【文章內(nèi)容簡(jiǎn)介】 用戶實(shí)時(shí)的策略遵從性。用戶在控制器上正確登陸認(rèn)證后，會(huì)得到 IC 系統(tǒng)分配的相應(yīng)角色的權(quán)限，這些訪問權(quán)限作為策略，可以自動(dòng)下發(fā)到網(wǎng)絡(luò)中指定的多個(gè)執(zhí)行器上或者客戶終端的個(gè)人防火墻上，而無需人工進(jìn)行干預(yù)。Netscreen 防火墻作為 IC 系統(tǒng)的主要的控制器，IC 上配置的策略可以自動(dòng)的下載到防火墻上，動(dòng)態(tài)的對(duì)防火墻的策略進(jìn)行更新，用戶登陸到 IC 后，防火墻會(huì)自動(dòng)的為該用戶打開授權(quán)的通道，允許用戶進(jìn)行相應(yīng)的訪問，用戶退出 IC 系統(tǒng)后，防火墻會(huì)自動(dòng)關(guān)閉這個(gè)通道。在 Netscreen 防火墻上的策略執(zhí)行包括兩種，基于源地址的訪問控制策略和基于 IPSEC 的VPN 訪問策略。IC 系統(tǒng)支持基于角色的管理員授權(quán)機(jī)制，不同的管理員具有對(duì)不同模塊的管理功能，不同的讀寫權(quán)限。12　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 Copyright 169。 2022, Juniper Networks, Inc.IC 系統(tǒng)對(duì)不同的管理員用戶進(jìn)行策略的匹配和相關(guān)的權(quán)限的分配，確定管理員角色的因素包括用戶名、用戶屬性、客戶端 IP 地址、客戶端證書、證書屬性、節(jié)點(diǎn)安全狀況、瀏覽器等等；管理員從權(quán)限上也可以劃分，可以分別設(shè)定對(duì)于不同的模塊是否具有管理功能，如不同的用戶組，不同的認(rèn)證服務(wù)器，不同的系統(tǒng)模塊等，同時(shí)對(duì)該模塊的管理也可以設(shè)為超級(jí)用戶、只讀用戶等多種。IC 系統(tǒng)可以生成詳細(xì)的日志信息，這些日志信息可以在本地保存，也可以傳送給相應(yīng)的 SYSLOG 服務(wù)器，由于 SSL 信道和認(rèn)證子模塊可以對(duì)客戶端和服務(wù)器終端進(jìn)行檢查，并且記錄下相關(guān)的信息，我們可以用這些日志進(jìn)行審計(jì)。管理員通過 IC 系統(tǒng)的日志管理器或者 SYSLOG 日志服務(wù)器，可以得到豐富的用戶訪問和系統(tǒng)狀態(tài)信息，如用戶的登入，退出，身份認(rèn)證結(jié)果，連接超時(shí)，用戶主機(jī)安全檢查狀況，系統(tǒng)自身配置改變，系統(tǒng)狀態(tài)等。同時(shí)可以利用日志管理器提供的過濾搜索功能，方便的查找出你想得到的信息。IC 系統(tǒng)本身具有足夠的安全性，通過 TruSecure, Cryptography Research 和 iSec 等國(guó)際權(quán)威安全機(jī)構(gòu)的安全認(rèn)證，系統(tǒng)本身數(shù)據(jù)采用 AES 加密的保存方式，只有本身的應(yīng)用才可以正確的讀到這些數(shù)據(jù)。IC 系統(tǒng)采用了優(yōu)化的 Linux 內(nèi)核和額外優(yōu)化的服務(wù)器軟件的加固硬件系統(tǒng)，該系統(tǒng)被設(shè)計(jì)成可以抵御針對(duì)系統(tǒng)的攻擊和針對(duì)通過該系統(tǒng)數(shù)據(jù)的攻擊。系統(tǒng)可以通過只運(yùn)行完成關(guān)鍵任務(wù)的服務(wù)來防止攻擊，這些關(guān)鍵的服務(wù)在開發(fā)時(shí)就進(jìn)行了安全加固，確保系統(tǒng)的安全，因此不會(huì)導(dǎo)致針對(duì)這些服務(wù)的攻擊。系統(tǒng)不允許管理員創(chuàng)建、維護(hù)系統(tǒng)級(jí)的用戶帳號(hào)。因?yàn)闆]有交互式的 Shell 和打開的系統(tǒng)帳號(hào)，潛在的入侵者無法嘗試?yán)么嗳醯目诹睢⑷笔ぬ?hào)或遺棄的帳號(hào)對(duì)系統(tǒng)進(jìn)行非授權(quán)的訪問。