygate Enterprise Protection 一 种 可 检 测 并 通 知 用 户 或 企 业 对 网 络 或 计 算 机 系 统 的 未 授 权 或 异 常 访 问 的 设 备 或 软 件 通 过 分 析 以 网 络 节 点 为 目 标 的 网 络 数 据 包 并 将 它 们 与 特 征 数 据 库 条 目 进 行 比 较,Symantec 的 IDS 可 在 安 装 了 Symantec Protection Agent 的 企 业 中 的 每 台 机 器 上 进 行 操 作 IDS 可 通 过 监 控 通 信 中 是 否 存 在 代 表 敌 意 活 动 的 攻 击 特 征, 来 帮 助 识 别 攻 击 和 探 查 Symantec 的 软 件 包 括 入 侵 防 护 以 及 入 侵 检 测 另 请 参 见 入 侵 防 护 系 统 (IPS) 入 侵 防 护 系 统 (IPS): 仅 适 用 于 Symantec Sygate Enterprise Protection 一 种 用 于 防 止 入 侵 者 访 问 系 统 进 行 恶 意 或 可 疑 活 动 的 设 备 或 软 件 这 一 点 与 入 侵 检 测 系 统 (IDS) 不 同,IDS 只 进 行 检 测 和 通 知 Symantec Protection Agent 既 是 IDS 产 品, 也 是 IPS 产 品, 因 为 代 理 包 括 IDS 以 及 防 火 墙 功 能, 这 使 得 它 不 仅 能 够 检 测 而 且 能 够 禁 止 攻 击 另 请 参 见 入 侵 检 测 系 统 (IDS) 日 志 阻 断 器 : 一 种 日 志 设 置, 在 相 对 较 短 的 时 间 帧 中 发 生 多 个 类 似 事 件 时, 可 使 Symantec Protection Agent 只 记 录 一 个 事 件 这 样 可 防 止 代 理 被 淹 没 在 数 以 百 计 甚 至 数 以 千 计 的 并 发 事 件 中 ( 在 DoS 攻 击 中 可 能 出 现 这 种 情 况 ) 例 如, 如 果 在 1 秒 内 接 收 到 1,000 个 数 据 包, 则 通 过 阻 断 日 志, 代 理 只 会 记 录 一 个 条 目, 该 条 目 显 示 该 事 件 发 生 了 1,000 次 另 请 参 见 日 志 日 志 : 用 于 存 储 关 于 在 系 统 上 发 生 的 活 动 的 信 息 的 文 件 策 略 管 理 器 提 供 了 扩 展 记 录 能 力, 以 跟 踪 如 安 全 违 规 对 安 全 策 略 的 更 改 网 络 通 信 客 户 端 连 接 和 管 理 活 动 等 的 事 件 可 以 在 策 略 管 理 器 的 监 控 (Monitoring) 选 项 卡 上 的 日 志 查 看 器 (Log Viewer) 中 查 看 日 志 蠕 虫 : 一 种 计 算 机 病 毒, 可 在 计 算 机 网 络 上 自 我 复 制 并 执 行 破 坏 性 任 务, 如 耗 尽 计 算 机 内 存 资 源 病 毒 通 常 会 感 染 其 他 文 件, 而 蠕 虫 不 会, 但 是 蠕 虫 会 一 遍 又 一 遍 地 自 我 复 制, 这 会 耗 尽 系 统 资 源 ( 硬 盘 驱 动 器 空 间 ) 或 耗 尽 带 宽 ( 通 过 共 享 网 络 资 源 进 行 传 播 ) 另 请 参 见 病 毒 RSA ACE 服 务 器 : 一 种 用 于 验 证 RSA SecurID 登 录 验 证 请 求 并 管 理 企 业 网 络 的 策 略 的 服 务 器 RSA SecurID 登 录 :RSA SecurID 使 用 两 因 素 验 证 : 您 已 知 的 代 码 (PIN) 和 您 拥 有 的 项 目 (PIN 板 智 能 卡 或 软 件 令 牌 ), 然 后 生 成 一 个 一 次 性 登 录 代 码, 该 代 码 的 使 用 期 限 只 有 60 秒 该 使 用 期 限 秒 结 束 后,PIN 与 智 能 卡 的 组 合 将 生 成 另 一 个 完 全 不 同 的 一 次 性 登 录 代 码 services.exe: 服 务 或 控 制 器 应 用 程 序, 一 种 可 管 理 多 种 Windows 服 务 的 标 准 控 制 器 S svchost.exe:win32 服 务 的 通 用 主 机 进 程, 一 种 从 动 态 链 接 库 (DLL) 中 运 行 的 服 务 的 通 用 主 机 进 程 它 可 检 查 注 册 表 的 服 务 部 分, 以 创 建 一 个 它 需 要 加 载 的 服 务 列 表 可 同 时 运 行 Svchost.exe 的 多 个 实 例 Symantec Enforcement Agent: 可 在 公 司 计 算 机 上 部 署 以 强 制 执 行 主 机 完 整 性 策 略 以 及 对 策 略 遵 从 性 的 自 动 恢 复 的 软 件 另 请 参 见 主 机 完 整 性 Symantec Network Access Control 90
