支持 Mac 和 Linux 客户端通过将 Apache Web 服务器用作反向代理下载 LiveUpdate 内容

在 Symantec Endpoint Protection (SEP) 12.1.4 (12.1 RU4) 及更高版本中，至少有两个选项可用于将 LiveUpdate (LU) 内容下载到适用于 Mac 和 Linux 的 Symantec Endpoint Protection 客户端。

注意：已在 Symantec Endpoint Protection 12.1.5 中添加了 Linux 客户端支持，并且从该版本开始才可用。

1. 使用 Symantec LiveUpdate Administrator 2.x (LUA 2.x)。对于 Mac 和/或 Linux 计算机数量较多的安装，这是最佳选项。
2. 对于小型安装，可以将 Apache Web 服务器配置为反向代理。这样，当发布新 LU 内容时，随 Symantec Endpoint Protection Manager (SEPM) 一起安装的 Apache Web 服务器可以在本地为 Mac 和 Linux 客户端下载和缓存该内容。此配置可节省外部网络带宽。

下面的说明用于在 Symantec Endpoint Protection Manager 中设置 Apache Web 服务器，以允许适用于 Mac 和 Linux 的 Symantec Endpoint Protection 客户端通过 webserver 下载 LiveUpdate (LU) 内容。请注意，此解决方案可以使 Symantec Endpoint Protection Manager 充当缓存：它不会如处理 Windows 定义一样，将 Mac 或 Linux 定义处理为 .dax 文件。它不支持适用于 Mac 或 Linux 的 Symantec Endpoint Protection 客户端通过组更新提供程序 (GUP) 进行更新。

注意：只能在 Symantec Endpoint Protection 的 Enterprise 版本上进行这些配置更改。这些说明不适用于 Symantec Endpoint Protection Small Business Edition 12.1 (SEP SBE)。

在 Symantec Endpoint Protection Manager 中配置 Apache Web 服务器

执行下列步骤可将 Apache Web 服务器配置为反向代理：

1. 停止 semwebsrv (Symantec Endpoint Protection Manager Webserver) 和 semsrv (Symantec Endpoint Protection Manager)。
2. 在 Symantec Endpoint Protection Manager 安装目录的 Apache 文件夹中创建名为 cache-root 的文件夹，例如
   SEPM_Install\apache\cache-root
   
   SEPM_Install 的默认路径如下：
   
   确保运行 Symantec Endpoint Protection Manager Webserver 的帐户对 SEPM_Install\apache\cache-root 具有完全控制。
   • 64 位系统：C:\Program Files (x86)\Symantec\Symantec Endpoint Protection Manager
   • 32 位系统：C:\Program Files\Symantec\Symantec Endpoint Protection Manager（仅限 12.1.x）
3. 验证下列文件是否位于文件夹 \apache\modules 中：

   如果不存在这些文件，请将它们从下载的安装文件夹或 DVD 的 \Tools\Apache-ReverseProxy 复制到 SEPM_Install\apache\modules。有关更多详细信息，请参考安全与兼容性部分。

   • mod_cache.so
   • mod_cache_disk.so（12.1.5 及更高版本）
   • mod_disk_cache.so (12.1.4)
   • mod_proxy.so
   • mod_proxy_http.so
   • mod_setenvif.so
4. 要对原始配置文件进行备份，请导航到 SEPM_Install\apache\conf\，然后将 httpd.conf 复制到 httpd-orig.conf。
5. 对 http.conf 进行以下更改：
   • 将以下行添加到末尾。将以下文本中的 SEPM_Install 替换为 Symantec Endpoint Protection Manager 安装的实际路径。
     
     对于 12.1.5 及更高版本：
     注意：红色文本表示已从 12.1.4 随附的 Apache 版本中更改的文件名称。如果之前为 12.1.4 实现了此功能，则只需在 httpd.conf 中更新更改后的文件名称。

     # SEPM_APACHE_AS_PROXY_START Preserve this line to maintain configuration across SEPM upgrades
     LoadModule proxy_module modules/mod_proxy.so
     LoadModule proxy_http_module modules/mod_proxy_http.so
     LoadModule cache_module modules/mod_cache.so
     LoadModule cache_disk_module modules/mod_cache_disk.so
     LoadModule setenvif_module modules/mod_setenvif.so
          
     
            
       
              
              
               mod_cache_disk.c> 
               
                 SetEnvIf Request_URI "/luproxy/" dolog SetEnvIf Request_URI "/luproxy/.*_livetri.zip" no-cache CustomLog "|| bin/rotatelogs.exe logs/access-%Z.log 25M" common env=dolog 
                ProxyPass /luproxy/ http://liveupdate.symantecliveupdate.com/ retry=0 smax=0 ttl=60 CacheRoot "cache-root" # CacheRoot is a path defined relative to [SEPM_Install]/apache/ CacheEnable disk /luproxy/ CacheDirLevels 1 CacheDirLength 5 # directives to override any caching prohibitions in LiveUpdate content headers # see TECH230862 CacheStoreNoStore On CacheIgnoreCacheControl On CacheStoreExpired On CacheIgnoreHeaders Cache-Control Pragma #allow downloads up to 1 GB CacheMaxFileSize 1000000000 
               
