【正文】 制解決方案部署簡單易用，如果網(wǎng)絡(luò)當(dāng)中已經(jīng)部署了防火墻設(shè)備，終端安全保護(hù)軟件（如防病毒，補(bǔ)丁管理） ，身份認(rèn)證系統(tǒng)（AAA） ，只需要再添加一臺 Juniper IC 設(shè)備，作為整體的用戶認(rèn)證和訪問策略的管理，我們就可以充分的利用已有的網(wǎng)絡(luò)安全建設(shè)，結(jié)合 IC 的策略管理，完成統(tǒng)一的訪問控制。UAC 的解決方案對最終的用戶是透明的，終端電腦無需預(yù)先安裝客戶端軟件，利用 IE對訪問重定向的技術(shù)，終端用戶也無需主動到 IC 上進(jìn)行認(rèn)證，方便了最終用戶的體驗(yàn)，下面的圖例是一個典型的 UAC 方案的部署，在內(nèi)部網(wǎng)絡(luò)當(dāng)中部署了 Netscreen ISG2022防火墻最為網(wǎng)絡(luò)執(zhí)行器（IE） ，對核心的服務(wù)器資源進(jìn)行保護(hù)；部署了微軟的 Active Directory，做為 AAA 認(rèn)證服務(wù)器。20　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 Copyright 169。 2022, Juniper Networks, Inc.1．終端用戶發(fā)出請求，要訪問 Netscreen ISG2022 防火墻保護(hù)的核心服務(wù)器，由于防火墻的規(guī)則配置要求只有通過 IC 認(rèn)證的用戶才可以訪問這些服務(wù)器，該用戶的請求被阻擋。2．終端用戶的請求被 Netscreen ISG2022 防火墻重定向到 IC 的認(rèn)證界面。3．IC 通過 SSL 的方式向終端主機(jī)傳送 IA，利用 ActiveX 或者 Java 的方式從 IC 的登陸界面中對客戶端自動安裝 IA 軟件。用戶只需要在第一次登陸 IC 的時候安裝 IA 軟件，以后無需再次下載安裝。4．IA 軟件對客戶端的狀況進(jìn)行檢查，如果與 IC 中定制的安全策略不相匹配，則將用戶重新定向到相應(yīng)的修復(fù)服務(wù)器，進(jìn)行客戶端安全軟件的修復(fù)。5．客戶端利用 IA 向 IC 進(jìn)行身份認(rèn)證，輸入相應(yīng)的用戶名和密碼。6．IC 將用戶名和密碼信息傳送給 AAA 服務(wù)器，進(jìn)行認(rèn)證，從 AAA 認(rèn)證服務(wù)器上得到用戶的相關(guān)屬性信息，如組等。7．IC 根據(jù)這些信息，判斷該用戶的權(quán)限和指定的安全策略。8．IC 將該用戶的訪問權(quán)限，以 SSH/SSL 的方式下發(fā)到網(wǎng)絡(luò)中的執(zhí)行器，該例中策略將會下發(fā)到 Netscreen ISG2022 防火墻，9．IC 上設(shè)置的個人防火墻策略也會下發(fā)到 IA 上。10． 由于在防火墻上已經(jīng)有了相應(yīng)的權(quán)限，該用戶可以穿過 Netscreen ISG2022 訪問其后保護(hù)的核心服務(wù)器。 UAC 方案的使用環(huán)境舉例統(tǒng)一的訪問控制解決方案，適合于不同的網(wǎng)絡(luò)環(huán)境，下面我們將簡單描述一下擴(kuò)展企業(yè)、分布式企業(yè)、WAN 網(wǎng)關(guān)、數(shù)據(jù)中心和園區(qū)網(wǎng) LAN 的統(tǒng)一訪問控制解決方案，這些方案可21　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 Copyright 169。 2022, Juniper Networks, Inc.能會組合在一起，應(yīng)用到某個用戶的實(shí)際環(huán)境當(dāng)中。 面向擴(kuò)展企業(yè)的企業(yè) Infra對于擴(kuò)展企業(yè)，遠(yuǎn)程用戶的接入，我們建議采用 Juniper 的安全接入 SSL VPN 平臺實(shí)現(xiàn)統(tǒng)一的訪問控制。