1、PAGE47展訊客戶端安全管理實方案目錄 TOC o 1-3 h z u HYPERLINK l _Toc4 1客戶需分析 PAGEREF _Toc4 h 2 HYPERLINK l _Toc5 2方案實施目標 PAGEREF _Toc5 h 3 HYPERLINK l _Toc6 3實施環境需求 PAGEREF _Toc6 h 4 HYPERLINK l _Toc7 SEPM 服務器軟硬件配置要求 PAGEREF _Toc7 h 4 HYPERLINK l _Toc8 SEP 客戶端軟硬件配置要求 PAGEREF _Toc8 h 4 HYPERLINK l _Toc9 Splunk 服務器軟

2、硬件需求 PAGEREF _Toc9 h 4 HYPERLINK l _Toc0 4SEP實施過程 PAGEREF _Toc0 h 5 HYPERLINK l _Toc1 SEPM實施 PAGEREF _Toc1 h 5 HYPERLINK l _Toc2 安裝Symantec Endpoint Protection服務器和控制臺 PAGEREF _Toc2 h 5 HYPERLINK l _Toc3 安裝負載均衡 PAGEREF _Toc3 h 14 HYPERLINK l _Toc4 導出Symantec Endpoint Protection客戶端 PAGEREF _Toc4 h 25

3、HYPERLINK l _Toc5 SEPM配置 PAGEREF _Toc5 h 31 HYPERLINK l _Toc6 配置負載均衡 PAGEREF _Toc6 h 31 HYPERLINK l _Toc7 USB控制策略配置 PAGEREF _Toc7 h 36 HYPERLINK l _Toc8 SEP client 安裝 PAGEREF _Toc8 h 39 HYPERLINK l _Toc9 安裝前環境測式 PAGEREF _Toc9 h 39 HYPERLINK l _Toc0 手動安裝Client SEP步驟 PAGEREF _Toc0 h 39 HYPERLINK l _To

4、c1 安裝SEP軟件截圖說明 PAGEREF _Toc1 h 40 HYPERLINK l _Toc2 5Splunk 實施過程 PAGEREF _Toc2 h 41 HYPERLINK l _Toc3 Splunk說明 PAGEREF _Toc3 h 41 HYPERLINK l _Toc4 安裝Splunk PAGEREF _Toc4 h 41 HYPERLINK l _Toc5 Splunk 拓撲圖 PAGEREF _Toc5 h 43 HYPERLINK l _Toc6 報表分析 PAGEREF _Toc6 h 43 HYPERLINK l _Toc7 網絡安全日志搜索分析 PAGER

5、EF _Toc7 h 44 HYPERLINK l _Toc8 防火墻流量排名 PAGEREF _Toc8 h 44 HYPERLINK l _Toc9 分析所有CISCO設備的重啟及告警等信息 PAGEREF _Toc9 h 45 HYPERLINK l _Toc0 cisco vpn設備 PAGEREF _Toc0 h 47 HYPERLINK l _Toc1 SEPM服務器日志搜索分析 PAGEREF _Toc1 h 47客戶需分析展訊通信作為手機芯片研發的領先公司，需要對企業核心知識產權文件做管控，包括內網和外網的文件服務器做管控，不希望這些文件服務器上的文件被客戶端用戶拷貝到U盤等移

6、動外設上，要能夠自動告警和做記錄，要能夠方便的查詢到有哪些人試圖做這些事情，并進行相關的統計和分析。方案實施目標在外網部屬SEPM服務器兩臺，采用內SQL數據庫，配置負載均衡高可用性。在所有需要管理的客戶端PC或Notebook上安裝SEP Client，統一接受SEPM的管理定義安全策略，禁止向移動設備寫入文件，并在所有需要管控的客戶端上啟用策略，使用密碼保護禁止非法刪除SEP客戶端軟件任何被管控的客戶端有違反的行為，會在客戶端自動彈出通知窗口，通知內容可自定義，任何違反的行為會被自動禁止，并且記錄到日志中。在外網部屬一臺Splunk Server，統一收集防火墻日志（包括VPN訪問日志等）

7、，SEPM服務器的日志，或內外網文件服務器的Windows日志等，做到日志的快速查詢，違反安全策略的統計分析等。部署框架圖如下：實施環境需求 SEPM 服務器軟硬件配置要求CPU：P4 以上；內存：2G 以上；硬盤：10G以上剩余空間；Symantec Endpoint Protection 版本 操作系統：Windows Server 2003 Standard Edition Service Pack 1或更高版本數據庫：SQL Server 2005 及以上版本WEB服務器：Internet Information Services Server 或更高版本瀏覽器：Internet Ex