IC 系統(tǒng)內(nèi)部采用了內(nèi)核級(jí)別的包過濾機(jī)制，利用預(yù)定義的一些規(guī)則，對(duì)進(jìn)入系統(tǒng)的數(shù)據(jù)包進(jìn)行判斷和檢查，保證了只有合法的數(shù)據(jù)包才可以進(jìn)入 IC 系統(tǒng)。13　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 Copyright 169。 2022, Juniper Networks, Inc. 客戶端代理（Infra Agent ）客戶端代理軟件安裝在用戶的終端計(jì)算機(jī)上，用戶通過終端代理軟件，實(shí)現(xiàn)面向 IC 的身份認(rèn)證，信息搜集和自身訪問策略的加載。對(duì)于終端管理方案，管理員最為頭疼的問題就是終端進(jìn)行軟件的安裝，Juniper UAC 解決方案采用了客戶端代理軟件自動(dòng)安裝的方式，無需管理員逐一的對(duì)客戶端的主機(jī)進(jìn)行軟件的預(yù)安裝，極大的減少了管理員的工作量。終端用戶通過 WEB 方式登陸到網(wǎng)絡(luò)控制器后，就可以實(shí)現(xiàn)自動(dòng)的下載，自動(dòng)的安裝。IA 軟件的安裝也可以采用其他的方式，如采用分發(fā)的形式進(jìn)行預(yù)安裝，也可以采用Juniper 安裝服務(wù)的方式進(jìn)行統(tǒng)一的安裝。Juniper IA 客戶端代理軟件提供跨平臺(tái)的支持，可以支持目前主流的操作系統(tǒng)，如Windows XP SP1/SP2，Windows 2K，Mac OS ,Linux 等，用戶終端無論采用上述的那種系統(tǒng)，都可以輕松的接入到 UAC 的解決方案當(dāng)中，進(jìn)行統(tǒng)一的訪問控制。另外，對(duì)于 Windows XP、Windows 2K 系統(tǒng)，IA 提供了更為全面的功能，如可以支持在 Windows 域環(huán)境下對(duì)網(wǎng)絡(luò)控制器的單點(diǎn)登陸，在管理員采用域認(rèn)證服務(wù)器對(duì) IC 進(jìn)行認(rèn)證的情況下，用戶在登陸域的同時(shí)，也可以自動(dòng)的登陸到 IC 系統(tǒng)當(dāng)中，無需兩次輸入用戶名和密碼。IA 也充分的利用了 Windows 平臺(tái)的 IPSec 功能，通過配置，IA 可以自動(dòng)的與網(wǎng)絡(luò)當(dāng)中的 IE(Netscreen 防火墻)之間建立 IPSec VPN 通道，在內(nèi)網(wǎng)直接實(shí)現(xiàn)封裝、加密的安全傳輸，保證了敏感的數(shù)據(jù)即使在內(nèi)網(wǎng)也可以不被人竊取和偵聽。以前通用的解決方案，注重了網(wǎng)絡(luò)級(jí)的安全建設(shè)，核心的保護(hù)措施都部署在網(wǎng)絡(luò)邊界處，而忽視了終端的安全性，Juniper 的 UAC 解決方案有效的將終端與網(wǎng)絡(luò)和應(yīng)用訪問結(jié)合在一起，我們認(rèn)為，終端的概念不僅僅包括這臺(tái)主機(jī)的網(wǎng)絡(luò) IP 地址，登陸的用戶的信息，也14　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 Copyright 169。 2022, Juniper Networks, Inc.包含該終端主機(jī)的整體的狀態(tài)，如安全狀況，操作系統(tǒng)等等信息。對(duì)于一個(gè)企業(yè)網(wǎng)絡(luò)，我們都有一個(gè)整體的安全策略和規(guī)范，只有符合這個(gè)安全策略的用戶和主機(jī)，他的接入才不會(huì)影響整體網(wǎng)絡(luò)的安全性。Juniper 的 IA 客戶端代理軟件，可以對(duì)接入節(jié)點(diǎn)的安全策略進(jìn)行檢查，并且通知 IC，根據(jù)檢查的結(jié)果，實(shí)施相應(yīng)的訪問控制。