Symantec.Sygate.5.1.实施指导.docVIP

Symantec Sygate Enterprise Protection 5.1 实施指导 赛门铁克公司 （Symantec Corporation.）  版权信息 本文件的版权属于Symantec公司， 任何形式的散发都必须事先得到Symantec公司的书面许可。 COPYRIGHT? 2002-2005 http://www. S / 保密条款 本方案中涉及大量的Symantec公司的机密和专有信息。 这些信息只能用于对本方案的评估，而不得泄漏，复制或用于其它目的。 目录 1 系统组件部署说明 4 1．1 Symantec策略服务器（Symantec Policy Manager） 4 1．2 Symantec网络强制服务器（Lan Enforcer） 4 1．3 Symantec网关强制服务器（Gateway Enforcer） 4 1．4 Symantec保护代理（Symantec Protection Agent） 5 2 布署 5 2．1 布署考虑 5 2．2布署规划与指导 5 如何高效的分发客户端，缩短布署时间 5 如何规划客户端的分组，方便后期组策略的制订 7 如何降低布署对终端用户的影响 8 如何保障Sygate系统自身的安全性 8 认证强制网关应该布署在那里 9 布署实施需要变更哪些网络拓朴设置 9 如何为终端用户节点数的增加留出可扩展空间 11 2．3 布署操作指导 12 定制客户端安装包 12 让客户端安装包附带默认策略 13 修改客户端安装参数 13 2．4 认证强制网关安装与初期设定 14 初期设定步骤： 14 3 策略 15 3．1 策略测试方法 15 使用“组”来测试 15 使用“处所”来测试 15 3．2 常用策略 15 4 Sygate系统调优 16 4．1 如何有效控制网络负荷 16 4．2 如何保障认证强制网关接入的持续性，稳定性 16 4．3 如何实现数据库备份 17 1 系统组件部署说明 1．1 Symantec策略服务器（Symantec Policy Manager） 在企业网络中部署Symantec策略服务器，Symantec策略服务器可以位于网络的任意位置。只要保证网络中所有终端都可以使用IP地址访问就可以工作。考虑服务器管理的统一和规范，建议将Symantec策略服务器放置在公司的服务器机房内。Symantec策略服务器扮演一个军队司令的角色-帮助创建安全策略，规划部署计划，指导士兵（客户端）如何保护网络。 1．2 Symantec网络强制服务器（Lan Enforcer） Lan Enforcer可以部署于企业网络的任意位置，只要保证所有接入层交换机都可以通过IP地址和Lan Enforcer通讯就可以正常工作。建议将Lan Enforcer放置在公司服务器机房内，以利于统一管理和维护。 Lan Enforcer做为终端用户接入网络时的安全性认证服务器，必须保证24×7的不间断运行；因此，在实际部署时至少应该使用两台Lan Enforcer，这两台Lan Enforcer同时工作，分别处理不同交换机的认证请求，实现负载均衡；当其中任何一台服务器由于硬件、系统或程序故障时，交换机会自动向另一台Lan Enforcer提交认证请求，实现热备功能，保证系统的持续运行。 1．3 Symantec网关强制服务器（Gateway Enforcer） Gateway Enforcer部署在企业网络边界，负责对通过Internet远程接入的终端进行安全性检查。Gateway Enforcer位于边界防火墙/VPN之后。Gateway Enforcer工作在OSI模型的二层，在接入网络后不需要修改现有的网络拓扑。 为保证远程用户在任何时候都可以接入网络，避免由于Gateway Enforcer故障导致远程用户无法连接企业网络，在实际应用时需要使用两台Gateway Enforcer组成一个热备方案。Gateway Enforcer只使用热备的工作方式，在任何时候都只有一台工作，另一台作为后备Enforcer。两台Gateway Enforcer使用网络进行热备心跳，不许要其它热备软/硬件的支持。 1．4 Symantec保护代理（Symantec Protection Agent） Symantec保护代理是整个企业网络安全策略的执行者，它安装在企业网络中的每一台终端计算机上，如企业的工作站、服务器（Windows平台）和笔记本。SPA提供了可配制的高级防火墙和入侵检测预防能力。它能检测和识别已知的木马，端口扫描和其他常见攻击。作为响应，它能选择性的启用或阻止不同网络设备，端口和组件的使用。SPA还负责按照Symantec策略管理服务器所设定的规则对终端的安全状态