社科网首页
您现在的位置是: 首页 > 研究成果
利用ePO高效实施McAfee网络级防毒
作者:李晖 来源:网管员世界杂志 时间:2002-10-01
利用ePO高效实施McAfee网络级防毒 什么是ePO? 以往,在实施网络级防毒的过程中,令网管员头痛的有三大难点:针对网内所有节点的软件配送、网内所有节点的病毒定义库升级,以及对网内防毒现状的掌握。ePO比较好地解决了上述难点。 ePO(ePolicy Orchestrator)是McAfee网络级防病毒套件AVD(Active Virus Defense)中的重要成员。该套件还包括VirusScan(PC级反病毒产品)、NetShield(文件、应用程序级反病毒产品)、GroupShield(群件服务器反病毒产品)、WebShield(Internet网关级反病毒产品)等组件,ePO是上述组件的总控制台。ePO的命名颇具艺术性,取音乐术语中“管弦乐配器家”之含义。VirusScan、NetShield等就如同管弦乐的不同声部,由ePO将它们合成为一部优美的防病毒交响曲。 ePO由管理控制台(ePO Console)、服务器(ePO Server)和终端代理(ePO Agent)三部分组成。ePO的工作流程是这样的: ——控制台先将代理推送到网内的所有节点; ——控制台再通过代理将VirusScan、NetShield等产品推送到代理所在节点; ——控制台通定制策略和计划任务为所有节点上的VirusScan、NetShield等产品实施实时查毒和定时升级; ——代理将从各节点搜集到的相关信息实时反馈给控制台,为管理员出台新策略、新计划任务提供参考。 这个精巧的ePO代理虽然只有500K大小,却集中体现了ePO的优势所在。当ePO服务器与控制台安装到位后,ePO代理通过NT域管理器,被自动分发、部署到网内所有节点。代理被推送到位后,自动“打电话回家”,告诉ePO控制台何种McAfee反病毒产品(如果有的话)已被安装到位,并且询问新的指令。ePO服务器将代理传送来的信息与它的数据库进行比较,按照安装时定制的策略发出新指令。例如,为已安装了VirusScan 的所有节点升级病毒定义库。由于ePO捆绑的是Microsoft Data Engine(MSDE)或Microsoft SQL Server数据库,它储存着从分布式代理处收集来的详尽数据,包括每台计算机的内存、CPU、IP地址、工作组、计算机名,及已安装AVD防病毒产品的信息,如扫描引擎的版本、病毒定义库的版本。ePO利用其AVI(Anti-Virus Informant )报告技术,可按照不同的策略生成内容丰富的报告,包括3D柱状图、饼图、线图和报表等各种图表,以追踪病毒感染率和所采取的纠正行动。 McAfee总裁吉恩•霍奇斯先生在2001年7月访华期间,曾对记者谈及McAfee今后的目标:“我们的愿望就是,能让客户的网络管理经理们睡好。因为我们知道,网管的工作很辛苦,我们不想让他们再由于病毒的原因而通宵达旦。我希望我的用户都是幸福的,我们的目标是让网络平平安安。”ePO恰恰体现了霍奇斯的这一愿望。 ePO 2.5版的安装 ePO 2.5版为升级版,升级前先要装2.0版。由于2.0版为多语言版,安装前必须将系统的区域设为英、德、西班牙、法语4种语言中的任一国家,如设置成“英语(美国)”,否则安装完成后,ePO无法初始化。 ePO的安装最小系统需求:Windows NT 4.0 Server / SP5 / NTFS分区 / IE 5.01SP1 / MSDE(Microsoft Data Engine) / 1G硬盘空间 / 128M内存 / PII 400。 在安装过程中,当提示你选择数据库软件时,如果你的网络规模不是很大,直接安装ePO光盘中提供的MSDE即可,并由安装程序自动替你打上Microsoft SQL Server 7的Service Pack 3补丁。2.0版ePO安装完成后,直接运行ePO250.exe即可升级到2.5版。2.5版支持中文系统平台,当系统为非英、德、西、法语平台时,2.5版ePO将默认初始化为英文版。 如果在同一台服务器上安装SQL Server 2000与ePO,必须按照以下顺序:SQL Server 2000——ePO 2.0——ePO 2.5。在ePO 2.0安装过程中出现选择数据库窗口时,请选择“Use an existing database on the network”,但在下面的空栏中填入本服务器的名称。