Juniper 统一访问控制解决方案

Juniper 统一访问控制解决方案
企业Infranet UAC解决方案

企业Infranet是一个架构，UAC（统一的访问控制）就是针对这个架构的解决方案，这个企业Infranet实施将Infranet的概念从运营商扩展到企业级别，结合了现有的网络以及网络安全技术（许多技术已被部署）与能够同Juniper和第三方技术有效互操作，从而生成了基于标准的、可扩展的、经济高效的网络。
Juniper Infranet架构的基础是使用、交付和威胁控制。用于实现统一接入控制的企业Infranet解决方案是以使用控制为出发点的，它是确保即时获得成功的最关键的元素。使用控制已是Juniper网络公司市场领先的SSL VPN产品的主要组件，该产品设计用于在会话前和会话中提供端点评估，确保严格的验证/授权，利用现有基础设施，动态创建会话特定的角色和应用极细粒度的资源策略等。这项功能原本用在企业扩展用户的远处访问，现已扩展到整个企业网络，使用Infranet控制器将策略的可视性与现有执行点连接在一起。Infranet控制器(IC)通过Infranet代理与Infranet执行点通信。这些组件结合在一起，在现有企业基础设施上创建了业务控制层，将端点/用户智能与网络和应用智能集成在一起，以确保自适应的、细粒度的使用控制级别。提供威胁控制和交付控制的其他组件也可以集成到这个解决方案中，无需对现有基础设施进行升级。当用户第一次登录IC时，IC将动态下载Infranet代理(IA)。IA是轻量级软件代理，确定端点是否遵从企业安全策略，类似于Juniper的SSL VPN主机安全检查。与主机安全检查相同，IA可配置用于检查预定义的和自定制的标准，包括主机上的运行程序、开发的端口、申请人的真实性、第三方安全软件应用的存在/版本等。如果发现用户因缺乏端点安全应用（如防病毒或恶意软件防护以及缺乏相关的数据文件或设置等）引发的违规行为，它将把用户发送到修复站点- 无次数限制，也无需中断运行。动态设置的IA还提供可选的认证和加密传输，以便在必要时强制执行网关策略。
Infranet代理收集的信息随后被传送回Infranet控制器。控制器拥有自己的策略和控制引擎，并通过验证服务器以及身份和授权目录库提供无缝通信。控制器随后基于用户验证结果和对设备安全特征的实时检查结果，授予用户会话特定的网络接入权限。将Infranet代理和控制器结合在一起，能够有效防止违规主机连接企业网络，并对企业网络流量提供使用控制。

交换机和无线接入点作为控制点Juniper UAC解决方案支持标准的802.1x协议，支持这个协议的内网的交换机设备和无线接入设备都可以作为Juniper解决方案当中的网络执行器。
802.1x协议起源于802.11协议，后者是标准的无线局域网协议，802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。现在已经开始被应用于一般的有线LAN的接入。为了对端口加以控制，以实现用户级的接入控制。802.1x就是IEEE为了解决基于端口的接入控制（Port-Based Access Control）而定义的一个标准。802.1X的认证的最终目的就是确定一个端口是否可用。对于一个端口，如果认证成功那么就“打开”这个端口，允许文所有的报文通过；如果认证不成功就使这个端口保持“关闭”，此时只允许802.1X的认证报文EAPOL（Extensible Authentication Protocol over LAN）通过。
从Juniper的解决方案来看，IC结合支持802.1x协议和动态VLAN的交换机作为网络控制器，可以很好的完成网络准入和权限控制的问题。如下图所示，用户接入交换后，进行802.1x认证和授权的流程是：

