SEP项目实施方案.docx
- 文档编号:25362543
- 上传时间:2023-06-07
- 格式:DOCX
- 页数:39
- 大小:1.23MB
SEP项目实施方案.docx
《SEP项目实施方案.docx》由会员分享,可在线阅读,更多相关《SEP项目实施方案.docx(39页珍藏版)》请在冰豆网上搜索。
SEP项目实施方案
XXSEP项目实施方案
XX市XXXX
2015-8-18
文档信息
属性
内容
文档名称:
XXSEP项目实施方案
文档编号:
文档版本:
1.0
版本日期:
2013-08-18
文档状态:
制作人:
审阅人:
版本变更记录
版本
修订日期
修订人
描述
1.0
2015-08-18
1XXSEP项目实施环境简介
为解决XX面临的终端安全威胁,必须从源头做起,在工作站接入网络之前,就需要确保工作站符合安全策略的要求,安装了最新的安全补丁,启用防病毒系统并更新了病毒特征代码。
需要建立终端安全接入系统,包括终端自身的安全防护和终端网络准入控制,从源头上解决网络安全问题。
Symantec的SEP解决方案,提供强大的终端安全防护和全面的网络准入控制功能,使用SymantecSEP,可以实现终端安全防护、网络准入控制、应用程序控制及基于用户/组的访问控制策略。
2XX实施方案总体设计
2.1站点部署
目前XX已经在总部部署了两台SEPM服务器,只需在现有的SEP管理系统上增加SANC功能即可实现网络准入功能。
网络拓扑如下图所示:
2.2LanEnforcer部署
在总部部署两台LanEnforcer设备,LanEnforcer与当前的SEP站点进行验证。
当当前站点出现故障后,LanEnforcer设备可切换到另外一个站点或者启动本地设备认证。
2.3交换机认证
接入层交换机的Radius认证服务器分别指向两台LanEnforcer设备。
当其中一台LanEnforcer出现故障后,交换机自动切换到另外一台LanEnforcer上。
2.4冗余设计
XXSEP准入系统全部采用冗余设计,无论是SEP站点出现故障、LanEnforcer设备出现故障或专线链路中断,也不会影响客户端安全接入网络。
以下是SEP准入系统冗余的原理。
2.4.1设备正常情况
所有设备都正常工作的情况下,客户端ClientA与ClientB的验证方式:
(红色箭头方向)
2.4.2LanEnforcer故障
假设LanEnforcerA出现故障或宕机,客户端ClientA与ClientB的验证方式:
(红色箭头方向)
因为SwitchA已配置有LanEnforcerA与LanEnforcerB的信息,所以当SwitchA检测到LanEnforcerA无法连接时,自动会把ClientA的EAP验证包转发给LanEnforcerB,而LanEnforcerB把ClientA的EAP验证包转发给SiteB,不会转发给SiteA,因为LanEnforcerB从未与SiteB断开,不会连接SiteA。
同时,因为SiteA与SiteB是站点复制的,两个站点之间的信息都是一样的,所以同样验证成功。
从而实现LanEnforcer冗余/热备的功能。
2.4.3SEPM(站点)故障
假设站点SiteA出现故障或宕机,客户端ClientA与ClientB的验证方式:
(红色箭头方向)
因为LanEnforcerA已更新相应的管理服务器列表,表中已有SiteA与SiteB的服务器IP,当LanEnforcerA在一个时间段内(约2~3分钟)无法与SiteA通信,LanEnforcerA就判定SiteA宕机,立即查询管理服务器列表中的下一个优先级的站点,并建立通信,进入联机状态。
所以LanEnforcerA收到EAP验证包全部转发给SiteB。
从而实现站点冗余/热备功能。
3部署SEPM服务器
3.1SEPM服务器安装
插入symantecSEP11MR7简体中文安装光盘,运行“setup.exe”,点击“安装symantecEndpointProtectionManager”进入SEP策略服务器安装。
进入SEPM欢迎安装向导,点击“下一步”
在授权许可协议中选择“我授受该许可证协议中的条款”,点击“下一步(N)>”。
在选择“目标文件夹”时,选择“更改(C)..”
