Symantec Endpoint Protection（SEP / SEPM）流量管理

我的组织在Symantec Endpoint Protection（SEP）（约2万个客户端）中部署了大型部署，并且在ESX VM中运行了一个SEPM实例。在可能的情况下，我们确实有许多远程客户端被指定为组更新提供程序（GUP）。

我们的系统管理员已经报告了SEP软件没有任何本地方法来限制其对网络带宽的使用。它需要向每个客户端发送“完整的”定义更新，大小约为数百兆字节。我们发现SEPM实际上将接受1000个客户端检入请求，并将以可能的最大数据速率发送所有客户端更新。

我们需要某种方式来减少SEPM用于本地更新客户端的带宽量，以便其网络连接上有用于管理流量的空间（远程，检查SEP控制台等）。

到目前为止，为了减轻整个网络的洪灾，我们从外部（在VM和交换级别）限制了SEPM流量，这可以防止头端网络出现拥塞。但是，这不能保证管理流量的带宽。

我们希望在OS或应用程序级别上进行一些更改以限制流量，而无需在数百个办公室中部署一些重量级的QoS。理想情况下，我们希望能够限制每个客户端用于SEP更新的流量。

如果您有任何实现此目标的想法，请告诉我。

我认为最好的解决方案是将远程客户端配置为：

1. 仅从每个远程站点中的GUP提取更新，使用LiveUpdate策略设置限制GUP上的带宽

   要么

2. 只是让您的远程客户端直接向Symantec进行更新而不是SEPM服务器

本文将帮助您以第一种方式配置它-symantec.com/business/support/…：

• 将“在尝试使用默认管理服务器之前，客户端尝试从组更新提供程序下载更新的最长时间”设置为“从不”。
• 另外，如果GUP仍然要求过多，可以通过设置“允许组更新提供程序从管理服务器下载最大带宽”来限制GUP的带宽。

如果您有太多的远程站点，以至于在每个站点中管理GUP都很麻烦，那么我将选择第二种方法。

不幸的是，赛门铁克似乎没有内置的方法可以仅在GUP客户端上直接限制远程客户端上的带宽。

您可以使用Windows Server 2008和更高版本中内置的基于策略的QoS功能来限制SEP Manager进程的带宽。

1. 登录到服务器并打开gpedit.msc。

2. 导航至Computer Configuration\Windows Settings\Policy-based QoS。

3. 右键单击Policy-based QoS并单击Create new policy...

4. 对于策略名称，输入SEPM Throttling。

5. 取消选中Specify DSCP Value。

6. 检查Specify Outbound Throttle Rate。

7. 输入所需的最大速率（以兆比特/秒Mbps为单位Kbps），然后从下拉列表中选择（而不是）。

8. 点击Next。

9. 点击Only appliations with this executable name。

10. 输入SEPM Web服务器进程名称（可能是httpd.exe）。

11. 单击Next两次，然后单击确定Finish。