Symantec終端管理和安全解決方案功能規(guī)范書

1、.：.；Symantec終端管理及平安處理方案功能規(guī)范書賽門鐵克軟件北京 DATE yyyy年MM月 l * MERGEFORMAT 2021年04月文檔信息屬性內容文檔稱號：終端管理和平安處理方案功能規(guī)范書文檔編號：文檔版本：版本日期：文檔形狀：審閱人：版本變卦記錄版本修訂日期修訂人描畫1.02021-4-8姚臻桌面終端規(guī)范化管理系統(tǒng)功能規(guī)范 PAGE IV目 錄 TOC o 1-3 h z u HYPERLINK l _Toc195543723 第1章概述 PAGEREF _Toc195543723 h 1 HYPERLINK l _Toc195543724 1.1先進的要挾防護 PAGE

2、REF _Toc195543724 h 1 HYPERLINK l _Toc195543725 1.2同時對端點和用戶進展授權 PAGEREF _Toc195543725 h 2 HYPERLINK l _Toc195543726 第2章產(chǎn)品功能引見 PAGEREF _Toc195543726 h 4 HYPERLINK l _Toc195543727 2.1端點維護系統(tǒng)Symantec Endpoint Protection PAGEREF _Toc195543727 h 4 HYPERLINK l _Toc195543728 2.1.1產(chǎn)品簡介 PAGEREF _Toc195543728

3、h 4 HYPERLINK l _Toc195543729 2.1.2產(chǎn)品主要優(yōu)勢 PAGEREF _Toc195543729 h 5 HYPERLINK l _Toc195543730 2.1.3主要功能 PAGEREF _Toc195543730 h 6 HYPERLINK l _Toc195543731 2.1.4產(chǎn)品系列 PAGEREF _Toc195543731 h 7 HYPERLINK l _Toc195543732 2.1.5系統(tǒng)要求 PAGEREF _Toc195543732 h 8 HYPERLINK l _Toc195543733 2.2終端準入控制Symantec Ne

4、twork Access Control 11 PAGEREF _Toc195543733 h 10 HYPERLINK l _Toc195543734 2.2.1主要優(yōu)勢 PAGEREF _Toc195543734 h 10 HYPERLINK l _Toc195543735 2.2.2主要功能 PAGEREF _Toc195543735 h 11 HYPERLINK l _Toc195543736 2.2.3全方位的端點防護 PAGEREF _Toc195543736 h 12 HYPERLINK l _Toc195543737 2.2.4可在任何網(wǎng)絡中部署 PAGEREF _Toc195

5、543737 h 12 HYPERLINK l _Toc195543738 2.2.5產(chǎn)品系列 PAGEREF _Toc195543738 h 13 HYPERLINK l _Toc195543739 2.2.6系統(tǒng)要求 PAGEREF _Toc195543739 h 14 HYPERLINK l _Toc195543740 2.3Symantec AltirisIT生命周期管理處理方案 PAGEREF _Toc195543740 h 16 HYPERLINK l _Toc195543741 2.3.1Altiris管理架構Notifications Server PAGEREF _Toc19

6、5543741 h 16 HYPERLINK l _Toc195543742 2.3.2Altiris 功能模塊 PAGEREF _Toc195543742 h 19 HYPERLINK l _Toc195543743 第3章終端平安系統(tǒng)功能闡明 PAGEREF _Toc195543743 h 22 HYPERLINK l _Toc195543744 3.1管理系統(tǒng)功能組件闡明 PAGEREF _Toc195543744 h 22 HYPERLINK l _Toc195543745 3.2系統(tǒng)架構功能設計 PAGEREF _Toc195543745 h 25 HYPERLINK l _Toc1

7、95543746 3.2.1兩級管理體系 PAGEREF _Toc195543746 h 25 HYPERLINK l _Toc195543747 3.2.2二級 VS 兩級以上的管理 PAGEREF _Toc195543747 h 26 HYPERLINK l _Toc195543748 3.2.3戰(zhàn)略的同步與復制 PAGEREF _Toc195543748 h 27 HYPERLINK l _Toc195543749 3.2.4效力器的負載平衡 PAGEREF _Toc195543749 h 28 HYPERLINK l _Toc195543750 3.2.5客戶端的遨游 PAGEREF

8、_Toc195543750 h 29 HYPERLINK l _Toc195543751 3.2.6容災與災備系統(tǒng) PAGEREF _Toc195543751 h 31 HYPERLINK l _Toc195543752 3.3終端平安功能點闡明 PAGEREF _Toc195543752 h 35 HYPERLINK l _Toc195543753 3.3.1集成的端點防護方法 PAGEREF _Toc195543753 h 35 HYPERLINK l _Toc195543754 3.3.2簡化端點維護 多重技術、一個產(chǎn)品 PAGEREF _Toc195543754 h 36 HYPERL

9、INK l _Toc195543755 3.3.3降低總擁有本錢 PAGEREF _Toc195543755 h 38 HYPERLINK l _Toc195543756 3.3.4最全面的端點平安 PAGEREF _Toc195543756 h 39 HYPERLINK l _Toc195543757 3.3.5提高端點平安規(guī)范 PAGEREF _Toc195543757 h 45 HYPERLINK l _Toc195543758 3.4準入控制設計功能點 PAGEREF _Toc195543758 h 47 HYPERLINK l _Toc195543759 3.4.1Symantec

10、NAC評價過程 PAGEREF _Toc195543759 h 47 HYPERLINK l _Toc195543760 3.4.2賽門鐵克端點評價技術：靈敏性和全面性 PAGEREF _Toc195543760 h 49 HYPERLINK l _Toc195543761 3.4.3永久代理 PAGEREF _Toc195543761 h 50 HYPERLINK l _Toc195543762 3.4.4可分解的代理 PAGEREF _Toc195543762 h 51 HYPERLINK l _Toc195543763 3.4.5遠程破綻掃描 PAGEREF _Toc195543763

