Symantec终端管理和安全解决方案技术规范书

,Symantec

Symantec终端管理及安全处理方案

技术规范书

赛门铁克软件（北京）有限企业

2023年11月

文档信息

属性内容

文档名称:终端管理和安全处理方案技术规范书

文档编号:

文档版本:

版本日期：

文档状态:

审阅人：

版本变更记录

版本修订日期修订人描述

L02023-4-8姚臻

目录

第1章概述错误!未定义书签。

第2章产品功能简介错误!未定义书签。

2.1端点保护系统SYMANTECENDPOINTPROTECTION错误!未定义书签。

产品简介错误!未定义书签。

产品重要优势错误!未定义书签。

重要功能错误!未定义书签。

2.2终端准入控制SYMAMECNE1W0RKACCESSCONTROLII错误!未定义书签。

重要优势错误!未定义书签。

重要功能错误!未定义书签。

2.3SYMANTECAITIRIS（IT生命周期管理处理方案）错误!未定义书签。

Altiris管理架构一NutijicationsServer错误!未定义书签。

处理方案的重要市场、技术定位错误!未定义书签。

处理方案的专利技术和优势错误!未定义书签。

厂商的完整1T运维产品线,产品在该产品线中的位置,与其他产品的关系.错误!

未定义书签。

第3章终端安全系统体系构造错误!未定义书签。

3.1管理系统功能组件阐明错误!未定义书签。

3.2系统管理架构设计错误!未定义书签.

