[网络转载] Juniper UAC 在ISP DCN 网络中实现MPLS/IPSec VPN 可控互访

鬼╄鬼

注册会员

精华: 0

积分: 172

帖子: 16

威望: 60 点

金钱: 44 币

贡献: 22 点

经验: 02级

阅读权限: 20

状态:

发短消息加为好友

1^# 大中小发表于 2007-12-2 00:17 只看该作者

Juniper UAC 在ISP DCN 网络中实现MPLS/IPSec VPN 可控互访

电信运营商（ISP）DCN 网络架构多是在一个物理网络中承载众多子业务系统，正是这些子业务系统组成了ISP至关重要的业务承载平台。运营商为防止DCN网络的子业务系统之间相互影响，往往采用MPLS 或者IPSec VPN 的方式建立多个VPN 通道，并让每个独立子业务分别运行于指定的VPN 通道内。

这种方案保证了系统的安全性，架构也较清晰；同时却忽略了DCN网络各子业务系统间还存有互访需求。采用上述方案，势必存在MPLS/IPSec VPN 互访时的安全风险。ISP 若要防范此安全风险的发生，需要在DCN 网络实施MPLS/VPN 后，通过对用户及密码施加控制，使相关用户接入到相应MPLS/IPSec VPN网络中。Juniper UAC（Unified Access Control）体系无疑可以有效帮助电信运营商解决MPLS/VPN 架构下互访的有效控制问题。

通过Juniper 防火墙配合IC 实施VPN 之间接入控制
通过防火墙实施VPN之间接入控制，优点是简单且便于维护，缺点也十分明显：采用明文传输数据；只针对IP实施限制，控制缺乏方便灵活性。

防火墙配合IC 实施全面的控制，则是最好的解决方法之一：用户通过“用户名/ 密码”的方式进行认证，或与电信运营商现有的Portal/LDAP 等现有认证体系结合，同时IC 对PC 进行检测，并将用户分配相应的权限。在PC 到防火墙之间的数据可以采用IPSec 加密的方式。所需设备为Juniper 防火墙（ScreenOS 5.3 以上）、一套IC 并配置相应并发用户许可。
电信运营商DCN MPLS/IPSec 改造过程如下：

5.jpg (7.12 KB)
2007-8-25 00:38

6.jpg (4.7 KB)
2007-8-25 00:38

固定服务器的IP相对固定，应用环境较为简单，因此彼此之间互访实施较简单，只需通过防火墙策略等控制措施即可将风险降至可接受水平。（见上图）

下图是针对PC 在VPN 之间互访需要采取的措施。在具体部署过程中，可以在省中心集中部署一套IC 控制设备，地市及省中心的Juniper防火墙设备与集中IC设备进行配合，防火墙将访问需求转发给IC，IC 完成认证和策略检查之后，发给防火墙设备动态控制策略，开放或者限制端点的访问；也可在每个地市层面独立配置IC 控制设备，地市内部独立完成整个请求、认证及控制过程。

对于已经建设了统一认证体系的系统部署，IC支持灵活的第三方认证体系的集成，如果LDAP、AD、Radius 等，可以和现有授权认证体系完美结合。

特权用户VPN 互访

7.jpg (4.15 KB)
2007-8-25 00:38

Juniper UAC 架构解决MPLS/IPSec VPN 互访控制，在运营商DCN 网络中部署与同类解决方案相比具备强大的优势和特色：部署容易，能够与安全域进行结合，可以节约投资；管理维护简单，节省投入大量培训时间与精力；对网络设备无要求，对网络设备都可进行管理，还可对HUB节点下的用户能进行有效控制；能进行颗粒度更细腻的有效接入权限控制；主机检测能力强大，对每个用户都能进行具体的应用控制；部署设备少，简单可靠，可靠性高；多个区域的只需要一套IC系统进行部署，节约投资；能与现有Portal、LADP、AD 结合，实现SSO 一次登陆减少用户操作步骤；并能个性化的定制用户登陆界面。

使用、交付和威胁控制是Juniper UAC 架构基础

9.jpg (5.75 KB)
2007-8-25 00:38

Juniper UAC 架构基础是使用、威胁和交付控制。使用控制是综合考虑用户、端点和资源后决定允许或拒绝访问者的哪些使用。使用控制超越了第2 层的范围，涵盖整个虚拟网络和基础设施，包括防火墙、Web 过滤、授权和目录库以及网络登录等。企业Infranet 解决方案结合使用控制的所有单元，包括端点防御。在此，解决方案将评估主机的制度遵从情况；对违规主机进行修复；并为用户、端点和会话角色以及网络资源/ 应用动态分配会话特定的接入权限。

