Symantec Sygate Protection Agent是什么东西？

wjcharles

在sonar的历史记录中发现了“symentec IDS 特征”，上网一搜，找到了一个貌似很NB的东西。这到底算是防火墙还是hips？个人能用吗？
好象是“Symantec Sygate Enterprise Protetion 5.1（Symantec SEP） ”的一个组件，白皮书见楼末，注意不是常见的“
Symantec Endpoint Protection (SEP) ”

Symantec Sygate Protection Agent的功能

1.1. Symantec Sygate Protection Agent的功能
SPA设计为消除恶意或是无意的入侵和滥用。SPA向SPM管理服务器汇报状况，并接受安全指令。按照SPM管理服务器端设置，SPA可以做

到对大多数普 通用户完全不可见，对高级用户显示完全界面或者是下放部分管理控制控制。以上差异和SPA运行时的控制模式相关，

或者是和SPA的网络位置相关。（SEP 为用户提供了3种客户端管理模式：服务器控制模式，客户端控制模式，策略可仲裁的高级用户

模式）
系统管理员在SPM管理服务器上设定安全策略。SPA一连上SPM管理服务器就会接收那些安全策略并且执行。如果策略在后期变更，它们

将自动分发到SPA上。SPA还会跟踪试图违反安全策略的行为，并将安全事件日志传送给SPM管理服务器。
安装有SPA的设备一启动，保护就会生效。因为策略在本地保留，设备不必在启动时连接中央管理服务器下载策略。另外，当设备连接

到企业网络时，它的SPA会向SPM管理服务器验证。如果设备没有SPM，它将不被任何运行Symantec SEP 的网络容许。
SPA的入侵预防能力能够保护主机远离蠕虫，病毒和木马的“零时点”攻击 。它可以洞悉每个应用程序的网络通讯，并搜索其中的异

常。SPA 入侵预防功能监视每个应用程序使用的文件，检查操作系统和程序的安全以及补丁级别，在未授权的流量发生时，可以在操

作系统的最底层阻止流量。
主机完整性强制包括在系统每次连接企业网络时检查其是否遵循策略，根据检查结果容许或拒绝其访问，并自动修复不达标的主机系

统。主机完整性参数包括可执程 序，例如杀毒软件，主机防火墙，主机入侵检测系统等; 也包括数据文件，例如病毒特征库，主机防

火墙策略，IDS特征库，MD5校验和，文件版本，注册表键，补丁，操作系统，系统配置等。当SPA 检查到主机上的安全程序被关闭，

程序过期，或者某个补丁缺失，SPA能够启用通用强制来隔离主机。SPA可以自动运行程序，下载所需更新文件，安装缺失补 丁和软件

，直到遵循安全策略后，才放开完全的网络访问权限。
另外SPA 能够根据连接类型和网络处所来调节策略，以确保用户在拥有最大灵活性的同时还具备最健壮的端点保护。连接类型包括无

线，以太网，拨号和VPN。网络处所比 方说家里，星巴克，酒店，会场还是公司。这样，SEP 以自动化的方式保证不同处所下最安全

的策略得以执行，防止移动设备将企业网络暴露给黑客。

1.1.1 以应用程序为中心的个人防火墙（Personal Firewall）
Symantec Protection Agent个人防火墙能够按程序或者通讯特征，阻止/容许任何端口和协议进出。SPA不是简单的按这些参数来阻止

，它可以将参数以AND/OR的逻辑组合 来增强策略的精度和弹性。SPA也能够对特定的协议/物理适配器阻止和应用策略，容许企业指派

特定网络中可使用的程序，阻止利用特定协议适配器带来的漏 洞。

1.1.2 主机入侵预防系统（HIDS）
Symantec Protection Agent提供基于行为和特征方式的多层保护。Symantec Protection Agent 利用策略驱动和行为检测的方式来屏

蔽未知的威胁，利用独特的特征匹配方式来屏蔽已知的攻击，利用主机完整性检查来强制安全策略的贯彻和落实。SPA入侵预 防系统

深度检查网络封包，对所有进出流量做应用层的分析，可有效识别和实时阻止恶意攻击。SPA默认支持并启用了下列入侵预防功能：
? 代码注入保护
除了应用程序指纹核对， Symantec保护代-理还核对动态连接库的指纹，防止恶意程序注入代码到可信程序来执行攻击
? 文件共享保护
Symantec保护代-理过滤掉所有来自网关的NetBIOS通讯。 用户可以在本地子网进行文件共享，而不必担心远程网络中的黑客访问本地

