SEP项目实施方案

XXSEP项目实施方案

深圳市XX有限公司

2015-8-18

文档信息

属性 内容 文档名称： XXSEP项目实施方案 文档编号： 文档版本： 1.0 版本日期： 2013-08-18 文档状态： 制作人： 审阅人：

版本变更记录

版本 1.0

修订日期 2015-08-18 修订人 描述 目 录

1 XXSEP项目实施环境简介 ......................................................................................................... 4 2 XX实施方案总体设计 ................................................................................................................. 5

2.1 站点部署 ............................................................................................................................ 5 2.2 LanEnforcer部署 ............................................................................................................... 5 2.3 交换机认证 ........................................................................................................................ 5 2.4 冗余设计 ............................................................................................................................ 6

2.4.1 设备正常情况 ......................................................................................................... 6 2.4.2 Lan Enforcer故障.................................................................................................... 6 2.4.3 SEPM（站点）故障 ............................................................................................... 7 3 部署SEPM服务器 ..................................................................................................................... 9

3.1 SEPM服务器安装 ............................................................................................................. 9 3.2 配置SEPM(站点复制) .................................................................................................... 13 4 部署LanEnforcer设备 ............................................................................................................ 19 5 配置交换机 ................................................................................................................................ 26

5.1 配置案例（Nortel 470交换机） .................................................................................... 26 5.2 交换机上添加MAC地址过滤方法（Nortel 470） ...................................................... 29 5.3 H3C参考配置命令 .......................................................................................................... 30 6 安装客户端 ................................................................................................................................ 37

6.1系统要求： ....................................................................................................................... 37 6.2 安装SEP客户端(北京办事处SEP客户端安装为例) .................................................. 37 7 SEP准入系统实施后效果 ......................................................................................................... 39 8 SEP系统实施后存在的风险 ..................................................................................................... 40

1 XXSEP项目实施环境简介

为解决XX面临的终端安全威胁，必须从源头做起，在工作站接入网络之前，就需要确保工作站符合安全策略的要求，安装了最新的安全补丁，启用防病毒系统并更新了病毒特征代码。需要建立终端安全接入系统，包括终端自身的安全防护和终端网络准入控制，从源头上解决网络安全问题。

Symantec的SEP解决方案，提供强大的终端安全防护和全面的网络准入控制功能，使用Symantec SEP，可以实现终端安全防护、网络准入控制、应用程序控制及基于用户/组的访问控制策略。

2 XX实施方案总体设计

2.1 站点部署

目前XX已经在总部部署了两台SEPM服务器，只需在现有的SEP管理系统上增加SANC功能即可实现网络准入功能。网络拓扑如下图所示：

2.2 LanEnforcer部署

在总部部署两台LanEnforcer设备，LanEnforcer与当前的SEP站点进行验证。当当前站点出现故障后，LanEnforcer设备可切换到另外一个站点或者启动本地设备认证。

2.3 交换机认证

接入层交换机的Radius认证服务器分别指向两台LanEnforcer设备。当其中一台LanEnforcer出现故障后，交换机自动切换到另外一台LanEnforcer上。

2.4 冗余设计

XXSEP准入系统全部采用冗余设计，无论是SEP站点出现故障、LanEnforcer设备出现故障或专线链路中断，也不会影响客户端安全接入网络。 以下是SEP准入系统冗余的原理。

2.4.1 设备正常情况

所有设备都正常工作的情况下，客户端Client A与Client B的验证方式：（红色箭头方向）

2.4.2 Lan Enforcer故障

假设Lan Enforcer A出现故障或宕机，客户端Client A与Client B的验证方式：（红色箭头方向）

因为Switch A 已配置有Lan Enforcer A与Lan Enforcer B的信息，所以当Switch A 检测到Lan Enforcer A无法连接时，自动会把Client A的EAP验证包转发给Lan Enforcer B，而Lan Enforcer B把Client A的EAP验证包转发给Site B，不会转发给Site A，因为Lan Enforcer B从未与Site B断开，不会连接Site A。 同时，因为Site A与Site B是站点复制的，两个站点之间的信息都是一样的，所以同样验证成功。从而实现Lan Enforcer冗余/热备的功能。

