国产强伦姧在线观看无码,中文字幕99久久亚洲精品,国产精品乱码在线观看,色桃花亚洲天堂视频久久,日韩精品无码观看视频免费

1 企業(yè)面臨網(wǎng)絡(luò)安全風(fēng)險分析

1.1 企業(yè)發(fā)展現(xiàn)狀和趨勢

隨著網(wǎng)絡(luò)技術(shù)不斷發(fā)展和革新，以IP網(wǎng)絡(luò)為代表的開放網(wǎng)絡(luò)得到越來越多的應(yīng)用，網(wǎng)絡(luò)的互連越來越深入和廣泛，許多傳統(tǒng)型的或者新興行業(yè)的企業(yè)都紛紛利用互聯(lián)網(wǎng)技術(shù)，提高企業(yè)的生產(chǎn)力，眾多的企業(yè)核心業(yè)務(wù)已經(jīng)可以通過網(wǎng)絡(luò)進(jìn)行操作。隨著企業(yè)局域網(wǎng)規(guī)模的不斷擴(kuò)大，企業(yè)網(wǎng)絡(luò)用戶的數(shù)目和種類也不斷的擴(kuò)張，遠(yuǎn)程訪問的用戶，移動辦公的用戶，合作伙伴，最終用戶以及承包商等的主機(jī)，都需要接入企業(yè)網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)的交換。這樣的一個形式，也給企業(yè)的網(wǎng)絡(luò)管理提出了新的挑戰(zhàn)，出現(xiàn)了眾多的不可管理的或者管理很薄弱的終端主機(jī)。比如，合作伙伴，用戶或者承包商的主機(jī)網(wǎng)絡(luò)管理員根本無法去管理，即使是企業(yè)內(nèi)部的員工，有很多的移動用戶，其終端設(shè)備經(jīng)常被帶出企業(yè)的局域網(wǎng)之外工作，也給終端主機(jī)的管理帶來很大的難度。

對于眾多的分布式企業(yè)，很多都采用了所謂的“數(shù)據(jù)集中"的方式，將大量的應(yīng)用服務(wù)器集中整合在企業(yè)的數(shù)據(jù)中心，這種方法，在很大的程度上方便了管理，減少了網(wǎng)絡(luò)管理員的工作量和管理成本，但是，眾多服務(wù)器的集中部署，也很容易使其成為惡意用戶攻擊的對象。

1.2 威脅分析

企業(yè)的廣域網(wǎng)接入，也面臨著越來越多的威脅。首先，網(wǎng)絡(luò)當(dāng)中的安全漏洞越來越多，已經(jīng)開始慢慢走向平民化，大眾化，各種工具在互聯(lián)網(wǎng)上輕松可以得到，越來越多的電腦愛好者不斷學(xué)習(xí)各種網(wǎng)絡(luò)攻擊技術(shù)，不斷發(fā)掘各種網(wǎng)絡(luò)安全漏洞，以目前使用廣泛的Windows系統(tǒng)為例，微軟發(fā)布漏洞的周期在大大的縮短，漏洞的數(shù)量也在不斷的增長。針對微軟的漏洞，制造蠕蟲的速度也是越來越快，在微軟發(fā)布其漏洞后兩三天后，就會出現(xiàn)針對這個漏洞的蠕蟲，如果用戶的主機(jī)沒有及時打上相應(yīng)的補(bǔ)丁，就將成為這個蠕蟲的感染者和傳播者。以最近發(fā)生的ZOTOB蠕蟲泛濫為例，微軟于8月9日宣布補(bǔ)丁(星期二)；8月11日公布漏洞利用代碼(星期四)；8月13日蠕蟲發(fā)起攻擊(星期六)。由于蠕蟲通過139/tcp或445/tcp蔓延，因此，如果不損失Windows環(huán)境中的某些功能，端口不可能得到防火墻的保護(hù)。這意味著即使只有一臺受感染的筆記本進(jìn)入企業(yè)內(nèi)部，所有其他設(shè)備也將被感染。企業(yè)的損失是巨大的。

傳統(tǒng)的安方案，絕大部分的防護(hù)措施都是部署在網(wǎng)絡(luò)的邊界處，這里有個假設(shè)，就是內(nèi)網(wǎng)的用戶是可信的，但是從越來越多的危險來自可信的網(wǎng)絡(luò)，據(jù)統(tǒng)計７０％以上的網(wǎng)絡(luò)攻擊行為是來自企業(yè)內(nèi)部，其危害的程度也大大超過了來自互聯(lián)網(wǎng)的攻擊。內(nèi)部用戶的惡意攻擊，蓄意報復(fù)，甚至是不經(jīng)意的誤操作，都會造成企業(yè)核心敏感信息的破壞和泄漏。

1.3 已有安全方案分析

網(wǎng)絡(luò)安全的建設(shè)已經(jīng)成為目前企業(yè)網(wǎng)絡(luò)建設(shè)的一個重要的組成部分，眾多的企業(yè)用戶采用了不同的安方案，來減少系統(tǒng)的安全風(fēng)險。如采用了防火墻的解決方案，對網(wǎng)絡(luò)層的攻擊進(jìn)行阻擋，并且進(jìn)行相應(yīng)的訪問控制；采用入侵防范設(shè)備，對針對核心資產(chǎn)的應(yīng)用層攻擊實施阻擋；采用防病毒解決方案，避免企業(yè)內(nèi)部的服務(wù)器和終端遭受病毒和蠕蟲的感染；采用補(bǔ)丁管理解決方案，提高主機(jī)和服務(wù)器的健壯性；采用身份認(rèn)證（AAA）的解決方案，對不同的用戶進(jìn)行認(rèn)證、和記帳。這些相應(yīng)的解決方案，在很大的程度上降低了企業(yè)的安全風(fēng)險，抵御了企業(yè)網(wǎng)絡(luò)面臨的部分威脅，也減少了因為爆發(fā)安全時間造成的損失和影響。

但是我們發(fā)現(xiàn)，這些解決方案看起來更像是一些單點的安方案，并沒有針對企業(yè)網(wǎng)絡(luò)的實際情況做一個很好的整合，其中很多的安全技術(shù)，也沒有得到很好的強(qiáng)制實施，如經(jīng)常出現(xiàn)用戶終端沒有及時的更新防病毒軟件特征，沒有更新的補(bǔ)丁軟件，造成終端主機(jī)感染病毒或者遭受攻擊；個別用戶也可以巧妙的通過更改IP地址，方便的繞過防火墻，訪問未經(jīng)的資源等等。

1.4 風(fēng)險分析

事實上，目前企業(yè)網(wǎng)絡(luò)的邊界已經(jīng)變得越來越模糊，僅靠網(wǎng)絡(luò)邊緣的外圍設(shè)備已無法保證企業(yè)網(wǎng)絡(luò)的安全性。邊緣安全措施無法保護(hù)內(nèi)部網(wǎng)絡(luò)段，也無法替代主機(jī)安全措施。目前的企業(yè)用戶仍然面臨著很大的安全風(fēng)險。

— 即便企業(yè)運(yùn)行著防火墻等網(wǎng)絡(luò)周邊安全機(jī)制，病毒和電子郵件蠕蟲、特洛伊木馬、拒絕服務(wù)攻擊和其他惡意行為仍頻繁利用無法安全管理或者管理薄弱的最終用戶設(shè)備滲入企業(yè)環(huán)境。

— 即時消息傳遞（IM）或?qū)Φ乳g應(yīng)用(P2P)等新技術(shù)也帶來了新型威脅，新型威脅可以*繞過網(wǎng)絡(luò)周邊的安全設(shè)備，企業(yè)力求通過策略控制這些技術(shù)的使用，但此類策略在傳統(tǒng)網(wǎng)絡(luò)中幾乎無法執(zhí)行。

