趋势科技Deep Security平台部署方案
趋势科技Deep Security 平台部署方案
Contents
一、Deep Security 如何保护客户端? (5)
1.各个组件的定义 (5)
2.Deep Security 9.0各模块概述 (6)
二、DS9.0安装的各个组件的需求 (9)
1.Deep Security Manager(DSM) (9)
2.Deep Security Agent(DSA) (9)
3.Deep Security Virtual Appliance(DSVA) (10)
Deep Security9.0与VMware兼容性具体参考如下列表: (11)
4.Deep Security Relay(DSR) (11)
5.趋势科技服务器深度安全防护系统通知程序系统要求 (12)
三、Deep Security 9.0安装前的准备工作 (12)
1.Deep Security 各组件安装包 (12)
2.通信与端口 (12)
3.激活码和更新认证帐号 (15)
4.网络连接 (15)
7.数据库 (16)
8.Vmware 高可用性(HA)环境 (18)
四、虚拟环境无客户端防护部署 (19)
1.推荐环境概述 (19)
2.准备Deep Security 虚拟化防护环境准备标准步骤 (20)
五、Deep Security 9.0的各个组件的安装 (22)
Deep Security 9.0组件安装主要步骤: (22)
1.Deep Security Manager(DSM)安装 (23)
2.Deep Security Relay for Windows(DSR)安装(可选) (30)
3.配置Vmware 整合 (32)
4.Deep Security Virtual Appliance(DSVA)安装部署 (34)
5.Deep Security Agent(DSA)安装 (49)
六、卸载Deep Security (58)
1.移除Deep Security Virutal Appliance(DSVA) (58)
2.还原ESXi主机并卸载Deep Security Filter Driver (59)
3.卸载DSA (61)
七、Deep Security 的基本配置 (64)
1.防火墙 (64)
2.入侵防御 (65)
3.完整性监控 (67)
4.日志审核(Log Inspection) (71)
5.启用病毒保护功能 (72)
6.策略的设置和分配 (76)
7.列表配置 (80)
8.多租户 (85)
八、Deep Security 9.0的升级 (89)
九、附录 (92)
附录一:如何部署vShield Manager (92)
附录二:调整虚拟机filterdriver 性能 (97)
附录三:Deep Security 9.0 离线更新方案 (97)
附录四:Deep Security Anti-malware模块扫描优化配置 (105)
十、趋势科技厂商资源 (109)
企业为了与合作伙伴、员工、供货商或客户有更实时的连接,有越来越多的在线数据中心,而这些应用正面临着日益增加的网络攻击。与传统的威胁相比,这些针对目标性攻击的威胁数量更多也更复杂,所以对于数据安全的遵循就变得更加严格。而您的公司则更坚固的安全防护,让您的虚拟和实体数据中心,以及云端运算不会因信息威胁而造成性能的降低。
虚拟化能够帮助用户显著地节省数据中心运营成本,用户减少硬件成本和能源需求并且可以在部署关键应用方面获得更大的灵活性和可用性。在虚拟化中,IT人员所面对的最大挑战是应用安全机制,即如何能使用户充分利用其在虚拟化方面的投资。这包括如何使用户能够在相同的物理服务器上将虚拟机设置成不同的安全等级,在使用诸如vMotion机制的同时提供持续的防护,当虚拟机在休眠或离线状态下仍能对其进行防护,并且使用户能够扩展其虚拟化环境以充分利用云计算技术。
Trend Micro Deep Security是一种在虚拟、云计算和传统的数据中心环境之间统一安全性的服务器和应用程序防护软件。它帮助组织预防针对操作系统和应用程序漏洞的非法入侵,监控系统的完整性,并集中管理风险日志,符合包括PCI 在内的关键法规和标准,并有助于降低运营成本。
趋势科技Deep Security不但可以对物理服务器上的操作系统、应用程序和数据进行防护,同时利用VMware vShield技术来保护处于运行状态和休眠状态的虚拟机,同时提供集中的控管平台,获得最大化的性能和操作灵活性。
一、Deep Security 如何保护客户端?
