SymantecSEP终端安全与准入控制概述(PPT 55张)

目录1. Symantec Endpoint Protection 11.0 / Symantec Network Access Control 11.0 主机完整性概述 11. Gateway Enforcer 设备工作原理 (5)2. Symantec Network Access Control 11.0 LAN Enforcement 概述 (6)3. LAN Enforcer：理解基本模式和透明模式 (13)4. LAN Enforcer：如何配置以便处理尚未连接到SEPM 管理器的新安装客户端？ (15)5. DHCP Enforcer 设备工作原理 (16)6. Symantec Network Access Control 11.0 DHCP Enforcement 概述 (18)7. 在没有安装客户端的情况下，Symantec Network Access Control 强制如何管理计算机？218. Using MAB (MAC Authentication Bypass) with the Symantec LAN Enforcer appliance (23)9. Using the DHCP Trusted Vendors Configuration feature with the Symantec Integrated DHCP Enforcer (28)1.Symantec Endpoint Protection 11.0 / Symantec Network Access Control 11.0 主机完整性概述本文档翻译自英文文档。

原英文文档可能在本翻译版发布后进行过修改更新。

赛门铁克对本翻译文档的准确度不做保证。

情形您想对主机完整性功能有一个大概的了解解释主机完整性什么是主机完整性？主机完整性使得企业可以在企业网络（包括 VPN、无线和 RAS 拨号服务器）的所有入口点处强制执行安全性策略。

企业端点安全防护解决方案合肥昊邦信息科技有限公司2013年7月一、企业防病毒系统现状现在企业使用了一些单机版本的防病毒软件，由于单机防病毒系统的缺陷：如无法集中管理防病毒工作，客户机配置和防护级别无法统一，无法集中更新病毒代码，管理中人为操作的因素大。

在日常防病毒维护中各网络各行其事，分散管理，这样不但加重管理员的管理工作，而且不能实现统一的、集中的管理，易受到各种人为的因素的影响，即使在安装了防病毒软件的情况下也不能确保整个网络的防病毒能力。

尤其现在电子邮件是传播病毒的主要途径之一，而还没有针对电子邮件采取防病毒措施。

对邮件/附件/JAVA等新病毒的防护无能为力。

增加新的用户和管理工作都极为麻烦，而各级单位对计算机的使用和维护水平也不尽相同等等，很难面对当前日益猖獗的数字病毒的威胁。

近年来，随着信息系统自身的飞速发展和具有黑客攻击特征的新类型病毒的大量出现，企业原有的防病毒软件部署已经不能满足企业的需要。

近几年的混合型病毒大规模传播给企业造成较大的危害，现有的防病毒体系正面临更严峻的安全挑战，主要存在以下几个方面的不足：1. 缺少防病毒中央控管系统。

2. 尚未建立完善的安全制度和制定安全培训机制。

3. 缺乏完善的防病毒信息支持体系。

4. 不能全方位防护。

二、企业网络防病毒需求分析随着企业信息化建设的不断深入完善，以及互联网通讯的广泛应用，各种办公及业务系统已成为业务和日常办公各种信息往来沟通不可或缺的工具。

一般而言：企业网络Internet区域安全等级最低，是病毒产生及传播的地方；客户端工作区安全等级较高，主要由外来用户、移动办公用户、桌面用户构成，是病毒感染的主要目标，也是病毒进入企业网络的主要载体；核心服务器区安全等级最高，这里有企业的关键服务器，是安全防护体系最终保护的目标。

企业网络病毒防范工作：必须从这三个安全区域（病毒防护的主体）着手，根据他们之间的访问关系施加防护及病毒监控。

具体防护工作的描述：针对核心服务器区，严防来自Internet及移动用户的病毒入侵，保护其中的关键服务器，这是防病毒工作的重点；针对客户端工作区，需要部署客户端防病毒产品严防病毒（尤其是具有混合型威胁特征的混合型病毒）的入侵；针对Internet区域，需部署网关级防病毒产品，严防来自该区域的病毒及病毒攻击；针对邮件系统，需要部署邮件病毒防护系统；另外还需要部署必要的辅助手段，以监测网络异常状况，提前预知病毒事件发生。