通過 Network Connect 網(wǎng)絡(luò)層接入方法實(shí)現(xiàn)將 IPSec 傳輸?shù)母咝阅芘c SSL的易用性結(jié)合在一起，構(gòu)成了自適應(yīng)傳輸模式，可確保在每個網(wǎng)絡(luò)環(huán)境中實(shí)現(xiàn)連接。Juniper的核心無客戶端 Web 接入方法仍然是業(yè)界的最佳標(biāo)準(zhǔn)，支持基于多種 WEB 應(yīng)用，包括復(fù)雜的 XML 的內(nèi)容和 Flash 內(nèi)容，并為 Java applets 提供單獨(dú)的交付平臺，對于只使用 WEB平臺作為內(nèi)部應(yīng)用的網(wǎng)絡(luò)，提供了更為安全，更為方便的解決方案。此外，Juniper 使用最佳的第三方安全應(yīng)用，終端的安全檢查等機(jī)制，為每個會話應(yīng)用最新的保護(hù)和控制。 面向分布式企業(yè)的企業(yè) Infra使用控制和威脅控制可輕松應(yīng)用于分布式企業(yè)。客戶通常在這些位置部署小型防火墻/VPN，如 Juniper 網(wǎng)絡(luò)公司 NetScreen200 產(chǎn)品家族或者 SSG 系列安全網(wǎng)關(guān)。用戶通常從不安全的網(wǎng)絡(luò)或使用不可管理的端點(diǎn)進(jìn)入分支辦事處，然后通過站點(diǎn)間的 IPSec 隧道直接接入企業(yè) LAN。Juniper 的 NetScreen 防火墻現(xiàn)已提供深層檢測和防病毒檢測特性，因此，已經(jīng)能夠牽制某些威脅。UAC 的解決方案可通過適當(dāng)策略使分支辦事處的防火墻能夠用作Infra 執(zhí)行器，允許連接前先檢查用戶的策略遵從情況，從而消除安全問題的主要來源。 面向 WAN 網(wǎng)關(guān)的企業(yè) Infra使用不可管理的或違規(guī)端點(diǎn)接入互聯(lián)網(wǎng)的用戶，通常也是網(wǎng)絡(luò)安全的一個薄弱環(huán)境。Juniper 業(yè)界領(lǐng)先的 ISG 防火墻/VPN 用于處理 WAN 網(wǎng)關(guān)中常見的千兆級流量，并對流量進(jìn)行深層檢測。此外，ISG 現(xiàn)已提供集成的入侵檢測與防護(hù)(IDP)模塊， 并且也可以作為Infra 執(zhí)行器之一。除了千級兆的吞吐量外，IDP 模塊還將添加其他的重要安全特性，如L7 檢測、間諜軟件和 shell 碼防護(hù)等，并同時考慮客戶端到服務(wù)器以及服務(wù)器到客戶端的流量。當(dāng)用作 Infra 執(zhí)行器時，這些平臺將把其獨(dú)特的安全特性與傳統(tǒng)的控制及網(wǎng)絡(luò)流量可視性結(jié)合在一起。用戶終端在想要訪問互聯(lián)網(wǎng)時，必須首先接受 IC 的認(rèn)證和檢查，比如其防病毒軟件的安裝和更新狀況，其操作系統(tǒng)補(bǔ)丁情況，只有通過了正常的身份認(rèn)證，并且22　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 Copyright 169。 2022, Juniper Networks, Inc.符合了企業(yè)的安全策略，足夠健壯的客戶端，才可以去訪問互聯(lián)網(wǎng)，這樣的客戶端可以避免受到來自互聯(lián)網(wǎng)惡意網(wǎng)站，惡意程序的侵襲，保證了內(nèi)網(wǎng)的安全性。 Juniper 遠(yuǎn)程訪問系統(tǒng)產(chǎn)品白皮書Juniper Networks, 23 頁 數(shù)據(jù)中心的企業(yè) Infra數(shù)據(jù)中心是也要網(wǎng)絡(luò)的一個重要的安全領(lǐng)域，一般情況下，企業(yè)采用防火墻對數(shù)據(jù)中心進(jìn)行保護(hù)，防火墻的保護(hù)措施只能是基于地址和端口的訪問。然而，當(dāng)防火墻用作企業(yè)Infra 執(zhí)行器時，就可以結(jié)合多種因素，全面保護(hù)敏感資源和應(yīng)用。已通過評估和驗(yàn)證的端點(diǎn)可以接入數(shù)據(jù)中心，其他沒有經(jīng)過認(rèn)證或者端點(diǎn)安全性不夠的主機(jī)，不能穿透防火墻與數(shù)據(jù)中心的資源進(jìn)行通訊。