Symantec Network Access Control User Manual
W H I T E P A P E R : E N D P O I N T S E C U R I T Y
Symantec™ Network
Access Control
全面的网络准入控制
白皮书:端点安全
Symantec Network Access Control
全面的网络准入控制
目录
摘要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
保持安全和受控状态 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Symantec Network Access Control 架构. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
赛门铁克端点评估技术:灵活性和全面性. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
永久代理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
可分解的代理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
远程漏洞扫描 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Symantec Enforcers:用于消除 IT 和业务中断的灵活实施选件 . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Gateway Enforcer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
DHCP Enforcer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
LAN Enforcer—802.1x. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
赛门铁克策略管理:全面、集成的端点安全管理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
一个管理控制台 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
统一代理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
消除网络准入控制障碍 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
端到端的端点遵从 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Symantec Network Access Control:全面的网络准入控制
摘要
企业中的各个端点处于受控状态,这对 IT 基础架构及其相关业务操作的整体安全性和可用
性具有重要影响。新一轮的复杂犯罪软件不仅以特定公司为目标,而且以台式机和笔记本电脑为
目标,将其作为后门侵入点来攻击这些企业的业务运作和重要资源。企业要保护自身免遭这些有
目标威胁的侵扰,必须采取相关措施,保证每个端点都始终遵从企业安全和配置管理策略。如果
企业无法保证遵从端点策略,就会面临一系列威胁,包括恶意代码在整个企业内扩散、核心业务
服务中断、增加 IT 恢复和管理成本、泄漏机密信息、公司品牌受损以及因不遵从相关法规而被
罚款。
Symantec Network Access Control 使企业能够确保正确配置及设置用户端点的安全状态,其
中包括现场员工、远程员工、访客、承包商以及临时工作者的端点,然后才允许他们访问企业网
络中的资源。该解决方案能够发现并评估端点遵从状态,设置正确的网络访问权限并提供补救功
能,确保符合端点安全策略和标准。Symantec Network Access Control 独立于网络操作系统,能
够与任何网络基础架构轻松集成,所以与竞争对手的解决方案相比,其实施更加全面、速度更快
且更加经济有效。
通过利用 Symantec Network Access Control 的端点遵从验证和实施功能,企业可以:
• 减少恶意代码(如病毒、蠕虫、间谍软件和其它形式的犯罪软件)的传播
• 通过对访问企业网络的不受控端点和受控端点加强控制,降低风险
• 为最终用户提供更高的网络可用性,并减少服务中断的情况
• 通过近乎实时端点遵从数据获得可验证的企业遵从信息
• 企业级集中管理架构将总体拥有成本降至最低
• 验证对防病毒软件和客户端防火墙技术这样的端点安全产品投资是否得当
4
Symantec Network Access Control:全面的网络准入控制
保持安全和受控状态
IT 管理员会竭尽全力确保按照公司策略配置新部署的台式机和笔记本电脑,公司策略包括
所有适用的安全更新、批准的应用程序设置、防病毒软件、防火墙设置以及其它配置设置。遗憾
的是,这些计算机一投入使用,管理员通常就无法控制这些端点的配置。用户安装新软件、阻止