11、h 52 HYPERLINK l _Toc195543764 3.4.6Symantec Enforcers：用于消除 IT 和業(yè)務中斷的靈敏實施選件 PAGEREF _Toc195543764 h 53 HYPERLINK l _Toc195543765 3.4.7Gateway Enforcer PAGEREF _Toc195543765 h 55 HYPERLINK l _Toc195543766 3.4.8DHCP Enforcer PAGEREF _Toc195543766 h 56 HYPERLINK l _Toc195543767 3.4.9LAN Enforcer802.1x

12、PAGEREF _Toc195543767 h 57 HYPERLINK l _Toc195543768 3.4.10網(wǎng)絡準入控制行業(yè)框架支持 PAGEREF _Toc195543768 h 58 HYPERLINK l _Toc195543769 3.4.11端到端的端點服從 PAGEREF _Toc195543769 h 59 HYPERLINK l _Toc195543770 3.4.12Peer-to-Peer 的認證點對點的認證 PAGEREF _Toc195543770 h 60 HYPERLINK l _Toc195543771 3.4.13SNAC On-Demand Agen

13、t PAGEREF _Toc195543771 h 62 HYPERLINK l _Toc195543772 3.4.14訪客的網(wǎng)頁登錄認證 PAGEREF _Toc195543772 h 62 HYPERLINK l _Toc195543773 3.4.15Gateway Enforcer對VLAN Trunking的支持 PAGEREF _Toc195543773 h 64 HYPERLINK l _Toc195543774 3.4.16LAN Enforcer的MAC地址過濾 PAGEREF _Toc195543774 h 65 HYPERLINK l _Toc195543775 3.4

14、.17Appliance monitoring via SNMP Traps PAGEREF _Toc195543775 h 66 HYPERLINK l _Toc195543776 第4章終端管理產(chǎn)品功能 PAGEREF _Toc195543776 h 67 HYPERLINK l _Toc195543777 4.1產(chǎn)品組成 PAGEREF _Toc195543777 h 67 HYPERLINK l _Toc195543778 4.1.1客戶端管理套件 PAGEREF _Toc195543778 h 67 HYPERLINK l _Toc195543779 4.1.2效力器管理套件 PAG

15、EREF _Toc195543779 h 68 HYPERLINK l _Toc195543780 4.1.3效力與資產(chǎn)管理套件 PAGEREF _Toc195543780 h 68 HYPERLINK l _Toc195543781 第5章Symantec終端平安防護功能概括與總結 PAGEREF _Toc195543781 h 70 HYPERLINK l _Toc195543782 5.1支持集中管理平臺才干： PAGEREF _Toc195543782 h 70 HYPERLINK l _Toc195543783 5.2客戶端平安防護才干概括 PAGEREF _Toc195543783

16、 h 71 HYPERLINK l _Toc195543784 5.3產(chǎn)品的更新晉級才干要求 PAGEREF _Toc195543784 h 72 HYPERLINK l _Toc195543785 5.4平安性要求 PAGEREF _Toc195543785 h 73 HYPERLINK l _Toc195543786 第6章終端管理需求 PAGEREF _Toc195543786 h 74 HYPERLINK l _Toc195543787 6.1桌面終端資產(chǎn)管理 PAGEREF _Toc195543787 h 74 HYPERLINK l _Toc195543788 6.2軟件分發(fā) PA

17、GEREF _Toc195543788 h 75 HYPERLINK l _Toc195543789 6.3補丁管理 PAGEREF _Toc195543789 h 75 HYPERLINK l _Toc195543790 第7章網(wǎng)絡準入控制設備技術要求 PAGEREF _Toc195543790 h 77 PAGE 81 概述先進的要挾防護Symantec Endpoint Protection 將 Symantec AntiVirus與高級要挾防御功能相結合，可以為筆記本、臺式機和效力器提供無與倫比的惡意軟件防護才干。它甚至可以防御最復雜的攻擊，這些攻擊可以躲避傳統(tǒng)的平安措施，如 root

18、kit、零日攻擊和不斷變化的間諜軟件。Symantec Endpoint Protection不僅提供了世界一流、業(yè)界領先且基于特征的防病毒和反間諜軟件防護。它還提供了先進的要挾防御才干，可以維護端點免遭目的性攻擊以及之前沒有發(fā)現(xiàn)的未知攻擊侵擾。它包括即刻可用的自動防護技術以及管理控制功能；自動防護技術可以自動分析運用程序行為和網(wǎng)絡通訊，以檢測并阻止可疑活動，而管理控制功能使您可以回絕對企業(yè)來說被視為高風險的特定設備和運用程序活動。您甚至可以根據(jù)用戶位置阻止特定操作。這種多層方法可以顯著降低風險，同時可以充分維護您的企業(yè)資產(chǎn)，從而使您高枕無憂。它是一款功能全面的產(chǎn)品，只需您需求，即可立刻為您提

19、供所需的一切功能。無論攻擊是由惡意的內部人員發(fā)起，還是于外部，端點都會遭到充分維護。Symantec Endpoint Protection不僅可以加強防護，而且可以經(jīng)過降低管理開銷以及管理多個端點平安性產(chǎn)品引發(fā)的本錢來降低總擁有本錢。它提供一個代理，經(jīng)過一個管理控制臺即可進展管理。從而不僅簡化了端點平安管理，而且還提供了出色的操作效能，如單個軟件更新和戰(zhàn)略更新、一致的集中報告及一個授權答應和維護方案。 Symantec Endpoint Protection易于實施和部署。賽門鐵克還提供廣泛的咨詢、技術培訓和支持效力，可以指點企業(yè)完成處理方案的遷移、部署和管理，并協(xié)助 您實現(xiàn)投資的全部價值。

