企业安全 NOD32网络版运营维护篇

network

在之前的文章中笔者为各位IT168的读者介绍了如何在企业内网搭建一套ESET NOD32网络版防毒体系，不过在实际部署中所有步骤并不是一帆风顺的，结合企业实际情况总会出现这样或那样的小问题，下面笔者就从自己经验出发为各位介绍如何企业安全稳字当线——NOD32网络版运营维护的相关技巧与经验。    一、内网客户端安装版本有差别：
    众所周知在我们通过NOD32远程控制端制作企业内网个性化安装包时需要选择初始安装程序，而对于NOD32来说在普通员工计算机与服务器上使用的版本是绝对不同的，所以在制作个性化安装包时也要有所区分。

图1

    打开ESET NOD322网络版安装光盘后会看到有服务器版与工作站版不同的目录，我们在制作个性化安装包时一定要分开制作，利用服务器版制作的安装包EXE程序只能够在服务器上安装，而通过工作站版制作的个性化安装包才可以在普通计算机上安装。同样在服务器版程序制作时也要对32位与64位的不同情况给予区分，分开制作。

图2

network

二、终端升级故障巧解决：    由于我们在架设NOD32网络版时需要在企业内网架设一个升级同步镜像服务器，而内网各个终端的运行关键是能否顺利升级，所以终端顺畅更新升级是非常关键的。在实际部署时笔者发现终端最容易出现——在服务器上找不到文件，无法连接到服务器以及下载已中断三大问题，下面笔者依次进行介绍。
    （1）服务器上找不到文件：

图3

    由于在同步镜像服务器上需要针对更新文件进行发布，而这个过程是通过C:\Documents and Settings\All Users\Application Data\ESET\ESET NOD32 Antivirus\mirror目录实现的，如果出现在服务器上找不到文件错误提示的话，最可能的是这个目录没有发布成功或没有创建。在控制台上我们也可以看到“找不到文件的错误提示”。

图4

    我们需要查看同步服务器上C:\Documents and Settings\All Users\Application Data\ESET\ESET NOD32 Antivirus\mirror是否有更新文件存在，如果存在的话可以查看服务器NOD32主界面“高级设置->镜像”标签下保存镜像文件的文件夹是否是默认的目录。

图5

    如果文件存在但故障依旧的话我们就只能够通过删除mirror目录，再重新“创建更新镜像”了。这可能是因为更新档下载出错造成的，一般来说这个办法能够解决问题。
    （2）病毒库无法更新无法连接到服务器：

图6

    这个提示说明客户端NOD32无法连接到同步服务器，一般来说我们可以通过ping服务器地址来查询，如果一切正常那么就是服务器的更新文件发布服务使用的端口被占用或被路由交换设备所过滤阻止了，我们可以通过在同步服务器上执行“高级设置->镜像”，然后选择“通过内部HTTP服务器提供更新文件”旁边的“高级设置”，对发布更新文件使用的端口进行修改，默认是2223，我们可以选择一个没有被过滤或占用的端口信息。

图7

    （3）病毒库无法更新下载已中断：
    这个错误让笔者调试了半天，具体症状就是某些计算机可以顺利更新，而在其他计算机上执行更新却出现“病毒库无法更新下载已中断”，先后尝试了六台客户端，有问题的是两台。

图8

    经过笔者反复排查这个故障是由于同步服务器上发布病毒库更新文件服务使用的端口与其他应用程序有冲突，所以有时可以更新成功，有时出现“下载已中断”。使用上文介绍的方法对发布更新文件使用的端口进行修改即可解决。

图9

network

三、负载过大发布遇阻的解决：    笔者购买的授权是200个点，当管理200个点时发现服务器响应变得很慢，终端客户机更新速度也有所下降。经过反复测试发现这是因为NOD32网络版自身的“通过内部HTTP服务器提供更新文件”性能不足造成的。既然这个发布更新文件的功能性能不好，那么我们就可以抛弃他而通过其他发布工具实现病毒库的更新。首先访问“高级设置->创建更新镜像->通过内部HTTP服务器提供更新文件”，将其前的对勾取消，这样就相当于关闭了HTTP服务。

