下载文档原格式
Juniper互联网数据中心(IDC)网络安全解决方案建议书美国Juniper网络公司目录第一章综述.................................................................................................................... 错误!未定义书签。
1.1前言.................................................................................................................... 错误!未定义书签。
1.2 Juniper的安全理念 ........................................................................................... 错误!未定义书签。
1.2.1 IPSec/SSL VPN ....................................................................................... 错误!未定义书签。
.......................................................................................................................... 错误!未定义书签。
.......................................................................................................................... 错误!未定义书签。
.......................................................................................................................... 错误!未定义书签。
JUNIPER 统一访问控制解决方案技术白皮书2006-10Juniper Networks, Inc.目录1企业面临网络安全风险分析---------------------------------------------------------------------------- 3企业发展现状和趋势------------------------------------------------------------------------------- 3 威胁分析---------------------------------------------------------------------------------------------- 3 已有安全方案分析---------------------------------------------------------------------------------- 4 风险分析---------------------------------------------------------------------------------------------- 4 2企业需要统一的访问控制解决方案 ------------------------------------------------------------------ 5 3JUNIPER的解决之道 ----------------------------------------------------------------------------------- 6 J UNIPER I NFRANET架构-------------------------------------------------------------------------------- 6 使用控制------------------------------------------------------------------------------------------- 6威胁控制------------------------------------------------------------------------------------------- 7交付控制------------------------------------------------------------------------------------------- 7企业I NFRANET UAC解决方案 -------------------------------------------------------------------- 8 UAC方案的组件--------------------------------------------------------------------------------------- 9 网络控制器(Infranet Controller)----------------------------------------------------------- 9客户端代理(Infranet Agent) --------------------------------------------------------------- 12网络执行器(Infranet Enforcer)------------------------------------------------------------ 14 UAC方案流程分析----------------------------------------------------------------------------------- 18 UAC方案的使用环境举例-------------------------------------------------------------------------- 19 面向扩展企业的企业Infranet ---------------------------------------------------------------- 