1．
用户终端接入交换机设备，物理网线连接。这个时候用户没有得到IP地址，没有任何的IP访问权限，只允许802.1X的认证报文通过。
2．
交换机检查用户终端是否含有802.1X的客户端，如果没有，则将其分配到IC所在的VLAN,用户可以与IC的连接，自动的下载和安装相应的IA软件。
3．
安装了IA客户端软件的主机，可以利用802.1x系统进行身份认证。
4．
IA客户端对用户的主机进行安全检查，通过认证的主机如果不符合企业的安全策略，交换机会将其分配跟修复服务器同一个VLAN中，自动的重定向到修复服务器进行修复。
5．
如果认证的主机符合企业的安全策略，交换机会将其分配到内部网络的VLAN,与内部的服务器之间实现路由可达，只要用户具备相应的访问权限，即可以进行数据的交换。
防火墙作为控制点Juniper UAC的统一访问控制解决方案部署简单易用，如果网络当中已经部署了防火墙设备，终端安全保护软件（如防病毒，补丁管理），身份认证系统（AAA），只需要再添加一台Juniper IC设备，作为整体的用户认证和访问策略的管理，我们就可以充分的利用已有的网络安全建设，结合IC的策略管理，完成统一的访问控制。
UAC的解决方案对最终的用户是透明的，终端电脑无需预先安装客户端软件，利用IE对访问重定向的技术，终端用户也无需主动到IC上进行认证，方便了最终用户的体验，
下面的图例是一个典型的UAC方案的部署，在内部网络当中部署了Netscreen ISG2000防火墙最为网络执行器（IE），对核心的服务器资源进行保护；部署了微软的Active Directory，做为AAA认证服务器。

1．终端用户发出请求，要访问Netscreen ISG2000防火墙保护的核心服务器，由于防火墙的规则配置要求只有通过IC认证的用户才可以访问这些服务器，该用户的请求不阻挡。
2．终端用户的请求被Netscreen ISG2000防火墙重定向到IC的认证界面。
3．IC通过SSL的方式向终端主机传送IA，利用ActiveX或者Java的方式从IC的登陆界面中对客户端自动安装IA软件。用户只需要在第一次登陆IC的时候安装IA软件，以后无需再次下载安装。
4．IA软件对客户端的状况进行检查，如果与IC中定制的安全策略不相匹配，则将用户重新定向到相应的修复服务器，进行客户端安全软件的修复。
5．客户端利用IA向IC进行身份认证，输入相应的用户名和密码。
6．IC将用户名和密码信息传送给AAA服务器，进行认证，从AAA认证服务器上得到用户的相关属性信息，如组等。
7．IC根据这些信息，判断该用户的权限和指定的安全策略。
8．IC将该用户的访问权限，以SSH/SSL的方式下发到网络中的执行器，该例中策略将会下发到Netscreen ISG2000防火墙，
9．IC上设置的个人防火墙策略也会下发到IA上。
由于在防火墙上已经有了相应的权限，该用户可以穿过Netscreen ISG2000访问其后保护的核心服务器。

UAC方案优势分析Juniper的UAC解决方案的优势在于：

Juniper UAC解决方案实现了集中统一的认证、授权管理，管理员不在需要费尽脑汁去配置网络中的各个设备，去完成相应的访问控制机制，所有的安全策略都由IC统一的进行配置和下发，无论对于安全策略的定义、执行还是故障排查，都提供了很大的方便性。

Juniper UAC解决方案充分利用已有的网络安全建设，将各个孤立的解决方案实现最佳的融合。UAC将内部网络的防病毒解决方案，补丁管理解决方案，身份认证解决方案，网络访问控制解决方案结合在一起，实现了对终端安全方案的强制执行，不符合终端安全策略的用户，将会在网络访问中受到限制，对网络访问的方案增强到基于网络标识、用户标识和终端状况等因素的集中授权。

Juniper UAC解决方案可以分阶段的方案部署，第一阶段，利用网络中部署的防火墙设备，完成3层的内网统一访问控制，这种方式部署简单，易用，不需要客户端的手工安装，部署时间只需要半天左右。第二个阶段，利用网络中的支持802.1x的交换机和无线接入设备，实现二层的网络准入控制，同时融合3－7层的网络访问控制，实现完全的内网统一访问控制

Juniper UAC解决方案实现了真正的安全性，可以含盖所有的用户情况，无论是可管理的，没有管理的还是不可管理的主机，同时对终端操作系统实现跨平台的支持。Juniper方案中的客户端的安全检查，包含了最多的终端安全厂商，并且在用户访问的整个过程当中都可以进行检查，一旦发现于预定义的策略不符，系统可以改变该用户的权限，或者禁用用户。

终端管理简单方便，不需要客户端软件的预安装。解决方案对用户透明，大大减少了网络管理员的工作量，也减少了用户使用上的难度。
转自杜松之家http://www.juniperbbs.net/