信息安全 > 端点安全 > 端点安全方案 >

Symantec企业整体安全解决方案

,但是设定了特殊的静态路由,仅容许访问所需的服务器,并没有到整个网络的缺省路由。 一旦客户端有了一个IP地址,DHCP 强制服务器将和客户端上SPA通讯,确定客户端的策略是否及时更新,是否符合企业安全策略的要求。如果不符合,该SPA将触发所需的修复动作,使该系统与企业安全策略相一致。一旦符合要求,该客户端将发起一个DHCP 释放和更新。一旦DHCP 强制服务器接收到一个更新的请求,它将联系SPA,确定客户端已经达标。系统将被授予一个正常生产网络的DHCP 租约,给予全部的网络访问权限。 因为DHCP NAC作为一个透明(in-line)的DHCP 代理服务器,可以与现存的任何DHCP基础架构兼容。部署这种NAC方法涉及在DHCP 服务器前放置DHCP 强制服务器,决定一种隔离IP 地址策略,在DHCP 服务器上改变某些设置。 没有安装SPA的系统可以有两种方式授予访问权限。第一种方式是,对于一个非Windows 系统可以免除此NAC过程。第二种方式是,可以设置一个基于MAC 地址的免查表。这个MAC地址列表可以接受通配符,可以容许整个一类系统免受检查,例如IP电话使用它们组织唯一标识符。   DHCP NAC Packet Flow 4Symantec On-Demand NAC SSL VPNs 的引进产生了另外一个面向WEB 的NAC组件的需求。为了满足这个需求,Symantec开发了SymantecOn-Demand 代理(SODA)。SODA 包括一个随需的,透过Java发放的NAC组件,该组件可以评估一个系统的安全策略状态,无需预先安装常驻式的SPA。SSL VPN 网关可以通过它们的WEB验证界面发放此代理,确保系统符合策略要求后,才被允许访问受该网关控制的公司资源。Juniper,Array Networks,Netilla 和Aventail 这些SSL VPN厂商在它们产品中均包括了基于SODA的NAC支持。 5Endpoint Enforcement (Symantec Protection Agent) 此时,Symantec Protection Agent以设置好的间隔自动检查主机完整性,而无需与任何强制服务器打交道。当主机完整性失败,Symantec Protection Agent将切换当前应用的防火墙策略,阻止普通的网络访问,重定向主机到一个隔离的处所,并启动相应的修复工作。 Symantec NAC方法回顾  
NAC 方法 Symantec-Sygate 产品开始支持时间 需要的最小版本版本
Gateway Enforcement 2001年6月 SSE 2.0
API Enforcement 2001年12月 SSE 3.0
Self-Enforcement 2003年8月 SSE 3.5
802.1x (W)LAN Enforcement 2004年7月 SSE 4.0
Cisco NAC v1 2005年6月 SNAC 5.0, SEP 5.0
DHCP 2005年6月 SNAC 5.0, SEP 5.0
 
 

5.1.6SEP终端安全解决方案说明

我们建议使用Symantec Endpoint Protection来解决内网用户、移动用户,分支机构,合作伙伴和供应商在企业Intranet及Internet上面临的种种网络安全威胁,Symantec Endpoint Protection在以下各方面具有业界领先的安全防护解决方案:
  • 企业网络面临的病毒,蠕虫威胁防护
  • 系统软件、应用软件的补丁自动管理
  • 系统软件自动化安全配置
  • 终端用户网络准入控制
  • 企业各种网络用户的网络接入安全防护,如VPN、远程拨号、无线AP、以太网接入等等的安全防护
  • 网络入侵防范
  • 企业各种重要的信息资源的安全保护
  • 终端用户计算机各种安全防护软件的完整性防护
  • 移动终端的环境自适应防护
  • 统一、有效的安全策略管理
       1.  终端安全解决方案设计原则 解决方案的设计应坚持使企业网络安全防护具有先进性、实用性、可靠性、兼容性、可扩充性和灵活性原则。 1)先进性 保证所采用的产品和技术属世界主流产品,在网络安全领域占有较大的用户市场,在该领域处于领导地位。 2)实用性和可靠性 网络安全系统的性能指标能够满足相当长时间内全网综合系统发展所需的存储量和处理能力的要求。该系统应切实满足业务的需要,系统性能可靠,易于维护并且网络及系统各方面指标切合实际需要,系统配置设计充分满足需要。 3)兼容性和互操作性 具有良好的兼容性,所采用技术和产品可以支持兼容符合国际标准和工业标准的相关接口,可以与其它主流安全产品进行很好的融合,实现不同厂商安全产品的互相作用,从安全防护上做到1+1>2安全防护性能,既保证企业以往安全投资的有效性和大量缩减企业安全投资,又能使企业网络的安全防护能力上升到一个新的高度。 4)可扩充和灵活性 该系统须具有良好的扩充能力,可以根据不断增长的业务发展需要很容易地进行系统作用范围扩充,在扩充网络防护范围时做到对企业非安全管理人员的透明,保证系统灵活有效的实施。   2多层次的病毒、蠕虫防护 病毒、蠕虫破坏一类的网络安全事件一直以来在网络安全领域就没有一个根本的解决办法,其中的原因是多方面的,有人为的原因,如不安装防杀病毒软件,病毒库未及时升级等等,也有技术上的原因,杀毒软件,入侵防范系统等安全技术对新类型、新变异的病毒、蠕虫的防护往往要落后一步,危害无法避免。使用SEP,我们可以控制病毒、蠕虫的危害程度,只要我们针对不同的原因采取有针对性的切实有效的防护办法,就会使病毒、蠕虫对企业的危害较少到最低限度。 仅靠单一、简单的防护技术是难以防护病毒、蠕虫的威胁的。因此,在Symantec Endpoint Protection系统中,对当前肆虐于开放网络环境中的大量病毒、蠕虫威胁,实现了多层次的安全防护策略,归结起来是:事前预防、事中隔离、事后修复和AV联动。 Symantec Endpoint Protection