词 汇 表 Symantec Enforcer: 一 种 可 通 过 Gateway Enforcer DHCP Enforcer 或 LAN Enforcer 三 种 方 式 来 强 制 执 行 策 略 遵 从 性 的 软 件 组 件 Enforcer 可 验 证 客 户 端 以 确 保 它 们 正 在 运 行 Symantec Agent 并 符 合 主 机 完 整 性 规 则 Gateway Enforcer 可 用 于 对 通 过 VPN 无 线 LAN 或 远 程 访 问 服 务 器 (RAS) 远 程 连 接 的 外 部 计 算 机 的 接 入 点 强 制 执 行 LAN Enforcer 可 用 于 通 过 支 持 802.1x 验 证 的 交 换 机 连 接 到 LAN 的 内 部 客 户 端 强 制 执 行 DHCP Enforcer 可 用 于 通 过 动 态 主 机 配 置 协 议 (DHCP) 服 务 器 接 收 动 态 IP 地 址 来 获 取 LAN 访 问 的 内 部 客 户 端 强 制 执 行 Symantec Network Access Control: 主 机 完 整 性 安 全 策 略 的 管 理 部 署 和 强 制 执 行 系 统 主 机 完 整 性 指 的 是 定 义 强 制 执 行 和 恢 复 客 户 端 ( 主 机 ) 的 安 全 性, 以 保 证 企 业 网 络 和 数 据 安 全 的 能 力 另 请 参 见 Symantec Sygate Enterprise Protection Symantec Personal Firewall: 一 种 基 于 客 户 主 机 的 防 火 墙, 用 户 可 由 此 定 义 其 自 身 的 安 全 策 略 另 请 参 见 Symantec Protection Agent Symantec 策 略 管 理 控 制 台 : 任 何 您 要 用 于 登 录 到 策 略 管 理 器 的 计 算 机, 只 要 其 满 足 系 统 要 求, 就 可 用 作 远 程 控 制 台 利 用 Symantec 策 略 管 理 控 制 台, 系 统 管 理 员 便 可 以 从 其 他 计 算 机 或 从 策 略 管 理 器 自 身 连 接 到 策 略 管 理 器 Symantec Policy Manager: 控 制 所 有 Symantec Agent 和 Enforcer 的 集 中 位 置, 使 得 网 络 管 理 员 可 以 定 义 和 分 发 安 全 策 略 收 集 日 志 和 维 护 企 业 网 络 的 完 整 性 在 本 文 档 中 称 为 策 略 管 理 器 另 请 参 见 Symantec Protection Agent Symantec Enforcement Agent Symantec Protection Agent: 仅 适 用 于 Symantec Sygate Enterprise Protection 使 用 在 Symantec Policy Manager 上 定 义 的 安 全 策 略, 在 远 程 设 备 或 位 于 公 司 防 火 墙 之 后 的 设 备 上 强 制 执 行 基 于 规 则 的 安 全 性 的 软 件 组 件 在 本 文 档 中 也 称 为 代 理 必 须 在 每 个 设 备 上 都 安 装 了 代 理, 代 理 才 能 连 接 到 企 业 网 络 代 理 可 以 检 测 识 别 和 禁 止 已 知 的 特 洛 伊 攻 击 和 拒 绝 服 务 攻 击, 还 可 通 过 禁 止 违 反 了 已 定 义 的 安 全 策 略 集 的 应 用 程 序 和 通 信 来 抵 御 新 的 或 未 知 的 攻 击 在 维 护 系 统 安 全 性 的 同 时, 也 可 以 检 测 和 记 录 端 口 扫 描, 以 便 通 知 用 户 和 系 统 管 理 员 存 在 潜 在 的 攻 击 Symantec Sygate Enterprise Protection: 一 种 包 括 Symantec Policy Manager Symantec Protection Agent Symantec Enforcement Agent( 可 选 ) 以 及 一 个 或 多 个 Symantec Enforcer 的 软 件 套 件 它 可 以 保 护 无 线 VPN 和 无 线 连 接 的 便 携 式 计 算 机 工 作 站 以 及 具 有 防 火 墙 入 侵 检 测 和 策 略 强 制 执 行 的 服 务 器 另 请 参 见 Symantec Protection Agent Symantec Enforcer Symantec Policy Manager Symantec Network Access Control 授 权 : 根 据 用 户 的 身 份, 授 予 或 拒 绝 对 特 定 网 络 资 源 或 域 的 访 问 权 限 的 过 程 适 配 器 : 请 参 见 网 络 适 配 器 适 配 策 略 : 请 参 见 自 动 处 所 和 自 动 处 所 切 换 91
