Symantec Network Access Control Enforcer 操 作 指 南
Symantec Network Access Control Enforcer 操 作 指 南 本 書 所 述 軟 體 係 按 授 權 許 可 協 議 提 供, 使 用 時 必 須 遵 照 授 權 許 可 協 議 條 文 文 件 版 本 11.00.03.01.00 版 權 聲 明 Copyright 2008 Symantec Corporation. 版 權 2008 賽 門 鐵 克 公 司 All rights reserved. 版 權 所 有 Symantec Symantec 標 誌 LiveUpdate Sygate Symantec AntiVirus Bloodhound Confidence Online Digital Immune System Norton 及 TruScan 是 賽 門 鐵 克 或 其 附 屬 公 司 在 美 國 及 其 他 國 家 的 商 標 或 註 冊 商 標 其 他 名 稱 可 能 為 其 個 別 所 有 者 的 商 標 本 賽 門 鐵 克 產 品 可 能 包 含 第 三 方 軟 體 ( 以 下 稱 為 第 三 方 程 式 ), 賽 門 鐵 克 在 此 聲 明 其 所 有 權 歸 第 三 方 所 有 部 分 第 三 方 程 式 係 採 開 放 原 始 碼 或 免 費 軟 體 授 權 方 式 取 得 本 軟 體 隨 附 之 授 權 許 可 協 議 並 未 改 變 依 開 放 原 始 碼 或 免 費 軟 體 授 權 所 規 定 之 任 何 權 利 或 義 務 請 參 閱 本 說 明 文 件 之 第 三 方 版 權 聲 明 附 錄 或 本 賽 門 鐵 克 產 品 隨 附 之 讀 我 檔, 以 取 得 第 三 方 程 式 相 關 資 訊 本 文 件 中 所 述 產 品 的 散 佈 受 到 授 權 許 可 協 議 的 規 範, 限 制 其 使 用 複 製 散 佈 及 解 譯 / 逆 向 工 程 未 事 先 獲 得 賽 門 鐵 克 公 司 及 其 授 權 者 ( 如 果 有 ) 的 書 面 授 權, 本 產 品 的 任 何 部 分 均 不 得 以 任 何 方 式 任 何 形 式 複 製 本 文 件 完 全 依 現 狀 提 供, 不 做 任 何 所 有 明 示 或 暗 示 的 條 件 聲 明 及 保 證, 其 中 包 含 在 任 何 特 定 用 途 之 適 售 性 與 適 用 性 的 暗 示 保 證 任 何 特 定 用 途 或 不 侵 害 他 人 權 益, 除 了 此 棄 權 聲 明 認 定 的 不 合 法 部 分 以 外 賽 門 鐵 克 公 司 對 與 提 供 之 效 能 相 關 的 意 外 或 必 然 損 害, 或 這 份 說 明 文 件 的 使 用, 不 負 任 何 責 任 本 說 明 文 件 所 包 含 的 資 訊 若 有 變 更, 恕 不 另 行 通 知 根 據 FAR 12.212 定 義, 本 授 權 軟 體 和 文 件 係 商 業 電 腦 軟 體, 並 受 FAR 第 52.227-19 節 商 業 電 腦 軟 體 限 制 權 利 和 DFARS 第 227.7202 節 商 業 電 腦 軟 體 或 商 業 電 腦 軟 體 文 件 權 利 中 的 適 用 法 規, 以 及 所 有 後 續 法 規 中 定 義 的 限 制 權 利 的 管 轄 美 國 政 府 僅 可 根 據 此 協 議 條 款 對 授 權 許 可 的 軟 體 和 文 件 進 行 任 何 使 用 變 更 複 製 發 行 履 行 顯 示 或 披 露 Symantec Corporation 20330 Stevens Creek Blvd. Cupertino, CA 95014 http://www.symantec.com/region/tw
技 術 支 援 賽 門 鐵 克 技 術 支 援 維 護 全 球 的 支 援 中 心 技 術 支 援 的 主 要 角 色 是 回 應 有 關 產 品 特 性 與 功 能 的 特 定 查 詢 技 術 支 援 小 組 亦 負 責 編 寫 線 上 知 識 庫 技 術 支 援 小 組 會 與 賽 門 鐵 克 的 其 他 部 門 協 力 合 作, 以 期 在 極 短 的 時 間 內 回 答 您 的 問 題 例 如, 技 術 支 援 小 組 會 與 產 品 工 程 以 及 賽 門 鐵 克 安 全 機 制 應 變 中 心 合 作, 提 供 警 示 服 務 及 病 毒 定 義 檔 更 新 賽 門 鐵 克 的 維 護 工 作, 包 含 下 列 項 目 : 廣 泛 的 支 援 選 項, 讓 您 在 面 對 任 何 規 模 的 組 織 時 都 能 彈 性 選 取 正 確 的 服 務 量 電 話 和 網 路 支 援, 提 供 迅 速 回 應 和 最 新 資 訊 升 級 保 證, 可 傳 遞 自 動 軟 體 升 級 防 護 全 年 無 休 的 全 球 支 援 進 階 功 能, 包 括 專 案 管 理 服 務 如 需 關 於 賽 門 鐵 克 維 護 服 務 方 案 的 詳 細 資 訊, 您 可 以 造 訪 我 們 的 網 站, 網 址 為 : www.symantec.com/region/tw/techsupp/ 聯 絡 技 術 支 援 具 有 現 行 維 護 服 務 合 約 的 客 戶, 可 以 透 過 下 列 網 址 存 取 技 術 支 援 資 訊 : www.symantec.com/region/tw/techsupp/ 在 聯 絡 技 術 支 援 前, 請 確 認 是 否 符 合 列 示 於 產 品 文 件 中 的 系 統 要 求 另 外, 您 應 位 於 發 生 問 題 的 電 腦 前, 以 防 需 要 重 新 建 立 問 題 在 聯 絡 技 術 支 援 時, 請 準 備 好 以 下 資 訊 : 產 品 版 次 硬 體 資 訊 可 用 的 記 憶 體 磁 碟 空 間 和 NIC 資 訊 作 業 系 統 版 本 和 修 正 程 式 等 級 網 路 拓 樸 路 由 器 閘 道 和 IP 位 址 資 訊 問 題 說 明 : 錯 誤 訊 息 和 日 誌 檔 在 聯 絡 賽 門 鐵 克 前 所 執 行 的 疑 難 排 解
最 新 的 軟 體 架 構 變 更 及 網 路 變 更 授 權 與 註 冊 客 戶 服 務 如 果 您 的 賽 門 鐵 克 產 品 需 要 註 冊 或 授 權 碼, 請 存 取 我 們 的 技 術 支 援 網 頁, 網 址 為 : www.symantec.com/region/tw/techsupp/ 您 可 以 在 下 列 網 址 取 得 客 戶 服 務 資 訊 : www.symantec.com/region/tw/techsupp/ 您 可 以 使 用 客 戶 服 務 來 協 助 解 決 下 列 各 種 問 題 : 產 品 授 權 或 序 列 化 等 相 關 問 題 產 品 註 冊 更 新, 如 地 址 或 姓 名 變 更 一 般 產 品 資 訊 ( 功 能 可 用 的 語 言 當 地 代 理 商 ) 產 品 更 新 及 升 級 的 最 新 資 訊 升 級 保 證 與 維 護 合 約 的 相 關 資 訊 與 賽 門 鐵 克 採 購 計 畫 相 關 的 資 訊 對 賽 門 鐵 克 技 術 支 援 選 項 的 相 關 建 議 非 技 術 性 的 預 售 問 題 與 光 碟 或 手 冊 相 關 的 問 題 維 護 合 約 資 源 其 他 企 業 服 務 如 果 您 要 與 賽 門 鐵 克 聯 絡 和 現 有 維 護 合 約 相 關 的 事 項, 請 聯 絡 您 所 在 地 區 的 維 護 合 約 管 理 小 組, 聯 絡 資 訊 如 下 : 亞 太 地 區 及 日 本 :contractsadmin@symantec.com 歐 洲 中 東 地 區 及 非 洲 :semea@symantec.com 北 美 及 拉 丁 美 洲 :supportsolutions@symantec.com 賽 門 鐵 克 提 供 了 廣 泛 的 服 務, 讓 您 能 最 佳 利 用 對 賽 門 鐵 克 產 品 的 投 資, 以 開 發 您 的 知 識 專 材, 以 及 總 體 的 洞 察 力, 讓 您 能 預 先 管 理 企 業 風 險 其 他 可 用 的 企 業 服 務 為 : 賽 門 鐵 克 早 期 預 警 解 決 方 案 這 些 解 決 方 案 能 提 供 網 路 攻 擊 的 早 期 預 警, 廣 泛 的 威 脅 分 析, 以 及 在 發 生 攻 擊 前 事 先 防 範 的 對 策
安 全 管 理 服 務 諮 詢 顧 問 服 務 教 育 訓 練 服 務 這 些 服 務 可 以 移 除 管 理 和 監 控 安 全 裝 置 和 事 件 的 負 擔, 確 保 對 真 實 威 脅 的 快 速 回 應 賽 門 鐵 克 諮 詢 顧 問 服 務 提 供 由 賽 門 鐵 克 以 及 信 任 夥 伴 派 遣 的 現 場 技 術 專 員 賽 門 鐵 克 諮 詢 顧 問 服 務 提 供 更 多 元 的 套 裝 式 以 及 客 製 式 的 選 項, 涵 蓋 評 估 設 計 實 作 監 控 和 管 理 等 各 個 方 面, 每 項 服 務 都 專 注 於 建 立 並 維 護 您 IT 資 源 之 整 合 性 與 可 用 性 教 育 訓 練 服 務 提 供 了 完 整 的 技 術 訓 練 安 全 教 育 安 全 憑 證, 以 及 認 知 溝 通 方 案 若 要 存 取 更 多 關 於 企 業 服 務 的 資 訊, 請 造 訪 我 們 的 網 站, 網 址 為 : www.symantec.com 從 網 站 索 引 中 選 取 您 的 國 家 / 地 區 或 語 言
目 錄 技 術 支 援... 3 部 分 1 安 裝 和 架 構 Symantec Network Access Control Enforcer 裝 置... 21 第 1 章 Enforcer 裝 置 簡 介... 23 關 於 Symantec Enforcer 裝 置... 23 適 用 讀 者... 24 強 制 執 行 類 型... 24 Symantec Network Access Control Enforcer 裝 置 的 功 能... 26 關 於 主 機 完 整 性 政 策 與 Enforcer 裝 置... 27 Enforcer 裝 置 與 Symantec Endpoint Protection Manager 之 間 的 通 訊... 28 Enforcer 裝 置 與 用 戶 端 之 間 的 通 訊... 28 Gateway Enforcer 裝 置 的 運 作 方 式... 29 DHCP Enforcer 裝 置 的 運 作 方 式... 29 LAN Enforcer 裝 置 的 運 作 方 式... 31 LAN Enforcer 基 本 架 構 的 運 作 方 式... 31 LAN Enforcer 透 明 模 式 的 運 作 方 式... 32 關 於 802.1x 驗 證... 32 對 第 三 方 執 行 解 決 方 案 的 支 援... 33 何 處 可 找 到 Symantec Enforcer 裝 置 的 詳 細 資 訊... 33 第 2 章 規 劃 Enforcer 裝 置 安 裝 作 業... 35 Enforcer 裝 置 的 安 裝 規 劃... 35 Gateway Enforcer 裝 置 的 安 裝 規 劃... 36 放 置 Gateway Enforcer 裝 置 的 位 置... 36 Gateway Enforcer 裝 置 上 IP 位 址 的 準 則... 39 關 於 兩 個 連 續 的 Gateway Enforcer 裝 置... 39 透 過 Gateway Enforcer 裝 置 防 護 VPN 存 取... 39 透 過 Gateway Enforcer 裝 置 防 護 無 線 存 取 點... 39 透 過 Gateway Enforcer 裝 置 防 護 伺 服 器... 40 透 過 Gateway Enforcer 裝 置 防 護 非 Windows 伺 服 器 和 用 戶 端... 40
8 目 錄 允 許 非 Windows 用 戶 端 無 須 經 過 驗 證 的 要 求... 41 Gateway Enforcer 裝 置 的 容 錯 移 轉 規 劃... 42 Gateway Enforcer 裝 置 如 何 在 網 路 中 進 行 容 錯 移 轉... 42 在 具 有 一 或 多 個 VLAN 的 網 路 放 置 Gateway Enforcer 裝 置 用 於 容 錯 移 轉 的 位 置... 43 設 定 Gateway Enforcer 裝 置 用 於 容 錯 移 轉... 44 DHCP Enforcer 裝 置 的 安 裝 規 劃... 45 在 網 路 何 處 放 置 DHCP Enforcer 裝 置... 45 DHCP Enforcer 裝 置 IP 位 址... 47 以 DHCP 強 制 執 行 防 護 非 Windows 用 戶 端... 48 關 於 DHCP 伺 服 器... 48 DHCP Enforcer 裝 置 的 容 錯 移 轉 規 劃... 49 網 路 中 的 DHCP Enforcer 裝 置 如 何 容 錯 移 轉... 50 在 只 有 一 個 或 有 多 個 VLAN 的 網 路 中 放 置 容 錯 移 轉 DHCP Enforcer 裝 置 的 位 置... 50 設 定 DHCP Enforcer 裝 置 進 行 容 錯 移 轉... 51 LAN Enforcer 裝 置 的 安 裝 規 劃... 52 放 置 LAN Enforcer 裝 置 的 位 置... 53 LAN Enforcer 裝 置 的 容 錯 移 轉 規 劃... 55 在 網 路 中 放 置 容 錯 移 轉 LAN Enforcer 裝 置 的 位 置... 56 第 3 章 升 級 和 移 轉 Enforcer 裝 置 影 像... 59 關 於 將 Enforcer 裝 置 影 像 升 級 和 移 轉 至 11.0.3000 版... 59 判 斷 Enforcer 裝 置 影 像 目 前 的 版 本... 60 將 11.0 或 11.0.2000 的 Enforcer 裝 置 影 像 升 級 為 11.0.3000... 60 將 5.1.x 的 Enforcer 裝 置 影 像 移 轉 為 11.0.3000... 60 重 新 映 像 Enforcer 裝 置 影 像... 61 第 4 章 首 次 安 裝 Enforcer 裝 置... 63 安 裝 Enforcer 裝 置 前... 63 關 於 Gateway Enforcer 裝 置 的 安 裝... 63 關 於 DHCP Enforcer 裝 置 的 安 裝... 64 關 於 LAN Enforcer 裝 置 的 安 裝... 64 關 於 Enforcer 裝 置 指 示 器 及 控 制 項... 65 Gateway Enforcer 裝 置 或 DHCP Enforcer 裝 置 的 NIC 設 定... 66 安 裝 Enforcer 裝 置... 67 關 於 Enforcer 裝 置 鎖... 70 第 5 章 在 Enforcer 裝 置 主 控 台 執 行 基 本 工 作... 71 有 關 在 Enforcer 裝 置 主 控 台 執 行 基 本 工 作... 71 登 入 Enforcer 裝 置... 72
目 錄 9 架 構 Enforcer 裝 置 和 Symantec Endpoint Protection Manager 之 間 的 連 線... 73 在 Enforcer 主 控 台 上 檢 查 Enforcer 裝 置 的 通 訊 狀 態... 74 遠 端 存 取 Enforcer 裝 置... 75 Enforcer 報 告 和 除 錯 日 誌... 75 第 6 章 在 Symantec Endpoint Protection Manager 主 控 台 上 架 構 Symantec Gateway Enforcer 裝 置... 77 關 於 在 Symantec Endpoint Protection Manager 主 控 台 上 架 構 Symantec Gateway Enforcer 裝 置... 77 變 更 管 理 伺 服 器 上 的 Gateway Enforcer 裝 置 組 態 設 定... 78 使 用 一 般 設 定... 79 新 增 或 編 輯 Gateway Enforcer 裝 置 群 組 的 敘 述... 80 新 增 或 編 輯 Gateway Enforcer 裝 置 的 敘 述... 80 新 增 或 編 輯 Gateway Enforcer 裝 置 的 IP 位 址 或 主 機 名 稱... 81 透 過 管 理 伺 服 器 清 單 建 立 Gateway Enforcer 裝 置 與 Symantec Endpoint Protection Manager 之 間 的 通 訊... 81 使 用 驗 證 設 定... 82 關 於 使 用 驗 證 設 定... 82 關 於 Gateway Enforcer 裝 置 的 驗 證 階 段 作 業... 85 關 於 Gateway Enforcer 裝 置 的 用 戶 端 驗 證... 85 指 定 驗 證 階 段 作 業 期 間 挑 戰 封 包 的 數 量 上 限... 86 指 定 挑 戰 封 包 傳 送 至 用 戶 端 的 頻 率... 86 指 定 用 戶 端 在 驗 證 失 敗 後 遭 攔 截 的 時 間... 87 指 定 允 許 用 戶 端 在 不 進 行 重 新 驗 證 的 情 況 下 維 持 連 線 到 網 路 的 時 間... 88 允 許 所 有 用 戶 端 持 續 記 錄 未 經 驗 證 的 用 戶 端... 88 允 許 非 Windows 用 戶 端 未 經 驗 證 即 連 線 到 網 路... 89 使 Gateway Enforcer 裝 置 檢 查 用 戶 端 政 策 序 號... 90 將 關 於 未 遵 循 的 訊 息 從 Gateway Enforcer 裝 置 傳 送 至 用 戶 端... 90 重 新 導 向 HTTP 要 求 至 網 頁... 92 驗 證 範 圍 設 定... 92 與 受 信 任 的 外 部 IP 位 址 比 較 的 用 戶 端 IP 範 圍... 93 使 用 用 戶 端 IP 範 圍 的 時 機... 93 關 於 受 信 任 的 IP 位 址... 94 將 用 戶 端 IP 位 址 範 圍, 新 增 到 需 要 驗 證 之 位 址 清 單... 95 編 輯 需 要 驗 證 之 位 址 清 單 上 的 用 戶 端 IP 位 址 範 圍... 96 移 除 需 要 驗 證 之 位 址 清 單 上 的 用 戶 端 IP 位 址 範 圍... 97 在 管 理 伺 服 器 新 增 用 戶 端 受 信 任 的 內 部 IP 位 址... 97 指 定 受 信 任 的 外 部 IP 位 址... 98 編 輯 受 信 任 的 內 部 或 外 部 IP 位 址... 99 移 除 受 信 任 的 內 部 或 外 部 IP 位 址... 99
