【正文】 作，但由于需要手動(dòng)設(shè)置網(wǎng)絡(luò)訪問而導(dǎo)致數(shù)日或數(shù)周無法訪問網(wǎng)絡(luò)，則會(huì)造成時(shí)間和成本的浪費(fèi)。 為解決該問題， Symantec Network Access Control 提供了一個(gè)可分解的臨時(shí)代理。例如，當(dāng)訪客端點(diǎn)嘗試連接到網(wǎng)絡(luò)時(shí)，基于網(wǎng)絡(luò)的實(shí)施解決方案會(huì)識(shí)別它不是已知端點(diǎn)設(shè)備，并將其重定向到 Web 服務(wù)器，它可以在其中下載可分解的即時(shí)代理。 除了為臨時(shí)端點(diǎn)使用該重定向功能外，還可以將其用于屬于新員工的端點(diǎn)。 通過提供多個(gè)選項(xiàng)來驗(yàn)證遵從端點(diǎn)狀態(tài)和配置的策略， Symantec Network Access Control 可以確保試圖訪問企業(yè)網(wǎng)絡(luò)的員工和訪客滿足其最低安全標(biāo)準(zhǔn)和要求。 根據(jù)連接到網(wǎng)絡(luò)的端點(diǎn)的不同類 型，公司可選擇使用三種端點(diǎn)評(píng)估技術(shù)的混合技術(shù)來以獲得全面的防護(hù)。 賽門鐵克的基于網(wǎng)絡(luò)的實(shí)施方法作為硬件設(shè)備交付的組件提供，包括 LAN、DHCP 和網(wǎng)關(guān)方法，其中 DHCP 方法可以作為軟件插件而提供。 使用自我實(shí)施的優(yōu)勢(shì)在于它不需要部署基于網(wǎng)絡(luò)的實(shí)施組件，即可管理對(duì)網(wǎng)絡(luò)的訪問。它不能解決訪客或臨時(shí)員工等不受控端點(diǎn)連接到網(wǎng)絡(luò)的問題。許多解決方案過于復(fù)雜，并且非常 難以部署。使用賽門鐵克的基于主機(jī)的實(shí)施選項(xiàng)可以輕松部署網(wǎng)絡(luò)準(zhǔn)入控制。 企業(yè)可以按照自己的進(jìn)度，實(shí)施賽門鐵克提供的其它基于網(wǎng)絡(luò)的實(shí)施選項(xiàng)，以補(bǔ)充基于主機(jī)的實(shí)施選項(xiàng)。由于這些解決方案不依賴于內(nèi)部網(wǎng)絡(luò)或基礎(chǔ)架構(gòu)，所以企業(yè)可以采取分階段方法完成實(shí)施，根據(jù)自己的時(shí)間表自行決定如何進(jìn)行部署。 Gateway Enforcer 的典型部署方案是位于遠(yuǎn)程分支機(jī)構(gòu)與公司總部之間的 IPSec VPN、 WAN 連接之后、無線網(wǎng)絡(luò)和會(huì)議室網(wǎng)絡(luò)之上、關(guān)鍵服務(wù)器或小型 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 技術(shù) 規(guī)范 － 38－ 數(shù)據(jù)中心之前。分配的這 一限制性租用是不可路由或隔離的 IP 地址，提供降低的網(wǎng)絡(luò)訪問權(quán)限。 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 技術(shù) 規(guī)范 － 39－ 由于 DHCP Enforcer 作為內(nèi)嵌 DHCP 代理工作，所以它與任何現(xiàn)有 DHCP 基礎(chǔ)架構(gòu)都兼容，并且無需升。遵從策略的端點(diǎn)將啟動(dòng) DHCP 發(fā)布和更新要求。 DHCP Enforcer 賽門鐵克的 DHCP Enforcer 以內(nèi)嵌方式部署在端點(diǎn)和企業(yè)現(xiàn)有的 DHCP 服務(wù)基礎(chǔ)架構(gòu)之間。 Gateway Enforcer 賽門鐵克的 Gateway Enforcer 是在網(wǎng)絡(luò)瓶頸點(diǎn)部署的內(nèi)嵌實(shí)施設(shè)備，所以它可以根據(jù)端點(diǎn)遵從制定的企業(yè)策略的情況，控制和阻止遠(yuǎn)程端點(diǎn)的通信流。