Deep Security产品介绍

趋势科技Deep Security 深度包过滤配置指南Andrea_Xi2013-08目录一、定义和分配DPI 规则 (3)二、配置和部署DPI 规则 (3)三、DPI 规则分配最佳实践 (8)四、DPI 策略风险规避 (10)五、DPI 规则应用程序端口冲突问题 (11)六、DPI 规则故障诊断 (11)一、定义和分配DPI 规则1. 确认受保护目标计算机类型服务器工作站1.1服务器信息收集●操作系统版本●主要应用●对外开放的端口号1.2执行“推荐扫描”获取系统漏洞信息步骤：a)登录到Deep Security Manager 8.0 管理控制台b)在控制台双击打开需要“深度数据包”检查的计算机配置界面cc)点击“扫描建议”按钮，等待Deep Security Agent自动生成对受保护计算机生成推荐规则列表二、配置和部署DPI 规则1. 通过安全概要文件部署DPI 规则对于保护的受保护的虚拟机或物理机不建议直接分配对应DPI 规则，建议通过安全配置文件来部署DPI 策略。

由于默认安全配置文件已经包含有默认规则，实际操作时建议根据扫描建议结果去除不推荐的规则。

操作步骤：a.点击进入安全配置文件页面，根据操作系统类型选中需要分配的安全配置规则。

例如，受保护GUEST OS 为linux则选中“Linux服务器”安全概要文件b.选中规则复制准备分配的安全配置文件，如图所示：系统会自动生成复制的规则并自动命名为“Linux 服务器（2）”c.双击进入复制规则的编辑页面，对规则进行自定义编辑1)修改规则名称，如“linux服务器---自定义规则1”，点击“保存”使规则名称更改生效2)点击进入系统设置 ---> 网络引擎，修改网络引擎模式为“分接”,点击“保存”使配置生效备注：当网络引擎工作在分接模式时 firewall 规则和DPI 规则都不会对实际数据包造成影响，因此可以避免由于错误规则导致网络中断的风险3)重新进入自定义规则配置页面 --->深度包检查 --->DPI 规则4)在DPI 规则过滤条件中选择“显示建议取消分配的项目”5)全选建议取消分配的规则6)对选中的规则取消分配规则，点击保存使配置生效如提示自动分配缺少的项目对话框，则直接按OK继续7)更改安全配置文件中的DPI规则筛选条件为“显示已分配项目”查看当前分配的规则前是否存在有感叹号标记8)对提示“需要配置的DPI规则”进行配置备注：如对具体规则配置有任何疑问请联系趋势科技技术支持部门9)对于未提示“需要配置的DPI 规则”但显示“具有配置选项的DPI规则”,一般可以保持默认设定，或联系趋势科技技术支持部门获取该DPI 规则的配置建议。

Deep Security一、概述Deep Security是一套综合的服务器和应用程序保护软件，能使企业物理的、虚拟的及云计算环境拥有自我防御能力。

Deep Security所采用的主动深度威胁保护技术，能实时自动追踪最新动态威胁，有效及优化配置安全策略，减低系统资源开销，安全管理成本，加强虚拟机的透明性和安全性。

除此之外，还遵循了广泛的规范性要求，包括六个主要的PCI规范要求，网络应用层防火墙、IDS/IPS、文件完整性监控及网络划分。

二、能保护的平台Microsoft Windows2000 (32位)XP (32 /64位)Windows 7Windows Vista (32/64位)Windows Server 2003 (32/64位)Windows Server 2008 (32/64位)SolarisOS：8,9,10 (64位SPARC, x86)LinuxRed Hat Enterprise 3.0 (32位), 4.0, 5.0 (32/64位)SUSE Enterprise 9, 10 (32位)UNIXAIX 5.3HP-UX 10, 11i v2, 11i v3虚拟化VMware：VMware ESX ServerCitrix：XenServer Guest VMMicrosoft：HyperV Guest VMSun：Solaris 10 OS Partitions三、Deep Security管理组件1、Deep Security Manager (server)Deep Security Manager功能强大的、集中式管理，是为了使管理员能够创建安全概要文件与将它们应用于服务器、显示器警报和威胁采取的预防措施、分布服务器，安全更新和生成报告。