— 面向公眾的服務(wù)器或者移動用戶，必定會頻繁遭受各種類型的攻擊。而且，這些威脅和安全漏洞比想象的更難以覺察、更加危險——移動代碼可以通過安全的（但可移動的）PC進(jìn)入網(wǎng)絡(luò)，也有可能直接由內(nèi)部的主機(jī)發(fā)起。

2 企業(yè)需要統(tǒng)一的訪問控制解決方案

基于我們對目前的企業(yè)局域網(wǎng)絡(luò)的分析，數(shù)據(jù)訪問基本上可以分為五種：

— 企業(yè)園區(qū)內(nèi)的訪問，處于企業(yè)網(wǎng)內(nèi)部的員工、合作伙伴、承包商、訪客等的終端主機(jī)，直接接入企業(yè)的LAN內(nèi)部，進(jìn)行數(shù)據(jù)的交換。通常我們假設(shè)內(nèi)部網(wǎng)絡(luò)是安全的，可信的，但是，就目前的情況來看，我們很難去真正實現(xiàn)。

— 對數(shù)據(jù)中心和服務(wù)器區(qū)的訪問，企業(yè)的數(shù)據(jù)中心和服務(wù)器區(qū)可能包括WEB服務(wù)器，服務(wù)器等，是安全性較高的區(qū)域，一般都會部署相應(yīng)的安全防護(hù)策略。存在漏洞的服務(wù)器，可能會被每個用戶訪問。

— 分布式企業(yè)的訪問，企業(yè)用戶可能在不同的地方有自己的辦公分支，對于這些分支節(jié)點，由于距離的原因，對分支節(jié)點的終端很難做到統(tǒng)一的管理，也缺乏控制。

— 互聯(lián)網(wǎng)的訪問，企業(yè)網(wǎng)絡(luò)的互聯(lián)網(wǎng)接入，必然會使內(nèi)部的一些脆弱的主機(jī)，遭受到來自外部的攻擊和感染，如感染病毒，蠕蟲，被植入后門，間諜軟件，惡意軟件等等。

— 企業(yè)擴(kuò)展遠(yuǎn)程用戶的訪問，處于企業(yè)網(wǎng)外部的員工、合作伙伴、承包商、訪客等的終端主機(jī)，通過廣域網(wǎng)VPN連接，進(jìn)入企業(yè)網(wǎng)內(nèi)部，進(jìn)行數(shù)據(jù)的交換。這里的威脅主要包括網(wǎng)絡(luò)和應(yīng)用層的威脅會直接的帶入到網(wǎng)絡(luò)內(nèi)部，而內(nèi)部的核心數(shù)據(jù)，可能會被竊取帶走。

上面的五種不同的訪問方式，我們都需要一個更為全面的網(wǎng)絡(luò)訪問控制和終端控制，需要基于用戶標(biāo)識，網(wǎng)絡(luò)標(biāo)識，以及用戶終端安全狀況的統(tǒng)一的訪問控制解決方案。對于第五種的訪問，企業(yè)擴(kuò)展遠(yuǎn)程用戶的訪問，我們采用SSL VPN來實現(xiàn)，對于前四種的訪問，我們采用UAC的解決方案。

3 Juniper的解決之道

3.1 Juniper Infranet架構(gòu)

企業(yè)的目標(biāo)是通過使用開放標(biāo)準(zhǔn)，在限制用戶、增強(qiáng)并擴(kuò)展現(xiàn)有網(wǎng)絡(luò)周邊安全措施、以及確保長期兼容性之間實現(xiàn)均衡。企業(yè)必須在實現(xiàn)這個目標(biāo)的同時，確保以可靠的方式交付業(yè)務(wù)和應(yīng)用。Juniper Infranet架構(gòu)的目標(biāo)就是為企業(yè)提供一個安全的有保證的網(wǎng)絡(luò)，，我們必須通過使用控制、威脅控制和交付控制等多種方式進(jìn)行總體控制。此類結(jié)構(gòu)使企業(yè)能夠不再機(jī)械地應(yīng)對每個事件，而是創(chuàng)建確實構(gòu)建在基礎(chǔ)設(shè)施中的持續(xù)遵從制度和執(zhí)行策略的網(wǎng)絡(luò)。

3.1.1 使用控制

使用控制綜合考慮用戶、端點和資源后決定允許或拒絕哪些使用。使用控制遠(yuǎn)遠(yuǎn)超越了第2層的范圍，必須涵蓋整個虛擬網(wǎng)絡(luò)和基礎(chǔ)設(shè)施，包括防火墻、Web過濾、和目錄庫以及網(wǎng)絡(luò)登錄等。這個企業(yè)Infranet解決方案結(jié)合了使用控制的所有單元，包括端點防御。在此，解決方案將評估主機(jī)的制度遵從情況；對違規(guī)主機(jī)進(jìn)行修復(fù)；并為用戶、端點和會話角色以及網(wǎng)絡(luò)資源/應(yīng)用動態(tài)分配會話特定的接入權(quán)限。

3.1.2 威脅控制

威脅控制必須不局限于基本端點保護(hù)的范圍，擴(kuò)展到整個網(wǎng)絡(luò)以及對網(wǎng)絡(luò)流量的分析，包括防火墻上的深度檢測以及檢測和抵御入侵的能力。威脅控制還影響使用控制，因為它能夠從允許的接入中檢測出惡意內(nèi)容并將其清除。Juniper的企業(yè)基礎(chǔ)設(shè)施將網(wǎng)絡(luò)周邊的深度檢測防火墻與獲獎的入侵檢測與防護(hù)（IDP）產(chǎn)品結(jié)合在一起，能夠提供這種保護(hù)功能。這種結(jié)合以及防病毒功能集成，可以對無論是移動員工或不可管理PC無意間從網(wǎng)絡(luò)外部帶來的攻擊，還是來自于網(wǎng)絡(luò)內(nèi)部攻擊。提供全面的防護(hù)。

3.1.3 交付控制

安全的交付常被認(rèn)為是理所當(dāng)然，但實際上，它是必須構(gòu)建在基礎(chǔ)設(shè)施中才能確保成功的關(guān)鍵組件。交付控制確保應(yīng)用的安全交付；包括性能、服務(wù)質(zhì)量(QoS)、MPLS、虛擬專網(wǎng)(VPNs)、高可用性及路徑選等。Juniper網(wǎng)絡(luò)公司提供業(yè)界的防火墻/VPN平臺以及企業(yè)路由產(chǎn)品（這些產(chǎn)品與被服務(wù)供應(yīng)商廣泛使用的Juniper骨干路由器提供許多相同功能），可確保安全的交付控制。

3.2 企業(yè)Infranet UAC解決方案

企業(yè)Infranet是一個架構(gòu)，UAC（統(tǒng)一的訪問控制）就是針對這個架構(gòu)的解決方案，這個企業(yè)Infranet實施將Infranet的概念從運(yùn)營商擴(kuò)展到企業(yè)級別，結(jié)合了現(xiàn)有的網(wǎng)絡(luò)以及網(wǎng)絡(luò)安全技術(shù)（許多技術(shù)已被部署）與能夠同Juniper和第三方技術(shù)有效互操作，從而生成了基于標(biāo)準(zhǔn)的、可擴(kuò)展的、經(jīng)濟(jì)高效的網(wǎng)絡(luò)。

