Podręcznik wdrażania urządzenia Symantec Network Access Control Enforcer

Podręcznik wdrażania urządzenia Symantec Network Access Control Enforcer

Podręcznik wdrażania urządzenia Symantec Network Access Control Enforcer Oprogramowanie opisane w niniejszym podręczniku jest dostarczane w ramach umowy licencyjnej i może być używane jedynie zgodnie z postanowieniami tej umowy. Wersja dokumentacji 11.00.03.01.00 Informacje prawne Copyright 2008 Symantec Corporation. Wszystkie prawa zastrzeżone. Nazwa i logo Symantec oraz logo Symantec, nazwy LiveUpdate, Sygate, Symantec AntiVirus, Bloodhound, Confidence Online, Digital Immune System, Norton i TruScan są znakami towarowymi lub zastrzeżonymi znakami towarowymi firmy Symantec Corporation lub jej filii w USA i innych krajach. Inne nazwy mogą być znakami towarowymi odpowiednich właścicieli. Ten produkt firmy Symantec może zawierać oprogramowanie innych firm, w przypadku którego firma Symantec musi wskazać odpowiednią inną firmę ( Programy innych firm ). Niektóre z Programów innych firm są dostępne na mocy bezpłatnych licencji na oprogramowanie lub licencji typu open source. Umowa licencyjna towarzysząca Oprogramowaniu nie zmienia żadnych praw ani zobowiązań użytkownika wynikających z tych bezpłatnych licencji na oprogramowanie lub licencji typu open source. Szczegółowe informacje na temat Programów innych firm zawiera dodatek do niniejszej dokumentacji Uwagi prawne dotyczące podmiotów trzecich lub plik Readme TPIP towarzyszący temu produktowi firmy Symantec. Produkt opisany w tym dokumencie jest dystrybuowany na licencji ograniczającej jego używanie, kopiowanie, dystrybucję i dekompilację/inżynierię odwrotną. Żadnej części tego dokumentu nie wolno powielać w jakiejkolwiek postaci za pomocą jakichkolwiek środków bez wcześniejszej pisemnej zgody firmy Symantec Corporation i jej filii. TA DOKUMENTACJA JEST DOSTARCZANA W STANIE, W JAKIM JEST I WSZELKIE JAWNE LUB DOROZUMIANE WARUNKI, ZOBOWIĄZANIA I GWARANCJE, WŁĄCZNIE Z DOROZUMIANYMI GWARANCJAMI PRZYDATNOŚCI HANDLOWEJ, PRZYDATNOŚCI DO JAKIEGOKOLWIEK OKREŚLONEGO CELU I GWARANCJAMI NIENARUSZANIA PRAW WŁASNOŚCI INTELEKTUALNEJ SĄ WYKLUCZONE W STOPNIU DOPUSZCZALNYM PRZEZ OBOWIĄZUJĄCE PRAWO. FIRMA SYMANTEC CORPORATION W ŻADNYCH OKOLICZNOŚCIACH NIE PONOSI ODPOWIEDZIALNOŚCI W ZWIĄZKU ZE SZKODAMI BEZPOŚREDNIMI, POŚREDNIMI LUB WTÓRNYMI POWSTAŁYMI WSKUTEK LUB W ZWIĄZKU Z UŻYTKOWANIEM TEJ DOKUMENTACJI. FIRMA SYMANTEC ZASTRZEGA SOBIE PRAWO WPROWADZANIA BEZ UPRZEDZENIA ZMIAN W INFORMACJACH ZAWARTYCH W TEJ DOKUMENTACJI. Licencjonowane Oprogramowanie i Dokumentacja są uważane za komercyjne oprogramowanie komputerowe według definicji FAR, artykuł 12.212 i podlegają ograniczeniom zgodnie z definicją FAR, sekcja 52.227-19 Komercyjne oprogramowanie komputerowe ograniczone prawa oraz DFARS, artykuł 227.7202, odpowiednio Prawa w

komercyjnym oprogramowaniu komputerowym lub dokumentacji komercyjnego oprogramowania komputerowego i wszelkimi późniejszymi regulacjami. Wszelkie użytkowanie, modyfikacja, powielenie, eksploatacja, wyświetlenie lub ujawnienie Licencjonowanego oprogramowania przez administrację państwową USA musi odbyć się w pełnej zgodzie z warunkami niniejszej Umowy. Symantec Corporation 20330 Stevens Creek Blvd. Cupertino, CA 95014 http://www.symantec.pl

Pomoc techniczna Kontakt z pomocą techniczną Pomoc techniczna firmy Symantec prowadzi centra obsługi na całym świecie. Podstawowym zadaniem pomocy technicznej jest odpowiadanie na określone pytania dotyczące funkcji produktu oraz jego działania. Grupa pomocy technicznej opracowuje również zawartość naszej internetowej bazy wiedzy. Grupa pomocy technicznej współpracuje z innymi działami firmy Symantec, aby w możliwie krótkim czasie odpowiadać na pytania użytkowników. Grupa pomocy technicznej współpracuje na przykład z projektantami produktów oraz z centrum Symantec Security Response, aby udostępniać obsługę alertów i aktualizacje definicji wirusów. Oferta firmy Symantec w zakresie wsparcia technicznego obejmuje: Zróżnicowany zakres opcji pomocy technicznej umożliwiających dobranie poziomu usług do rozmiaru organizacji. Telefoniczną i internetową pomoc techniczną zapewniającą szybką reakcję i dostęp do najnowszych informacji. Ubezpieczenie aktualizacyjne, umożliwiające automatyczne uaktualnienie oprogramowania do nowszej wersji. Globalną pomoc techniczną dostępną 24 godziny na dobę, 7 dni w tygodniu. Funkcje zaawansowane, w tym usługi zarządzania kontami. Informacje na temat oferowanych przez firmę Symantec programów wsparcia technicznego można znaleźć w naszej witrynie internetowej pod następującym adresem URL: www.symantec.com/techsupp/ Klienci posiadający aktualną umowę dotyczącą wsparcia technicznego mogą uzyskać dostęp do informacji o pomocy technicznej pod następującym adresem URL: www.symantec.com/techsupp/ Przed skontaktowaniem się z pomocą techniczną należy się upewnić, że spełnione są wymagania systemowe podane w dokumentacji produktu. Ponadto komputer, na którym wystąpił problem powinien być włączony, aby w razie potrzeby można było ten problem odtworzyć. Kontaktując się z pomocą techniczną, należy mieć przygotowane następujące informacje: numer wersji produktu,

informacje o sprzęcie, ilość dostępnej pamięci i miejsca na dysku oraz informacje o karcie sieciowej, System operacyjny numer wersji i poprawki do programu, topologia sieci, informacje o routerze, bramie i adresie IP. Opis problemu: komunikaty o błędach i pliki dziennika, próby rozwiązania problemu podjęte przed skontaktowaniem się z firmą Symantec, ostatnie zmiany w konfiguracji oprogramowania i sieci. Licencja i rejestracja Centrum obsługi klientów Jeśli produkt firmy Symantec wymaga rejestracji lub klucza licencji, należy odwiedzić stronę internetową naszej pomocy technicznej pod następującym adresem URL: www.symantec.com/techsupp/ Informacje na temat centrum obsługi klientów są dostępne pod następującym adresem URL: www.symantec.com/techsupp/ Centrum obsługi klientów służy pomocą w następujących kwestiach: pytania dotyczące licencji lub numerów seryjnych produktów, aktualizacje rejestracji produktów, takie jak zmiana adresu lub nazwy, ogólne informacje o produkcie (funkcje, dostępne wersje językowe, miejscowi dostawcy), najnowsze informacje o aktualizacjach i uaktualnieniach produktów, informacje dotyczące umów o zabezpieczenia aktualizacji i wsparcie techniczne, informacje o programach Symantec Buying Programs, porady dotyczące opcji pomocy technicznej firmy Symantec, pytania inne niż techniczne, dotyczące sprzedaży produktów, kwestie związane z dyskami CD-ROM lub podręcznikami.

Informacje na temat umowy dotyczącej wsparcia technicznego W celu uzyskania informacji o istniejącej umowie dotyczącej wsparcia technicznego należy kontaktować się z firmą Symantec przy użyciu następujących adresów regionalnych zespołów administrujących tą umową: Azja Pacyficzna i Japonia Europa, Bliski Wschód i Afryka Ameryka Północna i Ameryka Łacińska contractsadmin@symantec.com semea@symantec.com supportsolutions@symantec.com Dodatkowe usługi dla przedsiębiorstw Firma Symantec oferuje pełen zestaw usług umożliwiających zmaksymalizowanie korzyści z inwestycji w produkty firmy Symantec oraz poszerzanie wiedzy, umiejętności i ogólnego zrozumienia odpowiednich zagadnień w celu aktywnego zarządzania zabezpieczeniami firmy przed zagrożeniami. Dostępne usługi dla przedsiębiorstw obejmują: Rozwiązania wczesnego ostrzegania firmy Symantec Usługi Managed Security Services Usługi konsultingowe Usługi szkoleniowe Rozwiązania te zapewniają wczesne ostrzeganie o cyberatakach, pełną analizę zagrożenia i środki zaradcze umożliwiające zapobieganie atakom przed ich wystąpieniem. Usługi te eliminują konieczność zarządzania urządzeniami zabezpieczającymi i zdarzeniami dotyczącymi zabezpieczeń oraz ich monitorowania, zapewniając szybką odpowiedź na rzeczywiste zagrożenia. Usługi konsultingowe firmy Symantec obejmują analizy techniczne firmy Symantec i jej zaufanych partnerów na miejscu u klienta. W ramach usług konsultingowych firmy Symantec oferowane są różne skonfigurowane fabrycznie i niestandardowe opcje umożliwiające ocenianie, projektowanie, wdrażanie, monitorowanie i zarządzanie, pozwalające na uzyskanie i utrzymywanie integralności i dostępności zasobów informatycznych przedsiębiorstwa. Usługi szkoleniowe to pełen zestaw szkoleń technicznych i dotyczących bezpieczeństwa, certyfikowanie w dziedzinie zabezpieczeń i programy komunikacyjne budujące świadomość zagrożeń. Więcej informacji na temat usług dla przedsiębiorstw można uzyskać w naszej witrynie internetowej pod następującym adresem URL: www.symantec.pl Z indeksu w witrynie należy wybrać kraj lub język.

Spis treści Pomoc techniczna... 4 Sekcja 1 Instalowanie i konfigurowanie urządzeń Symantec Network Access Control Enforcer... 25 Rozdział 1 Urządzenie Enforcer wprowadzenie... 27 Moduły Symantec Enforcer informacje... 27 Grupa docelowa... 28 Typy egzekwowania... 29 Zastosowania urządzeń Symantec Network Access Control Enforcer... 30 Zasady integralności hosta a urządzenie Enforcer informacje... 32 Komunikacja między urządzeniem Enforcer a serwerem Symantec Endpoint Protection Manager... 33 Komunikacja między urządzeniem Enforcer a klientami... 34 Sposób działania urządzenia Gateway Enforcer... 34 Sposób działania urządzenia DHCP Enforcer... 36 Sposób działania urządzenia LAN Enforcer... 37 Sposób działania modułu LAN Enforcer w konfiguracji podstawowej... 39 Sposób działania modułu LAN Enforcer w trybie przeźroczystym... 39 Uwierzytelnianie 802.1x informacje... 40 Obsługa rozwiązań egzekwujących innych producentów... 41 Źródła dodatkowych informacji na temat urządzeń Symantec Enforcer... 42 Rozdział 2 Planowanie instalacji urządzenia Enforcer... 45 Planowanie instalacji urządzeń Enforcer... 45 Planowanie instalacji urządzenia Gateway Enforcer... 46 Rozmieszczanie urządzeń Gateway Enforcer... 46

8 Spis treści Wytyczne dotyczące adresów IP urządzenia Gateway Enforcer... 49 Dwa urządzenia Gateway Enforcer połączone szeregowo... 49 Ochrona dostępu przez sieć VPN za pomocą urządzenia Gateway Enforcer... 50 Ochrona bezprzewodowych punktów dostępu za pomocą urządzenia Gateway Enforcer... 50 Ochrona serwerów za pomocą urządzenia Gateway Enforcer... 50 Ochrona serwerów i klientów z systemami innymi niż Windows za pomocą urządzenia Gateway Enforcer... 51 Wymagania dotyczące umożliwiania dostępu klientom z systemami innymi niż Windows bez uwierzytelniania... 52 Planowanie przełączania awaryjnego urządzeń Gateway Enforcer... 53 Sposób działania przełączania awaryjnego urządzeń Gateway Enforcer w sieci... 53 Rozmieszczanie urządzeń Gateway Enforcer w celu przełączania awaryjnego w sieci z jedną lub wieloma sieciami VLAN... 54 Konfigurowanie urządzeń Gateway Enforcer do przełączania awaryjnego... 57 Planowanie instalacji urządzenia DHCP Enforcer... 57 Rozmieszczanie urządzeń DHCP Enforcer w sieci... 57 Adresy IP urządzenia DHCP Enforcer... 59 Ochrona klientów z systemem innym niż system Windows z egzekwowaniem DHCP... 60 Serwer DHCP informacje... 61 Planowanie przełączania awaryjnego urządzeń DHCP Enforcer... 62 Sposób działania przełączania awaryjnego urządzeń DHCP Enforcer w sieci... 62 Rozmieszczanie urządzeń DHCP Enforcer w celu przełączania awaryjnego w sieci z jedną lub wieloma sieciami VLAN... 63 Konfigurowanie urządzeń DHCP Enforcer do przełączania awaryjnego... 65 Planowanie instalacji urządzenia LAN Enforcer... 67 Rozmieszczanie urządzeń LAN Enforcer... 67 Planowanie przełączania awaryjnego urządzeń LAN Enforcer... 70 Rozmieszczanie urządzeń LAN Enforcer w sieci w celu przełączania awaryjnego... 70

Spis treści 9 Rozdział 3 Rozdział 4 Rozdział 5 Uaktualnianie i migrowanie obrazów urządzenia Enforcer... 73 Uaktualnianie i migrowanie obrazów urządzeń Enforcer do wersji 11.0.3000... 73 Ustalanie bieżącej wersji obrazu urządzenia Enforcer... 74 Uaktualnianie obrazu urządzenia Enforcer z wersji 11.0 lub 11.0.2000 do wersji 11.0.3000... 74 Migrowanie obrazu urządzenia Enforcer z wersji 5.1.x do wersji 11.0.3000... 75 Zmiana obrazu oprogramowania urządzenia Enforcer... 76 Instalowanie urządzenia Enforcer po raz pierwszy... 77 Przed zainstalowaniem urządzenia Enforcer... 77 Instalacja urządzenia Gateway Enforcer informacje... 78 Instalacja urządzenia DHCP Enforcer informacje... 78 Instalacja urządzenia LAN Enforcer informacje... 79 Wskaźniki i elementy sterujące urządzenia Enforcer... 79 Ustawienia karty NIC urządzenia Gateway Enforcer lub DHCP Enforcer... 81 Instalowanie urządzenia Enforcer... 82 Zamykanie urządzenia Enforcer informacje... 87 Wykonywanie podstawowych zadań w konsoli urządzenia Enforcer... 89 Wykonywanie podstawowych zadań w konsoli urządzenia Enforcer informacje... 89 Logowanie się do urządzenia Enforcer... 90 Konfigurowanie połączenia między urządzeniem Enforcer a serwerem Symantec Endpoint Protection Manager... 91 Sprawdzanie stanu komunikacji urządzenia Enforcer w konsoli urządzenia Enforcer... 93 Dostęp zdalny do urządzenia Enforcer... 94 Dzienniki debugowania i raporty urządzeń Enforcer... 94

10 Spis treści Rozdział 6 Konfigurowanie urządzenia Symantec Gateway Enforcer w konsoli programu Symantec Endpoint Protection Manager... 95 Konfigurowanie urządzenia Symantec Gateway Enforcer w konsoli programu Symantec Endpoint Protection Manager informacje... 96 Zmienianie ustawień konfiguracyjnych urządzenia Gateway Enforcer na serwerze zarządzania... 96 Używanie ustawień ogólnych... 100 Dodawanie lub edytowanie opisu grupy urządzeń Gateway Enforcer... 100 Dodawanie lub edytowanie opisu urządzenia Gateway Enforcer... 101 Dodawanie lub edytowanie adresu IP lub nazwy hosta urządzenia Gateway Enforcer... 101 Nawiązywanie komunikacji między urządzeniem Gateway Enforcer a serwerem Symantec Endpoint Protection Manager za pomocą listy serwerów zarządzania... 102 Używanie ustawień uwierzytelniania... 103 Używanie ustawień uwierzytelniania informacje... 103 Sesje uwierzytelniania w module Gateway Enforcer informacje urządzenie... 107 Uwierzytelnianie klienta w module Gateway Enforcer informacje urządzenie... 108 Określanie maksymalnej liczby pakietów wezwania wysyłanych w sesji uwierzytelniania... 109 Określanie częstotliwości wysyłania pakietów wezwania do klientów... 110 Określanie czasu blokowania klienta po niepowodzeniu jego uwierzytelnienia... 111 Określanie czasu zezwolenia klientowi na utrzymanie połączenia z siecią bez ponownego uwierzytelnienia... 111 Zezwalanie na dostęp wszystkich klientów z dalszym rejestrowaniem klientów nieuwierzytelnionych... 112 Zezwalanie klientom z systemem innym niż system Windows na łączenie się z siecią bez uwierzytelniania... 113 Konfigurowanie urządzenia Gateway Enforcer do sprawdzania numeru seryjnego zasady na kliencie... 115 Wysyłanie komunikatu o niezgodności z urządzenia Gateway Enforcer do klienta... 116 Przekierowywanie żądań HTTP do strony internetowej... 117 Ustawienia zakresu uwierzytelniania... 118

Spis treści 11 Zakresy adresów IP klienta w porównaniu z zaufanymi zewnętrznymi adresami IP... 119 Kiedy należy używać zakresów adresów IP klienta... 120 Zaufane adresy IP informacje... 121 Dodawanie zakresów adresów IP klienta do listy adresów wymagających uwierzytelniania... 122 Edytowanie zakresów adresów IP klienta na liście adresów wymagających uwierzytelniania... 124 Usuwanie zakresów adresów IP klienta z listy adresów wymagających uwierzytelniania... 124 Dodawanie zaufanego wewnętrznego adresu IP dla klientów na serwerze zarządzania... 125 Określanie zaufanych zewnętrznych adresów IP... 126 Edytowanie zaufanego wewnętrznego lub zewnętrznego adresu IP... 127 Usuwanie zaufanego wewnętrznego lub zewnętrznego adresu IP... 128 Kolejność sprawdzania zakresów adresów IP... 128 Używanie ustawień zaawansowanych urządzenia Gateway Enforcer... 129 Określanie protokołów i typów pakietów... 129 Zezwalanie starszemu klientowi na połączenie z siecią za pośrednictwem urządzenia Gateway Enforcer... 131 Włączanie uwierzytelniania lokalnego na urządzeniu Gateway Enforcer... 131 Rozdział 7 Konfigurowanie urządzenia Symantec DHCP Enforcer w konsoli programu Symantec Endpoint Protection Manager... 133 Konfigurowanie urządzenia Symantec DHCP Enforcer w konsoli programu Symantec Endpoint Protection Manager informacje... 134 Zmienianie ustawień konfiguracyjnych urządzenia DHCP Enforcer na serwerze zarządzania... 134 Używanie ustawień ogólnych... 136 Dodawanie lub edytowanie nazwy grupy modułów Enforcer z modułem DHCP Enforcer... 136 Dodawanie lub edytowanie opisu grupy modułów Enforcer z modułem DHCP Enforcer... 136 Dodawanie lub edytowanie adresu IP lub nazwy hosta modułu DHCP Enforcer... 137 Dodawanie lub edytowanie opisu modułu DHCP Enforcer... 137

