SEP项目实施方案.doc

XXSEP项目实施方案 深圳市XX有限公司 2015-8-18 文档信息 属性 内容 文档名称： XXSEP项目实施方案 文档编号： 文档版本： 1.0 版本日期： 2013-08-18 文档状态： 制作人： 审阅人： 版本变更记录 版本 修订日期 修订人 描述 1.0 2015-08-18 目 录 1 XXSEP项目实施环境简介 4 2 XX实施方案总体设计 5 2.1 站点部署 5 2.2 LanEnforcer部署 5 2.3 交换机认证 5 2.4 冗余设计 6 2.4.1 设备正常情况 6 2.4.2 Lan Enforcer故障 6 2.4.3 SEPM（站点）故障 7 3 部署SEPM服务器 9 3.1 SEPM服务器安装 9 3.2 配置SEPM(站点复制) 13 4 部署LanEnforcer设备 19 5 配置交换机 26 5.1 配置案例（Nortel 470交换机） 26 5.2 交换机上添加MAC地址过滤方法（Nortel 470） 29 5.3 H3C参考配置命令 30 6 安装客户端 37 6.1系统要求： 37 6.2 安装SEP客户端(北京办事处SEP客户端安装为例) 37 7 SEP准入系统实施后效果 39 8 SEP系统实施后存在的风险 40 1 XXSEP项目实施环境简介 为解决XX面临的终端安全威胁，必须从源头做起，在工作站接入网络之前，就需要确保工作站符合安全策略的要求，安装了最新的安全补丁，启用防病毒系统并更新了病毒特征代码。需要建立终端安全接入系统，包括终端自身的安全防护和终端网络准入控制，从源头上解决网络安全问题。 Symantec的SEP解决方案，提供强大的终端安全防护和全面的网络准入控制功能，使用Symantec SEP，可以实现终端安全防护、网络准入控制、应用程序控制及基于用户/组的访问控制策略。 2 XX实施方案总体设计 2.1 站点部署 目前XX已经在总部部署了两台SEPM服务器，只需在现有的SEP管理系统上增加SANC功能即可实现网络准入功能。网络拓扑如下图所示： 2.2 LanEnforcer部署 在总部部署两台LanEnforcer设备，LanEnforcer与当前的SEP站点进行验证。当当前站点出现故障后，LanEnforcer设备可切换到另外一个站点或者启动本地设备认证。 2.3 交换机认证 接入层交换机的Radius认证服务器分别指向两台LanEnforcer设备。当其中一台LanEnforcer出现故障后，交换机自动切换到另外一台LanEnforcer上。 2.4 冗余设计 XXSEP准入系统全部采用冗余设计，无论是SEP站点出现故障、LanEnforcer设备出现故障或专线链路中断，也不会影响客户端安全接入网络。 以下是SEP准入系统冗余的原理。 2.4.1 设备正常情况 所有设备都正常工作的情况下，客户端Client A与Client B的验证方式：（红色箭头方向） 2.4.2 Lan Enforcer故障 假设Lan Enforcer A出现故障或宕机，客户端Client A与Client B的验证方式：（红色箭头方向） 因为Switch A 已配置有Lan Enforcer A与Lan Enforcer B的信息，所以当Switch A 检测到Lan Enforcer A无法连接时，自动会把Client A的EAP验证包转发给Lan Enforcer B，而Lan Enforcer B把Client A的EAP验证包转发给Site B，不会转发给Site A，因为Lan Enforcer B从未与Site B断开，不会连接Site A。 同时，因为Site A与Site B是站点复制的，两个站点之间的信息都是一样的，所以同样验证成功。从而实现Lan Enforcer冗余/热备的功能。 2.4.3 SEPM（站点）故障 假设站点Site A出现故障或宕机，客户端Client A与Client B的验证方式：（红色箭头方向） 因为Lan Enforcer A已更新相应的管理服务器列表，表中已有Site A 与Site B的服务器IP，当Lan Enforcer A在一个时间段内（约2~3分钟）无法与Site A通信，Lan Enforcer A就判定Site A 宕机，立即查询管理服务器列表中的下一个优先级的站点，并建立通信，进入联机状态。所以Lan Enforcer A 收到EAP验证包全部转发给Site B。从而实现站点冗余/热备功能。 3 部署SEPM服务器 3.1