Symantec Protection Agent 安 装 使 用 指 南 数 据 加 密 标 准 (DES): 一 种 使 用 私 用 加 密 密 钥 来 保 护 数 据 的 算 法 DES-CBC 是 DES 的 密 码 禁 止 链 (CBC) 模 式, 该 模 式 是 一 种 更 有 效 的 加 密 形 式, 可 利 用 以 前 的 数 据 块 将 独 占 式 OR 应 用 于 每 个 数 据 块, 然 后 使 用 DES 加 密 密 钥 对 数 据 进 行 加 密 3DES 或 三 DES 是 最 有 效 的 加 密 形 式, 在 这 种 形 式 下 每 个 数 据 块 都 用 不 同 的 密 钥 加 密 三 次 另 请 参 见 加 密 数 据 库 复 制 : 将 在 一 个 Symantec Policy Manager 上 做 出 的 更 改 分 配 给 其 他 被 设 置 为 复 制 伙 伴 的 策 略 管 理 器 的 过 程, 这 样 可 使 所 有 策 略 管 理 器 上 的 数 据 库 都 相 同 数 据 包 : 通 过 网 络 发 送 的 数 据 单 位 包 括 消 息 长 度 优 先 级 校 验 和 以 及 源 地 址 和 目 标 地 址 等 信 息 的 数 据 包 头 会 随 数 据 包 一 起 发 送 当 通 过 受 到 Symantec Protection Agent 软 件 保 护 的 网 络 发 送 数 据 包 时, 将 对 每 个 数 据 包 进 行 评 估, 以 查 看 其 是 否 为 表 示 已 知 攻 击 的 特 定 模 式 另 请 参 见 分 段 数 据 包 受 信 任 平 台 模 块 (TPM): 一 种 集 成 安 全 模 块, 可 提 供 对 敏 感 数 据 的 保 护 个 人 平 台 验 证 硬 件 保 护 密 钥 生 成 随 机 数 字 生 成 散 列 和 数 据 签 名 以 及 平 台 信 任 声 明 可 用 作 自 动 处 所 切 换 的 处 所 标 准 T 通 信 信 道 加 密 : 一 种 安 全 功 能, 允 许 策 略 管 理 器 的 管 理 员 保 护 或 加 密 Web 控 制 台 与 策 略 管 理 器 之 间 的 通 信 另 请 参 见 加 密 调 试 日 志 :Symantec Policy Manager 上 的 一 个 文 本 文 件, 包 含 例 如 日 期 和 时 间 戳 当 前 的 内 部 版 本 号 操 作 系 统 版 本 在 Symantec Policy Manager 上 发 生 的 错 误 和 事 件 以 及 安 装 和 升 级 消 息 等 的 故 障 排 除 信 息 特 洛 伊 特 洛 伊 木 马 : 一 种 在 运 行 授 权 应 用 程 序 时 隐 蔽 地 执 行 未 经 授 权 的 功 能 的 应 用 程 序 其 设 计 目 的 是 进 行 其 声 明 的 操 作 之 外 的 操 作, 并 且 这 些 操 作 通 常 具 有 破 坏 性 特 洛 伊 检 测 是 一 种 入 侵 防 护, 它 包 括 在 防 火 墙 策 略 和 操 作 系 统 保 护 中 如 果 启 用 了 这 些 功 能, 则 代 理 可 在 特 洛 伊 尝 试 进 行 通 信 之 前, 自 动 检 测 并 终 止 已 知 的 特 洛 伊 木 马 应 用 程 序 图 标 : 在 计 算 机 屏 幕 上 显 示 的, 表 示 应 用 程 序 命 令 对 象 或 指 示 状 态 的 小 的 可 视 图 像 在 Symantec Policy Manager 中, 图 标 会 在 代 理 联 机 时 显 示, 并 可 表 示 组 用 户 和 计 算 机 在 Symantec 软 件 中, 在 屏 幕 上 显 示 的 图 标 也 可 用 于 显 示 状 态 例 如, 在 代 理 接 口 中, 闪 烁 的 蓝 灯 指 示 传 入 和 传 出 通 信 特 征 : 一 种 可 定 义 如 何 识 别 入 侵 的 规 则 Symantec 的 入 侵 防 护 系 统 通 过 针 对 在 Symantec IPS 库 或 自 定 义 库 中 存 储 的 规 则 和 特 征 进 行 模 式 匹 配, 来 识 别 已 知 的 攻 击 另 请 参 见 特 征 库 系 统 库 特 征 文 件 序 列 号 : 每 次 更 新 特 征 文 件 时,Symantec Policy Manager 为 其 分 配 的 数 字 特 征 库 : 仅 适 用 于 Symantec Sygate Enterprise Protection 一 组 IPS 特 征 Symantec 在 Symantec IPS 库 中 提 供 了 一 个 已 知 特 征 库, 该 库 可 通 过 从 Symantec 自 动 下 载 最 新 版 本 来 保 持 其 为 最 新 的 ( 如 果 您 的 许 可 证 包 括 联 机 订 购 ) 管 理 员 也 可 以 在 自 定 义 库 中 指 定 其 自 己 选 择 的 新 的 攻 击 特 征 另 请 参 见 特 征 系 统 库 92
