Symantec终端管理和安全解决方案功能规范书

Symantec终端管理及安全解决方案功能规范书赛门铁克软件（北京）有限公司DATE\@"yyyy年MM月"\l2008年04月文档信息属性内容文档名称：终端管理和安全解决方案功能规范书文档编号：文档版本：版本日期：文档状态：制作人：审阅人：版本变更记录版本修订日期修订人描述1.02008-4-8姚臻目录第1章 概述 11.1 先进的威胁防护 11.2 同时对端点和用户进行授权 2第2章 产品功能介绍 42.1 端点保护系统SymantecEndpointProtection 42.1.1 产品简介 42.1.2 产品主要优势 52.1.3 主要功能 62.1.4 产品系列 72.1.5 系统要求 82.2 终端准入控制SymantecNetworkAccessControl11 102.2.1 主要优势 102.2.2 主要功能 112.2.3 全方位的端点防护 122.2.4 可在任何网络中部署 122.2.5 产品系列 132.2.6 系统要求 142.3 SymantecAltiris（IT生命周期管理解决方案） 162.3.1 Altiris管理架构—NotificationsServer 162.3.2 Altiris功能模块 19第3章 终端安全系统功能说明 223.1 管理系统功能组件说明 223.2 系统架构功能设计 253.2.1 两级管理体系 253.2.2 二级VS两级以上的管理 263.2.3 策略的同步与复制 273.2.4 服务器的负载均衡 283.2.5 客户端的漫游 293.2.6 容灾与灾备系统 313.3 终端安全功能点说明 353.3.1 集成的端点防护方法 353.3.2 简化端点保护—多重技术、一个产品 363.3.3 降低总拥有成本 383.3.4 最全面的端点安全 393.3.5 提高端点安全标准 453.4 准入控制设计功能点 473.4.1 SymantecNAC评估过程 473.4.2 赛门铁克端点评估技术：灵活性和全面性 493.4.3 永久代理 503.4.4 可分解的代理 513.4.5 远程漏洞扫描 523.4.6 SymantecEnforcers：用于消除IT和业务中断的灵活实施选件 533.4.7 GatewayEnforcer 553.4.8 DHCPEnforcer 563.4.9 LANEnforcer—802.1x 573.4.10 网络准入控制行业框架支持 583.4.11 端到端的端点遵从 593.4.12 Peer-to-Peer的认证（点对点的认证） 603.4.13 SNACOn-DemandAgent 623.4.14 访客的网页登录认证 623.4.15 GatewayEnforcer对VLANTrunking的支持 643.4.16 LANEnforcer的MAC地址过滤 653.4.17 AppliancemonitoringviaSNMPTraps 66第4章 终端管理产品功能 674.1 产品组成 674.1.1 客户端管理套件 674.1.2 服务器管理套件 684.1.3 服务与资产管理套件 68第5章 Symantec终端安全防护功能概括与总结 705.1 支持集中管理平台能力： 705.2 客户端安全防护能力概括 715.3 产品的更新升级能力要求 725.4 安全性要求 73第6章 终端管理需求 746.1 桌面终端资产管理 746.2 软件分发 756.3 补丁管理 75第7章 网络准入控制设备技术要求 77概述先进的威胁防护SymantecEndpointProtection将SymantecAntiVirus™与高级威胁防御功能相结合，可以为笔记本、台式机和服务器提供无与伦比的恶意软件防护能力。它甚至可以防御最复杂的攻击，这些攻击能够躲避传统的安全措施，如rootkit、零日攻击和不断变化的间谍软件。SymantecEndpointProtection不仅提供了世界一流、业界领先且基于特征的防病毒和反间谍软件防护。它还提供了先进的威胁防御能力，能够保护端点免遭目标性攻击以及之前没有发现的未知攻击侵扰。它包括即刻可用的主动防护技术以及管理控制功能；主动防护技术能够自动分析应用程序行为和网络通信，以检测并阻止可疑活动，而管理控制功能使您能够拒绝对企业来说被视为高风险的特定设备和应用程序活动。您甚至可以根据用户位置阻止特定操作。这种多层方法可以显著降低风险，同时能够充分保护您的企业资产，从而使您高枕无忧。它是一款功能全面的产品，只要您需要，即可立即为您提供所需的所有功能。无论攻击是由恶意的内部人员发起，还是来自于外部，端点都会受到充分保护。SymantecEndpointProtection不仅可以增强防护，而且可以通过降低管理开销以及管理多个端点安全性产品引发的成本来降低总拥有成本。它提供一个代理，通过一个管理控制台即可进行管理。从而不仅简化了端点安全管理，而且还提供了出色的操作效能，如单个软件更新和策略更新、统一的集中报告及一个授权许可和维护计划。SymantecEndpointProtection易于实施和部署。赛门铁克还提供广泛的咨询、技术培训和支持服务，可以指导企业完成解决方案的迁移、部署和管理，并帮助您实现投资的全部价值。对于希望外包安全监控和管理的企业来说，赛门铁克还提供托管安全服务，以提供实时安全防护。 图：统一的端点防护方法SymantecNetworkAccessControl是全面的端到端网络访问控制解决方案，通过与现有网络基础架构相集成，使企业能够安全有效地控制对企业网络的访问。不管端点以何种方式与网络相连，SymantecNetworkAccessControl都能够发现并评估端点遵从状态、设置适当的网络访问权限、根据需要提供补救功能，并持续监视端点以了解遵从状态是否发生了变化。从而可以营造这样的网络环境：企业可以在此环境中大大减少安全事故，同时提高企业IT安全策略的遵从级别。SymantecNetworkAccessControl使企业可以按照目标经济有效地部署和管理网络访问控制。同时对端点和用户进行授权在当今的计算环境中，企业和网络管理员面临着严峻的挑战，即为不断扩大的用户群提供访问企业资源的权限。其中包括现场和远程员工，以及访客、承包商和其他临时工作人员。现在，维护网络环境完整性的任务面临着前所未有的挑战。如今无法再接受对网络提供未经检查的访问。随着访问企业系统的端点数量和类型激增，企业必须能够在连接到资源以前验证端点的健康状况，而且在端点连接到资源之后，要对端点进行持续验证。SymantecNetworkAccessControl可以确保在允许端点连接到企业LAN、WAN、WLAN或VPN之前遵从IT策略。产品功能介绍端点保护系统SymantecEndpointProtection产品简介SymantecEndpointProtection11将SymantecAntiVirus™与高级威胁防御功能相结合，可以为笔记本、台式机和服务器提供无与伦比的恶意软件防护能力。它甚至可以防御最复杂的攻击，这些攻击能够躲避传统的安全措施，如rootkit、零日攻击和不断变化的间谍软件。SymantecEndpointProtection11不仅提供了世界一流、业界领先且基于特征的防病毒和反间谍软件防护。它还提供了先进的威胁防御能力，能够保护端点免遭目标性攻击以及之前没有发现的未知攻击侵扰。它包括即刻可用的主动防护技术以及管理控制功能；主动防护技术能够自动分析应用程序行为和网络通信，以检测并阻止可疑活动，而管理控制功能使您能够拒绝对企业来说被视为高风险的特定设备和应用程序活动。