ファイアウォールポリシーでこの機能を有効にすると、SEP クライアントは Symantec Network Access Control (SNAC) サービスを起動します。このサービスは起動タイプが [手動] で、この機能が有効になっていないと起動しません。

クライアント A がクライアント B にアクセスしようとすると、クライアント B はトラフィックをブロックし、クライアント A の認証を開始します。認証プロセスには 2 つのフェーズがあります。フェーズ 1 は、クライアント A が必要な SEP エージェントをインストールして実行しているかどうかを確認します。フェーズ 1 が成功して終了すると、フェーズ 2 が開始されます。フェーズ 2 は、クライアント A のコンプライアンスステータスを取得して確認します。コンプライアンスステータスに問題がなければ、クライアント B はトラフィックを許可する決定を下します。

ピアツーピアでは、コンプライアンス状態はホストインテグリティ (HI) 検査の結果に基づきます。HI 検査に合格した場合、コンプライアンスの状態はプラスとなり、HI 検査に失敗した場合、コンプライアンスの状態はマイナスとなります。ただし、管理者は HI 検査を無効もしくは無視するよう設定することができ、その場合は HI 検査が無効もしくは無視でも、コンプライアンスステータスはプラスのままとなります。

フェーズ 1 が失敗した場合は、クライアント A に SEP エージェントがインストールされていないか、インストールされている SEP エージェントが必要なものではないことを意味し、その結果認証は失敗し、フェーズ 2 は開始されません。

フェーズ 1 が成功するとフェーズ 2 が開始され、最終的な認証結果が得られます。その後、クライアント B は設定された許容時間が経過すると定期的に Keep-Alive パケットを送信し、クライアント A は最新の HI 検査結果を返信します。なお、フェーズ 2 で取得した HI の結果が失敗であっても、この Keep-Alive セッションは継続されます。クライアント B が送信した Keep-Alive パケットに対するクライアント A からの応答がない場合、Keep-Alive セッションは停止し、ブロックフェーズが適用されます。また、ピアツーピアセッションがタイムアウトした場合 (設定されたセッション時間内に認証や keep-alive パケット以外のクライアント A のパケットを受信しなかった場合)、クライアント B はクライアント A に関連するピアツーピアセッションを解放します。

SNAC のピアツーピアコードは UDP 39999 を使用します。

[英語文書] How Peer-to-Peer Authentication feature works