【導(dǎo)讀】賽門鐵克軟件（北京）有限公司。版本修訂日期修訂人描述。桌面終端標(biāo)準(zhǔn)化管理系統(tǒng)技術(shù)規(guī)范。廠商的完整IT運維產(chǎn)品線，產(chǎn)品在該產(chǎn)品線中的位置，與其他產(chǎn)品的關(guān)系.......12

　　

【正文】 Enforcers 作為允許或拒絕訪問網(wǎng)絡(luò)的門戶； 策略管理通過一個中央管理控制臺創(chuàng)建、編輯和管理網(wǎng)絡(luò)準(zhǔn)入控制規(guī)則或策略； 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 技術(shù) 規(guī)范 － 29－ 如下圖所示： 實施評估技術(shù)向從中創(chuàng)建、編輯和管理策略的 Symantec Endpoint Protection Manager 報告，并通過它接收其配置策略信息。如果賽門鐵克實施評估技術(shù)確定該端點不遵從策略，則會告知 Symantec Enforcer 阻止該端點訪問網(wǎng)絡(luò)。 根據(jù) IT 管理員設(shè)置的策略（并根據(jù)已部署的實施選件類型），賽門鐵克實施技術(shù)能夠自動將不遵從端點的狀態(tài)改為遵從。通過執(zhí)行補救任務(wù)，如致電當(dāng)?shù)氐难a丁程序經(jīng)理以安裝最新補丁程序，或者利用端點上為其它任務(wù)安裝的其它工具，即可實現(xiàn)這一目的。 Symantec Network Access Control 會為各類網(wǎng)絡(luò)中的所有類型端點驗證并實施策略遵從。通過將策略作為所有評估和操作的基礎(chǔ)，此驗證和實施流程在端點連接到網(wǎng)絡(luò)之前開始，并且貫穿整個連接過程。下圖顯示了該網(wǎng)絡(luò)準(zhǔn)入控制流程執(zhí)行的步驟。 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 技術(shù) 規(guī)范 － 30－ 1. 發(fā)現(xiàn)和評估端點。在連接到網(wǎng)絡(luò)時，即訪問資源之前發(fā)現(xiàn)端點。通過與現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)架構(gòu)相集成，同時使用智能代理軟件，網(wǎng)絡(luò)管理員可以確保按照最低 IT 策略要求對連接到網(wǎng)絡(luò)的新設(shè)備進行評估。 2. 設(shè)置網(wǎng)絡(luò)訪問權(quán)限。只有對系統(tǒng)進行評估并確認(rèn)其遵從 IT 策略后，才準(zhǔn)予該系 統(tǒng)進行全面的網(wǎng)絡(luò)訪問。對于不遵從 IT 策略或不滿足企業(yè)最低安全要求的系統(tǒng)，將對其進行隔離，限制或拒絕其對網(wǎng)絡(luò)進行訪問。 3. 修復(fù)不遵從的端點對不遵從的端點自動采取補救措施使管理員能夠?qū)⑦@些端點快速變?yōu)樽駨臓顟B(tài)，隨后再改變網(wǎng)絡(luò)訪問權(quán)限。管理員可以將補救過程完全自動化，這樣會使該過程對最終用戶完全透明；也可以將信息提供給用戶，以便進行手動補救。 4. 主動監(jiān)視遵從狀況。必須時刻遵從策略。因此， Symantec Network Access Control 以管理員設(shè)置的時間間隔主動監(jiān)視所有端點的遵從狀況。 如果在某一時刻端點的遵從狀態(tài)發(fā)生了變化，那么該端點的網(wǎng)絡(luò)訪問權(quán)限也會隨之變化。 