Deep Security(DS)9.0是由Deep Security Manager(DSM)、Deep Security Virtual Appliance(DSVA)、Deep Security Relay和Deep Security Agent(DSA)等四个组件构成。
1.各个组件的定义
1)Deep Security Manager (DSM)
DSM功能强大的、集中式管理,是为了使管理员能够创建安全概要文件与将它们应用于服务器、显示器警报和威胁采取的预防措施、分布服务器,安全更新和生成报告。新事件标注功能简化了管理的高容量的事件。
2)Deep Security Agent (DSA)
一个非常轻小的代理软件组件,部署于服务器及被保护的虚拟机器上,能有效协助执行数据中心的安全政策(IDS/IPS、网络应用程序保护、应用程序控管、防火墙、完整性监控及审查日志)。
3)Deep Security Virtual Agent(DSVA)
与Deep Security Agent 相互协调合作,有效且透明化地的在VMwarevSphere虚拟机器上执行IDS/IPS、病毒防护、WEB应用程序保护、应用程序控管及防火墙保护等安全政策和完整性监控。
4)Deep Security Relay(DSR)
用于从趋势科技全球更新源更新Deep Security的组件。至少要求有一台Deep Security
Relay用于更新DSM的DPI Rules。DSA和DSV A 可以通过Deep Security Relay 提升更新组件的性能,并且DSR本身也包含有DSA完整的功能。
2.Deep Security9.0各模块概述
以下表为Deep Security各个模块在不同组件上的运行状态:
注意:DSVA 不支持日志审查功能
1)病毒保护功能
与VMware 环境集成以进行无客户端防护,或提供在本地模式下可保护物理服务器和虚拟桌面的客户端。
集成新的VMware vShield Endpoint API 可为VMware 虚拟机提供无客户端防恶意软
件防护,无需占用客户虚拟机。帮助避免完全系统扫描和特征码更新过程中常见的安全漏洞。另外,还提供基于客户端的防恶意软件,可在本地模式下保护物理服务器、基于Hyper-V 和Xen 的服务器、公共云服务器以及虚拟桌面。协调无客户端和基于客户端的服务器规格的保护,提供自适应安全防护,以便在服务器在数据中心和公共云之间移动时保护虚拟服务器。2)Web信誉服务
加强服务器及虚拟桌面对Web 威胁的防护。
与趋势科技? 云安云安全智能防护网络Web 信誉功能集成,可通过阻止对恶意URL 的访问来保护用户和应用程序。通过同一虚拟设备提供与无客户端模式下的虚拟环境相同的功能,该虚拟设备还提供了无客户端安全防护技术,以便在不增加占用内存的情况下提高安全性。
3)Deep Packet Inspection (DPI) 深度封包检查
检查所有未遵照协议进出的通信,内含可能的攻击及政策违反。
在侦测或预防模式下运作,以保护操作系统和企业应用程序漏洞。
能够防御应用层攻击、SQL Injection 及Cross-site 跨网站程序代码改写的攻击。
提供有价值的信息,包含攻击来源、攻击时间及试图利用什么方式进行攻击。
当事件发生时,会立即自动通知管理员。
防止已知漏洞来抵挡已知及零时差攻击,避免无限制的攻击。
每小时自动防堵发现到的最新漏洞,无须重新开机,即可在几分钟内就可防御部署至成千上万的服务器上。
提供数据库、网页、电子邮件和FTP 服务器等100 多个应用程序的漏洞保护。智能防御规则提供零时差的保护,透过检测不寻常及内含恶意程序的通讯协议数据码,以确保不受未知的漏洞攻击。
4)防火墙
减少实体、云端运算及虚拟服务器被攻击的机会。
集中管理服务器防火墙政策,包括最常见的服务器类型。
微粒的筛选特色(IP 与MAC 地址、通讯端口),可针对每个网络设计不同接口和位置政策。
防止DDos攻击,提供事先弱点扫描侦测。
可保护所有基于IP 通讯协议(TCP、UDP、ICMP 等)和所有框架类型(IP、
ARP 等)。
5)Integrity Monitoring完整监控
实时检测并报告对文件和系统注册表的恶意及意外更改。目前无客户端服务器规格中提供。
使管理员能够跟踪对实例进行的授权和未授权更改。检测未授权更改的功能是云安全策略中的关键部分,因为该功能可监视可能指示实例被损坏的更改。
6)Log Inspection日志审查
收集和分析操作系统和应用程序日志中的安全事件。
协助企业遵循法规(PCI DSS 6.6) 来优化埋在多个日志项目的重要安全事件
将事件转至SIEM 系统或集中日志记录的服务器,作关联性分析、报告和存盘。
可侦测可疑行为、收集数据中心的安全事件和管理操作,并使用OSSEC语法来建立进阶规则。
7)Smart Protection Network云安全智能防护网络
