网络准入控制系统工作原理及操作模式.doc

目录1.Symantec Endpoint Protection 11.0 / Symantec Network Access Control 11.0 主机完整性概述11.Gateway Enforcer 设备工作原理52.Symantec Network Access Control 11.0 LAN Enforcement 概述63.LAN Enforcer： 理解基本模式和透明模式134.LAN Enforcer： 如何配置以便处理尚未连接到 SEPM 管理器的新安装客户端？155.DHCP Enforcer 设备工作原理166.Symantec Network Access Control 11.0 DHCP Enforcement 概述187.在没有安装客户端的情况下，Symantec Network Access Control 强制如何管理计算机？218.Using MAB (MAC Authentication Bypass) with the Symantec LAN Enforcer appliance239.Using the DHCP Trusted Vendors Configuration feature with the Symantec Integrated DHCP Enforcer281. Symantec Endpoint Protection 11.0 / Symantec Network Access Control 11.0 主机完整性概述本文档翻译自英文文档。原英文文档可能在本翻译版发布后进行过修改更新。赛门铁克对本翻译文档的准确度不做保证。情形您想对主机完整性功能有一个大概的了解 解释 主机完整性 什么是主机完整性？ 主机完整性使得企业可以在企业网络（包括 VPN、无线和 RAS 拨号服务器）的所有入口点处强制执行安全性策略。主机完整性具有如下能力：在允许访问企业网络前检查防火墙、入侵防护、防病毒和其他第三方应用程序是否存在并更新其状态。 主机完整性由以下两个组件构成。 1. SEPM 定义的策略 - 管理员定义 主机完整性何时运行 每个客户端必须满足哪些要求2. 客户端组件，它运行主机完整性要求并（可选）与最终用户进行交互。(SNAC.exe) 都有哪些类型？ 传统的 Sygate 防护技术可大致分为两类：基于硬件的防护技术和所谓的“自强制执行”防护技术。 基于硬件的 Symantec Network Access Control 强制执行 其中包括： DHCP Enforcer LAN Enforcer Gateway Enforcer软件自强制执行 由 (SNAC) 客户端自身进行强制执行。无需任何 Enforcer 硬件。自强制执行 利用自强制执行，客户端可以在不符合遵从性时隔离其系统。隔离策略需要在 SEPM 上定义。客户端可通过切换至隔离防火墙策略（即，限制对特定 IP 地址或段进行访问的防火墙）来对自身进行隔离。 这允许快速部署基本端点安全性。无需网络级系统或配置。 默认情况下，主机完整性检查每 2 分钟运行一次。它实际上是由 .JS javascript 文件运行的，该文件将包含在从 Manager 下载的策略中。一旦 HI 完成，便会删除此脚本。 HI 可检查哪些内容？- 可选择哪些要求？ HI 可检查以下预定义要求： 此外，管理员还可以配置自定义要求： 在配置这些要求脚本时，管理员有很大的灵活性。在下面的示例中，记事本应该在客户端上运行： 如果没有运行记事本，请运行其他某个程序。（请注意，默认情况下，它将配置为以 System 帐户运行！） 文档号： 20080221112422968最近更新： 2008-02-25Date Created: 2008-02-20操作系统： Windows 2000 Professional, Windows 2000 Server/Advanced Server, Windows XP Home Edition, Windows XP Professional Edition, Windows XP Tablet PC Edition, Windows Server 2003 Web/Standard/Enterprise/Datacenter Edition, Windows Vista, Windows XP Professional x64 Edition, Windows Server 2003 x64 Edition, Windows Vista x64 Edition产品： Endpoint Protection 11, Network Access Control 11 1. Gateway Enforcer 设备工作原理/SUPPORT/INTER/ent-securitysimplifiedchinesekb.nsf/cn_docid/20090224132028968?open&seg=ent本文档翻译自英文文档。原英文文档可能在本翻译版发布后进行过修改更新。赛门铁克对本翻译文档的准确度不做保证。情形Gateway Enforcer 设备工作原理 解释Gateway Enforcer 设备执行单向检查。 它们检查尝试通过 Gateway Enforcer 设备的外部 NIC 连接至公司网络的客户端。Gateway Enforcer 设备利用以下过程来对客户端进行身份验证： 当客户端尝试访问网络时，Gateway Enforcer 设备首先检查该客户端是否运行 Symantec Endpoint Protection 客户端或 Symantec Network Access Control 客户端。 