- 1、本文档共41页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
SEP项目实施方案
XXSEP项目实施方案
深圳市XX有限公司
2015-8-18
文档信息
属性 内容 文档名称: XXSEP项目实施方案 文档编号: 文档版本: 1.0 版本日期: 2013-08-18 文档状态: 制作人: 审阅人:
版本变更记录
版本 修订日期 修订人 描述 1.0 2015-08-18
目 录
1 XXSEP项目实施环境简介 4
2 XX实施方案总体设计 5
2.1 站点部署 5
2.2 LanEnforcer部署 5
2.3 交换机认证 5
2.4 冗余设计 6
2.4.1 设备正常情况 6
2.4.2 Lan Enforcer故障 6
2.4.3 SEPM(站点)故障 7
3 部署SEPM服务器 9
3.1 SEPM服务器安装 9
3.2 配置SEPM(站点复制) 13
4 部署LanEnforcer设备 19
5 配置交换机 26
5.1 配置案例(Nortel 470交换机) 26
5.2 交换机上添加MAC地址过滤方法(Nortel 470) 29
5.3 H3C参考配置命令 30
6 安装客户端 37
6.1系统要求: 37
6.2 安装SEP客户端(北京办事处SEP客户端安装为例) 37
7 SEP准入系统实施后效果 39
8 SEP系统实施后存在的风险 40
1 XXSEP项目实施环境简介
为解决XX面临的终端安全威胁,必须从源头做起,在工作站接入网络之前,就需要确保工作站符合安全策略的要求,安装了最新的安全补丁,启用防病毒系统并更新了病毒特征代码。需要建立终端安全接入系统,包括终端自身的安全防护和终端网络准入控制,从源头上解决网络安全问题。
Symantec的SEP解决方案,提供强大的终端安全防护和全面的网络准入控制功能,使用Symantec SEP,可以实现终端安全防护、网络准入控制、应用程序控制及基于用户/组的访问控制策略。
2 XX实施方案总体设计
2.1 站点部署
目前XX已经在总部部署了两台SEPM服务器,只需在现有的SEP管理系统上增加SANC功能即可实现网络准入功能。网络拓扑如下图所示:
2.2 LanEnforcer部署
在总部部署两台LanEnforcer设备,LanEnforcer与当前的SEP站点进行验证。当当前站点出现故障后,LanEnforcer设备可切换到另外一个站点或者启动本地设备认证。
2.3 交换机认证
接入层交换机的Radius认证服务器分别指向两台LanEnforcer设备。当其中一台LanEnforcer出现故障后,交换机自动切换到另外一台LanEnforcer上。
2.4 冗余设计
XXSEP准入系统全部采用冗余设计,无论是SEP站点出现故障、LanEnforcer设备出现故障或专线链路中断,也不会影响客户端安全接入网络。
以下是SEP准入系统冗余的原理。
2.4.1 设备正常情况
所有设备都正常工作的情况下,客户端Client A与Client B的验证方式:(红色箭头方向)
2.4.2 Lan Enforcer故障
假设Lan Enforcer A出现故障或宕机,客户端Client A与Client B的验证方式:(红色箭头方向)
因为Switch A 已配置有Lan Enforcer A与Lan Enforcer B的信息,所以当Switch A 检测到Lan Enforcer A无法连接时,自动会把Client A的EAP验证包转发给Lan Enforcer B,而Lan Enforcer B把Client A的EAP验证包转发给Site B,不会转发给Site A,因为Lan Enforcer B从未与Site B断开,不会连接Site A。
同时,因为Site A与Site B是站点复制的,两个站点之间的信息都是一样的,所以同样验证成功。从而实现Lan Enforcer冗余/热备的功能。
2.4.3 SEPM(站点)故障
假设站点Site A出现故障或宕机,客户端Client A与Client B的验证方式:(红色箭头方向)
因为Lan Enforcer A已更新相应的管理服务器列表,表中已有Site A 与Site B的服务器IP,当Lan Enforcer A在一个时间段内(约2~3分钟)无法与Site A通信,Lan Enforcer A就判定Site A 宕机,立即查询管理服务器列表中的下一个优先级的站点,并建立通信,进入联机状态。所以Lan Enforcer A 收到EAP验证包全部转发给Site B。从而实现站点冗余/热备功能。
3 部署SEPM服务器
3.1
您可能关注的文档
- SCR脱硝设备安装指导书..doc
- SCTP链路IP地址配置错误导致切换入该站小区全部失败案例..docx
- SDDC工法特点及优势..doc
- SDH传输故障处理分析..doc
- SDH传输系统开销与指针..doc
- SDH传输网设计方案..doc
- SDH光传技术期末复习题库..doc
- SDH光接口参数测试..doc
- SDH功能测试..doc
- SDH原理之第5章SDH网络结构和网络保护机理..doc
- 《GB/Z 44363-2024致热性 医疗器械热原试验的原理和方法》.pdf
- GB/T 16716.6-2024包装与环境 第6部分:有机循环.pdf
- 中国国家标准 GB/T 44376.1-2024微细气泡技术 水处理应用 第1 部分:亚甲基蓝脱色法评价臭氧微细气泡水发生系统.pdf
- 《GB/T 44376.1-2024微细气泡技术 水处理应用 第1 部分:亚甲基蓝脱色法评价臭氧微细气泡水发生系统》.pdf
- GB/T 44376.1-2024微细气泡技术 水处理应用 第1 部分:亚甲基蓝脱色法评价臭氧微细气泡水发生系统.pdf
- 中国国家标准 GB/T 44315-2024科技馆展品设计通用要求.pdf
- GB/T 44305.2-2024塑料 增塑聚氯乙烯(PVC-P)模塑和挤塑材料 第2部分:试样制备和性能测定.pdf
- 《GB/T 44315-2024科技馆展品设计通用要求》.pdf
- GB/T 44315-2024科技馆展品设计通用要求.pdf
- GB/T 39560.9-2024电子电气产品中某些物质的测定 第9 部分:气相色谱-质谱法(GC-MS)测定聚合物中的六溴环十二烷.pdf
最近下载
- 理财教材《小狗钱钱》.pdf
- 护理品管圈问题解决型之提高慢性肾功能不全患者饮食指导知晓率.pptx VIP
- 复旦投毒案林森浩(详细的参考资料整理).docx
- Axure RP原型设计图解微课视频教程(Web+App)(刘刚)PPT全套完整教学课件.pptx
- 2024年国家电网招聘之财务会计类题库附参考答案(轻巧夺冠).docx
- 1精益管理倡导者培训.pptx
- 整本书阅读 《朝花夕拾》(同步课件) 七年级语文上册(统编版2024).pptx
- 2024-2029年中国房地产投资行业发展分析及投资风险预警与发展策略研究报告.docx
- 文旅融合背景下的文化遗产活化措施.pptx VIP
- 非物质文化遗产活化策略PPT.pptx VIP
文档评论(0)