Symantec 年会内部稿件_5-网络准入控制的顺利实施.pdf

网络准入控制揭密- 分阶段部署 徐亮, 高级系统工程师 日程 1. 信息安全图景– NAC可以帮助你解决的问题 2. 网络准入控制基础 3. 不同类型的网络准入控制– 正面与反面 4. 网络准入控制实现要面临的挑战 5. 分阶段的NAC – 一步一个脚印 企业网络不断对外暴露 访客 广域网与外延网 Internet信息亭和 共享的计算机 SSL VPN 顾问 IPsec VPN 在家工作的员工 Web应用 无线网络 随着威胁的变化，技术也必需相应变化 • 从黑客和间谍… 到小偷 嘈杂并可见 寂静 不加选择 高度地目标性 很少, 确定的变种 大量的变种 从中断正常操作发展到损害信誉 一切都从终端开始 … • 不安全以及不遵从安全规定的终端危 及网络和数据 • 没有连接到受NAC保护的网络时，终 端本身也处于风险之中 • NAC的策略是终端策略的一部分 – NAC正在向终端上收敛(Forrester) – 网络依然是强制和隔离的重要工具 • 有效的修复从终端上发起 • 以终端为中心使得使用基于场所的策 略成为可能 – 更有弹性和有效地检查和修复，而不 管终端在那里 我如何确保网络中所有节点都受到防护并遵从策略? 对终端授权而不只是对用户授权 • 通过创造一个封闭系统来控制谁可以访问你的网络 • 在终端连接到网络之前确保其具有必需的补丁、配置和特征文件 • 执行自动化的终端修复 – 在取得访问权之前强制策略的执行 防病毒软件已经安装并更新? 授权的用户 + 授权的终端 防火墙已经安装并运行? 必需的补丁和服务包? 受保护的网络 必需的配置? Symantec端点策略遵从流程 第一步 终端连接到网络 配置已经确定 第四步 监控终端以确保