收藏
下载资源

symantec sep网络准入控制系统工作原理及操作模式

上传人:xzh****18 文档编号:34632708 上传时间:2018-02-26 格式:DOC 页数:30 大小:912.50KB
返回 下载 相关 举报
symantec sep网络准入控制系统工作原理及操作模式_第1页
第1页 / 共30页
symantec sep网络准入控制系统工作原理及操作模式_第2页
第2页 / 共30页
symantec sep网络准入控制系统工作原理及操作模式_第3页
第3页 / 共30页
symantec sep网络准入控制系统工作原理及操作模式_第4页
第4页 / 共30页
symantec sep网络准入控制系统工作原理及操作模式_第5页
第5页 / 共30页
点击查看更多>>
资源描述

《symantec sep网络准入控制系统工作原理及操作模式》由会员分享,可在线阅读,更多相关《symantec sep网络准入控制系统工作原理及操作模式(30页珍藏版)》请在金锄头文库上搜索。

1、目录1. Symantec Endpoint Protection 11.0 / Symantec Network Access Control 11.0 主机完整性概述 .11. Gateway Enforcer 设备工作原理 .52. Symantec Network Access Control 11.0 LAN Enforcement 概述 .63. LAN Enforcer: 理解基本模式和透明模式 .134. LAN Enforcer: 如何配置以便处理尚未连接到 SEPM 管理器的新安装客户端? .155. DHCP Enforcer 设备工作原理 .166. Symantec

2、Network Access Control 11.0 DHCP Enforcement 概述 .187. 在没有安装客户端的情况下,Symantec Network Access Control 强制如何管理计算机?218. Using MAB (MAC Authentication Bypass) with the Symantec LAN Enforcer appliance .239. Using the DHCP Trusted Vendors Configuration feature with the Symantec Integrated DHCP Enforcer .281.

3、 Symantec Endpoint Protection 11.0 / Symantec Network Access Control 11.0 主机完整性概述本文档翻译自英文文档。原英文文档可能在本翻译版发布后进行过修改更新。赛门铁克对本翻译文档的准确度不做保证。情形您想对主机完整性功能有一个大概的了解 解释 主机完整性 什么是主机完整性? 主机完整性使得企业可以在企业网络(包括 VPN、无线和 RAS 拨号服务器)的所有入口点处强制执行安全性策略。主机完整性具有如下能力:在允许访问企业网络前检查防火墙、入侵防护、防病毒和其他第三方应用程序是否存在并更新其状态。 主机完整性由以下两个组件构

4、成。 1. SEPM 定义的策略 - 管理员定义 主机完整性何时运行 每个客户端必须满足哪些要求2. 客户端组件,它运行主机完整性要求并(可选)与最终用户进行交互。(SNAC.exe) 都有哪些类型? 传统的 Sygate 防护技术可大致分为两类:基于硬件的防护技术和所谓的“自强制执行”防护技术。 基于硬件的 Symantec Network Access Control 强制执行 其中包括: DHCP Enforcer LAN Enforcer Gateway Enforcer软件自强制执行 由 (SNAC) 客户端自身进行强制执行。无需任何 Enforcer 硬件。自强制执行 利用自强制执

5、行,客户端可以在不符合遵从性时隔离其系统。隔离策略需要在 SEPM 上定义。客户端可通过切换至隔离防火墙策略(即,限制对特定 IP 地址或段进行访问的防火墙)来对自身进行隔离。 这允许快速部署基本端点安全性。无需网络级系统或配置。 默认情况下,主机完整性检查每 2 分钟运行一次。它实际上是由 .JS javascript 文件运行的,该文件将包含在从 Manager 下载的策略中。一旦 HI 完成,便会删除此脚本。 HI 可检查哪些内容?- 可选择哪些要求? HI 可检查以下预定义要求: 此外,管理员还可以配置自定义要求: 在配置这些要求脚本时,管理员有很大的灵活性。在下面的示例中,记事本应该

6、在客户端上运行: 如果没有运行记事本,请运行其他某个程序。(请注意,默认情况下,它将配置为以 System 帐户运行!) 文档号: 20080221112422968最近更新: 2008-02-25Date Created: 2008-02-20操作系统: Windows 2000 Professional, Windows 2000 Server/Advanced Server, Windows XP Home Edition, Windows XP Professional Edition, Windows XP Tablet PC Edition, Windows Server 2003

