server 2008杀毒+HIPS+墙 之个人总结

riversmith

相信各位在安装完2008后，除了对该系统网络的快速、管理的便捷、配置的灵活感到激动不已，还没有忘记自己深处在病毒肆虐、木马横行的网络时代，不但为系统及时打上补丁，而且还安装了各种杀毒、防护软件。下面对自己这方面的工作做个总结，希望抛砖引玉，也愿各位兄弟少走弯路吧。
1  比较合适的组合目标是：资源占用少、防护范围全（5D）；
2  2008目前比较好的防护方案就是“组策略”，它不仅不挤占系统资源，而且是系统自带工具，内建与系统内核，速度很快。建议有时间和兴趣的朋友，参看微软出的《组策略高手完全手册》；
3  虽然大家都知道comodo3是非常优秀的4D防护软件，可惜无法安装在server系统之上；
4  ESET NOD32企业版X64的核心仍然是32位的服务，只是界面换成了64位程序而已，所以理论上效率低于原生X64杀毒软件；
5  ESS的墙据说不太好用，而且会与其他防火墙冲突，所以建议安装EAV；
6  已知的病毒，通过常规的基于病毒特征的杀毒软件可以很好进行防护，如：EAV、卡巴、瑞星；
7  未知的病毒，通过基于行为的入侵检测软件HIPS+规则，可以较好的防护，如：微点、COMODO、MAMUTU、ThreatFire、SSM、EQ等；
8  对于网络中的恶意攻击行为以及木马、流氓软件等，可以使用防火墙+规则进行较好的防护，如：风云、PC Tools Firewall plus等；
9  配置为：T5500、4G ram，选用EAV扫描常见病毒；ThreatFire做HIPS，防护恶意行为，如：XX网站修改IE默认主页；PC Tools Firewall做防火墙，监控程序行为及网络通信，关闭系统防火墙；
10  上述组合，资源占用较少，EAV核心服务40M+界面9M；TF核心服务2.9M+界面1.1M；Firewall核心服务9.7M+界面3.4M；
11  TF和FW都是PC Tools公司产品，兼容性很好，而且完全免费，可以自定义规则，非常灵活；EAV用汇编语言写程序，不光是速度(较一般的快2-4倍)、而且在许多同类软件评测中，性能优异；
12  需要注意的事：如果使用了IIS，记得要在EAV中排除虚拟目录，否则每次系统在编译、读取、修改文件的时候，它会进行杀毒，结果访问IIS网站超慢、巨卡；
13  如果有数据库，并且有客户访问的话，FW要开启相应端口，否则会出现服务器运行正常、但客户无法访问；
14  EQ是个国产的非常优秀的HIPS软件，可惜我安装后经常蓝屏，可能是兼容性问题，无法在server2008上服务。
暂时就这么多吧，希望大家多交流各自经验，谢谢。
祝：各位系统健康！运行顺利！

Atlantis祭司

如果楼主能整理整理帖子布局，相信会是篇好文章。可惜现在让人看起来很累。

jiangchuan

貌似散文
不过分享的经验确实有帮助

D20099188

现在就缺64bit的HIPS
TF在我机器上很卡

alvinjx

PCT的墙和TF都存在点问题，特别是墙，个人认为

lm91128

不用sever。。。。