趨勢科技Deep Security平臺部署方案

1、 趨勢科技Deep Security平臺部署方案Contents TOC o 1-3 h z u HYPERLINK l _Toc488655719 一、Deep Security 如何保護客戶端？ PAGEREF _Toc488655719 h 5 HYPERLINK l _Toc488655720 1.各個組件的定義 PAGEREF _Toc488655720 h 5 HYPERLINK l _Toc488655721 2.Deep Security 9.0各模塊概述 PAGEREF _Toc488655721 h 6 HYPERLINK l _Toc488655722 二、DS9.0安裝

2、的各個組件的需求 PAGEREF _Toc488655722 h 9 HYPERLINK l _Toc488655723 1.Deep Security Manager（DSM） PAGEREF _Toc488655723 h 9 HYPERLINK l _Toc488655724 2.Deep Security Agent(DSA) PAGEREF _Toc488655724 h 9 HYPERLINK l _Toc488655725 3.Deep Security Virtual Appliance(DSVA) PAGEREF _Toc488655725 h 10 HYPERLINK l

3、_Toc488655726 Deep Security9.0與VMware兼容性具體參考如下列表： PAGEREF _Toc488655726 h 11 HYPERLINK l _Toc488655727 4.Deep Security Relay(DSR) PAGEREF _Toc488655727 h 11 HYPERLINK l _Toc488655728 5.趨勢科技服務(wù)器深度安全防護系統(tǒng)通知程序系統(tǒng)要求 PAGEREF _Toc488655728 h 12 HYPERLINK l _Toc488655729 三、Deep Security 9.0安裝前的準(zhǔn)備工作 PAGEREF _T

4、oc488655729 h 12 HYPERLINK l _Toc488655730 1.Deep Security 各組件安裝包 PAGEREF _Toc488655730 h 12 HYPERLINK l _Toc488655731 2.通信與端口 PAGEREF _Toc488655731 h 12 HYPERLINK l _Toc488655732 3.激活碼和更新認證帳號 PAGEREF _Toc488655732 h 15 HYPERLINK l _Toc488655733 4.網(wǎng)絡(luò)連接 PAGEREF _Toc488655733 h 15 HYPERLINK l _Toc4886

5、55734 7.數(shù)據(jù)庫 PAGEREF _Toc488655734 h 16 HYPERLINK l _Toc488655735 8.Vmware 高可用性(HA)環(huán)境 PAGEREF _Toc488655735 h 18 HYPERLINK l _Toc488655736 四、虛擬環(huán)境無客戶端防護部署 PAGEREF _Toc488655736 h 19 HYPERLINK l _Toc488655737 1.推薦環(huán)境概述 PAGEREF _Toc488655737 h 19 HYPERLINK l _Toc488655738 2.準(zhǔn)備Deep Security 虛擬化防護環(huán)境準(zhǔn)備標(biāo)準(zhǔn)步驟

6、PAGEREF _Toc488655738 h 20 HYPERLINK l _Toc488655739 五、Deep Security 9.0的各個組件的安裝 PAGEREF _Toc488655739 h 22 HYPERLINK l _Toc488655740 Deep Security 9.0組件安裝主要步驟： PAGEREF _Toc488655740 h 22 HYPERLINK l _Toc488655741 1.Deep Security Manager（DSM）安裝 PAGEREF _Toc488655741 h 23 HYPERLINK l _Toc488655742 2.

7、Deep Security Relay for Windows(DSR)安裝（可選） PAGEREF _Toc488655742 h 30 HYPERLINK l _Toc488655743 3.配置Vmware 整合 PAGEREF _Toc488655743 h 32 HYPERLINK l _Toc488655744 4.Deep Security Virtual Appliance(DSVA)安裝部署 PAGEREF _Toc488655744 h 34 HYPERLINK l _Toc488655745 5.Deep Security Agent（DSA）安裝 PAGEREF _To

8、c488655745 h 49 HYPERLINK l _Toc488655746 六、卸載Deep Security PAGEREF _Toc488655746 h 58 HYPERLINK l _Toc488655747 1.移除Deep Security Virutal Appliance(DSVA) PAGEREF _Toc488655747 h 58 HYPERLINK l _Toc488655748 2.還原ESXi主機并卸載Deep Security Filter Driver PAGEREF _Toc488655748 h 59 HYPERLINK l _Toc48865574

9、9 3.卸載DSA PAGEREF _Toc488655749 h 61 HYPERLINK l _Toc488655750 七、Deep Security 的基本配置 PAGEREF _Toc488655750 h 64 HYPERLINK l _Toc488655751 1.防火墻 PAGEREF _Toc488655751 h 64 HYPERLINK l _Toc488655752 2.入侵防御 PAGEREF _Toc488655752 h 65 HYPERLINK l _Toc488655753 3.完整性監(jiān)控 PAGEREF _Toc488655753 h 67 HYPERLIN

10、K l _Toc488655754 4.日志審核（Log Inspection） PAGEREF _Toc488655754 h 71 HYPERLINK l _Toc488655755 5.啟用病毒保護功能 PAGEREF _Toc488655755 h 72 HYPERLINK l _Toc488655756 6.策略的設(shè)置和分配 PAGEREF _Toc488655756 h 76 HYPERLINK l _Toc488655757 7.列表配置 PAGEREF _Toc488655757 h 80 HYPERLINK l _Toc488655758 8.多租戶 PAGEREF _Toc

