Symantec NAC准入控制介绍

终端标准化管理与策略遵从－SNAC11.0方案22Symantec网络准入控制—SNAC11.0在终端接入网络之前，确保端点得到了保护且满足遵从要求SymantecNetworkAccessControl11.03SymantecEndpointProtectionManager多种方式的网络准入满足用户个性化需要Symantec执行代理SymantecEnterpriseProtectionAgent(Self-Enforcement方法)MicrosoftSQLServer数据库端点强制器管理使用802.1x的交换机Symantec局域网强制器Symantec网关强制器DHCP服务器SymantecDHCP强制器4端点评估技术可分发代理:用于未受管理的终端包括访客永续代理:用于受管理的客户端例外策略:用于不可管理的终端，如打印机5自动化的、标准化的终端安全``clientsCorporateSub-Network`clientsDHCPServer`802.1xSwitchLANEnforcerSEPMSiteGatewayEnforcerRadiusServerCorpIntranetInternetDHCPEnforcer`Unknown`Unknown`Unknown6Symantec端点策略遵从步骤检测终端接入第2步针对策略检查配置的遵从性第3步✗持续监控，遵守当前的策略第5步基于策略检查的结果采取措施第4步补丁隔离自动修复定义策略第1步7Symantec网络准入控制准入基线—终端规范性管理操作系统规范管理WinXP/Win2kPro/Vista…操作系统ServicePack强制终端基本设置规范性计算机命名规范微软AD域登录强制WSUS微软补丁服务器终端应用规范性管理SMS客户端安装强制ERP客户端安装强制软件版本规范性文件/注册表/进程/服务……主机完整性：主机系统所采用的安全措施的完整性8Symantec网络准入控制准入基线—终端安全性管理安全软件安装强制防病毒安装强制病毒码强制升级其他…系统关键性安全补丁强制桌面安全性设置规范性IP地址规范性管理禁止添加删除程序禁止访问注册表禁止远程控制禁止默认共享访问禁止Guest帐号密码复杂度合规性…外设使用规范性Policy99局域网准入控制(基本模式)工作原理图工作站Symantec终端安全管理器修复服务器RADIUSServer局域网强制器隔离VLAN受保护网络客户端连接，系统通过EAP协议传送用户身份、遵从、策略数据交换机转发数据到LANEnforcerHI失败:分配到隔离VLANHI通过:打开交换机端口LANEnforcer检查策略与遵从有效状态LANEnforcer通过RADIUS服务器检查用户登陆802.1x基本模式HostIntegrityRuleStatusAnti-VirusOnAnti-VirusUpdatedPersonalFirewallOnServicePackUpdatedPatchUpdatedEAPStatusUserNamePasswordTokenPatchUpdatedSymantecNACEnforcementAgent1010网关准入控制工作原理图远程用户Symantec终端安全管理器修复服务器受保护网络访客用户试图访问网络GatewayEnforcer请求提交策略和遵从数据网关强制器检查策略与遵从有效状态HostIntegrityRuleStatusAnti-VirusOnAnti-VirusUpdatedPersonalFirewallOnServicePackUpdatedPatchUpdatedSymantecNACEnforcementAgent网关强制器可进行的操作阻止客户端访问HTTP重定向客户端弹出对话框受限的网络访问有客户端并且检查通过:允许访问网关强制器PatchUpdated典型用户——海南移动、海南联通…11DHCP准入控制工作原理图LANDesktoporOnsiteWirelessClientSymantecEndpointProtectionManager修复资源DHCPServer受保护网络客户端送出DHCP请求Enforcer分配一个‘隔离的’IP地址;询问遵从以及策略数据Enforcer向客户端发起DHCPrelease&renewEnforcer验证策略并检查遵从状态HostIntegrityRuleStatusAnti-VirusOnAnti-VirusUpdatedPersonalFirewallOnServicePackUpdatedPatchUpdated客户端获得对生产网络的访问隔离IPsSymantecNACDHCPPlug-InrunningonMSFTDHCPserverSymantecNACEnforcementAgent1212客户端自强制工作原理图工作站Symantec终端安全管理器修复服务器客户端连接，验证策略SPA客户端执行自身遵从情况检查遵从检查失败:应用“隔离”防火墙策略遵从检查通过:应用“办公室”防火墙策略HostIntegrityRuleStatusAnti-VirusOnAnti-VirusUpdatedPersonalFirewallOnServicePackUpdatedPatchUpdatedSPA受保护网络隔离区PatchUpdated13电脑终端网络接入的规范性•用户网络准入认证和资源访问统一使用AD帐号•用户本地登录无法访问网络•没有经过认证的用户：访客区域（合法性验证）•存在严重不合规项：隔离区域，自动修复/引导修复（合规性验证）•接入终端合法和合规性都满足安全策略：根据用户AD所在OU进行动态VLan的自动分配，与接入位置无关典型用户——腾讯、卓望…14电脑终端网络接入的规范性VLAN2(Resources–AccessiblefromEveryone)PolicyManagerRADIUSServerLANEnforcer(802.1xRADIUSProxy)VLAN3(Quarantine–NoAuthentication)VLAN1(Restricted-AccessibleforAuthorizedOnly)ActiveDirectoryServerDatabaseServerOthersserversRemediationServerWebServer`EmployeeDesktop(ProtectionAgent,non-compliance)GuestMachine(noagent)VLAN10,11,12,….(UserVLANsforDITHandDNTH–PassAuthenticationandComplianceCheck)GatewayEnforcer(Option)On-DemandPolicyManager(Option)`EmployeeDesktop(ProtectionAgent,compliance)`EmployeeDesktop(ProtectionAgent,compliance)MSSQLServer(Option)Partner/Supportvendor(SODPAgent,Option)EmployeeMobilePC(ProtectionAgent)GuestMobilePC(NoAgent)PSTNInternet802.1xSwitchAllowedWirelessConnectionDis-allowedWirelessConnectionRemoteAccessServerWirelessAccessPoint•VLAN1：部署核心服务器，属于限制区域，需要授权才能访问•VLAN2：开放资源区域，可供任何人访问，主要部署局域网强制服务器、策略服务器和认证服务器•VLAN3：隔离区域，当接入终端合法或合规性与安全策略不符，将被强制置入该区域，该区域有修复服务器可提供终端自行修复；•VLAN4：该区域为访客区域，没有经过认证的用户将置入该区域•一般VLAN：用户访问区域，接入终端合法和合规性都满足安全策略，将进行正常的内网访问典型用户——埃默生、珠海格力、柳工机械…15SEP11.0管理架构LaptopsDesktopsSQL数据库-Policies-Events&Logs-SecurityContent-ReportingData-StateInformation-UpdatesandPatchesJava控制台-PolicyManagement-AgentManagement-RolesandAdministration-LaunchReports-ViewAlertsServers客户端SymantecEndpointProtectionClient管理服务器SymantecEndpointProtectionManager(SEPM)HTTPStoApacheHTTPtoIISforReports16SEP11.0管理架构•基于Web的管理和策略分发-满足VPN广域组网要求（推/拉）•灵活的分发点控制-简便病毒码/策略的分发控制•高可用扩展服务器架构-满足网络三级架构的管理需要1717SEP11.0支持的平台操作系统32-bit64-bit客户端WindowsVistaXXWindows2003XXWindowsXPXXWindows2000(SP3或更高)XXMacOS(v10.3或更高)X*LinuxX*SEPM服务器Windows2003XXWindowsXPXXWindows2000(SP3或更高)XX1818集成MicrosoftActiveDirectoryMSActiveDirectorySEPM和Datastore集成AD的几点好处•镜像•组织单元结构•目录一致性•管理效率•基于用户的管理•定期进行AD同步1919客户端内存占用－－21M84%MemoryReductionSEP11.0SAVCE10.1SCS3.121MB62MB129MB2020SymantecNAC实施后效果•减少恶意代码（如病毒、蠕虫、间谍软件和其它形式的犯罪软件）的传播•通过对访问企业网络的不受控端点和受控端点加强控制，降低风险•为最终用户提供更高的网络可用性，并减少服务中断的情况•通过近乎实时端点遵从数据获得可验证的企业遵从信息•企业级集中管理架构将总体拥有成本降至最低•验证对防病毒软件和客户端防火墙技术这样的端点安全产品投资是否得当谢谢