否则,ePO 2.0的安装将无法进行下去。 针对一台ePO服务器可以安装多台ePO控制台,以方便远程、分级管理。 ePO 2.5版的配置 下面分别从初始化及建立新帐户、整合软件库、导入管理目录、推送McAfee产品和定制升级计划任务五步介绍ePO 2.5版的配置过程。 第一步:初始化及建立新帐户。 初次启动ePO控制台(Console)时有一个短暂的初始化过程,默认管理员的用户名和密码同为“admin”,此时控制台会强行提示管理员更改密码。成功登录后,可立即添加全局管理员、全局审阅者、站点管理员和站点审阅者四类帐户,作为其他远端控制台上的管理者登录用。 第二步:整合软件库。 接下来的首要任务是整合软件库(Repository)。鼠标右击控制台管理目录中的Repository——Repository Configure,该整合菜单有三项内容:①添加新软件(Add new software)、②配送软件(Enable software deployment)、③升级插件(Update Plug-in)。 与整合软件库相关的有四类文件: ①NAP文件,又称管理文件,以NAP作为扩展名,兼有添加软件名称至控制台软件库目录及添加策略配制页至控制台策略项的功能。NAP文件位于ePO光盘\Setup\Nap\ \\目录下。 ②PKG文件,以PKG作为扩展名,配送软件的过程就是通过PKG文件按图索骥,将找到的安装文件(binary files)真正复制到软件库中。只有配送过的软件才能由控制台推送。PKG文件位于ePO光盘\Setup\Nap\\\InstallFiles\目录下。 ③安装文件位于McAfee产品光盘中,亦可通过产品授权号从McAfee网站下载。 ④P-NAP文件,插件升级文件。该类文件在命名方法上仅比NAP文件多一个字母P。插件升级文件不用配送,添加后即可推送。 缺省情况下,ePO在安装过程中已将多数相关软件添加到软件库目录中,但未配送,管理员此刻要做的是完成配送工作,并添加从McAfee网站下载的新软件。某些新版软件,如VirusScan 4.51版,已将NAP文件、PKG文件和安装文件放在一起,这就使得添加和配送软件工作可以一气呵成。 另外,由于2.5版ePO支持包括中文在内的多语言系统平台,其附加PKG文件位于\ProgramFiles\McAfee\ePO\2.0\PKGs\\ \InstallFiles)目录下。 第三步:导入管理目录。 配置ePO的第三步是导入ePO控制台欲管辖范围内的所有节点。方法有两种,一是域模式,二是IP模式。前者,管理员可将网上邻居中的域、组、计算机直接导入ePO 控制台的管理目录。后者,管理员可先划分好IP地址范围,然后通过IP排序的方式将不同地址范围的节点分段导入。域模式的优势在于导入过程中可顺势推送代理。IP模式适用范围更广,但代理必须通过UNC共享或ftp、http等方式发送。管理员可根据实际情况任选一种或两种并用。下面是实施该两种模式的详细步骤: 域模式 ——鼠标右击控制台左侧的Directory; ——新建——Site(站点)——Browse(浏览)——选中目标域名后确定; ——选中Send agent package后确定。 推送代理默认的适用对象为纯32位操作系统,如Windows NT/2000/XP等。当推送对象为Windows 9x/ME时,使代理推送到位有4个先决条件: 1. 推送目标必须设为“文件、打印共享”; 2. 推送目标必须设为“用户级访问”; 3. 推送目标必须在控制面板——密码——远程管理者中添加Domain Admin; 4. 推送目标必须重启。 IP模式 ——先将代理安装文件包POAGINST.EXE(位于C:\Program Files\McAfee\ePO\2.0\DB\ Software\ePOAgent2000\2.X.X.XXX\0409\Installfiles目录下)通过UNC共享或ftp、http方式发送到位; ——鼠标右击控制台左侧的Directory; ——新建——Site(站点)——Add,输入站点名称——Add,输入IP子网掩码或IP地址范围; ——依次设置各组(groups)的IP范围; ——鼠标右击控制台左侧的Directory——所有任务——Sort Computers by IP; ——下一步——Place them in this site——Browse——选中刚刚建好的站点; ——OK——下一步——完成。 