网络准入控制解决方案.docx
《网络准入控制解决方案.docx》由会员分享,可在线阅读,更多相关《网络准入控制解决方案.docx(11页珍藏版)》请在冰豆网上搜索。
网络准入控制解决方案
需求分析
随着企业信息化程度的提高,数量众多的桌面PC管理成为系统管理员越来越重要的工作,目前企业拥有上百台PC机及终端。
系统管理员在日常维护过程中主要面临以下问题,而这些问题,既给系统管理员带来沉重的工作负担,也会严重影响企业的业务运作。
数量众多
在信息系统中桌面系统(PC)的数量往往是最多的,这些桌面系统往往很分散,分布于不同的楼层,甚至分布于不同的大楼,加上使用这些桌面系统的用户技能水准差异很大,使得管理维护工作很困难;
病毒与安全攻击
病毒、蠕虫与间谍软件等新兴网络安全威胁继续损害客户利益并使机构损失大量的金钱、生产率与机会。
与此同时,移动计算的普及进一步加剧了威胁。
移动用户能够从家里或公共热点连接互联网或办公室网络—常在无意中轻易地感染病毒并将其带进企业环境,进而感染网络。
频繁的病毒与安全攻击使得桌面系统的维护工作量剧增。
据IDG对病毒统计报告显示,每年新出现的的病毒种类大多数是针对Windows操作系统的病毒。
由于未及时打操作系统补丁、未及时升级防病毒软件、绕过网络安全设施随意上Internet网、外来机器的接入、外来程序的拷贝等原因,组织内部的PC机很容易被攻击与被病毒感染;
软件升级与补丁安装:
为解决安全问题,管理员经常需要在多台机器上安装同一个软件或补丁,如操作系统补丁包,传统的手工安装要花费系统管理员大量时间;
远程监控与维护
为提高效率,系统管理员经常需要做远程支持,帮助用户快速及时解决PC机问题。
系统管理员与PC机用户仅依靠电话很难远程解决问题。
网络接入控制
随着企业日益严重依赖网络业务,日益迫切需要为所有用户提供轻松的网络接入,并且企业对网络的依赖性越来越严重,因此网络变得空前关键且更易遭受攻击。
因此,支持用户接入任何资源,无论是分类文档中的数据、病人健康信息、还是知识资产,始终需要在接入价值与安全风险之间找到最佳平衡点。
事实上,仅靠网络边缘的外围设备已无法保证安全性。
边缘安全措施无法保护内部网络段,也无法替代主机安全措施。
即便企业运行着防火墙等网络周边安全机制,病毒与电子邮件蠕虫、特洛伊木马、拒绝服务攻击与其他恶意行为仍频繁利用最终用户设备渗入企业环境。
即时消息传递(IM)或对等间应用(P2P)等新技术也带来了新型威胁,新型威胁可以完全绕过网络周边的安全设备。
企业力求通过策略控制这些技术的使用,但此类策略在传统网络中几乎无法执行。
如果您使用电子邮件并拥有Web内容、面向公众的服务器或者移动用户,那么您的网络必定会频繁遭受各种类型的攻击。
而且,这些威胁与安全漏洞比想象的更难以觉察、更加危险——移动代码可以通过安全的(但可移动的)PC进入网络。
目前大部分终端在接入网络的时候,都没有经过严格的身份认证,对终端也没有有效的验证手段。
无法对终端接入网络之前,进行有效的合法性,安全性的检查。
受病毒感染的终端,未打补丁的终端如果随意接入网络,势必给整个网络的安全带来重大的隐患。
选择适合的网络准入控制产品
为了解决以上安全以及管理问题,使得整合系统内的终端高效的运行,同时也为了帮助管理的工作,减轻管理员的负担,考虑建设桌面安全与终端准入控制系统。
系统应该至少具备如下特性:
1.终端安全性检查。
包括Windows补丁检查,防病毒软件版本、病毒特征库版本检查,违规软件安装检查;共享目录检查;分区表检查;不同用户组的不同安全策略;
2.网络强制身份认证。
支持用户名、密码;Windows域认证等认证方式,支持RADIUS认证;AAA权限认证。
3.防火墙/IDP(4-7层)
4.支持802.1X的交换机,AP(2层准入)
5.根据安全策略,对不满足安全策略的终端不予以网络接入。
