koorio.com
海量文库 文档专家
当前位置:首页 >> IT/计算机 >>

Symantec SEP5.1技术白皮书_图文

Symantec Sygate Enterprise Protection 技术白皮书

Symantec Sygate Enterprise Protetion 5.1 技术白皮书

北京赛门铁克信息技术有限公司

第 1 页

共 43 页

Symantec Sygate Enterprise Protection 技术白皮书


1. 2. 3. 4.



端点安全现状........................................................................................................................... 4 SYMANTEC SYGATE ENTERPRISE PROTECTION 介绍 ........................................... 6 什么是网络准入控制(NAC)? .......................................................................................... 8 SYMANTEC SEP 系统架构 ................................................................................................ 11 SYMANTEC SYGATE ENTERPRISE PROTECTION 系统组成 .......................................................... 11

5. 6.

产品部署模式......................................................................................................................... 13 SYMANTEC SEP 各模块功能 ............................................................................................ 14 6.1. SYMANTEC SYGATE POLICY MANAGER 的功能 ................................................................... 14 6.1.1 策略升级和分发 ........................................................................................................... 14 6.1.2 设置 Symantec Protection Agent 用户控制模式 .......................................................... 15 6.1.3 策略复制....................................................................................................................... 15 6.1.4 事件日志转发 ............................................................................................................... 16 6.2. SYMANTEC SYGATE PROTECTION AGENT 的功能 ................................................................ 16 6.2.1 以应用程序为中心的个人防火墙(Personal Firewall) .......................................... 17 6.2.2 主机入侵预防系统(HIDS) ...................................................................................... 17 6.2.3 操作系统保护(OS Protection) ................................................................................ 19 6.2.4 自适应保护(Adaptive Protection) ........................................................................... 19 6.2.5 自动修复(Automatic Remediation) ......................................................................... 20 6.3. SYMANTEC SYGATE UNIVERSAL ENFORCEMENT 的功能 ..................................................... 20 6.3.1 Symantec Gateway Enforcer :Symantec Gateway NAC ............................................. 21 6.3.2 Symantec LAN Enforcer :Sygate 802.1x-Based NAC for LAN and Wireless .............. 21 6.3.3 Symantec DHCP Enforcer :Symantec DHCP-Based NAC ......................................... 22 6.3.4 Symantec On-Demand NAC ........................................................................................... 24 6.3.5 Endpoint Enforcement (Symantec Protection Agent): ................................................. 24 6.3.6 Symantec Universal Enforcement API ........................................................................... 25 6.3.7 Symantec NAC 方法回顾 .............................................................................................. 25 6.4. SYMANTEC SYGATE UNIVERSAL ENFORCEMENT 所支持的网络基础架构厂商 ................. 25

7.

SYMANTEC SEP 系统功能介绍 ........................................................................................ 27 7.1. 7.2. 7.3. 7.4. 7.5. 7.6. 7.7. 多层次的病毒、蠕虫防护 ................................................................................................. 27 终端用户透明、自动化的补丁管理,安全配置 ............................................................. 30 全面的网络准入控制 ......................................................................................................... 30 全面的入侵防范 ................................................................................................................. 33 终端设备安全完整性保证 ................................................................................................. 33 移动用户的自适应防护 ..................................................................................................... 34 统一、有效的安全策略管理 ............................................................................................. 35
共 43 页

第 2 页

Symantec Sygate Enterprise Protection 技术白皮书

8.

产品主要性能指标参数......................................................................................................... 37 8.1 SYMANTEC SEP 5.1 使用服务列表 .................................................................................... 37 8.2 SYMANTEC SEP 5.1 使用端口列表 .................................................................................... 37

9.

SEP 终端安全解决方案硬件需求 ........................................................................................ 39 9.1 SEP 运行要求(单独安装最小配置要求) ....................................................................... 39 9.2 SEP 系统硬件配置建议 ....................................................................................................... 41

第 3 页

共 43 页

Symantec Sygate Enterprise Protection 技术白皮书

1. 端点安全现状
今天,员工对系统的滥用、错误配置以及恶意访问导致企业业务面临很多现 实的安全威胁。事实上,根据Gartner 的估计,大约20%的受控系统已经遭受不 同程度的安全危害。此外,Gartner 估计企业网络中20%的系统是完全不受控的。 显然,这会导致大多数企业容易遭受网络攻击,引起生产力损失、机密信息的泄 露,以及其它的代价高昂(和尴尬)的损失。 而安全技术,象边界防火墙,杀毒,入侵检测和验证等,都是针对开放式网 络中的个别问题而开发的解决方案。在部署了这些技术以后,企业发现他们的障 碍在于安全策略和实践之间的鸿沟。鸿沟的存在是因为安全技术无法强制落实。 也就是说技术可以被黑客或终端用户关闭或者禁用, 而终端用户和安全小组却无 从知晓。近来大型企业中发生的绝大多数重大安全事件都应归咎于此。今天企业 需要有能力了解网络通讯的行为,评估相应的风险,轻松配置安全策略来减少风 险,并且在整个网络中强制贯彻这个策略。由蠕虫和病毒引起的破坏已经清晰地 证明了当前防护措施的不完备。

场景举例
针对业务关键服务器的攻击 业务关键的Web应用服务器由于必须接受各种主动的网络请求, 因此天生就 容易遭受到攻击。 运行在这些服务器上的Web服务和应用可遭到各种已知和未知 侵害,导致客户、雇员和公司的隐私数据泄露,并提供了一个进入公司网络的入 口。 针对一个以前未知的Web应用漏洞的缓冲区溢出攻击可以被利用来安装一个 带有远程控制能力的木马程序。 攻击者然后利用Web应用和数据库服务器之间的 受信关系窃取客户数据和记录随后的全部管理员登陆操作。 我们需要一个解决方 案来防止未知的缓冲区溢出攻击,阻止安装特洛伊木马,阻塞Web应用服务器和 数据库之间的全部未授权通讯,确保Web服务器与服务器安全策略相一致。 连接到网络的受感染访客计算机 公司想让访客, 客户和签约人感觉舒服, 并能访问Internet来保持他们的工作 效率。不幸的是,安全受到危害的访客计算机连接到公司有线或无线局域网可能

第 4 页

共 43 页

Symantec Sygate Enterprise Protection 技术白皮书

感染网络中的其它系统,窃取机密数据,引起拒绝服务攻击。在这种情况下,公 司需要确保其访客计算机被分配适当访问控制权限, 防止在公司网络传播恶意代 码的能力。 通过iPod或USB Key的信息窃取 一个员工在公司到处游荡,连接一个iPod或USB key到处于无人房间、办公 室或服务器室的计算机,快速下载例如.doc、xls或.ppt文件目标信息。iPod或USB Key可以被修改包含一个自动运行恶意程序,该恶意程序可以拷贝特定文件到 iPod或USB Key。在很短的时间内,数千客户记录,机密工程说明书或包含员工 补偿记录的数据表可能在不知不觉中就走出公司前门。 需要的解决方案是找到一 个防止非授权设备,例如iPods和USB Keys,被用来偷窃机密信息,同时仍能够 允许被授权设备,例如鼠标、键盘和其它安全移动介质设备。

第 5 页

共 43 页

Symantec Sygate Enterprise Protection 技术白皮书

2. Symantec Sygate Enterprise Protection 介绍
解决这一问题的有效方法是结合端点安全状况信息和新型的网络准入控制 技术(Network Access Control, NAC )。网络准入控制技术是在端点连接到网络 之前对它们的安全状态进行审计,并在连接到标准企业网络之前进行适当的更 新。从而将蠕虫和病毒屏蔽在网络之外,也能强制应用级的安全策略。 网络准入控制是一个过程,它通过强制作为网络访问前提条件的IT安全策 略,来减少网络安全事件,增强对企业安全制度的遵从。尽管“网络准入控制 (NAC)”是一个新定义的类别,Symantec 技术公司却是策略强制领域多年来的 领导厂商,先后在网络准入控制方面率先实现了VPN(IPSEC和SSL),LAN (802.1x),客户端代理自我强制(Self-Enforcement )技术。 将端点安全状况信息和网络准入控制结合在一起,Symantec Sygate Enterprise Protection 能够显著地提高企业网络计算架构的安全。Symantec SEP 系统通过保证企业所属的每个端点在安全上不做任何妥协, 阻止不安全和未授权 的行为,在企业网络中排除未授权的设备,从而保护企业网络的安全完整性。 Symantec On Demand 通过确认设备的安全策略,创建加密的虚拟桌面环境,在 会话结束后清除所有传输过去的数据, 将对机密数据的保护延展到非企业所属的 设备之上。 Symantec Sygate Enterprise Protection的全新系统架构将整个内网安全防护策 略划分为逻辑上的三个组成部分: ? 内网边界安全防护

此部分架构实现对来自企业网络外部的安全威胁进行安全防护。 ? 内网安全威胁防护

此部分架构实现对来自企业网络内部的安全威胁进行防护。 ? 外网移动用户安全接入防护 此部分架构用于保证企业内部移动用户所处网络环境的变换, 以及当移动用 户处于外网安全防护薄弱网络环境中自身安全、接入企业网络安全。

