03深度安全解决方案的部署和应用

场景•某公司新部署了VMware虚拟化系统整合方案，采用云计算基础架构，大量提升了服务器的使用效率。•为了确保服务器上的数据安全，避免恶意软件和黑客攻击的风险，公司考虑通过部署趋势科技深度安全解决方案加固虚拟化系统的安全。•预期可以实现虚拟层病毒防护、虚拟补丁、防火墙、完整性监控和日志审计功能。Copyright2012TrendMicroInc.1深度安全解决方案的部署Copyright2012TrendMicroInc.2迈向云端•全程护航内容概要•DeepSecurity系统需求•DeepSecurity部署前的准备•DeepSecurity各组件的部署•DeepSecurity基本配置Copyright2012TrendMicroInc.3迈向云端•全程护航内容概要•DeepSecurity系统需求•DeepSecurity部署前的准备•DeepSecurity各组件的部署•DeepSecurity基本配置Copyright2012TrendMicroInc.4迈向云端•全程护航DeepSecurity组件构成•DeepSecurityManager•DeepSecurityVirtualAppliance•DeepSecurityAgent•DeepSecurityRelay•DeepSecurityNotifyCopyright2012TrendMicroInc.5迈向云端•全程护航迈向云端•全程护航Confidential|Copyright2012TrendMicroInc.2迈向云端•全程护航Cont.Confidential|Copyright2012TrendMicroInc.2迈向云端•全程护航DeepSecurityManager需求Copyright2012TrendMicroInc.9组件最小需求内存4GB磁盘空间1.5GB剩余(推荐5GB)—必须安装在NTFS分区操作系统MicrosoftWindows2012（64位）、WindowsServer2008（64位）、WindowsServer2008R2（64位）、Windows2003ServerSP2（64位）、RedHatLinux5/6（64位）支持的数据库ApacheDerbydatabaseengine(默认安装)Oracle11gOracle10gMicrosoftSQLServer2012（所有ServicePack）MicrosoftSQLServer2008（所有ServicePack）迈向云端•全程护航WebConsole需求Copyright2012TrendMicroInc.10组件最小需求支持的Web浏览器Firefox12或以上InternetExplorer8.0或以上Chrome20或以上Safari5或以上（必须启用所有浏览器中的Cookie。）迈向云端•全程护航DeepSecurityAgent需求Copyright2012TrendMicroInc.11软件最小需求内存128MB(不启用防病毒功能)512MB(启用防病毒功能)磁盘空间500MB（启用防恶意软件防护时建议使用1GB）操作系统MicrosoftWindowsXP(32-or64-bit)MicrosoftWindows2003(32-or64-bit)MicrosoftWindowsVista(32-or64-bit)MicrosoftWindows2008(32-or64-bit)MicrosoftWindows7(32-or64-bit)MicrosoftWindows8(32-or64-bit)MicrosoftWindows2012(64-bit)Solaris9,10or11(64-bitSparc)Solaris10,11(64-bitx86)RedHatEnterprise5,6(32-or64-bit)OracleLinux5,6（32位和64位）SuSEEnterpriseServer10,11,11SP1(32-or64-bit)CentOS5,6Ubuntu11.04or12.04LTS（64位）AmazonLinux（32位和64位）AIX5.3or6.1（AIX客户端不支持防恶意软件或Web信誉服务防护。）HP-UX11iv3（HP-UX客户端仅支持完整性监控和日志审查。）迈向云端•全程护航DeepSecurityVirtualAppliance需求Copyright2012TrendMicroInc.12软件最小需求内存2G（与VMs数量有关）磁盘空间20GB操作系统基本DSVA功能:VMwarevCenter5.xandESXi5.x附加Vmware工具:VMTools,VmwarevShieldManager5.x,VmwarevShieldEndpointSecurity5.x(适用于vShieldEndpoint驱动程序的ESXi5PatchESXi500-201109001或更高版本）VMEndpoint支持的OS:WindowsServer2008（32位和64位）、WindowsServer2008R2（64位）、Windows7（32位和64位）、WindowsVista（32位和64位）、WindowsServer2003SP2R2（32位和64位）、WindowsServer2003SP2（32位和64位）、WindowsXPSP2（32位和64位）。(有关支持的客户虚拟机平台的最新列表，请参阅VMware文档。)TPM虚拟机监控程序完整性监控要求具有ESXi5.1，在ESXi5.0上不受支持.