词 汇 表 探 寻 : 主 动 从 选 定 网 络 中 捕 获 数 据 报 和 数 据 包 信 息 的 过 程 无 论 数 据 包 在 哪 里, 探 寻 过 程 均 可 获 取 所 有 网 络 通 信 同 步 : 指 的 是 使 用 用 户 数 据 库 自 动 保 持 目 录 服 务 器 为 最 新, 包 括 LDAP 与 Active Directory 之 间 的 同 步 系 统 管 理 员 可 以 指 定 同 步 用 户 数 据 库 与 目 录 服 务 器 的 频 率 另 请 参 见 Active Directory 轻 型 目 录 访 问 协 议 (LDAP) 通 用 强 制 执 行 API: 一 种 应 用 程 序 编 程 接 口, 提 供 了 允 许 与 安 全 性 相 关 的 供 应 商 (Symantec 除 外 ) 将 其 技 术 与 Symantec Sygate Enterprise Protection 或 Symantec Network Access Control 软 件 集 成 的 功 能 通 用 API 可 向 VPN 供 应 商 提 供 有 关 系 统 组 件 ( 代 理 策 略 管 理 器 等 ) 状 态 的 信 息 U UDP: 请 参 见 用 户 数 据 报 协 议 (UDP) V VPN 强 制 执 行 : 一 种 验 证 VPN 用 户 在 获 得 网 络 访 问 权 限 之 前 是 否 在 运 行 Symantec Agent 并 满 足 安 全 要 求 的 方 法 另 请 参 见 强 制 执 行 虚 拟 专 用 网 络 (VPN) VPN Enforcer: 请 参 见 Symantec Enforcer W Web 控 制 台 : 请 参 见 Symantec 策 略 管 理 控 制 台 WINS:Windows Internet 名 称 服 务 的 简 称, 一 种 可 确 定 与 特 定 网 络 计 算 机 相 关 的 IP 地 址 的 系 统 这 被 称 为 名 称 解 析 WINS 支 持 运 行 Windows 的 网 络 客 户 端 和 服 务 器 计 算 机, 并 可 为 其 他 具 有 特 殊 布 置 的 计 算 机 提 供 名 称 解 析 在 DHCP 服 务 器 动 态 分 配 IP 地 址 时, 确 定 计 算 机 的 IP 地 址 是 一 个 复 杂 的 过 程 例 如, 计 算 机 每 次 登 录 到 网 络 时,DHCP 都 可 为 客 户 端 分 配 一 个 不 同 的 IP 地 址 WINS 可 使 用 分 布 式 数 据 库, 该 数 据 库 可 使 用 当 前 可 用 的 计 算 机 名 称 以 及 分 配 给 每 台 计 算 机 的 IP 地 址 自 动 进 行 更 新 DNS 是 对 名 称 解 析 的 一 个 备 用 系 统, 适 用 于 IP 地 址 固 定 的 网 络 计 算 机 Wireless Enforcer: 请 参 见 Symantec Enforcer 无 线 接 入 点 ( 无 线 AP): 一 种 网 络 连 接, 允 许 计 算 机 或 用 户 在 不 使 用 与 网 络 的 硬 件 连 接 的 情 况 下, 也 可 连 接 到 企 业 网 络 另 请 参 见 接 入 点 端 点 无 线 强 制 执 行 : 一 种 验 证 通 过 无 线 技 术 连 接 到 网 络 的 用 户 在 授 予 网 络 访 问 权 限 之 前 是 否 在 运 行 Symantec Agent 并 满 足 安 全 要 求 的 方 法 另 请 参 见 强 制 执 行 文 件 指 纹 列 表 : 仅 适 用 于 Symantec Sygate Enterprise Protection 使 用 防 护 代 理 软 件 所 提 供 的 名 为 checksum.exe 的 工 具 创 建 的 可 执 行 文 件 的 校 验 和 列 表 适 用 于 系 统 锁 定 和 操 作 系 统 保 护 另 请 参 见 文 件 指 纹 文 件 指 纹 : 代 表 可 执 行 文 件 的 一 个 128 位 的 数 字 或 校 验 和 另 请 参 见 文 件 指 纹 列 表 网 络 适 配 器 : 一 种 可 将 计 算 机 连 接 到 网 络 的 设 备 93
Symantec Protection Agent 安 装 使 用 指 南 网 络 接 口 卡 (NIC): 一 种 安 装 在 计 算 机 中 的 设 备, 可 提 供 与 网 络 中 其 他 已 连 接 设 备 进 行 通 信 的 能 力 网 络 设 置 : 可 确 定 尝 试 获 取 网 络 访 问 的 代 理 的 处 所 ( 策 略 ) 的 设 置 网 络 设 置 包 括 IP 地 址 IP 范 围 网 关 服 务 器 DHCP 服 务 器 DNS 服 务 器 WINS 服 务 器 策 略 管 理 器 连 接 和 连 接 类 型 (VPN 或 拨 号 网 络 ) 这 些 设 置 可 用 于 自 动 处 所 切 换 另 请 参 见 自 动 处 所 切 换 唯 一 ID: 为 了 唯 一 地 识 别 运 行 Symantec Agent 软 件 的 客 户 端 而 分 配 的 一 个 128 位 的 十 六 进 制 数 字, 也 称 为 GUID 唯 一 ID 是 在 安 装 代 理 时 由 Symantec Policy Manager 生 成 的 X 心 跳 : 代 理 或 Symantec Enforcer 与 Symantec Policy Manager 进 行 通 信 以 检 查 新 的 安 全 策 略 并 上 载 最 新 日 志 的 频 率 心 跳 以 固 定 的 间 隔 ( 由 系 统 管 理 员 设 置 ) 发 生 代 理 也 可 以 检 查 更 新 的 代 理 软 件 许 可 证 : 使 用 特 定 Symantec 组 件 