图10

    接下来我们完全可以通过服务器的IIS对MIRROR这个升级文件存储目录进行发布，发布端口自己来选择可以是NOD32默认的2222也可以自己更改端口。设置时给予“读取”权限即可。

图11

    相比NOD32自身发布工具而言通过IIS或APACHE来发布更新文档更加稳定也更加灵活，用户可以巧妙的通过虚拟目录或主机头等功能来部署内网防病毒体系。经过笔者咨询官方得到的信息，当客户端可管理数在50以下用NOD32自身发布工具提供HTTP更新没有问题，在50以上的话最好选择IIS或APACHE这类专业发布工具。
。

network

四、维护中的技巧：    实际上当我们把NOD32部署完毕后日常维护很简单，很多操作都是系统默认设置好的，当我们利用远程控制台连接远程服务器后能够看到所管理的终端信息——包括客户端名称，主服务器，使用的产品名称，产品版本，策略类别，最后连通时间，病毒数据库，注释信息等。如果想看更全面的包括MAC地址，IP地址等数据的话选择最大视图模式即可很方便。

图12

    在实际维护时我们可以通过推送的方式要求各个客户端进行相关操作，包括杀毒，查毒，更新等。同时当客户端病毒库过期或存在系统漏洞的话我们也可以在远程控制端上查看清楚。要实现上述操作只需要在对应的客户端名称上点右键选择“新任务”即可，之后的操作很简单按照提示进行即可。这样我们就可以强制终端计算机NOD32执行相关安全操作。

图13

    除了远程统一管理终端计算机外在远程控制台上我们还可以为客户端进行分组，利用分组管理的方法可以更好的解决内网安全问题，将不同安全级别的计算机分配到不同的群组中，这样才能够更灵活的配置内网安全策略，针对不同的需求进行不同时间段不同频率的查杀与更新。总之分组管理是网络版杀毒软件的一个特色，网络管理员应该合理有效的对内网进行统筹分组管理。
    五、关于端口的几个说明：
    在我们进行NOD32部署和管理时涉及了一些服务和程序，相关的应用会遇到指定端口。下面笔者就这几个端口进行说明，端口的设置可以大大提高我们管理和部署NOD32的灵活度。
    （1）病毒库发布端口：
    正如上文所说病毒库发布默认通过2222端口，我们可以随意修改，只需要在“通过内部HTTP服务器提供更新文件”旁边的“高级设置”，对发布更新文件使用的端口进行修改。如果用IIS等发布工具发布的话修改病毒库发布端口更方便。
    （2）管理控制台连接端口：
    我们可以通过NOD32远程管理控制台连接远程服务端，默认端口是2223，我们同样可以对其进行修改。首先在服务器上运行开始->程序->ESET->eset remote administrator server->eset remote administrator maintenance tool。这个是远程管理端配置工具。

图14

    然后一路“下一步”到select action处，我们选择最后一个modify server configuration(era console must be installed）选项，当然对于开始或关闭ERA SERVER也是从这里选择，转移备份数据库操作也是在此，由于篇幅关系这里不详细说明了。

图15

    “下一步”后点start按钮会进入ESET配置编辑器，在这里我们找到other settings下的“port for console connectiong”即可，后面跟的数字默认是2223就是远程控制端连接远程服务端使用的端口。
    我们修改为自己自定义的端口后还需要通过“开始->程序->ESET->eset remote administrator server->eset remote administrator maintenance tool”下的select action处，利用选项中的开始或关闭ERA SERVER将EAR服务关闭再重启，这样修改才会生效，更改后我们就可以利用自己设置的端口连接远程服务端进行管理了。
    六、总结：
    实际上对于ESET NOD32网络版的应用来说还有很多经验和技巧，由于篇幅关系这里只针对一些典型的应用做介绍，希望能够帮助各位企业网络管理员解决实际问题，打造更加安全更加灵活的企业内网安全体系。