10 目 錄 IP 範 圍 檢 查 順 序... 100 使 用 進 階 Gateway Enforcer 裝 置 設 定... 100 指 定 封 包 類 型 和 通 訊 協 定... 101 允 許 舊 版 用 戶 端 使 用 Gateway Enforcer 裝 置 連 線 到 網 路... 102 在 Gateway Enforcer 裝 置 啟 用 本 機 驗 證... 102 第 7 章 在 Symantec Endpoint Protection Manager 主 控 台 上 架 構 Symantec DHCP Enforcer 裝 置... 105 關 於 在 Symantec Endpoint Protection Manager 主 控 台 上 架 構 Symantec DHCP Enforcer 裝 置... 105 變 更 管 理 伺 服 器 上 的 DHCP Enforcer 裝 置 組 態 設 定... 106 使 用 一 般 設 定... 107 新 增 或 編 輯 DHCP Enforcer 的 Enforcer 群 組 名 稱... 108 新 增 或 編 輯 DHCP Enforcer 的 Enforcer 群 組 敘 述... 108 新 增 或 編 輯 DHCP Enforcer 的 IP 位 址 或 主 機 名 稱... 108 新 增 或 編 輯 DHCP Enforcer 的 敘 述... 109 將 DHCP Enforcer 連 線 到 Symantec Endpoint Protection Manager... 109 使 用 驗 證 設 定... 110 關 於 使 用 驗 證 設 定... 110 關 於 驗 證 階 段 作 業... 112 指 定 驗 證 階 段 作 業 期 間 挑 戰 封 包 的 數 量 上 限... 113 指 定 挑 戰 封 包 傳 送 至 用 戶 端 的 頻 率... 113 允 許 所 有 用 戶 端 持 續 記 錄 未 經 驗 證 的 用 戶 端... 114 允 許 非 Windows 用 戶 端 未 經 驗 證 即 連 線 到 網 路... 115 使 DHCP Enforcer 檢 查 用 戶 端 政 策 序 號... 115 將 關 於 未 遵 循 的 訊 息 從 DHCP Enforcer 裝 置 傳 送 至 用 戶 端... 116 使 用 DHCP 伺 服 器 設 定... 117 關 於 使 用 DHCP 伺 服 器 設 定... 118 在 一 台 電 腦 上 整 合 一 般 和 隔 離 DHCP 伺 服 器... 118 啟 用 個 別 一 般 DHCP 伺 服 器 和 隔 離 DHCP 伺 服 器... 119 新 增 一 般 DHCP 伺 服 器... 119 新 增 隔 離 DHCP 伺 服 器... 120 使 用 進 階 DHCP Enforcer 裝 置 設 定... 121 為 驗 證 失 敗 的 用 戶 端 設 定 自 動 隔 離... 122 指 定 DHCP Enforcer 裝 置 在 授 予 用 戶 端 存 取 網 路 之 前 的 等 待 期... 122 以 受 信 任 主 機 的 方 式 不 經 過 驗 證 即 啟 用 伺 服 器 用 戶 端 與 裝 置 連 線 到 網 路... 123 防 止 DNS 詐 騙... 123 允 許 舊 版 用 戶 端 使 用 DHCP Enforcer 裝 置 連 線 到 網 路... 124 在 DHCP Enforcer 裝 置 啟 用 本 機 驗 證... 125
目 錄 11 第 8 章 在 Symantec Endpoint Protection Manager 主 控 台 上 架 構 Symantec LAN Enforcer 裝 置... 127 關 於 在 Symantec Endpoint Protection Manager 裝 置 主 控 台 上 架 構 Symantec LAN Enforcer... 128 關 於 在 LAN Enforcer 裝 置 上 架 構 RADIUS 伺 服 器... 128 關 於 在 LAN Enforcer 裝 置 上 架 構 802.1x 無 線 存 取 點... 129 在 Symantec Endpoint Protection Manager 主 控 台 上 變 更 LAN Enforcer 組 態 設 定... 130 使 用 一 般 設 定... 131 新 增 或 編 輯 LAN Enforcer 所 屬 LAN Enforcer 裝 置 群 組 的 名 稱... 132 指 定 用 於 VLAN 交 換 器 與 LAN Enforcer 之 間 通 訊 的 接 聽 通 訊 埠... 132 新 增 或 編 輯 LAN Enforcer 的 Enforcer 群 組 敘 述... 133 新 增 或 編 輯 LAN Enforcer 的 IP 位 址 或 主 機 名 稱... 133 新 增 或 編 輯 LAN Enforcer 的 敘 述... 133 將 LAN Enforcer 連 線 到 Symantec Endpoint Protection Manager... 134 使 用 RADIUS 伺 服 器 群 組 設 定... 135 新 增 RADIUS 伺 服 器 群 組 名 稱 和 RADIUS 伺 服 器... 135 編 輯 RADIUS 伺 服 器 群 組 的 名 稱... 137 編 輯 RADIUS 伺 服 器 的 易 記 名 稱... 137 編 輯 RADIUS 伺 服 器 的 主 機 名 稱 或 IP 位 址... 138 編 輯 RADIUS 伺 服 器 的 驗 證 通 訊 埠 號... 138 編 輯 RADIUS 伺 服 器 的 共 用 密 碼... 139 刪 除 RADIUS 伺 服 器 群 組 的 名 稱... 140 刪 除 RADIUS 伺 服 器... 140 使 用 交 換 器 設 定... 141 關 於 使 用 交 換 器 設 定... 141 關 於 交 換 器 型 號 屬 性 的 支 援... 142 使 用 精 靈 為 LAN Enforcer 裝 置 新 增 802.1x 交 換 器 政 策... 145 編 輯 交 換 器 政 策 和 支 援 802.1x 的 交 換 器 的 相 關 基 本 資 訊... 151 編 輯 802.1x 感 知 交 換 器 的 相 關 資 訊... 155 編 輯 交 換 器 政 策 的 VLAN 資 訊... 157 編 輯 交 換 器 政 策 的 動 作 資 訊... 159 使 用 進 階 LAN Enforcer 裝 置 設 定... 162 允 許 舊 版 用 戶 端 使 用 LAN Enforcer 裝 置 連 線 到 網 路... 162 在 LAN Enforcer 裝 置 啟 用 本 機 驗 證... 163 使 用 802.1x 驗 證... 163 關 於 用 戶 端 電 腦 上 的 重 新 驗 證... 165
12 目 錄 第 9 章 設 定 Symantec Network Access Control On-Demand 用 戶 端 的 暫 時 連 線... 167 關 於 設 定 Symantec Network Access Control On-Demand 用 戶 端 的 暫 時 連 線... 167 在 Gateway 或 DHCP Enforcer 的 主 控 台 上 架 構 Symantec Network Access Control On-Demand 用 戶 端 之 前... 168 啟 用 Symantec Network Access Control On-Demand 用 戶 端 暫 時 連 線 至 網 路... 170 在 Gateway 或 DHCP Enforcer 主 控 台 設 定 Symantec Network Access Control On-Demand 用 戶 端 的 驗 證... 172 設 定 以 本 機 內 建 資 料 庫 進 行 驗 證... 172 設 定 以 Microsoft Windows 2003 Server Active Directory 進 行 驗 證... 173 在 Windows 設 定 On-Demand 用 戶 端 進 行 dot1x 通 訊 協 定 驗 證... 173 在 Windows 設 定 On-Demand 用 戶 端 進 行 PEAP 通 訊 協 定 驗 證... 174 編 輯 歡 迎 使 用 頁 面 的 橫 幅... 175 Enforcer 與 On-Demand 用 戶 端 之 間 連 線 的 疑 難 排 解... 175 第 10 章 Enforcer 裝 置 指 令 行 介 面... 179 關 於 Enforcer 裝 置 CLI 指 令 階 層... 179 CLI 指 令 階 層... 179 上 移 及 下 移 指 令 層 級... 183 Enforcer 裝 置 CLI 按 鍵 捷 徑... 183 取 得 CLI 指 令 的 說 明... 184 第 11 章 Enforcer 裝 置 指 令 行 介 面 參 考... 187 指 令 慣 例... 187 Enforcer 裝 置 CLI 字 母 參 考... 188 最 上 層 指 令... 202 Clear... 202 Date... 202 Exit... 202 Help... 202 Hostname... 203 Password... 204 Ping... 204 Reboot... 204 Shutdown... 205 Show... 205
目 錄 13 Start... 206 Stop... 206 Traceroute... 206 Update... 207 Capture 指 令... 207 Capture Compress... 207 Capture Filter... 207 Capture Show... 208 Capture Start... 209 Capture Upload... 210 Capture Verbose... 210 Configure 指 令... 210 Configure advanced 指 令... 211 Configure DNS... 216 Configure Interface... 217 Configure interface-role... 218 Configure NTP... 218 Configure Redirect... 219 Configure Route... 219 Configure Show... 220 Configure SPM... 220 Console 指 令... 221 Console Baud-rate... 221 Console SSH... 221 Console SSHKEY... 221 Console Show... 222 Debug 指 令... 222 Debug Destination... 222 Debug Level... 223 Debug Show... 223 Debug Upload... 224 MAB 指 令... 224 MAB disable 指 令... 225 MAB enable 指 令... 225 MAB LDAP 指 令... 225 MAB show 指 令... 227 Monitor 指 令... 228 Monitor refresh 指 令... 228 Monitor show 指 令... 228 Monitor show blocked-hosts 指 令... 228 Monitor show connected-guests 指 令... 230 Monitor show connected-users 指 令... 231 SNMP 指 令... 232
14 目 錄 SNMP disable 指 令... 232 SNMP enable 指 令... 232 SNMP heartbeat 指 令... 232 SNMP receiver 指 令... 232 SNMP show 指 令... 233 SNMP trap 指 令... 233 On-Demand 指 令... 234 On-Demand authentication 指 令... 234 On-Demand banner 指 令... 239 On-Demand client-group 指 令... 240 On-Demand dot1x 指 令... 240 On-Demand show 指 令... 249 On-Demand spm-domain 指 令... 250 On-Demand mac-compliance 指 令... 250 第 12 章 Enforcer 裝 置 疑 難 排 解... 255 關 於 Enforcer 裝 置 疑 難 排 解... 255 一 般 疑 難 排 解 主 題 和 已 知 問 題... 255 有 關 透 過 網 路 傳 送 除 錯 資 訊... 256 第 13 章 部 分 2 第 14 章 關 於 Gateway Enforcer DHCP Enforcer 或 LAN Enforcer 等 裝 置 的 常 見 問 題... 259 強 制 執 行 問 題... 259 哪 些 防 毒 軟 體 提 供 主 機 完 整 性 支 援?... 259 主 機 完 整 性 政 策 是 否 可 以 在 群 組 或 全 域 層 級 設 定?... 261 您 是 否 可 以 建 立 自 訂 主 機 完 整 性 訊 息?... 261 如 果 Enforcer 裝 置 無 法 與 Symantec Endpoint Protection Manager 通 訊 該 怎 辦?... 261 如 果 在 透 明 模 式 下 執 行 LAN Enforcer 裝 置, 是 否 需 要 RADIUS 伺 服 器?... 261 強 制 執 行 如 何 管 理 沒 有 用 戶 端 的 電 腦?... 262 安 裝 Symantec NAC Integrated Enforcer for Microsoft DHCP Servers... 265 Symantec NAC Integrated Enforcer for Microsoft DHCP Servers 簡 介... 267 關 於 Symantec NAC Integrated Enforcer for Microsoft DHCP Servers... 267 Integrated Enforcer for Microsoft DHCP Servers 的 運 作 方 式... 268
目 錄 15 如 何 開 始 安 裝 Integrated Enforcer for Microsoft DHCP Servers... 269 何 處 可 以 找 到 Integrated Enforcer for Microsoft DHCP Servers 相 關 文 件 的 詳 細 資 訊... 269 第 15 章 第 16 章 部 分 3 第 17 章 第 18 章 Symantec NAC Integrated Enforcer for Microsoft DHCP Servers 的 安 裝 規 劃... 273 關 於 規 劃 Integrated Enforcer for Microsoft DHCP Servers 的 安 裝... 273 Integrated Enforcer for Microsoft DHCP Servers 的 必 要 元 件... 274 Integrated Enforcer for Microsoft DHCP Servers 的 硬 體 需 求... 274 Integrated Enforcer for Microsoft DHCP Servers 的 作 業 系 統 需 求... 275 規 劃 Integrated Enforcer for Microsoft DHCP Servers 的 安 置... 275 安 裝 Symantec NAC Integrated Enforcer for Microsoft DHCP Servers... 277 安 裝 Integrated Enforcer for Microsoft DHCP Servers 之 前... 277 安 裝 Integrated Enforcer for Microsoft DHCP Servers... 278 升 級 Integrated Enforcer for Microsoft DHCP Servers... 281 安 裝 Symantec NAC Integrated Enforcer for Alcatel-Lucent VitalQIP DHCP Servers... 283 介 紹 Symantec NAC Integrated Enforcer for Alcatel-Lucent VitalQIP DHCP Servers... 285 關 於 Integrated Enforcer for Alcatel-Lucent VitalQIP DHCP Servers (Integrated Lucent Enforcer)... 285 Integrated Lucent Enforcer 可 執 行 的 工 作... 286 Integrated Lucent Enforcer 的 運 作 方 式... 286 何 處 可 以 找 到 Integrated Lucent Enforcer 相 關 文 件 的 詳 細 資 訊... 287 規 劃 安 裝 Symantec NAC Integrated Lucent Enforcer... 291 關 於 安 裝 Integrated Lucent Enforcer 的 規 劃... 291 Integrated Lucent Enforcer 所 需 的 元 件... 291 安 置 Integrated Lucent Enforcer 的 規 劃... 292 Integrated Lucent Enforcer 的 硬 體 需 求... 294
16 目 錄 Integrated Lucent Enforcer 的 作 業 系 統 需 求... 294 第 19 章 部 分 4 第 20 章 安 裝 Symantec NAC Integrated Enforcer for Alcatel-Lucent VitalQIP Enterprise DHCP Servers... 297 第 一 次 安 裝 Integrated Enforcer for Alcatel-Lucent VitalQIP Enterprise DHCP Servers 之 前... 297 安 裝 Integrated Enforcer for Alcatel-Lucent VitalQIP Enterprise DHCP Servers... 298 移 除 Integrated Enforcer for Alcatel-Lucent VitalQIP Enterprise DHCP Servers... 300 停 止 和 啟 動 Lucent VitalQIP Enterprise DHCP Server... 301 在 Enforcer 主 控 台 上 架 構 Symantec NAC Integrated Enforcers... 303 在 Enforcer 主 控 台 上 架 構 Symantec NAC Integrated Enforcers... 305 關 於 在 Enforcer 主 控 台 上 架 構 Symantec NAC Integrated Enforcer... 306 建 立 或 變 更 Integrated Enforcer 與 Symantec Endpoint Protection Manager 伺 服 器 之 間 的 通 訊... 306 架 構 自 動 隔 離... 308 架 構 Symantec Integrated Enforcer 基 本 設 定... 310 新 增 或 編 輯 Symantec Integrated Enforcer 的 Enforcer 群 組 名 稱... 310 新 增 或 編 輯 Symantec Integrated Enforcer 的 Enforcer 群 組 敘 述... 311 新 增 或 編 輯 Symantec Integrated Enforcer 的 IP 位 址 或 主 機 名 稱... 311 新 增 或 編 輯 Symantec Integrated Enforcer 的 敘 述... 311 將 Symantec Integrated Enforcer 連 線 到 Symantec Endpoint Protection Manager... 312 編 輯 Symantec Endpoint Protection Manager 連 線... 313 架 構 信 任 廠 商 清 單... 313 在 Enforcer 主 控 台 上 檢 視 Enforcer 日 誌... 314 架 構 Symantec Integrated Enforcer 的 日 誌... 314 架 構 Symantec Integrated Enforcer 驗 證 設 定... 315 關 於 使 用 驗 證 設 定... 315 關 於 驗 證 階 段 作 業... 316
