Sygate Secure Enterprise

安全策略保证系统 —— 缔造可信的开放网络!

1 、简介
随着网络安全技术的不断发展，企业也需要制定出越来越多的安全策略以抵御开放网络的风险。这些安全策略涉及到应用程序的使用管理、安全措施的执行、对企业资源的远程访问规则、无线网络设备的使用以及其他各种各样的安全问题。

2 、存在问题
企业在制定安全策略与具体执行这些策略的能力之间还是存在很大的差距。现存的网络安全技术都只是针对个别的问题，而没有构造出一个能彻底解决企业网络安全问题的平台。当今的企业需要的是这样一套解决方案：首先它能够清楚地了解企业内部的通信行为模式，其次根据这些行为模式制订出相应的安全策略，最后将这套策略强制实施到企业网络的每一个角落。

3 、Sygate解决方案
Sygate 安全策略保证系统是 Sygate 技术公司基于对开放网络环境的仔细研究而研发的新一代网络安全产品。该产品引入了全新的系统架构来满足开放网络中日益突显的安全需求，并首次实现了一个解决网络安全问题的系统平台，不但可以有效解决现有的网络安全问题还能够整合第三方的安全产品以应对新的安全威胁。该产品的问世，将企业的网络安全防线扩展到企业内部网络中的每一台网络主机 ( 本地或远程 ) 之上。

中央管理的主机防火墙——
Sygate 安全策略保证系统为企业所有联网主机提供以应用程序为中心的主机防火墙保护功能.它除了提供传统的主机型防火墙功能( 防止端口扫描、 IP/MAC 欺骗、操作系统类型探测、浏览器类型探测、拒绝服务攻击、 IP 地址过滤、端口 / 协议过滤、应用程序过滤等 ) 以外，还可以锁定合法应用程序，验证应用程序调用的动态链接库，防止恶意程序通过伪装或代码注入等手段绕过防火墙的检测。当系统探测到远程攻击行为时，可以自动阻断所有来自攻击方的网络通讯，确保主机的安全。

入侵检测预防——
Sygate安全策略保证系统提供的以应用程序为中心的入侵检测预防系统(IDPS)将传统的主机型入侵检测系统(IDS)和应用程序信息结合,提供超越传统主机型入侵检测系统的检测效率和更低的误报警率.系统还提供入侵检测特征/模式编辑器,管理员可根据企业的特点和新出现的网络威胁自定义入侵检测规则,快速而灵活的应对不断出现的新的网络攻击行为。

自适应防护——
Sygate 安全防护引擎能够根据用户计算机所处网络环境( 用户所处的环境：办公室、家中、差旅途中、展示会等；用户使用的网络连接方式：以太网、拨号网络、 VPN 、无线网络等 ) 的变化自动调整安全策略，以适应不同网络环境下的不同级别的风险。例如：当用户在参加展示会时使用会场提供的无线网络接入到 Internet 并连接公司的 VPN 服务器进入企业内部网络时,系统自动侦测到所处的网络环境并自动应用按企业为这种环境所规定的安全策略;而当用户结束展示会回到公司内部时,系统自动应用适应公司内部网络环境的安全策略。

企业级安全策略管理——
Sygate 安全策略保证系统为管理员提供了基于 WEB 的图形化管理控制台，管理员能够从任何可以访问策略管理服务器的网络节点登录到管理控制台进行企业安全策略的创建和修改工作。任何的策略修改都将自动的分发到所有相关的用户，并在用户的计算机上贯彻落实。同时系统还将收集整个企业网络上的各种信息 ( 网络应用程序、用户网络行为、安全事件、客户端运行状态等 ) 供管理员监控企业网络的安全状态，并相应调 整企业的安全策略。基于 Sygate 安全策略保证系统高容错能力的多服务器架构，跨国企业可以对整个企业的网络安全策略实施集中式或分布式的管理，从而提供优异的升级、负载均衡以及策略同步备份的能力。