              
     
            
     # SEPM_APACHE_AS_PROXY_END Preserve this line to maintain configuration across SEPM upgrades
     

     对于 12.1.4：

     # SEPM_APACHE_AS_PROXY_START Preserve this line to maintain configuration across SEPM upgrades
     LoadModule proxy_module modules/mod_proxy.so
     LoadModule proxy_http_module modules/mod_proxy_http.so
     LoadModule cache_module modules/mod_cache.so
     LoadModule disk_cache_module modules/mod_disk_cache.so
     LoadModule setenvif_module modules/mod_setenvif.so
     
     
            
       
              
               
               
                 SetEnvIf Request_URI "/luproxy/" dolog SetEnvIf Request_URI "/luproxy/.*_livetri.zip" no-cache CustomLog "|| bin/rotatelogs.exe logs/access-%Z.log 25M" common env=dolog 
                ProxyPass /luproxy/ http://liveupdate.symantecliveupdate.com/ retry=0 smax=0 ttl=60 CacheRoot "cache-root" # CacheRoot is a path defined relative to [SEPM_Install]/apache/ CacheEnable disk /luproxy/ CacheDirLevels 1 CacheDirLength 5 # directives to override any caching prohibitions in LiveUpdate content headers # see TECH230862 CacheStoreNoStore On CacheIgnoreCacheControl On CacheStoreExpired On CacheIgnoreHeaders Cache-Control Pragma #allow downloads up to 1 GB CacheMaxFileSize 1000000000 
               
              
     
            
     # SEPM_APACHE_AS_PROXY_END Preserve this line to maintain configuration across SEPM upgrades
     

   • 查找以下行，然后添加字符 # 将其注释掉，如下所示：
     #AsyncSendFile anydirectory
   • 查找下列行，删除字符 # 将其取消注释，然后进行以下更改，其中 SEPM_Install 是 Symantec Endpoint Protection Manager 安装的实际路径。
     AsyncSendFile givendirectory
ForceAsyncSendFile "SEPM_Install\Inetpub"
   • 或者，要添加缓存日志记录，请在 httpd.conf 中搜索以下行：
     LogFormat "%h %l %u %t \"%r\" %>s %b" common
     ...并将其替换为：
     LogFormat "%h %l %u %t %{cache-status}e \"%r\" %>s %b" common
6. 保存并关闭此文件。
7. 启动 semwebsrv (Symantec Endpoint Protection Manager Webserver) 和 semsrv (Symantec Endpoint Protection Manager)。

要通过下载 LU 文件测试代理服务器是否正在运行，请单击“开始”>“运行”，然后输入 http://localhost:8014/luproxy/masttri.zip。如果 Symantec Endpoint Protection Manager Apache Web 服务器使用的不是 8014 端口，则将 8014 替换为以上 URL 中的实际端口号。

将在位于 SEPM_Install\apache\logs\access-%Z.log 的单独日志文件中记录 Apache Web 服务器的 LU 下载请求。

更新适用于 Mac 和 Linux 客户端的 LiveUpdate 策略以指向新的 LiveUpdate 服务器

执行下列步骤可为所需组更新适用于 Mac 和 Linux 客户端的 LiveUpdate 策略。更新该策略后，这些客户端将指向新配置的 Apache Web 服务器以下载 LU 内容。

1. 在 Symantec Endpoint Protection Manager 中，单击“策略”> LiveUpdate。在“LiveUpdate 设置”选项卡上，双击适用于所需组的 LiveUpdate 设置策略。
2. 在“Mac 设置”>“服务器设置”（或“Linux 设置”>“服务器设置”）下，单击“使用指定的内部 LiveUpdate 服务器”，然后在相应的 URL 中指定名称 SEPM HTTP LU Proxy： http://ServerIP:8014/luproxy 或 http://ServerName:8014/luproxy
   其中，ServerIP 或 ServerName 表示托管 Symantec Endpoint Protection Manager 的服务器的 IP 编号或名称。如果 Symantec Endpoint Protection Manager Apache Web 服务器使用的不是 8014 端口，则将 8014 替换为以上 URL 中的实际端口号。
3. 将 Symantec LiveUpdate 服务器添加为备用机制（这是可选操作，因为这始终为备用选项）。使用 http://liveupdate.symantecliveupdate.com。
4. 启用“Mac 设置”>“调度”（或“Linux 设置”>“调度”）下的“下载随机化”。如果该选项未灰显，请选中“随机产生开始时间”。这将避免 Apache Web 服务器在一天的某些时间出现过载。