這些附加的基于網(wǎng)絡(luò)的關(guān)鍵實(shí)施產(chǎn)品包括： ? 網(wǎng)關(guān) Enforcer — 網(wǎng)絡(luò)瓶頸點(diǎn)的內(nèi)嵌實(shí)施 ? DHCP Enforcer — 對(duì)任何基礎(chǔ)架構(gòu)上的局域網(wǎng)和無線網(wǎng)絡(luò)使用基于 DHCP 的強(qiáng)制方法 ? LAN Enforcer— — 對(duì)局域網(wǎng)和無線網(wǎng)絡(luò)使用基于標(biāo)準(zhǔn)的帶外方法 與網(wǎng)絡(luò)準(zhǔn)入控制代理一樣， Symantec Enforcer 產(chǎn)品獨(dú)立于網(wǎng)絡(luò)操作系統(tǒng)，能夠輕松與任何網(wǎng)絡(luò)基礎(chǔ)架構(gòu)集成。已在使用 Symantec Endpoint Protection 解決方案的企業(yè)已經(jīng)部署了代 理，只需啟用網(wǎng)絡(luò)準(zhǔn)入控制即可利用該功能。在進(jìn)行部署時(shí)遇到的代理問題或網(wǎng)絡(luò)實(shí)施問題會(huì)導(dǎo)致解決方案毫無用處，排查并解決這些問題的難度極大，還可能導(dǎo)致不正確地阻止用戶訪問網(wǎng)絡(luò)。 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 技術(shù) 規(guī)范 － 36－ 上圖即是 賽門鐵克實(shí)施選項(xiàng)的類型 許多企業(yè)難以決定是否部署網(wǎng)絡(luò)準(zhǔn)入控制解決方案，因?yàn)樵S多產(chǎn)品的內(nèi)部設(shè)計(jì)具有破壞性。如果企業(yè)已經(jīng)部署了 Symantec Endpoint Protection 產(chǎn)品，則實(shí)施會(huì)更加輕松。該方法使用賽門鐵克桌面防火墻來允許或拒絕訪問。網(wǎng)絡(luò)準(zhǔn)入控制解決方案必須具有足夠的靈活性，這樣才能在不需要增加管理和維護(hù)開銷的前提下，將多種實(shí)施方法輕松集成到現(xiàn)有環(huán)境中。遠(yuǎn)程漏洞掃描根據(jù)來自 Symantec Network Access Control Scanner 的無證書證明的遠(yuǎn)程漏洞掃描結(jié)果，向 Symantec Network Access Control 實(shí)施基礎(chǔ)架構(gòu)提供遵從信息。如果用戶選擇員工選項(xiàng)，則基于網(wǎng)絡(luò)的 Enforcer 可以決定端點(diǎn)是否為屬于企業(yè)的資產(chǎn)。如果遵從，則會(huì)為端點(diǎn)授予訪問生產(chǎn)網(wǎng)絡(luò)的權(quán)限。這些基于 Java? 的代理是根據(jù)需要提供的，無需管理員權(quán)限即可評(píng)估端點(diǎn)遵從狀況。 有效的網(wǎng)絡(luò)準(zhǔn)入控制解決方案必須具備下列功能和靈活性：驗(yàn)證新端點(diǎn)或臨時(shí)端點(diǎn)不會(huì)對(duì)網(wǎng)絡(luò)造成威脅，并決定為端點(diǎn)授予的網(wǎng)絡(luò)訪問權(quán)限級(jí)別。 下圖是永久代理的示意圖： 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 技術(shù) 規(guī)范 － 33－ 可分解的代理 網(wǎng)絡(luò)準(zhǔn)入控制領(lǐng)域的最大挑戰(zhàn)之一在于能否對(duì)訪客用戶的網(wǎng)絡(luò)準(zhǔn)入 進(jìn)行正確處理。另外，不基于代理 的解決方案很可能沒有足夠的權(quán)限來對(duì)端點(diǎn)進(jìn)行必要修改，以使其從不遵從狀態(tài)進(jìn)入遵從狀態(tài)。 賽門鐵克認(rèn)為成功網(wǎng)絡(luò)準(zhǔn)入控制的關(guān)鍵同樣從部署基于永久代理的解決方案開始。不管目標(biāo)是什么，該過程都是首先從評(píng)估端點(diǎn)入手。 