第 6 页

共 43 页

Symantec Sygate Enterprise Protection 技术白皮书

从本白皮书中,我们将着眼于Symantec SEP 背后的理论,突出介绍网络准 入控制的概念,包括Gartner 组织关于NAC解决方案的定义。我们也将突出许多 被Symantec公司标识为成功要素的必要条件。

第 7 页

共 43 页

Symantec Sygate Enterprise Protection 技术白皮书

3. 什么是网络准入控制(NAC)?
几个行业分析机构对网络准入控制(NAC)技术进行了思考,每家都使用了 不同的术语集和差异很小的网络准入控制定义。例如,Forrester使用“网络隔离 (Network Quarantine ) 而Meta 用“端点访问控制 ”, (Endpoint Access Control ) ”。 Gartner 也为网络准入控制创建了一个参考设计,这个设计是一个回环的过 程,维护一个全局的策略,来评估端点,减少安全问题,准许系统接入网络,实 时监控系统和企业安全策略的一致性。 因为Gartner 架构是最完备的设计之一,它所定义的过程以及如何使NAC工 作起来的内容值得借鉴。Gartner 的NAC过程从安全策略的定义开始。策略勾勒 了管理员希望强制的安全配置,这些配置会作为网络访问的前提条件。这些策略 能够包括任何的系统或第三方软件配置,完全视企业的需要而定。 对大多数企业来说,典型的策略是强制验证操作系统补丁是否更新,反病毒 软件是否在运行及病毒库是否更新,端点防火墙软件是否在运行及被适当的配 置。管理员也可能希望执行更多高级策略,检查定制安全软件或特殊安全配置是 否存在。 一旦策略创建完成,就有了在系统连入网络时可参照的安全基线。一个重要 的考量是无论系统是如何接入网络的, 该基线评估必须进行。 为了保证网络安全, 局域网(LAN),广域网(WAN ),无线(Wireless),IPSec,和SSL VPNs 全部必须执行安全基线评估。 基于该基线评估结果,访问控制(Access Control)授予该连接系统相应级 别的访问权限。例如,一个达标的系统将会获得全部的网络访问权限。不达标的 系统或者被彻底阻止, 没有任何的网络访问权限, 或者为了减少对网络的威胁 (通 常也为了修复),将授予该系统某一隔离级别的网络访问权限,并帮助恢复达到 安全策略的要求。为了使NAC真正有价值,修复过程必须自动化。换句话说,就 是不需要求助技术支持小组,系统自动恢复到符合安全策略的要求。 一旦系统经过隔离修复处理,被允许连接入网络,就需要一种监控技术确保 这些系统保持达标的状态,不要出现反常的情况。反常的系统必须被隔离,直到

第 8 页

共 43 页

Symantec Sygate Enterprise Protection 技术白皮书

它们被修复。 因此,网络准入控制解决方案需要:
1. 创建一个中央的安全策略视图; 2. 当一个系统或用户连接入网时, 对其安全状态进行评估; 3. 一旦系统连接入网,对其安全状态进行连续监控; 4. 基于系统状态,执行网络访问和系统修复策略。

除了Gartner 的NAC框架定义的功能之外,高效的NAC解决方案需要几个其 它的特征来满足今天大企业的需求。这包括:
? 多种网络接入方式支持 (远程访问VPN IPSec, 拨号, SSL VPN, 无线, LAN,

DHCP, 802.1X,WEB 访问等)。为了成功,一个NAC方案必须从第一天起就能 守护网络的所有入口。如果后门或窗子都敞开着,仅仅锁住前门不能防止任何人的 进入。 ? 企业级扩展能力和易管理性,包括灾难恢复和冗余,保证NAC方案能够扩

展以适应企业发展和需要。 ? 强大的策略隔离、管理功能隔离的信息管理工具。组织内不同角色经常需

要不同的安全配置,很多大公司将策略制订委派给各业务部门,但仍然需要一个策 略的全局视图。 ? 业经证实的的灵活的部署策略。例如像“学习模式”之类的功能,使NAC

方案可以最初以审计模式部署,从而大大缩减引入新IT实践所带来的痛苦。 ? 可扩展,可定制策略。允许管理员创建自定义NAC规则,不需要从NAC厂

商处获取帮助。 ? 灵活机动基于处所的策略,可减少NAC对终端用户工作习惯的影响。例如,

旅行的用户处于公共网络时,通常需要一个更高级别的安全防护。而位于办公室中, 这个高级别的安全防护会影响到企业应用和信息共享(甚至打印!)。类似的例子 也适用于企业无线网,派出机构等等。 ? 多厂商兼容,开放的解决方案,可支持今天和今后几年企业网络中不同的

技术组件。NAC技术仍然在发展进化之中。今天,在市场有可实施,业经证明的方 法。然而,投资于单一技术,例如Cisco NAC或者Microsoft NAP,可能不会产生期

第 9 页

共 43 页

Symantec Sygate Enterprise Protection 技术白皮书

望的结果。

第 10 页

共 43 页

Symantec Sygate Enterprise Protection 技术白皮书

4. Symantec SEP 系统架构
Symantec Sygate Enterprise Protection 系统组成
Symantec SEP 是一个软件包,由三个基本组件构成:

Symantec Policy Manager 安装在一个或多个企业服务器上,围绕一个中央数据库来配置,Symantec 策略管理服务器扮演一个军队司令的角色-帮助创建安全策略,规划部署计划, 指导士兵(客户端)如何保护网络。

Symantec Protection Agent 安装在企业的工作站、服务器(Windows 平台)和笔记本上,SPA 提供了 可配制的高级防火墙和入侵检测预防能力。它能检测和识别已知的木马,端口 扫描和其他常见攻击。作为响应,它能选择性的启用或阻止不同网络设备,端 口和组件的使用。 SPA 还负责按照 Symantec 策略管理服务器所设定的规则对终 端的安全状态进行审核,并将检查结果报告给 Symantec Universal Enforcement 组件,做为是否允许终端接入企业网络的标准。

Symantec Universal Enforcement 有四个可选组件: Symantec Gateway Enforcer, Symantec LAN Enforcer, Symantec DHCP Enforcer 或供 VPN 整合的 Universal Enforcement API。这些组 件在授予端点接入网络的权限前确保端点遵循企业策略。Symantec Universal Enforcement 组件隔离违背安全策略的设备, 直至自动修复机制生效后再恢复其 网络访问的权限。 我们可以从以下的示意图中来了解 Symantec Sygate Enterprise Protection 的 各个组成部分在企业网络中的分布:

第 11 页

共 43 页

Symantec Sygate Enterprise Protection 技术白皮书

第 12 页

共 43 页

Symantec Sygate Enterprise Protection 技术白皮书

5. 产品部署模式
客户端的安装方法: a) b) c) d) e) 登录脚本自动安装; 从 SEP 服务器的共享文件夹安装; 基于 WEB 安装; 从网站下载安装; 第三方工具。

部署方式的步骤:
1. 登录脚本自动安装 可以利用登录脚本让客户端安装和更新完全自动化。 2. 从服务器安装 可以从要用作为父服务器的 SEP 服务器运行 SPA 客户端安装包。 准备工作:安装 SEP 服务器。为确保安装成功,将 SEP 上的客户端 Export 共享目录(具体位置取决于管理员的安装包输出目录)映射到用户本地的网络驱 动器。 3. 基于 WEB 安装 用户从内部 WEB 服务器下载客户端安装包,然后运行它。该选项适用于 Windows 2000、Windows XP、Windows2003 server 各版本的计算机。 准备工作:确保 Web 服务器符合最低要求。准备内部 Web 服务器以用于部 署。将预先配置的客户端安装包复制到 Web 服务器,或者,创建定制安 装包。 4. 预先配置的安装包 可以从 HTML 页下载或安装预先配置的安装包。 安装准备:如果需要,将 SEP 制作好的 Packages 文件夹下的文件复制到 共 享网络文件夹。 5. 第三方工具 可以使用各种第三方安装工具分发预先配置的 SCS 客户端安装包。

第 13 页

共 43 页

Symantec Sygate Enterprise Protection 技术白皮书

6. Symantec SEP 各模块功能
6.1. Symantec Sygate Policy Manager 的功能
Symantec Policy Manager 是控制 SPA 和 Enforcer 的中心。 管理员在此定义和 分发安全、强制策略,收集日志,维护企业网络的完整性 6.1.1 策略升级和分发 Symantec Policy Manager 可以容许企业向端点分发下列项目: ? 安全策略/防火墙策略 ? 入侵预防特征库 ? Symantec Protection Agent 升级包 ? 杀毒软件和病毒特征库 ? 补丁和软件升级 ? VPN 客户端软件和配置文件 ? 自定义通知

