北京亿百维科技有限公司

Symantec™ Network Access Control



全面的网络准入控制
         企业中的各个端点处于受控状态,这对 IT 基础架构及其相关业务操作的整体安全性和可用 性具有重要影响。新一轮的复杂犯罪软件不仅以特定公司为目标,而且以台式机和笔记本电脑为 目标,将其作为后门侵入点来攻击这些企业的业务运作和重要资源。企业要保护自身免遭这些有 目标威胁的侵扰,必须采取相关措施,保证每个端点都始终遵从企业安全和配置管理策略。如果 企业无法保证遵从端点策略,就会面临一系列威胁,包括恶意代码在整个企业内扩散、核心业务 服务中断、增加 IT 恢复和管理成本、泄漏机密信息、公司品牌受损以及因不遵从相关法规而被 罚款。

主要功能

Symantec Network Access Control 使企业能够确保正确配置及设置用户端点的安全状态,其 中包括现场员工、远程员工、访客、承包商以及临时工作者的端点,然后才允许他们访问企业网 络中的资源。该解决方案能够发现并评估端点遵从状态,设置正确的网络访问权限并提供补救功 能,确保符合端点安全策略和标准。Symantec Network Access Control 独立于网络操作系统,能 够与任何网络基础架构轻松集成,所以与竞争对手的解决方案相比,其实施更加全面、速度更快 且更加经济有效。

通过利用 Symantec Network Access Control 的端点遵从验证和实施功能,企业可以:

  • 减少恶意代码(如病毒、蠕虫、间谍软件和其它形式的犯罪软件)的传播
  • 通过对访问企业网络的不受控端点和受控端点加强控制,降低风险
  • 为最终用户提供更高的网络可用性,并减少服务中断的情况
  • 通过近乎实时端点遵从数据获得可验证的企业遵从信息
  • 企业级集中管理架构将总体拥有成本降至最低
  • 验证对防病毒软件和客户端防火墙技术这样的端点安全产品投资是否得当

Symantec Network Access Control 架构

Symantec Network Access Control 架构包括以下三个主要组件:

  • 端点评估技术评估试图访问网络的端点的状态(检查它们是否遵从策略)
  • Enforcers 作为允许或拒绝访问网络的门户
  • 策略管理通过一个中央管理控制台创建、编辑和管理网络准入控制规则或策略

实施评估技术向从中创建、编辑和管理策略的 Symantec Endpoint Protection Manager 报 告,并通过它接收其配置策略信息。如果赛门铁克实施评估技术确定该端点不遵从策略,则会告 知 Symantec Enforcer 阻止该端点访问网络。

根据 IT 管理员设置的策略(并根据已部署的实施选件类型),赛门铁克实施技术能够自动 将不遵从端点的状态改为遵从。通过执行补救任务,如致电当地的补丁程序经理以安装最新补丁 程序,或者利用端点上为其它任务安装的其它工具,即可实现这一目的。

网络准入控制流程

Symantec Network Access Control 会为各类网络中的所有类型端点验证并实施策略遵从。通 过将策略作为所有评估和操作的基础,此验证和实施流程在端点连接到网络之前开始,并且贯穿 整个连接过程。图 2 显示了该网络准入控制流程执行的步骤。

  1. 发现和评估端点。在连接到网络时,即访问资源之前发现端点。通过与现有网络基础架构相 集成,同时使用智能代理软件,网络管理员可以确保按照最低 IT 策略要求对连接到网络的新 设备进行评估。
  2. 设置网络访问权限。只有对系统进行评估并确认其遵从 IT 策略后,才准予该系统进行全面的 网络访问。对于不遵从 IT 策略或不满足企业最低安全要求的系统,将对其进行隔离,限制或 拒绝其对网络进行访问。
  3. 修复不遵从的端点。对不遵从的端点自动采取补救措施使管理员能够将这些端点快速变为遵 从状态,随后再改变网络访问权限。管理员可以将补救过程完全自动化,这样会使该过程对 最终用户完全透明;也可以将信息提供给用户,以便进行手动补救。
  4. 主动监视遵从状况。必须时刻遵从策略。因此,Symantec Network Access Control 以管理员设 置的时间间隔主动监视所有端点的遵从状况。如果在某一时刻端点的遵从状态发生了变化, 那么该端点的网络访问权限也会随之变化。

赛门铁克端点评估技术:灵活性和全面性

网络准入控制通过验证与该网络相连的端点是否经过正确配置来保护其免遭在线攻击,从而 保护网络免遭恶意代码以及未知或未授权端点的攻击。网络准入控制通常涉及检查防病毒、反间 谍软件以及安装的补丁程序。但是在进行了初始网络准入控制部署后,大多数企业很快就超出了 这些典型检查。不管目标是什么,该过程都是首先从评估端点入手。由于连接到网络的端点数量 非常之多(例如,“受控端点”或公司采购的端点,以及“不受控端点”或并非由公司采购的端 点,如使用家用计算机的远程工作人员、承包商、临时员工以及可能使用自己笔记本电脑的合作 伙伴),Symantec Network Access Control 提供三种不同的端点评估技术来确定端点遵从性:

  • 永久代理
  • 可分解的代理
  • 远程漏洞扫描

永久代理

企业拥有的系统和其它受控系统使用管理员安装的代理来确定遵从状态。此代理检查防病毒 软件、反间谍软件、安装的补丁程序以及复杂的系统状态特征,如注册表项、运行进程和文件属 性。永久代理还提供最深入、最准确、最可靠的系统遵从信息,同时为评估选件提供最灵活的补 救和修复功能。