8、plorer 或更高版本IP地址：靜態IP地址 SEP 客戶端軟硬件配置要求CPU：P4 以上；（32位處理器）內存：512M以上硬盤：1G以上剩余空間（非常重要）；操作系統：Windows XP Professional Service Pack 2瀏覽器：Internet Explorer 或更高版本 Splunk 服務器軟硬件需求CPU：雙核、內存：8G內存以上硬盤：存儲容量400G；操作系統：windows server 2003瀏覽器：Internet Explorer 或更高版本SEP實施過程SEPM實施安裝Symantec Endpoint Protection服務器和控制臺將安

9、裝光盤放入服務器光驅中，會自動彈出如下界面點擊“安裝Symantec Endpoint Protection”，出現如下提示點擊“安裝Symantec Endpoint Protection Manager”，將同時安裝服務器和控制臺安裝程序將檢查系統是否滿足需求，如果沒有安裝IIS，系統將會提示點擊“確認”后，會退出安裝程序，等待安裝IIS再重裝。如果系統滿足要求將會繼續，出現如下安裝向導：點擊“下一步”，出現安裝許可協議選擇“接受該許可協議中的條款”，點擊“下一步”確認安裝目錄，點擊“下一步”保持“使用默認WEB站點”選項，點擊“下一步”確認以上信息后，點擊“安裝”開始安裝過程開始安裝過程

10、，安成后出現如下提示點擊“完成”，系統會自動彈出“管理服務器配置向導”選擇“安裝我的第一個站點”，然后點擊“一下步”確認以上信息，點擊“下一步”命名此站點名稱后，點擊“下一步”輸入服務器和客戶端加密通信時使用的密碼，點擊“下一下”確認使用“SQL數據庫”，點擊“下一步”輸入登入管理員admin的密碼，砍認后，點擊“下一步”系統將創建軍數據庫，等待一段時間，待其配置完成后，服務器和控制臺即安裝完成。選擇“否”然后點擊“完成”。系統將自動彈Symantec Endpoint protection Manager登入界面。輸入安裝里指定的“用戶名”和“密碼”，點擊“登錄”出現Symantec End

11、point Protection Manager 主頁面，服務器和控制臺安裝完成。安裝負載均衡在另外一臺服務器上安裝SEPM，重啟電腦，進入“Server Configuration Assistant”的配置界面：由于我們要生成新的數據庫，所以應當生成一個新的站點。進入下一步：輸入相應的本機機器名和SEPM之間使用的端口此時界面中看到的站點名就是新站點的名稱。管理員可以根據需要修改。記住，安裝完成之后是不能再改動了。進入下一步：輸入遠程的主站點的服務器名、SEPM使用的端口號、SEPM服務器登陸的帳號和密碼。此處注意：輸入的不是主站點的Windows登錄名和密碼。如果用戶名和密碼輸錯，會出現

12、如下的錯誤提示：選擇信任此證書。接著輸入次站點數據庫的信息：開始將主站點的數據復制過來。安裝過程驗證。可以看到創建軍了SQL的數據庫。復制即將結束：一切順利：導出Symantec Endpoint Protection客戶端在服務器上，點擊菜單欄上的“開始”，選擇“程序”中的“Symantec Endpoint protection Manager”下的“Symantec Endpoint Protection Manager 控制臺”打開控制臺，輸入用戶名和密碼，登錄到控制臺界面在左側菜單項中選擇“管理員“圖標，出現”管理員“界面點擊菜單欄中“安裝軟件包”，出現如下界面在“查看安裝軟件包”部

13、分選擇“客戶端安裝功能集”在“任務”欄中點擊“添加客戶端安裝功能集”，出現如下界面在其中分別填入相應的字段，包括“名稱”、“說明”、以及要包括的功能，如下圖按照以上圖示選擇相應的功能集，然后點擊“確定”，則在功能集列表中會增加一個的新功能集在“查看安裝軟件包”部分選擇“客戶端安裝軟件包”選擇軟件包名稱為“Symantec Endpoint Protection 版本（用于WIN32BIT）”，點擊任務欄中的“導出客戶端安裝軟件包”分別配置導出文件要存放的位置“導出文件夾”，以消息“針對此軟件包創建單個.exe”，選擇要使用的功能為剛才新創建的功能集名稱，此例中為“防病毒、防間諜軟件和網絡威脅防

