Symantec终端管理和安全解决方案技术规范书.doc

Symantec终端管理和安全解决方案技术规范书 88 2020年5月29日 文档仅供参考 Symantec终端管理及安全解决方案 技术规范书 赛门铁克软件(北京)有限公司 2024年10月 文档信息 属性 内容 文档名称: 终端管理和安全解决方案技术规范书 文档编号: 文档版本: 版本日期: 文档状态: 制作人: 审阅人: 版本变更记录 版本 修订日期 修订人 描述 1.0 -4-8 姚臻 目 录 第1章 概述 1 第2章 产品功能简介 3 2.1 端点保护系统Symantec Endpoint Protection 3 2.1.1 产品简介 3 2.1.2 产品主要优势 4 2.1.3 主要功能 5 2.2 终端准入控制Symantec Network Access Control 11 6 2.2.1 主要优势 7 2.2.2 主要功能 7 2.3 Symantec Altiris(IT生命周期管理解决方案) 8 2.3.1 Altiris管理架构—Notifications Server 9 2.3.2 解决方案的主要市场、技术定位 12 2.3.3 解决方案的专利技术和优势 12 2.3.4 厂商的完整IT运维产品线,产品在该产品线中的位置,与其它产品的关系 12 第3章 终端安全系统体系结构 13 3.1 管理系统功能组件说明 13 3.2 系统管理架构设计 16 3.2.1 两级管理体系 16 3.2.2 二级 VS 两级以上的管理 17 3.2.3 策略的同步与复制 18 3.2.4 服务器的负载均衡 20 3.2.5 客户端的漫游 21 3.2.6 容灾与灾备系统 24 3.3 准入控制设计 28 3.3.1 Symantec Network Access Control 架构 28 3.3.2 赛门铁克端点评估技术:灵活性和全面性 30 3.3.3 永久代理 32 3.3.4 可分解的代理 33 3.3.5 远程漏洞扫描 34 3.3.6 Symantec Enforcers:用于消除 IT 和业务中断的灵活实施选件 35 3.3.7 Gateway Enforcer 37 3.3.8 DHCP Enforcer 38 3.3.9 LAN Enforcer—802.1x 39 3.3.10 网络准入控制行业框架支持 40 3.3.11 端到端的端点遵从 41 3.4 安全管理策略架构 42 3.4.1 域及管理员分级 42 3.4.2 管理权限策略 45 3.4.3 组织结构设计 45 3.4.4 安全策略 47 3.5 赛门铁克策略管理:全面、集成的端点安全管理 49 3.5.1 一个管理控制台 50 3.5.2 统一代理 51 3.5.3 消除网络准入控制障碍 51 3.6 服务器的硬件配置需求 51 第4章 终端管理系统体系结构 53 4.1 管理架构 53 4.2 架构阐述 57 4.2.1 架构比较 57 4.2.2 多级管理 58 4.2.3 Altiris管理服务器 59 4.3 管理模式 60 4.4 管理职能 60 4.4.1 管理架构归属 60 4.4.2 策略制定归属 61 4.4.3 监控职能归属 62 4.5 管理权限 62 第5章 终端管理技术标准规范 65 5.1 ITIL(IT基础架构库) 65 5.2 遵循的IT业界标准--1 66 5.3 遵循的IT业界标准--2 67 5.4 遵循的IT业界标准--3 68 第1章 概述 企业当前面临着利用端点设备中的漏洞,更为隐蔽、目标性更强、旨在获取经济利益的威胁。多种上述复杂威胁会避开传统的安全解决方案,使企业容易成为数据窃取和操控的受害者、造成关键业务服务中断并导致公司品牌和声誉受损。为了提前应对这些隐蔽多变的新型安全威胁,企业必须升级她们的端点防护措施。 Symantec Endpoint Protection 让企业能够采用更为有效的整体方法,来保护笔记本电脑、台式机和服务器等端点。其中结合了五种基本安全技术,可针对各种已知威胁和未知威胁主动提供最高级别的防护,这些威胁包括病毒、蠕虫、特洛伊木马、间谍软件、广告软件、Rootkit 和零日攻击。