两级管理体系错误!未定义书签。

二级V5两级以上的管理错误!未定义书签。

方略的同步与复制错误!未定义书签。

服务器的负载均衡错误!未定义书签。

客户端的漫游错误!未定义书签。

容灾与灾备系统错误!未定义书签。

3.3准入控制设计错误!未定义书签。

SymantecNetworkAccessControl架构错误!未定义书签》

赛门铁克端点评估技术:灵活性和全面性错误!未定义书签。

永久代理错误!未定义书签。

可分解的代理错误!未定义书签。

远程漏洞扫描错误!未定义书签。

SymumecEnforcers：用于消除IT和业务中断的灵,活实行选件…错误!未定义书签。

GatewayEnforcer错误!未定义书签。

DHCPEnforcer错误!未定义书签。

LANEnforcer—802.1x错误!未定义书签。

网络准入控制行业框架支持错误!未定义书签。

端到端的端点遵从错误!未定义书签。

3.4安全管理方略架构错误!未定义书签。

域及管理员分级错误!未定义书签。

管理权限方略-错误!未定义书签。

组织构造设计错误!未定义书签。

安全方略错误!未定义书签。

3.5赛门铁克方略管理：全面、集成的端点安全管理错误!未定义书签。

一种管理控制台错误!未定义书签。

统一代理错误!未定义书签。

消除网络准入控制障碍错误!未定义书签。

3.6服务器IKJ硬件配置需求错误!未定义书签。

4章终端管理＞^^统体系构造&11大!未,上乂^1%。

4.1管理架构错误!未定义书签。

4.2架构论述错误!未定义书签。

架构比较错误!未定义书签。

多级管理错误!未定义书签。

Alliris管理版务器错误!未定义书签。

4.3管理模式错误!未定义书签。

4.4管理职能错误!未定义书签。

管理架构归属错误!未定义书签。

方略制定妇属-错误!未定义书签。

监控盼能归属错误!未定义书签。

4.5管理权限错误!未定义书签。

第5章终端管理技术原则规范……错误味定义书签。

5.1ITIL（IT基础架构库）错误!未定义书签。

5.2遵照的IT业界原则一1错误!未定义书签。

5.3遵照的IT业界原则一2错误!未定义书签。

5.4遵照的IT.业界原则一3错误!未定义书签。

第1章概述

企业目前面临着运用端点设备中的漏洞，更为隐蔽、目的性更强、意在获取

经济利益的威胁。多种上述复杂威胁会避开老式H勺安全处理方案，使企业轻易成

为数据窃取和操控的受害者、导致关键业务服务中断并导致企业品牌和声誉受

损。为了提前应对这些隐做多变U勺新型安全威胁，企业必须升级他们的端点防护

措施。

SymantecEndpointProtection让企业可以采用更为有效的整体措施，来保

护笔记本电脑、台式机和服务器等端点。其中结合了五种基本安全技术，可针对

多种已知威胁和未知威胁积极提供最高级别H勺防护，这些威胁包括病毒、蠕虫、特

洛伊木马、间谍软件、广告软件、Rootkit和零日袭击。该产品将业界领先的防病

毒软件、反间谍软件和防火墙与先进的积极防护技术集成到一种可布署代理中，

通过中央管理控制台进行管理。并且，管理员可以根据他们的详细需要，轻松禁

用或启用上述任何技术。

同步，IT管理员会竭尽全力保证按照企业方略配置新布署的台式机和笔记

本电脑，企业方略包括所有合用的安全更新、同意的应用程序设置、防病毒软件、

防火墙设置以及其他配置设置。遗憾的是，这些计算机一投入使用，管理员一般

就无法控制这些端点的）配置。顾客安装新软件、制止补丁程序更新、禁用防火墙

或者进行其他更改，导致设备乃至整个IT基础架构面临着风险。在网吧、宾馆

房间或者其他更易受到袭击或感染的不安全地点，远程顾客和移动顾客使用不遵

从笔记本电脑时会面临更高的风险。

网络准入控制处理方案使企业可以防止此行为影响企业的IT基础架构。在

任何计算机可以访问生产网络及其资源之前，该计算机都必须完全遵从制定H勺企

业方略，如安全补丁程序、防病毒软件和病毒定义的对的版本级别。

不过，尽管他们可以防止不遵从端点连接到企业网络，但部分企业仍然由于

多种原因尚未采用网络准入控制处理方案，这些原因包括许多处理方案：

＞无法提供有效实行和修复

＞增长端点上必须安装的管理代理H勺数量

＞导致IT基础架构过于复杂并且中断次数太多

＞缺乏满足企业独特需求的灵活性，如合适地满足客户和临时工作者H勺需求

＞无法与整个端点安全管理基础架构对口勺集成

SymantecNetworkAccessControl使用端到端M勺处理方案处理了上述所

有问题，可以安全地控制对企业网络的访问、实行端点安全方略以及与既有网络

基础架构轻松集成。

第2章产品功能简介

2.1端点保护系统SymantecEndpointProtection

2.1.1产品简介

SymantecEndpointProtection11将SymantecAntivirus^与高•级威胁防御功

能相结合，可认为笔记本、台式机和服务器提供无与伦比的恶意软件防护能力。

它甚至可以防御最复杂的袭击，这些袭击可以规避老式的安全措施，如rootkits

零日袭击和不停变化的间谍软件。