JuniperInfranet架構(gòu)的基礎(chǔ)是使用、交付和威脅控制。用于實現(xiàn)統(tǒng)一接入控制的企業(yè)Infranet解決方案是以使用控制為出發(fā)點的，它是確保即時獲得成功的最關(guān)鍵的元素。使用控制已是Juniper網(wǎng)絡(luò)公司市場的SSL VPN產(chǎn)品的主要組件，該產(chǎn)品設(shè)計用于在會話前和會話中提供端點評估，確保嚴(yán)格的驗證/，利用現(xiàn)有基礎(chǔ)設(shè)施，動態(tài)創(chuàng)建會話特定的角色和應(yīng)用極細(xì)粒度的資源策略等。這項功能原本用在企業(yè)擴(kuò)展用戶的遠(yuǎn)處訪問，現(xiàn)已擴(kuò)展到整個企業(yè)網(wǎng)絡(luò)，使用Infranet控制器將策略的可視性與現(xiàn)有執(zhí)行點連接在一起。Infranet控制器(IC)通過Infranet代理與Infranet執(zhí)行點通信。這些組件結(jié)合在一起，在現(xiàn)有企業(yè)基礎(chǔ)設(shè)施上創(chuàng)建了業(yè)務(wù)控制層，將端點/用戶智能與網(wǎng)絡(luò)和應(yīng)用智能集成在一起，以確保自適應(yīng)的、細(xì)粒度的使用控制級別。提供威脅控制和交付控制的其他組件也可以集成到這個解決方案中，無需對現(xiàn)有基礎(chǔ)設(shè)施進(jìn)行升級。當(dāng)用戶次登錄IC時，IC將動態(tài)下載Infranet代理(IA)。IA是輕量級軟件代理，確定端點是否遵從企業(yè)安全策略，類似于Juniper的SSL VPN主機(jī)安全檢查。與主機(jī)安全檢查相同，IA可配置用于檢查預(yù)定義的和自定制的標(biāo)準(zhǔn)，包括主機(jī)上的運(yùn)行程序、開發(fā)的端口、申請人的真實性、第三方安全軟件應(yīng)用的存在/版本等。如果發(fā)現(xiàn)用戶因缺乏端點安全應(yīng)用（如防病毒或惡意軟件防護(hù)以及缺乏相關(guān)的數(shù)據(jù)文件或設(shè)置等）引發(fā)的違規(guī)行為，它將把用戶發(fā)送到修復(fù)站點- 無次數(shù)限制，也無需中斷運(yùn)行。動態(tài)設(shè)置的IA還提供可選的認(rèn)證和加密傳輸，以便在必要時強(qiáng)制執(zhí)行網(wǎng)關(guān)策略。

Infranet代理收集的信息隨后被傳送回Infranet控制器?？刂破鲹碛凶约旱牟呗院涂刂埔?，并通過驗證服務(wù)器以及身份和目錄庫提供無縫通信?？刂破麟S后基于用戶驗證結(jié)果和對設(shè)備安全特征的實時檢查結(jié)果，授予用戶會話特定的網(wǎng)絡(luò)接入權(quán)限。將Infranet代理和控制器結(jié)合在一起，能夠有效防止違規(guī)主機(jī)連接企業(yè)網(wǎng)絡(luò)，并對企業(yè)網(wǎng)絡(luò)流量提供使用控制。

3.3 UAC方案的組件

3.3.1 網(wǎng)絡(luò)控制器（Infranet Controller）

網(wǎng)絡(luò)控制器（以下簡稱為IC）作為整個UAC解決方案的核心組件，擔(dān)負(fù)著對內(nèi)部用戶進(jìn)行統(tǒng)一的身份認(rèn)證，統(tǒng)一的訪問和策略下發(fā)的任務(wù)。

3.3.1.1 策略的統(tǒng)一配置

IC統(tǒng)一定義了對用戶終端安全檢測和訪問控制的一系列策略，可以針對不同的用戶，配置不同的客戶端安全檢查策略，包括防病毒軟件安裝與更新檢查策略，補(bǔ)丁更新策略，個人防火墻檢查策略，惡意程序檢測策略等。同時可以定義對不符合安全策略終端的修復(fù)，如重定向訪問終端到防病毒服務(wù)器、補(bǔ)丁管理服務(wù)器等，也可以直接殺死客戶端的某個惡意進(jìn)程，刪除某個惡意文件等。

3.3.1.2 用戶登陸

網(wǎng)絡(luò)集中控制器采用WEB的方式提供給終端用戶進(jìn)行認(rèn)證。終端用戶可以通過在瀏覽器中輸入https://的IP地址>這樣的方式，訪問IC，輸入個人的賬號信息，以便進(jìn)行身份認(rèn)證和。

管理員可以自由調(diào)整用戶登陸系統(tǒng)的標(biāo)識與詳細(xì)界面的外觀，以符合企業(yè)文化的需要，如，可以修改登陸界面的LOGO，更換為企業(yè)本身的LOGO，更換登陸界面的顏色，提示文字等等，也可以嵌入公司的自定制Web頁面。

并且可以可以對不同的用戶組實現(xiàn)不同的登陸界面和URL。

3.3.1.3 動態(tài)的身份認(rèn)證

IC系統(tǒng)支持全面的身份認(rèn)證解決方案，其本身可以作為企業(yè)內(nèi)部網(wǎng)絡(luò)的身份認(rèn)證服務(wù)器，同時IC系統(tǒng)還可以利用您網(wǎng)絡(luò)當(dāng)中已有的AAA服務(wù)器，支持多種認(rèn)證服務(wù)器系統(tǒng)的整合，如RADIUS、LDAP、Windows NT Domain、Active Directory、UNIX NIS、dual factor認(rèn)證，包括ActivCard ActivPack™、RSA SecurID®和Secure Computing SafeWord™PremierAccess™，IC系統(tǒng)也支持?jǐn)?shù)字證書的使用，可以單獨的利用客戶端的數(shù)字證書對用戶身份進(jìn)行驗證，從而避免了輸入用戶名/密碼的麻煩。

IC系統(tǒng)不僅僅考察客戶端主機(jī)的用戶標(biāo)識，即不但但把用戶的用戶名、密碼和其他的身份屬性作為認(rèn)證的標(biāo)準(zhǔn)，同時還通過獲取客戶端的其他的信息，也作為認(rèn)證的因素之一，這些信息包括：客戶端的IP地址、安裝的數(shù)字證書及其相關(guān)的屬性、終端安全狀況、操作系統(tǒng)類型、瀏覽器類型等。

IC系統(tǒng)還支持與認(rèn)證服務(wù)器的密碼管理功能的整合，即用戶登陸后，IC系統(tǒng)可以提供相應(yīng)的界面，來允許用戶修改AD，LDAP，Radius等認(rèn)證服務(wù)器的密碼。

3.3.1.4 動態(tài)的訪問

IC系統(tǒng)支持全面的細(xì)粒度的訪問控制機(jī)制，真正實現(xiàn)了關(guān)聯(lián)用戶的帳戶標(biāo)識，網(wǎng)絡(luò)標(biāo)識和終端狀況的動態(tài)控制。

IC系統(tǒng)可以通過多種要素對用戶身份進(jìn)行認(rèn)證，包括用戶身份的相關(guān)屬性（如用戶名，組等）、源地址、網(wǎng)絡(luò)接口（內(nèi)/外）、證書、節(jié)點安全狀況檢查、瀏覽器、操作系統(tǒng)等，IC系統(tǒng)可以根據(jù)這些內(nèi)容的不同，將登陸的用戶劃分為相應(yīng)的角色，并且基于角色實現(xiàn)，每個角色具有針對不同應(yīng)用資源的不同的訪問權(quán)限。

另外，IC系統(tǒng)對上述依據(jù)信息的獲取都是一個動態(tài)的過程，系統(tǒng)可以定時的檢查客戶端的相關(guān)信息。如可以定時的檢查客戶端的防病毒軟件是否開啟，如果用戶在使用過程中關(guān)閉了防病毒軟件，系統(tǒng)可能會因此在用戶的訪問過程中改變該用戶所屬的角色，可以強(qiáng)制將該用戶退出系統(tǒng)，或者重新為該用戶分配相應(yīng)的權(quán)限。這樣的話，就實現(xiàn)了一個動態(tài)的訪問規(guī)則的控制，也保證了用戶實時的策略遵從性。

3.3.1.5 訪問權(quán)限下發(fā)

