Anchiva防病毒网关运维手册Anchiva.doc

《Anchiva防病毒网关运维手册Anchiva.doc》由会员分享，可在线阅读，更多相关《Anchiva防病毒网关运维手册Anchiva.doc（11页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 TITLE * MERGEFORMAT 防病毒网关手册安启华公司杭州信息中心 二一年五月十四日版本控制信息版本日期拟稿和修改审核说明本文档中的所有内容为安启华公司的机密和专属所有。未经安启华公司的明确书面许可，任何组织或个人不得以任何目的、任何形式及任何手段复制或传播本文档部分或全部内容。目 录第一章 操作手册41. 设备面板标识41.1 面板结构41.2 状态灯判断42. 运维部分功能42.1 系统登录42.2 系统运行状态监视52.3 管理62.4 更新82.5 更新查看102.6 策略管理112.7 备份和恢复152.8 日志和报表15第二章 应急手册201. 概述201.1 防病毒网

2、关部署202 技术支持212.1 厂商技术支持人员212.2 400技术支持热线213. 故障发现213.1 巡检设备213.2 设备自带系统监控224. 现场分析与处理224.1 应急实例224.2 故障分析224.3 故障处理235. 二线分析与处理23第三章 防病毒配置手册23第四章 防病毒网关监控手册231防病毒网关系统监控232防病毒网关事件监控23第一章 操作手册1. 设备面板标识1.1 面板结构Anchiva的面板结构如下图：XXX公司使用的Anchiva 506具有6个10/100/1000Mbps电口。其中前面两对口分别组成一对Bypass组。因此Anchiva 506支持2

3、对bypass。此外，Anchiva 506前面板上还有一个DB-9的Console口。1.2 状态灯判断Anchiva 506的LED灯状态比较简单：2. 运维部分功能2.1 系统登录Anchiva的登录方式分为WebUI方式和CLI方式。WebUI界面：通过使用安全的HTTPS连接，管理员能够通过所支持的web浏览器来对安启华网关进行管理和配置。 Internet Explorer 6.0及6.0以上版本 Firefox 1.50及1.50以上版本登录安启华网关的WebUI1 通过web浏览器，输入路径和地址。https:/（此处需要改为XXX公司的IP地址）2 登录WebUI，输入默认的

4、管理员用户名和密码。（此处需要改为XXX公司的帐号）3 选择WebUI显示语言：英语、简体中文或繁体中文。4 单击“登录”。CLI界面：Anchiva的CLI界面有两种方式可以登录，Console口和SSH Console口登录 DB-9串口线 Console设置：9600/8位数据位/无奇偶校验/1位停止位/无流量控制 登录用户名和密码与WebUI的一致 SSH登录 相应的管理口上必须开启SSH管理，在XXX公司这个接口是eth5使用SSH软件连接Anchiva的IP地址xxx.xxx.xxx.xxx（此处需要改为XXX公司的IP地址） 登录的用户名和密码与WebUI一致出于安全考虑，首次登

5、录后请修改默认“管理员”账户密码。2.2 系统运行状态监视Anchiva设备的首面提供了常用配置和重要信息的快速访问。访问方式如下：主页-综合数据从设备的首页的图表中可以看到很多信息： CPU、内存、日志空间、网络带宽等等的利用率等等 会话计数器：显示过去一小时里每分钟HTTP/HTTPS、SMTP、POP3和FTP会话数。 检测到的恶意软件数量：显示过去一小时里HTTP/HTTPS、SMTP、POP3和FTP流量中每分钟所检测到的恶意 检查过的文件数量：显示过去一小时里HTTP/HTTPS、SMTP、POP3和FTP流量中每分钟检查当CPU、内存、日志空间等等的利用率发生报警的时候需要仔细察

6、看引起报警的原因。另外，除了首页之外，Anchiva设备的统计数据菜单详细记录了当前设备的运行情况，访问方式如下：主页-分类统计分类统计主要是对以下运行参数进行统计： 系统资源使用情况统计（访问方式：主页-分类统计-系统） 网络接口手法数据包情况统计（访问方式：主页-分类统计-网扩接口） HTTP/HTTPS协议扫描拦截情况统计（访问方式：主页-分类统计-HTTP/HTTP协议） FTP协议扫描拦截情况统计（访问方式：主页-分类统计-FTP协议） POP3协议扫描拦截情况统计（访问方式：主页-分类统计-POP3协议） SMTP协议扫描拦截情况统计（访问方式：主页-分类统计-SMTP协议） 站点

