SEP12.1与主要竞争对手的对比

FieldEngineeringSupportFieldEngineeringSupportSharedEngineeringServices,GCRFieldEngineeringSupportFieldEngineeringSupportSharedEngineeringServices,GCRFieldEngineeringSupportSharedEngineeringServices,GCR^Shared!FieldEngineeringSupportSharedEngineeringServices,GCR^Shared!ingineeringIServices/GlobalReach.TrustedExpertise.SEP12.1与主要竞争对手的对比SharedEngineeringServicesFieldEngineering^Shared!ingineeringIServices/^Shared!ingineeringIServices/GlobalReach.TrustedExpertise.属性内容文档主题文档版本版本日期文档状态版权所有SES,FieldEngineering文档变更版本修订日期修订组描述1.0SES,FieldEngineeringShared!ingineeringIServices/Shared!ingineeringIServices/GlobalReach.TrustedExpertise.TOC\o"1-5"\h\zi. 概述 4\o"CurrentDocument"传统防病毒 4云 5\o"CurrentDocument"防火墙 8入侵防护 21\o"CurrentDocument"管理功能 28SharedEngineeringServicesSEP与主要竞争对手的对比FieldEngineeringTeamFieldEngineeringTeam了可以自己定义根据信誉得分所做的操作，还可以定义白名单，防止误报等。防火墙关键功能对比总结表：TrendMicroMcAfeeKaspersky瑞星Symantec基本原理只是针对数据包的检测，不能控制应用程序的网络行为。既可以基于数据包进行检测，也可控制应用程序(程序指纹）的网络行为。基本上基于数据包的检测，对应用程序的网络行为控制，都是预设的。既可以基于数据包进行检测，也可控制应用程序（程序指纹）的网络行为。处所切换处所切换的判断条件很少。处所切换的判断条件很少。不支持有多种处所切换的判断条件。基于网络适配器的策略制定不支持不支持不支持多种默认网络适配器可选，并可根据适配器ID手动添加。协议类型用户可以自定义协议类型只有可选的协议，用户不能自定义可选的协议很有限，用户不能自定义用户可以自定义协议类型自定义Schedule支持支持不支持支持内置默认规则71很多少25以下是各竞争对手产品的功能点介绍和截图:TrendMicroDeepSecurity有大量内建规则，默认有71条。可选Action包括：Allow/Bypass/Deny/ForceAllow/LogonlyAction:AllowPriority:AllowBypassPacketdirection:DenyForceAllowFrameType:[iPLogOnly_U数据包方向只区分Incoming和Outgoing帧类型：IP/ARP/REVARP/自定义默认的Protocol：ICMP/IGMP/GGP/TCP/PUP/UDP/IDP/ND/RAW/TCP+UPD，还可以自定义Protocol类型。数据包源/目的：可基于单个IP、多个IP、IP段、IP掩码、IP范围、单个MAC、多个MAC、MAC列表、Port(s)、Port列表。可以针对不同类型的数据包指定数据包标识，比如，对于TCP，可指定URG、ACK、PSH、RST、SYN、FIN^SpecificFlags 厂AnyFlags厂URG厂ACK厂P5H厂R5T厂5YN厂FIN以上的每一个设置，都可以设置为反逻辑FrameType:liprNotProtocol:|tcpjJrNotPacketSourceIP:|Any「NotMAC:|Any「NotPort:|Anyd「NotPacketDestinationIP:|AnyJ「NotMAC:|Any「NotPort:|PortList:|FTPEditrNot可设定Context，作用类似于SEP上的Location设置可设定Schedule。