甚至可以根据用户位置阻止特定操作。这种多层方法可以显著降低风险，同时能够充分保护企业资产，从而使企业高枕无忧。它是一款功能全面的产品，只要您需要，即可立即为您提供所需的所有功能。无论攻击是由恶意的内部人员发起，还是来自于外部，端点都会受到充分保护。SymantecEndpointProtection11不仅可以增强防护，而且可以通过降低管理开销以及管理多个端点安全性产品引发的成本来降低总拥有成本。它提供一个代理，通过一个管理控制台即可进行管理。从而不仅简化了端点安全管理，而且还提供了出色的操作效能，如单个软件更新和策略更新、统一的集中报告及一个授权许可和维护计划。SymantecEndpointProtection11易于实施和部署。赛门铁克还提供广泛的咨询、技术培训和支持服务，可以指导企业完成解决方案的迁移、部署和管理，并帮助您实现投资的全部价值。对于希望外包安全监控和管理的企业来说，赛门铁克还提供托管安全服务，以提供实时安全防护。产品主要优势安全全面的防护—集成一流的技术，可以在安全威胁渗透到网络之前将其阻止，即便是由最狡猾的未知新攻击者发起的攻击也不例外。以实时方式检测并阻止恶意软件，包括病毒、蠕虫、特洛伊木马、间谍软件、广告软件和rootkit。主动防护—全新的主动威胁扫描使用独特的赛门铁克技术为未知应用程序的良好行为和不良行为评分，从而无需创建基于规则的配置即可增强检测能力并减少误报。业界最佳的威胁趋势情报—赛门铁克的防护机制使用业界领先的赛门铁克全球情报网络，可以提供有关整个互联网威胁趋势的全面视图。借助此情报可以采取相应的防护措施，并且可以帮助您防御不断变化的攻击，从而使您高枕无忧。简单单一代理，单一控制台—通过一个直观用户界面和基于Web的图形报告将全面的安全技术集成到单一代理和集中的管理控制台中。能够在整个企业中设置并实施安全策略，以保护您的重要资产。添加SymantecNetworkAccessControl11支持时，可以简化管理、降低系统资源使用率，并且无需其它代理。通过购买许可证可以在代理和管理控制台上自动启用SymantecNetworkAccessControl11功能。易于部署—由于它只需要一个代理和管理控制台，并且可以利用企业现有的安全和IT投资进行操作，因此，SymantecEndpointProtection11易于实施和部署。对于希望外包安全监控和管理的企业，赛门铁克提供托管安全服务，以提供实时安全防护。降低拥有成本—SymantecEndpointProtection11通过降低管理开销以及管理多个端点安全产品引发的成本，提供了较低的总体拥有成本。这种保障端点安全的统一方法不仅简化了管理，而且还提供了出色的操作效能，如单个软件更新和策略更新、统一的集中报告及一个授权许可和维护计划。无缝易于安装、配置和管理—SymantecEndpointProtection11使您可以轻松启用、禁用和配置所需的技术，以适应您的环境。SymantecNetworkAccessControl11就绪—每个端点都会进入“SymantecNetworkAccessControl11就绪”状态，从而无需部署其它网络访问控制端点代理软件。利用现有安全技术和IT投资—可以与其它领先防病毒供应商、防火墙、IPS技术和网络访问控制基础架构协作。还可以与领先的软件部署工具、补丁管理工具和安全信息管理工具协作。主要功能防病毒和反间谍软件—提供了无可匹敌的一流恶意软件防护能力，包括市场领先的防病毒防护、增强的间谍软件防护、新rootkit防护、减少内存使用率和全新的动态性能调整，以保持用户的工作效率。网络威胁防护—提供基于规则的防火墙引擎和一般漏洞利用禁止功能(GEB)，该功能可以在恶意软件进入系统前将其阻止在外。主动威胁防护—针对不可见的威胁（即零日威胁）提供防护。包括不依赖特征的主动威胁扫描。单个代理和单个管理控制台—在一个代理上提供防病毒、反间谍软件、桌面防火墙、IPS、设备控制和网络访问控制（需要购买赛门铁克网络访问控制许可证）—通过单个管理控制台即可进行全面管理。产品系列系统要求终端准入控制SymantecNetworkAccessControl11SymantecNetworkAccessControl11是全面的端到端网络访问控制解决方案，通过与现有网络基础架构相集成，使企业能够安全有效地控制对企业网络的访问。不管端点以何种方式与网络相连，SymantecNetworkAccessControl11都能够发现并评估端点遵从状态、设置适当的网络访问权限、根据需要提供补救功能，并持续监视端点以了解遵从状态是否发生了变化。从而可以营造这样的网络环境：企业可以在此环境中大大减少安全事故，同时提高企业IT安全策略的遵从级别。SymantecNetworkAccessControl11使企业可以按照目标经济有效地部署和管理网络访问控制。同时对端点和用户进行授权在当今的计算环境中，企业和网络管理员面临着严峻的挑战，即为不断扩大的用户群提供访问企业资源的权限。其中包括现场和远程员工，以及访客、承包商和其他临时工作人员。现在，维护网络环境完整性的任务面临着前所未有的挑战。如今无法再接受对网络提供未经检查的访问。随着访问企业系统的端点数量和类型激增，企业必须能够在连接到资源以前验证端点的健康状况，而且在端点连接到资源之后，要对端点进行持续验证。SymantecNetworkAccessControl11可以确保在允许端点连接到企业LAN、WAN、WLAN或VPN之前遵从IT策略。主要优势部署SymantecNetworkAccessControl11的企业可以切身体验到众多优势。其中包括：减少恶意代码（如病毒、蠕虫、间谍软件和其它形式的犯罪软件）的传播通过对访问企业网络的不受管理的端点和受管理的端点加强控制，降低风险为最终用户提供更高的网络可用性，并减少服务中断的情况通过实时端点遵从数据获得可验证的企业遵从信息企业级集中管理架构将总拥有成本降至最低验证对防病毒软件和客户端防火墙这样的端点安全产品投资是否得当主要功能网络访问控制流程网络访问控制是一个流程，涉及对所有类型的端点和网络进行管理。此流程从连接到网络之前开始，在整个连接过程中持续进行。与所有企业流程一样，策略可以作为评估和操作的基础。网络访问控制流程包括以下四个步骤：1.发现和评估端点。此步骤在端点连接到网络访问资源之前执行。通过与现有网络基础架构相集成，同时使用智能代理软件，网络管理员可以确保按照最低IT策略要求对连接到网络的新设备进行评估。2.设置网络访问权限。只有对系统进行评估并确认其遵从IT策略后，才准予该系统进行全面的网络访问。对于不遵从IT策略或不满足企业最低安全要求的系统，将对其进行隔离，限制或拒绝其对网络进行访问。3.对不遵从的端点采取补救措施。对不遵从的端点自动采取补救措施使管理员能够将这些端点快速变为遵从状态，随后再改变网络访问权限。管理员可以将补救过程完全自动化，这样会使该过程对最终用户完全透明；也可以将信息提供给用户，以便进行手动补救。4.主动监视遵从状况。必须时刻遵从策略。因此，SymantecNetworkAccessControl11以管理员设置的时间间隔主动监视所有端点的遵从状况。如果在某一时刻端点的遵从状态发生了变化，那么该端点的网络访问权限也会随之变化。全方位的端点防护网络由新企业系统、早期企业系统、承包商系统、访客系统、公共服务站、业务合作伙伴以及其它无数未知系统组成。对于其中大部分端点，管理员施加的控制少之又少，甚至不予以控制，但又必须确保网络的安全性和可用性。SymantecNetworkAccessControl使企业能够将网络访问控制过程应用于受控或不受控的系统、旧系统或新系统以及未知或已知的系统。