7、过滤情况统计（访问方式：主页-分类统计-站点过滤） 服务器保护情况统计（访问方式：主页-分类统计-服务器保护） 应用程序使用状况统计（访问方式：主页-分类统计-应用程序）其中站点过滤情况统计又分为： 安启华恶意站点过滤统计（访问方式：主页-分类统计-站点过滤-恶意站点） Google恶意站点过滤统计（访问方式：主页-分类统计-Google） URL分类过滤统计（访问方式：主页-分类统计-URL过滤）通过这些状态检测和统计信息就能够全面了解Anchiva设备的运行状况。 2.3 管理Anchiva 的管理员分类（访问方式：管理-访问管理-用户帐号）Anchiva的管理员分为三种权限：读写、只读、

8、审计。读写权限：可以修改设备的任何配置，并且可以创建新管理员只读权限：指可以察看设备的配置，但是不能修改配置，也不能创建新管理员审计权限：只能察看设备的日志和报表，不能察看设备配置，也不能创建管理员Anchiva的管理员密码设置条件（访问方式：管理-访问管理-访问控制）Anchiva的管理员密码要求很严格，必须包含这些条件：大写/小写字母，数字及特殊字符且长度在620之间。如果密码不满足这些条件密码设置不成功。Anchiva设备的访问控制1 SSH的管理端口默认为22，用户可以自行修改2 HTTPS的管理端口默认为443，用户可以自行修改3 NMS的管理端口是4438，如果用户修改必须同时修改

9、NMS的端口4 默认，如果超过15分钟没有操作，系统自动退出登录界面5 默认，连续错误登录5次，该账号将被锁定6 默认，一旦账号被锁定，5分钟内不能再次登录另外，可以从任何一个IP地址访问管理页面，但是如果客户指定了管理主机，则只能通过指定的管理主机进行管理。管理主机可以是单个IP地址，也可以是一个网段。例如：192.168.1.1/32表明管理主机是一台PC192.168.1.1/24表明管理主机是一个网段，该网段内的主机都可以访问管理页面管理接口（访问方式：管理-网络配置-网络接口）Anchiva设备的管理接口可以是独立的或者非独立的。管理接口上必须配置一个管理IP。管理IP的用户有两点：

10、1 管理设备2 设备使用管理IP上网升级特库非独立管理接口默认情况下，Anchiva设备是没有独立的管理接口的。默认情况下：1 所有物理接口上都是透明模式，没有IP地址，只有VLAN1这个逻辑接口上配有一个IP地址：192.168.20.200/24，用户可以修改这个地址2 为了能够管理及升级特征库，VLAN1上的管理地址不能随意设置3 虽然VLAN1上的这个IP地址，通过所有接口都可以访问呢，但是默认只有最左边的两个物理接口上开启了管理功能，而且默认只开启了WebUI。4 如果打开其它接口上的管理功能，通过其它接口也能够管理设备5 这种方式的优势在于，这属于带内管理。节约了一个物理接口。独立

11、管理接口如果设备上的接口有多余的，用户可以单独用一个物理接口做管理接口，比如eth71 如果用eth7口做管理接口，则需要把eth5修改为路由模式，然后再为eth7配置管理IP地址，然后再开启eth7上的管理功能2 配置在eth7上的管理IP可以是任意一个内网可达的地址。3 配置eth7上的管理IP，通过其他接口无法访问。4 这种方式优势在于，这属于带外管理，比较灵活。2.4 更新Anchiva的更新分为两部分：系统固件的更新及特征库的更新固件更新（访问方式：管理-系统维护-系统更新-系统固件）系统固件就是Anchiva设备的操作系统AnchivaOS，Anchiva公司会不定期发布新的操作系

12、统。新的版本一般会有以下1 增加新的功能2 修补bug3 提升效率4 客户订制AnchivaOS获取方式新的AnchivaOS的获取方式：可以通过Anchiva的FTP站点下载，也可以联系当地的Anchiva员工索取。1 通过Anchiva FTP站点下载Username:customerPassword:S00port2 联系当地Anchiva员工索取王海良： 何明阳： 固件更新前准备：1 首先从FTP或者Anchiva员工那里确认系统需要升级2 获取AnchivaOS升级文件固件更新步骤：注意：系统固件升级完成后，设备会自动重新。为了将影响降到最低，建议指定时间升级。请参考上图，进行升级。