12 Spis treści Podłączanie modułu DHCP Enforcer do serwera Symantec Endpoint Protection Manager... 138 Używanie ustawień uwierzytelniania... 139 Używanie ustawień uwierzytelniania informacje... 139 Sesje uwierzytelniania informacje... 141 Określanie maksymalnej liczby pakietów wezwania wysyłanych w sesji uwierzytelniania... 143 Określanie częstotliwości wysyłania pakietów wezwania do klientów... 144 Zezwalanie na dostęp wszystkich klientów z dalszym rejestrowaniem klientów nieuwierzytelnionych... 145 Zezwalanie klientom z systemem innym niż system Windows na łączenie się z siecią bez uwierzytelniania... 146 Konfigurowanie modułu DHCP Enforcer do sprawdzania numeru seryjnego zasady na kliencie... 147 Wysyłanie komunikatu o niezgodności z urządzenia DHCP Enforcer do klienta... 148 Używanie ustawień serwerów DHCP... 149 Używanie ustawień serwerów DHCP informacje... 150 Instalowanie normalnego serwera DHCP i serwera DHCP kwarantanny na jednym komputerze... 150 Włączanie oddzielnych serwerów DHCP kwarantanny i normalnych serwerów DHCP... 151 Dodawanie normalnego serwera DHCP... 151 Dodawanie serwera DHCP kwarantanny... 153 Używanie ustawień zaawansowanych urządzenia DHCP Enforcer... 154 Konfigurowanie automatycznej kwarantanny dla klientów, którzy nie przejdą uwierzytelniania... 155 Określanie okresu oczekiwania urządzenia DHCP Enforcer przed udzieleniem klientowi dostępu do sieci... 156 Zezwalanie serwerom, klientom i urządzeniom na łączenie się z siecią jako zaufane hosty bez uwierzytelniania... 156 Zapobieganie fałszowaniu danych DNS... 157 Zezwalanie starszemu klientowi na połączenie z siecią za pośrednictwem urządzenia DHCP Enforcer... 158 Włączanie uwierzytelniania lokalnego na urządzeniu DHCP Enforcer... 159

Spis treści 13 Rozdział 8 Konfigurowanie urządzenia Symantec LAN Enforcer w konsoli programu Symantec Endpoint Protection Manager... 161 Konfigurowanie modułu Symantec LAN Enforcer w konsoli programu Symantec Endpoint Protection Manager informacje... 162 Konfigurowanie serwerów RADIUS na urządzeniu LAN Enforcer informacje... 162 Konfigurowanie bezprzewodowych punktów dostępu 802.1x na urządzeniu LAN Enforcer informacje... 163 Zmienianie ustawień konfiguracyjnych modułu LAN Enforcer w konsoli programu Symantec Endpoint Protection Manager... 165 Używanie ustawień ogólnych... 167 Dodawanie lub edytowanie nazwy grupy urządzeń LAN Enforcer za pomocą modułu LAN Enforcer... 167 Określanie portu nasłuchu używanego do komunikacji między przełącznikiem sieci VLAN a modułem LAN Enforcer... 168 Dodawanie lub edytowanie opisu grupy modułów Enforcer przy użyciu modułu LAN Enforcer... 168 Dodawanie lub edytowanie adresu IP lub nazwy hosta modułu LAN Enforcer... 169 Dodawanie lub edytowanie opisu modułu LAN Enforcer... 169 Podłączanie modułu LAN Enforcer do serwera Symantec Endpoint Protection Manager... 170 Używanie ustawień grupy serwerów RADIUS... 171 Dodawanie nazwy grupy serwerów RADIUS i serwera RADIUS... 172 Edytowanie nazwy grupy serwerów RADIUS... 173 Edytowanie przyjaznej nazwy serwera RADIUS... 174 Edytowanie nazwy hosta lub adresu IP serwera RADIUS... 175 Edytowanie numeru portu uwierzytelniania serwera RADIUS... 175 Edytowanie wspólnego hasła serwera RADIUS... 176 Usuwanie nazwy grupy serwerów RADIUS... 177 Usuwanie serwera RADIUS... 177 Używanie ustawień przełącznika... 178 Używanie ustawień przełącznika informacje... 178 Obsługa atrybutów modeli przełączników informacje... 180 Dodawanie zasady przełącznika 802.1x dla urządzenia LAN Enforcer przy użyciu kreatora... 184 Edytowanie podstawowych informacji o zasadzie przełącznika i przełączniku zgodnym ze standardem 802.1x... 192

14 Spis treści Edytowanie informacji o przełączniku zgodnym ze standardem 802.1x... 198 Edytowanie informacji dotyczących sieci VLAN dla zasady przełącznika... 199 Edytowanie informacji dotyczących działań dla zasady przełącznika... 202 Używanie ustawień zaawansowanych urządzenia LAN Enforcer... 207 Zezwalanie starszemu klientowi na połączenie z siecią za pośrednictwem urządzenia LAN Enforcer... 207 Włączanie uwierzytelniania lokalnego na urządzeniu LAN Enforcer... 208 Używanie uwierzytelniania 802.1x... 208 Ponowne uwierzytelnianie komputera klienckiego informacje... 211 Rozdział 9 Konfigurowanie tymczasowych połączeń dla klientów Symantec Network Access Control On-Demand... 213 Konfigurowanie tymczasowych połączeń dla klientów Symantec Network Access Control On-Demand informacje... 213 Przed skonfigurowaniem klientów Symantec Network Access Control On-Demand w konsoli urządzenia Gateway Enforcer lub DHCP Enforcer... 214 Umożliwianie klientom Symantec Network Access Control On-Demand tymczasowego łączenia się z siecią... 217 Konfigurowanie uwierzytelniania klientów Symantec Network Access Control On-Demand w konsoli urządzenia Gateway Enforcer lub DHCP Enforcer... 219 Konfigurowanie uwierzytelniania przy użyciu lokalnej bazy danych urządzenia... 219 Konfigurowanie uwierzytelniania za pomocą usługi Active Directory systemu Microsoft Windows 2003 Server... 220 Konfigurowanie klientów On-Demand instalowanych w systemie Windows do uwierzytelniania przy użyciu protokołu dot1x... 221 Konfigurowanie klientów On-Demand instalowanych w systemie Windows do uwierzytelniania przy użyciu protokołu peap... 222 Edytowanie transparentu na stronie powitalnej... 223 Rozwiązywanie problemów z połączeniem między modułem a klientami On-Demand... 223

Spis treści 15 Rozdział 10 Rozdział 11 Interfejs wiersza polecenia urządzenia Enforcer... 227 Hierarchia poleceń interfejsu CLI urządzenia Enforcer informacje... 227 Hierarchia poleceń interfejsu CLI... 228 Przechodzenie w górę i w dół hierarchii... 231 Skróty klawiaturowe interfejsu CLI urządzenia Enforcer... 232 Uzyskiwanie pomocy dotyczącej poleceń interfejsu CLI... 233 Wykaz poleceń interfejsu wiersza polecenia urządzenia Enforcer... 237 Składnia poleceń... 237 Alfabetyczny wykaz poleceń interfejsu CLI urządzenia Enforcer... 238 Polecenia najwyższego poziomu... 254 Polecenie clear... 254 Polecenie date... 254 Polecenie exit... 254 Polecenie help... 255 Polecenie hostname... 256 Polecenie password... 256 Polecenie ping... 256 Polecenie reboot... 257 Polecenie shutdown... 257 Polecenie show... 257 Polecenie start... 259 Polecenie stop... 259 Polecenie traceroute... 259 Polecenie update... 259 Polecenia z grupy capture... 260 Polecenie capture compress... 260 Polecenie capture filter... 260 Polecenie capture show... 262 Polecenie capture start... 262 Polecenie capture upload... 263 Polecenie capture verbose... 264 Polecenia z grupy configure... 264 Polecenia advanced z grupy configure... 264 Polecenie configure DNS... 271 Polecenie configure interface... 272 Polecenie configure interface-role... 273 Polecenie configure ntp... 274

16 Spis treści Polecenie configure redirect... 274 Polecenie configure route... 274 Polecenie configure show... 275 Polecenie configure SPM... 275 Polecenia z grupy console... 277 Polecenie console baud-rate... 277 Polecenie console ssh... 277 Polecenie console sshkey... 277 Polecenie console show... 278 Polecenia z grupy debug... 278 Polecenie debug destination... 278 Polecenie debug level... 279 Polecenie debug show... 279 Polecenie debug upload... 280 Polecenia z grupy MAB... 280 Polecenie MAB disable... 281 Polecenie MAB enable... 281 Polecenia MAB LDAP... 281 Polecenie MAB show... 284 Polecenia z grupy monitor... 285 Polecenie monitor refresh... 285 Polecenie monitor show... 285 Polecenie monitor show blocked-hosts... 285 Polecenie monitor show connected-guests... 287 Polecenie monitor show connected-users... 288 Polecenia z grupy SNMP... 289 Polecenie SNMP disable... 289 Polecenie SNMP enable... 289 Polecenie SNMP heartbeat... 290 Polecenie SNMP receiver... 290 Polecenie SNMP show... 290 Polecenie SNMP trap... 291 Polecenia z grupy On-Demand... 291 Polecenie on-demand authentication... 292 Polecenie on-demand banner... 298 Polecenie on-demand client-group... 298 Polecenia on-demand dot1x... 299 Polecenie on-demand show... 309 Polecenie on-demand spm-domain... 309 Polecenia on-demand mac-compliance... 310

Spis treści 17 Rozdział 12 Rozdział 13 Sekcja 2 Rozdział 14 Rozwiązywanie problemów z urządzeniem Enforcer... 315 Rozwiązywanie problemów z urządzeniem Enforcer informacje... 315 Ogólne tematy dotyczące rozwiązywania problemów i znanych problemów... 316 Transfer informacji o debugowaniu przez sieć informacje... 317 Często zadawane pytania dotyczące urządzeń Gateway Enforcer, DHCP Enforcer i LAN Enforcer... 319 Pytania dotyczące egzekwowania zasad... 319 Które oprogramowanie antywirusowe obsługuje funkcje integralności hosta?... 320 Czy zasady integralności hosta można konfigurować na poziomie grupy lub poziomie globalnym?... 321 Czy można utworzyć niestandardowy komunikat funkcji sprawdzania integralności hosta?... 321 Co się dzieje, gdy urządzenia Enforcer nie mogą się skomunikować z serwerami Symantec Endpoint Protection Manager?... 321 Czy serwer RADIUS jest wymagany, gdy urządzenie LAN Enforcer działa w trybie przeźroczystym?... 322 Jak są egzekwowane zasady w przypadku komputerów bez klientów?... 323 Instalowanie modułu Symantec NAC Integrated Enforcer for Microsoft DHCP Servers... 325 Moduł Symantec NAC Integrated Enforcer for Microsoft DHCP Servers wprowadzenie... 327 Moduł Symantec NAC Integrated Enforcer for Microsoft DHCP Servers informacje... 327 Sposób działania modułu Integrated Enforcer for Microsoft DHCP Servers... 328 Rozpoczynanie instalacji modułu Integrated Enforcer for Microsoft DHCP Servers... 329

18 Spis treści Źródła dodatkowych informacji o dokumentacji związanej z modułem Integrated Enforcer for Microsoft DHCP Servers... 330 Rozdział 15 Rozdział 16 Sekcja 3 Rozdział 17 Planowanie instalacji modułu Symantec NAC Integrated Enforcer for Microsoft DHCP Servers... 333 Planowanie instalacji modułu Integrated Enforcer for Microsoft DHCP Servers informacje... 333 Składniki wymagane dla modułu Integrated Enforcer for Microsoft DHCP Servers... 334 Wymagania sprzętowe modułu Integrated Enforcer for Microsoft DHCP Servers... 334 Wymagania modułu Integrated Enforcer for Microsoft DHCP Servers dotyczące systemu operacyjnego... 335 Planowanie umieszczenia modułu Integrated Enforcer for Microsoft DHCP Servers... 335 Instalowanie modułu Symantec NAC Integrated Enforcer for Microsoft DHCP Servers... 337 Przed zainstalowaniem modułu Integrated Enforcer for Microsoft DHCP Servers... 337 Instalowanie modułu Integrated Enforcer for Microsoft DHCP Servers... 338 Uaktualnianie modułu Integrated Enforcer for Microsoft DHCP Servers... 341 Instalowanie modułu Symantec NAC Integrated Enforcer for Alcatel-Lucent VitalQIP DHCP Servers... 343 Instalowanie modułu Symantec NAC Integrated Enforcer for Alcatel-Lucent VitalQIP DHCP Servers... 345 Moduł Integrated Enforcer for Alcatel-Lucent VitalQIP DHCP Servers (Integrated Lucent Enforcer) informacje... 345 Zastosowania modułu Integrated Lucent Enforcer... 346 Sposób działania modułu Integrated Lucent Enforcer... 346 Źródła dodatkowych informacji o dokumentacji związanej z modułem Integrated Lucent Enforcer... 348

Spis treści 19 Rozdział 18 Rozdział 19 Sekcja 4 Rozdział 20 Planowanie instalacji modułu Symantec NAC Integrated Lucent Enforcer... 351 Planowanie instalacji modułu Integrated Lucent Enforcer informacje... 351 Składniki wymagane dla modułu Integrated Lucent Enforcer... 352 Planowanie umieszczenia modułu Integrated Lucent Enforcer... 353 Wymagania sprzętowe modułu Integrated Lucent Enforcer... 355 Wymagania modułu Integrated Lucent Enforcer dotyczące systemu operacyjnego... 355 Instalowanie modułu Symantec NAC Integrated Enforcer for Alcatel-Lucent VitalQIP Enterprise DHCP Servers... 357 Przed zainstalowaniem modułu Integrated Enforcer for Alcatel-Lucent VitalQIP Enterprise DHCP Servers po raz pierwszy... 357 Instalowanie modułu Integrated Enforcer for Alcatel-Lucent VitalQIP Enterprise DHCP Servers... 358 Dezinstalacja modułu Integrated Enforcer for Alcatel-Lucent VitalQIP Enterprise DHCP Servers... 360 Zatrzymywanie i uruchamianie serwera VitalQIP Enterprise DHCP firmy Lucent... 361 Konfigurowanie modułów Symantec NAC Integrated Enforcer w konsoli modułu Enforcer... 363 Konfigurowanie modułów Symantec NAC Integrated Enforcer w konsoli modułu Enforcer... 365 Konfigurowanie modułu Symantec NAC Integrated Enforcer w konsoli modułu Enforcer informacje... 366 Nawiązywanie lub zmienianie komunikacji między modułem Integrated Enforcer a serwerami Symantec Endpoint Protection Manager... 367 Konfigurowanie automatycznej kwarantanny... 369 Konfigurowanie ustawień podstawowych modułu Symantec Integrated Enforcer... 371 Dodawanie lub edytowanie nazwy grupy modułów Enforcer przy użyciu modułu Symantec Integrated Enforcer... 372

20 Spis treści Dodawanie lub edytowanie opisu grupy modułów Enforcer przy użyciu modułu Symantec Integrated Enforcer... 372 Dodawanie lub edytowanie adresu IP lub nazwy hosta modułu Symantec Integrated Enforcer... 373 Dodawanie lub edytowanie opisu modułu Symantec Integrated Enforcer... 373 Łączenie modułu Symantec Integrated Enforcer z programem Symantec Endpoint Protection Manager... 374 Edycja połączenia z programem Symantec Endpoint Protection Manager... 375 Konfigurowanie listy zaufanych producentów... 376 Wyświetlanie dzienników modułu Enforcer w konsoli modułu Enforcer... 376 Konfigurowanie dzienników modułu Symantec Integrated Enforcer... 377 Konfigurowanie ustawień uwierzytelniania modułu Symantec Integrated Enforcer... 378 Używanie ustawień uwierzytelniania informacje... 378 Sesje uwierzytelniania informacje... 380 Określanie maksymalnej liczby pakietów wezwania wysyłanych w sesji uwierzytelniania... 381 Określanie częstotliwości wysyłania pakietów wezwania do klientów... 382 Zezwalanie na dostęp wszystkich klientów z dalszym rejestrowaniem klientów nieuwierzytelnionych... 383 Zezwalanie klientom z systemem innym niż system Windows na łączenie się z siecią bez uwierzytelniania... 384 Konfigurowanie modułu Symantec Integrated Enforcer do sprawdzania numeru seryjnego zasady na kliencie... 385 Wysyłanie komunikatu o niezgodności z modułu Symantec Integrated Enforcer do klienta... 386 Nawiązywanie komunikacji między modułem Symantec Integrated Enforcer a urządzeniem Network Access Control Scanner w konsoli modułu Enforcer... 386 Konfigurowanie ustawień zaawansowanych modułu Symantec Integrated Enforcer... 387 Zezwalanie serwerom, klientom i urządzeniom na łączenie się z siecią jako zaufane hosty bez uwierzytelniania... 388 Zezwalanie starszemu klientowi na połączenie z siecią za pośrednictwem modułu Integrated Enforcer... 389 Włączanie uwierzytelniania lokalnego w module Integrated Enforcer... 390

Spis treści 21 Zatrzymywanie i uruchamianie usług komunikacji między modułem Symantec Integrated Enforcer a serwerem zarządzania... 390 Rozłączanie modułu Symantec NAC Lucent Integrated Enforcer i serwera zarządzania w konsoli modułu Enforcer... 392 Nawiązywanie połączenia ze starszymi serwerami Symantec Endpoint Protection Manager... 393 Sekcja 5 Rozdział 21 Rozdział 22 Rozdział 23 Instalowanie i konfigurowanie modułu Symantec NAC Integrated Enforcer for Microsoft Network Access Protection... 395 Moduł Symantec NAC Integrated Enforcer for Microsoft Network Access Protection wprowadzenie... 397 Moduł Integrated Enforcer for Microsoft Network Access Protection informacje... 397 Planowanie instalacji modułu Symantec NAC Integrated Enforcer for Microsoft Network Access Protection... 399 Planowanie instalacji modułu Symantec Integrated NAP Enforcer informacje... 399 Składniki wymagane dla modułu Symantec Integrated NAP Enforcer... 400 Wymagania sprzętowe modułu Symantec Integrated NAP Enforcer... 401 Wymagania modułu Symantec Integrated NAP Enforcer dotyczące systemu operacyjnego... 401 Wymagania klienta Symantec Network Access Control dotyczące systemu operacyjnego... 402 Instalowanie modułu Symantec NAC Integrated Enforcer for Microsoft Network Access Protection... 403 Przed instalacją modułu Symantec Integrated NAP Enforcer... 403 Instalowanie modułu Symantec Integrated NAP Enforcer... 404

