【IT168 专稿】随着网络的发展越来越多的企业开始关注内网安全,传统的单机版杀毒软件不方便管理,特别对于企业网络管理员来说,当病毒爆发时无法从全局出发进行控制和查杀,因此很多企业都会通过更方便管理,更适合部署的网络版杀毒软件入手去搭建企业防毒体系。最近笔者所在企业正好用到ESET NOD32网络版,下面笔者就为各位IT168读者介绍如何搭建ESET NOD32网络版部署企业防毒体系。
一、ESET NOD32网络杀毒体系的结构
在安装升级服务器和管理控制端之前我们首先需要对整个的ESET NOD32网络杀毒体系结构有一个清晰的了解。
在图1中我们可以看出整个的ESET NOD32网络版杀毒体系实际上是通过以这个镜像升级服务器为核心的,传统意义上的ESET NOD32在安装后都会直接通过internet连接ESET公司的官方升级服务器,这就是单机版的表现形式。反观网络版NOD32则是建立了一个镜像服务器,然后更新升级任务由此服务器来完成,利用internet保持与官方升级病毒库数据的同步。内网各个客户端都通过镜像服务器来升级。同时为了更好的管理整个企业内网客户端的工作状态,用户需要在该镜像服务器上安装一个名为ERAS的服务端程序,该服务的主要任务是采集客户端信息并向其发送各种请求。而所有管理则是通过名为ERAC的管理控制端实现的,这个管理控制端可以安装在内网或外网的任何一台联网机器上,前提是可以顺利访问ERAS服务器,最终网管通过ERAC对企业内网杀毒体系进行控制与管理。
总的来说我们在部署NOD32网络版时要保证有一台服务器作为镜像升级服务器而存在,同时需要安装ERAS服务器组件,最后在某台管理机上安装ERAS管理控制端程序。ERA服务器是连接ERA控制台和客户端之间的纽带,所有信息在到达向客户端或ERA控制台前都会在这里得到处理、修改和维护。
在实际部署时升级服务,ERAS服务必须安装在一台服务器上,而ERAC服务则安装在任何一台联网主机都可以。
二、防病毒服务端的安装
下面我们就进入正式的ESET NOD32网络版搭建环节,首先是防病毒服务端的安装,说白了就是先建立镜像升级服务器。在网络版光盘中我们运行名为“防病毒服务器端eavbe_nt32_chs.msi”的文件。选择该程序双击选择安装。
(1)防病毒服务端程序的安装:
第一步:出现安装向导界面,选择“下一步”。继续选择“我接受许可协议中的条款”。
小提示:
如果系统中安装有其他杀毒软件的话ESET NOD32会发出警告,需要我们先卸掉相关杀软再进行安装,这样才可以最大限度避免冲突与兼容性问题的发生。
第二步:安装模式选择典型安装。然后输入自动更新所使用的用户名和密码,当然这些信息在网络版杀毒软件安装光盘中都有,我们需要到官方注册完毕后转换为升级帐户。
第三步:启用“threatsense.net预警系统”,选择“下一步”。
第四步:在下拉选项中选择“启用潜在不受欢迎的应用程序检测功能”,选择“下一步”。
第五步:之后将复制必需文件到服务器硬盘,同时注册相关服务,保证程序可以随系统启动而启动。
第六步:完成ESET NOD32 Antivirus安装向导工作,点相关按钮退出。
(2)授权许可的导入:
要想让NOD32网络版可以顺利运行我们需要导入授权的许可帐户,通过上面操作后我们在桌面右下角可以看到NOD32网络版的图标,双击打开NOD32程序,然后选择右上角“设置->高级设置”,或者按F5也可以。
在高级设置界面下我们选择“其他->许可证”,然后通过“添加”按钮找到网络版杀毒软件安装光盘中提供的许可证文件nod32.lic。这个文件是非常关键的我们花钱购买网络版杀毒软件从某种意义上讲购买的就是此文件。
导入后我们可以看到购买的许可证文件里面对应的产品信息,所有人,授权管理的客户端数量以及有效期等信息。由于涉及到企业隐私所以笔者给大家截图演示的是通过测试版许可证书文件完成的。
保存退出后再次打开“高级设置”,然后选择“更新”->“设置”打开“高级设置”窗口。
在高级设置窗口选择“镜像”标签,在“创建更新镜像”前打上勾,同时默认情况下“通过内部HTTP服务器提供更新文件”也是选中的,默认的保存镜像文件的文件夹不做任何更改即可,如果企业有特殊需要可以通过旁边的按钮修改。默认路径为C:\Documents and Settings\All Users\Application Data\ESET\ESET NOD32 Antivirus\mirror。用户名及密码无需输入,点击“确定”。
通过此操作就可以将我们这台服务器变为升级更新镜像服务器了,当之前安装的NOD32程序在线到官方网站更新完毕后会在C:\Documents and Settings\All Users\Application Data\ESET\ESET NOD32 Antivirus\mirror创建一个镜像升级目录,里面存储的是最新的病毒库程序,同时该服务器还将通过HTTP发布此目录,为网络中其他计算机提供病毒库更新服务。
至此我们就完成了镜像服务器的搭建,接下来是安装ERAS以及ERAC两个管理程序。