可在任何网络中部署典型的企业用户通过多种访问方法连接到网络；因此，管理员必须拥有足够的灵活性，可以在不考虑连接类型的情况下一致应用评估和连接控制。作为当今市场上最成熟的网络访问控制解决方案之一，SymantecNetworkAccessControl使网络管理员能够通过对网络基础架构的现有投资主动实施遵从，而不需要升级网络设备。不管是使用直接集成到网络中的某个SymantecNetworkAccessControlEnforcer（仅主机实施选件不要求进行网络集成），还是使用集成到Web应用环境中的可分解代理，企业都能够确保最终用户和端点在接入企业网络时保持遵从。产品系列系统要求平台支持SymantecEndpointProtectionManager•Microsoft®Windows®2003（32位和64位）•MicrosoftWindowsXP（32位）•MicrosoftWindows2000—SP3及更高版本（32位）SymantecEndpointProtectionManager控制台•MicrosoftVista®（32位和64位）•MicrosoftWindows2003（32位和64位）•MicrosoftWindowsXP（32位和64位）•MicrosoftWindows2000—SP3及更高版本（32位）SymantecNetworkAccessControl客户端操作系统：•Windows2000Professional•Windows2000Server•Windows2000AdvancedServer•Windows2000DatacenterServer•WindowsXPHomeEdition或WindowsXPProfessional•WindowsXPTabletEdition•WindowsServer2003Standard或WindowsServer2003Enterprise•MacOSX10.4或更高版本SymantecNetworkAccessControlScanner操作系统：•Windows2000ServerSP4•Windows2003ServerSP1最低处理器要求：Intel®Pentium®41.8GHz至少1GB内存1GB可用硬盘空间InternetExplorer®5.5或更高版本Windows2000ProfessionalSymantecNetworkAccessControlEnforcer6100系列基本硬件设备选件（网关、局域网和DHCP）故障开放硬件设备选件（网关、局域网和DHCP）SymantecAltiris（IT生命周期管理解决方案）AltirisIT生命周期管理解决方案具有多重系统管理功能，企业能随着新的要求或新的系统管理需求部署新的功能，随着企业的发展而不断扩充。每个解决方案以模块化的方式集中安装在Altiris服务器上，通过安装在客户端的Agent（代理）的交互式来实现所有功能。Altiris管理架构—NotificationsServerNotificationServer是altiris所有模块化解决方案的基础架构，所有模块都基于此。其可扩充管理架构--ExtensibleManagementArchitecture™(EMA™)为客户提供了一个统一集中又具充分扩展能力的管理平台。通过NotificationServer，altriris具备管理复杂网络环境的能力无论是LAN还是WAN。其功能特性如下：完全为BS结构，Web方式管理，统一集中的控制台Altiris基于Windows.Net技术，采用SQLServer数据库，符合主流的发展趋势。可以按角色和区域进行多级分布式管理其角色安全(RoleBase)和区域安全(ScopeBase)特性满足大型企业客户对管理的需求管理多平台能力可以管理Windows,Linux,Unix,Mac等多种软硬件平台，而无须采用第三方产品。强大的与第三方产品集成能力企业资源共享是企业IT总体规划的重要内容，altiris通过其连接器解决方案(ConnectorSolution)提供了多种连接器(Connector)—AD，HPOpenView,IBMDirector,SMS,RemedyHelpdesk，Oracle甚至SAP。通过ODBC,OLEDB,altiris还可以与财务软件、HR软件进行资源数据共享。强大的Web报表功能Altiris不但提供了数百个已经预定义的Web报表，还可以让企业自定义符合企业需求的报表。PackageServer(分布式服务器)PackageServer功能使得altiris可以应用于任何一种企业架构，无论复杂还是简单。并且与AD集成。同时PackageServer不需要额外付费，对于有复杂结构WAN环境企业可以节约很大一笔费用。通过工业标准的SNMP,可以管理基于SNMP设备Altiris不但可以管理PC等设备，还可以管理网络设备基于策略的管理Altiris基于策略的管理可以大大减少重复性的管理工作环节，自动化操作能力是IT管理的重要特征。altirisNotificationServer是免费的AltirisNotificationServer不需要额外的许可证费用，企业可以自由任意的扩展管理架构强大的合作伙伴支持能力Altriris支持业界主流的计算机厂商，并为他们开发了专门针对硬件底层的管理工具，如IBM服务器、Dell服务器和客户端、HP服务器和客户端，为客户提供更深层次的管理工具，这是其他管理软件很难具有的。综上所述，altiris管理架构在广度和深度上都是极具优势。Altiris功能模块ClientManagementSuiteTM解决方案客户端备份和恢复解决方案>系统实时管理解决方案>虚拟软件解决方案>软件打包工具专业版**每1000个节点包含一个许可>应用管理解决方案>应用测量解决方案>远程控制解决方案>系统部署和迁移解决方案>资产清单解决方案>补丁管理解决方案>软件分发解决方案ClientManagementSuite客户端管理套件第三级第三级第二级第一级第三级第二级第一级>第三级第二级第一级>系统实时管理解决方案>服务器备份及恢复解决方案>应用管理解决方案>服务器系统部署和迁移解决方案>服务器资产管理解决方案>补丁管理解决方案>软件分发解决方案ServerManagementSuite服务器管理套件Service&AssetManagementSuiteTM解决方案第三级第二级第一级>第三级第二级第一级（按每并发用户购买许可）>资产控制解决方案>合同管理解决方案>连接器解决方案>TCO管理解决方案（按每并发用户购买许可）>应用测量解决方案>资产清单解决方案Service&AssetManagementSuite资产管理套件终端安全系统功能说明管理系统功能组件说明终端安全管理系统包括三部分组件：策略管理服务器策略服务器实现所有安全策略、准入控制规则的管理、设定和监控，是整个终端安全标准化管理的核心。通过使用控制台管理员可以创建和管理各种策略、将策略分配给代理、查看日志并运行端点安全活动报告。通过图形报告、集中日志记录和阈值警报等功能提供全面的端点可见性。统一控制台简化了端点安全管理，提供集中软件更新、策略更新、报告等功能。策略管理服务器可以完成以下任务：终端分组与权限管理；根据地理位置、业务属性等条件对终端进行分组管理，对于不同的组可以制定专门的组管理员，并进行权限控制。