11、488655758 h 85 HYPERLINK l _Toc488655759 八、Deep Security 9.0的升級 PAGEREF _Toc488655759 h 89 HYPERLINK l _Toc488655760 九、附錄 PAGEREF _Toc488655760 h 92 HYPERLINK l _Toc488655761 附錄一：如何部署vShield Manager PAGEREF _Toc488655761 h 92 HYPERLINK l _Toc488655762 附錄二：調(diào)整虛擬機filterdriver 性能 PAGEREF _Toc488655762 h

12、 97 HYPERLINK l _Toc488655763 附錄三：Deep Security 9.0 離線更新方案 PAGEREF _Toc488655763 h 98 HYPERLINK l _Toc488655764 附錄四：Deep Security Anti-malware模塊掃描優(yōu)化配置 PAGEREF _Toc488655764 h 106 HYPERLINK l _Toc488655765 十、趨勢科技廠商資源 PAGEREF _Toc488655765 h 110企業(yè)為了與合作伙伴、員工、供貨商或客戶有更實時的連接，有越來越多的在線數(shù)據(jù)中心，而這些應(yīng)用正面臨著日益增加的網(wǎng)絡(luò)攻

13、擊。與傳統(tǒng)的威脅相比，這些針對目標(biāo)性攻擊的威脅數(shù)量更多也更復(fù)雜，所以對于數(shù)據(jù)安全的遵循就變得更加嚴(yán)格。而您的公司則更堅固的安全防護，讓您的虛擬和實體數(shù)據(jù)中心，以及云端運算不會因信息威脅而造成性能的降低。虛擬化能夠幫助用戶顯著地節(jié)省數(shù)據(jù)中心運營成本，用戶減少硬件成本和能源需求并且可以在部署關(guān)鍵應(yīng)用方面獲得更大的靈活性和可用性。在虛擬化中，IT人員所面對的最大挑戰(zhàn)是應(yīng)用安全機制，即如何能使用戶充分利用其在虛擬化方面的投資。這包括如何使用戶能夠在相同的物理服務(wù)器上將虛擬機設(shè)置成不同的安全等級，在使用諸如vMotion機制的同時提供持續(xù)的防護，當(dāng)虛擬機在休眠或離線狀態(tài)下仍能對其進行防護，并且使用戶能夠

14、擴展其虛擬化環(huán)境以充分利用云計算技術(shù)。Trend Micro Deep Security是一種在虛擬、云計算和傳統(tǒng)的數(shù)據(jù)中心環(huán)境之間統(tǒng)一安全性的服務(wù)器和應(yīng)用程序防護軟件。它幫助組織預(yù)防針對操作系統(tǒng)和應(yīng)用程序漏洞的非法入侵，監(jiān)控系統(tǒng)的完整性，并集中管理風(fēng)險日志，符合包括 PCI 在內(nèi)的關(guān)鍵法規(guī)和標(biāo)準(zhǔn)，并有助于降低運營成本。趨勢科技Deep Security不但可以對物理服務(wù)器上的操作系統(tǒng)、應(yīng)用程序和數(shù)據(jù)進行防護，同時利用VMware vShield技術(shù)來保護處于運行狀態(tài)和休眠狀態(tài)的虛擬機，同時提供集中的控管平臺，獲得最大化的性能和操作靈活性。Deep Security 如何保護客戶端？Deep

15、Security(DS) 9.0是由Deep Security Manager(DSM)、Deep Security Virtual Appliance(DSVA)、Deep Security Relay和 Deep Security Agent(DSA)等四個組件構(gòu)成。各個組件的定義1）Deep Security Manager （DSM）DSM功能強大的、集中式管理，是為了使管理員能夠創(chuàng)建安全概要文件與將它們應(yīng)用于服務(wù)器、顯示器警報和威脅采取的預(yù)防措施、分布服務(wù)器，安全更新和生成報告。新事件標(biāo)注功能簡化了管理的高容量的事件。2）Deep Security Agent （DSA）一個非常輕小

16、的代理軟件組件，部署于服務(wù)器及被保護的虛擬機器上，能有效協(xié)助執(zhí)行數(shù)據(jù)中心的安全政策(IDS/IPS、網(wǎng)絡(luò)應(yīng)用程序保護、應(yīng)用程序控管、防火墻、完整性監(jiān)控及審查日志)。3）Deep Security Virtual Agent(DSVA)與Deep Security Agent 相互協(xié)調(diào)合作，有效且透明化地的在VMwarevSphere虛擬機器上執(zhí)行IDS/IPS、病毒防護、WEB應(yīng)用程序保護、應(yīng)用程序控管及防火墻保護等安全政策和完整性監(jiān)控。4）Deep Security Relay(DSR)用于從趨勢科技全球更新源更新Deep Security的組件。至少要求有一臺Deep Security R

17、elay用于更新DSM的DPI Rules。DSA和DSVA 可以通過Deep Security Relay 提升更新組件的性能，并且DSR本身也包含有DSA完整的功能。Deep Security 9.0各模塊概述以下表為Deep Security各個模塊在不同組件上的運行狀態(tài)：注意：DSVA 不支持日志審查功能1）病毒保護功能與 VMware 環(huán)境集成以進行無客戶端防護，或提供在本地模式下可保護物理服務(wù)器和虛擬桌面的客戶端。集成新的 VMware vShield Endpoint API 可為 VMware 虛擬機提供無客戶端防惡意軟件防護，無需占用客戶虛擬機。幫助避免完全系統(tǒng)掃描和特征碼更