賽門鐵克端點評估技術(shù)：靈活性和全面性 網(wǎng)絡(luò)準(zhǔn)入控制通過驗證與該網(wǎng)絡(luò)相連的端點是否經(jīng)過正確配置來保護其免 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 技術(shù) 規(guī)范 － 31－ 遭在線攻擊，從而保護網(wǎng)絡(luò)免遭惡意代碼以及未知或未授權(quán)端點的攻擊。網(wǎng)絡(luò)準(zhǔn)入控制通常涉及檢查防病毒、反間諜軟件以及安裝的補丁程序。但是在進行了初始網(wǎng)絡(luò)準(zhǔn)入控制部署后，大多數(shù)企業(yè)很快就超出了這些典型檢查。不管目標(biāo)是什么，該過程都是首先從評估端點入手。由于連接到網(wǎng)絡(luò)的端點數(shù)量非常之多（例如，“受控端點”或公司采購的端點，以及“不受控端點 ”或并非由公司采購的端點，如使用家用計算機的遠(yuǎn)程工作人員、承包商、臨時員工以及可能使用自己筆記本電腦的合作伙伴）， Symantec Network Access Control 提供三種不同的端點評估技術(shù)來確定端點遵從性： ? 永久代理 ? 可分解的代理 ? 遠(yuǎn)程漏洞掃描 上圖：端點評估技術(shù) 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 技術(shù) 規(guī)范 － 32－ 永久代理 企業(yè)擁有的系統(tǒng)和其它受控系統(tǒng)使用管理員安裝的代理來確定遵從狀態(tài)。此代理檢查防病毒軟件、反間諜軟件、安裝的補丁程序以及復(fù)雜的系統(tǒng)狀態(tài)特征，如注冊表項、運行進程和文件屬性。永久代理還提供最深入、最準(zhǔn)確、最可靠的系 統(tǒng)遵從信息，同時為評估選件提供最靈活的補救和修復(fù)功能。 賽門鐵克認(rèn)為成功網(wǎng)絡(luò)準(zhǔn)入控制的關(guān)鍵同樣從部署基于永久代理的解決方案開始。由于臺式機操作系統(tǒng)運行方式的原因，要行之有效地檢查和糾正某些軟件是否正確安裝和運行以及端點計算機是否已正確配置或處于可接受的狀態(tài)，網(wǎng)絡(luò)準(zhǔn)入控制解決方案都必須能夠檢查端點進程表和注冊表，甚至可以修改某些項。實現(xiàn)這一目標(biāo)的最佳方法是在初始部署時使用具有管理員權(quán)限并且已安裝在端點上的代理。完全不基于代理的解決方案不能為管理員提供足夠權(quán)限來充分或精確地檢查端點是否完全遵從。另外，不基于代理 的解決方案很可能沒有足夠的權(quán)限來對端點進行必要修改，以使其從不遵從狀態(tài)進入遵從狀態(tài)。 Symantec Network Access Control 提供永久代理和管理員安裝的實施代理選件，用于確定端點的遵從狀態(tài)。此代理可以檢查防病毒軟件、反間諜軟件、安裝的補丁程序以及復(fù)雜的系統(tǒng)狀態(tài)特征，包括注冊表項、運行的進程和文件屬性。該永久代理選件提供確保遵從企業(yè)策略需要的最深入、最準(zhǔn)確和最可靠的系統(tǒng)遵從信息。 下圖是永久代理的示意圖： 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 技術(shù) 規(guī)范 － 33－ 可分解的代理 網(wǎng)絡(luò)準(zhǔn)入控制領(lǐng)域的最大挑戰(zhàn)之一在于能否對訪客用戶的網(wǎng)絡(luò)準(zhǔn)入 進行正確處理。如果沒有為臨時員工和訪客設(shè)置網(wǎng)絡(luò)訪問權(quán)限的自動方法，會嚴(yán)重影響工作效率。如果承包商或臨時員工開始工作，但由于需要手動設(shè)置網(wǎng)絡(luò)訪問而導(dǎo)致數(shù)日或數(shù)周無法訪問網(wǎng)絡(luò)，則會造成時間和成本的浪費。