用戶在控制器上正確登陸認(rèn)證后，會得到IC系統(tǒng)分配的相應(yīng)角色的權(quán)限，這些訪問權(quán)限作為策略，可以自動下發(fā)到網(wǎng)絡(luò)中的多個執(zhí)行器上或者客戶終端的個人防火墻上，而無需人工進(jìn)行干預(yù)。

Netscreen防火墻作為IC系統(tǒng)的主要的控制器，IC上配置的策略可以自動的下載到防火墻上，動態(tài)的對防火墻的策略進(jìn)行更新，用戶登陸到IC后，防火墻會自動的為該用戶打開的通道，允許用戶進(jìn)行相應(yīng)的訪問，用戶退出IC系統(tǒng)后，防火墻會自動關(guān)閉這個通道。在Netscreen防火墻上的策略執(zhí)行包括兩種，基于源地址的訪問控制策略和基于IPSEC的VPN訪問策略。

3.3.1.6 系統(tǒng)管理功能

IC系統(tǒng)支持基于角色的管理員機(jī)制，不同的管理員具有對不同模塊的管理功能，不同的讀寫權(quán)限。

IC系統(tǒng)對不同的管理員用戶進(jìn)行策略的匹配和相關(guān)的權(quán)限的分配，確定管理員角色的因素包括用戶名、用戶屬性、客戶端IP地址、客戶端證書、證書屬性、節(jié)點安全狀況、瀏覽器等等；管理員從權(quán)限上也可以劃分，可以分別設(shè)定對于不同的模塊是否具有管理功能，如不同的用戶組，不同的認(rèn)證服務(wù)器，不同的系統(tǒng)模塊等，同時對該模塊的管理也可以設(shè)為超級用戶、只讀用戶等多種。

IC系統(tǒng)可以生成詳細(xì)的日志信息，這些日志信息可以在本地保存，也可以傳送給相應(yīng)的SYSLOG服務(wù)器，由于SSL信道和認(rèn)證子模塊可以對客戶端和服務(wù)器終端進(jìn)行檢查，并且記錄下相關(guān)的信息，我們可以用這些日志進(jìn)行審計。管理員通過IC系統(tǒng)的日志管理器或者SYSLOG日志服務(wù)器，可以得到豐富的用戶訪問和系統(tǒng)狀態(tài)信息，如用戶的登入，退出，身份認(rèn)證結(jié)果，連接超時，用戶主機(jī)安全檢查狀況，系統(tǒng)自身配置改變，系統(tǒng)狀態(tài)等。同時可以利用日志管理器提供的過濾搜索功能，方便的查找出你想得到的信息。

3.3.1.7 系統(tǒng)安全性

IC系統(tǒng)本身具有足夠的安全性，通過TruSecure, CryptographyResearch 和iSec 等國際安全機(jī)構(gòu)的安全認(rèn)證，系統(tǒng)本身數(shù)據(jù)采用AES加密的保存方式，只有本身的應(yīng)用才可以正確的讀到這些數(shù)據(jù)。

IC系統(tǒng)采用了優(yōu)化的Linux內(nèi)核和額外優(yōu)化的服務(wù)器軟件的加固硬件系統(tǒng)，該系統(tǒng)被設(shè)計成可以抵御針對系統(tǒng)的攻擊和針對通過該系統(tǒng)數(shù)據(jù)的攻擊。系統(tǒng)可以通過只運(yùn)行完成關(guān)鍵任務(wù)的服務(wù)來防止攻擊，這些關(guān)鍵的服務(wù)在開發(fā)時就進(jìn)行了安全加固，確保系統(tǒng)的安全性.系統(tǒng)不運(yùn)行通常的用戶和程序服務(wù)，因此不會導(dǎo)致針對這些服務(wù)的攻擊。系統(tǒng)不允許管理員創(chuàng)建、維護(hù)系統(tǒng)級的用戶帳號。因為沒有交互式的Shell和打開的系統(tǒng)帳號，潛在的入侵者無法嘗試?yán)么嗳醯目诹?、缺省帳號或遺棄的帳號對系統(tǒng)進(jìn)行非的訪問。

IC系統(tǒng)內(nèi)部采用了內(nèi)核級別的包過濾機(jī)制，利用預(yù)定義的一些規(guī)則，對進(jìn)入系統(tǒng)的數(shù)據(jù)包進(jìn)行判斷和檢查，保證了只有合法的數(shù)據(jù)包才可以進(jìn)入IC系統(tǒng)。

3.3.2 客戶端代理（Infranet Agent）

客戶端代理軟件安裝在用戶的終端計算機(jī)上，用戶通過終端代理軟件，實現(xiàn)面向IC的身份認(rèn)證，信息搜集和自身訪問策略的加載。

3.3.2.1 自動的客戶端軟件的安裝

對于終端管理方案，管理員頭疼的問題就是終端進(jìn)行軟件的安裝，Juniper UAC解決方案采用了客戶端代理軟件自動安裝的方式，無需管理員逐一的對客戶端的主機(jī)進(jìn)行軟件的預(yù)安裝，極大的減少了管理員的工作量。終端用戶通過WEB方式登陸到網(wǎng)絡(luò)控制器后，就可以實現(xiàn)自動的下載，自動的安裝。

IA軟件的安裝也可以采用其他的方式，如采用分發(fā)的形式進(jìn)行預(yù)安裝，也可以采用Juniper 安裝服務(wù)的方式進(jìn)行統(tǒng)一的安裝。

3.3.2.2 跨平臺的支持

JuniperIA客戶端代理軟件提供跨平臺的支持，可以支持目前主流的操作系統(tǒng)，如Windows XP SP1/SP2，Windows 2K，Mac OS ,Linux等，用戶終端無論采用上述的那種系統(tǒng)，都可以輕松的接入到UAC的解決方案當(dāng)中，進(jìn)行統(tǒng)一的訪問控制。

另外，對于Windows XP、Windows 2K系統(tǒng)，IA提供了更為全面的功能，如可以支持在Windows 域環(huán)境下對網(wǎng)絡(luò)控制器的單點登陸，在管理員采用域認(rèn)證服務(wù)器對IC進(jìn)行認(rèn)證的情況下，用戶在登陸域的同時，也可以自動的登陸到IC系統(tǒng)當(dāng)中，無需兩次輸入用戶名和密碼。IA也充分的利用了Windows 平臺的IPSec功能，通過配置，IA可以自動的與網(wǎng)絡(luò)當(dāng)中的IE(Netscreen 防火墻)之間建立IPSec VPN通道，在內(nèi)網(wǎng)直接實現(xiàn)封裝、加密的安全傳輸，保證了敏感的數(shù)據(jù)即使在內(nèi)網(wǎng)也可以不被人竊取和偵聽。

3.3.2.3 客戶端安全檢查

以前通用的解決方案，注重了網(wǎng)絡(luò)級的安全建設(shè)，核心的保護(hù)措施都部署在網(wǎng)絡(luò)邊界處，而忽視了終端的安全性，Juniper 的UAC解決方案有效的將終端與網(wǎng)絡(luò)和應(yīng)用訪問結(jié)合在一起，我們認(rèn)為，終端的概念不僅僅包括這臺主機(jī)的網(wǎng)絡(luò)IP地址，登陸的用戶的信息，也包含該終端主機(jī)的整體的狀態(tài)，如安全狀況，操作系統(tǒng)等等信息。對于一個企業(yè)網(wǎng)絡(luò)，我們都有一個整體的安全策略和規(guī)范，只有符合這個安全策略的用戶和主機(jī)，他的接入才不會影響整體網(wǎng)絡(luò)的安全性。

Juniper的IA客戶端代理軟件，可以對接入節(jié)點的安全策略進(jìn)行檢查，并且通知IC，根據(jù)檢查的結(jié)果，實施相應(yīng)的訪問控制。IA檢查的內(nèi)容可以包括客戶端的防病毒軟件，個人防火墻軟件，惡意程序保護(hù)軟件，間諜軟件防護(hù)等，以及他們的更新情況。

