SymantecSEP终端安全与准入控制概述(PPT 55张)

目录1. Symantec Endpoint Protection 11.0 / Symantec Network Access Control 11.0 主机完整性概述 11. Gateway Enforcer 设备工作原理 (5)2. Symantec Network Access Control 11.0 LAN Enforcement 概述 (6)3. LAN Enforcer：理解基本模式和透明模式 (13)4. LAN Enforcer：如何配置以便处理尚未连接到SEPM 管理器的新安装客户端？ (15)5. DHCP Enforcer 设备工作原理 (16)6. Symantec Network Access Control 11.0 DHCP Enforcement 概述 (18)7. 在没有安装客户端的情况下，Symantec Network Access Control 强制如何管理计算机？218. Using MAB (MAC Authentication Bypass) with the Symantec LAN Enforcer appliance (23)9. Using the DHCP Trusted Vendors Configuration feature with the Symantec Integrated DHCP Enforcer (28)1.Symantec Endpoint Protection 11.0 / Symantec Network Access Control 11.0 主机完整性概述本文档翻译自英文文档。

原英文文档可能在本翻译版发布后进行过修改更新。

赛门铁克对本翻译文档的准确度不做保证。

情形您想对主机完整性功能有一个大概的了解解释主机完整性什么是主机完整性？主机完整性使得企业可以在企业网络（包括 VPN、无线和 RAS 拨号服务器）的所有入口点处强制执行安全性策略。

企业端点安全防护解决方案合肥昊邦信息科技有限公司2013年7月一、企业防病毒系统现状现在企业使用了一些单机版本的防病毒软件，由于单机防病毒系统的缺陷：如无法集中管理防病毒工作，客户机配置和防护级别无法统一，无法集中更新病毒代码，管理中人为操作的因素大。

在日常防病毒维护中各网络各行其事，分散管理，这样不但加重管理员的管理工作，而且不能实现统一的、集中的管理，易受到各种人为的因素的影响，即使在安装了防病毒软件的情况下也不能确保整个网络的防病毒能力。

尤其现在电子邮件是传播病毒的主要途径之一，而还没有针对电子邮件采取防病毒措施。

对邮件/附件/JAVA等新病毒的防护无能为力。

增加新的用户和管理工作都极为麻烦，而各级单位对计算机的使用和维护水平也不尽相同等等，很难面对当前日益猖獗的数字病毒的威胁。

近年来，随着信息系统自身的飞速发展和具有黑客攻击特征的新类型病毒的大量出现，企业原有的防病毒软件部署已经不能满足企业的需要。

近几年的混合型病毒大规模传播给企业造成较大的危害，现有的防病毒体系正面临更严峻的安全挑战，主要存在以下几个方面的不足：1. 缺少防病毒中央控管系统。

2. 尚未建立完善的安全制度和制定安全培训机制。

3. 缺乏完善的防病毒信息支持体系。

4. 不能全方位防护。

二、企业网络防病毒需求分析随着企业信息化建设的不断深入完善，以及互联网通讯的广泛应用，各种办公及业务系统已成为业务和日常办公各种信息往来沟通不可或缺的工具。

一般而言：企业网络Internet区域安全等级最低，是病毒产生及传播的地方；客户端工作区安全等级较高，主要由外来用户、移动办公用户、桌面用户构成，是病毒感染的主要目标，也是病毒进入企业网络的主要载体；核心服务器区安全等级最高，这里有企业的关键服务器，是安全防护体系最终保护的目标。

企业网络病毒防范工作：必须从这三个安全区域（病毒防护的主体）着手，根据他们之间的访问关系施加防护及病毒监控。

具体防护工作的描述：针对核心服务器区，严防来自Internet及移动用户的病毒入侵，保护其中的关键服务器，这是防病毒工作的重点；针对客户端工作区，需要部署客户端防病毒产品严防病毒（尤其是具有混合型威胁特征的混合型病毒）的入侵；针对Internet区域，需部署网关级防病毒产品，严防来自该区域的病毒及病毒攻击；针对邮件系统，需要部署邮件病毒防护系统；另外还需要部署必要的辅助手段，以监测网络异常状况，提前预知病毒事件发生。

Symantec SEP 端点防护SEP是企业级产品，不面向个人用户。

由管理服务器和客户端组成。

包括AntiVirus Advanced Protection和Network Access Control两大功能组件，前者（SAV AP）包括增强型的防病毒和反间谍软件技术（检测，阻止和清除病毒，间谍软件，Root Kits和其它的恶意软件），网络威胁防护（检测和阻止外部危胁，入站和出站过滤，位置感知策略）和主动威胁防护（零日危胁，控制设备访问）。

后者（SNAC）实现主机完整性控制和网络访问控制。

SEP实际上是三个产品的集成：1，Symantec的AV 10.x和CS 3.x（主要是AV，防火墙取自Sygate Enterprise Protection）2，WholeSecurity的Confidence Online产品（用于防护网络欺骗，防钓鱼，保护网络口令）3，Sygate的Enterprise Protection 5.x（SEP的主要功能来自于原Sygate产品）主动威胁防护基于行为的防护技术，防护引擎（pro-valid engine and pro-malicious engine）监视系统中的进程，记录它们的行为，将这些行为区分为正常的和可疑的，每种行为都有不同的权重，最后根据计算出的结果发现恶意代码，阻止其执行。