SymantecEndpointProtection11不仅提供了世界一流、业界领先且基于特性

的J防病毒和反间谍软件防护。它还提供了先进日勺威胁防御能力，可以保护端点免

遭目的I性袭击以及之前没有发现的未知袭击侵扰。它包括即刻可用的积极防护技

术以及管理控制功能；积极防护技术可以自动分析应用程序行为和网络通信，以

检测并制止可疑活动，而管理控制功能使您可以拒绝对企业来说被视为高风险日勺

特定设备和应用程序活动。具至可以根据顾客位置制止特定操作。

这种多层措施可以明显减少风险，同步可以充足保护企业资产，从而使企业

高枕无忧。它是一款功能全面口勺产品，只要您需要，即可立即为您提供所需的所

有功能。无论袭击是由恶意H勺内部人员发起，还是来自于外部，端点都会受到充

足保护。

SymantecEndpointProtection11不仅可以增强防护，并且可以通过减少管理

开销以及管理多种端点安全性产品引起的成本来减少总拥有成本。它提供一种代

理，通过一种管理控制台即可进行管理。从而不仅简化了端点安全管理，并且还

提供了杰出的操作效能，如单个软件更新和方略更新、统一的I集中汇报及一种授

权许可和维护计划。

SymantecEndpointProtectionII易于实行和布署。赛门铁克还提供广泛H勺征

询、技术培训和支持服务，可以指导企业完毕处理方案的J迁移、布署和管理，并

协助您实现投资的所有价值。对于但愿外包安全监控和管理口勺企业来说，赛门铁

克还提供托管安全服务，以提供实时安全防护。

单个代理和

结果

单个控制台

增强的防护、

控制和

可瞥理性

降低成本、

复杂性和

风险暴露几率

2.1.2产品重要优势

□安全

全面的防护一集成一流的I技术，可以在安全威胁渗透到网络之前将其制

止，即使是由最狡猾口勺未知新袭击者发起口勺袭击也不例外。以实时方式检测并制

止恶意软件，包括病毒、蠕虫、特洛伊木马、间谍软件、广告软件和rootkk

积极防护一全新的积极威胁扫描使用独特口勺赛门铁克技术为未知应用程

序H勺良好行为和不良行为评分，从而无需创立基于规则的I配置即可增强检测能力

并减少误报。

业界最佳的威胁趋势情报一赛门铁克的防护机制使用业界领先H勺赛门铁

克全球情报网络，可以提供有关整个互联网威胁趋势H勺全面视图。借助此情报可

以采用对应B勺防护措施，并且可以协助您防御不停变化的袭击，从而使您高枕无

忧。

□简朴

单一代理，单一控制台一通过一种直观顾客界面和基于Web口勺图形汇报

将全面的安全技术集成到单一代理和集中H勺管理控制台中。可以在整个企业中设

置并实行安全方略，以保护您於J重要资产。添加SynxintecNetworkAccessControl

11支持时，可以简化管理、减少系统资源使用率，并且无需其他代理。通过购

置许可证可以在代理和管理控制台上自动启用SymantecNetworkAccessControl

11功能。

易于布署一由于它只需要一种代理和管理控制台，并且可以运用企业既有

欧J安全和IT投资进行操作,因此,SymantecEndpointProtection11易于实行和

布署。对于但愿外包安全监控和管理日勺企业，赛门铁克提供托管安全服务，以提

供实时安全防护。

减少拥有成本一SymantecEndpointProtection11逋过减少管埋开销以及管

理多种端点安全产品引起的成本，提供了较低口勺总体拥有成本。这种保障端点安

全的统一措施不仅简化了管理，并且还提供了杰出H勺操作效能，如单个软件更新

和方略更新、统一的I集中汇报及一种授权许可和维护计划。

口无缝

易于安装、配置和管理一SymantecEndpointProlcctionl1使您可以轻松启

用、禁用和配置所需的技术，以适应您的环境。

SymantecNchvorkAccessControl11就绪一每个端点都会进入uSymantec

NetworkAccessControl11就绪”状态，从而无需布署其他网络访问控制端点代

理软件。

运用既有安全技术和IT投资一可以与其他领先防病毒供应商、防火墙、

IPS技术和网络访问控制基础架构协作。还可以与领先的软件布署，具、补」管

理工具和安全信息管理工具协作。

2.1.3重要功能

防病毒和反间谍软件一提供了无可匹敌的一流恶意软件防护能力，包括市

场领先的防病毒防护、增强的间谍软件防护、新rootkit防护、减少内存使用率

和全新的动态性能调整，以保持顾客的工作效率。

网络威胁防护一提供基于规则口勺防火墙引擎和一般漏洞运用严禁功能

(GEB),该功能可以在恶意软件进入系统前将其制止在外。

积极威胁防护一针对不可见的威肋•(即零日威胁)提供防护。包括不依赖

特性的积极威胁扫描。

单个代理和单个管理控制台一在一种代理上提供防病毒、反间谍软件、桌

面防火墙、IPS、设备控制和网络访问控制（需要购置赛门铁克网络访问控制许

可证）一通过单个管理控制台即可进行全面管理。

2.2终端准入控制SymantecNetworkAccess

Control11