策略管理与发布；策略包括自动防护策略、手动扫描的策略、手动扫描的策略、病毒、木马防护策略、恶意脚本防护策略、电子邮件防护策略（包括outlook、lotus以及internet邮件）、广告软件防护策略、前瞻性威胁防护策略、防火墙策略、入侵防护策略、硬件保护策略、软件保护策略、升级策略、主机完整性策略等安全内容更新下发安全内容更新包括病毒定义、防火墙规则、入侵防护定义、主动威胁防护规则等日志收集和报表呈现可以生成日报/周报/月报，报告种类包括：风险报表（以服务器组、父服务器、客户端组、计算机、IP、用户名为条件识别感染源、当前环境下高风险列表、按类型划分的安全风险）、计算机状态报表（内容定义分发、产品版本列表、未接受管理客户端列表）、扫描状态报表、审计报表、软件和硬件控制报表、网络威胁防护报表、系统报表、安全遵从性报表。强制服务器管理和策略下发对于交换机强制服务器和网关强制设备进行统一的管理和策略定义。终端代理安装包的维护和升级；终端代理（包括终端保护代理和准入控制代理）终端安全管理系统需要在所有的终端上部署安全代理软件，安全代理是整个企业网络安全策略的执行者，它安装在网络中的每一台终端计算机上。安全代理实现端点保护和准入控制功能。端点保护功能包括：防病毒和反间谍软件—提供病毒防护、间谍软件防护、rootkit防护。网络威胁防护—提供基于规则的防火墙引擎和一般漏洞利用禁止功能(GEB)，该功能可以在恶意软件进入系统前将其阻止在外。主动威胁防护—针对不可见的威胁（即零日威胁）提供防护。包括不依赖特征的主动威胁扫描。端点准入控制功能包括：主机完整性检查和自动修复：检查终端计算机上防火墙、防病毒软件、反间谍软件、补丁程序、ServicePack或其他必需应用程序是否符合要求，具体内容可以是对防病毒程序的安装，windows补丁安装，客户端启用强口令策略，关闭有威胁的服务与端口。因为主机完整性检查支持对终端的注册表检查与设置，进程管理，文件检查，下载与启动程序等，所以可通过设置自定义的策略来满足几乎所有对客户端的安全策略与管理要求。强制：当终端的安全设置不能满足企业基准安全策略的需求，可以限制终端的网络访问，如只能访问修复服务器进行自动修复操作。以上两部分功能由一个代理软件完成，接受策略管理服务器的统一管理。强制认证服务器对于那些未安装终端代理的终端或者私自卸载代理软件的终端，必需通过网络强制的方式进行控制。这需要部署相关的强制服务器（LANEnforcer）。赛门铁克LANEnforcer802.1X是带外802.1XRADIUS代理解决方案，它与支持802.1X标准的所有主要交换供应商协同工作。几乎所有有线以太网和无线以太网交换机制造商都支持IEEE802.1x准入控制协议。LANEnforcer使用该链接级协议评估端点遵从性，提供自动问题修复并允许遵从系统进入企业网络。在实施期间，端点上的赛门铁克代理使用802.1x将遵从信息传送到网络交换机上，然后将此信息中继到LANEnforcer。如果端点不遵从策略，LANEnforcer会将其放入隔离网络，在此对其进行修复，而不会影响任何遵从端点。SymantecNetworkAccessControl11补救端点并将其转换到遵从状态后，802.1x协议将试图对用户重新进行身份验证，并为其授予网络访问权限。LANEnforcer可以参与现有AAA身份管理架构以便对用户和端点进行身份验证，对于只要求进行端点遵从验证的环境，也可以充当独立的RADIUS解决方案（也称为透明模式）。在透明模式下，管理员只需将交换机配置为使用LANEnforcer作为RADIUS服务器，就能让设备根据遵从所定义策略的情况对端点进行身份验证。在透明模式下运行LANEnforcer无需额外基础架构，并且是一种实施基于VLAN交换的安全网络准入控制解决方案的简单方法。系统架构功能设计两级管理体系终端接入控制平台按照两级架构设计，总部—省公司如下图：在总部设立全国范围的终端接入控制平台中心，制定并下发统一的全网管理策略。这些策略主要以策略模版库的形式提供。这些策略通过同步与复制的机制，在一二级服务器间保持一致。二级管理平台上策略的变更也都会同步回一级控制平台，在一级管理平台上可以预览任何一个二级甚至三级服务器上的策略应用情况。二级VS两级以上的管理在3.2.1节中，我们设计的是一个二级管理体系。通过复制关系实现上下级之间的策略同步。根据需要，我们可以实现二级以上的管理关系。例如，国家电网在总部实现一级管理平台，在各省中心实现二级管理平台，在一个大的地市实现三级管理架构，如下图所示：理论上SEP11的管理架构层次是无限多，但是在实际部署中，我们推荐国家电网的SEP架构设计控制在三层以下。其一可以减少管理上的复杂度，包括架构的设计，人员的调配设置，权限的分级下发设计；另外也避免了更多的硬件成本支出。策略的同步与复制复制就是不同地点或站点间的服务器系统通过特别拷贝来共享数据的过程。终端接入控制平台的策略同步复制在逻辑上和微软域策略的同步复制类似，它并非简单的数据库间复制关系，它内部包含有周全的防止策略冲突的处理。通过策略复制与同步，不同地点的用户都工作在本地的副本之上，然后同步他们之间的变更。在终端接入控制平台上，策略复制还可以将一个管理服务器上的变更同步到另一个数据库上，实现冗余备份。通过策略复制，终端接入控制平台能够支持多级管理，以及无限的终端数量扩展能力，从而满足国家电网终端节点规模不断扩大的需求。服务器的负载均衡SEP11/SNAC11可以自行实现负载均衡和灾难恢复设置，无需再另行添置相关软硬件设置。SEP11的负载均衡建立在现有体系结构之上，它提供了一种廉价有效的方法扩展服务器带宽和增加吞吐量，加强网络数据处理能力，提高网络的灵活性和可用性。它主要完成以下任务：解决网络拥塞问题，服务就近提供，实现地理位置无关性；为用户提供更好的访问质量；提高服务器响应速度；提高服务器及其他资源的利用效率；避免了网络关键部位出现单点失效。SEP11可以为每一个地区/组织结构/组的用户创建不同的服务器链接列表，当客户端接收到最新的服务器列表策略后，它会从列表中通过随机算法选择其中之一的服务器进行连接，如果连接不上，会继续通过随机算法选择其余服务器列别当中的一个进行连接，直至连接到某一个服务器为止，如下图所示：此外，SEP11还可以定制不同的服务器优先级，即只有自己的服务器列表第一优先级中所有的服务器全部连接不上时，自动寻找优先级为二级的服务器列表，如下图所示：客户端的漫游对于国家电网这个大型企业来说，员工的流动性也是非常大。如果员工在离开其所在地出差到其他分支机构时，如果SEP11客户端仍然去连接其原有的服务器，在网络带宽允许的情况下是不会有太大问题是；但是如果分支结构较小，又或者网络连接情况不甚理想时，和服务器的连接这个问题就必须慎重考虑，否则，或者客户端无法连接其管理其的服务器，或者占用大量广域网的网络带宽，给业务系统使用网络带来不必要的影响。SEP11充分考虑到了大型企业的员工在出差漫游到外地时的系统设置，方便客户端就近连接到本地的服务器组，不但大大提高了连接速度，也避免和业务系统抢占宝贵的广域网带宽。方法之一是采用DNS的漫游；方法二是自动处所切换功能。像国家电网这样的大型企业不但在全国都有自己的分支机构，网络建设更是走在其他全国的前列。全国建设了自己的独立的Intranet，此外，各个大区也建立了自己的DNS服务器和DHCP服务器，客户端可以就近解析网络域名。SEP11系统在建立之初，可以在全国范围内使用统一的域名，例如，随后在各地市的DNS服务器上绑定域名和对应的本地的SEPM服务器IP地址，例如，总部和北京地区是共用同一台DNS服务器，同时总部和北京地区的SEPM服务器有三台（4.2.4节介绍的负载均衡），IP地址分别是、、，管理员可以在本地的DNS服务器上设置对应的IP地址就是、、。当用户电脑启动后会首先接受本地DHCP服务器分配的IP地址、网关以及本地的DNS服务器IP地址。