WHITE PAPER: ENDPOINT SECURITYeval.symantec.com/mktginfo/downloads/WP-00164-TW_SNAC.pdf整個IT 基礎架構處於危險之中。當遠端與行動使用者在網咖、飯店房間，或其他更易招致攻擊

WH

IT

E P

AP

ER

: E

ND

PO

IN

T S

EC

UR

IT

Y

Symantec™ Network

Access Control

完善的網路存取控制

目錄

摘要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4

維護一個安全且受管理的狀態 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5

Symantec Network Access Control 架構 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6

賽門鐵克的端點評估技術能力：彈性且完善 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8

永久持續性的代理程式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9

暫時性可終結的代理程式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .10

遠端弱點漏洞掃描 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12

Symantec Enforcers：彈性化的強制執行選項，可消除 IT 與業務中斷 . . . . . . . . . . . . . . . . . . .12

Gateway Enforcer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14

DHCP Enforcer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15

LAN Enforcer-802.1x . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16

賽門鐵克政策管理：完善且整合的端點安全管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18

單一管理主控台 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19

整合的代理程式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19

消除網路存取控制障礙 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19

端點對端點的端點法規遵循政策遵循 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .20

端點安全

Symantec Network Access Control

完善的網路存取控制

Symantec Network Access Control：完善的網路存取控制

4

摘要

企業組織個別端點的受管理狀態，在其 IT 基礎架構及相關業務運作的整體安全性與可用性上扮

演一個重要的角色。新一波的複雜犯罪程式不僅鎖定特定公司，而且鎖定桌上型電腦與筆記型電

腦，以作為進入這些企業之業務運作與具有重要價值之資源的後門入口。為保護其自身免於這些

鎖定威脅的攻擊，企業組織必須具有一個可確保每個端點持續遵循企業安全與政策設定管理的方

法。無法確保端點政策法規遵循政策遵循將會造成企業組織易於受到各種威脅的攻擊，包括在整

個企業中散佈惡意程式碼、中斷重要的業務服務、增加 IT 復原與管理成本、洩漏機密資訊、損

害企業品牌，以及因未能遵守法規而受到的處罰。

Symantec Network Access Control 可使企業組織在允許使用者端點 (此包括那些駐點的內部的員

工、遠端的員工、訪客、約聘人員，以及臨時工作人員) 存取企業網路上的資源之前，確保正常

設定與安全狀態。其可搜尋並評估端點法規遵循政策遵循狀態、預先佈建適切的網路存取、並提

供矯正能力，以確保端點安全政策與標準相符合。Symantec Network Access Control 不受網路作

業系統限制，且易於與任何網路基礎架構進行整合，可使其實作更為完整、簡易、快速，且較競

爭的解決方案更符合成本效益。

利用 Symantec Network Access Control 的端點法規遵循政策遵循確認與強制執行能力，企業組

織可享有：

• 減少惡意程式碼的散佈，例如病毒、病蟲、間諜程式或其它各類形式的犯罪程式

• 對存取企業網路之未受管理與受管理的端點增加控制，因而降低風險狀況

• 提供使用者更高的網路可用性以及降低服務中斷的情形

• 透過幾乎是即時收集端點政策遵循的資料，整理出可驗證的組織法規遵循政策遵循之完整資訊

• 以企業級與集中式的管理架構將整體擁有成本降到最低

• 確認所投資的端點安全軟硬體設備 (例如，防毒軟體與用戶端防火牆技術) 適當地運作


5

維護一個安全且受管理的狀態

IT 管理員花了很大的功夫，確保有根據企業政策 (包括所有適用的安全更新，核准的應用程式

集、防毒軟體、防火牆設定，與其他組態設定值)，對新部署的桌上型電腦與筆記型電腦進行設

定。可惜的事可惜的是，一旦這些機器開始使用生產，管理員通常會失去對這些端點組態的控

制。使用者安裝新的軟體、封鎖修補程式更新、停用防火牆或進行其他的變更，都會使裝置甚至

整個 IT 基礎架構處於危險之中。當遠端與行動使用者在網咖、飯店房間，或其他更易招致攻擊

或感染的不安全地點使用未遵循法規的筆記型電腦時，甚至會導致更嚴重的企業機密資訊外更大

的洩露狀態。

某些企業組織會在預先決定的排程上，使用可以預先排程的修補程式管理或軟體配送解決方案，

嘗試終究可將未遵循法規的電腦轉變回其正常狀態，但是，一旦電腦受到感染之後又連接至網

路，則這些解決方案將無用武之地，且為時已晚。他們也證明這對具管理員權限且認為其可豁免

於企業政策的使用者是無效的，他們會阻止結果，會封鎖將其電腦回復至正常組態狀態的嘗試。

網路存取控制解決方案可使企業組織避免因此行為而使企業 IT 基礎架構受到感染。在任何電腦

可存取實際執行網路及其資源之前，該電腦必須完全遵循已建立之企業安全政策的法規，例如更

新適當的正確版本層次的安全修正程式、啟動防毒軟體，與更新病毒定義。

但是，儘管其具有避免未遵循法規之端點感染企業網路的能力，網路存取控制解決方案仍因各種

原因，並未受到某些企業組織的青睞，這些原因包括許多解決方案：

• 無法提供有效的強制執行與矯正

• 增加必須安裝在端點上之管理代理程式的數量

• 對 IT 基礎架構而言過於複雜，且過多中斷

• 缺乏符合企業組織獨特需求的彈性，例如，適當的安頓訪客與臨時工作人員

• 無法正常的整合整體端點安全管理基礎架構

Symantec Network Access Control 會以端點對端點解決方案來處理所有的考量，其可安全地控制

企業網路存取、執行端點安全政策，並可輕易整合現有的網路基礎架構。


Symantec Network Access Control 架構

Symantec Network Access Control 的架構由三個主要元件組成：

• 端點安全評估技術程式能力可評估企圖存取網路的端點狀態 (檢查其是否遵循或未遵循政策)