如果该客户端运行上述任一客户端软件，则 Gateway Enforcer 设备即开始主机身份验证过程。 用户计算机上运行的客户端执行主机完整性检查。 然后，它会将检查结果连同其身份信息及其安全策略的状态信息传递给 Gateway Enforcer 设备。 Gateway Enforcer 设备会向 Symantec Endpoint Protection Manager 验证该客户端是否为合法客户端，并验证其安全策略是否为最新。 Gateway Enforcer 设备验证该客户端是否已经通过主机完整性检查并因此符合安全策略。 如果所有过程均通过，Gateway Enforcer 设备便会允许该客户端连接至网络。 如果客户端不能满足访问要求，可以设置 Gateway Enforcer 设备来执行以下操作： 监控和记录特定事件。 如果主机完整性检查失败则阻止用户。 在客户端上显示弹出消息。 为客户端提供有限的网络访问权限以允许利用网络资源进行补救。要设置 Gateway Enforcer 设备身份验证，可以配置检查哪些客户端 IP 地址。 可以指定 Gateway Enforcer 设备无需身份验证即可允许的可信外部 IP 地址。 作为补救，可以配置 Gateway Enforcer 设备允许客户端访问可信内部 IP 地址。 例如，可以允许客户端访问其中含有防病毒 DAT 文件的更新服务器或文件服务器。对于没有 Symantec 客户端软件的客户端，可以将客户端 HTTP 请求重定向至 Web 服务器。 例如，可以提供有关在哪获取补救软件或允许客户端下载客户端软件的其他说明。还可以配置 Gateway Enforcer 设备以允许非 Windows 客户端访问网络。 Gateway Enforcer 设备用作网桥，而非路由器。 对客户端进行身份验证之后，Gateway Enforcer 设备即会转发数据包，允许客户端访问网络。文档号： 20090224132028968最近更新： 2009-03-08Date Created: 2009-02-23产品： Endpoint Protection 11, Network Access Control 11, Symantec Network Access Control 5.1, Symantec Sygate Enterprise Protection 5.1 2. Symantec Network Access Control 11.0 LAN Enforcement 概述本文档翻译自英文文档。原英文文档可能在本翻译版发布后进行过修改更新。赛门铁克对本翻译文档的准确度不做保证。情形概括了解 LAN Enforcement 的工作方式 解释 Symantec Network Access Control - LAN Enforcement 概述 LAN Enforcer 可看作一种验证架构，在提供网络访问权限之前验证用户和/或计算机是否拥有集中授权 LAN Enforcer 采用的技术最初是为WLAN 所设计的。更确切地说，该技术依赖于 802.1x 协议 - CISCO 称其为“dot1x”协议 802.1x 协议是一项 IEEE 标准，用以增强有线和无线局域网络的安全性。Wikipedia 上的 802.1x 的全面信息 要求使用遵从性交换机（原先的交换机可能无法实现此功能） 使用多种验证协议，例如可扩展身份验证协议 (EAP) 可选择与 RADIUS（远程验证拨号用户服务，又称为 AAA 或“3A”）一同使用。（验证、授权、记帐） 如果客户端不是遵从性客户端，LAN Enforcer 可将客户端分配到隔离区 VLAN LAN Enforcer 可以以两种模式使用。完全的802.1x（或基本）模式或透明模式在三种 Enforcer 类型中，LAN Enforcer 最为复杂（具有最多的移动部件），这主要归因于 802.1x 实现。 完全的 802.1x 模式 - 具有 RADIUS 验证 相较于不使用 RADIUS 验证的透明模式，此 Enforcer 模式还考虑用户的 RADIUS 验证。 前提条件： 支持 802.1x 的交换机 需要完善规划 802.1x 部署 后端 (RADIUS) 基础结构需要将 SEP/SNAC 客户端配置为 802.1x 请求者：工作方式透明模式 在此模式中，将忽略 RADIUS 验证。 前提条件： 支持 802.1x 的交换机 需要完善规划 802.1x 部署 需要将 SEP/SNAC 客户端配置为 802.1x 请求者 必须选择 Symantec 透明模式：工作方式更详细的验证过程 注意：SMS = SEPM ，SSA = SEP CISCO 交换机配置文件示例设置 802.1x 环境 Sygate Technologies, Inc. TechNote 文档：061507TS-02 适用于：802.1x 验证 配置 802.1x 验证 Internet 验证服务 (IAS) -“开始”“运行”“管理工具”“Internet 验证服务” -右键单击“Internet 验证服务（本地）”“在 Active Directory 中注册服务” -右键单击“客户端”“新建 RADIUS 客户端” -输入交换机的名称 -输入交换机的 IP -单击“下一步” -确认客户端-供应商符合 RADIUS 标准 -输入共享密钥 完成 -对 RADIUS 和 LAN enforcer 服务器执行相同步骤，并输入信息。 -单击“远程访问策略” -右键单击其他访问服务器的连接，选择属性 -单击“编辑_配置文件”按钮 -切换至“验证”选项卡 -单击“EAP 方法”按钮 -单击“添加”按钮 -突出显示 MD5-Challenge，然后单击“确定” -单击“确定”保存 EAP Provider -取消选中以下复选框： -Micorosft Encrypted Authentication 版本 2 (MS-CHAP v2) -Micorosft Encrypted Authentication (MS-CHAP) -单击“确定”保存更改 -将单选按钮切换至“授予远程访问权限” -单击“应用”保存更改 域控制器配置 -“开始”“程序”“管理工具”“Active Directory 用户和计算机” -创建新的组织单元 -创建新的用户，用户名为 -使用可逆加密存储密码 -更改用户密码 -允许用户具有拨入权限 客户端计算机 -打开“本地区域连接”属性 “验证” *如果缺少“验证”选项卡* -“开始”“程序”“管理工具”“服务” -将“无线配置”设置为自动启动 -启动服务 -选中“启用使用 IEEE 802.1x 的网络访问控制” -选择 MD5-Challenge 作为 EAP 类型 -选中“当计算机信息可用时身份验证为计算机” 交换机配置 -按照供应商的步骤在其适当的交换机中启用 802.1x -将 RADIUS 主机配置为 LAN Enforcer IP 地址 文档号： 20080221113729968最近更新： 2008-02-25Date Created: 2008-02-20操作系统： Windows 2000 Professional, Windows 2000 Server/Advanced Server, Windows XP Professional Edition, Windows XP Tablet PC Edition, Windows Server 2003 Web/Standard/Enterprise/Datacenter Edition, Windows Vista, Windows XP Professional x64 Edition, Windows Server 2003 x64 Edition, Windows Vista x64 Edition产品： Endpoint Protection 11, Network Access Control 11 3. LAN Enforcer： 理解基本模式和透明模式/SUPPORT/INTER/ent-securitysimplifiedchinesekb.nsf/cn_docid/20090224134228968?open&seg=ent本文档翻译自英文文档。原英文文档可能在本翻译版发布后进行过修改更新。赛门铁克对本翻译文档的准确度不做保证。情形在 Symantec Network Access Control (SNAC) 解决方案中使用 Symantec LAN Enforcer 时，基本模式和透明模式间的区别是什么？ 解释Symantec LAN Enforcer 与兼容 802.1x 的交换机以及无线接入点一起在网络上执行端点遵从。 这表示，它只允许与可在管理服务器（Symantec Endpoint Protection 11.0 中的 Symantec Endpoint Protection Manager (SEPM) 或 Symantec Sygate Enterprise Protection 5.1 中的 Symantec Policy Manager (SPM)）中进行全部配置的一组标准（“主机完整性”策略）匹配的计算机进行完全网络访问。根据是否同时在网络上使用 RADIUS 用户级别验证，LAN Enforcer 有两种操作模式：透明和基本。在这两种模式中，交换机被配置为使用 LAN Enforcer 的 IP 地址作为其 RADIUS 服务器 IP 地址。LAN Enforcer 可以指示交换机打开和关闭端口，以及动态地将端口分配给特定的 VLAN。 基于以下三个标准，可以在管理服务器中配置要采取的操作： 1. 主机身份验证通过还是失败（根据计算机是否通过“主机完整性”检查）；如果没有配置主机完整性设置，则不可用。 2. 用户身份验证： RADIUS 用户级别身份验证通过还是失败（基于来自 RADIUS 服务器的回复）；如果未使用 RADIUS 服务器，则不可用。 3. 策略序列号检查： 客户端是否有来自 SEPM 管理器的最新策略配置？ 透明模式如果网络上没有 RADIUS 服务器，并且当前的交换机配置中没必要使用用户级别身份验证，则使用透明模式。在透明模式中，LAN Enforcer 充当伪 RADIUS 服务器。 客户端将充当 802.1x 请求方，并使用“主机完整性”检查结果回复来自交换机的 EAP 数据包。 然后，交换机将该信息转发给 LAN Enforcer。LAN Enforcer 验证该信息，然后相应地指示交换机打开/关闭端口或者分配特定的 VLAN。在透明模式中，用户身份验证始终为“不可用”。客户端配置： 选中管理控制台中的“将客户端用作 802.1x 请求方”选项。 基本模式如果网络上有提供用户级别身份验证的 RADIUS 服务器，则使用基本模式。在基本模式中，LAN Enforcer 将充当 RADIUS 代理。 对于交换机配置，仍然将 LAN Enforcer IP 地址作为其 RADIUS 服务器，并且 LAN Enforer 反过来会将请求转发给 RADIUS 服务器以进行用户身份验证。 