Symantec SEP 端点防护SEP是企业级产品，不面向个人用户。

由管理服务器和客户端组成。

包括AntiVirus Advanced Protection和Network Access Control两大功能组件，前者（SAV AP）包括增强型的防病毒和反间谍软件技术（检测，阻止和清除病毒，间谍软件，Root Kits和其它的恶意软件），网络威胁防护（检测和阻止外部危胁，入站和出站过滤，位置感知策略）和主动威胁防护（零日危胁，控制设备访问）。

后者（SNAC）实现主机完整性控制和网络访问控制。

SEP实际上是三个产品的集成：1，Symantec的AV 10.x和CS 3.x（主要是AV，防火墙取自Sygate Enterprise Protection）2，WholeSecurity的Confidence Online产品（用于防护网络欺骗，防钓鱼，保护网络口令）3，Sygate的Enterprise Protection 5.x（SEP的主要功能来自于原Sygate产品）主动威胁防护基于行为的防护技术，防护引擎（pro-valid engine and pro-malicious engine）监视系统中的进程，记录它们的行为，将这些行为区分为正常的和可疑的，每种行为都有不同的权重，最后根据计算出的结果发现恶意代码，阻止其执行。

网络威胁防护包括基于规则的防火墙引擎，基于包和流的入侵防护系统（基于签名匹配来发现攻击行为），管理员可以为不同的网络连接（Location）设置不同的策略，比如，办公室因为有企业级的边缘防火墙，安全性要求可以低一些，如果是开放式的公共网络或家庭互联网络，则安全性要求应该提高。

网络访问控制用于检测主机是否满足企业的要求（安装Windows补丁，安装安全软件并有最新的定义等等），可以与网络中的Enforcer（分为LAN Enforcer，Gateway Enforcer和DHCP Enforcer三种）一起协作，将不满足要求的计算机隔离，也可以与修复服务器配合，修复客户端，使其满足企业的安全性要求。

赛门铁克端点防病毒SEPSymantec重庆技术中心2010年09月Symantec SEP 杀毒软件功能简介一个端点防护代理与竞争对手的解决方案不同的是，Symantec Endpoint Protection 将防病毒软件、反间谍软件、防火墙、设备控制和先进的入侵防御集成为一个代理，让企业能够自定义端点防护的级别以及一起工作的技术。

Symantec Endpoint Protection 需要更少内存、占用更少资源，同时可增强防护。

另外，管理员可以对该代理进行优化，以减少它在用户活动较多的时段内使用的资源，从而保证端点性能。

一个统一管理控制台Symantec Endpoint Protection 提供通过一个统一控制台管理所有服务的功能，让管理员可通过整体方法来管理端点安全。

通过使用Symantec Endpoint Protection Manager，控制台管理员可以创建和管理各种策略、将策略分配给代理、查看日志并运行端点安全活动报告。

它通过图形报告、集中日志记录和阈值警报等功能提供全面的端点可见性。

统一控制台不仅简化了端点安全管理，而且还提供了出色的操作效能，如集中软件更新、策略更新、报告和许可维护。

防病毒和反间谍软件防病毒和反间谍软件解决方案一般采用基于扫描的传统技术，来识别端点设备上的病毒、蠕虫、特洛伊木马、间谍软件和其它恶意软件。

防病毒和反间谍软件会在系统中搜索与已知威胁的特点（或称威胁特征）匹配的文件，从而检测这些威胁。

在检测到威胁后，该解决方案会对其进行补救，通常是删除或控制威胁。

赛门铁克提供的Rootkit 检测和删除性能超越了竞争的供应商。

Rootkit 是一种隐蔽的应用程序或脚本，黑客使用它逃避系统检测，同时获得对系统的管理员级别访问权限。

要检测和删除Rootkit，需要对操作系统执行全面分析和修复。

为此，Symantec Endpoint Protection 中包含了V eritas Raw Disk Scan，与其它任何解决方案相比都可提供更深入的文件系统检查，实现通过进行必要地分析和修复来防御最复杂的 Rootkit 攻击。

SEP客户端使用图解最新的赛门铁克SEP（SYMANTEC ENDPOINT PROTECTION 11.0）简单图解：一、图标在任务栏上的显示，如下图：表示杀毒软件正常中当你的杀毒软件出现表示杀毒软件有一些问题，可能需要修复，点开杀毒软件按修复表示正在更新客户端，或者正在更新策略。