22 Spis treści Rozdział 24 Rozdział 25 Konfigurowanie modułu Symantec NAC Integrated Enforcer for Microsoft Network Access Protection w konsoli modułu Enforcer... 407 Konfigurowanie modułu Symantec Integrated NAP Enforcer w konsoli modułu Enforcer informacje... 408 Łączenie modułu Symantec Integrated NAP Enforcer z serwerem zarządzania w konsoli modułu Enforcer... 408 Szyfrowanie komunikacji między modułem Symantec Integrated NAP Enforcer a serwerem zarządzania... 410 Konfigurowanie nazwy grupy modułów Enforcer w konsoli modułu Symantec Integrated NAP Enforcer... 411 Konfigurowanie komunikacyjnego protokołu HTTP w konsoli modułu Symantec Integrated NAP Enforcer... 412 Konfigurowanie modułu Symantec NAC Integrated Enforcer for Microsoft Network Access Protection w konsoli programu Symantec Endpoint Protection Manager... 413 Konfigurowanie modułu Symantec Integrated NAP Enforcer w konsoli programu Symantec Endpoint Protection Manager informacje... 414 Włączanie egzekwowania NAP dla klientów... 414 Sprawdzanie, czy serwer zarządzania zarządza klientem... 415 Weryfikowanie zasad modułu sprawdzania poprawności stanu zabezpieczeń... 415 Sprawdzanie, czy klienci przeszli pomyślnie sprawdzanie integralności hosta... 416 Włączanie uwierzytelniania lokalnego w module Symantec Integrated NAP Enforcer... 417 Konfigurowanie dzienników modułu Symantec Integrated NAP Enforcer... 417

Spis treści 23 Sekcja 6 Rozdział 26 Administrowanie modułami Enforcer za pomocą konsoli programu Symantec Endpoint Protection Manager... 419 Zarządzanie modułami Enforcer za pomocą konsoli programu Symantec Endpoint Protection Manager... 421 Zarządzanie modułami Enforcer za pomocą konsoli serwera zarządzania informacje... 422 Zarządzanie modułami Enforcer na stronie Serwery informacje... 423 Grupy modułów Enforcer informacje... 423 Sposób określania nazwy grupy modułów Enforcer w konsoli... 423 Grupy modułów Enforcer obsługujących przełączanie awaryjne informacje... 423 Zmienianie nazwy grupy informacje... 424 Tworzenie nowej grupy modułów Enforcer informacje... 424 Informacje o urządzeniu Enforcer wyświetlane w konsoli urządzenia Enforcer informacje... 425 Wyświetlanie informacji dotyczących modułu Enforcer w konsoli zarządzania... 426 Zmienianie nazwy i opisu modułu Enforcer... 426 Usuwanie modułu Enforcer lub grupy modułów Enforcer... 427 Eksportowanie i importowanie ustawień grupy modułów Enforcer... 428 Komunikaty wyskakujące dotyczące blokowania klientów... 429 Komunikaty dla komputerów z uruchomionym oprogramowaniem klienckim... 429 Komunikaty dla komputerów z systemem Windows bez uruchomionego oprogramowania klienckiego (tylko w przypadku modułów Gateway Enforcer lub DHCP Enforcer)... 429 Konfigurowanie komunikatów modułu Enforcer... 430 Ustawienia klienta a moduł Enforcer informacje... 431 Konfigurowanie klientów w celu stosowania hasła zatrzymania usługi klienta... 431

24 Spis treści Sekcja 7 Rozdział 27 Praca z raportami i dziennikami modułów Enforcer... 433 Zarządzanie raportami i dziennikami modułów Enforcer... 435 Raporty modułu Enforcer informacje... 435 Dzienniki modułu Enforcer informacje... 436 Dziennik serwera modułu Enforcer informacje... 436 Dziennik klienta modułu Enforcer informacje... 437 Dziennik ruchu modułu Gateway Enforcer informacje... 438 Konfigurowanie ustawień dziennika modułu Enforcer... 439 Wyłączanie rejestrowania zdarzeń modułu Enforcer w konsoli programu Symantec Endpoint Protection Manager... 439 Włączanie przesyłania dzienników modułu Enforcer z modułu Enforcer do serwera Symantec Endpoint Protection Manager... 440 Ustawianie rozmiaru i okres przechowywania dzienników modułu Enforcer... 441 Filtrowanie dzienników ruchu modułu Enforcer... 441 Indeks... 443

Sekcja 1 Instalowanie i konfigurowanie urządzeń Symantec Network Access Control Enforcer Urządzenie Enforcer wprowadzenie Planowanie instalacji urządzenia Enforcer Uaktualnianie i migrowanie obrazów urządzenia Enforcer Instalowanie urządzenia Enforcer po raz pierwszy Wykonywanie podstawowych zadań w konsoli urządzenia Enforcer Konfigurowanie urządzenia Symantec Gateway Enforcer w konsoli programu Symantec Endpoint Protection Manager Konfigurowanie urządzenia Symantec DHCP Enforcer w konsoli programu Symantec Endpoint Protection Manager Konfigurowanie urządzenia Symantec LAN Enforcer w konsoli programu Symantec Endpoint Protection Manager

26 Konfigurowanie tymczasowych połączeń dla klientów Symantec Network Access Control On-Demand Interfejs wiersza polecenia urządzenia Enforcer Wykaz poleceń interfejsu wiersza polecenia urządzenia Enforcer Rozwiązywanie problemów z urządzeniem Enforcer Często zadawane pytania dotyczące urządzeń Gateway Enforcer, DHCP Enforcer i LAN Enforcer

Rozdział 1 Urządzenie Enforcer wprowadzenie Ten rozdział obejmuje następujące zagadnienia: Moduły Symantec Enforcer informacje Grupa docelowa Typy egzekwowania Zastosowania urządzeń Symantec Network Access Control Enforcer Zasady integralności hosta a urządzenie Enforcer informacje Sposób działania urządzenia Gateway Enforcer Sposób działania urządzenia DHCP Enforcer Sposób działania urządzenia LAN Enforcer Obsługa rozwiązań egzekwujących innych producentów Źródła dodatkowych informacji na temat urządzeń Symantec Enforcer Moduły Symantec Enforcer informacje Moduły Symantec Enforcer to opcjonalne składniki sieciowe współpracujące z programem Symantec Endpoint Protection Manager. Następujące urządzenia Symantec Enforcer oparte na systemie Linux współpracują z klientami zarządzanymi, takimi jak klienci Symantec Endpoint Protection i klienci Symantec Network Access Control w celu ochrony sieci firmowej: Urządzenie Symantec Network Access Control Gateway Enforcer

28 Urządzenie Enforcer wprowadzenie Grupa docelowa Urządzenie Symantec Network Access Control DHCP Enforcer Urządzenie Symantec Network Access Control LAN Enforcer Wszystkie urządzenia Symantec Enforcer oparte na systemie Windows współpracują z klientami zarządzanymi, takimi jak klienci Symantec Endpoint Protection i klienci Symantec Network Access Control, w celu ochrony sieci firmowej. Uwaga: Moduł Symantec Network Access Control Integrated Enforcer for Microsoft Network Access Protection nie współpracuje z klientami-gośćmi, takimi jak klienci Symantec Network Access Control On-Demand na platformach Windows i Macintosh. Dokumentacja zawiera instrukcje instalacji, konfiguracji i administracji dotyczące następujących modułów Enforcer opartych na systemie Windows: Symantec Network Access Control Integrated Enforcer for Microsoft DHCP Servers Patrz Moduł Symantec NAC Integrated Enforcer for Microsoft DHCP Servers informacje na stronie 327 Symantec Network Access Control Integrated Enforcer for Microsoft Network Access Protection Patrz Moduł Integrated Enforcer for Microsoft Network Access Protection informacje na stronie 397 Symantec Network Access Control Integrated DHCP Enforcer for Alcatel-Lucent VitalQIP DHCP Servers Patrz Moduł Integrated Enforcer for Alcatel-Lucent VitalQIP DHCP Servers (Integrated Lucent Enforcer) informacje na stronie 345 Grupa docelowa Dokumentacja przeznaczona jest dla wszystkich osób odpowiedzialnych za instalację i wdrożenie opcjonalnego urządzenia Enforcer. Czytelnicy powinni dobrze znać podstawowe zagadnienia sieciowe oraz metody administrowania za pomocą programu Symantec Endpoint Protection Manager. Opcjonalne urządzenie Enforcer współpracuje jedynie z określonymi wersjami pozostałych składników. Patrz Uaktualnianie i migrowanie obrazów urządzeń Enforcer do wersji 11.0.3000 na stronie 73

Urządzenie Enforcer wprowadzenie Typy egzekwowania 29 Jeśli opcjonalne urządzenie Enforcer ma być używane z poprzednią wersją programu Symantec Network Access Control, należy zapoznać się z dokumentacją dostarczoną z urządzeniem Enforcer w chwili zakupu. Typy egzekwowania Tabela 1-1 przedstawia listę opcjonalnych urządzeń Enforcer i modułów Enforcer instalowanych w systemie Windows. Tabela 1-1 Typy egzekwowania Typ urządzenia Enforcer Urządzenie Symantec Gateway Enforcer Opis Zapewnia egzekwowanie zasad w punktach dostępu komputerów zewnętrznych łączących się zdalnie z wykorzystaniem jednej z następujących metod: Sieć VPN (Virtual Private Network) Bezprzewodowa sieć LAN Serwer dostępu zdalnego (RAS) Urządzenie Gateway Enforcer można również skonfigurować do ograniczania dostępu do określonych serwerów przez zezwalanie na dostęp jedynie z określonych adresów IP. Moduł Symantec Gateway Enforcer jest obsługiwany na urządzeniu Enforcer. Patrz Sposób działania urządzenia Gateway Enforcer na stronie 34 Patrz Planowanie instalacji urządzenia Gateway Enforcer na stronie 46 Urządzenie Symantec LAN Enforcer Zapewnia egzekwowanie zasad na klientach łączących się z siecią za pośrednictwem przełącznika lub bezprzewodowego punktu dostępu obsługującego uwierzytelnianie w standardzie 802.1x. Urządzenie LAN Enforcer działa jako serwer proxy usługi RADIUS (Remote Authentication Dial-In User Service). Moduł ten może współpracować z serwerem RADIUS lub pracować bez serwera RADIUS zapewniającego uwierzytelnianie na poziomie użytkownika. Moduł Symantec LAN Enforcer jest obsługiwany na urządzeniu Enforcer. Patrz Sposób działania urządzenia LAN Enforcer na stronie 37 Patrz Planowanie instalacji urządzenia LAN Enforcer na stronie 67

30 Urządzenie Enforcer wprowadzenie Zastosowania urządzeń Symantec Network Access Control Enforcer Typ urządzenia Enforcer Urządzenie Symantec DHCP Enforcer Opis Zapewnia egzekwowanie zasad na klientach uzyskujących dostęp do sieci. Klienci odbierają dynamiczny adres IP za pośrednictwem serwera DHCP. Moduł Symantec DHCP Enforcer jest obsługiwany na urządzeniu Enforcer. Moduł Symantec Integrated Enforcer for Microsoft DHCP Servers Moduł Symantec Integrated Enforcer for Microsoft Network Access Protection Moduł Symantec Integrated DHCP Enforcer for Alcatel-Lucent VitalQIP DHCP Servers Patrz Sposób działania urządzenia DHCP Enforcer na stronie 36 Patrz Planowanie instalacji urządzenia DHCP Enforcer na stronie 57 Zapewnia egzekwowanie zasad na klientach uzyskujących dostęp do sieci. Klienci odbierają dynamiczny adres IP za pośrednictwem serwera DHCP. Moduł Symantec Integrated DHCP Enforcer jest obsługiwany na platformie Windows. Moduł Symantec Integrated Enforcer for Microsoft DHCP Servers nie jest obsługiwany na urządzeniu Enforcer. Patrz Sposób działania modułu Integrated Enforcer for Microsoft DHCP Servers na stronie 328 Patrz Planowanie umieszczenia modułu Integrated Enforcer for Microsoft DHCP Servers na stronie 335 Zapewnia egzekwowanie zasad na klientach uzyskujących dostęp do sieci. Klienci odbierają dynamiczny adres IP lub przekazują uwierzytelnienie 802.1x za pośrednictwem serwera DHCP. Moduł Symantec Integrated NAP Enforcer jest obsługiwany na platformie Windows Server 2008. Moduł Symantec Integrated Enforcer for Microsoft Network Access Protection nie jest obsługiwany na urządzeniu Enforcer. Zapewnia egzekwowanie zasad na klientach uzyskujących dostęp do sieci. Klienci odbierają dynamiczny adres IP lub przekazują uwierzytelnienie 802.1x za pośrednictwem serwera DHCP. Moduł Symantec Integrated DHCP Enforcer jest obsługiwany na platformie Windows. Moduł Symantec Integrated DHCP Enforcer for Alcatel-Lucent VitalQIP DHCP Servers nie jest obsługiwany na urządzeniu Enforcer. Zastosowania urządzeń Symantec Network Access Control Enforcer Opcjonalne urządzenie Enforcer jest instalowane w sieciowych punktach końcowych klientów zewnętrznych lub wewnętrznych.

Urządzenie Enforcer wprowadzenie Zastosowania urządzeń Symantec Network Access Control Enforcer 31 Urządzenie Enforcer można na przykład zainstalować między siecią a serwerem VPN lub przed serwerem DHCP. Można je też skonfigurować do egzekwowania zasad wobec komputerów klienckich łączących się z siecią za pośrednictwem bezprzewodowego punktu dostępu lub przełącznika obsługującego standard 802.1x. Urządzenie Enforcer przeprowadza uwierzytelnianie na poziomie hosta, a nie użytkownika. Takie działanie zapewnia, że komputery klienckie, z których podejmowane są próby nawiązania połączenia z siecią firmową, spełniają ustawione zasady zabezpieczeń. Firmowe zasady zabezpieczeń można skonfigurować w programie Symantec Endpoint Protection Manager. Jeśli klient nie jest zgodny z zasadami zabezpieczeń, urządzenie Enforcer może podjąć następujące działania: Zablokować dostęp do sieci. Udzielić dostępu jedynie do ograniczonych zasobów. Opcjonalne urządzenie Enforcer może przekierować klienta do obszaru kwarantanny z serwerem naprawczym. Klient może następnie pobrać z serwera naprawczego wymagane oprogramowanie, aplikacje, pliki sygnatur lub poprawki. Na przykład część sieci może być już skonfigurowana tak, aby klienci łączyli się z siecią LAN za pośrednictwem przełączników zgodnych ze standardem 802.1x. W przypadku takich klientów można użyć urządzenia LAN Enforcer. Urządzenia LAN Enforcer można użyć również w przypadku klientów łączących się za pośrednictwem bezprzewodowego punktu dostępu obsługującego standard 802.1x. Patrz Sposób działania urządzenia LAN Enforcer na stronie 37 Patrz Planowanie instalacji urządzenia LAN Enforcer na stronie 67 Inne części sieci mogą nie obsługiwać standardu 802.1x. Do zarządzania egzekwowaniem zasad na takich klientach można użyć urządzenia DHCP Enforcer. Patrz Sposób działania urządzenia DHCP Enforcer na stronie 36 Patrz Planowanie instalacji urządzenia DHCP Enforcer na stronie 57 Jeżeli z siecią łączą się pracownicy zdalni, którzy wykorzystują do tego celu połączenie VPN lub telefoniczne, do obsługi tych klientów można użyć urządzenia Gateway Enforcer. Urządzenia Gateway Enforcer można użyć również, jeżeli bezprzewodowy punkt dostępu nie obsługuje standardu 802.1x. Patrz Sposób działania urządzenia Gateway Enforcer na stronie 34 Patrz Planowanie instalacji urządzenia Gateway Enforcer na stronie 46

32 Urządzenie Enforcer wprowadzenie Zasady integralności hosta a urządzenie Enforcer informacje Jeżeli wymagana jest wysoka dostępność, w jednej lokalizacji można zainstalować dwa (lub więcej) urządzenia Gateway Enforcer, DHCP Enforcer lub LAN Enforcer, aby zapewnić możliwość przełączania awaryjnego. Patrz Planowanie przełączania awaryjnego urządzeń Gateway Enforcer na stronie 53 Patrz Planowanie przełączania awaryjnego urządzeń DHCP Enforcer na stronie 62 Patrz Planowanie przełączania awaryjnego urządzeń LAN Enforcer na stronie 70 Aby uzyskać system urządzeń LAN Enforcer o wysokiej dostępności, należy zainstalować wiele urządzeń LAN Enforcer i przełącznik zgodny ze standardem 802.1x. W celu uzyskania wysokiej dostępności niezbędne jest dodanie przełącznika zgodnego ze standardem 802.1x. W przypadku zainstalowania wielu urządzeń LAN Enforcer bez przełącznika zgodnego ze standardem 802.1x wysoka dostępność nie zostanie uzyskana. Przełącznik zgodny ze standardem 802.1x można skonfigurować tak, aby zapewnić wysoką dostępność. Informacje dotyczące konfiguracji przełącznika zgodnego ze standardem 802.1x w celu uzyskania wysokiej dostępności zawiera dokumentacja dołączona do przełącznika. W niektórych konfiguracjach sieci klient może łączyć się z siecią za pośrednictwem więcej niż jednego urządzenia Enforcer. Po uwierzytelnieniu klienta przez pierwsze urządzenie Enforcer wszystkie pozostałe urządzenia Enforcer muszą uwierzytelnić klienta, aby mógł on połączyć się z siecią. Zasady integralności hosta a urządzenie Enforcer informacje Zasady zabezpieczeń sprawdzane przez wszystkie urządzenia Enforcer na komputerach klienckich to tak zwane zasady integralności hosta. Zasady integralności hosta można tworzyć w konsoli programu Symantec Endpoint Protection Manager i za jego pomocą nimi zarządzać. Zasady integralności hosta określają oprogramowanie, które musi być uruchomione na komputerze klienckim. Można na przykład określić, że na komputerze klienckim musi być uruchomione (i zgodne z określonymi wymaganiami) oprogramowanie zabezpieczające, takie jak następujące aplikacje: Oprogramowanie antywirusowe Oprogramowanie chroniące przed programami typu spyware Oprogramowanie zapory