Deep Security 使用趋势科技Smart Protection Network(SPN)提供实时来自云端的实时安全防护。
SPN对于Deep Security提供以下服务:
●Web Reputation Technology
●File reputation Technology
●Smart Feedback
●Global Update Server
要了解更多以上SPN服务的信息请访问:
https://www.wendangku.net/doc/d45521271.html,/us/trendwatch/cloud/smart-protection-network/
8)Deep Security Relayes(DSR)
DSR提供了由Deep Security 环境到趋势全球更新服务的更新链路。
9)Smart Protection Servers智能云安全服务器
趋势科技云安全智能防护服务也可以被部署在Deep Security环境中以提供可选的用于Deep Security的本地智能防护服务。
二、DS9.0安装的各个组件的需求
本章节将介绍Deep Security的各个组件安装需要的最低要求和推荐的要求。
1.Deep Security Manager(DSM)
内存:8GB,其中包括:
1)4GB 堆内存
2) 1.5GB JVM 系统开销
3)2GB 操作系统开销
磁盘空间:1.5GB(建议使用5GB)
操作系统:Microsoft Windows 2012(64 位)、Windows Server 2008(64 位)、Windows Server 2008 R2(64 位)、Windows 2003 Server SP2(64 位)、Red Hat Linux 5/6(64 位)数据库:Oracle 11g、Oracle 10g、Microsoft SQL Server 2012(所有Service Pack)、Microsoft SQL Server 2008(所有Service Pack)。
Web 浏览器:Firefox 12+、Internet Explorer 8.x、Internet Explorer 9.x、Internet Explorer
10.x、Chrome 20+、Safari 5+。(必须启用所有浏览器中的Cookie。)
注意:这些要求的前提是数据库已安装到单独的服务器上
2.Deep Security Agent(DSA)
内存:128M(不启用防病毒功能)
512M(启用防病毒功能)
硬盘空间:500MB(启用防恶意软件防护时建议使用1GB)
Windows:Windows Server 2012(64 位)、Windows 8(32 位和64 位)、Windows 7(32
位和64 位)、Windows Server 2008 R2(64 位)、Windows Server 2008(32 位和64 位)、Windows Vista(32 位和64 位)、Windows Server 2003 SP1(32 位和64 位)(带有Patch"Windows Server 2003 Scalable Networking Pack")、Windows Server 2003 SP2(32 位和64位)、Windows Server 2003 R2 SP2(32 位和64 位)、Windows XP(32 位和64 位)、Windows XP Embedded
Solaris:Solaris 9、10 和11(64 位Sparc)、Solaris 10 和11(64 位x86)Linux:Red Hat 5(32 位和64 位)、Red Hat 6(32 位和64 位)、Oracle Linux 5(32 位和64位)、Oracle Linux 6(32 位和64 位)、SuSE 10(32 位和64 位)、SuSE 11(32 位和64位)、Ubuntu 10.04 LTS(64 位)、Ubuntu 12.04 LTS(64 位)、CentOS 5(32 位和64位)、CentOS 6(32 位和64 位)、Amazon Linux(32 位和64 位)。
注意:32 位版本的 Linux 和64位版本的Oracle Linux不支持基于客户端的防恶意软件
AIX:AIX 5.3、6.1(AIX 客户端不支持防恶意软件或Web 信誉服务防护。)
HP-UX:11i v3 (11.31)(HP-UX 客户端仅支持完整性监控和日志审查。)
注意:运行在Windows XP 和 Windows2003 上的DSA 不兼容IPV6环境
3.Deep Security Virtual Appliance(DSVA)
CPU:64-bit, Intel-VT present and enabled in BIOS