随后当SEP11客户端试图连接SEPM服务器时，这台客户端会首先向本地DNS服务器发起解析域名请求，由DNS服务器随机分配IP地址给SEP11客户端。这样，不论用户是否是总部的用户，只要终端上的DNS服务器指向的是本地SEPM服务器，就能顺利的实现客户端的漫游。同样道理，各地市的DNS服务器也分别将这个域名解析到本地的SEPM服务器的IP地址。当总部或其它地市的电脑漫游到本地市时，就能通过本地市的DNS服务器顺利连接到本地的SEPM服务器。方法二是采用SEP终端安全管理系统的自动处所切换功能。强大的SEP11终端安全管理系统能根据管理员的实际需要，在以下条件中任意选择一个或者多个；条件可以是“和”，也可以是“或”，组成一个判断用户当前所处环境的判断。条件包括以下：IP范围（包括单个IP地址、子网地址、IP地址段、IP地址范围等）DNS服务器IP地址DHCP服务器IP地址客户端可以解析主机名客户端可以连接到管理服务器（可以连，或者是无法连接）网络连接类型（包括■任何网络■拨号网络■以太网■无线CheckPointVPN-1CiscoVPNMicrosoftPPTPVPNJuniperNetScreenVPNNortelContivityVPNSafeNetSoftRemoteVPNAventailSSLVPNJuniperSSLVPN）注册表键值例如，管理员指定，当用户拿到了——50的地址，同时通过以太网连接，DNS服务器的IP地址是10.1.254，则认为其漫游到了总部地址。这样，任何一个客户端如果满足上诉条件的组合，即可认为其处在总部地区，随即分配总部地区的SEPM服务器与其连接。容灾与灾备系统容灾和灾备系统的设计对任何一个系统都是极其重要，尤其是对一个覆盖全网的安全管理系统。SEP11充分考虑到了用户的需求并提供了多种方法供管理员选择。容灾系统设计分为两部分，一部分是对于SEPM服务器的容灾设计，另外一个是SEPM的后台数据库服务器的容灾设计。SEPM服务器的容灾设计在4.2.4节已经详细描述，即客户端可以随机连接任何一个SEPM服务器组中的SEPM，任意一个SEPM服务器宕机都不会影响客户端和服务器的通讯。同时，SEPM服务器优先级的设置可以保证在极端情况下即使同一个地区所有的SEPM全部宕机，此地区的客户端也可以连接到其他地区的SEPM服务器。如下图所示：上图是同一地区同一优先级的SEPM冗余设计。上图左部分是优先级为1的本地SEPM服务器群，右边的是优先级为2的异地SEPM服务器群。在SEPM服务器实现冗余设计后，数据库的冗余设计也需要得到管理员的同样重视。SEP终端安全管理系统所有的数据均储存在后台的数据库上，包括客户端的分组、策略的定义、病毒库，以及定期产生的日志及报表等等。所以，维护数据库的冗余以及灾备系统设置及就显得更为重要了数据库的冗余设计也分为两种，一种是单站点的设置，另外一种是对于多站点的设计。对于单站点来说，重要的是如何保护其唯一一个数据库。对于这种情况，Symantec公司推荐使用DatabaseCluster来实现数据库的冗余设计，如VCS或者是MCS，如下图所示：对多站点来说，情况就会好很多。我们在4.2.1节谈到了多级管理体系，其中就有一个叫做“站点”的概念。站点在SEP11管理系统中指的是一个数据库以及连接它的SEPM服务器组。管理员可以根据实际需要，在不同站点的数据库服务器之间配置需要同步的内容，如下图所示：在上图中，管理员设置两个分支机构的“策略/组信息”完全和总部同步，也就是说总部、站点1、站点2个含有一个完全一样的“策略/组信息”数据库。同时，管理员设置两个分支机构的“内容复制”完全和总部同步。此时，总部和两个分支机构的的SEPM服务器只要任意一个向SymantecLiveupdate获取了最新的病毒库、主动威胁防护、主机IPS特征库后，其他的服务器勿需上网更新即可获取同样最新的病毒库、主动威胁防护、主机IPS特征库，本地的客户端也随后能得到及时的更新。至于日志，管理员设置为单向复制，即两个分支机构的SEPM服务器只向总部复制，总部的日志并不向分支机构的数据库上复制，以节省有限的广域网网络带宽。在任何灾难发生时，如果不幸造成了某一个站点的数据库彻底无法恢复（包括我们下面还要介绍的数据库备份文件也损坏）时，其他两个完好站点的数据库可以在第一时间将已经同步的数据库内容完好如初的恢复到灾难地区新建的数据库服务器上。接下来是备份。我们在本节前文已经阐述SEP11终端安全管理系统的核心数据均储存在数据库中，所以SEPM服务器本身不需要备份，需要备份的是数据库。数据库的备份分为两种，其一是SEPM服务器自己设置的数据库维护计划，如下图所示：我们可以选择是否备份日志，也可以设置保留多少次数据库的备份。在备份周期上可以选择每小时/每日/每周。其二是采用SQLServer自己的数据库备份维护计划，此处不再详述。终端安全功能点说明集成的端点防护方法近几年来，IT威胁趋势发生了显著的变化。过去，大多数攻击的目的仅仅是出名而已。现在，攻击变得更复杂、更隐蔽，往往以特定企业为目标来获得经济利益。专业黑客会不断开发新的方法，试图做到始终能够未经授权即可访问企业系统和信息，而且不被检测出来。从混合威胁的出现就能看出攻击复杂程度在不断升级，这种威胁集成了蠕虫、特洛伊木马和零日攻击等多种攻击方法。防病毒软件、反间谍软件和其它基于特征的防护方法主要是反应性方法，它们在几年前可能足以保护企业的重要资源，但已不能满足当前的安全需要。企业目前需要主动的端点安全方法，来防御零日攻击乃至未知威胁。他们需要层次化的端点安全方法，实施不仅能够防御各级威胁，而且可提供互操作性、无缝实施和集中管理的全面解决方案。SymantecEndpointProtection提供全面的多层端点防护方法，满足了这一需要。该产品将SymantecAntiVirus™与高级威胁防御相结合，可以为笔记本、台式机和服务器提供无与伦比的恶意软件防护能力，这些已知和未知的恶意软件包括病毒、蠕虫、特洛伊木马、间谍软件和广告软件。它甚至可以防御复杂攻击，这些攻击能够躲避传统的安全措施，如Rootkit、零日攻击和不断变化的间谍软件。SymantecEndpointProtection不仅提供了世界一流、业界领先且基于特征的防病毒和反间谍软件防护。它还提供了久经考验的主动防护技术，能够保护端点免遭目标性攻击以及之前没有发现的未知攻击侵扰。它包括即刻可用的主动防护技术以及管理控制功能；主动防护技术能够自动分析应用程序行为和网络通信，以检测并阻止可疑活动，而管理控制功能让管理员能够拒绝对企业来说被视为高风险的特定设备和应用程序活动。这些功能甚至可以根据用户位置阻止特定操作。赛门铁克解决方案的多层方法可以显著降低风险，同时能够充分保护企业资产，从而使您高枕无忧。这款全面的产品不仅提供了企业需要的功能，而且让企业有能力根据需要自定义解决方案。无论攻击是由恶意的内部人员发起，还是来自于外部入侵者，端点都会受到充分保护。简化端点保护—多重技术、一个产品为抵御日益增加的以IT基础架构为目标的威胁，管理员了解端点防护技术的重要性。不过，这通常意味着确保在每个端点上安装防病毒软件、反间谍软件、台式机防火墙、入侵防御和设备控制技术。在每个端点上分别部署这些安全产品时，不仅需要很长时间，而且还会增加IT复杂性和成本。于是，企业需要提供为各类不同的端点安全解决方案提供管理、培训和支持。另外，不同技术往往会相互妨碍，或者由于资源消耗较大而对系统性能造成不良影响。为了降低与部署和管理多个解决方案相关的复杂性和成本，赛门铁克将多种一流的端点防护技术整合为一个集成代理，可通过一个统一管理控制台进行管理。