同樣，如果自動網(wǎng)絡(luò)準(zhǔn)入控制解決方案不必要地阻止了這些用戶的訪問，也會導(dǎo)致相同后果。 有效的網(wǎng)絡(luò)準(zhǔn)入控制解決方案必須具備下列功能和靈活性：驗證新端點或臨時端點不會對網(wǎng)絡(luò)造成威脅，并決定為端點授予的網(wǎng)絡(luò)訪問權(quán)限級別。評估端點的最精確方法是在端點上安裝全職網(wǎng)絡(luò)準(zhǔn)入控制代理，但在不屬于企業(yè)的端點上部署全職代理并不能保證企 業(yè)或訪客的最佳利益。 為解決該問題， Symantec Network Access Control 提供了一個可分解的臨時代理。這可以用于當(dāng)前不受管理員管理的非企業(yè)設(shè)備或系統(tǒng)。這些基于 Java? 的代理是根據(jù)需要提供的，無需管理員權(quán)限即可評估端點遵從狀況。在會話結(jié)束時， 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 技術(shù) 規(guī)范 － 34－ 這些代理會將其自身從系統(tǒng)中自動移除。例如，當(dāng)訪客端點嘗試連接到網(wǎng)絡(luò)時，基于網(wǎng)絡(luò)的實施解決方案會識別它不是已知端點設(shè)備，并將其重定向到 Web 服務(wù)器，它可以在其中下載可分解的即時代理。該代理將根據(jù)管理員為訪客定義的策略，執(zhí)行適當(dāng)?shù)淖駨男詸z查 。如果遵從，則會為端點授予訪問生產(chǎn)網(wǎng)絡(luò)的權(quán)限。在網(wǎng)絡(luò)會話結(jié)束時，代理會自動將其從端點移除。 除了為臨時端點使用該重定向功能外，還可以將其用于屬于新員工的端點。此時，當(dāng)端點被重定向到 Web 服務(wù)器以下載代理時，會出現(xiàn)兩個選項，一個用于訪客，一個用于員工。如果用戶選擇員工選項，則基于網(wǎng)絡(luò)的 Enforcer 可以決定端點是否為屬于企業(yè)的資產(chǎn)。如果該端點為企業(yè)端點之一，則可以部署全職的永久網(wǎng)絡(luò)準(zhǔn)入控制代理而不是可分解代理。 通過提供多個選項來驗證遵從端點狀態(tài)和配置的策略， Symantec Network Access Control 可以確保試圖訪問企業(yè)網(wǎng)絡(luò)的員工和訪客滿足其最低安全標(biāo)準(zhǔn)和要求。 遠(yuǎn)程漏洞掃描 企業(yè)不能選擇安裝永久代理時，可以使用另一個補充性的端點評估方法，即利用遠(yuǎn)程漏洞掃描。遠(yuǎn)程漏洞掃描根據(jù)來自 Symantec Network Access Control Scanner 的無證書證明的遠(yuǎn)程漏洞掃描結(jié)果，向 Symantec Network Access Control 實施基礎(chǔ)架構(gòu)提供遵從信息。遠(yuǎn)程掃描可以將此信息收集功能拓展到當(dāng)前無基于代理的技術(shù)可用的系統(tǒng)。 根據(jù)連接到網(wǎng)絡(luò)的端點的不同類 型，公司可選擇使用三種端點評估技術(shù)的混合技術(shù)來以獲得全面的防護。 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 技術(shù) 規(guī)范 － 35－ Symantec Enforcers：用于消除 IT 和業(yè)務(wù)中斷的靈活實施選件 每個企業(yè)的網(wǎng)絡(luò)環(huán)境都具有獨特的長期發(fā)展模式，因此，不存在可以有效控制對所有網(wǎng)絡(luò)點的訪問的單一實施方法。