安全为先,打造企业网络防毒体系
企业观察
随着网络的发展,安全问题越来越得到企业管理者的重视,传统意义上的单机版杀毒软件在很多方面已经无法满足企业用户的实际需求,网络版杀毒软件的应用迫在眉睫。今天笔者就从自己的实际经验出发,为各位介绍如何打造企业的网络防毒体系方案。
精打细算挑选网络防毒软件
防毒体系的搭建需要通过相应的防毒软件来实现,很多企业网络管理员都认为直接使用单机版杀毒软件进行病毒查杀即可,选择网络版着实没有必要,而且网络版杀毒软件的价格与可管理点数相关,上百个点对应的价格要上万元,从价格上讲购买多个单机版软件反而比网络版要节省。
其实上述观点是错的,单机版杀毒软件对于单台计算机的防毒能够起到不错的效果,但是如果从全局考虑,单机版杀毒软件显然无法满足实际需求。例如遇到网络类的蠕虫病毒、ARP欺骗病毒等传播能力强的病毒时,单机版杀毒软件就显得捉襟见肘了,“查杀不干净,病毒反复发作”的情况比比皆是。另外,单机版杀毒软件对用户的操作要求比较高,病毒库要及时更新,查杀病毒的周期也不能太长,一旦用户忘记上述操作的话,杀毒软件就形同虚设。而网络版杀毒软件在可管理性、统一查杀、推送安装、任务更新等方面都有着相当大的优势。
就个人经验而言,当企业的终端节点在50~100个时最好考虑使用网络版杀毒软件,在100个节点以上的话,就必须选择网络版杀毒软件了。那么什么样的网络版杀毒软件能够赢得企业用户的青睐呢?选择网络版杀毒软件应该考虑哪些因素呢?
1.可管理节点数
购买杀毒软件特别是企业版的一定要先确定可管理节点数,这个数量是与价格相关的。笔者所在单位的终端节点数有100多个,再加上服务器若干,考虑到日后升级和节点数增加等问题,决定购买支持200个节点数的网络版杀毒软件。
2.资源占用情况
由于企业内部员工的计算机是不同批次购买的,所以对应的配置各不相同,特别是一些老计算机的内存可能只有512MB或更少,所以在考虑购买杀毒软件时,需要选择那些资源占用比较少、适合在低配置电脑上运行的。
3.客户端与服务器的统一性
由于笔者不只是在员工的客户端上安装杀毒软件,还有几台服务器也需要部署防毒程序。所以在选择网络版杀毒软件时笔者更关注的是客户端与服务器的统一性,即购买的杀毒软件是否具备客户机版与服务器版,如果能够分别在32位机和64位机上安装部署的话更好。就因为这点笔者决定选择NOD32网络版,购买这款防毒产品后用户可以针对普通计算机、服务器、64位机同时管理,真正起到花一次钱一步到位的效果。
4.考虑价格因素
决定了杀毒软件的类型和需要购买的管理点数后就要考虑价格了,一般来说代理商之间报价有些许差别,多询问几家然后互相压价即可。另外购买后可用的时间越长,平均下来每年的使用费用就越低,例如购买3年200个节点的费用要比购买1年200个节点乘以3的价格便宜很多。经过多个方面的精打细算,笔者最终选择了3年200个节点的ESET NOD32网络版杀毒软件部署在企业内网中。
部署企业网络防毒体系
部署前需要对整个ESET NOD32网络杀毒体系结构有一个清晰的了解。在图1中可以看到,整个ESET NOD32网络版杀毒体系实际上由三部分组成。第一部分是镜像服务器,传统意义上的ESET NOD32在安装后都会直接通过Internet连接ESET公司的官方升级服务器,这就是单机版的表现形式。而网络版NOD32则是建立了一个镜像服务器,更新升级任务由该服务器来完成,利用Internet保持与官方升级病毒库数据同步。内网各个客户端都通过镜像服务器来升级。
第二部分是镜像服务器上安装的名为ERAS的服务端程序,该服务端程序的主要任务是采集客户端信息并向它们发送各种请求。而所有管理则是通过名为ERAC的管理控制端实现的,这个管理控制端可以安装在内网或外网的任何一台联网机器上,前提是可以顺利访问ERAS镜像服务器,最终网管人员通过ERAC对企业内网杀毒体系进行控制与管理。第三部分就是防毒体系了,主要是指企业内网各个客户端以及服务器上部署的NOD32防毒程序,而这个程序是由镜像服务器的ERAS服务端程序生成的企业个性化NOD32程序包所安装的。
总的来说,我们在部署NOD32网络版时要保证有一台服务器作为镜像服务器,同时需要安装ERAS服务端程序,最后在某台管理机上安装ERAC管理控制端程序。ERAS服务器是连接ERAC控制台和客户端的纽带,所有信息在到达客户端或ERAC控制台前都会在这里得到处理、修改和维护。在实际部署时,ERAS服务端程序必须安装在一台服务器上,而ERAC管理控制端程序则可安装在任何一台联网主机上。
1.镜像服务器的生成
(1)首先需要选择一台负载小的服务器作为NOD32网络版的核心——镜像服务器,接下来在该服务器上安装NOD32防毒程序,整个步骤和平时安装一样。安装完毕后我们在桌面右下角可以看到NOD32网络版的图标,双击打开NOD32程序,然后选择右上角“设置→高级设置”,或者按F5键也可以(图2)。
(2)在高级设置界面下选择“其他→许可证”,然后通过“添加”按钮找到网络版杀毒软件安装光盘中提供的许可证文件nod32.lic。这个文件是非常关键的,我们花钱购买网络版杀毒软件从某种意义上讲购买的就是该文件(图3)。