文件共享
? 自适应保护
Symantec保护代-理可以根据网络连接类型和通讯方式来创建策略。例如，策略可以要求通过VPN从互联网公共IP接入的系统，文件共享

将受限，但是从 公司内网接入的，文件共享将容许。自适应策略可以在危险级别更高的时候，启用更严格的策略。例如从家里或者无

线区域接入时
? ? 端口扫描检测和阻断
SPA能检测端口扫描，记录事件，并且阻止主机系统作出响应。尽管端口扫描本身并不会危及目标系统的安全，但却是入侵企图的前哨

。扫描企图和扫描源对安全管理员来说是有价值的信息
? 特洛伊木马保护
SPA在已知木马能够通讯前，自动终止其进程，防止传播和破坏
? 基于主机的IDS
SPA利用模式匹配来识别已知的攻击，例如，当SPA主机IDS监测到Web通讯中出现字符串"GET /cgi-bin/phf?"，就会预警一种CGI程序

攻击。 每个网络封包都会做特定的字符串模式检查，如果匹配成功，SPA将阻止通讯，防止攻击。SPA自带一个预定义的IDS特征库，

它也容许用户创建自定义 IDS特征库来检测和阻止新的攻击
? 拒绝服务攻击检测和保护
Symantec保护代-理能识别畸形包，伪地址等常见攻击手段。它可以跨多个包来进行分析，不管端口号和IP协议类型。这正是其他入侵

预防系统的弱点。

1.1.3 操作系统保护（OS Protection）
操作系统保护（OS Protection）不同于传统基于特征码的主机入侵检测系统（HIDS）或传统的防火墙技术，该技术通过对终端计算机

上运行的所有应用程序的行为进行 控制，能够有效阻止新的安全威胁。通过该技术，管理员可以在中央服务器配置规则，对终端进行

以下安全防护设置：
? 操作系统保护（OS Protection）——基于行为的入侵预防系统
设置不同应用程序对文件、注册表键的访问权限；允许或禁止应用程序的运行、终止指定的应用程序以及是否允许应用程序装载动态

连接库。为了减少管理员配置上 地复杂性，SEP提供可通过网络下载的操作系统保护模板，管理员可以直接对不同类型的终端应用相

应的模板（Desktop、IIS Server、Apache Server、DNS Server、 SQL Server、DHCP Server等）而不用自己逐一分析不同终端的特

性，管理员还可以在模板的基础上自行修改策略，以满足本企业特定的安全要求。
? 系统锁定（System Lockdown）
通过系统锁定，管理为终端设定了允许运行应用程序的白名单，只有管理员明确指定的应用程序才能够在终端上运行，白名单不但指

定了应用程序的文件名，还包括程序的校验码，任何试图伪装成受信应用的企图都会被SPA阻止。
? 通用缓冲区溢出保护（Universal Buffer Overflow Protection）
SPA可以监测系统服务及应用程序是否发生了缓冲区溢出，当溢出发生时，SPA可以记录安全事件或终止进程的运行，避免危害发生。
? 外设控制（Peripheral Device Control）
SEP允许管理员设置外设控制策略，设置不同用户的外设访问权，SEP默认就可以管理输入设备HID、USB、软驱和1394等类型的设备，

系统还允许管理员添加其它类型的设备。

1.1.4 自适应保护（Adaptive Protection）
自适应保护可将动态策略和个人用户、处所（如：家里，办公室，或宾馆）、连接方式（如：以太网，VPN，或者无线网）关联起来。

SPA自动调整自定义好的策略来应对不同环境下的风险，以确保分布型和移动型企业的业务连续性以及相适宜的安全行为

1.1.5 自动修复（Automatic Remediation）
自动修复在端点连接到Symantec SEP所保护的网络时开始工作。SPA首先确认主机是否遵守端点的安全策略，如果不遵循，SPA能够隔

