统一接入控制 UAC 解决方案.docx

1、统一接入控制 UAC 解决方案瞻博网络公司统一接入控制（UAC）解决方案：Infranet控制器、UAC代理和UAC执行点您的网络和应用不再独立于业务而存在；您必须确保为用户提供安全而普遍的接入服务。您需要的接入控制解决方案必须是灵活的且能够持续发展的，以便解决关键问题，确保业务成功和安全性。瞻博网络公司统一接入控制(UAC)解决方案能够降低威胁发生率，提供全面的控制、可视性和监视，并且降低接入控制部署的成本和复杂性。UAC还能将接入控制扩展到网络流量，深入到网络核心并延伸到网络边缘来执行接入控制策略，牵制风险并保护敏感的公司资产。产品说明企业所需的解决方案，是能够将用户身份、设备安全状态和网

2、络位置信息紧密结合在一起，并能够跨越越来越多的设备和用户一致地执行策略的解决方案，其中大部分用户和设备都不在企业的控制范围之内，但需要接入网络和应用。接入控制解决方案不仅要确保认证前后的安全性、提供细粒度的网络接入控制并且隔离修复违规用户和设备，而且还必须支持不可管理的设备连接网络、实施准入控制和应用接入控制机制并提供可视性和监控功能。解决方案还必须适应所有的接入控制情况，包括网络保护、来客访问、控制、可视性和监控等，同时利用现有的网络投资和部署。最后，完善的接入控制解决方案必须基于开放的业界标准，以帮助企业避免单一供应商“锁定”，同时降低与部署和管理接入控制解决方案相关的复杂性和成本，允许分

3、阶段部署。瞻博网络公司统一接入控制（UAC）解决方案将用户身份、设备安全状态信息和网络位置信息结合在一起，为每名用户创建特定会话的接入控制策略。您可使用802.1X将其部署在L2，或使用防火墙的部署方法将其部署在L3。您也可使用混合模式来设置UAC，将802.1X用于网络准入控制并将L3设置用于资源接入控制。通过UAC，企业将不再受限于： 交换基础设施UAC可与支持802.1X 的任何厂商的交换机或无线接入点完全集成，包括瞻博网络 EX系列以太网交换机，从而提供丰富的策略执行功能。 互操作性问题不仅UAC可支持任意厂商的802.1X，而且瞻博网络还强烈支持可信计算组织下属的可信网络连接（TNC

4、）提供的开放标准，从而确保与大量其他安全厂商产品的互操作性。 使用环境UAC适用于各类常见的接入控制环境，包括访客接入、网络保护、应用控制、可视性和监控。 缺乏网络/应用可视性UAC利用瞻博网络入侵检测与防御(IDP)平台的功能来提供全面的应用流量可视性，允许企业在用户或产品级别隔离威胁，然后根据策略对违规用户或设备采取适当策略措施。此外，UAC还将用户身份和角色信息与网络和应用的接入方法和使用方式等信息结合在一起，从而满足规章制度的要求。 设备类型或操作系统UAC可与大多数的Microsoft Windows、Apple Mac OS、Linux和Solaris平台协同运行。 部署问题通过U

5、AC，企业可利用现有的 802.1X 基础设施及或 瞻博网络 防火墙作为策略执行点。此外，您也可同时利用两类执行点来执行策略，以便提供最细粒度的接入控制，无需开展任何再部署工作。UAC还允许企业分阶段地部署接入控制解决方案。UAC能够动态支持不可管理的端点设备，使企业能够利用现有策略、资料库或者资产发现或整理分类解决方案根据角色和资源实施接入控制。UAC解决方案中的产品包括： Infranet控制器，作为安全策略的集中引擎和面向现有企业AAA基础设施的连接点。Infranet控制器还提供来自瞻博网络 Steel-Belted Radius的集成RADIUS功能，在端点进入网络时支持802.1X

6、交易。 UAC代理是可动态下载的代理程序，可由Infranet控制器进行实时地预配置与调配，也可通过其他方法进行部署。UAC代理也可作为跨平台的、可动态下载的轻型代理使用，或在无代理模式中支持访客网络等不允许下载软件的环境。UAC代理收集用户凭证并评估端点安全状态。UAC代理可在单一部署中提供瞻博网络 Odyssey_Access Client (OAC)802.1X客户端/请求方提供的集成802.1X功能、L37功能、通过扫描端点来检查各类安全应用及其状态并且定制检查所有网元的主机检查器功能以及状态个人防火墙。 UAC执行点，包括瞻博网络公司防火墙VPN设备以及任何厂商的支持802.1X的有