把安装目录更入为“D:
\ProgramFiles(X86)\Symantec\SymantecEndpointProtectionManager”,点击确定。
在选择Web站点中,选取“使用默认Web站点”,点击“下一步(N)>”。
如以上设置没问题,点击“安装”进入SymantecEndpointProtectionManager服务器安装。
点击“完成”完成SEPM服务器安装工作。
以下工作进入SEPM服务器的配置。
3.2配置SEPM(站点复制)
SEPM程序完装完成后,需要对SEPM进行配置后,SEPM服务才能正常工作。
在“选择配置类型”中选择“高级”,点击下一步。
选择“1,000台以上”,,点击下一步。
在“您想如何选择?
”栏中选择“安装其它站点”,对JT-SEPM1进行站点复制(数据库同步复制),选择后点击下一步。
一般情况下,不需要修改SEPM服务的端口,按默认端口即可,点击下一步继续配置。
站点名称按默认名“站点jt-sepm2”,点击下一步。
输入EPM1的服务器地址、端口信息、管理员XX及密码,通过这些信息对SEPM1的数据进行同步复制。
,完成后点击下一步继续配置。
当输入正确的SEPM1服务器信息后,系统会提示警告信息,提示无法验证伙伴站点的证书,是否信任此证书,选择“是”。
在数据库类型中,选择“MicrosoftSQLServer”,把SEPM服务器上的数据存放在SQLServer上。
选择“创建新的数据库”,点击下一步。
输入需要创建的数据库名称(sepm)、对应的管理XX(sepm)及密码(symantec),输入DBA用户:
SA及密码:
symantec,点击下一步进行数据库的创建及复制。
根据不同的硬件,数据库的创建及复制时间有所不同。
当数据复制完成后,点击完成,完成SEPM2服务器与SEPM1服务器站点同步的配置。
打开SEPM控制台,选择管理员,点击服务器,可以查看站点复制情况。
4部署LanEnforcer设备
SymantecSEP准入系统需要使用symantec6100Enforcer,需要对6100进行设置。
在配置LanEnforcer之前,先把显示器、健盘、鼠标连接到6100设置上,连接好网络。
启动6100机器,在GRUB菜单栏中,选择“Resettofactorydefaultsettings”,回车,把机器还原出厂默认设置。
(系统默认是出厂状态,建议还是重新还原一次)
提示按任意健对设备进行重设或按“Ctrl+Alt-Del”重启机器,按任意健重设设备。
6100设备在重设中。
重设完成后,提示登录系统,输入默认XX:
root,密码:
symantec进入LanEnforcer系统。
登录系统后,自动进入系统配置向导,提示Enforcer工作在哪种模式,GatewayEnforcer?
DHCPEnforcer?
LanEnforcer?
选择“LanEnforcer”,输入“L”,继续进行LanEnforcer配置。
系统提示输入LanEnforcer机器名称,默认是:
Enforcer,输入机器名称:
LanEnforcer1,回车,系统提示机器已经更改为“LanEnforcer1”
提示是否需要增加DNS服务器?
选择“Y”添加DNS服务器,把10.0.16.15、128.1.16.32、128.1.16.30添加到DNS列表中。
回车结束DNS服务器的添加。
请输入root的新密码,由于6100出于安全考虑,密码需要大小写字母+数字+特殊字符组成,输入新密码:
Symantec008,重新输入一遍,完成root密码修改。
用同样的方式修改admin密码,admin新的密码是:
Symantec008
系统提示是否需要修改6100的系统时区,默认时区是+0000,选择“Y”更改设备的系统时区。
选择“5”进入Asia时区列表。
然后选择“9”进入中国时区。
在中国时区中,选择“1”确认时区。
提示是否接受“Asia/Shanghai”,输入“1”接受。
提示当前系统的日期、时间,如日期、时间没问题,回车确定。
提示输入设置etho的IP地址、子网掩码、网关,输入相关的LanEnforcer信息回车完成,系统会提示设置完成,eth1网卡禁用(LanEnforcer只需一块网卡)
系统提示是否要查看配置信息,如没问题,按“Q”退出配置日志。
LanEnfocer配置的相关信息。
是否接受上连设置的更改,选择“Y”,更改LanEnforcer设置。
提示登录LanEnforcer系统,输入XX:
root,密码:
Symantec008,登录系统。
系统已经登录。
在命令行中输入“configurespmip10.200.16.5groupJT-LanEnforcerhttp80keysymantec”,把LanEnforcer注册到SEPM服务器上。
通过“showstatus”命令可以查看目前LanEnforcer的状态,可以看出LanEnforcer已经连接到SEPM服务器上。
打开SEPM控制台,在管理员\服务器中可以查看LanEnforcer的相关信息。
5配置交换机
在实施SEP准入过程中,需要对接入层交换机启用802.1X认证功能,目前已经成功实现了Nortel470交换机准入功能,以下是Nortel470交换顶的配置案例。
5.1配置案例(Nortel470交换机)
科技大厦交换机通过远程的方式进行配置,以下以10.0.39.1交换机为例,具体配置如下:
1.Telnet10.0.39.1,进入Telnet窗口,选择“CTRL+Y”开始交换机配置,输入交换机XX密码进入交换机Telnet配置目录。
选择“Console/m.PortConfiguration…”配置交换机的RadiusServer地址。