SymantecEndpointProtection不仅可以增强防护，而且可以降低多个安全性产品的相关管理开销和成本。不仅如此，该产品还让管理员能够随时间推移灵活地扩展防护解决方案。他们可以从少数几种防护技术开始，然后根据需要启用其它技术。SymantecEndpointProtection甚至可以配置为与其他供应商的技术一起工作，如台式机防火墙或防病毒解决方案。这让企业可以轻松实施和配置需要的解决方案，从而满足他们的需要。一个端点防护代理与竞争对手的解决方案不同的是，SymantecEndpointProtection将防病毒软件、反间谍软件、防火墙、设备控制和先进的入侵防御集成为一个代理，让企业能够自定义端点防护的级别以及一起工作的技术。SymantecEndpointProtection需要更少内存、占用更少资源，同时可增强防护。另外，管理员可以对该代理进行优化，以减少它在用户活动较多的时段内使用的资源，从而保证端点性能。通过将多种功能整合到一个端点安全代理，可以提高操作效能，如在所有安全技术中使用单一通信方法和内容交付系统。可以使用客户端或管理服务器，在一个位置执行全局服务配置和排除。另外，代理的自动安全更新可针对最新威胁提供无忧防护。SymantecEndpointProtection在客户端上提供一个简化的用户界面。管理员能够自定义该界面，所以他们可以决定在客户端上运行哪些技术，以及哪些配置选项对最终用户不可用。管理员还可以选择对用户完全隐藏该界面。这些功能为管理员提供灵活性和控制能力，让他们能够按照符合企业特有需要的方法保护端点设备。另外，管理员可以随时打开或关闭各种功能和选项。一个统一管理控制台SymantecEndpointProtection提供通过一个统一控制台管理所有服务的功能，让管理员可通过整体方法来管理端点安全。通过使用SymantecEndpointProtectionManager，控制台管理员可以创建和管理各种策略、将策略分配给代理、查看日志并运行端点安全活动报告。它通过图形报告、集中日志记录和阈值警报等功能提供全面的端点可见性。统一控制台不仅简化了端点安全管理，而且还提供了出色的操作效能，如集中软件更新、策略更新、报告和许可维护。该控制台采用企业级的管理架构，可进行扩展以适合最高要求的环境。它可以提供对管理任务的更细致控制，同时简化并统一管理工作以降低总拥有成本。它采用灵活的管理结构，可以根据不同管理员的角色和职责，为他们授予不同级别的管理系统访问权限。另外，它支持从ActiveDirectory导入OrganizationUnits，而且可与SMS等领先软件部署工具一起工作，可为管理员进一步增强管理功能。与竞争对手的解决方案不同的是，这一多层端点安全方法在一个代理部署中提供世界一流的成熟防护解决方案，可显著降低风险且不增加资源开销，所以企业能够高效地管理安全，同时确信他们的公司资产和业务已得到全面保护。降低总拥有成本SymantecEndpointProtection在一个产品中提供多种基本端点安全技术的优势，可以降低总体拥有成本，让企业能够减少管理开销以及管理多个端点安全产品引发的成本。该产品还可以利用现有IT投资。减少管理开销—减少管理多点解决方案需要的人手和工作量降低成本—减少管理端点安全、用户和网络停机时间以及补救工作的相关工作量利用现有IT投资—可与领先的软件部署工具、补丁程序管理工具、SIM工具、数据库和操作系统一起工作最全面的端点安全SymantecEndpointProtection将一流的防护机制无缝结合到一个代理中，可提供最全面的端点安全：防病毒软件/反间谍软件网络威胁防护主动威胁防护此外，SymantecEndpointProtection支持进行网络准入控制。可以启用该代理的网络准入控制功能，让企业能够确保各个端点符合公司的安全策略，然后为其授予网络访问权限。通过使用SymantecEndpointProtection，将无需在企业的端点设备上部署其它网络准入控制软件。防病毒和反间谍软件防病毒和反间谍软件解决方案一般采用基于扫描的传统技术，来识别端点设备上的病毒、蠕虫、特洛伊木马、间谍软件和其它恶意软件。典型的防病毒和反间谍软件解决方案会在系统中搜索与已知威胁的特点（或称威胁特征）匹配的文件，从而检测这些威胁。在检测到威胁后，该解决方案会对其进行补救，通常是删除或控制管理威胁。多年来，该方法在针对已知威胁保护端点时一直非常有效。虽然该方法不足以防御未知威胁和零日威胁，但它仍然是整体端点安全中的基本要素。由于整个行业日益重视端点安全，所以防病毒和反间谍软件市场中最近新出现了各种产品。在这些第一代和第二代解决方案中，虽然有许多产品可以提供一定程度的防护，但它们往往无法提供全面防护。许多技术仅在一种操作系统上工作。其它技术缺少与防火墙、设备控制和入侵防御等其它基本端点安全技术互操作的功能。无论是从质量还是级别来看，SymantecEndpointProtection提供的防护都远远超越了竞争对手的产品。与第一代打包解决方案相比，SymantecEndpointProtection提供更高级别的实时防护，而且赛门铁克的表现比许多老牌安全解决方案提供商更胜一筹。例如，赛门铁克是1999年以来唯一连续获得30多项VB100奖的供应商。AV-Comparatives在2007年2月进行了一项测试研究，在进行多态病毒测试的15种防病毒解决方案中，只有赛门铁克和另一家供应商在所有类别中均获得100分的分数。根据AV-Comparatives，多态测试可确定防病毒扫描引擎的灵活性和检测复杂病毒的性能。另外，AV-Comparatives认为100分以下的所有多态测试分数都属于失败或不可靠检测，因为即使只漏过一次复制攻击，也会导致再感染病毒。ThompsonCyberSecurityLabs在2006年9月进行的一次研究显示，赛门铁克提供的Rootkit检测和删除性能超越了竞争的供应商。Rootkit是一种隐蔽的应用程序或脚本，黑客使用它逃避系统检测，同时获得对系统的管理员级别访问权限。互联网上随处可见现成的Rootkit应用程序，即使经验不足的黑客也能使用Rootkit，而不必了解它是如何工作的。Rootkit通常用于收集用户ID、帐号和密码等机密信息。要检测和删除Rootkit，需要对操作系统执行全面分析和修复。为此，SymantecEndpointProtection中包含了VeritasRawDiskScan，与其它任何解决方案相比都可提供更深入的文件系统检查，实现通过进行必要地分析和修复来防御最复杂的Rootkit攻击。另外，SymantecEndpointProtection由赛门铁克全球情报网络提供支持，该集成式服务为客户提供了必需的情报，让他们能够降低安全风险、提高法规遵从性并改善整体安全状况。赛门铁克全球情报服务提供了对全球、行业和本地最新威胁与攻击的洞察，以便企业可以主动响应新出现的威胁。通过将威胁预警通知和赛门铁克托管安全服务完美结合，赛门铁克全球情报服务可以对整个企业中的恶意活动进行实时分析，从而帮助企业保护关键信息资产。网络威胁防护端点上的网络威胁防护对于防御混合型威胁和阻止爆发至关重要。为保证有效性，绝不能仅仅依赖防火墙。网络威胁防护应包含多种先进防护技术，包括入侵防御以及先进的网络通信控制功能。过去，安全专家争论的焦点是：是否需要在企业网络边界本身或个别台式机上部署防火墙。由于目前的威胁极为复杂，而且移动办公人员已经扩展到企业计算基础架构的边界以外，所以端点已成为漏洞利用和攻击的主要目标。威胁通常首先感染网络边界以外的一台笔记本电脑，之后，在这台笔记本电脑连接到内部网络时，该威胁就会传播到其它端点。