Symantec SEP网络准入控制系统工作原理及操作模式.docx
- 文档编号:17860445
- 上传时间:2023-08-04
- 格式:DOCX
- 页数:32
- 大小:752.24KB
Symantec SEP网络准入控制系统工作原理及操作模式.docx
《Symantec SEP网络准入控制系统工作原理及操作模式.docx》由会员分享,可在线阅读,更多相关《Symantec SEP网络准入控制系统工作原理及操作模式.docx(32页珍藏版)》请在冰点文库上搜索。
SymantecSEP网络准入控制系统工作原理及操作模式
1.SymantecEndpointProtection11.0/SymantecNetworkAccessControl11.0主机完整性概述
本文档翻译自英文文档。
原英文文档可能在本翻译版发布后进行过修改更新。
赛门铁克对本翻译文档的准确度不做保证。
情形
您想对主机完整性功能有一个大概的了解
解释
主机完整性
什么是主机完整性?
主机完整性使得企业可以在企业网络(包括VPN、无线和RAS拨号服务器)的所有入口点处强制执行安全性策略。
主机完整性具有如下能力:
在允许访问企业网络前检查防火墙、入侵防护、防病毒和其他第三方应用程序是否存在并更新其状态。
主机完整性由以下两个组件构成。
1.SEPM定义的策略-管理员定义
·主机完整性何时运行
·每个客户端必须满足哪些要求
2.客户端组件,它运行主机完整性要求并(可选)与最终用户进行交互。
(SNAC.exe)
都有哪些类型?
传统的Sygate防护技术可大致分为两类:
基于硬件的防护技术和所谓的“自强制执行”防护技术。
基于硬件的SymantecNetworkAccessControl强制执行
其中包括:
·DHCPEnforcer
·LANEnforcer
·GatewayEnforcer
软件自强制执行
·由(SNAC)客户端自身进行强制执行。
无需任何Enforcer硬件。
自强制执行
利用自强制执行,客户端可以在不符合遵从性时隔离其系统。
隔离策略需要在SEPM上定义。
客户端可通过切换至隔离防火墙策略(即,限制对特定IP地址或段进行访问的防火墙)来对自身进行隔离。
这允许快速部署基本端点安全性。
无需网络级系统或配置。
默认情况下,主机完整性检查每2分钟运行一次。
它实际上是由.JSjavascript文件运行的,该文件将包含在从Manager下载的策略中。
一旦HI完成,便会删除此脚本。
HI可检查哪些内容?
-可选择哪些要求?
·HI可检查以下预定义要求:
·此外,管理员还可以配置自定义要求:
·在配置这些要求脚本时,管理员有很大的灵活性。
在下面的示例中,记事本应该在客户端上运行:
·如果没有运行记事本,请运行其他某个程序。
(请注意,默认情况下,它将配置为以System帐户运行!
)
文档号:
20080221112422968
最近更新:
2008-02-25
DateCreated:
2008-02-20
操作系统:
Windows2000Professional,Windows2000Server/AdvancedServer,WindowsXPHomeEdition,WindowsXPProfessionalEdition,WindowsXPTabletPCEdition,WindowsServer2003Web/Standard/Enterprise/DatacenterEdition,WindowsVista,WindowsXPProfessionalx64Edition,WindowsServer2003x64Edition,WindowsVistax64Edition
产品:
EndpointProtection11,NetworkAccessControl11
1.GatewayEnforcer设备工作原理
本文档翻译自英文文档。
原英文文档可能在本翻译版发布后进行过修改更新。
赛门铁克对本翻译文档的准确度不做保证。
情形
GatewayEnforcer设备工作原理
解释
GatewayEnforcer设备执行单向检查。
它们检查尝试通过GatewayEnforcer设备的外部NIC连接至公司网络的客户端。
GatewayEnforcer设备利用以下过程来对客户端进行身份验证:
∙当客户端尝试访问网络时,GatewayEnforcer设备首先检查该客户端是否运行SymantecEndpointProtection客户端或SymantecNetworkAccessControl客户端。
如果该客户端运行上述任一客户端软件,则GatewayEnforcer设备即开始主机身份验证过程。
∙用户计算机上运行的客户端执行主机完整性检查。
然后,它会将检查结果连同其身份信息及其安全策略的状态信息传递给GatewayEnforcer设备。
∙GatewayEnforcer设备会向SymantecEndpointProtectionManager验证该客户端是否为合法客户端,并验证其安全策略是否为最新。
∙GatewayEnforcer设备验证该客户端是否已经通过主机完整性检查并因此符合安全策略。
∙如果所有过程均通过,GatewayEnforcer设备便会允许该客户端连接至网络。
如果客户端不能满足访问要求,可以设置GatewayEnforcer设备来执行以下操作:
∙监控和记录特定事件。
∙如果主机完整性检查失败则阻止用户。
∙在客户端上显示弹出消息。
∙为客户端提供有限的网络访问权限以允许利用网络资源进行补救。
要设置GatewayEnforcer设备身份验证,可以配置检查哪些客户端IP地址。
可以指定GatewayEnforcer设备无需身份验证即可允许的可信外部IP地址。
作为补救,可以配置GatewayEnforcer设备允许客户端访问可信内部IP地址。
例如,可以允许客户端访问其中含有防病毒DAT文件的更新服务器或文件服务器。
对于没有Symantec客户端软件的客户端,可以将客户端HTTP请求重定向至Web服务器。
例如,可以提供有关在哪获取补救软件或允许客户端下载客户端软件的其他说明。
还可以配置GatewayEnforcer设备以允许非Windows客户端访问网络。
GatewayEnforcer设备用作网桥,而非路由器。
对客户端进行身份验证之后,GatewayEnforcer设备即会转发数据包,允许客户端访问网络。
文档号:
20090224132028968
最近更新:
2009-03-08
DateCreated:
2009-02-23
产品:
EndpointProtection11,NetworkAccessControl11,SymantecNetworkAccessControl5.1,SymantecSygateEnterpriseProtection5.1
2.SymantecNetworkAccessControl11.0LANEnforcement概述
本文档翻译自英文文档。
原英文文档可能在本翻译版发布后进行过修改更新。
赛门铁克对本翻译文档的准确度不做保证。
情形
概括了解LANEnforcement的工作方式
解释
SymantecNetworkAccessControl-LANEnforcement
概述
LANEnforcer可看作一种验证架构,在提供网络访问权限之前验证用户和/或计算机是否拥有集中授权
·LANEnforcer采用的技术最初是为WLAN所设计的。
更确切地说,该技术依赖于802.1x协议-CISCO称其为“dot1x”协议
·802.1x协议是一项IEEE标准,用以增强有线和无线局域网络的安全性。
Wikipedia上的802.1x的全面信息
·要求使用遵从性交换机(原先的交换机可能无法实现此功能)
·使用多种验证协议,例如可扩展身份验证协议(EAP)
·可选择与RADIUS(远程验证拨号用户服务,又称为AAA或“3A”)一同使用。
(验证、授权、记帐)
·如果客户端不是遵从性客户端,LANEnforcer可将客户端分配到隔离区VLAN
·LANEnforcer可以以两种模式使用。
完全的802.1x(或基本)模式或透明模式
在三种Enforcer类型中,LANEnforcer最为复杂(具有最多的移动部件),这主要归因于802.1x实现。
完全的802.1x模式-具有RADIUS验证
相较于不使用RADIUS验证的透明模式,此Enforcer模式还考虑用户的RADIUS验证。
前提条件:
·支持802.1x的交换机
·需要完善规划802.1x部署
·后端(RADIUS)基础结构
需要将SEP/SNAC客户端配置为802.1x请求者:
工作方式
透明模式
在此模式中,将忽略RADIUS验证。
前提条件:
·支持802.1x的交换机
·需要完善规划802.1x部署
·需要将SEP/SNAC客户端配置为802.1x请求者
·必须选择Symantec透明模式:
工作方式
更详细的验证过程
注意:
SMS=SEPM,SSA=SEP
CISCO交换机配置文件示例
设置802.1x环境
SygateTechnologies,Inc.–TechNote
文档:
061507TS-02
适用于:
802.1x验证
配置802.1x验证
Internet验证服务(IAS)
-“开始”>“运行”>“管理工具”>“Internet验证服务”
-右键单击“Internet验证服务(本地)”>“在ActiveDirectory中注册服务”
-右键单击“客户端”>“新建RADIUS客户端”
-输入交换机的名称
-输入交换机的IP
-单击“下一步”
-确认客户端-供应商符合RADIUS标准
-输入共享密钥>完成
-对RADIUS和LANenforcer服务器执行相同步骤,并输入信息。
-单击“远程访问策略”
-右键单击其他访问服务器的连接,选择属性
-单击“编辑_配置文件”按钮
-切换至“验证”选项卡
-单击“EAP方法”按钮
-单击“添加…”按钮
-突出显示MD5-Challenge,然后单击“确定”
-单击“确定”保存EAPProvider
-取消选中以下复选框:
-MicorosftEncryptedAuthentication版本2(MS-CHAPv2)
-MicorosftEncryptedAuthentication(MS-CHAP)
-单击“确定”保存更改
-将单选按钮切换至“授予远程访问权限”
-单击“应用”保存更改
域控制器配置
-“开始”>“程序”>“管理工具”>“ActiveDirectory用户和计算机”
-创建新的组织单元
-创建新的用户,用户名为
-使用可逆加密存储密码
-更改用户密码
-允许用户具有拨入权限
客户端计算机
-打开“本地区域连接”属性>“验证”