• 強制執行程式可作為允許或拒絕存取網路的通道 Enforcer 可作為允許或拒絕存取網路的通道/

門戶

• 政策管理可透過中央管理主控台建立、編輯，與管理網路存取控制規則或政策

圖 1：Symantec Network Access Control 架構

端點安全評估程式強制執行評估技術能力會報告至並從建立、編輯與管理政策之 Symantec

Endpoint Protection Manager 接收其組態政策資訊。若賽門鐵克端點安全評估強制執行評程式估

技術能力判定該端點並未遵循政策，其將要求 Symantec Enforcer 封鎖端點對網路的存取。

根據 IT 管理員設定的政策 (並根據已部署之強制執行選項的類型)，賽門鐵克強制執行技術可自

動將未遵循法規的端點改為遵循法規。這可由執行矯正工作 (例如，呼叫本機的 patch manager

來安裝最新的修補程式，或使用安裝在端點上的其他工具來進行其他工作) 來完成。

強制執行程式 Enforcers

政策管理

端點安全評估技術程式能力

6


Symantec Network Access Control 可驗證並執行所有網路類型上之所有端點類型的政策遵循。這

個驗證與強制執行程序會在端點連線至網路之前就開始進行，在連線期間也持續運作，並以政策

作為所有評估與動作的基礎。此網路存取控制程序會執行圖 2 中說明的步驟。

圖 2：網路存取控制程序

1.搜尋與評估端點。在端點連線到網路後、存取資源之前，先搜尋端點。透過與現有的網路基

礎架構緊密結合，加上使用智慧型的代理程式軟體，網路管理員可確保連線到網路的新裝置都

已經根據最基本的 IT 政策需求加以評估。

2. 預先分區的佈建網路存取。當系統經過評估並確認遵循 IT 政策之後，才會被授權完整的網路

存取。如果系統沒有遵循政策，或是無法符合組織最低的安全需求，將會被隔離限制或甚至無

法存取網路。

步驟 1

端點連接至網路，

已決定組態。

賽門鐵克

步驟 3

根據政策檢查的結果，

採取行動。

步驟 4

監控視端點以確保不間斷的

法規遵循政策遵循。

步驟 2

檢查勾選政策的

組態遵循。

監控

搜尋

強制執行

矯正

7


3. 矯正沒有遵循政策的端點。對沒有遵循政策的端點執行自動矯正，可讓管理員快速地將它們

修補以遵循法規，隨後再各自修改網路存取。管理員可以選擇將矯正程序設為自動化作業，一

般使用者看到的是完全透明化的程序一般使用者看到的是完全背景化的程序，或是提供使用者

矯正資訊以讓他們進行手動矯正。

4. 主動監控法規遵循政策遵循狀況。遵守政策不得有任何的鬆懈怠惰。因此，Symantec

Network Access Control 會依據管理員設定的時段，主動地監控所有端點的法規遵循政策遵循

狀況。如果端點法規遵循政策遵循的狀態在任何時候變更，它的網路存取權限也就跟著變更。

賽門鐵克的端點評估技術能力：彈性且完善

網路存取控制可透過確認連線到網路的端點是否設定妥當以防範遭受線上攻擊，來保護網路免於

惡意程式碼與未知或未經授權端點的危害。網路存取控制通常會涉及防毒、防間諜程式，及已安

裝之修補程式的檢查。但是，在大多數的組織快速擴充之下的結果，所需要的網路存取控制能力

已遠超過這些初步部署典型的檢查條件。無論端點藏有什麼動機，程序都會先開始評估端點。由

於連接至網路的多種端點 (例如，「受管理的端點」或公司取得的端點，與「未受管理的端點」

或公司未取得的端點，例如使用其家用電腦的電信通勤族、可能使用自己的筆記型電腦的約聘人

員、臨時員工，及合作夥伴)，Symantec Network Access Control 提供三種不同的端點評估技術

能力，以判定端點法規遵循政策遵循的程度：

• 持續性的代理程式永久性的代理程式

• 暫時性可終結的代理程式

• 遠端弱點漏洞掃描

8


圖 3：端點評估技術能力

持續性的代理程式永久性的代理程式

企業擁有的系統與其他受管理的系統，都是使用一種由管理員安裝的代理程式來判定法規遵循政

策遵循的狀態。代理程式會檢查系統是否有防毒軟體、防間諜程式、已安裝的修補程式，也會檢

查複雜的系統狀態特性，例如註冊機碼登錄項目、執行中的程序以及檔案屬性。持續性的代理程

式除了提供評估選項最彈性的矯正與修補功能永久性的代理程式除了提供評估選項最彈性的矯正

與修補功能，同時也能提供最深入、準確且可靠的系統法規遵循政策遵循資訊。

賽門鐵克認為網路存取控制的成功之道亦始於進行永久持續性代理程式型解決方案的部署。由於

桌上型電腦作業系統運作的方式，為有效檢查並矯正某些軟體是否正確安裝與執行，且端點電腦

是否設定正確或處於可接受的狀態，網路存取控制解決方案必須可以檢查端點的程序表與註冊機

碼登錄，或甚至可以修改某些項目。達成此目的的最佳方法是透過一個具有管理員權限且在初始

部署時已安裝在端點上的代理程式。完全不是代理程式型的解決方案無法提供管理員足夠的權

限，適度或正確地檢查端點是否完全符合法規遵循政策遵循。同時，不是代理程式型的解決方案

將極有可能沒有足夠的權限可對端點進行必要的修改，使其符合安全政策法規。

建議使用

遠端弱點

漏洞掃描

暫時性可終結的

代理程式

持續性的

代理程式

最佳

較佳

佳

供受管理的

端點使用

供未受管理的

端點使用

供未受管理與

無法管理的

端點使用(例如，UNIX 裝置等)