網(wǎng)絡(luò)準(zhǔn)入控制解決方案必須具有足夠的靈活性，這樣才能在不需要增加管理和維護開銷的前提下，將多種實施方法輕松集成到現(xiàn)有環(huán)境中。 Symantec Network Access Control 允許企業(yè)針對網(wǎng)絡(luò)的不同部分選擇最合適的實施方法，并不會增加操作復(fù)雜性或成本。 賽門鐵克的基于網(wǎng)絡(luò)的實施方法作為硬件設(shè)備交付的組件提供，包括 LAN、DHCP 和網(wǎng)關(guān)方法，其中 DHCP 方法可以作為軟件插件而提供。 賽門鐵克還提供了一個基于主機的簡單實施方法，稱為自我實施。該方法使用賽門鐵克桌面防火墻來允許或拒絕訪問。該防火墻已包含為 Symantec Endpoint Protection 產(chǎn)品的一部分。 使用自我實施的優(yōu)勢在于它不需要部署基于網(wǎng)絡(luò)的實施組件，即可管理對網(wǎng)絡(luò)的訪問。相反，它使用賽門鐵克桌面防火墻管理對網(wǎng)絡(luò)的訪問，提供最簡單、最快捷的實施部署選項。如果企業(yè)已經(jīng)部署了 Symantec Endpoint Protection 產(chǎn)品，則實施會更加輕松。 但是，自我實施選項僅對“受控”端點有效。它不能解決訪客或臨時員工等不受控端點連接到網(wǎng)絡(luò)的問題。 Symantec Network Access Control 通過可分解代理和遠(yuǎn)程漏洞掃描解決與不受控端點相關(guān)的問題。 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 技術(shù) 規(guī)范 － 36－ 上圖即是 賽門鐵克實施選項的類型 許多企業(yè)難以決定是否部署網(wǎng)絡(luò)準(zhǔn)入控制解決方案，因為許多產(chǎn)品的內(nèi)部設(shè)計具有破壞性。通常，他們需要進行網(wǎng)絡(luò)基礎(chǔ)架構(gòu)升級和變更，這一過程既費時又昂貴。許多解決方案過于復(fù)雜，并且非常 難以部署。某些解決方案需要同時部署端點代理和升級網(wǎng)絡(luò)基礎(chǔ)架構(gòu)。在進行部署時遇到的代理問題或網(wǎng)絡(luò)實施問題會導(dǎo)致解決方案毫無用處，排查并解決這些問題的難度極大，還可能導(dǎo)致不正確地阻止用戶訪問網(wǎng)絡(luò)。 賽門鐵克使用簡單、分階段的方法來部署高效全面的網(wǎng)絡(luò)準(zhǔn)入控制，提供可部署的各種實施選項，從而解決了上述問題。使用賽門鐵克的基于主機的實施選項可以輕松部署網(wǎng)絡(luò)準(zhǔn)入控制。這種類型的部署不需要更改基礎(chǔ)架構(gòu)，所以部署工作不再那么費時。已在使用 Symantec Endpoint Protection 解決方案的企業(yè)已經(jīng)部署了代 理，只需啟用網(wǎng)絡(luò)準(zhǔn)入控制即可利用該功能?；谥鳈C的實施選項是 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 技術(shù) 規(guī)范 － 37－ 為受控端點實施網(wǎng)絡(luò)準(zhǔn)入控制的最快速、最簡單的方法。 企業(yè)可以按照自己的進度，實施賽門鐵克提供的其它基于網(wǎng)絡(luò)的實施選項，以補充基于主機的實施選項?；诰W(wǎng)絡(luò)的 Enforcers 是一個必需組件，用于控制連接到網(wǎng)絡(luò)的不受控端點。這些附加的基于網(wǎng)絡(luò)的關(guān)鍵實施產(chǎn)品包括： ? 