以上项目是通过 SEP 心跳协议和主机完整性修复的能力来分发的。客户端 利用心跳协议来和管理服务器通讯。每当心跳发生时: ? SPA 向管理服务器发送一个请求,按组和用户分类来检查安全策略更新。 如果有了新策略,SPA 请求管理服务器发送新策略。如果当前策略已经为最新, 则不发送新策略。 ? 向策略管理服务器更新客户端日志。 日志内容由管理员在策略/设置选项卡 内设定 ? SPA 与管理服务器核实自己版本是否正确,如果不是则开始自动升级进程 ? 管理服务器向 SPA 发送最新的 IDS 特征库版本号。 然后 SPA 与自己的 IDS 版本号比较,如果特征库已过时,则向管理服务器发送获取新特征库的请求,如 果是当前版本则不请求

第 14 页

共 43 页

Symantec Sygate Enterprise Protection 技术白皮书

6.1.2 设置 Symantec Protection Agent 用户控制模式 SPA 可以三种模式之一工作: ? 客户端控制模式 ? 服务器控制模式 ? 高级用户模式 不同的模式下,终端用户控制安全策略的级别也不同。系统管理员可以在服 务器上随时改变控制模式,具体如下: 当 SPA 工作在客户端控制模式下,终端用户对设备的安全设置有着很大的 控制权限。客户端控制模式通常对工程和软件测试人员开放。连接到企业网的家 用计算机通常也授予客户端控制模式。 如果笔记本用户既可以在内部也可以在外 部上网,SPA 就可以设成与管理服务器断线时进入客户端控制模式,和服务器连 线时转换成服务器控制模式。 服务器控制模式下,SPA 从管理服务器获得规则和安全策略。因为终端用户 无法改变安全设置, 设备和网络在服务器控制模式下要比客户端控制模式下更安 全。SEP 也提供了一种混合控制模式叫做高级用户模式,该模式特别之处在于终 端用户和管理员都可以设定设备的安全策略。 为了避免终端用户和管理员的策略 冲突,管理员可以预先决定哪些规则和设置由服务器控制,那些由客户端控制。 6.1.3 策略复制 对于不只一个物理站点的企业,例如有分支机构,用专用通讯链路来连接太 昂贵,SEP 支持数据复制。复制就是不同地点或站点间的数据库通过特别拷贝来 共享数据的过程。这样不同地点的用户可以都工作在本地的副本之上,然后同步 他们之间的变更。在 SEP 环境内,数据库复制可以将一个管理服务器上的变更 同步到另一个数据库上,实现冗余备份。

第 15 页

共 43 页

Symantec Sygate Enterprise Protection 技术白皮书

6.1.4 事件日志转发 通过事件日志转发 Symantec SEP 能够将 SEP 日志转换成其他软件的格式。 这个服务可以用来做日志的聚合和集中。系统管理员可以选择对哪些客户端、管 理服务器和强制服务器日志进行转发,并存储在文本文件内供第三方程序使用。 SEP 事件日志可以和其他程序和设备的日志一起(例如杀毒,路由,IDS)递交 给安全信息管理系统。 常见系统格式如 netForensics, eSecurity, syslog, Symantec 都能支持。

6.2. Symantec Sygate Protection Agent 的功能
SPA设计为消除恶意或是无意的入侵和滥用。SPA向SPM管理服务器汇报状 况,并接受安全指令。按照SPM管理服务器端设置,SPA可以做到对大多数普通 用户完全不可见,对高级用户显示完全界面或者是下放部分管理控制控制。以上 差异和SPA运行时的控制模式相关,或者是和SPA的网络位置相关。(SEP为用 户提供了3种客户端管理模式:服务器控制模式,客户端控制模式,策略可仲裁 的高级用户模式) 系统管理员在SPM管理服务器上设定安全策略。SPA一连上SPM管理服务器 就会接收那些安全策略并且执行。如果策略在后期变更,它们将自动分发到SPA 上。SPA还会跟踪试图违反安全策略的行为,并将安全事件日志传送给SPM管理 服务器。 安装有SPA的设备一启动,保护就会生效。因为策略在本地保留,设备不必 在启动时连接中央管理服务器下载策略。另外,当设备连接到企业网络时,它的 SPA会向SPM管理服务器验证。如果设备没有SPM,它将不被任何运行Symantec SEP 的网络容许。 SPA的入侵预防能力能够保护主机远离蠕虫,病毒和木马的“零时点”攻击 。 它可以洞悉每个应用程序的网络通讯,并搜索其中的异常。SPA 入侵预防功能 监视每个应用程序使用的文件,检查操作系统和程序的安全以及补丁级别,在未 授权的流量发生时,可以在操作系统的最底层阻止流量。
第 16 页 共 43 页

Symantec Sygate Enterprise Protection 技术白皮书

主机完整性强制包括在系统每次连接企业网络时检查其是否遵循策略, 根据 检查结果容许或拒绝其访问,并自动修复不达标的主机系统。主机完整性参数包 括可执程序,例如杀毒软件,主机防火墙,主机入侵检测系统等; 也包括数据文 件,例如病毒特征库,主机防火墙策略,IDS特征库,MD5校验和,文件版本, 注册表键,补丁,操作系统,系统配置等。当SPA 检查到主机上的安全程序被 关闭,程序过期,或者某个补丁缺失,SPA能够启用通用强制来隔离主机。SPA 可以自动运行程序,下载所需更新文件,安装缺失补丁和软件,直到遵循安全策 略后,才放开完全的网络访问权限。 另外SPA 能够根据连接类型和网络处所来调节策略,以确保用户在拥有最 大灵活性的同时还具备最健壮的端点保护。连接类型包括无线,以太网,拨号和 VPN。网络处所比方说家里,星巴克,酒店,会场还是公司。这样,SEP 以自 动化的方式保证不同处所下最安全的策略得以执行, 防止移动设备将企业网络暴 露给黑客。

6.2.1 以应用程序为中心的个人防火墙(Personal Firewall) Symantec Protection Agent 个人防火墙能够按程序或者通讯特征,阻止/容许 任何端口和协议进出。SPA 不是简单的按这些参数来阻止,它可以将参数以 AND/OR 的逻辑组合来增强策略的精度和弹性。SPA 也能够对特定的协议/物理 适配器阻止和应用策略,容许企业指派特定网络中可使用的程序,阻止利用特定 协议适配器带来的漏洞。

6.2.2 主机入侵预防系统(HIDS) Symantec Protection Agent 提供基于行为和特征方式的多层保护。Symantec Protection Agent 利用策略驱动和行为检测的方式来屏蔽未知的威胁,利用独特 的特征匹配方式来屏蔽已知的攻击, 利用主机完整性检查来强制安全策略的贯彻 和落实。 SPA 入侵预防系统深度检查网络封包, 对所有进出流量做应用层的分析, 可有效识别和实时阻止恶意攻击。SPA 默认支持并启用了下列入侵预防功能:

第 17 页

共 43 页

Symantec Sygate Enterprise Protection 技术白皮书

?

代码注入保护 除了应用程序指纹核对, Symantec 保护代理还核对动态连接库的指纹,防

止恶意程序注入代码到可信程序来执行攻击 ? 文件共享保护 Symantec 保护代理过滤掉所有来自网关的 NetBIOS 通讯。 用户可以在本地 子网进行文件共享,而不必担心远程网络中的黑客访问本地文件共享 ? 自适应保护 Symantec 保护代理可以根据网络连接类型和通讯方式来创建策略。例如, 策略可以要求通过 VPN 从互联网公共 IP 接入的系统,文件共享将受限,但是从 公司内网接入的,文件共享将容许。自适应策略可以在危险级别更高的时候,启 用更严格的策略。例如从家里或者无线区域接入时 ? ? 端口扫描检测和阻断 SPA 能检测端口扫描,记录事件,并且阻止主机系统作出响应。尽管端口扫 描本身并不会危及目标系统的安全,但却是入侵企图的前哨。扫描企图和扫描源 对安全管理员来说是有价值的信息 ? 特洛伊木马保护 SPA 在已知木马能够通讯前,自动终止其进程,防止传播和破坏 ? 基于主机的 IDS SPA 利用模式匹配来识别已知的攻击,例如,当 SPA 主机 IDS 监测到 Web 通讯中出现字符串"GET /cgi-bin/phf?",就会预警一种 CGI 程序攻击。 每个网络 封包都会做特定的字符串模式检查, 如果匹配成功, SPA 将阻止通讯, 防止攻击。 SPA 自带一个预定义的 IDS 特征库,它也容许用户创建自定义 IDS 特征库来检 测和阻止新的攻击 ? 拒绝服务攻击检测和保护 Symantec 保护代理能识别畸形包,伪地址等常见攻击手段。它可以跨多个 包来进行分析,不管端口号和 IP 协议类型。这正是其他入侵预防系统的弱点。