目前來講，就終端安全檢查方面，國際的標(biāo)志為TNC。

TCG-TNC標(biāo)準(zhǔn)

可信計算集團(tuán)（TCG ，Trusted Computing Group）是一個編寫NAC標(biāo)準(zhǔn)的行業(yè)集團(tuán)，其目標(biāo)是促進(jìn)多廠商互操作性。該集團(tuán)也擁有自己的NAC方案。可信網(wǎng)絡(luò)連接（TNC）規(guī)定了廠商用于TNC架構(gòu)的各類設(shè)備上的產(chǎn)品接口。TCG將NAC定義為一種“能夠在端點連接至企業(yè)網(wǎng)絡(luò)的過程中應(yīng)用和執(zhí)行各類安全要求的開放的、非專用的規(guī)格。"可信網(wǎng)絡(luò)連接技術(shù)TNC(Trusted NetworkConnection)是建立在基于主機(jī)的可信計算技術(shù)之上的，其主要目的在于通過使用可信主機(jī)提供的終端技術(shù)，實現(xiàn)網(wǎng)絡(luò)訪問控制的協(xié)同工作。又因為完整性校驗被終端作為安全狀態(tài)的證明技術(shù)，所以用TNC的權(quán)限控制策略可以估算目標(biāo)網(wǎng)絡(luò)的終端適應(yīng)度。TNC網(wǎng)絡(luò)構(gòu)架會結(jié)合已存在的網(wǎng)絡(luò)訪問控制策略(例如802.1x、IKE、Radius協(xié)議)來實現(xiàn)訪問控制功能。

JuniperUAC 解決方案可以全面支持TNC標(biāo)準(zhǔn)，可以與Symantec, McAFee,IBM,PatchLink等安全廠商做緊密的結(jié)合，從而來判斷終端安全性。

同時，Juniper提供大量的預(yù)定義安全檢查策略，如果預(yù)定義的策略中包括了網(wǎng)絡(luò)中部署終端安全軟件，管理員可以直接利用這些策略對登陸的主機(jī)進(jìn)行評估。預(yù)定義的策略包含了下面的產(chǎn)品，并且名單處于不斷的更新中。

— 防病毒廠商 Authentium, BitDefender,AVG, Clamwin, CA, Dr Web, Symantec (Norton), McAfee, Panda, Sophos, F-Secure,Kaspersky Labs, Zone Labs, SBC Yahoo AV, Trend Micro, Antivir, F-Prot, Nod 32

— 個人防火墻廠商: ISS, Microsoft, Symantec(Norton and Sygate), McAfee, Zone Labs, Tiny Software (CA)

— 防間諜軟件廠商: Lavasoft (Ad-aware),Computer Associates (Pest Patrol), McAfee, Prevx, Webroot (spy sweeper),PCTools (spyware doctor), Java cool software (spyware blaster), Microsoft,Trend Micro, Bulletproofsoft, Spyware begone, SBC Yahoo

對于目前還沒有進(jìn)行預(yù)定義檢測策略，系統(tǒng)也支持強(qiáng)大的自定義功能，可以檢測的內(nèi)容包括：

— 注冊表參數(shù)檢查

— 開放/不允許的 ports檢查

— 允許/不允許的進(jìn)程檢查

— 允許/不允許的文件檢查

— 檢查定制的dlls

— 對第三方軟件實施心跳檢查

— 應(yīng)用認(rèn)證檢查 (進(jìn)程, 文件 MD5 Hash)

Juniper解決方案當(dāng)中，客戶端的安全檢查是包含在用戶登陸前，登陸后的各個階段，可以實時的獲得用戶的主機(jī)狀態(tài)，并且根據(jù)狀態(tài)進(jìn)行實時的。當(dāng)用戶在通過認(rèn)證后的網(wǎng)絡(luò)訪問過程中，主機(jī)的狀態(tài)發(fā)生變化（如防病毒軟件關(guān)閉），那么他的相應(yīng)的權(quán)限也有可能發(fā)生變化。

系統(tǒng)對于不符合安全策略的客戶端，提供了自定義的修復(fù)功能，比如對于沒有安裝防病毒軟件或者病毒軟件沒有及時更新的主機(jī)，可以采用將其重定向到病毒更新服務(wù)器方法，強(qiáng)制其進(jìn)行更新；對于沒有對操作系統(tǒng)進(jìn)行足夠補(bǔ)丁的主機(jī)，可以重定向到補(bǔ)丁服務(wù)器；對于存在惡意進(jìn)程的主機(jī)，可以采用殺死該進(jìn)程或者刪除文件的修復(fù)方法等。

3.3.2.4 個人防火墻

JuniperIA客戶端代理當(dāng)中，包含了一個個人防火墻的功能（Host Enforcer），通過個人防火墻，可以實現(xiàn)了針對各個終端的連接訪問控制?？梢宰柚菇K端直接的互相的惡意訪問，病毒和蠕蟲的傳播等等。個人防火墻上的策略由管理員統(tǒng)一進(jìn)行配置和策略下發(fā)，即使該終端的用戶沒有到IC上進(jìn)行認(rèn)證，個人防火墻功能依然可以生效。

3.3.3 網(wǎng)絡(luò)執(zhí)行器（Infranet Enforcer）

網(wǎng)絡(luò)執(zhí)行器是指部署在網(wǎng)絡(luò)當(dāng)中的網(wǎng)絡(luò)接入設(shè)備和網(wǎng)絡(luò)安全設(shè)備，這些設(shè)備可以執(zhí)行來自IC的統(tǒng)一的策略，對特定的用戶的網(wǎng)絡(luò)訪問進(jìn)行控制。目前UAC解決方案中的執(zhí)行器包括Netscreen系列安全產(chǎn)品，如防火墻、入侵防護(hù)、應(yīng)用前端系統(tǒng)等，也包括支持標(biāo)準(zhǔn)的802.1x協(xié)議的交換機(jī)和無線接入設(shè)備等等。

3.3.3.1 防火墻

Juniper網(wǎng)絡(luò)公司的防火墻產(chǎn)品Netscreen系列集成安全產(chǎn)品是執(zhí)行關(guān)鍵安全功能的專用產(chǎn)品，優(yōu)化用于限度地提供性能，由安全性特定的實時操作系統(tǒng)ScreenOS所控制。這個操作系統(tǒng)從一開始就設(shè)計用于以低成本執(zhí)行安全功能，而且不像依賴通用操作系統(tǒng)的其他安全產(chǎn)品那樣容易生成安全漏洞。通過性能和接口密度各不相同的廣泛平臺，Juniper網(wǎng)絡(luò)公司防火墻產(chǎn)品可滿足中小企業(yè)、大型分布式企業(yè)及服務(wù)供應(yīng)商的許多需求。這些集成產(chǎn)品提供網(wǎng)絡(luò)和應(yīng)用層保護(hù)、虛擬專網(wǎng)(VPN)功能和拒絕服務(wù)(DoS)防護(hù)功能。Juniper防火墻作為深層檢測防火墻，擴(kuò)展了狀態(tài)檢測功能，能夠檢測應(yīng)用層攻擊并在網(wǎng)絡(luò)周邊阻斷它們，集成入侵防護(hù)針對企業(yè)、運(yùn)營商和數(shù)據(jù)中心環(huán)境的蠕蟲、特洛伊木馬、間諜軟件和惡意軟件提供的應(yīng)用層保護(hù)。Juniper防火墻基于策略的集中管理簡化了部署和全網(wǎng)絡(luò)升級工作，從而限度地減少了忽略安全漏洞的幾率；虛擬技術(shù)允許管理員將網(wǎng)絡(luò)分成多個安全區(qū)域以實現(xiàn)進(jìn)一步的保護(hù)，固有的高可用性特性允許成對部署產(chǎn)品以消除單點故障，快速部署特性幫助限度地減少重復(fù)工作以及因大規(guī)模部署帶來管理負(fù)擔(dān)。

