如何有效确保终端安全

Symantec Endpoint Protection Small Business Suite

　　我们测试的第四款安全软件是 Symantec Endpoint Protection Suite 12.0.122.192。这是所有产品中最古老也是企业使用最广泛的安全软件，世界上很多大型企业在它们的网络中使用的都是这款软件。

　　我们测试的是 Endpoint Protection Suite产品套件中的小型企业版本。虽然并不是企业版，但是Symantec表示，小型企业版和企业版在检测和扫描方面是一样的。

　　产品给我们的第一印象很好，安装过程很顺利，软件界面看上去也很舒服。我们针对一个没有被感染的硬盘分区进行了测试，虽然它的速度并不是所有产品中最快的，但也令我们相当满意。

　　不过在测试含有病毒的区域时，它却是所有评测产品中扫描速度最慢的一个。实际上，其它产品的扫描时间都在15分钟到2个小时之间，而Symantec的产品则在5个小时以上，因此我们只好让测试平台通宵工作。

　　在与Symantec的技术人员沟通后我们了解到，当Symantec的产品发现恶意软件后，会执行一系列额外的扫描工作，确保病毒没有存在于内存或系统的其它角落。虽然这个功能对于家庭用户来说可能很不错，但是对于企业环境来说可能就不适用了，因为一旦企业环境中出现严重的病毒感染，管理员都会立即将系统关闭或隔离，并重建系统，不会等好几个小时。

　　不同之处

　　Symantec仅仅挂钩SSDT表，而不涉及任何内核代码区。一个最大的不同在于Symantec将自己的防护范围扩大到更多的设备上。一般来说，反病毒软件都是针对特定设备工作的，比如针对某个IP，TCP，UDP，来监控数据流，而Symantec除此以外还监控IP Multicast设备。

　　扫描结果

　　Symantec在所有产品中，扫描耗时最长，在全部2297个测试样本中，漏掉了148个，位居第三名。

　　重新封装的恶意软件测试

　　在这项测试中，Symantec表现不错，检测出了全部27个样本中的16个。

　　商业后门软件测试

　　Symantec 对于商业软件并不敏感，完全没有检测出我们所使用的商业后门软件。仅在CANVAS测试中给出了一个异常端口连接的警告。如果这个木马连接所使用的是常见端口比如80端口，则根本连这个警告都木有了。这种结果让我们有些失望，在重复进行了一次测试后，得到了同样的结果。

　　防火墙测试

　　Symantec 所提供的“网络威胁保护”功能所给出的默认设置过于宽松。比如，攻击者在入侵系统时，软件只会给用户一个警告信息，而并不实际阻止入侵者的行为。默认的防火墙规则只是拦截了IPv6数据流，但其它数据流则全部放行。当然，防火墙规则是可以手动修改的，用户也可以将其设置为基于IP地址的规则，或者基于应用程序的规则。如果是后者，那么当用户使用的程序首次需要接入网络时，Symantec防火墙会给出提示，询问用户是否放行。

　　(Credit: Securus Global)