13、升级完成后系统会自动重启。特征库升级Anchiva设备的特征库共有五个，分别是：1 防病毒引擎及病毒库2 恶意站点特征库3 应用程序特征库4 URL分类过滤特征库5 Web服务器保护特征库这五个特征库都必须有License，如果没有License或者License到期就不能升级特征库了。License的状态可以在这里察看：（访问方式：管理-系统维护-许可证）特征库升级状态查看（访问方式：管理-系统维护-系统更新-特征库）如下图，可以查看当前各个特征库的版本，以及最近一次更新时间和前一个版本。如果更新失败，在“状态”栏会有错误提示特征库升级特征库的升级可以自动升级、手动升级、本地升级。升级特征库

14、不需要重启设备。 自动升级，自动升级所有特征库 选择升级的时间：按小时升级/按日期升级 如果：设置按小时升级，时间间隔为1小时。则每隔1小时系统自动检查是否有新的升级包，如果有就下载升级；如果没有则等1小时后再检 如果：设置按日期升级，则在每天指定的时间点进行检查是否有新的升级包，如果有，就下载升级；如果没有则第二天同一时间在进行检查 手动升级，需要手动逐一进行升级 选择需要更新的特征库类型 点击“应用” 本地升级，如果Anchiva设备不能访问Internet（比如专网内部），可以采用本地升级 手动下载相应的特征库升级包 选择升级相应的特征库 点击“应用”手动下载升级包如果设备不能直接访问I

15、nternet（比如专网内部），则需要手动下载特征库升级包，进行本地升级，下载特征库升级包的方式如下：Username: Password: 2.5 更新查看Anchiva的更新分为系统固件更新及特征库更新，更新完毕后可以查看确认是否更新成功系统固件更新查看（访问方式：管理-系统维护-系统更新-系统固件）通过系统固件的更新状态可以查看，固件更新前后的版本及更新时间特征库更新查看（访问方式：管理-系统维护-系统更新-特征库）通过特征库德更新状态可以查看特征库更新前后的版本以及更新时间和更新的状态状态说明updated：表明在最近的一次特征库升级信息检查时，发现了新的特征库升级包，并且成功地下载升

16、级包、成功的升级为新的特征库了。up to date：表明在最近的一次特征库升级信息检查时，没有发现新的特征库升级包，因此当前的特征库是最新的特征库2.6 策略管理在添加策略之前需要首先创建一些对象，比如：时间对象、带宽对象、安全组、安全配置等等。时间对象（访问方式：策略-对象设置-时间对象）为了在不同的时间段采取不同的处理方式就需要创建时间对象。带宽对象（访问方式：策略-对象设置-带宽对象）为了控制员工对应用程序及网络带宽的使用，需要创建一些带宽对象，然后把这些带宽对象与用户组或者协议进行绑定Anchiva的带宽分配采用默认采用公平分配的方式。同一带宽通道内的用户流量，在通道内采用轮询调度的

17、方式，轮流得到发送机会，可以公平的使用该通道的带宽。用户也可以选择开启限制单用户最高带宽的功能。现定使用该通道的用户的流量不能超过某个指定的数值。安全组（访问方式：策略-安全组）Anchiva可以创建多个安全组。所谓的安全组其实就是用户组，可以是IP组/地址或者AD组/用户，如图所示根据需要可以创建多个安全组，比如财务、销售、技术、领导等等安全配置（访问方式：策略-安全配置）安全配置类似于安全模板，我们可以把安全模板绑定在安全组上。安全配置的例子如下：用户可以对安全配置里面各个扫描控制选贤进行配置和调整。 默认带宽对象：如果配置了默认带宽对象，那么匹配该安全配置的所有流量都会受这个默认带宽对象

18、的控制，如果该带宽对象中有些协议，比如P2P已经单独指定带宽对象了，则不受默认带宽对象的控制。 Web服务：点击后面的编辑图标，可以修改该安全配置中对HTTP/HTTPS协议的扫描控制参数，比如：是否双向扫描、是否开启恶意站点过滤、是否开启URL分类过滤等等 SMTP协议/POP3协议/FTP服务：点击后面的编辑图标，可以修改该安全配置中对这几种协议的扫描参数 后缀名匹配：点击后面的编辑图标，可以修改该安全配置，添加或者删除需要阻断的扩展名类型 全文件名匹配：点击后面的编辑图标，可以修改该安全配置，添加或者删除需要阻断的指定的文件 恶意站点：点击后面的编辑图标，可以修改该安全配置中对于安启华恶