SymanlecNetworkAccessControl11是全面日勺端到端网络访问控制处理方

案，通过与既有网络基础架构相集成，使企业可以安全有效地控制对企业网络口勺

访问。不管端点以何种方式与网络相连，SymantecNetworkAccessControl11都

可以发现并评估端点遵从状态、设置合适H勺网络访问权限、根据需要提供补救功

能，并持续监视端点以理解遵从状态与否发生了变化。从而可以营造这样的网络

环境：企业可以在此环境中大大减少安全事故，同步提高企业IT安全方略的遵

从级别。

SymantecNetworkAccessControl11使企业可以按照目的经济有效地布署和

管理网络访问控制。同步对端点和顾客进行授权在当今H勺计算环境中，企业和网

络管理员面临着严峻的挑战，即为不停扩大的顾客群提供访问企业资源的权限。

其中包括现场和远程员工，以及访客、承包商和其他临时工作人员。目前，维护

网络环境完整性的任务面临着前所未有的挑战。如今无法再接受对网络提供未经

检查的访问。伴随访问企业系统H勺端点数量和类型激增，企业必须可以在连接到

资源此前验证端点的健康状况，并且在端点连接到资源之后，要对端点进行持续

验证。SymantecNetworkAccessControl11可以保证在容许端点连接到企业

LAN、WAN、WLAN或VPN之前遵从IT方略。

2.2.1重要优势

布署SymiintecNetworkAccessControlll日勺企业可以切身

体验到众多优势。其中包括：

/减少恶意代码（如病毒、蠕虫、间谍软件和其他形式口勺犯罪

软件）的传播

,通过对访问企业网络H勺不受管理欧I端点和受管理的I端点加

强控制，减少风险

,为最终顾客提供更高"勺网络可用性，并减少服务中断的状况

/通过实时端点遵从数据获得可验证的企业遵从信息

/企业级集中管理架构将总拥有成本降至最低

,验证对防病毒软件和客户端防火墙这样的端点安全产品投

资与否得当

2.2.2重要功能

SymantecNetworkAccessControl流程

网络访问控制流程

网络访问控制是一种流程，波及对所有类型H勺端点和网络进行管理。此流程

从连接到网络之前开始，在整个连接过程中持续进行。与所有企业流程同样，方

略可以作为评估和操作的J基础。

网络访问控制流程包石如下四个环节：

1.发现和评估端点。此环节在端点连接到网络访问资源之前执行。通过与

既有网络基础架构相集成，同步使用智能代理软件，网络管理员可以保证按照最

低IT方略规定对连接到网络的新设备进行评估。

2.设置网络访问权限。只有对系统进行评估并确仄其遵从IT方略后，才

准予该系统进行全面的I网络访问。对■于不遵从IT方略或不满足企业最低安全规

定的系统，将对其进行隔离，限制或拒绝其对网络进行访问。

3.对不遵从的端点采用补救措施。对不遵从H勺端点自动采用补救措施使管

理员可以将这些端点迅速变为遵从状态，随即再变化网络访问权限。管理员可以

将补救过程完全自动化，这样会使该过程对最终顾客完全透明；也可以将信息提

供应顾客，以便进行手动补救。

4.积极监视遵从状况。必须时刻遵从方略。因此，SymantecNetworkAccess

Control11以管理员设置的时间间隔积极监视所有端点的遵从状况。假如在某一

时刻端点的遵从状态发生了变化，那么该端点的I网络访问权限也会随之变化。

2.3SymantecAltiris（IT生命周期管理处理方案）

AltirisIT生命周期管理处理方案具有多重系统管理功能，企业能伴随新

的规定或新的系统管理需求布署新的I功能，伴随企业口勺发展而不停扩充。每个处

理方案以模块化口勺方式集中安装在Altiris服务器上，通过安装在客户端时

Agent（代理）的交互式来实现所有功能。

2.3.1Altiris管理架构一NotificationsServer

NotificationServer是altiris所有模块化处理方案的基础架构，所有模

块都基于此。

ActiveDirectory

HPOpenView

MicrosoftSMS

RemedyHelpDesk

ConnectorsWebReports

SNMPWebConsole

Solutions

Email.Pager.InventorySolution■

OtherActionDeploymentSolution■

PatchManagement

NotificationPoliciesI

SoftwareDelivery■

RecoverySolution■

HPClientManager■

AssetControl

口ContractManagenencI

AlertManagerTCOManagementI

Solution

.

AltirisServerAltirisAltiris

DatabaseWindowsAltiris

PackageRecovery

ServerDeploymentServer

Server*

AltirisAgentWindowsandLinux*

Windows.Linux.UNIX.