该产品将业界领先的防病毒软件、反间谍软件和防火墙与先进的主动防护技术集成到一个可部署代理中,经过中央管理控制台进行管理。而且,管理员能够根据她们的具体需要,轻松禁用或启用上述任何技术。 同时,IT 管理员会竭尽全力确保按照公司策略配置新部署的台式机和笔记本电脑,公司策略包括所有适用的安全更新、批准的应用程序设置、防病毒软件、防火墙设置以及其它配置设置。遗憾的是,这些计算机一投入使用,管理员一般就无法控制这些端点的配置。用户安装新软件、阻止补丁程序更新、禁用防火墙或者进行其它更改,导致设备乃至整个 IT 基础架构面临着风险。在网吧、宾馆房间或者其它更易受到攻击或感染的不安全地点,远程用户和移动用户使用不遵从笔记本电脑时会面临更高的风险。 网络准入控制解决方案使企业能够防止此行为影响企业的 IT 基础架构。在任何计算机能够访问生产网络及其资源之前,该计算机都必须完全遵从制定的企业策略,如安全补丁程序、防病毒软件和病毒定义的正确版本级别。 可是,尽管她们能够防止不遵从端点连接到企业网络,但部分企业依然因为各种原因尚未采用网络准入控制解决方案,这些原因包括许多解决方案: Ø 无法提供有效实施和修复 Ø 增加端点上必须安装的管理代理的数量 Ø 导致 IT 基础架构过于复杂而且中断次数太多 Ø 缺少满足企业独特需求的灵活性,如适当地满足客户和临时工作者的需求 Ø 无法与整个端点安全管理基础架构正确集成 Symantec Network Access Control 使用端到端的解决方案解决了上述所有问题,能够安全地控制对企业网络的访问、实施端点安全策略以及与现有网络基础架构轻松集成。 第2章 产品功能简介 2.1 端点保护系统Symantec Endpoint Protection 2.1.1 产品简介 Symantec Endpoint Protection 11将 Symantec AntiVirus™与高级威胁防御功能相结合,能够为笔记本、台式机和服务器提供无与伦比的恶意软件防护能力。它甚至能够防御最复杂的攻击,这些攻击能够躲避传统的安全措施,如 rootkit、零日攻击和不断变化的间谍软件。 Symantec Endpoint Protection 11不但提供了世界一流、业界领先且基于特征的防病毒和反间谍软件防护。它还提供了先进的威胁防御能力,能够保护端点免遭目标性攻击以及之前没有发现的未知攻击侵扰。它包括即刻可用的主动防护技术以及管理控制功能;主动防护技术能够自动分析应用程序行为和网络通信,以检测并阻止可疑活动,而管理控制功能使您能够拒绝对企业来说被视为高风险的特定设备和应用程序活动。甚至能够根据用户位置阻止特定操作。 这种多层方法能够显著降低风险,同时能够充分保护企业资产,从而使企业高枕无忧。它是一款功能全面的产品,只要您需要,即可立即为您提供所需的所有功能。无论攻击是由恶意的内部人员发起,还是来自于外部,端点都会受到充分保护。 Symantec Endpoint Protection 11不但能够增强防护,而且能够经过降低管理开销以及管理多个端点安全性产品引发的成原来降低总拥有成本。它提供一个代理,经过一个管理控制台即可进行管理。从而不但简化了端点安全管理,而且还提供了出众的操作效能,如单个软件更新和策略更新、统一的集中报告及一个授权许可和维护计划。 Symantec Endpoint Protection 11易于实施和部署。赛门铁克还提供广泛的咨询、技术培训和支持服务,能够指导企业完成解决方案的迁移、部署和管理,并帮助您实现投资的全部价值。对于希望外包安全监控和管理的企业来说,赛门铁克还提供托管安全服务,以提供实时安全防护。 2.1.2 产品主要优势 r 安全 全面的防护 — 集成一流的技术,能够在安全威胁渗透到网络之前将其阻止,即便是由最狡猾的未知新攻击者发起的攻击也不例外。以实时方式检测并阻止恶意软件,包括病毒、蠕虫、特洛伊木马、间谍软件、广告软件和rootkit。 主动防护 — 全新的主动威胁扫描使用独特的赛门铁克技术为未知应用程序的良好行为和不良行为评分,从而无需创立基于规则的配置即可增强检测能力并减少误报。 业界最佳的威胁趋势情报 — 赛门铁克的防护机制使用业界领先的赛门铁克全球情报网络,能够提供有关整个互联网威胁趋势的全面视图。借助此情报能够采取相应的防护措施,而且能够帮助您防御不断变化的攻击,从而使您高枕无忧。 