在基本模式中，客户端不可以用作 802.1x 请求方，而是使用 Windows 请求方或第三方请求方。将 LAN Enforcer 配置为与无线接入点一起使用时，基本模式是唯一可能的选项。客户端配置： 保留管理控制台中的“将客户端用作 802.1x 请求方”选项未选中。更改客户端请求方设置的位置：在 SEPM 管理器的 GUI 中， 此项设置位于“客户端”-“策略”下的“常规设置”-“安全设置”下。 应为组选中“启用 802.1x 身份验证”选项。 如果使用透明模式，应选中“将客户端用作 802.1x 请求方”选项；如果使用基本模式，则不要选中此选项（但仍要选中“启用 802.1x 身份验证”主选项）。文档号： 20090224134228968最近更新： 2009-03-08Date Created: 2009-02-23产品： Endpoint Protection 11, Network Access Control 11, Symantec Network Access Control 5.1, Symantec Sygate Enterprise Protection 5.1 4. LAN Enforcer： 如何配置以便处理尚未连接到 SEPM 管理器的新安装客户端？/SUPPORT/INTER/ent-securitysimplifiedchinesekb.nsf/cn_docid/20090224133852968?open&seg=ent本文档翻译自英文文档。原英文文档可能在本翻译版发布后进行过修改更新。赛门铁克对本翻译文档的准确度不做保证。情形配置其中含有 Symantec LAN Enforcer 设备的 Symantec Network Access Control (SNAC) 环境时，遇到有关尚未连接到策略管理器服务器 (SEPM) 的新安装 Symantec Endpoint Protection (SEP) 客户端的问题。这些计算机怎样才算获得网络的访问权限呢？ 它们如何从 SEPM 下载策略？在 SEPM 服务器将这些计算机识别为已知计算机之前，LAN Enforcer 如何验证它们？ 解释 配置默认的 LAN Enforcer 操作在 SEPM 中，为 LAN Enforcer 配置了一系列操作 - 通常有：通过主机完整性检查时打开端口/分配到默认 VLAN；主机完整性检查失败时分配到隔离 VLAN。 SEPM 中的 LAN Enforcer 交换机配置位于“管理”-“服务器”下的 Enforcer 组属性下。典型示例配置： 操作 1主机身份验证： 通过用户身份验证： 忽略结果策略检查： 忽略结果操作： 打开端口 操作 2主机身份验证： 失败用户身份验证： 忽略结果策略检查： 忽略结果操作： 分配到隔离 VLAN在此示例中，如果“主机完整性”状态不是“通过”或“失败”，会关闭端口。 如果新安装的客户端还未有“主机完整性”策略，则状态为“不可用”。 为了解决这个问题以及上面的操作 1 和操作 2 没有涵盖的情形，需要在 SEPM 中配置一项默认操作。将以下操作添加到列表的最底部： 操作 3主机身份验证： 忽略结果用户身份验证： 忽略结果策略检查： 忽略结果操作： 分配到隔离 VLAN这会将所有非“主机完整性”通过案例分配到隔离 VLAN。 假如从隔离 VLAN 和默认 VLAN 都可以访问 SEPM 服务器，则这样应该允许新安装的客户端在 SEPM 中注册并下载新的策略。 配置 VLAN 间路由必须在隔离 VLAN 和默认 VLAN 间配置路由，以便允许流向 SPEM 服务器 IP 地址的流量也可来自隔离 VLAN。 在较新的交换机型号上，通常可在交换机本身上进行此项配置。 在较旧的交换机上，可能需要配置单独的双宿主（两个网卡）计算机以充当路由器，并将该计算机连接到这两个 VLAN。 验证客户端上的 802.1x 请求方设置验证用于新客户端的安装软件包是否配置为启用 802.1x 身份验证。 在 SEPM 管理器的 GUI 中，此项设置位于“客户端”-“策略”下的“常规设置”-“安全设置”下。 导出软件包前，应为组选中“启用 802.1x 身份验证”选项。 如果使用透明模式（没有 radius 用户级别验证），应选中“将客户端用作 802.1x 请求方”选项；如果使用基本模式（使用 radius 服务器进行用户身份验证），则不要选中此选项（但仍要选中“启用 802.1x 身份验证”主选项）。文档号： 20090224133852968最近更新： 2009-03-08Date Created: 2009-02-23产品： Endpoint Protection 11, Network Access Control 11, Symantec Sygate Enterprise Protection 5.1 5. DHCP Enforcer 设备工作原理/SUPPORT/INTER/ent-securitysimplifiedchinesekb.nsf/cn_docid/20090224132611968?open&seg=ent本文档翻译自英文文档。原英文文档可能在本翻译版发布后进行过修改更新。赛门铁克对本翻译文档的准确度不做保证。情形DHCP Enforcer 设备工作原理 解释内嵌使用 DHCP Enforcer 设备，将其作为一个安全的策略执行网桥来保护内部网络。 试图连接到网络的客户端会发送 DHCP 请求以获取动态 IP 地址。 充当 DHCP 中继客户端的交换机或路由器会将该 DHCP 请求路由到 DHCP Enforcer 设备。 