支持的vSwitch:standard vSwitch标准虚拟机交换机或第三方vSwitch虚拟交换机–
Cisco Nexus 1000v
内存:2G(内存容量需求取决于DSV A被保护的虚拟机数量)
硬盘空间:20G
操作系统:VMware vCenter 5.x 和ESXi 5.x
其他VMware工具:VMware Tools、VMware vShield Manager 5.x 和VMware vShield Endpoint Security 5.x(适用于vShield Endpoint 驱动程序的ESXi5 Patch
ESXi500-201109001 或更高版本)。
VMware Endpoint Protection 支持的操作系统:Windows Server 2008(32 位和
64 位)、Windows Server 2008 R2(64 位)、Windows 7(32 位和64 位)、Windows Vista
(32 位和64 位)、Windows Server 2003 SP2 R2(32 位和64 位)、Windows Server 2003 SP2(32 位和64 位)、Windows XP SP2(32 位和64 位)。(有关支持的客户虚拟机平台的最新列表,请参阅VMware 文档。)
TPM 虚拟机监控程序完整性监控要求具有ESXi 5.1,在ESXi 5.0 上不受支持。
注意:VMware 不支持在生产环境中运行嵌套的 ESXi/ESX 服务器
Deep Security9.0与VMware兼容性具体参考如下列表:
A Deep Security 9.0 SP1 Patch 2必须被安装.
B需要ESXi500-201109401-BG:Updates esx-base以及ESXi500-201109402-BG:Updates too ls-light
Deep Security 9.0注意事项:
?无代理扫描,扫描缓存和完整性监控功能要求ESXi至少为5.1版本.
?Deep Security Virtual Appliance (DSVA) 9.0 和 Filter Driver (FD) 9.0不支持 ESX
4.1.DSVA 8.0 SP1 和 FD 8.0 SP1 可以支持 ESX 4.1,但它们无法被DSM 9.0管理.
其他版本的Deep Security与VMware兼容性列表可参考如下链接KB:
https://www.wendangku.net/doc/d45521271.html,/solution/zh-CN/1060499.aspx
4.Deep Security Relay(DSR)
内存:512MB
磁盘空间:500MB(启用防恶意软件防护时建议使用1GB)
操作系统:
Windows:Windows Server 2012(64 位)、Windows 8(32 位和64 位)、Windows 7
(32 位和64 位)、Windows Server 2008(32 位和64 位)、Windows Server 2008 R2
(64 位)、Windows Vista(32 位和64 位)、Windows Server 2003 SP2(32 位和64 位)、Windows Server 2003 R2(32 位和64 位)、Windows XP(32 位和64 位)
Linux:Red Hat 5(64 位)、Red Hat 6(64 位)、CentOS 5(64 位)、CentOS 6(64 位)
5.趋势科技服务器深度安全防护系统通知程序系统要求
Windows:Windows Server 2012(64 位,非核心)、Windows 8(32 位和64 位)、Windows7(32 位和64 位)、Windows Server 2008 R2(64 位)、Windows Server 2008(32 位和64位)、Windows Vista(32 位和64 位)、Windows Server 2003 SP2(32 位和64 位)、Windows Server 2003 R2 SP2(32 位和64 位)、Windows XP(32 位和64 位)
注意:在受虚拟设备保护的 VM 上,必须对防恶意软件模块进行授权和启用,趋势科技服务器深度安全防护系统通知程序才能显示信息。
三、Deep Security9.0安装前的准备工作
1.Deep Security 各组件安装包
下载地址:
DSM:https://www.wendangku.net/doc/d45521271.html,/index.php?clk=tbl&clkval=4382®s=CH&lang_loc =15