Urządzenie Enforcer wprowadzenie Zasady integralności hosta a urządzenie Enforcer informacje 33 Poprawki Dodatki Service Pack Jeśli predefiniowane wymagania nie spełniają oczekiwań, można je dostosować. Szczegółowe informacje na temat sposobu konfigurowania i dostosowywania zasad integralności hosta zawiera Podręcznik administratora programów Symantec Endpoint Protection i Symantec Network Access Control. Klientów można skonfigurować w taki sposób, aby sprawdzali integralność hosta o różnych godzinach. Klient przeprowadza sprawdzanie integralności hosta, gdy próbuje połączyć się z siecią. Następnie wysyła wyniki do urządzenia Enforcer. Przy standardowych ustawieniach urządzenie Enforcer przed zezwoleniem klientowi na dostęp do sieci sprawdza, czy przeszedł on test integralności hosta. Klient, który przeszedł pomyślnie sprawdzanie integralności hosta, jest zgodny z zasadą integralności hosta obowiązującą w firmie. Każdy typ urządzenia Enforcer w inny sposób definiuje jednak kryteria dostępu do sieci. Patrz Sposób działania urządzenia Gateway Enforcer na stronie 34 Patrz Sposób działania urządzenia DHCP Enforcer na stronie 36 Patrz Sposób działania urządzenia LAN Enforcer na stronie 37 Komunikacja między urządzeniem Enforcer a serwerem Symantec Endpoint Protection Manager Urządzenie Enforcer jest cały czas połączone z serwerem Symantec Endpoint Protection Manager. Urządzenie Enforcer w równych odstępach czasu (interwał pulsu) pobiera ustawienia z serwera zarządzania kontrolującego jego pracę. Zmiany ustawień urządzenia Enforcer dokonane na serwerze zarządzania zostaną pobrane jako aktualizacje podczas następnego pulsu. Urządzenie Enforcer przesyła informacje o swoim stanie do serwera zarządzania. Może też rejestrować zdarzenia przekazywane do serwera zarządzania. Informacje te są następnie wyświetlane w dziennikach na serwerze zarządzania. Serwer Symantec Endpoint Protection Manager przechowuje listę serwerów zarządzania z replikowanymi informacjami z bazami danych. Przesyła on listę serwerów zarządzania do podłączonych modułów Enforcer, klientów zarządzanych i klientów-gości. Jeśli urządzenie Enforcer utraci połączenie z jednym serwerem zarządzania, może je nawiązać z innym serwerem z listy serwerów zarządzania. Po ponownym uruchomieniu urządzenie Enforcer wykorzystuje tę listę do ponownego nawiązania połączenia z serwerem zarządzania. Gdy klient próbuje połączyć się z siecią za pośrednictwem urządzenia Enforcer, urządzenie Enforcer uwierzytelnia unikalny identyfikator (UID) klienta. Urządzenie

34 Urządzenie Enforcer wprowadzenie Sposób działania urządzenia Gateway Enforcer Enforcer wysyła identyfikator UID do serwera zarządzania i odbiera odpowiedź zezwalającą lub odmowną. Jeśli urządzenie Enforcer zostało skonfigurowane do uwierzytelniania identyfikatora UID, może pobrać z serwera zarządzania odpowiednie informacje. Urządzenie Enforcer może następnie sprawdzić, czy profil klienta został zaktualizowany przy użyciu najnowszych zasad zabezpieczeń. Jeśli dane klienta, takie jak identyfikator klienta lub profil klienta, zostaną zmienione na serwerze zarządzania, serwer zarządzania może wysłać je do urządzenia Enforcer. Urządzenie Enforcer może ponownie przeprowadzić uwierzytelnianie hosta na kliencie. Komunikacja między urządzeniem Enforcer a klientami Komunikacja między urządzeniem Enforcer a klientem rozpoczyna się w chwili, gdy klient próbuje nawiązać połączenie z siecią. Urządzenie Enforcer może sprawdzić, czy klient jest uruchomiony. Jeśli klient jest uruchomiony, moduł Enforcer rozpoczyna proces jego uwierzytelniania. Klient odpowiada, przeprowadzając sprawdzenie integralności hosta i wysyłając do modułu Enforcer wynik wraz z informacjami o swoim profilu. Ponadto klient wysyła swój unikalny identyfikator (UID), który jest z kolei przekazywany przez moduł Enforcer do serwera zarządzania w celu uwierzytelnienia. Urządzenie Enforcer ocenia na podstawie informacji o profilu, czy klient stosuje najnowsze zasady zabezpieczeń. Jeśli nie, urządzenie Enforcer powiadamia klienta, aby zaktualizował swój profil. Gdy klient uzyska zezwolenie na dostęp do sieci od urządzenia DHCP Enforcer lub Gateway Enforcer, moduł Enforcer nadal komunikuje się z klientem w predefiniowanych odstępach czasu. Komunikacja ta umożliwia urządzeniu Enforcer kontynuowanie uwierzytelniania klienta. W przypadku urządzenia LAN Enforcer to okresowe uwierzytelnianie jest obsługiwane przez przełącznik 802.1x. Na przykład przełącznik 802.1x uruchamia nową sesję uwierzytelniania, gdy nadchodzi czas ponownego uwierzytelnienia. Urządzenie Enforcer musi być uruchomione przez cały czas, gdyż w przeciwnym razie klienci próbujący nawiązać połączenie z siecią firmową mogą zostać zablokowani. Sposób działania urządzenia Gateway Enforcer Urządzenia Gateway Enforcer przeprowadzają sprawdzanie w jednym kierunku. Sprawdzają klientów, którzy próbują połączyć się z siecią firmową poprzez zewnętrzną kartę NIC urządzenia Gateway Enforcer.

Urządzenie Enforcer wprowadzenie Sposób działania urządzenia Gateway Enforcer 35 Do uwierzytelnienia klienta urządzenie Gateway Enforcer stosuje następujące procedury: Gdy klient próbuje uzyskać dostęp do sieci, urządzenie Gateway Enforcer sprawdza najpierw, czy na kliencie uruchomione jest oprogramowanie klienckie Symantec Endpoint Protection lub Symantec Network Access Control. Jeżeli na kliencie jest uruchomione oprogramowanie klienckie, urządzenie Gateway Enforcer rozpoczyna procedurę uwierzytelnienia hosta. Oprogramowanie klienckie uruchomione na komputerze użytkownika przeprowadza sprawdzenie integralności hosta. Wyniki są przekazywane do urządzenia Gateway Enforcer wraz z informacjami identyfikacyjnymi i dotyczącymi stanu zasad zabezpieczeń klienta. Urządzenie Gateway Enforcer komunikuje się z serwerem Symantec Endpoint Protection Manager w celu sprawdzenia, czy klient jest uprawniony do dostępu i stosowane na nim zasady zabezpieczeń są aktualne. Urządzenie Gateway Enforcer sprawdza, czy klient przeszedł test integralności hosta, czyli jest zgodny z obowiązującymi zasadami zabezpieczeń. Jeżeli wszystkie procedury zostaną zakończone pomyślnie, urządzenie Gateway Enforcer zezwala klientowi na dostęp do sieci. Jeżeli klient nie spełnia określonych wymagań, urządzenie Gateway Enforcer może zostać skonfigurowane do podejmowania następujących działań: Monitorowania i rejestrowania określonych zdarzeń. Blokowania użytkowników, jeżeli sprawdzenie integralności hosta zakończyło się niepowodzeniem. Wyświetlania komunikatu wyskakującego na komputerze klienckim. Zezwalania komputerowi klienckiemu na ograniczony dostęp do sieci, aby umożliwić wykorzystanie zasobów sieciowych w celu podjęcia działań naprawczych. W celu skonfigurowania uwierzytelniania za pomocą urządzenia Gateway Enforcer można określić adresy IP klientów, które mają być sprawdzane. Można określić zaufane zewnętrzne adresy IP, które mają być akceptowane przez urządzenie Gateway Enforcer bez uwierzytelniania. Urządzenie Gateway Enforcer można skonfigurować do zezwalania klientom na dostęp do zaufanych wewnętrznych adresów IP w celu podejmowania działań naprawczych. Można na przykład zezwolić klientom na dostęp do serwera aktualizacji lub serwera plików zawierającego pliki DAT programu antywirusowego. Żądania HTTP z komputerów klienckich bez oprogramowania klienckiego firmy Symantec można przekierowywać do serwera internetowego. Można na przykład

36 Urządzenie Enforcer wprowadzenie Sposób działania urządzenia DHCP Enforcer podać dodatkowe instrukcje dotyczące lokalizacji naprawczego pobierania oprogramowania lub zezwolić klientowi na pobranie oprogramowania klienckiego. Urządzenie Gateway Enforcer można również skonfigurować do zezwalania na dostęp do sieci klientom z systemem operacyjnym innym niż system Windows. Urządzenie Gateway Enforcer spełnia funkcje mostu, a nie routera. Po uwierzytelnieniu klienta urządzenie Gateway Enforcer przekazuje pakiety, aby umożliwić klientowi dostęp do sieci. Sposób działania urządzenia DHCP Enforcer Urządzenie DHCP Enforcer jest stosowane jako wewnętrzny most wymuszający przestrzeganie zasad zabezpieczeń w celu ochrony sieci wewnętrznej. Klienci próbujący uzyskać połączenie z siecią wysyłają żądanie DHCP przydzielenia dynamicznego adresu IP. Przełącznik lub router, który pełni rolę klienta przekaźnika DHCP, trasuje żądanie DHCP do urządzenia DHCP Enforcer. Urządzenie DHCP Enforcer jest instalowane przed serwerem DHCP. Urządzenie DHCP Enforcer sprawdza, czy klienci są zgodni z zasadami zabezpieczeń, zanim przekaże żądanie DHCP do serwera DHCP. Jeśli klient jest zgodny z zasadami zabezpieczeń, urządzenie DHCP Enforcer przesyła jego żądanie adresu IP do normalnego serwera DHCP. Jeśli klient nie jest zgodny z zasadami zabezpieczeń, moduł Enforcer łączy klienta z serwerem DHCP kwarantanny. Serwer kwarantanny przydziela klientowi konfigurację sieci kwarantanny. Na jednym komputerze można zainstalować jeden serwer DHCP i skonfigurować go w celu obsługi zarówno normalnej sieci, jak i sieci kwarantanny. W celu ukończenia konfiguracji rozwiązania z urządzeniem DHCP Enforcer administrator musi skonfigurować serwer naprawczy. Serwer naprawczy ogranicza dostęp klientów poddanych kwarantannie, aby mogli się oni komunikować tylko z serwerem naprawczym. Jeśli wymagana jest wysoka dostępność, można zainstalować dwa (lub więcej) urządzenia DHCP Enforcer w celu umożliwienia przełączania awaryjnego. Moduł DHCP Enforcer wymusza przestrzeganie zasad zabezpieczeń na klientach próbujących uzyskać dostęp do serwera DHCP. Moduł nie blokuje żądania DHCP, jeśli uwierzytelnienie klienta się nie powiedzie. Urządzenie DHCP Enforcer przekazuje żądanie DHCP do serwera DHCP kwarantanny w celu uzyskania tymczasowej konfiguracji sieci ograniczonej. Gdy klient wysyła żądanie DHCP, urządzenie DHCP Enforcer przekazuje je do serwera DHCP kwarantanny w celu uzyskania tymczasowego adresu IP o krótkim czasie dzierżawy. Urządzenie DHCP Enforcer może wówczas rozpocząć proces uwierzytelniania klienta.

Urządzenie Enforcer wprowadzenie Sposób działania urządzenia LAN Enforcer 37 Urządzenie DHCP Enforcer uwierzytelnia klientów przy użyciu następujących metod: Gdy klient próbuje uzyskać dostęp do sieci firmowej, urządzenie Enforcer sprawdza najpierw, czy na komputerze klienckim uruchomione jest oprogramowanie klienckie Symantec Network Access Control. Jeżeli na kliencie jest uruchomione oprogramowanie klienckie Symantec Network Access Control, urządzenie Enforcer rozpoczyna proces uwierzytelnienia hosta. Oprogramowanie klienckie firmy Symantec uruchomione na komputerze klienckim sprawdza integralność hosta. Wyniki są przekazywane do urządzenia Enforcer wraz z informacjami identyfikacyjnymi i dotyczącymi stanu zasad zabezpieczeń klienta. Urządzenie DHCP Enforcer komunikuje się z serwerem Symantec Endpoint Protection Manager w celu sprawdzenia, czy klient jest uprawniony do dostępu i stosowane na nim zasady zabezpieczeń są aktualne. Urządzenie DHCP Enforcer sprawdza, czy klient przeszedł test integralności hosta, czyli jest zgodny z obowiązującymi zasadami zabezpieczeń. Jeżeli wszystkie wymagania są spełnione, urządzenie DHCP Enforcer wymusza zwolnienie przypisanego komputerowi klienckiemu adresu IP z sieci kwarantanny. Urządzenie DHCP Enforcer trasuje następnie żądanie DHCP klienta do normalnego serwera DHCP. Klient uzyskuje normalny adres IP i normalną konfigurację sieciową. Jeśli klient nie spełnia wymagań dotyczących zabezpieczeń, urządzenie DHCP Enforcer wymusza odnowienie żądania DHCP na serwerze DHCP kwarantanny. Klient uzyskuje konfigurację sieci kwarantanny, która musi zostać utworzona w celu umożliwienia uzyskania dostępu do serwera naprawczego. Urządzenie DHCP Enforcer można też skonfigurować do zezwalania na dostęp do normalnego serwera DHCP klientom z systemem operacyjnym innym niż system Windows. Sposób działania urządzenia LAN Enforcer Urządzenie LAN Enforcer działa jako serwer proxy usługi RADIUS (Remote Authentication Dial-In User Service). Urządzenia LAN Enforcer z serwerem RADIUS można używać do wykonywania następujących działań: Przeprowadzania tradycyjnego uwierzytelniania użytkownika z użyciem protokołu 802.1x/EAP.

38 Urządzenie Enforcer wprowadzenie Sposób działania urządzenia LAN Enforcer Blokowany jest dostęp do sieci niebezpiecznym komputerom. Wszyscy użytkownicy próbujący połączyć się z siecią muszą najpierw zostać uwierzytelnieni na serwerze RADIUS. Sprawdzania, czy komputery klienckie są zgodne z zasadami zabezpieczeń skonfigurowanymi na serwerze zarządzania (uwierzytelnianie hosta). Można egzekwować zasady zabezpieczeń, na przykład wymagać, aby na komputerach zainstalowane były odpowiednie aplikacje antywirusowe, poprawki lub inne oprogramowanie. Można sprawdzić, czy na komputerze klienckim uruchomione jest oprogramowanie klienckie firmy Symantec, a komputer przeszedł test integralności hosta. W sieciach bez serwera RADIUS urządzenie LAN Enforcer może przeprowadzać tylko uwierzytelnianie hosta. Urządzenie LAN Enforcer komunikuje się z przełącznikiem lub bezprzewodowym punktem dostępu obsługującym uwierzytelnianie EAP/802.1x. W przełączniku lub bezprzewodowym punkcie dostępu często skonfigurowane są co najmniej dwie wirtualne sieci lokalne (VLAN). Oprogramowanie klienckie firmy Symantec uruchomione na komputerach klienckich przekazuje informacje EAP lub informacje dotyczące integralności hosta do przełącznika przy użyciu protokołu EAPOL (EAP over LAN). Przełącznik przekazuje te informacje do urządzenia LAN Enforcer w celu przeprowadzenia uwierzytelniania. Urządzenie LAN Enforcer można skonfigurować do podejmowania kilku możliwych działań w przypadku niepowodzenia uwierzytelniania. Podejmowane działania zależą od typu niepowodzenia uwierzytelniania: niepowodzenia uwierzytelniania hosta lub uwierzytelniania EAP użytkownika. W przypadku używania przełącznika lub bezprzewodowego punktu dostępu urządzenie LAN Enforcer można skonfigurować do przekierowywania uwierzytelnionego klienta do różnych sieci VLAN. Przełącznik lub bezprzewodowy punkt dostępu musi obsługiwać dynamiczne przełączanie sieci VLAN. Jedną z sieci VLAN może być naprawcza sieć VLAN. Jeżeli moduł LAN Enforcer jest używany z serwerem RADIUS, można skonfigurować wiele połączeń modułu Enforcer z serwerem RADIUS. W przypadku awarii jednego połączenia z serwerem RADIUS urządzenie LAN Enforcer może użyć innego połączenia. Ponadto do łączenia się z przełącznikiem można skonfigurować wiele urządzeń LAN Enforcer. Jeżeli jedno z urządzeń LAN Enforcer nie odpowiada, uwierzytelnianie może przeprowadzić inne urządzenie LAN Enforcer.