20、對于希望外包平安監(jiān)控和管理的企業(yè)來說，賽門鐵克還提供托管平安效力，以提供實時平安防護。 圖：一致的端點防護方法Symantec Network Access Control是全面的端到端網(wǎng)絡訪問控制處理方案，經(jīng)過與現(xiàn)有網(wǎng)絡根底架構相集成，使企業(yè)可以平安有效地控制對企業(yè)網(wǎng)絡的訪問。不論端點以何種方式與網(wǎng)絡相連， Symantec Network Access Control都可以發(fā)現(xiàn)并評價端點服從形狀、設置適當?shù)木W(wǎng)絡訪問權限、根據(jù)需求提供補救功能，并繼續(xù)監(jiān)視端點以了解服從形狀能否發(fā)生了變化。從而可以營造這樣的網(wǎng)絡環(huán)境：企業(yè)可以在此環(huán)境中大大減少平安事故，同時提高企業(yè) IT平安戰(zhàn)略的服從級別。 S

21、ymantec Network Access Control使企業(yè)可以按照目的經(jīng)濟有效地部署和管理網(wǎng)絡訪問控制。同時對端點和用戶進展授權在當今的計算環(huán)境中，企業(yè)和網(wǎng)絡管理員面臨著嚴峻的挑戰(zhàn)，即為不斷擴展的用戶群提供訪問企業(yè)資源的權限。其中包括現(xiàn)場和遠程員工，以及訪客、承包商和其他暫時任務人員。如今，維護網(wǎng)絡環(huán)境完好性的義務面臨著前所未有的挑戰(zhàn)。如今無法再接受對網(wǎng)絡提供未經(jīng)檢查的訪問。隨著訪問企業(yè)系統(tǒng)的端點數(shù)量和類型激增，企業(yè)必需可以在銜接到資源以前驗證端點的安康情況，而且在端點銜接到資源之后，要對端點進展繼續(xù)驗證。 Symantec Network Access Control可以確保在允許端

22、點銜接到企業(yè) LAN、WAN、WLAN或 VPN之前服從 IT戰(zhàn)略。產(chǎn)品功能引見端點維護系統(tǒng)Symantec Endpoint Protection產(chǎn)品簡介Symantec Endpoint Protection 11將 Symantec AntiVirus與高級要挾防御功能相結合，可以為筆記本、臺式機和效力器提供無與倫比的惡意軟件防護才干。它甚至可以防御最復雜的攻擊，這些攻擊可以躲避傳統(tǒng)的平安措施，如 rootkit、零日攻擊和不斷變化的間諜軟件。Symantec Endpoint Protection 11不僅提供了世界一流、業(yè)界領先且基于特征的防病毒和反間諜軟件防護。它還提供了先進的要挾

23、防御才干，可以維護端點免遭目的性攻擊以及之前沒有發(fā)現(xiàn)的未知攻擊侵擾。它包括即刻可用的自動防護技術以及管理控制功能；自動防護技術可以自動分析運用程序行為和網(wǎng)絡通訊，以檢測并阻止可疑活動，而管理控制功能使您可以回絕對企業(yè)來說被視為高風險的特定設備和運用程序活動。甚至可以根據(jù)用戶位置阻止特定操作。這種多層方法可以顯著降低風險，同時可以充分維護企業(yè)資產(chǎn)，從而使企業(yè)高枕無憂。它是一款功能全面的產(chǎn)品，只需您需求，即可立刻為您提供所需的一切功能。無論攻擊是由惡意的內部人員發(fā)起，還是于外部，端點都會遭到充分維護。Symantec Endpoint Protection 11不僅可以加強防護，而且可以經(jīng)過降低管

24、理開銷以及管理多個端點平安性產(chǎn)品引發(fā)的本錢來降低總擁有本錢。它提供一個代理，經(jīng)過一個管理控制臺即可進展管理。從而不僅簡化了端點平安管理，而且還提供了出色的操作效能，如單個軟件更新和戰(zhàn)略更新、一致的集中報告及一個授權答應和維護方案。Symantec Endpoint Protection 11易于實施和部署。賽門鐵克還提供廣泛的咨詢、技術培訓和支持效力，可以指點企業(yè)完成處理方案的遷移、部署和管理，并協(xié)助 您實現(xiàn)投資的全部價值。對于希望外包平安監(jiān)控和管理的企業(yè)來說，賽門鐵克還提供托管平安效力，以提供實時平安防護。產(chǎn)品主要優(yōu)勢平安全面的防護 集成一流的技術，可以在平安要挾浸透到網(wǎng)絡之前將其阻止，即使

25、是由最狡猾的未知新攻擊者發(fā)起的攻擊也不例外。以實時方式檢測并阻止惡意軟件，包括病毒、蠕蟲、特洛伊木馬、間諜軟件、廣告軟件和rootkit。自動防護 全新的自動要挾掃描運用獨特的賽門鐵克技術為未知運用程序的良好行為和不良行為評分，從而無需創(chuàng)建基于規(guī)那么的配置即可加強檢測才干并減少誤報。業(yè)界最正確的要挾趨勢情報 賽門鐵克的防護機制運用業(yè)界領先的賽門鐵克全球情報網(wǎng)絡，可以提供有關整個互聯(lián)網(wǎng)要挾趨勢的全面視圖。借助此情報可以采取相應的防護措施，并且可以協(xié)助 您防御不斷變化的攻擊，從而使您高枕無憂。簡單單一代理，單一控制臺 經(jīng)過一個直觀用戶界面和基于 Web 的圖形報告將全面的平安技術集成到單一代理和集

26、中的管理控制臺中。可以在整個企業(yè)中設置并實施平安戰(zhàn)略，以維護您的重要資產(chǎn)。添加 SymantecNetwork Access Control 11 支持時，可以簡化管理、降低系統(tǒng)資源運用率，并且無需其它代理。經(jīng)過購買答應證可以在代理和管理控制臺上自動啟用 Symantec Network Access Control 11 功能。易于部署 由于它只需求一個代理和管理控制臺，并且可以利用企業(yè)現(xiàn)有的平安和 IT 投資進展操作，因此，Symantec Endpoint Protection 11易于實施和部署。對于希望外包平安監(jiān)控和管理的企業(yè)，賽門鐵克提供托管平安效力，以提供實時平安防護。降低擁有本