網(wǎng)關(guān) Enforcer — 網(wǎng)絡(luò)瓶頸點的內(nèi)嵌實施 ? DHCP Enforcer — 對任何基礎(chǔ)架構(gòu)上的局域網(wǎng)和無線網(wǎng)絡(luò)使用基于 DHCP 的強制方法 ? LAN Enforcer— — 對局域網(wǎng)和無線網(wǎng)絡(luò)使用基于標(biāo)準(zhǔn)的帶外方法 與網(wǎng)絡(luò)準(zhǔn)入控制代理一樣， Symantec Enforcer 產(chǎn)品獨立于網(wǎng)絡(luò)操作系統(tǒng)，能夠輕松與任何網(wǎng)絡(luò)基礎(chǔ)架構(gòu)集成。這些解決方案獨立于安全供應(yīng)商，這意味著它們可與其它領(lǐng)先的防病毒軟件、防火墻和主機入侵防護解決方案一起使用。由于這些解決方案不依賴于內(nèi)部網(wǎng)絡(luò)或基礎(chǔ)架構(gòu)，所以企業(yè)可以采取分階段方法完成實施，根據(jù)自己的時間表自行決定如何進行部署。 此外，為了簡化管理和遵從實施工作，與 Symantec Network Access Control 端點評估技術(shù)一樣，通 過 Symantec Endpoint Protection Manager 集中管理所有 Enforcers。 Gateway Enforcer 賽門鐵克的 Gateway Enforcer 是在網(wǎng)絡(luò)瓶頸點部署的內(nèi)嵌實施設(shè)備，所以它可以根據(jù)端點遵從制定的企業(yè)策略的情況，控制和阻止遠(yuǎn)程端點的通信流。不管瓶頸點是位于邊界網(wǎng)絡(luò)連接點上（如 WAN 鏈接或 VPN），還是位于訪問關(guān)鍵業(yè)務(wù)系統(tǒng)的內(nèi)部網(wǎng)段上， Gateway Enforcer 都可以對資源和補救服務(wù)有效提供可控訪問，使不遵從端點變?yōu)樽駨臓顟B(tài)。 Gateway Enforcer 的典型部署方案是位于遠(yuǎn)程分支機構(gòu)與公司總部之間的 IPSec VPN、 WAN 連接之后、無線網(wǎng)絡(luò)和會議室網(wǎng)絡(luò)之上、關(guān)鍵服務(wù)器或小型 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 技術(shù) 規(guī)范 － 38－ 數(shù)據(jù)中心之前。 下圖即為 Gateway Enforcer（網(wǎng)關(guān)強制）的示意圖。 DHCP Enforcer 賽門鐵克的 DHCP Enforcer 以內(nèi)嵌方式部署在端點和企業(yè)現(xiàn)有的 DHCP 服務(wù)基礎(chǔ)架構(gòu)之間。如果端點沒有運行網(wǎng)絡(luò)準(zhǔn)入控制代理、處于不遵從狀態(tài)或其遵從狀態(tài)未知，則 DHCP Enforcer 會分配限制性的 DHCP 租用。分配的這 一限制性租用是不可路由或隔離的 IP 地址，提供降低的網(wǎng)絡(luò)訪問權(quán)限。 DHCP Enforcer 還可以與端點代理通信以發(fā)起必要的補救操作，使端點遵從策略。遵從策略的端點將啟動 DHCP 發(fā)布和更新要求。如果 DHCP Enforcer 接收到更新請求并確定端點處于遵從狀態(tài)，則端點將獲得對正常生產(chǎn)網(wǎng)絡(luò)的 DHCP 租期，從而使其擁有對網(wǎng)絡(luò)的完全訪問權(quán)限。 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng) 技術(shù) 規(guī)范 － 39－ 由于 DHCP Enforcer 作為內(nèi)嵌 DHCP 代理工作，所以它與任何現(xiàn)有 DHCP 基礎(chǔ)架構(gòu)都兼容，并且無需升