二、功能简介如下：1.状态，有三个定义库：防病毒和防间谍软件防护、主动型威胁防护、网络威胁防护。

2.扫描威胁，有三种扫描方式：快速扫描、全面扫描、创建新扫描(可以自定义扫描)。

用户可以根据自己的需要创建扫描。

3.更改设置，有五种设置：防病毒和防间谍软件防护配置设置、主动型威胁防护配置设置、网络威胁防护配置设置、集中式例外配置设置、客户端管理配置设置。

4.查看隔离区，这里是隔离的病毒，您可以进行以下操作：还原、删除、重新扫描、导出、添加、提交等等。

5.查看日志，您可以查看：①防病毒和防间谍防护的扫描日志、风险日志、系统日志；②主动型威胁防护的威胁日志、系统日志；③网络威胁防护的通信日志、数据包日志；④客户端管理的控制日志、安全日志、系统日志、防篡改日志。

6.LiveUpdate,主要是用来升级病毒库，当终端出于外网时，可通过点击该按钮手动升级病毒库。

使用技巧：更改设置：防病毒和防间谍软件设置：1、防病毒和防间谍软件保护设置，常规选项里面是对你的日志保留情况，可以对日志删除时间进行设置，当遇到病毒的时候可以知道病毒类型，点击后直接转到symantec官方对这种病毒的病毒分析。

2、防病毒和防间谍软件保护设置，里面文件系统自动保护设置，可以选择类型设置，扫描文件类型选择可以减少扫描用时；操作菜单里面能够设置你遇见的病毒是否被删除或者隔离，通知设置可以设置病毒的位置或者进行一些有效的阻止措施，高级设置能设置文件扫描的条件及其其他功能。

文件系统自动保护设置，选项设置扫描安全风险，集中例外能够设置你自己知道是病毒或者木马，但你现在必须要用这个软件，就可以添加一个安全风险，这个安全风险不被查杀，并且能进行操作。

赛门铁克网络版杀软SEP使用教程(图)安全中国更新时间:2009-03-14 00:39:10 责任编辑:最近收到了赛门铁克公司发来的杀毒软件的版本升级通知，从该通知中我们了解到作为正版的杀毒软件用户，我们可以使用一款该公司新推出的Symantec Endpoint Protection(以下简称SEP)网络版杀毒软件。

一、SEP与旧版相比改进的地方安照官方的说法，有如下优点：为了保护用户抵御当前威胁和未来新兴威胁，Symantec Endpoint Protection纳入了主动防护技术，自动分析应用行为和网络沟通，从而检测并主动拦截威胁。

用户可获得单一解决方案，集成了防病毒、反间谍软件、防火墙、基于主机和网络的入侵防护方案以及应用和设备控制，并十分易于部署和管理。

其实从一名普通的软件使用者的角度来看，我是相信有实力的软件公司推出的软件的新版本时会比上一个版本性能更稳定、功能更强大。

我们对SEP的使用也证明了这一点，SEP相比SAV查杀病毒更彻底，这点在具体的杀毒操作中得到了证明，集成了防火墙功能，在局域网的一台电脑安装了SEP后，在网络中有别的机器对其进行攻击时，SEP会提示出发动攻击的机器的IP地址，这对加强网络管理非常有好处(因为我们可以根据IP地址找出存在问题的主机)，SEP的反间谍软件的功能我们也有感觉，有一次我在浏览网页时点了一个链接，刚打开该网页，SEP就不断的提示有间谍程序存在，马上重启计算机，好在没有中招。

与旧版相比，SEP对VISTA的支持也很好，随着单位中安装VISTA操作系统机器的增加，对于VISTA下杀毒软件的需求也是明显的增多，SEP可以很好的满足这方面的需要。

最后说一点SEP一点比SAV强的地方，那就是SEP不会象SAV那样设置了扫描计划后，每次扫描结束后都会保留一个提示框，这个提示框如果不点一下确定就不会退出，我们局域网中有一些服务器运行时不需要人为干预，也就是说几天甚至十几天不进入桌面进行任何操作是常事，这就会造成若干天后一进入桌面，会有好几个窗口摆在那儿，如果一个月再进入桌面的话，就有一堆窗口啊(这些窗口本身存是也是占用系统资源的，搞的系统就跟死机似的)，SEP中没有这个问题。

1.SEP/SNAC简介Symantec Endpoint Protection(简称SEP)让企业能够采用更为有效的整体方法，来保护笔记本电脑、台式机和服务器等端点。