全面策略强制——
Sygate安全策略保证系统能够有效保证企业网络用户完全遵守企业的安全策略。企业的安全策略除了用户的网络行为 ( 网络应用程序控制、端口 / 协议过滤、 IP/MAC 过滤、网络设备 ) 以外还包括：系统 / 应用软件补丁应用情况、操作系统配置以及应用程序运行情况 ( 如用户计算机上运行了正确版本的防病毒软件、个人防火墙以及入侵检测系统并且这些安全软件使用的是最新的特征库 ) 。无论用户使用什么样的网络连接方式 ( 以太网、拨号网络、无线以及 VPN) ， Sygate 都保证企业的安全策略被用户完全遵守。企业安全策略能够通过 Sygate 认证强制网关在用户接入企业网络时强制执行，也能够在用户计算机本地由 Sygate 安全代理强制执行。

自动化安全性修复——
Sygate 安全策略保证系统能够自动修复那些因为不符合企业安全策略而被拒绝访问企业网络的端点计算机上安全措施的完整性。企业用户的系统将被恢复到完全符合企业安全策略而不需要用户的交互操作或与 IT 支持中心联系，这样就能有效保证员工的工作效率同时控制企业的 IT 维护费用。

4、 Sygate系统架构

Sygate 安全代理

为用户提供了强大的主机网络防护能力，即使在使用默认规则的情况下，安全代理也能有效保护企业联网主机的安全。

Sygate安全代理能够自动连接到 Sygate 策略管理服务器查询是否有新的安全策略，如果有新的策略可用，安全代理将自动下载新的安全策略并按照新的策略重新检查客户端安全措施的完整性，然后将检测结果报告给认证强制网关，强制网关根据安全代理的报告决定是否允许用户访问企业内部网络。

在能够连接企业的策略管理服务器时，Sygate 安全代理还将记录到的客户端网络使用情况和安全事件记录发送到策略管理服务器，供管理员审核企业网络的安全状态。当不能连接到 Sygate 策略管理服务器时，安全代理在本地保存日志，在下次连接管理服务器时发送。

Sygate 策略管理服务器

用来生成及配置企业网络安全及强制策略，管理用户和计算机群组，并与其他 Sygate 策略管理服务器和 Sygate认证强制网关服务器互相通信。通过 Sygate 策略保证系统的心跳通信协议，Sygate 策略管理服务器通过 Sygate 安全代理和认证。

强制网关不断地了解用户、应用程序和网络通信的行为模式，从而为企业提供实时的安全概况。依据Sygate 策略管理服务器提供的信息，企业能够相应地生成涵盖用户、接入方式、应用程序和网络协议等各种参数的安全策略。通过从 NT 域、活动目录或 LDAP 中导入和同步用户、工作站以及服务器的群组结构，提供对企业现有用户组织方式的支持。跨国企业还可以对 Sygate策略管理服务器实施集中式的或者分布式的管理，从而提供良好的升级性、容错性、负载平衡以及策略同步备份的能力。

Sygate 认证强制网关

用以认证通过企业网络接入点 ( 如 VPN ，无线接入点，RAS 拨号服务器 )访问企业内部网络的主机。 Sygate 认证强制网关从 Sygate 策略管理服务器获得强制策略和代理认证信息。当 Sygate 安全代理接入企业网络时，依照公司安全策略， Sygate 认证强制网关启动一个认证会话，对安全代理的真实性，防火墙、入侵检测、反病毒和其他安全软件的当前状态，以及对代理上的安全政策、特征库和病毒定义与公司的安全策略的匹配程度等等进行彻底的核查。一旦发现客户端机器不能通过这些检查，认证强制网关将截断客户端对企业内部网络的访问，从而有效保证企业安全策略的贯彻实施。

5 、系统要求 / 支持平台

　　操作系统 WEB 服务器 数据库
　　Sygate 管理服务器 Windows 2000 / 2003Server Internet Information Server Microsoft SQL
　　Solaris 8 或更高版本 iplanet Web Server Oracle
　　Sygate 安全代理 Windows95-XP ， 2003 平台
　　Sygate 认证强制网关 Windows 2000 / 2003 平台， Linux

Sygate On-Demand

1. 简介

Sygate On-Demand 通过确保端点安全措施的完整来保护企业的Web应用,同时还负责保护已传送到端点的数据安全。Sygate On-Demand 客户端在初始连接到Web应用或SSL VPN 设备时下载到端点。仅当端点完全符合安全策略的要求时，才容许其建立连接。