18、新過程中常見的安全漏洞。另外，還提供基于客戶端的防惡意軟件，可在本地模式下保護物理服務(wù)器、基于 Hyper-V 和 Xen 的服務(wù)器、公共云服務(wù)器以及虛擬桌面。協(xié)調(diào)無客戶端和基于客戶端的服務(wù)器規(guī)格的保護，提供自適應(yīng)安全防護，以便在服務(wù)器在數(shù)據(jù)中心和公共云之間移動時保護虛擬服務(wù)器。2）Web信譽服務(wù)加強服務(wù)器及虛擬桌面對 Web 威脅的防護。與趨勢科技 云安云安全智能防護網(wǎng)絡(luò) Web 信譽功能集成，可通過阻止對惡意 URL 的訪問來保護用戶和應(yīng)用程序。通過同一虛擬設(shè)備提供與無客戶端模式下的虛擬環(huán)境相同的功能，該虛擬設(shè)備還提供了無客戶端安全防護技術(shù)，以便在不增加占用內(nèi)存的情況下提高安全性。 3）D

19、eep Packet Inspection (DPI) 深度封包檢查檢查所有未遵照協(xié)議進出的通信，內(nèi)含可能的攻擊及政策違反。在偵測或預(yù)防模式下運作，以保護操作系統(tǒng)和企業(yè)應(yīng)用程序漏洞。能夠防御應(yīng)用層攻擊、SQL Injection 及Cross-site 跨網(wǎng)站程序代碼改寫的攻擊。提供有價值的信息，包含攻擊來源、攻擊時間及試圖利用什么方式進行攻擊。當(dāng)事件發(fā)生時，會立即自動通知管理員。防止已知漏洞來抵擋已知及零時差攻擊，避免無限制的攻擊。每小時自動防堵發(fā)現(xiàn)到的最新漏洞，無須重新開機，即可在幾分鐘內(nèi)就可防御部署至成千上萬的服務(wù)器上。提供數(shù)據(jù)庫、網(wǎng)頁、電子郵件和FTP 服務(wù)器等100 多個應(yīng)用程序的漏

20、洞保護。智能防御規(guī)則提供零時差的保護，透過檢測不尋常及內(nèi)含惡意程序的通訊協(xié)議數(shù)據(jù)碼，以確保不受未知的漏洞攻擊。4）防火墻減少實體、云端運算及虛擬服務(wù)器被攻擊的機會。集中管理服務(wù)器防火墻政策，包括最常見的服務(wù)器類型。微粒的篩選特色（IP 與MAC 地址、通訊端口），可針對每個網(wǎng)絡(luò)設(shè)計不同接口和位置政策。防止DDos攻擊，提供事先弱點掃描偵測?？杀Ｗo所有基于IP 通訊協(xié)議（TCP、 UDP、 ICMP 等）和所有框架類型（IP、ARP 等)。5）Integrity Monitoring完整監(jiān)控實時檢測并報告對文件和系統(tǒng)注冊表的惡意及意外更改。目前無客戶端服務(wù)器規(guī)格中提供。 使管理員能夠跟蹤對實例進

21、行的授權(quán)和未授權(quán)更改。檢測未授權(quán)更改的功能是云安全策略中的關(guān)鍵部分，因為該功能可監(jiān)視可能指示實例被損壞的更改。6）Log Inspection日志審查收集和分析操作系統(tǒng)和應(yīng)用程序日志中的安全事件。協(xié)助企業(yè)遵循法規(guī)(PCI DSS 6.6) 來優(yōu)化埋在多個日志項目的重要安全事件將事件轉(zhuǎn)至SIEM 系統(tǒng)或集中日志記錄的服務(wù)器，作關(guān)聯(lián)性分析、報告和存盤?？蓚蓽y可疑行為、收集數(shù)據(jù)中心的安全事件和管理操作，并使用OSSEC語法來建立進階規(guī)則。7）Smart Protection Network云安全智能防護網(wǎng)絡(luò)Deep Security 使用趨勢科技Smart Protection Network（SP

22、N）提供實時來自云端的實時安全防護。SPN對于Deep Security提供以下服務(wù)：Web Reputation TechnologyFile reputation TechnologySmart FeedbackGlobal Update Server要了解更多以上SPN服務(wù)的信息請訪問：/us/trendwatch/cloud/smart-protection-network/8）Deep Security Relayes(DSR)DSR提供了由Deep Security 環(huán)境到趨勢全球更新服務(wù)的更新鏈路。9）Smart Protection Servers智能云安全服務(wù)器趨勢科技云安全

23、智能防護服務(wù)也可以被部署在Deep Security環(huán)境中以提供可選的用于Deep Security的本地智能防護服務(wù)。DS9.0安裝的各個組件的需求本章節(jié)將介紹Deep Security的各個組件安裝需要的最低要求和推薦的要求。Deep Security Manager（DSM）內(nèi)存：8GB，其中包括： 4GB 堆內(nèi)存 1.5GB JVM 系統(tǒng)開銷 2GB 操作系統(tǒng)開銷 磁盤空間：1.5GB（建議使用 5GB） 操作系統(tǒng)：Microsoft Windows 2012（64 位）、Windows Server 2008（64 位）、Windows Server 2008 R2（64 位）、Wi

24、ndows 2003 Server SP2（64 位）、Red Hat Linux 5/6（64 位） 數(shù)據(jù)庫：Oracle 11g、Oracle 10g、Microsoft SQL Server 2012（所有 Service Pack）、Microsoft SQL Server 2008（所有 Service Pack）。 Web 瀏覽器：Firefox 12+、Internet Explorer 8.x、Internet Explorer 9.x、Internet Explorer 10.x、Chrome 20+、Safari 5+。（必須啟用所有瀏覽器中的 Cookie。） 注意：這些