27、錢 Symantec Endpoint Protection 11經(jīng)過降低管理開銷以及管理多個端點平安產(chǎn)品引發(fā)的本錢，提供了較低的總體擁有本錢。這種保證端點平安的一致方法不僅簡化了管理，而且還提供了出色的操作效能，如單個軟件更新和戰(zhàn)略更新、一致的集中報告及一個授權答應和維護方案。無縫易于安裝、配置和管理 Symantec Endpoint Protection11使您可以輕松啟用、禁用和配置所需的技術，以順應您的環(huán)境。Symantec Network Access Control 11就緒 每個端點都會進入“Symantec Network Access Control 11就緒形狀，從而無需

28、部署其它網(wǎng)絡訪問控制端點代理軟件。利用現(xiàn)有平安技術和 IT 投資 可以與其它領先防病毒供應商、防火墻、IPS 技術和網(wǎng)絡訪問控制根底架構協(xié)作。還可以與領先的軟件部署工具、補丁管理工具和平安信息管理工具協(xié)作。主要功能防病毒和反間諜軟件 提供了無可匹敵的一流惡意軟件防護才干，包括市場領先的防病毒防護、加強的間諜軟件防護、新 rootkit 防護、減少內存運用率和全新的動態(tài)性能調整，以堅持用戶的任務效率。網(wǎng)絡要挾防護 提供基于規(guī)那么的防火墻引擎和普通破綻利用制止功能 (GEB)，該功能可以在惡意軟件進入系統(tǒng)前將其阻止在外。自動要挾防護 針對不可見的要挾即零日要挾提供防護。包括不依賴特征的自動要挾掃描

29、。單個代理和單個管理控制臺 在一個代理上提供防病毒、反間諜軟件、桌面防火墻、IPS、設備控制和網(wǎng)絡訪問控制需求購買賽門鐵克網(wǎng)絡訪問控制答應證 經(jīng)過單個管理控制臺即可進展全面管理。產(chǎn)品系列系統(tǒng)要求終端準入控制Symantec Network Access Control 11Symantec Network Access Control 11是全面的端到端網(wǎng)絡訪問控制處理方案，經(jīng)過與現(xiàn)有網(wǎng)絡根底架構相集成，使企業(yè)可以平安有效地控制對企業(yè)網(wǎng)絡的訪問。不論端點以何種方式與網(wǎng)絡相連，Symantec Network Access Control 11都可以發(fā)現(xiàn)并評價端點服從形狀、設置適當?shù)木W(wǎng)絡訪問權限

30、、根據(jù)需求提供補救功能，并繼續(xù)監(jiān)視端點以了解服從形狀能否發(fā)生了變化。從而可以營造這樣的網(wǎng)絡環(huán)境：企業(yè)可以在此環(huán)境中大大減少平安事故，同時提高企業(yè) IT 平安戰(zhàn)略的服從級別。Symantec Network Access Control 11使企業(yè)可以按照目的經(jīng)濟有效地部署和管理網(wǎng)絡訪問控制。同時對端點和用戶進展授權在當今的計算環(huán)境中，企業(yè)和網(wǎng)絡管理員面臨著嚴峻的挑戰(zhàn)，即為不斷擴展的用戶群提供訪問企業(yè)資源的權限。其中包括現(xiàn)場和遠程員工，以及訪客、承包商和其他暫時任務人員。如今，維護網(wǎng)絡環(huán)境完好性的義務面臨著前所未有的挑戰(zhàn)。如今無法再接受對網(wǎng)絡提供未經(jīng)檢查的訪問。隨著訪問企業(yè)系統(tǒng)的端點數(shù)量和類型激

31、增，企業(yè)必需可以在銜接到資源以前驗證端點的安康情況，而且在端點銜接到資源之后，要對端點進展繼續(xù)驗證。Symantec Network Access Control 11可以確保在允許端點銜接到企業(yè) LAN、WAN、WLAN 或 VPN 之前服從 IT戰(zhàn)略。主要優(yōu)勢部署 Symantec Network Access Control 11的企業(yè)可以切身體驗到眾多優(yōu)勢。其中包括：減少惡意代碼如病毒、蠕蟲、間諜軟件和其它方式的犯罪軟件的傳播經(jīng)過對訪問企業(yè)網(wǎng)絡的不受管理的端點和受管理的端點加強控制，降低風險為最終用戶提供更高的網(wǎng)絡可用性，并減少效力中斷的情況經(jīng)過實時端點服從數(shù)據(jù)獲得可驗證的企業(yè)服從信息

32、企業(yè)級集中管理架構將總擁有本錢降至最低驗證對防病毒軟件和客戶端防火墻這樣的端點平安產(chǎn)品投資能否得當主要功能網(wǎng)絡訪問控制流程網(wǎng)絡訪問控制是一個流程，涉及對一切類型的端點和網(wǎng)絡進展管理。此流程從銜接到網(wǎng)絡之前開場，在整個銜接過程中繼續(xù)進展。與一切企業(yè)流程一樣，戰(zhàn)略可以作為評價和操作的根底。網(wǎng)絡訪問控制流程包括以下四個步驟：1. 發(fā)現(xiàn)和評價端點。此步驟在端點銜接到網(wǎng)絡訪問資源之前執(zhí)行。經(jīng)過與現(xiàn)有網(wǎng)絡根底架構相集成，同時運用智能代理軟件，網(wǎng)絡管理員可以確保按照最低 IT 戰(zhàn)略要求對銜接到網(wǎng)絡的新設備進展評價。2. 設置網(wǎng)絡訪問權限。只需對系統(tǒng)進展評價并確認其服從 IT 戰(zhàn)略后，才準予該系統(tǒng)進展全面的網(wǎng)