Urządzenie Enforcer wprowadzenie Sposób działania urządzenia LAN Enforcer 39 Sposób działania modułu LAN Enforcer w konfiguracji podstawowej Znajomość uwierzytelniania 802.1x umożliwia użycie konfiguracji podstawowej do wyświetlenia szczegółowych informacji na temat klientów próbujących uzyskać dostęp do sieci. Informacje te mogą być przydatne podczas rozwiązywania problemów z połączeniami sieciowymi. W konfiguracji podstawowej moduł egzekwujący sieci LAN wykorzystujący uwierzytelnianie 802.1x działa w następujący sposób: Suplikant (na przykład komputer kliencki) próbuje uzyskać dostęp do sieci za pośrednictwem wystawcy uwierzytelnienia (np. przełącznika obsługującego standard 802.1x). Przełącznik widzi komputer i żąda identyfikacji. Suplikant protokołu 802.1x na komputerze klienckim monituje użytkownika o wprowadzenie nazwy użytkownika i hasła, a następnie wysyła odpowiedź z danymi identyfikacyjnymi. Przełącznik przekazuje te informacje do modułu LAN Enforcer, który z kolei przekazuje je do serwera RADIUS. Serwer RADIUS generuje zapytanie EAP, wybierając typ EAP na podstawie jego konfiguracji. Moduł LAN Enforcer odbiera zapytanie, dodaje zapytanie o integralność hosta i przekazuje je do przełącznika. Przełącznik przekazuje te zapytania do klienta. Klient odbiera zapytania i wysyła odpowiedź. Przełącznik odbiera odpowiedź i przekazuje ją do modułu LAN Enforcer. Moduł LAN Enforcer analizuje wynik sprawdzania integralności hosta i informacje o stanie klienta, po czym przekazuje te dane do serwera RADIUS. Serwer RADIUS przeprowadza uwierzytelnianie EAP i wysyła jego wynik do modułu LAN Enforcer. Moduł LAN Enforcer odbiera wynik uwierzytelniania i przekazuje go do przełącznika wraz z informacją o działaniu, które ma zostać podjęte. Przełącznik wybiera odpowiednie działanie i, w zależności od wyniku, zezwala na normalny dostęp do sieci, blokuje dostęp lub zezwala na dostęp do innej sieci VLAN. Sposób działania modułu LAN Enforcer w trybie przeźroczystym Moduł LAN Enforcer działa w trybie przeźroczystym w następujący sposób:

40 Urządzenie Enforcer wprowadzenie Sposób działania urządzenia LAN Enforcer Suplikant (na przykład komputer kliencki) próbuje uzyskać dostęp do sieci za pośrednictwem wystawcy uwierzytelnienia (np. przełącznika obsługującego standard 802.1x). Wystawca uwierzytelnienia widzi komputer kliencki i wysyła pakiet uwierzytelniania EAP (dozwolony jest tylko ruch EAP). Klient działający jako suplikant protokołu EAP widzi pakiet uwierzytelniania i odpowiada sprawdzeniem integralności hosta. Przełącznik wysyła wyniki sprawdzania integralności hosta do urządzenia LAN Enforcer działającego jako serwer proxy RADIUS. Urządzenie LAN Enforcer wysyła do przełącznika odpowiedź zawierającą informacje o przypisaniu do sieci VLAN na podstawie wyników uwierzytelniania. Uwierzytelnianie 802.1x informacje Standard 802.1X-2001 organizacji IEEE dotyczy kontroli dostępu do bezprzewodowych i przewodowych sieci LAN. Standard ten określa ogólny sposób uwierzytelniania i kontrolowania ruchu użytkowników w chronionej sieci. Standard określa wykorzystanie protokołu EAP (Extensible Authentication Protocol) z użyciem centralnego serwera uwierzytelniania, takiego jak serwer RADIUS (Remote Authentication Dial-In User Service). Serwer ten uwierzytelnia każdego użytkownika próbującego uzyskać dostęp do sieci. Standard 802.1x obejmuje specyfikację protokołu EAPOL (EAP over LAN). Protokół EAPOL jest wykorzystywany do przesyłania komunikatów protokołu EAP w ramkach warstwy łącza (np. Ethernet) i obsługi funkcji kontroli. Architektura protokołu 802.1x obejmuje następujące kluczowe składniki: Wystawca uwierzytelnienia Serwer uwierzytelniania Suplikant Jednostka pośrednicząca w uwierzytelnianiu, np. przełącznik sieci LAN lub bezprzewodowy punkt dostępu z obsługą standardu 802.1x. Jednostka przeprowadzająca rzeczywiste uwierzytelnianie, sprawdzając poświadczenia zwracane w odpowiedzi na zapytanie na przykład serwer RADIUS. Jednostka podejmująca próbę uzyskania dostępu do sieci i uwierzytelnienia, na przykład komputer. Jeżeli suplikant jest podłączony do przełącznika sieciowego z obsługą standardu 802.1x pełniącego rolę wystawcy uwierzytelnienia, zachodzi następujący proces: Przełącznik wysyła żądanie identyfikacji EAP.

Urządzenie Enforcer wprowadzenie Obsługa rozwiązań egzekwujących innych producentów 41 Oprogramowanie suplikanta protokołu EAP wysyła odpowiedź przekazywaną przez przełącznik do serwera uwierzytelniania (na przykład serwera RADIUS). Serwer uwierzytelniania wysyła zapytanie EAP, które zostaje przekazane przez przełącznik do suplikanta. Użytkownik wprowadza poświadczenia uwierzytelniania (nazwę użytkownika i hasło, token itd.). Suplikant wysyła odpowiedź EAP na zapytanie serwera, zawierającą podane przed użytkownika poświadczenia, do przełącznika, który przekazuje ją do serwera uwierzytelniania. Serwer uwierzytelniania sprawdza poświadczenia i odpowiada wynikiem uwierzytelniania EAP lub uwierzytelniania użytkownika, wskazującym powodzenie lub niepowodzenie uwierzytelniania. Jeżeli uwierzytelnianie powiedzie się, przełącznik zezwala na normalny dostęp. W przeciwnym razie dostęp klienta zostaje zablokowany. W obu przypadkach suplikant jest powiadamiany o wyniku uwierzytelniania. Podczas procesu uwierzytelniania dozwolony jest tylko ruch EAP. Szczegółowe informacje na temat protokołu EAP można znaleźć w dokumentacji RFC 2284 organizacji IETF pod następującym adresem URL: http://www.ietf.org/rfc/rfc2284.txt Dodatkowe informacje na temat standardu 802.1x organizacji IEEE można znaleźć w tekście standardu pod następującym adresem URL: http://standards.ieee.org/getieee802/download/802.1x-2001.pdf Obsługa rozwiązań egzekwujących innych producentów Firma Symantec zapewnia rozwiązania egzekwujące dla następujących produktów innych producentów: Uniwersalny interfejs API egzekwowania Firma Symantec opracowała uniwersalny interfejs API egzekwowania, aby umożliwić innym producentom oferującym tego typu technologię zintegrowanie ich rozwiązań z oprogramowaniem firmy Symantec. Cisco Network Admission Control (CNAC) Oprogramowanie klienckie firmy Symantec obsługuje rozwiązanie egzekwujące Cisco Network Admissions Control (CNAC).

42 Urządzenie Enforcer wprowadzenie Źródła dodatkowych informacji na temat urządzeń Symantec Enforcer Źródła dodatkowych informacji na temat urządzeń Symantec Enforcer Tabela 1-2 zawiera listę źródeł informacji o powiązanych zadaniach, których wykonanie może być konieczne przed lub po instalacji modułu Enforcer. Tabela 1-2 Dokument Dokumentacja modułów Symantec Enforcer Zawartość Podręcznik instalacji programów Symantec Endpoint Protection i Symantec Network Access Control Podręcznik administratora programów Symantec Endpoint Protection i Symantec Network Access Control Podręcznik klienta programów Symantec Endpoint Protection i Symantec Network Access Control Podręcznik wdrażania urządzenia Symantec Network Access Control Enforcer Pomoc online Pomoc online dla klientów On-Demand Przedstawia sposób instalacji programu Symantec Endpoint Protection Manager, klienta Symantec Endpoint Protection i klientów Symantec Network Access Control. Przedstawia również sposób konfigurowania wbudowanej bazy danych i bazy danych programu Microsoft SQL oraz konfigurowania replikacji. Przedstawia sposób konfigurowania programu Symantec Endpoint Protection Manager, klientów Symantec Endpoint Protection i klientów Symantec Network Access Control oraz administrowania nimi. Przedstawia również sposób konfiguracji zasad integralności hosta, które moduł Enforcer stosuje w celu implementacji zgodności na komputerach klienckich. Przedstawia sposób używania klientów Symantec Endpoint Protection i klientów Symantec Network Access Control. Przedstawia sposób instalowania wszystkich typów urządzeń Symantec Network Access Control i modułów Integrated Enforcer oraz administrowania nimi. Wyjaśnia również sposób używania klientów On-Demand na komputerach Macintosh i w systemie Linux. Przedstawia sposób używania programu Symantec Endpoint Protection Manager, klienta Symantec Endpoint Protection i klientów Symantec Network Access Control. Wyjaśnia również zastosowania poszczególnych modułów Integrated Enforcer. Wyjaśnia sposób używania klientów On-Demand dla komputerów Macintosh i systemu Linux.

Urządzenie Enforcer wprowadzenie Źródła dodatkowych informacji na temat urządzeń Symantec Enforcer 43 Dokument Pomoc interfejsu wiersza polecenia modułu Enforcer Plik readme.txt Zawartość Pomoc ta jest dostępna po wpisaniu znaku? w wierszu polecenia w interfejsie wiersza polecenia (CLI). Zawiera najnowsze informacje o najważniejszych problemach związanych z modułami Enforcer, które mogą również wpływać na program Symantec Endpoint Protection Manager.

44 Urządzenie Enforcer wprowadzenie Źródła dodatkowych informacji na temat urządzeń Symantec Enforcer

Rozdział 2 Planowanie instalacji urządzenia Enforcer Ten rozdział obejmuje następujące zagadnienia: Planowanie instalacji urządzeń Enforcer Planowanie instalacji urządzenia Gateway Enforcer Planowanie przełączania awaryjnego urządzeń Gateway Enforcer Planowanie instalacji urządzenia DHCP Enforcer Planowanie przełączania awaryjnego urządzeń DHCP Enforcer Planowanie instalacji urządzenia LAN Enforcer Planowanie przełączania awaryjnego urządzeń LAN Enforcer Planowanie instalacji urządzeń Enforcer Należy zaplanować miejsce integracji z siecią następujących modułów Symantec Network Access Control Enforcer opartych na systemie Linux: Symantec Network Access Control Gateway Enforcer Patrz Planowanie instalacji urządzenia Gateway Enforcer na stronie 46 Symantec Network Access Control DHCP Enforcer Patrz Planowanie instalacji urządzenia DHCP Enforcer na stronie 57 Symantec Network Access Control LAN Enforcer Patrz Planowanie instalacji urządzenia LAN Enforcer na stronie 67 Symantec Network Access Control Integrated DHCP Enforcer for Microsoft DHCP Servers

46 Planowanie instalacji urządzenia Enforcer Planowanie instalacji urządzenia Gateway Enforcer Patrz Planowanie instalacji modułu Integrated Enforcer for Microsoft DHCP Servers informacje na stronie 333 Symantec Network Access Control Integrated DHCP Enforcer for Microsoft Network Access Protection Servers Patrz Planowanie instalacji modułu Symantec Integrated NAP Enforcer informacje na stronie 399 Symantec Network Access Control Integrated DHCP Enforcer for Alcatel-Lucent VitalQIP DHCP Servers Patrz Planowanie instalacji modułu Integrated Lucent Enforcer informacje na stronie 351 Planowanie instalacji urządzenia Gateway Enforcer Wdrażanie urządzeń Gateway Enforcer w sieci może ułatwić kilka typów informacji planistycznych. Urządzenia Gateway Enforcer można rozmieścić, aby ułatwić ochronę następujących obszarów sieci: Ogólne rozmieszczenie Patrz Rozmieszczanie urządzeń Gateway Enforcer na stronie 46 Patrz Wytyczne dotyczące adresów IP urządzenia Gateway Enforcer na stronie 49 Patrz Dwa urządzenia Gateway Enforcer połączone szeregowo na stronie 49 Patrz Ochrona dostępu przez sieć VPN za pomocą urządzenia Gateway Enforcer na stronie 50 Patrz Ochrona bezprzewodowych punktów dostępu za pomocą urządzenia Gateway Enforcer na stronie 50 Patrz Ochrona serwerów za pomocą urządzenia Gateway Enforcer na stronie 50 Patrz Ochrona serwerów i klientów z systemami innymi niż Windows za pomocą urządzenia Gateway Enforcer na stronie 51 Patrz Wymagania dotyczące umożliwiania dostępu klientom z systemami innymi niż Windows bez uwierzytelniania na stronie 52 Rozmieszczanie urządzeń Gateway Enforcer Moduły Gateway Enforcer można umieszczać w lokalizacjach, w których całość ruchu musi przejść przez moduł Gateway Enforcer, zanim klient będzie mógł:

Planowanie instalacji urządzenia Enforcer Planowanie instalacji urządzenia Gateway Enforcer 47 Połączyć się z siecią firmową. Dotrzeć do zabezpieczonych obszarów sieci. Patrz Wytyczne dotyczące adresów IP urządzenia Gateway Enforcer na stronie 49 Urządzenia Gateway Enforcer można umieszczać w następujących lokalizacjach: sieć VPN Bezprzewodowy punkt dostępu (WAP) Serwery Między koncentratorami sieci VPN a siecią firmową Między bezprzewodowym punktem dostępu a siecią firmową Przed serwerami firmowymi Większe organizacje mogą wymagać urządzeń Gateway Enforcer do ochrony każdego z punktów wejścia do sieci. Moduły Gateway Enforcer są zazwyczaj umieszczane w odrębnych podsieciach. W większości przypadków urządzenia Gateway Enforcer można zintegrować z siecią firmową bez konieczności zmian konfiguracji sprzętowej. Urządzenia Gateway Enforcer można umieścić przy bezprzewodowym punkcie dostępu lub serwerze VPN. W sieci firmowej można również chronić serwery przechowujące poufne informacje. Urządzenia Gateway Enforcer muszą mieć dwie karty interfejsu sieciowego (karty NIC). Ilustracja 2-1 przedstawia przykłady miejsc, w których można umieścić urządzenia Gateway Enforcer w obrębie całej konfiguracji sieci.

48 Planowanie instalacji urządzenia Enforcer Planowanie instalacji urządzenia Gateway Enforcer Ilustracja 2-1 Rozmieszczenie urządzeń Gateway Enforcer Klienci zdalni VPN Sieć bezprzewodowa Internet Na zewnątrz firmy Wewnątrz firmy Bezprzewodowi klienci wewnętrzni Zapora firmowa Klienci wewnętrzni Bezprzewodowy punkt dostępu Zewnętrzna karta NIC Wewnętrzna karta NIC Gateway Enforcer Zewnętrzna karta NIC Wewnętrzna karta NIC Serwer VPN Gateway Enforcer Zewnętrzna karta NIC Wewnętrzna karta NIC Sieć szkieletowa firmy Gateway Enforcer Zewnętrzna karta NIC Wewnętrzna karta NIC Gateway Enforcer Klienci wewnętrzni Chronione serwery Symantec Endpoint Protection Manager Inną lokalizacją, w której urządzenie Gateway Enforcer chroni sieć, jest serwer dostępu zdalnego (RAS). Klienci mogą uzyskiwać dostęp do sieci firmowej przy użyciu połączenia telefonicznego. Klienci usługi telefonicznego dostępu RAS są

Planowanie instalacji urządzenia Enforcer Planowanie instalacji urządzenia Gateway Enforcer 49 konfigurowani podobnie do klientów bezprzewodowych i klientów sieci VPN. Zewnętrzny port NIC łączy się z serwerem RAS, a wewnętrzny port NIC łączy się z siecią. Wytyczne dotyczące adresów IP urządzenia Gateway Enforcer Podczas konfigurowania karty sieci wewnętrznej urządzenia Gateway Enforcer należy stosować się do następujących wytycznych: Wewnętrzna karta NIC urządzenia Gateway Enforcer musi mieć możliwość komunikacji z serwerem Symantec Endpoint Protection Manager. Domyślnie wewnętrzna karta NIC musi znajdować się po stronie serwera Symantec Endpoint Protection Manager. Możliwa musi być komunikacja klientów z wewnętrznym adresem IP urządzenia Gateway Enforcer. Serwer VPN lub bezprzewodowy punkt dostępu mogą znajdować się w innej podsieci pod warunkiem, że klienci są kierowani do tej samej podsieci, w której znajduje się wewnętrzny adres IP urządzenia Gateway Enforcer. W przypadku urządzenia Gateway Enforcer chroniącego serwery wewnętrzne wewnętrzna karta NIC łączy się z siecią VLAN, która z kolei łączy się z serwerami. W przypadku używania wielu urządzeń Gateway Enforcer w konfiguracji przełączania awaryjnego karta sieci wewnętrznej każdego urządzenia Gateway Enforcer musi mieć własny adres IP. Urządzenie Gateway Enforcer wygeneruje fikcyjny adres karty sieci zewnętrznej na podstawie adresu karty sieci wewnętrznej. Użytkownik nie musi konfigurować go znowu w razie zainstalowania innego urządzenia Gateway Enforcer. Dwa urządzenia Gateway Enforcer połączone szeregowo Jeżeli dwa urządzenia Gateway Enforcer używane są w sieci szeregowo w taki sposób, że klient łączy się z siecią za pośrednictwem więcej niż jednego urządzenia Gateway Enforcer, należy określić urządzenie Enforcer znajdujące się najbliżej serwera Symantec Endpoint Protection Manager jako zaufany wewnętrzny adres IP drugiego modułu Gateway Enforcer. W przeciwnym przypadku może nastąpić pięciominutowe opóźnienie, zanim klient uzyska połączenie z siecią. Opóźnienie może nastąpić, gdy nie powiedzie się sprawdzanie integralności hosta przez klienta. W ramach działań naprawczych integralności hosta klient pobiera wymagane aktualizacje oprogramowania. Następnie klient ponownie przeprowadza sprawdzanie integralności hosta. Sprawdzenie integralności hosta kończy się pomyślnie, ale dostęp do sieci jest opóźniony.

50 Planowanie instalacji urządzenia Enforcer Planowanie instalacji urządzenia Gateway Enforcer Szczegółowe informacje dotyczące zaufanych wewnętrznych adresów IP zawiera Podręcznik administratora programów Symantec Endpoint Protection i Symantec Network Access Control. Ochrona dostępu przez sieć VPN za pomocą urządzenia Gateway Enforcer Ochrona dostępu przy użyciu sieci VPN to najważniejsza i najczęstsza przyczyna stosowania urządzenia Gateway Enforcer. Urządzenia Gateway Enforcer można umieścić w punktach dostępowych sieci VPN, aby zabezpieczyć dostęp do sieci firmowej. Urządzenie Gateway Enforcer jest umieszczane między serwerem VPN a siecią firmową. Umożliwia ono dostęp jedynie autoryzowanym użytkownikom i blokuje dostęp wszystkim innym użytkownikom. Ochrona bezprzewodowych punktów dostępu za pomocą urządzenia Gateway Enforcer Urządzenia Enforcer chronią sieć firmową w bezprzewodowych punktach dostępu (WAP). Urządzenie Gateway Enforcer gwarantuje, że użytkownicy łączący się z siecią firmową przy użyciu technologii bezprzewodowej mają uruchomione oprogramowanie klienckie i spełniają wymogi dotyczące zabezpieczeń. Po spełnieniu tych warunkówklient uzyskuje dostęp do sieci. Urządzenie Gateway Enforcer jest umieszczane między bezprzewodowym punktem dostępu a siecią firmową. Zewnętrzna karta NIC komunikuje się z bezprzewodowym punktem dostępu, a wewnętrzna karta NIC z siecią firmową. Ochrona serwerów za pomocą urządzenia Gateway Enforcer Urządzenia Gateway Enforcer można wykorzystać do ochrony serwerów firmowych przechowujących poufne dane w sieci firmowej. Organizacja może umieszczać ważne dane na serwerach znajdujących się w zamkniętej serwerowni. Tylko administratorzy systemu mogą mieć dostęp do zamkniętej serwerowni. Urządzenie Gateway Enforcer działa jak dodatkowy zamek w drzwiach. Zezwala na dostęp do chronionych serwerów tylko użytkownikom spełniającym określone kryteria. Serwery w takiej konfiguracji lokalizują wewnętrzną kartę NIC. Użytkownicy, którzy próbują uzyskać dostęp, muszą jednak przejść przez zewnętrzną kartę NIC. Aby zabezpieczyć te serwery, można ograniczyć dostęp jedynie do klientów z określonymi adresami IP i skonfigurować restrykcyjne reguły integralności hosta. Na przykład można skonfigurować urządzenie Gateway Enforcer, aby chroniło serwery w sieci. Urządzenie Gateway Enforcer można umieścić między klientami

Planowanie instalacji urządzenia Enforcer Planowanie instalacji urządzenia Gateway Enforcer 51 w firmowej sieci LAN a chronionymi serwerami. Zewnętrzna karta NIC komunikuje się z wewnętrzną firmową siecią LAN, a wewnętrzna karta NIC z chronionymi serwerami. Taka konfiguracja blokuje dostęp do serwerów nieuprawnionym użytkownikom lub klientom. Ochrona serwerów i klientów z systemami innymi niż Windows za pomocą urządzenia Gateway Enforcer Można zainstalować serwery i klientów z systemem operacyjnym innym niż Microsoft Windows. Urządzenie Gateway Enforcer nie może jednak uwierzytelniać serwerów ani klientów, które nie działają na komputerach bez systemu Microsoft Windows. Jeżeli w organizacji są używane serwery i klienci z systemami operacyjnymi, w których nie jest zainstalowane oprogramowanie klienckie, należy podjąć decyzję o zastosowaniu jednej z poniższych metod: Wdrożenie obsługi przy użyciu urządzenia Gateway Enforcer. Patrz Wdrażanie obsługi klientów z systemem innym niż system Windows za pomocą urządzenia Gateway Enforcer na stronie 51 Wdrożenie obsługi bez urządzenia Gateway Enforcer. Patrz Wdrażanie obsługi klientów z systemem innym niż system Windows bez urządzenia Gateway Enforcer na stronie 51 Wdrażanie obsługi klientów z systemem innym niż system Windows za pomocą urządzenia Gateway Enforcer Urządzenie Gateway Enforcer można skonfigurować do zezwalania na dostęp do sieci klientom z systemem innym niż system Windows. Skonfigurowane w taki sposób urządzenie Gateway Enforcer wykrywa system operacyjny komputera, aby zidentyfikować klientów z systemem operacyjnym innym niż system Windows. Wdrażanie obsługi klientów z systemem innym niż system Windows bez urządzenia Gateway Enforcer Obsługę klientów z systemem innym niż system Windows można wdrożyć, zezwalając takim klientom na dostęp do sieci za pośrednictwem oddzielnego punktu dostępu. Za pośrednictwem oddzielnego serwera VPN mogą się łączyć następujący klienci z systemem operacyjnym innym niż system Windows: Jeden serwer VPN może obsługiwać klientów z zainstalowanym oprogramowaniem klienckim. Klienci z systemem Windows mogą łączyć się z siecią firmową za pośrednictwem urządzenia Gateway Enforcer.