第四步:推送McAfee产品。 配置ePO的第四步是通过Agent向所有节点推送VirusScan或NetShield,这一步骤是通过配置ePO策略来完成的。 ——在Console左侧目录树中选择配送目标(可以是站点、组、单机); ——在右上栏中选中欲推送对象,如ViruScan v4.51 for Windows; ——选中Force Install ViruScan v4.51 for Windows; ——选中Enforce Policies for ViruScan v4.51 for Windows; ——点击Select选择v4.51版的语种(中文简体版的代码0804、英文版代码0409); ——点击Apply确定。 第五步:定制升级计划任务。 配置ePO的第五步是利用计划任务为所有节点升级病毒库定义库和扫描引擎。McAfee产品默认的升级站点为ftp://ftp.nai.com/virusdefs/4.x,为节省有限的出口带宽,建议在内网建立升级镜像站点。然后定制一项新任务,将内网所有节点的自动升级站点指向本地镜像站点。新版VirusScan 4.5.1已将建立升级镜像站点作为一项计划任务预置在VirusScan控制台中。只需简单设置,该计划任务即可定时自动去Network Associates网站下载所需升级文件,在完成自身升级的同时也将相应文件复制到本地ftproot目录下,以备内网各节点本地升级之用。 组成升级镜像站点的大致有四类文件: 1.增量升级文件,以UPD作为扩展名,仅升级病毒定义库的新最部分,需要DELTA.INI文件的支持; 2.自动升级文件,以ZIP作为扩展名,含全部病毒定义; 3.XDat.exe文件,命名方法是数字代码+xdat,手动病毒定义库升级文件; 4.SupterDat文件,命名方法是sdat+数字代码,手动病毒定义库和扫描引擎双重升级文件。 如欲使本地升级镜像站点具有扫描引擎升级功能,还需到http://www.mcafeeb2b.com/ naicommon/download/dats/superdat.asp处下载Autoupg.zip文件包,解包后,将x86\mcafee\目录下的pkgdesc.ini和setup.iss两文件连同SuperDat文件一并复制到本地ftproot目录下(注:SuperDat文件须更名为setup.exe)。 升级是否具有高时效性十分重要,在有一定规模的网络中,往往一次灾难的起因就在于短暂的管理时间误差。建议安装同为AVD套件之一的SecureCast,这实际上是AVD为企业用户提供的BackWeb客户端。通过简单地安装注册后,用户即可从SecureCast服务器预订到用户权授号(grant number)范围内的所有更新内容,包括最新版本的McAfee产品、产品升级补丁、最新病毒定义库、最新扫描引擎等,而且是在第一时间,由SecureCast服务器直接推送给用户。有关SecureCast的详情,参见《VirusScan 4.5管理员手册》附录D,以及http://www.backweb.com/网站上的相关手册(Icenter.pdf)。 ePO的AVI报告 与其他同类产品相比,ePO有两大优势。一个就是系统资源占用奇小而功用奇强的ePO代理(agent),另一个就是ePO的AVI(Anti-Virus Informant)报告。 AVI报告的数据来自ePO数据库,也就是MSDE或SQL Server。数据的采集靠的是遍布网内所有节点的ePO代理,而采集的内容及更新间隔,可由ePO控制台任意配置,从而充分保证了AVI报告的全面、可靠和实效性。 AVI报告分成覆盖范围(Coverage)和感染情况(Infection)两大类,以及若干小类和45个预制模板,管理员可通过这45个模板直接生成内容丰富、图文并茂的详细报告,并可以rtf、doc、html等20多种格式输出。AVI报告目前已有中文版,企业用户可通过授权号从NAI网站下载epo20rpt.zip安装。中文AVI报告需要中文版SQL Server的支持。 ePO 2.5版新增加了产品覆盖报告(Product Coverage Reports)功能,该报告同时能提供本网内Norton产品的相关情况。该功能已捆绑在代理中,无需额外的安装与配制。
返回列表

中国社科院美国研究所 版权所有@2010 京ICP备05036911号