33、絡訪問。對于不服從 IT 戰(zhàn)略或不滿足企業(yè)最低平安要求的系統(tǒng)，將對其進展隔離，限制或回絕其對網(wǎng)絡進展訪問。3. 對不服從的端點采取補救措施。對不服從的端點自動采取補救措施使管理員可以將這些端點快速變?yōu)榉男螤?，隨后再改動網(wǎng)絡訪問權限。管理員可以將補救過程完全自動化，這樣會使該過程對最終用戶完全透明；也可以將信息提供應用戶，以便進展手動補救。4. 自動監(jiān)視服從情況。必需時辰服從戰(zhàn)略。因此，Symantec Network Access Control 11以管理員設置的時間間隔自動監(jiān)視一切端點的服從情況。假設在某一時辰端點的服從形狀發(fā)生了變化，那么該端點的網(wǎng)絡訪問權限也會隨之變化。全方位的端點防

34、護網(wǎng)絡由新企業(yè)系統(tǒng)、早期企業(yè)系統(tǒng)、承包商系統(tǒng)、訪客系統(tǒng)、公共效力站、業(yè)務協(xié)作同伴以及其它無數(shù)未知系統(tǒng)組成。對于其中大部分端點，管理員施加的控制少之又少，甚至不予以控制，但又必需確保網(wǎng)絡的平安性和可用性。 Symantec Network Access Control使企業(yè)可以將網(wǎng)絡訪問控制過程運用于受控或不受控的系統(tǒng)、舊系統(tǒng)或新系統(tǒng)以及未知或知的系統(tǒng)?？稍谌魏尉W(wǎng)絡中部署典型的企業(yè)用戶經(jīng)過多種訪問方法銜接到網(wǎng)絡；因此，管理員必需擁有足夠的靈敏性，可以在不思索銜接類型的情況下一致運用評價和銜接控制。作為當今市場上最成熟的網(wǎng)絡訪問控制處理方案之一， Symantec Network Access C

35、ontrol使網(wǎng)絡管理員可以經(jīng)過對網(wǎng)絡根底架構的現(xiàn)有投資自動實施服從，而不需求晉級網(wǎng)絡設備。不論是運用直接集成到網(wǎng)絡中的某個 Symantec Network Access Control Enforcer僅主機實施選件不要求進展網(wǎng)絡集成，還是運用集成到 Web運用環(huán)境中的可分解代理，企業(yè)都可以確保最終用戶和端點在接入企業(yè)網(wǎng)絡時堅持服從。 產(chǎn)品系列系統(tǒng)要求平臺支持Symantec Endpoint Protection Manager Microsoft Windows 200332 位和 64 位 Microsoft Windows XP32 位 Microsoft Windows 2000

36、SP3 及更高版本32 位Symantec Endpoint Protection Manager 控制臺 Microsoft Vista32 位和 64 位 Microsoft Windows 200332 位和 64 位 Microsoft Windows XP32 位和 64 位 Microsoft Windows 2000SP3 及更高版本32 位Symantec Network Access Control 客戶端操作系統(tǒng)： Windows 2000 Professional Windows 2000 Server Windows 2000 Advanced Server Windo

37、ws 2000 Datacenter Server Windows XP Home Edition 或 Windows XP Professional Windows XP Tablet Edition Windows Server 2003 Standard 或 Windows Server2003 Enterprise Mac OS X 10.4 或更高版本Symantec Network Access Control Scanner操作系統(tǒng)： Windows 2000 Server SP4 Windows 2003 Server SP1最低處置器要求：Intel Pentium 4 1.

38、8 GHz至少 1 GB 內存1 GB 可用硬盤空間Internet Explorer 5.5 或更高版本 Windows 2000 ProfessionalSymantec Network Access Control Enforcer 6100 系列根本硬件設備選件網(wǎng)關、局域網(wǎng)和 DHCP缺點開放硬件設備選件網(wǎng)關、局域網(wǎng)和 DHCPSymantec AltirisIT生命周期管理處理方案Altiris IT生命周期管理處理方案具有多重系統(tǒng)管理功能，企業(yè)能隨著新的要求或新的系統(tǒng)管理需求部署新的功能，隨著企業(yè)的開展而不斷擴展。每個處理方案以模塊化的方式集中安裝在Altiris效力器上，經(jīng)過安裝

39、在客戶端的Agent代理的交互式來實現(xiàn)一切功能。Altiris管理架構Notifications ServerNotification Server是altiris 一切模塊化處理方案的根底架構，一切模塊都基于此。其可擴展管理架構-Extensible Management Architecture(EMA)為客戶提供了一個一致集中又具充分擴展才干的管理平臺。經(jīng)過Notification Server，altriris具備管理復雜網(wǎng)絡環(huán)境的才干無論是LAN還是WAN。 其功能特性如下：完全為BS 構造，Web 方式管理，一致集中的控制臺Altiris 基于Windows .Net技術，采用SQ

40、L Server數(shù)據(jù)庫，符合主流的開展趨勢。可以按角色和區(qū)域進展多級分布式管理其角色平安(Role Base)和區(qū)域平安(Scope Base)特性滿足大型企業(yè)客戶對管理的需求管理多平臺才干可以管理Windows,Linux,Unix,Mac等多種軟硬件平臺，而無須采用第三方產(chǎn)品。強大的與第三方產(chǎn)品集成才干企業(yè)資源共享是企業(yè)IT總體規(guī)劃的重要內容，altiris經(jīng)過其銜接器處理方案(Connector Solution)提供了多種銜接器(Connector)AD，HP OpenView,IBM Director,SMS,Remedy Helpdesk，Oracle甚至SAP。經(jīng)過ODBC,OL

41、E DB,altiris還可以與財務軟件、HR軟件進展資源數(shù)據(jù)共享。強大的Web報表功能Altiris不但提供了數(shù)百個曾經(jīng)預定義的Web報表，還可以讓企業(yè)自定義符合企業(yè)需求的報表。Package Server (分布式效力器)Package Server功能使得altiris可以運用于任何一種企業(yè)架構，無論復雜還是簡單。并且與AD集成。同時Package Server 不需求額外付費，對于有復雜構造WAN環(huán)境企業(yè)可以節(jié)約很大一筆費用。經(jīng)過工業(yè)規(guī)范的SNMP,可以管理基于SNMP設備Altiris不但可以管理PC等設備，還可以管理網(wǎng)絡設備基于戰(zhàn)略的管理Altiris基于戰(zhàn)略的管理可以大大減少反復

