满月下 2007-12-9 03:10
Juniper 统一访问控制解决方案
[size=5][color=#000000][font=黑体]企业[/font]Infranet UAC[font=黑体]解决方案[/font][/color][/size][size=5][color=#000000][/color][/size]
[font=Times New Roman][size=3][color=#000000] [/color][/size][/font]
[size=3][color=#000000][font=宋体]企业[/font][font=Times New Roman]Infranet[/font][font=宋体]是一个架构,[/font][font=Times New Roman]UAC[/font][font=宋体](统一的访问控制)就是针对这个架构的解决方案,这个企业[/font][font=Times New Roman]Infranet[/font][font=宋体]实施将[/font][font=Times New Roman]Infranet[/font][font=宋体]的概念从运营商扩展到企业级别,结合了现有的网络以及网络安全技术(许多技术已被部署)与能够同[/font][font=Times New Roman]Juniper[/font][font=宋体]和第三方技术有效互操作,从而生成了基于标准的、可扩展的、经济高效的网络。[/font][/color][/size]
[size=3][color=#000000][font=Times New Roman]Juniper Infranet[/font][font=宋体]架构的基础是使用、交付和威胁控制。用于实现统一接入控制的企业[/font][font=Times New Roman]Infranet[/font][font=宋体]解决方案是以使用控制为出发点的,它是确保即时获得成功的最关键的元素。使用控制已是[/font][font=Times New Roman]Juniper[/font][font=宋体]网络公司市场领先的[/font][font=Times New Roman]SSL VPN[/font][font=宋体]产品的主要组件,该产品设计用于在会话前和会话中提供端点评估,确保严格的验证[/font][font=Times New Roman]/[/font][font=宋体]授权,利用现有基础设施,动态创建会话特定的角色和应用极细粒度的资源策略等。这项功能原本用在企业扩展用户的远处访问,现已扩展到整个企业网络,使用[/font][font=Times New Roman]Infranet[/font][font=宋体]控制器将策略的可视性与现有执行点连接在一起。[/font][font=Times New Roman]Infranet[/font][font=宋体]控制器[/font][font=Times New Roman](IC)[/font][font=宋体]通过[/font][font=Times New Roman]Infranet[/font][font=宋体]代理与[/font][font=Times New Roman]Infranet[/font][font=宋体]执行点通信。这些组件结合在一起,在现有企业基础设施上创建了业务控制层,将端点[/font][font=Times New Roman]/[/font][font=宋体]用户智能与网络和应用智能集成在一起,以确保自适应的、细粒度的使用控制级别。提供威胁控制和交付控制的其他组件也可以集成到这个解决方案中,无需对现有基础设施进行升级。当用户第一次登录[/font][font=Times New Roman]IC[/font][font=宋体]时,[/font][font=Times New Roman]IC[/font][font=宋体]将动态下载[/font][font=Times New Roman]Infranet[/font][font=宋体]代理[/font][font=Times New Roman](IA)[/font][font=宋体]。[/font][font=Times New Roman]IA[/font][font=宋体]是轻量级软件代理,确定端点是否遵从企业安全策略,类似于[/font][font=Times New Roman]Juniper[/font][font=宋体]的[/font][font=Times New Roman]SSL VPN[/font][font=宋体]主机安全检查。与主机安全检查相同,[/font][font=Times New Roman]IA[/font][font=宋体]可配置用于检查预定义的和自定制的标准,包括主机上的运行程序、开发的端口、申请人的真实性、第三方安全软件应用的存在[/font][font=Times New Roman]/[/font][font=宋体]版本等。如果发现用户因缺乏端点安全应用(如防病毒或恶意软件防护以及缺乏相关的数据文件或设置等)引发的违规行为,它将把用户发送到修复站点[/font][font=Times New Roman]- [/font][font=宋体]无次数限制,也无需中断运行。动态设置的[/font][font=Times New Roman]IA[/font][font=宋体]还提供可选的认证和加密传输,以便在必要时强制执行网关策略。[/font][/color][/size]
[size=3][color=#000000][font=Times New Roman]Infranet[/font][font=宋体]代理收集的信息随后被传送回[/font][font=Times New Roman]Infranet[/font][font=宋体]控制器。控制器拥有自己的策略和控制引擎,并通过验证服务器以及身份和授权目录库提供无缝通信。控制器随后基于用户验证结果和对设备安全特征的实时检查结果,授予用户会话特定的网络接入权限。将[/font][font=Times New Roman]Infranet[/font][font=宋体]代理和控制器结合在一起,能够有效防止违规主机连接企业网络,并对企业网络流量提供使用控制。[/font][/color][/size]
[font=Times New Roman][size=3][color=#000000] [/color][/size][/font]