r 简单 单一代理,单一控制台 — 经过一个直观用户界面和基于 Web 的图形报告将全面的安全技术集成到单一代理和集中的管理控制台中。能够在整个企业中设置并实施安全策略,以保护您的重要资产。添加 SymantecNetwork Access Control 11 支持时,能够简化管理、降低系统资源使用率,而且无需其它代理。经过购买许可证能够在代理和管理控制台上自动启用 Symantec Network Access Control 11 功能。 易于部署 — 由于它只需要一个代理和管理控制台,而且能够利用企业现有的安全和 IT 投资进行操作,因此,Symantec Endpoint Protection 11易于实施和部署。对于希望外包安全监控和管理的企业,赛门铁克提供托管安全服务,以提供实时安全防护。 降低拥有成本 — Symantec Endpoint Protection 11经过降低管理开销以及管理多个端点安全产品引发的成本,提供了较低的总体拥有成本。这种保障端点安全的统一方法不但简化了管理,而且还提供了出众的操作效能,如单个软件更新和策略更新、统一的集中报告及一个授权许可和维护计划。 r 无缝 易于安装、配置和管理 — Symantec Endpoint Protection11使您能够轻松启用、禁用和配置所需的技术,以适应您的环境。 Symantec Network Access Control 11就绪 — 每个端点都会进入”Symantec Network Access Control 11就绪”状态,从而无需部署其它网络访问控制端点代理软件。 利用现有安全技术和 IT 投资 — 能够与其它领先防病毒供应商、防火墙、IPS 技术和网络访问控制基础架构协作。还能够与领先的软件部署工具、补丁管理工具和安全信息管理工具协作。 2.1.3 主要功能 防病毒和反间谍软件 — 提供了无可匹敌的一流恶意软件防护能力,包括市场领先的防病毒防护、增强的间谍软件防护、新 rootkit 防护、减少内存使用率和全新的动态性能调整,以保持用户的工作效率。 网络威胁防护 — 提供基于规则的防火墙引擎和一般漏洞利用禁止功能 (GEB),该功能能够在恶意软件进入系统前将其阻止在外。 主动威胁防护 — 针对不可见的威胁(即零日威胁)提供防护。包括不依赖特征的主动威胁扫描。 单个代理和单个管理控制台 — 在一个代理上提供防病毒、反间谍软件、桌面防火墙、IPS、设备控制和网络访问控制(需要购买赛门铁克网络访问控制许可证)— 经过单个管理控制台即可进行全面管理。 2.2 终端准入控制Symantec Network Access Control 11 Symantec Network Access Control 11是全面的端到端网络访问控制解决方案,经过与现有网络基础架构相集成,使企业能够安全有效地控制对企业网络的访问。不论端点以何种方式与网络相连,Symantec Network Access Control 11都能够发现并评估端点遵从状态、设置适当的网络访问权限、根据需要提供补救功能,并持续监视端点以了解遵从状态是否发生了变化。从而能够营造这样的网络环境:企业能够在此环境中大大减少安全事故,同时提高企业 IT 安全策略的遵从级别。 Symantec Network Access Control 11使企业能够按照目标经济有效地部署和管理网络访问控制。同时对端点和用户进行授权在当今的计算环境中,企业和网络管理员面临着严峻的挑战,即为不断扩大的用户群提供访问企业资源的权限。其中包括现场和远程员工,以及访客、承包商和其它临时工作人员。现在,维护网络环境完整性的任务面临着前所未有的挑战。如今无法再接受对网络提供未经检查的访问。随着访问企业系统的端点数量和类型激增,企业必须能够在连接到资源以前验证端点的健康状况,而且在端点连接到资源之后,要对端点进行持续验证。Symantec Network Access Control 11能够确保在允许端点连接到企业 LAN、WAN、WLAN 或 VPN 之前遵从 IT策略。 2.2.1 主要优势 部署 Symantec Network Access Control 11的企业能够切身 体验到众多优势。