2. 问题

从客户－服务器向Web应用模式的根本转移深度改变了员工，商业伙伴，客户和供应商访问及利用企业信息的方式。在客户－服务器的世界里，保护企业自有设备，认证用户是保护企业信息的 主要方式。相反，没有客户端的Web应用和服务可以从任何计算机上访问，包括企业自有计算机，机 场电话盒，酒店商务中心计算机和供应商系统。在这些第三方所有的计算机上，企业安全机构既不能确认该主机的安全性，也不能保护Web应用所提供的信息，既无法在会话结束时抹去信息，更无力保障整个会话远离恶意程序的威胁。

3. Sygate解决方案

Sygate改变了这场游戏。首次，商业和政府实体，在业内一流安全方案的帮助下赢得了压制黑客的战略优势。企业可以确保自有设备和第三方设备不做任何安全妥协，完全符合企业安全策略并保护机密数据。Sygate On-Demand 为Web应用提供保护，例如SSL VPN, Web Mail, 和源自第三方设备的外联网访问。Sygate Secure Enterprise则将方案覆盖面扩展到企业自有设备上。Sygate Magellan则消除了网络上的黑洞，确保没有端点能够逃脱检测和主动管理的视野。Sygate On-Demand 通过确保端点安全措施的完整来保护企业的Web应用,同时还负责保护已传送到端点的数据安全。Sygate On-Demand 客户端在初始连接到Web应用或SSL VPN 设备时下载到端点。仅当端点完全符合安全策略要求时，才容许其建立连接。当连接容许时，一个安全的桌面会被创建以便保护下载的信息。

4. 好处

Sygate On-Demand 是唯一一个强调了从第三方设备访问企业网络的四个关键要素的方案。
4.1保护病人，客户和员工隐私
　　　　客户信息 － 保护客户记录和财务信息的机密性。
　　　　医疗诊断或诉讼处理 － 确认符合HIPAA和其他保障病人医疗记录隐私权的法规。
4.2保护敏感的商业信息
　　　　财务系统 － 保护可远程访问的财务信息的机密性。
　　　　Web E-mail － 防止邮件密码的失窃以及由于附件遗留在电话盒或咖啡屋计算机上而导致的信息泄漏。
4.3防止业务中断
　　　　SL VPN － 保护企业网络远离安全打过折扣的端点。
　　　　商业网站 － 确保商业伙伴的计算机在访问企业网络前是安全可信的，从而不会危及到公司网络的安全。

5. 如何工作的

Sygate On-Demand 管理器创建一个网页，该网页包含了Sygate On-Demand 客户端可下载。 Sygate On-Demand 客户端下载网页放置在Web服务器上，并被配置成Web应用的默认页面, 例如mail.company.com. 当用户连接到这个位于SSL VPN, Web mail 服务器, 或门户网站服务器上的页面时，Sygate On-Demand客户端(SOA)被下载并在端点上运行。一旦运行，SOA将会确认端点的安全措施完整性，这包括防病毒软件，个人防火墙，补丁包，小补丁等。 在完成主机完整性确认过程以后，SOA创建一个虚拟的桌面环境。再从虚拟环境内，SOA开启Web浏览器进入Web应用的登入流程。随后SOA用户就可以访问诸如e-mail 或服务器之类的企业资源了。当和Web应用间的会话正常结束，亦或超过设定的时间时，SOA要么自动删除来自于会话的所有数据或者在计算机上保留一个经过加密和密码保护的虚拟桌面环境。

6. 功能

主机完整性——
确保那些访问机密数据的设备受到具有最新病毒特征库的防病毒软件、个人防火墙、关键服务补丁等安全措施的保护。这一检查保证了企业网络不会受到因端点访问受保护的Web应用而带来的威胁。

虚拟桌面——
Sygate On-Demand Agent创建并运行一个虚拟的桌面环境，用户可以将机密数据下载到这个虚拟的环境中，虚拟环境中数据可以用本机上已安装的应用程序打开、编辑并上传回Web应用，或者复制到软盘、USB硬盘及其他的移动存储媒介。虚拟桌面使得企业的雇员、商业伙伴以及客户在使用第三方所有的设备时安全地访问企业的机密信息。

