网络安全配置文档-XXX公司防病毒及端点准入系统升级方案 v1.2 0202.docx

瑞飞公司防病毒及端点准入系统升级方案 PAGE PAGE 2 XXX公司 防病毒及端点准入系统升级方案 PAGE 8 目 录 TOC \o "1-3" \h \z \u 1．现状描述 1 1.1 XXX公司防病毒现状描述 1 1.2 XXX公司防病毒及端点准入系统现状 1 1.3 SEP11停止病毒定义更新应对措施 1 2.升级前准备 3 2.1 备份工作 3 2.2 升级所需安装文件 3 2.3 网络通信 3 2.4 人员准备 4 3．SEPM服务器升级方案 5 3.1 SEPM服务器升级步骤 5 3.2 升级SEPM服务器失败还原步骤 5 4．6100准入设备升级步骤 6 4.1 GatewayEnforcer升级步骤 6 4.2 Lan Enforcer升级步骤 6 4.3 升级后准入的恢复 6 5．升级风险控制 8 附：名词解释 9 XXX公司防病毒及端点准入系统升级方案 XXX公司防病毒及端点准入系统升级方案 PAGE 1 现状描述 XXX公司防病毒现状描述 XXX桌面安全管理项目是集团公司统建项目，strong自2010年实施以来，按照三级架构的部署方式，统一建设，为XXX集团下属140多家公司桌面安全管理系统提供运维支持服务。 现阶段的防病毒定义更新方式为总部部署2台LUA服务器，这2台LUA服务器访问互联网赛门铁克官方并自动下载病毒定义，通过XXX广域网，为11个区域中心SEPM服务器和全部LU服务器提供病毒定义更新服务。防病毒客户端根据既定策略，通过SEPM服务器或LU服务器更新病毒定义。 XXX公司防病毒及端点准入系统现状 XXX公司内网桌面安全客户端为2000余台，部署1台Gateway Enforcer准入服务器和1台Lan Enforcer准入服务器，并开启了强制策略。 SEP11停止病毒定义更新应对措施 赛门铁克公司在2015年1月5日单方面停止对SEP11产品的支持和防病毒定义更新，造成了XXX集团公司全部SEP11客户端不能更新防病毒定义。桌面安全项目组为了解决此问题，使SEP11客户端能够继续更新，需要将现有所有SEP11服务器升级至SEP12.1版本。升级后，SEP11客户端通过SEP12.1版本管理服务器更新防病毒定义。 升级后，客户端的防病毒定义更新方式有通过12.1版本SEPM服务器更新和通过GUP更新和两种方式： 方式一、SEP11客户端通过12.1版本SEPM服务器更新防病毒定义，此种方式对服务器和客户端的带宽要求高，适合客户端数量比较少的地区公司。 方式二、SEP11客户端通过GUP（Group Update Provider）方式更新防病毒定义。GUP即“组更新提供者”(Group Update Provider)，是一台或多台可指定用来在本地将内容更新分发到客户端的客户端计算机。GUP从管理服务器下载内容更新并将更新分发到自身及其他客户端，降低客户端到服务器之间的带宽占用。此种方式使用于客户端数量大，出口带宽有限的地区公司。 同时为了继续能够对SEP11客户端进行准入控制，也对6100设备进行升级操作，升级其软件到12.1版本。  升级前准备 备份工作 为了保证升级后不改变现有组织架构；保证升级过程中出现意外后，顺利回退，需要对证书及加密秘钥、组织架构、端点准入组策略、SEPM、数据库备份。 本次XXX升级前全部备份信息包括： 1、证书及加密秘钥备份的详细步骤参见《SEPM服务器证书及秘钥备份》 2、各单位组织架构的备份采用截图方式备份 3、Enforcer组策略备份内容包括主机完整性检查策略、例外IP 4、数据库备份是将SEPM服务器D:\backup\下最新日期的数据库文件备份 升级所需安装文件 1、Symantec Endpoint Protection 12.1.4（12.1.4013.4013）版本安装文件， 2、Symantec Network Access Control 12.1.4（12.1.4013.4013）版本安装文件 3、Symantec Network Access Control Enforcer 6100 Appliance 12.1.4 Linux EN 4、6100设备镜像安装文件 上述安装文件由项目组提供。 SEP12.1支持的操作系统为Windows 2003以上版本，支持的数据库为SQL 2005 SP4以上版本。管理XXX公司的防病毒服务器能够支持SEP12.1版本，操作系统和数据库无需升级。 网络通信 源主机 源端口 目标主