其中包括: ü 减少恶意代码(如病毒、蠕虫、间谍软件和其它形式的犯罪软件)的传播 ü 经过对访问企业网络的不受管理的端点和受管理的端点加强控制,降低风险 ü 为最终用户提供更高的网络可用性,并减少服务中断的情况 ü 经过实时端点遵从数据获得可验证的企业遵从信息 ü 企业级集中管理架构将总拥有成本降至最低 ü 验证对防病毒软件和客户端防火墙这样的端点安全产品投资是否得当 2.2.2 主要功能 网络访问控制流程 网络访问控制是一个流程,涉及对所有类型的端点和网络进行管理。此流程从连接到网络之前开始,在整个连接过程中持续进行。与所有企业流程一样,策略能够作为评估和操作的基础。 网络访问控制流程包括以下四个步骤: 1. 发现和评估端点。此步骤在端点连接到网络访问资源之前执行。经过与现有网络基础架构相集成,同时使用智能代理软件,网络管理员能够确保按照最低 IT 策略要求对连接到网络的新设备进行评估。 2. 设置网络访问权限。只有对系统进行评估并确认其遵从 IT 策略后,才准予该系统进行全面的网络访问。对于不遵从 IT 策略或不满足企业最低安全要求的系统,将对其进行隔离,限制或拒绝其对网络进行访问。 3. 对不遵从的端点采取补救措施。对不遵从的端点自动采取补救措施使管理员能够将这些端点快速变为遵从状态,随后再改变网络访问权限。管理员能够将补救过程完全自动化,这样会使该过程对最终用户完全透明;也能够将信息提供给用户,以便进行手动补救。 4. 主动监视遵从状况。必须时刻遵从策略。因此,Symantec Network Access Control 11以管理员设置的时间间隔主动监视所有端点的遵从状况。如果在某一时刻端点的遵从状态发生了变化,那么该端点的网络访问权限也会随之变化。 2.3 Symantec Altiris(IT生命周期管理解决方案) Altiris IT生命周期管理解决方案具有多重系统管理功能,企业能随着新的要求或新的系统管理需求部署新的功能,随着企业的发展而不断扩充。每个解决方案以模块化的方式集中安装在Altiris服务器上,经过安装在客户端的Agent(代理)的交互式来实现所有功能。 2.3.1 Altiris管理架构—Notifications Server Notification Server是altiris 所有模块化解决方案的基础架构,所有模块都基于此。 其可扩充管理架构--Extensible Management Architecture™(EMA™)为客户提供了一个统一集中又具充分扩展能力的管理平台。经过Notification Server,altriris具备管理复杂网络环境的能力---无论是LAN还是WAN。 其功能特性如下: 1、 完全为BS 结构,Web 方式管理,统一集中的控制台 Altiris 基于Windows .Net技术,采用SQL Server数据库,符合主流的发展趋势。 2、 能够按角色和区域进行多级分布式管理 其角色安全(Role Base)和区域安全(Scope Base)特性满足大型企业客户对管理的需求 3、 管理多平台能力 能够管理Windows,Linux,Unix,Mac等多种软硬件平台,而无须采用第三方产品。 4、 强大的与第三方产品集成能力 企业资源共享是企业IT总体规划的重要内容,altiris经过其连接器解决方案(Connector Solution)提供了多种连接器(Connector)—AD,HP OpenView,IBM Director,SMS,Remedy Helpdesk,Oracle甚至SAP。 经过ODBC,OLE DB,altiris还能够与财务软件、HR软件进行资源数据共享。 5、 强大的Web报表功能 Altiris不但提供了数百个已经预定义的Web报表,还能够让企业自定义符合企业需求的报表。 6、 Package Server (分布式服务器) Package Server功能使得altiris能够应用于任何一种企业架构,无论复杂还是简单。而且与AD集成。 同时Package Server 不需要额外付费,对于有复杂结构WAN环境企业能够节约很大一笔费用。 7、 经过工业标准的SNMP,能够管理基于SNMP设备 Altiris不但能够管理PC等设备,还能够管理网络设备 8、 基于策略的管理 Altiris基于策略的管理能够大大减少重复性的管理工作环节,自动化操作能力是IT管理的重要特征。 