第 18 页

共 43 页

Symantec Sygate Enterprise Protection 技术白皮书

6.2.3 操作系统保护(OS Protection) 操作系统保护(OS Protection)不同于传统基于特征码的主机入侵检测系统 (HIDS)或传统的防火墙技术,该技术通过对终端计算机上运行的所有应用程 序的行为进行控制,能够有效阻止新的安全威胁。通过该技术,管理员可以在中 央服务器配置规则,对终端进行以下安全防护设置: ? 操作系统保护(OS Protection)——基于行为的入侵预防系统 设置不同应用程序对文件、注册表键的访问权限;允许或禁止应用程序的运 行、终止指定的应用程序以及是否允许应用程序装载动态连接库。为了减少管理 员配置上地复杂性,SEP 提供可通过网络下载的操作系统保护模板,管理员可以 直接对不同类型的终端应用相应的模板(Desktop、IIS Server、Apache Server、 DNS Server、 SQL Server、DHCP Server 等)而不用自己逐一分析不同终端的特 性, 管理员还可以在模板的基础上自行修改策略, 以满足本企业特定的安全要求。 ? 系统锁定(System Lockdown) 通过系统锁定,管理为终端设定了允许运行应用程序的白名单,只有管理员 明确指定的应用程序才能够在终端上运行,白名单不但指定了应用程序的文件 名,还包括程序的校验码,任何试图伪装成受信应用的企图都会被 SPA 阻止。 ? 通用缓冲区溢出保护(Universal Buffer Overflow Protection) SPA 可以监测系统服务及应用程序是否发生了缓冲区溢出,当溢出发生时, SPA 可以记录安全事件或终止进程的运行,避免危害发生。 ? 外设控制(Peripheral Device Control) SEP 允许管理员设置外设控制策略,设置不同用户的外设访问权,SEP 默认 就可以管理输入设备 HID、USB、软驱和 1394 等类型的设备,系统还允许管理 员添加其它类型的设备。

6.2.4 自适应保护(Adaptive Protection) 自适应保护可将动态策略和个人用户、处所(如:家里,办公室,或宾馆) 、 连接方式(如:以太网,VPN,或者无线网)关联起来。SPA 自动调整自定义好

第 19 页

共 43 页

Symantec Sygate Enterprise Protection 技术白皮书

的策略来应对不同环境下的风险, 以确保分布型和移动型企业的业务连续性以及 相适宜的安全行为

6.2.5 自动修复(Automatic Remediation) 自动修复在端点连接到 Symantec SEP 所保护的网络时开始工作。SPA 首先 确认主机是否遵守端点的安全策略,如果不遵循,SPA 能够隔离主机,同时自动 初始化修复工作。 SPA 确保不达标的主机不能获得生产网络的访问权限直到必要 的修复动作完成,端点安全达标为止。在检查出没有达标以后,典型的修复包含 下列事件:命令行运行命令,下载执行/插入文件,重新检查,最后授予达标端 点访问网络的权限

6.3. Symantec Sygate Universal Enforcement 的功能
SEP 通用强制保证端点在接入网络前是符合企业安全策略的。这些策略包 括内建对知名反病毒软件, 个人防火墙, 反间谍软件, 操作系统和系统补丁检查。 也包括一个高级工具箱,用于创建定制检查,检查可以针对系统上发现的文件, 正在运行的应用,注册表设置,文件日期和校验和,以及其它类似条件。自适应 策略允许强制不同策略,这取决于用户使用的网络连接类型,例如:用户使用 IPSEC VPN 连接,由于他们裸露于公网,因此需要一个更高级别的准入检查。 例如,一个组织可以配置策略,让所有的Windows 2000 系统安装Service Pack 4, 所有的Windows XP 系统安装Service Pack 2,全部的系统运行赛门铁克 反病毒软件并保持最新的病毒库更新。或除了启用以上全部检查外,再附加检查 其它定制的安全应用,和IT部门定制的注册表健值等。 一旦策略创建,所有安全策略在网络连接时将受到Complicance On Contact (连接之际安全之时) 的强制。Compliance on Contact 在公司网络上的每一连 接点进行策略符合性检查。包括在用户经过IPSec VPN 、SSL VPN 、有线以太 网络和无线网络连接到公司网络时,执行整套的NAC 安全基线检查。

第 20 页

共 43 页

Symantec Sygate Enterprise Protection 技术白皮书

Symantec 提供了 4 种通用强制的方式: 6.3.1 Symantec Gateway Enforcer :Symantec Gateway NAC Symantec Gateway Enforcer 用以认证通过企业网络接入点(如 VPN,无线接 入点,RAS 拨号服务器)访问企业内部网络的终端。Symantec Gateway Enforcer 从 Symantec Policy Manager 获得强制策略和 SPA 认证信息。当 Symantec Protection Agent 接入企业网络时, 依照公司安全策略, Symantec Gateway Enforcer 启动一个认证会话,对 Symantec 保护代理的真实性,防火墙、入侵检测、反病 毒和其他安全软件的当前状态,以及 Symantec 保护代理上的安全策略、特征库 和病毒定义进行彻底的核查。一旦发现客户端主机不能通过这些检查,认证强制 网关将截断客户端对企业内部网络的访问,或指引端点去访问网络中的隔离/升 级站点。

6.3.2 Symantec LAN Enforcer : Sygate 802.1x-Based NAC for LAN and Wireless Symantec-Sygate 于 2004 年六月发布最早的基于局域网的 NAC 技术。 该技 术增强利用了 IEEE 的 802.1x 准入控制协议,几乎所有有线和无线以太交换机 制造商都支持该协议。Symantec 使用这个链路级协议评估端点是否符合安全策 略要求,提供自动问题修复,并允许达标的系统进入公司网络。 802.1x 是一个认证协议,在用户访问计算机网络之前,需要提供有效的凭 证来增加安全。802.1x 较通常的 Windows PC 登录更为安全,因为网络端口— 不仅仅 PC 本身,在认证之前是被锁住无法访问的。用户提供登录凭证,例如用 户名和密码,交换机传递这些凭证到验证服务器。通常,验证服务器是一个 RADIUS 服务器。如果凭证正确,RADIUS 服务器将发送一个认证消息到交换 机或接入点,授权该用户对网络的访问,并配置该用户连接的服务属性。 在 LAN 强制策略过程中, 端点上的 SPA 使用 802.1x 协议传递策略符合性信 息到网络交换机,网络交换机再中继到一个 Symantec 的 LAN 强制服务器。这个 LAN 强制服务器作为一个 RADIUS 代理服务器, 验证策略符合性信息并可选择

第 21 页

共 43 页

Symantec Sygate Enterprise Protection 技术白皮书

咨询 RADIUS 服务器验证用户名和密码或者多因素认证。 如果系统不符合企业安全策略要求,LAN 强制服务器将该系统放入到隔离 区,在该区域中该系统会得到修复,同时又不影响那些符合要求的系统。一旦 SPA 完成自动修复,802.1x 协议将重新验证用户。由于系统已经达标,将被授予 访问企业网络权限,如下图所示。

Symantec LAN Enforcement Using 802.1x

Symantec 局域网强制过程图

6.3.3 Symantec DHCP Enforcer :Symantec DHCP-Based NAC 基于 802.1x 的 NAC 提供最大化安全。然而,它需要接入层交换架构支持 802.1X 协议。即使交换机支持 802.1 协议,开启它仍需要仔细计划。Symantec 基于 DHCP 的 NAC 方案可以解决这些问题, 在现存网络环境下不需要升级任何 硬件或软件。 Symantec 的 DHCP NAC 被内嵌 (in-line) 部署在 DHCP 服务器和网络之间。

第 22 页

共 43 页

Symantec Sygate Enterprise Protection 技术白皮书

如果用户没有运行一个 SPA 或用户当前 NAC 策略符合性是未知的, 该用户将被 分配一个“不可路由的”或“隔离的”IP 地址。这些地址不能随意访问网络,只有受 限的权限。这有两种方式实现。或者这些客户端被分配一个不同 IP 网段的特殊 IP 地址,在路由器上通过访问控制列表控制这些特殊 IP 地址可以访问的网络, 或者客户端被分配正常网段的 IP 地址,但是设定了特殊的静态路由,仅容许访 问所需的服务器,并没有到整个网络的缺省路由。 一旦客户端有了一个 IP 地址,DHCP 强制服务器将和客户端上 SPA 通讯, 确定客户端的策略是否及时更新,是否符合企业安全策略的要求。如果不符合, 该 SPA 将触发所需的修复动作,使该系统与企业安全策略相一致。一旦符合要 求,该客户端将发起一个 DHCP 释放和更新。一旦 DHCP 强制服务器接收到一 个更新的请求,它将联系 SPA,确定客户端已经达标。系统将被授予一个正常生 产网络的 DHCP 租约,给予全部的网络访问权限。 因为 DHCP NAC 作为一个透明(in-line)的 DHCP 代理服务器,可以与现 存的任何 DHCP 基础架构兼容。部署这种 NAC 方法涉及在 DHCP 服务器前放 置 DHCP 强制服务器,决定一种隔离 IP 地址策略,在 DHCP 服务器上改变某 些设置。 没有安装 SPA 的系统可以有两种方式授予访问权限。第一种方式是,对于 一个非 Windows 系统可以免除此 NAC 过程。第二种方式是,可以设置一个基 于 MAC 地址的免查表。这个 MAC 地址列表可以接受通配符,可以容许整个一 类系统免受检查,例如 IP 电话使用它们组织唯一标识符。

