Symantec网络准入控制：确保端点安全与遵从策略

"这篇文章主要介绍了Symantec的网络准入控制（SNAC）11.0方案，该方案致力于在网络终端接入前确保其安全性和策略遵从性。通过使用各种强制器，如802.1x交换机、局域网强制器、网关强制器、DHCP强制器等，来实现对终端的标准化管理和策略执行。同时，文章提到了Symantec Endpoint Protection Manager在管理中的作用以及不同的端点评估技术，包括可分发代理、永续代理和例外策略，以适应不同类型的终端需求。此外，还阐述了自动化、标准化的终端安全管理过程，包括检测、策略检查、持续监控、基于检查结果的响应和修复。准入基线主要包括操作系统规范、终端基本设置、应用规范以及终端安全性管理，确保了主机的完整性和安全性。" 在深入探讨这些知识点之前，先了解一下NAC（Network Access Control，网络准入控制）的概念。NAC是一种网络安全机制，它允许网络管理员在终端设备接入网络之前或接入过程中检查和确保这些设备符合特定的安全标准。Symantec的SNAC11.0是NAC的一种实现，旨在提高企业网络的安全性，防止未授权或不合规的设备接入。 1. **802.1x交换机**: 802.1x是一种基于端口的网络访问控制协议，允许交换机根据终端设备的身份验证和授权状态来打开或关闭网络端口。在SNAC11.0中，802.1x交换机用于验证客户端的接入权限，只有通过认证的设备才能获得网络访问。 2. **Symantec局域网强制器和网关强制器**: 这两种工具用于在不同层次上实施网络准入策略。局域网强制器通常在接入层执行，确保所有通过802.1x的设备都符合安全标准。网关强制器则在更高级别的网络边界上工作，对非802.1x设备进行控制。 3. **DHCP强制器**: DHCP服务器负责分配IP地址和其他网络配置信息。Symantec的DHCP强制器确保通过DHCP获取配置的设备也符合安全政策。 4. **Symantec Endpoint Protection Manager**: 是一个中央管理系统，用于部署和管理安全策略，包括防病毒、防火墙和系统更新等。 5. **端点评估技术**: 包括可分发代理（适用于不受管理的终端）、永续代理（适用于受管理的客户端）和例外策略（针对不可管理的设备，如打印机）。这些技术允许系统根据不同类型的终端设备实施相应的安全检查和管理。 6. **自动化的、标准化的终端安全流程**: 文章描述了六个步骤，从检测到终端接入，然后进行策略检查，持续监控，基于检查结果采取措施，如补丁应用、隔离或自动修复。 7. **准入基线**: SNAC11.0的准入基线涵盖了操作系统规范、终端基本设置、应用规范和安全软件的安装。这些规定确保了终端设备的系统安全，例如强制操作系统更新、域登录、补丁管理，以及安装必要的安全软件和应用。 8. **主机完整性**: 作为安全策略的一部分，主机完整性确保了系统的安全措施，如防病毒软件、系统补丁和安全配置，都保持在最新的、安全的状态，防止恶意活动和漏洞利用。 Symantec的SNAC11.0方案提供了一套全面的网络准入控制策略，确保了企业网络环境的安全性和合规性。通过结合各种工具和策略，它能够有效地管理各种类型终端的接入，降低网络风险，并促进整个组织的安全文化。