7、线或无线交换基础设施。Infranet控制器瞻博网络统一接入控制解决方案的核心是Infranet控制器，这个控制器是经过强化的策略管理服务器，可将UAC 代理部署到端点（或者以无代理模式来收集信息），以便获得用户认证、端点安全状态和设备位置信息。Infranet 控制器将这些信息结合起来，以创建动态策略。然后，这些动态策略通过整个网络传播到策略执行点，包括供应商中立的802.1X交换机和接入点以及瞻博网络的任何防火墙/VPN，您也可同时在这两处执行策略，以提供更高的细粒度。Infranet控制器将瞻博网络业界领先的Secure Access SSL VPN策略控制引擎与企业现有的AAA身份识别

8、及接入管理基础设施无缝集成，并允许使用授权目录中的群组关系。控制器能够在会话期间按照管理员定义的频率重复开展这些评估，以确保实现动态的策略管理与执行，并对违规用户或产品应用细粒度的、策略特定的修复功能。Infranet控制器包含两种型号：Infranet控制器 4000（IC 4000）和Infranet控制器 6000（IC 6000）。IC 4000 设计用于满足中小型企业或远程分支办事处的需求，它能够通过扩展，同时处理几千个端点，并可通过群集对的部署，以提供高可用性。IC6000设计用于大型企业，能够同时处理几万个并发端点。IC6000提供大量的高可用性特性，包括可现场升级的热插拔电源以

9、及硬盘等。IC 6000可部署在多单元群集中，用于提高性能并提供更高的可扩展性。UAC代理UAC代理是可动态下载的代理程序，可由Infranet控制器进行实时地预配置与调配，也可通过其他方法进行部署。UAC代理也可作为可动态下载的、跨平台的轻量级代理使用，或在无代理模式中支持不允许或不可能下载软件的环境。UAC代理收集用户及/或设备凭证并评估端点安全状态。UAC代理可在单一部署中提供瞻博网络 OAC 802.1X客户端/请求方提供的集成802.1X功能和L3 7功能，包括用于动态执行客户端策略的集成个人防火墙。UAC还提供面向Windows设备的特定功能，如用于Active Directory

10、的IPSec VPN (允许加密端点与防火墙之间的流量)获得单点登录等。UAC代理的集成主机检查器功能为数千个瞻博网络安全接入SSL VPN部署所熟悉，允许管理员通过扫描端点来了解各类安全应用/状态，包括但不限于防病毒、防恶意软件和个人防火墙。UAC代理还允许定制检查寄存器和端口等网元的状态并执行MD5校验和检查，以便验证应用的有效性。UAC代理提供预定义的主机检查器策略并允许自动监控防病毒签名文件以便利用最新的定义文件开展安全状态评估，从而帮助您简化部署工作。UAC代理最新推出了面向Microsoft Windows Vista平台的L2/L3 UAC代理，从而进一步增强了对常用的企业计算平

11、台的支持。UAC代理还支持基于角色的交付形式，可根据用户或设备的身份为它们动态提供无代理或代理模式的接入服务。执行点UAC的执行点包括兼容802.1X的任何交换机，如瞻博网络EX系列、基于802.1X的无线接入点及/或任何瞻博网络公司防火墙VPN平台。瞻博网络防火墙产品，包括安全业务网关（SSG）设备和带IDP 模块的集成安全网关（ISG），可用作L3-7重叠执行点。对于需要基于L2端口的执行点的企业，对其他厂商802.1X交换机及/或无线接入点提供支持，将允许企业快速获得访问控制的优势，无需对硬件进行全面改造。瞻博网络 EX系列以太网交换机提供基于标准的802.1X端口级访问控制，以及基于用

12、户身份、位置及/或所用设备的L2-4策略执行。当与UAC联合使用时，瞻博网络 EX系列以太网交换机还能应用服务质量（QoS）策略，或将用户流量镜像到中央位置用于记录和监控，也可通过市场领先的瞻博网络 IDP产品等入侵防御系统来检测威胁。各种类型的瞻博网络防火墙和交换机都可用作执行点，因此企业可获得最佳的防火墙功能和无与伦比的接入控制部署灵活性。某些瞻博网络防火墙还支持威胁管理功能，包括瞻博网络的IDP功能和基于网络的防病毒、防垃圾邮件和URL过滤功能。所有这些功能都是UAC解决方案的一部分，可供您动态利用。UAC不仅执行接入控制策略，而且还逐个用户/会话地实施深层数据包检测、防病毒和URL过滤