9、 altiris Notification Server是免费的 Altiris Notification Server不需要额外的许可证费用,企业能够自由任意的扩展管理架构 10、 强大的合作伙伴支持能力 Altriris支持业界主流的计算机厂商,并为她们开发了专门针对硬件底层的管理工具,如IBM 服务器、Dell 服务器和客户端、HP服务器和客户端,为客户提供更深层次的管理工具,这是其它管理软件很难具有的。 综上所述,altiris管理架构在广度和深度上都是极具优势。 2.3.2 解决方案的主要市场、技术定位 Altiris解决方式适合于拥有几千台、数万台甚至数十万台计算机的各种规模的企业组织,这些企业组织须要有效降低IT管理成本和提高IT管理效率,以求得良好的投资回报率,促进企业业务发展与扩大 Altiris解决方案在商业组织、政府机构、教育等几乎所有领域都拥有众多成功案例。 2.3.3 解决方案的专利技术和优势 Altiris公司拥有众多专利技术:recovery /deployment/wise 2.3.4 厂商的完整IT运维产品线,产品在该产品线中的位置,与其它产品的关系 Altiris 拥有客户端管理、服务器管理、资产管理、安全管理完整的管理工具集,在同类产品中拥有最完整的产品构成,在技术功能处于领先者地位。 第3章 终端安全系统体系结构 3.1 管理系统功能组件说明 终端安全管理系统包括三部分组件: r 策略管理服务器 策略服务器实现所有安全策略、准入控制规则的管理、设定和监控,是整个终端安全标准化管理的核心。经过使用控制台管理员能够创立和管理各种策略、将策略分配给代理、查看日志并运行端点安全活动报告。经过图形报告、集中日志记录和阈值警报等功能提供全面的端点可见性。统一控制台简化了端点安全管理,提供集中软件更新、策略更新、报告等功能。 策略管理服务器能够完成以下任务: l 终端分组与权限管理; 根据地理位置、业务属性等条件对终端进行分组管理,对于不同的组能够制定专门的组管理员,并进行权限控制。 l 策略管理与发布; 策略包括自动防护策略、手动扫描的策略、手动扫描的策略、病毒、木马防护策略、恶意脚本防护策略、电子邮件防护策略(包括outlook、lotus以及internet邮件)、广告软件防护策略、前瞻性威胁防护策略、防火墙策略、入侵防护策略、硬件保护策略、软件保护策略、升级策略、主机完整性策略等 l 安全内容更新下发 安全内容更新包括病毒定义、防火墙规则、入侵防护定义、主动威胁防护规则等 l 日志收集和报表呈现 能够生成日报/周报/月报,报告种类包括:风险报表(以服务器组、父服务器、客户端组、计算机、IP、用户名为条件识别感染源、当前环境下高风险列表、按类型划分的安全风险)、计算机状态报表(内容定义分发、产品版本列表、未接受管理客户端列表)、扫描状态报表、审计报表、软件和硬件控制报表、网络威胁防护报表、系统报表、安全遵从性报表。 l 强制服务器管理和策略下发 对于交换机强制服务器和网关强制设备进行统一的管理和策略定义。 l 终端代理安装包的维护和升级; r 终端代理(包括终端保护代理和准入控制代理) 终端安全管理系统需要在所有的终端上部署安全代理软件,安全代理是整个企业网络安全策略的执行者,它安装在网络中的每一台终端计算机上。安全代理实现端点保护和准入控制功能。 端点保护功能包括: l 防病毒和反间谍软件 — 提供病毒防护、间谍软件防护、rootkit 防护。 l 网络威胁防护 — 提供基于规则的防火墙引擎和一般漏洞利用禁止功能 (GEB),该功能能够在恶意软件进入系统前将其阻止在外。 l 主动威胁防护 — 针对不可见的威胁(即零日威胁)提供防护。包括不依赖特征的主动威胁扫描。 端点准入控制功能包括: l 主机完整性检查和自动修复:检查终端计算机上防火墙、防病毒软件、反间谍软件、补丁程序、Service Pack 或其它必须应用程序是否符合要求,具体内容能够是对防病毒程序的安装,windows补丁安装,客户端启用强口令策略,关闭有威胁的服务与端口。因为主机完整性检查支持对终端的注册表检查与设置,进程管理,文件检查,下载与启动程序等,因此可经过设置自定义的策略来满足几乎所有对客户端的安全策略与管理要求。 