网络威胁防护包括基于规则的防火墙引擎，基于包和流的入侵防护系统（基于签名匹配来发现攻击行为），管理员可以为不同的网络连接（Location）设置不同的策略，比如，办公室因为有企业级的边缘防火墙，安全性要求可以低一些，如果是开放式的公共网络或家庭互联网络，则安全性要求应该提高。

网络访问控制用于检测主机是否满足企业的要求（安装Windows补丁，安装安全软件并有最新的定义等等），可以与网络中的Enforcer（分为LAN Enforcer，Gateway Enforcer和DHCP Enforcer三种）一起协作，将不满足要求的计算机隔离，也可以与修复服务器配合，修复客户端，使其满足企业的安全性要求。

赛门铁克端点防病毒SEPSymantec重庆技术中心2010年09月Symantec SEP 杀毒软件功能简介一个端点防护代理与竞争对手的解决方案不同的是，Symantec Endpoint Protection 将防病毒软件、反间谍软件、防火墙、设备控制和先进的入侵防御集成为一个代理，让企业能够自定义端点防护的级别以及一起工作的技术。

Symantec Endpoint Protection 需要更少内存、占用更少资源，同时可增强防护。

另外，管理员可以对该代理进行优化，以减少它在用户活动较多的时段内使用的资源，从而保证端点性能。

一个统一管理控制台Symantec Endpoint Protection 提供通过一个统一控制台管理所有服务的功能，让管理员可通过整体方法来管理端点安全。

通过使用Symantec Endpoint Protection Manager，控制台管理员可以创建和管理各种策略、将策略分配给代理、查看日志并运行端点安全活动报告。

它通过图形报告、集中日志记录和阈值警报等功能提供全面的端点可见性。

统一控制台不仅简化了端点安全管理，而且还提供了出色的操作效能，如集中软件更新、策略更新、报告和许可维护。

防病毒和反间谍软件防病毒和反间谍软件解决方案一般采用基于扫描的传统技术，来识别端点设备上的病毒、蠕虫、特洛伊木马、间谍软件和其它恶意软件。

防病毒和反间谍软件会在系统中搜索与已知威胁的特点（或称威胁特征）匹配的文件，从而检测这些威胁。

在检测到威胁后，该解决方案会对其进行补救，通常是删除或控制威胁。

赛门铁克提供的Rootkit 检测和删除性能超越了竞争的供应商。

Rootkit 是一种隐蔽的应用程序或脚本，黑客使用它逃避系统检测，同时获得对系统的管理员级别访问权限。

要检测和删除Rootkit，需要对操作系统执行全面分析和修复。

为此，Symantec Endpoint Protection 中包含了V eritas Raw Disk Scan，与其它任何解决方案相比都可提供更深入的文件系统检查，实现通过进行必要地分析和修复来防御最复杂的 Rootkit 攻击。

SEP客户端使用图解最新的赛门铁克SEP（SYMANTEC ENDPOINT PROTECTION 11.0）简单图解：一、图标在任务栏上的显示，如下图：表示杀毒软件正常中当你的杀毒软件出现表示杀毒软件有一些问题，可能需要修复，点开杀毒软件按修复表示正在更新客户端，或者正在更新策略。

二、功能简介如下：1.状态，有三个定义库：防病毒和防间谍软件防护、主动型威胁防护、网络威胁防护。

2.扫描威胁，有三种扫描方式：快速扫描、全面扫描、创建新扫描(可以自定义扫描)。

用户可以根据自己的需要创建扫描。

3.更改设置，有五种设置：防病毒和防间谍软件防护配置设置、主动型威胁防护配置设置、网络威胁防护配置设置、集中式例外配置设置、客户端管理配置设置。

4.查看隔离区，这里是隔离的病毒，您可以进行以下操作：还原、删除、重新扫描、导出、添加、提交等等。

5.查看日志，您可以查看：①防病毒和防间谍防护的扫描日志、风险日志、系统日志；②主动型威胁防护的威胁日志、系统日志；③网络威胁防护的通信日志、数据包日志；④客户端管理的控制日志、安全日志、系统日志、防篡改日志。

6.LiveUpdate,主要是用来升级病毒库，当终端出于外网时，可通过点击该按钮手动升级病毒库。

使用技巧：更改设置：防病毒和防间谍软件设置：1、防病毒和防间谍软件保护设置，常规选项里面是对你的日志保留情况，可以对日志删除时间进行设置，当遇到病毒的时候可以知道病毒类型，点击后直接转到symantec官方对这种病毒的病毒分析。

2、防病毒和防间谍软件保护设置，里面文件系统自动保护设置，可以选择类型设置，扫描文件类型选择可以减少扫描用时；操作菜单里面能够设置你遇见的病毒是否被删除或者隔离，通知设置可以设置病毒的位置或者进行一些有效的阻止措施，高级设置能设置文件扫描的条件及其其他功能。

文件系统自动保护设置，选项设置扫描安全风险，集中例外能够设置你自己知道是病毒或者木马，但你现在必须要用这个软件，就可以添加一个安全风险，这个安全风险不被查杀，并且能进行操作。