如果在某一時(shí)刻端點(diǎn)的遵從狀態(tài)發(fā)生了變化，那么該端點(diǎn)的網(wǎng)絡(luò)訪問權(quán)限也會(huì)隨之變化。管理員可以將補(bǔ)救過程完全自動(dòng)化，這樣會(huì)使該過程對(duì)最終用戶完全透明；也可以將信息提供給用戶，以便進(jìn)行手動(dòng)補(bǔ)救。 2. 設(shè)置網(wǎng)絡(luò)訪問權(quán)限。下圖顯示了該網(wǎng)絡(luò)準(zhǔn)入控制流程執(zhí)行的步驟。 根據(jù) IT 管理員設(shè)置的策略（并根據(jù)已部署的實(shí)施選件類型），賽門鐵克實(shí)施技術(shù)能夠自動(dòng)將不遵從端點(diǎn)的狀態(tài)改為遵從。在備份周期上可以選擇每小時(shí) /每日 /每周。 在任何災(zāi)難發(fā)生時(shí)，如果不幸造成了某一個(gè)站點(diǎn)的數(shù) 據(jù)庫(kù)徹底無法恢復(fù)（包括我們下面還要介紹的數(shù)據(jù)庫(kù)備份文件也損壞）時(shí)，其他兩個(gè)完好站點(diǎn)的數(shù)據(jù)庫(kù)可以在第一時(shí)間將已經(jīng)同步的數(shù)據(jù)庫(kù)內(nèi)容完好如初的恢復(fù)到災(zāi)難地區(qū)新建的數(shù)據(jù)庫(kù)服務(wù)器上。管理員可以根據(jù)實(shí)際需要，在不同站點(diǎn)的數(shù)據(jù)庫(kù)服務(wù)器之間配置需要同步的內(nèi)容，如下圖所示： 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 技術(shù) 規(guī)范 － 27－ 在上圖中，管理員設(shè)置兩個(gè)分支機(jī)構(gòu)的“策略 /組信息”完全和總部同步，也就是說總部、站點(diǎn) 站點(diǎn) 2 個(gè)含有一個(gè)完全一樣的“策略 /組信息”數(shù)據(jù)庫(kù)。對(duì)于單站點(diǎn)來說，重要的是如何保護(hù)其唯一一個(gè)數(shù)據(jù)庫(kù)。 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 技術(shù) 規(guī)范 － 25－ 上圖左部分是優(yōu)先級(jí)為 1 的本地 SEPM 服務(wù)器群，右邊的是優(yōu)先級(jí)為 2 的異地 SEPM 服務(wù)器群。 容災(zāi)系統(tǒng)設(shè)計(jì)分為兩部分，一部分是對(duì)于 SEPM 服務(wù)器的容災(zāi)設(shè)計(jì)，另外一個(gè)是 SEPM 的后臺(tái)數(shù)據(jù)庫(kù)服務(wù)器的容災(zāi)設(shè)計(jì)。 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 技術(shù) 規(guī)范 － 23－ 條件包括以下： IP 范圍（包括單個(gè) IP 地址、子網(wǎng)地址、 IP 地址段、 IP 地址范圍等） DNS 服務(wù)器 IP 地址 DHCP 服務(wù)器 IP 地址 客戶端可以解析主機(jī)名 客戶端可以連接到管理服務(wù)器（可以連，或者是無法連接） 網(wǎng)絡(luò)連接類型（包括 ■ 任何網(wǎng)絡(luò) ■ 撥號(hào)網(wǎng)絡(luò) ■ 以太網(wǎng) ■ 無線 Check Point VPN1 Cisco VPN Microsoft PPTP VPN Juniper NetScreen VPN Nortel Contivity VPN SafeNet SoftRemote VPN Aventail SSL VPN Juniper SSL VPN） 注冊(cè)表鍵值 例如，管理員指定，當(dāng)用戶拿到了 —— 的地址，同時(shí)通過以太網(wǎng)連接， DNS 服務(wù)器的 IP 地址是 ，則認(rèn)為其漫游到了總部地址。 同樣道理，各地市的 DNS 服務(wù)器也分別將 這個(gè)域名解析到本地的 SEPM 服務(wù)器的 IP 地址。 