52 Planowanie instalacji urządzenia Enforcer Planowanie instalacji urządzenia Gateway Enforcer Inny serwer VPN może obsługiwać klientów z systemami operacyjnymi innymi niż Windows. Komputery klienckie z systemem innym niż Windows mogą wówczas łączyć się z siecią firmową bez pośrednictwa urządzenia Gateway Enforcer. Wymagania dotyczące umożliwiania dostępu klientom z systemami innymi niż Windows bez uwierzytelniania Urządzenie Gateway Enforcer można skonfigurować tak, aby umożliwić dostęp do sieci bez uwierzytelniania klientom z systemem operacyjnym innym niż system Windows. Patrz Wymagania dotyczące klientów z system innym niż system Windows na stronie 53 Gdy komputer kliencki próbuje uzyskać dostęp do sieci firmowej przez urządzenie Gateway Enforcer, urządzenie Gateway Enforcer sprawdza najpierw, czy na komputerze klienckim uruchomione jest oprogramowanie klienckie. Jeśli nie jest ono uruchomione, a została włączona opcja umożliwiania dostępu klientom z systemem innym niż Windows, urządzenie Gateway Enforcer sprawdza system operacyjny klienta. System operacyjny jest sprawdzany poprzez wysłanie pakietu danych, które sondują komputer kliencki w celu wykrycia typu uruchomionego na nim systemu operacyjnego. Jeżeli na kliencie uruchomiony jest system operacyjny inny niż Windows, klient uzyskuje normalny dostęp do sieci. Wymagania dotyczące klientów z systemem Windows Jeśli urządzenie Gateway Enforcer zostało skonfigurowane, aby zezwalać na łączenie się z siecią klientom z systemem innym niż system Windows, próbuje najpierw wykryć system operacyjny klienta. W przypadku wykrycia systemu operacyjnego Windows urządzenie Gateway Enforcer uwierzytelnia klienta. W przeciwnym razie urządzenie Gateway Enforcer zezwala klientowi na połączenie z siecią bez uwierzytelniania. Aby urządzenie Gateway Enforcer prawidłowo wykrywało system operacyjny Windows, na kliencie z takim systemem spełnione muszą być następujące wymagania: Na kliencie zainstalowany i włączony musi być składnik Klient sieci Microsoft Networks. Szczegółowe informacje można znaleźć w dokumentacji systemu Windows. Na kliencie otwarty musi być port UDP 137. Port ten musi być dostępny dla modułu Gateway Enforcer.

Planowanie instalacji urządzenia Enforcer Planowanie przełączania awaryjnego urządzeń Gateway Enforcer 53 Jeżeli klient z systemem Windows nie spełnia tych wymagań, urządzenie Gateway Enforcer może traktować klienta z systemem Windows jako klienta z innym systemem. Dzięki temu urządzenie Gateway Enforcer może zezwolić klientowi z systemem innym niż Windows na połączenie z siecią bez uwierzytelniania. Wymagania dotyczące klientów z system innym niż system Windows Aby urządzenie Gateway Enforcer zezwoliło klientowi z systemem Macintosh na dostęp do sieci, musi on spełnić następujące wymagania: Usługa Windows Sharing musi być włączona. Opcja jest domyślnie włączona. Wbudowana zapora systemu Macintosh musi być wyłączona. Jest to ustawienie domyślne. Aby moduł Gateway Enforcer zezwolił na dostęp klientowi z systemem Linux, musi on spełniać następujące wymagania: W systemie Linux uruchomiona musi być usługa Samba. Planowanie przełączania awaryjnego urządzeń Gateway Enforcer Przedsiębiorstwo może stosować dwa urządzenia Gateway Enforcer skonfigurowane do kontynuowania działania w razie awarii jednego z urządzeń Gateway Enforcer. Jeśli urządzenie Gateway Enforcer ulegnie awarii w sieci nie skonfigurowanej do przełączania awaryjnego, dostęp sieciowy w danej lokalizacji jest automatycznie blokowany. Jeśli urządzenie Gateway Enforcer ulegnie awarii w sieci bez przełączania awaryjnego, klienci nie będą mogli połączyć się z siecią. Klienci nie będą mogli łączyć się z siecią aż do chwili rozwiązania problemu z urządzeniem Gateway Enforcer. W przypadku urządzenia Gateway Enforcer przełączanie awaryjne jest obsługiwane przez urządzenia Gateway Enforcer, a nie przełączniki innych firm. Jeśli konfiguracja jest prawidłowa, program Symantec Endpoint Protection Manager automatycznie synchronizuje ustawienia przełączanych awaryjnie urządzeń Gateway Enforcer. Sposób działania przełączania awaryjnego urządzeń Gateway Enforcer w sieci Działające urządzenie Gateway Enforcer jest zwane aktywnym urządzeniem Gateway Enforcer. Rezerwowe urządzenie Gateway Enforcer jest zwane

54 Planowanie instalacji urządzenia Enforcer Planowanie przełączania awaryjnego urządzeń Gateway Enforcer oczekującym urządzeniem Gateway Enforcer. Aktywne urządzenie Gateway Enforcer jest zwane również podstawowym urządzeniem Gateway Enforcer. W razie awarii aktywnego urządzenia Gateway Enforcer zadania egzekwowania podejmuje oczekujące urządzenie Gateway Enforcer. Sekwencja uruchamiania dwóch urządzeń Gateway Enforcer jest następująca: Po uruchomieniu pierwszego urządzenia Gateway Enforcer działa ono w trybie oczekiwania. W trybie oczekiwania wysyła w sieci zapytania, aby sprawdzić, czy jest uruchomione inne urządzenie DHCP Enforcer. W poszukiwaniu drugiego modułu Gateway Enforcer wysyła trzy zapytania. W związku z tym zmiana stanu na Online może zająć kilka minut. Jeśli pierwsze urządzenie Gateway Enforcer nie wykrywa drugiego urządzenia Gateway Enforcer, pierwsze urządzenie Gateway Enforcer staje się aktywnym urządzeniem Gateway Enforcer. Podczas uruchamiania aktywne urządzenie Gateway Enforcer wysyła emisję pakietów przełączania awaryjnego zarówno w sieci wewnętrznej, jak i zewnętrznej. Emisja pakietów przełączania awaryjnego jest kontynuowana. Po uruchomieniu drugiego urządzenia Gateway Enforcer działa ono w trybie oczekiwania. Wysyła ono w sieci zapytania, aby sprawdzić, czy jest uruchomione inne urządzenie DHCP Enforcer. Drugie urządzenie Gateway Enforcer wykrywa następnie aktywne urządzenie Gateway Enforcer, które działa, w związku z czym nadal działa w trybie oczekiwania. Gdy aktywne urządzenie Gateway Enforcer ulegnie awarii, przestaje emitować pakiety przełączania awaryjnego. Urządzenie Gateway Enforcer w trybie oczekiwania przestaje wykrywać aktywne urządzenie Gateway Enforcer. Staje się więc aktywnym urządzeniem Gateway Enforcer, które obsługuje połączenia i zabezpieczenia sieciowe w danej lokalizacji. Po uruchomieniu pierwszego urządzenia Gateway Enforcer pozostaje ono oczekującym urządzeniem Gateway Enforcer, ponieważ wykrywa inne, aktywne urządzenie Gateway Enforcer. Rozmieszczanie urządzeń Gateway Enforcer w celu przełączania awaryjnego w sieci z jedną lub wieloma sieciami VLAN Urządzenie Gateway Enforcer jest konfigurowane do przełączania awaryjnego za pomocą umiejscowienia fizycznego i poprzez skonfigurowanie w programie Symantec Endpoint Protection Manager. W razie stosowania koncentratora obsługującego wiele sieci VLAN można używać tylko jednej sieci VLAN, chyba że zamiast koncentratora zostanie zastosowany przełącznik zgodny ze standardem 802.1q.

Planowanie instalacji urządzenia Enforcer Planowanie przełączania awaryjnego urządzeń Gateway Enforcer 55 Urządzenia Gateway Enforcer należy w celu przełączania awaryjnego skonfigurować w tym samym segmencie sieci. Między dwoma urządzeniami Gateway Enforcer nie można instalować routera ani bramy. Routery i bramy nie przekazują pakietów przełączania awaryjnego. Karty NIC sieci wewnętrznej obu urządzeń muszą łączyć się z siecią wewnętrzną przez ten sam przełącznik lub koncentrator. Karty NIC sieci zewnętrznej obu urządzeń muszą łączyć się z zewnętrznym serwerem sieci VPN lub punkt dostępu przez ten sam przełącznik lub koncentrator. Podobne procesy są stosowane podczas konfigurowania urządzeń Gateway Enforcer do przełączania awaryjnego w przypadku bezprzewodowego punktu dostępu, serwera RAS dostępu telefonicznego lub innych punktów dostępu. Karty NIC sieci zewnętrznej obu urządzeń Gateway Enforcer łączą się z siecią zewnętrzną przez bezprzewodowy punkt dostępu lub serwer RAS. Karta NIC sieci wewnętrznej łączy się z siecią wewnętrzną lub chronionym obszarem. Ilustracja 2-2 przedstawia sposób konfiguracji dwóch urządzeń Gateway Enforcer do przełączania awaryjnego w celu ochrony dostępu do sieci na koncentratorze sieci VPN.

56 Planowanie instalacji urządzenia Enforcer Planowanie przełączania awaryjnego urządzeń Gateway Enforcer Ilustracja 2-2 Rozmieszczenie dwóch urządzeń Gateway Enforcer Klienci zdalni VPN Internet Na zewnątrz firmy Wewnątrz firmy Zapora firmowa Klienci wewnętrzni Serwer VPN Karta NIC sieci zewnętrznej Karta NIC sieci wewnętrznej Moduł Gateway Enforcer 1 Koncentrator/VLAN Karta NIC sieci zewnętrznej Karta NIC sieci wewnętrznej Moduł Gateway Enforcer 2 Koncentrator/VLAN Sieć szkieletowa firmy Klienci wewnętrzni Chronione serwery Symantec Endpoint Protection Manager

Planowanie instalacji urządzenia Enforcer Planowanie instalacji urządzenia DHCP Enforcer 57 Konfigurowanie urządzeń Gateway Enforcer do przełączania awaryjnego Przed skonfigurowaniem oczekujących modułów Enforcer należy zapoznać się z koncepcją przełączania awaryjnego urządzeń Gateway Enforcer. Patrz Sposób działania przełączania awaryjnego urządzeń Gateway Enforcer w sieci na stronie 53 Aby skonfigurować urządzenia Gateway Enforcer do przełączania awaryjnego: 1 Rozmieść komputery w sieci. Patrz Rozmieszczanie urządzeń Gateway Enforcer w celu przełączania awaryjnego w sieci z jedną lub wieloma sieciami VLAN na stronie 54 2 Skonfiguruj karty NIC sieci wewnętrznej. Karty NIC sieci wewnętrznej wielu urządzeń Gateway Enforcer muszą mieć różne adresy IP. Patrz Wytyczne dotyczące adresów IP urządzenia Gateway Enforcer na stronie 49 Planowanie instalacji urządzenia DHCP Enforcer Wdrażanie urządzeń DHCP Enforcer w sieci może ułatwić kilka typów informacji planistycznych. Urządzenia DHCP Enforcer można rozmieścić, aby ułatwić ochronę następujących obszarów sieci: Patrz Rozmieszczanie urządzeń DHCP Enforcer w sieci na stronie 57 Patrz Adresy IP urządzenia DHCP Enforcer na stronie 59 Patrz Ochrona klientów z systemem innym niż system Windows z egzekwowaniem DHCP na stronie 60 Patrz Serwer DHCP informacje na stronie 61 Rozmieszczanie urządzeń DHCP Enforcer w sieci Aby zapewnić przechwytywanie przez urządzenie DHCP Enforcer wszystkich komunikatów DHCP przesyłanych między klientami DHCP i serwerami DHCP, należy je zainstalować między klientami i serwerem DHCP. Karta sieci wewnętrznej urządzenia DHCP Enforcer łączy je z serwerami DHCP. Karta sieci zewnętrznej urządzenia DHCP Enforcer łączy je z klientami za pośrednictwem routera lub przełącznika, który działa jako agent przekaźnik DHCP.

58 Planowanie instalacji urządzenia Enforcer Planowanie instalacji urządzenia DHCP Enforcer Program Symantec Endpoint Protection Manager także łączy się z kartą sieci zewnętrznej urządzenia DHCP Enforcer. Pojedyncze urządzenie DHCP Enforcer można skonfigurować do komunikowania się z wieloma serwerami DHCP. Można na przykład zainstalować wiele serwerów DHCP w tej samej podsieci do celów przełączania awaryjnego. Jeżeli serwery DHCP znajdują się w różnych lokalizacjach w sieci, każdy z nich wymaga oddzielnego urządzenia DHCP Enforcer. Dla każdej lokalizacji serwera DHCP należy skonfigurować normalny serwer DHCP i serwer DHCP kwarantanny. Moduł Enforcer można skonfigurować do rozpoznawania wielu serwerów DHCP kwarantanny i wielu normalnych serwerów DHCP. Uwaga: Serwer DHCP można zainstalować na jednym komputerze i skonfigurować go w celu obsługi zarówno normalnej sieci, jak i sieci kwarantanny. Należy też skonfigurować serwer naprawczy, aby mogli się z nim łączyć klienci przełączeni do sieci kwarantanny. Opcjonalnie program Symantec Endpoint Protection Manager może być zainstalowany na tym samym komputerze, co serwer naprawczy. Program Symantec Endpoint Protection Manager ani serwer naprawczy nie wymagają bezpośredniego połączenia z urządzeniem DHCP Enforcer lub serwerami DHCP. Jeżeli klient spełnia wymagania dotyczące bezpieczeństwa, urządzenie DHCP Enforcer działa jako agent przekaźnik DHCP. Urządzenie DHCP Enforcer łączy klienta z normalnym serwerem DHCP, z którego klient uzyskuje konfigurację normalnej sieci. Jeśli klient nie spełnia wymagań zabezpieczeń, urządzenie DHCP Enforcer łączy go z serwerem DHCP kwarantanny. Następnie klient uzyskuje konfigurację sieci kwarantanny. Ilustracja 2-3 przedstawia przykład różnych składników wymaganych dla urządzenia DHCP Enforcer i ich rozmieszczenia. Uwaga: Mimo że na rysunku serwer DHCP kwarantanny jest przedstawiony jako oddzielny komputer, wymagany jest tylko jeden komputer. W przypadku używania tylko jednego komputera serwer DHCP należy skonfigurować do przydzielania dwóch różnych konfiguracji sieciowych. Jedną z nich musi być konfiguracja sieci kwarantanny.

Planowanie instalacji urządzenia Enforcer Planowanie instalacji urządzenia DHCP Enforcer 59 Ilustracja 2-3 Umieszczenie urządzenia DHCP Enforcer Symantec Endpoint Protection Manager Klienci Agent-przekaźnik Sieć szkieletowa firmy Serwery Karta NIC sieci zewnętrznej Karta NIC sieci wewnętrznej Urządzenie DHCP Enforcer Przełącznik/ koncentrator Przełącznik/ koncentrator Serwer DHCP Adresy IP urządzenia DHCP Enforcer Konfigurując adres IP urządzenia DHCP Enforcer, należy przestrzegać określonych zasad. Podczas konfigurowania karty sieci wewnętrznej urządzenia DHCP Enforcer należy stosować się do następujących wytycznych: Wewnętrzny adres IP urządzenia DHCP Enforcer musi należeć do tej samej podsieci, co serwery DHCP.