或 功 能 的 权 限 在 购 买 Symantec Sygate Enterprise Protection 或 Sygate Network Access Control 软 件 时, 注 册 码 包 括 用 于 Symantec Policy Manager Enforcer 代 理 等 组 件 以 及 其 他 已 订 购 许 可 功 能 ( 包 括 联 机 订 购 主 机 完 整 性 检 查 和 操 作 系 统 防 护 等 功 能 ) 的 许 可 证 协 议 驱 动 程 序 禁 止 : 一 种 安 全 措 施, 可 禁 止 恶 意 应 用 程 序 使 用 其 自 己 的 协 议 驱 动 程 序 秘 密 地 退 出 网 络 系 统 管 理 员 : 负 责 管 理 策 略 管 理 器 中 所 有 区 域 的 人, 其 任 务 包 括 安 装 和 更 新 服 务 器 和 Enforcer 监 控 其 安 全 配 置 添 加 组 和 用 户 以 及 更 新 代 理 软 件 和 策 略 另 请 参 见 域 管 理 员 系 统 库 : 仅 适 用 于 Symantec Sygate Enterprise Protection 包 含 预 配 置 的 IPS 特 征 的 Symantec IPS 库, 可 帮 助 检 测 和 阻 止 已 知 的 攻 击 系 统 管 理 员 可 以 使 用 系 统 库, 或 在 Symantec Policy Manager 上 创 建 自 定 义 IPS 特 征 以 将 其 包 括 在 自 定 义 IPS 特 征 库 中 系 统 库 在 界 面 中 以 一 个 蓝 色 图 标 显 示 如 果 您 的 许 可 证 有 联 机 订 购 功 能, 则 Symantec 会 定 期 提 供 更 新 的 系 统 库 另 请 参 见 自 定 义 库 特 征 库 系 统 锁 定 :Symantec Sygate Enterprise Protection 的 一 项 功 能, 利 用 该 功 能 您 可 以 对 程 序 进 行 限 制, 包 括 具 有 防 护 代 理 的 用 户 可 在 其 计 算 机 上 运 行 的 DLL 和 可 执 行 程 序 可 为 用 户 创 建 一 个 包 括 他 们 能 够 运 行 的 所 有 程 序 的 计 算 机 映 像 防 止 用 户 运 行 未 经 授 权 的 程 序 另 请 参 见 操 作 系 统 保 护 虚 拟 专 用 网 络 (VPN): 一 种 安 全 网 络 连 接, 可 连 接 不 同 的 公 司 网 络 站 点 允 许 远 程 用 户 连 接 到 企 业 网 络 并 允 许 对 不 同 的 公 司 网 络 进 行 受 控 访 问 尽 管 VPN 为 网 络 通 信 提 供 了 安 全 的 信 道, 但 它 保 持 连 接 点 是 开 放 的, 容 易 受 到 攻 击 与 企 业 VPN 服 务 器 一 起 工 作 时,Symantec Enforcer 可 确 保 只 有 运 行 Symantec Protection Agent 的 有 效 安 全 策 略 的 计 算 机 才 能 通 过 VPN 访 问 企 业 网 络 另 请 参 见 VPN 强 制 执 行 94
Y 词 汇 表 应 用 程 序 兼 容 性 包 : 仅 适 用 于 Symantec Sygate Enterprise Protection 一 种 可 改 善 应 用 程 序 与 缓 冲 区 溢 出 保 护 功 能 的 互 操 作 性 的 Symantec 专 有.acp 文 件 与 Symantec 联 系 以 讨 论 是 否 需 要 应 用 程 序 兼 容 性 包 应 用 程 序 控 制 : 通 过 安 全 策 略, 可 以 允 许 或 禁 止 应 用 程 序 和 特 定 应 用 程 序 的 哪 些 版 本 应 用 程 序 学 习 : 仅 适 用 于 Symantec Sygate Enterprise Protection 可 帮 助 系 统 管 理 员 跟 踪 代 理 的 网 络 访 问 和 应 用 程 序 使 用 的 选 项 如 果 启 用 了 某 个 特 定 处 所 的 应 用 程 序 学 习, 则 代 理 会 自 动 向 策 略 管 理 器 发 送 有 关 代 理 所 运 行 的 应 用 程 序 的 信 息 然 后, 可 将 该 应 用 程 序 的 特 定 版 本 用 于 创 建 规 则 另 请 参 见 已 知 应 用 程 序 验 证 : 系 统 识 别 个 人 或 计 算 机 以 确 定 用 户 或 计 算 机 是 否 与 其 声 明 的 身 份 相 符 的 过 程 Enforcer 可 通 过 查 看 可 信 的 客 户 端 IP 范 围 列 表 来 检 查 某 个 客 户 端 是 否 被 允 许 如 果 该 客 户 端 未 在 可 接 受 的 范 围 中, 则 Enforcer 会 向 代 理 发 送 一 个 验 证 数 据 包 另 请 参 见 验 证 端 口 域 : 可 将 Symantec Policy Manager 组 织 到 被 称 为 域 ( 与 网 络 域 名 不 同 ) 的 片 段 中 每 个 域 都 包 含 一 组 由 域 管 理 员 管 理 的 客 户 端, 域 管 理 员 具 有 