离主机，同时自动初始化修复工作。SPA确保不达标 的主机不能获得生产网络的访问权限直到必要的修复动作完成，端点安全达标为

止。在检查出没有达标以后，典型的修复包含下列事件：命令行运行命令，下载执行 /插入文件，重新检查，最后授予达标端点访问网络的权限





6.2. Symantec Sygate Protection Agent的功能
SPA设计为消除恶意或是无意的入侵和滥用。SPA向SPM管理服务器汇报状况，并接受安全指令。按照SPM管理服务器端设置，SPA可以做到对大多数普 通用户完全不可见，对高级用户显示完全界面或者是下放部分管理控制控制。以上差异和SPA运行时的控制模式相关，或者是和SPA的网络位置相关。（SEP 为用户提供了3种客户端管理模式：服务器控制模式，客户端控制模式，策略可仲裁的高级用户模式）
系统管理员在SPM管理服务器上设定安全策略。SPA一连上SPM管理服务器就会接收那些安全策略并且执行。如果策略在后期变更，它们将自动分发到SPA上。SPA还会跟踪试图违反安全策略的行为，并将安全事件日志传送给SPM管理服务器。
安装有SPA的设备一启动，保护就会生效。因为策略在本地保留，设备不必在启动时连接中央管理服务器下载策略。另外，当设备连接到企业网络时，它的SPA会向SPM管理服务器验证。如果设备没有SPM，它将不被任何运行Symantec SEP 的网络容许。
SPA的入侵预防能力能够保护主机远离蠕虫，病毒和木马的“零时点”攻击 。它可以洞悉每个应用程序的网络通讯，并搜索其中的异常。SPA 入侵预防功能监视每个应用程序使用的文件，检查操作系统和程序的安全以及补丁级别，在未授权的流量发生时，可以在操作系统的最底层阻止流量。
主机完整性强制包括在系统每次连接企业网络时检查其是否遵循策略，根据检查结果容许或拒绝其访问，并自动修复不达标的主机系统。主机完整性参数包括可执程 序，例如杀毒软件，主机防火墙，主机入侵检测系统等; 也包括数据文件，例如病毒特征库，主机防火墙策略，IDS特征库，MD5校验和，文件版本，注册表键，补丁，操作系统，系统配置等。当SPA 检查到主机上的安全程序被关闭，程序过期，或者某个补丁缺失，SPA能够启用通用强制来隔离主机。SPA可以自动运行程序，下载所需更新文件，安装缺失补 丁和软件，直到遵循安全策略后，才放开完全的网络访问权限。
另外SPA 能够根据连接类型和网络处所来调节策略，以确保用户在拥有最大灵活性的同时还具备最健壮的端点保护。连接类型包括无线，以太网，拨号和VPN。网络处所比 方说家里，星巴克，酒店，会场还是公司。这样，SEP 以自动化的方式保证不同处所下最安全的策略得以执行，防止移动设备将企业网络暴露给黑客。

6.2.1 以应用程序为中心的个人防火墙（Personal Firewall）
Symantec Protection Agent个人防火墙能够按程序或者通讯特征，阻止/容许任何端口和协议进出。SPA不是简单的按这些参数来阻止，它可以将参数以AND/OR的逻辑组合 来增强策略的精度和弹性。SPA也能够对特定的协议/物理适配器阻止和应用策略，容许企业指派特定网络中可使用的程序，阻止利用特定协议适配器带来的漏 洞。