25、要求的前提是數(shù)據(jù)庫已安裝到單獨的服務(wù)器上Deep Security Agent(DSA)內(nèi)存：128M(不啟用防病毒功能) 512M(啟用防病毒功能）硬盤空間：500MB（啟用防惡意軟件防護時建議使用 1GB）Windows: Windows Server 2012（64 位）、Windows 8（32 位和 64 位）、Windows 7（32 位和 64 位）、Windows Server 2008 R2（64 位）、Windows Server 2008（32 位和 64 位）、Windows Vista（32 位和 64 位）、Windows Server 2003 SP1（32 位和

26、 64 位）（帶有 PatchWindows Server 2003 Scalable Networking Pack）、Windows Server 2003 SP2（32 位和 64位）、Windows Server 2003 R2 SP2（32 位和 64 位）、Windows XP（32 位和 64 位）、Windows XP Embedded Solaris: Solaris 9、10 和 11（64 位 Sparc）、Solaris 10 和 11（64 位x86）Linux: Red Hat 5（32 位和 64 位）、Red Hat 6（32 位和 64 位）、Oracle L

27、inux 5（32 位和 64位）、Oracle Linux 6（32 位和 64 位）、SuSE 10（32 位和 64 位）、SuSE 11（32 位和 64位）、Ubuntu 10.04 LTS（64 位）、Ubuntu 12.04 LTS（64 位）、CentOS 5（32 位和 64位）、CentOS 6（32 位和 64 位）、Amazon Linux（32 位和 64 位）。注意：32 位版本的 Linux 和64位版本的Oracle Linux不支持基于客戶端的防惡意軟件 AIX: AIX 5.3、6.1（AIX 客戶端不支持防惡意軟件或 Web 信譽服務(wù)防護。）HP-UX:

28、11i v3 (11.31)（HP-UX 客戶端僅支持完整性監(jiān)控和日志審查。）注意：運行在Windows XP 和 Windows2003 上的DSA 不兼容IPV6環(huán)境Deep Security Virtual Appliance(DSVA)CPU: 64-bit, Intel-VT present and enabled in BIOS支持的vSwitch: standard vSwitch標(biāo)準(zhǔn)虛擬機交換機或第三方vSwitch虛擬交換機 Cisco Nexus 1000v內(nèi)存：2G（內(nèi)存容量需求取決于DSVA被保護的虛擬機數(shù)量）硬盤空間：20G操作系統(tǒng)：VMware vCenter 5.

29、x 和 ESXi 5.x其他VMware工具：VMware Tools、VMware vShield Manager 5.x 和 VMware vShield Endpoint Security 5.x（適用于 vShield Endpoint 驅(qū)動程序的 ESXi5 Patch ESXi500-201109001 或更高版本）。VMware Endpoint Protection 支持的操作系統(tǒng)：Windows Server 2008（32 位和 64 位）、Windows Server 2008 R2（64 位）、Windows 7（32 位和 64 位）、Windows Vista（32

30、 位和 64 位）、Windows Server 2003 SP2 R2（32 位和 64 位）、Windows Server 2003 SP2（32 位和 64 位）、Windows XP SP2（32 位和 64 位）。（有關(guān)支持的客戶虛擬機平臺的最新列表，請參閱 VMware 文檔。） TPM 虛擬機監(jiān)控程序完整性監(jiān)控要求具有 ESXi 5.1，在 ESXi 5.0 上不受支持。注意：VMware 不支持在生產(chǎn)環(huán)境中運行嵌套的 ESXi/ESX 服務(wù)器 Deep Security9.0與VMware兼容性具體參考如下列表： A HYPERLINK /index.php?regs=NABU

31、&clk=latest&clkval=4370&lang_loc=1 l fragment-4449 Deep Security 9.0 SP1 Patch 2必須被安裝.B需要 HYPERLINK /selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1027808 ESXi500-201109401-BG:Updates esx-base以及 HYPERLINK /selfservice/microsites/search.do?language=en_US&cmd=displayKC&exter

32、nalId=2002778 ESXi500-201109402-BG:Updates tools-lightDeep Security 9.0注意事項:無代理掃描，掃描緩存和完整性監(jiān)控功能要求ESXi至少為5.1版本.Deep Security Virtual Appliance (DSVA) 9.0 和 Filter Driver (FD) 9.0不支持 ESX4.1.DSVA 8.0 SP1 和 FD 8.0 SP1 可以支持 ESX 4.1,但它們無法被DSM 9.0管理. 其他版本的Deep Security與VMware兼容性列表可參考如下鏈接KB: HYPERLINK /solut

33、ion/zh-CN/1060499.aspx /solution/zh-CN/1060499.aspx Deep Security Relay(DSR)內(nèi)存: 512MB磁盤空間: 500MB（啟用防惡意軟件防護時建議使用 1GB）操作系統(tǒng)：Windows: Windows Server 2012（64 位）、Windows 8（32 位和 64 位）、Windows 7（32 位和 64 位）、Windows Server 2008（32 位和 64 位）、Windows Server 2008 R2（64 位）、Windows Vista（32 位和 64 位）、Windows Serve

34、r 2003 SP2（32 位和 64 位）、Windows Server 2003 R2（32 位和 64 位）、Windows XP（32 位和 64 位）Linux：Red Hat 5（64 位）、Red Hat 6（64 位）、CentOS 5（64 位）、CentOS 6（64 位）趨勢科技服務(wù)器深度安全防護系統(tǒng)通知程序系統(tǒng)要求 Windows：Windows Server 2012（64 位，非核心）、Windows 8（32 位和 64 位）、Windows7（32 位和 64 位）、Windows Server 2008 R2（64 位）、Windows Server 2008

