SNAC11.0

终端标准化的遵从保障－－新产品SNAC11.0（SymantecNetworkAccessControl11.0）SymantecVision20072日程NAC需求和SNAC功能1SNAC准入方式和流程2总结3SymantecVision20073蠕虫无视当前的端点防护，侵入企业内部来源:EnterpriseStrategyGroup,2005年1月ESG研究报告，网络安全和入侵防护0%5%10%15%20%25%30%35%40%45%50%员工的笔记本通过防火墙的互联网访问第三方的笔记本VPN家用系统未知其他43%39%34%27%8%8%“最常见的自动化网络蠕虫攻击的来源是什么?”SymantecVision20074终端策略遵从无法落实传统的管理方式红头文件/通告Mail、电话通知安全管理规章制度罚款、通报批评策略制定策略执行SymantecVision20075全面端点安全的需要:端点保护+端点遵从升级了补丁更新了ServicePack启用了个人防火墙更新了防病毒签名启用了防病毒遵从端点安全性策略状态蠕虫未知攻击ID盗窃病毒保护101010110101011010101SymantecVision200766终端防护EndpointProtection终端遵从EndpointComplianceSolutionSymantec重新定义终端安全Symantec终端安全＝KeyProductsSymantecEndpointProtection11.0DefinitionEndpointProtectionproactivelyprotectslaptops,desktopsandserversfromknownandunknownmalwaresuchasviruses,worms,Trojans,spyware,adwareandrootkitsbycombiningthesecapabilities:防病毒Antivirus防间谍软件Antispyware桌面防火墙Desktopfirewall入侵防护IntrusionPrevention(Host&Network)设备和应用控制Device&ApplicationControlEndpointCompliance对终端接入网络进行安全控制持续的终端完整性检查集中的终端遵充策略管理自动修复基于主机的访问控制策略强制监控和报告系统配置检查、修复和强制*SNAC-readySymantecNetworkAccessControl11.0＋SymantecVision20077SNAC的功能概述•屏蔽一切不安全的设备和人员接入网络，规范用户接入网络的行为，从而铲除网络威胁的源头，避免事后处理的高额成本•以安全策略为核心，可以灵活的定义细粒度的安全策略•以NAC为强制手段，用技术的手段保证安全策略的落实•实现策略遵从的终端安全•实现可管理可改善的终端安全•实现标准化、自动化的终端安全SymantecVision200788SNAC11.0在访问网络资源之前，确保端点得到了保护且满足遵从要求SymantecNetworkAccessControl11.0SymantecVision20079SNAC对端点授权，而不仅对用户•网络控制=控制谁能够访问您的网络•在端点连接网络之前，确保所需的补丁、配置和保护的签名已经存在•自动化端点修复–在授权访问前强制执行策略授权的用户授权的端点+受保护的网络安装了防病毒且在运行?安装了防火墙且在运行?所需的补丁有了么?需要的配置有了么?SymantecVision200710Symantec端点遵从步骤检测终端接入第2步针对策略检查配置的遵从性第3步✗持续监控，遵守当前的策略第5步基于策略检查的结果采取措施第4步补丁隔离自动修复定义策略第1步SymantecVision200711防病毒主机防火墙安全补丁SymantecEnforcementAgent反间谍软件主机入侵防御Hotfix自定义检查…-------------------------------------------------------------------支持if…then…else语法，用类似编程方式进行多样化的复合检查。策略的组成（安全检查的内容）SymantecVision200712主机完整性：主机系统所采用的安全措施的完整性自动化修复•动态提示•绿色通道•自动连接到服务器下载最新的版本、特征库和补丁全面修复•安装缺失的安全应用•更新安全软件特征库•检查并安装系统关键安全补丁•检查并修复系统安全设置•……安全策略自动化修复SymantecVision200713SNAC实现可管理的、可改善的终端安全网络安全持续改进PolicySymantecVision200714SymantecEndpointSecurityManagerSNAC解决方案的组成Symantec执行代理+SymantecEnterpriseProtectionAgent(Self-Enforcement方法)MicrosoftSQLServer数据库端点强制器管理使用802.1x的交换机Symantec局域网强制器Symantec网关强制器DHCP服务器SymantecDHCP强制器SymantecVision200715`SygateAgent802.1xSwitchFW/VPNGatewayEnforcer`SygateAgent`LegacySwitchDHCPServerUnknownLaptopUnknownDeviceInternetLANEnforcerEnterpriseServersPhoenixServersGoRadiusDHCPEnforcerPDAAgent`SygateAgentSymantec全面的网络准入控制网关强制器局域网强制器DHCP强制器SymantecVision200716