第 23 页

共 43 页

Symantec Sygate Enterprise Protection 技术白皮书

DHCP NAC Packet Flow

6.3.4 Symantec On-Demand NAC SSL VPNs 的引进产生了另外一个面向 WEB 的 NAC 组件的需求。为了满 足这个需求,Symantec 开发了 SymantecOn-Demand 代理(SODA) 。SODA 包 括一个随需的,透过 Java 发放的 NAC 组件,该组件可以评估一个系统的安全策 略状态, 无需预先安装常驻式的 SPA。 SSL VPN 网关可以通过它们的 WEB 验证 界面发放此代理,确保系统符合策略要求后,才被允许访问受该网关控制的公司 资源。Juniper,Array Networks,Netilla 和 Aventail 这些 SSL VPN 厂商在它们 产品中均包括了基于 SODA 的 NAC 支持。

6.3.5 Endpoint Enforcement (Symantec Protection Agent): 此时,Symantec Protection Agent 以设置好的间隔自动检查主机完整性,而 无需与任何强制服务器打交道。当主机完整性失败,Symantec Protection Agent 将切换当前应用的防火墙策略,阻止普通的网络访问,重定向主机到一个隔离的 处所,并启动相应的修复工作。

第 24 页

共 43 页

Symantec Sygate Enterprise Protection 技术白皮书

6.3.6 Symantec Universal Enforcement API 当用户通过 IPSEC VPN 连入网络,Symantec API 被使用与安装在远端系统 的 Symantec 保护代理通信,判断该系统是否与安全策略一致。为了使该种方式 工作,IPSEC VPN 网关必须支持 Symantec 的通用强制 API。为了确保 Symantec API 的兼容性,Symantec 与绝大多数 VPN 厂商一起工作,包括 Cisco, Nortel, Juniper, Aventail, AEP, Array Networks 。 对于不支持 Symantec API 的 VPN 网 关,Symantec 的透明(in-line)网关强制服务器可以被插入在 VPN 网关后边, 执行本功能。

6.3.7 Symantec NAC 方法回顾 NAC 方法
Gateway Enforcement API Enforcement Self-Enforcement 802.1x (W)LAN Enforcement Cisco NAC v1 DHCP Symantec-Sygate 产品 开始支持时间 2001年6月 2001年12月 2003年8月 2004年7月 2005年6月 2005年6月 需要的最小版本版本 SSE 2.0 SSE 3.0 SSE 3.5 SSE 4.0 SNAC 5.0, SEP 5.0 SNAC 5.0, SEP 5.0

6.4. Symantec Sygate Universal Enforcement 所支持的网络基础 架构厂商
下表列出所支持的和测试的网络基础架构厂商。

第 25 页

共 43 页

Symantec Sygate Enterprise Protection 技术白皮书

API 集成 Aventail Checkpoint Cisco iPass Juniper Nortel

802.1x (W)LAN NAC集成 Airespace (Cisco) Alcatel Aruba Cisco Enterasys Extreme Foundry HP Procurve Nortel

On-Demand NAC集成 AEP (Formerly Netilla) Aventail Aruba Juniper Nortel V-One Whale

第 26 页

共 43 页

Symantec Sygate Enterprise Protection 技术白皮书

7. Symantec SEP 系统功能介绍
我们建议使用 Symantec Sygate Enterprise Protection 来解决内网用户、 移动用 户,分支机构,合作伙伴和供应商在企业 Intranet 及 Internet 上面临的种种网络 安全威胁, Symantec Enterprise Protection 在以下各方面具有业界领先的安全防护 解决方案: ? ? ? ? ? 企业网络面临的病毒,蠕虫威胁防护 系统软件、应用软件的补丁自动管理 系统软件自动化安全配置 终端用户网络准入控制 企业各种网络用户的网络接入安全防护,如 VPN、远程拨号、无线 AP、以 太网接入等等的安全防护 ? ? ? ? ? 网络入侵防范 企业各种重要的信息资源的安全保护 终端用户计算机各种安全防护软件的完整性防护 移动终端的环境自适应防护 统一、有效的安全策略管理

7.1. 多层次的病毒、蠕虫防护
病毒、 蠕虫破坏一类的网络安全事件一直以来在网络安全领域就没有一个根 本的解决办法, 其中的原因是多方面的, 有人为的原因, 如不安装防杀病毒软件, 病毒库未及时升级等等,也有技术上的原因,杀毒软件,入侵防范系统等安全技 术对新类型、新变异的病毒、蠕虫的防护往往要落后一步,危害无法避免。使用 SEP,我们可以控制病毒、蠕虫的危害程度,只要我们针对不同的原因采取有针 对性的切实有效的防护办法,就会使病毒、蠕虫对企业的危害较少到最低限度。 仅靠单一、简单的防护技术是难以防护病毒、蠕虫的威胁的。因此,在 Symantec Enterprise Protection 系统中,对当前肆虐于开放网络环境中的大量病 毒、蠕虫威胁,实现了多层次的安全防护策略,归结起来是:事前预防、事中隔

第 27 页

共 43 页

Symantec Sygate Enterprise Protection 技术白皮书

离、事后修复和 AV 联动。

?

Symantec Enterprise Protection 中支持的事前预防策略包括如下几个方面: 首先,通过主机安全完整性策略定义强制保证 SPA 中的基于主机的入侵检

测防范模块的运行以及其特征库的即时更新, 从而能够有效的保证对当前已知特 征的病毒、蠕虫入侵的防护。 其次, Symantec Enterprise Protection 通过主机完整性策略定义强制保证企业 在终端设备上部署的第三方防杀病毒软件处于执行状态且其病毒特征库的及时 更新,防止终端用户的关闭,异常退出或特征库的不完整。 第三,对于那些不符合企业安全策略中的主机完整性定义的设备,例如象上 面描述的主机病毒、蠕虫防护完整性定义,将首先被隔离到企业某一特定的隔离 区,在其中被自动的安装、升级、安全检查,以达到企业主机完整性定义要求, 之后被允许访问正常的企业业务网络资源。 第四,在 Symantec Enterprise Protection 中,所有的安全策略,包括上面的 病毒、蠕虫防护策略都是管理员通过中央集中的安全策略管理控制台实施的,对 于普通用户是透明的, 既较少了终端用户的麻烦, 又提高了整体安全管理的质量。

?

Symantec Enterprise Protection 中支持的事中隔离策略说明如下: 当 病 毒 、 蠕 虫 事 件 在 企 业 网 络 内 部 发 生 情 况 下 , Symantec Enterprise

Protection 能够实现对病毒、蠕虫的有效隔离,安全管理员可以通过 Symantec
第 28 页 共 43 页

Symantec Sygate Enterprise Protection 技术白皮书

Enterprise Protection 中提供的“网络程序自学习”功能,及时发现病毒、蠕虫的 运行情况,从而有针对性的制定病毒、蠕虫隔离策略,通过 SPA 提供的以应用 程序为中心的全状态主机防火墙功能对病毒、蠕虫的网络访问进行阻断,保证病 毒、蠕虫不能继续向企业网络内部扩散,杜绝病毒、蠕虫对企业整体业务运行的 影响。 ? Symantec Enterprise Protection 中提供的事后定位、修复策略说明如下: 一旦企业内部网络病毒、 蠕虫事件被“事中隔离策略”控制在一定的范围内 之后, 系统安全管理员马上即可着手病毒、 蠕虫的清除工作, 包括如下几个方面: 首先,清除病毒、蠕虫需要知道病毒蠕虫的位置,即定位。通过前面提到的 “网络程序自学习”功能记录的病毒、蠕虫位置信息,可以轻松的定位病毒、蠕 虫的感染源。 定位之后,即有重点、有针对性的清除感染源,采取的策略可以是寻找到有 效的病毒、蠕虫清理工具,通过 Symantec Enterprise Protection 提供的“软件辅 助分发”功能下发到感染源并执行;定制杀毒软件病毒库升级策略,及时升级病 毒特征库有效清理网络端点病毒、蠕虫;如果有系统补丁可以阻止病毒、蠕虫的 传播, 也可以对终端进行补丁升级, 避免重复感染; Symantec Enterprise Protection 还为安全管理员提供了主机入侵检测防范模块(HIPS)特征库的定制编辑器及 相关语法,可以自定义入侵检测规则,实现对病毒、蠕虫传播行为的及时发现和 有效阻断。 ? Symantec Enterprise Protection 防病毒联动说明如下: 防病毒联动功能贯穿在 Symantec Enterprise Protection 病毒、蠕虫事先预防、 事中隔离、定位修复的整个过程中,通过 Symantec Enterprise Protection 主机安 全完整性策略中定义主机防杀病毒软件运行状态、病毒特征库升级定义,实现终 端用户第三方防杀病毒安全策略的有效执行。SEP 可以和 Symantec 领先的企业 级防病毒系统 Symantec AntiVirus 有效整合,检测 SAV 引擎的运行状态、病毒特 征库的更新状态;在 SAV 异常时,自动修复 SAV。Symantec Enterprise Protection 同时全面支持业界其它知名防杀病毒软件, 也可以自定义规则来支持所有第三方 防杀病毒软件。

