《计算机SNAC》PPT课件.ppt

终端标准化的遵从保障新产品SNAC11.0 （Symantec Network Access Control 11.0）,Symantec Vision 2007,2,日程,Symantec Vision 2007,3,蠕虫无视当前的端点防护，侵入企业内部,来源: Enterprise Strategy Group, 2005年1月 ESG研究报告 ，网络安全和入侵防护,员工的笔记本,通过防火墙的互联网访问,第三方的笔记本,VPN 家用系统,未知,其他,43%,39%,34%,27%,8%,8%,“最常见的自动化网络蠕虫攻击的来源是什么 ?”,Symantec Vision 2007,4,终端策略遵从无法落实,Symantec Vision 2007,5,全面端点安全的需要:端点保护 + 端点遵从,升级了补丁,启用了个人防火墙,更新了防病毒签名,启用了防病毒,遵从,端点安全性策略,状态,蠕虫,未知攻击,ID 盗窃,病毒,保护,Symantec Vision 2007,6,6,终端防护Endpoint Protection,终端遵从Endpoint Compliance,Solution,Symantec重新定义终端安全,Symantec 终端安全,Key Products,Symantec Endpoint Protection 11.0,Definition,Endpoint Protection proactively protects laptops, desktops and servers from known and unknown malware such as viruses, worms, Trojans, spyware, adware and rootkits by combining these capabilities: 防病毒Antivirus 防间谍软件Antispyware 桌面防火墙Desktop firewall 入侵防护Intrusion Prevention (Host & Network) 设备和应用控制Device & Application Control,Endpoint Compliance 对终端接入网络进行安全控制 持续的终端完整性检查 集中的终端遵充策略管理 自动修复 基于主机的访问控制策略强制 监控和报告 系统配置检查、修复和强制,* SNAC-ready,Symantec Network Access Control 11.0,Symantec Vision 2007,7,SNAC的功能概述,屏蔽一切不安全的设备和人员接入网络，规范用户接入网络的行为，从而铲除网络威胁的源头，避免事后处理的高额成本 以安全策略为核心，可以灵活的定义细粒度的安全策略 以NAC为强制手段，用技术的手段保证安全策略的落实 实现策略遵从的终端安全 实现可管理可改善的终端安全 实现标准化、自动化的终端安全,Symantec Vision 2007,8,8,SNAC 11.0,在访问网络资源之前，确保端点得到了保护且满足遵从要求,Symantec Network Access Control 11.0,Symantec Vision 2007,9,SNAC对端点授权，而不仅对用户,网络控制 = 控制谁能够访问您的网络 在端点连接网络之前，确保所需的补丁、配置和保护的签名已经存在 自动化端点修复 在授权访问前强制执行策略,授权的用户,授权的端点,+,受保护的网络,Symantec Vision 2007,10,Symantec 端点遵从步骤,Symantec Vision 2007,11,防病毒,主机防火墙,安全补丁,Symantec Enforcement Agent,反间谍软件,主机入侵防御,Hotfix,自定义检查,-,支持ifthenelse语法，用类似编程方式进行多样化的复合检查。,策略的组成（安全检查的内容）,Symantec Vision 2007,12,主机完整性 ： 主机系统所采用的安全措施的完整性,自动化修复 动态提示 绿色通道 自动连接到服务器下载最新的版本、特征库和补丁 全面修复 安装缺失的安全应用 更新安全软件特征库 检查并安装系统关键安全补丁 检查并修复系统安全设置 ,安全策略自动化修复,Symantec Vision 2007,13,SNAC实现可管理的、可改善的终端安全,持续改进,Symantec Vision 2007,14,Symantec Endpoint Security Manager,SNAC解决方案的组成,端点,强制器,管理,Symantec Vision 2007,15,Symantec全面的网络准入控制,网关强制器,局域网强制器,DHCP强制器,Symantec Vision 2007,16,自动化的、标准化的终端安全,Symantec Vision 2007,17,日程,Symantec Vision 2007,18,Symantec网络准入控制方式,局域网准入控制 基本模式(需要用户认证) 透明模式(不需要用户认证) 网关准入控制 DHCP准入控制 客户端自强制,802.1x交换机端口认证协议,Symantec Vision 2007,19,19,局域网准入控制(透明模式)工作原理图,工作站,Symantec 策略管理服务器,修复服务器,局域网准入控制器,隔离VLAN,受保护网络,802.1x 透明模式,Symantec NAC Enforcement Agent,Symantec Vision 2007,20,20,局域网准入控制(基本模式)工作原理图,工作站,Symantec 终端安全管理器,修复服务器,RADIUS Server,局域网强制器,隔离VLAN,受保护网络,802.1x 基本模式,Symantec NAC Enforcement Agent,Symantec Vision 2007,21,21,网关准入控制工作原理图,远程用户,Symantec 终端安全管理器,修复服务器,受保护网络,Symantec NAC Enforcement Agent,网关强制器,Symantec Vision 2007,22,22,DHCP准入控制工作原理图,工作站,修复服务器,DHCP Server,受保护网络,Symantec NAC Enforcement Agent,DHCP强制器,Symantec 终端安全管理器,Symantec Vision 2007,23,23,客户端自强制工作原理图,工作站,Symantec 终端安全管理器,修复服务器,SPA,受保护网络,隔离区,Symantec Vision 2007,24,日程,Symantec Vision 2007,25,NAC测评对比，Symantec第一,2007年7月30日测评结果： Symantec tops Juniper, Cisco and Check Point in test of 13 NAC point products. Symantec came out on top as the best-all-around all-in-one NAC product, provided the most solid NAC functions across the board. 13家参与测评的NAC厂商：Bradford Networks, Check Point Softwaer, Cisco, ConSentry Networks, ForeScout Technologies, InfoExpress, Juniper Networks, Lockdown Networks, McAfee, StillSecure, Symantec, Trend Micro and Vernier Networks.,Symantec Vision 2007,26,SNAC 11.