l 强制:当终端的安全设置不能满足企业基准安全策略的需求,能够限制终端的网络访问,如只能访问修复服务器进行自动修复操作。 以上两部分功能由一个代理软件完成,接受策略管理服务器的统一管理。 r 强制认证服务器 对于那些未安装终端代理的终端或者私自卸载代理软件的终端,必须经过网络强制的方式进行控制。这需要部署相关的强制服务器(LAN Enforcer)。 赛门铁克 LAN Enforcer 802.1X 是带外 802.1X RADIUS 代理解决方案,它与支持 802.1X 标准的所有主要交换供应商协同工作。几乎所有有线以太网和无线以太网交换机制造商都支持IEEE 802.1x 准入控制协议。LAN Enforcer 使用该链接级协议评估端点遵从性,提供自动问题修复并允许遵从系统进入企业网络。在实施期间,端点上的赛门铁克代理使用 802.1x 将遵从信息传送到网络交换机上,然后将此信息中继到 LAN Enforcer。如果端点不遵从策略,LAN Enforcer 会将其放入隔离网络,在此对其进行修复,而不会影响任何遵从端点。Symantec Network Access Control 11补救端点并将其转换到遵从状态后,802.1x 协议将试图对用户重新进行身份验证,并为其授予网络访问权限。 LAN Enforcer 能够参与现有 AAA 身份管理架构以便对用户和端点进行身份验证,对于只要求进行端点遵从验证的环境,也能够充当独立的 RADIUS 解决方案(也称为透明模式)。在透明模式下,管理员只需将交换机配置为使用 LAN Enforcer 作为 RADIUS 服务器,就能让设备根据遵从所定义策略的情况对端点进行身份验证。在透明模式下运行 LAN Enforcer 无需额外基础架构,而且是一种实施基于 VLAN 交换的安全网络准入控制解决方案的简单方法。 3.2 系统管理架构设计 系统架构的设计取决与管理方式、终端数量及分布、网络带宽等条件。推荐终端安全管理平台采用”统一控制,二级管理”架构,这样的架构与现有行政管理模式相匹配——益于提高管理效率,同时又能体现 ”统一规划,分级集中管理”的思想,让各地市分担省公司的运行维护负担。 3.2.1 两级管理体系 终端接入控制平台按照两级架构设计,总部—省公司如下图: 在总部设立全国范围的终端接入控制平台中心,制定并下发统一的全网管理策略。这些策略主要以策略模版库的形式提供。这些策略经过同步与复制的机制,在一二级服务器间保持一致。二级管理平台上策略的变更也都会同步回一级控制平台,在一级管理平台上能够预览任何一个二级甚至三级服务器上的策略应用情况。 3.2.2 二级 VS 两级以上的管理 在4.2.1节中,我们设计的是一个二级管理体系。经过复制关系实现上下级之间的策略同步。根据需要,我们能够实现二级以上的管理关系。例如,国家电网在总部实现一级管理平台,在各省中心实现二级管理平台,在一个大的地市实现三级管理架构,如下图所示: 理论上SEP11的管理架构层次是无限多,可是在实际部署中,我们推荐国家电网的SEP架构设计控制在三层以下。其一能够减少管理上的复杂度,包括架构的设计,人员的调配设置,权限的分级下发设计;另外也避免了更多的硬件成本支出。 3.2.3 策略的同步与复制 复制就是不同地点或站点间的服务器系统经过特别拷贝来共享数据的过程。终端接入控制平台的策略同步复制在逻辑上和微软域策略的同步复制类似,它并非简单的数据库间复制关系,它内部包含有周全的防止策略冲突的处理。经过策略复制与同步,不同地点的用户都工作在本地的副本之上,然后同步她们之间的变更。在终端接入控制平台上,策略复制还能够将一个管理服务器上的变更同步到另一个数据库上,实现冗余备份。经过策略复制,终端接入控制平台能够支持多级管理,以及无限的终端数量扩展能力,从而满足国家电网终端节点规模不断扩大的需求。 ”统一控制”体现在经过一个统一控制台管理所有服务的功能,省中心管理员可经过整体方法来管理端点安全。 ”分级管理”主要体现在地市管理平台根据省中心的权限设置也能够自主在管辖范围内进行管理策略的扩展和定制。实现方式如下: 在对不同地市用户用户进行分组,并对不同的地市组制定不同的安全策略。