新事件标注功能简化了管理的高容量的事件。

2、Deep Security Virtual Appliance（DSVA）与Deep Security Agent相互协调合作，有效且透明化地的在VMware vSphere 虚拟机器上执行IDS/IPS、网络应用程序保护、应用程序控管及防火墙保护等安全政策，并提供完整性的监控及审查日志。

服务器安全加固软件Deep Security1. 动态数据中心的安全IT 安全旨在促进业务，而非阻碍业务，但是 IT 安全所面临的挑战性和复杂性正与日俱增。

合规性要求使得服务器上的数据和应用程序必须遵循一些安全标准。

用虚拟机替代物理服务器，不但经济环保，还能提高可扩展性。

云计算促进了传统 IT 基础架构的发展，不但节约了成本，还提升了灵活性、容量和选择空间。

服务器不再阻隔在外围防御之后，如同笔记本电脑一样，服务器也在安全外围之外移动，因此需要最后一道防线。

深度防御安全策略的当务之急是部署一个服务器和应用程序防护系统，通过该系统提供全面的安全控制，同时也支持当前及未来的 IT 环境。

面对这些挑战，趋势科技提出了相应的解答，其中包括Deep Security 解决方案。

1.1. 服务器正处于压力之下根据 Verizon Business 风险小组 2008 年度的数据泄露调查报告，在最近的数据泄露事件中，59% 由黑客攻击和入侵导致。

TJX 和 Hannaford 的数据泄露事件凸显了系统危害对于任何企业的信誉和运营都会产生严重负面影响的潜在可能性。

各组织正不断努力取得一种平衡，希望在保护资源的同时，又能保证更多业务合作伙伴和客户能够访问这些资源。

当前的支付卡行业数据安全标准 (PCI DSS) 认识到，传统的外围防御已经不足以保护数据使其免受最新威胁，如今需要的是远远超过基于硬件的防火墙以及入侵检测和防御系统 (IDS/IPS) 的多层保护。

无线网络、加密攻击、移动资源和易受攻击的 Web 应用程序，所有这些因素加在一起，便促成了企业服务器的脆弱性，使其面临渗透和危害的威胁。

在过去的五年中，一直以来都高度依赖物理服务器的数据中心计算平台经历了一场重大的技术变革。

传统数据中心的空间不断缩减，希望通过整合服务器实现成本节约和“绿色”IT 的目的。

几乎每个组织都已经将他们的部分或全部数据中心工作负载虚拟化，实现了物理服务器的多租户使用模式，取代了此前的单租户或单用途模式。

Deep Security 7.5推荐配置文档TAM2011年2月目录1. 简介 (4)2. 环境准备 (5)2.1无代理方式（VMware）应用环境准备 (5)2.2代理方式（物理服务器）应用环境准备 (6)3. Vmware环境安装步骤 (8)3.1安装Vmware环境 (8)3.2安装vShield Manager (8)3.3配置vShield Manager (12)3.4安装VM的vShield Endpoint驱动 (14)3.5安装DSM7.5 (14)3.5在DSM上添加vCenter (15)3.6部署Filter Driver&DSVA (18)3.7检查各功能组件状态 (24)4. 物理环境安装步骤 (25)4.1安装Deep Security Manager (25)4.2安装DSA程序 (25)4.3添加Computer (25)5. 基本配置 (26)6. 功能测试 (26)6.1 Anti-Malware (26)6.2 FireWall (27)6.3 Deep Packet Inspection (29)6.4 Integrity Monitoring (29)6.5 Log Inspection (31)7. 使用Smart Scan Server (32)7.1下载TMSSS程序 (32)7.2安装TMSSS程序 (32)7.3配置TMSSS程序 (33)7.4配置Deep Security使用Smart Scan (33)8. 常见问题 (34)1.简介Trend Micro Deep Security是一种在虚拟、云计算和传统的数据中心环境之间统一安全性的服务器和应用程序防护软件。