自动化的、标准化的终端安全``clientsCorporateSub-Network`clientsDHCPServer`802.1xSwitchLANEnforcerSEPMSiteGatewayEnforcerRadiusServerCorpIntranetInternetDHCPEnforcer`Unknown`Unknown`UnknownSymantecVision200717日程NAC需求和SNAC功能1SNAC准入方式和流程2总结3SymantecVision200718Symantec网络准入控制方式•局域网准入控制–基本模式(需要用户认证)–透明模式(不需要用户认证)•网关准入控制•DHCP准入控制•客户端自强制用户认证安全检查12合法终端合规终端拒绝请求隔离到漫游区12拒绝请求隔离到修复区权限请求802.1x交换机端口认证协议SymantecVision20071919局域网准入控制(透明模式)工作原理图工作站Symantec策略管理服务器修复服务器局域网准入控制器隔离VLAN受保护网络客户端连接，系统通过EAP协议传送、遵从、策略数据交换机转发数据到LANEnforcerHI失败:分配到隔离VLANHI通过:打开交换机端口LANEnforcer检查策略与遵从有效状态802.1x透明模式HostIntegrityRuleStatusAnti-VirusOnAnti-VirusUpdatedPersonalFirewallOnServicePackUpdatedPatchUpdatedPatchUpdatedSymantecNACEnforcementAgentSymantecVision20072020局域网准入控制(基本模式)工作原理图工作站Symantec终端安全管理器修复服务器RADIUSServer局域网强制器隔离VLAN受保护网络客户端连接，系统通过EAP协议传送用户身份、遵从、策略数据交换机转发数据到LANEnforcerHI失败:分配到隔离VLANHI通过:打开交换机端口LANEnforcer检查策略与遵从有效状态LANEnforcer通过RADIUS服务器检查用户登陆802.1x基本模式HostIntegrityRuleStatusAnti-VirusOnAnti-VirusUpdatedPersonalFirewallOnServicePackUpdatedPatchUpdatedEAPStatusUserNamePasswordTokenPatchUpdatedSymantecNACEnforcementAgentSymantecVision20072121网关准入控制工作原理图远程用户Symantec终端安全管理器修复服务器受保护网络访客用户试图访问网络GatewayEnforcer请求提交策略和遵从数据网关强制器检查策略与遵从有效状态HostIntegrityRuleStatusAnti-VirusOnAnti-VirusUpdatedPersonalFirewallOnServicePackUpdatedPatchUpdatedSymantecNACEnforcementAgent网关强制器可进行的操作阻止客户端访问HTTP重定向客户端弹出对话框受限的网络访问有客户端并且检查通过:允许访问网关强制器PatchUpdatedSymantecVision20072222DHCP准入控制工作原理图工作站修复服务器DHCPServer受保护网络客户端发送DHCP请求Enforcer分配一个‘隔离’IP地址;请求提交策略和遵从数据Enforcer发起客户端的DHCP释放与更新Enforcer检查策略与遵从有效状态HostIntegrityRuleStatusAnti-VirusOnAnti-VirusUpdatedPersonalFirewallOnServicePackUpdatedPatchUpdated客户端收到能访问正常网段的地址QuarantineIPsSymantecNACEnforcementAgentDHCP强制器Symantec终端安全管理器SymantecVision20072323客户端自强制工作原理图工作站Symantec终端安全管理器修复服务器客户端连接，验证策略SPA客户端执行自身遵从情况检查遵从检查失败:应用“隔离”防火墙策略遵从检查通过:应用“办公室”防火墙策略HostIntegrityRuleStatusAnti-VirusOnAnti-VirusUpdatedPersonalFirewallOnServicePackUpdatedPatchUpdatedSPA受保护网络隔离区PatchUpdatedSymantecVision200724日程NAC需求和SNAC功能1SNAC准入方式和流程2总结3SymantecVision200725NAC测评对比，Symantec第一2007年7月30日测评结果：SymantectopsJuniper,CiscoandCheckPointintestof13NACpointproducts.Symanteccameoutontopasthebest-all-aroundall-in-oneNACproduct,providedthemostsolidNACfunctionsacrosstheboard.13家参与测评的NAC厂商：BradfordNetworks,CheckPointSoftwaer,Cisco,ConSentryNetworks,ForeScoutTechnologies,InfoExpress,JuniperNetworks,LockdownNetworks,McAfee,StillSecure,Symantec,TrendMicroandVernierNetworks.SymantecVision200726SNAC11.0特性总结•可持续