**如果缺少“验证”选项卡**
-“开始”>“程序”>“管理工具”>“服务”
-将“无线配置”设置为自动启动
-启动服务
-选中“启用使用IEEE802.1x的网络访问控制”
-选择MD5-Challenge作为EAP类型
-选中“当计算机信息可用时身份验证为计算机”
交换机配置
-按照供应商的步骤在其适当的交换机中启用802.1x
-将RADIUS主机配置为LANEnforcerIP地址
文档号:
20080221113729968
最近更新:
2008-02-25
DateCreated:
2008-02-20
操作系统:
Windows2000Professional,Windows2000Server/AdvancedServer,WindowsXPProfessionalEdition,WindowsXPTabletPCEdition,WindowsServer2003Web/Standard/Enterprise/DatacenterEdition,WindowsVista,WindowsXPProfessionalx64Edition,WindowsServer2003x64Edition,WindowsVistax64Edition
产品:
EndpointProtection11,NetworkAccessControl11
3.LANEnforcer:
理解基本模式和透明模式
本文档翻译自英文文档。
原英文文档可能在本翻译版发布后进行过修改更新。
赛门铁克对本翻译文档的准确度不做保证。
情形
在SymantecNetworkAccessControl(SNAC)解决方案中使用SymantecLANEnforcer时,基本模式和透明模式间的区别是什么?
解释
SymantecLANEnforcer与兼容802.1x的交换机以及无线接入点一起在网络上执行端点遵从。
这表示,它只允许与可在管理服务器(SymantecEndpointProtection11.0中的SymantecEndpointProtectionManager(SEPM)或SymantecSygateEnterpriseProtection5.1中的SymantecPolicyManager(SPM))中进行全部配置的一组标准(“主机完整性”策略)匹配的计算机进行完全网络访问。
根据是否同时在网络上使用RADIUS用户级别验证,LANEnforcer有两种操作模式:
透明和基本。
在这两种模式中,交换机被配置为使用LANEnforcer的IP地址作为其RADIUS服务器IP地址。
LANEnforcer可以指示交换机打开和关闭端口,以及动态地将端口分配给特定的VLAN。
基于以下三个标准,可以在管理服务器中配置要采取的操作:
1.主机身份验证通过还是失败(根据计算机是否通过“主机完整性”检查);如果没有配置主机完整性设置,则不可用。
2.用户身份验证:
RADIUS用户级别身份验证通过还是失败(基于来自RADIUS服务器的回复);如果未使用RADIUS服务器,则不可用。
3.策略序列号检查:
客户端是否有来自SEPM管理器的最新策略配置?
∙透明模式
如果网络上没有RADIUS服务器,并且当前的交换机配置中没必要使用用户级别身份验证,则使用透明模式。
在透明模式中,LANEnforcer充当伪RADIUS服务器。
客户端将充当802.1x请求方,并使用“主机完整性”检查结果回复来自交换机的EAP数据包。
然后,交换机将该信息转发给LANEnforcer。
LANEnforcer验证该信息,然后相应地指示交换机打开/关闭端口或者分配特定的VLAN。
在透明模式中,用户身份验证始终为“不可用”。
客户端配置:
选中管理控制台中的“将客户端用作802.1x请求方”选项。
∙基本模式
如果网络上有提供用户级别身份验证的RADIUS服务器,则使用基本模式。
在基本模式中,LANEnforcer将充当RADIUS代理。
对于交换机配置,仍然将LANEnforcerIP地址作为其RADIUS服务器,并且LANEnforer反过来会将请求转发给RADIUS服务器以进行用户身份验证。
在基本模式中,客户端不可以用作802.1x请求方,而是使用Windows请求方或第三方请求方。
将LANEnforcer配置为与无线接入点一起使用时,基本模式是唯一可能的选项。
客户端配置:
保留管理控制台中的“将客户端用作802.1x请求方”选项未选中。
更改客户端请求方设置的位置:
在SEPM管理器的GUI中,此项设置位于“客户端”-“策略”下的“常规设置”-“安全设置”下。
应为组选中“启用802.1x身份验证”选项。
如果使用透明模式,应选中“将客户端用作802.1x请求方”选项;如果使用基本模式,则不要选中此选项(但仍要选中“启用802.1x身份验证”主选项)。
文档号:
20090224134228968
最近更新:
2009-03-08
DateCreated:
2009-02-23
产品:
EndpointProtection11,NetworkAccessControl11,SymantecNetworkAccessControl5.1,SymantecSygateEnterpriseProtection5.1
4.LANEnforcer:
如何配置以便处理尚未连接到SEPM管理器的新安装客户端?
