统一接入控制 UAC 解决方案.docx
《统一接入控制 UAC 解决方案.docx》由会员分享,可在线阅读,更多相关《统一接入控制 UAC 解决方案.docx(15页珍藏版)》请在冰豆网上搜索。
统一接入控制UAC解决方案
瞻博网络公司统一接入控制(UAC)解决方案:
Infranet控制器、UAC代理和UAC执行点
您的网络和应用不再独立于业务而存在;您必须确保为用户提供安全而普遍的接入服务。
您需要的接入控制解决方案必须是灵活的且能够持续发展的,以便解决关键问题,确保业务成功和安全性。
瞻博网络公司统一接入控制(UAC)解决方案能够降低威胁发生率,提供全面的控制、可视性和监视,并且降低接入控制部署的成本和复杂性。
UAC还能将接入控制扩展到网络流量,深入到网络核心并延伸到网络边缘来执行接入控制策略,牵制风险并保护敏感的公司资产。
产品说明
企业所需的解决方案,是能够将用户身份、设备安全状态和网络位置信息紧密结合在一起,并能够跨越越来越多的设备和用户一致地执行策略的解决方案,其中大部分用户和设备都不在企业的控制范围之内,但需要接入网络和应用。
接入控制解决方案不仅要确保认证前后的安全性、提供细粒度的网络接入控制并且隔离/修复违规用户和设备,而且还必须支持不可管理的设备连接网络、实施准入控制和应用接入控制机制并提供可视性和监控功能。
解决方案还必须适应所有的接入控制情况,包括网络保护、来客访问、控制、可视性和监控等,同时利用现有的网络投资和部署。
最后,完善的接入控制解决方案必须基于开放的业界标准,以帮助企业避免单一供应商“锁定”,同时降低与部署和管理接入控制解决方案相关的复杂性和成本,允许分阶段部署。
瞻博网络公司统一接入控制(UAC)解决方案将用户身份、设备安全状态信息和网络位置信息结合在一起,为每名用户创建特定会话的接入控制策略。
您可使用802.1X将其部署在L2,或使用防火墙的部署方法将其部署在L3。
您也可使用混合模式来设置UAC,将802.1X用于网络准入控制并将L3设置用于资源接入控制。
通过UAC,企业将不再受限于:
•交换基础设施——UAC可与支持802.1X的任何厂商的交换机或无线接入点完全集成,包括瞻博网络EX系列以太网交换机,从而提供丰富的策略执行功能。
•互操作性问题——不仅UAC可支持任意厂商的802.1X,而且瞻博网络还强烈支持可信计算组织下属的可信网络连接(TNC)提供的开放标准,从而确保与大量其他安全厂商产品的互操作性。
•使用环境——UAC适用于各类常见的接入控制环境,包括访客接入、网络保护、应用控制、可视性和监控。
•缺乏网络/应用可视性——UAC利用瞻博网络入侵检测与防御(IDP)平台的功能来提供全面的应用流量可视性,允许企业在用户或产品级别隔离威胁,然后根据策略对违规用户或设备采取适当策略措施。
此外,UAC还将用户身份和角色信息与网络和应用的接入方法和使用方式等信息结合在一起,从而满足规章制度的要求。
•设备类型或操作系统——UAC可与大多数的MicrosoftWindows、AppleMacOS、Linux和Solaris平台协同运行。
•部署问题——通过UAC,企业可利用现有的802.1X基础设施及/或瞻博网络防火墙作为策略执行点。
此外,您也可同时利用两类执行点来执行策略,以便提供最细粒度的接入控制,无需开展任何再部署工作。
UAC还允许企业分阶段地部署接入控制解决方案。
UAC能够动态支持不可管理的端点设备,使企业能够利用现有策略、资料库或者资产发现或整理分类解决方案根据角色和资源实施接入控制。
UAC解决方案中的产品包括:
•Infranet控制器,作为安全策略的集中引擎和面向现有企业AAA基础设施的连接点。