补丁程序更新、禁用防火墙或者进行其它更改,导致设备乃至整个 IT 基础架构面临着风险。在
网吧、宾馆房间或者其它更易受到攻击或感染的不安全地点,远程用户和移动用户使用不遵从笔
记本电脑时会面临更高的风险。
一些企业采用补丁程序管理或软件分发解决方案,最终会在预定时间内将不遵从计算机更改
回正确状态,但一旦计算机受感染并连接到网络,这些解决方案将完全失去作用。他们还使用管
理员权限,向那些认为他们无需遵守公司策略的用户证明无效性,从而阻止将其计算机回滚到正
确配置状态的尝试。
网络准入控制解决方案使企业能够防止此行为影响企业的 IT 基础架构。在任何计算机能够
访问生产网络及其资源之前,该计算机都必须完全遵从制定的企业策略,如安全补丁程序、防病
毒软件和病毒定义的正确版本级别。
但是,尽管他们能够防止不遵从端点连接到企业网络,但部分企业仍然因为各种原因尚未采
用网络准入控制解决方案,这些原因包括许多解决方案:
• 无法提供有效实施和修复
• 增加端点上必须安装的管理代理的数量
• 导致 IT 基础架构过于复杂并且中断次数太多
• 缺少满足企业独特需求的灵活性,如适当地满足客户和临时工作者的需求
• 无法与整个端点安全管理基础架构正确集成
Symantec Network Access Control 使用端到端的解决方案解决了上述所有问题,能够安全地
控制对企业网络的访问、实施端点安全策略以及与现有网络基础架构轻松集成。
5
Enforcers
ን႔ክူ
ቪཁశ
Symantec Network Access Control:全面的网络准入控制
Symantec Network Access Control 架构
Symantec Network Access Control 架构包括以下三个主要组件:
• 端点评估技术评估试图访问网络的端点的状态(检查它们是否遵从策略)
• Enforcers 作为允许或拒绝访问网络的门户
• 策略管理通过一个中央管理控制台创建、编辑和管理网络准入控制规则或策略
图 1. Symantec Network Access Control 架构
实施评估技术向从中创建、编辑和管理策略的 Symantec Endpoint Protection Manager 报
告,并通过它接收其配置策略信息。如果赛门铁克实施评估技术确定该端点不遵从策略,则会告
知 Symantec Enforcer 阻止该端点访问网络。
根据 IT 管理员设置的策略(并根据已部署的实施选件类型),赛门铁克实施技术能够自动
将不遵从端点的状态改为遵从。通过执行补救任务,如致电当地的补丁程序经理以安装最新补丁
程序,或者利用端点上为其它任务安装的其它工具,即可实现这一目的。
6
ᰠ1
ቪཁᤋଋҁᎩፎḞф߿ᦠᎵnj
ᠾᨠА
ᰠ3
ን႔ಉፆ౦Ḟ
᧓Ԩᄰୱͺnj
ᰠ4
ᄢଌቪཁḞᆷγ፝ᥕnj
ᰠ2
ಉᦠᎵ௦ՠᥕን႔nj
Ԧ
ဗ
ࠃ
ஶ
ᛩ
ஐ
ᄢ
ଌ
Symantec Network Access Control:全面的网络准入控制
Symantec Network Access Control 会为各类网络中的所有类型端点验证并实施策略遵从。通
过将策略作为所有评估和操作的基础,此验证和实施流程在端点连接到网络之前开始,并且贯穿
整个连接过程。图 2 显示了该网络准入控制流程执行的步骤。
图 2. 网络准入控制流程
1. 发现和评估端点。在连接到网络时,即访问资源之前发现端点。通过与现有网络基础架构相
集成,同时使用智能代理软件,网络管理员可以确保按照最低 IT 策略要求对连接到网络的新
设备进行评估。
2. 设置网络访问权限。只有对系统进行评估并确认其遵从 IT 策略后,才准予该系统进行全面的
网络访问。对于不遵从 IT 策略或不满足企业最低安全要求的系统,将对其进行隔离,限制或
拒绝其对网络进行访问。
7
Symantec Network Access Control:全面的网络准入控制
3. 修复不遵从的端点。对不遵从的端点自动采取补救措施使管理员能够将这些端点快速变为遵
从状态,随后再改变网络访问权限。管理员可以将补救过程完全自动化,这样会使该过程对
最终用户完全透明;也可以将信息提供给用户,以便进行手动补救。
4. 主动监视遵从状况。必须时刻遵从策略。因此,Symantec Network Access Control 以管理员设
置的时间间隔主动监视所有端点的遵从状况。如果在某一时刻端点的遵从状态发生了变化,
那么该端点的网络访问权限也会随之变化。
赛门铁克端点评估技术:灵活性和全面性
网络准入控制通过验证与该网络相连的端点是否经过正确配置来保护其免遭在线攻击,从而
保护网络免遭恶意代码以及未知或未授权端点的攻击。网络准入控制通常涉及检查防病毒、反间
谍软件以及安装的补丁程序。但是在进行了初始网络准入控制部署后,大多数企业很快就超出了
这些典型检查。不管目标是什么,该过程都是首先从评估端点入手。由于连接到网络的端点数量
非常之多(例如,“受控端点”或公司采购的端点,以及“不受控端点”或并非由公司采购的端
点,如使用家用计算机的远程工作人员、承包商、临时员工以及可能使用自己笔记本电脑的合作
伙伴),Symantec Network Access Control 提供三种不同的端点评估技术来确定端点遵从性:
• 永久代理
• 可分解的代理
• 远程漏洞扫描
8
Loading...