DSVA: https://www.wendangku.net/doc/d45521271.html,/index.php?regs=CH&clk=latest&clkval=4383&lang _loc=15
DSA&DSR:https://www.wendangku.net/doc/d45521271.html,/index.php?regs=CH&clk=latest&clkval=4384&l ang_loc=15
2.通信与端口
在Deep Security Manager主机上开放下列端口的访问权限
?Port 4119: 连接到DSM使用的端口号
?Port 4120: Deep Security Agent 与Deep Security Manager 之间的通信
?Port 1433 和1434:与Microsoft SQL Server 双向通信的端口
?Port 1521:与Oracle Database server 双向通信的端口
?Port 514 (可选):与Syslog server双向通信的端口
?Port 389:(可选)与LDAP连接用于Active Directory集成环境
?Port 80,443 (可选)连接到趋势科技Deep Security9.0传统更新服务器
?Port 53:用于DNS 查询
用于Deep Security Relay,Agent和Appliance的通讯端口:
?Port4122:用于把更新信息转发到Agent /Appliance
?Port4118:DSM 与Agent/Appliance 之间通讯端口
?Port80,443:连接到趋势科技更新服务器和趋势科技智能云安全服务器
?Port 514(可选):与SYSLOG 服务器双向通讯
用于vCenter、vShield Manger等Vmware组件和DSM、DSV A之间的通讯端口:?Port 4119:vCenter连接到DSM使用的通讯端口
?Port 443: DSM连接到vCenter、vShield Manger以及DSV A连接到vShield Manger 使用的通讯端口
下图为DS通讯端口结构图及通讯端口清单:
3.激活码和更新认证帐号
在购买Deep Security 的时候会得到一个激活码,如果没有这个产品激活许可证,将无法获得最新的安全更新。
注意:你还需要获取Vmware 相关组件的激活码,如需要使用Deep Security 无代理病毒防护功能必须获得Vmware vShield Endpoint 激活号
4.网络连接
需要注意的是,Deep Security Manager 和Deep Security Agent/Virtual Appliance之间的通信是通过解析对方的机器名完成,所以要保证Manager 和Agent 能正常解析IP 地址和机器名。建议在内网部署DNS 服务器并且建议Deep Security Manager,Deep Security Virtual Appliance 以标准的FQDN名称命名。
例如:
https://www.wendangku.net/doc/d45521271.html,
DSV https://www.wendangku.net/doc/d45521271.html,
注意:如果您的网络环境中没有DNS 服务器建议在部署Deep Security Manager时使用IP 地址方式部署
5.可靠时间戳同步
Deep Security 各组件在的计算机时间必须与一个可靠的时间同步源同步。例如,可以通过NTP协议定期与NTP 服务器进行时间同步。DSR,DSV A,DSA 与DSM 上的时间必须与DSM 的时间周期在24小时以内。
6.性能建议
以下准则提供了不同规模的趋势科技服务器深度安全防护系统部署的一般基础架构要求。
趋势科技服务器深度安全防护系统管理中心和数据库硬件
很多趋势科技服务器深度安全防护系统管理中心操作需要使用较高的CPU 和较多的内存资源(例如更新和建议扫描)。趋势科技建议高规格环境中的每个管理中心节点均拥有4 个核心和足够的内存。
数据库应该安装在与性能最好的管理中心节点的规格相同或更高的硬件之上。为了实现最高的性能,数据库应拥有8-16GB 内存并且可以快速访问本地或网络连接存储器。在可
能的情况下,应咨询数据库管理员有关数据库服务器的最佳配置,并且应实施维护计划。
趋势科技服务器深度安全防护系统多管理中心节点
您可能需要为趋势科技服务器深度安全防护系统管理中心安装准备多个计算机。在实际环境中,可以配置连接到单个数据库的多个趋势科技服务器深度安全防护系统管理中心节点,用于负载平衡和恢复目的。对于评估目的,仅需要一个趋势科技服务器深度安全防护系统管理中心。
有关运行多个管理中心节点的更多信息,请参阅联机帮助或《管理员指南》的参考一节中的多节点管理中心。
专用服务器
如果最终部署预期不超过1000 台计算机(实体或虚拟),则可以在同一计算机上安装
