具備多種部署方式的存取控制方案

Symantec Network Access Control（SNAC） 11.0是賽門鐵克在2007年底推出的網路存取控制（NAC）產品，此款產品原本是資安廠商Sygate旗下的產品，直到2005年賽門鐵克收購該公司之後，從此成為賽門鐵克資安產品線的其中一員。

新版產品在功能設計上有兩大特色，首先是整合同廠牌的企業端防毒軟體Symantec Endpoint Protection（SEP），兩項產品均使用相同的Symantec Endpoint Protection Manager Console主控臺管理使用者電腦，對於已經購買SEP的企業來說，可以有效降低設定上的難度，而且SEP的用戶端軟體也已經內建SNAC的代理程式，因此導入產品時，就不需要在同一臺電腦上額外安裝一次軟體，SNAC便能透過防毒軟體對使用者電腦實施安全檢查，了解電腦是否有遵循企業規定安裝所需要的防護軟體，與其他必要的修補程式。

首次出現的Symantec Network Access Control Enforcer 6100硬體裝置，也是產品設計的一項特色，過去企業在部署舊版的賽門鐵克NAC產品時，必須在一臺Linux伺服器上手動安裝Enforcer套件，將未能通過主機安全檢查的電腦隔離到其他的網路區域，而Symantec Network Access Control Enforcer 6100則是一臺預先裝好Enforcer套件的Linux伺服器，用戶只需要將設備連接到區域網路，完成必要的設定之後，就可以在短時間上線運作。

設定介面支援中文語系，且能結合多種網路架構，降低部署難度
這套產品在架構上是由Symantec Endpoint Protection Manager Console主控臺，與Symantec Network Access Control Enforcer 6100硬體裝置所組合而成，就功能而言，前者負責主機檢查政策的制定，與事件記錄的收集，後者則是接收由Symantec Endpoint Protection Manager Console主控臺傳遞而來的訊息，隔離未能通過主機安全檢查的使用者電腦，或者允許通過檢查的電腦存取企業網路。

Symantec Endpoint Protection Manager Console
這是SNAC與SEP防毒軟體共用的管理介面，和SEP一樣，SNAC的主控臺介面也支援正體中文的語系，可協助管理者在短時間內熟悉產品功能的設定方式，降低導入難度。

事實上，SNAC有2種發行版本，1種是只有提供主機安全檢查，另外1種則是和SEP相整合，後者可透過Symantec Endpoint Protection Manager Console主控臺的單一介面，設定SEP原有的各項防護功能，並且制定主機安全檢查的政策規則，目前SEP的用戶可以透過額外購買SNAC授權的方式，啟用隱藏在主控臺的主機安全檢查功能。

這套網路存取控制產品的主控臺，可以安裝在Windows XP與Windows Server 2003的系統平臺上運作。和一些市面上常見的軟體式NAC產品相比，相對來說，企業並不需要在管理伺服器上頭完成太多的前置設定，就可以進入主控臺的安裝程序。以我們在iThome實際安裝產品的經驗來說，唯一所要做的就只有啟用IIS伺服器，供管理者日後可以透過遠端電腦的瀏覽器登入，進而連接SNAC的主控臺介面。

Symantec Network Access Control Enforcer 6100設備
它是一臺1U高度的機架式伺服器，裡頭安裝安全強化過後的Redhat作業系統，以及Symantec Network Access Enforcer的軟體套件，主要功能是接收來自Symantec Endpoint Protection Manager Console主控臺的訊息，並且對於未能通過主機安全檢查的使用者電腦，可以主動採取隔離措施，或者解除隔離，讓所有安全的電腦可以正常連接企業網路。

Symantec Network Access Control 6100 Enforcer提供3種安裝模式：DHCP Enforcer、LAN Enforcer與Gateway Enforcer，分別可以整合802.1x、DHCP與閘道端（Gateway）三種架構，第一次安裝設備時，我們可以在設定畫面中看到上述這3種模式的設定選項，用戶只需依照目前的網路架構方式，選擇適合的安裝模式，並完成網卡介面的設定之後，就能讓設備開始運作。以便能夠在不需大幅更動現有網路架構的前提下，將SNAC順利導入企業內部。

提供2種DHCP部署模式
由於我們的測試環境當中，並沒有可支援802.1x協定的交換器設備，因此我們這次採用結合DHCP服務的方式，實際部署、測試產品的各項功能。

SNAC整合DHCP服務的方式近似Extreme的NAC產品，有2種做法可以選擇：第一種針對採用Windows Server軟體方式架設DHCP伺服器的企業用戶，第二種則因應其他平臺的DHCP伺服器。

第一種做法是加裝外掛軟體，產品安裝光碟中提供一支Symantec Integrated Enforcer外掛工具，可安裝在Windows Server 2003平臺上的DHCP伺服器，負責管理DHCP的組態設定，以我們此次的測試架構來說，在正常情況下，Windows Server 2003的DHCP伺服器會指派1組10.10.10.x/24，閘道器位址為10.10.10.254的IP組態，給使用者電腦。

一旦使用者電腦未能通過SNAC的主機安全性檢查時，Symantec Endpoint Protection Manager Console主控臺就會馬上告知DHCP伺服器，重新指派1組新的IP組態給使用者電腦，實施網路隔離，這時所使用的IP仍是原先所使用的10.10.10.x，但子網路遮罩設定會由24變成32，閘道器位址的設定暫時取消，DHCP租約期間則由預設的8天變成和SNAC檢查周期相同的間隔時間，網路存取範圍也會受到管制，這時SNAC僅允許使用者電腦存取有限的網路資源，像是WSUS，以及其他的應用程式更新伺服器，在受到隔離的情況下，只要順利從伺服器取得所需更新檔案，以便在下次進行主機安全檢查時能夠符合企業的安全政策，就可以解除網路隔離的狀態。