10.jpg (6.75 KB)
2007-8-25 00:38

威胁控制的保护范围不能局限于基本端点，应扩展到整个网络，同时对网络流量的分析，这包括防火墙的深度检测以及检测和抵御入侵的能力。威胁控制还影响使用控制，因为它能够从允许的接入中检测出恶意内容并将其清除。Juniper 的企业基础设施将深度检测防火墙与入侵检测与防护（IDP）产品结合在一起，能够提供这种保护功能。上述结合加之集成防病毒功能，可以成功抵御来自内外网的一切安全威胁，以提供全面的防护。

在现实环境中，安全交付必须构建在基础设施中才能确保关键组件不受侵害，包括性能、服务质量（QoS）、MPLS、虚拟专网（VPNs）、高可用性及最佳路径选等。Juniper 网络公司提供业界领先的防火墙/VPN 平台以及企业路由产品，可确保安全的交付控制。

值得一提的是，使用控制已是Juniper SSL VPN产品的主要组件，该产品可用于在会话前和会话中提供端点评估，确保严格的验证/ 授权，利用现有基础设施，动态创建会话特定的角色和应用极细粒度的资源策略等。这项功能现已扩展到整个企业网络，使用Infranet Controller将策略的可视性与现有执行点连接在一起。

Infranet
Controller（IC）通过Infranet 代理与Infranet 执行点通信。这些组件结合在一起，在现有企业基础设施上创建了业务控制层，“端点/ 用户智能”与“网络和应用智能”集成后，确保了自适应、细粒度的使用控制级别。提供威胁控制和交付控制的其他组件也可集成到这个解决方案中，则无需对现有基础设施进行叉式升级。

当用户第一次登录IC 时，IC 将动态下载Infranet 代理（IA）。这同远程（或移动）用户使用SSL VPN登录企业系统非常相似。IA 是轻量级软件代理，确定端点是否遵从企业安全策略。与主机检查器相同，IA可对那些用于检查预定义的和可定制的标准进行配置，包括运行程序、端口活动、申请人的真实性等。如果发现用户因缺乏端点安全应用（如防病毒或恶意软件防护以及缺乏相关的数据文件或设置等）引发的违规行为，它将把用户发送到修复站点（无次数限制和无需中断运行）。动态设置的IA 还提供可选的认证和加密传输，以便在必要时强制执行网关策略。

Infranet代理收集的信息随后被传送回Infranet
Controller。控制器利用Juniper的安全接入SSL VPN策略和控制引擎，通过验证服务器以及身份和授权目录库来提供无缝通信。控制器依据用户验证结果以及对设备安全特征的实时检查结果，授予用户相应的网络接入权限。企业采取此措施，其远程用户及合作伙伴可享受到类似于Juniper SSL VPN 网络接入服务。将Infranet 代理和控制器结合在一起，可有效防止违规主机连接企业网络，并对企业网络流量提供使用控制。

调节验证和授权信息、身份和端点评估的接入信息，随后被传输到Infranet 执行点。您可通过软件升级为平台添加执行功能，使已经部署的基础设施能够承担这个角色，无需任何叉式升级。面向扩展企业的第一个执行点是Juniper SSL VPN。第二个执行点将利用同类产品中最佳的Juniper 防火墙平台的规模和部署。这些防火墙广泛部署在网络中的关键位置，用于细粒度的流量决策。通过接收Infranet
Controller提供的信号并终接来自代理的连接，执行器可提供端到端的传输安全性及更好的策略控制与可视性，无需大幅度更改基础设施。

企业Infranet 解决方案还是对Juniper 与Microsoft 联合开发的网络接入保护（NAP）技术及标准机构技术的补充，如可信计算组织（Trusted Computing Group）的可信网络连接小组（Trusted Network Connect Subgroup）。这意味着Juniper 网络公司通过开放的多厂商解决方案将用户、应用及网络策略与实施无缝地集成在一起，以促进安全、有保障的网络的实施进入到下一个阶段。

用户安全传输出现新需求
目前企业网络呈现出高度分散趋势，没有边界之分，其业务需要网络提供安全传输。此类传输将把用户和端点有效捆绑
到基础设施中，为使用控制、威胁控制和交付控制提供路径。Juniper 网络公司企业Infranet解决方案在最需要的时候可动态启动安全传输。当用作执行器时，防火墙/VPN 可选择性地设置策略所需的IPSec 组件，即未加密的ESP 或者完全的ESP。这个部署选项为实现全面加密提供了快捷方法，降低了在整个企业中部署IPSec VPN 的成本和简化了复杂性。

Juniper 综合考虑企业现有和未来的网络需求，创建了企业Infranet 解决方案。此方案架构将继续以灵活方式动态扩展，以满足更多需求；在方案部署中，所有组件都可运行在异构环境中，不仅兼容API 标准和对未来新标准具有一定的兼容性。解决方案无需对任何基础设施进行大规模升级，也无需部署、安装或配置任何新的客户端软件。无论现在还是将来，用户都可阶段性地部署企业Infranet 解决方案，从而避免了“一次性部署”的复杂性与高昂成本。

TOP

‹‹ 上一主题 | 下一主题 ››