Macintosh.Palm.PocketPC

其可扩充管理架构一ExtensibleManagementArchitecture™(EMA™)为客

户提供了一种统一集中又具充足扩展能力H勺管理平台。通过Notification

Server,altriris具有管理复杂网络环境日勺能力--无论是LAN还是WAN。

其功能特性如下：

1、完全为BS构造，Web方式管理，统一集中的控制台

Altiris基于Windows.Net技术，采用SQLServer数据库，符合主流H勺发

展趋势。

2、可以按角色和区域进行多级分布式管理

其角色安全(RoleBase)和区域安全(ScopeBase)特性满足大型企业客户对管

理的需求

3、管理多平台能力

可以管理Windows,Linux,Unix,Mac等多种软硬件平台，而不必采用第三方产

品。

4、强大的与第三方产品集成能力

企业资源共享是企业IT总体规划日勺重要内容，eilliris通过其连接器处理方

案(ConnectorSolution)提供了多种连接器(Connector)—AD,HP

OpenView,IBMDirector,SMS,RemedyHelpdesk,Oracle甚至SAP。

通过ODBC,OLEDB,ahiris还可以与财务软件、HR软件进行资源数据共享。

5、强大的Woh报表功能

Altiris不仅提供了数百个已经预定义的IWeb报表，还可以让企业自定义符合

企业需求时报表。

6>PackageServer（分布式服务器）

PackageServer功能使得altiris可以应用于任何一种企业架构，无论复杂

还是简朴。并且与AD集成。

同步PackageServer不需要额外付费，对于有复杂构造WAN环境企业可以节

省很大一笔费用。

7、通过工业原则的SNMP,可以管理基于SNMP设备

Altiris不仅可以管理PC等设备，还可以管理网络设备

8、基于方略的管理

Altiris基于方略Fj管理可以大大减少反复性的管理工作环节，自动化操作能

力是IT管理的重要特性。

9、altirisNotificationServer是免费ffj

AltirisNotificationServer不需要额外的）许可证费用，企业可以自由任意

的扩展管理架构

10、强大的合作伙伴支持能力

Altriris支持业界主流的计算机厂商，并为他们开发了专门针对硬件底层的

管理工具，如IBM服务器、Dell服务器和客户端、HP服务器和客户端，为

客户提供更深层次的管理工具，这是其他管理软件很难具有口勺。

综上所述，altiris管理架构在广度和深度上都是极具优势。

2.3.2处理方案的重要市场、技术定位

Altiris处理方式适合于拥有几千台、数万台甚至数十万台计算机H勺多种规

模的I企业组织，这些企业组织须要有效减少IT管理成本和提高IT管理效率，以

求得良好的投资回报率，增进企业业务发展与扩大

Altiris处理方案在商'也组织、政府机构、教育等几乎所有领域都拥有众多

成功案例。

2.3.3处理方案的专利技术和优势

Altii-is企业拥有众多专利技术：recovery/depbyment/wise

2.3.4厂商的完整IT运维产品线，产品在该产品线中的

位置，与其他产品的关系

Altiris拥有客户端管理、服务器管理、资产管理、安全管理完整的管理工具

集，在同类产品中拥有最完整的产品构成，在技术功能处在领先者地位。

第3章终端安全系统体系构造

3.1管理系统功能组件阐明

终端安全管理系统包括三部分组件：

□方略管理服务器

方略服务器实现所有安全方略、准入控制规则H勺管理、设定和监控，是整个

终端安全原则化管理的关键。通过使用控制台管理员可以创立和管理多种方略、

将方略分派给代理、查看口志并运行端点安全活动汇报，通过图形汇报、集中口

志记录和阈值警报等功能提供全面的端点可见性。统一控制台简化了端点安全管

理，提供集中软件更新、方略更新、汇报等功能。

方略管理服务器可以完毕如下任务：

•终端分组与权限管理；

根据地理位置、业务属性等条件对终端进行分组管理，对于不一样的组

可以制定专门日勺组管理员，并进行权限控制。

•方略管理与公布；

方略包括自动防护方略、手动扫描H勺方略、手动扫描日勺方略、病毒、木

马防护方略、恶意脚本防护方略、电子邮件防护方略（包括ouilook、lotus

以及internet邮件）、广告软件防护方略、前瞻性威胁防护方略、防火墙

方略、入侵防护方略、硬件保护方略、软件保护方略、升级方略、主机

完整性方略等

•安全内容更新下发

安全内容更新包括病毒定义、防火墙规则、入侵防护定义、积极威胁防

护规则等

•日志搜集和报表展现

可以生成日报/周报/月报，汇报种类包括：风险报表（以服务器组、父服

务器、客户端组、计算机、IP、顾客名为条件识别感染源、目前环境下

高风险列表、按类型划分的安全风险）、计算机状态报表（内容定义分发、

产品版本列表、未接受管理客户端列表）、扫描状态报表、审计报表、软

件和硬件控制报表、网络威胁防护报表、系统报表、安全遵从性报表。

・强制服务器管理和方略下发

对于互换机强制服务器和网关强制设备进行统一打勺管理和方略定义。

•终端代理安装包的维护和升级；

□终端代理（包括终端保护代理和准入控制代理）

终端安全管理系统需要在所有的终端上布署安全代理软件，安全代理是整个

企业网络安全方略的执行者，它安装在网络中的每一台终端计算机上。安全代理

实现端点保护和准入控制功能。

端点保护功能包括：

•防病毒和反间谍软件一提供病毒防护、间谍软件防护、rootkit

防护。