6.防病毒,终端防护软件(端点)
7.统一终端管理:
·基于网络地址,用户身份,终端状态的控制
·统一配置的个人防火墙策略
·对终端提供修复功能
8.支持最多的终端防护软件
·预定义的检查:
防病毒,个人防火墙,防恶意软件,操作系统等
·自定义检查:
JEDI,自定义文件,进程,注册表等
·无需客户端的手工安装
·通过浏览器自动的下载安装,减少管理员的工作量
9.对用户的主机实现跨操作系统平台的支持。
10.对用户网络改动最小、最少。
Juniper网络公司统一接入控制(UAC)是全面的网络接入控制解决方案,结合了基于标准的强大的用户验证与授权功能、基于身份的策略控制与管理以及端点安全性与智能,以便将接入控制扩展到整个企业网络中。
通过将业界标准与经过业界测试的、得到普遍认可的网络与安全产品集成在一起,Juniper网络公司UAC解决方案可帮助企业对试图接入网络的用户与设备提前进行安全策略遵从检查,并在用户接入企业网络与资源的整个过程中对会话进行全程跟踪检查。
这种方法可帮助企业确保全面遵从安全策略,有效抵御频繁变化的网络威胁。
UACv2.0解决方案通过第3层—第7层覆盖功能。
Juniper网络公司统一接入控制v2.0是非常灵活的解决方案,能够将用户身份、设备安全状态信息与网络位置信息结合在一起,为每名用户创建特定会话的接入控制策略。
Juniper统一接入控制解决方案
企业网络必须为更为多样化的用户——访客、承包商与移动员工——提供接入服务,他们中的某些人会使用自己的设备接入网络。
用户可能在无意中下载一些受感染的文件,并使用这些受感染的设备直接连接到您的网络。
或者他们只是从您的局域网中接入互联网而得不到适当的安全保护,从而将您的网络暴露于大量威胁之中。
此外,当您提供网络接入服务时,必须对网络接入进行极细粒度的控制,以保护公司资产的安全性并满足法规遵从要求。
应对问题:
JuniperUAC统一访问控制解决方案主要解决用户网络面临的如下问题:
1.不同用户的网络准入控制问题。
2.不同用户终端的应用访问控制问题以及权限定制与分发问题。
3.终端的安全性评估与管理问题。
4.相关法案,Sarbanes-Oxley(塞班斯法案)。
)符合性与审计的要求。
解决方案的特性:
JuniperUAC统一访问控制解决方案,采用了业界公认的标准(包括802.1x与TNC等),将用户终端的身份标识、网络标识与终端安全状况进行集中的认证与授权,并且将用户权限与策略自动的下发到网络当中的执行点(包括防火墙、交换机与无线接入点等)上,实现了统一的接入控制与访问控制。
该方案可以实现以下功能:
1.基于终端的身份标识、网络标识与终端状况的统一的认证与授权。
2.终端安全状况的检查,如检查防病毒软件是否更新,补丁是否健壮等,对于不符合安全策略的主机,可以进行修复。
3.利用网络当中已有的防火墙、交换机与无线接入点等网络与网络安全设备,对内部网络终端的接入与访问进行控制。
4.对于关键的业务与通讯,自动启用IPSec连接,保证敏感数据传输的安全性。
5.用户终端访问整个过程中的安全检查,保证安全的连续性。
解决方案好处:
1.针对终端的安全防护:
UAC方案可以对终端进行安全检查,对于不符合安全策略的主机进行修复,同时提供个人防火墙功能,提供对终端的访问保护。
2.针对终端的访问控制:
将用户终端的身份标识、网络标识与终端安全状况进行集中的认证与授权,统一的在网络控制点进行策略的下发。
3.充分利用已有的网络与网络安全投资,由于Juniper方案当中采用标准的接口,可以很好的与业界的其他方案,如防病毒,补丁管理、AAA认证方案进行整合。
Juniper解决方案优势:
1.真正支持标准的解决方案,不局限于单独厂商的方案,用户可以在相关领域当中选择最佳或者最为适合的产品。