評估能力

9


Symantec Network Access Control 提供一種永久持續性且由管理員安裝之強制執行代理程式的選

項，來判定端點的法規遵循政策遵循狀態。代理程式可檢查系統是否有防毒軟體、防間諜程式、

已安裝的修補程式，以及複雜的系統狀態特性，包括登錄項目、執行中的程序以及檔案屬性。這

個持續性的代理程式選項提供所需之最深入、準確且可靠的系統法規遵循政策遵循資訊，以確保

企業政策的遵循。

圖 4：持續性的代理程式

暫時性可終結的代理程式

網路存取控制領域內最大的挑戰之一是適度的處理訪客使用者的網路存取權限。若無法自動對臨

時工作人員與訪客預先佈建網路存取若無法自動對臨時工作人員與訪客預先區分網路存取，生產

力將會受到顯著且負面的影響。若約聘人員或臨時員工出現在工作崗位上，但因網路存取須手動

區分網路權限預先佈建而有數天或數週無法存取網路，將會浪費時間與金錢。若自動化網路存取

控制解決方案不必要地封鎖這些使用者的存取權，則也同樣會浪費金錢與時間。

Symantec Network

Access Control

持續性的代理程式

現場或遠端筆記型電腦

隔離所

受防護的

網路

Symantec Endpoint

Protection Manager

矯正

資源

政策法規遵循通過：

套用「辦公室」防火牆政策

主機完整性規則

防毒開啟

已更新病防毒定義

個人防火牆開啟

已更新 Service Pack

已更新修正程式

政策法規遵循失敗：

套用「隔離所」防火牆政策

網路存取控制

代理程式執行自我法規

遵循政策遵循

的檢查

用戶端

連接至網路並

驗證政策

狀態

10


有效的網路存取控制解決方案必須具有驗證新的或暫時的端點不會對網路造成威脅，以及判定應

對端點授予的網路存取層級的能力與彈性以及判定應對端點授予的網路存取權限的能力與彈性。

評估端點最準確的方式就是將一個整天運作的網路存取控制代理程式安裝至端點上，但將一個整

天運作的代理程式部署至一個不屬於組織的端點上通常並不是組織或訪客最感興趣的事項。

為了處理這個問題，Symantec Network Access Control 可提供暫時且可自動移除終結的代理程

式。此可用於目前未受管理員管理的非企業裝置或系統。這些 Java™型代理程式可視需要提供

Base 的代理程式可視需要提供，無需管理權限便能評估端點的法規遵循政策遵循狀態。在評估

作業結束時，這些代理程式便會自動將自己從系統裡移除。例如，當一個訪客端點試著連接至網

路時，網路型強制執行解決方案可以辨識其不是一個已知的端點裝置，並將其重新導向網頁伺服

器，在此可下載可終結的隨選代理程式在此可下載暫時的隨選代理程式。代理程式將會根據管理

員已對訪客定義的政策，執行適當的法規遵循政策遵循檢查。若有遵循，可授權端點存取實際執

行網路。網路階段作業結束時，該代理程式會自動地從端點移除。

除了可對暫時端點使用重新導向功能外，重新導向亦可用於屬於新員工的端點。於此案例中，將

端點重新導向至網頁伺服器以下載代理程式時，可能會有一個供訪客使用的選項，以及供員工使

用的另一個選項。若使用者選取員工選項，網路型強制執行程式可判斷端點是否為屬於組織的資

產。若其為組織的一個端點，則可部署一個整天運作且持續的網路存取控制代理程式而非用完即

丟的代理程式。

藉由提供多個選項以驗證端點狀態與組態的政策遵循，Symantec Network Access Control 可確保

嘗試存取組織之網路的員工與訪客符合其最低的安全標準與要求。

11


遠端漏洞掃描遠端弱點掃描

當公司並無安裝持續永久性代理程式的選項時，其可使用的之另一個互補的端點評估方法是採用

遠端弱點漏洞掃描。根據 Symantec Network Access Control Scanner 的遠端非憑證式不需要管理

者帳號的弱點漏洞掃描結果，遠端弱點漏洞掃描會將法規遵循政策遵循的狀態資訊提供給

Symantec Network Access Control 強制執行基礎架構。遠端掃描針對未能安裝代理程式的端點，