35、（32 位和 64位）、Windows Vista（32 位和 64 位）、Windows Server 2003 SP2（32 位和 64 位）、Windows Server 2003 R2 SP2（32 位和 64 位）、Windows XP（32 位和 64 位）注意：在受虛擬設(shè)備保護的 VM 上，必須對防惡意軟件模塊進行授權(quán)和啟用，趨勢科技服務(wù)器深度安全防護系統(tǒng)通知程序才能顯示信息。Deep Security 9.0安裝前的準(zhǔn)備工作Deep Security 各組件安裝包下載地址：DSM： HYPERLINK /index.php?clk=tbl&clkval=4382®s=CH

36、&lang_loc=15 /index.php?clk=tbl&clkval=4382®s=CH&lang_loc=15DSVA: HYPERLINK /index.php?regs=CH&clk=latest&clkval=4383&lang_loc=15 /index.php?regs=CH&clk=latest&clkval=4383&lang_loc=15DSA&DSR： HYPERLINK /index.php?regs=CH&clk=latest&clkval=4384&lang_loc=15 /index.php?regs=CH&clk=latest&clkval=4384

37、&lang_loc=15通信與端口在Deep Security Manager主機上開放下列端口的訪問權(quán)限Port 4119: 連接到DSM使用的端口號Port 4120: Deep Security Agent 與Deep Security Manager 之間的通信Port 1433 和 1434:與Microsoft SQL Server 雙向通信的端口Port 1521:與Oracle Database server 雙向通信的端口Port 514 (可選):與 Syslog server雙向通信的端口Port 389:（可選）與LDAP連接用于Active Directory集成環(huán)境

38、Port 80,443 (可選)連接到趨勢科技Deep Security 9.0傳統(tǒng)更新服務(wù)器Port 53：用于DNS 查詢用于Deep Security Relay,Agent和Appliance的通訊端口：Port 4122:用于把更新信息轉(zhuǎn)發(fā)到Agent /AppliancePort 4118:DSM 與 Agent/Appliance 之間通訊端口Port 80，443：連接到趨勢科技更新服務(wù)器和趨勢科技智能云安全服務(wù)器Port 514(可選)：與SYSLOG 服務(wù)器雙向通訊用于vCenter、vShield Manger等Vmware組件和DSM、DSVA之間的通訊端口：Port

39、4119:vCenter連接到DSM使用的通訊端口Port 443: DSM連接到vCenter、vShield Manger以及DSVA連接到vShield Manger使用的通訊端口 下圖為DS通訊端口結(jié)構(gòu)圖及通訊端口清單： 激活碼和更新認證帳號在購買Deep Security 的時候會得到一個激活碼，如果沒有這個產(chǎn)品激活許可證，將無法獲得最新的安全更新。注意：你還需要獲取Vmware 相關(guān)組件的激活碼，如需要使用Deep Security 無代理病毒防護功能必須獲得Vmware vShield Endpoint 激活號網(wǎng)絡(luò)連接需要注意的是，Deep Security Manager 和D

40、eep Security Agent/Virtual Appliance之間的通信是通過解析對方的機器名完成，所以要保證Manager 和Agent 能正常解析IP 地址和機器名。建議在內(nèi)網(wǎng)部署DNS 服務(wù)器并且建議Deep Security Manager,Deep Security Virtual Appliance 以標(biāo)準(zhǔn)的FQDN名稱命名。例如：DSM.DomainNDSVA.DomainN注意：如果您的網(wǎng)絡(luò)環(huán)境中沒有DNS 服務(wù)器建議在部署Deep Security Manager時使用IP 地址方式部署可靠時間戳同步Deep Security 各組件在的計算機時間必須與一個可靠的時

41、間同步源同步。例如，可以通過NTP協(xié)議定期與NTP 服務(wù)器進行時間同步。DSR,DSVA,DSA 與DSM 上的時間必須與DSM 的時間周期在24小時以內(nèi)。性能建議 以下準(zhǔn)則提供了不同規(guī)模的趨勢科技服務(wù)器深度安全防護系統(tǒng)部署的一般基礎(chǔ)架構(gòu)要求。 趨勢科技服務(wù)器深度安全防護系統(tǒng)管理中心和數(shù)據(jù)庫硬件 很多趨勢科技服務(wù)器深度安全防護系統(tǒng)管理中心操作需要使用較高的 CPU 和較多的內(nèi)存資源（例如更新和建議掃描）。趨勢科技建議高規(guī)格環(huán)境中的每個管理中心節(jié)點均擁有 4 個核心和足夠的內(nèi)存。數(shù)據(jù)庫應(yīng)該安裝在與性能最好的管理中心節(jié)點的規(guī)格相同或更高的硬件之上。為了實現(xiàn)最高的性能，數(shù)據(jù)庫應(yīng)擁有 8-16GB 內(nèi)

