【正文】 個安全策略的用戶和主機(jī)，他的接入才不會影響整體網(wǎng)絡(luò)的安全性。以前通用的解決方案，注重了網(wǎng)絡(luò)級的安全建設(shè)，核心的保護(hù)措施都部署在網(wǎng)絡(luò)邊界處，而忽視了終端的安全性，Juniper 的 UAC 解決方案有效的將終端與網(wǎng)絡(luò)和應(yīng)用訪問結(jié)合在一起，我們認(rèn)為，終端的概念不僅僅包括這臺主機(jī)的網(wǎng)絡(luò) IP 地址，登陸的用戶的信息，也14　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 Copyright 169。另外，對于 Windows XP、Windows 2K 系統(tǒng)，IA 提供了更為全面的功能，如可以支持在 Windows 域環(huán)境下對網(wǎng)絡(luò)控制器的單點(diǎn)登陸，在管理員采用域認(rèn)證服務(wù)器對 IC 進(jìn)行認(rèn)證的情況下，用戶在登陸域的同時，也可以自動的登陸到 IC 系統(tǒng)當(dāng)中，無需兩次輸入用戶名和密碼。IA 軟件的安裝也可以采用其他的方式，如采用分發(fā)的形式進(jìn)行預(yù)安裝，也可以采用Juniper 安裝服務(wù)的方式進(jìn)行統(tǒng)一的安裝。對于終端管理方案，管理員最為頭疼的問題就是終端進(jìn)行軟件的安裝，Juniper UAC 解決方案采用了客戶端代理軟件自動安裝的方式，無需管理員逐一的對客戶端的主機(jī)進(jìn)行軟件的預(yù)安裝，極大的減少了管理員的工作量。13　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 Copyright 169。因?yàn)闆]有交互式的 Shell 和打開的系統(tǒng)帳號，潛在的入侵者無法嘗試?yán)么嗳醯目诹睢⑷笔ぬ柣蜻z棄的帳號對系統(tǒng)進(jìn)行非授權(quán)的訪問。系統(tǒng)可以通過只運(yùn)行完成關(guān)鍵任務(wù)的服務(wù)來防止攻擊，這些關(guān)鍵的服務(wù)在開發(fā)時就進(jìn)行了安全加固，確保系統(tǒng)的安全，因此不會導(dǎo)致針對這些服務(wù)的攻擊。IC 系統(tǒng)本身具有足夠的安全性，通過 TruSecure, Cryptography Research 和 iSec 等國際權(quán)威安全機(jī)構(gòu)的安全認(rèn)證，系統(tǒng)本身數(shù)據(jù)采用 AES 加密的保存方式，只有本身的應(yīng)用才可以正確的讀到這些數(shù)據(jù)。管理員通過 IC 系統(tǒng)的日志管理器或者 SYSLOG 日志服務(wù)器，可以得到豐富的用戶訪問和系統(tǒng)狀態(tài)信息，如用戶的登入，退出，身份認(rèn)證結(jié)果，連接超時，用戶主機(jī)安全檢查狀況，系統(tǒng)自身配置改變，系統(tǒng)狀態(tài)等。 2022, Juniper Networks, Inc.IC 系統(tǒng)對不同的管理員用戶進(jìn)行策略的匹配和相關(guān)的權(quán)限的分配，確定管理員角色的因素包括用戶名、用戶屬性、客戶端 IP 地址、客戶端證書、證書屬性、節(jié)點(diǎn)安全狀況、瀏覽器等等；管理員從權(quán)限上也可以劃分，可以分別設(shè)定對于不同的模塊是否具有管理功能，如不同的用戶組，不同的認(rèn)證服務(wù)器，不同的系統(tǒng)模塊等，同時對該模塊的管理也可以設(shè)為超級用戶、只讀用戶等多種。IC 系統(tǒng)支持基于角色的管理員授權(quán)機(jī)制，不同的管理員具有對不同模塊的管理功能，不同的讀寫權(quán)限。Netscreen 防火墻作為 IC 系統(tǒng)的主要的控制器，IC 上配置的策略可以自動的下載到防火墻上，動態(tài)的對防火墻的策略進(jìn)行更新，用戶登陸到 IC 后，防火墻會自動的為該用戶打開授權(quán)的通道，允許用戶進(jìn)行相應(yīng)的訪問，用戶退出 IC 系統(tǒng)后，防火墻會自動關(guān)閉這個通道。這樣的話，就實(shí)現(xiàn)了一個動態(tài)的訪問規(guī)則的控制，也保證了用戶實(shí)時的策略遵從性。