60 Planowanie instalacji urządzenia Enforcer Planowanie instalacji urządzenia DHCP Enforcer Możliwa musi być komunikacja klientów z wewnętrznym adresem IP urządzenia DHCP Enforcer. W przypadku używania wielu urządzeń DHCP Enforcer w konfiguracji przełączania awaryjnego adres IP karty sieci wewnętrznej każdego urządzenia DHCP Enforcer musi być inny. Przy takiej konfiguracji możliwa musi być komunikacja klientów z wewnętrznymi adresami IP zarówno aktywnych urządzeń DHCP Enforcer, jak i urządzeń DHCP Enforcer działających w trybie gotowości. Podczas konfigurowania karty sieci zewnętrznej urządzenia DHCP Enforcer należy stosować się do następujących wytycznych: Możliwa musi być komunikacja między zewnętrznym adresem IP urządzenia DHCP Enforcer i programem Symantec Endpoint Protection Manager. Adres IP musi należeć do tej samej podsieci, co zakres IP karty sieci wewnętrznej. W takim przypadku program Symantec Endpoint Protection Manager znajduje się po jednej stronie przełącznika, a urządzenie DHCP Enforcer po drugiej. W przypadku używania wielu urządzeń DHCP Enforcer w konfiguracji przełączania awaryjnego adres IP karty sieci zewnętrznej każdego urządzenia DHCP Enforcer musi być inny. Ochrona klientów z systemem innym niż system Windows z egzekwowaniem DHCP Oprogramowanie Symantec Endpoint Protection lub Symantec Network Access Control można instalować na klientach z systemem operacyjnym Microsoft Windows. Urządzenie DHCP Enforcer nie może uwierzytelniać klientów, na których nie zainstalowano oprogramowania Symantec Endpoint Protection. Jeżeli w sieci firmowej znajdują się klienci z systemami operacyjnymi, w których wymagane oprogramowanie nie jest obsługiwane, takimi jak systemy Linux lub Solaris, należy zaplanować sposób obsługi tych klientów. Jedną z możliwości jest skonfigurowanie urządzenia DHCP Enforcer do zezwalania na dostęp do sieci wszystkim klientom z systemem innym niż system Windows. Skonfigurowane w taki sposób urządzenie DHCP Enforcer wykrywa system operacyjny komputera, aby zidentyfikować klientów z systemem operacyjnym innym niż system Windows. Inną metodą jest skonfigurowanie modułu DHCP Enforcer do zezwalania na dostęp do sieci firmowej komputerom o określonych adresach MAC. Gdy klient z zaufanym adresem MAC próbuje połączyć się z siecią, urządzenie DHCP Enforcer przekierowuje jego żądanie DHCP do normalnego serwera DHCP bez uwierzytelnienia.

Planowanie instalacji urządzenia Enforcer Planowanie instalacji urządzenia DHCP Enforcer 61 Serwer DHCP informacje Można skonfigurować oddzielny serwer DHCP kwarantanny na oddzielnym komputerze. Można też skonfigurować ten sam serwer DHCP do obsługi zarówno normalnej sieci, jak i sieci kwarantanny. Konfiguracja sieci kwarantanny musi zapewniać dostęp do następujących składników: Serwer naprawczy Symantec Endpoint Protection Manager Serwer DHCP Urządzenie DHCP Enforcer W przypadku używania wielu urządzeń DHCP Enforcer w celu przełączania awaryjnego konfiguracja sieci kwarantanny musi zapewniać dostęp do tych składników. Adres IP sieci kwarantanny jest używany podczas uwierzytelniania przez moduł DHCP Enforcer w następujący sposób: Na początku urządzenie DHCP Enforcer przydziela klientowi tymczasowy adres IP sieci kwarantanny, aby przeprowadzić proces uwierzytelniania. W przypadku pomyślnego uwierzytelnienia urządzenie DHCP Enforcer wysyła do klienta monit o natychmiastowe zwolnienie i odnowienie adresu IP. W przypadku konfiguracji sieci kwarantanny można ustawić krótki czas dzierżawy. Firma Symantec zaleca ustawienie czasu dwóch minut. W przypadku używania dwóch serwerów DHCP należy określić zakres adresów IP oddzielny od zakresu adresów IP normalnej sieci. Umożliwi to przypisywanie klientom poddanym kwarantannie lub nieautoryzowanym dowolnych adresów IP z oddzielnego zakresu adresów IP. Adresy z zakresu adresów IP sieci kwarantanny muszą być jednak zlokalizowane w tej samej podsieci, co adresy IP normalnej sieci. Można określić adresy IP z ograniczeniami, których może używać serwer DHCP kwarantanny. Można też użyć routera lub przełącznika obsługującego listę kontroli dostępu (ACL), aby zablokować dostęp z tych adresów IP do zasobów normalnej sieci. Jeżeli wykorzystywany jest jeden serwer DHCP, należy skonfigurować klasę użytkownika SYGATE_ENF używaną w przypadku konfiguracji sieci kwarantanny. Niektóre czynności konfiguracyjne są wykonywane na serwerze DHCP. Inne zadania należy wykonać w konsoli modułu Enforcer po ukończeniu instalacji.

62 Planowanie instalacji urządzenia Enforcer Planowanie przełączania awaryjnego urządzeń DHCP Enforcer Serwer DHCP dla normalnej sieci i sieci kwarantanny na jednym serwerze DHCP Można używać tego samego serwera DHCP zarówno do obsługi sieci normalnej, jak i sieci kwarantanny. Zalecane jest używanie dwóch serwerów. Aby używać jednego serwera DHCP zarówno jako normalnego serwera, jak i serwera DHCP kwarantanny, należy zapoznać się z następującymi wytycznymi: Serwery DHCP firmy Microsoft nie obsługują wielu podsieci. W przypadku używania serwerów DHCP firmy Microsoft konieczne może być skonfigurowanie dwóch serwerów DHCP. Jeżeli używany ma być tylko jeden serwer DHCP firmy Microsoft, wszystkie komputery muszą używać adresów IP z tej samej podsieci. W przypadku środowiska z dwiema różnymi podsieciami należy się upewnić, że używane routery obsługują dwie podsieci. Na przykład routery firmy Cisco mają funkcję konfigurowania dodatkowych adresów IP. Więcej informacji można znaleźć w dokumentacji routera. Planowanie przełączania awaryjnego urządzeń DHCP Enforcer Przedsiębiorstwo może stosować dwa urządzenia DHCP Enforcer skonfigurowane do kontynuowania działania w razie awarii jednego z urządzeń DHCP Enforcer. Jeśli urządzenie DHCP Enforcer ulegnie awarii w sieci nie skonfigurowanej do przełączania awaryjnego, dostęp sieciowy w danej lokalizacji jest automatycznie blokowany. Jeśli urządzenie DHCP Enforcer ulegnie awarii w sieci bez przełączania awaryjnego, użytkownicy nie będą mogli połączyć się z siecią. Problem będzie trwał do chwili rozwiązania problemu z urządzeniem DHCP Enforcer. W przypadku urządzenia DHCP Enforcer przełączanie awaryjne jest obsługiwane przez urządzenia DHCP Enforcer, a nie przełączniki innych firm. Jeśli sprzęt jest skonfigurowany prawidłowo, program Symantec Endpoint Protection Manager automatycznie synchronizuje ustawienia przełączanych awaryjnie urządzeń DHCP Enforcer. Sposób działania przełączania awaryjnego urządzeń DHCP Enforcer w sieci Działające urządzenie DHCP Enforcer jest zwane aktywnym urządzeniem DHCP Enforcer. Rezerwowe urządzenie DHCP Enforcer jest zwane oczekującym urządzeniem DHCP Enforcer. Aktywne urządzenie DHCP Enforcer jest zwane również podstawowym urządzeniem DHCP Enforcer. W razie awarii aktywnego

Planowanie instalacji urządzenia Enforcer Planowanie przełączania awaryjnego urządzeń DHCP Enforcer 63 urządzenia DHCP Enforcer zadania egzekwowania podejmuje oczekujące urządzenie DHCP Enforcer. Sekwencja uruchamiania dwóch urządzeń DHCP Enforcer jest następująca: Po uruchomieniu pierwsze urządzenie DHCP Enforcer działa trybie oczekiwania, jednocześnie sprawdzając w sieci, czy uruchomione jest drugie urządzenie DHCP Enforcer. W poszukiwaniu drugiego modułu DHCP Enforcer wysyła trzy zapytania. W związku z tym zmiana stanu na Online może zająć kilka minut. Jeśli niw wykrywa innego urządzenia DHCP Enforcer, staje się aktywnym urządzeniem DHCP Enforcer. Podczas uruchamiania aktywne urządzenie DHCP Enforcer wysyła emisję pakietów przełączania awaryjnego zarówno w sieci wewnętrznej, jak i zewnętrznej. Emisja pakietów przełączania awaryjnego jest kontynuowana. Następnie uruchamiane jest drugie urządzenie DHCP Enforcer. Działa ono trybie oczekiwania, jednocześnie sprawdzając w sieci, czy działa inne urządzenie DHCP Enforcer. Drugie urządzenie DHCP Enforcer wykrywa aktywne urządzenie DHCP Enforcer, które działa, w związku z czym pozostaje w trybie oczekiwania. Gdy aktywne urządzenie DHCP Enforcer ulegnie awarii, przestaje emitować pakiety przełączania awaryjnego. Urządzenie DHCP Enforcer w trybie oczekiwania przestaje wykrywać aktywne urządzenie DHCP Enforcer. Staje się więc aktywnym urządzeniem DHCP Enforcer, które obsługuje połączenia i zabezpieczenia sieciowe w danej lokalizacji. Po uruchomieniu pierwszego urządzenia DHCP Enforcer pozostaje ono oczekującym urządzeniem DHCP Enforcer, ponieważ wykrywa inne, aktywne urządzenie DHCP Enforcer. Rozmieszczanie urządzeń DHCP Enforcer w celu przełączania awaryjnego w sieci z jedną lub wieloma sieciami VLAN Urządzenie DHCP Enforcer jest konfigurowane do przełączania awaryjnego za pomocą umiejscowienia fizycznego i poprzez skonfigurowanie w programie Symantec Endpoint Protection Manager. W razie stosowania koncentratora obsługującego wiele sieci VLAN można używać tylko jednej sieci VLAN, chyba że zamiast koncentratora zostanie zastosowany przełącznik zgodny ze standardem 802.1q. Urządzenia DHCP Enforcer należy w celu przełączania awaryjnego skonfigurować w tym samym segmencie sieci. Między dwoma urządzeniami DHCP Enforcer nie można instalować routera ani bramy. Routery i bramy nie przekazują pakietów

64 Planowanie instalacji urządzenia Enforcer Planowanie przełączania awaryjnego urządzeń DHCP Enforcer przełączania awaryjnego. Karty NIC sieci wewnętrznej obu urządzeń muszą łączyć się z siecią wewnętrzną przez ten sam przełącznik lub koncentrator. Karty NIC sieci zewnętrznej obu urządzeń muszą łączyć się z zewnętrznym serwerem sieci VPN lub punkt dostępu przez ten sam przełącznik lub koncentrator. W podobny sposób urządzenia DHCP Enforcer są konfigurowane do przełączania awaryjnego w przypadku bezprzewodowego punktu dostępu, serwera RAS dostępu telefonicznego lub innych punktów dostępu. Karty NIC sieci zewnętrznej obu urządzeń DHCP Enforcer łączą się z siecią zewnętrzną przez bezprzewodowy punkt dostępu lub serwer RAS. Karta NIC sieci wewnętrznej łączy się z siecią wewnętrzną lub chronionym obszarem. Ilustracja 2-4 przedstawia sposób konfiguracji dwóch urządzeń DHCP Enforcer do przełączania awaryjnego w celu ochrony dostępu do sieci na koncentratorze sieci VPN.

Planowanie instalacji urządzenia Enforcer Planowanie przełączania awaryjnego urządzeń DHCP Enforcer 65 Ilustracja 2-4 Rozmieszczenie dwóch urządzeń DHCP Enforcer Klienci Symantec Endpoint Protection Manager Agent-przekaźnik Sieć szkieletowa firmy Serwery Karta NIC sieci zewnętrznej Karta NIC sieci wewnętrznej Urządzenie DHCP Enforcer Przełącznik/ koncentrator Przełącznik/ koncentrator Zapasowe urządzenie DHCP Enforcer Karta NIC sieci zewnętrznej Karta NIC sieci wewnętrznej Serwer DHCP Konfigurowanie urządzeń DHCP Enforcer do przełączania awaryjnego Przed skonfigurowaniem oczekujących modułów DHCP Enforcer należy zapoznać się z koncepcją przełączania awaryjnego urządzeń DHCP Enforcer. Patrz Sposób działania przełączania awaryjnego urządzeń DHCP Enforcer w sieci na stronie 62

66 Planowanie instalacji urządzenia Enforcer Planowanie przełączania awaryjnego urządzeń DHCP Enforcer Aby skonfigurować urządzenia DHCP Enforcer do przełączania awaryjnego: 1 Rozmieść komputery w sieci. Patrz Rozmieszczanie urządzeń DHCP Enforcer w celu przełączania awaryjnego w sieci z jedną lub wieloma sieciami VLAN na stronie 63 2 Skonfiguruj karty NIC sieci zewnętrznej i wewnętrznej. Karty NIC sieci zewnętrznej wielu urządzeń DHCP Enforcer muszą mieć różne adresy IP. Karty NIC sieci wewnętrznej wielu urządzeń DHCP Enforcer muszą mieć różne adresy IP. Patrz Adresy IP urządzenia DHCP Enforcer na stronie 59 3 Zainstaluj i uruchom podstawowe urządzenie DHCP Enforcer. Jeśli podstawowe urządzenie DHCP Enforcer nie znajdzie innego modułu DHCP Enforcer, przyjmie rolę aktywnego urządzenia DHCP Enforcer. 4 Zainstaluj i uruchom oczekujące urządzenie DHCP Enforcer. 5 Połącz oczekujące urządzenie DHCP Enforcer z tym samym serwerem Symantec Endpoint Protection Manager, z którym połączone jest aktywne urządzenie DHCP Enforcer. W razie jednoczesnego uruchomienia urządzeń DHCP Enforcer podstawowym urządzeniem DHCP Enforcer stanie się urządzenie o niższym adresie IP. Przełączanie awaryjne jest domyślnie włączone w programie Symantec Endpoint Protection Manager. Serwer Symantec Endpoint Protection Manager automatycznie przypisuje oczekujące urządzenie DHCP Enforcer do tej samej grupy modułów Enforcer. Dzięki temu ustawienia podstawowego i oczekującego urządzenia DHCP Enforcer są zsynchronizowane. Domyślnie włączone są następujące ustawienia przełączania awaryjnego: Port UDP przełączania awaryjnego ma domyślnie numer 39999. Urządzenia DHCP Enforcer skonfigurowane do przełączania awaryjnego komunikują się ze sobą na tym porcie. Domyślny poziom czułości przełączania awaryjnego to poziom High (mniej niż pięć sekund). Poziom czułości przełączania awaryjnego określa, jak szybko oczekujące urządzenie DHCP Enforcer staje się podstawowym urządzeniem DHCP Enforcer. Przełączenie awaryjne następuje tylko wówczas, gdy oczekujące urządzenie DHCP Enforcer wykryje, że podstawowe urządzenie DHCP Enforcer nie jest już aktywne.

Planowanie instalacji urządzenia Enforcer Planowanie instalacji urządzenia LAN Enforcer 67 Planowanie instalacji urządzenia LAN Enforcer Wdrażanie urządzeń LAN Enforcer w sieci może ułatwić kilka typów informacji planistycznych. Patrz Rozmieszczanie urządzeń LAN Enforcer na stronie 67 Rozmieszczanie urządzeń LAN Enforcer Urządzenie LAN Enforcer działa jako serwer proxy usługi RADIUS. Administratorzy zazwyczaj używają urządzenia LAN Enforcer współpracującego z serwerem RADIUS w celu wymuszania uwierzytelniania EAP 802.1x w sieci firmowej. Jeśli urządzenie LAN Enforcer jest skonfigurowane w taki sposób, musi być zdolne do komunikowania się z serwerem RADIUS. Na przykład urządzenie LAN Enforcer można podłączyć do przełącznika sieci LAN zgodnego ze standardem 802.1x w wewnętrznej sieci VLAN z programem Symantec Endpoint Protection Manager, serwerem RADIUS i klientami. Komputer bez oprogramowania klienckiego nie może połączyć się z siecią. Komputer ten zostaje przekierowany do serwera naprawczego, z którego można pobrać oprogramowanie wymagane w celu zapewnienia zgodności z obowiązującymi zasadami zabezpieczeń. Ilustracja 2-5 przedstawia przykład miejsca w sieci wewnętrznej, w którym można umieścić urządzenie LAN Enforcer.

68 Planowanie instalacji urządzenia Enforcer Planowanie instalacji urządzenia LAN Enforcer Ilustracja 2-5 Rozmieszczenie urządzeń LAN Enforcer Klienci Naprawcza sieć VLAN Przełącznik sieci LAN zgodny z standardem 802.1x i portami dot1x dla klientów wewnętrznych Remediation server Serwer RADIUS Urządzenie LAN Enforcer (serwer proxy usługi RADIUS) Sieć szkieletowa firmy Chronione serwery Symantec Endpoint Protection Manager Jeśli używany przełącznik zgodny ze standardem 802.1x obsługuje dynamiczne przełączanie sieci VLAN, można na nim skonfigurować dodatkowe sieci VLAN i uzyskiwać do nich dostęp za pośrednictwem urządzenia LAN Enforcer. Przełącznik zgodny ze standardem 802.1x może dynamicznie umieścić klienta w sieci VLAN po otrzymaniu odpowiedzi z serwera RADIUS. Niektóre przełączniki mają funkcję domyślnej sieci VLAN lub sieci VLAN gościa. Jeżeli na komputerze klienckim nie

Planowanie instalacji urządzenia Enforcer Planowanie instalacji urządzenia LAN Enforcer 69 ma suplikanta protokołu 802.1x, przełącznik zgodny ze standardem 802.1x może go umieścić w domyślnej sieci VLAN. Urządzenie LAN Enforcer można zainstalować w celu umożliwienia przeprowadzania w sieci uwierzytelniania EAP przy użyciu już wdrożonego sprzętu. Urządzenia LAN Enforcer mogą współpracować z istniejącymi serwerami RADIUS, suplikantami protokołu 802.1x i przełącznikami zgodnymi ze standardem 802.1x. Wykonują one uwierzytelnianie na poziomie komputera. W ten sposób zapewniana jest zgodność klienta z zasadami zabezpieczeń. Na przykład moduł LAN Enforcer sprawdza, czy na komputerze klienckim oprogramowanie antywirusowe zostało zaktualizowane przy użyciu najnowszych aktualizacji plików sygnatur oraz wymaganych poprawek. Suplikant protokołu 802.1x i serwer RADIUS przeprowadzają uwierzytelnianie na poziomie użytkownika. Klienci, którzy próbują połączyć się z siecią, są uwierzytelniani w celu zweryfikowania ich tożsamości. Urządzenie LAN Enforcer może też pracować w trybie przeźroczystym nie ma wówczas potrzeby używania serwera RADIUS. W trybie przeźroczystym w odpowiedzi na wezwanie EAP klient przekazuje informacje o integralności hosta do przełącznika zgodnego ze standardem 802.1x. Przełącznik przekazuje te informacje do modułu LAN Enforcer. Następnie urządzenie LAN Enforcer odsyła wyniki uwierzytelniania do przełącznika zgodnego ze standardem 802.1x. Informacje wysyłane przez urządzenie LAN Enforcer zależą od wyniku sprawdzania integralności hosta. Dlatego urządzenie LAN Enforcer nie musi komunikować się z serwerem RADIUS. Urządzenia LAN Enforcer można używać w następujących konfiguracjach: Konfiguracja podstawowa W tej konfiguracji wymagana jest obecność serwera RADIUS i suplikantów protokołu 802.1x innych firm. Przeprowadzane jest zarówno tradycyjne uwierzytelnianie użytkownika przy użyciu protokołu EAP, jak i sprawdzanie integralności hosta. Tryb przeźroczysty W tej konfiguracji nie jest wymagany serwer RADIUS ani suplikanci protokołu 802.1x innych firm. Sprawdzana jest tylko integralność hosta. Warto wziąć pod uwagę następujące kwestie: Czy planowane jest zainstalowanie suplikanta protokołu 802.1x na każdym komputerze? Jeżeli suplikant protokołu 802.1x będzie zainstalowany na każdym komputerze, można użyć konfiguracji podstawowej. Czy oprócz sprawdzenia integralności hosta ma być przeprowadzane uwierzytelnianie na poziomie użytkownika?