DHCP Enforcer 设备是在 DHCP 服务器前内嵌配置。 Enforcer 设备在验证客户端是否符合安全策略后，才会将 DHCP 请求转发给 DHCP 服务器。如果客户端符合安全策略，DHCP Enforcer 设备会将客户端获取 IP 地址的请求发送给标准 DHCP 服务器。 如果客户端不符合安全策略，Enforcer 会将其连接到隔离区 DHCP 服务器。 隔离服务器会将该客户端指派给隔离区网络配置。可以在一台计算机上安装一个 DHCP 服务器，并将其配置为提供标准网络配置和隔离区网络配置两种配置。 要完成 DHCP Enforcer 设备解决方案，管理员需要设置补救服务器。 补救服务器会限制已隔离客户端的访问，所以这类客户端只能与补救服务器进行交互。 如果要求高可用性，可以安装两个或多个 DHCP Enforcer 设备以提供故障转移功能。DHCP Enforcer 对试图访问 DHCP 服务器的客户端实施安全策略。 如果客户端未能通过身份验证，DHCP Enforcer 不会阻止 DHCP 请求， 它会将 DHCP 请求转发给隔离区 DHCP 服务器以获取范围受限的短期网络配置。客户端首次发送 DHCP 请求时，DHCP Enforcer 设备会将其转发给隔离区 DHCP 服务器来获取可以短期租用的临时 IP 地址。 然后，DHCP Enforcer 设备则可以开始对该客户端执行身份验证过程。DHCP Enforcer 设备使用下列方法对客户端进行身份验证： 客户端试图访问企业网络时，Enforcer 设备首先检查该客户端计算机是否运行 Symantec Network Access Control 客户端软件。 如果客户端计算机运行 Symantec Network Access Control 客户端软件，Enforcer 设备便会开始主机身份验证过程。 运行于客户端计算机的 Symantec 客户端软件会执行“主机完整性”检查。 然后，该客户端将结果及其身份以及有关其安全策略的状态信息一起传递到 Enforcer 设备。 DHCP Enforcer 设备使用 Symantec Endpoint Protection Manager 验证客户端是否为合法的客户端，以及它的安全策略是否最新。 DHCP Enforcer 设备验证客户端是否已经通过“主机完整性”检查，从而是否符合安全策略。 如果通过了所有步骤，DHCP Enforcer 设备会确保释放隔离区 IP 地址。 然后 DHCP Enforcer 设备将客户端 DHCP 请求路由到标准 DHCP 服务器。 该客户端会收到标准 IP 地址和网络配置。如果客户端不满足安全要求，DHCP Enforcer 则确保 DHCP 请求随隔离区 DHCP 服务器进行更新。 客户端会收到隔离区网络配置，该配置必须设置为允许访问补救服务器。DHCP Enforcer 设备可以配置为允许非 Windows 客户端访问标准 DHCP 服务器。可以在一台计算机上安装一个 DHCP 服务器，并将其配置为提供标准网络配置和隔离区网络配置两种配置。文档号： 20090224132611968最近更新： 2009-03-08Date Created: 2009-02-23产品： Endpoint Protection 11, Network Access Control 11, Symantec Network Access Control 5.1, Symantec Sygate Enterprise Protection 5.1 6. Symantec Network Access Control 11.0 DHCP Enforcement 概述本文档翻译自英文文档。原英文文档可能在本翻译版发布后进行过修改更新。赛门铁克对本翻译文档的准确度不做保证。情形概括了解 DHCP Enforcement 的工作方式 解释 Symantec Network Access Control DHCP Enforcement 概述 DHCP 解决方案是通用的 支持有线和无线网络 支持任意网络基础结构（无需升级）检查客户端是否存在和主机完整性状态 - 通过由 DHCP 服务器限制对 IP 申请的访问强制实施遵从性非遵从性客户端被保留在隔离区地址空间 客户端在符合遵从性之前只能与隔离区网络资源（补救服务器，等等）和 SEPM 进行交互两种部署选项 基于网络的 DHCP Enforcer：部署为保护内部网络的策略强制实施网桥 直接在 Microsoft DHCP 服务器上运行的 DHCP Enforcer 插件支持针对高可用性部署的设备故障转移配置DHCP Enforcer 设备DHCP Enforcer 插件工作方式 连接到网络的系统在“隔离区地址空间”中获得具有较短租用时间的 DHCP 租用 次要 IP 地址或 DHCP 静态路由 DHCP Enforcer 检查 SEP 客户端和状态 如果存在客户端并且系统为最新，DHCP Enforcer 在正常地址空间中为系统提供新地址。 如果没有客户端，系统将保留在隔离区地址空间中 根据 OS 类型和 MAC 地址提供例外。 