对 Symantec Policy Manager 控 制 台 的 有 限 的 查 看 权 ( 没 有 Servers 选 项 卡 并 且 只 能 查 看 其 自 身 域 中 的 客 户 端 ) 每 个 域 都 可 代 表 一 个 分 区 部 门 单 独 的 公 司 或 其 他 独 立 的 部 分 用 户 另 请 参 见 域 名 域 管 理 员 域 管 理 员 : 负 责 在 策 略 管 理 器 上 管 理 特 定 域 的 人, 其 任 务 包 括 监 控 该 域 的 安 全 配 置 添 加 组 和 用 户 以 及 更 新 代 理 软 件 和 策 略 另 请 参 见 域 系 统 管 理 员 域 名 : 在 常 见 的 网 络 术 语 ( 并 非 此 产 品 的 特 定 术 语 ) 中, 指 的 是 一 组 计 算 机 在 网 络 上 已 知 的 名 称 大 多 数 组 织 在 Internet 上 都 有 一 个 唯 一 的 名 称, 利 用 该 名 称, 个 人 组 和 其 他 组 织 便 可 以 与 该 组 织 通 信 另 请 参 见 域 已 知 应 用 程 序 : 仅 适 用 于 Symantec Sygate Enterprise Protection 一 种 由 代 理 启 动 并 在 策 略 管 理 器 的 主 列 表 中 跟 踪 的 应 用 程 序 此 列 表 包 括 任 何 代 理 已 运 行 的 所 有 应 用 程 序 系 统 管 理 员 可 以 查 找 特 定 的 应 用 程 序, 并 查 看 所 有 已 使 用 过 它 的 代 理 另 请 参 见 应 用 程 序 学 习 已 知 应 用 程 序 列 表 : 已 由 代 理 启 动 过 的 应 用 程 序 的 主 列 表 可 使 用 已 知 应 用 程 序 查 询 工 具 从 策 略 管 理 器 的 策 略 (Policies) 选 项 卡 中 查 看 该 列 表 另 请 参 见 应 用 程 序 学 习 预 共 享 机 密 : 一 种 用 于 保 护 策 略 管 理 器 代 理 与 Enforcer 之 间 的 通 信 信 道 安 全 的 加 密 密 钥 代 理 可 与 具 有 相 同 预 共 享 机 密 的 策 略 管 理 器 进 行 通 信 所 有 站 点 的 所 有 策 略 管 理 器 都 应 使 用 相 同 的 预 共 享 机 密 ( 以 防 用 户 在 站 点 之 间 转 移 ) 在 代 理 软 件 包 中 包 括 了 预 共 享 机 密, 这 样 代 理 就 可 以 连 接 到 策 略 管 理 器 远 程 数 据 库 : 一 种 SQL 数 据 库, 用 于 存 储 在 安 装 Symantec Policy Manager 的 计 算 机 以 外 的 其 他 计 算 机 上 安 装 的 策 略 管 理 器 数 据 另 请 参 见 本 地 数 据 库 95
Symantec Protection Agent 安 装 使 用 指 南 远 程 IP 地 址 : 传 输 信 息 的 目 标 计 算 机 的 IP 地 址 远 程 端 口 : 尝 试 通 过 网 络 连 接 传 输 信 息 的 另 一 台 计 算 机 上 的 端 口 源 端 口 : 发 起 通 信 的 端 口 号 另 请 参 见 端 口 源 IP 地 址 : 发 起 通 信 的 IP 地 址 另 请 参 见 IP 地 址 隐 藏 模 式 浏 览 : 仅 适 用 于 Symantec Sygate Enterprise Protection 一 种 高 级 防 火 墙 策 略 设 置, 可 从 Web 浏 览 器 中 检 测 端 口 80 上 的 所 有 HTTP 通 信, 并 删 除 某 些 信 息, 例 如 浏 览 器 名 称 和 版 本 操 作 系 统 和 引 用 网 页 它 可 使 网 站 无 法 知 道 您 使 用 的 是 哪 个 操 作 系 统 和 浏 览 器 隐 藏 模 式 浏 览 可 能 导 致 某 些 网 站 无 法 正 常 工 作, 因 为 它 会 从 HTTP 请 求 标 头 中 删 除 名 为 HTTP_USER_AGENT 的 浏 览 器 特 征, 并 将 其 替 换 为 通 用 特 征 用 户 数 据 报 协 议 (UDP): 一 种 用 于 Internet 网 络 层 传 输 层 和 会 话 层 的 通 信 协 议, 可 在 从 一 台 计 算 机 向 另 一 台 计 算 机 发 送 数 据 报 消 息 时 使 用 Internet 协 议 (IP) UDP 不 能 保 证 通 信 是 可 靠 的 或 提 供 对 数 据 包 的 有 效 排 序 用 户 : 可 将 客 户 端 作 为 Users 或 Computers 添 加 到 组 中 作 为 Users 添 加 的 客 户 端 具 有 与 连 接 到 企 业 网 络 的 用 户 相 关 的 安 全 策 略, 而 与 他 们 登 录 的 计 算 机 无 关 如 果 客 户 端 是 从 Active Directory 服 务 器 导 入 的, 则 它 们 都 会 作 为 Users 导 入 另 请 参 见 客 户 端 Global 组 Computers 组 验 证 端 口 :Enforcer 用 于 联 系 代 理 以 便 进 行 验 