 |
|
|
|
 |
|
|
アライドテレシスのスイッチとシマンテックの「Symantec Network Access Control 11.0」(SNAC)により、強固かつ柔軟な検疫ソリューションを提供します。
IEEE 802.1X認証と連携した検疫ネットワークにより、不正端末の排除、及び認証された端末へのセキュリティーポリシーの徹底を実現します。
| ※ |
本ソリューションに関わる各ベンダー製品を組み合わせた環境での動作確認は、シマンテック、マクニカネットワークスと共同で検証済みです。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
 |
|
|
PC利用者による身勝手な行為、「ウイルス定義ファイルの未更新」、「クライアントファイアウォールの停止」、「最新OSパッチの適用先送り」が社内全体のセキュリティーの低下につながる恐れがあります。
Symantec Network Access Controlは自動的なPCのセキュリティーの維持と管理の徹底を実現します。 |
|
|
 |
OSのパッチレベル、ウィルス定義ファイルのバージョン、ウィルス対策ソフトの起動状況などPCのセキュリティー完全性の自動チェック |
|
|
|
安全でない状態のPCによるネットワークアクセスを制限。安全な状態へ自動的に修正 |
|
|
|
端末認証とネットワークアクセス制御の連携により不正な端末の接続排除 |
|
|
|
次世代アンチウイルスソフトSymantec Endpoint Protection 11.0(別売)と一体のクライアントソフト、共通の管理サーバーによるウィルス/スパイウェア対策機能の提供 |
|
|
|
PCセキュリティー状態を常時モニタリング |
 |
|
 |
|
|
|
RADIUSサーバー: ユーザーチェック |
|
|
|
LAN Enforcer: ポリシーによる健全性チェック |
|
|
|
 |
|
|
|
 |
|
 |
連携に必要な製品 |
|
|
|
アライドテレシス スイッチ対応製品 |
|
|
|
RADIUSサーバー (ソリトンシステムズNet’Attest等) |
|
|
|
Symantec Network Access Control 11.0ライセンス |
|
|
|
LAN Enforcerアプライアンス |
|
|
端末収容方式 (対応製品については、こちらをご参照ください) |
|
|
|
| 端末直結 |
| ・ |
端末(PC)を接続するポートで認証・検疫を行います。 |
| ・ |
より強固なセキュリティーが保てます。 |
|
|
|
|
| 複数端末を1ポートで集約 |
| ・ |
| 複数端末(PC)を1ポートで集約します。各端末には、Multiple Authenticationにより個別に認証が行われ、健全性チェック後、各端末個別に、OKであれば社内VLANに、NGの場合は検疫用VLANに割り当てられます※1。ポート配下に設置するスイッチはEAP透過対応製品が必要です。 |
|
| ・ |
| アンチウィルスの更新サーバー/サポート用Webサイト/インターネットアクセス用プロキシサーバー |
|
| ・ |
| 島ハブを変更せずに端末を収容できるため、導入コストを抑えてNAPに対応可能です。 |
|
| ※1MACアドレスをベースにVLANを管理するマルチプルダイナミックVLAN機能が必要です。 |
|
|
|
|
 |
|
|
|
| 無線APによる認証・検疫も可能 |
| ※ |
無線APが対応するためには、802.1XとタグVLAN、およびMACアドレスベースのダイナミックVLANが必要です。 |
|
|
|
|
 |
|
|
|
 |
|
|
|
 |
|
|
|
 |
|
|
|
ユーザー認証: EAP認証 |
|
|
|
機器認証(自動): Clientの有無 |
|
|
|
| 検疫(自動): |
OSセキュリティーパッチチェック
AVのパターンファイルチェック
(特定ソフトの常駐チェックも可能) |
|
|
|
| 1. |
EAP認証に基づくユーザ認証、Clientによる機器認証と検疫チェックが行われる(IP取得前) |
|
|
| [ユーザ認証] |
[検疫チェック] |
|
|
| OK |
OK |
|
|
| OK |
NG |
| → |
隔離VLANへ接続
DHCPによるIP割り当て |
|
|
| NG |
NG |
|
|
|
|
| 2. |
検疫NGの場合、端末は隔離VLANへ送り、セキュリティー対策(アップデート等)を行う |
|
|
|
ポートレベルでの強固な検疫を提供。
社内LANへ一切不正なパケットが流れない。 |
|
|
|
|
 |
|
|
|
|
 |
|
|
以下の様な構成/設定でSNAC検疫とMACベース認証との混在/併用が可能です。(LANエンフォーサーがMACベース認証をバイパスさせることにより、RADIUSサーバーに設定されたMACアドレスで認証ができます。) |
|
|
|
 |
|
|
|
|
 |
|
|
|
セキュリティーポリシーを満たさないPCはLAN上の他のクライアントに全くつながらないため、最も強力なネットワークアクセス制御方式 |
|
|
|
ダイナミックVLAN機能により、PCのセキュリティー状態チェックとユーザー認証を組み合わせた結果、自在にVLANを分けることが可能(下図) |
|
|
|
Symantec Endpoint Protection Manager(SEPM)により、ポリシーの容易な設定・集中管理が可能 |
|
|
|
クライアントログの監視、レポート作成などの一元管理やモニタリングが可能 |
|
|
|
PCのセキュリティー設定/動作(ウィルスチェック等)を自動的に維持することが可能 |
|
|
|
認証・セキュリティーチェック・修正をすべて自動化 |
|
|
|
|
接続例 |
|
営業社員 |
→ |
認証成功/検疫成功後、営業社員用のVLANへ接続 |
|
技術社員 |
→ |
認証成功/検疫成功後、技術社員用のVLANへ接続
|
|
営業社員 |
→ |
認証成功/検疫失敗後、ゲスト用のVLANへ接続 |
|
技術社員 |
→ |
認証成功/検疫失敗後、ゲスト用のVLANへ接続 |
|
各社員 |
→ |
認証失敗後、スイッチポートを閉じ、ネットワークへの接続不可
|
|
|
|
|
|