2.良好的用户体验,不需要管理员为每个终端单独安装客户端软件,软件采用自动定向与下载安装的方式安装,大大减少管理员工作量与工程建设周期。
3.支持所有类别的用户,如员工、承包商与访客等,对用户的主机实现跨操作系统平台的支持。
非常适合于分阶段的实施。
用户可以根据网络的实际情况,选择性的对防火墙或者交换机这些2-7层的控制器进行部署,实现不同的控制级别。
JuniperUAC构成:
Juniper统一接入控制(UAC)解决方案v2.0包括用作集中策略管理器的Infranet控制器;以及作为可动态下载的端点软件的UAC代理(对于不支持下载的客户端,如客户端的设备;
控制器与代理还包含Juniper通过在2005年收购FunkSoftware获得的整合特性,如OdysseyAccessClient(OAC)802.1X请求特性与Steel-BeltedRadius身份认证服务。
Infranet控制器是经过加固的策略管理服务器,可收集用户验证、端点安全状态与设备位置信息,并将此类信息与策略相结合来控制网络、资源与应用接入。
随后,控制器在分配IP地址前在网络边缘通过802.1X并且/或在网络核心通过防火墙将这个策略传递给执行器。
同时使用这两类执行点可进一步提高接入控制粒度。
UAC代理是允许动态下载的软件代理,可由控制器实时设置,通过JuniperInstallerService安装或通过其他方法进行部署。
代理同时提供JuniperOAC的集成802.1X功能以及L3-7覆盖功能,如用于在客户端动态执行策略的集成个人防火墙。
代理还包括面向Windows设备的特定功能,如IPSecVPN(允许实现从端点到防火墙的加密)与ActiveDirectory单一登录等。
代理提供的主机检查器功能也被部署在已售出的几千个JuniperSecureAccessSSLVPN产品中,允许管理员扫描端点以了解各种安全应用/状态,包括但不限于防病毒、防恶意软件与个人防火墙等。
UAC代理可通过预定义的主机检查策略以及
防病毒签名文件的自动监控功能来评估最新定义文件的安全状态,从而简化部署工作。
UAC还允许执行定制检查任务,如对注册表与端口状态进行检查,并可执行MD5校验与检查,以验证应用是否有效。
UAC工作原理
在用户向控制器提交认证信息前,用户请求(802.1X或非802.1x模式,通过设置用于端点的基于浏览器的代理提供)便揭示了大量不同的最终用户特征,包括源IP与MAC地址、网络接口(内部或外部)、数字证书(如果存在的话)、浏览器类型、SSL版本以及端点安全检查结果等。
用户提交了认证信息后,控制器将通过全面的验证、授权与记账引擎,支持几乎所有常用的AAA设置中,包括现有的RADIUS、LDAP、AD、NetegritySiteMinder、证书/PKI服务器及匿名验证服务器等。
控制器将用户认证信息以及组群或属性信息(如组群的成员关系)与认证信息输入之前收集到的信息相关联,包括由主机检查器收集的信息,从而能够将用户动态映射到接入控制的第二步──面向会话的角色。
角色属性可包括会话属性/参数,也可为用户规定映射到角色之前必须满足的限制性条件,这在注重安全性并要求必须遵守规章制度的环境中非常有用。
接入控制的第三步即最后一步是制订资源策略,以管理网络与资源的接入。
例如VLAN分配及/或供应商特定的属性等基于L2RADIUS属性的策略以及管理对IP地址/子网掩码及/或端口接入的L3策略。
IDP策略或URL过滤等L7策略提供更动态的威胁管理。
典型部署方式
JuniperUAC的统一访问控制解决方案部署简单易用,不会对用户网络有任何修改。
如果网络当中已经部署了防火墙设备(FW),终端安全保护软件(如防病毒,补丁管理),身份认证系统(AAA),只需要再添加一台JuniperIC设备,作为整体的用户认证与访问策略的管理,我们就可以充分的利用已有的网络安全建设,结合IC的策略管理,完成统一的访问控制。
