Discuz!官方免费开源建站系统

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索

Juniper 统一访问控制解决方案

[复制链接]
chenhei 发表于 2008-1-8 12:17:45 | 显示全部楼层 |阅读模式
Juniper 统一访问控制解决方案
企业Infranet UAC解决方案
企业Infranet是一个架构,UAC(统一的访问控制)就是针对这个架构的解决方案,这个企业Infranet实施将Infranet的概念从运营商扩展到企业级别,结合了现有的网络以及网络安全技术(许多技术已被部署)与能够同Juniper和第三方技术有效互操作,从而生成了基于标准的、可扩展的、经济高效的网络。
Juniper Infranet架构的基础是使用、交付和威胁控制。用于实现统一接入控制的企业Infranet解决方案是以使用控制为出发点的,它是确保即时获得成功的最关键的元素。使用控制已是Juniper网络公司市场领先的SSL VPN产品的主要组件,该产品设计用于在会话前和会话中提供端点评估,确保严格的验证/授权,利用现有基础设施,动态创建会话特定的角色和应用极细粒度的资源策略等。这项功能原本用在企业扩展用户的远处访问,现已扩展到整个企业网络,使用Infranet控制器将策略的可视性与现有执行点连接在一起。Infranet控制器(IC)通过Infranet代理与Infranet执行点通信。这些组件结合在一起,在现有企业基础设施上创建了业务控制层,将端点/用户智能与网络和应用智能集成在一起,以确保自适应的、细粒度的使用控制级别。提供威胁控制和交付控制的其他组件也可以集成到这个解决方案中,无需对现有基础设施进行升级。当用户第一次登录IC时,IC将动态下载Infranet代理(IA)。IA是轻量级软件代理,确定端点是否遵从企业安全策略,类似于Juniper的SSL VPN主机安全检查。与主机安全检查相同,IA可配置用于检查预定义的和自定制的标准,包括主机上的运行程序、开发的端口、申请人的真实性、第三方安全软件应用的存在/版本等。如果发现用户因缺乏端点安全应用(如防病毒或恶意软件防护以及缺乏相关的数据文件或设置等)引发的违规行为,它将把用户发送到修复站点- 无次数限制,也无需中断运行。动态设置的IA还提供可选的认证和加密传输,以便在必要时强制执行网关策略。
Infranet代理收集的信息随后被传送回Infranet控制器。控制器拥有自己的策略和控制引擎,并通过验证服务器以及身份和授权目录库提供无缝通信。控制器随后基于用户验证结果和对设备安全特征的实时检查结果,授予用户会话特定的网络接入权限。将Infranet代理和控制器结合在一起,能够有效防止违规主机连接企业网络,并对企业网络流量提供使用控制。
交换机和无线接入点作为控制点Juniper UAC解决方案支持标准的802.1x协议,支持这个协议的内网的交换机设备和无线接入设备都可以作为Juniper解决方案当中的网络执行器。
802.1x协议起源于802.11协议,后者是标准的无线局域网协议,802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。现在已经开始被应用于一般的有线LAN的接入。为了对端口加以控制,以实现用户级的接入控制。802.1x就是IEEE为了解决基于端口的接入控制(Port-Based Access Control)而定义的一个标准。802.1X的认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证成功那么就“打开”这个端口,允许文所有的报文通过;如果认证不成功就使这个端口保持“关闭”,此时只允许802.1X的认证报文EAPOL(Extensible Authentication Protocol over LAN)通过。
从Juniper的解决方案来看,IC结合支持802.1x协议和动态VLAN的交换机作为网络控制器,可以很好的完成网络准入和权限控制的问题。如下图所示,用户接入交换后,进行802.1x认证和授权的流程是:
1.
用户终端接入交换机设备,物理网线连接。这个时候用户没有得到IP地址,没有任何的IP访问权限,只允许802.1X的认证报文通过。
2.
交换机检查用户终端是否含有802.1X的客户端,如果没有,则将其分配到IC所在的VLAN,用户可以与IC的连接,自动的下载和安装相应的IA软件。
3.
安装了IA客户端软件的主机,可以利用802.1x系统进行身份认证。
4.
IA客户端对用户的主机进行安全检查,通过认证的主机如果不符合企业的安全策略,交换机会将其分配跟修复服务器同一个VLAN中,自动的重定向到修复服务器进行修复。