[font=黑体][size=5][color=#000000]交换机和无线接入点作为控制点[/color][/size][/font][size=3][color=#000000][font=Times New Roman]Juniper UAC[/font][font=宋体]解决方案支持标准的[/font][font=Times New Roman]802.1x[/font][font=宋体]协议,支持这个协议的内网的交换机设备和无线接入设备都可以作为[/font][font=Times New Roman]Juniper[/font][font=宋体]解决方案当中的网络执行器。[/font][/color][/size]
[size=3][color=#000000][font=Times New Roman]802.1x[/font][font=宋体]协议起源于[/font][font=Times New Roman]802.11[/font][font=宋体]协议,后者是标准的无线局域网协议,[/font][font=Times New Roman]802.1x[/font][font=宋体]协议的主要目的是为了解决无线局域网用户的接入认证问题。现在已经开始被应用于一般的有线[/font][font=Times New Roman]LAN[/font][font=宋体]的接入。为了对端口加以控制,以实现用户级的接入控制。[/font][font=Times New Roman]802.1x[/font][font=宋体]就是[/font][font=Times New Roman]IEEE[/font][font=宋体]为了解决基于端口的接入控制([/font][font=Times New Roman]Port-Based Access Control[/font][font=宋体])而定义的一个标准。[/font][font=Times New Roman]802.1X[/font][font=宋体]的认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证成功那么就“打开”这个端口,允许文所有的报文通过;如果认证不成功就使这个端口保持“关闭”,此时只允许[/font][font=Times New Roman]802.1X[/font][font=宋体]的认证报文[/font][font=Times New Roman]EAPOL[/font][font=宋体]([/font][font=Times New Roman]Extensible Authentication Protocol over LAN[/font][font=宋体])通过。[/font][/color][/size]
[size=3][color=#000000][font=宋体]从[/font][font=Times New Roman]Juniper[/font][font=宋体]的解决方案来看,[/font][font=Times New Roman]IC[/font][font=宋体]结合支持[/font][font=Times New Roman]802.1x[/font][font=宋体]协议和动态[/font][font=Times New Roman]VLAN[/font][font=宋体]的交换机作为网络控制器,可以很好的完成网络准入和权限控制的问题。如下图所示,用户接入交换后,进行[/font][font=Times New Roman]802.1x[/font][font=宋体]认证和授权的流程是:[/font][/color][/size]
[size=3][color=#000000][/color][/size]
[font=Times New Roman][color=#000000][size=3]1.[/size]
[/color][/font][size=3][color=#000000][font=宋体]用户终端接入交换机设备,物理网线连接。这个时候用户没有得到[/font][font=Times New Roman]IP[/font][font=宋体]地址,没有任何的[/font][font=Times New Roman]IP[/font][font=宋体]访问权限,只允许[/font][font=Times New Roman]802.1X[/font][font=宋体]的认证报文通过。[/font][/color][/size]
[font=Times New Roman][color=#000000][size=3]2.[/size]
[/color][/font][size=3][color=#000000][font=宋体]交换机检查用户终端是否含有[/font][font=Times New Roman]802.1X[/font][font=宋体]的客户端,如果没有,则将其分配到[/font][font=Times New Roman]IC[/font][font=宋体]所在的[/font][font=Times New Roman]VLAN,[/font][font=宋体]用户可以与[/font][font=Times New Roman]IC[/font][font=宋体]的连接,自动的下载和安装相应的[/font][font=Times New Roman]IA[/font][font=宋体]软件。[/font][/color][/size]
[font=Times New Roman][color=#000000][size=3]3.[/size]
[/color][/font][size=3][color=#000000][font=宋体]安装了[/font][font=Times New Roman]IA[/font][font=宋体]客户端软件的主机,可以利用[/font][font=Times New Roman]802.1x[/font][font=宋体]系统进行身份认证。[/font][/color][/size]
[font=Times New Roman][color=#000000][size=3]4.[/size]
[/color][size=3][color=#000000]IA[/color][/size][/font][size=3][color=#000000][font=宋体]客户端对用户的主机进行安全检查,通过认证的主机如果不符合企业的安全策略,交换机会将其分配跟修复服务器同一个[/font][font=Times New Roman]VLAN[/font][font=宋体]中,自动的重定向到修复服务器进行修复。[/font][/color][/size]
[font=Times New Roman][color=#000000][size=3]5.[/size]
[/color][/font][size=3][color=#000000][font=宋体]如果认证的主机符合企业的安全策略,交换机会将其分配到内部网络的[/font][font=Times New Roman]VLAN,[/font][font=宋体]与内部的服务器之间实现路由可达,只要用户具备相应的访问权限,即可以进行数据的交换。[/font][/color][/size]