其中结合了多种安全技术，可针对各种已知威胁和未知威胁主动提供最高级别的防护，这些威胁包括病毒、蠕虫、特洛伊木马、间谍软件、广告软件、Rootkit和零日攻击。

该产品将业界领先的防病毒软件、反间谍软件和防火墙与先进的主动防护技术集成到一个可部署代理中，通过中央管理控制台进行管理。

而且，管理员可以根据他们的具体需要，禁用或启用上述任何功能。

Symantec Endpoint Protection 实现无缝的多层端点防护，包括：防病毒和防间谍软件防护、主动性威胁防护、网络威胁防护、网络准入控制（可以在SEP的基础上无缝扩展，不需要单独部署）Symantec Network Access Control（简称SNAC）让企业能够确保正确配置及设置用户端点的安全状态，其中包括现场员工、远程员工、访客、承包商以及临时工作者的端点，然后才允许他们访问企业网。

能够发现并评估端点遵从状态，设置正确的网络访问权限并提供补救功能，确保符合端点安全策略和标准。

SNAC可以独立于网络操作系统，能够与任何网络基础架构集成，所以与竞争对手的解决方案相比，其防护更加全面、速度更快且更加经济有效。

主要功能介绍：1、防病毒功能模块∙采用多种技术进行病毒检查，包含文件信誉评级、病毒特征比对、行为检测技术；∙对于已经扫描安全或文件信誉评级良好的文件可以自动进行扫描排除；∙各客户端之间可以共享文件扫描结果；2、入侵防护功能模块∙提供对入侵防御的不同方向管理，incoming、outgoing或者是双向的不同策略；∙所有触发的入侵防御规则都能写入数据包日志，供管理员事后分析；∙提供自定义特征库的编辑，供用户自行定义对通信内容的管理，如对指定字符串、特征的过滤，同时提供相应自定义Sample；3、防火墙功能模块∙提供网络适配器的动态策略 (VPN, 拨号, 无线网卡, 以太网卡, …)，动态地采取不同的安全策略以消除和网络连接方式(以太网、拨号、无线网络、VPN)相关的威胁；∙既可以基于数据包进行检测，也可控制应用程序（程序指纹）的网络行为；∙防火墙策略设定包含主机名、域名、MAC地址、IP地址、IP地址段、IP子网段、指定月、指定日、时、分、秒、星期、工作日、休息日、特殊天、屏幕保护程序等多种条件；4、自适应策略配置∙可以依照IP地址、网关地址、WINS/DNS/DHCP地址、网络连接类型、受信任平台模块、DNS查询、注册表项、无线SSID、NIC说明、ICMP请求等条件进行处所判断；∙客户端在不同处所中可以采用不同的防护策略，包括防病毒、入侵防护、防火墙、应用程序控制、设备控制等；5、应用程序控制功能模块∙能对自动学习的应用程序搜集应用程序名、版本号、程序描述字段、工作路径、文件大小、指纹、修改时间等；∙对应用程序和进程可以根据不同用户进行分组管理；∙可以设置应用程序对进程、文件、文件夹、注册表的访问（读或者写）的行为动作反应，如忽视、允许、阻止、结束应用程序；6、设备管理功能模块∙能够实现USB存储设备的管理分类，包括完全禁止读写、只读不写、读写均放行；∙能对用户在设备管理器上看到的任意系统设备进行控制，例如硬盘、光驱、软驱、USB设备、PCMCIA设备、红外、1394火线、SCSI、并口、串口等；∙所有的系统设备都可以分组管理，不同的用户和组适用于不同的策略；7、Symantec Network Access Control网络准入模块（需要购买单独硬件产品配合实现）∙让企业能够确保正确配置及设置用户端点的安全状态，其中包括现场员工、远程员工、访客、承包商以及临时工作者的端点，然后才允许他们访问企业网。