Infranet控制器还提供来自瞻博网络Steel-BeltedRadius的集成RADIUS功能,在端点进入网络时支持802.1X交易。
•UAC代理是可动态下载的代理程序,可由Infranet控制器进行实时地预配置与调配,也可通过其他方法进行部署。
UAC代理也可作为跨平台的、可动态下载的轻型代理使用,或在无代理模式中支持访客网络等不允许下载软件的环境。
UAC代理收集用户凭证并评估端点安全状态。
UAC代理可在单一部署中提供瞻博网络Odyssey_AccessClient(OAC)802.1X客户端/请求方提供的集成802.1X功能、L3–7功能、通过扫描端点来检查各类安全应用及其状态并且定制检查所有网元的主机检查器功能以及状态个人防火墙。
•UAC执行点,包括瞻博网络公司防火墙/VPN设备以及任何厂商的支持802.1X的有线或无线交换基础设施。
Infranet控制器
瞻博网络统一接入控制解决方案的核心是Infranet控制器,这个控制器是经过强化的策略管理服务器,可将UAC代理部署到端点(或者以无代理模式来收集信息),以便获得用户认证、端点安全状态和设备位置信息。
Infranet控制器将这些信息结合起来,以创建动态策略。
然后,这些动态策略通过整个网络传播到策略执行点,包括供应商中立的802.1X交换机和接入点以及瞻博网络的任何防火墙/VPN,您也可同时在这两处执行策略,以提供更高的细粒度。
Infranet控制器将瞻博网络业界领先的SecureAccessSSLVPN策略控制引擎与企业现有的AAA/身份识别及接入管理基础设施无缝集成,并允许使用授权目录中的群组关系。
控制器能够在会话期间按照管理员定义的频率重复开展这些评估,以确保实现动态的策略管理与执行,并对违规用户或产品应用细粒度的、策略特定的修复功能。
Infranet控制器包含两种型号:
Infranet控制器4000(IC4000)和Infranet控制器6000(IC6000)。
IC4000设计用于满足中小型企业或远程/分支办事处的需求,它能够通过扩展,同时处理几千个端点,并可通过群集对的部署,以提供高可用性。
IC6000设计用于大型企业,能够同时处理几万个并发端点。
IC6000提供大量的高可用性特性,包括可现场升级的热插拔电源以及硬盘等。
IC6000可部署在多单元群集中,用于提高性能并提供更高的可扩展性。
UAC代理
UAC代理是可动态下载的代理程序,可由Infranet控制器进行实时地预配置与调配,也可通过其他方法进行部署。
UAC代理也可作为可动态下载的、跨平台的轻量级代理使用,或在无代理模式中支持不允许或不可能下载软件的环境。
UAC代理收集用户及/或设备凭证并评估端点安全状态。
UAC代理可在单一部署中提供瞻博网络OAC802.1X客户端/请求方提供的集成802.1X功能和L3–7功能,包括用于动态执行客户端策略的集成个人防火墙。
UAC还提供面向Windows设备的特定功能,如用于ActiveDirectory的IPSecVPN(允许加密端点与防火墙之间的流量)获得单点登录等。
UAC代理的集成主机检查器功能为数千个瞻博网络安全接入SSLVPN部署所熟悉,允许管理员通过扫描端点来了解各类安全应用/状态,包括但不限于防病毒、防恶意软件和个人防火墙。
UAC代理还允许定制检查寄存器和端口等网元的状态并执行MD5校验和检查,以便验证应用的有效性。
UAC代理提供预定义的主机检查器策略并允许自动监控防病毒签名文件以便利用最新的定义文件开展安全状态评估,从而帮助您简化部署工作。
UAC代理最新推出了面向MicrosoftWindowsVista™平台的L2/L3UAC代理,从而进一步增强了对常用的企业计算平台的支持。
UAC代理还支持基于角色的交付形式,可根据用户或设备的身份为它们动态提供无代理或代理模式的接入服务。