14、護”，同時指定導出軟件包所屬的組，點擊“確定”導出完成后，在相應的目錄下會郵現客戶端安裝文件夾目錄，在服務器上共享些文件夾，或者將其拷貝至存儲介質，在客戶端直接安裝。SEPM配置配置負載均衡當我們安裝完第二個站點的SEPM服務器后，我們接著就可以配置負載均衡關系了。首先我們切換到“策略”配置頁面，選擇策略組件管理服務器列表。我們看到現在系統默認已經生成了二個Policy Manager Lists。它們分別是：“站點一的默認管理服務器列表”和“站點二的默認管理服務器列表”接下來我們可以從新定義SEP11客戶端連接的服務器列表。首先我們點擊界面上的“添加管理服務器列表”，如下圖所示：接著我們對新

15、的服務器列表重新命名，輸入描述，連接協議（http或者是https）接下來我們需添加一個新優先級：“優先級1”，并在這個優先級設置下面添加我們想要的SEPM列表：在SEPM服務器的IP地址編輯框中一般輸入服務器的IP地址，但是考慮到SEM的負載均衡，我們應輸入服務器的域名，當然，如果企業沒有采用域的管理，我們可以只輸入SEPM服務器的計算機名。如下圖所示：如果SEPM服務器采用了其他的端口，也可以在上述的配置窗口中重新定義。如果企業有自己的DNS系統，我們在這里可以只輸入一個域名。同時管理員在企業的內部DNS服務器上配置域名解析，把局域網中的某臺SEPM服務器或者所有的SEPM服務器全部指向域

16、名 。這樣即使當其中一臺SEPM服務器宕機時，也毫不影響SEP11客戶端與SEPM服務哭的連接。如果企業內沒有DNS服務器，為了負載均衡的需要，我們在優先級1中可以配置多臺服務器群，如下圖所示：這樣當優先級1中有任何一臺SEPM服務器宕機時，SEP11依然可以連接到剩下的SEPM服務器。配置完成之后的服務器列表如下圖所示：接下來我們把這些SEPM服務器列表的策略配置到相應的用戶群組中。先選中右邊的服務器列表中某一個SEPM List，點擊鼠標右鍵的“分配”：選擇需要分配到的組，如下圖所示：負載均衡結構圖USB控制策略配置打開管理員控制臺，點選policy項中的應用程序及設備控制策略進行只讀策略

17、、禁止寫入策略、記錄寫入策略。進入編輯各策略如下圖：只讀策略規則集禁止寫入規則記錄寫入策略規則分配策略到各gorup中 SEP client 安裝安裝前環境測式查看電腦現有的硬件配置環境查看是否安裝有其它產品的殺毒軟件及防火墻避免大量部署后客戶端出現異常，因此需進行小范圍安裝測試首先在只有幾臺電腦的小區域網絡環境進行試安裝確定穩對此環境中沒有影響時，再進行大量部署。手動安裝Client SEP步驟1） 使用域管理員身份登入客戶端。2） 卸載Client原有的防護軟件及防火墻程序。3） 卸載完成后重啟客戶端操作系統。4） 再次以域管理員身份登入客戶端。5） 通過網絡共享方式手動執行安裝程序。6）

18、 Client 安裝完成后重啟操作系統。7） 啟動后檢查客戶端工作是否正常。安裝SEP軟件截圖說明找到SEP軟件，雙擊執行安裝文件當彈出安裝對話框時，讓它自行安裝及可。當電腦任務檔中出顯圖標時，表示已經安裝完成。程序裝完后的界面如下：成功安裝完成后，請手動重啟電腦Splunk 實施過程 Splunk說明利用splunk的強大的搜索功能，快速找到網絡設備資源，以便快速找到問題點；利用splunk強大的日志收集分析功能來進行安全審計，當有違規事件發生時利用splunk來快速定位問題，使其符合PCI法規遵從的要求；利用splunk靈活的報表功能來對網絡設備中的用戶訪問行為定制相關的報表；IT管理人員

19、通過splunk可以實時知道網絡設備的狀況。 安裝Splunk運行Splunk安裝程序如下圖安裝過程需等待數分鐘后，才可以完成，完成如下圖：登入畫面如下圖：Splunk的主控臺中可以進行相關設定配置。畫面如下圖：Splunk 拓撲圖 報表分析 網絡安全日志搜索分析如針對防火墻日志，在Splunk上被判定為“Host=X X X X ”以及“Sourcetype= udp:514”,接下來我們看看，由Splunk為這些日志產生的報表。防火墻流量排名搜索語句：host=x. x. x .x |stats sum(sent) sum(rcvd) by src|sort sum(sent) sum(rcvd) desc |head 10上圖是Splunk根據防火墻日志產生的流量排名，圖中顯示的是排在前10名的IP地址。橫坐標表示的是IP地址，縱坐標表示的是每個地址的接收（Rcvd）流量的合計和發送（Sent）流量的合計。下圖為具體數字信息：4.1.2、防火墻策略匹配率分析搜索語