《Juniper 网络准入控制解决方案.docx》由会员分享,可在线阅读,更多相关《Juniper 网络准入控制解决方案.docx(14页珍藏版)》请在三一办公上搜索。
1、需求分析随着企业信息化程度的提高,数量众多的桌面PC管理成为系统管理员越来 越重要的工作,目前企业拥有上百台PC机及终端。系统管理员在日常维护过程 中主要面临以下问题,而这些问题,既给系统管理员带来沉重的工作负担,也会 严重影响企业的业务运作。数量众多在信息系统中桌面系统(PC)的数量往往是最多的,这些桌面系统往往很 分散,分布于不同的楼层,甚至分布于不同的大楼,加上使用这些桌面系统的用 户技能水准差异很大,使得管理维护工作很困难;病毒和安全攻击病毒、蠕虫和间谍软件等新兴网络安全威胁继续损害客户利益并使机构损失 大量的金钱、生产率和机会。与此同时,移动计算的普及进一步加剧了威胁。移 动用户能够
2、从家里或公共热点连接互联网或办公室网络 一常在无意中轻易地 感染病毒并将其带进企业环境,进而感染网络。频繁的病毒和安全攻击使得桌面系统的维护工作量剧增。据IDG对病毒统 计报告显示,每年新出现的的病毒种类大多数是针对Windows操作系统的病毒。 由于未及时打操作系统补丁、未及时升级防病毒软件、绕过网络安全设施随意上 Internet网、外来机器的接入、外来程序的拷贝等原因,组织内部的PC机很容 易被攻击和被病毒感染;软件升级与补丁安装:为解决安全问题,管理员经常需要在多台机器上安装同一个软件或补丁,如 操作系统补丁包,传统的手工安装要花费系统管理员大量时间;远程监控与维护为提高效率,系统管理
3、员经常需要做远程支持,帮助用户快速及时解决PC 机问题。系统管理员与PC机用户仅依靠电话很难远程解决问题。网络接入控制随着企业日益严重依赖网络业务,日益迫切需要为所有用户提供轻松的网络 接入,并且企业对网络的依赖性越来越严重,因此网络变得空前关键且更易遭受 攻击。因此,支持用户接入任何资源,无论是分类文档中的数据、病人健康信息、 还是知识资产,始终需要在接入价值与安全风险之间找到最佳平衡点。事实上,仅靠网络边缘的外围设备已无法保证安全性。边缘安全措施无法保 护内部网络段,也无法替代主机安全措施。即便企业运行着防火墙等网络周边安 全机制,病毒和电子邮件蠕虫、特洛伊木马、拒绝服务攻击和其他恶意行为
4、仍频 繁利用最终用户设备渗入企业环境。即时消息传递(IM)或对等间应用(P2P)等 新技术也带来了新型威胁,新型威胁可以完全绕过网络周边的安全设备。企业力 求通过策略控制这些技术的使用,但此类策略在传统网络中几乎无法执行。如果 您使用电子邮件并拥有Web内容、面向公众的服务器或者移动用户,那么您的 网络必定会频繁遭受各种类型的攻击。而且,这些威胁和安全漏洞比想象的更难 以觉察、更加危险一一移动代码可以通过安全的(但可移动的)PC进入网络。目前大部分终端在接入网络的时候,都没有经过严格的身份认证,对终端也 没有有效的验证手段。无法对终端接入网络之前,进行有效的合法性,安全性的 检查。受病毒感染的
5、终端,未打补丁的终端如果随意接入网络,势必给整个网络 的安全带来重大的隐患。选择适合的网络准入控制产品为了解决以上安全以及管理问题,使得整合系统内的终端高效的运行,同时 也为了帮助管理的工作,减轻管理员的负担,考虑建设桌面安全和终端准入控制 系统。系统应该至少具备如下特性:1. 终端安全性检查。包括Windows补丁检查,防病毒软件版本、病毒特征 库版本检查,违规软件安装检查;共享目录检查;分区表检查;不同用户组的不 同安全策略;2. 网络强制身份认证。支持用户名、密码;Windows域认证等认证方式, 支持RADIUS认证;AAA权限认证。3. 防火墙/IDP (4-7层)4. 支持802.