42、存并且可以快速訪問本地或網(wǎng)絡(luò)連接存儲器。在可能的情況下，應(yīng)咨詢數(shù)據(jù)庫管理員有關(guān)數(shù)據(jù)庫服務(wù)器的最佳配置，并且應(yīng)實施維護計劃。 趨勢科技服務(wù)器深度安全防護系統(tǒng)多管理中心節(jié)點 您可能需要為趨勢科技服務(wù)器深度安全防護系統(tǒng)管理中心安裝準(zhǔn)備多個計算機。在實際環(huán)境中，可以配置連接到單個數(shù)據(jù)庫的多個趨勢科技服務(wù)器深度安全防護系統(tǒng)管理中心節(jié)點，用于負載平衡和恢復(fù)目的。對于評估目的，僅需要一個趨勢科技服務(wù)器深度安全防護系統(tǒng)管理中心。 有關(guān)運行多個管理中心節(jié)點的更多信息，請參閱聯(lián)機幫助或管理員指南的參考一節(jié)中的多節(jié)點管理中心。專用服務(wù)器 如果最終部署預(yù)期不超過 1000 臺計算機（實體或虛擬），則可以在同一計算機上

43、安裝趨勢科技服務(wù)器深度安全防護系統(tǒng)管理中心和數(shù)據(jù)庫。如果您認為可能會超過 1000 臺計算機，則應(yīng)在專用服務(wù)器上安裝趨勢科技服務(wù)器深度安全防護系統(tǒng)管理中心和數(shù)據(jù)庫。數(shù)據(jù)庫和趨勢科技服務(wù)器深度安全防護系統(tǒng)管理中心位于擁有 1GB LAN 連接的同一網(wǎng)絡(luò)中也很重要，這樣可確保在兩者之間進行順暢的通信。同樣的情況適用于其他趨勢科技服務(wù)器深度安全防護系統(tǒng)管理中心節(jié)點：同一地點的專用服務(wù)器。建議管理中心和數(shù)據(jù)庫之間的延遲為 2ms 或更低。 注意： 不論是否具有 1000 臺被管理計算機，出于冗余原因，最好運行多個管理中心節(jié)點。數(shù)據(jù)庫Deep Security Manager（DSM） 內(nèi)部已集成 Ap

44、ache Derby 數(shù)據(jù)庫，可以在DSM 安裝時直接安裝嵌入式數(shù)據(jù)庫。注意，Apache Derby 數(shù)據(jù)庫只適用于受Deep Security保護終端小于10臺的測試環(huán)境。為了保證Deep Security Manager在企業(yè)網(wǎng)絡(luò)環(huán)境中長期可靠運行，建議Deep Security Manager 在正式部署時采用企業(yè)級后端數(shù)據(jù)庫系統(tǒng)例如：SQL Server 2008或 Oracle 11g。如果選擇安裝獨立的MS SQL Server 或 Oracle 數(shù)據(jù)庫，需要在數(shù)據(jù)庫管理控制臺中先手動建立DSM 數(shù)據(jù)庫實例。示例：在SQL 2008 Server Management Studi

45、o中建立DSM 數(shù)據(jù)庫實例打開SQL 2008 Server Management Studio管理控制臺右鍵點擊“數(shù)據(jù)庫”選擇 “新建數(shù)據(jù)庫”輸入數(shù)據(jù)庫名稱，例如“DSM”按“確定”按鈕，完成數(shù)據(jù)庫實例創(chuàng)建Vmware 高可用性(HA)環(huán)境如果您打算采用Vmware High Availability(HA)功能，請確保在Deep Security 9 安裝以前已經(jīng)完成Vmware HA的搭建。所有會進行故障恢復(fù)操作的ESXi 主機必須導(dǎo)入到與DSM 集成的vCenter環(huán)境，并且這些ESXi主機必須被置于“prepared”狀態(tài)，每臺ESXi主機上還必須部署一臺DSVA。通過以上配置可以確

46、保在Vmware執(zhí)行恢復(fù)操作時Deep Security 防護的有效性。注意： 當(dāng)一臺虛擬設(shè)備（DSVA）被部署在使用Vmware 分布式資源調(diào)度（DRS）的Vmware環(huán)境中。請確保DSVA 不會被DRS 調(diào)度而被執(zhí)行vMotion遷移動作。DSVA 必須被“固定”在DSVA 所對應(yīng)的ESXi主機上.您還可以通過把DSVA 部署在ESXi主機的本地存儲上來避免DSVA由于DRS調(diào)度而導(dǎo)致的vMotion遷移動作。請在vCenter控制臺上設(shè)置DSVA 的DRS 為手動或關(guān)閉（推薦設(shè)置），這就是之前所知的“固定”在指定的ESXi主機上。要想了解更多有關(guān)DRS設(shè)定請參考Vmware 相關(guān)文檔。注

47、意： 如果一臺虛擬機由HA 控制從一臺受到DSVA保護的ESXi主機上vMotion遷移到另外一臺不受DSVA保護的ESXi主機，那么這臺虛擬機將不再受到Deep Security的保護。如果一臺虛擬機從不受DSVA保護的ESXi主機vMotion遷移到受DSVA 保護的虛擬機時，這臺虛擬機不會自動進入“被保護”狀態(tài)，除非您開啟了Event-base 任務(wù)當(dāng)被保護的虛擬機發(fā)生vMotion遷移時Deep Security會自動對虛擬機執(zhí)行激活動作。虛擬環(huán)境無客戶端防護部署推薦環(huán)境概述以下內(nèi)容描述了Deep Security如何部署在一個典型的Vmware 虛擬化環(huán)境。注意：vCenter Se