Juniper防火墻的全線產(chǎn)品，包括原有的Netscreen系統(tǒng)防火墻，SSG和ISG系列安全網(wǎng)關(guān)，都可以作為UAC解決方案中的網(wǎng)絡(luò)執(zhí)行器使用，通過IC進(jìn)行統(tǒng)一的策略配置，將各個用戶的不同的權(quán)限策略下發(fā)到網(wǎng)絡(luò)中的任何一臺防火墻上，實現(xiàn)了針對用戶的網(wǎng)絡(luò)層的訪問控制。

3.3.3.2 交換機(jī)和無線接入點

JuniperUAC解決方案支持標(biāo)準(zhǔn)的802.1x協(xié)議，支持這個協(xié)議的內(nèi)網(wǎng)的交換機(jī)設(shè)備和無線接入設(shè)備都可以作為Juniper解決方案當(dāng)中的網(wǎng)絡(luò)執(zhí)行器。

802.1x協(xié)議起源于802.11協(xié)議，后者是標(biāo)準(zhǔn)的無線局域網(wǎng)協(xié)議，802.1x協(xié)議的主要目的是為了解決無線局域網(wǎng)用戶的接入認(rèn)證問題。現(xiàn)在已經(jīng)開始被應(yīng)用于一般的有線LAN的接入。為了對端口加以控制，以實現(xiàn)用戶級的接入控制。802.1x就是IEEE為了解決基于端口的接入控制（Port-Based Access Control）而定義的一個標(biāo)準(zhǔn)。802.1X的認(rèn)證的最終目的就是確定一個端口是否可用。對于一個端口，如果認(rèn)證成功那么就“打開"這個端口，允許文所有的報文通過；如果認(rèn)證不成功就使這個端口保持“關(guān)閉"，此時只允許802.1X的認(rèn)證報文EAPOL（Extensible AuthenticationProtocol over LAN）通過。

1. 從Juniper的解決方案來看，用戶終端接入交換機(jī)設(shè)備，物理網(wǎng)線連接。這個時候用戶沒有得到IP地址，沒有任何的IP訪問權(quán)限，只允許802.1X的認(rèn)證報文通過。

2. 交換機(jī)檢查用戶終端是否含有802.1X的客戶端，如果沒有，則將其分配到guest VLAND當(dāng)中，獲得該VLAN的IP地址，與IC實行了路由的可連接，用戶可以登陸到IC上，自動的下載和安裝相應(yīng)的IA客戶端軟件。

3. 安裝了客戶端軟件的主機(jī)，可以利用802.1x認(rèn)證客戶端進(jìn)行身份認(rèn)證。向交換機(jī)發(fā)送身份信息和主機(jī)的安全檢查結(jié)果。

4. IA客戶端對用戶的主機(jī)進(jìn)行安全檢查，通過認(rèn)證的主機(jī)如果不符合企業(yè)的安全策略，交換機(jī)會將其分配跟修復(fù)服務(wù)器同一個VLAN中，自動的重定向到修復(fù)服務(wù)器進(jìn)行修復(fù)。

5. 如果認(rèn)證的主機(jī)符合企業(yè)的安全策略，交換機(jī)會將其分配到內(nèi)部網(wǎng)絡(luò)的VLAN,與內(nèi)部的服務(wù)器之間實現(xiàn)路由可達(dá)，只要用戶具備相應(yīng)的訪問權(quán)限，即可以進(jìn)行針對服務(wù)器的數(shù)據(jù)訪問。

3.3.3.3 入侵防范

Juniper網(wǎng)絡(luò)公司入侵檢測與防護(hù)產(chǎn)品（IDP）可以為企業(yè)用戶提供全面易用的串聯(lián)保護(hù)措施，能夠在網(wǎng)絡(luò)層和應(yīng)用層攻擊產(chǎn)生任何實際損害前終止它們，從而限度地縮短與入侵相關(guān)的時間，避免攻擊造成的損失，降低管理成本。JUNIPER IDP系統(tǒng)支持多達(dá)八種的攻擊檢測的手段，如狀態(tài)簽名，協(xié)議異常，流量異常，二層攻擊，泛洪攻擊，網(wǎng)絡(luò)蜜罐，后門檢測和欺騙攻擊等，并且可以通過八種技術(shù)相結(jié)合的方式進(jìn)行檢測。其中后門檢測和網(wǎng)絡(luò)蜜罐更是JUNIPER IDP的技術(shù)，與其他產(chǎn)品僅有簽名檢測，協(xié)議異常，泛洪攻擊幾種方式相比，檢測的手段更加豐富，檢測攻擊的種類更多，準(zhǔn)確率更高。Juniper公司擁有專業(yè)的安全團(tuán)隊，同時與CERT，微軟，CVE等安全組織和廠商擁有良好的合作關(guān)系，提供了業(yè)界的每日的攻擊特征更新(大大高于一般安全廠商提供的兩周的更新頻率)，支持當(dāng)天對微軟軟件漏洞提供防護(hù)，保證了可以在的時間檢測到的攻擊，目前Juniper-IDP系統(tǒng)當(dāng)中已有的攻擊特征已經(jīng)超過了4000種。能夠提供Zero-Day防護(hù)，以抵御針對蠕蟲、特洛伊木馬、間諜軟件、鍵盤記錄和其他惡意軟件，防止它們穿過網(wǎng)絡(luò)或通過已被感染的用戶擴(kuò)散到其他用戶。Juniper網(wǎng)絡(luò)公司IDP不僅幫助抵御網(wǎng)絡(luò)攻擊，還能提供關(guān)于擅自添加到網(wǎng)絡(luò)中的服務(wù)器和應(yīng)用的信息。能夠了解添加到網(wǎng)絡(luò)中的對等間或即時消息處理等非法應(yīng)用,可幫助管理員更輕松地執(zhí)行安全策略并遵守公司應(yīng)用規(guī)則。Juniper網(wǎng)絡(luò)公司IDP采用基于規(guī)則的集中管理方法，對系統(tǒng)行為進(jìn)行細(xì)粒度控制，并支持輕松接入廣泛的日志及可全面定制的報告。 Juniper網(wǎng)絡(luò)公司IDP是保證關(guān)鍵信息資產(chǎn)安全性，對網(wǎng)絡(luò)威脅進(jìn)行控制的工具。

Juniper的IDP入侵防范系統(tǒng)的全套產(chǎn)品線，包括IDP50，200，600和1100，以及帶有專用IDP模塊的Netscreen ISG防火墻，都可以作為UAC解決方案中的網(wǎng)絡(luò)執(zhí)行器，通過統(tǒng)一的策略配置，可以對的用戶的流量進(jìn)行3－7層的流量控制，尤其是在應(yīng)用層的流量控制方面，如BT下載，MSN，以及其他一些P2P流量，即時通訊等，有著網(wǎng)絡(luò)層設(shè)備（如防火墻）無法完成的作用。

3.3.3.4 應(yīng)用前端

Juniper 網(wǎng)絡(luò)公司 DX 系列應(yīng)用前端平臺，可在易于管理且非常靈活的平臺內(nèi)為企業(yè)的WEB服務(wù)器提供的應(yīng)用性能、安全性和可用性。