6.2.2 主机入侵预防系统（HIDS）
Symantec Protection Agent提供基于行为和特征方式的多层保护。Symantec Protection Agent 利用策略驱动和行为检测的方式来屏蔽未知的威胁，利用独特的特征匹配方式来屏蔽已知的攻击，利用主机完整性检查来强制安全策略的贯彻和落实。SPA入侵预 防系统深度检查网络封包，对所有进出流量做应用层的分析，可有效识别和实时阻止恶意攻击。SPA默认支持并启用了下列入侵预防功能：
? 代码注入保护
除了应用程序指纹核对， Symantec保护代-理还核对动态连接库的指纹，防止恶意程序注入代码到可信程序来执行攻击
? 文件共享保护
Symantec保护代-理过滤掉所有来自网关的NetBIOS通讯。 用户可以在本地子网进行文件共享，而不必担心远程网络中的黑客访问本地文件共享
? 自适应保护
Symantec保护代-理可以根据网络连接类型和通讯方式来创建策略。例如，策略可以要求通过VPN从互联网公共IP接入的系统，文件共享将受限，但是从 公司内网接入的，文件共享将容许。自适应策略可以在危险级别更高的时候，启用更严格的策略。例如从家里或者无线区域接入时
? ? 端口扫描检测和阻断
SPA能检测端口扫描，记录事件，并且阻止主机系统作出响应。尽管端口扫描本身并不会危及目标系统的安全，但却是入侵企图的前哨。扫描企图和扫描源对安全管理员来说是有价值的信息
? 特洛伊木马保护
SPA在已知木马能够通讯前，自动终止其进程，防止传播和破坏
? 基于主机的IDS
SPA利用模式匹配来识别已知的攻击，例如，当SPA主机IDS监测到Web通讯中出现字符串"GET /cgi-bin/phf?"，就会预警一种CGI程序攻击。 每个网络封包都会做特定的字符串模式检查，如果匹配成功，SPA将阻止通讯，防止攻击。SPA自带一个预定义的IDS特征库，它也容许用户创建自定义 IDS特征库来检测和阻止新的攻击
? 拒绝服务攻击检测和保护
Symantec保护代-理能识别畸形包，伪地址等常见攻击手段。它可以跨多个包来进行分析，不管端口号和IP协议类型。这正是其他入侵预防系统的弱点。

6.2.3 操作系统保护（OS Protection）
操作系统保护（OS Protection）不同于传统基于特征码的主机入侵检测系统（HIDS）或传统的防火墙技术，该技术通过对终端计算机上运行的所有应用程序的行为进行 控制，能够有效阻止新的安全威胁。通过该技术，管理员可以在中央服务器配置规则，对终端进行以下安全防护设置：
? 操作系统保护（OS Protection）——基于行为的入侵预防系统
设置不同应用程序对文件、注册表键的访问权限；允许或禁止应用程序的运行、终止指定的应用程序以及是否允许应用程序装载动态连接库。为了减少管理员配置上 地复杂性，SEP提供可通过网络下载的操作系统保护模板，管理员可以直接对不同类型的终端应用相应的模板（Desktop、IIS Server、Apache Server、DNS Server、 SQL Server、DHCP Server等）而不用自己逐一分析不同终端的特性，管理员还可以在模板的基础上自行修改策略，以满足本企业特定的安全要求。
? 系统锁定（System Lockdown）
通过系统锁定，管理为终端设定了允许运行应用程序的白名单，只有管理员明确指定的应用程序才能够在终端上运行，白名单不但指定了应用程序的文件名，还包括程序的校验码，任何试图伪装成受信应用的企图都会被SPA阻止。
? 通用缓冲区溢出保护（Universal Buffer Overflow Protection）
SPA可以监测系统服务及应用程序是否发生了缓冲区溢出，当溢出发生时，SPA可以记录安全事件或终止进程的运行，避免危害发生。
? 外设控制（Peripheral Device Control）
SEP允许管理员设置外设控制策略，设置不同用户的外设访问权，SEP默认就可以管理输入设备HID、USB、软驱和1394等类型的设备，系统还允许管理员添加其它类型的设备。

6.2.4 自适应保护（Adaptive Protection）
自适应保护可将动态策略和个人用户、处所（如：家里，办公室，或宾馆）、连接方式（如：以太网，VPN，或者无线网）关联起来。SPA自动调整自定义好的策略来应对不同环境下的风险，以确保分布型和移动型企业的业务连续性以及相适宜的安全行为

6.2.5 自动修复（Automatic Remediation）
自动修复在端点连接到Symantec SEP所保护的网络时开始工作。SPA首先确认主机是否遵守端点的安全策略，如果不遵循，SPA能够隔离主机，同时自动初始化修复工作。SPA确保不达标 的主机不能获得生产网络的访问权限直到必要的修复动作完成，端点安全达标为止。在检查出没有达标以后，典型的修复包含下列事件：命令行运行命令，下载执行 /插入文件，重新检查，最后授予达标端点访问网络的权限

附技术白皮书：

ZJUER

是防火墙

David_Wong

是Symantec Endpoint Protection的防火墙

idontknow

下载地址呢?

klinxun

Sygate是个不错的独立墙，后来被铁壳收购

88889

学习了

bbs2811125

SEP12赶紧出来吧，等得无力了

inttk

哪里有下载？   普通用户能下吗

woo90

Sygate，知名防火墙。

xd880616

我们公司用这个～金融机构