48、rver、vShield Manager 和趨勢科技服務(wù)器深度安全防護系統(tǒng)管理中心安裝在單獨的 ESXi 上，因為在趨勢科技服務(wù)器深度安全防護系統(tǒng)部署期間必須重新啟動受保護的ESXi。另請注意，趨勢科技服務(wù)器深度安全防護系統(tǒng)數(shù)據(jù)庫未顯示在下圖中。它還可以安裝在物理計算機上或安裝在 VM 上。典型環(huán)境描述：有兩臺ESXi 主機HostA: 是 ESXi 虛擬機監(jiān)控程序，在其上運行趨勢科技服務(wù)器深度安全防護系統(tǒng)管理中心9.0、vShield Manager 5.x 和 vCenter Server 5.x 的單個虛擬機 (VM)。（可選）可以在主機 A 上的虛擬機上安裝趨勢科技云安全智能防護服務(wù)器

49、和趨勢科技服務(wù)器深度安全防護系統(tǒng)中繼。還可以為另一個趨勢科技服務(wù)器深度安全防護系統(tǒng)管理中心節(jié)點提供其他虛擬機。還應(yīng)該為安裝趨勢科技服務(wù)器深度安全防護系統(tǒng)數(shù)據(jù)庫提供一個 VM。HOSTB: ESXi 虛擬機監(jiān)控程序，在其上運行趨勢科技服務(wù)器深度安全防護系統(tǒng)虛擬設(shè)備(DSVA) 和需要防護的 VM。典型虛擬化防護環(huán)境圖示：所需資源核對清單：準(zhǔn)備Deep Security 虛擬化防護環(huán)境準(zhǔn)備標(biāo)準(zhǔn)步驟任務(wù)一：安裝ESXi 5.X 任務(wù)二：安裝vCenter Server (VC)5.X任務(wù)三：安裝vShield Manager (vSM)5.X任務(wù)四：準(zhǔn)備一臺虛擬機用于DSM后臺數(shù)據(jù)庫任務(wù)五：在Hos

50、tA ESXi 5.X上準(zhǔn)備一臺虛擬機用于DSM 9.0任務(wù)六：客戶機準(zhǔn)備，確認客戶機Windows 2003 或 Windows XP 操作系統(tǒng)已經(jīng)安裝SP2 補丁，確保每臺被保護的虛擬機已經(jīng)安裝對應(yīng)版本的Vmtool，具體參考以下列表。注意：Vmware vShield Endpoint 5.X驅(qū)動程序驅(qū)動程序默認集成在最新版的Vmware Tool 中，但是默認部署Vmtool 時并不會安裝vShield Endpoint 驅(qū)動程序這會導(dǎo)致Deep Security 9.0的無代理病毒防護功能失效。安裝 vShield Endpoint 驅(qū)動程序請參考以下步驟：1.運行Vmtool 安裝

51、程序并進行交互式安裝2.在安裝時選擇“Custom Install”(自定義安裝)3.展開Vmware Device Drivers（Vmware設(shè)備驅(qū)動程序）4.展開VMCI 驅(qū)動5.選擇vShield 驅(qū)動并且尋則“This feature will be installed on local driver”(此功能將被安裝在本地磁盤)Deep Security 9.0的各個組件的安裝Deep Security 9.0組件安裝主要步驟：安裝數(shù)據(jù)庫用于Deep Security Manager安裝：SQL Server 2008或 Oracle 11g 數(shù)據(jù)庫軟件創(chuàng)建數(shù)據(jù)庫：在DSM安裝前通

52、過數(shù)據(jù)庫管理軟件創(chuàng)建一個DSM 數(shù)據(jù)庫分配數(shù)據(jù)庫磁盤空間：每增加一臺DSA 客戶端大約需要培訓(xùn)55 MB的數(shù)據(jù)庫空間。數(shù)據(jù)庫帳號設(shè)置：DSM 安裝程序在安裝時會要求數(shù)據(jù)庫帳號，請確保此數(shù)據(jù)庫帳號允許DB_Creator Server Roles 并且是DSM 數(shù)據(jù)庫的DB_Owner. DSM 與數(shù)據(jù)庫通信設(shè)置：當(dāng)DSM 通過“Named pipes”命名管道連接一臺SQL 服務(wù)器時，DSM 主機與SQL Server主機之間必須有一個可用的 身份認證的Microsoft Windows 通訊管道。 這個認證的通訊管道通常存在于以下情況：SQL Server 與DSM 安裝在同一臺服務(wù)器SQL

53、 Server與DSM 服務(wù)器在同一個域中兩臺主機見存在信任關(guān)系如果通訊管道不可用，那么DSM 將無法通過“命名管道”與SQL server通訊。安裝Deep Security Manager 和 Deep Security Relay配置DSM 與 vCenter、vShield Manager集成“Prepare”ESXi5.X主機并部署DSVADeep Security Manager（DSM）安裝雙擊安裝包來啟動趨勢科技服務(wù)器深度安全防護系統(tǒng)管理中心安裝程序。選擇安裝語言，然后單擊確定和下一步。 注意：安裝后，趨勢科技服務(wù)器深度安全防護系統(tǒng)用戶可以分別設(shè)置其用戶界面語言。（要更改用戶的

54、語言設(shè)置，請轉(zhuǎn)至管理 用戶，然后編輯用戶帳戶的屬性.彈出安裝向?qū)?，點擊“下一步”如果您同意許可協(xié)議的條款，請選擇我接受協(xié)議并單擊下一步。如同意許可協(xié)議的條款，請選擇我接受協(xié)議并單擊下一步。指定要安裝趨勢科技服務(wù)器深度安全防護系統(tǒng)管理中心的文件夾，然后單擊下一步。指定要使用的數(shù)據(jù)庫類型，如果使用 Oracle 或 SQL Server 數(shù)據(jù)庫，則必須在安裝趨勢科技服務(wù)器深度安全防護系統(tǒng)管理中心之前創(chuàng)建數(shù)據(jù)庫，輸入帳戶詳細信息。輸入激活碼。請輸入所有防護模塊的激活碼或分別輸入已購買使用授權(quán)的各個模塊的激活碼。如果未輸入任何激活碼，您仍可以繼續(xù)，但將無法使用任何防護模塊。（您可以在安裝趨勢科技服務(wù)器