13、等安全策略，从而使企业能够针对各类网络接入实施统一的应用接入和安全策略，以及威胁控制机制。您可在透明模式中设置执行点，无需更改路由/策略或改造网络基础设施；您也可在审计模式中设置执行点，以便直观显示不使用执行点时的法规遵从情况。带SBR的集中策略管理器AAAAAA服务器身份库Infranet控制器用户接入受保护的资源 受保护的资源动态角色调配防火墙执行器带OAC的UAC代理准许用户接入网络资源统一接入控制解决方案特性和优势瞻博网络 UAC解决方案的主要特性和优势可概括为以下三层价值主张： 高级网络保护 控制、可视性和监控 简单、灵活的接入控制高级网络保护特性特性说明优势将端点评估、用户/设备身

14、份识别和网络位置信息与实时的动态网络安全策略执行功能捆绑在一起将用户身份识别、产品安全状态和位置信息捆绑在一起，以便逐个用户地创建动态的、会话特定的接入策略，并将这些接入策略分配给整个企业中的所有执行点确保统一实施网络保护，同时通过任何全新或现有的、由任何供应商提供的支持802.1X的交换机、接入点或其他设备以及任何瞻博网络防火墙/VPN平台来逐个用户地实施会话特定的接入策略，从而节省时间并实现网络投资保护单一的集中策略引擎在会话登录前以及整个会话期间执行接入控制 提供两个经过加固的策略服务器Infranet控制器4000 (IC 4000)或Infranet控制器6000 (IC 6000)

15、允许企业根据自己的业务需求进行选择 预认证评估、认证、角色映射和资源控制，均在一个位置完成 轻松设置并管理网络资源策略规则 部署解决方案无需对现有基础设施进行叉式升级 向执行点动态宣传策略执行要求，无论是基于 802.1X 、还是基于L3的覆盖执行点均如此 策略可与端点或网络环境的变化保持同步强健的、动态的UAC代理 可动态下载的单一代理，同时适用于有线和无线部署，可由Infranet控制器实时预配置和调配，也可通过其他方式进行部署 UAC 代理支持最常用的企业计算平台，包括面向Microsoft_ Windows Vista平台的全新的L2/L3 UAC代理 这个允许动态下载的跨平台的轻量级

16、UAC代理还提供用于Microsoft Windows、Apple Mac OS、Linux和 Solaris平台 满足TNC要求，能够与满足TNC要求的其他安全解决方案无缝互操作；提供集成的主机检查器功能，用于通过扫描端点来发现大量最佳的端点安全应用及其状态，包括防病毒、防恶意软件和个人防火墙；定制检查各类网元(如寄存器和端口状态)；实施MD5校验和检查以便验证应用有效性；提供状态化个人防火墙，可作为客户端策略执行点和可选的安全传输工具(已经过认证和加密)，使用IPSec来保护会话完整性和私密性，确保局域网上通信的私密性，并为MS Windows提供单点登录支持保护企业网络(和其他端点)免遭

17、有害的违规端点及/或恶意端点的威胁并允许企业维护接入控制、网络安全性和正常运行，即便端点不归企业所有或管理也不例外。无代理部署无代理的部署可实现跨平台支持企业可通过将端点评估和用户身份验证相结合，在不允许或不支持客户端下载的情况下保护 Mac OS、Linux和 Solaris平台免遭基于源IP的攻击，并继续执行网络安全策略协同威胁控制利用瞻博网络的独立或集成的入侵检测与防御(IDP)平台的强健特性和功能，允许用户全面洞悉L2-7的应用流量，从而将威胁控制在用户或设备级别。使用独立的瞻博网络 IDP，然后可针对违规用户或设备实施特定的、可配置的策略与市场领先的瞻博网络 IDP产品无缝互操作；快

18、速排除或牵制网络威胁，从而最大限度地缩短网络和用户服务中断时间动态处理不可管理的端点允许企业通过联合使用RADIUS与MAC地址的白名单和黑名单对媒体接入控制(MAC)地址进行认证；也可利用现有的策略和资料库(通过轻量级目录访问协议(LDAP)接口)或资产发现或资料整理分类解决方案基于角色和资源对不可管理的产品实施接入控制，包括网络打印机、收银机、条形码扫描仪以及互联网语音协议(VoIP)手持设备等增强网络和应用的保护力度，使企业能够更快速、更轻松地在整个网络上部署接入控制策略，与产品的可管理性无关，从而利用现有的策略和资料库或者资产发现/资料整理分类解决方案基于角色和资源对不可管理的产品实施