目 錄 17 指 定 驗 證 階 段 作 業 期 間 挑 戰 封 包 的 數 量 上 限... 317 指 定 挑 戰 封 包 傳 送 至 用 戶 端 的 頻 率... 318 允 許 所 有 用 戶 端 持 續 記 錄 未 經 驗 證 的 用 戶 端... 318 允 許 非 Windows 用 戶 端 未 經 驗 證 即 連 線 到 網 路... 319 使 Symantec Integrated Enforcer 檢 查 用 戶 端 政 策 序 號... 320 將 未 遵 循 的 訊 息 從 Symantec Integrated Enforcer 傳 送 至 用 戶 端... 320 在 Enforcer 主 控 台 上 建 立 Symantec Integrated Enforcer 與 Network Access Control 掃 描 程 式 之 間 的 通 訊... 321 架 構 Symantec Integrated Enforcer 進 階 設 定... 322 以 受 信 任 主 機 的 方 式 不 經 過 驗 證 即 啟 用 伺 服 器 用 戶 端 與 裝 置 連 線 到 網 路... 322 允 許 舊 版 用 戶 端 使 用 Integrated Enforcer 連 線 到 網 路... 323 在 Integrated Enforcer 裝 置 啟 用 本 機 驗 證... 323 停 止 和 啟 動 Integrated Enforcer 與 管 理 伺 服 器 之 間 的 通 訊 服 務... 324 連 線 至 舊 版 Symantec Endpoint Protection Manager 伺 服 器... 325 部 分 5 第 21 章 第 22 章 第 23 章 安 裝 和 架 構 Symantec NAC Integrated Enforcer for Microsoft Network Access Protection... 327 Symantec NAC Integrated Enforcer for Microsoft Network Access Protection 簡 介... 329 關 於 Integrated Enforcer for Microsoft Network Access Protection... 329 Symantec NAC Integrated Enforcer for Microsoft Network Access Protection 安 裝 規 劃... 331 關 於 Symantec Integrated NAP Enforcer 的 安 裝 規 劃... 331 Symantec Integrated NAP Enforcer 所 需 的 元 件... 332 Symantec Integrated NAP Enforcer 的 硬 體 需 求... 332 Symantec Integrated NAP Enforcer 的 作 業 系 統 需 求... 333 Symantec Network Access Control 用 戶 端 的 作 業 系 統 需 求... 333 安 裝 Symantec NAC Integrated Enforcer for Microsoft Network Access Protection... 335 安 裝 Symantec Integrated NAP Enforcer 之 前... 335 安 裝 Symantec Integrated NAP Enforcer... 336
18 目 錄 第 24 章 第 25 章 部 分 6 第 26 章 在 Enforcer 主 控 台 上 架 構 Symantec NAC Integrated Enforcer for Microsoft Network Access Protection... 339 關 於 在 Enforcer 主 控 台 上 架 構 Symantec Integrated NAP Enforcer... 339 在 Enforcer 主 控 台 上 將 Symantec Integrated NAP Enforcer 連 線 至 管 理 伺 服 器... 340 加 密 Symantec Integrated NAP Enforcer 與 管 理 伺 服 器 之 間 的 通 訊... 341 在 Symantec Integrated NAP Enforcer 主 控 台 上 設 定 Enforcer 群 組 名 稱... 342 在 Symantec Integrated NAP Enforcer 主 控 台 上 設 定 HTTP 通 訊 協 定... 343 在 Symantec Endpoint Protection Manager 主 控 台 上 架 構 Symantec NAC Integrated Enforcer for Microsoft Network Access Protection... 345 關 於 在 Symantec Endpoint Protection Manager 主 控 台 上 架 構 Symantec Integrated NAP Enforcer... 346 針 對 用 戶 端 啟 用 NAP 強 制 執 行... 346 確 認 管 理 伺 服 器 是 否 管 理 用 戶 端... 346 驗 證 安 全 性 健 康 驗 證 程 式 政 策... 347 確 認 用 戶 端 是 否 通 過 主 機 完 整 性 檢 查... 347 在 Symantec Integrated NAP Enforcer 啟 用 本 機 驗 證... 348 架 構 Symantec Integrated NAP Enforcer 的 日 誌... 348 從 Symantec Endpoint Protection Manager 主 控 台 管 理 Enforcer... 351 從 Symantec Endpoint Protection Manager 主 控 台 管 理 Enforcer... 353 關 於 在 管 理 伺 服 器 主 控 台 上 管 理 Enforcer... 353 關 於 從 伺 服 器 頁 面 管 理 Enforcer... 354 關 於 Enforcer 群 組... 354 主 控 台 如 何 判 斷 Enforcer 群 組 名 稱... 354 關 於 Enforcer 群 組 容 錯 移 轉... 355 關 於 變 更 群 組 名 稱... 355 關 於 建 立 新 Enforcer 群 組... 355 關 於 出 現 在 Enforcer 主 控 台 中 的 Enforcer 資 訊... 355
目 錄 19 從 管 理 主 控 台 顯 示 Enforcer 的 資 訊... 356 變 更 Enforcer 的 名 稱 與 敘 述... 357 刪 除 Enforcer 或 Enforcer 群 組... 357 匯 出 和 匯 入 Enforcer 群 組 設 定... 358 被 攔 截 用 戶 端 的 彈 出 式 訊 息... 358 在 執 行 用 戶 端 電 腦 上 顯 示 的 訊 息... 358 在 未 執 行 用 戶 端 的 Windows 電 腦 上 顯 示 的 訊 息 ( 僅 適 用 Gateway 或 DHCP Enforcer)... 359 設 定 Enforcer 訊 息... 359 關 於 用 戶 端 設 定 與 Enforcer... 360 架 構 用 戶 端 使 用 密 碼 停 止 用 戶 端 服 務... 360 部 分 7 使 用 Enforcer 報 告 與 日 誌... 361 第 27 章 管 理 Enforcer 報 告 和 日 誌... 363 關 於 Enforcer 報 告... 363 關 於 Enforcer 日 誌... 363 關 於 Enforcer 伺 服 器 日 誌... 364 關 於 Enforcer 用 戶 端 日 誌... 365 關 於 Gateway Enforcer 流 量 日 誌... 365 架 構 Enforcer 日 誌 設 定... 366 在 Symantec Endpoint Protection Manager 主 控 台 上 停 用 Enforcer 記 錄... 366 啟 用 從 Enforcer 傳 送 Enforcer 日 誌 至 Symantec Endpoint Protection Manager... 367 設 定 Enforcer 日 誌 的 大 小 和 期 限... 367 過 濾 Enforcer 流 量 日 誌... 368 索 引... 369
20 目 錄
部 分 1 安 裝 和 架 構 Symantec Network Access Control Enforcer 裝 置 Enforcer 裝 置 簡 介 規 劃 Enforcer 裝 置 安 裝 作 業 升 級 和 移 轉 Enforcer 裝 置 影 像 首 次 安 裝 Enforcer 裝 置 在 Enforcer 裝 置 主 控 台 執 行 基 本 工 作 在 Symantec Endpoint Protection Manager 主 控 台 上 架 構 Symantec Gateway Enforcer 裝 置 在 Symantec Endpoint Protection Manager 主 控 台 上 架 構 Symantec DHCP Enforcer 裝 置 在 Symantec Endpoint Protection Manager 主 控 台 上 架 構 Symantec LAN Enforcer 裝 置 設 定 Symantec Network Access Control On-Demand 用 戶 端 的 暫 時 連 線 Enforcer 裝 置 指 令 行 介 面
22 Enforcer 裝 置 指 令 行 介 面 參 考 Enforcer 裝 置 疑 難 排 解 關 於 Gateway Enforcer DHCP Enforcer 或 LAN Enforcer 等 裝 置 的 常 見 問 題
1 Enforcer 裝 置 簡 介 本 章 包 含 以 下 主 題 : 關 於 Symantec Enforcer 裝 置 適 用 讀 者 強 制 執 行 類 型 Symantec Network Access Control Enforcer 裝 置 的 功 能 關 於 主 機 完 整 性 政 策 與 Enforcer 裝 置 Gateway Enforcer 裝 置 的 運 作 方 式 DHCP Enforcer 裝 置 的 運 作 方 式 LAN Enforcer 裝 置 的 運 作 方 式 對 第 三 方 執 行 解 決 方 案 的 支 援 何 處 可 找 到 Symantec Enforcer 裝 置 的 詳 細 資 訊 關 於 Symantec Enforcer 裝 置 Symantec Enforcer 是 可 搭 配 Symantec Endpoint Protection Manager 運 作 的 選 購 網 路 元 件 下 列 以 Linux 為 基 礎 的 Symantec Enforcer 裝 置, 可 與 Symantec Endpoint Protection 用 戶 端 和 Symantec Network Access Control 用 戶 端 等 受 管 用 戶 端 搭 配 使 用, 以 保 護 企 業 網 路 : Symantec Network Access Control Gateway Enforcer 裝 置 Symantec Network Access Control DHCP Enforcer 裝 置 Symantec Network Access Control LAN Enforcer 裝 置
24 Enforcer 裝 置 簡 介 適 用 讀 者 所 有 以 Windows 為 基 礎 的 Symantec Enforcer 均 可 與 Symantec Endpoint Protection 用 戶 端 及 Symantec Network Access Control 用 戶 端 等 受 管 用 戶 端 搭 配 使 用, 以 防 護 企 業 網 路 附 註 :Symantec Network Access Control Integrated Enforcer for Microsoft Network Access Protection 無 法 搭 配 訪 客 用 戶 端 使 用, 例 如 Windows 和 Macintosh 平 台 上 的 Symantec Network Access Control On-Demand 用 戶 端 下 列 以 Windows 為 基 礎 的 Enforcer 的 說 明 文 件 都 包 含 安 裝 架 構 和 管 理 的 指 示 : Symantec Network Access Control Integrated Enforcer for Microsoft DHCP Servers 請 參 閱 第 267 頁 的 關 於 Symantec NAC Integrated Enforcer for Microsoft DHCP Servers Symantec Network Access Control Integrated Enforcer for Microsoft Network Access Protection 請 參 閱 第 329 頁 的 關 於 Integrated Enforcer for Microsoft Network Access Protection 適 用 讀 者 本 說 明 文 件 的 適 合 讀 者 為 負 責 設 定 和 部 署 選 購 Enforcer 裝 置 的 人 員 您 必 須 相 當 瞭 解 網 路 概 念, 並 且 熟 悉 Symantec Endpoint Protection Manager 的 管 理 選 購 Enforcer 裝 置 只 能 與 其 他 元 件 的 特 定 版 本 搭 配 使 用 請 參 閱 第 59 頁 的 關 於 將 Enforcer 裝 置 影 像 升 級 和 移 轉 至 11.0.3000 版 如 果 您 要 將 選 購 Enforcer 裝 置 與 舊 版 Symantec Network Access Control 搭 配 使 用, 請 參 閱 購 買 時 隨 附 Enforcer 裝 置 提 供 的 說 明 文 件 強 制 執 行 類 型 表 1-1 列 出 選 用 的 Enforcer 裝 置 和 以 Windows 為 基 礎 的 Enforcer
Enforcer 裝 置 簡 介 強 制 執 行 類 型 25 表 1-1 強 制 執 行 類 型 Enforcer 裝 置 的 類 型 Symantec Gateway Enforcer 裝 置 敘 述 針 對 透 過 下 列 方 法 之 一 遠 端 連 接 的 外 部 電 腦 提 供 存 取 點 強 制 執 行 : 虛 擬 私 人 網 路 (VPN) 無 線 LAN 遠 端 存 取 伺 服 器 (RAS) 您 也 可 以 設 定 Gateway Enforcer 裝 置 只 允 許 指 定 的 IP 位 址 存 取, 以 限 制 存 取 特 定 伺 服 器 Enforcer 裝 置 支 援 Symantec Gateway Enforcer 請 參 閱 第 29 頁 的 Gateway Enforcer 裝 置 的 運 作 方 式 請 參 閱 第 36 頁 的 Gateway Enforcer 裝 置 的 安 裝 規 劃 Symantec LAN Enforcer 裝 置 針 對 透 過 支 援 802.1x 驗 證 的 交 換 器 或 無 線 存 取 點 連 線 至 網 路 的 用 戶 端, 提 供 強 制 執 行 LAN Enforcer 裝 置 會 作 為 遠 端 驗 證 撥 接 使 用 者 服 務 (Remote Authentication Dial-In User Service,RADIUS) Proxy 這 能 夠 與 提 供 使 用 者 層 級 驗 證 的 RADIUS 伺 服 器 搭 配 使 用, 也 可 獨 立 運 作 Enforcer 裝 置 支 援 Symantec LAN Enforcer 請 參 閱 第 31 頁 的 LAN Enforcer 裝 置 的 運 作 方 式 請 參 閱 第 52 頁 的 LAN Enforcer 裝 置 的 安 裝 規 劃 Symantec DHCP Enforcer 裝 置 針 對 存 取 網 路 的 用 戶 端 提 供 強 制 執 行 用 戶 端 可 透 過 動 態 主 機 架 構 通 訊 協 定 (DHCP) 伺 服 器, 接 收 動 態 IP 位 址 Enforcer 裝 置 支 援 Symantec DHCP Enforcer 請 參 閱 第 29 頁 的 DHCP Enforcer 裝 置 的 運 作 方 式 請 參 閱 第 45 頁 的 DHCP Enforcer 裝 置 的 安 裝 規 劃 Symantec Integrated Enforcer for Microsoft DHCP Servers 針 對 存 取 網 路 的 用 戶 端 提 供 強 制 執 行 用 戶 端 可 透 過 動 態 主 機 架 構 通 訊 協 定 (DHCP) 伺 服 器 接 收 動 態 IP 位 址 Windows 平 台 可 支 援 Symantec Integrated DHCP Enforcer Enforcer 裝 置 不 支 援 Symantec Integrated Enforcer for Microsoft DHCP Servers 請 參 閱 第 268 頁 的 Integrated Enforcer for Microsoft DHCP Servers 的 運 作 方 式 請 參 閱 第 275 頁 的 規 劃 Integrated Enforcer for Microsoft DHCP Servers 的 安 置 Symantec Integrated Enforcer for Microsoft Network Access Protection 針 對 存 取 網 路 的 用 戶 端 提 供 強 制 執 行 透 過 動 態 主 機 架 構 通 訊 協 定 (DHCP) 伺 服 器, 用 戶 端 可 接 收 動 態 IP 位 址 或 傳 遞 802.1x 驗 證 Windows Server 2008 平 台 支 援 Symantec Integrated NAP Enforcer Enforcer 裝 置 不 支 援 Symantec Integrated Enforcer for Microsoft Network Access Protection
26 Enforcer 裝 置 簡 介 Symantec Network Access Control Enforcer 裝 置 的 功 能 Symantec Network Access Control Enforcer 裝 置 的 功 能 選 用 的 Enforcer 裝 置 安 裝 於 外 部 用 戶 端 或 內 部 用 戶 端 的 網 路 端 點 例 如, 您 可 以 將 Enforcer 裝 置 安 裝 於 網 路 及 VPN 伺 服 器 之 間, 或 安 裝 於 DHCP 伺 服 器 之 前 您 也 可 以 將 它 設 定 為 在 用 戶 端 電 腦 強 制 執 行, 這 些 用 戶 端 電 腦 是 透 過 支 援 802.1x 的 交 換 器 或 無 線 存 取 點 連 線 至 網 路 Enforcer 裝 置 執 行 主 機 驗 證, 而 非 使 用 者 層 級 的 驗 證 它 可 確 保 嘗 試 連 線 至 企 業 網 路 的 用 戶 端 電 腦, 符 合 企 業 的 安 全 性 政 策 您 可 以 在 Symantec Endpoint Protection Manager 架 構 公 司 的 安 全 性 政 策 如 果 用 戶 端 不 符 合 安 全 性 政 策,Enforcer 裝 置 可 採 取 下 列 行 動 : 攔 截 其 網 路 存 取 僅 允 許 存 取 有 限 資 源 選 購 的 Enforcer 裝 置 也 能 將 用 戶 端 重 新 導 向 至 有 矯 正 伺 服 器 的 隔 離 區 域 如 此 一 來, 用 戶 端 就 可 以 從 矯 正 伺 服 器 取 得 所 需 的 軟 體 應 用 程 式 特 徵 檔 案 或 修 正 程 式 例 如, 部 分 網 路 可 能 已 經 架 構 完 成, 可 讓 用 戶 端 透 過 支 援 802.1x 的 交 換 器 連 線 至 區 域 網 路 (LAN); 如 果 是 這 樣, 您 可 以 針 對 這 些 用 戶 端 使 用 LAN Enforcer 裝 置 對 於 透 過 支 援 802.1x 的 無 線 存 取 點 連 線 的 用 戶 端, 您 也 可 以 使 用 LAN Enforcer 裝 置 請 參 閱 第 31 頁 的 LAN Enforcer 裝 置 的 運 作 方 式 請 參 閱 第 52 頁 的 LAN Enforcer 裝 置 的 安 裝 規 劃 網 路 的 其 他 部 分 可 能 並 未 設 定 支 援 802.1x 您 可 以 使 用 DHCP Enforcer 裝 置 來 管 理 這 些 用 戶 端 的 強 制 執 行 請 參 閱 第 29 頁 的 DHCP Enforcer 裝 置 的 運 作 方 式 請 參 閱 第 45 頁 的 DHCP Enforcer 裝 置 的 安 裝 規 劃 如 果 有 員 工 是 遠 端 作 業, 並 透 過 VPN 或 撥 接 方 式 連 線, 則 可 在 這 些 用 戶 端 使 用 Gateway Enforcer 裝 置 如 果 無 線 存 取 點 不 支 援 802.1x, 您 也 可 以 使 用 Gateway Enforcer 裝 置 請 參 閱 第 29 頁 的 Gateway Enforcer 裝 置 的 運 作 方 式 請 參 閱 第 36 頁 的 Gateway Enforcer 裝 置 的 安 裝 規 劃 如 需 高 可 用 性, 您 可 以 在 同 一 位 置 安 裝 兩 個 或 更 多 Gateway Enforcer DHCP 或 LAN Enforcer 裝 置, 以 提 供 容 錯 移 轉 功 能 請 參 閱 第 42 頁 的 Gateway Enforcer 裝 置 的 容 錯 移 轉 規 劃