另外，IC 系統(tǒng)對上述授權(quán)依據(jù)信息的獲取都是一個動態(tài)的過程，系統(tǒng)可以定時的檢查客戶端的相關(guān)信息。IC 系統(tǒng)支持全面的細(xì)粒度的訪問控制授權(quán)機(jī)制，真正實(shí)現(xiàn)了關(guān)聯(lián)用戶的帳戶標(biāo)識，網(wǎng)絡(luò)標(biāo)識和終端狀況的動態(tài)控制。IC 系統(tǒng)還支持與認(rèn)證服務(wù)器的密碼管理功能的整合，即用戶登陸后，IC 系統(tǒng)可以提供11　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 Copyright 169。和 Secure Computing SafeWord? PremierAccess?，IC 系統(tǒng)也支持?jǐn)?shù)字證書的使用，可以單獨(dú)的利用客戶端的數(shù)字證書對用戶身份進(jìn)行驗(yàn)證，從而避免了輸入用戶名/密碼的麻煩。并且可以可以對不同的用戶組實(shí)現(xiàn)不同的登陸界面和 URL。終端用戶可以通過在瀏覽器中輸入 的 IP 地址這樣的方式，訪問 IC，輸入個人的賬號信息，以便進(jìn)行身份認(rèn)證和授權(quán)。同時可以定義對不符合安全策略終端的修復(fù)，如重定向訪問終端到防病毒服務(wù)器、補(bǔ)丁管理服務(wù)器等，也可以直接殺死客戶端的某個惡意進(jìn)程，刪除某個惡意文件等。10　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 Copyright 169。將 Infra 代理和控制器結(jié)合在一起，能夠有效防止違規(guī)主機(jī)連接企業(yè)網(wǎng)絡(luò)，并對企業(yè)網(wǎng)絡(luò)流量提供使用控制?？刂破鲹碛凶约旱牟呗院涂刂埔妫⑼ㄟ^驗(yàn)證服務(wù)器以及身份和授權(quán)目錄庫提供無縫通信。動態(tài)設(shè)置的 IA 還提供可選的認(rèn)證和加密傳輸，以便在必要時強(qiáng)制執(zhí)行網(wǎng)關(guān)策略。與主機(jī)安全檢查相同， IA 可配置用于檢查預(yù)定義的和自定制的標(biāo)準(zhǔn)，包括主機(jī)上的運(yùn)行程序、開發(fā)的端口、申請人的真實(shí)性、第三方安全軟件應(yīng)用的存在/ 版本等。當(dāng)用戶第一次登錄 IC 時，IC 將動態(tài)下載Infra 代理(IA)。這些組件結(jié)合在一起，在現(xiàn)有企業(yè)基礎(chǔ)設(shè)施上創(chuàng)建了業(yè)務(wù)控制層，將端點(diǎn)/用戶智能與網(wǎng)絡(luò)和應(yīng)用智能集成在一起，以確保自適應(yīng)的、細(xì)粒度的使用控制級別。這項(xiàng)功能原本用在企業(yè)擴(kuò)展用戶的遠(yuǎn)處訪問，現(xiàn)已擴(kuò)展到整個企業(yè)網(wǎng)絡(luò)，使用 Infra 控制器將策略的可視性與現(xiàn)有執(zhí)行點(diǎn)連接在一起。用于實(shí)現(xiàn)統(tǒng)一接入控制的企業(yè)Infra 解決方案是以使用控制為出發(fā)點(diǎn)的，它是確保即時獲得成功的最關(guān)鍵的元素。9　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 Copyright 169。Juniper 網(wǎng)絡(luò)公司提供業(yè)界領(lǐng)先的防火墻 /VPN 平臺以及企業(yè)路由產(chǎn)品（這些產(chǎn)品與被全球頂級服務(wù)供應(yīng)商廣泛使用的 Juniper 骨干路由器提供許多相同功能） ，可確保安全的交付控制。 2022, Juniper Networks, Inc. 交付控制安全的交付常被認(rèn)為是理所當(dāng)然，但實(shí)際上，它是必須構(gòu)建在基礎(chǔ)設(shè)施中才能確保成功的關(guān)鍵組件。提供全面的防護(hù)。Juniper 的企業(yè)基礎(chǔ)設(shè)施將網(wǎng)絡(luò)周邊最佳的深度檢測防火墻與獲獎的入侵檢測與防護(hù)（IDP）產(chǎn)品結(jié)合在一起，能夠提供這種保護(hù)功能。 