经过系统内置的继承体系,不同的子组能够从同一父组中继承相同的安全策略,从而提高策略制定的便利性。 同时,能够为各地市管理员分配适当的权限,如是否允许地市管理员修改继承的策略,限制其只能够查看本地市的报告,仅能管理本地市州的客户端等细致的权限。如下图所示: 3.2.4 服务器的负载均衡 SEP11/SNAC11能够自行实现负载均衡和灾难恢复设置,无需再另行添置相关软硬件设置。 SEP11的负载均衡建立在现有体系结构之上,它提供了一种廉价有效的方法扩展服务器带宽和增加吞吐量,加强网络数据处理能力,提高网络的灵活性和可用性。它主要完成以下任务:解决网络拥塞问题,服务就近提供,实现地理位置无关性 ;为用户提供更好的访问质量;提高服务器响应速度;提高服务器及其它资源的利用效率;避免了网络关键部位出现单点失效。 SEP11能够为每一个地区/组织结构/组的用户创立不同的服务器链接列表,当客户端接收到最新的服务器列表策略后,它会从列表中经过随机算法选择其中之一的服务器进行连接,如果连接不上,会继续经过随机算法选择其余服务器列别当中的一个进行连接,直至连接到某一个服务器为止,如下图所示: 另外, SEP11还能够定制不同的服务器优先级,即只有自己的服务器列表第一优先级中所有的服务器全部连接不上时,自动寻找优先级为二级的服务器列表,如下图所示: 3.2.5 客户端的漫游 对于国家电网这个大型企业来说,员工的流动性也是非常大。如果员工在离开其所在地出差到其它分支机构时,如果SEP11客户端依然去连接其原有的服务器,在网络带宽允许的情况下是不会有太大问题是;可是如果分支结构较小,又或者网络连接情况不甚理想时,和服务器的连接这个问题就必须慎重考虑,否则,或者客户端无法连接其管理其的服务器,或者占用大量广域网的网络带宽,给业务系统使用网络带来不必要的影响。 SEP11充分考虑到了大型企业的员工在出差漫游到外地时的系统设置,方便客户端就近连接到本地的服务器组,不但大大提高了连接速度,也避免和业务系统抢占宝贵的广域网带宽。 方法之一是采用DNS的漫游;方法二是自动处所切换功能。 像国家电网这样的大型企业不但在全国都有自己的分支机构,网络建设更是走在其它全国的前列。全国建设了自己的独立的Intranet,另外,各个大区也建立了自己的DNS服务器和DHCP服务器,客户端能够就近解析网络域名。SEP11系统在建立之初,能够在全国范围内使用统一的域名,例如 ,随后在各地市的DNS服务器上绑定域名和对应的本地的SEPM服务器IP地址,例如,总部和北京地区是共用同一台DNS服务器,同时总部和北京地区的SEPM服务器有三台(4.2.4节介绍的负载均衡),IP地址分别是10.0.1.1、10.0.1.2、10.0.1.3,管理员能够在本地的DNS服务器上设置对应的IP地址就是10.0.1.1、10.0.1.2、10.0.1.3。当用户电脑启动后会首先接受本地DHCP服务器分配的IP地址、网关以及本地的DNS服务器IP地址。随后当SEP11客户端试图连接SEPM服务器时,这台客户端会首先向本地DNS服务器发起解析域名请求,由DNS服务器随机分配IP地址给SEP11客户端。这样,不论用户是否是总部的用户,只要终端上的DNS服务器指向的是本地SEPM服务器,就能顺利的实现客户端的漫游。 同样道理,各地市的DNS服务器也分别将这个域名解析到本地的SEPM服务器的IP地址。当总部或其它地市的电脑漫游到本地市时,就能经过本地市的DNS服务器顺利连接到本地的SEPM服务器。 方法二是采用SEP终端安全管理系统的自动处所切换功能。强大的SEP11终端安全管理系统能根据管理员的实际需要,在以下条件中任意选择一个或者多个;条件能够是”和”,也能够是”或”,组成一个判断用户当前所处环境的判断。条件包括以下: IP 范围(包括单个IP地址、子网地址、IP地址段、IP地址范围等) DNS 服务器IP地址 DHCP服务器IP地址 客户端能够解析主机名 客户端能够连接到管理服务器(能够连,或者是无法连接) 网络连接类型(包括 ■ 任何网络 ■ 拨号网络 ■ 以太网 ■ 无线 Check Point VPN-1 Cisco VPN Microsoft PPTP VPN Juniper NetScreen VPN Nortel Contivity VPN SafeNet SoftRemote VPN Aventail SSL VPN Juniper SSL VPN) 注册表键值 例如,管理员指定,当用户拿到了10.1.2.1——10.1.2.250的地址,同时经过以太网连接,DNS服务器的IP地址是10.1.254,则认为其漫游到了总部地址。