执行点
UAC的执行点包括兼容802.1X的任何交换机,如瞻博网络EX系列、基于802.1X的无线接入点及/或任何瞻博网络公司防火墙/VPN平台。
瞻博网络防火墙产品,包括安全业务网关(SSG)设备和带IDP模块的集成安全网关(ISG),可用作L3-7重叠执行点。
对于需要基于L2端口的执行点的企业,对其他厂商802.1X交换机及/或无线接入点提供支持,将允许企业快速获得访问控制的优势,无需对硬件进行全面改造。
瞻博网络EX系列以太网交换机提供基于标准的802.1X端口级访问控制,以及基于用户身份、位置及/或所用设备的L2-4策略执行。
当与UAC联合使用时,瞻博网络EX系列以太网交换机还能应用服务质量(QoS)策略,或将用户流量镜像到中央位置用于记录和监控,也可通过市场领先的瞻博网络IDP产品等入侵防御系统来检测威胁。
各种类型的瞻博网络防火墙和交换机都可用作执行点,因此企业可获得最佳的防火墙功能和无与伦比的接入控制部署灵活性。
某些瞻博网络防火墙还支持威胁管理功能,包括瞻博网络的IDP功能和基于网络的防病毒、防垃圾邮件和URL过滤功能。
所有这些功能都是UAC解决方案的一部分,可供您动态利用。
UAC不仅执行接入控制策略,而且还逐个用户/会话地实施深层数据包检测、防病毒和URL过滤等安全策略,从而使企业能够针对各类网络接入实施统一的应用接入和安全策略,以及威胁控制机制。
您可在透明模式中设置执行点,无需更改路由/策略或改造网络基础设施;您也可在审计模式中设置执行点,以便直观显示不使用执行点时的法规遵从情况。
带SBR的集中策略管理器
AAA
AAA服务器身份库
Infranet控制器
用户接入受保护的资源受保护的资源
动态角色调配
防火墙执行器
带OAC的UAC代理
准许用户接入网络资源
统一接入控制解决方案
特性和优势
瞻博网络UAC解决方案的主要特性和优势可概括为以下三层价值主张:
•高级网络保护
•控制、可视性和监控
•简单、灵活的接入控制
高级网络保护
特性
特性说明
优势
将端点评估、用户/设备身份识别和网络位置信息与实时的动态网络安全策略执行功能捆绑在一起
将用户身份识别、产品安全状态和位置信息捆绑在一起,以便逐个用户地创建动态的、会话特定的接入策略,并将这些接入策略分配给整个企业中的所有执行点
确保统一实施网络保护,同时通过任何全新或现有的、由任何供应商提供的支持802.1X的交换机、接入点或其他设备以及任何瞻博网络防火墙/VPN平台来逐个用户地实施会话特定的接入策略,从而节省时间并实现网络投资保护
单一的集中策略引擎
在会话登录前以及整个会话期间执行接入控制
•提供两个经过加固的策略服务器-Infranet控制器4000(IC4000)或Infranet控制器6000(IC6000)-允许企业根据自己的业务需求进行选择
•预认证评估、认证、角色映射和资源控制,均在一个位置完成
•轻松设置并管理网络资源策略规则
•部署解决方案无需对现有基础设施进行叉式升级
•向执行点动态宣传策略执行要求,无论是基于802.1X、还是基于L3的覆盖执行点均如此
•策略可与端点或网络环境的变化保持同步
强健的、动态的UAC代理
•可动态下载的单一代理,同时适用于有线和无线部署,可由Infranet控制器实时预配置和调配,也可通过其他方式进行部署
•UAC代理支持最常用的企业计算平台,包括面向Microsoft_WindowsVista™平台的全新的L2/L3UAC代理
•这个允许动态下载的跨平台的轻量级UAC代理还提供用于MicrosoftWindows、AppleMacOS、Linux和Solaris平台