证 的 端 口 默 认 的 UDP 端 口 为 端 口 39,999 Z 自 动 处 所 : 无 需 用 户 干 预, 自 动 切 换 到 另 一 个 处 所 的 能 力 使 用 安 全 策 略 可 以 确 定 连 接 到 公 司 网 络 的 用 户 所 在 的 处 所 和 网 络 环 境, 例 如 何 时 在 站 点 上 工 作 何 时 在 家 工 作 或 者 何 时 从 另 一 个 商 业 处 所 进 行 连 接 也 称 为 适 配 策 略 另 请 参 见 自 动 处 所 切 换 处 所 自 动 处 所 切 换 : 允 许 代 理 根 据 处 所 和 网 络 环 境 自 动 调 整 规 则 和 策 略 的 安 全 策 略 例 如, 根 据 用 户 的 登 录 位 置, 名 为 Office Telecommuter 和 Home 的 处 所 可 强 制 执 行 不 同 的 安 全 策 略 如 果 客 户 端 在 启 用 了 自 动 处 所 切 换 的 情 况 下 使 用 Symantec Agent 连 接 到 企 业 网 络, 则 代 理 会 根 据 客 户 端 的 当 前 网 络 特 点 自 动 确 定 所 在 的 处 所 以 及 必 须 强 制 执 行 的 安 全 策 略 自 定 义 库 : 包 含 在 策 略 库 中 创 建 和 存 储 的 自 定 义 IPS 特 征 的 库 自 定 义 库 可 用 作 对 Symantec 所 提 供 的 Symantec IPS 库 的 补 充 系 统 管 理 员 可 以 添 加 新 的 IPS 特 征 和 来 自 第 三 方 IPS 供 应 商 的 特 征, 以 便 对 新 的 攻 击 做 出 快 速 响 应 另 请 参 见 特 征 库 系 统 库 组 : 可 将 企 业 网 络 中 的 所 有 客 户 端 组 织 到 具 有 相 似 的 安 全 需 要 和 设 置 的 组 中 组 可 包 含 作 为 Users 或 Computers 添 加 的 客 户 端 ( 代 理 ) 如 果 从 Active Directory 服 务 器 中 导 入 用 户, 则 也 会 导 入 组 结 构 另 请 参 见 Computers 组 Users 组 Global 组 96
词 汇 表 主 机 完 整 性 : 定 义 强 制 执 行 和 恢 复 客 户 端 的 安 全 性 以 保 证 企 业 网 络 和 数 据 安 全 的 能 力 可 以 设 置 主 机 完 整 性 规 则 以 验 证 尝 试 网 络 访 问 的 代 理 是 否 正 在 运 行 防 病 毒 软 件 补 丁 程 序 修 补 程 序 和 其 他 应 用 程 序 标 准 另 请 参 见 主 机 完 整 性 策 略 主 机 完 整 性 检 查 Symantec Enforcer 主 机 完 整 性 检 查 : 您 所 设 置 的 主 机 完 整 性 策 略 是 通 过 运 行 主 机 完 整 性 检 查 的 Symantec Agent 来 实 现 的 在 主 机 完 整 性 检 查 的 过 程 中, 代 理 会 按 照 在 主 机 完 整 性 策 略 中 设 置 的 要 求 来 检 查 注 册 表 键 正 在 运 行 的 应 用 程 序 或 日 期 和 文 件 大 小 如 果 在 计 算 机 中 尚 未 安 装 所 需 的 软 件 补 丁 程 序 和 修 补 程 序, 则 可 将 代 理 设 置 为 连 接 到 更 新 服 务 器 以 下 载 并 安 装 所 需 的 软 件 主 机 完 整 性 策 略 : 主 机 完 整 性 策 略 可 精 确 地 指 定 要 在 客 户 端 计 算 机 上 运 行 所 需 的 软 件, 例 如, 安 全 应 用 程 序 ( 如 防 火 墙 或 防 病 毒 软 件 ) 防 病 毒 特 征 文 件 更 新 版 本 信 息 和 操 作 系 统 补 丁 程 序 及 Service Pack 主 机 完 整 性 恢 复 : 允 许 系 统 自 动 更 新 ( 如 果 需 要 ) 的 选 项 与 Enforcer 一 起 工 作, 可 以 设 置 主 机 完 整 性 规 则, 以 验 证 尝 试 访 问 的 代 理 是 否 在 运 行 防 病 毒 软 件 和 其 他 所 需 的 软 件 补 丁 程 序 和 修 补 程 序, 并 检 查 指 定 的 注 册 表 键 值, 然 后 如 果 代 理 的 系 统 和 文 件 已 过 时, 则 自 动 进 行 更 新 站 点 : 一 个 或 多 个 Symantec Policy Manager 一 个 策 略 管 理 器 数 据 库 一 个 或 多 个 Symantec Enforcer( 可 选 ) 以 及 若 干 个 连 接 到 策 略 管 理 器 的 客 户 端 本 地 站 点 是 指 您 登 录 的 策 略 管 理 器, 管 理 员 可 以 从 本 地 站 点 查 看 远 程 站 点 智 能 DHCP: 一 种 智 能 通 信 过 滤 选 项, 可 允 许 动 态 主 机 配 置 协 议 (DHCP) 客 户 端 接 收 来 自 DHCP 服 务 器 的 IP 地 址, 同 时 保 护 客 户 端 免 受 来 自 网 络 的 DHCP 攻 击 如 果 Symantec Protection