Enforcer 裝 置 簡 介 關 於 主 機 完 整 性 政 策 與 Enforcer 裝 置 27 請 參 閱 第 49 頁 的 DHCP Enforcer 裝 置 的 容 錯 移 轉 規 劃 請 參 閱 第 55 頁 的 LAN Enforcer 裝 置 的 容 錯 移 轉 規 劃 如 果 您 需 要 LAN Enforcer 裝 置 提 供 高 可 用 性, 必 須 安 裝 多 個 LAN Enforcer 裝 置 與 支 援 802.1x 的 交 換 器 新 增 支 援 802.1x 的 交 換 器 之 後 可 達 到 高 可 用 性 如 果 您 僅 安 裝 多 個 LAN Enforcer 裝 置, 但 是 未 安 裝 支 援 802.1x 的 交 換 器, 則 無 法 達 到 高 可 用 性 您 可 以 架 構 支 援 802.1x 的 交 換 器, 以 達 到 高 可 用 性 如 需 架 構 支 援 802.1x 的 交 換 器 以 達 到 高 可 用 性 的 相 關 資 訊, 請 參 閱 支 援 802.1x 的 交 換 器 隨 附 的 說 明 文 件 在 某 些 網 路 架 構 中, 用 戶 端 可 能 會 透 過 一 部 以 上 的 Enforcer 裝 置 連 線 到 網 路 在 第 一 個 Enforcer 裝 置 提 供 用 戶 端 驗 證 之 後, 其 他 所 有 Enforcer 裝 置 都 必 須 驗 證 該 用 戶 端, 該 用 戶 端 才 能 夠 連 線 至 網 路 關 於 主 機 完 整 性 政 策 與 Enforcer 裝 置 所 有 Enforcer 裝 置 在 用 戶 端 電 腦 上 檢 查 的 安 全 性 政 策, 稱 為 主 機 完 整 性 政 策 您 可 以 在 Symantec Endpoint Protection Manager 的 主 控 台 建 立 和 管 理 主 機 完 整 性 政 策 主 機 完 整 性 政 策 指 定 用 戶 端 必 須 執 行 的 軟 體 例 如, 您 可 以 指 定 用 戶 端 電 腦 上 的 下 列 安 全 軟 體 必 須 符 合 某 些 需 求 : 防 毒 軟 體 防 間 諜 軟 體 的 軟 體 防 火 牆 軟 體 修 正 程 式 Service Pack 如 果 預 先 定 義 的 需 求 不 符 所 需, 您 也 可 以 自 訂 需 求 如 需 架 構 和 自 訂 主 機 完 整 性 政 策 的 相 關 資 訊, 請 參 閱 Symantec Endpoint Protection 及 Symantec Network Access Control 管 理 指 南 您 可 以 架 構 用 戶 端 多 次 執 行 主 機 完 整 性 檢 查 用 戶 端 嘗 試 連 線 至 網 路 時, 會 執 行 主 機 完 整 性 檢 查, 並 將 結 果 傳 送 至 Enforcer 裝 置 Enforcer 裝 置 通 常 會 設 定 為, 確 認 用 戶 端 通 過 主 機 完 整 性 檢 查 後, 才 授 予 用 戶 端 網 路 存 取 權 限 如 果 用 戶 端 通 過 主 機 完 整 性 檢 查, 表 示 用 戶 端 符 合 貴 公 司 的 主 機 完 整 性 政 策 但 是, 各 類 型 的 Enforcer 裝 置 所 定 義 的 網 路 存 取 標 準 都 不 同 請 參 閱 第 29 頁 的 Gateway Enforcer 裝 置 的 運 作 方 式 請 參 閱 第 29 頁 的 DHCP Enforcer 裝 置 的 運 作 方 式
28 Enforcer 裝 置 簡 介 關 於 主 機 完 整 性 政 策 與 Enforcer 裝 置 請 參 閱 第 31 頁 的 LAN Enforcer 裝 置 的 運 作 方 式 Enforcer 裝 置 與 Symantec Endpoint Protection Manager 之 間 的 通 訊 Enforcer 裝 置 會 與 Symantec Endpoint Protection Manager 保 持 連 線 每 隔 一 段 時 間 ( 活 動 訊 號 ),Enforcer 裝 置 會 從 管 理 伺 服 器 擷 取 控 制 Enforcer 裝 置 運 作 方 式 的 設 定 影 響 Enforcer 裝 置 的 管 理 伺 服 器 有 任 何 變 更 時,Enforcer 裝 置 就 會 在 下 一 個 活 動 訊 號 期 間 收 到 更 新 Enforcer 裝 置 會 將 其 狀 態 資 訊 傳 送 到 管 理 伺 服 器, 也 可 記 錄 其 轉 送 到 管 理 伺 服 器 的 事 件 此 項 資 訊 隨 後 會 出 現 在 管 理 伺 服 器 的 日 誌 中 Symantec Endpoint Protection Manager 會 保 留 含 重 複 資 料 庫 資 訊 的 管 理 伺 服 器 清 單, 將 管 理 伺 服 器 清 單 下 載 至 連 線 的 Enforcer 以 及 受 管 用 戶 端 和 訪 客 用 戶 端 如 果 Enforcer 裝 置 與 一 個 管 理 伺 服 器 中 斷 連 線, 可 以 連 線 至 管 理 伺 服 器 清 單 內 的 其 他 管 理 伺 服 器 如 果 Enforcer 裝 置 重 新 啟 動, 也 會 使 用 管 理 伺 服 器 清 單 重 新 建 立 與 管 理 伺 服 器 的 連 線 若 用 戶 端 嘗 試 透 過 Enforcer 裝 置 連 線 至 網 路,Enforcer 裝 置 會 驗 證 用 戶 端 的 唯 一 識 別 碼 (UID) Enforcer 裝 置 會 將 UID 傳 送 至 管 理 伺 服 器, 並 接 收 接 受 或 拒 絕 的 回 應 如 果 Enforcer 裝 置 架 構 為 驗 證 UID, 則 Enforcer 裝 置 會 從 管 理 伺 服 器 擷 取 資 訊 Enforcer 裝 置 會 判 斷 用 戶 端 設 定 檔 是 否 更 新 為 最 新 的 安 全 性 政 策 如 果 管 理 伺 服 器 的 用 戶 端 資 訊 ( 例 如, 用 戶 端 識 別 碼 或 用 戶 端 設 定 檔 ) 變 更, 管 理 伺 服 器 可 傳 送 資 訊 到 Enforcer 裝 置, 讓 Enforcer 裝 置 可 以 在 用 戶 端 再 次 執 行 主 機 驗 證 Enforcer 裝 置 與 用 戶 端 之 間 的 通 訊 用 戶 端 嘗 試 連 線 至 網 路 時,Enforcer 裝 置 與 用 戶 端 便 會 開 始 進 行 通 訊 Enforcer 裝 置 可 以 偵 測 用 戶 端 是 否 正 在 執 行 如 果 用 戶 端 正 在 執 行,Enforcer 會 開 始 進 行 用 戶 端 驗 證 程 序 用 戶 端 的 回 應 是 執 行 主 機 完 整 性 檢 查, 並 將 檢 查 結 果 及 設 定 檔 資 訊 傳 回 給 Enforcer 用 戶 端 還 會 傳 送 其 唯 一 識 別 碼 (UID),Enforcer 再 將 識 別 碼 傳 到 Manager 進 行 驗 證 Enforcer 裝 置 會 使 用 設 定 檔 資 訊, 驗 證 用 戶 端 是 否 符 合 最 新 安 全 性 政 策 如 果 不 符 合,Enforcer 裝 置 就 會 通 知 用 戶 端 更 新 其 設 定 檔 一 旦 DHCP Enforcer 或 Gateway Enforcer 裝 置 允 許 用 戶 端 連 線 至 網 路, 就 會 依 照 預 先 定 義 的 固 定 時 間 間 隔, 持 續 與 用 戶 端 通 訊 此 次 通 訊 可 讓 Enforcer 裝 置 持 續 驗 證 用 戶 端 對 於 LAN Enforcer 裝 置,802.1x 交 換 器 會 執 行 此 定 期 驗 證 作 業 舉 例 而 言, 到 了 重 新 驗 證 的 時 間,802.1 交 換 器 會 開 始 新 的 驗 證 階 段 作 業 Enforcer 裝 置 需 要 隨 時 保 持 執 行 狀 態, 否 則 用 戶 端 嘗 試 連 線 至 公 司 網 路 時, 可 能 會 遭 到 攔 截
Enforcer 裝 置 簡 介 Gateway Enforcer 裝 置 的 運 作 方 式 29 Gateway Enforcer 裝 置 的 運 作 方 式 Gateway Enforcer 裝 置 會 執 行 單 向 檢 查 會 檢 查 嘗 試 透 過 Gateway Enforcer 裝 置 的 外 部 NIC 連 線 到 公 司 網 路 的 用 戶 端 Gateway Enforcer 裝 置 使 用 下 列 程 序 來 驗 證 用 戶 端 : 用 戶 端 嘗 試 存 取 網 路 時,Gateway Enforcer 裝 置 會 先 檢 查 用 戶 端 是 否 執 行 Symantec Endpoint Protection 用 戶 端, 或 Symantec Network Access Control 用 戶 端 如 果 用 戶 端 執 行 上 述 任 何 用 戶 端 軟 體,Gateway Enforcer 裝 置 就 會 開 始 主 機 驗 證 程 序 在 使 用 者 電 腦 上 執 行 的 用 戶 端, 會 執 行 主 機 完 整 性 檢 查 接 著 會 將 結 果 傳 至 Gateway Enforcer 裝 置, 包 括 其 識 別 資 訊 以 及 有 關 安 全 性 政 策 狀 態 的 資 訊 Gateway Enforcer 裝 置 會 使 用 Symantec Endpoint Protection Manager 確 認 用 戶 端 是 否 為 合 法 用 戶 端, 且 其 安 全 性 政 策 是 否 為 最 新 Gateway Enforcer 裝 置 會 確 認 用 戶 端 是 否 通 過 主 機 完 整 性 檢 查, 且 遵 循 安 全 性 政 策 如 果 所 有 程 序 都 通 過,Gateway Enforcer 裝 置 便 會 允 許 用 戶 端 連 線 到 網 路 如 果 用 戶 端 不 符 合 存 取 要 求, 您 可 設 定 Gateway Enforcer 裝 置 執 行 下 列 動 作 : 監 控 並 記 錄 特 定 事 件 若 未 通 過 主 機 完 整 性 檢 查 便 攔 截 使 用 者 在 用 戶 端 顯 示 彈 出 式 訊 息 提 供 有 限 的 網 路 存 取 權 給 用 戶 端, 以 便 其 使 用 網 路 資 源 來 進 行 矯 正 作 業 若 要 設 定 Gateway Enforcer 裝 置 驗 證, 請 架 構 要 檢 查 的 用 戶 端 IP 位 址 您 可 指 定 受 信 任 的 外 部 IP 位 址, 不 需 經 過 Gateway Enforcer 裝 置 驗 證 就 可 存 取 網 路 若 要 進 行 矯 正 作 業, 可 架 構 Gateway Enforcer 裝 置, 允 許 用 戶 端 存 取 受 信 任 的 內 部 IP 位 址 例 如, 您 可 允 許 用 戶 端 存 取 包 含 防 毒 DAT 檔 案 的 更 新 伺 服 器 或 檔 案 伺 服 器 若 用 戶 端 未 安 裝 Symantec 用 戶 端 軟 體, 您 可 以 將 用 戶 端 HTTP 要 求 重 新 導 向 至 Web 伺 服 器 例 如, 您 可 以 在 要 取 得 矯 正 軟 體 的 位 置 上 提 供 額 外 的 指 示, 或 允 許 用 戶 端 下 載 用 戶 端 軟 體 您 也 可 以 架 構 Gateway Enforcer 裝 置, 允 許 非 Windows 用 戶 端 存 取 網 路 Gateway Enforcer 裝 置 的 功 能 為 橋 接 器, 而 非 路 由 器 只 要 用 戶 端 通 過 驗 證,Gateway Enforcer 裝 置 便 會 轉 送 封 包 來 允 許 用 戶 端 存 取 網 路 DHCP Enforcer 裝 置 的 運 作 方 式 DHCP Enforcer 裝 置 用 來 作 為 內 嵌 式 安 全 性 政 策 執 行 橋 接 器, 以 保 護 內 部 網 路 用 戶 端 嘗 試 連 線 網 路 時, 會 傳 送 DHCP 要 求 來 取 得 動 態 IP 位 址 交 換 器 或 路 由 器 ( 作
30 Enforcer 裝 置 簡 介 DHCP Enforcer 裝 置 的 運 作 方 式 為 DHCP 中 繼 用 戶 端 ) 會 將 DHCP 要 求 路 由 至 DHCP Enforcer 裝 置 DHCP Enforcer 裝 置 架 構 為 嵌 入 在 DHCP 伺 服 器 之 前 在 將 DHCP 要 求 轉 送 到 DHCP 伺 服 器 之 前, Enforcer 裝 置 會 先 驗 證 用 戶 端 是 否 符 合 安 全 性 政 策 如 果 用 戶 端 符 合 安 全 性 政 策,DHCP Enforcer 裝 置 便 會 將 用 戶 端 IP 位 址 要 求 傳 送 到 一 般 DHCP 伺 服 器 如 果 代 理 程 式 不 符 合 安 全 性 政 策,Enforcer 會 將 其 連 線 至 隔 離 DHCP 伺 服 器, 讓 隔 離 伺 服 器 指 派 用 戶 端 至 隔 離 網 路 架 構 您 可 在 一 台 電 腦 上 安 裝 DHCP 伺 服 器, 並 架 構 其 同 時 提 供 一 般 及 隔 離 網 路 架 構 為 使 DHCP Enforcer 裝 置 解 決 方 案 完 整, 管 理 員 需 要 設 定 矯 正 伺 服 器 矯 正 伺 服 器 會 限 制 已 隔 離 用 戶 端 的 存 取 權 限, 使 此 類 用 戶 端 只 能 與 矯 正 伺 服 器 互 動 若 需 要 高 可 用 性, 可 安 裝 兩 個 以 上 的 DHCP Enforcer 裝 置 來 提 供 容 錯 移 轉 功 能 DHCP Enforcer 會 在 嘗 試 存 取 DHCP 伺 服 器 的 用 戶 端 上 強 制 執 行 安 全 性 政 策 如 果 用 戶 端 驗 證 失 敗,DHCP Enforcer 不 會 攔 截 DHCP 要 求,DHCP Enforcer 裝 置 反 而 會 將 DHCP 要 求 轉 送 到 隔 離 DHCP 伺 服 器, 以 取 得 暫 時 且 範 圍 受 限 的 網 路 組 態 當 用 戶 端 首 次 傳 送 DHCP 要 求,DHCP Enforcer 裝 置 會 將 其 轉 送 到 隔 離 DHCP 伺 服 器, 以 取 得 租 用 時 間 較 短 的 暫 時 IP 位 址 然 後 DHCP Enforcer 裝 置 會 開 始 它 與 用 戶 端 之 間 的 驗 證 程 序 DHCP Enforcer 裝 置 會 使 用 下 列 方 法 來 驗 證 用 戶 端 : 當 用 戶 端 嘗 試 存 取 企 業 網 路 時,Enforcer 裝 置 會 先 檢 查 用 戶 端 電 腦 是 否 執 行 Symantec Network Access Control 用 戶 端 軟 體 如 果 用 戶 端 電 腦 執 行 Symantec Network Access Control 用 戶 端 軟 體, 則 Enforcer 裝 置 就 會 開 始 主 機 驗 證 的 程 序 在 用 戶 端 電 腦 上 執 行 的 Symantec 用 戶 端 軟 體 會 執 行 主 機 完 整 性 檢 查 用 戶 端 接 著 會 將 檢 查 結 果, 以 及 其 識 別 資 訊 和 安 全 性 政 策 狀 態 的 相 關 資 訊 一 起 傳 送 到 Enforcer 裝 置 DHCP Enforcer 裝 置 會 使 用 Symantec Endpoint Protection Manager 確 認 用 戶 端 是 否 為 合 法 用 戶 端, 且 其 安 全 性 政 策 是 否 為 最 新 DHCP Enforcer 裝 置 會 確 認 用 戶 端 是 否 已 通 過 主 機 完 整 性 檢 查, 且 符 合 安 全 性 政 策 如 果 所 有 步 驟 都 通 過, 則 DHCP Enforcer 裝 置 會 確 保 釋 出 隔 離 IP 位 址 然 後 DHCP Enforcer 裝 置 會 將 用 戶 端 的 DHCP 要 求 路 由 至 一 般 DHCP 伺 服 器 此 時 用 戶 端 便 會 收 到 一 般 IP 位 址 及 網 路 架 構 如 果 用 戶 端 不 符 合 安 全 性 要 求,DHCP Enforcer 裝 置 會 確 保 隔 離 DHCP 伺 服 器 更 新 該 DHCP 要 求 接 著 用 戶 端 會 收 到 隔 離 網 路 架 構, 此 架 構 必 須 設 定 為 允 許 存 取 矯 正 伺 服 器 您 也 可 以 架 構 DHCP Enforcer 裝 置, 允 許 非 Windows 用 戶 端 存 取 一 般 DHCP 伺 服 器
Enforcer 裝 置 簡 介 LAN Enforcer 裝 置 的 運 作 方 式 31 LAN Enforcer 裝 置 的 運 作 方 式 LAN Enforcer 裝 置 會 作 為 遠 端 驗 證 撥 接 使 用 者 服 務 (Remote Authentication Dial-In User Service,RADIUS) Proxy 您 可 以 使 用 LAN Enforcer 裝 置 搭 配 RADIUS 伺 服 器, 以 執 行 下 列 動 作 : 執 行 傳 統 802.1x/EAP 使 用 者 驗 證 拒 絕 惡 意 電 腦 存 取 網 路 任 何 嘗 試 連 線 至 網 路 的 使 用 者, 必 須 先 透 過 RADIUS 進 行 驗 證 驗 證 用 戶 端 電 腦 是 否 遵 從 管 理 伺 服 器 上 所 設 的 安 全 性 政 策 ( 主 機 驗 證 ) 您 可 以 強 制 執 行 安 全 性 政 策, 例 如 確 保 電 腦 有 正 確 的 防 毒 軟 體 修 正 程 式 或 其 他 軟 體 您 可 以 驗 證 用 戶 端 電 腦 是 否 執 行 Symantec 用 戶 端, 以 及 是 否 通 過 主 機 完 整 性 檢 查 在 沒 有 使 用 RADIUS 伺 服 器 的 網 路 上,LAN Enforcer 裝 置 只 會 執 行 主 機 驗 證 作 業 LAN Enforcer 裝 置 會 與 支 援 EAP/802.1x 驗 證 的 交 換 器 或 無 線 存 取 點 通 訊 交 換 器 或 無 線 存 取 點 通 常 會 架 構 到 兩 個 或 更 多 虛 擬 區 域 網 路 (VLAN) 用 戶 端 電 腦 上 的 Symantec 用 戶 端 會 使 用 EAPOL (EAP over LAN) 通 訊 協 定, 將 EAP 資 訊 或 主 機 完 整 性 資 訊 傳 送 到 交 換 器, 交 換 器 會 再 將 資 訊 轉 送 到 LAN Enforcer 裝 置 進 行 驗 證 您 可 以 架 構 LAN Enforcer 裝 置, 在 驗 證 失 敗 時 做 出 多 種 可 能 的 回 應 回 應 會 視 驗 證 失 敗 的 類 型 而 定 : 主 機 驗 證 或 EAP 使 用 者 驗 證 如 果 您 使 用 交 換 器 或 無 線 存 取 點, 可 以 設 定 LAN Enforcer 裝 置, 將 通 過 驗 證 的 用 戶 端 導 向 至 不 同 的 VLAN 交 換 器 或 無 線 存 取 點 必 須 提 供 動 態 VLAN 交 換 功 能 VLAN 可 能 會 包 含 矯 正 VLAN 如 果 您 使 用 LAN Enforcer 搭 配 RADIUS 伺 服 器, 可 以 為 Enforcer 架 構 多 個 RADIUS 伺 服 器 連 線 如 果 RADIUS 伺 服 器 連 線 中 斷,LAN Enforcer 裝 置 就 可 以 切 換 到 其 他 連 線 此 外, 您 也 可 以 設 定 多 個 LAN Enforcer 裝 置 連 線 至 交 換 器 如 果 某 個 LAN Enforcer 裝 置 無 法 回 應, 就 會 由 其 他 LAN Enforcer 裝 置 處 理 驗 證 LAN Enforcer 基 本 架 構 的 運 作 方 式 如 果 您 熟 悉 802.1x 驗 證, 可 以 使 用 基 本 架 構 檢 視 嘗 試 存 取 網 路 之 用 戶 端 的 詳 細 資 訊 您 可 以 使 用 這 些 資 訊 來 排 解 網 路 連 線 故 障 802.1x LAN 強 制 執 行 的 基 本 架 構 運 作 方 式 如 下 : 請 求 者 ( 例 如 用 戶 端 電 腦 ) 透 過 驗 證 器 ( 例 如 :802.1x 交 換 器 ) 嘗 試 存 取 網 路 交 換 器 會 發 現 此 電 腦 並 要 求 識 別 電 腦 上 的 802.1x 請 求 者 會 提 示 使 用 者 輸 入 使 用 者 名 稱 及 密 碼, 並 以 識 別 資 訊 回 應 接 著 交 換 器 會 將 資 訊 轉 送 到 LAN Enforcer, 再 轉 送 到 RADIUS 伺 服 器
