W H I T E P A P E R : E N D P O I N T S E C U R I T Y
Symantec™ Network
Access Control
全面的网络准入控制
白皮书:端点安全
Symantec Network Access Control
全面的网络准入控制
目录
摘要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
保持安全和受控状态 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Symantec Network Access Control 架构. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
赛门铁克端点评估技术:灵活性和全面性. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
永久代理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
可分解的代理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
远程漏洞扫描 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Symantec Enforcers:用于消除 IT 和业务中断的灵活实施选件 . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Gateway Enforcer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
DHCP Enforcer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
LAN Enforcer—802.1x. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
赛门铁克策略管理:全面、集成的端点安全管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
一个管理控制台 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
统一代理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
消除网络准入控制障碍 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
端到端的端点遵从 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Symantec Network Access Control:全面的网络准入控制
摘要
企业中的各个端点处于受控状态,这对 IT 基础架构及其相关业务操作的整体安全性和可用
性具有重要影响。新一轮的复杂犯罪软件不仅以特定公司为目标,而且以台式机和笔记本电脑为
目标,将其作为后门侵入点来攻击这些企业的业务运作和重要资源。企业要保护自身免遭这些有
目标威胁的侵扰,必须采取相关措施,保证每个端点都始终遵从企业安全和配置管理策略。如果
企业无法保证遵从端点策略,就会面临一系列威胁,包括恶意代码在整个企业内扩散、核心业务
服务中断、增加 IT 恢复和管理成本、泄漏机密信息、公司品牌受损以及因不遵从相关法规而被
罚款。
Symantec Network Access Control 使企业能够确保正确配置及设置用户端点的安全状态,其
中包括现场员工、远程员工、访客、承包商以及临时工作者的端点,然后才允许他们访问企业网
络中的资源。该解决方案能够发现并评估端点遵从状态,设置正确的网络访问权限并提供补救功
能,确保符合端点安全策略和标准。Symantec Network Access Control 独立于网络操作系统,能
够与任何网络基础架构轻松集成,所以与竞争对手的解决方案相比,其实施更加全面、速度更快
且更加经济有效。
通过利用 Symantec Network Access Control 的端点遵从验证和实施功能,企业可以:
• 减少恶意代码(如病毒、蠕虫、间谍软件和其它形式的犯罪软件)的传播