可以利用端点防火墙，不仅阻止内部网络攻击入侵连接到网络的任何端点，甚至阻止这些威胁离开最初感染的端点。SymantecEndpointProtection端点安全代理结合最佳的防火墙解决方案，兼备赛门铁克客户端防火墙与Sygate™防火墙的功能。其中包括：基于规则的防火墙引擎预定义的防病毒、反间谍软件和个人防火墙检查按应用程序、主机、服务和时间触发的防火墙规则全面TCP/IP支持（TCP、UDP、ICMP、RawIPProtocol）用于允许或禁止网络协议支持的选项，包括以太网、令牌环、IPX/SPX、AppleTalk和NetBEUI阻止VMware和WinPcap等协议驱动程序的功能特定于适配器的规则检查加密和明文网络通信的功能数据包和数据流入侵防御系统(IPS)阻止、自定义IPS特征阻止以及一般漏洞利用禁止实现主动威胁防御网络准入控制的自我实施入侵防御入侵防御对解决方案的网络威胁防御方案具有重要作用，对于使用一般特征并基于漏洞的入侵更是如此。基于漏洞的入侵防御系统可使用一个一般特征阻止攻击漏洞的数百种潜在漏洞利用，在网络层遏止攻击，使其根本无法感染端点。虽然传统IPS解决方案能够检测到特定的已知漏洞利用，但他们不足以针对构成当前威胁主流的多种漏洞攻击变种来保护公布的软件漏洞。根据互联网安全威胁报告(ISTRVolXI)，操作系统或应用程序提供商平均需要47天才能发布公布漏洞的补丁程序。在推出补丁程序之前利用这些漏洞进行的攻击通常称为前所未见的攻击或零日攻击。在检测到第一次漏洞攻击之后的几小时，IPS供应商会发布特征，以防御利用特定漏洞的进一步攻击。这些反应性方法会让老练的攻击者拥有大量攻击机会。在发布漏洞特征之前发起的第一轮漏洞利用会让企业承受极为惨重的损失。即使已经发布了漏洞利用特征，这些方法对多态或自我突变的漏洞利用变种也是毫无招架能力。另外，这些基于漏洞利用的反应性方法无法防御尚未发现、尚未报告或未知的威胁，例如，通常检测不到以特定公司为目标的隐蔽漏洞利用。为应对前所未见的突变威胁，需要基于漏洞的IPS形式的更主动方法。虽然基于漏洞利用的特征只能检测到特定漏洞利用，但基于漏洞的特征会在更高级别运行，不仅检测到利用一种漏洞的特定攻击，而且能够检测到试图攻击该漏洞的所有漏洞利用。SymantecEndpointProtection包括一般漏洞利用禁止(GEB)，即使用一般特征、基于漏洞的IPS技术。当操作系统或应用程序供应商公布可能导致企业面临严重风险的新漏洞时，赛门铁克的工程师会研究该漏洞的特点，并根据研究结果总结并发布一般特征。由此可帮助在出现漏洞利用之前保护企业。基于漏洞的入侵防御非常有效，因为一个漏洞定义不仅能防御一种威胁，而且可防御数百种甚至数千种威胁（参见下表）。因为这种防御会查找漏洞特点和行为，所以可防御多种威胁，甚至可防御未知威胁或尚未开发的威胁。一般漏洞利用禁止可防御数千种漏洞利用变种。可禁止变种的数量一个GEB特征威胁基于漏洞的保护还可用于防御以特定行业或企业为目标的漏洞利用。有目标的攻击通常比较隐蔽，因为它们的目标是在窃取机密信息时不会被发现，之后还要清除它们自己在系统中留下的痕迹。所以，无法总结出这些有目标漏洞利用的特征，因为企业无法在它们造成破坏之前了解它们。基于漏洞的防护可以识别有目标攻击试图利用的漏洞的高级特征，所以可检测并阻止漏洞利用。SymantecEndpointProtection中的端点安全代理在网络层结合基于漏洞的防护，可阻止前所未见的漏洞利用或其变种进入并感染端点。因为它们没有机会感染端点，所以不会造成损害，也不需要对其进行补救。SymantecEndpointProtection还让管理员有能力创建自定义的入侵防御特征。所以，他们可以定义基于规则的特征，根据他们的特有环境和自定义应用程序的需要而进行量身定制。可以将特征创建为可阻止一些特定操作或更复杂的操作。如果使用SymantecEndpointProtection，将无需等待操作系统或应用程序供应商创建已知漏洞的补丁程序，所以管理员可以对端点安全和防护提供全面的主动性控制。主动威胁防护虽然基于特征的文件扫描和网络扫描技术覆盖了主要的必备保护领域，但仍然需要并非基于特征的技术，来防御隐蔽攻击使用的不断增多的未知威胁。这类技术被称为主动威胁防护技术。SymantecEndpointProtection包括ProactiveThreatScan，它是一种主动威胁防护技术，可防御利用已知漏洞的多种变种和前所未见的威胁。它具有独特的主机入侵防御功能，让企业有能力针对未知或零日威胁保护自己。ProactiveThreatScan基于分析系统所运行进程的行为来检测潜在威胁的启发式技术。大多数基于主机的IPS仅检测它们认为的“不良行为”。所以，它们经常会将可接受的应用程序行为识别为威胁并将它们关闭，严重影响用户和技术支持中心的工作效率，让管理员面临着艰巨的挑战。不过，ProactiveThreatScan会同时记录应用程序的正常行为和不良行为，提供更加准确的威胁检测，可显著减少误报的数量。所以，SymantecEndpointProtection让企业能够检测到任何基于特征的技术都检测不到的未知威胁。SymantecEndpointProtection还结合了设备和应用程序控制功能，让管理员能够拒绝被认为存在高风险的特定设备和应用程序活动，使企业能够根据用户位置禁止特定的操作。设备控制技术让管理员能够决定并控制允许哪些设备连接端点。例如，它可以锁定端点，禁止便携硬盘、CD刻录机、打印机或其它USB设备连接到系统，以防止将机密信息从系统复制到其中。禁止设备连接的功能还可以帮助防止端点受来自上述设备以及其它设备的病毒感染。应用程序控制技术让管理员能够按照用户和其它应用程序，控制对特定流程、文件和文件夹的访问。它提供应用程序分析、流程控制、文件和注册表访问控制、模块和DLL控制。如果管理员希望限制被认为可疑或存在高风险的某些活动，则可以使用该高级功能。支持网络准入控制SymantecEndpointProtection中的端点安全代理支持网络准入控制，这意味着该代理已集成网络准入控制技术，而且通过购买SymantecNetworkAccessControl许可证就可以轻松启用该技术。所以，在部署SymantecEndpointProtection后，无需在端点设备上部署其它代理软件即可实施网络准入控制通过购买附加许可证启用网络准入控制之后，它会控制对公司网络的访问、实施端点安全策略并与现有网络基础架构轻松集成。不管端点以何种方式与网络相连，SymantecNetworkAccessControl都能够发现并评估端点遵从状态、设置适当的网络访问权限、提供自动补救功能，并持续监视端点以了解遵从状态是否发生了变化。另外，为了简化并优化管理，管理员为SymantecEndpointProtection和SymantecNetworkAccessControl使用同一管理控制台管理所有功能。提高端点安全标准SymantecEndpointProtection提供先进威胁防御功能而且便于管理，提高了全面、安全的端点安全解决方案的标准。它是唯一能够在一个集成代理中提供一流基本技术优势的端点安全解决方案，可通过一个管理控制台进行管理并支持进行网络准入控制。赛门铁克认为，要有效地保证端点安全，需要将端点防护技术与端点遵从性技术结合使用。因此，SymantecEndpointProtection（端点防护）与SymantecNetworkAccessControl（端点遵从性）紧密集成，让企业能够采取更为整体化的端点安全方法。