此外，在适用于 Linux 的 Symantec Endpoint Protection 客户端上，编辑 liveupdate.conf 文件并设置 serverlogging=false。请参见相关文章。

管理缓存文件大小

要管理缓存文件的大小，请执行以下步骤。

1. 验证 htcacheclean.exe 文件是否位于以下文件夹中：
   SEPM_Install\apache\bin
2. 如果该文件并非位于上述位置中，请将 htcacheclean.exe 从 DVD 上的 \Tools\Apache-ReverseProxy 文件夹中复制到 SEPM_Install\apache\bin
3. 在使用对 cache-root 文件夹具有完全访问权限的帐户登录时，输入以下命令：
   htcacheclean -n -t -d1440 -l1024M -p" SEPM_Install/apache/cache-root"

这将在后台驻留程序模式下运行 htcacheclean 工具。每天将执行一次缓存清理。磁盘上允许的最大缓存大小为 1 GB。

要在每次启动 Windows 时自动启动 htcacheclean 后台驻留程序，请执行以下步骤。

1. 按住键盘上的 Windows 键，然后按字母 R 以打开“运行”对话框。键入 taskschd.msc，然后单击“确定”。
2. 在任务调度程序的右窗格中，单击“创建基本任务”。
3. 使用描述（如“管理 Apache 缓存大小”）命名新任务，然后单击“下一步”。
4. 要将任务设置为在每次启动 Windows 时运行，请在“任务触发器”窗格中单击“在计算机启动时”，然后单击“下一步”。
5. 在“操作”对话框中，单击“启动程序”，然后单击“下一步”。
6. 将 htcacheclean 的完整路径输入到 Program/script 中：
   SEPM_Install\apache\bin\htcacheclean.exe
7. 将以下参数输入到“添加参数 (可选)”中，然后单击“下一步”。
   -n -t -d1440 -l1024M -p" SEPM_Install/apache/cache-root"
8. 要完成调度任务添加操作，请单击“完成”。
9. 在 Windows 任务调度程序库中，右键单击创建的任务，然后单击“属性”。
10. 在“设置”选项卡中，单击以取消选择“如果任务运行时间超过以下时间，停止任务”，然后单击“确定”。

由于任务在您重新启动系统之前不会运行，因此您可以立即运行它。在任务调度程序中，右键单击创建的任务，然后单击“运行”。

注意：确保运行任务的用户帐户对文件夹 SEPM_Install\apache\cache-root 具有完全控制。

性能与规模

此配置旨在用于少量 Mac 和/或 Linux 客户端。仅当只有少数 Mac 和/或 Linux 客户端，并且连接客户端与 Symantec Endpoint Protection Manager 的网络具有较好的带宽吞吐量时，才应使用此设置。假设每个客户端每天下载约 500KB 的 LU 内容，则 2000 个 Mac 或 Linux 客户端每天将通过 Apache Web 服务器下载约 1 GB 的 LU 内容。对于具有大量客户端的配置，应考虑 Symantec LiveUpdate Administrator 等替代方案。

安全与兼容性

对于本文中提到的 Apache 模块，Symantec 建议仅使用 Symantec 签名的二进制文件。这些签名的二进制文件位于 Symantec Endpoint Protection 下载安装文件中。请注意，所需的二进制文件也会与适用于 12.1.4 及更高版本的 Symantec Endpoint Protection Manager 一同安装。

对于 Symantec Endpoint Protection 14：

• 下载的完整安装文件 \Tools\Apache-ReverseProxy

对于 Symantec Endpoint Protection 12.1.5 及更高版本：

• Symantec Endpoint Protection（Enterprise 版本）：磁盘 1： \Tools\Apache-ReverseProxy
• Symantec Network Access Control： \Tools\Apache-ReverseProxy

对于 Symantec Endpoint Protection 12.1.4x：

• Symantec Endpoint Protection（Enterprise 版本）：磁盘 1： \Resource\Apache-ReverseProxy
• Symantec Network Access Control： \Resource\Apache-ReverseProxy

本文所述配置适用于 Symantec Endpoint Protection 12.1 及更高版本。如果要将该配置用于早于 12.1.4 的 Symantec Endpoint Protection 12.1 版本，则这些二进制文件不适用于这些版本。在这种情况下，请确保使用的 Apache 模块二进制文件版本与 Symantec Endpoint Protection Manager 安装中的 Apache Web 服务器版本匹配。

发布本文后，可能会发布新的漏洞，因此请查看 Apache 项目针对相应的 Apache Web 服务器版本发布的漏洞：http://httpd.apache.org/security/