加強了還另外有收集系統資訊的功能，因為目前尚未有可用的代理程式技術。

視連接至網路的不同端點類型而定，公司可以同時選擇採用這三種端點評估技術能力，以達到完

整的涵蓋。

Symantec Enforcers：彈性化的強制執行選項，可消除 IT 與業務中斷

每個組織的網路環境在其演進過程中的情況都不盡相同，因此，無法以單一的強制執行方法對網

路上的所有點進行有效的控制。網路存取控制解決方案就必須具有足夠的彈性，可以在不增加管

裡與維護成本負擔上的條件下，輕易地把多種強制執行的方法整合到現有的環境中。Symantec

Network Access Control 可讓組織對網路內的不同設備或系統選取最適當的強制執行方法，而不

需要增加操作複雜度或成本。

賽門鐵克的網路型強制執行方法可以應用裝置元件的方式取得，並包括 LAN、DHCP 與閘道方

法，而 DHCP 方法亦可以軟體外掛程式的方式取得。

賽門鐵克也同時提供簡易的主機型強制執行方法，稱為自我強制執行。這個方法使用賽門鐵克桌

上型防火牆來允許或拒絕存取。防火牆已成為 Symantec Endpoint Protection 產品的一部份。

使用自我強制執行的優勢為其不需要部署網路型強制執行元件來管轄網路存取。其反而是它是利

使用賽門鐵克桌上型防火牆來控管管轄網路存取，提供最簡易與最快速的強制執行部署選項。若

組織已部署了 Symantec Endpoint Protection 產品，甚至可以更容易進行實作。但是，自我強制

執行選項僅可用於「受管理」端點。它無法處理連接至網路的未受管理端點 (例如訪客或臨時工

作人員) 的問題。Symantec Network Access Control 透過暫時性可終結的代理程式與遠端漏洞弱

點掃描，處理與未受管理端點有關的問題。

12


圖 5：賽門鐵克強制執行選項類別

許多組織不願意部署網路存取控制解決方案，因為許多產品原本在設計上並不完善即有缺失。通

常，它們需要昂貴且耗費大量時間的網路基礎架構升級與變更。許多解決方案太過複雜且難以部

署。有些解決方案需要在部署端點代理程式之際，同步升級網路基礎架構。代理程式或網路強制

執行上進行部署時發生的問題，會造成一個非常難以進行疑難排解與解決之非運作的解決方案，

且其亦會造成使用者遭到不當的封鎖，而無法存取網路。

賽門鐵克提供各種使用簡單、階段式方法來部署的強制執行選項，以部署有效且完善的網路存取

控制，協助消除這些缺失。網路存取控制可利用賽門鐵克主機型強制執行選項輕鬆地進行部署。

此類型的部署不需要變更基礎架構，且不需要耗時的部署作業。已使用 Symantec Endpoint

Protection 解決方案的組織已經部署了代理程式，只需要啟用網路存取控制便可使用此功能。主

機型強制執行選項是在受管理端點上進行網路存取控制最快速且最簡單的方法。

Symantec Gateway Enforcer

賽門鐵克自我強制執行

Symantec DCHP Enforcer

Symantec LAN Enforcer-802.1x

主機型強制執行方法

網路型強制執行方法

13


組織可依其自己的步調建置實作其他賽門鐵克所提供的網路型強制執行選項，以補強主機型強制

執行選項。網路型強制執行程式是控制連接至網路之未受管理端點的必要元件。這些其他的主要

網路型強制執行產品包括：

• Gateway Enforcer–In-line 的方式在網路的節點在網路高流量點的內嵌強制執行裝置

• DHCP Enforcer–DHCP 型方法，可供 LAN 與無線網路在任何基礎架構上使用

• LAN Enforcer–802.1x-LAN 與無線網路的頻外標準型方法

就如網路存取控制代理程式一樣，Symantec Enforcer 產品不受網路作業系統限制，可輕易地與

任何網路基礎架構進行整合。這些解決方案為安全性中立廠商，表示其將與其他佔領導地位的防

毒軟體、防火牆，及主機入侵預防解決方案一起運作。既然這些解決方案本身並無網路或基礎架