• 通过对访问企业网络的不受控端点和受控端点加强控制,降低风险
• 为最终用户提供更高的网络可用性,并减少服务中断的情况
• 通过近乎实时端点遵从数据获得可验证的企业遵从信息
• 企业级集中管理架构将总体拥有成本降至最低
• 验证对防病毒软件和客户端防火墙技术这样的端点安全产品投资是否得当
4
Symantec Network Access Control:全面的网络准入控制
保持安全和受控状态
IT 管理员会竭尽全力确保按照公司策略配置新部署的台式机和笔记本电脑,公司策略包括
所有适用的安全更新、批准的应用程序设置、防病毒软件、防火墙设置以及其它配置设置。遗憾
的是,这些计算机一投入使用,管理员通常就无法控制这些端点的配置。用户安装新软件、阻止
补丁程序更新、禁用防火墙或者进行其它更改,导致设备乃至整个 IT 基础架构面临着风险。在
网吧、宾馆房间或者其它更易受到攻击或感染的不安全地点,远程用户和移动用户使用不遵从笔
记本电脑时会面临更高的风险。
一些企业采用补丁程序管理或软件分发解决方案,最终会在预定时间内将不遵从计算机更改
回正确状态,但一旦计算机受感染并连接到网络,这些解决方案将完全失去作用。他们还使用管
理员权限,向那些认为他们无需遵守公司策略的用户证明无效性,从而阻止将其计算机回滚到正
确配置状态的尝试。
网络准入控制解决方案使企业能够防止此行为影响企业的 IT 基础架构。在任何计算机能够
访问生产网络及其资源之前,该计算机都必须完全遵从制定的企业策略,如安全补丁程序、防病
毒软件和病毒定义的正确版本级别。
但是,尽管他们能够防止不遵从端点连接到企业网络,但部分企业仍然因为各种原因尚未采
用网络准入控制解决方案,这些原因包括许多解决方案:
• 无法提供有效实施和修复
• 增加端点上必须安装的管理代理的数量
• 导致 IT 基础架构过于复杂并且中断次数太多
• 缺少满足企业独特需求的灵活性,如适当地满足客户和临时工作者的需求
• 无法与整个端点安全管理基础架构正确集成
Symantec Network Access Control 使用端到端的解决方案解决了上述所有问题,能够安全地
控制对企业网络的访问、实施端点安全策略以及与现有网络基础架构轻松集成。
5
Enforcers
ን႔ክူ
ቪཁశ
Symantec Network Access Control:全面的网络准入控制
Symantec Network Access Control 架构
Symantec Network Access Control 架构包括以下三个主要组件:
• 端点评估技术评估试图访问网络的端点的状态(检查它们是否遵从策略)
• Enforcers 作为允许或拒绝访问网络的门户
• 策略管理通过一个中央管理控制台创建、编辑和管理网络准入控制规则或策略
图 1. Symantec Network Access Control 架构
实施评估技术向从中创建、编辑和管理策略的 Symantec Endpoint Protection Manager 报
告,并通过它接收其配置策略信息。如果赛门铁克实施评估技术确定该端点不遵从策略,则会告
知 Symantec Enforcer 阻止该端点访问网络。
根据 IT 管理员设置的策略(并根据已部署的实施选件类型),赛门铁克实施技术能够自动
将不遵从端点的状态改为遵从。通过执行补救任务,如致电当地的补丁程序经理以安装最新补丁
程序,或者利用端点上为其它任务安装的其它工具,即可实现这一目的。
6
ᰠ1
ቪཁᤋଋҁᎩፎḞф߿ᦠᎵnj
ᠾᨠА
ᰠ3
ን႔ಉፆ౦Ḟ
᧓Ԩᄰୱͺnj
ᰠ4
ᄢଌቪཁḞᆷγ፝ᥕnj
ᰠ2
ಉᦠᎵ௦ՠᥕን႔nj
Ԧ
ဗ
ࠃ
ஶ
ᛩ
ஐ
ᄢ
ଌ
Symantec Network Access Control:全面的网络准入控制
Symantec Network Access Control 会为各类网络中的所有类型端点验证并实施策略遵从。通
过将策略作为所有评估和操作的基础,此验证和实施流程在端点连接到网络之前开始,并且贯穿
整个连接过程。图 2 显示了该网络准入控制流程执行的步骤。
图 2. 网络准入控制流程
1. 发现和评估端点。在连接到网络时,即访问资源之前发现端点。通过与现有网络基础架构相
集成,同时使用智能代理软件,网络管理员可以确保按照最低 IT 策略要求对连接到网络的新
设备进行评估。
2. 设置网络访问权限。只有对系统进行评估并确认其遵从 IT 策略后,才准予该系统进行全面的