5.
如果认证的主机符合企业的安全策略,交换机会将其分配到内部网络的VLAN,与内部的服务器之间实现路由可达,只要用户具备相应的访问权限,即可以进行数据的交换。
防火墙作为控制点Juniper UAC的统一访问控制解决方案部署简单易用,如果网络当中已经部署了防火墙设备,终端安全保护软件(如防病毒,补丁管理),身份认证系统(AAA),只需要再添加一台Juniper IC设备,作为整体的用户认证和访问策略的管理,我们就可以充分的利用已有的网络安全建设,结合IC的策略管理,完成统一的访问控制。
UAC的解决方案对最终的用户是透明的,终端电脑无需预先安装客户端软件,利用IE对访问重定向的技术,终端用户也无需主动到IC上进行认证,方便了最终用户的体验,
下面的图例是一个典型的UAC方案的部署,在内部网络当中部署了Netscreen ISG2000防火墙最为网络执行器(IE),对核心的服务器资源进行保护;部署了微软的Active Directory,做为AAA认证服务器。
1.终端用户发出请求,要访问Netscreen ISG2000防火墙保护的核心服务器,由于防火墙的规则配置要求只有通过IC认证的用户才可以访问这些服务器,该用户的请求不阻挡。
2.终端用户的请求被Netscreen ISG2000防火墙重定向到IC的认证界面。
3.IC通过SSL的方式向终端主机传送IA,利用ActiveX或者Java的方式从IC的登陆界面中对客户端自动安装IA软件。用户只需要在第一次登陆IC的时候安装IA软件,以后无需再次下载安装。
4.IA软件对客户端的状况进行检查,如果与IC中定制的安全策略不相匹配,则将用户重新定向到相应的修复服务器,进行客户端安全软件的修复。
5.客户端利用IA向IC进行身份认证,输入相应的用户名和密码。
6.IC将用户名和密码信息传送给AAA服务器,进行认证,从AAA认证服务器上得到用户的相关属性信息,如组等。
7.IC根据这些信息,判断该用户的权限和指定的安全策略。
8.IC将该用户的访问权限,以SSH/SSL的方式下发到网络中的执行器,该例中策略将会下发到Netscreen ISG2000防火墙,
9.IC上设置的个人防火墙策略也会下发到IA上。
由于在防火墙上已经有了相应的权限,该用户可以穿过Netscreen ISG2000访问其后保护的核心服务器。
UAC方案优势分析Juniper的UAC解决方案的优势在于:
Juniper UAC解决方案实现了集中统一的认证、授权管理,管理员不在需要费尽脑汁去配置网络中的各个设备,去完成相应的访问控制机制,所有的安全策略都由IC统一的进行配置和下发,无论对于安全策略的定义、执行还是故障排查,都提供了很大的方便性。
Juniper UAC解决方案充分利用已有的网络安全建设,将各个孤立的解决方案实现最佳的融合。UAC将内部网络的防病毒解决方案,补丁管理解决方案,身份认证解决方案,网络访问控制解决方案结合在一起,实现了对终端安全方案的强制执行,不符合终端安全策略的用户,将会在网络访问中受到限制,对网络访问的方案增强到基于网络标识、用户标识和终端状况等因素的集中授权。
Juniper UAC解决方案可以分阶段的方案部署,第一阶段,利用网络中部署的防火墙设备,完成3层的内网统一访问控制,这种方式部署简单,易用,不需要客户端的手工安装,部署时间只需要半天左右。第二个阶段,利用网络中的支持802.1x的交换机和无线接入设备,实现二层的网络准入控制,同时融合3-7层的网络访问控制,实现完全的内网统一访问控制
Juniper UAC解决方案实现了真正的安全性,可以含盖所有的用户情况,无论是可管理的,没有管理的还是不可管理的主机,同时对终端操作系统实现跨平台的支持。Juniper方案中的客户端的安全检查,包含了最多的终端安全厂商,并且在用户访问的整个过程当中都可以进行检查,一旦发现于预定义的策略不符,系统可以改变该用户的权限,或者禁用用户。
终端管理简单方便,不需要客户端软件的预安装。解决方案对用户透明,大大减少了网络管理员的工作量,也减少了用户使用上的难度。
转自杜松之家http://www.juniperbbs.net/
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

手机版|小黑屋|Discuz! 官方站 ( 皖ICP备16010102号 )star

GMT+8, 2024-11-19 23:32 , Processed in 0.020435 second(s), 3 queries , Gzip On, Redis On.

Powered by Discuz! X3.4

Copyright © 2001-2023, Tencent Cloud.

快速回复 返回顶部 返回列表