構依存，組織可對其實作採用階段式方法，自行斟酌並依其自己的時間表進行部署。

此外，為了更進一步簡化管理與法規遵循政策遵循強制執行，強制執行程式全部透過 Symantec

Endpoint Protection Manager 進行集中管理，就如 Symantec Network Access Control 端點評估技

術能力一樣。

Gateway Enforcer

賽門鐵克的 Gateway Enforcer 是在網路高流量點節點部署的一種內嵌強制執行硬體裝置，可使

其根據遵循已建立之企業政策的端點，控制並封鎖遠端端點的流量。無論節高流量點是在周邊網

路的連線點，例如 WAN 連結或 VPN，或是在存取重要之企業系統的內部區段裡，Gateway

Enforcer 都能有效率地提供對資源受控管的存取，並提供矯正服務，以將未遵循法規之端點改為

遵循法規。

Gateway Enforcer 的典型部署案例可能是在遠端分公司與企業總部之間的 IPSec VPN、WAN 連線

之後，在無線網路上、會議室網路、在重要伺服器之前、或在小型資料中心之前。

14


圖 6：閘道強制執行

DHCP Enforcer

賽門鐵克的 DHCP Enforcer 已是部署以 in-line 的方式，部署於內嵌於端點與組織現有的 DHCP

服務基礎架構之間。若端點並未執行網路存取控制代理程式、未遵循法規，或其法規遵循政策遵

循狀態不明，則 DHCP Enforcer 會發出一個有限制的 DHCP 租約指派。這個有限制的租約指派是

一個有限制性的對網路提供降低存取之不選擇路徑或受隔離的 IP 位址。

DHCP Enforcer 亦可與端點代理程式進行通訊，進行必要的矯正動作，以使端點符合政策遵循。

一旦符合遵循，端點將發佈一個 DHCP 版本釋放及並更新的要求。只要 DHCP Enforcer 收到更

新要求，並判斷端點符合遵循，則會在一般的實際執行網路上授予端點一個 DHCP 租約，允許對

網路的完整存取。

既然 DHCP Enforcer 可作為內嵌 in-line 的 DHCP 代理伺服器，其相容於任何現有的 DHCP 基礎

架構，並可在任何現有的網路環境中運作而無須升級硬體或軟體。除了作為 DHCP Enforcer 硬體

裝置的替代品，賽門鐵克也提供一個可直接安裝在 Microsoft® DHCP 伺服器上的 DHCP Enforcer

plug-in 提供選擇使用外掛程式。Microsoft DHCP 伺服器建置實作可使 Microsoft DHCP 伺服器作

為強制執行點。

Symantec Network

Access Control

強制執行代理程式

遠端使用者 IPSec VPN Gateway Enforcer

隔離所

受防護的網路

Symantec Endpoint

Protection Manager

矯正資源

閘道強制執行選項

封鎖用戶端

將用戶端做 HTTP 重新導向，供用戶端使用

在用戶端顯示彈出式視窗

限制網路存取

有安裝代理程式顯現，

法規遵循政策

遵循通過：允許存取


防毒開啟

已更新防病毒定義


已更新Service Pack


強制執行程式驗證政策

並檢查法規遵循

遵循狀態

Gateway Enforcer

要求政策與法規遵循

遵循資料

用戶端

嘗試連接至

網路

狀態

15


LAN Enforcer-802.1x

賽門鐵克的 LAN Enforcer 是標準頻外的 802.1x RADIUS 代理伺服器解決方案，可與支援 802.1X

標準的所有主要交換器廠商產品搭配使用。幾乎所有有線與無線的乙太網路交換器製造商皆支援

IEEE 802.1x Admission Control Protocol。LAN Enforcer 使用此連結層級通訊協定來評估端點法規

遵循政策遵循，提供自動的問題矯正，並於企業網路上接納遵循政策法規的端點。