32 Enforcer 裝 置 簡 介 LAN Enforcer 裝 置 的 運 作 方 式 RADIUS 伺 服 器 會 根 據 其 架 構 選 取 EAP 類 型, 以 產 生 EAP 挑 戰 LAN Enforcer 接 收 挑 戰 後 會 新 增 主 機 完 整 性 挑 戰, 並 將 其 轉 送 到 交 換 器 再 由 交 換 器 將 EAP 及 主 機 完 整 性 挑 戰 轉 送 到 用 戶 端 用 戶 端 接 收 挑 戰 後 會 傳 送 回 應 交 換 器 收 到 回 應 後 再 轉 送 到 LAN Enforcer LAN Enforcer 會 檢 驗 主 機 完 整 性 檢 查 的 結 果 及 用 戶 端 狀 態 資 訊, 再 將 其 轉 送 到 RADIUS 伺 服 器 RADIUS 伺 服 器 會 執 行 EAP 驗 證 並 將 結 果 傳 回 LAN Enforcer LAN Enforcer 接 收 驗 證 結 果 後, 會 再 轉 送 結 果 及 要 採 取 的 動 作 交 換 器 會 選 擇 適 當 的 動 作, 並 允 許 一 般 網 路 存 取 攔 截 存 取, 或 根 據 結 果 允 許 存 取 替 代 VLAN LAN Enforcer 透 明 模 式 的 運 作 方 式 LAN Enforcer 透 明 模 式 的 運 作 方 式 如 下 : 請 求 者 ( 例 如 用 戶 端 電 腦 ) 透 過 驗 證 器 ( 例 如 :802.1x 交 換 器 ) 嘗 試 存 取 網 路 驗 證 器 會 發 現 此 電 腦 並 傳 送 EAP 驗 證 封 包 ( 僅 允 許 EAP 流 量 ) 作 為 EAP 請 求 者 的 用 戶 端 會 發 現 驗 證 封 包, 並 以 主 機 完 整 性 驗 證 回 應 交 換 器 會 將 主 機 完 整 性 驗 證 結 果 傳 送 到 作 為 RADIUS Proxy 伺 服 器 的 LAN Enforcer 裝 置 LAN Enforcer 裝 置 會 依 據 驗 證 結 果 將 VLAN 指 派 的 相 關 資 訊 回 覆 至 交 換 器 關 於 802.1x 驗 證 IEEE 802.1X-2001 是 針 對 無 線 及 有 線 LAN 定 義 存 取 控 制 的 一 種 標 準 此 標 準 會 提 供 架 構 來 驗 證 和 控 制 受 防 護 網 路 上 的 使 用 者 流 量 此 標 準 指 定 使 用 延 伸 驗 證 通 訊 協 定 (EAP), 此 通 訊 協 定 使 用 中 央 驗 證 伺 服 器, 如 遠 端 驗 證 使 用 者 撥 接 服 務 (RADIUS), 來 驗 證 嘗 試 存 取 網 路 的 每 個 使 用 者 802.1x 標 準 包 含 EAP-over-LAN (EAPOL) 規 格 EAPOL 可 在 連 接 層 訊 框 中 ( 例 如 乙 太 網 路 ) 嵌 入 EAP 訊 息, 並 提 供 控 制 功 能 802.1x 架 構 包 含 下 列 關 鍵 元 件 : 驗 證 器 驗 證 伺 服 器 進 行 驗 證 的 實 體, 例 如 遵 從 802.1x 的 LAN 交 換 器 或 無 線 網 路 存 取 點 提 供 實 際 驗 證 功 能 的 實 體, 例 如 RADIUS 伺 服 器, 會 針 對 提 供 的 憑 證 進 行 驗 證 以 回 應 挑 戰
Enforcer 裝 置 簡 介 對 第 三 方 執 行 解 決 方 案 的 支 援 33 請 求 者 尋 求 網 路 存 取 權 限 並 嘗 試 成 功 通 過 驗 證 的 實 體, 例 如 電 腦 當 請 求 者 裝 置 連 線 到 啟 用 802.1x 的 網 路 交 換 驗 證 器 時, 就 會 開 始 下 列 程 序 : 交 換 器 發 出 EAP 識 別 要 求 EAP 請 求 者 軟 體 發 出 EAP 識 別 回 應, 再 由 交 換 器 轉 送 到 驗 證 伺 服 器 ( 如 RADIUS) 驗 證 伺 服 器 發 出 EAP 挑 戰, 再 由 交 換 器 轉 送 到 請 求 者 使 用 者 輸 入 驗 證 憑 證 ( 使 用 者 名 稱 及 密 碼 記 號 等 ) 請 求 者 會 傳 送 EAP 挑 戰 回 應 到 交 換 器, 其 中 包 括 使 用 者 提 供 的 憑 證, 然 後 再 轉 送 到 驗 證 伺 服 器 驗 證 伺 服 器 會 檢 驗 認 證 並 回 覆 EAP 或 使 用 者 驗 證 結 果, 表 示 驗 證 成 功 或 失 敗 如 果 驗 證 成 功, 交 換 器 便 會 允 許 一 般 傳 輸 存 取 ; 如 果 驗 證 失 敗 則 會 攔 截 用 戶 端 裝 置 無 論 結 果 為 何 都 會 通 知 請 求 者 驗 證 過 程 只 允 許 EAP 流 量 若 需 EAP 的 相 關 資 訊, 請 參 閱 IETF 的 RFC 2284,URL 如 下 : http://www.ietf.org/rfc/rfc2284.txt 若 需 IEEE 標 準 802.1x 的 詳 細 資 訊, 請 參 閱 此 標 準 的 相 關 文 件,URL 如 下 : http://standards.ieee.org/getieee802/download/802.1x-2001.pdf 對 第 三 方 執 行 解 決 方 案 的 支 援 賽 門 鐵 克 針 對 下 列 第 三 方 廠 商 提 供 強 制 執 行 解 決 方 案 : 通 用 強 制 執 行 API 賽 門 鐵 克 開 發 了 通 用 強 制 執 行 API, 可 讓 具 備 相 關 技 術 的 廠 商, 將 其 解 決 方 案 與 賽 門 鐵 克 軟 體 整 合 Cisco 網 路 許 可 控 制 程 式 Symantec 用 戶 端 可 支 援 Cisco 網 路 許 可 控 制 程 式 強 制 執 行 解 決 方 案 何 處 可 找 到 Symantec Enforcer 裝 置 的 詳 細 資 訊 表 1-2 列 出 您 在 安 裝 Enforcer 前 後 可 能 需 要 執 行 之 相 關 工 作 的 各 種 資 訊 來 源
34 Enforcer 裝 置 簡 介 何 處 可 找 到 Symantec Enforcer 裝 置 的 詳 細 資 訊 表 1-2 Enforcer 文 件 Symantec Enforcer 說 明 文 件 用 法 Symantec Endpoint Protection 及 Symantec Network Access Control 安 裝 指 南 Symantec Endpoint Protection 及 Symantec Network Access Control 管 理 指 南 Symantec Endpoint Protection 及 Symantec Network Access Control 用 戶 端 指 南 說 明 如 何 安 裝 Symantec Endpoint Protection Manager Symantec Endpoint Protection 用 戶 端 和 Symantec Network Access Control 用 戶 端 其 亦 說 明 如 何 架 構 內 嵌 和 Microsoft SQL 資 料 庫, 以 及 如 何 設 定 複 寫 說 明 如 何 架 構 和 管 理 Symantec Endpoint Protection Manager Symantec Endpoint Protection 用 戶 端 和 Symantec Network Access Control 用 戶 端 其 亦 說 明 如 何 設 定 Enforcer 用 來 在 用 戶 端 電 腦 上 部 署 遵 循 的 主 機 完 整 性 政 策 說 明 如 何 使 用 Symantec Endpoint Protection 用 戶 端 和 Symantec Network Access Control 用 戶 端 Symantec Network Access Control Enforcer 操 作 指 南 線 上 說 明 On-Demand 用 戶 端 線 上 說 明 Enforcer 指 令 行 介 面 說 明 readme.txt 檔 案 說 明 如 何 安 裝 和 管 理 所 有 類 型 的 Symantec Network Access Control 裝 置 和 Integrated Enforcer 另 外 說 明 如 何 使 用 Macintosh 和 Linux 的 On-demand 用 戶 端 說 明 如 何 使 用 Symantec Endpoint Protection Manager Symantec Endpoint Protection 用 戶 端 和 Symantec Network Access Control 用 戶 端 另 外 說 明 如 何 使 用 各 個 Integrated Enforcer 說 明 如 何 使 用 Macintosh 和 Linux 的 On-demand 用 戶 端 當 您 在 指 令 行 介 面 (CLI) 指 令 行 上 鍵 入? 時 提 供 說 明 包 含 有 關 可 能 影 響 Symantec Endpoint Protection Manager 之 Enforcer 相 關 重 要 問 題 的 最 新 資 訊
2 規 劃 Enforcer 裝 置 安 裝 作 業 本 章 包 含 以 下 主 題 : Enforcer 裝 置 的 安 裝 規 劃 Gateway Enforcer 裝 置 的 安 裝 規 劃 Gateway Enforcer 裝 置 的 容 錯 移 轉 規 劃 DHCP Enforcer 裝 置 的 安 裝 規 劃 DHCP Enforcer 裝 置 的 容 錯 移 轉 規 劃 LAN Enforcer 裝 置 的 安 裝 規 劃 LAN Enforcer 裝 置 的 容 錯 移 轉 規 劃 Enforcer 裝 置 的 安 裝 規 劃 您 必 須 在 網 路 中 規 劃 整 合 下 列 Linux 系 統 Symantec Network Access Control Enforcer 裝 置 的 位 置 : Symantec Network Access Control Gateway Enforcer 裝 置 請 參 閱 第 36 頁 的 Gateway Enforcer 裝 置 的 安 裝 規 劃 Symantec Network Access Control DHCP Enforcer 裝 置 請 參 閱 第 45 頁 的 DHCP Enforcer 裝 置 的 安 裝 規 劃 Symantec Network Access Control LAN Enforcer 裝 置 請 參 閱 第 52 頁 的 LAN Enforcer 裝 置 的 安 裝 規 劃 Symantec Network Access Control Integrated DHCP Enforcer for Microsoft DHCP Servers
36 規 劃 Enforcer 裝 置 安 裝 作 業 Gateway Enforcer 裝 置 的 安 裝 規 劃 請 參 閱 第 273 頁 的 關 於 規 劃 Integrated Enforcer for Microsoft DHCP Servers 的 安 裝 Symantec Network Access Control Integrated DHCP Enforcer for Microsoft Network Access Protection Servers 請 參 閱 第 331 頁 的 關 於 Symantec Integrated NAP Enforcer 的 安 裝 規 劃 Gateway Enforcer 裝 置 的 安 裝 規 劃 數 種 不 同 類 型 的 規 劃 資 訊, 可 協 助 您 在 網 路 上 實 作 Gateway Enforcer 裝 置 您 可 以 設 置 Gateway Enforcer 裝 置, 來 協 助 防 護 下 列 網 路 區 域 : 一 般 位 置 請 參 閱 第 36 頁 的 放 置 Gateway Enforcer 裝 置 的 位 置 請 參 閱 第 39 頁 的 Gateway Enforcer 裝 置 上 IP 位 址 的 準 則 請 參 閱 第 39 頁 的 關 於 兩 個 連 續 的 Gateway Enforcer 裝 置 請 參 閱 第 39 頁 的 透 過 Gateway Enforcer 裝 置 防 護 VPN 存 取 請 參 閱 第 39 頁 的 透 過 Gateway Enforcer 裝 置 防 護 無 線 存 取 點 請 參 閱 第 40 頁 的 透 過 Gateway Enforcer 裝 置 防 護 伺 服 器 請 參 閱 第 40 頁 的 透 過 Gateway Enforcer 裝 置 防 護 非 Windows 伺 服 器 和 用 戶 端 請 參 閱 第 41 頁 的 允 許 非 Windows 用 戶 端 無 須 經 過 驗 證 的 要 求 放 置 Gateway Enforcer 裝 置 的 位 置 您 可 以 將 Gateway Enforcer 放 置 在 適 當 的 位 置, 使 得 所 有 流 量 必 須 通 過 Gateway Enforcer 才 能 使 用 戶 端 執 行 下 列 動 作 : 連 線 至 公 司 網 路 進 入 網 路 的 安 全 區 域 請 參 閱 第 39 頁 的 Gateway Enforcer 裝 置 上 IP 位 址 的 準 則 您 通 常 可 將 Gateway Enforcer 裝 置, 放 置 在 下 列 位 置 : VPN 無 線 存 取 點 (WAP) 伺 服 器 虛 擬 私 人 網 路 (VPN) 集 訊 器 與 公 司 網 路 之 間 無 線 存 取 點 與 公 司 網 路 之 間 公 司 伺 服 器 前 端
規 劃 Enforcer 裝 置 安 裝 作 業 Gateway Enforcer 裝 置 的 安 裝 規 劃 37 大 型 組 織 可 能 需 要 Gateway Enforcer 裝 置, 來 保 護 各 個 網 路 進 入 點 Gateway Enforcer 通 常 位 於 不 同 子 網 路 在 多 數 情 況 下, 您 不 需 變 更 硬 體 組 態, 就 能 將 Gateway Enforcer 裝 置 整 合 到 公 司 網 路 您 可 以 將 Gateway Enforcer 裝 置 放 置 於 無 線 存 取 點 (WAP) 或 虛 擬 私 人 網 路 (VPN) 旁 邊 在 公 司 網 路 中, 您 也 可 以 保 護 包 含 機 密 資 訊 的 伺 服 器 Gateway Enforcer 裝 置 必 須 使 用 兩 張 網 路 介 面 卡 (NIC) 圖 2-1 提 供 Gateway Enforcer 裝 置 可 放 置 在 整 體 網 路 組 態 中 的 範 例 位 置
38 規 劃 Enforcer 裝 置 安 裝 作 業 Gateway Enforcer 裝 置 的 安 裝 規 劃 圖 2-1 Gateway Enforcer 裝 置 的 設 置 遠 端 用 戶 端 VPN 無 線 Internet 公 司 外 部 公 司 內 部 內 部 用 戶 端 內 部 無 線 用 戶 端 公 司 防 火 牆 無 線 存 取 點 外 部 NIC 內 部 NIC Gateway Enforcer 外 部 NIC 內 部 NIC VPN 伺 服 器 Gateway Enforcer 公 司 主 幹 外 部 NIC 內 部 NIC Gateway Enforcer 內 部 用 戶 端 外 部 NIC 內 部 NIC Gateway Enforcer 受 保 護 的 伺 服 器 Symantec Endpoint Protection Manager Gateway Enforcer 裝 置 還 可 放 置 在 遠 端 存 取 伺 服 器 (RAS) 上 以 保 護 網 路, 而 用 戶 端 可 採 用 撥 接 方 式 連 線 至 公 司 網 路 RAS 撥 接 用 戶 端 的 架 構 方 式 與 無 線 及 VPN 用 戶 端 相 似 外 部 NIC 連 接 到 RAS 伺 服 器, 而 內 部 NIC 則 連 接 到 網 路
規 劃 Enforcer 裝 置 安 裝 作 業 Gateway Enforcer 裝 置 的 安 裝 規 劃 39 Gateway Enforcer 裝 置 上 IP 位 址 的 準 則 設 定 Gateway Enforcer 裝 置 的 內 部 NIC 位 址 時, 請 遵 循 下 列 準 則 : Gateway Enforcer 裝 置 的 內 部 NIC 必 須 能 夠 與 Symantec Endpoint Protection Manager 通 訊 根 據 預 設, 內 部 NIC 必 須 面 向 Symantec Endpoint Protection Manager 用 戶 端 必 須 能 與 Gateway Enforcer 裝 置 的 內 部 IP 位 址 通 訊 如 果 用 戶 端 能 路 由 至 與 Gateway Enforcer 裝 置 之 內 部 IP 位 址 相 同 的 子 網 路,VPN 伺 服 器 或 無 線 AP 可 位 於 不 同 的 子 網 路 中 若 為 防 護 內 部 伺 服 器 的 Gateway Enforcer 裝 置, 內 部 NIC 會 先 連 接 至 VLAN, VLAN 再 連 接 至 伺 服 器 如 果 您 在 容 錯 移 轉 組 態 中 使 用 多 個 Gateway Enforcer 裝 置, 則 每 個 Gateway Enforcer 裝 置 之 內 部 NIC 的 IP 位 址 必 須 有 各 自 的 IP 位 址 Gateway Enforcer 會 根 據 內 部 NIC 位 址, 產 生 非 真 實 的 外 部 NIC 位 址 如 果 您 安 裝 其 他 Gateway Enforcer, 則 不 需 要 再 次 進 行 架 構 關 於 兩 個 連 續 的 Gateway Enforcer 裝 置 如 果 網 路 支 援 兩 個 連 續 的 Gateway Enforcer 裝 置, 以 便 用 戶 端 透 過 一 個 以 上 的 Gateway Enforcer 裝 置 連 線 到 網 路, 您 就 必 須 將 最 靠 近 Symantec Endpoint Protection Manager 的 Enforcer 裝 置 指 定 為 其 他 Gateway Enforcer 裝 置 的 受 信 任 內 部 IP 位 址 否 則, 在 用 戶 端 能 連 線 到 網 路 之 前, 可 能 會 發 生 五 分 鐘 的 延 遲 當 用 戶 端 執 行 主 機 完 整 性 檢 查 失 敗 時, 就 可 能 發 生 延 遲 為 進 行 主 機 完 整 性 矯 正, 用 戶 端 會 下 載 必 要 的 軟 體 更 新, 然 後 再 次 執 行 主 機 完 整 性 檢 查 這 次 會 通 過 主 機 完 整 性 檢 查, 但 網 路 存 取 卻 因 此 而 延 遲 請 參 閱 Symantec Endpoint Protection 及 Symantec Network Access Control 管 理 指 南, 以 瞭 解 受 信 任 內 部 IP 位 址 的 資 訊 透 過 Gateway Enforcer 裝 置 防 護 VPN 存 取 VPN 存 取 防 護 是 使 用 Gateway Enforcer 裝 置 的 首 要 和 最 常 見 的 原 因 Gateway Enforcer 裝 置 可 置 於 VPN 進 入 點 處, 以 保 護 公 司 網 路 的 存 取 安 全 Gateway Enforcer 裝 置 會 設 置 在 VPN 伺 服 器 與 公 司 網 路 之 間 它 只 允 許 經 過 授 權 的 使 用 者 存 取 VPN, 而 其 他 人 無 法 存 取 透 過 Gateway Enforcer 裝 置 防 護 無 線 存 取 點 Enforcer 裝 置 可 在 無 線 存 取 點 (WAP) 防 護 企 業 網 路 Gateway Enforcer 裝 置 可 確 保 使 用 無 線 技 術 連 線 到 網 路 的 任 何 人 都 執 行 用 戶 端, 且 符 合 安 全 性 需 求