网络访问。对于不遵从 IT 策略或不满足企业最低安全要求的系统,将对其进行隔离,限制或
拒绝其对网络进行访问。
7
Symantec Network Access Control:全面的网络准入控制
3. 修复不遵从的端点。对不遵从的端点自动采取补救措施使管理员能够将这些端点快速变为遵
从状态,随后再改变网络访问权限。管理员可以将补救过程完全自动化,这样会使该过程对
最终用户完全透明;也可以将信息提供给用户,以便进行手动补救。
4. 主动监视遵从状况。必须时刻遵从策略。因此,Symantec Network Access Control 以管理员设
置的时间间隔主动监视所有端点的遵从状况。如果在某一时刻端点的遵从状态发生了变化,
那么该端点的网络访问权限也会随之变化。
赛门铁克端点评估技术:灵活性和全面性
网络准入控制通过验证与该网络相连的端点是否经过正确配置来保护其免遭在线攻击,从而
保护网络免遭恶意代码以及未知或未授权端点的攻击。网络准入控制通常涉及检查防病毒、反间
谍软件以及安装的补丁程序。但是在进行了初始网络准入控制部署后,大多数企业很快就超出了
这些典型检查。不管目标是什么,该过程都是首先从评估端点入手。由于连接到网络的端点数量
非常之多(例如,“受控端点”或公司采购的端点,以及“不受控端点”或并非由公司采购的端
点,如使用家用计算机的远程工作人员、承包商、临时员工以及可能使用自己笔记本电脑的合作
伙伴),Symantec Network Access Control 提供三种不同的端点评估技术来确定端点遵从性:
• 永久代理
• 可分解的代理
• 远程漏洞扫描
8
ᝫၸ
ᤉርว
ଠርࣿ
Ժѫᝌူ
බˣူ
ၸԩଌቪཁ
ణ·
ᣖݝ
ݝ
ၸʿԩଌቪཁ
ၸԩଌ֖ʿԩଌቪཁ
ḚΒݟḞUNIX ܫኍḛ
ҩᑞ
Symantec Network Access Control:全面的网络准入控制
图 3. 端点评估技术
永久代理
企业拥有的系统和其它受控系统使用管理员安装的代理来确定遵从状态。此代理检查防病毒
软件、反间谍软件、安装的补丁程序以及复杂的系统状态特征,如注册表项、运行进程和文件属
性。永久代理还提供最深入、最准确、最可靠的系统遵从信息,同时为评估选件提供最灵活的补
救和修复功能。
赛门铁克认为成功网络准入控制的关键同样从部署基于永久代理的解决方案开始。由于台式
机操作系统运行方式的原因,要行之有效地检查和纠正某些软件是否正确安装和运行以及端点计
算机是否已正确配置或处于可接受的状态,网络准入控制解决方案都必须能够检查端点进程表和
注册表,甚至可以修改某些项。实现这一目标的最佳方法是在初始部署时使用具有管理员权限并
且已安装在端点上的代理。完全不基于代理的解决方案不能为管理员提供足够权限来充分或精确
地检查端点是否完全遵从。另外,不基于代理的解决方案很可能没有足够的权限来对端点进行必
要修改,以使其从不遵从状态进入遵从状态。
9
Symantec Network
Access Control
බˣူ
ဗڣᤉርቷఴႂᑧ
ᬥሎ
ԩγએᄉᎩፎ
Symantec Endpoint
Protection Manager
ᛩஐᠪຸ
ᥕὙၸþҨМࠈÿ༡ܖን႔
˞߸ஞবѶ
Ⴠඈᣃࣂըၸ
Ⴠඈᣃࣂఝள
˓༡ܖࣂըၸ
Service Pack ࣂఝள
ᛩʷርࣿࣂఝள
ᥕܾ᠋Ὑၸþᬥሎÿ༡ܖን႔
ᎩፎэЙ
ଌ҃ူᛠ
ᒬᥕಉ
ࠆቪ
ᤋଋҁᎩፎ
ࣲᰍን႔
࿃খ
�
�
�
�
�
Symantec Network Access Control:全面的网络准入控制
Symantec Network Access Control 提供永久代理和管理员安装的实施代理选件,用于确定端
点的遵从状态。此代理可以检查防病毒软件、反间谍软件、安装的补丁程序以及复杂的系统状态
特征,包括注册表项、运行的进程和文件属性。该永久代理选件提供确保遵从企业策略需要的最
深入、最准确和最可靠的系统遵从信息。
图 4. 永久代理
可分解的代理
网络准入控制领域的最大挑战之一在于能否对访客用户的网络准入进行正确处理。如果没有
为临时员工和访客设置网络访问权限的自动方法,会严重影响工作效率。如果承包商或临时员工
开始工作,但由于需要手动设置网络访问而导致数日或数周无法访问网络,则会造成时间和成本
的浪费。同样,如果自动网络准入控制解决方案不必要地阻止了这些用户的访问,也会导致相同
后果。
10
Symantec Network Access Control:全面的网络准入控制
有效的网络准入控制解决方案必须具备下列功能和灵活性:验证新端点或临时端点不会对