6、1X的交换机,AP (2层 准入)5. 根据安全策略,对不满足安全策略的终端不予以网络接入。6. 防病毒,终端防护软件(端点)7. 统一终端管理:基于网络地址,用户身份,终端状态的控制统一配置的个人防火墙策略对终端提供修复功能8. 支持最多的终端防护软件预定义的检查:防病毒,个人防火墙,防恶意软件,操作系统等自定义检查:JEDI,自定义文件,进程,注册表等无需客户端的手工安装通过浏览器自动的下载安装,减少管理员的工作量9. 对用户的主机实现跨操作系统平台的支持。10. 对用户网络改动最小、最少。Juniper网络公司统一接入控制(UAC)是全面的网络接入控制解决方案, 结合了基于标准的强大的用
7、户验证和授权功能、基于身份的策略控制和管理以及 端点安全性和智能,以便将接入控制扩展到整个企业网络中。通过将业界标准与经过业界测试的、得到普遍认可的网络和安全产品集成在 一起,Juniper网络公司UAC解决方案可帮助企业对试图接入网络的用户和设 备提前进行安全策略遵从检查,并在用户接入企业网络和资源的整个过程中对会 话进行全程跟踪检查。这种方法可帮助企业确保全面遵从安全策略,有效抵御频 繁变化的网络威胁。UACv2.0解决方案通过第3层一第7层覆盖功能。Juniper网络公司统 一接入控制v2.0是非常灵活的解决方案,能够将用户身份、设备安全状态信息 和网络位置信息结合在一起,为每名用户创建
8、特定会话的接入控制策略。Juniper统一接入控制解决方案企业网络必须为更为多样化的用户一一访客、承包商和移动员工一一提供接 入服务,他们中的某些人会使用自己的设备接入网络。用户可能在无意中下载一 些受感染的文件,并使用这些受感染的设备直接连接到您的网络。或者他们只是 从您的局域网中接入互联网而得不到适当的安全保护,从而将您的网络暴露于大 量威胁之中。此外,当您提供网络接入服务时,必须对网络接入进行极细粒度的 控制,以保护公司资产的安全性并满足法规遵从要求。应对问题:JuniperUAC统一访问控制解决方案主要解决用户网络面临的如下问题:1. 不同用户的网络准入控制问题。2. 不同用户终端的应
9、用访问控制问题以及权限定制和分发问题。3. 终端的安全性评估与管理问题。4. 相关法案,Sarbanes-Oxley (塞班斯法案)。)符合性和审计的要求。解决方案的特性:JuniperUAC统一访问控制解决方案,采用了业界公认的标准(包括802.1x 和TNC等),将用户终端的身份标识、网络标识和终端安全状况进行集中的认证 和授权,并且将用户权限和策略自动的下发到网络当中的执行点(包括防火墙、 交换机和无线接入点等)上,实现了统一的接入控制和访问控制。该方案可以实 现以下功能:1. 基于终端的身份标识、网络标识和终端状况的统一的认证和授权。2. 终端安全状况的检查,如检查防病毒软件是否更新,
10、补丁是否健壮 等,对于不符合安全策略的主机,可以进行修复。3. 利用网络当中已有的防火墙、交换机和无线接入点等网络和网络安 全设备,对内部网络终端的接入和访问进行控制。4. 对于关键的业务和通讯,自动启用IPSec连接,保证敏感数据传输 的安全性。5. 用户终端访问整个过程中的安全检查,保证安全的连续性。解决方案好处:1. 针对终端的安全防护:UAC方案可以对终端进行安全检查,对于不 符合安全策略的主机进行修复,同时提供个人防火墙功能,提供对终端的访 问保护。2. 针对终端的访问控制:将用户终端的身份标识、网络标识和终端安 全状况进行集中的认证和授权,统一的在网络控制点进行策略的下发。3. 充
11、分利用已有的网络和网络安全投资,由于Juniper方案当中采用标 准的接口,可以很好的与业界的其他方案,如防病毒,补丁管理、AAA认证 方案进行整合。Juniper解决方案优势:1. 真正支持标准的解决方案,不局限于单独厂商的方案,用户可以在 相关领域当中选择最佳或者最为适合的产品。2. 良好的用户体验,不需要管理员为每个终端单独安装客户端软件, 软件采用自动定向和下载安装的方式安装,大大减少管理员工作量和工程建 设周期。3. 支持所有类别的用户,如员工、承包商和访客等,对用户的主机实 现跨操作系统平台的支持。非常适合于分阶段的实施。用户可以根据网络的实际情况,选择性的对防火 墙或者交换机这些