利用 Juniper 網(wǎng)絡(luò)公司 DX 系列應(yīng)用加速平臺，通?？墒乖L問業(yè)務(wù)關(guān)鍵應(yīng)用的時間縮短一半 － 極大地提高應(yīng)用可用性和可接受性，尤其對遠(yuǎn)程和分支機(jī)構(gòu)用戶更為有效。DX 平臺可實時優(yōu)化并壓縮所有發(fā)出的 Web 數(shù)據(jù)，而且時延幾乎可以忽略不計。內(nèi)容忠實性得以維護(hù)，確保 Web 內(nèi)容一直都可以地精確再現(xiàn)；無論用戶處于什么位置，采用何種網(wǎng)絡(luò)連接，都可極大地降低帶寬使用，用戶也能夠體驗到更加快速的頁面加載?？蛇x的 3G 緩沖功能可進(jìn)一步改進(jìn)用戶響應(yīng)時間，消除關(guān)鍵的服務(wù)器，以提高可擴(kuò)展性和性能。

Juniper DX 平臺還可作為傳輸代理來管理服務(wù)器與用戶間的所有連接和請求，提高 Web 和應(yīng)用服務(wù)器的容量。所有 DX 平臺都可利用可用的服務(wù)器和網(wǎng)絡(luò)資源，使 Web 服務(wù)器 的 CPU 可用于其他任務(wù)，最多可使 Web 和應(yīng)用服務(wù)器的容量增加 10 倍。

DX的“內(nèi)部防火墻"功能可補(bǔ)充現(xiàn)有的安全設(shè)備，進(jìn)一步保護(hù)關(guān)鍵傳輸區(qū)域中的“Web 層"免受潛在的 TCP 和 HTTP/Web 惡意攻擊；支持 Web 的應(yīng)用就位于這一區(qū)域內(nèi)。Juniper DX 可利用現(xiàn)有的 RADIUS 和 LDAP 基礎(chǔ)設(shè)施對用戶進(jìn)行驗證，并能夠提供請求前的。DX 平臺還可保護(hù)數(shù)據(jù)和連接，保護(hù)服務(wù)器免受 DOS 和 SYN 泛濫攻擊；該平臺還可提供基于本機(jī) HTTP 協(xié)議通信的特殊安全功能，以實現(xiàn)強(qiáng)大、靈活且可適應(yīng)的安全功能。

Juniper的DX應(yīng)用前端系統(tǒng)通常部署在企業(yè)的重要的WEB服務(wù)器之前，作為UAC解決方案中的網(wǎng)絡(luò)執(zhí)行器之一，他可以對用戶終端通向WEB服務(wù)器的所有的應(yīng)用層流量啟動控制功能，如可以控制某個用戶訪問的URL,訪問的WEB內(nèi)容等等，起到了一個應(yīng)用層防火墻的作用。

3.4 UAC方案流程分析

JuniperUAC的統(tǒng)一訪問控制解決方案部署簡單易用，如果網(wǎng)絡(luò)當(dāng)中已經(jīng)部署了防火墻設(shè)備，終端安全保護(hù)軟件（如防病毒，補(bǔ)丁管理），身份認(rèn)證系統(tǒng)（AAA），只需要再添加一臺Juniper IC設(shè)備，作為整體的用戶認(rèn)證和訪問策略的管理，我們就可以充分的利用已有的網(wǎng)絡(luò)安全建設(shè)，結(jié)合IC的策略管理，完成統(tǒng)一的訪問控制。

UAC的解決方案對最終的用戶是透明的，終端電腦無需預(yù)先安裝客戶端軟件，利用IE對訪問重定向的技術(shù)，終端用戶也無需主動到IC上進(jìn)行認(rèn)證，方便了最終用戶的體驗，

下面的圖例是一個典型的UAC方案的部署，在內(nèi)部網(wǎng)絡(luò)當(dāng)中部署了Netscreen ISG2000防火墻網(wǎng)絡(luò)執(zhí)行器（IE），對核心的服務(wù)器資源進(jìn)行保護(hù)；部署了微軟的Active Directory，做為AAA認(rèn)證服務(wù)器。

1. 終端用戶發(fā)出請求，要訪問Netscreen ISG2000防火墻保護(hù)的核心服務(wù)器，由于防火墻的規(guī)則配置要求只有通過IC認(rèn)證的用戶才可以訪問這些服務(wù)器，該用戶的請求被阻擋。

2. 終端用戶的請求被Netscreen ISG2000防火墻重定向到IC的認(rèn)證界面。

3. IC通過SSL的方式向終端主機(jī)傳送IA，利用ActiveX或者Java的方式從IC的登陸界面中對客戶端自動安裝IA軟件。用戶只需要在次登陸IC的時候安裝IA軟件，以后無需再次下載安裝。

4. IA軟件對客戶端的狀況進(jìn)行檢查，如果與IC中定制的安全策略不相匹配，則將用戶重新定向到相應(yīng)的修復(fù)服務(wù)器，進(jìn)行客戶端安全軟件的修復(fù)。

5. 客戶端利用IA向IC進(jìn)行身份認(rèn)證，輸入相應(yīng)的用戶名和密碼。

6. IC將用戶名和密碼信息傳送給AAA服務(wù)器，進(jìn)行認(rèn)證，從AAA認(rèn)證服務(wù)器上得到用戶的相關(guān)屬性信息，如組等。

7. IC根據(jù)這些信息，判斷該用戶的權(quán)限和的安全策略。

8. IC將該用戶的訪問權(quán)限，以SSH/SSL的方式下發(fā)到網(wǎng)絡(luò)中的執(zhí)行器，該例中策略將會下發(fā)到Netscreen ISG2000防火墻，

9. IC上設(shè)置的個人防火墻策略也會下發(fā)到IA上。

10. 由于在防火墻上已經(jīng)有了相應(yīng)的權(quán)限，該用戶可以穿過Netscreen ISG2000訪問其后保護(hù)的核心服務(wù)器。

3.5 UAC方案的使用環(huán)境舉例

統(tǒng)一的訪問控制解決方案，適合于不同的網(wǎng)絡(luò)環(huán)境，下面我們將簡單描述一下擴(kuò)展企業(yè)、分布式企業(yè)、WAN網(wǎng)關(guān)、數(shù)據(jù)中心和園區(qū)網(wǎng)LAN的統(tǒng)一訪問控制解決方案，這些方案可能會組合在一起，應(yīng)用到某個用戶的實際環(huán)境當(dāng)中。

3.5.1 面向擴(kuò)展企業(yè)的企業(yè)Infranet

對于擴(kuò)展企業(yè)，遠(yuǎn)程用戶的接入，我們建議采用Juniper的安全接入SSL VPN平臺實現(xiàn)統(tǒng)一的訪問控制。通過Network Connect網(wǎng)絡(luò)層接入方法實現(xiàn)將IPSec傳輸?shù)母咝阅芘cSSL的易用性結(jié)合在一起，構(gòu)成了自適應(yīng)傳輸模式，可確保在每個網(wǎng)絡(luò)環(huán)境中實現(xiàn)連接。Juniper的核心無客戶端Web接入方法仍然是業(yè)界的標(biāo)準(zhǔn)，支持基于多種WEB應(yīng)用，包括復(fù)雜的XML的內(nèi)容和Flash內(nèi)容，并為Java applets提供單獨的交付平臺，對于只使用WEB平臺作為內(nèi)部應(yīng)用的網(wǎng)絡(luò)，提供了更為安全，更為方便的解決方案。此外，Juniper使用的第三方安全應(yīng)用，終端的安全檢查等機(jī)制，為每個會話應(yīng)用的保護(hù)和控制。

3.5.2 面向分布式企業(yè)的企業(yè)Infranet

使用控制和威脅控制可輕松應(yīng)用于分布式企業(yè)?？蛻敉ǔＴ谶@些位置部署小型防火墻/VPN，如Juniper網(wǎng)絡(luò)公司NetScreen-200產(chǎn)品家族或者SSG系列安全網(wǎng)關(guān)。用戶通常從不安全的網(wǎng)絡(luò)或使用不可管理的端點進(jìn)入分支辦事處，然后通過站點間的IPSec隧道直接接入企業(yè)LAN。Juniper的NetScreen防火墻現(xiàn)已提供深層檢測和防病毒檢測特性，因此，已經(jīng)能夠牽制某些威脅。UAC的解決方案可通過適當(dāng)策略使分支辦事處的防火墻能夠用作Infranet執(zhí)行器，允許連接前先檢查用戶的策略遵從情況，從而消除安全問題的主要來源。