[font=黑体][size=5][color=#000000]防火墙作为控制点[/color][/size][/font][size=3][color=#000000][font=Times New Roman]Juniper UAC[/font][font=宋体]的统一访问控制解决方案部署简单易用,如果网络当中已经部署了防火墙设备,终端安全保护软件(如防病毒,补丁管理),身份认证系统([/font][font=Times New Roman]AAA[/font][font=宋体]),只需要再添加一台[/font][font=Times New Roman]Juniper IC[/font][font=宋体]设备,作为整体的用户认证和访问策略的管理,我们就可以充分的利用已有的网络安全建设,结合[/font][font=Times New Roman]IC[/font][font=宋体]的策略管理,完成统一的访问控制。[/font][/color][/size]
[size=3][color=#000000][font=Times New Roman]UAC[/font][font=宋体]的解决方案对最终的用户是透明的,终端电脑无需预先安装客户端软件,利用[/font][font=Times New Roman]IE[/font][font=宋体]对访问重定向的技术,终端用户也无需主动到[/font][font=Times New Roman]IC[/font][font=宋体]上进行认证,方便了最终用户的体验,[/font][/color][/size]
[size=3][color=#000000][font=宋体]下面的图例是一个典型的[/font][font=Times New Roman]UAC[/font][font=宋体]方案的部署,在内部网络当中部署了[/font][font=Times New Roman]Netscreen ISG2000[/font][font=宋体]防火墙最为网络执行器([/font][font=Times New Roman]IE[/font][font=宋体]),对核心的服务器资源进行保护;部署了微软的[/font][font=Times New Roman]Active Directory[/font][font=宋体],做为[/font][font=Times New Roman]AAA[/font][font=宋体]认证服务器。[/font][/color][/size]
[size=3][color=#000000][/color][/size]
[size=3][color=#000000][font=Times New Roman]1.[/font][font=宋体]终端用户发出请求,要访问[/font][font=Times New Roman]Netscreen ISG2000[/font][font=宋体]防火墙保护的核心服务器,由于防火墙的规则配置要求只有通过[/font][font=Times New Roman]IC[/font][font=宋体]认证的用户才可以访问这些服务器,该用户的请求不阻挡。[/font][/color][/size]
[size=3][color=#000000][font=Times New Roman]2.[/font][font=宋体]终端用户的请求被[/font][font=Times New Roman]Netscreen ISG2000[/font][font=宋体]防火墙重定向到[/font][font=Times New Roman]IC[/font][font=宋体]的认证界面。[/font][/color][/size]
[size=3][color=#000000][font=Times New Roman]3.IC[/font][font=宋体]通过[/font][font=Times New Roman]SSL[/font][font=宋体]的方式向终端主机传送[/font][font=Times New Roman]IA[/font][font=宋体],利用[/font][font=Times New Roman]ActiveX[/font][font=宋体]或者[/font][font=Times New Roman]Java[/font][font=宋体]的方式从[/font][font=Times New Roman]IC[/font][font=宋体]的登陆界面中对客户端自动安装[/font][font=Times New Roman]IA[/font][font=宋体]软件。用户只需要在第一次登陆[/font][font=Times New Roman]IC[/font][font=宋体]的时候安装[/font][font=Times New Roman]IA[/font][font=宋体]软件,以后无需再次下载安装。[/font][/color][/size]
[size=3][color=#000000][font=Times New Roman]4.IA[/font][font=宋体]软件对客户端的状况进行检查,如果与[/font][font=Times New Roman]IC[/font][font=宋体]中定制的安全策略不相匹配,则将用户重新定向到相应的修复服务器,进行客户端安全软件的修复。[/font][/color][/size]
[size=3][color=#000000][font=Times New Roman]5.[/font][font=宋体]客户端利用[/font][font=Times New Roman]IA[/font][font=宋体]向[/font][font=Times New Roman]IC[/font][font=宋体]进行身份认证,输入相应的用户名和密码。[/font][/color][/size]
[size=3][color=#000000][font=Times New Roman]6.IC[/font][font=宋体]将用户名和密码信息传送给[/font][font=Times New Roman]AAA[/font][font=宋体]服务器,进行认证,从[/font][font=Times New Roman]AAA[/font][font=宋体]认证服务器上得到用户的相关属性信息,如组等。[/font][/color][/size]
[size=3][color=#000000][font=Times New Roman]7.IC[/font][font=宋体]根据这些信息,判断该用户的权限和指定的安全策略。[/font][/color][/size]