IA 檢查的內(nèi)容可以包括客戶端的防病毒軟件，個(gè)人防火墻軟件，惡意程序保護(hù)軟件，間諜軟件防護(hù)等，以及他們的更新情況。Juniper 提供大量的預(yù)定義安全檢查策略，如果預(yù)定義的策略中包括了網(wǎng)絡(luò)中部署終端安全軟件，管理員可以直接利用這些策略對(duì)登陸的主機(jī)進(jìn)行評(píng)估。預(yù)定義的策略包含了下面的產(chǎn)品，并且名單處于不斷的更新中。? 防病毒廠商 Authentium, BitDefender, AVG, Clamwin, CA, Dr Web, Symantec (Norton), McAfee, Panda, Sophos, FSecure, Kaspersky Labs, Zone Labs, SBC Yahoo AV, Trend Micro, Antivir, FProt, Nod 32? 個(gè)人防火墻廠商: ISS, Microsoft, Symantec (Norton and Sygate), McAfee, Zone Labs, Tiny Software (CA)? 防間諜軟件廠商: Lavasoft (Adaware), Computer Associates (Pest Patrol), McAfee, Prevx, Webroot (spy sweeper), PCTools (spyware doctor), Java cool software (spyware blaster), Microsoft, Trend Micro, Bulletproofsoft, Spyware begone, SBC Yahoo對(duì)于目前還沒有進(jìn)行預(yù)定義檢測(cè)策略，系統(tǒng)也支持強(qiáng)大的自定義功能，可以檢測(cè)的內(nèi)容包括：? 注冊(cè)表參數(shù)檢查 ? 開放/不允許的 ports 檢查? 允許/不允許的進(jìn)程檢查? 允許/不允許的文件檢查? 檢查定制的 dlls? 對(duì)第三方軟件實(shí)施心跳檢查? 應(yīng)用認(rèn)證檢查 (進(jìn)程, 文件 MD5 Hash)Juniper 也提供了對(duì)可信網(wǎng)絡(luò)連接小組（Trusted Network Connect Subgroup）的支持。這意味著 Juniper 網(wǎng)絡(luò)公司可以采用標(biāo)準(zhǔn)的接口，與更多的廠商的安全產(chǎn)品進(jìn)行整合，將用戶、應(yīng)用及網(wǎng)絡(luò)策略與實(shí)施無縫地集成在一起。15　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 Copyright 169。 2022, Juniper Networks, Inc.Juniper 解決方案當(dāng)中，客戶端的安全檢查是包含在用戶登陸前，登陸后的各個(gè)階段，可以實(shí)時(shí)的獲得用戶的主機(jī)狀態(tài)，并且根據(jù)狀態(tài)進(jìn)行實(shí)時(shí)的授權(quán)。當(dāng)用戶在通過認(rèn)證后的網(wǎng)絡(luò)訪問過程中，主機(jī)的狀態(tài)發(fā)生變化（如防病毒軟件關(guān)閉） ，那么他的相應(yīng)的權(quán)限也有可能發(fā)生變化。系統(tǒng)對(duì)于不符合安全策略的客戶端，提供了自定義的修復(fù)功能，比如對(duì)于沒有安裝防病毒軟件或者病毒軟件沒有及時(shí)更新的主機(jī)，可以采用將其重定向到病毒更新服務(wù)器方法，強(qiáng)制其進(jìn)行更新；對(duì)于沒有對(duì)操作系統(tǒng)進(jìn)行足夠補(bǔ)丁的主機(jī)，可以重定向到補(bǔ)丁服務(wù)器；對(duì)于存在惡意進(jìn)程的主機(jī)，可以采用殺死該進(jìn)程或者刪除文件的修復(fù)方法等。Juniper IA 客戶端代理當(dāng)中，包含了一個(gè)個(gè)人防火墻的功能（Host Enforcer） ，通過個(gè)人防火墻，可以實(shí)現(xiàn)了針對(duì)各個(gè)終端的連接訪問控制?？梢宰柚菇K端直接的互相的惡意訪問，病毒和蠕蟲的傳播等等。個(gè)人防火墻上的策略由管理員