它帮助组织预防针对操作系统和应用程序漏洞的非法入侵，监控系统的完整性，并集中管理风险日志，符合包括 PCI 在内的关键法规和标准，并有助于降低运营成本。

虚拟化能够帮助用户显著地节省数据中心运营成本，用户减少硬件成本和能源需求并且可以在部署关键应用方面获得更大的灵活性和可用性。

超融合数据中心趋势 Deep Security运维管理手册目录Contents1.登录Deep Security管理界面 (3)1.1.查看客户端部署情况 (4)2.虚拟机防病毒客户端部署 (4)2.1.虚拟化环境准备 (4)2.2.Deep Security Agent（DSA）安装 (9)2.2.1.DSA For Windows (9)1.登录Deep Security管理界面可使用浏览器登录Deep Security管理中心；a)浏览器输入https://192.168.17.24:4119，进入登录界面；b)输入用户名密码完成登录1.1.查看客户端部署情况进入计算机标签页下，BusinessUnit目录下虚拟机是否被管理；2.虚拟机防病毒客户端部署目前模板虚拟机Win2008R2已安装带有vShield Endpoint驱动程序的VMware Tools和防病毒代理程序Deep Security Agent（DSA），从模板部署的虚拟机可省略该部分操作。

2.1.虚拟化环境准备虚拟机创建完成后，需要安装VMware Tools，对于趋势Deep Security无代理防病毒解决方案，需要借助VMware Tools里面的Guest Introspection（前身为vShield Drivers）组件，因此安装安装VMware Tools时需要使用自定义安装并勾选该组件。

参考《VMware vSphere 管理操作手册》a)进入菜单栏虚拟机——客户机——安装/升级VMware Tools，系统会将VMware Tools安装镜像挂载到虚拟机，进入虚拟机操作系统，系统会弹出安装界面，使用默认配置进行安装。

b)确认安装，操作系统内弹出安装界面；c)进入VMware Tools安装向导；d)点击下一步，选择自定义安装；e)勾选Guest Introspection；Guest Introspection前身为vShield Drivers，在已部署趋势Deep Security防病毒系统的环境下需安装该组件。

虚拟化平台安全防护方案Deep Security应用充分必要性说明XX科技（中国）有限公司2013年6月28日文档信息：文档属性内容项目/任务名称项目/任务编号文档名称Deep Security应用充分必要性说明文档版本号 1.1 文档状态制作人Shunyi Lv 保密级别管理人制作日期复审人复审日期扩散范围版本记录：版本编号版本日期创建者/修改者说明1.0 2013-06-25 Shunyi Lv 初稿1.1 2013-06-28 Bill Zhao 更新部分内容，增加部分客户的反馈文档说明：本文档仅用于提供给客户参考。

我行正在使用VMware虚拟化技术,它改善了数据中心耗电开销、提高了数据中心资源利用率，增强了业务管理扩展性、让IT运维更加灵活便捷。

数据中心的虚拟系统是一种新的计算平台，在面临许多与物理服务器相同的安全挑战同时，又因为其自身特点，出现了新的安全防护空白点和产生了新的安全挑战。

为了实现我行整体安全防御目标，迫切需要将虚拟化环境的安全防护纳入到整个安全防护体系中来。

一、针对虚拟化环境的解决方案传统环境下的网络安全拓扑图，在网络出口处部署网关防护设备，如防火墙、防毒墙等各类安全设备，用来隔离网络之间的攻击和病毒扩散问题，部署IDS监控对服务器的非法访问行为，在服务器上部署防病毒软件，保护核心服务器的安全运行。

而在虚拟化环境下，一台物理服务器平台上将运行数个甚至数十个业务虚拟机，这些传统的安全防护措施将不再有效。

VMware 公司为了解决此问题，专门提供了VMware vShield Endpoint 和VMsafe API两个程序接口供安全厂商在此基础上解决网络攻击和病毒传播等问题。

XX科技的Deep Security是最早可以支持vShield Endpoint的无代理保护方案，它在ESX物理服务器上以一个安全虚拟机方式运行而不需要在其它各个业务虚拟机安装任何代理程序。

同时，当业务虚拟机任意启用运行或者从一台物理服务器切换到另一台物理服务器时，都不出现防护空档，这一切是传统解决方案无法完成的。

Deep Security 9.5 安装指南（基本组件）趋势科技（中国）有限公司保留对本文档以及此处所述产品进行更改而不通知的权利。

在安装及使用本软件之前，请阅读自述文件、发布说明和最新版本的适用用户文档，这些文档可以通过趋势科技的以下 Web 站点获得：/download/zh-cn/Trend Micro、Trend Micro t-球徽标、Deep Security、Control Server Plug-in、Damage Cleanup Services、eServer Plug-in、InterScan、Network VirusWall、ScanMail、ServerProtect和TrendLabs是趋势科技（中国）有限公司/Trend Micro Incorporated 的商标或注册商标。