数据清理——
当连接中断或超时以后，Sygate On-Demand Agent将清理系统，删除所有在网络连接时生成的数据。数据清理过程可以保证下载到第三方计算机上的机密数据被完全删除。

可重用的虚拟桌面——
Sygate On-Demand Agent（SODA）可以创建一个保留在终端上的虚拟桌面，并使用用户设置的密码进行保护。虚拟桌面的持续存在使得用户不需要在每次连接到企业的Web应用时重新下载SODA，并且可以在连接中断后访问存储在虚拟桌面重的数据，同时保持终端主机和虚拟桌面间的完全隔离。

自适应策略——
Sygate Virtual Agent具有按照特定的网络位置和网络设备的类型（企业所有还是第三方所有）来自动调整安全策略的能力，这就确保在不影响用户生产力的情况下企业的机密数据得到有效保护。
自适应策略确保了用户在访问企业站点时具有与其使用的连接设备和网络位置相应的安全级别。

缓存清理器——
Sygate缓存清理器确保浏览器中的信息（如：cookies、自动完成、保存的密码以及临时文件和下载的文件）在网络会话终止、闲置超时或关闭浏览器时被删除。缓存清理器既可以和Sygate On-Demand Agent联合工作，也可以作为一个单独的模块工作来清理其它操作系统（如：Mac OS X、Linux、Windows98/ME）上浏览器中的数据。

恶意代码防护——
Sygate On-Demand Agent使用两种方式来确保机密信息不受恶意代码的攻击：1. 在用户通过认证访问Web应用之前确保防病毒软件、个人防火墙以及服务补丁的运行和存在。2. 对所有下载到加密并由密码保护的虚拟桌面中的数据进行加密处理。没有Sygate On-Demand Agent的保护就允许第三方的设备访问企业网络和机密数据会导致网络破坏、数据被窃、信息泄漏以及数据欺诈。

7. 系统需求

Sygate On-Demand Agent——

Sygate虚拟桌面
　　　　　操作系统：NT4(SP6)、Windows 2000、Windows XP

Sygate主机完整性检查
　　　　　操作系统：Windows 98, ME,NT4(SP6)、Windows 2000、Windows XP

Sygate缓存清理器
　　　　　操作系统：Windows 98, ME, NT4 (SP6),2000, XP, Mac OSX, Linux Redhat 7.3 或更高

　　　　　浏览器
　　　　　Internet Explorer 5.0或更高, Netscape 6.0或更高, Opera 7.2或更高, 　Safari 1.0或更高, Mozilla 0.9.9或更高

Sygate On-Demand Manager——
　　　　　操作系统：Windows 2000, XP, Server 2003

Sygate Magellan

Sygate Magellan搜集整理网络上各种应用、服务的信息，监控各种网络设备的安全状态，并能结合SYGATE的其他产品来保证所有网络节点对安全规范的不间断遵守。

作为一家技术领先的公司，SYGATE以一种全新的思路从根本上改变了网络安全一直以来被动防守的局面，为用户提供了一套完整的能够真正实现主动防护、不间断防护和零时点防护的安全管理架构。在这一架构之下是三个具体的解决方案：Sygate Secure Enterprise(SYGATE安全策略保证系统)、Sygate On-Demand以及Sygate Magellan。其中SYGATE安全策略保证系统是产品线的核心，主要解决内部网络(含传统内部网络、移动用户和分支机构)的安全管理问题。Sygate On-Demand主要解决与电子商务、电子政务、网上银行、SSL VPN以及其他基于web应用等相关的信息安全问题。Sygate Magellan则搜集整理网络上各种应用、服务的信息，监控各种网络设备的安全状态，并能结合SYGATE的其他产品来保证所有网络节点对安全规范的不间断遵守。

Sygate Personal Firewall Pro

SyGate PC 防火墙在您上网时保护您的计算机 基于Sygate Technology Inc.得奖产品SyGate的同样的技术，SyGate PC 防火墙的目的在于让用户上网时增强计算机的安全性。