(3)再次在高级设置界面下选择“更新→设置”,打开“高级设置”窗口,在高级设置窗口选择“镜像”标签,在“创建更新镜像”前打钩,在默认情况下“通过内部HTTP服务器提供更新文件”也是选中的,默认的保存镜像文件的文件夹不做任何更改即可,如果企业用户有特殊需要,可以通过旁边的按钮修改,默认路径为C:\Documents and Settings\All Users\Application Data\ESET\ESET NOD32 Antivirus\mirror。用户名及密码不需要输入,点击“确定”(图4)。
(4)通过此操作就可以将这台服务器变为镜像服务器了,当以前安装的NOD32程序连接到官方网站更新完毕后,会在C:\Documents and Settings\All Users\Application Data\ESET\ESET NOD32 Antivirus\mirror创建一个镜像升级目录,里面存储的是最新的病毒库程序,同时该服务器还将通过HTTP发布该目录,为网络中其他终端提供病毒库更新服务。
2.ERAS的安装
接下来是ERAS的安装,ERAS服务端程序的主要任务是采集客户端信息并向它们发送各种请求。运行安装光盘中的era_server_nt32_chs.exe,启动ESET Remote Administrator server 3.1.11安装程序。接下来的步骤是选择许可证,这个许可证与前面介绍的导入授权许可时用到的文件是同一个,通过“浏览”按钮进行添加,相关的产品、用户、许可日期都会显示出来。
设置各个密码,包括管理控制台的管理控制密码、只读密码以及远程安装密码等信息,笔者觉得这些密码中Administrator Access Password For Console最重要,应该对它进行添加。完成安装后在服务器上的操作就结束了。
3.ERAC的安装
接下来该安装era_console_nt32_chs.msi控制台程序,这个程序可以安装在网络中任何一台计算机上,主要是帮助网络管理员进行管理。启动ESET Remote administrator console 3.1.11程序,设置服务器参数,这里输入的地址是刚才部署ERAS的服务器地址,而不是本机地址,如笔者的是58.129.1.23,连接端口使用的是2223,记住在路由器上为该端口作出预留。
完成后在桌面上会看到ESET remote administrator console控制台的图标,运行后就会自动连接目的ERAS服务器,如果我们设置了访问管理员密码的话,需要输入密码才能够顺利连接进入。
4.客户端的发布
我们搭建了企业内网NOD32防毒体系,就应该拥有自己专有的NOD32安装程序,因为默认的升级服务器已经不再是官方服务器地址,而是企业内网ERAS服务器地址,因此需要制作适合自己企业的NOD32安装程序,下面就来说说客户端安装程序的发布。
(1)启动ESET remote administrator console控制台,然后选择“远程安装”标签中的管理安装包右边的“安装包”按钮。在安装包编辑器中点“添加”按钮,然后通过“浏览”按钮选择要给内网各个主机安装的NOD32客户端版本(官方版),点“创建”按钮之后可以看到添加的安装包程序版本,目前这个安装包和官方版没有任何区别,点“编辑”按钮可制作个性化安装包。
(2)接下来的主要工作就是修改“升级服务器”地址,在编辑器中有两个地方需要做更改,一个是“ESET核心→设置→远程管理→服务器地址”,将里面的值修改为ERAS服务器IP地址,其他信息不需要更改。保存后再打开编辑器选择下面的“升级模块→设定档→设置→升级服务器”,同样将这个地址修改,添加ERAS服务器地址,例如本例的http://58.129.1.23:2223,然后返回到“安装包编辑器”中,点“另存为”按钮使更改信息生效。
(3)继续在安装包编辑器中点“复制”按钮,将个性化安装包存储到桌面上。生成的安装程序是EXE格式的,可以直接在客户端上进行安装。
5.客户端的安装
生成的个性化NOD32网络版程序,我们可以在内网任何一台主机上安装,安装过程和方法与官方版是一致的,运行EXE文件后一路点“下一步”按钮即可。提示填写用户名和密码时不需要输入,因为相关的授权和账户验证已经由镜像服务器来完成了,管理员不需要对每台机器分别授权,这也是网络版的一个优势,点“以后再设置用户名和密码”即可。
安装完成后,在ESET remote administrator console控制台上可以看到相关终端机出现的信息,包括名称、服务器信息以及安装的产品名称、更新状态、病毒数据库信息等。
至此就完成了企业内网防毒体系的部署,在企业内部各个终端和服务器上都可以安装个性化生成的NOD32防毒程序,同时各个终端的安全防范信息都可以从ESET remote administrator console控制台看得清清楚楚,通过NOD32网络版防毒程序可以更好地打造企业安全内网。