2.4.3 SEPM（站点）故障

假设站点Site A出现故障或宕机，客户端Client A与Client B的验证方式：（红色箭头方向）

因为Lan Enforcer A已更新相应的管理服务器列表，表中已有Site A 与Site B的服务器IP，当Lan Enforcer A在一个时间段内（约2~3分钟）无法与Site A通信，Lan Enforcer A就判定Site A 宕机，立即查询管理服务器列表中的下一个优先级的站点，并建立通信，进入联机状态。所以Lan Enforcer A 收到EAP验证包全部转发给Site B。从而实现站点冗余/热备功能。

3 部署SEPM服务器

3.1 SEPM服务器安装

插入symantec SEP 11 MR7简体中文安装光盘，运行“setup.exe”，点击“安装symantec Endpoint Protection Manager”进入SEP策略服务器安装。

进入SEPM欢迎安装向导，点击“下一步”

在授权许可协议中选择“我授受该许可证协议中的条款”，点击“下一步（N）>”。

在选择“目标文件夹”时，选择“更改（C）..”

把安装目录更入为“D:\\Program Files(X86)\\Symantec\\Symantec Endpoint Protection Manager”，点击确定。

在选择Web站点中，选取“使用默认Web站点”，点击“下一步（N）>”。

如以上设置没问题，点击“安装”进入Symantec Endpoint Protection Manager服务器安装。

点击“完成”完成SEPM服务器安装工作。以下工作进入SEPM服务器的配置。

3.2 配置SEPM(站点复制)

SEPM程序完装完成后，需要对SEPM进行配置后，SEPM服务才能正常工作。在“选择配置类型”中选择“高级”，点击下一步。

选择“1,000台以上”，，点击下一步。

在“您想如何选择？”栏中选择“安装其它站点”，对JT-SEPM1进行站点复制（数据库同步复制），选择后点击下一步。

一般情况下，不需要修改SEPM服务的端口，按默认端口即可，点击下一步继续配置。

站点名称按默认名“站点jt-sepm2” ，点击下一步。

输入EPM1的服务器地址、端口信息、管理员帐号及密码，通过这些信息对SEPM1的数据进行同步复制。，完成后点击下一步继续配置。

当输入正确的SEPM1服务器信息后，系统会提示警告信息，提示无法验证伙伴站点的证书，是否信任此证书，选择“是”。

在数据库类型中，选择“Microsoft SQL Server”，把SEPM服务器上的数据存放在SQL Server上。

选择“创建新的数据库”，点击下一步。

输入需要创建的数据库名称（sepm）、对应的管理帐号(sepm)及密码(symantec)，输入DBA用户：SA及密码：symantec，点击下一步进行数据库的创建及复制。

根据不同的硬件，数据库的创建及复制时间有所不同。当数据复制完成后，点击完成，完成SEPM2服务器与SEPM1服务器站点同步的配置。打开SEPM控制台，选择管理员，点击服务器，可以查看站点复制情况。

4 部署LanEnforcer设备

Symantec SEP准入系统需要使用symantec6100 Enforcer，需要对6100进行设置。在配置LanEnforcer之前，先把显示器、健盘、鼠标连接到6100设置上，连接好网络。

启动6100机器，在GRUB菜单栏中，选择“Reset to factory default settings”，回车，把机器还原出厂默认设置。（系统默认是出厂状态，建议还是重新还原一次）

提示按任意健对设备进行重设或按“Ctrl+Alt-Del”重启机器，按任意健重设设备。

6100设备在重设中。

重设完成后，提示登录系统，输入默认帐号：root，密码：symantec进入LanEnforcer系统。

登录系统后，自动进入系统配置向导，提示Enforcer工作在哪种模式，Gateway Enforcer ? DHCP Enforcer ? Lan Enforcer ?选择“LanEnforcer”，输入“L”，继续进行LanEnforcer配置。