19、意站点过滤得配置 应用程序站点：点击后面的编辑图标，可以修改该安全配置中对应用程序站点的过滤 URL过滤：点击后面的编辑图标，可以修改该安全配置中URL过滤功能的配置 非生产性软件：点击后面的编辑图标，可以修改该安全配置中对在线电视、网络游戏、P2P下载软件、通道软件等等控制 生产性软件：点击后面的编辑图标，可以修改该安全配置中对WWW访问，邮件访问，远程桌面等等软件的控制 即时通信软件：点击后面的编辑图标，可以修改该安全配置中对QQ、MSN、Skype等等聊天软件的控制 即时通讯审计：点击后面的编辑图标，可以修改该安全配置中对MSN和Yahoo聊天软件的审计 服务器保护：点击后面的编辑图标，

20、可以修改该安全配置中对web服务器保护的配置注意：为了进行流量控制，用户可以单独为P2P进行流量分配，如果P2P软件已经绑定了某个带宽对象，那么P2P的流量将不再受默认带宽对象的限制Anchiva设备的策略分为两类：服务策略及应用程序策略服务策略（访问方式：策略-策略-服务策略）服务策略是对针对HTTP，HTTPS，SMTP这5种协议进行扫描和控制。比如这五种协议的恶意软件扫描、恶意站点过滤、Google恶意站点过滤、URL分类过滤等等功能都是通过添加服务策略是开启的。注意：Anchiva的策略是配置在流量到达Ancihva的那个Interface或者Zone上的，也就是相当于策略是配置在源接

21、口/Zone上的。因此：1 如果eth0接的是Internet，那么如果在eth0上配置策略，策略中的源IP/Subnet/源安全组应该是外网的地址。目的地址是内网地址。2 如果eth0接的内网交换机，那么如果在eth0上配置策略，策略中的源IP/Subnet/源安全组应该是内网的地址。目的地址是外网地址。注意：安启华的策略可以配置在接口/VLAN上，也可以配置在Zone上。这两者的差别在于：如果配置在zone上会启用Anchiva的高级会话跟踪，在复杂环境中能够确保流量路径不出故障。因此一般我们推荐将策略配置在zone上。要在zone上创建策略，首先要创建zone，并发interface与z

22、one绑定。应用程序策略（访问方式：策略-策略-应用程序策略）而应用程序控制、IM控制及IM审计等等都是通过应承程序策略来进行控制的。 2.7 备份和恢复Anchiva设备可以备份/恢复配置文件。备份配置文件不需要重启，但是导入（恢复）配置文件设备需要重启，来加载新的配置文件。因此要注意：恢复配置文件设备会自动重启。备份配置文件（访问方式：管理-系统维护-系统更新-系统固件）点击上图中“保存”，就可以备份Anchiva的配置文件。备份下来的Anchiva的配置文件是一个zip压缩文件，里面有多个文件，包括： sysconf：这是备份的系统配置文件 user_blacklist:这是备份的用户黑

23、名单 user_whitelist:这是备份的用户白名单恢复配置文件（访问方式：管理-系统维护-系统更新-系统固件）恢复配置文件的时候需要注意：不可以用整个zip文件直接恢复，而只能使用sysconf文件恢复配置文件，另外两个文件如果里面有内容，则需要到相应的地方进行导入。 sysconf：导入的位置在：管理-系统维护-系统更新-系统固件 user_blacklist:导入的位置在：站点过滤-黑名单 user_whitelist:导入的位置在：站点过滤-白名单 2.8 日志和报表Anchiva的日志和报表比较丰富。包括检测日志、控制日志、系统日志、管理员审计日志；周期报表，手动生成报表等等日志

24、的设置（访问方式：管理-系统设置-日志-系统日志设置）需要记录日志那就一定要打开日志记录的功能。比如默认正常邮件、应用程序控制的日志系统不做记录。如果用户需要记录这些日志就一定要开启日志记录。除了开启日志记录之外，还需要调整分配给日志的存储空间以及保存天数。Anchiva的日志除了可以分项下载、导出之外，还可以将所有的日志定时定期的打包下载SYSLOG设置（访问方式：管理-系统设置-日志-syslog设置）Anchiva支持SYSLOG日志输出，且最多可以设置三台SYSLOG日志服务器。而且可以选择向SYSLOG服务器输出的日志类型日志察看（访问方式：报表和日志-日志）Anchiva所有的日志