19、接入控制，藉此节省时间并降低成本扩展了自动修复功能提供自我管理的平台，能够智能地隔离违规用户和设备，同时扩展了自动修复功能，允许用户自动发现并修复违规设备，然后才准许它们进入网络；违规产品得到修复后，UAC将基于角色为其动态分配接入权限能够自动修复任何违规产品，无需用户参与或其他帮助，从而最大限度地缩短故障停机时间并减少支持电话数量，帮助节省时间和成本，提高用户和支持人员的生产率集成的、预定义的补丁评估检查通过集成原始设备制造商Shavlik Technologies公司的Shavlik NetChk产品对员工和访客的设备进行补丁评估检查。保护预定义的补丁评估技术，包括用于对目标操作系统或应用

20、进行热修复的端点检测，从而允许轻松查看针对既定的操作系统及/或应用是否存在特定的热修复策略，基于安全漏洞的严重程度实施预定义的补丁管理检查，然后决定是否准许特定角色接入网络资源对端点设备的安全状态实施更严格、更具体的评估动态的角色映射利用广泛的安全要求属性，用户在登录页面显示前需满足这些要求可在认证前后及整个会话期间执行安全要求检查控制、可视性和监控特性特性说明优势基于身份的资料整理将用户身份和角色信息与网络和应用的使用策略结合在一起，允许企业更有效地跟踪并审计网络和应用接入行为，从而确保制度遵从允许企业了解谁正在接入他们的网络和应用和具体的接入时间，从而确保满足法规遵从和审计要求基于角色应用

21、安全策略允许企业创建并应用基于角色的威胁管理策略，如网络IDP、网络防病毒软件、网络防间谍软件及/或网络URL过滤等，以便将UAC同时用于动态的接入控制和威胁控制允许企业将用户/角色信息植入到网络基础设施产品中，用于控制网络/应用接入细粒度的审计和日志以易于了解的明确方式提供细粒度的审计和日志功能确保按最终用户属于的角色、他们试图访问的资源以及端点和用户对网络安全策略的遵从状态等进行详细的日志记录简单、灵活的接入控制特性特性说明优势基于开放标准的解决方案利用802.1X、RADIUS和IPSec等业界标准以及可信网络连接(TNC)等机构提供的创新开放标准来提供基于标准的接入控制解决方案提供与供

22、应商无关的接入控制并且无缝支持异构网络环境，使企业能够快速、轻松、灵活地部署接入控制解决方案，无需叉式升级，从而节省时间和成本基于瞻博网络业界公认的最佳安全性和接入控制产品利用瞻博网络的Secure Access SSL VPN策略引擎、瞻博网络 Steel-Belted Radius(SBR)提供的RADIUS功能以及瞻博网络的Odyssey Access Client(OAC)提供的802.1X功能来完成802.1X交易基于在全球数千个部署中经过现场测试的业界领先的安全性和接入控制产品，确保可靠性以及与现有的异构网络基础设施的互操作性，提供投资保护，并且节省时间和成本利用支持802.1X的

23、现有的交换机及/或接入点利用支持802.1X的现有的交换机及/或接入点允许企业轻松保护无线网络或基于 802.1X 的交换基础设施，无需担心锁定在单一供应商提供的交换解决方案中与瞻博网络 EX系列以太网交换机互操作与瞻博网络UAC互操作的瞻博网络 EX系列以太网交换机可作为UAC中的执行点，利用基于标准的802.X端口级接入控制和L2-4策略执行技术。EX系列与UAC如果部署在一起，还允许EX系列交换机执行基于用户的服务质量（QoS）策略，或者将用户流量镜像到中央位置用于日志记录、监控或威胁检测。由一家供应商（瞻博网络）提供完整的、基于标准的、最佳的网络接入控制解决方案，使客户在将产品一起部署

24、时能够享受到增值优势、支持和服务的规模经济优势，以及发展整个接入控制环境的优势。坚决支持可信计算组织下属可信网络连接(TNC)的一系列开放标准坚决支持可信计算组织下属可信网络连接(TNC)的一系列开放标准允许企业选择最适宜的端点安全解决方案，无需担心互操作性问题，并确保最大的选择性，从而加快实现投资回报允许分阶段地部署接入控制解决方案UAC的创新设计允许企业从任何网络位置开始实施接入控制- 例如，使用分阶段的接入控制部署方法，企业可选择首先对无线局域网用户进行接入控制，然后再向外扩展；此外，UAC对审计模式的支持还允许企业跟踪用户和设备的制度遵从情况，无需执行策略缩短接入控制解决方案的部署时间