•网络威胁防护一提供基于规则的I防火墙引擎和一般漏洞运用

严禁功能（GEB）,该功能可以在恶意软件进入系统前将其制止在外。

•积极威胁防护一针对不可见口勺威胁♦(即零日威胁)提供防护。

包括不依赖特性H勺积极威胁扫描。

端点准入控制功能包括：

・主机完整性检查和自动修复：检查终端计算机上防火墙、防病毒

软件、反间谍软件、补丁程序、ServicePack或其他必需应用程序与否符

合规定，详细内容可以是对防病毒程序口勺安装，windows补丁安装，客

户端启用强口令方略，关闭有威胁H勺服务与端口。由于主机完整性检查

支持对终端H勺注册表检查与设置，进程管理，文献检查，下载与启动程

序等，因此可通过设置自定义日勺方略来满足儿乎所有对客户端的安全方

略与管理规定。

・强制：当终端的安全设置不能满足企业基准安全方略的需求，可

以限制终端H勺网络访问，如只能访问修复服务器进行自动修复操作。

以上两部分功能由一种代理软件完毕，接受方略管理服务器的统一管理。

□强制认证服务器

对于那些未安装终端代理的终端或者私自卸载代理软件的终端，必需通过网

络强制的方式进行控制。这需要布署有关的强制服务器(LANEnforcer)<,

赛门铁克LANEnforcer802.IX是带外802.IXRADIUS代理处理方案，它

与支持802.IX原则的所有重要互换供应商协同T作。几乎所有有线以太网和无

线以太网互换机制造商都支持IEEE802.1x准入控制协议。LANEnforcer使用

该链接级协议评估端点遵从性，提供自动问题修复并容许遵从系统进入企业网

络。在实行期间，端点上的赛门铁克代理使用802.lx将遵从信息传送到网络互

换机上，然后将此信息中继到LANEntbrcer。假如端点不遵从方略，LANEnforcer

会将其放入隔离网络，在此对其进行修复，而不会影响任何遵从端点。Symantec

NetworkAccessControl11补救端点并将其转换到遵从状态后，802.1x协议将试

图对顾客重新进行身份验证，并为其授予网络访问权限。

LANEnft）rcer可以参与既有AAA身份管理架构以便对顾客和端点进行身

份验证，对于只规定进行端点遵从验证H勺环境，也可以充当独立的RADIUS处

理方案（也称为透明模式）。在透明模式下，管理员只需将互换机配置为使用LAN

Enforcer作为RADIUS服务器，就能让设备根据遵从所定义方略口勺状况对端点

进行身份验证。在透明模式下运行LANEnforcer无需额外基础架构，并且是一

种实行基于VLAN互换的安全网络准入控制处理方案的简朴措施。

主机完整性规则状态

防病W软件已启用0

•户0进行HIan：

交换桢离她累LANEnforcer

S».并通过EAP打开交换机上的■口防病W软件已更耨S

转发到检查策略并

发送量般、避从和

检查遵从状专HI失败：个人防火墙巳启用0

费路效据LANEnforcer

ServicePack已变嫌：/

补丁程序已更新0

3.2系统管理架构设计

系统架构的设计取决与管理方式、终端数量及分布、网络带宽等条件。推荐

终端安全管理平台采用“统一控制，二级管理”架构，这样的架构与既有行政管

理模式相匹配一一益于提高管理效率，同步又能体现“统一规划，分级集中管

理”的思想，让各地市分担省企业的运行维护承担。

3.2.1两级管理体系

终端接入控制平台按照两级架构设计，总部一省企业如下图:

在总部设置全国范围的终端接入控制平台中心，制定并卜.发统一H勺全网管理

方略。这些方略重要以方略模版库的形式提供。这些方略通过同步与复制的机制,

在一二级服务器间保持一致。二级管理平台上方略的变更也都会同步回一级控制

平台，在一级管理平台上可以预览任何一种二级甚至三级服务器上H勺方略应用状

况。

3.2.2二级VS两级以上的管理

在4.2.1节中，我们设计的I是一种二级管理体系。通过复制关系实现上下级

之间的方略同步。根据需要，我们可以实现二级以上的管理关系。例如，国家电

网在总部实现一级管理平台，在各省中心实现二级管理平台，在一种大的地市实

现三级管理架构，如下图所示：

理论上SEP11的管理架构层次是无限多，不过在实际布署中，我们推荐国

家电网的SEP架构设计控制在三层如下。其一可以减少管理上的复杂度，包括

架构的设计，人员的调配设置，权限口勺分级下发设计；此外也防止了更多的硬件

成本支出。

323方略的同步与复制

复制就是不一样地点或站点间的I服务器系统通过尤其拷贝来共享数据的过

程。终端接入控制平台的方略同步复制在逻辑上和微软域方略的同步复制类似，

它并非简朴的数据库间复制关系，它内部包具有周全的防止方略冲突H勺处理。通

过方略复制与同步，不一样地点的顾客都工作在当地的副本之上，然后同步他们

之间的变更。在终端接入控制平台上，方略复制还可以将一种管理服务器上口勺变

更同步到另一种数据库上，实现冗余备份。通过方略复制，终端接入控制平台可

以支持多级管理，以及无限H勺终端数量扩展能力，从而满足国家电网终端节点规

模不停扩大的需求。

“统一控制''体目前通过一种统一控制台管理所有服务的功能，省中心管理员

可通过整体措施来管理端点安全。

^1OJ2£

5fii!l£fti£»

介6么户端

TempccarySP«**irfaas安奘stn色

通市1

a?e缎*》？》

3一般用户

PAX<a-U«r

TfrXM

J3♦终端

□

葩他

ite

迫市3

AiH4

□MIW5

茨，•urn

更用7

龄市8■a

葩布9❷

2

守公的入便访夕

自tG

工

新L2x皿a・或辛

-主N系qd的套氽•日时龄E府不4：mn海4n

发育市。分配总政秋或.