本文档翻译自英文文档。
原英文文档可能在本翻译版发布后进行过修改更新。
赛门铁克对本翻译文档的准确度不做保证。
情形
配置其中含有SymantecLANEnforcer设备的SymantecNetworkAccessControl(SNAC)环境时,遇到有关尚未连接到策略管理器服务器(SEPM)的新安装SymantecEndpointProtection(SEP)客户端的问题。
这些计算机怎样才算获得网络的访问权限呢?
它们如何从SEPM下载策略?
在SEPM服务器将这些计算机识别为已知计算机之前,LANEnforcer如何验证它们?
解释
∙配置默认的LANEnforcer操作
在SEPM中,为LANEnforcer配置了一系列操作-通常有:
通过主机完整性检查时打开端口/分配到默认VLAN;主机完整性检查失败时分配到隔离VLAN。
SEPM中的LANEnforcer交换机配置位于“管理”-“服务器”下的Enforcer组属性下。
典型示例配置:
∙操作1
主机身份验证:
通过
用户身份验证:
忽略结果
策略检查:
忽略结果
操作:
打开端口
∙操作2
主机身份验证:
失败
用户身份验证:
忽略结果
策略检查:
忽略结果
操作:
分配到隔离VLAN
在此示例中,如果“主机完整性”状态不是“通过”或“失败”,会关闭端口。
如果新安装的客户端还未有“主机完整性”策略,则状态为“不可用”。
为了解决这个问题以及上面的操作1和操作2没有涵盖的情形,需要在SEPM中配置一项默认操作。
将以下操作添加到列表的最底部:
∙操作3
主机身份验证:
忽略结果
用户身份验证:
忽略结果
策略检查:
忽略结果
操作:
分配到隔离VLAN
这会将所有非“主机完整性”通过案例分配到隔离VLAN。
假如从隔离VLAN和默认VLAN都可以访问SEPM服务器,则这样应该允许新安装的客户端在SEPM中注册并下载新的策略。
∙配置VLAN间路由
必须在隔离VLAN和默认VLAN间配置路由,以便允许流向SPEM服务器IP地址的流量也可来自隔离VLAN。
在较新的交换机型号上,通常可在交换机本身上进行此项配置。
在较旧的交换机上,可能需要配置单独的双宿主(两个网卡)计算机以充当路由器,并将该计算机连接到这两个VLAN。
∙验证客户端上的802.1x请求方设置
验证用于新客户端的安装软件包是否配置为启用802.1x身份验证。
在SEPM管理器的GUI中,此项设置位于“客户端”-“策略”下的“常规设置”-“安全设置”下。
导出软件包前,应为组选中“启用802.1x身份验证”选项。
如果使用透明模式(没有radius用户级别验证),应选中“将客户端用作802.1x请求方”选项;如果使用基本模式(使用radius服务器进行用户身份验证),则不要选中此选项(但仍要选中“启用802.1x身份验证”主选项)。
文档号:
20090224133852968
最近更新:
2009-03-08
DateCreated:
2009-02-23
产品:
EndpointProtection11,NetworkAccessControl11,SymantecSygateEnterpriseProtection5.1
5.DHCPEnforcer设备工作原理
本文档翻译自英文文档。
原英文文档可能在本翻译版发布后进行过修改更新。
赛门铁克对本翻译文档的准确度不做保证。
情形
DHCPEnforcer设备工作原理
解释
内嵌使用DHCPEnforcer设备,将其作为一个安全的策略执行网桥来保护内部网络。
试图连接到网络的客户端会发送DHCP请求以获取动态IP地址。
充当DHCP中继客户端的交换机或路由器会将该DHCP请求路由到DHCPEnforcer设备。
DHCPEnforcer设备是在DHCP服务器前内嵌配置。
Enforcer设备在验证客户端是否符合安全策略后,才会将DHCP请求转发给DHCP服务器。
如果客户端符合安全策略,DHCPEnforcer设备会将客户端获取IP地址的请求发送给标准DHCP服务器。
如果客户端不符合安全策略,Enforcer会将其连接到隔离区DHCP服务器。
隔离服务器会将该客户端指派给隔离区网络配置。
可以在一台计算机上安装一个DHCP服务器,并将其配置为提供标准网络配置和隔离区网络配置两种配置。
要完成DHCPEnforcer设备解决方案,管理员需要设置补救服务器。
补救服务器会限制已隔离客户端的访问,所以这类客户端只能与补救服务器进行交互。
如果要求高可用性,可以安装两个或多个DHC
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Symantec SEP网络准入控制系统工作原理及操作模式 SEP 网络 准入 控制系统 工作 原理 操作 模式
![提示](https://static.bingdoc.com/images/bang_tan.gif)