2.在PrimaryRadiusServer中输入“10.200.16.9”,在SecondaryRadiusServer中输入“10.200.16.10”,在RadiusSharedSecret中输入“symantec”共享密码,保存退出该页面。
3.打开NortelDM管理工具,进入交换机配置管理。
在菜单栏中的“Graph”中选择“Security”,在SystemAuthControl中选择“Enabled”,启用“UserBasedPoliciesEnabled”,启用“MultiHostAllowNonEapClient(MACaddresses)”,选择“Apply”。
4.重新回到Telnet介面,选择“mandLineInterface…”进入交换机命令行配置。
5.如端口1-47需要启用802.1X,并启用Multihost功能,Multihost最大的主机认证数是2个。
并且也启用了NonEAP认证功能,NonEAP客户端最大认证数也是2个。
具体配置如下:
1)输入“conft”进入终端配置命令。
2)输入“intf1/1-47”配置1/1-47端口
3)输入“Eapolmultihostenable”启用MultiHost功能。
4)输入“EapolMultihostallow-non-eap-enable”启用Non-EAP功能。
5)输入“EapolMultihosteap-mac-max2”Multihost最大认证数为2。
6)输入“EapolMultihostnon-eap-mac-max2”Non-EAP最大认证数为2。
7)输入“EapolStatusauto”对1-47端口启用802.1X认证。
5.2交换机上添加MAC地址过滤方法(Nortel470)
1.通过DM管理工具连接交换机,如需在端口1/13对网络打印机(MAC地址是“00:
1a:
4b:
0d:
54:
29”)不启用802.1X认证,点击端口1/13,右健选择编辑,进行端口配置菜单。
2.在端口配置菜单中,选择“EAPOLAdvance”,启用“MultiHostAllowNonEapClient(MACaddresses)”功能,并“Apply”应用配置。
并点击左下角的“Non-EAPMAC…”进行MAC地址添加。
3.选择“Insert…”添加MAC地址,如下图所示,完成后点击“Close”完成该端口对该MAC地址过滤功能。
5.3H3C参考配置命令
[H3C]
[H3C]
[H3C]
[H3C]discur
#
version5.20,Feature2206P15
#
sysnameH3C
#
domaindefaultenablesemp
#
telnetserverenable
#
dot1x\\启用dot1x认证(PC)
dot1xauthentication-methodeap\\认证方式为eap
#
mac-authentication\\启用MAC认证(AVAYA话机)
mac-authenticationtimeroffline-detect180
mac-authenticationtimerquiet180
mac-authenticationdomaintest\\调用test域策略
#
vlan1
#
vlan53
descriptiondatavlan
#
vlan153
descriptionvoice
#
vlan211
descriptionguest
#
radiusschemesystem
server-typeextended
primaryauthentication127.0.0.11645
primaryaccounting127.0.0.11646
user-name-formatwithout-domain
radiusschemesepm\\PC认证服务器
primaryauthentication10.1.16.253
keyauthenticationsymantec
keyaccountingsymantec
timerresponse-timeout5
timerquiet10
user-name-formatwithout-domain
radiusschemetest\\话机认证服务器
primaryauthentication10.24.53.242
keyauthenticationsymantec
keyaccountingsymantec
timerresponse-timeout5
timerquiet10
user-name-formatwithout-domain
#
domain
authenticationlan-accesslocal
access-limitdisable
stateactive
idle-cutdisable
self-service-urldisable
domainsemp\\dot1x认证域
authenticationdefaultradius-schemesepmlocal
authorizationdefaultnone
accountingdefaultnone
access-limitdisable
stateactive
idle-cutdisable
self-service-urldisable
domainsystem
access-limitdisable
stateactive
idle-cutdisable
self-service-urldisable
domaintest\\PC认证域
authenticationdefaultradius-schemetestlocal
authorizationdefaultnone
accountingdefaultnone
access-limitdisable
stateactive
idle-cutdisable
self-service-urldisable
#
user-groupsystem
#
local-user00-04-0d-ec-cd-17