於強制執行期間，端點上的賽門鐵克代理程式會使用 802.1x 將法規遵循政策遵循資訊傳送至網

路交換器，網路交換器再將其轉送至 LAN Enforcer。若端點並未遵循政策，LAN Enforcer 會將其

至於隔離網路，端點可在此進行矯正而不會影響任何遵循政策法規的端點。一旦 Symantec

Network Access Control 矯正端點並使其遵循法規政策，802.1x 通訊協定將會試圖重新認證使用

者並授予網路存取權。

LAN Enforcer 可加入現有的 AAA 身份管理架構，認證使用者和端點；或是作為只要求端點法規

遵循政策遵循驗證 (亦稱為透通明模式) 之環境的獨立 RADIUS 解決方案。使用透通明模式，管理

員只要將交換器設定為使用 LAN Enforcer 作為 RADIUS 伺服器，讓硬體裝置根據遵循已定義的政

策對端點進行認證。使用透通明模式執行 LAN Enforcer 不需要其他的基礎架構，且是個用來實

作安全、VLAN 交換式網路存取控制解決方案的簡易方法。

16


圖 7：LAN (802.1x) 強制執行

網路存取控制工業界標準架構支援

Symantec Network Access Control 目前可獨立運作或與 Cisco® Network Admission Control 一起運

作。很快的，它將可與其他網路存取控制業界標準工業架構一起運作，包括 Microsoft Network

Access Protection 與「信任運算集團」(Trusted Computing Group) 的「信任網路連線」(Trusted

Network Connect) 標準。Microsoft 與 Cisco 兩者的技術是架構框架，其著重於建構可為多家廠商

使用的通訊協定與介面，以提供完善的網路存取控制解決方案。Trusted Computing Group 「信

任運算集團」是一個擁有超過 80 個 IT 產業公司，並發起「信任網路連線」標準的協會，其與

Microsoft 與 Cisco 所進行的意圖與架構相類似，但打算在任何類型的網路硬體基礎架構與任何

主機作業系統上進行運作。

所有這些不同的架構通常需要從多家不同廠商取得軟體或硬體，以建構一個完整的解決方案，這

往往會造成多個層次的部署複雜度。但是，Symantec Network Access Control 並不需要任何工業

架構技術的存在，就能提供端點對端點、有效且完善的網路存取控制。Symantec Network

Access Control 將仍會支援、強化，並緊密地與這些工業架構一起運作，讓企業可以佈署最符合

其需要的技術。

HI 通過：開啟交換器上的通訊埠

HI 失敗：指派至隔離所 VLAN

本機使用者

隔離所 VLAN

受防護的網路

Symantec Endpoint

Protection Manager

Symantec

LAN Enforcer

矯正資源

Symantec Network

Access Control

強制執行代理程式


防毒開啟

已更新病防毒定義


已更新Service Pack


LAN Enforcer

檢查政策並驗證法規遵循政策遵循狀態

交換器轉送資料

至 LAN Enforcer

用戶端透過EAP 連接並傳送登入、法規遵循遵循與政策資料

透通明模式狀態

17


賽門鐵克政策管理：完善且整合的端點安全管理

當組織必須處理逐漸成長的使用者人數 (包括內部駐點的員工、遠端的員工、短期員工、訪客、

約聘人員，及其他的臨時工作人員) 時，他們會逐漸受到試著進入網路之各種大量威脅的影響。

安全考量包括病毒、間諜程式、初始攻擊，及未知的攻擊程式，這些攻擊程式皆試著透過未遵循

已建立之企業安全政策的端點裝置所建立的入口，找出其進入企業網路的方法。

賽門鐵克認為真正的端點安全需要端點防護技術與端點法規遵循政策遵循技術的緊密結合。賽門

鐵克可使組織對端點安全採用更全面的方法，透過 Symantec Endpoint Protection (端點防護) 與