70 Planowanie instalacji urządzenia Enforcer Planowanie przełączania awaryjnego urządzeń LAN Enforcer Aby oprócz sprawdzania integralności hosta móc przeprowadzać uwierzytelnianie na poziomie użytkownika, należy użyć konfiguracji podstawowej. Czy w danej sieci planowane jest używanie serwera RADIUS? Jeżeli planowane jest używanie w sieci serwera RADIUS, można użyć konfiguracji podstawowej lub trybu przeźroczystego. Jeżeli serwer RADIUS nie będzie wykorzystywany, należy użyć trybu przeźroczystego. Planowanie przełączania awaryjnego urządzeń LAN Enforcer Jeśli w sieci zainstalowane zostały dwa urządzenia LAN Enforcer, przełączanie awaryjne obsługuje przełącznik zgodny ze standardem 802.1x. Przełącznik zgodny ze standardem 802.1x może obsługiwać wiele urządzeń LAN Enforcer. Ustawienia urządzeń LAN Enforcer można z łatwością zsynchronizować za pomocą ustawień synchronizacji w programie Symantec Endpoint Protection Manager. Aby zsynchronizować ustawienia jednego urządzenia LAN Enforcer z innym urządzeniem LAN Enforcer, należy określić tę samą nazwę grupy modułów Enforcer w konsoli modułu Enforcer. Jeśli w sieci stosowany jest serwer RADIUS, można zapewnić przełączanie awaryjne serwera RADIUS, konfigurując urządzenie LAN Enforcer do łączenia się z wieloma serwerami RADIUS. Jeśli wszystkie serwery RADIUS skonfigurowane dla tego urządzenia LAN Enforcer staną się niedostępne, przełącznik uzna, że urządzenie LAN Enforcer jest wyłączone. Wówczas przełącznik zgodny ze standardem 802.1x połączy się z innym urządzeniem LAN Enforcer, które zapewnia dodatkową obsługę przełączania awaryjnego. Rozmieszczanie urządzeń LAN Enforcer w sieci w celu przełączania awaryjnego Ilustracja 2-6 przedstawia sposób rozmieszczenia urządzeń LAN Enforcer w celu przełączania awaryjnego.

Planowanie instalacji urządzenia Enforcer Planowanie przełączania awaryjnego urządzeń LAN Enforcer 71 Ilustracja 2-6 Rozmieszczenie dwóch urządzeń LAN Enforcer Klienci Naprawcza sieć VLAN Serwer naprawczy Przełącznik sieci LAN zgodny ze standardem 802.1x i portami dot1x dla klientów wewnętrznych Serwer RADIUS Zapasowy Serwer RADIUS Urządzenie LAN Enforcer (serwer proxy usługi RADIUS) Sieć szkieletowa firmy Chronione serwery Symantec Endpoint Protection Manager

72 Planowanie instalacji urządzenia Enforcer Planowanie przełączania awaryjnego urządzeń LAN Enforcer

Rozdział 3 Uaktualnianie i migrowanie obrazów urządzenia Enforcer Ten rozdział obejmuje następujące zagadnienia: Uaktualnianie i migrowanie obrazów urządzeń Enforcer do wersji 11.0.3000 Ustalanie bieżącej wersji obrazu urządzenia Enforcer Uaktualnianie obrazu urządzenia Enforcer z wersji 11.0 lub 11.0.2000 do wersji 11.0.3000 Migrowanie obrazu urządzenia Enforcer z wersji 5.1.x do wersji 11.0.3000 Zmiana obrazu oprogramowania urządzenia Enforcer Uaktualnianie i migrowanie obrazów urządzeń Enforcer do wersji 11.0.3000 Przed podjęciem próby zaktualizowania, migracji lub zmiany obrazu oprogramowania urządzenia Enforcer należy ustalić bieżącą wersję obrazu obsługiwaną na urządzeniu. Patrz Ustalanie bieżącej wersji obrazu urządzenia Enforcer na stronie 74 Uaktualnienie obrazu na urządzeniu Enforcer do wersji 11.0.3000 może być konieczne, jeśli urządzenie Enforcer ma się komunikować z serwerem Symantec Endpoint Protection Manager w wersji 11.0.3. Uaktualnienie umożliwia korzystanie z nowych funkcji obsługiwanych przez urządzenia Symantec Network Access Control Enforcer w wersji 11.0.3000.

74 Uaktualnianie i migrowanie obrazów urządzenia Enforcer Ustalanie bieżącej wersji obrazu urządzenia Enforcer W celu uaktualnienia obrazu urządzenia Enforcer można wybrać dowolną z następujących metod: Uaktualnienie bieżącej wersji obrazu urządzenia Enforcer. Patrz Uaktualnianie obrazu urządzenia Enforcer z wersji 11.0 lub 11.0.2000 do wersji 11.0.3000 na stronie 74 Migracja obrazu urządzenia Enforcer z wersji 5.1.x do wersji 11.0.2000. Patrz Migrowanie obrazu urządzenia Enforcer z wersji 5.1.x do wersji 11.0.3000 na stronie 75 Instalacja innego obrazu urządzenia Enforcer z zastąpieniem poprzedniego obrazu urządzenia Enforcer. Patrz Zmiana obrazu oprogramowania urządzenia Enforcer na stronie 76 Urządzenie Symantec Network Access Control Enforcer w wersji 11.0.3 współpracuje z następującymi wersjami programu Symantec Endpoint Protection Manager: Wersją 11.0.2 Wersją 11.0.3 Ustalanie bieżącej wersji obrazu urządzenia Enforcer Należy ustalić bieżącą wersję obrazu obsługiwaną przez urządzenie Enforcer. Najnowsza wersja to 11.0.3000. W przypadku wersji starszych niż 11.0.3000 należy przeprowadzić uaktualnienie lub migrację. Poniżej przedstawiono przykład informacji wyjściowych o wersji obrazu urządzenia DHCP Enforcer: Symantec Network Access Control Enforcer 6100 Series - v11.0.1 build XXXX, 2007-11-29,19:09 DHCP Enforcer mode Aby ustalić bieżącą wersję obrazu urządzenia Enforcer: W interfejsie wiersza polecenia urządzenia Enforcer wpisz następujące polecenie: show version Uaktualnianie obrazu urządzenia Enforcer z wersji 11.0 lub 11.0.2000 do wersji 11.0.3000 Obraz urządzenia Enforcer można zaktualizować z wersji 11.0. lub 11.0.2000 do wersji 11.0.3000 przy użyciu następującej metody.

Uaktualnianie i migrowanie obrazów urządzenia Enforcer Migrowanie obrazu urządzenia Enforcer z wersji 5.1.x do wersji 11.0.3000 75 Aby uaktualnić obraz urządzenia Enforcer z wersji 11.0 lub 11.0.2000 do wersji 11.0.3000: 1 Włóż dysk CD do napędu CD-ROM urządzenia Enforcer. 2 W konsoli urządzenia Enforcer wpisz następujące polecenie: Enforcer# update Migrowanie obrazu urządzenia Enforcer z wersji 5.1.x do wersji 11.0.3000 Obraz urządzenia Enforcer można zaktualizować z wersji 5.1.x do wersji 11.0.3000 przy użyciu dowolnej z następujących metod. Migracja obrazu urządzenia Enforcer z wersji 5.1.x do wersji 11.0.3000 za pomocą dysku USB. Migracja obrazu urządzenia Enforcer z wersji 5.1.x do wersji 11.0.3000 za pomocą serwera TFTP. Aby migrować obraz urządzenia Enforcer z wersji 5.1.x do wersji 11.0.3 za pomocą dysku USB: 1 Skopiuj dwa pliki aktualizacji, initrd-enforcer.img.gpg i listę pakietów, na dysk USB. 2 Wpisz następujące polecenie w celu automatycznego zaktualizowania urządzenia Enforcer: Enforcer# update Patrz Polecenie update na stronie 259 Aby migrować obraz urządzenia Enforcer z wersji 5.1.x do wersji 11.0.3000 za pomocą serwera TFTP: 1 Prześlij dwa pliki aktualizacji, initrd-enforcer.img.gpg i listę pakietów, na serwer TFTP (Trivial File Transfer Protocol), z którym urządzenie Enforcer może nawiązać połączenie. 2 W konsoli urządzenia Enforcer uruchom następujące polecenie: Enforcer:# update tftp://adres IP serwera TFTP Patrz Polecenie update na stronie 259 3 Po wyświetleniu monitu o uruchomienie nowego obrazu wybierz pozycję Y.

76 Uaktualnianie i migrowanie obrazów urządzenia Enforcer Zmiana obrazu oprogramowania urządzenia Enforcer 4 Wybierz 1, aby ponownie uruchomić urządzenie Enforcer po zastosowaniu nowego obrazu. Nie jest zalecane uruchomienie nowego obrazu bez ponownego uruchomienia urządzenia Enforcer. 5 Zaloguj się do urządzenia Enforcer. 6 Patrz Logowanie się do urządzenia Enforcer na stronie 90 Zmiana obrazu oprogramowania urządzenia Enforcer Urządzenie Enforcer jest wyposażone w oprogramowanie służące do zmiany jego oprogramowania na dowolny z trzech typów modułów Enforcer: Gateway, LAN i DHCP. Oprogramowanie to zawiera system operacyjny Linux ze wzmocnionymi zabezpieczeniami oraz oprogramowanie modułu Enforcer do zamiany na urządzeniu Enforcer. Po uruchomieniu instalacji z dysku CD proces zmiany oprogramowania wymaże bieżącą konfigurację urządzenia Enforcer i zastąpi wszystkie istniejące pliki nowymi plikami. Cała poprzednia konfiguracja urządzenia Enforcer zostanie utracona. W celu zmiany typu modułu Enforcer należy zainstalować inny typ obrazu oprogramowania urządzenia Enforcer. Należy pamiętać, że zmiana typu obrazu urządzenia Enforcer może pociągać za sobą konieczność zmiany lokalizacji urządzenia Enforcer w sieci firmowej. Patrz Planowanie instalacji urządzeń Enforcer na stronie 45 Aby zmienić oprogramowanie urządzenia Enforcer: 1 Włóż dysk CD urządzenia do napędu CD-ROM urządzenia Enforcer. 2 W wierszu polecenia wpisz następujące polecenie: Enforcer:# reboot Polecenie to służy do ponownego uruchamiania urządzenia Enforcer. 3 W menu instalacyjnym wybierz opcję Setup Symantec Enforcer from the CD. Jeśli menu instalacyjne nie zostanie użyte, urządzenie Enforcer zostanie ponownie uruchomione z dysku twardego, a nie z dysku CD. Aby zmienić oprogramowanie, należy ponownie uruchomić urządzenie z dysku CD. 4 Zainstaluj i skonfiguruj oprogramowanie urządzenia Enforcer. Patrz Instalowanie urządzenia Enforcer na stronie 82

Rozdział 4 Instalowanie urządzenia Enforcer po raz pierwszy Ten rozdział obejmuje następujące zagadnienia: Przed zainstalowaniem urządzenia Enforcer Instalowanie urządzenia Enforcer Przed zainstalowaniem urządzenia Enforcer Moduł Enforcer to urządzenie sprzętowe, które egzekwuje kontrolę dostępu do sieci na klientach, którzy próbują nawiązać połączenie z siecią. Jeśli klienci są zgodni z zasadami zabezpieczeń, uzyskują zezwolenie na dostęp do zasobów w sieci. Implementowany typ urządzenia Enforcer zależy od zakupionego typu produktu Symantec Network Access Control. Więcej informacji na ten temat zawiera umowa licencyjna. Można zainstalować urządzenie Enforcer współpracujące z serwerem Symantec Endpoint Protection Manager i klientami. Dostępne są następujące typy urządzeń Enforcer: urządzenie Gateway Enforcer, urządzenie DHCP Enforcer, urządzenie LAN Enforcer.

78 Instalowanie urządzenia Enforcer po raz pierwszy Przed zainstalowaniem urządzenia Enforcer Instalacja urządzenia Gateway Enforcer informacje Urządzenie Gateway Enforcer jest zazwyczaj stosowane jako wewnętrzny most wymuszający przestrzeganie zasad zabezpieczeń w celu ochrony sieci wewnętrznej przed nieupoważnionym dostępem z zewnątrz. Przed przystąpieniem do instalacji urządzenia Gateway Enforcer należy znaleźć dla niego odpowiednią lokalizację w sieci. Urządzenia Gateway Enforcer można rozmieścić w całej sieci firmowej, aby zapewnić zgodność wszystkich punktów końcowych z zasadami zabezpieczeń. Urządzeń Gateway Enforcer można użyć do ochrony serwerów w firmie. Dostęp do tych serwerów będą mogli wówczas uzyskać tylko zaufani lub uwierzytelnieni klienci. Urządzenia Gateway Enforcer są zazwyczaj używane w następujących lokalizacjach sieciowych: Sieć VPN Bezprzewodowy punkt dostępu (WAP) Sieć dostępu telefonicznego (serwer dostępu zdalnego, RAS) Segmenty sieci Ethernet (sieci lokalnej, LAN) Patrz Rozmieszczanie urządzeń Gateway Enforcer na stronie 46 Instalacja urządzenia DHCP Enforcer informacje Moduł DHCP Enforcer jest stosowany jako wewnętrzny most wymuszający przestrzeganie zasad zabezpieczeń w celu ochrony sieci wewnętrznej. Klienci próbujący uzyskać połączenie z siecią wysyłają żądanie DHCP przydzielenia dynamicznego adresu IP. Przełącznik lub router (który pełni rolę klienta przekaźnika DHCP) trasuje żądanie DHCP. Żądanie DHCP jest przesyłane do urządzenia DHCP Enforcer, które jest skonfigurowane przed serwerem DHCP w sieci wewnętrznej. Urządzenie DHCP Enforcer sprawdza, czy klienci są zgodni z zasadami zabezpieczeń, zanim przekaże żądanie DHCP do serwera DHCP. Jeśli klient jest zgodny z zasadami zabezpieczeń, moduł DHCP Enforcer przesyła jego żądanie adresu IP do normalnego serwera DHCP. Jeśli klient nie jest zgodny z zasadami zabezpieczeń, urządzenie DHCP Enforcer łączy klienta z serwerem DHCP kwarantanny. Serwer DHCP kwarantanny przydziela klientowi konfigurację sieci kwarantanny. Aby ukończyć konfigurację modułu DHCP Enforcer, należy skonfigurować serwer naprawczy oraz ograniczyć prawa dostępu dla klientów poddanych kwarantannie. Klienci z ograniczeniami dostępu mogą komunikować się tylko z serwerem naprawczym.

Instalowanie urządzenia Enforcer po raz pierwszy Przed zainstalowaniem urządzenia Enforcer 79 Jeśli wymagana jest wysoka dostępność, można zainstalować dwa lub więcej urządzenia DHCP Enforcer w celu umożliwienia przełączania awaryjnego. Patrz Rozmieszczanie urządzeń DHCP Enforcer w sieci na stronie 57 Instalacja urządzenia LAN Enforcer informacje Urządzenie LAN Enforcer może przeprowadzać uwierzytelnianie hostów oraz działać jako pseudoserwer RADIUS (nawet bez serwera RADIUS). Klient usługi egzekwowania działa jako suplikant protokołu 802.1x. Odpowiada na wezwania protokołu Extensible Authentication Protocol (EAP), podając informacje dotyczące stanu integralności hosta i numeru zasady. W takim przypadku adres IP serwera RADIUS jest ustawiony na 0 i nie jest wykonywane żadne standardowe uwierzytelnianie EAP użytkownika. Urządzenie LAN Enforcer sprawdza integralność hosta. Może zezwalać, blokować lub dynamicznie przydzielać dostęp do VLAN, decyzję podejmując na podstawie wyników sprawdzania integralności hosta. Jeśli stosowane jest oprogramowanie Symantec Endpoint Protection, możliwa jest również inna konfiguracja. Można użyć urządzenia LAN Enforcer współpracującego z serwerem RADIUS w celu wymuszania uwierzytelniania wewnętrznego EAP 802.1x w sieci firmowej. Jeśli urządzenie LAN Enforcer jest skonfigurowane w taki sposób, należy umieścić je w takim miejscu sieci, aby mogło komunikować się z serwerem RADIUS. Jeśli używany przełącznik obsługuje dynamiczne przełączanie sieci VLAN, można na nim skonfigurować dodatkowe sieci VLAN i uzyskiwać do nich dostęp za pośrednictwem urządzenia LAN Enforcer. Przełącznik może dynamicznie umieścić klienta w sieci VLAN określanej na podstawie odpowiedzi od urządzenia LAN Enforcer. Sieci VLAN można dodać na przykład w celu umożliwienia kwarantanny lub naprawy. Patrz Rozmieszczanie urządzeń LAN Enforcer na stronie 67 Wskaźniki i elementy sterujące urządzenia Enforcer Urządzenie Enforcer jest instalowane w obudowie o wysokości 1U montowanej w szafie rack ze statycznymi prowadnicami. Ilustracja 4-1 przedstawia elementy sterujące, wskaźniki i złącza znajdujące się za opcjonalnym panelem maskującym na przednim panelu.

80 Instalowanie urządzenia Enforcer po raz pierwszy Przed zainstalowaniem urządzenia Enforcer Ilustracja 4-1 Panel przedni urządzenia Enforcer 1 2 3 4 5 6 7 Napęd CD-ROM Wyłącznik zasilania Przycisk resetowania Porty USB Dioda dysku twardego Złącze monitora Zarezerwowane; nie używać Ilustracja 4-2 przedstawia tylny panel urządzenia. Ilustracja 4-2 Tylny panel urządzenia Enforcer (model z obsługą trybu failopen) 1 2 3 4 5 6 7 8 9 10 Gniazdo kabla zasilającego Złącze myszy Złącze klawiatury Porty USB Port szeregowy Złącze monitora Zarezerwowane; nie używać Zarezerwowane porty sieciowe; nie używać Port sieciowy eth0 Port sieciowy eth1