2024年2月17日发(作者：)

WHITE

PAPER:

ENDPOINT

SECURITYSymantec™ Network

Access Control全面的网络准入控制

白皮书：端点安全Symantec Network Access Control全面的网络准入控制目录摘要...............................................................................4保持安全和受控状态.................................................................5Symantec Network Access Control 架构................................................6赛门铁克端点评估技术：灵活性和全面性...............................................8永久代理...........................................................................9可分解的代理......................................................................10远程漏洞扫描......................................................................12Symantec Enforcers：用于消除 IT 和业务中断的灵活实施选件 ...........................14DHCP Enforcer .....................................................................15LAN Enforcer—16赛门铁克策略管理：全面、集成的端点安全管理........................................18一个管理控制台....................................................................19统一代理..........................................................................19消除网络准入控制障碍..............................................................19端到端的端点遵从..................................................................20

Symantec Network Access Control：全面的网络准入控制摘要企业中的各个端点处于受控状态，这对 IT 基础架构及其相关业务操作的整体安全性和可用性具有重要影响。新一轮的复杂犯罪软件不仅以特定公司为目标，而且以台式机和笔记本电脑为目标，将其作为后门侵入点来攻击这些企业的业务运作和重要资源。企业要保护自身免遭这些有目标威胁的侵扰，必须采取相关措施，保证每个端点都始终遵从企业安全和配置管理策略。如果企业无法保证遵从端点策略，就会面临一系列威胁，包括恶意代码在整个企业内扩散、核心业务服务中断、增加 IT 恢复和管理成本、泄漏机密信息、公司品牌受损以及因不遵从相关法规而被罚款。Symantec Network Access Control 使企业能够确保正确配置及设置用户端点的安全状态，其中包括现场员工、远程员工、访客、承包商以及临时工作者的端点，然后才允许他们访问企业网络中的资源。该解决方案能够发现并评估端点遵从状态，设置正确的网络访问权限并提供补救功能，确保符合端点安全策略和标准。Symantec Network Access Control 独立于网络操作系统，能够与任何网络基础架构轻松集成，所以与竞争对手的解决方案相比，其实施更加全面、速度更快且更加经济有效。通过利用 Symantec Network Access Control 的端点遵从验证和实施功能，企业可以：• 减少恶意代码（如病毒、蠕虫、间谍软件和其它形式的犯罪软件）的传播• 通过对访问企业网络的不受控端点和受控端点加强控制，降低风险• 为最终用户提供更高的网络可用性，并减少服务中断的情况• 通过近乎实时端点遵从数据获得可验证的企业遵从信息• 企业级集中管理架构将总体拥有成本降至最低• 验证对防病毒软件和客户端防火墙技术这样的端点安全产品投资是否得当4

Symantec Network Access Control：全面的网络准入控制保持安全和受控状态IT 管理员会竭尽全力确保按照公司策略配置新部署的台式机和笔记本电脑，公司策略包括所有适用的安全更新、批准的应用程序设置、防病毒软件、防火墙设置以及其它配置设置。遗憾的是，这些计算机一投入使用，管理员通常就无法控制这些端点的配置。用户安装新软件、阻止补丁程序更新、禁用防火墙或者进行其它更改，导致设备乃至整个 IT 基础架构面临着风险。在网吧、宾馆房间或者其它更易受到攻击或感染的不安全地点，远程用户和移动用户使用不遵从笔记本电脑时会面临更高的风险。一些企业采用补丁程序管理或软件分发解决方案，最终会在预定时间内将不遵从计算机更改回正确状态，但一旦计算机受感染并连接到网络，这些解决方案将完全失去作用。他们还使用管理员权限，向那些认为他们无需遵守公司策略的用户证明无效性，从而阻止将其计算机回滚到正确配置状态的尝试。网络准入控制解决方案使企业能够防止此行为影响企业的 IT 基础架构。在任何计算机能够访问生产网络及其资源之前，该计算机都必须完全遵从制定的企业策略，如安全补丁程序、防病毒软件和病毒定义的正确版本级别。但是，尽管他们能够防止不遵从端点连接到企业网络，但部分企业仍然因为各种原因尚未采用网络准入控制解决方案，这些原因包括许多解决方案：• 无法提供有效实施和修复• 增加端点上必须安装的管理代理的数量• 导致 IT 基础架构过于复杂并且中断次数太多• 缺少满足企业独特需求的灵活性，如适当地满足客户和临时工作者的需求• 无法与整个端点安全管理基础架构正确集成Symantec Network Access Control 使用端到端的解决方案解决了上述所有问题，能够安全地控制对企业网络的访问、实施端点安全策略以及与现有网络基础架构轻松集成。5

Symantec Network Access Control：全面的网络准入控制Symantec Network Access Control 架构Symantec Network Access Control 架构包括以下三个主要组件：• 端点评估技术评估试图访问网络的端点的状态（检查它们是否遵从策略）• Enforcers 作为允许或拒绝访问网络的门户• 策略管理通过一个中央管理控制台创建、编辑和管理网络准入控制规则或策略