系统提示输入LanEnforcer机器名称，默认是：Enforcer，输入机器名称： LanEnforcer1，回车，系统提示机器已经更改为“ LanEnforcer1”

提示是否需要增加DNS服务器？选择“Y”添加DNS服务器，把10.0.16.15、128.1.16.32、128.1.16.30添加到DNS列表中。回车结束DNS服务器的添加。

请输入root的新密码，由于6100出于安全考虑，密码需要大小写字母+数字+特殊字符组成，输入新密码：Symantec@008，重新输入一遍，完成root密码修改。

用同样的方式修改admin密码，admin新的密码是：Symantec@008

系统提示是否需要修改6100的系统时区，默认时区是+0000，选择“Y”更改设备的系统时区。选择“5”进入Asia时区列表。

然后选择“9”进入中国时区。

在中国时区中，选择“1”确认北京时区。

提示是否接受“Asia/Shanghai”，输入“1”接受。

提示当前系统的日期、时间，如日期、时间没问题，回车确定。

提示输入设置etho的IP地址、子网掩码、网关，输入相关的LanEnforcer信息回车完成，系统会提示设置完成，eth1网卡禁用（Lan Enforcer只需一块网卡）

系统提示是否要查看配置信息，如没问题，按“Q”退出配置日志。

LanEnfocer配置的相关信息。

是否接受上连设置的更改，选择“Y”，更改LanEnforcer设置。

提示登录LanEnforcer系统，输入帐号：root，密码：Symantec@008，登录系统。

系统已经登录。

在命令行中输入“configure spm ip 10.200.16.5 group JT-LanEnforcer http 80 key symantec”，把LanEnforcer注册到SEPM服务器上。

通过“show status”命令可以查看目前LanEnforcer的状态，可以看出LanEnforcer已经连接到SEPM服务器上。

打开SEPM控制台，在管理员\\服务器中可以查看LanEnforcer的相关信息。

5 配置交换机

在实施SEP准入过程中，需要对接入层交换机启用802.1X认证功能，目前已经成功实现了Nortel 470交换机准入功能，以下是Nortel 470交换顶的配置案例。

5.1 配置案例（Nortel 470交换机）

科技大厦交换机通过远程的方式进行配置，以下以10.0.39.1交换机为例，具体配置如下：

1．Telnet 10.0.39.1，进入Telnet窗口，选择“CTRL+Y”开始交换机配置，输入交换机帐号密码进入交换机Telnet配置目录。选择“Console/comm. Port Configuration…”配置交换机的Radius Server地址。

2．在Primary Radius Server中输入“10.200.16.9”，在Secondary Radius Server中输入“10.200.16.10”，在Radius Shared Secret中输入“symantec”共享密码，保存退出该页面。

3．打开Nortel DM管理工具，进入交换机配置管理。在菜单栏中的“Graph”中选择“Security”，在SystemAuthControl中选择“Enabled”，启用“UserBasedPoliciesEnabled”，启用“MultiHostAllowNonEapClient(MAC addresses)”,选择“Apply”。

4．重新回到Telnet介面，选择“Command Line Interface…”进入交换机命令行配置。

5．如端口1-47需要启用802.1X，并启用Multihost功能，Multihost最大的主机认证数是2个。并且也启用了NonEAP认证功能，NonEAP客户端最大认证数也是2个。具体配置如下：

1) 输入“conf t”进入终端配置命令。 2) 输入“int f 1/1-47”配置1/1-47端口

3) 输入“Eapol multihost enable”启用MultiHost功能。

4) 输入“Eapol Multihost allow-non-eap-enable”启用Non-EAP功能。 5) 输入“Eapol Multihost eap-mac-max 2”Multihost最大认证数为2。 6) 输入“Eapol Multihost non-eap-mac-max 2”Non-EAP最大认证数为2。 7) 输入“Eapol Status auto”对1-47端口启用802.1X认证。