SyGate PC 防火墙在您上网时保护您的计算机
基于Sygate Technology Inc.得奖产品SyGate的同样的技术，SyGate PC 防火墙的目的在于让用户上网时增强计算机的安全性。

受防火墙保护的计算机

SyGate PC 防火墙为连接在因特网和企业内部网上的计算机提供 了一个 易于使用，性能价格比极高的软件安全解决方案。
SyGate PC 防火墙是一个基于 服务器的解决方案，通过使它所 运行的计算机不受入侵和黑客的滋扰，该软件在一个有防火墙的 环境下增加了另外一层保护。和防火墙不同，该软件防止内部侵入。

防火墙被广泛应用在联网的计算机上，SyGate PC 防火墙是没有连接在局域网上的计算机的防火墙。
当进行通信的计算机连在局域网上的时候，它受到保护；当这台计算机和英特网直接相连的时候，则不受到保护。这样，当这台计算机重新连接到局域网的时候，它就可能威胁到网络的安全性。
在路由器和防火墙中可以找到联网计算机的上网记录，不联网的计算机上面的数据流量记录却难以获得。有了SyGate PC 防火墙，计算机在所有时候都会得到保护，无论他们在企业的局域网上或者直接连到公共的因特网。
有了该软件，数据流量记录会保存在同一台计算机上以方便查询。

优点

防治黑客
(1)在黑客攻击网络前侦侧出他们，无论攻击来自内部或外部
(2)防止重要业务数据被偷窃、损坏.
(3)防止因为受损数据而影响工作
(4)具有双向入侵防御的功能，它既能防止外部黑客的入侵，还可防止内部信息的外泄——阻止未经授权的对外通讯。

安全存取
(1)在防火墙上增加了另一层保护，以防止外界的非法进入
(2)为计算机提供了基于主机的保护，以防止内部的侵犯
(3)可以选择预定义或定制的安全策略来为您的系统环境服务

存取监控
(1)维护所有网络数据往来信息的日志。
(2)可以用报表的形式显示所有用户的活动
(3)当发现入侵者和对网络的非法使用时立即发出警告

防火墙保护您的局域网，谁来保护运行防火墙的计算机呢？

对于在公司网络内部的计算机，它们可以被置于多种现有的安全软件的保护下，包括Sygate Technology Inc.的SyGate，对于和英特网直接相连的计算机，几乎没有什么软件可以用来保护它。

SyGate PC 防火墙可以用来保护它所运行的计算机。

SyGate PC 防火墙可以用来保护独立的和联网的运行低端防火墙软件(不能保护它所运行的计算机)的计算机。如果你发觉你的防火墙不能保护它所运行的计算机，您需要用SyGate PC 防火墙!

它怎样工作?
SyGate PC 防火墙通过有选择地阻断计算机和英特网的数据通讯来保护计算机。

媒体和用户对SyGate系列产品评价

"Sybergen 的安全的桌面产品赢得了我们的蓝带奖品, 非常适用于中型企业的使用……"
——NetworkWorld

“我曾试过多种解决方法，但我最喜欢的是SyGate。 它那傻瓜式的安装设置以及微不足道的价格深深打动了我”。
—— Mr.Fred Langa
《WINDOWS Magazine》资深编辑、专栏作家

《纽约时报》lan Austen 推荐PC 防火墙作为个人Internet防火墙解决方案。

PC World推荐使用PC 防火墙和SyGate安全性来接入Internet。
Internet的安全连接-99.7

InfoWorld Dan Seoane 对SyGate3.0在商业上的应用给予了很高的评价。
SyGate升级版本使用户联系费用更低-99.4

ZDNet UK推荐PC 防火墙和SyGate应用在家庭PC的网络安全性方面。
保护你的家用PC-99.9

Windows Magazine Fred Langa 反复推荐SyGate作为最好的多用户上网解决方案。
增强您的商业机制-99.9
共享和相似共享-99.7
（Mr.Fred Langa 《WINDOWS Magazine》资深编辑、专栏作家）

Acer NetWeb 以零售渠道在美国各地销售SyGate标准版。