Symantec Network Access Control (端點法規遵循政策遵循) 的緊密整合來處理此威脅。這些產品

緊密的產生交互作用，提供一個完整且整合的多層次端點防護解決方案，其可使 IT 管理員成功

地達成網路存取、一般使用者生產力，與安全性之間的平衡，同時簡化端點安全性管理。

圖 8：端點安全 = 端點防護與端點法規遵循政策遵循的緊密結合

端點法規遵循

端點防護

Symantec

Endpoint

Security

Symantec

Network

Access

Control

整合的

代理程式

端點安全政策

防毒開啟

已更新防毒


已更新 Service Pack


狀態

鍵盤記錄/

身份竊取

未知攻擊病毒

病蟲間諜程式

帳號密碼帳號

密碼

密碼帳號

密碼

單一管理

主控台

18


單一管理主控台

此全面管理方法的關鍵在於 Symantec Endpoint Protection Manager 所提供的能力，以在所有端

點安全活動上進行集中建立、部署、管理與報告。管理員可從單一管理主控台設定政策，控制已

整合 Symantec Network Access Control 元件的所有層面，例如，除了 Symantec Endpoint

Protection 政策外，還有賽門鐵克評估技術與 Symantec Enforcers。政策管理員的企業級集中式

管理架構可進行擴充以符合最複雜的環境，對所有管理工作提供精細的控制，同時簡化並整合所

有的端點安全管理工作以降低整體擁有成本。

整合的代理程式

對於已部署 Symantec Endpoint Protection 產品的組織而言，網路存取控制持續性代理程式的功

能已顯示於代理程式上。換言之，不必再部署其他的代理程式以實作執行網路存取控制。整合至

Symantec Endpoint Protection 代理程式的網路存取控制功能可透過購買授權輕鬆啟用。將所有

這些安全功能整合為一個單一的代理程式降低了複雜度與系統資源，且在新增網路存取控制時，

不需要對用戶端進行變更。此外，這個單一整合的代理程式是透過 Symantec Endpoint

Protection Manager 進行管理。

消除網路存取控制障礙

藉由提供完整且整合的端點安全解決方案，賽門鐵克可協助消除障礙以利用網路存取控制的優勢：

• 提供有效的政策遵循強制執行與矯正

• 降低必須對單一代理程式電腦安裝安全管理代理程式的數量

• 在消除業務與 IT 基礎架構缺失的同時，簡化 IT 的複雜度

• 提供滿足企業組織之獨特網路存取控制執行實作需求的彈性，包括適當的安置頓訪客與臨時工

作人員

• 與組織的整體端點安全管理基礎架構緊密整合

19


為進一步協助組織利用 Symantec Network Access Control 的優勢，賽門鐵克提供多樣廣泛的諮

詢、技術訓練教育與支援服務，引導他們透過其部署與管理，使企業實現這項投資的最大價值。

「賽門鐵克技術支援服務」具有三種層級的防護，其設計是要符合小型企業以及大型企業的需

求。「賽門鐵克教育訓練」提供訓練課程組合，旨在協助使用者快速上手。「賽門鐵克諮詢顧問

服務」透過其「常駐服務」(「賽門鐵克顧問」會到現場與客戶的 IT 人員合作)，或「操作服務」

(整個端點安全功能可外包給安全專家賽門鐵克)，提供解決方案設計、部署規劃、安裝套件建立

與測試的協助。

端點對端點的端點法規遵循政策遵循

在今日高度複雜與危險的威脅態勢中，IT 管理員不僅必須保護自己免於對其特定企業進行組織

性的攻擊，還要防止利用桌上型電腦與筆記型電腦，作為進入這些企業之業務運作與具有重要價

值資源之後門入口的鎖定攻擊。為維護企業 IT 基礎架構及其端點的整合性，組織可不再允許未

經檢查即存取網路。隨著存取企業網路之端點的數量與類型大幅度地增加，組織必須能夠在端點

連線至資源之前與連線之後持續地查核端點的運作與法規遵循政策遵循的狀態。