12、2 7层的控制器进行 部署,实现不同的控制级别。JuniperUAC 构成:Juniper统一接入控制(UAC)解决方案v2.0包括用作集中策略管理器的 Infranet控制器;以及作为可动态下载的端点软件的UAC代理(对于不支持下 载的客户端,如客户端的设备;控制器和代理还包含Juniper通过在2005年收购Funk Software获得 的整合特性,如 OdysseyAccessClient (OAC) 802.1X 请求特性和 Steel-Belted Radius身份认证服务。Infranet控制器是经过加固的策略管理服务器,可收集用户验证、端点安 全状态和设备位置信息,并将此类信息
13、与策略相结合来控制网络、资源和应用接 入。随后,控制器在分配IP地址前在网络边缘通过802. 1X并且/或在网络 核心通过防火墙将这个策略传递给执行器。同时使用这两类执行点可进一步提高 接入控制粒度。UAC代理是允许动态下载的软件代理,可由控制器实时设置,通过Juniper InstallerService安装或通过其他方法进行部署。代理同时提供JuniperOAC的 集成802. 1X功能以及L3 7覆盖功能,如用于在客户端动态执行策略的集 成个人防火墙。代理还包括面向Windows设备的特定功能,如IPSecVPN (允 许实现从端点到防火墙的加密)和ActiveDirectory单一登录
14、等。代理提供的主 机检查器功能也被部署在已售出的几千个JuniperSecureAccessSSLVPN 产品 中,允许管理员扫描端点以了解各种安全应用/状态,包括但不限于防病毒、防 恶意软件和个人防火墙等。UAC代理可通过预定义的主机检查策略以及防病毒签名文件的自动监控功能来评估最新定义文件的安全状态,从而简化 部署工作。UAC还允许执行定制检查任务,如对注册表和端口状态进行检查,并可执行MD5校验和检查,以验证应用是否有效。UAC工作原理在用户向控制器提交认证信息前,用户请求(802.1X或非802.1X模式, 通过设置用于端点的基于浏览器的代理提供)便揭示了大量不同的最终用户特 征,包括
15、源IP和MAC地址、网络接口(内部或外部)、数字证书(如果存在 的话)、浏览器类型、SSL版本以及端点安全检查结果等。用户提交了认证信息后,控制器将通过全面的验证、授权和记账引擎,支持 几乎所有常用的 AAA设置中,包括现有的 RADIUS、LDAP、AD、Netegrity SiteMinder、证书/ PKI服务器及匿名验证服务器等。控制器将用户认证信息 以及组群或属性信息(如组群的成员关系)与认证信息输入之前收集到的信息相 关联,包括由主机检查器收集的信息,从而能够将用户动态映射到接入控制的第 二步一面向会话的角色。角色属性可包括会话属性/参数,也可为用户规定映 射到角色之前必须满足的限
16、制性条件,这在注重安全性并要求必须遵守规章制度 的环境中非常有用。接入控制的第三步即最后一步是制订资源策略,以管理网络和资源的接入。 例如VLAN分配及/或供应商特定的属性等基于L2RADIUS属性的策略以及管理对IP地址/子网掩码及/或端口接入的L3策略。IDP策略或URL过 滤等L7策略提供更动态的威胁管理。典型部署方式-辟期I务者IP 172.16.0.16Iirfraiet CcntrtlkrIP: JUUU.ll 7L/N 1VLAN 31UnaaThoriied Pirr末殁投的IP: None未授权的VLAN:N3neAuthorized Pflrt :铮合於策略畏板的 IP:
17、10.0.0.X授段的VLANUAuthriied Port :不符&安全筮略修复的 IP: 172.16.0.x修复的VLAN: 31财膈IP: 10.0.1.16山N;1F; 10.0.0.16如卜l:1Juniper UAC的统一访问控制解决方案部署简单易用,不会对用户网络有任 何修改。如果网络当中已经部署了防火墙设备(FW),终端安全保护软件(如防 病毒,补丁管理),身份认证系统(AAA),只需要再添加一台JuniperIC设备, 作为整体的用户认证和访问策略的管理,我们就可以充分的利用已有的网络安全 建设,结合IC的策略管理,完成统一的访问控制。UAC的解决方案对最终的用户是透明的,
18、终端电脑无需预先安装客户端软 件,利用IE对访问重定向的技术,终端用户也无需主动到IC上进行认证,方便 了最终用户的体验。产品介绍Juniper网络公司统一接入控制v2.0 (UACv2.0 )解决方案将用户身份、设 备安全状态信息和网络位置信息结合在一起,为每名用户创建特定会话的接入控 制策略。您可使用802.1X将其部署在第2层,或使用防火墙的部署方法将其 部署在第3层。您也可使用混合模式来设置UACv2.0,将802.1X用于网络 准入控制并将第3层设置用于资源接入控制。UACv2.0解决方案中的产品包括:Infranet控制器,作为安全策略的集中引擎和面向现有企业 AAA基础设 施的连
19、接点。控制器还提供来自SBR的集成802.1X功能。UAC代理,可由Infranet控制器动态部署;在单一部署中,UAC代理提 供通过OAC功能在第2层接入网络的方法、在第3层接入网络的方法、主 机检查器、主机执行器和状态检测个人防火墙。您也可在无代理模式中设置接入, 如访客部署模式,但此时您将无法下载任何软件。Infranet控制器Juniper统一接入控制解决方案的核心是Infranet控制器,这个控制器是 经过强化的策略管理服务器,可将UAC代理部署到端点(或者以无代理模式来 收集信息),以便获得用户验证、端点安全状态和设备位置信息。Infranet控制 器将这些信息结合起来,以创建动态
20、策略。然后,这些动态策略通过整个网络传 播到策略执行点,这些执行点既可在通过802.1X授予IP地址之前部署在网络边缘,也可部署在网络内部的防火墙上,或者同时部署在这两处,以提供 更高的细粒度。Infranet控制器将Juniper业界领先的SecureAccessSSLVPN 策略控制引擎与企业现有的AAA /身份识别及接入管理基础设施无缝集成,并允许使用授权目录中的群组关系。控制器能够在会话期间按照管理员定义的频率 重复开展这些评估,以确保实现动态的策略管理与执行,并对违规用户应用细粒 度的、策略特定的纠正功能。Infranet控制器可设置为审计模式,从而无需执行 策略也能够获悉法规遵从情
21、况。Infranet控制器包含两种型号:Infranet控制器4000CIC4000)和Infranet 控制器6000(IC6000)。IC4000设计用于满足中型企业或远程/分支办事处 的需求,它能够通过扩展,同时处理几千个端点,并可通过群集对的部署,以提 供高可用性IC6000设计用于大型企业,能够同时处理几万个并发端点IC6000 提供大量的高可用性特性,包括可升级的热插拔电源以及硬盘等。IC6000可部 署在多单元群集中,用于提高性能并提供更高的可扩展性。UAC代理UAC代理是允许动态下载的软件代理,可由Infranet控制器实时设置,通 过JuniperInstallerServi
22、ce安装或通过其他方法进行部署。UAC代理同时提供 来自JuniperOdysseyAccessClient 的集成802.1X 功能以及第3层一第7 层功能,如在客户端侧动态执行策略的集成个人防火墙。UAC代理还包括面向 Windows设备的特定功能,如IPSecVPN (允许实现从端点到防火墙的加密) 和ActiveDirectory单一登录等。主机检查器功能允许管理员扫描端点以了解各 种安全应用/状态,包括但不限于防病毒、防恶意软件和个人防火墙等。UAC还 可执行对组件的定制检查,如对注册表和端口状态进行检查,并可执行MD5校 验以验证应用是否有效。通过预定义的主机检查器策略,以及通过防