5.2 交换机上添加MAC地址过滤方法（Nortel 470）

1．通过DM管理工具连接交换机，如需在端口1/13对网络打印机（MAC地址是 “00:1a:4b:0d:54:29”）不启用802.1X认证，点击端口1/13，右健选择编辑，进行端口配置菜单。

2．在端口配置菜单中，选择“EAPOL Advance”，启用

“MultiHostAllowNonEapClient(MAC addresses)”功能，并“Apply”应用配置。并点击左下角的“Non-EAP MAC…”进行MAC地址添加。

3．选择“Insert…”添加MAC地址，如下图所示，完成后点击“Close”完成该端口对该MAC地址过滤功能。

5.3 H3C参考配置命令

[H3C] [H3C] [H3C] [H3C]dis cur #

version 5.20, Feature 2206P15 #

sysname H3C #

domain default enable semp #

telnet server enable #

dot1x \\\\启用dot1x认证（PC） dot1x authentication-method eap \\\\认证方式为eap #

mac-authentication \\\\启用MAC认证（AVAYA 话机） mac-authentication timer offline-detect 180 mac-authentication timer quiet 180

mac-authentication domain test \\\\调用test域策略 #

vlan 1 # vlan 53

description datavlan # vlan 153 description voice # vlan 211 description guest #

radius scheme system server-type extended

primary authentication 127.0.0.1 1645 primary accounting 127.0.0.1 1646 user-name-format without-domain

radius scheme sepm primary authentication 10.1.16.253 key authentication symantec key accounting symantec timer response-timeout 5 timer quiet 10

user-name-format without-domain

radius scheme test primary authentication 10.24.53.242 key authentication symantec key accounting symantec timer response-timeout 5 timer quiet 10

user-name-format without-domain

\\\\PC认证服务器 \\\\话机认证服务器 #

domain aabbcc.net

authentication lan-access local access-limit disable state active idle-cut disable self-service-url disable

domain semp authentication default radius-scheme sepm local authorization default none accounting default none access-limit disable state active idle-cut disable self-service-url disable domain system access-limit disable state active idle-cut disable self-service-url disable

domain test authentication default radius-scheme test local authorization default none accounting default none access-limit disable state active idle-cut disable self-service-url disable #

user-group system

\\\\dot1x认证域\\\\PC认证域 #

local-user 00-04-0d-ec-cd-17 password simple 00-04-0d-ec-cd-17 service-type lan-access #

interface NULL0 #

interface Vlan-interface53

ip address 10.24.53.250 255.255.255.0 #

interface GigabitEthernet1/0/1 #

interface GigabitEthernet1/0/2 #

interface GigabitEthernet1/0/3 #

interface GigabitEthernet1/0/4 #

interface GigabitEthernet1/0/5 #

interface GigabitEthernet1/0/6 #

interface GigabitEthernet1/0/7 #

interface GigabitEthernet1/0/8 #

interface GigabitEthernet1/0/9 #

interface GigabitEthernet1/0/10 #

interface GigabitEthernet1/0/11 #

interface GigabitEthernet1/0/12 #

interface GigabitEthernet1/0/13 #

interface GigabitEthernet1/0/14 #

interface GigabitEthernet1/0/15 #

interface GigabitEthernet1/0/16 #

interface GigabitEthernet1/0/17 #

interface GigabitEthernet1/0/18 \\\\连接AVAYA话机，再通过话机连接PC。 port link-type hybrid

port hybrid vlan 1 53 153 211 untagged port hybrid pvid vlan 53

mac-vlan enable \\\\基于MAC下发VLAN mac-authentication \\\\MAC认证 undo lldp enable

dot1x guest-vlan 211 \\\\guest VLAN dot1x \\\\dot1x认证 dot1x unicast-trigger #

interface GigabitEthernet1/0/19 #

interface GigabitEthernet1/0/20 \\\\级联接口 port link-type trunk undo port trunk permit vlan 1