第 29 页

共 43 页

Symantec Sygate Enterprise Protection 技术白皮书

7.2. 终端用户透明、自动化的补丁管理,安全配置
为了弥补和纠正运行在企业网络终端设备的系统软件、应用软件的安全漏 洞,使整个企业网络安全不至由于个别软件系统的漏洞而受到危害,必需在企业 的安全管理策略中加强对补丁升级、系统安全配置的管理。Symantec Enterprise Protection 提供了有效的补丁及系统安全配置管理功能。 企业网络安全管理员通过 Symantec Policy Manager 集中管理企业网络终端 设备的软件系统的补丁升级、系统配置策略,可以定义终端补丁下载,补丁升级 策略以及增强终端系统安全配置策略并下发给运行于各终端设备上的 SPA,SPA 执行这些策略,保证终端系统补丁升级、安全配置的完备有效,整个管理过程都 是自动完成的,对终端用户来说完全透明,减少了终端用户的麻烦和企业网络的 安全风险,提高企业网络整体的补丁升级、安全配置管理效率和效用,使企业网 络的补丁及安全配置管理策略得到有效的落实。 Symantec Enterprise Protection 为了确保企业补丁升级、 安全配置管理的有效 落实,除了对终端用户透明和自动化安全管理特色外,同时通过主机完整性策略 保证机制实现补丁升级及安全配置管理的强制执行。 通过补丁升级及安全配置的 强制策略保证任何连接到企业网络的终端的补丁升级及安全配置符合企业的安 全管理策略。

7.3. 全面的网络准入控制
为了解决传统的外网用户接入企业网络给企业网络带来的安全隐患, 以及企 业网络安全管理人员无法控制内部员工网络行为给企业网络带来的安全问题, 在 Symantec Enterprise Protection 内网安全解决方案中, 有效的解决了企业员工从企 业内网、外网以各种网络接入方式接入企业网络的准入控制问题。通过全面的网 络准入控制, 企业可以强制每一台接入企业网络的终端都符合企业安全策略的要 求,从而保证企业网络的安全稳定运行。 边界准入控制

第 30 页

共 43 页

Symantec Sygate Enterprise Protection 技术白皮书

为了保证通过 Internet 接入企业网络的外网用户符合企业安全策略,同时为 了保证企业外网安全防护薄弱情况下的终端安全, 在每台外网终端上都安装并运 行 SPA,在企业网络入口处部署 Symantec Gateway Enforcer,网络安全管理员通 过 Symantec Policy Manager 为外网用户制定与其网络位置(Location)相应的访问 控制策略、入侵预防策略、主机安全完整性策略。当外网用户接入企业网络时, 网络入口处的 Symantec Gateway Enforcer 检查客户端的安全状态是否符合企业 整体安全策略,对于符合的外网访问则放行,不符合企业安全策略的外网访问区 分不同的情况:当访问设备没有安装 SPA 的将被拒绝访问,对于安装了 SPA 但 当前安全策略不是最新的将被放行到企业网络相应的隔离区进行安全性修复, 当 访问设备符合企业安全策略则被放行进入企业网络进行正常的业务活动。

接入层准入控制 LAN Enforcer 用于与支持 802.1x EAP 协议的交换机配合实施,为企业内网 提供高度灵活的内网用户接入企业网络的身份认证、策略强制、VLAN 支持。 为了保证企业网络内部终端的网络接入时的安全状态以及网络应用行为, 需要在接入内网的终端上安装和运行 SPA,当终端接入交换机(支持 802.1x 协 议)时,交换机发起 EAP 认证,SPA 在收到 EAP 认证质询时,将当前终端安全

第 31 页

共 43 页

Symantec Sygate Enterprise Protection 技术白皮书

状态以及终端身份向交换机报告,交换机在收到 SPA 的应答以后,将应答信息 以 Radius 协议发送到 Symantec Lan Enforcer,Lan Enforcer 按照管理设定的规则 检验 SPA 的应答信息,如果终端的身份合法并且安全状态也符合企业安全策略 的要求,Lan Enforcer 就通知交换机将终端放入正常的工作 Vlan,如果终端验证 失败,Lan Enforcer 就按照管理的设定,通知交换机将终端放入隔离 Vlan 或直接 关闭端口。在隔离 Vlan 的终端,SPA 会自动进行终端安全状态的修复,在修复 完成以后,系统自动将终端重新接入正常工作 Vlan。 下图为 LAN Enforcer 在企业内网中的典型工作方式:

目前 Symantec Enterprise Protection 支持的交换机厂商有 Enterasys、Nortel、 HP、Extreme、Foundry、Alcatel、Cisco 等主流设备供应商。

第 32 页

共 43 页

Symantec Sygate Enterprise Protection 技术白皮书

7.4. 全面的入侵防范
现阶段黒客攻击技术细分下来共有八类,分别为入侵系统类攻击、缓冲区溢 出攻击、欺骗类攻击、拒绝服务攻击、对防火墙的攻击、病毒攻击、伪装程序/ 木马程序攻击、后门攻击。如此众多的网络攻击行为,就需要采取全面、多层次 的入侵防范手段,不但要能够保证企业内网不会受到直接攻击,也要防止间接的 攻击行为,保证离开企业内网保护直接连接到 Internet 的移动终端不会成为入侵 企业网络的媒介。 Symantec Enterprise Protection 将传统的入侵防范从网络边界扩展到了企业 网络的终端设备,防护范围从企业网络边界扩展到所有的终端之上,将网络终端 安全防护策略从传统的各自为战发展到安全策略集中统一管理的有机防御体系。 在 SPA 中为了适应当前网络威胁与安全防护之间的时间间隔越来越短的安 全情势,在 SPA 中实现 “零时点”(Day-Zero)安全威胁防御技术,将传统的 基于攻击特征码防护技术与最新的基于攻击行为特征分析防护技术相接合, 有效 缩短了系统对新的网络威胁的响应时间。 Symantec Protection Agent 为终端提供了主机防火墙、主机入侵预防、操作 系统保护、缓冲区溢出保护、系统锁定等全面的安全防护机制,确保企业网络每 一终端都可以有效应对各种攻击行为。

7.5. 终端设备安全完整性保证
主机完整性强制是 Symantec Enterprise Protection 系统的关键组件。信息安 全业界已经开发出了多种基于主机的安全产品,以确保企业网络和信息的安全, 阻止利用网络连接技术、应用程序和操作系统的弱点和漏洞所发起的攻击。并已 充分采用了在个人防火墙、入侵检测、防病毒、文件完整性、文件加密和安全补 丁程序等方面的技术进步,来有效地保护企业设备。然而,只有在充分保证这些 安全技术的应用状态、更新级别和策略完整性之后,才能享受这些安全技术给企 业网络安全带来的益处。如果企业端点设备不能保证主机安全措施完整性,也就

第 33 页

共 43 页

Symantec Sygate Enterprise Protection 技术白皮书

不能将该设备看成企业网络受信设备。 Symantec Enterprise Protection 允许管理员定义、 实施以及恢复主机系统的安 全完整性。可定义的主机完整性包括:安全应用是否安装、运行、特征数据是否 及时更新以及系统安全设置。 通过每当终端在连接到企业网之前检测系统的安全 完整性,来强制主机完整性。 在安装有 Symantec 保护代理的计算机上,如果没有安装管理员指定的补丁 程序或者操作系统漏洞补丁程序, SPA 将按照管理员设置的修复策略自动连接到 更新服务器,下载和安装必需的补丁程序或者操作系统漏洞补丁程序。在修复动 作完成之前, 终端被系统隔离在企业内部网络之外, 直到它完成补丁的修复为止。 客户端也可以检测防病毒应用程序是否过期。例如,如果防病毒应用程序比 起系统管理员指定的更旧,则认证强制网关就阻止 Symantec 保护代理连接到企 业网中,直到将最新版本的防病毒应用程序安装到终端计算机上为止。 如果客户端没有最新的防火墙规则,则 Symantec 保护代理将不能够访问企 业网。如果管理服务器上有更新版本的安全策略,则 Symantec 保护代理将自动 下载最新的安全策略,然后在用户的计算机上更新安全策略。安全策略升级失败 时,会自动生成安全日志。

7.6. 移动用户的自适应防护
为了适应企业员工经常在企业内网、分支机构、家庭、路途及其它各种公共 场所如展览会所等网络办公环境中不断转换的实际情况, 保障移动设备在离开企 业内网较完备的安全防护仍然符合企业网络安全策略, 避免终端处于企业外部时 访问企业内网资源给企业网络安全带来灾难, 同时避免给终端用户的实际业务应 用带来不必要的麻烦,让终端用户乐于遵守企业既定的网络安全策略,保障企业 安全防护策略在移动终端的有效执行, Symantec Enterprise Protection 提供了自适 应防护安全保障机制。 Symantec 安全防护引擎能够根据用户计算机所处网络环境(用户所处的环 境:办公室、家中、差旅途中、展示会等;用户使用的网络连接方式:以太网、 拨号网络、VPN、无线网络等)的变化自动调整安全策略,以适应不同网络环境
第 34 页 共 43 页