信息安全管理是现代社会中不可或缺的重要环节，其中准入控制与终端安全是保障信息安全的重要手段。

本文将分别介绍准入控制和终端安全的定义、意义、重要性以及相应的管理措施。

准入控制指的是限制系统或网络资源的使用权限，从而确保只有合法用户能够访问和利用这些资源。

准入控制的目的在于防止未经许可的用户进入系统，以及限制合法用户的权限，避免不当的操作或恶意行为。

准入控制是信息安全管理中最基本的一环，其有效性直接影响整个系统的安全性。

终端安全是指对计算机终端设备进行安全防护，包括硬件和软件两个方面。

终端设备是信息系统与用户之间的桥梁，安全问题一旦出现，可能会对整个系统造成严重威胁。

因此，终端安全的重要性不言而喻。

为了保障信息安全，准入控制和终端安全不可或缺。

首先，准入控制可以限制未经授权的用户访问系统，避免非法入侵和未授权的数据访问。

其次，准入控制可以对系统中的用户进行身份认证和授权管理，确保用户只能访问他们被授权访问的资源。

此外，准入控制还可以设定安全策略，包括密码要求、访问时间限制等，以提高系统的整体安全性。

而终端安全则可以通过多种途径来保护终端设备的安全。

首先，物理安全是终端安全的前提。

终端设备应放置在安全环境中，确保不被非法入侵或窃取。

其次，软件安全是终端安全的核心。

终端设备应及时更新操作系统和应用程序的安全补丁，以修复已知漏洞。

同时，应安装杀毒软件和防火墙等安全工具，提供实时的安全保护。

再者，用户教育也是终端安全的重要手段。

用户需要了解安全意识和基本操作规范，避免点击垃圾邮件、访问不可信的网站等行为。

综上所述，准入控制和终端安全在信息安全管理中占据重要地位。

准入控制可以确保只有合法用户能够访问系统，避免未经授权的访问和数据泄露等问题。

而终端安全则可以保护终端设备的物理和软件安全，防止终端设备被非法入侵和病毒感染。

为了提高信息安全管理的效果，企业和个人应注重准入控制和终端安全的建设，加强对信息安全的保护意识，采取相应的管理和防护措施。

Symantec终端管理及安全解决方案技术规范书赛门铁克软件（北京）有限公司2020年04月文档信息文档编号：文档版本：版本日期：文档状态：制作人：审阅人：版本变更记录目录第1章概述 (44)第2章产品功能简介 (66)2.1端点保护系统S YMANTEC E NDPOINT P ROTECTION (66)2.1.1产品简介 (66)2.1.2产品主要优势 (77)2.1.3主要功能 (88)2.2终端准入控制S YMANTEC N ETWORK A CCESS C ONTROL 11 (99)2.2.1主要优势 (99)2.2.2主要功能 (1010)2.3S YMANTEC A LTIRIS（IT生命周期管理解决方案） (1111)2.3.1Altiris管理架构—Notifications Server (1111)2.3.2解决方案的主要市场、技术定位 (1414)2.3.3解决方案的专利技术和优势 (1414)2.3.4厂商的完整IT运维产品线，产品在该产品线中的位置，与其他产品的关系1414第3章终端安全系统体系结构 (1515)3.1管理系统功能组件说明 (1515)3.2系统管理架构设计 (1717)3.2.1两级管理体系 (1818)3.2.2二级 VS 两级以上的管理 (1818)3.2.3策略的同步与复制 (1919)3.2.4服务器的负载均衡 (2121)3.2.5客户端的漫游 (2222)3.2.6容灾与灾备系统 (2424)3.3准入控制设计 (2828)3.3.1Symantec Network Access Control 架构 (2828)3.3.2赛门铁克端点评估技术：灵活性和全面性 (3030)3.3.3永久代理 (3131)3.3.4可分解的代理 (3232)3.3.5远程漏洞扫描 (3333)3.3.6Symantec Enforcers：用于消除 IT 和业务中断的灵活实施选件 (3434)3.3.7Gateway Enforcer (3636)3.3.8DHCP Enforcer (3737)3.3.9LAN Enforcer—802.1x (3838)3.3.10网络准入控制行业框架支持 (3939)3.3.11端到端的端点遵从 (4040)3.4安全管理策略架构 (4141)3.4.1域及管理员分级 (4141)3.4.2管理权限策略 (4343)3.4.3组织结构设计 (4343)3.4.4安全策略 (4444)3.5赛门铁克策略管理：全面、集成的端点安全管理 (4646)3.5.1一个管理控制台 (4747)3.5.2统一代理 (4747)3.5.3消除网络准入控制障碍 (4848)3.6服务器的硬件配置需求 (4848)第4章终端管理系统体系结构 (5050)4.1管理架构 (5050)4.2架构阐述 (5454)4.2.1架构比较 (5454)4.2.2多级管理 (5555)4.2.3Altiris管理服务器 (5656)4.3管理模式 (5656)4.4管理职能............................... 错误!未定义书签。