威脅控制 威脅控制必須不局限于基本端點(diǎn)保護(hù)的范圍，擴(kuò)展到整個網(wǎng)絡(luò)以及對網(wǎng)絡(luò)流量的分析，包括防火墻上的深度檢測以及檢測和抵御入侵的能力。這個企業(yè) Infra 解決方案結(jié)合了使用控制的所有單元，包括端點(diǎn)防御。 2022, Juniper Networks, Inc. 使用控制 使用控制綜合考慮用戶、端點(diǎn)和資源后決定允許或拒絕哪些使用。 此 類 結(jié) 構(gòu) 使 企 業(yè)能 夠 不 再 機(jī) 械 地 應(yīng) 對 每 個 事 件 ， 而 是 創(chuàng) 建 確 實(shí) 構(gòu) 建 在 基 礎(chǔ) 設(shè) 施 中 的 持 續(xù) 遵 從 制 度 和 執(zhí) 行 策略 的 網(wǎng) 絡(luò) 。 企 業(yè) 必 須 在 實(shí) 現(xiàn) 這 個 目 標(biāo) 的 同 時 ， 確 保 以 可 靠 的 方 式交 付 業(yè) 務(wù) 和 應(yīng) 用 。對于第五種的訪問，企業(yè)擴(kuò)展遠(yuǎn)程用戶的訪問，我們采用 SSL VPN 來實(shí)現(xiàn)，對于前四種的訪問，我們采用 UAC 的解決方案。 2022, Juniper Networks, Inc.走。? 企業(yè)擴(kuò)展遠(yuǎn)程用戶的訪問，處于企業(yè)網(wǎng)外部的員工、合作伙伴、承包商、訪客等的終端主機(jī)，通過廣域網(wǎng) VPN 連接，進(jìn)入企業(yè)網(wǎng)內(nèi)部，進(jìn)行數(shù)據(jù)的交換。? 分布式企業(yè)的訪問，企業(yè)用戶可能在不同的地方有自己的辦公分支，對于這些分支節(jié)點(diǎn)，由于距離的原因，對分支節(jié)點(diǎn)的終端很難做到統(tǒng)一的管理，也缺乏控制。? 對數(shù)據(jù)中心和服務(wù)器區(qū)的訪問，企業(yè)的數(shù)據(jù)中心和服務(wù)器區(qū)可能包括 WEB 服務(wù)器，EMAIL 服務(wù)器等，是安全性較高的區(qū)域，一般都會部署相應(yīng)的安全防護(hù)策略。2 企業(yè)需要統(tǒng)一的訪問控制解決方案基于我們對目前的企業(yè)局域網(wǎng)絡(luò)的分析，數(shù)據(jù)訪問基本上可以分為五種：? 企業(yè)園區(qū)內(nèi)的訪問，處于企業(yè)網(wǎng)內(nèi)部的員工、合作伙伴、承包商、訪客等的終端主機(jī)，直接接入企業(yè)的 LAN 內(nèi)部，進(jìn)行數(shù)據(jù)的交換。? 面向公眾的服務(wù)器或者移動用戶，必定會頻繁遭受各種類型的攻擊。? 即 便 企 業(yè) 運(yùn) 行 著 防 火 墻 等 網(wǎng) 絡(luò) 周 邊 安 全 機(jī) 制 ， 病 毒 和 電 子 郵 件 蠕 蟲 、 特 洛 伊 木 馬 、 拒絕 服 務(wù) 攻 擊 和 其 他 惡 意 行 為 仍 頻 繁 利 用 無 法 安 全 管 理 或 者 管 理 薄 弱 的 最 終 用 戶 設(shè) 備 滲入 企 業(yè) 環(huán) 境 。5　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 Copyright 169。 風(fēng)險分析事 實(shí) 上 ， 目 前 企 業(yè) 網(wǎng) 絡(luò) 的 邊 界 已 經(jīng) 變 得 越 來 越 模 糊 ， 僅 靠 網(wǎng) 絡(luò) 邊 緣 的 外 圍 設(shè) 備 已 無 法保 證 企 業(yè) 網(wǎng) 絡(luò) 的 安 全 性 。這些相應(yīng)的解決方案，在很大的程度上降低了企業(yè)的安全風(fēng)險，抵御了企業(yè)網(wǎng)絡(luò)面臨的部分威脅，也減少了因?yàn)楸l(fā)安全時間造成的損失和影響。 已有安全方案分析網(wǎng)絡(luò)安全的建設(shè)已經(jīng)成為目前企業(yè)網(wǎng)絡(luò)建設(shè)的一個重要的組成部分，眾多的企業(yè)用戶采用了不同的安全解決方案，來減少系統(tǒng)的安全風(fēng)險。傳統(tǒng)的安全解決方案，絕