Symantec将NAC票凭借其覆盖范围

在堆的顶部没有Silver Bullet将Symantec网络访问控制器放在堆上。相反，它在部署选项，终点评估和灵活的政策创建方面对其覆盖范围的广度竞争。

Symantec网络访问控制

成本：1,000美元的用户18,009美元

分数：4.48

赛门铁克网络访问控制（SNAC）是公司从2005年收购同步赛中获得的端点 - 安全技术发展的产品。在我们的评估中，没有银耳子弹将赛门铁克放在堆上。相反，它在部署选项，终点评估和灵活的政策创建领域中向覆盖范围的广度展开竞争。

SNAC包括两个主要组件 - 政策经理和强制性。策略管理器是执行所有策略设置的中央管理服务器。实施器是执行端点评估和实施的分布式设备。可以以三种方式部署强制性：LAN（802.1x.），网关（在线）和DHCP.集成（作为设备或作为一个设备微软DHCP插件）。设备可以用作任何Enforcer类型，但它不能同时用作多个Enforcer类型。例如，它可以部署为在线网关，或者在启用802.1x的LAN中使用，但并不同时使用。可以部署多个强制性以提供高可用性和冗余。

对于测试，我们部署了坐在测试的访问和分配层之间的网关Enforcer 1u设备。

由Symantec进行捕获的网络门户 - 被称为Ondemand - 支持访客用户，并在何处拿起用于验证和评估目的的浏览器的一次性代理。将Gateway Enforcer在远程访问终止点后面的网关Enforcer in-Line提供支持远程访问，或者Symantec提供API集成SSL.和IPsec.VPN产品 - 例如Aventail，检查点那思科那杜松和北电- 提供评估端点作为授予网络访问的远程访问系统的条件的能力。这两个方案都需要赛门铁克的代理软件在远程计算机上运行。

对于测试，我们还将网关Enforcer在Cisco VPN集中器后面部署，并设置Symantec的按需组件以提供封印门户，这是一个方案，您将用于未安装NAC代理的远程设备。

用户身份验证可以通过本地对SNAC策略管理器的用户帐户或通过与Active Directory集成，轻量级目录访问协议要么半径后端。同样，用户组在内部定义为SNAC，或者与从现有存储库中拉出的用户信息一起定义。对于测试，我们配置了SNAC，无法在无问题的情况下挖掘我们的Active Directory用户和组信息，并且对于我们的测试床中的Windows客户端，这种集成允许单点登录功能和NAC保护的网络连接。

不需要评估的设备，例如打印机和UPSES，可以通过将其IP地址范围从评估中取出来排除。

端点评估由持久性（由标准软件 - 分发工具部署）或按需代理（根据上述俘虏门户运行）执行。评估时序可以按照每策略设置，从发生分钟到几天。

在这些评估期间，收集了终点 - 用户，IP地址，MAC地址，域和一些计算机信息的一点，比标准信息多一点。应用程序在那里居住。

抗病毒和个人的开箱外覆盖范围防火墙产品强大，支持每个空间的第一层和二线供应商。它们包括迈克菲，趋势科技，熊猫，zonealarm和斯）。赛门铁克嵌入自己的补丁检查软件在产品中，但您需要配置Microsoft知识库编号，它提供了良好的粒度水平。针对修补程序的复选框或基于关键性的东西，例如与Windows Server Update服务集成，对此产品是一个有用的补充。

自定义评估检查由IF / THEN TREE定义。例如，您可以定义检查，就像一个不符合性正在运行的过程一样。然后，您指示SNAC获取系统时间戳并运行脚本以杀死所讨论的进程。这提供了很多灵活性，但有一点学习曲线可以真正利用功能。

通过使用Symantec的扫描扫描仪可以获得漏洞评估，这可以是端点的组件遵守评估。SNAC不提供识别积极受感染的设备的能力，但在与Symantec Sygate Enterprise Protection（SEP）个人防火墙结合时，此功能可用，该个人防火墙单独许可。Symantec不包括对响应外部网络的支持入侵侦测系统和入侵制度事件。

我们测试以确保Sophos AV正在运行，并且应用了关键的Windows安全补丁。所有检查都按预期执行。我们还创建了复杂的自定义检查以查看注册表项和运行过程。自定义检查也按预期运行。

SNAC可轻松促进根据用户的位置分配策略。如果它位于公司网络上，可以应用于设备，在公司网络上连接到公司远程访问解决方案或居住在边缘上的设备上无线的网络在当地咖啡店。虽然您可以通过各种复杂的策略/访问配置等其他产品（例如Vernier等其他产品）实现类似的功能，但Symantec使这个配置过程非常容易。

在设置主机（端点）完整性策略的过程中定义了评估检查的所需参数。然后可以基于如上所述的位置，定义的组或特定用户基于位置来应用这些策略。这些选项使SNAC适应许多环境，并在策略设置中提供比测试所测试的其他产品的更多灵活性。

强制操作包括当网关函数（例如a）的网关函数时阻止网络访问防火墙或更改虚拟LAN分配时802.1x.基于CIFE的Enforcer，下载必要的文件，启动程序并显示与检查失败相关的消息。所有强制测试都与我们测试的IN-Line Gateway Enforcer一起运行。

SNAC生成的日志是信息性的，提供有关授权，评估结果，恢复（修复）和执法活动的详细事件信息。挑战正在将日志中的日志数据转换为有用的报告。可以查询日志数据并导出到Syslog或CVS格式。有一小组报告模板可用，例如概述现有策略使用和日常摘要统计数据的那些，例如环境和内存使用的健康状况。显示评估状态和其他关键指标的仪表板将是一个很好的补充。除了HTML以外的报告外导出选项也将提供改进。

管理是通过基于Web的Java应用程序执行的。GUI直观且易于使用。但是，高级用户可能会挫败访问某些资源（例如策略配置）所需的多个鼠标点击。

总的来说，Symantec提供了SNAC的一些独特功能，例如基于位置应用不同策略的能力，构建非常强大的自定义评估检查以及任何强制执行在三个NAC强制执行方案中的任何强制功能的能力。这些功能，耦合其跨四个基本NAC竞技场的坚实性能 - 授权和认证，评估，执行和管理- 帮助赛门铁克在此测试中的竞争中。

---

<上一个故事：Interscure.|下一个故事：趋势科技>

了解有关此主题的更多信息

买方指南：网络访问控制

Symantec Slips，但在AV产品交付中关闭

05/02/07

Enterasys Security Appliance拥抱多迎员网络访问控制

02/15/07