McAfeeVirusScan8.7i/ePO有不少内建规则，其中包括对McAfeeEndpointEncryption产品的默认策略HostIntrusionPrevention7.0.4:防火墙〉防火墙规则状态名称启用eP丨]丨icy0rchestrato「Agent启用卜ePolicy〇n::hes的七:丨「Server启用_VPN启用AllowAgent-to-ServerCommunication启用AllowupdatesfromMyAvert启用PingandICMP启用Allowbootp启用AllowDNS启用AllowNetTimeProtocol启用1-NetBIOSGr-〇up启用AllowallhighLJDP启用McAfeeValidationTrustProtectionService启用►-EndpointEncryption还有大量的预定义规则HostIntrusionPrevention7.0.4:防火墙：=状态名称启用AOLInstantMessenger启用AOLInstantMessenger95启用CuteFTP启用CuteFTP32启用►E门dpointEncn/ptio门启用ePolicyOrchestratorAgent启用ePi]lie),⑴「chest「atorServer启用Eudora启用FlashFXP启用FTP启用Groupwise启用HostIPS启用ICQ启用►InternetExplorer启用IPv6NeighborDiscovery启用LocalServerAuthentication启用MAPISP32启用McAfeeLightweightInstallerRIMozila可将防火墙策略设置为一个入侵特征数据包方向：内/外、内、夕卜协议类型：IP、Appletalk、IPX、NetBEUI，但是用户不能自己定义远程地址：但只是针对远程地址，不能区分数据源地址、目标地址传输协议：有很多传输协议可选，但是不能用户自己定义可针对应用程序指纹和应用程序路径连接感知设置，作用类似于SEP中的Location可设定Schedule连接感知设置，作用类似于SEP中的Location可以对防火墙策略进行分组可以设定防火墙策略为共享或非共享可以针对防火墙策略指定隔离规则

可以对策略进行导入和导出KasperskyInternetSecurity2012：Kaspersky的防火墙策略分为两部分：Applicationrule和Packetrule防火墙的动作：允许、阻止、基于应用程序规则支持的协议有限数据包的方向中，可选择Stream类型防火墙的动作：允许、阻止、基于应用程序规则支持的协议有限数据包的方向中，可选择Stream类型Direction:Remoteports:Localports:Inhound/OutboundVInboundInbound(stream)Inhound/OutboundVInboundInbound(stream)Inbound/OutboundOutboundC'utbourid(stream)KAdditionalM^.llo'A1activeFTPmode0Blockconnectionsiftheycannotbepromptedforaction(applicationinterfaceisnotloaded)0DonotdisableFirewalluntilthesystemtotallystopsHelpOKCancel£JOperatingsystemStartupsettingsSystemfiles5ecijr.it':,..settings5ystemservicesProtectedapplicationsdIdentitydataUserfilesQProgramsettingsQInternetbrowsersFile-managersQEmailclientsS)Instantmessengers£JOperatingsystemStartupsettingsSystemfiles5ecijr.it':,..settings5ystemservicesProtectedapplicationsdIdentitydataUserfilesQProgramsettingsQInternetbrowsersFile-managersQEmailclientsS)InstantmessengersQElectronicpurses囡因回0g_Q3回回回I>>>00000000]|SCDGS回回回[1][1][11[1]回QQQQQOOQQQO(^^(((回回ee^^l©©eee©©eee©oqqqqoqqqo瑞星全功能安全软件:ip包地址的设置只能基于ip可设置协议类型ip包地址的设置只能基于ip可设置协议类型TCF|ALLITCFTCF|ALLITCFiniFTCF/l.niFICMPIGMFESPAHGfLEP1IIPSICEF协议对方端口：本地端口：指定协议号可自定义数据包特征值可选TCP数据包标志多重通知方式可添加可信区可添加基于ip地址的黑、白名单可添加可信区可添加基于ip地址的黑、白名单可针对特定端口进行设置可设置独立于IP规则的程序联网控制，允许或阻止特定程序联网@瑞星全功能安$软件设罝 •@瑞星全功能安$软件设罝 •S截截御截护拦拦防拦保罝^查电^@@@@国@@升高入侵防护关键功能对比总结表:TrendMicroMcAfeeKaspersky瑞星Symantec内置规则1000多条1000多条不能配置IPS/IDS2646条自定义规则较难，没有sample可供参考。较难，没有sample可供参考。提供sample参考，语法比较简单。