3.5.3 面向WAN網(wǎng)關(guān)的企業(yè)Infranet

使用不可管理的或違規(guī)端點接入互聯(lián)網(wǎng)的用戶，通常也是網(wǎng)絡(luò)安全的一個薄弱環(huán)境。Juniper業(yè)界的ISG防火墻/VPN用于處理WAN網(wǎng)關(guān)中常見的千兆級流量，并對流量進(jìn)行深層檢測。此外，ISG現(xiàn)已提供集成的入侵檢測與防護(hù)(IDP)模塊， 并且也可以作為Infranet執(zhí)行器之一。除了千級兆的吞吐量外，IDP模塊還將添加其他的重要安全特性，如L7檢測、間諜軟件和shell碼防護(hù)等，并同時考慮客戶端到服務(wù)器以及服務(wù)器到客戶端的流量。當(dāng)用作Infranet執(zhí)行器時，這些平臺將把其*的安全特性與傳統(tǒng)的控制及網(wǎng)絡(luò)流量可視性結(jié)合在一起。用戶終端在想要訪問互聯(lián)網(wǎng)時，必須首先接受IC的認(rèn)證和檢查，比如其防病毒軟件的安裝和更新狀況，其操作系統(tǒng)補(bǔ)丁情況，只有通過了正常的身份認(rèn)證，并且符合了企業(yè)的安全策略，足夠健壯的客戶端，才可以去訪問互聯(lián)網(wǎng)，這樣的客戶端可以避免受到來自互聯(lián)網(wǎng)惡意網(wǎng)站，惡意程序的侵襲，保證了內(nèi)網(wǎng)的安全性。

3.5.4 數(shù)據(jù)中心的企業(yè)Infranet

數(shù)據(jù)中心是也要網(wǎng)絡(luò)的一個重要的安全領(lǐng)域，一般情況下，企業(yè)采用防火墻對數(shù)據(jù)中心進(jìn)行保護(hù)，防火墻的保護(hù)措施只能是基于地址和端口的訪問。然而，當(dāng)防火墻用作企業(yè)Infranet執(zhí)行器時，就可以結(jié)合多種因素，全面保護(hù)敏感資源和應(yīng)用。已通過評估和驗證的端點可以接入數(shù)據(jù)中心，其他沒有經(jīng)過認(rèn)證或者端點安全性不夠的主機(jī)，不能穿透防火墻與數(shù)據(jù)中心的資源進(jìn)行通訊。這樣，通過屏蔽不可管理的或違規(guī)端點，Juniper網(wǎng)絡(luò)公司企業(yè)Infranet可在無需替換任何基礎(chǔ)設(shè)施的前提下，更好的實現(xiàn)了數(shù)據(jù)中心的安全性。

3.5.5 園區(qū)網(wǎng)LAN的企業(yè)Infranet

擴(kuò)展企業(yè)中的用戶通常通過登錄SSL VPN進(jìn)入內(nèi)部網(wǎng)絡(luò)，因此是經(jīng)過驗證的安全用戶，但園區(qū)網(wǎng)LAN中的用戶通常不需要這樣做，可以直接接入到企業(yè)的內(nèi)部網(wǎng)絡(luò)，給企業(yè)網(wǎng)絡(luò)帶來了不少的安全隱患。企業(yè)Infranet改變了這個情況。部署了UAC解決方案以后，尚未安裝Infranet代理的用戶在登錄LAN時，必須到企業(yè)的門戶頁面尋求支持。這個門戶頁面將用戶連接到Infranet控制器并自動下載Infranet代理軟件。代理評估端點安全性并對端點進(jìn)行驗證，以確定它們是安全的，或?qū)⒉话踩亩它c發(fā)送至修復(fù)頁面。代理配置用于對整個會話定期進(jìn)行此類檢查，以確保一致的安全性。對于已安裝了Infranet代理的用戶，日常登錄程序保持不變。

3.6 UAC方案優(yōu)勢分析

Juniper的UAC解決方案的優(yōu)勢在于：

— Juniper UAC解決方案實現(xiàn)了集中統(tǒng)一的認(rèn)證、管理，管理員不在需要費(fèi)盡腦汁去配置網(wǎng)絡(luò)中的各個設(shè)備，去完成相應(yīng)的訪問控制機(jī)制，所有的安全策略都由IC統(tǒng)一的進(jìn)行配置和下發(fā)，無論對于安全策略的定義、執(zhí)行還是故障排查，都提供了很大的方便性。

— Juniper UAC解決方案充分利用已有的網(wǎng)絡(luò)安全建設(shè)，將各個孤立的解決方案實現(xiàn)的融合。UAC將內(nèi)部網(wǎng)絡(luò)的防病毒解決方案，補(bǔ)丁管理解決方案，身份認(rèn)證解決方案，網(wǎng)絡(luò)訪問控制解決方案結(jié)合在一起，實現(xiàn)了對終端安全方案的強(qiáng)制執(zhí)行，不符合終端安全策略的用戶，將會在網(wǎng)絡(luò)訪問中受到限制，對網(wǎng)絡(luò)訪問的方案增強(qiáng)到基于網(wǎng)絡(luò)標(biāo)識、用戶標(biāo)識和終端狀況等因素的集中。

— Juniper UAC解決方案支持公開的標(biāo)準(zhǔn)，是一個兼容性很強(qiáng)的解決方案，通過對802.1x的支持，所有支持標(biāo)志的802.1x的交換機(jī)和無線接入設(shè)備，都可以作為UAC方案當(dāng)中的執(zhí)行器，如Cisco, Huawei, Foundry,3Com等；通過對TNC標(biāo)準(zhǔn)的支持，UAC解決方案可以與更多的終端安全產(chǎn)品開放接口，實現(xiàn)網(wǎng)絡(luò)控制和終端安全的*互操作。TNC組織的成員包括Symantec, IBM, McAFee,PatchLink等。通過對標(biāo)準(zhǔn)的支持，用戶可以充分利用已有的網(wǎng)絡(luò)設(shè)備和安全軟件，即使沒有某一個解決方案，也不必?fù)?dān)心會被某個單一廠家綁定，*可以在同類產(chǎn)品當(dāng)中選擇的方案。

— Juniper UAC解決方案可以分階段的方案部署，階段，利用網(wǎng)絡(luò)中部署的防火墻設(shè)備，完成3層的內(nèi)網(wǎng)統(tǒng)一訪問控制，這種方式部署簡單，易用，不需要客戶端的手工安裝，部署時間只需要半天左右。第二個階段，利用網(wǎng)絡(luò)中的支持802.1x的交換機(jī)和無線接入設(shè)備，實現(xiàn)二層的網(wǎng)絡(luò)準(zhǔn)入控制，同時融合3－7層的網(wǎng)絡(luò)訪問控制，實現(xiàn)*的內(nèi)網(wǎng)統(tǒng)一訪問控制

— Juniper UAC解決方案實現(xiàn)了真正的安全性，可以含蓋所有的用戶情況，無論是可管理的，沒有管理的還是不可管理的主機(jī)，同時對終端操作系統(tǒng)實現(xiàn)跨平臺的支持。Juniper方案中的客戶端的安全檢查，包含了最多的終端安全廠商，并且在用戶訪問的整個過程當(dāng)中都可以進(jìn)行檢查，一旦發(fā)現(xiàn)于預(yù)定義的策略不符，系統(tǒng)可以改變該用戶的權(quán)限，或者禁用用戶。

— 終端管理簡單方便，不需要客戶端軟件的預(yù)安裝。解決方案對用戶透明，大大減少了網(wǎng)絡(luò)管理員的工作量，也減少了用戶使用上的難度。