42、性的管理任務環(huán)節(jié)，自動化操作才干是IT管理的重要特征。altiris Notification Server是免費的Altiris Notification Server不需求額外的答應證費用，企業(yè)可以自在恣意的擴展管理架構強大的協(xié)作同伴支持才干Altriris支持業(yè)界主流的計算機廠商，并為他們開發(fā)了專門針對硬件底層的管理工具，如IBM 效力器、Dell 效力器和客戶端、HP效力器和客戶端，為客戶提供更深層次的管理工具，這是其他管理軟件很難具有的。綜上所述，altiris管理架構在廣度和深度上都是極具優(yōu)勢。Altiris 功能模塊Client Management SuiteTM處理方案客戶端

43、備份和恢復處理方案 系統(tǒng)實時管理處理方案 虛擬軟件處理方案 軟件打包工具專業(yè)版*每1000個節(jié)點包含一個答應 運用管理處理方案 運用丈量處理方案 遠程控制處理方案 系統(tǒng)部署和遷移處理方案 資產(chǎn)清單處理方案 補丁管理處理方案 軟件分發(fā)處理方案 Client Management Suite 客戶端管理套件第三級第二級第一級第三級第二級第一級 效力器監(jiān)控處理方案系統(tǒng)實時管理處理方案效力器備份及恢復處理方案 運用管理處理方案 效力器系統(tǒng)部署和遷移處理方案 效力器資產(chǎn)管理處理方案 補丁管理處理方案 軟件分發(fā)處理方案 Server Management Suite 效力器管理套件Service & As

44、set Management SuiteTM處理方案第三級第二級第一級 Helpdesk處理方案按每并發(fā)用戶購買答應 資產(chǎn)控制處理方案 合同管理處理方案 銜接器處理方案 TCO管理處理方案按每并發(fā)用戶購買答應 運用丈量處理方案 資產(chǎn)清單處理方案 Service & Asset Management Suite 資產(chǎn)管理套件終端平安系統(tǒng)功能闡明管理系統(tǒng)功能組件闡明終端平安管理系統(tǒng)包括三部分組件：戰(zhàn)略管理效力器戰(zhàn)略效力器實現(xiàn)一切平安戰(zhàn)略、準入控制規(guī)那么的管理、設定和監(jiān)控，是整個終端平安規(guī)范化管理的中心。經(jīng)過運用控制臺管理員可以創(chuàng)建和管理各種戰(zhàn)略、將戰(zhàn)略分配給代理、查看日志并運轉端點平安活動報告。經(jīng)

45、過圖形報告、集中日志記錄和閾值警報等功能提供全面的端點可見性。一致控制臺簡化了端點平安管理，提供集中軟件更新、戰(zhàn)略更新、報告等功能。戰(zhàn)略管理效力器可以完成以下義務： 終端分組與權限管理；根據(jù)地理位置、業(yè)務屬性等條件對終端進展分組管理，對于不同的組可以制定專門的組管理員，并進展權限控制。戰(zhàn)略管理與發(fā)布；戰(zhàn)略包括自動防護戰(zhàn)略、手動掃描的戰(zhàn)略、手動掃描的戰(zhàn)略、病毒、木馬防護戰(zhàn)略、惡意腳本防護戰(zhàn)略、電子郵件防護戰(zhàn)略包括outlook、lotus以及internet郵件、廣告軟件防護戰(zhàn)略、前瞻性要挾防護戰(zhàn)略、防火墻戰(zhàn)略、入侵防護戰(zhàn)略、硬件維護戰(zhàn)略、軟件維護戰(zhàn)略、晉級戰(zhàn)略、主機完好性戰(zhàn)略等平安內容更新下發(fā)

46、平安內容更新包括病毒定義、防火墻規(guī)那么、入侵防護定義、自動要挾防護規(guī)那么等日志搜集和報表呈現(xiàn)可以生成日報/周報/月報，報告種類包括：風險報表以效力器組、父效力器、客戶端組、計算機、IP、用戶名為條件識別感染源、當前環(huán)境下高風險列表、按類型劃分的平安風險、計算機形狀報表內容定義分發(fā)、產(chǎn)品版本列表、未接受管理客戶端列表、掃描形狀報表、審計報表、軟件和硬件控制報表、網(wǎng)絡要挾防護報表、系統(tǒng)報表、平安服從性報表。強迫效力器管理和戰(zhàn)略下發(fā)對于交換機強迫效力器和網(wǎng)關強迫設備進展一致的管理和戰(zhàn)略定義。終端代理安裝包的維護和晉級；終端代理包括終端維護代理和準入控制代理終端平安管理系統(tǒng)需求在一切的終端上部署平安代

47、理軟件，平安代理是整個企業(yè)網(wǎng)絡平安戰(zhàn)略的執(zhí)行者，它安裝在網(wǎng)絡中的每一臺終端計算機上。平安代理實現(xiàn)端點維護和準入控制功能。端點維護功能包括：防病毒和反間諜軟件 提供病毒防護、間諜軟件防護、rootkit 防護。網(wǎng)絡要挾防護 提供基于規(guī)那么的防火墻引擎和普通破綻利用制止功能 (GEB)，該功能可以在惡意軟件進入系統(tǒng)前將其阻止在外。自動要挾防護 針對不可見的要挾即零日要挾提供防護。包括不依賴特征的自動要挾掃描。端點準入控制功能包括：主機完好性檢查和自動修復：檢查終端計算機上防火墻、防病毒軟件、反間諜軟件、補丁程序、Service Pack 或其他必需運用程序能否符合要求，詳細內容可以是對防病毒程序的