40 規 劃 Enforcer 裝 置 安 裝 作 業 Gateway Enforcer 裝 置 的 安 裝 規 劃 若 符 合 上 述 條 件, 就 會 授 予 用 戶 端 存 取 網 路 的 權 限 Gateway Enforcer 裝 置 會 設 置 在 WAP 與 公 司 網 路 之 間 外 部 NIC 會 指 向 WAP, 而 內 部 NIC 指 向 公 司 網 路 透 過 Gateway Enforcer 裝 置 防 護 伺 服 器 Gateway Enforcer 裝 置 可 保 護 公 司 網 路 中 存 放 機 密 資 訊 的 公 司 伺 服 器 一 般 組 織 會 將 重 要 資 料 存 放 在 管 制 電 腦 室 中 的 伺 服 器 上, 只 有 系 統 管 理 員 才 能 進 出 管 制 電 腦 室 Gateway Enforcer 裝 置 可 視 為 門 上 的 另 一 道 鎖 只 有 符 合 其 條 件 的 使 用 者 才 能 存 取 受 防 護 的 伺 服 器 伺 服 器 會 在 此 裝 置 中 尋 找 內 部 NIC, 但 嘗 試 存 取 的 使 用 者 必 須 通 過 外 部 NIC 為 保 護 這 些 伺 服 器, 您 可 限 制 只 有 指 定 IP 位 址 的 用 戶 端 才 有 存 取 權, 並 設 定 嚴 格 的 主 機 完 整 性 規 則 例 如, 您 可 架 構 Gateway Enforcer 裝 置 來 防 護 網 路 中 的 伺 服 器 Gateway Enforcer 裝 置 可 位 於 公 司 LAN 上 的 用 戶 端 與 其 所 防 護 的 伺 服 器 之 間 外 部 NIC 指 向 公 司 內 部 的 公 司 LAN, 而 內 部 NIC 則 指 向 受 防 護 的 伺 服 器 此 組 態 可 防 止 未 經 授 權 的 使 用 者 或 用 戶 端 存 取 伺 服 器 透 過 Gateway Enforcer 裝 置 防 護 非 Windows 伺 服 器 和 用 戶 端 您 可 以 在 Microsoft Windows 以 外 的 作 業 系 統 上 安 裝 伺 服 器 和 用 戶 端 然 而, Gateway Enforcer 裝 置 無 法 驗 證 在 不 支 援 Microsoft Windows 的 電 腦 上 執 行 的 任 何 伺 服 器 和 用 戶 端 如 果 組 織 內 部 存 在 作 業 系 統 未 安 裝 用 戶 端 軟 體 的 伺 服 器 和 用 戶 端, 則 您 必 須 決 定 使 用 下 列 哪 一 種 方 法 : 透 過 Gateway Enforcer 裝 置 實 作 支 援 請 參 閱 第 40 頁 的 透 過 Gateway Enforcer 裝 置 進 行 非 Windows 支 援 不 透 過 Gateway Enforcer 裝 置 實 作 支 援 請 參 閱 第 40 頁 的 不 透 過 Gateway Enforcer 裝 置 進 行 非 Windows 支 援 透 過 Gateway Enforcer 裝 置 進 行 非 Windows 支 援 您 可 以 架 構 Gateway Enforcer 裝 置 允 許 所 有 非 Windows 用 戶 端 存 取 網 路, 以 支 援 非 Windows 用 戶 端 如 果 以 此 方 式 架 構 Gateway Enforcer 裝 置, 則 它 會 偵 測 作 業 系 統, 以 識 別 執 行 非 Windows 作 業 系 統 的 用 戶 端 不 透 過 Gateway Enforcer 裝 置 進 行 非 Windows 支 援 您 可 以 使 用 另 一 種 方 式 支 援 非 Windows 用 戶 端, 也 就 是 允 許 非 Windows 用 戶 端 透 過 分 隔 存 取 點 存 取 網 路 您 可 以 透 過 分 隔 的 VPN 伺 服 器, 連 接 下 列 支 援 非 Windows 作 業 系 統 的 用 戶 端 :
規 劃 Enforcer 裝 置 安 裝 作 業 Gateway Enforcer 裝 置 的 安 裝 規 劃 41 一 部 VPN 伺 服 器, 可 以 支 援 已 安 裝 用 戶 端 軟 體 的 用 戶 端 以 Windows 為 基 礎 的 用 戶 端 電 腦 可 以 透 過 Gateway Enforcer 裝 置 來 連 接 至 公 司 網 路 其 他 VPN 伺 服 器, 可 以 支 援 執 行 非 Windows 作 業 系 統 的 用 戶 端 以 非 Windows 為 基 礎 的 用 戶 端 電 腦 可 以 不 透 過 Gateway Enforcer 裝 置 來 連 接 至 公 司 網 路 允 許 非 Windows 用 戶 端 無 須 經 過 驗 證 的 要 求 您 可 架 構 Gateway Enforcer 裝 置, 允 許 非 Windows 用 戶 端 而 無 須 經 過 驗 證 請 參 閱 第 41 頁 的 非 Windows 用 戶 端 要 求 當 用 戶 端 嘗 試 透 過 Gateway Enforcer 裝 置 存 取 公 司 網 路 時,Enforcer 裝 置 會 先 檢 查 用 戶 端 電 腦 是 否 已 安 裝 用 戶 端 軟 體 如 果 用 戶 端 並 未 執 行, 而 且 設 定 了 允 許 非 Windows 用 戶 端 的 選 項,Gateway Enforcer 裝 置 就 會 檢 查 作 業 系 統. 檢 查 作 業 系 統 的 方 式 是 藉 由 傳 送 資 訊 封 包 來 探 查 用 戶 端, 以 偵 測 目 前 執 行 的 作 業 系 統 類 型 如 果 用 戶 端 執 行 非 Windows 作 業 系 統, 則 會 允 許 用 戶 端 進 行 一 般 的 網 路 存 取 Windows 用 戶 端 要 求 當 Gateway Enforcer 裝 置 架 構 為 允 許 非 Windows 用 戶 端 連 線 至 網 路, 首 先 會 嘗 試 判 斷 用 戶 端 的 作 業 系 統 如 果 作 業 系 統 是 以 Windows 為 基 礎 的 作 業 系 統, 則 Gateway Enforcer 裝 置 會 對 用 戶 端 進 行 驗 證, 若 為 非 Windows 為 基 礎 的 作 業 系 統, 則 Gateway Enforcer 裝 置 會 允 許 用 戶 端 不 需 要 驗 證 即 可 連 線 至 網 路 為 了 使 Gateway Enforcer 裝 置 正 確 偵 測 到 Windows 作 業 系 統,Windows 用 戶 端 必 須 符 合 下 列 要 求 : 用 戶 端 上 必 須 安 裝 並 啟 用 Client for Microsoft Networks 選 項 請 參 閱 Windows 說 明 文 件 用 戶 端 必 須 開 啟 UDP 連 接 埠 137, 並 且 可 供 Gateway Enforcer 存 取 如 果 Windows 用 戶 端 無 法 符 合 這 些 要 求,Gateway Enforcer 裝 置 可 能 會 將 Windows 用 戶 端 視 為 非 Windows 用 戶 端 因 此,Gateway Enforcer 裝 置 可 允 許 非 Windows 用 戶 端 不 需 要 驗 證, 即 連 線 至 網 路 非 Windows 用 戶 端 要 求 Gateway Enforcer 裝 置 必 須 符 合 下 列 要 求, 才 會 允 許 Macintosh 用 戶 端 連 線 到 網 路 : Windows Sharing 必 須 啟 動 已 啟 用 此 預 設 設 定 Macintosh 內 建 防 火 牆 必 須 關 閉 此 設 定 為 預 設 值
42 規 劃 Enforcer 裝 置 安 裝 作 業 Gateway Enforcer 裝 置 的 容 錯 移 轉 規 劃 Linux 用 戶 端 必 須 符 合 下 列 要 求,Gateway Enforcer 才 會 允 許 連 線 : Linux 系 統 必 須 執 行 Samba 服 務 Gateway Enforcer 裝 置 的 容 錯 移 轉 規 劃 企 業 可 支 援 兩 個 Gateway Enforcer 裝 置, 其 中 一 個 Gateway Enforcer 裝 置 失 效 時, 另 一 個 仍 能 繼 續 運 作 在 未 架 構 容 錯 移 轉 的 網 路 中, 如 果 Gateway Enforcer 裝 置 失 效, 會 自 動 攔 截 該 位 置 的 網 路 存 取 在 未 提 供 容 錯 移 轉 的 網 路 中, 如 果 Gateway Enforcer 裝 置 失 效, 用 戶 端 將 無 法 再 連 線 至 網 路 用 戶 端 會 持 續 無 法 連 線 至 網 路, 直 到 Gateway Enforcer 裝 置 的 問 題 修 正 為 止 Gateway Enforcer 裝 置 的 容 錯 移 轉, 是 透 過 Gateway Enforcer 裝 置 本 身 進 行, 而 非 透 過 第 三 方 交 換 器 如 果 組 態 設 定 正 確,Symantec Endpoint Protection Manager 會 自 動 同 步 處 理 容 錯 移 轉 的 Gateway Enforcer 裝 置 設 定 Gateway Enforcer 裝 置 如 何 在 網 路 中 進 行 容 錯 移 轉 運 作 中 的 Gateway Enforcer 裝 置, 稱 為 作 用 中 Gateway Enforcer 裝 置 備 份 Gateway Enforcer 裝 置, 稱 為 待 機 Gateway Enforcer 裝 置 作 用 中 Gateway Enforcer 裝 置, 也 稱 為 主 要 Gateway Enforcer 裝 置 如 果 作 用 中 Gateway Enforcer 裝 置 失 效, 待 機 Gateway Enforcer 裝 置 會 接 續 強 化 安 全 作 業 啟 動 兩 個 Gateway Enforcer 裝 置 的 順 序 如 下 : 第 一 個 Gateway Enforcer 裝 置 啟 動 時, 會 在 待 機 模 式 下 執 行 在 待 機 模 式 下 執 行 時, 它 會 查 詢 網 路 來 判 斷 另 一 個 Gateway Enforcer 裝 置 是 否 執 行 查 詢 會 傳 送 三 次, 以 搜 尋 另 一 個 Gateway Enforcer 裝 置, 因 此, 可 能 需 要 幾 分 鐘 才 會 將 狀 態 變 更 為 線 上 如 果 第 一 個 Gateway Enforcer 裝 置 未 偵 測 到 另 一 個 Gateway Enforcer 裝 置, 第 一 個 Gateway Enforcer 裝 置 會 成 為 作 用 中 Gateway Enforcer 裝 置 作 用 中 Gateway Enforcer 裝 置 執 行 時, 會 在 內 部 及 外 部 網 路 上 廣 播 容 錯 移 轉 封 包, 且 容 錯 移 轉 封 包 會 持 續 廣 播 一 旦 第 二 個 Gateway Enforcer 裝 置 啟 動, 就 會 在 待 機 模 式 下 執 行 它 會 查 詢 網 路 來 判 斷 另 一 個 Gateway Enforcer 裝 置 是 否 執 行 第 二 個 Gateway Enforcer 裝 置, 會 偵 測 執 行 中 且 維 持 在 待 機 模 式 的 作 用 中 Gateway Enforcer 裝 置 如 果 作 用 中 Gateway Enforcer 裝 置 失 效, 會 停 止 廣 播 容 錯 移 轉 封 包 待 機 的 Gateway Enforcer 裝 置 不 會 再 偵 測 作 用 中 的 Gateway Enforcer 裝 置 因 此, 它 現 在 成 為 在 此 位 置 處 理 網 路 連 線 和 安 全 性 的 Gateway Enforcer 裝 置 如 果 您 啟 動 其 他 Gateway Enforcer 裝 置, 則 會 因 為 偵 測 到 另 一 個 Gateway Enforcer 裝 置 為 作 用 中, 而 維 持 為 待 機 的 Gateway Enforcer 裝 置
規 劃 Enforcer 裝 置 安 裝 作 業 Gateway Enforcer 裝 置 的 容 錯 移 轉 規 劃 43 在 具 有 一 或 多 個 VLAN 的 網 路 放 置 Gateway Enforcer 裝 置 用 於 容 錯 移 轉 的 位 置 您 可 以 按 照 Gateway Enforcer 裝 置 的 實 體 位 置, 或 按 照 在 Symantec Endpoint Protection Manager 上 執 行 的 組 態, 設 定 Gateway Enforcer 裝 置 用 於 容 錯 移 轉 如 果 您 使 用 集 線 器 來 支 援 多 個 VLAN, 則 只 能 使 用 一 個 VLAN, 除 非 整 合 支 援 802.1q 的 交 換 器, 而 非 集 線 器 用 於 容 錯 移 轉 的 Gateway Enforcer 裝 置, 必 須 設 定 於 同 一 個 網 路 區 段 路 由 器 或 閘 道 不 可 安 裝 在 兩 個 Gateway Enforcer 裝 置 之 間 因 為 路 由 器 或 閘 道 並 不 會 轉 送 容 錯 移 轉 封 包 內 部 NIC 必 須 透 過 相 同 的 交 換 器 或 集 線 器 連 線 到 內 部 網 路 外 部 NIC 必 須 透 過 相 同 的 交 換 器 或 集 線 器 連 線 到 外 部 VPN 伺 服 器 或 存 取 點 在 無 線 AP 撥 接 RAS 或 其 他 存 取 點, 您 可 使 用 相 同 的 程 序 架 構 Gateway Enforcer 裝 置 用 於 容 錯 移 轉 兩 個 Gateway Enforcer 裝 置 的 外 部 NIC 會 透 過 無 線 AP 或 RAS 伺 服 器 連 接 至 外 部 網 路 內 部 NIC 會 連 接 至 內 部 網 路 或 受 防 護 的 區 域 圖 2-2 顯 示 設 定 兩 個 Gateway Enforcer 裝 置 用 於 容 錯 移 轉 的 方 式, 以 保 護 VPN 集 訊 器 的 網 路 存 取 權
44 規 劃 Enforcer 裝 置 安 裝 作 業 Gateway Enforcer 裝 置 的 容 錯 移 轉 規 劃 圖 2-2 兩 個 Gateway Enforcer 裝 置 的 設 置 遠 端 用 戶 端 VPN Internet 公 司 外 部 公 司 內 部 公 司 防 火 牆 內 部 用 戶 端 VPN 伺 服 器 外 部 NIC 內 部 NIC Gateway Enforcer 1 集 線 器 /VLAN 外 部 NIC 內 部 NIC Gateway Enforcer 2 集 線 器 /VLAN 公 司 主 幹 內 部 用 戶 端 受 保 護 的 伺 服 器 Symantec Endpoint Protection Manager 設 定 Gateway Enforcer 裝 置 用 於 容 錯 移 轉 設 定 待 機 Enforcer 時, 您 應 該 熟 悉 與 Gateway Enforcer 裝 置 容 錯 移 轉 有 關 的 概 念
規 劃 Enforcer 裝 置 安 裝 作 業 DHCP Enforcer 裝 置 的 安 裝 規 劃 45 請 參 閱 第 42 頁 的 Gateway Enforcer 裝 置 如 何 在 網 路 中 進 行 容 錯 移 轉 設 定 Gateway Enforcer 裝 置 用 於 容 錯 移 轉 1 將 電 腦 加 入 網 路 請 參 閱 第 43 頁 的 在 具 有 一 或 多 個 VLAN 的 網 路 放 置 Gateway Enforcer 裝 置 用 於 容 錯 移 轉 的 位 置 2 設 定 內 部 NIC 多 個 Gateway Enforcer 裝 置 上 的 內 部 NIC, 必 須 各 自 有 不 同 的 IP 位 址 請 參 閱 第 39 頁 的 Gateway Enforcer 裝 置 上 IP 位 址 的 準 則 DHCP Enforcer 裝 置 的 安 裝 規 劃 數 種 不 同 類 型 的 規 劃 資 訊, 可 協 助 您 在 網 路 上 實 作 DHCP Enforcer 裝 置 您 可 以 設 置 DHCP Enforcer 裝 置, 來 協 助 防 護 下 列 網 路 區 域 : 請 參 閱 第 45 頁 的 在 網 路 何 處 放 置 DHCP Enforcer 裝 置 請 參 閱 第 47 頁 的 DHCP Enforcer 裝 置 IP 位 址 請 參 閱 第 48 頁 的 以 DHCP 強 制 執 行 防 護 非 Windows 用 戶 端 請 參 閱 第 48 頁 的 關 於 DHCP 伺 服 器 在 網 路 何 處 放 置 DHCP Enforcer 裝 置 如 果 您 要 確 定 DHCP Enforcer 裝 置 可 攔 截 DHCP 用 戶 端 與 DHCP 伺 服 器 之 間 的 所 有 DHCP 訊 息, 就 必 須 將 DHCP Enforcer 安 裝 為 線 內 裝 置 DHCP Enforcer 必 須 安 裝 在 DHCP 用 戶 端 與 DHCP 伺 服 器 之 間 DHCP Enforcer 裝 置 的 內 部 NIC 會 連 線 至 DHCP 伺 服 器 DHCP Enforcer 的 外 部 NIC 會 透 過 作 為 DHCP 轉 接 代 理 的 路 由 器 或 交 換 器, 連 線 到 用 戶 端 Symantec Endpoint Protection Manager 也 會 連 線 到 DHCP Enforcer 裝 置 的 外 部 NIC 您 可 以 架 構 一 個 DHCP Enforcer 裝 置, 以 便 與 多 個 DHCP 伺 服 器 進 行 通 訊 例 如, 同 一 子 網 路 中 可 以 有 多 個 DHCP 伺 服 器, 以 備 容 錯 移 轉 之 用 如 果 各 個 DHCP 伺 服 器 設 置 在 網 路 上 的 不 同 位 置, 則 每 個 伺 服 器 均 需 要 個 別 的 DHCP Enforcer 裝 置 在 每 個 DHCP 伺 服 器 位 置, 都 需 要 設 定 一 般 DHCP 伺 服 器 及 隔 離 DHCP 伺 服 器 您 可 架 構 Enforcer, 使 其 得 以 辨 識 多 個 隔 離 DHCP 伺 服 器, 以 及 多 個 一 般 DHCP 伺 服 器 附 註 : 您 可 以 將 一 個 DHCP 伺 服 器 安 裝 到 一 部 電 腦 上, 並 架 構 為 同 時 提 供 標 準 網 路 架 構 和 隔 離 所 網 路 架 構
46 規 劃 Enforcer 裝 置 安 裝 作 業 DHCP Enforcer 裝 置 的 安 裝 規 劃 您 還 必 須 設 定 矯 正 伺 服 器, 接 收 隔 離 組 態 的 用 戶 端 才 能 連 接 到 矯 正 伺 服 器 您 也 可 以 選 擇 使 Symantec Endpoint Protection Manager 與 矯 正 伺 服 器 在 同 一 部 電 腦 上 執 行 Symantec Endpoint Protection Manager 和 矯 正 伺 服 器, 都 不 需 要 與 DHCP Enforcer 裝 置 或 DHCP 伺 服 器 直 接 連 線 如 果 用 戶 端 符 合 安 全 性 要 求, 則 DHCP Enforcer 裝 置 會 成 為 DHCP 轉 接 代 理 DHCP Enforcer 裝 置 會 將 用 戶 端 連 線 到 一 般 DHCP 伺 服 器, 而 且 用 戶 端 會 取 得 一 般 網 路 架 構 如 果 用 戶 端 未 符 合 安 全 性 要 求, 則 DHCP Enforcer 裝 置 會 將 用 戶 端 連 線 到 隔 離 DHCP 伺 服 器 然 後 用 戶 端 會 取 得 隔 離 網 路 架 構 圖 2-3 以 範 例 說 明 DHCP Enforcer 裝 置 所 需 的 各 種 元 件 及 其 設 置 位 置 附 註 : 雖 然 插 圖 中 顯 示 在 另 一 部 電 腦 上 設 有 隔 離 DHCP 伺 服 器, 但 事 實 上 只 需 要 一 部 電 腦 如 果 您 只 使 用 一 部 電 腦, 就 必 須 架 構 DHCP 伺 服 器, 提 供 兩 個 不 同 的 網 路 架 構 其 中 一 個 網 路 架 構 必 須 是 隔 離 網 路 架 構