SEP11系統(tǒng)在建立之初，可以在全國(guó)范圍內(nèi)使用統(tǒng)一的域名，例如 ，隨后在各地市的 DNS 服務(wù)器上綁定域名和對(duì)應(yīng)的本地的 SEPM 服務(wù)器 IP 地址，例如，總部和北京地區(qū)是共用同一臺(tái) DNS 服務(wù)器，同時(shí)總部和北京地區(qū)的 SEPM服務(wù)器有三臺(tái)（ 節(jié)介紹 的負(fù)載均衡）， IP 地址分別是 、 、管理員可以在本地的 DNS 服務(wù)器上設(shè)置 對(duì)應(yīng)的 IP 地址就是 、 、 。 SEP11 充分考慮到了大型企業(yè)的員工在出差漫游到外地時(shí)的系統(tǒng)設(shè)置，方便客戶端就近連接到本地的服務(wù)器組，不但大大提高了連接速度，也避免和業(yè)務(wù)系統(tǒng)搶占寶貴的廣域網(wǎng)帶寬。 SEP11 的 負(fù)載均衡建立在現(xiàn)有 體系 結(jié)構(gòu)之上，它提供了一種廉價(jià)有效的方法擴(kuò)展服務(wù)器帶寬和增加吞吐量，加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)處理能力，提高網(wǎng)絡(luò)的靈活性和可用性。 實(shí)現(xiàn)方式如下： 在對(duì)不同地市用戶 用戶進(jìn)行分組，并對(duì)不同的 地市 組制定不同的安全策略。在終端接入控制平臺(tái)上，策略復(fù)制還可以將一個(gè)管理服務(wù)器上的變更同步到另一個(gè)數(shù)據(jù)庫(kù)上，實(shí)現(xiàn)冗余備份。其一可以減少管理上的復(fù)雜度，包括架構(gòu)的設(shè)計(jì)，人員的調(diào)配設(shè)置，權(quán)限的分級(jí)下發(fā)設(shè)計(jì)；另外也避免了更多的硬件成 本支出。 二級(jí) VS 兩級(jí)以上的管理 在 節(jié)中，我們?cè)O(shè)計(jì)的是一個(gè)二級(jí)管理體系。 兩級(jí)管理體系 終端接入控制平臺(tái) 按照兩級(jí)架構(gòu)設(shè)計(jì)， 總部 —省公司 如下圖： 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 技術(shù) 規(guī)范 － 17－ 在 總部設(shè)立全國(guó) 范圍的 終端接入控制平臺(tái) 中心，制定并下發(fā)統(tǒng)一的全網(wǎng) 管理策略。在透明模式下，管理員只需將交換機(jī)配置為使用 LAN Enforcer 作為 RADIUS 服務(wù)器，就能讓設(shè)備根據(jù)遵從所定義策略的情況對(duì)端點(diǎn)進(jìn)行身份驗(yàn)證。在實(shí)施期間，端點(diǎn)上的賽門鐵克代理使用 將遵從信息傳送到網(wǎng)絡(luò)交換機(jī)上，然后將此信息中繼到 LAN Enforcer。這需要部署相關(guān)的強(qiáng)制服務(wù)器（ LAN Enforcer）。因?yàn)橹鳈C(jī)完整性檢查支持對(duì)終端的注冊(cè)表檢查與設(shè)置，進(jìn)程管理，文件檢查，下載與啟動(dòng)程序等，所以可通過設(shè)置自定義的策略來滿足幾乎所有對(duì)客戶端的安全策略與管理要求。 ? 網(wǎng)絡(luò)威脅防護(hù) — 提供基于規(guī)則的防火墻引擎和一般漏洞利用禁止功能 (GEB)，該功能可以在惡意軟件進(jìn)入系統(tǒng)前將其阻止在外。 ? 強(qiáng)制服務(wù)器管理和策略下發(fā) 對(duì)于交換機(jī)強(qiáng)制服務(wù)器和網(wǎng)關(guān)強(qiáng)制設(shè)備進(jìn)行統(tǒng)一的管理和策略定義。通過圖形報(bào)告、集中日志記錄和閾值警報(bào)等功能提供全面的端點(diǎn)可見性。 