赛门铁克认为成功网络准入控制的关键同样从部署基于永久代理的解决方案开始。由于台式 机操作系统运行方式的原因,要行之有效地检查和纠正某些软件是否正确安装和运行以及端点计 算机是否已正确配置或处于可接受的状态,网络准入控制解决方案都必须能够检查端点进程表和 注册表,甚至可以修改某些项。实现这一目标的最佳方法是在初始部署时使用具有管理员权限并 且已安装在端点上的代理。完全不基于代理的解决方案不能为管理员提供足够权限来充分或精确 地检查端点是否完全遵从。另外,不基于代理的解决方案很可能没有足够的权限来对端点进行必 要修改,以使其从不遵从状态进入遵从状态。

Symantec Network Access Control 提供永久代理和管理员安装的实施代理选件,用于确定端 点的遵从状态。此代理可以检查防病毒软件、反间谍软件、安装的补丁程序以及复杂的系统状态 特征,包括注册表项、运行的进程和文件属性。该永久代理选件提供确保遵从企业策略需要的最 深入、最准确和最可靠的系统遵从信息。


远程漏洞扫描

企业不能选择安装永久代理时,可以使用另一个补充性的端点评估方法,即利用远程漏洞扫 描。远程漏洞扫描根据来自 Symantec Network Access Control Scanner 的无证书证明的远程漏洞 扫描结果,向 Symantec Network Access Control 实施基础架构提供遵从信息。远程扫描可以将 此信息收集功能拓展到当前无基于代理的技术可用的系统。

根据连接到网络的端点的不同类型,公司可选择使用三种端点评估技术的混合技术来以获得 全面的防护。


Symantec Enforcers:用于消除 IT 和业务中断的灵活实施选件

每个企业的网络环境都具有独特的长期发展模式,因此,不存在可以有效控制对所有网络点 的访问的单一实施方法。网络准入控制解决方案必须具有足够的灵活性,这样才能在不需要增加 管理和维护开销的前提下,将多种实施方法轻松集成到现有环境中。Symantec Network Access Control 允许企业针对网络的不同部分选择最合适的实施方法,并不会增加操作复杂性或成本。

赛门铁克的基于网络的实施方法作为硬件设备交付的组件提供,包括 LAN、DHCP 和网关方 法,其中 DHCP 方法可以作为软件插件而提供。

赛门铁克还提供了一个基于主机的简单实施方法,称为自我强制。该方法使用赛门铁克桌面 防火墙来允许或拒绝访问。该防火墙已包含为 Symantec Endpoint Protection 产品的一部分。

使用自我强制的优势在于它不需要部署基于网络的实施组件,即可管理对网络的访问。相 反,它使用赛门铁克桌面防火墙管理对网络的访问,提供最简单、最快捷的实施部署选项。如果 企业已经部署了 Symantec Endpoint Protection 产品,则实施会更加轻松。

但是,自我强制选项仅对“受控”端点有效。它不能解决访客或临时员工等不受控端点连接 到网络的问题。Symantec Network Access Control 通过可分解代理和远程漏洞扫描解决与不受控 端点相关的问题。

许多企业难以决定是否部署网络准入控制解决方案,因为许多产品的内部设计具有破坏性。 通常,他们需要进行网络基础架构升级和变更,这一过程既费时又昂贵。许多解决方案过于复 杂,并且非常难以部署。某些解决方案需要同时部署端点代理和升级网络基础架构。在进行部署 时遇到的代理问题或网络实施问题会导致解决方案毫无用处,排查并解决这些问题的难度极大, 还可能导致不正确地阻止用户访问网络。

赛门铁克使用简单、分阶段的方法来部署高效全面的网络准入控制,提供可部署的各种实 施选项,从而解决了上述问题。使用赛门铁克的基于主机的实施选项可以轻松部署网络准入控 制。这种类型的部署不需要更改基础架构,所以部署工作不再那么费时。已在使用 Symantec Endpoint Protection 解决方案的企业已经部署了代理,只需启用网络准入控制即可利用该功能。 基于主机的实施选项是为受控端点实施网络准入控制的最快速、最简单的方法。


端到端的端点遵从

由于面临着当前的破坏力极强、极其危险的威胁,IT 管理员不仅必须防御针对特定公司的 有组织攻击,还要防御利用台式机和笔记本电脑作为后门侵入点,以影响这些企业的业务运作和 重要资源的有目标攻击。要维护企业 IT 基础架构及其端点的完整性,企业不能再允许未经检查 访问网络。随着访问网络的端点数量和类型激增,企业必须能够在连接到资源以前验证端点的健 康状况,而且在端点连接到资源之后,要对端点进行持续验证。

Symantec Network Access Control 是一款端到端解决方案,能够安全地控制企业网络的访 问、实施端点安全策略,以及与现有的网络基础架构轻松集成。不管端点以何种方式与网络相 连,Symantec Network Access Control 都能够发现并评估端点遵从状态、设置适当的网络访问权 限、提供自动补救功能,并持续监视端点以了解遵从状态是否发生了变化。从而可以营造这样的 网络环境:企业在此环境中可以大大减少安全事故,提高遵从企业 IT 安全策略的级别,并确信 已正确启用端点安全机制。