juniperuac解决方案.ppt

JuniperUAC方案介绍关键业务挑战&IT愿景爆炸性的接入需求挑战安全性客户、访客、合同商、合作伙伴、各种端点(包括受管理的和不受管理的)动态网络边界…但缺乏网络区隔可信任和不可信的网络区隔概念演化出可信任和不可信任的接入问题更复杂的威胁——需要减少响应时间以缓解/保护网络安全通过识别可能被利用的已知弱点,及时保证设备的策略符合性“灰色网络“-(不了解自己所拥有的网络!),恶意的&疏忽大意的人法规符合性和业务连续性谁在接入什么?异构环境,不同的网络基础设施、AAA服务器、端点软件需要在现有网络上即插即用的解决方案,无须淘汰和更换接入控制市场预期在连接之前评估安全状态对不符合要求的用户进行隔离和/或修复基于身份的网络准入控制你能进入网络吗?策略和基于身份的接入控制你能访问什么?在整个使用期间评估安全状态威胁管理必须包含下列功能针对下列用户群访客用户难以掌握接入安全状态无法管理的设备合同商不在现场需要接入各种企业资源远程或移动员工在办公室之外使用PC可能“粗心大意”可能运行非授权的应用程序终端安全方案目标终端自身安全性病毒的防护-防病毒系统补丁的管理分-补丁管理系统终端自身的防护-个人防火墙终端安全策略的强制执行不同终端的网络访问权限依据的因素用户身份信息终端类型(所处IP地址和位置)终端安全状况针对的对象核心服务器资源互联网其他的终端终端安全设计的整体思路部署相应的终端防护系统防病毒系统、补丁管理系统和个人防火墙系统依据安全域划分的原则将各种类型的终端进行逻辑隔离该隔离方案可以充分利用安全域的划分和隔离方案。将用户终端的管理与其网络访问权限结合起来。整个网络采用一套网络控制器,对终端进行统一的认证授权和策略的下发。采用统一的认证和授权机制,对内部网络的终端进行验证,认证和授权的内容不再局限于简单的用户名和密码。实现基于用户身份、所处网络位置(用户IP地址)、终端主机的安全状况的统一的授权。网络中的控制点作为策略的执行点(包括防火墙和交换机等)。根据终端用户认证信息的不同(用户身份、IP地址、终端主机的安全状况),在边界控制防火墙上动态的为该终端动态加载策略,实现不同的访问权限。对于不符合安全策略的终端,防火墙上阻断其访问权限,同时对其进行修复。JuniperUAC方案接入控制用户是否有权限接入网络访问控制用户是否有权限访问资源威胁控制用户不能在网络中引入威胁数据中心关键业务应用,文件服务器,ERP,执行端(EP)代理器(IA),验证,修正,遏制&控制器(IC)、(EP)移动工作者车载伴侣(EP)...防火墙进行访问控制DataCenterMissioncriticalapps,FileServers,ERP,CRMetcAAAServers(ActiveDirectory)Enforcer(IE)User终端用户发出请求,要访问防火墙保护的服务器,由于防火墙的规则配置要求只有通过IC认证的用户才可以访问这些服务器,该用户的请求被阻挡。终端用户的请求被防火墙重定向到IC的认证界面。IC通过SSL的方式向终端主机传送IA,利用ActiveX或者Java的方式从IC的登陆界面中对客户端自动安装IA软件。用户只需要在第一次登陆IC的时候安装IA软件,以后无需再次下载安装。IA软件对客户端的状况进行检查,如果与IC中定制的安全策略不相匹配,则将用户重新定向到相应的修复服务器,进行客户端安全软件的修复。客户端利用IA向IC进行身份认证,输入相应的用户名和密码。IC将用户名密码信息传送给AAA服务器进行认证,从AAA认证服务器上得到用户相关属性信息如组等。IC根据这些信息,判断该用户的权限和指定的安全策略。IC将该用户的访问权限,以SSH/SSL的方式下发到网络中的执行器,该例中策略将会下发到防火墙,IC上设置的个人防火墙策略也会下发到客户端IA上。由于在防火墙上已经有了相应的权限,该用户可以穿过防火墙访问其后保护的核心服务器**********UAC无代理器支持基于Web网络的无客户端接入提供:设备接入,,包括ISG,SSG75Mbps到30Gbps的性能覆盖多种网络安全策略的执行DOS保护入侵防护检测防病毒保护内容管理日志和审计SEM,Screen204&Screen25&Screen5200&Screen500