7、 Web/Standard/Enterprise/Datacenter Edition, Windows Vista, Windows XP Professional x64 Edition, Windows Server 2003 x64 Edition, Windows Vista x64 Edition产品: Endpoint Protection 11, Network Access Control 11 1. Gateway Enforcer 设备工作原理http:/ Enforcer 设备工作原理 解释Gateway Enforcer 设备执行单向检查。 它们检查尝试通过 Gate

8、way Enforcer 设备的外部 NIC 连接至公司网络的客户端。Gateway Enforcer 设备利用以下过程来对客户端进行身份验证: 当客户端尝试访问网络时,Gateway Enforcer 设备首先检查该客户端是否运行 Symantec Endpoint Protection 客户端或 Symantec Network Access Control 客户端。 如果该客户端运行上述任一客户端软件,则 Gateway Enforcer 设备即开始主机身份验证过程。 用户计算机上运行的客户端执行主机完整性检查。 然后,它会将检查结果连同其身份信息及其安全策略的状态信息传递给 Gatew

9、ay Enforcer 设备。 Gateway Enforcer 设备会向 Symantec Endpoint Protection Manager 验证该客户端是否为合法客户端,并验证其安全策略是否为最新。 Gateway Enforcer 设备验证该客户端是否已经通过主机完整性检查并因此符合安全策略。 如果所有过程均通过,Gateway Enforcer 设备便会允许该客户端连接至网络。 如果客户端不能满足访问要求,可以设置 Gateway Enforcer 设备来执行以下操作: 监控和记录特定事件。 如果主机完整性检查失败则阻止用户。 在客户端上显示弹出消息。 为客户端提供有限的网络访问

10、权限以允许利用网络资源进行补救。要设置 Gateway Enforcer 设备身份验证,可以配置检查哪些客户端 IP 地址。 可以指定 Gateway Enforcer 设备无需身份验证即可允许的可信外部 IP 地址。 作为补救,可以配置 Gateway Enforcer 设备允许客户端访问可信内部 IP 地址。 例如,可以允许客户端访问其中含有防病毒 DAT 文件的更新服务器或文件服务器。对于没有 Symantec 客户端软件的客户端,可以将客户端 HTTP 请求重定向至 Web 服务器。 例如,可以提供有关在哪获取补救软件或允许客户端下载客户端软件的其他说明。还可以配置 Gateway E

11、nforcer 设备以允许非 Windows 客户端访问网络。 Gateway Enforcer 设备用作网桥,而非路由器。 对客户端进行身份验证之后,Gateway Enforcer 设备即会转发数据包,允许客户端访问网络。文档号: 20090224132028968最近更新: 2009-03-08Date Created: 2009-02-23产品: Endpoint Protection 11, Network Access Control 11, Symantec Network Access Control 5.1, Symantec Sygate Enterprise Protec

12、tion 5.1 2. Symantec Network Access Control 11.0 LAN Enforcement 概述本文档翻译自英文文档。原英文文档可能在本翻译版发布后进行过修改更新。赛门铁克对本翻译文档的准确度不做保证。情形概括了解 LAN Enforcement 的工作方式 解释 Symantec Network Access Control - LAN Enforcement 概述 LAN Enforcer 可看作一种验证架构,在提供网络访问权限之前验证用户和/或计算机是否拥有集中授权 LAN Enforcer 采用的技术最初是为 WLAN 所设计的。更确切地说,该技术

13、依赖于 802.1x 协议 - CISCO 称其为“dot1x”协议 802.1x 协议是一项 IEEE 标准,用以增强有线和无线局域网络的安全性。Wikipedia 上的 802.1x 的全面信息 要求使用遵从性交换机(原先的交换机可能无法实现此功能) 使用多种验证协议,例如可扩展身份验证协议 (EAP) 可选择与 RADIUS(远程验证拨号用户服务,又称为 AAA 或“3A”)一同使用。(验证、授权、记帐) 如果客户端不是遵从性客户端,LAN Enforcer 可将客户端分配到隔离区 VLAN LAN Enforcer 可以以两种模式使用。完全的 802.1x(或基本)模式或透明模式在三种 Enforcer 类型中,LAN Enforcer 最为复杂(具有最多的移动部件),这主要归因于 802.1x 实现。 完全的 802.1x 模式 - 具有 RADIUS 验证 相较于不使用 RADIUS 验证的透明模式,此 Enforcer 模式还考虑用户的 RADIUS 验证。 前提条件: 支持 802.1x 的交换机 需要完善规划 802.1x 部署 后端 (RADIUS) 基础结构需要将 SEP/SNAC 客户端配

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 行业资料 > 其它行业文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号