至於Linux等異質平臺架設而成的DHCP伺服器，或者像防火牆／UTM一類，具備DHCP伺服器功能的硬體設備，則適合採用前面提到過的DHCP Enforcer，也就是在DHCP伺服器與使用者電腦之間放置一臺，設定為DHCP Enforcer模式的Symantec Network Access Control Enforcer 6100設備，發揮與Symantec Integrated Enforcer類似的作用，協助管理DHCP伺服器組態設定。

可利用多種方式安裝代理程式，延伸防護範圍
SNAC主要的防護對象是企業內部的使用者電腦，該套產品需透過安裝代理程式的方式獲得電腦的安全狀態，藉此判斷是否採取隔離的手段，或者逕自放行到內部網路。

代理程式的安裝方式與SEP防毒軟體相同，同樣可以透過部署精靈將代理程式的執行檔推送到使用者電腦安裝，或者將Windows AD、LDAP目錄服務下的電腦群組整批匯入。目前SNAC代理程式的支援範圍以微軟的Windows為主，包括Windows 2000、Server 2003，以及最新的Windows Vista。值得注意的是，執行安裝程序之前，用戶必須先行確認使用者電腦是否已經將個人防火牆關閉，以免發生主控臺與使用者電腦之間無法連線，而造成代理程式推送失敗的情況。

除此之外，SNAC也提供網頁端的Active X元件（Web Agent）供使用者電腦安裝，這種代理程式在使用者電腦關機，或者重新啟動之後就會自動清除，就特色上來說，比較適合部署在無法安裝上述代理程式的外部訪客電腦。

這些產品代理程式也可以整合其他廠牌的網路設備，舉例來說，像是Aruba的無線網路交換器，與Juniper的SSL VPN設備。在使用者透過無線網路，或者從外部網路等途徑連接企業網路時，即要求使用者必須安裝完代理程式，並且通過主機安全性之後，才可以正常使用網路，阻止惡意程式從企業網路的邊際端流入內部，而影響到NAC的整體防護效果。

SNAC代理程式檢查使用者電腦的間隔時間預設是2分鐘，用戶可以視需求而自行調整，最短間隔可設定為1分鐘，如需調節主控臺伺服器的效能，可將間隔時間適度拉長。

安全檢查功能完整，可自行新增其他核對設定
我們透過Symantec Endpoint Protection Manager Console主控臺的「主機完整性」項目制定主機安全性檢查的政策規則清單。除了基本的檢查使用者電腦是否按照規定安裝指定的防護軟體，作業系統版本與修補程式之外，也可以依據企業的實際需求手動訂立檢查項目，舉例來說，我們可以自行將未列在SNAC支援清單中的資安軟體新增為元件，日後當我們在設定檢查規則的時候就可以從頁面當中的下拉式選單將元件匯入到規則設定，此外也可以從使用者電腦的背景程式清單，檢查電腦上是否安裝一些不被允許的應用程式。

制定安全檢查規則時，可以一併設定補救措施的路徑，例如當使用者電腦遭到隔離時，可由何處取得軟體安裝，讓電腦在下次進行安全檢查時，能夠符合企業要求，以便解除隔離。

主控臺的儀表板介面可快速了解內部使用者電腦的安全狀態
SNAC主控臺首頁的右側，主要是展現儀表板式的圖形報表，以便於管理者可以快速了解使用者電腦目前的安全狀態。在這裡我們可以看到，安全性設定合乎企業要求及被隔離電腦的數量比例；點選圖表之後，還可進一步地閱覽關於此項目的詳細資訊，幫助IT人員了解問題所在，並採取適合的管理措施。文⊙楊啟倫

透過NAC用戶端電腦上的防毒軟體，實施主機安全檢查

SNAC 11.0在功能上，可以協同自家的企業端防毒軟體Symantec Endpoint Protection（SEP）整合運作，透過Symantec Endpoint Protection Manager Console主控臺的單一介面，用戶就能同時設定SEP原有的各項防護功能，以及SNAC主機安全檢查的規則。

當用戶購買SNAC的功能之後，Symantec Endpoint Protection Manager Console主控臺的「政策」頁就會出現一個「主機完整性」的設定項目，在這裡，我們可以制定主機安全性檢查的規則，了解使用者電腦是否有依照企業規定安裝所需的防護軟體、修補程式，或者執行一些不被企業所允許的應用程式類型。

由於SEP的用戶端程式已經將SNAC的代理程式內建其中，因此不需要額外安裝代理程式，就可以直接透過防毒軟體檢查使用者電腦的安全狀態，以降低產品部署時的複雜程度。

企業端防毒軟體內建NAC代理程式的做法，最早是首見於趨勢Office Scan的6.5版本，在此之後，其他幾家主要的防毒軟體廠商也隨之跟進，像是McAfee的ePolicy Orchestrator 4.0、Sophos的Endpoint Security and Control 8.0都是呼應這個潮流，分別將自家NAC產品的代理程式，或者是第3方廠商的NAC產品的代理程式加入到防毒軟體的用戶端程式。文⊙楊啟倫