25、并降低成本；审计模式允许用户了解策略和必要的制度遵从情况，并允许企业分阶段地执行策略动态的认证策略利用现有的 AAA 投资支持 802.1X, RADIUS, LDAP, AD, RSA ACE, NIS, 凭证服务器 (数字证书/PKI), 本地登录/密码, Netegrity SiteMinder (计算机协会),RSA Cleartrust和Oblix (Oracle)，还支持RADIUS代理利用企业现有的目录和PKI投资以及严格的认证机制，允许管理员为每个用户会话制定动态的认证策略；RADIUS代理可满足后端RADIUS服务器的认证要求基于角色下载UAC代理您可基于角色下载UAC代理，

26、从而以适当的方式动态提供代理程序(基于代理的模式或无代理模式)允许企业基于用户及/或设备身份为其动态分配代理或无代理的接入模式，无需提前做出选择扩展了对认证协议的支持支持更多类型的可扩展认证协议 (EAP)允许企业利用更多的网络软件和设备，在多个部署环境中在接入层实施网络接入控制产品选件IC 4000和IC 6000提供多个可添加到产品中的软硬件选项。选项选项说明适用的产品协同威胁控制能够利用更多的接入控制和安全功能，通过让UAC与瞻博网络 IDP产品通信来基于瞻博网络 IDP的智能检测实现协同威胁控制IC 4000，IC 6000高级软件特性集（含集中管理器）提供更多的高级功能，满足拥有多类

27、用户和不同使用环境的更复杂部署的需求IC 4000，IC 6000冗余的热插拔硬盘冗余的热插拔硬盘IC 6000冗余的热插拔电源冗余的热插拔电源IC 6000技术规格IC4000IC6000外观尺寸和功耗尺寸（宽x高x厚）16.7 x 1.7 x 15 英寸（42.4 x 4.4 x 38.1厘米）16.7 x 3.5 x 16.2 英寸（42.4 x 8.9 x 41.2 厘米）重量一般 13.6 磅（6.17 千克）（不带包装）一般 28.5 磅（12.94 千克）（不带包装）AC电源100240 VAC，50 60 Hz，最高 2.5A，260 瓦100240 VAC，50 60 Hz，

28、最高 5 A，500 瓦系统电池CR2032 3V 纽扣锂电池CR2032 3V 纽扣锂电池效率全装载时最低 65%全装载时最低 65%MTBF8.2 万小时7.1 万小时材质18规（.048 英寸*）冷轧钢18规（.048 英寸*）冷轧钢风扇3个40 毫米滚珠轴承风扇，电源提供1个40毫米滚珠轴承风扇2个可从外部接入的热插拔滚珠轴承风扇面板显示屏前端面板电源按钮 是 是电源LED指示灯、HD活动及温度是是PS故障否是HDD活动和RAID状态LED指示灯否是端口流量2个RJ-45以太网 101001000全双工或半双工（自动协商）控制台1个9针串行控制台端口环境运行温度50F 至 95F（10

29、 至 35）存储温度-40F 至 158F（-40 至 70）相对湿度(运行)8%至90%，非冷凝相对湿度(存储)5%至95%，非冷凝海拔高度(运行)-50英尺至10,000英尺（3,000米）海拔高度(存储)-50英尺至35,000英尺（10,600米）认证安全认证EN60950-1：2001+A11，UL60950-1：2003，CSA C22.2 No.60950-1，IEC 60950-1：2001放射认证FCC A 类，VCCI A 类，CE A 类保修90 天；可通过支持合同延长订购信息Infranet控制器4000基础系统IC4000 Infranet 控制器4000基础系统端点

30、许可证IC4000-ADD-100E 为IC4000添加100名并发用户IC4000-ADD-250E 为IC4000添加250 名并发用户IC4000-ADD-500E 为IC4000添加500名并发用户IC4000-ADD-1000E 为IC4000添加1000名并发用户IC4000-ADD-2000E 为IC4000添加2000名并发用户IC4000-ADD-3000E 为IC4000添加3000名并发用户特性许可证IC4000-OAC-ADD-UAC 为Odyssey Access Client添加IC4000上的UAC支持群集许可证IC4000-CL 在IC4000上添加群集协同威胁

31、控制许可证IC4000-ADD-TCTRL IC 4000与瞻博网络 IDP协同控制威胁Infranet控制器6000基础系统IC6000 Infranet控制器6000基础系统端点许可证IC6000-ADD-250E 为IC6000添加250名并发用户IC6000-ADD-500E 为IC6000添加500名并发用户IC4000-ADD-1000E 为IC6000添加1000名并发用户IC6000-ADD-2000E 为IC6000添加2000名并发用户IC6000-ADD-3000E 为IC6000添加3000名并发用户IC6000-ADD-5000E 为IC6000添加5000名并发用户IC6000-ADD-10000E 为IC6000添加10000名并发用户IC6000-A