趋势科技服务器深度安全防护系统管理中心和数据库。如果您认为可能会超过1000 台计算机,则应在专用服务器上安装趋势科技服务器深度安全防护系统管理中心和数据库。数据库和趋势科技服务器深度安全防护系统管理中心位于拥有1GB LAN 连接的同一网络中也很
重要,这样可确保在两者之间进行顺畅的通信。同样的情况适用于其他趋势科技服务器深度安全防护系统管理中心节点:同一地点的专用服务器。建议管理中心和数据库之间的延迟为2ms 或更低。
注意:不论是否具有 1000 台被管理计算机,出于冗余原因,最好运行多个管理中心节点。
7.数据库
Deep Security Manager(DSM)内部已集成Apache Derby 数据库,可以在DSM 安装时直接安装嵌入式数据库。
注意,Apache Derby 数据库只适用于受Deep Security保护终端小于10台的测试环境。
为了保证Deep Security Manager在企业网络环境中长期可靠运行,建议Deep Security Manager 在正式部署时采用企业级后端数据库系统例如:SQL Server 2008或Oracle 11g。
如果选择安装独立的MS SQL Server 或Oracle 数据库,需要在数据库管理控制台中先
手动建立DSM 数据库实例。
示例:在SQL 2008Server Management Studio中建立DSM 数据库实例1)打开SQL 2008 Server Management Studio管理控制台
2)右键点击“数据库”选择“新建数据库”
3)输入数据库名称,例如“DSM”
4)按“确定”按钮,完成数据库实例创建
8.Vmware 高可用性(HA)环境
如果您打算采用Vmware High Availability(HA)功能,请确保在Deep Security 9安装以前已经完成Vmware HA的搭建。所有会进行故障恢复操作的ESXi 主机必须导入到与DSM 集成的vCenter环境,并且这些ESXi主机必须被置于“prepared”状态,每台ESXi主机上还必须部署一台DSV A。通过以上配置可以确保在Vmware执行恢复操作时Deep Security 防护的有效性。
注意:
当一台虚拟设备(DSVA)被部署在使用Vmware 分布式资源调度(DRS)的Vmware环境中。请确保DSVA 不会被DRS 调度而被执行vMotion迁移动作。DSVA 必须被“固定”在DSVA 所对应的ESXi主机上.您还可以通过把DSVA 部署在ESXi主机的本地存储上来避免DSVA由于DRS调度而导致的vMotion迁移动作。
请在vCenter控制台上设置DSVA 的DRS 为手动或关闭(推荐设置),这就是之前所知的“固定”在指定的ESXi主机上。要想了解更多有关DRS设定请参考Vmware 相关文档。
注意:
如果一台虚拟机由HA 控制从一台受到DSVA保护的ESXi主机上vMotion迁移到另外一台不受DSVA保护的ESXi主机,那么这台虚拟机将不再受到Deep Security的保护。如果一台虚拟机从不受DSVA保护的ESXi主机vMotion迁移到受DSVA 保护的虚拟机时,这台虚拟机不会自动进入“被保护”状态,除非您开启了Event-base 任务—当被保护的虚拟机发生vMotion迁移时Deep Security会自动对虚拟机执行激活动作。
四、虚拟环境无客户端防护部署
1.推荐环境概述
以下内容描述了Deep Security如何部署在一个典型的Vmware 虚拟化环境。
注意:vCenter Server、vShield Manager 和趋势科技服务器深度安全防护系统管理中心安装在单独的 ESXi 上,因为在趋势科技服务器深度安全防护系统部署期间必须重新启动受保护的ESXi。另请注意,趋势科技服务器深度安全防护系统数据库未显示在下图中。它还可以安装在物理计算机上或安装在 VM 上。
典型环境描述:有两台ESXi 主机
HostA:是ESXi 虚拟机监控程序,在其上运行趋势科技服务器深度安全防护系统管理中心9.0、vShield Manager 5.x 和vCenter Server 5.x 的单个虚拟机(VM)。(可选)可以在主机A 上的虚拟机上安装趋势科技云安全智能防护服务器和趋势科技服务器深度安全防护系统中继。还可以为另一个趋势科技服务器深度安全防护系统管理中心节点提供其他虚拟机。还应该为安装趋势科技服务器深度安全防护系统数据库提供一个VM。
HOSTB:ESXi 虚拟机监控程序,在其上运行趋势科技服务器深度安全防护系统虚拟设备(DSV A) 和需要防护的VM。
典型虚拟化防护环境图示:
所需资源核对清单:
2.准备Deep Security 虚拟化防护环境准备标准步骤
任务一:安装ESXi 5.X
任务二:安装vCenter Server (VC)5.X