所有其他产品或公司名称可能是其各自所有者的商标或注册商标。

文档版本：1.2文档编号：APCM96702/141014发布日期：2014 年 11 月文档生成时间：Dec 4, 2014 (10:20:55)简介 (4)关于本文档 (5)关于趋势科技服务器深度安全防护系统 (7)趋势科技服务器深度安全防护系统 9.5 中的新增功能 (10)准备 (11)系统要求 (12)所需条件（基础组件） (14)数据库部署注意事项 (17)安装 (19)安装趋势科技服务器深度安全防护系统管理中心 (20)安装趋势科技服务器深度安全防护系统客户端 (27)安装和配置已启用中继的客户端 (34)数据库部署注意事项 (17)快速入门 (37)快速入门：系统配置 (38)快速入门：保护计算机 (46)附录 (53)趋势科技服务器深度安全防护系统管理中心内存使用 (54)趋势科技服务器深度安全防护系统管理中心静默安装 (55)趋势科技服务器深度安全防护系统管理中心设置属性文件 (57)趋势科技服务器深度安全防护系统管理中心性能特点 (62)创建 SSL 认证证书 (64)关于本文档趋势科技服务器深度安全防护系统 9.5 安装指南（基础）本文档讲述了如何安装和配置为您的计算机提供基于客户端的基础保护所需的趋势科技服务器深度安全防护系统 9.5 基础软件组件：1.趋势科技服务器深度安全防护系统管理中心2.趋势科技服务器深度安全防护系统客户端（带可选的中继功能）本文档内容包括：1.系统要求2.准备3.数据库配置指南4.安装趋势科技服务器深度安全防护系统管理中心管理控制台5.安装趋势科技服务器深度安全防护系统客户端6.使用“安全策略”和“漏洞扫描（推荐设置）”进行趋势科技服务器深度安全防护系统防护7.监控和维护趋势科技服务器深度安全防护系统安装的指南目标受众本文档面向想实施基于客户端的趋势科技服务器深度安全防护系统9.5保护的任何人。

虚拟化安全解决方案趋势科技（中国）有限公司2014年5月目录第1章.概述 (2)第2章.虚拟化安全面临威胁分析 (2)第3章.虚拟化基础防护必要性 (3)第4章.趋势科技虚拟化安全解决方案 (4)第5章.虚拟化安全部署方案 (7)5.1.VMware平台部署方案 (7)5.2.趋势虚拟安全方案集中管理 (7)5.3.虚拟化防护解决方案拓扑 (7)第6章.趋势科技DeepSecurity介绍 (8)6.1.DeepSecuirty架构 (8)6.2.DeepSecuirty部署及整合 (9)6.3.DeepSecuirty主要优势 (10)6.4.DeepSecuirty模块 (10)第1章.概述客户企业网内的大量服务器承担着为各个业务部门提供基础设施服务的角色。