网络造成威胁,并决定为端点授予的网络访问权限级别。评估端点的最精确方法是在端点上安
装全职网络准入控制代理,但在不属于企业的端点上部署全职代理并不能保证企业或访客的最
佳利益。
为解决该问题,Symantec Network Access Control 提供了一个可分解的临时代理。这可以用
于当前不受管理员管理的非企业设备或系统。这些基于 Java™ 的代理是根据需要提供的,无需
管理员权限即可评估端点遵从状况。在会话结束时,这些代理会将其自身从系统中自动移除。例
如,当访客端点尝试连接到网络时,基于网络的实施解决方案会识别它不是已知端点设备,并将
其重定向到 Web 服务器,它可以在其中下载可分解的即时代理。该代理将根据管理员为访客定
义的策略,执行适当的遵从性检查。如果遵从,则会为端点授予访问生产网络的权限。在网络会
话结束时,代理会自动将其从端点移除。
除了为临时端点使用该重定向功能外,还可以将其用于属于新员工的端点。此时,当端点被
重定向到 Web 服务器以下载代理时,会出现两个选项,一个用于访客,一个用于员工。如果用
户选择员工选项,则基于网络的 Enforcer 可以决定端点是否为属于企业的资产。如果该端点为
企业端点之一,则可以部署全职的永久网络准入控制代理而不是可分解代理。
通过提供多个选项来验证遵从端点状态和配置的策略,Symantec Network Access Control 可
以确保试图访问企业网络的员工和访客满足其最低安全标准和要求。
11
Symantec Network Access Control:全面的网络准入控制
远程漏洞扫描
企业不能选择安装永久代理时,可以使用另一个补充性的端点评估方法,即利用远程漏洞扫
描。远程漏洞扫描根据来自 Symantec Network Access Control Scanner 的无证书证明的远程漏洞
扫描结果,向 Symantec Network Access Control 实施基础架构提供遵从信息。远程扫描可以将
此信息收集功能拓展到当前无基于代理的技术可用的系统。
根据连接到网络的端点的不同类型,公司可选择使用三种端点评估技术的混合技术来以获得
全面的防护。
Symantec Enforcers:用于消除 IT 和业务中断的灵活实施选件
每个企业的网络环境都具有独特的长期发展模式,因此,不存在可以有效控制对所有网络点
的访问的单一实施方法。网络准入控制解决方案必须具有足够的灵活性,这样才能在不需要增加
管理和维护开销的前提下,将多种实施方法轻松集成到现有环境中。Symantec Network Access
Control 允许企业针对网络的不同部分选择最合适的实施方法,并不会增加操作复杂性或成本。
赛门铁克的基于网络的实施方法作为硬件设备交付的组件提供,包括 LAN、DHCP 和网关方
法,其中 DHCP 方法可以作为软件插件而提供。
赛门铁克还提供了一个基于主机的简单实施方法,称为自我强制。该方法使用赛门铁克桌面
防火墙来允许或拒绝访问。该防火墙已包含为 Symantec Endpoint Protection 产品的一部分。
使用自我强制的优势在于它不需要部署基于网络的实施组件,即可管理对网络的访问。相
反,它使用赛门铁克桌面防火墙管理对网络的访问,提供最简单、最快捷的实施部署选项。如果
企业已经部署了 Symantec Endpoint Protection 产品,则实施会更加轻松。
但是,自我强制选项仅对“受控”端点有效。它不能解决访客或临时员工等不受控端点连接
到网络的问题。Symantec Network Access Control 通过可分解代理和远程漏洞扫描解决与不受控
端点相关的问题。
12
Symantec Gateway Enforcer
ᠾᨠАᒬ҃
Symantec DCHP Enforcer
Symantec LAN Enforcer-802.1x
۲˞
ᄉࠃஶழก
۲Ꭹፎ
ᄉࠃஶழก
Symantec Network Access Control:全面的网络准入控制
图 5. 赛门铁克实施选项的类型
许多企业难以决定是否部署网络准入控制解决方案,因为许多产品的内部设计具有破坏性。
通常,他们需要进行网络基础架构升级和变更,这一过程既费时又昂贵。许多解决方案过于复
杂,并且非常难以部署。某些解决方案需要同时部署端点代理和升级网络基础架构。在进行部署
时遇到的代理问题或网络实施问题会导致解决方案毫无用处,排查并解决这些问题的难度极大,