48、安裝，windows補丁安裝，客戶端啟用強口令戰(zhàn)略，封鎖有要挾的效力與端口。由于主機完好性檢查支持對終端的注冊表檢查與設置，進程管理，文件檢查，下載與啟動程序等，所以可經(jīng)過設置自定義的戰(zhàn)略來滿足幾乎一切對客戶端的平安戰(zhàn)略與管理要求。強迫：當終端的平安設置不能滿足企業(yè)基準平安戰(zhàn)略的需求，可以限制終端的網(wǎng)絡訪問，如只能訪問修復效力器進展自動修復操作。以上兩部分功能由一個代理軟件完成，接受戰(zhàn)略管理效力器的一致管理。強迫認證效力器對于那些未安裝終端代理的終端或者私自卸載代理軟件的終端，必需經(jīng)過網(wǎng)絡強迫的方式進展控制。這需求部署相關的強迫效力器LAN Enforcer。賽門鐵克 LAN Enforcer

49、 802.1X 是帶外 802.1X RADIUS 代理處理方案，它與支持 802.1X 規(guī)范的一切主要交換供應商協(xié)同任務。幾乎一切有線以太網(wǎng)和無線以太網(wǎng)交換機制造商都支持IEEE 802.1x 準入控制協(xié)議。LAN Enforcer 運用該鏈接級協(xié)議評價端點服從性，提供自動問題修復并允許服從系統(tǒng)進入企業(yè)網(wǎng)絡。在實施期間，端點上的賽門鐵克代理運用 802.1x 將服從信息傳送到網(wǎng)絡交換機上，然后將此信息中繼到 LAN Enforcer。假設端點不服從戰(zhàn)略，LAN Enforcer 會將其放入隔離網(wǎng)絡，在此對其進展修復，而不會影響任何服從端點。Symantec Network Access Co

50、ntrol 11補救端點并將其轉換到服從形狀后，802.1x 協(xié)議將試圖對用戶重新進展身份驗證，并為其授予網(wǎng)絡訪問權限。LAN Enforcer 可以參與現(xiàn)有 AAA 身份管理架構以便對用戶和端點進展身份驗證，對于只需求進展端點服從驗證的環(huán)境，也可以充任獨立的 RADIUS 處理方案也稱為透明方式。在透明方式下，管理員只需將交換機配置為運用 LAN Enforcer 作為 RADIUS 效力器，就能讓設備根據(jù)服從所定義戰(zhàn)略的情況對端點進展身份驗證。在透明方式下運轉 LAN Enforcer 無需額外根底架構，并且是一種實施基于 VLAN 交換的平安網(wǎng)絡準入控制處理方案的簡一方法。系統(tǒng)架構功能設

51、計兩級管理體系終端接入控制平臺按照兩級架構設計，總部省公司如以下圖：在總部設立全國范圍的終端接入控制平臺中心，制定并下發(fā)一致的全網(wǎng)管理戰(zhàn)略。這些戰(zhàn)略主要以戰(zhàn)略模版庫的方式提供。這些戰(zhàn)略經(jīng)過同步與復制的機制，在一二級效力器間堅持一致。二級管理平臺上戰(zhàn)略的變卦也都會同步回一級控制平臺，在一級管理平臺上可以預覽任何一個二級甚至三級效力器上的戰(zhàn)略運用情況。二級 VS 兩級以上的管理在3.2.1節(jié)中，我們設計的是一個二級管理體系。經(jīng)過復制關系實現(xiàn)上下級之間的戰(zhàn)略同步。根據(jù)需求，我們可以實現(xiàn)二級以上的管理關系。例如，國家電網(wǎng)在總部實現(xiàn)一級管理平臺，在各省中心實現(xiàn)二級管理平臺，在一個大的地市實現(xiàn)三級管理架構

52、，如以下圖所示：實際上SEP11的管理架構層次是無限多，但是在實踐部署中，我們引薦國家電網(wǎng)的SEP架構設計控制在三層以下。其一可以減少管理上的復雜度，包括架構的設計，人員的調配設置，權限的分級下發(fā)設計；另外也防止了更多的硬件本錢支出。戰(zhàn)略的同步與復制復制就是不同地點或站點間的效力器系統(tǒng)經(jīng)過特別拷貝來共享數(shù)據(jù)的過程。終端接入控制平臺的戰(zhàn)略同步復制在邏輯上和微軟域戰(zhàn)略的同步復制類似，它并非簡單的數(shù)據(jù)庫間復制關系，它內部包含有周全的防止戰(zhàn)略沖突的處置。經(jīng)過戰(zhàn)略復制與同步，不同地點的用戶都任務在本地的副本之上，然后同步他們之間的變卦。在終端接入控制平臺上，戰(zhàn)略復制還可以將一個管理效力器上的變卦同步到另

53、一個數(shù)據(jù)庫上，實現(xiàn)冗余備份。經(jīng)過戰(zhàn)略復制，終端接入控制平臺可以支持多級管理，以及無限的終端數(shù)量擴展才干，從而滿足國家電網(wǎng)終端節(jié)點規(guī)模不斷擴展的需求。效力器的負載平衡SEP11/SNAC11可以自行實現(xiàn)負載平衡和災難恢復設置，無需再另行添置相關軟硬件設置。SEP11的負載平衡建立在現(xiàn)有體系構造之上，它提供了一種廉價有效的方法擴展效力器帶寬和添加吞吐量，加強網(wǎng)絡數(shù)據(jù)處置才干，提高網(wǎng)絡的靈敏性和可用性。它主要完成以下義務：處理網(wǎng)絡擁塞問題，效力就近提供，實現(xiàn)地理位置無關性 ；為用戶提供更好的訪問質量；提高效力器呼應速度；提高效力器及其他資源的利用效率；防止了網(wǎng)絡關鍵部位出現(xiàn)單點失效。SEP11可以為