♦停定子口X的发R

-元■女K承

-“定f板理的条❷：妁*4-

—J*的乐a上箝同atxttasq俘算,

@新物火修版专3”.

♦天的更衣?乐m下

说明时盾曾现员

巳更改攵也及无关•)簸SW总五.2007把10月15日T牛02=16分14秒Mno

能月日上午分如

更改方点用卷序S发*胶*左。〔第1t口毒传#)fe-flttvkH]2007101511K394oOnn

更改力应用,开，咬名及翻手◎【第止拿本件捌叔子1无涛人修律次j2007r10/9150上午"H39分36"actnn

“分级管理”重要体目前地市管理平台根据省中心口勺权限设置也可以自主在

管辖范围内进行管理方略的扩展和定制。实现方式如下：

在对不一样地市顾客顾客进行分组，并对不一样的地市组制定不一样日勺安全

方略。通过系统内置口勺继承体系，不一样的于组可以从司一父组中继承相似的安

全方略，从而提高方略制定的便利性。

同步，可认为各地市管理员分派合适的权限，如与否容许地市管理员修改继

承的方略，限制其只可以查看当地市H勺汇报，仅能管理当地市州的客户端等细致

的权限。如下图所示:

碇定取宿於助

3.2.4服务器的负载均衡

SEP11/SNAC11可以自行实现负载均衡和劫难恢复设置，无需再另行添置有

关软硬件设置。

SEP11的负载均衡建立在既有体系构造之上，它提供了一种廉价有效的措施

扩展服务器带宽和增长吞吐量，加强网络数据处理能力，提高网络的灵活性和可

用性。它重要完毕如下任务：处理网络拥塞问题，服务就近提供，实现地理位置

无关性；为顾客提供更好的）访问质量；提高服务器响应速度；提高服务器及其

他资源的运用效率：防止门网络关键部位出现单点失效。

SEP11可认为每一种地区/组织构造/组的顾客创立不一样口勺服务器链接列

表，当客户端接受到最新H勺服务器列表方略后，它会从列表中通过随机算法选择

其中之一的I服务器进行连接，假如连接不上，会继续通过随机算法选择其他服务

器列别当中的一种进行连接，直至连接到某一种服务器为止，如下图所示:

此外，SEP11还可以定制不一样的服务器优先级，即只有自己的服务器列

表第一优先级中所有的服务器所有连接不上时，自动寻找优先级为二级的服务器

列表，如卜•图所示:

总部分支机构（北京…）

325客户端的漫游

对于国家电网这个大型企业来说，员工日勺流动性也是非常大。假如员工在离

开其所在地出差到其他分支机构时，假如SEP11客户端仍然去连接其原有口勺服

务器，在网络带宽容许的状况下是不会有太大问题是；不过假如分支构造较小，

又或者网络连接状况不甚理想时，和服务相的连接这个问题就必须谨慎考虑，否

则，或者客户端无法连接其管理其的服务器，或者占用大量广域网的网络带宽，

给业务系统使用网络带来不必要的影响。

SEP11充足考虑到了大型企业的员工在出差漫游到外地时日勺系统设置，以便

客户端就近连接到当地的服务器组，不仅大大提高了连接速度，也防止和业务系

统抢占宝贵的广域网带宽。

措施之一是采用DNS的漫游；措施二是自动处所切换功能。

像国家电网这样的大型企业不仅在全国均有自己H勺分支机构，网络建设更是

走在其他全国的前列。全国建设了自己代I独立的Intranet,此外，各个大区也建

立了自己的IDNS服务器和DHCP服务器，客户端可以就近解析网络域名。SEPU

系统在建立之初，可以在全国范围内使用统一的域名，例如sepmsgcc,

随即在各地市时DNS服务器上绑定域名和对应的当地的SEPM服务器IP地址，

例如，总部和北京地区是共用同一台DNS服务器，同步总部和北京地区的SEPM

服务器有三台（424节简介的侦载均衡），IP地班分别是、、

,管理员可以在当地日勺DNS服务器上设置sepm.sgcc对应日勺IP地

址就是、、。当顾客电脑启动后会首先接受当地DHCP

服务器分派的IP地址、网关以及当地H勺DNS服务器IP地址。随即当SEP11客

户端试图连接SEPM服务器时，这台客户端会首先向当地DNS服务器发起解析

sepmsgcc域名祈求，由DNS服务器随机分派IP地址给SEP11客户端。

这样，不管顾客与否是总部的I顾客，只要终端上口勺DNS服务器指向口勺是当地

SEPM服务器，就能顺利的实现客户端H勺漫游。

同样道理，各地市日勺DNS服务器也分别将s叩msgcc这个域名解析到

当地的SEPM服务器的JIP地址。当总部或其他地市的电脑漫游到当地市时，就

能通过当地市的DNS服务器顺利连接到当地H勺SEPM服务器。

措施二是采用SEP终端安全管理系统口勺自动处所切换功能。强大口勺SEP11

终端安全管理系统能根据管理员的实际需要，在如下条件中任意选择一种或者多

种；条件可以是“和”，也可以是“或”，构成一种判断顾客目前所处环境的判断。

条件包括如下：

IP范围（包括单个1P地址、子网地址、IP地址段、1P地址范围等）

DNS服务器IP地址

DHCP服务器IP地址

客户端可以解析主机名

客户端可以连接到管理服务器（可以连，或者是无法连接）

网络连接类型（包括

■任何网络

■拨号网络

■以太网

■无线

CheckPointVPN-1

CiscoVPN

MicrosoftPPTPVPN

JuniperNetScreenVPN

NortelContivityVPN

SafeNetSofiRemoteVPN

AvcntailSSLVPN

JuniperSSLVPN)

注册表键值

——50口勺地tt,同步通过以太网连接，DNS服务器H勺IP地址是

10.1.254,则认为其漫游到了总部地址。这样，任何一种客户端假如满足上诉条

件的组合，即可认为其处在总部地区，随即分派总部地区的SEPM服务器与其

连接。

3.2.6容灾与灾备系统

容灾和灾备系统的)设计对任何一种系统都是极其重要，尤其是对一种覆盖全

网的I安全管理系统。SEP11充足考虑到了顾客的需求并琨供了多种措施供管理员

选择。

容灾系统设计分为两部分，一部分是对于SEPM服务器H勺容灾设计，此外

一种是SEPM的后台数据库服务器的容灾设计。

SEPM服务器的容灾设计在4.2.4节已经详细描述，即客户端可以随机连接

任何一种SEPM服务器组中的SEPM,任意一-种SEPM服务器宕机都不会影响客

户端和服务器的I通讯。同步，SEPM服务器优先级的设置可以保证在极端状况下

虽然同一种地区所有的SEPM所有宕机，此地区的客户端也可以连接到其他地

区的SEPM服务器。如下图所示：

冷冷力

上图是同一地区同一优先级的SEPM冗余设计。

剧

盘

总部分支机构（北京.•・）

上图左部分是优先级为1的当地SEPM服务器群，右边的是优先级为2的

异地SEPM服务器群。

在SEPM服务器实现冗余设计后，数据库的冗余设计也需要得到管理员H勺

同样重视。SEP终端安全管理系统所有口勺数据均储存在后台的数据库上，包括客

户端的I分组、方略的定义、病毒库，以及定期产生的日志及报表等等。因此，维

护数据库的冗余以及灾备系统设置及就显得更为重要了

数据库的冗余设计也分为两种，一种是单站点口勺设置，此外一种是对于多站

点的设计。对于单站点来说，重要的是怎样保护其唯一一种数据库。

对于这种状况，Symantec企业推荐使用DatabaseCluster来实现数据库H勺冗

余设计，如VCS或者是MCS,如下图所示:

Cluster

对多站点来说，状况就会好诸多。我们在4.2.1节谈到了多级管理体系，其

中就有一种叫做“站点”的概念。站点在SEP11管理系统中指口勺是一种数据库

以及连接它的SEPM服务器组。管理员可以根据实际需要，在不一样站点H勺数

据库服务器之间配置需要同步的内容，如下图所示:

在上图中，管理员设置两个分支机构的“方略/组信息”完全和总部同步，

也就是说总部、站点1、站点2个具有一种完全同样的“方略/组信息”数据库。

同步，管理员设置两个分支机构的“内容复制”完全和总部同步。此时，总部和

两个分支机构/、JW'JSEPM服务器只要任意一种向SymantecLiveupdate获取了最

新的病毒库、积极威胁防护、主机IPS特性库后，其他口勺服务器勿需上网更新即

可获取同样最新的病毒库、积极威胁防护、主机IPS