Symantec Sygate Enterprise Protection 技术白皮书

下的不同级别的风险。例如:当用户在参加展示会时使用会场提供的无线网络接 入到 Internet 并连接公司的 VPN 服务器进入企业内部网络时, 系统自动侦测到所 处的网络环境并自动应用企业为这种环境所规定的安全策略; 而当用户结束展示 会回到公司内部时,系统自动应用适应公司内部网络环境的安全策略。

7.7. 统一、有效的安全策略管理
统一、有效的安全策略管理是 Symantec Enterprise Protection 从企业安全管 理角度提供的增强企业网络安全的解决方案。在 Symantec Enterprise Protection 中为了克服企业网络管理中存在的问题,如整个企业范围内安全策略不统一、企 业任何安全管理策略的实施不得不牵涉到几乎整个员工队伍混乱状态、 企业安全 策略由于种种原因而无法真正的落实、 企业对某一突发安全事件的响应无法满足 企业紧急事件响应的时效要求等, 将企业网络安全管理技术与企业网络端点防护 技术有效结合,针对企业网络管理中各种现实的、紧迫的问题进行总体设计,引 入多种独特的安全管理技术,实现满足企业网络安全管理要求的全面解决方案。 ? 可扩展的多服务器架构 策略管理服务器内建多站点同步功能。 企业可以在不同的分支机构内同时安 装策略管理服务器并使服务器之间同步数据。该功能使得 Symantec Enterprise Protection 能够方便的扩展以适应不同规模企业的需要。同时对于那些分布式的 企业, 也能够为分布于不同地点的客户端统一的制定和维护安全策略并使得终端 用户在企业内部网络中漫游时使用统一的安全策略。 ? 支持现有用户与群组结构 策略管理服务器能够从 NT 域控制器,活动目录服务器,LDAP 服务器中导 入用户列表并能够和这些服务器定期同步更新用户列表。通过该功能,管理员可 以方便的沿用企业现有的用户分组管理方式。 ? 中央管理的日志与报告系统 Symantec 保护代理会定期将客户端的日志发送到管理服务器。管理员可以 直接从管理服务器的控制台查看所有 Symantec 保护代理客户端的日志,实时监

第 35 页

共 43 页

Symantec Sygate Enterprise Protection 技术白皮书

控网络的安全状态。 管理员还能够使用管理服务器针对客户端的日志生成图形化 的报表来统计和分析企业网络的安全状况。Symantec 策略管理服务器还支持第 三方的专业日志分析软件, 可以将本系统的日志自动发送到专用的日志服务器中 进行进一步的分析。 ? 基于组的策略生成及继承系统 策略管理服务器可以对不同的用户进行分组, 并对不同的组制定不同的安全 策略。通过系统内置的继承体系,不同的子组能够从同一父组中继承相同的安全 策略,从而提高策略制定的便利性。策略管理服务器还能够针对计算机和当前登 录用户来制定安全策略, 按计算机制定的策略为特定的计算机维护了一组固定的 安全策略, 而按登录用户制定的策略为不同的登录账户维护了独立于特定机器的 可以在企业内部网络中漫游的安全策略。 ? 支持企业级的统一安全部署 为了实现对大型企业网络的统一安全策略管理, 特别是那些拥有众多分支机 构的企业网络,Symantec Enterprise Protection 通过数据库复制技术,支持不同企 业子网之间的策略复制, 保证企业范围统一的安全防护策略以及企业级安全管理 的稳定、高效。 通过 Symantec Enterprise Protection 提供的灵活的用户分组和策略设置功能, 管理员可以有效管理企业内网不同用户身份的网络访问策略。 管理员可以按照不 同部门的不同网络应用需求配置相应规则, 使得不同部门的用户只能在内网访问 与其业务相关的应用和服务器,阻止所有的越权访问行为。具体配置情况如下表 所示:

App/Srv Group

Email

Marketing OA File server

Comsumer Application

Human Resource Application

Financial Application

Private Service Application

Human Resource Servere

Teller Guest Service Branch Manager Human Resource Financial IT

√ √ √ √ √ √ √ √

√ √ √ √ √ √ √ √

√ √ √ √ √

第 36 页

共 43 页

Symantec Sygate Enterprise Protection 技术白皮书

8. 产品主要性能指标参数
Symantec SEP5.1 服务占用很少的系统资源, 安装 Symantec SEP5.1 企业版 开启的服务和使用的端口如下所示:

8.1 Symantec SEP 5.1 使用服务列表
Symantec Policy Manager 服务器服务
服务名称
Symantec Policy Manager

二进制名称
SemSvc.exe

说明 主要的 Symantec Policy Manager 服务,

Adaptive Server Anywhere sem5

dbsrv9.exe

Symantec Policy Manager 后台使用的嵌 入式数据库服务

Symantec Protection Agent 企业版客户端服务
服务名称
Symantec Protection Agent 5.1

二进制名称
smc.exe

说明 SPA 客户端进程

8.2 Symantec SEP 5.1 使用端口列表
端口号 80 端口类型 TCP 描述 Policy Manager 、Agents、 Enforcers 之间通讯使用端口。 由 Agents 发起。 443 TCP 可选。Policy Manager 、Agents、 Enforcers 之间 https 的通讯 使用端口。 由 Agents 发起。 1433 TCP Policy Manager 和 Microsoft SQL Database Server 通讯使用端 口。

第 37 页

共 43 页

Symantec Sygate Enterprise Protection 技术白皮书

由 Policy Manager.发起。 1812 UDP Policy Manager 和 Enforcers 通讯使用端口。 用来验证 Enforcer 的 unique ID 信息。 由 Enforcer 发起。 2638 TCP Policy Manager 和 Embedded Database 通讯使用端口。 由 Policy Manager.发起。 8443 TCP 远程 Policy Management 控制台和 Policy Management 通讯使用 的 https 通讯端口, 所有登陆信息和管理配置流量是用这个端口。 由远程的 Java 或者 Web 控制台发起。 9090 TCP 远程 Policy Management 控制台和 Policy Management 通讯使用 的 http 通讯端口,仅用来显示登陆窗口。 由远程 Web 控制台发起。 39999 UDP Agents 和 Enforcer 通讯使用端口。Enforcer 用此端口来验证 Agents 信息。 由 Enforcer 发起。

第 38 页

共 43 页

Symantec Sygate Enterprise Protection 技术白皮书

9. SEP 终端安全解决方案硬件需求
9.1 SEP 运行要求(单独安装最小配置要求)
Symantec Policy Manager 硬件需求 · Pentium III 900 MHz 或更高 · MB RAM (或更高) 512 · MB 可用硬盘空间 400 · 1GB 额外的硬盘空间用来存储日志和备份文件 ·一张 10/100M(或更高)以太网卡(安装有 TCP/IP 协议) ·支持 1024?768 分辨率或更高的显示器 软件需求 · Windows 2003 Server 标准版/企业版 (SP1 或更高); · Internet Information Services 5.0/6.0 (安装有 Web 服务) · Microsoft SQL 2000 client (可选) SQL Server 数据库 (如不使用 SPM 内置数据库) 硬件需求 · 1GB 内存(如果和 Symantec Protection Manager 安装在同一主机上,推荐 2GB 内存) · 2GB 以上硬盘空间 软件需求 · Microsoft SQL Server 2000 标准版或企业版 + SP4 或更高

SPM 远程 Web 控制台 硬件需求 · Pentium III 600 MHz 或更高 · MB RAM 256

第 39 页

共 43 页

Symantec Sygate Enterprise Protection 技术白皮书

·一张 10/100M(或更高)以太网卡(安装有 TCP/IP 协议) ·支持 1024?768 分辨率或更高的显示器 软件需求 · Java Runtime Environment (JRE) 1.4.2 Symantec Gateway Enforcer 和 Symantec DHCP Enforcer 硬件需求 · Pentium III 750 MHz 或更高 · MB RAM 256 · MB 可用硬盘空间 + 500 MB 日志空间(可选) 100 ·两张 10/100M 以太网卡(或更高,但是网速必须相同,同时必须设置为全双工 模式;最好生厂商和网卡型号完全相同) ·支持 256 色 800?600 分辨率或更高的显示器 操作系统 · Hat Enterprise Linux Version 3 Update 4 (Kernel version 2.4.21-27.EL or Red 2.4.21-27.ELsmp) 或 Red Hat Enterprise Linux Version 3 Original (Kernel version 2.4.21-4.EL or 2.4.21-4.ELsmp)