port trunk permit vlan 53 153 211 #

interface GigabitEthernet1/0/21 #

interface GigabitEthernet1/0/22 #

interface GigabitEthernet1/0/23 #

interface GigabitEthernet1/0/24 #

interface GigabitEthernet1/0/25 shutdown #

interface GigabitEthernet1/0/26 shutdown #

interface GigabitEthernet1/0/27 shutdown #

interface GigabitEthernet1/0/28 shutdown #

ip route-static 0.0.0.0 0.0.0.0 10.24.53.254 #

load xml-configuration #

user-interface aux 0 user-interface vty 0 15 # return

[H3C]

6 安装客户端

6.1系统要求：

? 内存推荐1GB以上，至少512MB. ? 1GB硬盘可用空间

? 操作系统Win2000以上版本. ? Internet Explorer 6.0 或更高版本

6.2 安装SEP客户端(北京办事处SEP客户端安装为例)

安装SEP客户端注意事项

? 如果客户端之前安装的是Mcafee Viruscan防病毒软件，需要卸载EPO Agent

及Viruscan软件，可通过访问\\\\10.200.16.5\\SEP_Clients\\卸载工具目录下的“RemoveMcafee.bat”进行卸载。

? 如果客户端是安装Symantec Antivirus及Symantec Client Security产品，请先

手工卸载，而且还需要手工卸载LiveUpdate升级程序。 ? 如果是其它类型的防病毒软件，请手工卸载。

? 如果客户端安装了防火墙软件，如：天网、金山毒霸防火墙等，需要手工卸

载。

以上步骤完成后，进入SEP客户端安装。 1.

在安装SEP客户端时，请检查客户端的物理内存大小，如机器内存大于1GB的，请安装SEP全功能包，安装地址是\\\\10.200.16.5\\SEP_Clients\\SEP北京办事处\\Global_北京办事处_全功能目录下，运行Setup.exe即可，如无意外，安装完成后，系统运行Liveupdate更新程序，取消Liveupdate程序。安装完成后需要重新启动机器。 2.

如果客户端的物理内存是大于等于512MB、小于1GB的，请安装SEP精简包，安装地址是\\\\10.200.16.5\\SEP_Clients\\SEP北京办事处\\Global_北京

办事处_精简包目录下，运行Setup.exe即可。 3.

计算机重新启动进行系统，由于SEP在重启后第一次进行系统过程中需要安装加载SEP防火墙模块，故进入系统比较慢，这属正常现象。以后进入系统不会出现这种情况。当进行系统后，双击右下角的symantec盾牌图标，检查病毒更新码是否是最新的，网络威胁防护定义是否最新的。

4.

打开Windows 服务管理器，查看SEP客户端服务是否都已经启动。

5.

修改网络连接的认证方式。打开网上邻居，选择属性。点击我的连接，选择属性。在认证类型中，选择“Symantec NAC Transparent Mode”，保存。 6.

如没问题，SEP客户端安装完成，SEP客户端正常工作。

7 SEP准入系统实施后效果

可防御各种已知和未知威胁，让管理员能够在笔记本电脑、台式机、服务器和移动设备上强制实施安全策略。 像防病毒、反间谍软件、防火墙、入侵防御和设备控制这样的高级威胁防护技术与独立于网络的访问控制技术相结合，可以为系统和网络提供无以伦比的安全性。 SEP系统实施后效果