DHCP 服务器通常返回： IP 地址 默认网关地址 DNS 服务器地址 子网掩码在隔离区中，Enforcer 告知 DHCP 服务器返回： IP 地址 子网掩码 55（在单计算机子网中隔离客户端） 默认网关地址 到 SPM、DHCP 服务器和任意隔离区资源的静态路由 较短的租用文档号： 20080221113028968最近更新： 2008-02-25Date Created: 2008-02-20操作系统： Windows 2000 Professional, Windows 2000 Server/Advanced Server, Windows XP Home Edition, Windows XP Professional Edition, Windows XP Tablet PC Edition, Windows Server 2003 Web/Standard/Enterprise/Datacenter Edition, Windows Vista, Windows XP Professional x64 Edition, Windows Server 2003 x64 Edition, Windows Vista x64 Edition产品： Endpoint Protection 11, Network Access Control 11 7. 在没有安装客户端的情况下，Symantec Network Access Control 强制如何管理计算机？/SUPPORT/INTER/ent-securitysimplifiedchinesekb.nsf/cn_docid/20090309143109968?open&seg=ent本文档翻译自英文文档。原英文文档可能在本翻译版发布后进行过修改更新。赛门铁克对本翻译文档的准确度不做保证。情形使用 Symantec Network Access Control (SNAC) 11.0 或 5.1 时，强制如何在没有安装 SNAC 客户端/代理的情况下管理计算机？ 解释 Symantec Network Access Control 只可以对安装了 Symantec 客户端的系统强制实施安全策略。 不能强制实施其他供应商的安全策略。 其他供应商的任何强制都可能会中断网络。可采取以下强制方法： 自我强制客户端防火墙的自我强制对网络中没有客户端的系统没有影响。 网关强制在使用网关强制的网络中，没有客户端的系统无法通过网关。 在网络中放置网关强制的位置很关键，它可以阻止访问其他系统要求访问的关键网络资源。可以将信任的 IP 地址设置为例外，这样它们没有客户端也可以出入网关。 同理，网关也可以从强制中排除非 Microsoft 操作系统。 将非关键服务器放于网关的同一侧，这是一种网络设计。 这种配置可简化网络设计，而不会明显降低安全性。 DHCP 强制DHCP 强制限制不符合遵从性的计算机或没有客户端的系统。 它将这些系统限制在一个单独的地址空间，或只向它们提供部分网络中的路由。 该限制会简化这些设备的网络服务。 与网关强制相似，可以为信任的 MAC 地址和非 Microsoft 操作系统设置例外。在 SNAC 11.0 中使用 Symantec Integrated DHCP Enforcer (Microsoft DHCP Server Enforcer Plug-in) 时，还可以启用“DHCP 信任供应商配置”功能，允许某些类型的机器（如打印机）避开强制。另请参见：Using the DHCP Trusted Vendors Configuration feature with the Symantec Integrated DHCP Enforcer（在 Symantec Integrated DHCP Enforcer 中使用“DHCP 信任供应商配置”功能）/SUPPORT/ent-security.nsf/docid/2009021811455848 LAN 强制LAN 强制使用 802.1x 协议在交换机和连接到网络的客户端系统间进行身份验证。 要使用这种强制方法，交换机软件必须支持 802.1x 协议且其配置必须正确。 如果管理员想验证用户身份以及主机 NAC 状态，则还需要 802.1x 请求方软件。 交换机配置必须处理没有客户端的系统的例外，而不是任意 Symantec 配置。有几种方法可以设置该交换机配置。 方法根据交换机类型以及其运行的软件版本而不同。 典型的方法是实施客 VLAN 的概念。 没有客户端的系统会分配给网络连接级别较低的网络。 另一种方法涉及基于 MAC 地址的例外。可以在选定的端口上禁用 802.1x。 但是，通过选定的端口禁用允许任何用户使用该端口连接，因此不建议这样做。 许多供应商具有针对 VoIP 电话的特殊配置，可将这些设备自动移动到特殊的语音 VLAN。另请参见：Using MAB (MAC Authentication Bypass) with the Symantec LAN Enforcer appliance（在 Symantec LAN Enforcer 设备中使用 MAB（MAC 身份验证避开） /SUPPORT/ent-security.nsf/docid/2009010912470048 通用强制 API使用通用强制 AP1 时，第三方供应商执行 API 时可处理例外。 使用 Cisco NAC 的强制使用 Symantec 解决方案与 Cisco NAC 进行合作时，Cisco NAC 架构处理所有例外。