Symantec Network Access Control 是個端點對端點的解決方案，其可安全地控制企業網路的存

取、執行端點安全政策，並可輕易整合現有的網路基礎架構。無論端點是如何連線到網路，

Symantec Network Access Control 都能夠搜尋並評估用戶端安全政策遵循狀態、預先佈建區分適

切的網路存取、提供自動的矯正能力，以及持續監視端點之法規遵循政策遵循狀態的任何變動。

應用這套方案的結果是帶給企業絕佳的網路環境，讓他們能夠真正地大幅降低資安事端，提升企

業 IT 安全政策遵循的層級，並且放心端點安全機制已妥善運作。

20


圖 9：Symantec Network Access Control 架構

由於其齊全的代理程式評估技術與多個強制執行選項，且無關作業系統與中立網路廠商，

Symantec Network Access Control 是市場上最具彈性與交互運作性的網路存取控制解決方案。此

高層級的彈性與交互運作性亦可使組織依其所需的方式及時間，輕鬆且快速地部署網路存取控制

評估與強制執行選項組合。為進一步協助部署，並協助加速組織的投資回報，賽門鐵克另外還提

供多樣廣泛的諮詢、技術訓練教育與支援服務。

賽門鐵克是基礎架構軟體的全球領導廠商，也在端點安全表現傑出，致力於讓企業和消費者能安

心悠遊於網路世界。賽門鐵克藉由提供軟體和服務來解決安全、可用性、法規遵循政策遵循和效

能等風險，協助客戶保護其基礎架構、資訊和互動。

未受管理的端點

訪客

受管理的端點

受管理的端點

受管理的端點


家庭使用者


約聘人員


約聘人員


合作夥伴

受管理的端點

受管理的端點

非 Windows

RADIUS 伺服器 (選用)

SNAC Scanner

永久的代理程式

臨時的代理程式

已掃描的端點

完整性掃描

政策、記錄與設定

圖表

Symantec™ Network

Access Control

受防護的網路

SNAC Gateway Enforcer

SNAC LANEnforcer

Symantec SygatePolicy Manager

SNAC DHCPEnforcer 外掛程式

21

版權所有 © 2007 賽門鐵克公司。保留所有權利。Symantec、Symantec 標誌及 Symantec AntiVirus 是賽門鐵克公司或其子公司在美國與其他國家的商標或註冊商標。Microsoft 是 Microsoft

Corporation 在美國及/或其他國家的註冊商標或商標。Java 是 Sun Microsystems, Inc. 在美國或其它國家的商標或註冊商標。其它名稱分屬其個自擁有者之商標。於新加坡刊印發行

09/07 WP-00164-TW

台灣賽門鐵克股份有限公司

地址：台北市 105 南京東路五段 188 號 2F-7

電話：(02) 8761-5800

傳真：(02) 2742-2838

地址：台北市 110 基隆路一段 200 號 20F

電話：(02) 8722-7000

傳真：(02) 2345-5009

www.symantec.com.tw

關於賽門鐵克

賽門鐵克公司是全球領先的基礎架構軟

體供應商，致力於確保企業和個人消費

者在網路世界中的信心。賽門鐵克公司

幫助用戶保護基礎架構、資訊和互動，

提供軟體和服務來抵禦對安全性、可用

性、法規遵循和效能方面的風險威脅。

公司總部設在美國加州的 Cupertino，

現已在 40多個國家設有分支機搆。要

瞭解更多相關資訊，歡迎瀏覽賽門鐵克

公司網站：

http://www.symantec.com。

若您需要任何一個分公司的聯絡電話或

相關資訊，請造訪我們的網站。

Documents

WHITE PAPER: ENDPOINT SECURITYeval.symantec.com/mktginfo/downloads/WP-00164-TW_SNAC.pdf整個IT 基礎架構處於危險之中。當遠端與行動使用者在網咖、飯店房間，或其他更易招致攻擊