还可能导致不正确地阻止用户访问网络。
赛门铁克使用简单、分阶段的方法来部署高效全面的网络准入控制,提供可部署的各种实
施选项,从而解决了上述问题。使用赛门铁克的基于主机的实施选项可以轻松部署网络准入控
制。这种类型的部署不需要更改基础架构,所以部署工作不再那么费时。已在使用 Symantec
Endpoint Protection 解决方案的企业已经部署了代理,只需启用网络准入控制即可利用该功能。
基于主机的实施选项是为受控端点实施网络准入控制的最快速、最简单的方法。
13
Symantec Network Access Control:全面的网络准入控制
企业可以按照自己的进度,实施赛门铁克提供的其它基于网络的实施选项,以补充基于主机
的实施选项。基于网络的 Enforcers 是一个必需组件,用于控制连接到网络的不受控端点。这些
附加的基于网络的关键实施产品包括:
• 网关 Enforcer — 网络瓶颈点的内嵌实施
• DHCP Enforcer — 对任何基础架构上的局域网和无线网络使用基于 DHCP 的强制方法
• LAN Enforcer—802.1x — 对局域网和无线网络使用基于标准的带外方法
与网络准入控制代理一样,Symantec Enforcer 产品独立于网络操作系统,能够轻松与任何
网络基础架构集成。这些解决方案独立于安全供应商,这意味着它们可与其它领先的防病毒软
件、防火墙和主机入侵防护解决方案一起使用。由于这些解决方案不依赖于内部网络或基础架
构,所以企业可以采取分阶段方法完成实施,根据自己的时间表自行决定如何进行部署。
此外,为了简化管理和遵从实施工作,与 Symantec Network Access Control 端点评估技术
一样,,通过 Symantec Endpoint Protection Manager 集中管理所有 Enforcers。
Gateway Enforcer
赛门铁克的 Gateway Enforcer 是在网络瓶颈点部署的内嵌实施设备,所以它可以根据端点遵
从制定的企业策略的情况,控制和阻止远程端点的通信流。不管瓶颈点是位于边界网络连接点上
(如 WAN 链接或 VPN),还是位于访问关键业务系统的内部网段上,Gateway Enforcer 都可以
对资源和补救服务有效提供可控访问,使不遵从端点变为遵从状态。
Gateway Enforcer 的典型部署方案是位于远程分支机构与公司总部之间的 IPSec VPN、 WAN
连接之后、无线网络和会议室网络之上、关键服务器或小型数据中心之前。
14
Symantec Network
Access Control
҃ူ
ᤉርၸ IPSec VPN Gateway Enforcer
ᬥሎ
ԩγએᄉᎩፎ
Symantec Endpoint
Protection Manager
ᛩஐᠪຸ
ᎩСࠃஶᤤᮉ
ൢࠆቪ
ࠆቪ HTTP ᧗߿Փ
ڙࠆቪʼ௬ᇧѢቓԯ
ᬌ҃ᎩፎэЙ
ူѢဗὋᥕὙЉ
˞߸ஞবѶ
Ⴠඈᣃࣂը
ၸჀඈᣃࣂఝள
˓༡ܖࣂըၸ
Service Pack ࣂఝள
ᛩʷርࣿࣂఝள
Enforcer ᰍን႔
ࣲಉᥕ࿃খ
Gateway Enforcer
ឯයን႔֖
ᥕஜ
ࠆቪ࠼ណ
ᤋଋҁᎩፎ
࿃খ
�
�
�
�
�
Symantec Network Access Control:全面的网络准入控制
图 6. 网关强制
DHCP Enforcer
赛门铁克的 DHCP Enforcer 以内嵌方式部署在端点和企业现有的 DHCP 服务基础架构之间。
如果端点没有运行网络准入控制代理、处于不遵从状态或其遵从状态未知,则 DHCP Enforcer 会
分配限制性的 DHCP 租用。分配的这一限制性租用是不可路由或隔离的 IP 地址,提供降低的网
络访问权限。
DHCP Enforcer 还可以与端点代理通信以发起必要的补救操作,使端点遵从策略。遵从策略
的端点将启动 DHCP 发布和更新要求。如果 DHCP Enforcer 接收到更新请求并确定端点处于遵从
状态,则端点将获得对正常生产网络的 DHCP 租期,从而使其拥有对网络的完全访问权限。
由于 DHCP Enforcer 作为内嵌 DHCP 代理工作,所以它与任何现有 DHCP 基础架构都兼容,
并且无需升级软硬件,就可以在任何现有网络环境中工作。作为 DHCP Enforcer 设备的替代产
品,赛门铁克提供可以直接安装在 Microsoft® DHCP 服务器上的 DHCP Enforcer 插件。Microsoft
