Symantec SEP 端点防护[一]

SEP是企业级产品，不面向个人用户。由管理服务器和客户端组成。

包括AntiVirus Advanced Protection和Network Access Control两大功能组件，
前者（SAV AP）包括增强型的防病毒和反间谍软件技术（检测，阻止和清除病毒，间谍软件，RootKits和其它的恶意软件），网络威胁防护（检测和阻止外部危胁，入站和出站过滤，位置感知策略）和主动威胁防护（零日危胁，控制设备访问）。
后者（SNAC）实现主机完整性控制和网络访问控制。

 

SEP实际上是三个产品的集成：

1，Symantec的AV 10.x和CS 3.x（主要是AV，防火墙取自Sygate Enterprise Protection）
2，WholeSecurity的Confidence Online产品（用于防护网络欺骗，防钓鱼，保护网络口令）
3，Sygate的Enterprise Protection 5.x（SEP的主要功能来自于原Sygate产品）

 

主动威胁防护

基于行为的防护技术，防护引擎（pro-valid engine and pro-malicious engine）监视系统中的进程，记录它们的行为，将这些行为区分为正常的和可疑的，每种行为都有不同的权重，最后根据计算出的结果发现恶意代码，阻止其执行。

 

网络威胁防护

包括基于规则的防火墙引擎，基于包和流的入侵防护系统（基于签名匹配来发现攻击行为），管理员可以为不同的网络连接（Location）设置不同的策略，比如，办公室因为有企业级的边缘防火墙，安全性要求可以低一些，如果是开放式的公共网络或家庭互联网络，则安全性要求应该提高。

 

网络访问控制

用于检测主机是否满足企业的要求（安装Windows补丁，安装安全软件并有最新的定义等等），可以与网络中的Enforcer（分为LAN Enforcer，Gateway Enforcer和DHCP Enforcer三种）一起协作，将不满足要求的计算机隔离，也可以与修复服务器配合，修复客户端，使其满足企业的安全性要求。

本文出自 “西蒙[爱生活，爱学习]” 博客，谢绝转载！