[size=3][color=#000000][font=Times New Roman]8.IC[/font][font=宋体]将该用户的访问权限,以[/font][font=Times New Roman]SSH/SSL[/font][font=宋体]的方式下发到网络中的执行器,该例中策略将会下发到[/font][font=Times New Roman]Netscreen ISG2000[/font][font=宋体]防火墙,[/font][/color][/size]
[size=3][color=#000000][font=Times New Roman]9.IC[/font][font=宋体]上设置的个人防火墙策略也会下发到[/font][font=Times New Roman]IA[/font][font=宋体]上。[/font][/color][/size]
[size=3][color=#000000][font=宋体]由于在防火墙上已经有了相应的权限,该用户可以穿过[/font][font=Times New Roman]Netscreen ISG2000[/font][font=宋体]访问其后保护的核心服务器。[/font][/color][/size]
[font=Times New Roman][size=3][color=#000000] [/color][/size][/font]
[size=5][color=#000000]UAC[font=黑体]方案优势分析[/font][/color][/size][size=3][color=#000000][font=Times New Roman]Juniper[/font][font=宋体]的[/font][font=Times New Roman]UAC[/font][font=宋体]解决方案的优势在于:[/font][/color][/size]
[color=#000000][font=Wingdings][size=3]ü[/size]
[/font][font=Times New Roman][size=3]Juniper UAC[/size][/font][font=宋体][size=3]解决方案实现了集中统一的认证、授权管理,管理员不在需要费尽脑汁去配置网络中的各个设备,去完成相应的访问控制机制,所有的安全策略都由[/size][/font][font=Times New Roman][size=3]IC[/size][/font][font=宋体][size=3]统一的进行配置和下发,无论对于安全策略的定义、执行还是故障排查,都提供了很大的方便性。[/size][/font][/color]
[color=#000000][font=Wingdings][size=3]ü[/size]
[/font][font=Times New Roman][size=3]Juniper UAC[/size][/font][font=宋体][size=3]解决方案充分利用已有的网络安全建设,将各个孤立的解决方案实现最佳的融合。[/size][/font][font=Times New Roman][size=3]UAC[/size][/font][font=宋体][size=3]将内部网络的防病毒解决方案,补丁管理解决方案,身份认证解决方案,网络访问控制解决方案结合在一起,实现了对终端安全方案的强制执行,不符合终端安全策略的用户,将会在网络访问中受到限制,对网络访问的方案增强到基于网络标识、用户标识和终端状况等因素的集中授权。[/size][/font][/color]
[color=#000000][font=Wingdings][size=3]ü[/size]
[/font][font=Times New Roman][size=3]Juniper UAC[/size][/font][font=宋体][size=3]解决方案可以分阶段的方案部署,第一阶段,利用网络中部署的防火墙设备,完成[/size][/font][font=Times New Roman][size=3]3[/size][/font][font=宋体][size=3]层的内网统一访问控制,这种方式部署简单,易用,不需要客户端的手工安装,部署时间只需要半天左右。第二个阶段,利用网络中的支持[/size][/font][font=Times New Roman][size=3]802.1x[/size][/font][font=宋体][size=3]的交换机和无线接入设备,实现二层的网络准入控制,同时融合[/size][/font][font=Times New Roman][size=3]3[/size][/font][font=宋体][size=3]-[/size][/font][font=Times New Roman][size=3]7[/size][/font][font=宋体][size=3]层的网络访问控制,实现完全的内网统一访问控制[/size][/font][/color]
[color=#000000][font=Wingdings][size=3]ü[/size]
[/font][font=Times New Roman][size=3]Juniper UAC[/size][/font][font=宋体][size=3]解决方案实现了真正的安全性,可以含盖所有的用户情况,无论是可管理的,没有管理的还是不可管理的主机,同时对终端操作系统实现跨平台的支持。[/size][/font][font=Times New Roman][size=3]Juniper[/size][/font][font=宋体][size=3]方案中的客户端的安全检查,包含了最多的终端安全厂商,并且在用户访问的整个过程当中都可以进行检查,一旦发现于预定义的策略不符,系统可以改变该用户的权限,或者禁用用户。[/size][/font][/color]
[color=#000000][font=Wingdings][size=3]ü[/size]
[/font][font=宋体][size=3]终端管理简单方便,不需要客户端软件的预安装。解决方案对用户透明,大大减少了网络管理员的工作量,也减少了用户使用上的难度。[/size][/font][/color]
[font=Times New Roman][size=3][color=#000000] [/color][/size][/font]
紫剑凄影 2008-1-5 19:16
挺实用的啊!这些好教程真是谢谢了哦,我也很需要的呢??
鸟无音信 2008-1-14 13:35
这个方案的出现可以省去管理员很多麻烦!也节省出很多时间来!不错!
车水马费 2008-1-14 14:04
嗯,楼上说得没错,做为管理员对这些知识应该都掌握的.