DHCP 服务器实施使 Microsoft DHCP 服务器能够作为实施点。
15
Symantec Network Access Control:全面的网络准入控制
LAN Enforcer—802.1x
赛门铁克 LAN Enforcer 802.1X 是带外 802.1X RADIUS 代理解决方案,它与支持 802.1X 标
准的所有主要交换供应商协同工作。几乎所有有线以太网和无线以太网交换机制造商都支持
IEEE 802.1x 准入控制协议。LAN Enforcer 使用该链接级协议评估端点遵从性,提供自动问题修
复并允许遵从系统进入企业网络。
在实施期间,端点上的赛门铁克代理使用 802.1x 将遵从信息传送到网络交换机上,然后将
此信息中继到 LAN Enforcer。如果端点不遵从策略,LAN Enforcer 会将其放入隔离网络,在此对
其进行修复,而不会影响任何遵从端点。Symantec Network Access Control 补救端点并将其转换
到遵从状态后,802.1x 协议将试图对用户重新进行身份验证,并为其授予网络访问权限。
LAN Enforcer 可以参与现有 AAA 身份管理架构以便对用户和端点进行身份验证,对于只要
求进行端点遵从验证的环境,也可以充当独立的 RADIUS 解决方案(也称为透明模式)。在透明
模式下,管理员只需将交换机配置为使用 LAN Enforcer 作为 RADIUS 服务器,就能让设备根据
遵从所定义策略的情况对端点进行身份验证。在透明模式下运行 LAN Enforcer 无需额外基础架
构,并且是一种实施基于 VLAN 交换的安全网络准入控制解决方案的简单方法。
16
HI Ὑ
૰ʼᄉቪԯ
HI ܾ᠋Ὑ
ૈ߿ҁᬥሎ VLAN
ఴڠၸ
ᬥሎ VLAN
ԩγએᄉᎩፎ
Symantec Endpoint
Protection Manager
Symantec
LAN Enforcer
ᛩஐᠪຸ
Symantec Network
Access Control
҃ူ
˞߸ஞবѶ
Ⴠඈᣃࣂըၸ
Ⴠඈᣃࣂఝள
˓༡ܖࣂըၸ
Service Pack ࣂఝள
ᛩʷርࣿࣂఝள
LAN Enforcer
ಉን႔ࣲ
ಉᥕ࿃খ
૰࠱ஜ
ᣀԦҁ
LAN Enforcer
ࠆቪᤈᛠ
ᤋଋὋࣲ EAP
ԦᤞᄅNjᥕ֖
ን႔ஜ
ᤨഴ
࿃খ
�
�
�
�
�
Symantec Network Access Control:全面的网络准入控制
图 7. LAN (802.1x) 实施
网络准 入 控 制行业框架 支 持
Symantec Network Access Control 当前既可独立于 Cisco® Network Admission Control 运
行,也可与其一起运行。此外,它在不久后将能够与其它网络准入控制行业框架协同工作,包
括 Network Access Protection 和 Trusted Computing Group 的受信任网络连接标准。Microsoft 和
Cisco 的技术是以建立可由多家供应商使用的协议和界面为核心的架构框架,可以提供全面的网
络准入控制解决方案。Trusted Computing Group 是 80 多家 IT 业内公司组成的联盟,已经制定
了 Trusted Network Connect 标准,该标准的目标和架构与 Microsoft 和 Cisco 的标准相似,但其
旨在实现在任意类型的网络硬件基础架构和任何主机操作系统上运行的目标。
上述所有不同框架通常需要多家不同供应商的软件或硬件,才能构建完整的解决方案,往往
会导致复杂程度显著提高。不过,Symantec Network Access Control 不需要上述任何行业框架技
术,即可提供端到端的有效、全面的网络准入控制。Symantec Network Access Control 将仍然支
持、增强并与这些行业框架一起无缝运行,使企业能够部署最能满足其需要的技术。
17
ቪཁᥕ
ቪཁએ
Symantec
Endpoint
Security
Symantec
Network
Access
Control
Ӭ˓ူ
Ӭ˓ክူ
ଌ҃Ի
˞߸ஞবѶ
Ⴠඈᣃࣂըၸ
Ⴠඈᣃࣂఝள
˓༡ܖࣂըၸ
Service Pack ࣂఝள
ᛩʷርࣿࣂఝ
࿃খ
�
�
�
�
�
ѣ᪃
ᢵζোቊԨ
లᅻஈѣ
Ⴠඈ
ᛕᙁ ោᣃ
ACCOUNT NO.