23、病毒特征文 件的自动监控功能来监测最新定义文件以进行安全状态评估,还可以简化部署工 作。特性和优势统一接入控制解决方案的主要特性和优势可概括为以下三个主要方面:将用户身份识别、设备安全评估以及网络信息和策略执行结合在一起,以 实现动态的接入控制基于标准的解决方案利用现有的AAA、交换和安全基础设施投资特性说明优势Infranet控制器将端点评估、 用户身份识别与实时网络 策略执行功能捆绑在一起将端点和用户身份识别 动态捆绑在起,以便实时设 置防火墙配置/规则允许动态激活所选的Juniper防火墙执行器功能, 包括入侵防护功能、防病毒、 日志记录和Web过滤等,从 而节省时间并执行安全策略设置U
24、AC代理根据需要动态设置UAC 代理,并提供无代理的方法进 行接入控制允许对所有用户实施接入控制,包括访客、承包商和员 工利用Juniper的SecureAccessSSLVPN 策略引擎利用Juniper的SecureAccessSSLVPN 策略引擎安全接入产品在SSL VPN市场处于领先地位,并在 全球几千个部署中得到了实践验 证利用 JuniperSteel-BeltedRadius使用Infranet控制器的组件完成802.1X验证任务无需购买更多设备,从而节约了时间和金钱单个集中策略引擎在会话登录前以及整个 会话期间执行接入控制验证前评估、验证、角色 映射和资源控制,均在一个位 置
25、完成轻松设置并管理网络资 源策略规则部署解决方案无需 对现有基础设施进行叉式升级 执行点动态传播策略执行,无 论是基于802.1X的还是基 于第3层覆盖功能的策略可 随着端点或网络环境的变化而 变化动态验证策略利用现有的AAA投资支持 802.1X、RADIUS、LDAP、AD、RSAACE、NIS、 证书服务器(数字证书/ PKI)、本地登录/密码、 NetegritySiteMinder、RSA Cleartrust 和 Oblix (Oracle)利用企业现有的目录、PKI以及严格的验证机制方面的投资,允许管理员为每个用户会话制订动态的验证策略动态角色映射利用广泛的属性来满足安全要求,这
26、些要求是用户登可在验证前及验证后的整个会话期间执行安全要求录页面显示前必须满足的基于角色/基于资源的混合策略模式管理员可定制接入策略确保安全策略体现出业务要求的变化细粒度的审计和日志以简洁明了的方式提供细粒度的审计和日志功能确保按照最终用户的角色、他们所试图接入的资源以及端点和用户对网络安全策略的遵从状态,进行详细的日志记录细粒度地隔离并修正违规用户的定制说明支持通过自管理平台智能地隔离违规用户允许用户自行纠错而无需 为其提供任何帮助,然后在完 成纠错后将用户动态地映射 到接入角色中Infranet 代理轻量级代理,可根据需要由Infranet控制器动态设置包括:满足TNC标准, 以便与任何其
27、他符合要求的 安全解决方案实现无缝互操 作、主机个人防火墙、Windows单一登录、用于将 IPSec应用到桌面的本机客 户端,和面向Mac和Linux 的无代理执行保护经过验证的端点不受 恶意/违规端点的影响,并允 许企业对即使他们无权管理的 端点保持接入控制端点评估可在登录时运行,或根据 管理员定义的时间间隔在用 户会话期间定期运行允许通过预定义的主机检 查工具进行实时网络策略管 理,以支持广泛的最佳端点安京煤集团网络安全解决方案全解决方案;自动监控病毒特征主机执行器状态个人防火墙,也可用作客户端侧策略执行器以及使用IPSec的可选安全传输(经过验证和加密)当端点接入的网络段不受802.1X基础设施或执行器保 护时,实施防火墙策略可选的 MicrosoftIPSec执行功能提供经过验证和加密 的传输,用于确保会话的完整性和私密性经过验证的传输可确保安全地执行网络规则经过加密的传输可确保局域网通信的私密性无代理部署无代理的部署可实现跨平台支持企业可通过将端点评估和 用户身份验证相结合来保护 Mac、Linux 和 Solaris 平台 执行基于源IP地址的网络 安全策略