UAC的解决方案对最终的用户是透明的,终端电脑无需预先安装客户端软件,利用IE对访问重定向的技术,终端用户也无需主动到IC上进行认证,方便了最终用户的体验。
产品介绍
Juniper网络公司统一接入控制v2.0(UACv2.0)解决方案将用户身份、设备安全状态信息与网络位置信息结合在一起,为每名用户创建特定会话的接入控制策略。
您可使用802.1X将其部署在第2层,或使用防火墙的部署方法将其部署在第3层。
您也可使用混合模式来设置UACv2.0,将802.1X用于网络准入控制并将第3层设置用于资源接入控制。
UACv2.0解决方案中的产品包括:
Infranet控制器,作为安全策略的集中引擎与面向现有企业AAA基础设施的连接点。
控制器还提供来自SBR的集成802.1X功能。
UAC代理,可由Infranet控制器动态部署;在单一部署中,UAC代理提供通过OAC功能在第2层接入网络的方法、在第3层接入网络的方法、主机检查器、主机执行器与状态检测个人防火墙。
您也可在无代理模式中设置接入,如访客部署模式,但此时您将无法下载任何软件。
Infranet控制器
Juniper统一接入控制解决方案的核心是Infranet控制器,这个控制器是经过强化的策略管理服务器,可将UAC代理部署到端点(或者以无代理模式来收集信息),以便获得用户验证、端点安全状态与设备位置信息。
Infranet控制器将这些信息结合起来,以创建动态策略。
然后,这些动态策略通过整个网络传播到策略执行点,这些执行点既可在通过802.1X授予IP地址之前部署在网
络边缘,也可部署在网络内部的防火墙上,或者同时部署在这两处,以提供更高的细粒度。
Infranet控制器将Juniper业界领先的SecureAccessSSLVPN策略控制引擎与企业现有的AAA/身份识别及接入管理基础设施无缝集成,并允许使用授权目录中的群组关系。
控制器能够在会话期间按照管理员定义的频率重复开展这些评估,以确保实现动态的策略管理与执行,并对违规用户应用细粒度的、策略特定的纠正功能。
Infranet控制器可设置为审计模式,从而无需执行策略也能够获悉法规遵从情况。
Infranet控制器包含两种型号:
Infranet控制器4000(IC4000)与Infranet控制器6000(IC6000)。
IC4000设计用于满足中型企业或远程/分支办事处的需求,它能够通过扩展,同时处理几千个端点,并可通过群集对的部署,以提供高可用性。
IC6000设计用于大型企业,能够同时处理几万个并发端点。
IC6000提供大量的高可用性特性,包括可升级的热插拔电源以及硬盘等。
IC6000可部署在多单元群集中,用于提高性能并提供更高的可扩展性。
UAC代理
UAC代理是允许动态下载的软件代理,可由Infranet控制器实时设置,通过JuniperInstallerService安装或通过其他方法进行部署。
UAC代理同时提供来自JuniperOdysseyAccessClient的集成802.1X功能以及第3层—第7层功能,如在客户端侧动态执行策略的集成个人防火墙。
UAC代理还包括面向Windows设备的特定功能,如IPSecVPN(允许实现从端点到防火墙的加密)与ActiveDirectory单一登录等。
主机检查器功能允许管理员扫描端点以了解各种安全应用/状态,包括但不限于防病毒、防恶意软件与个人防火墙等。
UAC还可执行对组件的定制检查,如对注册表与端口状态进行检查,并可执行MD5校验以验证应用是否有效。
通过预定义的主机检查器策略,以及通过防病毒特征文件的自动监控功能来监测最新定义文件以进行安全状态评估,还可以简化部署工作。
特性与优势
统一接入控制解决方案的主要特性与优势可概括为以下三个主要方面:
•将用户身份识别、设备安全评估以及网络信息与策略执行结合在一起,以实现动态的接入控制
•基于标准的解决方案
•利用现有的AAA、交换与安全基础设施投资
特性
说明
优势
Infranet控制器
将端点评估、用户身份识别与实时网络策略执行功能捆绑在一起
将端点与用户身份识别动态捆绑在一起,以便实时设置防
火墙配置/规则
允许动态激活所选的Juniper防火墙执行器功能,包括入侵防护功能、防病毒、日志记录与Web过滤等,从而节省时间并执行安全策略
设置UAC代理
根据需要动态设置UAC代理,并提供无代理的方法进行
接入控制
允许对所有用户实施接入控制,包括访客、承包商与员工
利用Juniper的SecureAccessSSLVPN策略引擎
利用Juniper的SecureAccessSSLVPN策略引擎
安全接入产品在SSLVPN市场处于领先地位,并在全球几
千个部署中得到了实践验证
利用JuniperSteel-BeltedRadius
使用Infranet控制器的组件完成802.1X验证任务
无需购买更多设备,从而节约了时间与金钱
单个集中策略引擎
在会话登录前以及整个会话期间执行接入控制
验证前评估、验证、角色映射与资源控制,均在一个位置完成轻松设置并管理网络资源策略规则部署解决方案无需对现有基础设施进行叉式升级执行点动态传播策略执行,无论是基于802.1X的还是基于第3层覆盖功能的策略可随着端点或网络环境的变化而变化
动态验证策略利用现有的AAA投资
支持802.1X、RADIUS、LDAP、AD、RSAACE、NIS、证书服务器(数字证书/PKI)、本地登录/密码、NetegritySiteMinder、RSACleartrust与Oblix(Oracle)
利用企业现有的目录、PKI以及严格的验证机制方面的投
资,允许管理员为每个用户会话制订动态的验证策略
动态角色映射
利用广泛的属性来满足安全要求,这些要求是用户登录页
面显示前必须满足的
可在验证前及验证后的整个会话期间执行安全要求
基于角色/基于资源的混合策略模式
管理员可定制接入策略
确保安全策略体现出业务要求的变化
细粒度的审计与日志
以简洁明了的方式提供细粒度的审计与日志功能
确保按照最终用户的角色、他们所试图接入的资源以及
端点与用户对网络安全策略的遵从状态,进行详细的日
志记录
细粒度地隔离并修正违规用户的定制说明
支持通过自管理平台智能地隔离违规用户
允许用户自行纠错而无需为其提供任何帮助,然后在完成
纠错后将用户动态地映射到接入角色中
Infranet代理
轻量级代理,可根据需要由Infranet控制器动态设置
包括:
满足TNC标准,以便与任何其他符合要求的安全
解决方案实现无缝互操作、主机个人防火墙、Windows单
一登录、用于将IPSec应用到桌面的本机客户端,与面向
Mac与Linux的无代理执行
保护经过验证的端点不受恶意/违规端点的影响,并允许
企业对即使他们无权管理的端点保持接入控制
端点评估
可在登录时运行,或根据管理员定义的时间间隔在用户会
话期间定期运行
允许通过预定义的主机检查工具进行实时网络策略管理,
以支持广泛的最佳端点安全解决方案;自动监控病毒特征
主机执行器
状态个人防火墙,也可用作客户端侧策略执行器以及使用
IPSec的可选安全传输(经过验证与加密)
当端点接入的网络段不受802.1X基础设施或执行器保护
时,实施防火墙策略
可选的MicrosoftIPSec执行功能提供经过验证与加密的
传输,用于确保会话的完整性与私密性
经过验证的传输可确保安全地执行网络规则
经过加密的传输可确保局域网通信的私密性
无代理部署
无代理的部署可实现跨平台支持
企业可通过将端点评估与用户身份验证相结合来保护Mac、
Linux与Solaris平台执行基于源IP地址的网络安全策略
升级会员 