解決方案的主要市場(chǎng)、技術(shù)定位 Altiris 解決方式適合于擁有幾千臺(tái)、數(shù)萬臺(tái)甚至數(shù)十萬臺(tái)計(jì)算機(jī)的各種規(guī)模的 企業(yè)組織，這些企業(yè)組織須要有效降低 IT 管理成本和提高 IT管理效率，以求得良好的投資回報(bào)率，促進(jìn)企業(yè)業(yè)務(wù)發(fā)展與擴(kuò)大 Altiris 解決方案在商業(yè)組織、政府機(jī)構(gòu)、教育等幾乎所有領(lǐng)域都擁有眾多成功案例。 同時(shí) Package Server 不需要額外付費(fèi)，對(duì)于有復(fù)雜結(jié)構(gòu) WAN 環(huán)境企業(yè)可以節(jié)約很大一筆費(fèi)用。 通過 ODBC,OLE DB,altiris 還可以與財(cái)務(wù)軟件、 HR 軟件進(jìn)行資源數(shù)據(jù)共享。通過 Notification Server， altriris 具備管理復(fù)雜網(wǎng)絡(luò)環(huán)境的能 力 無論是 LAN 還是 WAN。 Symantec Altiris（ IT 生命周期管理解決方案） Altiris IT 生命周期管理解決方案具有多重系統(tǒng)管理功能，企業(yè)能隨著新的要求或新的系統(tǒng)管理需求部署新的功能，隨著企業(yè)的發(fā)展而不斷擴(kuò)充。 4. 主動(dòng)監(jiān)視遵從狀況。對(duì)于不遵從 IT 策略或不滿足企業(yè)最低安全要求的系統(tǒng)，將對(duì)其進(jìn)行隔離，限制或拒絕其對(duì)網(wǎng)絡(luò)進(jìn)行訪問。此步驟在端點(diǎn)連接到網(wǎng)絡(luò)訪問資源之前執(zhí)行。其中包括： ? 減少惡意代碼（如病毒、蠕蟲、間諜軟件和其它形式的犯罪軟件）的傳播 ? 通過對(duì)訪問企業(yè)網(wǎng)絡(luò)的不受管理的端點(diǎn)和受管理的端點(diǎn)加強(qiáng)控制，降低風(fēng)險(xiǎn) ? 為 最終用戶提供更高的網(wǎng)絡(luò)可用性，并減少服務(wù)中斷的情況 ? 通過實(shí)時(shí)端點(diǎn)遵從數(shù)據(jù)獲得可驗(yàn)證的企業(yè)遵從信息 ? 企業(yè)級(jí)集中管理架構(gòu)將總擁有成本降至最低 ? 驗(yàn)證對(duì)防病毒軟件和客戶端防火墻這樣的端點(diǎn)安全產(chǎn)品投資是否得當(dāng) 主要功能 網(wǎng)絡(luò)訪問控制流程 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 技術(shù) 規(guī)范 － 8－ 網(wǎng)絡(luò)訪問控制是一個(gè)流程，涉及對(duì)所有類型的端點(diǎn)和網(wǎng)絡(luò)進(jìn)行管理。如今無法再接受對(duì)網(wǎng)絡(luò)提供未經(jīng)檢查的訪問。 Symantec Network Access Control 11 使企業(yè)可以按照目標(biāo)經(jīng)濟(jì)有效地部署和管理網(wǎng)絡(luò)訪問控制。 單個(gè)代理和單個(gè)管理控制臺(tái) — 在一個(gè)代理上提供防病毒、反間諜軟件、桌面防火墻、 IPS、設(shè)備控制和網(wǎng)絡(luò)訪問控制（需要購(gòu)買賽門鐵克網(wǎng)絡(luò)訪問控制許可證） — 通過單個(gè)管理控制臺(tái)即可進(jìn)行全面管理 。 主要功能 防病毒和反間諜軟件 — 提供了無可匹敵的一流惡意軟件防護(hù)能力，包括市場(chǎng)領(lǐng)先的防病 毒防護(hù)、增強(qiáng)的間諜軟件防護(hù)、新 rootkit 防護(hù)、減少內(nèi)存使用率和全新的動(dòng)態(tài)性能調(diào)整，以保持用戶的工作效率。 ? 無縫 易于安裝、配置和管理 — Symantec Endpoint Protection11 使您可以輕松啟用、禁用和配置所需的 技術(shù)，以適應(yīng)您的環(huán)境。 易于部署 — 由于它只需要一個(gè)代理和管理控制臺(tái)，并且可以利用企業(yè)現(xiàn)有的安全和 IT 投資進(jìn)行操作，因此， Symantec Endpoint Protectio