McAfeeMOVEAntiVirusAgentless测试报告.docx

McAfee MOVE AntiVirusAgentless测试报告McAfee MOVE Agentless简介McAfee的解决方案能够让用户继续使用现有的McAfee VisurScanEnterprise保护功能，并针对虚拟化环境来对其进一步优化。McAfee MOVE Anti-Virus旨在在虚拟化环境中支持按访问扫描和更新功能，以及按需全盘扫描功能，显著降低传统防病毒部署中常见的对基础设施的影响。McAfee MOVE 2.6以后在虚拟化环境下的防病毒分为以下两个产品：MOVE AV Multiple Platform / MOVE Scheduler Multiple Platform-实现虚拟化环境下的虚拟机的实时和按需病毒防护，不需要安装完全的VSE软件，仅仅通过轻量的MOVE AV Agent即可实现。此解决方案通过感知Hypervisor的负载自动调度按需全盘扫描进程，支持多平台包括VMware、Citrix和Hyper-V。MOVE AV Agentless-通过VMware提供vShield endpoint基础架构实现虚拟化环境下的虚拟机的按访问和按需全盘扫描，虚拟客户机中不需要安装McAfee组件。McAfee MOVE AntiVirus Agentless 通过提供一个开放虚拟格式包（Open Virtualization Format）形式的安全虚拟设备（Security Virtual Appliance）实现虚拟客户机的病毒防护。此产品使用VMware vShield Endpoint API 接收来自Hypervisor上虚拟客户机的扫描请求，依靠VirusScan Enterprise for Linux实现保护和更新，利用McAfee Agent实现策略和事件处理。ePO管理SVA上的MOVE配置并且提供在虚拟客户机上发现病毒的报告。McAfee MOVE AntiVirus Agentless提供了对虚拟机的防病毒保护，同时包含了一个OVF格式的SVA。Agentless的部署：使用VMware vShield Endpoint API借口接收虚拟机的扫描请求依靠专为SVA配置的Linux版本的VirusScan Enterprise进行保护和升级使用ePolicy Orchestrator管理在SVA上的MOVE配置利用McAfee Agent处理策略和事件使用ePolicy Orchestrator提供在虚拟机上发现病毒的报告系统架构各组件执行特定的功能来保护安全环境，架构如下图：ePolicy Orchestrator –允许你配置策略去管理McAfee MOVE AV Agentless，及时提供虚拟环境中时病毒报告。File Quarantine–远程隔离系统，被隔离的文件存储在管理员设定的网络共享文件夹中GTI（Global Threat Intelligence）- 分类在系统中发现的可疑文件。当实时的恶意软件防御系统检测到一个可疑程序，会向McAfee Labs的中央数据库发送一个DNS请求查询和分析这个可疑程序。Hypervisor（ESXi）- 允许在一个主系统中并发的运行多个操作系统。它是一个虚拟的操作平台，管理着客户操作系统的运行。ESXi是直接运行于服务器硬件中的嵌入式虚拟管理系统，它不需要额外的基础操作系统。Security Virtual Application（SVA）- 对虚拟机提供病毒防护，与Hypervisor上的内核模块，ePolicy Orchestrator，以及GTI服务器进行通信。SVA是唯一一个直接由ePolicy Orchestrator管理的系统，但是在虚拟机上也可以安装其他的McAfee产品。VMware vCenter - 管理ESXi服务器的控制台。vShieldManager–管理对于SVA的组件和VMware vShield Endpoint,同时监控SVA的健康。虚拟机–安装在一个支持虚拟桌面和虚拟服务器的主系统中完全独立的客户操作系统。测试环境准备软件需求软件要求：ePolicy Orchestrator 4.6 Patch 2Security Virtual Appliance (SVA)VMware ESXi 4.1 Patch 3 (非强制性)VMware ESXi 5.0, 5.1(非强制性)Patch ESXi500?201109402?BG: Updates tools?lightPatch ESXi500?201109401?BG: Updates esx?baseVMware vCenter 5.0, 5.1VMware vShield Manager 5.0, 5.1VMware vShiel