文档号： 20090309143109968最近更新： 2009-03-08Date Created: 2009-03-08产品： Endpoint Protection 11, Network Access Control 11, Symantec Network Access Control 5.1, Symantec Sygate Enterprise Protection 5.1 8. Using MAB (MAC Authentication Bypass) with the Symantec LAN Enforcer appliance/SUPPORT/ent-security.nsf/docid/2009010912470048Question/Issue: Using MAB (MAC Authentication Bypass) with the Symantec LAN Enforcer appliance and Symantec Endpoint Protection (SEP) 11Solution:About the MAC Address Authentication Bypass featureThe MAC Address Authentication Bypass (MAB) feature allows you to authenticate unmanaged devices, such as printers, by MAC address in 802.1x-enabled environments.If the LAN Enforcer receive a MAB request from the switch, it will attempt to validate that MAC address against a local address database, then against LDAP and RADIUS databases, in that order.MAB commandsThe mab commands enable you to do implement a Media Control access (MAC) Authentication Bypass (MAB) with a LAN Enforcer appliance on the following 802.1x-aware switches: Cisco Catalyst Switch 3550 Series Extreme Networks Hewlett-Packard ProCurve Switch 2600 Series Foundry NetworksWhen a LAN Enforcer appliance receives a MAB request, it looks up the address in the local MAB database first. If the entry is located in the local MAB database, the LAN Enforcer appliance authenticates the client based on 802.1x-aware switchmodel. If an entry cannot be located in the local MAB database, the LAN Enforcer appliance then tries to connect to any available LDAP server. If an LDAP server is not available to authenticate a clients MAC address or a clients MAC address is not available in the database of the LDAP server, the LAN Enforcer appliance then tries to connect to any available RADIUS server. After the LAN Enforcer appliance receives the authentication result, it then sends a message to the RADIUS server to accept or reject the packet. The LAN Enforcer appliance then completes the authentication session.MAB disable commandThe MAB disable command disables MAC Authentication Bypass (MAB) on a LAN Enforcer appliance.The mab disable command uses the following syntax (LAN Enforcer appliance only):mab disableThe following example explains how to disable MAC Authentication Bypass (MAB) on a LAN Enforcer appliance:Enforcer: mabEnforcer(mab)#disableMAB enable commandThe MAB enable command enables MAC Authentication Bypass (MAB) on a LAN Enforcer appliances.The mab enable command uses the following syntax (LAN Enforcer appliance only):mab enableThe following example explains how to enable MAC Authentication Bypass