网络安全配置文档-XXX公司防病毒及端点准入系统升级方案 v1.2 0202

XXX公司
防病毒及端点准入系统升级方案
目录
1．现状描述 (1)
1.1XXX公司防病毒现状描述 (1)
1.2XXX公司防病毒及端点准入系统现状 (1)
1.3SEP11停止病毒定义更新应对措施 (1)
2.升级前准备 (3)
2.1备份工作 (3)
2.2升级所需安装文件 (3)
2.3网络通信 (3)
2.4人员准备 (4)
3．SEPM服务器升级方案 (5)
3.1SEPM服务器升级步骤 (5)
3.2升级SEPM服务器失败还原步骤 (5)
4．6100准入设备升级步骤 (6)
4.1GatewayEnforcer升级步骤 (6)
4.2Lan Enforcer升级步骤 (6)
4.3升级后准入的恢复 (6)
5．升级风险控制 (8)
附：名词解释 (9)
1.现状描述
1.1XXX公司防病毒现状描述
XXX桌面安全管理项目是集团公司统建项目，strong自2010年实施以来，按照三级架构的部署方式，统一建设，为XXX集团下属140多家公司桌面安全管理系统提供运维支持服务。

现阶段的防病毒定义更新方式为总部部署2台LUA服务器，这2台LUA服务器访问互联网赛门铁克官方并自动下载病毒定义，通过XXX广域网，为11个区域中心SEPM服务器和全部LU服务器提供病毒定义更新服务。

防病毒客户端根据既定策略，通过SEPM服务器或LU服务器更新病毒定义。

1.2XXX公司防病毒及端点准入系统现状
XXX公司内网桌面安全客户端为2000余台，部署1台Gateway Enforcer准入服务器和1台Lan Enforcer准入服务器，并开启了强制策略。

1.3SEP11停止病毒定义更新应对措施
赛门铁克公司在2015年1月5日单方面停止对SEP11产品的支持和防病毒定义更新，造成了XXX集团公司全部SEP11客户端不能更新防病毒定义。

桌面安全项目组为了解决此问题，使SEP11客户端能够继续更新，需要将现有所有SEP11服务器升级至SEP12.1版本。

升级后，SEP11客户端通过SEP12.1版本管理服务器更新防病毒定义。

升级后，客户端的防病毒定义更新方式有通过12.1版本SEPM服务器更新和通过GUP更新和两种方式：
方式一、SEP11客户端通过12.1版本SEPM服务器更新防病毒定义，此种方式对服务器和客户端的带宽要求高，适合客户端数量比较少的地区公司。

方式二、SEP11客户端通过GUP（Group Update Provider）方式更新防病毒定义。

GUP即“组更新提供者”(Group Update Provider)，是一台或多台可指定用来在本地将内容更新分发到客户端的客户端计算机。

GUP从管理服务器下载内容更新并将更新分发到自身及其他客户端，降低客户端到服务器之间的带宽占用。

此种方式使用于客户端数量大，出口带宽有限的地区公司。

同时为了继续能够对SEP11客户端进行准入控制，也对6100设备进行升级
操作，升级其软件到12.1版本。

2.升级前准备
2.1备份工作
为了保证升级后不改变现有组织架构；保证升级过程中出现意外后，顺利回退，需要对证书及加密秘钥、组织架构、端点准入组策略、SEPM、数据库备份。

本次XXX升级前全部备份信息包括：
1、证书及加密秘钥备份的详细步骤参见《SEPM服务器证书及秘钥备份》
2、各单位组织架构的备份采用截图方式备份
3、Enforcer组策略备份内容包括主机完整性检查策略、例外IP
4、数据库备份是将SEPM服务器D:\backup\下最新日期的数据库文件备份2.2升级所需安装文件
1、Symantec Endpoint Protection 12.1.4（12.1.4013.4013）版本安装文件，
2、Symantec Network Access Control 12.1.4（12.1.4013.4013）版本安装文件
3、Symantec Network Access Control Enforcer 6100 Appliance 12.1.4 Linux EN
4、6100设备镜像安装文件
上述安装文件由项目组提供。

SEP12.1支持的操作系统为Windows 2003以上版本，支持的数据库为SQL 2005 SP4以上版本。

管理XXX公司的防病毒服务器能够支持SEP12.1版本，操作系统和数据库无需升级。

2.3网络通信
2.4人员准备
升级过程利用非工作时间段，降低相关影响。

需要XXX2名以上管理员配合完成。

3.SEPM服务器升级方案
3.1SEPM服务器升级步骤
➢运行数据库完整性检查工具检查数据库运行健康状态。

若数据库有问题，则应停止升级工作，联系技术支持解决。

➢多台SEPM的服务器，每台SEPM服务器都要升级。

➢停止端点准入验证。

调整Gateway Enforcer为发现模式。

➢升级SEP模块至12.1.4013.4013版本
➢升级SNAC模块至12.1.4013.4013版本
➢登录SEPM控制台，查看升级是否成功。

如果升级失败立即回退
➢设置客户端病毒更新的GUP地址
升级的详细操作参见《SEPM服务器升级步骤》。

升级过程需要约2个小时。

为了降低升级失败造成的影响，项目组建议升级工作安排在非工作时间段。

3.2升级SEPM服务器失败还原步骤
若升级SEPM服务器过程出现故障，造成升级失败，则立即通过备份还原SEPM 服务器。

回退详细步骤参见《SEPM灾难恢复步骤》。

4.6100准入设备升级步骤
4.1GatewayEnforcer升级步骤
Gateway Enforcer的升级可以采用通过TFTP升级和通过光盘镜像升级两种方式。

●通过在SEPM服务器搭建TFTP服务器，通过TFTP更新方式，在线更新
Gateway Enforcer版本
●通过光盘镜像方式，更新GatewayEnforcer版本
4.2Lan Enforcer升级步骤
XXX公司无Lan Enforer设备，无需考虑。

4.3升级后准入的恢复
1、登录SEP12.1管理控制，编辑Enforcer组属性，勾掉“允许所有客户端，但继续记录未验证的客户端”选项，启用Enforcer强制准入功能。

2、登录6100设备，配置策略，更改指向管理服务器IP地址为SEPM服务器地址。

3、然后输入命令“show status”确认设备联机。

5.升级风险控制
➢服务器升级失败，无法管理客户端
风险描述：在进行服务器升级时，服务器进程无法正常启动，数据库升级失败，无法正常加载数据，所有客户端无法管理。

应对方式：在升级前，本地和异地分别备份服务器证书以及数据库等文件，一旦出现服务器升级失败，立刻进行回退，将服务器回退到原有版本，并导入备份的数据库。

➢准入服务器升级后，连接策略服务器失败
风险描述：端点准入服务器升级后，升级失败，无法启动设备和服务，终端访问受到影响。

应对方式：升级前，准备好原有版本的ISO灌装文件光盘和手册，将所有验证终端范围全部取消。

升级时，如果出现故障，不会影响终端接入，之后利用原有版本进行回退。

➢升级设备时出现硬件故障
风险描述：接入控制设备无法加电，或缺少配套设备，不能正常进行部署。

应对方式：在设备升级前先进行硬件检查，如发现故障立即联系项目组协调报修，保证在升级开始时硬件设备一切正常。

XXX公司防病毒及端点准入系统升级方案附：名词解释
9。