迈向云端•全程护航DeepSecurityRelay需求Copyright2012TrendMicroInc.13软件最小需求内存512MB磁盘空间500MB（启用防恶意软件防护时建议使用1GB）操作系统MicrosoftWindowsXP(32-or64-bit)MicrosoftWindows2003(32-or64-bit)MicrosoftWindowsVista(32-or64-bit)MicrosoftWindows2008(32-or64-bit)MicrosoftWindows7(32-or64-bit)MicrosoftWindows8(32-or64-bit)MicrosoftWindows2012(64-bit)Linux:RedHat5(64-bit),RedHat6(64-bit),CentOS5(64-bit),CentOS6(64-bit)迈向云端•全程护航DeepSecurityNotifier需求•Windows:–WindowsServer2012（64位）–Windows8（32位和64位）–Windows7（32位和64位）–WindowsServer2008R2（64位）–WindowsServer2008（32位和64位）–WindowsServer2008R2Hyper-V(*)–WindowsVista（32位和64位）–WindowsServer2003SP1（32位和64位）带有patch“WindowsServer2003ScalableNetworkingPack”(***)–WindowsServer2003SP2（32位和64位）–WindowsServer2003R2SP2（32位和64位）–WindowsXP（32位和64位）–WindowsXPEmbedded(**)(***)Copyright2012TrendMicroInc.14迈向云端•全程护航内容概要•DeepSecurity系统需求•DeepSecurity部署前的准备•DeepSecurity各组件的部署•DeepSecurity基本配置Copyright2012TrendMicroInc.15迈向云端•全程护航软件和激活码的准备•准备VMware环境并授权–部署VmwarevShieldManager–安装vShieldEndPoint主机驱动程序–批量安装vShieldEndPoint模块•解决方案编号：72267•DeepSecurity各组件安装程序–=CH&clk=latest&clkval=4195&lang_loc=15•DeepSecurity激活码Copyright2012TrendMicroInc.16迈向云端•全程护航数据库•强烈建议在部署DS时为DSM准备独立的数据库,ApacheDerby嵌入式数据库只适合10客户端的小规模环境•DSM和数据库尽量分开部署在不同的服务器上并尽量采用64位操作系统•对于VM环境，DSM的数据库虚拟服务器绝不能位于受DS保护的ESXi服务器上Copyright2012TrendMicroInc.17迈向云端•全程护航开放端口•DSM开放端口–TCP4120入站与DSA/DSVA通讯端口–TCP4119入站WEB控制台端口–TCP1521入站与OracleDatabaseserver双向通信的端口–TCP1433/1434入站与MicrosoftSQL通信端口–TCP389出站与LDAP连接用于ActiveDirectory集成环境–TCP80,443出站连接到趋势科技DS8.0传统更新服务器–TCP25出站发送通知邮件•DSVA、DSA、DSR通讯端口–TCP4122入站把更新信息转发到Agent/Appliance–TCP4118入站DSVA/DSA与DSM的通讯端口–TCP80,443出站更新端口–TCP514出站与SYSLOG服务器双向通信Copyright2012TrendMicroInc.18迈向云端•全程护航主机名解析•确保环境中以下组件相互可以解析主机名–DSM----DSVA–DSM----DSA–DSM----vCenter–DSM----ESXi•如果没有内部DNS服务器–手动添加hostname记录Copyright2012TrendMicroInc.19迈向云端•全程护航时间同步•确保DSM与DSA、DSR、vCenter、ESXi以及vShieldManager之间时间同步•如果没有NTP服务器同步时间–确保DS所有组件的系统时间差在24小时以内Copyright2012TrendMicroInc.20迈向云端•全程护航HA环境注意事项（1）•请确保部署DeepSecurity9前完成VmwareHA的搭建•进行故障恢复操作的ESXi主机必须导入到与DSM集成的vCenter环境，并将其置于“prepared”状态•每台ESXi主机上必须部署一台DSVAConfidential|Copyright2012TrendMicroInc.2迈向云端•全程护航HA环境注意事项（2）•虚拟设备（DSVA）被部署在（DRS）的Vmware环境中时请确保DSVA不会被DRS调度而被执行vMotion迁移动作–DSVA必须被“固定”在DSVA所对应的ESXi主机上，请在vCenter控制台上设置DSVA的DRS为手动或关闭（推荐设置）–也可以通过把DSVA部署在ESXi主机的本地存储上来避免DSVA由于DRS调度而导致vMotion迁移动作Confidential|Copyright2012TrendMicroInc.2迈向云端•全程护航HA环境注意事项（3）•如果一台虚拟机由HA控制从一台受到DSVA保护的ESXi主机上vMotion迁移到另外一台不受DSVA保护的ESXi主机，那么这台虚拟机将不再受到DeepSecurity的保护•如果一台虚拟机从不受DSVA保护的ESXi主机vMotion迁移到受DSVA保护的虚拟机时，这台虚拟机不会自动进入“被保护”状态，除非您