PASSWORD
ACCOUNT NO.
PASSWORD
PASSWORD
ACCOUNT NO.
PASSWORD
Symantec Network Access Control:全面的网络准入控制
赛门铁克策略管理:全面、集成的端点安全管理
在企业必须应对不断增加的用户(其中包括现场员工、远程员工、短期员工、访客、承包商
以及其他临时工作者)数量问题的同时,也在面临着不断增多的尝试进入网络的各类威胁。安全
问题包括病毒、间谍软件、零日攻击和未知漏洞利用,它们都想方设法通过不遵从制定的公司安
全策略的端点设备造成的缺口进入企业网络。
赛门铁克相信,真正的端点安全需要将端点防护技术与端点遵从技术无缝集成。赛门铁克让
企业能够采用更为整体化的端点安全方法,通过将 Symantec Endpoint Protection (端点防护)
与 Symantec Network Access Control(端点遵从)紧密集成来应对这一威胁。这些产品能够无缝
地互操作,提供全面、统一的多层端点防护解决方案,使 IT 管理员能够在网络准入、最终用户
工作效率与安全性之间成功实现平衡,同时简化了端点安全管理。
图 8. 端点安全 = 端点防护与端点遵从的无缝结合
18
Symantec Network Access Control:全面的网络准入控制
一个管理控制台
这类整体管理方法的关键是 Symantec Endpoint Protection Manager 提供的集中创建、部
署、管理和报告所有端点安全活动的功能。除 Symantec Endpoint Protection 策略外,管理员通
过一个管理控制台可以设置控制 Symantec Network Access Control 的集成组件的各方面策略,
如赛门铁克评估技术和 Symantec Enforcers。策略管理器的企业级集中管理架构可以灵活扩展,
从而适应最高要求的环境,它为所有管理任务提供更细致的控制,同时简化和统一所有端点安全
管理工作,降低了总拥有成本。
统一代理
对于已经部署 Symantec Endpoint Protection 产品的企业,该代理已经包含网络准入控制永久
代理功能。换句话说,无需部署额外代理即可实施网络准入控制。只要购买许可证,即可轻松启
用与 Symantec Endpoint Protection 代理集成的网络准入控制功能。通过将所有这些安全功能整合
到单个代理中,不仅降低了复杂性和占用的系统资源,而且在添加网络准入控制时无需对客户端
进行更改。此外,该单个统一的代理由 Symantec Endpoint Protection Manager 管理。
消除网络准入控制障碍
赛门铁克提供全面的集成端点安全解决方案,帮助消除利用网络准入控制优势的障碍:
• 提供有效的策略遵从实施与修复
• 减少单个代理上必须安装的安全管理代理的数量
• 降低 IT 复杂性,同时消除对业务和 IT 基础架构的破坏
• 可以灵活地满足企业独有的网络准入控制实施需要,包括适当满足访客和临时工作者的需要
• 与企业的整体端点安全管理基础架构无缝集成
19
Symantec Network Access Control:全面的网络准入控制
为进一步帮助企业利用 Symantec Network Access Control 的优势,赛门铁克提供一系列咨
询、技术培训和支持服务,指导他们完成部署和管理,使企业能够实现其投资的全部价值。
赛门铁克企业支持服务提供三个级别的防护,以满足从小型公司到大型企业等所有规模企业
的需求。赛门铁克教育服务提供一系列培训课程,旨在帮助用户快速掌握相关技能。赛门铁克咨
询服务提供现场服务,即赛门铁克的顾问与客户的 IT 员工一起工作,还提供操作服务,即将全
部端点安全职能外包给安全专家赛门铁克,来帮助客户设计解决方案、制定部署规划、创建安装
软件包和测试。
端到端的端点遵从
由于面临着当前的破坏力极强、极其危险的威胁,IT 管理员不仅必须防御针对特定公司的
有组织攻击,还要防御利用台式机和笔记本电脑作为后门侵入点,以影响这些企业的业务运作和
重要资源的有目标攻击。要维护企业 IT 基础架构及其端点的完整性,企业不能再允许未经检查
访问网络。随着访问网络的端点数量和类型激增,企业必须能够在连接到资源以前验证端点的健
康状况,而且在端点连接到资源之后,要对端点进行持续验证。