•满足TNC要求,能够与满足TNC要求的其他安全解决方案无缝互操作;提供集成的主机检查器功能,用于通过扫描端点来发现大量最佳的端点安全应用及其状态,包括防病毒、防恶意软件和个人防火墙;定制检查各类网元(如寄存器和端口状态);实施MD5校验和检查以便验证应用有效性;提供状态化个人防火墙,可作为客户端策略执行点和可选的安全传输工具(已经过认证和加密),使用IPSec来保护会话完整性和私密性,确保局域网上通信的私密性,并为MSWindows提供单点登录支持
保护企业网络(和其他端点)免遭有害的违规端点及/或恶意端点的威胁并允许企业维护接入控制、网络安全性和正常运行,即便端点不归企业所有或管理也不例外。
无代理部署
无代理的部署可实现跨平台支持
企业可通过将端点评估和用户身份验证相结合,在不允许或不支持客户端下载的情况下保护MacOS、Linux和Solaris平台免遭基于源IP的攻击,并继续执行网络安全策略
协同威胁控制
利用瞻博网络的独立或集成的入侵检测与防御(IDP)平台的强健特性和功能,允许用户全面洞悉L2-7的应用流量,从而将威胁控制在用户或设备级别。
使用独立的瞻博网络IDP,然后可针对违规用户或设备实施特定的、可配置的策略
与市场领先的瞻博网络IDP产品无缝互操作;快速排除或牵制网络威胁,从而最大限度地缩短网络和用户服务中断时间
动态处理不可管理的端点
允许企业通过联合使用RADIUS与MAC地址的白名单和黑名单对媒体接入控制(MAC)地址进行认证;也可利用现有的策略和资料库(通过轻量级目录访问协议(LDAP)接口)或资产发现或资料整理分类解决方案基于角色和资源对不可管理的产品实施接入控制,包括网络打印机、收银机、条形码扫描仪以及互联网语音协议(VoIP)手持设备等
增强网络和应用的保护力度,使企业能够更快速、更轻松地在整个网络上部署接入控制策略,与产品的可管理性无关,从而利用现有的策略和资料库或者资产发现/资料整理分类解决方案基于角色和资源对不可管理的产品实施接入控制,藉此节省时间并降低成本
扩展了自动修复功能
提供自我管理的平台,能够智能地隔离违规用户和设备,同时扩展了自动修复功能,允许用户自动发现并修复违规设备,然后才准许它们进入网络;违规产品得到修复后,UAC将基于角色为其动态分配接入权限
能够自动修复任何违规产品,无需用户参与或其他帮助,从而最大限度地缩短故障停机时间并减少支持电话数量,帮助节省时间和成本,提高用户和支持人员的生产率
集成的、预定义的补丁评估检查
通过集成原始设备制造商ShavlikTechnologies公司的ShavlikNetChk®产品对员工和访客的设备进行补丁评估检查。
保护预定义的补丁评估技术,包括用于对目标操作系统或应用进行热修复的端点检测,从而允许轻松查看针对既定的操作系统及/或应用是否存在特定的热修复策略,基于安全漏洞的严重程度实施预定义的补丁管理检查,然后决定是否准许特定角色接入网络资源
对端点设备的安全状态实施更严格、更具体的评估
动态的角色映射
利用广泛的安全要求属性,用户在登录页面显示前需满足这些要求
可在认证前后及整个会话期间执行安全要求检查
控制、可视性和监控
特性
特性说明
优势
基于身份的资料整理
将用户身份和角色信息与网络和应用的使用策略结合在一起,允许企业更有效地跟踪并审计网络和应用接入行为,从而确保制度遵从
允许企业了解谁正在接入他们的网络和应用和具体的接入时间,从而确保满足法规遵从和审计要求
基于角色应用安全策略
允许企业创建并应用基于角色的威胁管理策略,如网络IDP、网络防病毒软件、网络防间谍软件及/或网络URL过滤等,以便将UAC同时用于动态的接入控制和威胁控制
允许企业将用户/角色信息植入到网络基础设施产品中,用于控制网络/应用接入
细粒度的审计和日志
以易于了解的明确方式提供细粒度的审计和日志功能
确保按最终用户属于的角色、他们试图访问的资源以及端点和用户对网络安全策略的遵从状态等进行详细的日志记录