規 劃 Enforcer 裝 置 安 裝 作 業 DHCP Enforcer 裝 置 的 安 裝 規 劃 47 圖 2-3 DHCP Enforcer 裝 置 的 設 置 Symantec Endpoint Protection Manager 用 戶 端 中 繼 代 理 伺 服 器 公 司 主 幹 集 線 器 / 交 換 機 外 部 NIC 內 部 NIC DHCP Enforcer 裝 置 集 線 器 / 交 換 機 DHCP 伺 服 器 DHCP Enforcer 裝 置 IP 位 址 設 定 DHCP Enforcer 裝 置 的 IP 位 址 時, 必 須 按 照 特 定 方 式 進 行 設 定 DHCP Enforcer 裝 置 的 內 部 NIC 時, 請 遵 循 下 列 準 則 : DHCP Enforcer 裝 置 的 內 部 IP 位 址 與 DHCP 伺 服 器 必 須 位 在 相 同 子 網 路 用 戶 端 必 須 能 與 DHCP Enforcer 裝 置 的 內 部 IP 位 址 通 訊 如 果 您 在 容 錯 移 轉 架 構 中 使 用 多 個 DHCP Enforcer 裝 置, 則 每 個 DHCP Enforcer 上 內 部 NIC 的 IP 位 址 必 須 都 不 同
48 規 劃 Enforcer 裝 置 安 裝 作 業 DHCP Enforcer 裝 置 的 安 裝 規 劃 如 果 您 在 容 錯 移 轉 架 構 中 使 用 多 個 DHCP Enforcer 裝 置, 則 用 戶 端 必 須 能 夠 與 作 用 中 及 待 機 DHCP Enforcer 裝 置 的 內 部 IP 位 址 通 訊 設 定 DHCP Enforcer 裝 置 的 外 部 NIC 時, 請 遵 循 下 列 準 則 : DHCP Enforcer 裝 置 的 外 部 IP 位 址 必 須 能 夠 與 Symantec Endpoint Protection Manager 進 行 通 訊 該 位 址 必 須 與 內 部 NIC 的 IP 範 圍 位 於 相 同 子 網 路 中 在 這 種 情 況 下,Symantec Endpoint Protection Manager 位 於 交 換 器 的 一 端, 而 DHCP Enforcer 裝 置 位 於 交 換 器 的 另 一 端 如 果 您 在 容 錯 移 轉 架 構 中 使 用 多 個 DHCP Enforcer 裝 置, 則 每 個 DHCP Enforcer 裝 置 上 外 部 NIC 的 IP 位 址 必 須 都 不 同 以 DHCP 強 制 執 行 防 護 非 Windows 用 戶 端 關 於 DHCP 伺 服 器 在 執 行 Microsoft Windows 作 業 系 統 的 用 戶 端 上, 您 可 以 安 裝 Symantec Endpoint Protection 軟 體 或 Symantec Network Access Control 軟 體 若 未 安 裝 Symantec Endpoint Protection 軟 體,DHCP Enforcer 就 無 法 驗 證 用 戶 端 如 果 組 織 中 某 些 用 戶 端 作 業 系 統 ( 例 如 Linux 或 Solaris) 不 支 援 這 兩 個 軟 體, 規 劃 時 必 須 考 量 如 何 處 理 這 些 用 戶 端 如 果 您 實 作 非 Windows 用 戶 端 的 支 援, 便 可 以 將 DHCP Enforcer 裝 置 架 構 為 允 許 所 有 非 Windows 用 戶 端 連 線 到 網 路 以 此 方 式 架 構 DHCP Enforcer 裝 置 時,DHCP Enforcer 裝 置 會 偵 測 作 業 系 統, 以 識 別 執 行 非 Windows 作 業 系 統 的 用 戶 端 或 者, 您 也 可 以 設 定 DHCP Enforcer, 允 許 特 定 MAC 位 址 存 取 公 司 網 路 當 具 有 受 信 任 MAC 位 址 的 用 戶 端 嘗 試 連 線 到 網 路 時,DHCP Enforcer 會 將 用 戶 端 的 DHCP 要 求 轉 送 至 一 般 DHCP 伺 服 器, 不 會 進 行 驗 證 您 可 以 在 各 個 電 腦 上 設 定 個 別 的 隔 離 DHCP 伺 服 器 您 也 可 以 架 構 相 同 的 DHCP 伺 服 器, 以 提 供 一 般 網 路 架 構 與 隔 離 網 路 架 構 隔 離 網 路 組 態 必 須 提 供 下 列 元 件 的 存 取 權 : 矯 正 伺 服 器 Symantec Endpoint Protection Manager DHCP 伺 服 器 DHCP Enforcer 裝 置 如 果 您 有 多 個 DHCP Enforcer 裝 置 以 備 容 錯 移 轉 之 用, 隔 離 網 路 架 構 必 須 使 這 些 元 件 可 供 存 取 隔 離 IP 位 址 用 於 DHCP Enforcer 驗 證 期 間, 如 下 所 示 : DHCP Enforcer 裝 置 會 先 針 對 用 戶 端 取 得 暫 時 隔 離 IP 位 址, 以 便 對 用 戶 端 進 行 驗 證
規 劃 Enforcer 裝 置 安 裝 作 業 DHCP Enforcer 裝 置 的 容 錯 移 轉 規 劃 49 如 果 驗 證 成 功,DHCP Enforcer 裝 置 會 傳 送 通 知 訊 息 給 用 戶 端, 提 示 用 戶 端 立 即 進 行 IP 釋 出 及 IP 更 新 您 可 以 在 隔 離 架 構 中 指 派 較 短 的 租 約 時 間 賽 門 鐵 克 建 議 2 分 鐘 如 果 您 支 援 兩 部 DHCP 伺 服 器, 您 可 以 在 一 般 網 路 IP 位 址 範 圍 之 外 另 外 設 定 IP 位 址 範 圍 然 後 您 就 可 以 使 用 這 個 獨 立 IP 位 址 範 圍 中 的 任 何 IP 位 址 來 隔 離 未 授 權 的 用 戶 端 但 是, 用 於 隔 離 的 IP 位 址 範 圍 必 須 和 一 般 網 路 IP 位 址 位 於 同 一 個 子 網 路 您 可 以 指 派 隔 離 DHCP 伺 服 器 可 使 用 的 某 些 受 限 制 IP 位 址 您 也 可 以 使 用 已 啟 用 ACL 的 路 由 器 或 交 換 器, 以 避 免 這 些 受 限 制 IP 位 址 存 取 一 般 網 路 資 源 如 果 您 使 用 DHCP 伺 服 器, 則 必 須 架 構 使 用 者 類 別 用 於 隔 離 架 構, 類 別 名 稱 為 SYGATE_ENF 某 些 架 構 步 驟 會 在 DHCP 伺 服 器 上 執 行 完 成 安 裝 之 後, 其 他 架 構 工 作 需 在 Enforcer 主 控 台 上 進 行 一 部 DHCP 伺 服 器 上 的 一 般 DHCP 伺 服 器 與 隔 離 DHCP 伺 服 器 一 般 DHCP 伺 服 器 和 隔 離 DHCP 伺 服 器 可 以 是 同 一 部 伺 服 器 建 議 您 使 用 兩 部 伺 服 器 如 果 您 要 使 用 一 部 DHCP 伺 服 器 同 時 作 為 一 般 及 隔 離 DHCP 伺 服 器, 必 須 考 慮 下 列 準 則 : Microsoft DHCP 伺 服 器 不 支 援 多 個 子 網 路 若 要 使 用 Microsoft DHCP 伺 服 器, 需 要 有 兩 部 DHCP 伺 服 器 若 只 要 使 用 一 部 Microsoft DHCP 伺 服 器, 則 所 有 電 腦 都 必 須 使 用 相 同 IP 位 址 子 網 路 如 果 您 的 環 境 使 用 兩 個 不 同 的 子 網 路, 則 必 須 確 定 路 由 器 具 備 在 單 一 路 由 器 介 面 管 理 兩 個 子 網 路 的 功 能 例 如,Cisco 路 由 器 具 備 的 IP secondary 功 能 如 需 詳 細 資 訊, 請 參 閱 路 由 器 說 明 文 件 DHCP Enforcer 裝 置 的 容 錯 移 轉 規 劃 企 業 可 以 在 網 路 中 架 構 兩 台 DHCP Enforcer 裝 置, 萬 一 其 中 一 台 DHCP Enforcer 裝 置 故 障, 還 可 以 繼 續 運 作 如 果 DHCP Enforcer 裝 置 在 沒 有 架 構 容 錯 移 轉 的 網 路 中 故 障, 則 該 位 置 的 網 路 存 取 會 自 動 中 斷 在 未 提 供 容 錯 移 轉 的 網 路 中, 如 果 DHCP Enforcer 裝 置 失 效, 使 用 者 將 無 法 再 連 線 至 網 路 此 問 題 會 持 續 發 生, 直 到 DHCP Enforcer 裝 置 的 問 題 修 正 為 止 對 DHCP Enforcer 裝 置 而 言, 容 錯 移 轉 是 透 過 DHCP Enforcer 裝 置 本 身 實 作 的, 而 不 是 透 過 第 三 方 交 換 器 如 果 硬 體 組 態 設 定 正 確,Symantec Endpoint Protection Manager 會 自 動 同 步 處 理 容 錯 移 轉 DHCP Enforcer 裝 置 的 設 定
50 規 劃 Enforcer 裝 置 安 裝 作 業 DHCP Enforcer 裝 置 的 容 錯 移 轉 規 劃 網 路 中 的 DHCP Enforcer 裝 置 如 何 容 錯 移 轉 運 作 中 的 DHCP Enforcer 裝 置 稱 為 作 用 中 DHCP Enforcer 裝 置 備 援 DHCP Enforcer 裝 置 則 稱 為 待 機 DHCP Enforcer 裝 置 作 用 中 DHCP Enforcer 裝 置 也 稱 為 主 要 DHCP Enforcer 裝 置 如 果 作 用 中 DHCP Enforcer 裝 置 故 障, 待 機 DHCP Enforcer 裝 置 便 會 接 手 強 制 執 行 工 作 兩 台 DHCP Enforcer 裝 置 的 啟 動 順 序 如 下 : 第 一 台 DHCP Enforcer 裝 置 啟 動 時 會 以 待 機 模 式 執 行, 並 會 查 詢 網 路, 以 確 認 另 一 台 DHCP Enforcer 裝 置 是 否 正 在 執 行 它 會 傳 送 三 次 查 詢 來 搜 尋 另 一 台 DHCP Enforcer, 因 此, 可 能 需 要 幾 分 鐘 才 會 將 狀 態 變 更 為 線 上 如 果 沒 有 偵 測 到 另 一 台 DHCP Enforcer 裝 置, 它 就 會 變 成 作 用 中 DHCP Enforcer 裝 置 作 用 中 DHCP Enforcer 裝 置 執 行 時, 會 在 內 部 和 外 部 網 路 上 廣 播 容 錯 移 轉 封 包, 且 容 錯 移 轉 封 包 會 持 續 廣 播 第 二 台 DHCP Enforcer 裝 置 接 著 會 啟 動 它 會 以 待 機 模 式 執 行, 同 時 查 詢 網 路 來 確 認 另 一 台 DHCP Enforcer 裝 置 是 否 正 在 執 行 第 二 台 DHCP Enforcer 裝 置 偵 測 到 作 用 中 DHCP Enforcer 裝 置 正 在 執 行, 因 此 仍 會 處 於 待 機 模 式 如 果 作 用 中 DHCP Enforcer 裝 置 故 障, 便 會 停 止 廣 播 容 錯 移 轉 封 包, 待 機 DHCP Enforcer 裝 置 不 會 再 偵 測 作 用 中 DHCP Enforcer 裝 置 此 時, 待 機 DHCP Enforcer 裝 置 會 成 為 作 用 中 DHCP Enforcer 裝 置, 開 始 處 理 此 位 置 的 網 路 連 線 及 安 全 如 果 您 啟 動 其 他 DHCP Enforcer 裝 置, 由 於 偵 測 到 另 一 台 DHCP Enforcer 裝 置 正 在 執 行, 因 此 會 維 持 待 機 DHCP Enforcer 裝 置 的 狀 態 在 只 有 一 個 或 有 多 個 VLAN 的 網 路 中 放 置 容 錯 移 轉 DHCP Enforcer 裝 置 的 位 置 您 可 以 根 據 實 際 位 置 以 及 在 Symantec Endpoint Protection Manager 上 執 行 的 組 態 來 設 定 容 錯 移 轉 DHCP Enforcer 裝 置 如 果 您 使 用 集 線 器 來 支 援 多 個 VLAN, 則 只 能 使 用 一 個 VLAN, 除 非 整 合 支 援 802.1q 的 交 換 器, 而 非 集 線 器 容 錯 移 轉 DHCP Enforcer 裝 置 必 須 設 定 在 相 同 的 網 路 區 段 兩 台 DHCP Enforcer 裝 置 之 間 不 能 安 裝 路 由 器 或 閘 道 因 為 路 由 器 或 閘 道 並 不 會 轉 送 容 錯 移 轉 封 包 內 部 NIC 必 須 透 過 相 同 的 交 換 器 或 集 線 器 連 線 到 內 部 網 路 外 部 NIC 必 須 透 過 相 同 的 交 換 器 或 集 線 器 連 線 到 外 部 VPN 伺 服 器 或 存 取 點 在 無 線 AP 撥 接 RAS 或 其 他 存 取 點 架 構 容 錯 移 轉 DHCP Enforcer 裝 置 的 方 式 差 別 不 大, 兩 台 DHCP Enforcer 裝 置 的 外 接 NIC 會 透 過 無 線 AP 或 RAS 伺 服 器, 連 線 到 外 部 網 路 內 部 NIC 會 連 線 到 受 防 護 的 內 部 網 路 或 區 域
規 劃 Enforcer 裝 置 安 裝 作 業 DHCP Enforcer 裝 置 的 容 錯 移 轉 規 劃 51 圖 2-4 顯 示 如 何 設 定 兩 台 DHCP Enforcer 裝 置 來 進 行 容 錯 移 轉, 以 保 護 VPN 集 訊 器 的 網 路 存 取 圖 2-4 兩 台 DHCP Enforcer 裝 置 的 配 置 用 戶 端 Symantec Endpoint Protection Manager 中 繼 代 理 公 司 主 幹 伺 服 器 外 部 NIC 內 部 NIC DHCP Enforcer 裝 置 集 線 器 / 交 換 機 集 線 器 / 交 換 機 容 錯 移 轉 DHCP Enforcer 裝 置 外 部 NIC 內 部 NIC DHCP 伺 服 器 設 定 DHCP Enforcer 裝 置 進 行 容 錯 移 轉 設 定 待 命 DHCP Enforcer 裝 置 之 前, 您 應 熟 悉 與 DHCP Enforcer 裝 置 容 錯 移 轉 相 關 的 概 念 請 參 閱 第 50 頁 的 網 路 中 的 DHCP Enforcer 裝 置 如 何 容 錯 移 轉
52 規 劃 Enforcer 裝 置 安 裝 作 業 LAN Enforcer 裝 置 的 安 裝 規 劃 設 定 DHCP Enforcer 裝 置 進 行 容 錯 移 轉 1 將 電 腦 加 入 網 路 請 參 閱 第 50 頁 的 在 只 有 一 個 或 有 多 個 VLAN 的 網 路 中 放 置 容 錯 移 轉 DHCP Enforcer 裝 置 的 位 置 2 設 定 外 部 和 內 部 NIC 多 台 DHCP Enforcer 裝 置 上 的 外 部 NIC 都 必 須 各 有 不 同 的 IP 位 址 多 台 DHCP Enforcer 裝 置 上 的 內 部 NIC 都 必 須 各 有 不 同 的 IP 位 址 請 參 閱 第 47 頁 的 DHCP Enforcer 裝 置 IP 位 址 3 安 裝 並 啟 動 主 要 DHCP Enforcer 裝 置 如 果 主 要 DHCP Enforcer 裝 置 找 不 到 另 一 台 DHCP Enforcer, 便 會 成 為 作 用 中 DHCP Enforcer 裝 置 4 安 裝 並 啟 動 待 命 DHCP Enforcer 裝 置 5 將 待 命 DHCP Enforcer 裝 置 連 線 到 與 作 用 中 DHCP Enforcer 裝 置 相 同 的 Symantec Endpoint Protection Manager 如 果 兩 台 DHCP Enforcer 裝 置 之 前 的 執 行 時 間 相 同, 則 IP 位 址 較 低 的 會 成 為 主 要 DHCP Enforcer 裝 置 Symantec Endpoint Protection Manager 上 預 設 會 啟 用 容 錯 移 轉 Symantec Endpoint Protection Manager 會 自 動 將 待 命 DHCP Enforcer 裝 置, 指 派 到 相 同 的 Enforcer 群 組 所 以, 可 以 同 步 處 理 主 要 和 待 命 DHCP Enforcer 裝 置 的 設 定 下 列 容 錯 移 轉 設 定 預 設 會 啟 用 : 容 錯 移 轉 UDP 通 訊 埠 的 預 設 設 定 為 39999 容 錯 移 轉 DHCP Enforcer 裝 置 會 使 用 此 通 訊 埠 相 互 進 行 通 訊 容 錯 移 轉 靈 敏 度 等 級 預 設 為 高 ( 少 於 5 秒 ) 容 錯 移 轉 靈 敏 度 等 級 決 定 待 命 DHCP Enforcer 裝 置, 成 為 主 要 DHCP Enforcer 裝 置 所 需 的 時 間 只 有 待 命 DHCP Enforcer 裝 置 偵 測 出 主 要 DHCP Enforcer 裝 置 沒 有 作 用 時, 才 會 進 行 容 錯 移 轉 LAN Enforcer 裝 置 的 安 裝 規 劃 數 種 不 同 類 型 的 規 劃 資 訊, 可 協 助 您 在 網 路 上 實 作 LAN Enforcer 裝 置 請 參 閱 第 53 頁 的 放 置 LAN Enforcer 裝 置 的 位 置
規 劃 Enforcer 裝 置 安 裝 作 業 LAN Enforcer 裝 置 的 安 裝 規 劃 53 放 置 LAN Enforcer 裝 置 的 位 置 LAN Enforcer 裝 置 是 作 為 RADIUS Proxy 之 用 管 理 員 通 常 會 使 用 LAN Enforcer 裝 置 搭 配 RADIUS 伺 服 器, 在 公 司 網 路 內 部 執 行 802.1x 延 伸 驗 證 通 訊 協 定 (EAP) 驗 證 如 果 您 在 此 組 態 中 使 用 LAN Enforcer 裝 置, 則 LAN Enforcer 裝 置 必 須 能 夠 與 RADIUS 伺 服 器 通 訊 例 如, 您 可 以 將 LAN Enforcer 裝 置 連 線 到 內 部 VLAN 中 Symantec Endpoint Protection Manager RADIUS 伺 服 器 與 用 戶 端 的 支 援 802.1x 的 LAN 交 換 器 沒 有 用 戶 端 軟 體 的 電 腦 無 法 連 線 至 網 路 但 該 用 戶 端 被 導 向 至 矯 正 伺 服 器, 從 該 伺 服 器 取 得 相 容 所 需 的 軟 體 圖 2-5 顯 示 您 可 在 整 體 內 部 網 路 組 態 中 設 置 LAN Enforcer 裝 置 之 位 置 的 範 例
54 規 劃 Enforcer 裝 置 安 裝 作 業 LAN Enforcer 裝 置 的 安 裝 規 劃 圖 2-5 LAN Enforcer 裝 置 的 設 置 用 戶 端 支 援 802.1x 的 LAN 交 換 機 ( 對 內 部 啟 用 dot1x 通 訊 埠 ) 修 正 VLAN 修 正 伺 服 器 RADIUS 伺 服 器 LAN Enforcer 裝 置 (RADIUS 代 理 ) 公 司 主 幹 受 保 護 的 伺 服 器 Symantec Endpoint Protection Manager 如 果 交 換 器 支 援 動 態 切 換 VLAN 功 能, 則 可 在 支 援 802.1x 的 交 換 器 上 架 構 其 他 VLAN, 並 透 過 LAN Enforcer 裝 置 存 取 支 援 802.1x 的 交 換 器 可 在 收 到 RADIUS 伺 服 器 的 回 覆 後, 將 用 戶 端 動 態 分 配 到 不 同 VLAN 部 分 支 援 802.1x 的 交 換 器 也 具 備 預 設 或 訪 客 VLAN 功 能 : 如 果 用 戶 端 沒 有 802.1x 請 求 者, 則 支 援 802.1x 的 交 換 器 會 將 用 戶 端 導 向 預 設 VLAN