Agent 向 DHCP 服 务 器 发 送 一 个 DHCP 请 求, 则 它 会 等 待 5 秒 以 允 许 传 入 的 DHCP 响 应 如 果 Symantec Protection Agent 未 向 DHCP 服 务 器 发 送 DHCP 请 求, 则 智 能 DHCP 不 会 允 许 数 据 包 智 能 DHCP 并 不 禁 止 数 据 包 如 果 做 出 了 DHCP 请 求, 则 它 只 会 允 许 数 据 包 任 何 其 他 的 DHCP 禁 止 或 允 许 都 是 通 过 普 通 的 安 全 规 则 集 实 现 的 另 请 参 见 动 态 主 机 配 置 协 议 (DHCP) 智 能 DNS: 一 种 智 能 通 信 过 滤 选 项, 可 允 许 域 名 系 统 (DNS) 客 户 端 解 析 来 自 DNS 服 务 器 的 域 名, 同 时 提 供 针 对 来 自 网 络 的 DNS 攻 击 的 防 护 本 选 项 可 禁 止 除 传 出 DNS 请 求 和 相 应 的 回 复 之 外 的 所 有 域 名 系 统 (DNS) 通 信 如 果 客 户 端 计 算 机 发 送 了 一 个 DNS 请 求 而 另 一 台 计 算 机 在 5 秒 内 做 出 响 应, 则 允 许 通 信 将 丢 弃 所 有 其 他 DNS 数 据 包 智 能 DNS 不 禁 止 任 何 数 据 包 ; 禁 止 是 通 过 普 通 的 安 全 规 则 集 实 现 的 智 能 通 信 过 滤 器 : 与 防 火 墙 策 略 相 关, 允 许 特 定 类 型 的 通 信, 此 类 通 信 必 须 在 大 多 数 网 络 上 都 是 允 许 的, 如 DHCP DNS 和 WINS 通 信 另 请 参 见 智 能 DHCP 智 能 DNS 智 能 WINS 智 能 WINS: 一 种 智 能 通 信 过 滤 选 项, 本 选 项 只 有 在 Windows Internet 名 称 服 务 (WINS) 被 请 求 时, 才 允 许 该 服 务 如 果 该 通 信 未 被 请 求, 则 会 禁 止 WINS 回 复 97
Symantec Protection Agent 安 装 使 用 指 南 子 网 :TCP/IP 网 络 的 一 部 分, 用 于 通 过 将 网 络 划 分 成 多 个 部 分 或 区 段 来 增 加 网 络 的 带 宽 子 网 中 的 所 有 IP 地 址 都 使 用 相 同 的 前 三 组 数 字 ( 如 192.168.1.180 和 192.168.1.170 中 的 192.168.1), 这 表 示 它 们 在 相 同 的 网 络 中 另 请 参 见 子 网 掩 码 子 网 掩 码 : 一 种 可 允 许 对 网 络 进 行 划 分 并 提 供 更 复 杂 的 地 址 分 配 的 值 子 网 掩 码 的 形 式 为 nnn.nnn.nnn.nnn, 如 255.255.255.0 98
索 引 A 安 全 测 试 按 钮... 29 安 全 规 则 查 看 器... 26 C 菜 单 超 级 用 户... 14 服 务 器 控 制... 14 客 户 端 控 制... 14 处 所 更 改... 25 确 定... 3 F 防 护 代 理 安 装... 6 接 收... 5 启 动... 9 卸 载... 7 G 高 级 应 用 程 序 规 则 常 规 选 项 卡... 46 调 度 选 项 卡... 50 端 口 和 协 议 选 项 卡... 48 应 用 程 序 选 项 卡... 51 主 机 选 项 卡... 47 高 级 应 用 程 序 规 则... 54 规 则 查 看 器... 26 高 级... 45 应 用 程 序... 33 H 回 溯 日 志... 76 I ICMP 扫 描... 30 J 禁 用 按 钮... 54 K 控 制 模 式... 3 快 速 扫 描... 30 P 配 置 文 件 导 出... 25 导 入... 25 R 日 志 保 存... 78 查 看 日 志... 65 关 于... 65 过 滤... 77 回 溯... 76 启 用... 75 清 除... 75 数 据 包 日 志... 68 99
Symantec Protection Agent 安 装 使 用 指 南 通 信 日 志... 66 系 统 日 志... 70 行 为 日 志... 73 S 扫 描 系 统 访 问... 29 类 型... 30 T TCP 扫 描... 30 特 洛 伊 扫 描... 30 图 标, 代 理... 20 弹 出 消 息... 55 U UDP 扫 描... 30 X 安 全... 61 弹 出...55, 56 警 告... 62 消 息 : 弹 出... 78 选 项 IEEE 802.1x 验 证 选 项 卡... 44 安 全 性 选 项 卡... 38 常 规 选 项 卡... 35 电 子 邮 件 通 知 选 项 卡... 42 访 问... 35 可 用 性... 3 日 志 选 项 卡... 43 网 上 邻 居 选 项 卡... 37 Y 隐 藏 扫 描... 30 应 用 程 序 高 级 选 项... 33 设 置 访 问 权... 31 消 息 100