這樣，通過屏蔽不可管理的或違規(guī)端點(diǎn)，Juniper 網(wǎng)絡(luò)公司企業(yè)Infra 可在無需替換任何基礎(chǔ)設(shè)施的前提下，更好的實(shí)現(xiàn)了數(shù)據(jù)中心的安全性。 園區(qū)網(wǎng) LAN 的企業(yè) Infra擴(kuò)展企業(yè)中的用戶通常通過登錄 SSL VPN 進(jìn)入內(nèi)部網(wǎng)絡(luò)，因此是經(jīng)過驗(yàn)證的安全用戶，但園區(qū)網(wǎng) LAN 中的用戶通常不需要這樣做，可以直接接入到企業(yè)的內(nèi)部網(wǎng)絡(luò)，給企業(yè)網(wǎng)絡(luò)帶來了不少的安全隱患。企業(yè) Infra 改變了這個情況。部署了 UAC 解決方案以后，尚未安裝 Infra 代理的用戶在登錄 LAN 時，必須到企業(yè)的門戶頁面尋求支持。這個門戶頁面將用戶連接到 Infra 控制器并自動下載 Infra 代理軟件。代理評估端點(diǎn)安全性并對端點(diǎn)進(jìn)行驗(yàn)證，以確定它們是安全的，或?qū)⒉话踩亩它c(diǎn)發(fā)送至修復(fù)頁面。代理配置用于對整個會話定期進(jìn)行此類檢查，以確保一致的安全性。對于已安裝了 Infra 代理的用戶，日常登錄程序保持不變。 UAC 方案優(yōu)勢分析Juniper 的 UAC 解決方案的優(yōu)勢在于：? Juniper UAC 解決方案實(shí)現(xiàn)了集中統(tǒng)一的認(rèn)證、授權(quán)管理，管理員不在需要費(fèi)盡腦汁去配置網(wǎng)絡(luò)中的各個設(shè)備，去完成相應(yīng)的訪問控制機(jī)制，所有的安全策略都由 IC 統(tǒng)一的進(jìn)行配置和下發(fā)，無論對于安全策略的定義、執(zhí)行還是故障排查，都提供了很大的方便性。 Juniper 遠(yuǎn)程訪問系統(tǒng)產(chǎn)品白皮書Juniper Networks, 24 頁? Juniper UAC 解決方案充分利用已有的網(wǎng)絡(luò)安全建設(shè)，將各個孤立的解決方案實(shí)現(xiàn)最佳的融合。UAC 將內(nèi)部網(wǎng)絡(luò)的防病毒解決方案，補(bǔ)丁管理解決方案，身份認(rèn)證解決方案，網(wǎng)絡(luò)訪問控制解決方案結(jié)合在一起，實(shí)現(xiàn)了對終端安全方案的強(qiáng)制執(zhí)行，不符合終端安全策略的用戶，將會在網(wǎng)絡(luò)訪問中受到限制，對網(wǎng)絡(luò)訪問的方案增強(qiáng)到基于網(wǎng)絡(luò)標(biāo)識、用戶標(biāo)識和終端狀況等因素的集中授權(quán)。? Juniper UAC 解決方案可以分階段的方案部署，第一階段，利用網(wǎng)絡(luò)中部署的防火墻設(shè)備，完成 3 層的內(nèi)網(wǎng)統(tǒng)一訪問控制，這種方式部署簡單，易用，不需要客戶端的手工安裝，部署時間只需要半天左右。第二個階段，利用網(wǎng)絡(luò)中的支持 的交換機(jī)和無線接入設(shè)備，實(shí)現(xiàn)二層的網(wǎng)絡(luò)準(zhǔn)入控制，同時融合 3－7 層的網(wǎng)絡(luò)訪問控制，實(shí)現(xiàn)完全的內(nèi)網(wǎng)統(tǒng)一訪問控制? Juniper UAC 解決方案實(shí)現(xiàn)了真正的安全性，可以含蓋所有的用戶情況，無論是可管理的，沒有管理的還是不可管理的主機(jī)，同時對終端操作系統(tǒng)實(shí)現(xiàn)跨平臺的支持。Juniper方案中的客戶端的安全檢查，包含了最多的終端安全廠商，并且在用戶訪問的整個過程當(dāng)中都可以進(jìn)行檢查，一旦發(fā)現(xiàn)于預(yù)定義的策略不符，系統(tǒng)可以改變該用戶的權(quán)限，或者禁用用戶。? 終端管理簡單方便，不需要客戶端軟件的預(yù)安裝。解決方案對用戶透明，大大減少了網(wǎng)絡(luò)管理員的工作量，也減少了用戶使用上的難