passwordsimple00-04-0d-ec-cd-17
service-typelan-access
#
interfaceNULL0
#
interfaceVlan-interface53
ipaddress10.24.53.250255.255.255.0
#
interfaceGigabitEthernet1/0/1
#
interfaceGigabitEthernet1/0/2
#
interfaceGigabitEthernet1/0/3
#
interfaceGigabitEthernet1/0/4
#
interfaceGigabitEthernet1/0/5
#
interfaceGigabitEthernet1/0/6
#
interfaceGigabitEthernet1/0/7
#
interfaceGigabitEthernet1/0/8
#
interfaceGigabitEthernet1/0/9
#
interfaceGigabitEthernet1/0/10
#
interfaceGigabitEthernet1/0/11
#
interfaceGigabitEthernet1/0/12
#
interfaceGigabitEthernet1/0/13
#
interfaceGigabitEthernet1/0/14
#
interfaceGigabitEthernet1/0/15
#
interfaceGigabitEthernet1/0/16
#
interfaceGigabitEthernet1/0/17
#
interfaceGigabitEthernet1/0/18\\连接AVAYA话机,再通过话机连接PC。
portlink-typehybrid
porthybridvlan153153211untagged
porthybridpvidvlan53
mac-vlanenable\\基于MAC下发VLAN
mac-authentication\\MAC认证
undolldpenable
dot1xguest-vlan211\\guestVLAN
dot1x\\dot1x认证
dot1xunicast-trigger
#
interfaceGigabitEthernet1/0/19
#
interfaceGigabitEthernet1/0/20\\级联接口
portlink-typetrunk
undoporttrunkpermitvlan1
porttrunkpermitvlan53153211
#
interfaceGigabitEthernet1/0/21
#
interfaceGigabitEthernet1/0/22
#
interfaceGigabitEthernet1/0/23
#
interfaceGigabitEthernet1/0/24
#
interfaceGigabitEthernet1/0/25
shutdown
#
interfaceGigabitEthernet1/0/26
shutdown
#
interfaceGigabitEthernet1/0/27
shutdown
#
interfaceGigabitEthernet1/0/28
shutdown
#
iproute-static0.0.0.00.0.0.010.24.53.254
#
loadxml-configuration
#
user-interfaceaux0
user-interfacevty015
#
return
[H3C]
6安装客户端
6.1系统要求:
●内存推荐1GB以上,至少512MB.
●1GB硬盘可用空间
●操作系统Win2000以上版本.
●InternetExplorer6.0或更高版本
6.2安装SEP客户端(办事处SEP客户端安装为例)
安装SEP客户端注意事项
●如果客户端之前安装的是McafeeViruscan防病毒软件,需要卸载EPOAgent及Viruscan软件,可通过访问\\10.200.16.5\SEP_Clients\卸载工具目录下的“RemoveMcafee.bat”进行卸载。
●如果客户端是安装SymantecAntivirus及SymantecClientSecurity产品,请先手工卸载,而且还需要手工卸载LiveUpdate升级程序。
●如果是其它类型的防病毒软件,请手工卸载。
●如果客户端安装了防火墙软件,如:
天网、金山毒霸防火墙等,需要手工卸载。
以上步骤完成后,进入SEP客户端安装。
1.在安装SEP客户端时,请检查客户端的物理内存大小,如机器内存大于1GB的,请安装SEP全功能包,安装地址是\\10.200.16.5\SEP_Clients\SEP办事处\Global_办事处_全功能目录下,运行Setup.exe即可,如无意外,安装完成后,系统运行Liveupdate更新程序,取消Liveupdate程序。
安装完成后需要重新启动机器。
2.如果客户端的物理内存是大于等于512MB、小于1GB的,请安装SEP精简包,安装地址是\\10.200.16.5\SEP_Clients\SEP办事处\Global_办事处_精简包目录下,运行Setup.exe即可。
3.计算机重新启动进行系统,由于SEP在重启后第一次进行系统过程中需要安装加载SEP防火墙模块,故进入系统比较慢,这属正常现象。
以后进入系统不会出现这种情况。
当进行系统后,双击右下角的symantec盾牌图标,检查病毒更新码是否是最新的,网络威胁防护定义是否最新的。
4.打开Windows服务管理器,查看SEP客户端服务是否都已经启动。
5.修改网络连接的认证方式。
打开网上邻居,选择属性。
点
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- SEP 项目 实施方案