55、深度安全防護系統(tǒng)管理中心后轉(zhuǎn)至管理 使用授權(quán)輸入首個激活碼或添加激活碼。鍵入此計算機的主機名、URL 或 IP 地址。管理中心地址必須為可解析的主機名 (完全限定的域名) 或 IP 地址。如果環(huán)境中 DNS 不可用，或如果某些計算機無法使用 DNS，則應(yīng)使用固定IP 地址而不使用主機名?？梢赃x擇更改缺省通信端口：“管理中心端口”指可通過 HTTPS 訪問管理中心的基于瀏覽器的 UI 的端口?！安▌有盘柖丝凇敝腹芾碇行膫陕爜碜钥蛻舳?設(shè)備的通信的端口。單擊下一步。輸入主管理員帳戶的用戶名和密碼。選中“強制使用強密碼”（建議）會要求此管理員及以后創(chuàng)建的管理員的密碼包括大寫和小寫字母、非字母數(shù)字字符

56、以及數(shù)字，并且要求使用最小字符數(shù)。單擊下一步。選中“自動更新”（建議）。如果選中，趨勢科技服務(wù)器深度安全防護系統(tǒng)管理中心將自動檢索最新的組件或檢查新軟件。（以后可以使用趨勢科技服務(wù)器深度安全防護系統(tǒng)管理中心配置更新。）單擊下一步。選擇是否安裝共置趨勢科技服務(wù)器深度安全防護系統(tǒng)中繼。（如果在趨勢科技服務(wù)器深度安全防護系統(tǒng)管理中心安裝程序的位置沒有趨勢科技服務(wù)器深度安全防護系統(tǒng)中繼安裝包，將跳過此步驟。）單擊下一步。選擇是否要啟用趨勢科技智能反饋（建議）。（以后可以使用趨勢科技服務(wù)器深度安全防護系統(tǒng)管理中心啟用或配置智能反饋）。（可選）通過從下拉列表中進行選擇來輸入行業(yè)。單擊下一步。確認設(shè)置。驗證

57、輸入的信息，然后單擊完成繼續(xù)。單擊完成關(guān)閉安裝向?qū)?。Deep Security Manager 服務(wù)會在安裝完成時啟動。如果在步驟 10 中選擇了安裝共置趨勢科技服務(wù)器深度安全防護系統(tǒng)中繼，現(xiàn)在將以靜默方式運行中繼安裝。安裝程序會在程序菜單中添加趨勢科技服務(wù)器深度安全防護系統(tǒng)管理中心的快捷方式。如果要遠程訪問管理中心，應(yīng)注意此URL。Deep Security Relay for Windows(DSR)安裝（可選）注意：Deep Security Relay 安裝程序會同時安裝Relay Server 和 Deep Security Agent在windows主機上的功能。雙擊安裝文件來運行

58、安裝包，單擊Next開始安裝。注意：安裝時你必須在Windows主機上以管理員權(quán)限來安裝和運行Deep Security Relay。接受許可協(xié)議，然后單擊Next繼續(xù)選擇要安裝的功能（防惡意軟件等一些功能是可選的）。單擊Browse指定要安裝趨勢科技服務(wù)器深度安全防護系統(tǒng)中繼的位置。（如果進行升級，則將無法更改安裝目錄。要安裝到其他目錄，必須首先卸載先前版本。）單擊Reset將選擇重置為缺省設(shè)置。注意：無法取消選擇防火墻和入侵防御功能。這些功能構(gòu)成核心趨勢科技服務(wù)器深度安全防護系統(tǒng)客戶端體系結(jié)構(gòu)的一部分，即使不使用防火墻和入侵防御功能也會始終安裝這些功能。單擊“Disk Usage”查看選定

59、功能所需的總空間并與選定目標(biāo)位置上的可用空間進行比較。點擊 “Install”開始安裝程序點擊“Finish”完成安裝注意：在執(zhí)行安裝過程中，網(wǎng)絡(luò)接口會暫時中斷幾秒。如果您的主機使用DHCP方式分配IP地址，在連接恢復(fù)后產(chǎn)生的新的DHCP 地址分配請求可能會導(dǎo)致DSR被分配一個新的IP地址。不推薦通過遠程桌面方式安裝Deep Security Relay,如果需要通過遠程桌面方式部署DSR ，請在遠程連接命令后面加上以下參數(shù)： Windows Server 2008 ,Vista SP1 或 Windows XP SP3 更高版本請使用： mstsc.exe /admin 更早的Windows

60、 版本請使用以下命令： mstsc.exe /console配置Vmware 整合 通過下列配置來準(zhǔn)備Deep Security / Vmware 環(huán)境 在進行配置前請確認：已經(jīng)根據(jù) HYPERLINK l OLE_LINK11 虛擬化防護環(huán)境準(zhǔn)備標(biāo)準(zhǔn)步驟完成Vmware基本環(huán)境搭建已安裝Deep Security Manager （包括數(shù)據(jù)庫）已安裝了Deep Security Relay 并在DSM 控制臺進行基本配置 在ESXi 主機上安裝Vmware vShield Endpoint(EPSec)登錄vShield Manager 管理控制臺 https:/輸入默認用戶名admin,默