随着业务的快速发展，数据中心空间、能耗、运维管理压力日趋凸显。

应用系统的部署除了购买服务器费用外，还包括数据中心空间的费用、空调电力的费用、监控的费用、人工管理的费用，相当昂贵。

如果这些服务器的利用率不高，对企业来说，无疑是一种巨大的浪费。

由于虚拟化技术越来越多的被客户接受和使用，这些关键应用系统已经使用Vmware 服务器虚拟化解决方案。

这解决企业信息化建设目前现有的压力，同时又能满足企业响应国家节能减排要求。

而虚拟化能够获得在效率、成本方面的显著收益以及在综合数据中心更具环保、增加可扩展性和改善资源实施时间方面的附加利益。

但同时，数据中心的虚拟系统面临许多与物理服务器相同的安全挑战，从而增加了风险暴露，再加上在保护这些IT资源方面存在大量特殊挑战，最终将抵消虚拟化的优势。

尤其在虚拟化体系结构将从根本上影响如何对于关键任务应用进行设计、部署和管理情况下，用户需要考虑哪种安全机制最适合保护物理服务器和虚拟服务器。

趋势科技提供真正的解决方案以应对这些挑战。

趋势科技目前已经开发出了一套灵活的方法用于包括入侵检测和防护、防火墙、完整性监控与日志检查的服务器防御以及现在可以部署的恶意软件防护。

DEEPCOVER®嵌入式安全方案指南自从出现“IoT”概念以来，Maxim就一直在为IoT市场提供安全保障。

Maxim设计了第一款安全微控制器，并在过去30年间坚持投入数字安全设计。

Maxim的销售终端(POS)方案确保云数据的安全性和完整性，这是我们产品的基石。

在此基础上，我们提供完整的安全微控制器和安全认证IC产品，能够满足未来的安全挑战(图1)。

鉴于我们在安全嵌入式系统领域的长期经验，我们理解单靠IC不能解决设计师面临的所有挑战。

除了器件之外，我们也提供参考设计原理图、软件驱动器、中间设备、通信栈和支持服务，以加快产品上市时间。

我们的系统方案也保证了更高的安全等级。

我们提供安全的工厂编程和密钥管理服 务，在行业独占鳌头，为客户带来了极高的信任度。

MAXIM安全产品发展历史图1. DeepCover的安全技术基础表1. 满足IoT安全需求的DeepCover安全方案支持嵌入式安全功能的DEEPCOVER方案嵌入式系统很容易受到各种威胁，包括：• 假冒产品• 硬件或软件IP反向工程• 恶意软件注入或固件替换• 剽窃• 身份盗用• 未经授权的网络连接• 未经授权的重复使用DeepCover安全认证器和DeepCover安全微控制器采用这些技术确保您的平台值得信赖。

可信赖平台、IP保护、安全下载和安全通信是IoT节点安全性的常见要求。

表1所列为我们的DeepCover方案及其对应的常见IoT需求。

DEEPCOVER安全认证器安全认证器提供一组核心的加密操作功能、密钥存储以及各种配套选项，包括：安全下载/引导处理、针对终端应用的非易失存储器保护、安全GPIO、仅递减计数器、会话密钥生成、真随机数源，以及存储器加密读/写。

除加密保护等级外，所有器件均提供先进的物理防篡改功能，防止针对芯片内核的恶意攻击。

作为1-Wire ®创新接口的发明者，Maxim是非传统规格设备(例如, 打印机墨盒、医疗耗材和电池组)互联技术的领导者。

趋势科技Deep S ecurity 产品简介趋势科技Deep Security 是一个为数据中心安全所设计的解决方案；无论数据中心的基础建设所采用的是传统物理、虚拟化、云计算、或是任何阶段的混合部署，它皆能提供数据中心统一性的系统及应用程序安全防护。

值得强调的一点，是它在虚拟环境中带来前所未有的“无代理安全”－使在虚拟环境运行的服务器，不再需要部署任何代理，便能自动继承安全防护，从而革命性的改变安全相关的管理。

趋势科技Deep Security 解决方案使系统具备自我防御能力，保护机密数据并确保应用程序的可用性，在单一软件中，它包含了数多个安全模块：防病毒、防堵墙、防火墙、IDS/IPS、虚拟补丁、完整性监控、日志审计。

简化安全软件部署和管理，全面提升安全性，预防数据泄露和业务中断，符合PCI等关键法规和标准，并助于降低运营成本。

软件性能摘要Deep Security 对性能的影响集中在内存和CPU的占用。

主要取决于安全策略、并发连接、和运行中的虚拟机总数；实现无代理解决方案的安全虚拟机部署于Quad Core 2.4Ghz 虚拟服务器时，主程序将分配1GB内存和20G的磁盘空间的固定消耗，其余为动态消耗。

在所有安全模块激活、加載最新病毒库、一百条安全策略，一千个并发连接分布在16个运行中的虚拟机，并且对16个虚拟机进行文件扫描；如此情况下为例，此时安全虚拟机的CPU 消耗为29.04%，病毒库和安全策略消耗75MB内存。

策略、并发连接、运行中虚拟机数量是三个线性影响性能和资源的主因可以如此理解；越少的安全策略，所需容纳策略的内存也一并减少，在系统内所需运算的内容也相对降低。

而并发连接越少时所引入系统中的流量也相对减低，相同道理，越少运行中的虚拟机所产生的事件也同时减少，从而降低运算负担。

Deep Security 拓扑图和主要组件1. Deep Security Manager （简称DSM ）:控制管理器，提供集中式策略管理、发布安全更新并通过警报和报告进行监控2. Deep Security 数据库：管理数据中心中所有节点状态和安全策略，与vCenter 、LDAP 、AD 能够联动，自动发现新编入的物理和虚拟机。