規 劃 Enforcer 裝 置 安 裝 作 業 LAN Enforcer 裝 置 的 容 錯 移 轉 規 劃 55 您 可 以 安 裝 LAN Enforcer 裝 置, 以 便 在 已 部 署 此 裝 置 的 整 個 網 路 上 啟 用 EAP 驗 證 LAN Enforcer 裝 置 可 搭 配 現 存 RADIUS 伺 服 器 802.1x 用 戶 端 裝 置 及 具 備 支 援 802.1x 功 能 的 交 換 器 使 用, 可 執 行 電 腦 層 級 的 驗 證, 以 確 保 用 戶 端 符 合 安 全 性 原 則 例 如, 它 會 檢 查 防 毒 軟 體 是 否 已 使 用 最 新 的 特 徵 檔 案 更 新 以 及 必 要 的 軟 體 修 正 程 式 來 進 行 更 新 802.1x 請 求 者 和 RADIUS 伺 服 器 會 執 行 使 用 者 層 級 的 驗 證 它 會 驗 證 嘗 試 連 線 到 網 路 的 用 戶 端 所 聲 稱 的 身 分 另 外,LAN Enforcer 裝 置 也 可 在 透 明 模 式 下 運 作, 便 不 需 要 使 用 RADIUS 伺 服 器 在 透 明 模 式 下, 用 戶 端 會 將 主 機 完 整 性 資 訊 傳 送 到 支 援 802.1x 的 交 換 器, 以 回 應 EAP 挑 戰 然 後 交 換 器 會 將 資 訊 轉 送 至 LAN Enforcer LAN Enforcer 裝 置 會 將 驗 證 結 果 傳 送 回 支 援 802.1x 的 交 換 器 LAN Enforcer 裝 置 傳 送 的 資 訊, 是 根 據 主 機 完 整 性 驗 證 結 果 而 得 因 此,LAN Enforcer 裝 置 不 需 要 與 RADIUS 伺 服 器 進 行 通 訊 下 列 架 構 可 用 於 LAN Enforcer 裝 置 : 基 本 架 構 此 架 構 需 要 具 備 RADIUS 伺 服 器 與 第 三 方 802.1x 請 求 者 傳 統 EAP 使 用 者 驗 證 與 Symantec 主 機 完 整 性 驗 證 都 會 執 行 Transparent mode 此 架 構 不 需 要 RADIUS 伺 服 器, 也 不 需 要 使 用 第 三 方 802.1x 請 求 者 只 會 執 行 主 機 完 整 性 驗 證 您 可 以 考 慮 下 列 事 項 : 是 否 會 在 每 部 電 腦 上 安 裝 802.1x 用 戶 端 裝 置? 如 果 您 計 畫 在 每 部 電 腦 上 安 裝 802.1x 請 求 者, 可 以 使 用 基 本 架 構 除 了 主 機 完 整 性 檢 查 之 外, 還 要 執 行 使 用 者 層 級 驗 證 嗎? 除 了 主 機 完 整 性 檢 查 之 外, 如 果 您 也 要 執 行 使 用 者 層 級 驗 證, 則 必 須 使 用 基 本 架 構 您 是 否 計 畫 在 網 路 架 構 中 使 用 RADIUS 伺 服 器? 如 果 您 計 畫 在 網 路 架 構 中 使 用 RADIUS 伺 服 器, 則 可 以 使 用 基 本 架 構 或 透 明 模 式 如 果 您 未 計 畫 在 網 路 架 構 中 使 用 RADIUS 伺 服 器, 則 必 須 使 用 透 明 模 式 LAN Enforcer 裝 置 的 容 錯 移 轉 規 劃 如 果 您 已 在 網 路 安 裝 兩 個 LAN Enforcer 裝 置, 便 會 透 過 支 援 802.1x 的 交 換 器 處 理 容 錯 移 轉 支 援 802.1x 的 交 換 器 可 支 援 多 個 LAN Enforcer 裝 置 透 過 同 步 處 理 設 定, 您 可 在 Symantec Endpoint Protection Manager 輕 鬆 同 步 處 理 LAN Enforcer 裝 置 的 設 定 如 果 您 要 與 其 他 LAN Enforcer 裝 置 同 步 處 理 一 個 LAN Enforcer 裝 置 的 設 定, 您 必 須 在 Enforcer 主 控 台 上 指 定 相 同 的 Enforcer 群 組 名 稱
56 規 劃 Enforcer 裝 置 安 裝 作 業 LAN Enforcer 裝 置 的 容 錯 移 轉 規 劃 如 果 您 在 網 路 中 使 用 RADIUS 伺 服 器, 可 將 LAN Enforcer 裝 置 架 構 為 連 線 至 多 個 RADIUS 伺 服 器, 便 能 提 供 RADIUS 伺 服 器 容 錯 移 轉 功 能 如 果 針 對 該 LAN Enforcer 裝 置 架 構 的 所 有 RADIUS 伺 服 器 都 停 用, 交 換 器 會 認 定 該 LAN Enforcer 裝 置 已 停 用 因 此, 支 援 802.1x 的 交 換 器 會 連 線 至 提 供 額 外 容 錯 移 轉 支 援 的 其 他 LAN Enforcer 裝 置 在 網 路 中 放 置 容 錯 移 轉 LAN Enforcer 裝 置 的 位 置 圖 2-6 說 明 如 何 為 LAN Enforcer 裝 置 提 供 容 錯 移 轉
規 劃 Enforcer 裝 置 安 裝 作 業 LAN Enforcer 裝 置 的 容 錯 移 轉 規 劃 57 圖 2-6 兩 台 LAN Enforcer 裝 置 的 配 置 用 戶 端 矯 正 VLAN 矯 正 伺 服 器 支 援 802.1x 的 LAN 交 換 機 ( 對 內 部 用 戶 端 啟 用 dot1x- 通 訊 埠 ) RADIUS 伺 服 器 容 錯 移 轉 RADIUS 伺 服 器 LAN Enforcer 裝 置 (RADIUS 代 理 ) 公 司 主 幹 受 保 護 的 伺 服 器 Symantec Endpoint Protection Manager
58 規 劃 Enforcer 裝 置 安 裝 作 業 LAN Enforcer 裝 置 的 容 錯 移 轉 規 劃
3 升 級 和 移 轉 Enforcer 裝 置 影 像 本 章 包 含 以 下 主 題 : 關 於 將 Enforcer 裝 置 影 像 升 級 和 移 轉 至 11.0.3000 版 判 斷 Enforcer 裝 置 影 像 目 前 的 版 本 將 11.0 或 11.0.2000 的 Enforcer 裝 置 影 像 升 級 為 11.0.3000 將 5.1.x 的 Enforcer 裝 置 影 像 移 轉 為 11.0.3000 重 新 映 像 Enforcer 裝 置 影 像 關 於 將 Enforcer 裝 置 影 像 升 級 和 移 轉 至 11.0.3000 版 在 計 畫 更 新 移 轉 或 重 新 映 像 任 何 Enforcer 裝 置 軟 體 之 前, 您 可 能 要 先 判 斷 Enforcer 裝 置 軟 體 的 版 本 請 參 閱 第 60 頁 的 判 斷 Enforcer 裝 置 影 像 目 前 的 版 本 如 果 您 要 連 接 至 Symantec Endpoint Protection Manager 11.0.3 版, 您 可 能 需 要 將 Enforcer 裝 置 的 影 像 升 級 至 11.0.3000 版 此 升 級 讓 您 能 夠 利 用 Symantec Network Access Control Enforcer 裝 置 11.0.3000 版 提 供 的 新 功 能 您 可 以 選 取 下 列 任 何 一 種 方 法 來 升 級 Enforcer 裝 置 影 像 : 升 級 目 前 的 Enforcer 裝 置 影 像 請 參 閱 第 60 頁 的 將 11.0 或 11.0.2000 的 Enforcer 裝 置 影 像 升 級 為 11.0.3000 從 5.1.x Enforcer 裝 置 影 像 移 轉 至 11.0.2000 Enforcer 裝 置 影 像 請 參 閱 第 60 頁 的 將 5.1.x 的 Enforcer 裝 置 影 像 移 轉 為 11.0.3000 在 先 前 的 Enforcer 裝 置 影 像 上 安 裝 其 他 的 Enforcer 裝 置 影 像
60 升 級 和 移 轉 Enforcer 裝 置 影 像 判 斷 Enforcer 裝 置 影 像 目 前 的 版 本 請 參 閱 第 61 頁 的 重 新 映 像 Enforcer 裝 置 影 像 Symantec Network Access Control Enforcer 裝 置 11.0.3 版, 可 與 下 列 版 本 的 Symantec Endpoint Protection Manager 搭 配 使 用 : 11.0.2 版 11.0.3 版 判 斷 Enforcer 裝 置 影 像 目 前 的 版 本 您 應 該 判 斷 在 Enforcer 裝 置 上 支 援 影 像 的 目 前 版 本 最 新 版 本 為 11.0.3000 如 果 您 的 版 本 早 於 11.0.3000, 您 應 該 嘗 試 升 級 或 移 轉 例 如, 如 果 您 判 斷 了 DHCP Enforcer 裝 置 影 像 的 版 本, 則 輸 出 可 能 會 如 下 所 示 : Symantec Network Access Control Enforcer 6100 Series - v11.0.1 build XXXX, 2007-11-29,19:09 DHCP Enforcer mode 判 斷 Enforcer 裝 置 影 像 目 前 的 版 本 在 Enforcer 裝 置 的 指 令 行 介 面 中 輸 入 下 列 指 令 :show version 將 11.0 或 11.0.2000 的 Enforcer 裝 置 影 像 升 級 為 11.0.3000 您 可 使 用 下 列 方 法, 將 11.0 或 11.0.2000 版 的 Enforcer 裝 置 影 像 升 級 為 11.0.3000 版 將 11.0 或 11.0.2000 的 Enforcer 裝 置 影 像 升 級 為 11.0.3000 1 將 光 碟 插 入 Enforcer 裝 置 的 光 碟 機 2 在 Enforcer 裝 置 主 控 台 輸 入 下 列 指 令 : Enforcer# update 將 5.1.x 的 Enforcer 裝 置 影 像 移 轉 為 11.0.3000 您 可 使 用 下 列 任 一 方 法, 將 5.1.x 版 的 Enforcer 裝 置 影 像 更 新 為 11.0.3000 版 : 使 用 USB ( 通 用 序 列 匯 流 排 ) 磁 碟, 將 5.1.x 的 Enforcer 裝 置 影 像 移 轉 為 11.0.3000 從 TFTP 伺 服 器, 將 5.1.x 的 Enforcer 裝 置 影 像 移 轉 為 11.0.3000
升 級 和 移 轉 Enforcer 裝 置 影 像 重 新 映 像 Enforcer 裝 置 影 像 61 使 用 USB 磁 碟, 將 5.1.x 的 Enforcer 裝 置 影 像 移 轉 為 11.0.3 1 將 initrd-enforcer.img.gpg 和 package list 兩 個 更 新 檔 複 製 到 USB 磁 碟 2 鍵 入 下 列 指 令, 以 自 動 更 新 Enforcer 裝 置 : Enforcer# update 請 參 閱 第 207 頁 的 Update 從 TFTP 伺 服 器, 將 5.1.x 的 Enforcer 裝 置 影 像 移 轉 為 11.0.3000 1 將 initrd-enforcer.img.gpg 和 套 件 清 單 兩 個 更 新 檔 上 傳 至 Enforcer 裝 置 可 連 線 的 簡 易 檔 案 傳 輸 通 訊 協 定 (TFTP) 伺 服 器 2 在 Enforcer 裝 置 主 控 台 執 行 下 列 指 令 : Enforcer:# update tftp://ip address of TFTP server 請 參 閱 第 207 頁 的 Update 3 在 提 示 您 啟 動 新 的 影 像 時, 選 取 Y 4 套 用 新 的 影 像 後, 選 取 1 以 重 新 啟 動 Enforcer 裝 置 建 議 您 重 新 啟 動 Enforcer 裝 置 後, 再 啟 動 新 的 影 像 5 登 入 Enforcer 裝 置 6 請 參 閱 第 72 頁 的 登 入 Enforcer 裝 置 重 新 映 像 Enforcer 裝 置 影 像 Enforcer 裝 置 隨 附 所 有 Enforcer 裝 置 的 重 新 映 像 軟 體 :Gateway LAN 和 DHCP 重 新 映 像 軟 體 包 括 更 換 Enforcer 裝 置 影 像 所 需 的 強 化 Linux 作 業 系 統 和 Enforcer 裝 置 軟 體 使 用 光 碟 啟 動 安 裝 時, 重 新 映 像 程 序 會 消 除 Enforcer 裝 置 上 現 有 組 態, 並 且 安 裝 新 檔 案 取 代 所 有 現 有 檔 案 先 前 在 Enforcer 裝 置 上 設 定 的 任 何 組 態 都 會 遺 失 如 果 您 要 變 更 使 用 的 Enforcer 類 型, 可 以 選 擇 安 裝 其 他 類 型 的 Enforcer 裝 置 影 像 如 果 變 更 Enforcer 裝 置 影 像 的 類 型, 可 能 需 要 在 企 業 網 路 重 新 安 置 Enforcer 裝 置 請 參 閱 第 35 頁 的 Enforcer 裝 置 的 安 裝 規 劃 重 新 映 像 Enforcer 裝 置 1 將 CD 插 入 Enforcer 裝 置 的 CD-ROM 光 碟 機 2 在 指 令 行 中, 鍵 入 下 列 指 令 : Enforcer:# reboot 此 指 令 可 以 重 新 啟 動 Enforcer 裝 置
62 升 級 和 移 轉 Enforcer 裝 置 影 像 重 新 映 像 Enforcer 裝 置 影 像 3 在 Setup 功 能 表 中, 選 取 Setup Symantec Enforcer from the CD 如 果 Setup 功 能 表 未 出 現,Enforcer 裝 置 會 從 磁 碟 重 新 啟 動, 而 不 會 從 光 碟 重 新 啟 動 若 要 重 新 映 像, 您 必 須 從 光 碟 重 新 啟 動 4 安 裝 並 架 構 Enforcer 裝 置 請 參 閱 第 67 頁 的 安 裝 Enforcer 裝 置
4 首 次 安 裝 Enforcer 裝 置 本 章 包 含 以 下 主 題 : 安 裝 Enforcer 裝 置 前 安 裝 Enforcer 裝 置 安 裝 Enforcer 裝 置 前 Enforcer 裝 置 是 一 種 硬 體 裝 置, 可 對 嘗 試 連 線 至 網 路 的 用 戶 端, 強 制 執 行 網 路 存 取 控 制 若 用 戶 端 符 合 安 全 性 政 策, 則 允 許 其 存 取 網 路 資 源 您 可 以 執 行 的 Enforcer 裝 置 類 型, 需 視 您 已 購 買 的 Symantec Network Access Control 產 品 類 型 而 定 如 需 詳 細 資 訊, 請 參 閱 授 權 許 可 協 議 您 可 以 部 署 Enforcer 裝 置, 使 其 與 Symantec Endpoint Protection Manager 和 用 戶 端 搭 配 使 用 Enforcer 有 下 列 類 型 : Gateway Enforcer 裝 置 DHCP Enforcer 裝 置 LAN Enforcer 裝 置 關 於 Gateway Enforcer 裝 置 的 安 裝 Gateway Enforcer 裝 置 通 常 作 為 內 嵌 式 安 全 性 政 策 執 行 橋 接 器, 以 避 免 公 司 網 路 遭 受 外 來 攻 擊 入 侵 安 裝 Gateway Enforcer 裝 置 之 前, 您 需 要 考 量 其 適 當 的 網 路 位 置 Gateway Enforcer 裝 置 可 部 署 於 全 公 司, 以 確 保 所 有 端 點 均 符 合 安 全 性 政 策 您 可 以 使 用 Gateway Enforcer 裝 置 來 保 護 公 司 內 部 的 伺 服 器 這 些 裝 置 可 確 保 只 有 信 任 或 通 過 驗 證 的 用 戶 端 才 能 存 取 伺 服 器
64 首 次 安 裝 Enforcer 裝 置 安 裝 Enforcer 裝 置 前 Gateway Enforcer 裝 置 通 常 用 於 下 列 網 路 位 置 : VPN 無 線 存 取 點 (WAP) 撥 接 ( 遠 端 存 取 伺 服 器 [RAS]) 乙 太 網 路 ( 區 域 網 路 [LAN]) 區 段 請 參 閱 第 36 頁 的 放 置 Gateway Enforcer 裝 置 的 位 置 關 於 DHCP Enforcer 裝 置 的 安 裝 DHCP Enforcer 用 來 作 為 內 嵌 式 安 全 性 政 策 執 行 橋 接 器, 以 保 護 內 部 網 路 用 戶 端 嘗 試 連 線 至 網 路 時, 會 傳 送 DHCP 要 求 來 取 得 動 態 IP 位 址 交 換 器 或 路 由 器 ( 當 作 DHCP 中 繼 用 戶 端 ) 會 路 由 DHCP 要 求 DHCP 要 求 會 傳 送 至 架 構 內 嵌 於 DHCP 伺 服 器 前 的 DHCP Enforcer 裝 置 DHCP Enforcer 裝 置 將 DHCP 要 求 轉 送 到 DHCP 伺 服 器 之 前,DHCP Enforcer 裝 置 會 驗 證 用 戶 端 是 否 符 合 安 全 性 政 策 如 果 用 戶 端 符 合 安 全 性 政 策,DHCP Enforcer 裝 置 便 會 將 用 戶 端 IP 位 址 要 求 傳 送 到 一 般 DHCP 伺 服 器 如 果 用 戶 端 不 符 合 安 全 性 政 策,DHCP Enforcer 裝 置 會 將 其 連 線 至 隔 離 DHCP 伺 服 器, 讓 隔 離 DHCP 伺 服 器 指 派 隔 離 網 路 組 態 給 用 戶 端 若 要 完 成 DHCP Enforcer 裝 置 組 態, 您 必 須 設 定 矯 正 伺 服 器, 並 限 制 隔 離 用 戶 端 的 存 取 權 受 限 制 的 用 戶 端 只 能 與 矯 正 伺 服 器 互 動 若 需 要 高 可 用 性, 可 安 裝 兩 個 以 上 的 DHCP Enforcer 裝 置 來 提 供 容 錯 移 轉 功 能 請 參 閱 第 45 頁 的 在 網 路 何 處 放 置 DHCP Enforcer 裝 置 關 於 LAN Enforcer 裝 置 的 安 裝 LAN Enforcer 裝 置 可 執 行 主 機 驗 證, 並 當 作 虛 擬 RADIUS 伺 服 器 ( 即 使 沒 有 RADIUS 伺 服 器 ) 強 制 執 行 用 戶 端 會 當 作 802.1x 請 求 者, 以 主 機 完 整 性 狀 態 及 政 策 號 碼 資 訊, 回 應 交 換 器 的 延 伸 驗 證 通 訊 協 定 (EAP) 挑 戰 因 此,RADIUS 伺 服 器 的 IP 位 址 是 設 為 0, 而 且 不 會 進 行 一 般 EAP 使 用 者 驗 證 LAN Enforcer 裝 置 會 檢 查 主 機 完 整 性, 並 根 據 主 機 完 整 性 檢 查 的 結 果, 允 許 攔 截 或 動 態 指 派 VLAN 如 果 您 有 Symantec Endpoint Protection, 也 可 以 進 行 另 一 種 組 態 您 可 以 使 用 LAN Enforcer 裝 置 搭 配 RADIUS 伺 服 器, 在 公 司 網 路 內 部 執 行 802.1x EAP 驗 證 如 果 在 此 組 態 中 使 用 LAN Enforcer 裝 置, 則 需 要 將 此 裝 置 放 置 於 能 夠 與 RADIUS 伺 服 器 進 行 通 訊 的 位 置
首 次 安 裝 Enforcer 裝 置 安 裝 Enforcer 裝 置 前 65 如 果 交 換 器 支 援 動 態 切 換 VLAN 功 能, 則 可 在 交 換 器 架 構 其 他 VLAN, 並 透 過 LAN Enforcer 裝 置 進 行 存 取 交 換 器 可 依 據 LAN Enforcer 裝 置 的 回 覆, 將 用 戶 端 動 態 分 配 到 不 同 VLAN 您 也 可 以 新 增 VLAN 以 進 行 隔 離 及 矯 正 請 參 閱 第 53 頁 的 放 置 LAN Enforcer 裝 置 的 位 置 關 於 Enforcer 裝 置 指 示 器 及 控 制 項 Enforcer 裝 置 安 裝 於 可 支 撐 靜 態 軌 道 的 1U 機 架 式 機 殼 圖 4-1 顯 示 前 端 面 板 上 位 於 選 用 盤 座 後 方 的 控 制 項 指 示 器 及 接 頭 圖 4-1 Enforcer 裝 置 前 端 面 板 1 2 3 4 5 6 7 光 碟 機 電 源 開 關 重 設 圖 示 USB 通 訊 埠 硬 碟 機 指 示 燈 監 視 器 保 留 ; 不 使 用 圖 4-2 顯 示 系 統 的 後 端 面 板 圖 4-2 Enforcer 裝 置 後 端 面 板 ( 顯 示 Failopen 機 型 ) 1 2 3 電 源 線 接 頭 滑 鼠 接 頭 鍵 盤 接 頭