注：虽然从界面上看，McAfee叫HostIPS,但是，其实它的作用类似于SEP中的用程序控制策略，并不能算是真正意义上的网络入侵防护。以下是各竞争对手产品的功能点介绍和截图：TrendMicroDeepSecurity预设了一千多条IDS/IPS策略入侵防护策略与ApplicationType绑定，而实际上，ApplicationType是基于数据包用户可以有三种方式定义入侵防护特征：Signature、用户可以有三种方式定义入侵防护特征：Signature、Start/End/Patterns、Custom(XML)可以导出、导入策略可以设定Schedule不能自动阻止入侵者McAfeeVirusScan8.7i/ePO可自动阻止入侵者IPS选项： F启用主机IPS启用适应棋式(自动学匀规则）17在实施此策唣时保留现有的客户端规则仅限Windows: 启用网络ipsP自动阻止网络入侵者：F直到被删險O截止时间(|1〇IF保留己阻止的主机厂在应用程序保护列表中自动包括面向网络且基于服务的应用程序可根据不同严重等级的事件指定相应的动作基于签名严重性等■基于签名严重性等■的废应:高： 咀止3中： |忽略f£: |忽略信息：|忽略二J默认有将近1000条签名规则默认有一百多条应用程序保护规则支持多平台：Windows、Solaris、支持多平台：Windows、Solaris、Linux、HP-UX针对每条规则选择严重性可以按照标准子规则和专家子规则两种方式添加子规则在标准子规则中可选择类型为文件、HTTP、注册表、服务文件类型就类似于SEP中的应用程序控制策略HTTP类型的规则只能针对HTTPRequest规则类型：HTTP操作：至少选择一个将应用此子规则的換作i國请汞参数：请至少输入一个所需的参数：[方法，查询，URL]包括i方法El1iiiSI方法URL用户名可以指定针对服务的规则规则类型： |服务H操作： 至少选择一个格应用此子规则的操作。■继续服务■创建服务■臓服务|■修改登录信息|■暂停服务|國禁用硬件配罝文件|國启用硬件配罝文件■启动版务■修改启动模式■停止服备参数： 请至少^入一个所需的，数：[显示名称^服务]括匕ji显示名^eii专家子规则中可以写自定义的格式，类似于SEP中的自定义IPS规则可以针对签名、进程名称、用户等添加例外规则可导入、导出规则可将规则设置为共享、非共享KasperskyInternetSecurity2012：Kaspersky上不能对IDS/IPS进行配置瑞星全功能安全软件：默认提供的网络攻击特征较少，且不能自定义管理功能这里的管理功能主要指企业的系统管理员对终端客户端的控制，比如不让用户修改客户端的软件配置等。关键功能对比总结：

TrendMicroDeepSecurity没有客户端UI,管理员只能通过策略控制日志方面的功能。McAfeeVirusScan8.7i/ePO4.5在管理功能方面的实现方式类似于做策略，主要的配置包括事件转发、客户端日志控制、客户端自动更新、代理服务器、常规等。以下为软件抓图：McAfeeAgent>京规>aaaa常规亊件记录1资料库更新代理服备器苜规选项：策略实施间唱(分钟)：[H[7显示McAfee系统任务栏囝标(仅限Windows)厂允许最終用户从McAfee系统托盘菜单更新安全P启用代理唤醒呼叫支持R7启用超鈒代理喚醒呼叫支持（仅Windows)17仅接受来自ePO服务器的连接厂将代理转换为SuperAgent(仅限Windows)格运行SuperAgent的系铳用作分布式资料庠资料库路径：产品部署后的重新启动选顶(仅眼Windows):代理与服备器通讯：需要重新启动时提示用户厂此时间后强制自动重新启动(秒产品部署后的重新启动选顶(仅眼Windows):代理与服备器通讯：卩启用代理与服务器通讯代理与服务器通讯间P高(分钟)：|60 |如果策略早于下列时间，则芷启动后10分钟内启动代理与服务器通讯(天)：|1I17除了系统屝性外还发送完整产品尾性，如果未选中，则除了系统厘性外，仅发送最少产品尾性McAfeibAgent:>常规〉aaaa常规亊件记录资料库更新代理服备器亊件转发忧先级P启用亊件转发优先鈸转发忧先级等于或高于下列级别的亊件：I主要：J上载时间间隔(分钟)：[5~