25、都可以在这里进行分类察看。比如恶意软件扫描日志：各个协议的扫描日志HTTP/HTTPS协议：在这里察看：报表和日志-日志-恶意软件活动-HTTP/HTTPS协议FTP协议：在这里察看：报表和日志-日志-恶意软件活动-FTP协议SMTP协议：在这里察看：报表和日志-日志-恶意软件活动-SMTP协议POP3协议：在这里察看：报表和日志-日志-恶意软件活动-POP3协议恶意软件统计：各个协议扫描结果的统计分析情况HTTP/HTTPS协议：在这里察看：报表和日志-日志-恶意软件统计-HTTP/HTTPS协议FTP协议：在这里察看：报表和日志-日志-恶意软件统计-FTP协议SMTP协议：在这里察看：报表

26、和日志-日志-恶意软件统计-SMTP协议POP3协议：在这里察看：报表和日志-日志-恶意软件统计-POP3协议站点过滤日志：恶意站点过滤、黑名单、及URL分类过滤日志恶意站点：在这里察看：报表和日志-日志-站点过滤-恶意站点应用程序站点：在这里察看：报表和日志-日志-站点过滤-应用程序站点黑名单：在这里察看：报表和日志-日志-站点过滤-黑名单Google恶意站点：在这里察看：报表和日志-日志-站点过滤-GoogleURL过滤：在这里察看：报表和日志-日志-站点过滤-URL过滤服务器保护日志：在这里察看：报表和日志-日志-服务器保护事件日志：异常事件及各个协议扫描中的特殊情况日志异常事务：在这里

27、察看：报表和日志-日志-事件日志-异常事务 HTTP/HTTPS协议：在这里察看：报表和日志-日志-事件日志-HTTP/HTTPS协议FTP协议：在这里察看：报表和日志-日志-事件日志-FTP协议SMTP协议：在这里察看：报表和日志-日志-事件日志-SMTP协议POP3协议：在这里察看：报表和日志-日志-事件日志-POP3协议正常邮件日志：Anchiva会记录通过设备的邮件的相关信息SMTP协议：在这里察看：报表和日志-日志-正常邮件-SMTP协议POP3协议：在这里察看：报表和日志-日志-正常邮件-POP3协议应用程序日志：应用程序的阻断或放行以及即时聊天软件的内容记录控制日志：在这里察看：

28、报表和日志-日志-应用程序-控制日志聊天内容：在这里察看：报表和日志-日志-应用程序-聊天内容管理日志：包括系统日志及管理员操作日志管理员日志：在这里察看：报表和日志-日志-管理日志-管理员日志系统日志：在这里察看：报表和日志-日志-管理日志-系统日志Anchiva的允许客户对日志进行搜索，排序以及删除日志或者导出日志。Anchiva的日志导出格式有两种：CSV格式及HTML格式。如果数据库日志信息比较多，当用户点击下载日志的时候，系统将数据库日志信息生成多个文件（CSV或者HTML），然后打包为ZIP格式的压缩包提供给客户。报表设置（访问方式：管理-系统设置-报表）Anchiva报表的是存储

29、在设备上的，需要专用存储空间。因此需要在设备上进行一些简单的配置。设备上的报表默认可以存储10天，最多可以存储60天。系统会自动删除超过设定天数的报表。定期生成报表（访问方式：报表和日志-报表-定期生成报表）Anchiva设备可以定期自动生成报表，系统内建了一些报表模块。用户可以选择报表中需要包含哪些模块。Anchiva报表的灵活性体现在：1 用户可以选择报表的内容模块2 用户可以针对某一段IP或者某一个安全组生成一个报表。3 可以按天或者星期来生成报表，并且可以指定时间4 报表可以存在设备上，也可以通过邮件发送给指定的接收人。即时生成报表（访问方式：报表和日志-报表-即时生成报表）除了定期生

30、成报表之外，Anchiva设备还可以即时生成报表，根据需要随时通过手动生成报表。报表的内容是类似的，如图察看报表（访问方式：报表和日志-报表-已生成报表）定期或者即时生成的报表都存储在设备上“已生成报表”的菜单下，随时都可以察看、访问、下载、删除。第二章 应急手册1. 概述1.1 防病毒网关部署Anchiva设备支持透明方式、旁路方式、路由方式的部署。各种部署方式各有优缺。透明部署（访问方式：管理-系统设置-运行模式）配置页面里面的预防模式就是透明模式部署，Anchiva设备默认是处于透明模式的。透明方式部署有很多优势：1 对客户的网络影响最小2 基本不需要更改客户的网络拓扑和IP地址分配策略