Symantec LAN Enforcer 硬件需求 · Pentium III 750 MHz 或更高 · MB RAM 256 · MB 可用硬盘空间 + 500 MB 日志空间(可选) 100 ·一张 10/100M 以太网卡(或更高) ·支持 256 色 800?600 分辨率或更高的显示器 操作系统 · Hat Enterprise Linux Version 3 Update 4 (Kernel version 2.4.21-27.EL or Red 2.4.21-27.ELsmp)

第 40 页

共 43 页

Symantec Sygate Enterprise Protection 技术白皮书

或 Red Hat Enterprise Linux Version 3 Original (Kernel version 2.4.21-4.EL or 2.4.21-4.ELsmp)

Symantec Protection Agent 硬件需求 · Pentium III 750MHz 或更高 · 128MB 内存 · MB (可用硬盘空间) 40 ·一张网络适配卡(10/100M 以太网卡或拨号网络适配器或无线网卡) 软件需求 Microsoft Window 2000 以上所有操作系统

9.2 SEP 系统硬件配置建议
Symantec Policy Manager 硬件需求 · Xeon 2.4GHz · 2GB ECC RAM · 20GB 以上可用硬盘空间用于软件安装和数据库 ·一张 1GB 以太网卡(安装有 TCP/IP 协议) ·支持 1024?768 分辨率或更高的显示器 软件需求 · Windows 2003 Server 标准版/企业版 (SP1 或更高); · Internet Information Services 5.0/6.0 (安装有 Web 服务) · Microsoft SQL 2000 client (可选) SQL Server 数据库 (如不使用 SPM 内置数据库) 硬件需求

第 41 页

共 43 页

Symantec Sygate Enterprise Protection 技术白皮书

· Xeon 2.4GHz · 2GB ECC RAM · 20GB 以上可用硬盘空间用于软件安装和数据库 ·一张 1GB 以太网卡(使用微软 TCP/IP 协议) 软件需求 · Microsoft SQL Server 2000 标准版或企业版 + SP4 或更高

SPM 远程 Web 控制台 硬件需求 · Pentium III 900 MHz 或更高 · MB RAM (或更高) 512 ·一张 10/100M(或更高)以太网卡(安装有 TCP/IP 协议) ·支持 1024?768 分辨率或更高的显示器 软件需求 · Java Runtime Environment (JRE) 1.4.2

Symantec Gateway Enforcer 和 Symantec DHCP Enforcer 硬件需求 · Xeon 1.8GHz · 512B ECC RAM · 600MB 以上可用硬盘空间 ·两张 10/100M 以太网卡(或更高,但是网速必须相同,同时必须设置为全双工 模式;最好生厂商和网卡型号完全相同) ·支持 256 色 800?600 分辨率或更高的显示器 操作系统 · Hat Enterprise Linux Version 3 Update 4 (Kernel version 2.4.21-27.EL or Red 2.4.21-27.ELsmp) 或 Red Hat Enterprise Linux Version 3 Original (Kernel version 2.4.21-4.EL or

第 42 页

共 43 页

Symantec Sygate Enterprise Protection 技术白皮书

2.4.21-4.ELsmp)

Symantec LAN Enforcer 硬件需求 · Xeon 1.8GHz · 512B ECC RAM · 600MB 以上可用硬盘空间 ·一张 10/100M 以太网卡(使用微软 TCP/IP 协议) ·支持 256 色 800?600 分辨率或更高的显示器 操作系统 · Hat Enterprise Linux Version 3 Update 4 (Kernel version 2.4.21-27.EL or Red 2.4.21-27.ELsmp) 或 Red Hat Enterprise Linux Version 3 Original (Kernel version 2.4.21-4.EL or 2.4.21-4.ELsmp)

第 43 页

共 43 页


推荐相关:

SEP售前资料-精选文档_图文.ppt

流的技术 ? 本地创建与购买 Copyright ? Symantec Corporation 2007 SEP11.0...Symantec Corporation 2007 5 SEP11.0 模块 防病毒及防间谍软件 网络威胁防护 ...


赛门铁克 技术信息 [第一期]_图文.doc

市场部合作伙伴 2010.3 赛门铁克技术支持信息 赛门铁克技术支持信息 第一期产品、 SEP 产品、BE 产品 SEP 热点问题解答 LAN Enforcer:如何配置以便处理尚未连接到 ...


symantec-sep安装教程详细_图文.pdf

Symantec sep 安装之初涉 Symantec sep 安装,上次写了


SYMANTEC SEP 设备控制操作手册.doc

SEP 设备控制手册 1.关于硬件设备列表 Symantec Endpoint Protection Manager 包含...Symantec-SEP-250-311 31页 1下载券 Symantec SEP准入技术SN... 5页 1下载...


Symantec Scan Engine技术白皮书.doc

10 Symantec Antivirus Scan Engine 技术白皮书 一、 产品定位和功能描述 ...Symantec Scan Engine4... 15页 2下载券 Symantec SEP5.1技术白皮... 43页...


Symantec Mail Security 4[1].1 for Domino 技术白皮书.doc

22页 1下载券 Symantec SEP5.1技术白皮... 43页 2下载券 喜欢此文档的还喜欢...Symantec Mail Security For Domino 技术白皮书 Symantec Mail Security For Domin...


SymantecSEP终端安全与准入控制概述_图文.ppt

Symantec SEP终端安全与准入控制 14.02.2019 Agenda ? 终端安全管理问题和解决之道 ? Symantec SEP解决...


Symantec企业版SEP客户端使用说明要点.doc

Symantec企业版SEP客户端使用说明要点_其它_职业教育_教育专区。Symantec 企业版 SEP 客户端使用说明 SEP 版本: 12.1 1. 概述本文档用于介绍赛门铁克( Symantec )...


中国石化Symantec_SEP11.0_防病毒培训教材_图文.ppt

Symantec 防病毒与先进的威胁防护技术结合起来 ? 单的解决方案提供终端安全防护...SEP11.0 安装部署说明 3、SEP11.0 策略配置说明 4、SEP11.0日常运维说明 5...


Symantec企业版SEP客户端使用说明.doc

Symantec企业版SEP客户端使用说明_电脑基础知识_IT/计算机_专业资料。Symantec企业...Symantec SEP准入技术SN... 5页 1下载券 喜欢此文档的还喜欢 Symantec...


symantec sep 准入技术.pdf

Symantec SEP 准入技术 SNAC 介绍 Symantec SEP (symantec endpoint protection)中文名为赛门铁克端点安全套件,SEP 中 的准入管理 SNAC 只是 SEP 其中一个组件,具体 ...


Symantec SEP 终端安全与准入控制Partner Training_图文.ppt

Sygate网络准入控制技术 全球第个通用网络准入控制系统 35 国内的成功...SYMANTEC SEP11 如何禁止... 2页 免费 SYMANTEC SEP 如何基于W... 5页...


Symantec SEP SNAC.doc

Symantec SEP (symantec endpoint protection)中文名为赛门铁克端点安全套件,SEP 中 的准入管理 SNAC 只是 SEP 其中一个组件,具体 SEP 包含的功能模块如下图: 而 ...


Symantec SEP准入技术SNAC介绍.doc

Symantec SEP 准入技术 SNAC 介绍 Symantec SEP (symantec endpoint protection)中文名为赛门铁克端点安 全套件,SEP 中的准入管理 SNAC 只是 SEP 其中一个组件,具体...


symantec SEP 服务器与客户端安全管理实施方案_图文.doc

symantec SEP 服务器与客户端安全管理实施方案_IT/计算机_专业资料。symantec SEP...进入下一步: 5. 输入远程的主站点的服务器名、SEPM 使用的端口号、SEPM 服务...


SEP服务更改IP地址操作手册.doc

SEP服务更改IP地址操作手册_计算机硬件及网络_IT/计算机_专业资料。symantec endpoint protection manager SEP 服务器更换 IP 地址操作手册 1. 操作之前对数据库进行...


Symantec DLP应用案例_图文.ppt

Symantec DLP应用案例_计算机软件及应用_IT/计算机_...? 工作流运行 1. SEP客户端从SEPM服务器上获得...


Symantec SEP网络准入控制系统工作原理及操作模式.doc

Symantec SEP网络准入控制系统工作原理及操作模式 - 目录 1. 述 1. 2. 3. 4. 5. 6. 7. Symantec Endpoint Protection 11.0 / ...


51CTO下载-Symantec+SEP+端点防护介绍及迁移讲解.doc

Symantec SEP 端点防护 SEP 是企业级产品,不面向个人用户。由管理服务器和客户...Symantec SEP准入技术SN... 5页 1下载券 51CTO下载-SAN基本概念介... ...


SEP介绍.doc

22 2015-01-15 版权所有,侵权必究 第5页,共24页 SEP技术白皮书 内部公开 ...SEP技术白皮书 内部公开 1 介绍智能以太保护SEP(Smart Ethernet Protection)是一...

网站首页 | 网站地图
All rights reserved Powered by 酷我资料网 koorio.com
copyright ©right 2014-2019。
文档资料库内容来自网络,如有侵犯请联系客服。zhit325@126.com