三、ERAS的安装
接下来是ERAS的安装,ERAS的服务端程序,该服务的主要任务是采集客户端信息并向其发送各种请求。
第一步:我们运行安装光盘中的era_server_nt32_chs.exe启动ESET Remote Administrator server 3.1.11安装程序。
第二步:接下来选择typical典型安装,然后点“NEXT”按钮继续。
第三步:下面的步骤是选择许可证,这个许可证与前面介绍导入授权许可时用到的文件是同一个,通过“浏览”按钮进行添加,相关的产品,用户,许可期都会显示出来。
第四步:设置各个密码,包括管理控制台管理控制密码,只读密码以及远程安装密码等信息,笔者觉得这些密码中就是第一个administrator access password for console最重要,应该对其进行添加。
第五步:设置更新参数环节,笔者建议选择“set update parameters later”稍后设置更新参数。接下来是复制必须文件到本地硬盘。
完成安装后我们在服务器上的操作就结束了,最后环节是安装era_console_nt32_chs.msi控制台程序,这个程序可以安装在网络中任何一台计算机上,主要用于网络管理员来进行管理。
四、ERAC的安装
打开网络版安装光盘运行里面的era_console_nt32_chs.msi控制台程序启动ESET Remote administrator console 3.1.11程序。
第一步:启动安装程序后选择advanced高级向导,点NEXT按钮继续。
第二步:默认ERAC是安装在c:\program files\eset\eset remote administrator\console\目录下,点NEXT按钮继续。
第三步:设置服务器参数,这里输入的地址是我们刚才部署ERAS的服务器地址,而不是本机地址,例如笔者的是58.129.1.23,连接端口使用的是2223,记得在路由器上为此端口做出预留。
第四步:复制必须文件到本地硬盘,结束eset remote administrator console控制台的安装。
第五步:完成后在桌面会看到eset remote administrator console控制台的图标,运行后就会自动连接目的ERAS服务器,如果我们设置了访问管理员密码的话需要输入才能够顺利连接进入。
五、客户端的发布
我们搭建了企业内网NOD32防毒体系就应该拥有自己的专有NOD32安装程序,因为默认的升级服务器已经不再是官方服务器地址,取而代之的是企业内网ERAS服务器地址,因此我们需要制作适合自己企业的NOD32安装程序,下面笔者就来说说客户端安装程序的发布。
第一步:启动eset remote administrator console控制台,然后选择下面“远程安装”标签中的,管理安装包右边的“安装包”按钮。
第二步:在安装包编辑器中点“添加”按钮,然后通过“浏览”按钮选择要给内网各个主机安装的NOD322客户端版本(官方版),然后点“创建”按钮。
第三步:之后我们可以看到添加的安装包程序版本,目前这个安装包和官方版没有任何区别,我们点“编辑”按钮制作自己个性化安装包。
第四步:编辑的主要工作就是修改“升级服务器”地址,在编辑器中有两个地方需要做更改,一个是“ESET核心->设置->远程管理->服务器地址”,将里面的值修改为ERAS服务器IP地址,其他信息不需要更改。
第五步:保存后再打开编辑器选择下面的“升级模块->设定档->设置->升级服务器”,同样将这个地址做修改,添加ERAS服务器地址,例如本例的http://58.129.1.23:2221,这里需要注意的是一定要在值处填写http://58.129.1.23:2221。之后保存即可,不写HTTP不能生效。
第六步:之后返回到“安装包编辑器”中点“另存为”按钮将更改信息做生效。
第七步:继续在安装包编辑器中点“复制”按钮将个性化安装包存储到桌面。生成的安装程序是EXE格式的,我们可以直接在客户端上进行安装。
六、客户端的安装
通过自己生成的个性化NOD32网络版程序我们可以在内网任何一台主机上安装,安装过程和方法与官方版是一致的,运行EXE后一路“下一步”按钮即可。
用户名和密码不需要我们输入,因为相关的授权和帐户验证已经由升级镜像服务器来完成了,我们不需要对每台机器分别授权,这也是网络版的一个优势,我们点“以后再设置用户名和密码”即可。
安装完成后我们在eset remote administrator console控制台上可以看到相关终端机出现的信息,包括名称,服务器信息以及安装的产品名称,更新状态,病毒数据库信息等。
七、总结
至此我们就完成了整个NOD32防毒体系的搭建,我们可以在内网的各个终端上安装NOD32网络版程序,这些终端的更新都会直接联系内网镜像服务器,更新速度会非常快,同时我们利用eset remote administrator console控制台可以实现对内网计算机的统一管理,关于日后的维护与管理相关的内容我们将在运维篇中为各位读者进行介绍。