简单、灵活的接入控制
特性
特性说明
优势
基于开放标准的解决方案
利用802.1X、RADIUS和IPSec等业界标准以及可信网络连接(TNC)等机构提供的创新开放标准来提供基于标准的接入控制解决方案
提供与供应商无关的接入控制并且无缝支持异构网络环境,使企业能够快速、轻松、灵活地部署接入控制解决方案,无需叉式升级,从而节省时间和成本
基于瞻博网络业界公认的最佳安全性和接入控制产品
利用瞻博网络的SecureAccessSSLVPN策略引擎、瞻博网络Steel-BeltedRadius(SBR)提供的RADIUS功能以及瞻博网络的OdysseyAccessClient(OAC)提供的802.1X功能来完成802.1X交易
基于在全球数千个部署中经过现场测试的业界领先的安全性和接入控制产品,确保可靠性以及与现有的异构网络基础设施的互操作性,提供投资保护,并且节省时间和成本
利用支持802.1X的现有的交换机及/或接入点
利用支持802.1X的现有的交换机及/或接入点
允许企业轻松保护无线网络或基于802.1X的交换基础设施,无需担心锁定在单一供应商提供的交换解决方案中
与瞻博网络EX系列以太网交换机互操作
与瞻博网络UAC互操作的瞻博网络EX系列以太网交换机可作为UAC中的执行点,利用基于标准的802.X端口级接入控制和L2-4策略执行技术。
EX系列与UAC如果部署在一起,还允许EX系列交换机执行基于用户的服务质量(QoS)策略,或者将用户流量镜像到中央位置用于日志记录、监控或威胁检测。
由一家供应商(瞻博网络)提供完整的、基于标准的、最佳的网络接入控制解决方案,使客户在将产品一起部署时能够享受到增值优势、支持和服务的规模经济优势,以及发展整个接入控制环境的优势。
坚决支持可信计算组织下属可信网络连接(TNC)的一系列开放标准
坚决支持可信计算组织下属可信网络连接(TNC)的一系列开放标准
允许企业选择最适宜的端点安全解决方案,无需担心互操作性问题,并确保最大的选择性,从而加快实现投资回报
允许分阶段地部署接入控制解决方案
UAC的创新设计允许企业从任何网络位置开始实施接入控制-例如,使用分阶段的接入控制部署方法,企业可选择首先对无线局域网用户进行接入控制,然后再向外扩展;此外,UAC对审计模式的支持还允许企业跟踪用户和设备的制度遵从情况,无需执行策略
缩短接入控制解决方案的部署时间并降低成本;审计模式允许用户了解策略和必要的制度遵从情况,并允许企业分阶段地执行策略
动态的认证策略利用现有的AAA投资
支持802.1X,RADIUS,LDAP,AD,RSAACE,NIS,凭证服务器(数字证书/PKI),本地登录/密码,NetegritySiteMinder(计算机协会),RSACleartrust和Oblix(Oracle),还支持RADIUS代理
利用企业现有的目录和PKI投资以及严格的认证机制,允许管理员为每个用户会话制定动态的认证策略;RADIUS代理可满足后端RADIUS服务器的认证要求
基于角色下载UAC代理
您可基于角色下载UAC代理,从而以适当的方式动态提供代理程序(基于代理的模式或无代理模式)
允许企业基于用户及/或设备身份为其动态分配代理或无代理的接入模式,无需提前做出选择
扩展了对认证协议的支持
支持更多类型的可扩展认证协议(EAP)
允许企业利用更多的网络软件和设备,在多个部署环境中在接入层实施网络接入控制
产品选件
IC4000和IC6000提供多个可添加到产品中的软硬件选项。
选项
选项说明
适用的产品
协同威胁控制
能够利用更多的接入控制和安全功能,通过让UAC与瞻博网络IDP产品通信来基于瞻博网络IDP的智能检测实现协同威胁控制
IC4000,IC6000
高级软件特性集(含集中管理器)