这样,任何一个客户端如果满足上诉条件的组合,即可认为其处在总部地区,随即分配总部地区的SEPM服务器与其连接。 3.2.6 容灾与灾备系统 容灾和灾备系统的设计对任何一个系统都是极其重要,特别是对一个覆盖全网的安全管理系统。SEP11充分考虑到了用户的需求并提供了多种方法供管理员选择。 容灾系统设计分为两部分,一部分是对于SEPM服务器的容灾设计,另外一个是SEPM的后台数据库服务器的容灾设计。 SEPM服务器的容灾设计在4.2.4节已经详细描述,即客户端能够随机连接任何一个SEPM服务器组中的SEPM,任意一个SEPM服务器宕机都不会影响客户端和服务器的通讯。同时,SEPM服务器优先级的设置能够保证在极端情况下即使同一个地区所有的SEPM全部宕机,此地区的客户端也能够连接到其它地区的SEPM服务器。如下图所示: 上图是同一地区同一优先级的SEPM冗余设计。 上图左部分是优先级为1的本地SEPM服务器群,右边的是优先级为2的异地SEPM服务器群。 在SEPM服务器实现冗余设计后,数据库的冗余设计也需要得到管理员的同样重视。SEP终端安全管理系统所有的数据均储存在后台的数据库上,包括客户端的分组、策略的定义、病毒库,以及定期产生的日志及报表等等。因此,维护数据库的冗余以及灾备系统设置及就显得更为重要了 数据库的冗余设计也分为两种,一种是单站点的设置,另外一种是对于多站点的设计。对于单站点来说,重要的是如何保护其唯一一个数据库。 对于这种情况,Symantec公司推荐使用Database Cluster来实现数据库的冗余设计,如VCS或者是MCS,如下图所示: 对多站点来说,情况就会好很多。我们在4.2.1节谈到了多级管理体系,其中就有一个叫做”站点”的概念。站点在SEP11管理系统中指的是一个数据库以及连接它的SEPM服务器组。管理员能够根据实际需要,在不同站点的数据库服务器之间配置需要同步的内容,如下图所示: 在上图中,管理员设置两个分支机构的”策略/组信息”完全和总部同步,也就是说总部、站点1、站点2个含有一个完全一样的”策略/组信息”数据库。同时,管理员设置两个分支机构的”内容复制”完全和总部同步。此时,总部和两个分支机构的的SEPM服务器只要任意一个向Symantec Liveupdate获取了最新的病毒库、主动威胁防护、主机IPS特征库后,其它的服务器勿需上网更新即可获取同样最新的病毒库、主动威胁防护、主机IPS特征库,本地的客户端也随后能得到及时的更新。至于日志,管理员设置为单向复制,即两个分支机构的SEPM服务器只向总部复制,总部的日志并不向分支机构的数据库上复制,以节省有限的广域网网络带宽。 在任何灾难发生时,如果不幸造成了某一个站点的数据库彻底无法恢复(包括我们下面还要介绍的数据库备份文件也损坏)时,其它两个完好站点的数据库能够在第一时间将已经同步的数据库内容完好如初的恢复到灾难地区新建的数据库服务器上。 接下来是备份。我们在本节前文已经阐述SEP11终端安全管理系统的核心数据均储存在数据库中,因此SEPM服务器本身不需要备份,需要备份的是数据库。 数据库的备份分为两种,其一是SEPM服务器自己设置的数据库维护计划,如下图所示: 我们能够选择是否备份日志,也能够设置保留多少次数据库的备份。在备份周期上能够选择每小时/每日/每周。 其二是采用SQL Server自己的数据库备份维护计划,此处不再详述。 3.3 准入控制设计 3.3.1 Symantec Network Access Control 架构 Symantec Network Access Control 架构包括以下三个主要组件: 端点评估技术评估试图访问网络的端点的状态(检查它们是否遵从策略); Enforcers 作为允许或拒绝访问网络的门户; 策略管理经过一个中央管理控制台创立、编辑和管理网络准入控制规则或策略; 如下图所示: 实施评估技术向从中创立、编辑和管理策略的 Symantec Endpoi