symantec构建全面安全系统.pptVIP

双重检查确保策略遵从 安全检查 合规终端 1 2 拒绝请求 隔离到修复区 身份识别 1 2 合法终端 拒绝请求 隔离到漫游区 权限请求 SNAC-端点策略遵从流程 端点连接到网络 获取配置 步骤 1 对照策略检查配置是否遵守规定 步骤 2 ? 根据策略检查结果采取措施 步骤 3 补丁隔离虚拟台式电脑 监控端点，确保长期的法规遵从 步骤 4 SNAC－从纸面的管理口号到技术上的策略遵从 传统的管理方式 红头文件/通告 Mail、电话通知 安全管理规章制度 罚款、通报批评 身份认证 安全认证 准许接入 终端接入 失败 修复 周期检查 拒绝隔离 自愈(remediation) 自驭(restrict and quarantine) 自御(protection) Symantec的方法 Network Access Control 策略制定 策略执行 安全访问控制 Network Admission/Access Control ( NAC ) 网络准入控制 核心思想 － 屏蔽一切不安全的设备和人员接入企业网络，或者规范终端用户接入网络的行为，从而铲除对网络威胁的源头，避免事后处理的高额成本 关键字 －自御(protection)、自驭(restrict and quarantine)、自愈(remediation) Symantec SNAC 完整性检查的内容 Lan Enforcer Gateway Enforcer DHCP Enforcer Sygate Policy Server Sygate On-Demand Self Enforcement CNAC, MS NAP, TNC Universal API AntiVirus Host Firewall Service Pack Sygate Enforcement Agent 反间谍软件 主机入侵防御 Hotfix 自定义… 核准的程序 Network Security ＝SUM（Host Integrity） 策 略 执 行 策 略 强 制 策略制定 策略决策点 策略管理 接入设备 已管理的 台式机 未管理的 已管理的移动用户 策略强制点 远程接入SSL IPsec 认证服务 - RADIUS 局域网交换机 无线 全面的Symantec SNAC架构 Sygate 管理服务器(分布式, 高弹性, 与目录技术集成) LAN Enforcer 无法管理的 端点 - PFW IP地址服务 - DHCP 透明网关Gig-E Cisco NAC Gateway Enforcer Self Enforcer DHCP Enforcer On-Demand Enforcer PDA Sygate Secure Enterprise Sygate On-Demand Sygate Magellan Correlator Sygate Discovery Engine Sygate Network Access Control Traveling Executive Hotel Partner Kiosk Printer Workstation Guest ATM Remediation Radius Applications Sygate Enforcer Sygate Management System SSL VPN IPSEC VPN Wireless Firewall 802.1x Switch Password Token User Name Status EAP Patch Updated Service Pack Updated Personal Firewall On Anti-Virus Updated Anti-Virus On Status Host Integrity Rule X Compliant Non-Compliant 802.1x Enforcement Patch Updated Service Pack Updated Personal Firewall On Anti-Virus Updated Anti-Virus On Status Host Integrity Rule Password Token User Name Status EAP Patch Updated Service Pack Updated Personal Firewall On Anti-Virus Updated Anti-Virus On Status Host Integrity Rule Patch Updated Service Pack Up