提供更多的高级功能,满足拥有多类用户和不同使用环境
的更复杂部署的需求
IC4000,IC6000
冗余的热插拔硬盘
冗余的热插拔硬盘
IC6000
冗余的热插拔电源
冗余的热插拔电源
IC6000
技术规格
IC4000
IC6000
外观尺寸和功耗
尺寸(宽x高x厚)
16.7x1.7x15英寸
(42.4x4.4x38.1厘米)
16.7x3.5x16.2英寸
(42.4x8.9x41.2厘米)
重量
一般13.6磅(6.17千克)(不带包装)
一般28.5磅(12.94千克)(不带包装)
A/C电源
100-240VAC,50-60Hz,最高2.5A,260瓦
100-240VAC,50-60Hz,最高5A,500瓦
系统电池
CR20323V纽扣锂电池
CR20323V纽扣锂电池
效率
全装载时最低65%
全装载时最低65%
MTBF
8.2万小时
7.1万小时
材质
18规(.048英寸*)冷轧钢
18规(.048英寸*)冷轧钢
风扇
3个40毫米滚珠轴承风扇,电源提供1个40毫米滚珠轴承风扇
2个可从外部接入的热插拔滚珠轴承风扇
面板显示屏
前端面板电源按钮
是
是
电源LED指示灯、HD活动及温度
是
是
PS故障
否
是
HDD活动和RAID状态LED指示灯
否
是
端口
流量
2个RJ-45以太网—10/100/1000全双工或半双工(自动协商)
控制台
1个9针串行控制台端口
环境
运行温度
50°F至95°F(10℃至35℃)
存储温度
-40°F至158°F(-40℃至70℃)
相对湿度(运行)
8%至90%,非冷凝
相对湿度(存储)
5%至95%,非冷凝
海拔高度(运行)
-50英尺至10,000英尺(3,000米)
海拔高度(存储)
-50英尺至35,000英尺(10,600米)
认证
安全认证
EN60950-1:
2001+A11,UL60950-1:
2003,CSAC22.2No.60950-1,IEC60950-1:
2001
放射认证
FCCA类,VCCIA类,CEA类
保修
90天;可通过支持合同延长
订购信息
Infranet控制器4000
基础系统
IC4000Infranet控制器4000基础系统
端点许可证
IC4000-ADD-100E为IC4000添加100名并发用户
IC4000-ADD-250E为IC4000添加250名并发用户
IC4000-ADD-500E为IC4000添加500名并发用户
IC4000-ADD-1000E为IC4000添加1000名并发用户
IC4000-ADD-2000E为IC4000添加2000名并发用户
IC4000-ADD-3000E为IC4000添加3000名并发用户
特性许可证
IC4000-OAC-ADD-UAC为OdysseyAccessClient添加IC4000上的UAC支持
群集许可证
IC4000-CL在IC4000上添加群集
协同威胁控制许可证
IC4000-ADD-TCTRLIC4000与瞻博网络IDP协同控制威胁
Infranet控制器6000
基础系统
IC6000Infranet控制器6000基础系统
端点许可证
IC6000-ADD-250E为IC6000添加250名并发用户
IC6000-ADD-500E为IC6000添加500名并发用户
IC4000-ADD-1000E为IC6000添加1000名并发用户
IC6000-ADD-2000E为IC6000添加2000名并发用户
IC6000-ADD-3000E为IC6000添加3000名并发用户
IC6000-ADD-5000E为IC6000添加5000名并发用户
IC6000-ADD-10000E为IC6000添加10000名并发用户
IC6000-A
升级会员 