54、每一個地域/組織構造/組的用戶創(chuàng)建不同的效力器鏈接列表，當客戶端接納到最新的效力器列表戰(zhàn)略后，它會從列表中經(jīng)過隨機算法選擇其中之一的效力器進展銜接，假設銜接不上，會繼續(xù)經(jīng)過隨機算法選擇其他效力器列別當中的一個進展銜接，直至銜接到某一個效力器為止，如以下圖所示：此外， SEP11還可以定制不同的效力器優(yōu)先級，即只需本人的效力器列表第一優(yōu)先級中一切的效力器全部銜接不上時，自動尋覓優(yōu)先級為二級的效力器列表，如以下圖所示：客戶端的遨游對于國家電網(wǎng)這個大型企業(yè)來說，員工的流動性也是非常大。假設員工在分開其所在地出差到其他分支機構時，假設SEP11客戶端依然去銜接其原有的效力器，在網(wǎng)絡帶寬允許的情況下是不

55、會有太大問題是；但是假設分支構造較小，又或者網(wǎng)絡銜接情況不甚理想時，和效力器的銜接這個問題就必需慎重思索，否那么，或者客戶端無法銜接其管理其的效力器，或者占用大量廣域網(wǎng)的網(wǎng)絡帶寬，給業(yè)務系統(tǒng)運用網(wǎng)絡帶來不用要的影響。SEP11充分思索到了大型企業(yè)的員工在出差遨游到外地時的系統(tǒng)設置，方便客戶端就近銜接到本地的效力器組，不但大大提高了銜接速度，也防止和業(yè)務系統(tǒng)搶占珍貴的廣域網(wǎng)帶寬。方法之一是采用DNS的遨游；方法二是自動處所切換功能。像國家電網(wǎng)這樣的大型企業(yè)不但在全國都有本人的分支機構，網(wǎng)絡建立更是走在其他全國的前列。全國建立了本人的獨立的Intranet，此外，各個大區(qū)也建立了本人的DNS效力器

56、和DHCP效力器，客戶端可以就近解析網(wǎng)絡域名。SEP11系統(tǒng)在建立之初，可以在全國范圍內運用一致的域名，例如 sepm.sgcc ，隨后在各地市的DNS效力器上綁定域名和對應的本地的SEPM效力器IP地址，例如，總部和北京地域是共用同一臺DNS效力器，同時總部和北京地域的SEPM效力器有三臺4.2.4節(jié)引見的負載平衡，IP地址分別是、，管理員可以在本地的DNS效力器上設置sepm.sgcc對應的IP地址就是、。當用戶電腦啟動后會首先接受本地DHCP效力器分配的IP地址、網(wǎng)關以及本地的DNS效力器IP地址。隨后當SEP11客戶端試圖銜接SEPM效力器時，這臺客戶端會首先向本地DNS效力器發(fā)起解析

57、sepm.sgcc域名懇求，由DNS效力器隨機分配IP地址給SEP11客戶端。這樣，不論用戶能否是總部的用戶，只需終端上的DNS效力器指向的是本地SEPM效力器，就能順利的實現(xiàn)客戶端的遨游。同樣道理，各地市的DNS效力器也分別將sepm.sgcc這個域名解析到本地的SEPM效力器的IP地址。當總部或其它地市的電腦遨游到本地市時，就能經(jīng)過本地市的DNS效力器順利銜接到本地的SEPM效力器。方法二是采用SEP終端平安管理系統(tǒng)的自動處所切換功能。強大的SEP11終端平安管理系統(tǒng)能根據(jù)管理員的實踐需求，在以下條件中恣意選擇一個或者多個；條件可以是“和，也可以是“或，組成一個判別用戶當前所處環(huán)境的判別。

58、條件包括以下：IP 范圍包括單個IP地址、子網(wǎng)地址、IP地址段、IP地址范圍等DNS 效力器IP地址DHCP效力器IP地址客戶端可以解析主機名客戶端可以銜接到管理效力器可以連，或者是無法銜接網(wǎng)絡銜接類型包括 任何網(wǎng)絡 撥號網(wǎng)絡 以太網(wǎng) 無線Check Point VPN-1Cisco VPNMicrosoft PPTP VPNJuniper NetScreen VPNNortel Contivity VPNSafeNet SoftRemote VPNAventail SSL VPNJuniper SSL VPN注冊表鍵值例如，管理員指定，當用戶拿到了50的地址，同時經(jīng)過以太網(wǎng)銜接，DNS效力器

59、的IP地址是10.1.254，那么以為其遨游到了總部地址。這樣，任何一個客戶端假設滿足上訴條件的組合，即可以為其處在總部地域，隨即分配總部地域的SEPM效力器與其銜接。容災與災備系統(tǒng)容災和災備系統(tǒng)的設計對任何一個系統(tǒng)都是極其重要，尤其是對一個覆蓋全網(wǎng)的平安管理系統(tǒng)。SEP11充分思索到了用戶的需求并提供了多種方法供管理員選擇。容災系統(tǒng)設計分為兩部分，一部分是對于SEPM效力器的容災設計，另外一個是SEPM的后臺數(shù)據(jù)庫效力器的容災設計。SEPM效力器的容災設計在4.2.4節(jié)曾經(jīng)詳細描畫，即客戶端可以隨機銜接任何一個SEPM效力器組中的SEPM，恣意一個SEPM效力器宕機都不會影響客戶端和效力器的

60、通訊。同時，SEPM效力器優(yōu)先級的設置可以保證在極端情況下即使同一個地域一切的SEPM全部宕機，此地域的客戶端也可以銜接到其他地域的SEPM效力器。如以下圖所示：上圖是同一地域同一優(yōu)先級的SEPM冗余設計。上圖左部分是優(yōu)先級為1的本地SEPM效力器群，右邊的是優(yōu)先級為2的異地SEPM效力器群。在SEPM效力器實現(xiàn)冗余設計后，數(shù)據(jù)庫的冗余設計也需求得到管理員的同樣注重。SEP終端平安管理系統(tǒng)一切的數(shù)據(jù)均儲存在后臺的數(shù)據(jù)庫上，包括客戶端的分組、戰(zhàn)略的定義、病毒庫，以及定期產(chǎn)生的日志及報表等等。所以，維護數(shù)據(jù)庫的冗余以及災備系統(tǒng)設置及就顯得更為重要了數(shù)據(jù)庫的冗余設計也分為兩種，一種是單站點的設置，另