Symantec Network Access Control 是一款端到端解决方案,能够安全地控制企业网络的访
问、实施端点安全策略,以及与现有的网络基础架构轻松集成。不管端点以何种方式与网络相
连,Symantec Network Access Control 都能够发现并评估端点遵从状态、设置适当的网络访问权
限、提供自动补救功能,并持续监视端点以了解遵从状态是否发生了变化。从而可以营造这样的
网络环境:企业在此环境中可以大大减少安全事故,提高遵从企业 IT 安全策略的级别,并确信
已正确启用端点安全机制。
20
ԩଌᄉ
ቪཁ
ʿԩଌᄉ
ቪཁ
ࠑၸ
ʿԩଌᄉ
ቪཁ
Ջͺ
බˣူ
Ժѫᝌᄉူ
ࣂଠᄉቪཁ
߸ஞবଠ
ን႔Njং֖
ᦠᎵ
ڎΒ
SNAC ଠርࣿ
ʿԩଌᄉ
ቪཁ
Ӊ
ʿԩଌᄉ
ቪཁ
᭣8JOEPXT
ԩଌᄉ
ቪཁ
ʿԩଌᄉ
ቪཁ
ࠆ
SNAC DHCP
Enforcer ଢ
ԩଌᄉ
ቪཁ
RADIUS నҫ٧
ԺᤤὈ
ԩଌᄉ
ቪཁ
ʿԩଌᄉ
ቪཁ
Ӊ
ԩγએᄉᎩፎ
Symantec Network Access Control:全面的网络准入控制
图 9. Symantec Network Access Control 架构
Symantec Network Access Control 采用多种代理评估技术并包含多个强制实施选件,而且它
独立于操作系统和网络供应商,是当今市场上最为灵活且可以互操作的网络准入控制解决方案。
另外,极高的灵活性和互操作性让企业能够按照他们需要的方式,在需要的时候方便快捷地部署
网络准入控制评估与实施选件的组合。为进一步帮助企业进行部署,并帮助企业快速获得投资回
报,赛门铁克还提供一系列咨询、技术培训和支持服务。
赛门铁克是基础架构软件和端点安全领域的全球领先者,致力于使企业和用户在互联世界中
满怀信心。赛门铁克通过提供能够防范安全性、可用性、遵从和性能风险的软件与服务,帮助客
户保护基础架构、信息和交互。
21
Symantec Network Access Control:全面的网络准入控制
22
关于赛门铁克
赛门铁克公司是全球领先的基础架构软件
供应商,致力于确保企业和个人消费者在
互联世界中的信心。赛门铁克公司帮助用
户保护基础架构、信息和交互,提供软件
和服务来抵御对安全性、可用性、遵从和
性能方面的风险威胁。公司总部设在美国
加州的 Cupertino ,现已在 40 多个国家设
有分支机构。要了解更多相关信息,欢迎
访问赛门铁克公司网站:
www.symantec.com。
欲知详情,请访问中文网址:www.symantec.com.cn
或垂询各地办事处 :
赛门铁克中国地区办事处
北京: 电话:(010)85180008 传真:(010)85186718
电话:(010)85183338 传真:(010)85186928
上海: 电话:(021)32174788 传真:(021)52925291
广州: 电话:(020)38771799 传真:(020)38771877
成都: 电话:(028)86768282 传真:(028)86768598
全国销售热线: 800 810 8826
安全产品售后技术支持热线: 800 810 3992
高可用性产品售后技术支持热线: 800 810 9771
赛门铁克公司
全球总部
20330 Stevens Creek Boulevard
Cupertino, CA 95014 USA
+1 (408) 517 8000
1 (800) 721 3934
www.symantec.com
Copyright © 2007 Symantec Corporation. © 2007 年赛
门铁克公司版权所有。All rights reserved. 保留所有权
利。Symantec、Symantec 徽标和 Symantec Anti Virus
是赛门铁克公司或其附属机构在美国和其它国家或地区
的商标或注册商标。“Symantec”及“赛门铁克”是赛
门铁克公司在中国的注册商标。Microsoft 是 Microsoft
公司在美国和其它国家或地区的注册商标或商标。Java
是 Sun Microsystems, Inc. 在美国或其它国家(地区)
的商标或注册商标。其它名称可能是其各自所有者的商
标。中国印刷。 09/07 WP-00164-CN
Loading...