31、3 设备支持硬件Bypass，在某些关键时候可以实现bypass4 实施部署和退回原来状态比较简单、方便旁路部署（访问方式：管理-系统设置-运行模式）配置页面里面的侦测模式就是旁路摸式部署，Anchiva设备默认处于透明方式部署，因此修改设备运行模式为旁路模式需要重启设备。旁路模式下Anchiva设备只能检测和报警，并不能阻断恶意软件进入网络，因此一般不推荐使用。路由部署（访问方式：管理-网络配置-网络接口）Anchiva的路由模式部署，需要将流量口设置为路由口，然后设置网关，进行流量转发。Anchiva的路由模式极为少用，因为路由模式部署涉及到更改客户的网络环境，因此对客户影响较大。而且一旦

32、接口修改为路由模式就无法启用Bypass功能。在XXX公司的部署中，我们采用透明部署的方式。2 技术支持2.1 厂商技术支持人员姓名电话邮件其他王海良R刘松青L2.2 400技术支持热线Anchiva的400电话是：400-650-18863. 故障发现3.1 巡检设备Anchiva的巡检项目如下：1 CPU、内存负载情况2 网络带宽的负载情况3 设备温度情况4 有无异常声音3.2 设备自带系统监控Anchiva自带的系统监控请参见“系统运行状态监视”一节4. 现场分析与处理4.1 应急实例应急案例1故障现象：XXX公司内部上网不正常，上网很慢，网页打不开处理方式：1 删除策略之后察看网络是否

33、正常，如果删除之后网络正常。说明系统设置错误或者系统存在bug，请联系厂商。2 如果删除策略只有仍然不正常，可以直接关机，使设备处于Bypass状态。然后再检查网络是否正常。如果网络仍然不正常，则基本可以确认属于物理故障，请联系厂商。应急案例2故障现象：开启HTTPS扫描之后网银和MSN等使用不正常处理方式：如果3.0以下包括3.0的AnchivaOS版本，则需要把相关网银服务器及MSN服务器的IP地址加入HTTPS白名单；如果是3.1以上的版本，则可以直接输入域名。应急案例3故障现象：Anchiva漏过某个木马软件，被内网客户机上的防病毒软件检测到了处理方式：请将这个木马软件制作成zip或者

34、rar的压缩包，并加上密码：infected。然后发送给厂商人员。一般来说Anchiva会在2小时之内给出特征库。如果不是很紧急，还可以通过网络提交恶意软件样本或者疑似恶意软件样本，提交页面如下：4.2 故障分析Anchiva设备部署简单，因此比较容易进行故障分析，确认问题所在。通过故障描述、或者现场工程师的勘测，一般会给故障进行如下分类：1 硬件故障：设备网卡、电源、风扇甚至CPU、内存等部件损坏导致设备无法正常工作2 软件故障：软件bug，或者不支持该功能3 配置故障：现场工程师没有完全掌握Anchiva的产品，出现配置失误4 漏报误报：没有一款产品能够做到完全零漏报、零误报。Anchiv

35、a设备的拦截率虽然很高但是毕竟没有达到100%。4.3 故障处理对于不同的故障Anchiva的处理方式有所差异1 硬件故障：Anchiva采用备机的方式处理这类硬件故障2 软件故障：Anchiva会在第一时间提供一种临时性的变通方案，然后再根据用户情况给出令用户满意的最终的解决方案3 配置故障：安排专业工程师现场或者远程支持4 漏报误报：对于用户提交的样本，Anchiva会在2小时内给出特征库。5. 二线分析与处理Anchiva在国内有两个售后服务中心北京售后服务中心：主要处理配置错误、系统方面的故障以及相关故障杭州售后服务中心：主要处理恶意软件漏报、误报等故障如果客户设备出现故障，厂商当地的

36、工程师无法解决问题，则根据当地工程师的描述选择由北京售后服务中心或者杭州售后服务中心来进行处理第三章 防病毒配置手册请参见Anchiva SWG-Administration Guide-3.00_CN.pdf第四章 防病毒网关监控手册1防病毒网关系统监控 请参见“系统运行状态监视”一节 请参见Anchiva SWG-Administration Guide-3.00_CN.pdf第56页“仪表板和统计数据”这一章2防病毒网关事件监控 请参见“日志和报表”一节中“管理日志”部分 请参见Anchiva SWG-Administration Guide-3.00_CN.pdf第90页“管理日志”这一节