? 减少恶意代码（如病毒、蠕虫、特洛伊木马、间谍软件和其他形式的犯罪软

件）的传播机会。

? 为最终用户提供更高的网络可用性，并减少服务中断的情况。 ? 通过近乎实时的端点遵从检查获得可验证的企业遵从信息。

? 验证对防病毒软件和客户端防火墙这样的端点安全产品投资是否得到充分

利用。

? 降低获得并管理端点安全解决方案的成本。 ? 降低暴露给外部威胁和内部攻击者的风险。

? 通过使用一家供应商的端点防护和遵从产品来实现标准化，从而最大限度地

降低复杂性。

? 增强对端点资产的控制并提高其可管理性。 ? 降低不受控计算机获得网络访问权限的几率。 ? 确保连接到网络的端点符合最低安全要求。 ? 增强企业资产和运作已得到适当保护的信心。 SEP准许系统主要功能

? 阻止或隔离不遵从的设备，防止其访问公司网络和资源。

? 按照预定义的模板对主机完整性进行测试（如补丁级别、服务包、防病毒软

件和桌面防火墙状态），并且根据企业环境量身定制自定义检查。 ? 对公司网络内外的受管理和未加管理的笔记本电脑、台式机和服务器提供全

方位的端点防护。

8 SEP系统实施后存在的风险

1． 计算机可能连接不了网络

由于交换机启用了802.1X认证功能，没有安装SEP客户端或SEP客户端进行主机完整性检查不通过的，都无法正常连接到网络上。 解决方法：

对没安装的SEP客户端的机器安装SEP客户端，对未能通过主机完整性检查的SEP客户端，检查哪一项内容未通过，如病毒码未更新，更新即可解决问题。

2． 网络打印机、IP电话等非PC的网络设备连接不了网络

由于交换机启用了802.1X认证功能，非PC类的网络设置必须要通过交换机MAC地址排除或对该端口不启用802.1X才能连接网络。 解决方法：

目前已有的非PC类网络类设备已经通过MAC地址排除或对该端口不启用802.1X，对于新添的网络设备，可以通过管理员添加到交换机对应的端口过滤即可解决问题。

3． 无法提供网络共享、打印机共享等服务

这个与防火墙策略有关，可以通过打开相应的服务端口来解决。 解决方法：

为了提高部门计算机的安全，部门计算机互访是正常的，如需要特殊要求，可通过策略来调整解决。

4． LanEnforcer出现故障

当LanEnforcer出现故障，之后需要验证网络准入的客户端（PC、IP电话等）无法通过网络验证。但之前已经通过网络准入的客户端无影响（交换机不启用重认证功能） 解决方法：

对于LanEnforcer准入设备出现故障引起新客户无法连接网络，通过取用双机，在集团部署两台LanEnforcer准入设备，交换机上配置两台Radius服务器分别指向两台LanEnforcer即可解决该问题。

5． SEPM服务器出现故障

SEPM服务器出现故障后，客户端脱机，病毒码无法更新。 解决方法：

SEPM服务器故障，在总部至少部署一台SEPM服务器，其中一台服务器出现故障后，自动切换到其它SEPM服务器上，保证客户端与服务器通讯。

6． 网络出现故障

当接入层交换机与LanEnforcer通讯出现故障后，会引起客户端无法认证问题。 解决方法：

网络出现故障交换机无法与LanEnforcer通讯，这种机率非常很少，而且我们部署了两台LanEnforcer设备，机率更少。

对于LanEnforcer准入设备出现故障引起新客户无法连接网络，通过取用双机，在集团部署两台LanEnforcer准入设备，交换机上配置两台Radius服务器分别指向两台LanEnforcer即可解决该问题。

5． SEPM服务器出现故障

SEPM服务器出现故障后，客户端脱机，病毒码无法更新。 解决方法：

SEPM服务器故障，在总部至少部署一台SEPM服务器，其中一台服务器出现故障后，自动切换到其它SEPM服务器上，保证客户端与服务器通讯。

6． 网络出现故障

当接入层交换机与LanEnforcer通讯出现故障后，会引起客户端无法认证问题。 解决方法：

网络出现故障交换机无法与LanEnforcer通讯，这种机率非常很少，而且我们部署了两台LanEnforcer设备，机率更少。

本文来源：https://www.bwwdw.com/article/4j6p.html