SEP项目实施方案

XXSEP项目实施方案深圳市XX有限公司2015-8-18文档信息属性内容文档名称：XXSEP项目实施方案文档编号：文档版本：1.0版本日期：2013-08-18文档状态：制作人：审阅人：版本变更记录版本修订日期修订人描述1.02015-08-18目录1XXSEP项目实施环境简介.........................................................................................................42XX实施方案总体设计.................................................................................................................52.1站点部署............................................................................................................................52.2LanEnforcer部署...............................................................................................................52.3交换机认证........................................................................................................................52.4冗余设计............................................................................................................................62.4.1设备正常情况.........................................................................................................62.4.2LanEnforcer故障....................................................................................................62.4.3SEPM（站点）故障...............................................................................................73部署SEPM服务器.....................................................................................................................93.1SEPM服务器安装.............................................................................................................93.2配置SEPM(站点复制)....................................................................................................134部署LanEnforcer设备............................................................................................................195配置交换机................................................................................................................................265.1配置案例（Nortel470交换机）....................................................................................265.2交换机上添加MAC地址过滤方法（Nortel470）......................................................295.3H3C参考配置命令..........................................................................................................306安装客户端................................................................................................................................376.1系统要求：.......................................................................................................................376.2安装SEP客户端(北京办事处SEP客户端安装为例)..................................................377SEP准入系统实施后效果.........................................................................................................398SEP系统实施后存在的风险.....................................................................................................401XXSEP项目实施环境简介为解决XX面临的终端安全威胁，必须从源头做起，在工作站接入网络之前，就需要确保工作站符合安全策略的要求，安装了最新的安全补丁，启用防病毒系统并更新了病毒特征代码。需要建立终端安全接入系统，包括终端自身的安全防护和终端网络准入控制，从源头上解决网络安全问题。Symantec的SEP解决方案，提供强大的终端安全防护和全面的网络准入控制功能，使用SymantecSEP，可以实现终端安全防护、网络准入控制、应用程序控制及基于用户/组的访问控制策略。2XX实施方案总体设计2.1站点部署目前XX已经在总部部署了两台SEPM服务器，只需在现有的SEP管理系统上增加SANC功能即可实现网络准入功能。网络拓扑如下图所示：2.2LanEnforcer部署在总部部署两台LanEnforcer设备，LanEnforcer与当前的SEP站点进行验证。当当前站点出现故障后，LanEnforcer设备可切换到另外一个站点或者启动本地设备认证。2.3交换机认证接入层交换机的Radius认证服务器分别指向两台LanEnforcer设备。当其中一台LanEnforcer出现故障后，交换机自动切换到另外一台LanEnforcer上。2.4冗余设计XXSEP准入系统全部采用冗余设计，无论是SEP站点出现故障、LanEnforcer设备出现故障或专线链路中断，也不会影响客户端安全接入网络。以下是SEP准入系统冗余的原理。2.4.1设备正常情况所有设备都正常工作的情况下，客户端ClientA与ClientB的验证方式：（红色箭头方向）2.4.2LanEnforcer故障假设LanEnforcerA出现故障或宕机，客户端ClientA与ClientB的验证方式：（红色箭头方向）因为SwitchA已配置有LanEnforcerA与LanEnforcerB的信息，所以当SwitchA检测到LanEnforcerA无法连接时，自动会把ClientA的EAP验证包转发给LanEnforcerB，而LanEnforcerB把ClientA的EAP验证包转发给SiteB，不会转发给SiteA，因为LanEnforcerB从未与SiteB断开，不会连接SiteA。同时，因为SiteA与SiteB是站点复制的，两个站点之间的信息都是一样的，所以同样验证成功。从而实现LanEnforcer冗余/热备的功能。2.4.3SEPM（站点）故障假设站点SiteA出现故障或宕机，客户端ClientA与ClientB的验证方式：（红色箭头方向）因为LanEnforcerA已更新相应的管理服务器列表，表中已有SiteA与SiteB的服务器IP，当LanEnforcerA在一个时间段内（约2~3分钟）无法与SiteA通信，LanEnforcerA就判定SiteA宕机，立即查询管理服务器列表中的下一个优先级的站点，并建立通信，进入联机状态。所以LanEnforcerA收到EAP验证包全部转发给SiteB。从而实现站点冗余/热备功能。3部署SEPM服务器3.1SEPM服务器安装插入symantecSEP11MR7简体中文安装光盘，运行“setup.exe”，点击“安装symantecEndpointProtectionManager”进入SEP策略服务器安装。进入SEPM欢迎安装向导，点击“下一步”在授权许可协议中选择“我授受该许可证协议中的条款”，点击“下一步（N）”。在选择“目标文件夹”时，选择“更改（C）..”把安装目录更入为“D:\ProgramFiles(X86)\Symantec\SymantecEndpointProtectionManager”，点击确定。在选择Web站点中，选取“使用默认Web站点”，点击“下一步（N）”。如以上设置没问题，点击“安装”进入SymantecEndpointProtectionManager服务器安装。点击“完成”完成SEPM服务器安装工作。以下工作进入SEPM服务器的配置。3.2配置SEPM(站点复制)SEPM程序完装完成后，需要对SEPM进行配置后，SEPM服务才能正常工作。在“选择配置类型”中选择“高级”，点击下一步。选择“1,000台以上”，，点击下一步。在“您想如何选择？”栏中选择“安装其它站点”，对JT-SEPM1进行站点复制（数据库同步复制），选择后点击下一步。一般情况下，不需要修改SEPM服务的端口，按默认端口即可，点击下一步继续配置。站点名称按默认名“站点jt-sepm2”，点击下一步。输入EPM1的服务器地址、端口信息、管理员帐号及密码，通过这些信息对SEPM1的数据进行同步复制。，完成后点击下一步继续配置。当输入正确的SEPM1服务器信息后，系统会提示警告信息，提示无法验证伙伴站点的证书，是否信任此证书，选择“是”。在数据库类型中，选择“MicrosoftSQLServer”，把SEPM服务器上的数据存放在SQLServer上。选择“创建新的数据库”，点击下一步。输入需要创建的数据库名称（sepm）、对应的管理帐号(sepm)及密码(symantec)，输入DBA用户：SA及密码：symantec，点击下一步进行数据库的创建及复制。根据不同的硬件，数据库的创建及复制时间有所不同。当数据复制完成后，点击完成，完成SEPM2服务器与SEPM1服务器站点同步的配置。打开SEPM控制