这些产品可以无缝地互操作，提供全面且统一的多层端点安全解决方案，让IT管理员能够在最终用户工作效率与安全性之间取得平衡，同时简化端点安全管理。如下图所示：对于已经部署赛门铁克的其它市场领先安全产品的企业，利用该集成的端点安全产品可以增强系统防护、简化管理并节约成本。为了简化获得SymantecEndpointProtection的优势的过程，赛门铁克为现有客户提供一系列服务和产品，帮助他们升级为使用这一最新产品，包括用于从SymantecAntiVirus™迁移策略的向导、最佳实践经验指南、知识库文章以及在线培训。SymantecEndpointProtection设计为可与企业的现有安全和IT投资一起运行，非常便于实施和部署。但是，为帮助企业更快地获得投资回报，赛门铁克还提供一系列咨询、技术培训和支持服务，来帮助充分挖掘SymantecEndpointProtection的内在优势及其功能的潜力。为了给客户提供有关通过最佳方式部署、管理和充分利用SymantecEndpointProtection提供的优势与功能的帮助和指导，赛门铁克企业支持服务提供三种级别的保护，旨在满足小型企业到大型企业等各类企业的需求。准入控制设计功能点SymantecNAC评估过程SymantecNetworkAccessControl架构包括以下三个主要组件：端点评估技术评估试图访问网络的端点的状态（检查它们是否遵从策略）；Enforcers作为允许或拒绝访问网络的门户；策略管理通过一个中央管理控制台创建、编辑和管理网络准入控制规则或策略；如下图所示：实施评估技术向从中创建、编辑和管理策略的SymantecEndpointProtectionManager报告，并通过它接收其配置策略信息。如果赛门铁克实施评估技术确定该端点不遵从策略，则会告知SymantecEnforcer阻止该端点访问网络。根据IT管理员设置的策略（并根据已部署的实施选件类型），赛门铁克实施技术能够自动将不遵从端点的状态改为遵从。通过执行补救任务，如致电当地的补丁程序经理以安装最新补丁程序，或者利用端点上为其它任务安装的其它工具，即可实现这一目的。SymantecNetworkAccessControl会为各类网络中的所有类型端点验证并实施策略遵从。通过将策略作为所有评估和操作的基础，此验证和实施流程在端点连接到网络之前开始，并且贯穿整个连接过程。下图显示了该网络准入控制流程执行的步骤。1. 发现和评估端点。在连接到网络时，即访问资源之前发现端点。通过与现有网络基础架构相集成，同时使用智能代理软件，网络管理员可以确保按照最低IT策略要求对连接到网络的新设备进行评估。2. 设置网络访问权限。只有对系统进行评估并确认其遵从IT策略后，才准予该系统进行全面的网络访问。对于不遵从IT策略或不满足企业最低安全要求的系统，将对其进行隔离，限制或拒绝其对网络进行访问。3. 修复不遵从的端点对不遵从的端点自动采取补救措施使管理员能够将这些端点快速变为遵从状态，随后再改变网络访问权限。管理员可以将补救过程完全自动化，这样会使该过程对最终用户完全透明；也可以将信息提供给用户，以便进行手动补救。4. 主动监视遵从状况。必须时刻遵从策略。因此，SymantecNetworkAccessControl以管理员设置的时间间隔主动监视所有端点的遵从状况。如果在某一时刻端点的遵从状态发生了变化，那么该端点的网络访问权限也会随之变化。赛门铁克端点评估技术：灵活性和全面性网络准入控制通过验证与该网络相连的端点是否经过正确配置来保护其免遭在线攻击，从而保护网络免遭恶意代码以及未知或未授权端点的攻击。网络准入控制通常涉及检查防病毒、反间谍软件以及安装的补丁程序。但是在进行了初始网络准入控制部署后，大多数企业很快就超出了这些典型检查。不管目标是什么，该过程都是首先从评估端点入手。由于连接到网络的端点数量非常之多（例如，“受控端点”或公司采购的端点，以及“不受控端点”或并非由公司采购的端点，如使用家用计算机的远程工作人员、承包商、临时员工以及可能使用自己笔记本电脑的合作伙伴），SymantecNetworkAccessControl提供三种不同的端点评估技术来确定端点遵从性：永久代理可分解的代理远程漏洞扫描 上图：端点评估技术永久代理企业拥有的系统和其它受控系统使用管理员安装的代理来确定遵从状态。此代理检查防病毒软件、反间谍软件、安装的补丁程序以及复杂的系统状态特征，如注册表项、运行进程和文件属性。永久代理还提供最深入、最准确、最可靠的系统遵从信息，同时为评估选件提供最灵活的补救和修复功能。赛门铁克认为成功网络准入控制的关键同样从部署基于永久代理的解决方案开始。由于台式机操作系统运行方式的原因，要行之有效地检查和纠正某些软件是否正确安装和运行以及端点计算机是否已正确配置或处于可接受的状态，网络准入控制解决方案都必须能够检查端点进程表和注册表，甚至可以修改某些项。实现这一目标的最佳方法是在初始部署时使用具有管理员权限并且已安装在端点上的代理。完全不基于代理的解决方案不能为管理员提供足够权限来充分或精确地检查端点是否完全遵从。另外，不基于代理的解决方案很可能没有足够的权限来对端点进行必要修改，以使其从不遵从状态进入遵从状态。SymantecNetworkAccessControl提供永久代理和管理员安装的实施代理选件，用于确定端点的遵从状态。此代理可以检查防病毒软件、反间谍软件、安装的补丁程序以及复杂的系统状态特征，包括注册表项、运行的进程和文件属性。该永久代理选件提供确保遵从企业策略需要的最深入、最准确和最可靠的系统遵从信息。下图是永久代理的示意图：可分解的代理网络准入控制领域的最大挑战之一在于能否对访客用户的网络准入进行正确处理。如果没有为临时员工和访客设置网络访问权限的自动方法，会严重影响工作效率。如果承包商或临时员工开始工作，但由于需要手动设置网络访问而导致数日或数周无法访问网络，则会造成时间和成本的浪费。同样，如果自动网络准入控制解决方案不必要地阻止了这些用户的访问，也会导致相同后果。有效的网络准入控制解决方案必须具备下列功能和灵活性：验证新端点或临时端点不会对网络造成威胁，并决定为端点授予的网络访问权限级别。评估端点的最精确方法是在端点上安装全职网络准入控制代理，但在不属于企业的端点上部署全职代理并不能保证企业或访客的最佳利益。为解决该问题，SymantecNetworkAccessControl提供了一个可分解的临时代理。这可以用于当前不受管理员管理的非企业设备或系统。这些基于Java™的代理是根据需要提供的，无需管理员权限即可评估端点遵从状况。在会话结束时，这些代理会将其自身从系统中自动移除。例如，当访客端点尝试连接到网络时，基于网络的实施解决方案会识别它不是已知端点设备，并将其重定向到Web服务器，它可以在其中下载可分解的即时代理。该代理将根据管理员为访客定义的策略，执行适当的遵从性检查。如果遵从，则会为端点授予访问生产网络的权限。在网络会话结束时，代理会自动将其从端点移除。除了为临时端点使用该重定向功能外，还可以将其用于属于新员工的端点。此时，当端点被重定向到Web服务器以下载代理时，会出现两个选项，一个用于访客，一个用于员工。如果用户选择员工选项，则基于网络的Enforcer可以决定端点是否为属于企业的资产。如果该端点为企业端点之一，则可以部署全职的永久网络准入控制代理而不是可分解代理。通过提供多个选项来验证遵从端点状态和配置的策略，SymantecNetworkAccessControl可以确保试图访问企业网络的员工和访客满足其最低安全标准和要求。远程漏洞扫描企业不能选择安装永久代理时，可以使用另一个补充性的端点评估方法，即利用远程漏洞扫描。远程漏洞扫描根据来自SymantecNetworkAccessCo