19面向分布式企业的企业Infranet ------------------------------------------------------------- 20面向WAN网关的企业Infranet --------------------------------------------------------------- 20数据中心的企业Infranet ---------------------------------------------------------------------- 21园区网LAN的企业Infranet ------------------------------------------------------------------ 21 UAC方案优势分析----------------------------------------------------------------------------------- 211企业面临网络安全风险分析1.1 企业发展现状和趋势随着网络技术不断发展和革新,以IP网络为代表的开放网络得到越来越多的应用,网络的互连越来越深入和广泛,许多传统型的或者新兴行业的企业都纷纷利用互联网技术,提高企业的生产力,众多的企业核心业务已经可以通过网络进行操作。
网络准入解决方案一.网络准入现状信息技术的发展导致信息网络所起的作用越来越巨大,连接范围越来越广泛,使用人员越来越众多、终端系统越来越庞杂,终端所面临的各种安全问题也越来越突出。
在当前的信息网络应用环境下,网络管理者普遍面临如下终端安全问题:1、网络边界不清晰网络中有多少台终端在工作?有没有外来终端入侵?有多少网络设备?终端连接状况如何?2、使用人员难以确定谁在操作终端?有没有人进行越权访问?有没有进行非法操作?如何尽快发现和管理?3、BYOD带来巨大挑战BYOD(Bring Your Own Device,自带设备办公)设备是否有漏洞?安全设置是否符合安全规定?带离办公区后会不会被攻击?是否会将外部的攻击带入办公区?4、终端安全状况不清晰终端的操作系统环境是否安全?终端的软件环境是否合规?终端是否符合安全基线要求?5、各种安全制度难以落实针对终端和网络使用的各项安全制度,是否能够快速落实和检查?6、防护系统众多难以整合各种防护系统如何进行统一管理?各防护系统的安全数据如何整合?二:盈高网络准入解决方案ASM6000入网规范管理系统,是盈高科技自主知识产权的新一代集成化终端安全管理平台。
是完全基于最先进的第三代准入控制技术的纯硬件网络准入控制系统。
是在总结了ASM4000系统及用户需求的基础上,秉承了“不改变网络、灵活客户端、终端安全集成化”的特性。
改变了业界传统的将准入控制系统作为一个单独功能产品的做法,率先提出准入平台的概念。
ASM6000采用了盈高科技独创的“SOPE”安全模型解决当前严峻的终端安全问题,“SOPE”是一个向上滚动的模型体系,通过不断的循环能够让终端安全与业务达到完美平衡:基础架构生成shaping infrastructureASM6000通过智能获取用户网络的整体构成信息,包括:交换设备、入网终端、ip资源等。
生成全网的拓扑图、设备状态视图、终端状态视图等。
观测obsevationASM6000在线实时观测所有终端上下网行为、安全状态并生成统计报告,同时对入网计算机能够精确地定位到边界交换机端口。
网络准入系统集中式管理方案1、项目背景目前网络安全概况自从在股份公司和下属分公司在业务系统上大力推广信息化发展策略,目前公司运作的网络是由17家公司的内部网络通过MPLS VPN网络构成的广域网,规模庞大;同时信息技术的快速发展导致信息网络所起的作用越来越巨大,股份公司及下属分公司的连接密度越来越大,人员交流和业务系统的使用网络更为频繁,终端所面临的各种安全问题也越来越突出;各个公司的内网构建因规模大小和建设时间的不同,网络的使用情况也不一样,特别是网络设备的品牌和型号各异,而且员工和访客携带的电脑或者终端等可以随意接入公司网络,在信息安全管理上存在很大的管理难度和安全风险;2017年6月1日,国家网络安全法颁布,明确要求各单位加强网络安全建设,而且股份公司属于上市公司,在网络安全上必须加强安全防范措施,增加网络准入控制和审计手段,完善公司的信息化安全体系;网络架构概况基于业务需求和网络稳定性需求,整个股份公司的各分支公司都是通过租用联通公司的MPLS VPN专线网络解决公司之间的网络连接,其中股份公司和南沙公司的网络访问需求最大;MPLS VPN网络拓扑图大概如下:图1 MPLS VPN 网络拓扑图概图各公司内网网络架构概图如下图2所示:图2 各公司内部网络拓扑图概图各公司的调研情况从表1中可以看出各公司的人员、终端设备和网络设备等等都情况各异,需要从多角度考虑信息安全的管理技术问题和网络准入方案的技术可行性;信息安全管理的存在风险目前,各公司都存在如下的信息安全管理风险:1 公司内部无法对未授权的外来电脑及智能终端接入内网的行为进行有效的认证控制和管理;外来人员或者员工能够轻易地把终端设备接入到办公网,特别是恶意用户如黑客,商业间谍的接入,可能会导致公司机密文件被窃取,或者网络服务器被攻击等等网络安全事件发生,造成严重的后果;随着无线WIFI的普及,私自增加外联WIFI设备用于移动端设备上互联网,内部网络安全更加难以控制管理;如何做到有线和无线WIFI 统一的网络入网管理,是安全的重中之重;2 篡改终端硬件信息;比如:当某些员工知道领导的IP地址权限比较高的时候,把自己的计算机也设置为领导的IP,于是获取了和领导一样的权限,导致领导身份被假冒,或者和领导使用的计算机造成IP地址冲突而导致被冲突的计算机网络故障,这样会直接影响业务办公;3因为公司内网的很多网络设备是不可管理,当网络内部出现网络安全事件的时候,很难查询到IP地址或者设备MAC地址的使用信息,难以定位到责任人;4因各分公司和股份公司之间的网络已经通过MPLS VPN线路构建成了一个规模更大的广域网架构,只要有一个地方的网络安全出现风险,其他地方的网络安全风险也会受影响;所以,对终端设备进行网络准入控制是保证股份公司网络信息安全的一种安全边界管理手段,需要做到全局考虑,做到分布式部署、集中管理,集中信息统一展示,以股份公司为整体设计一个适合本公司的网络准入系统,构建公司内部网络的边界管理保障体系,用于保障股份公司的网络信息安全;2 网络准入系统的详细需求系统功能需求准入控制要保证网络边界的安全性以及完整性,就必须实现网络准入控制,支持对接入网络的人员和终端进行身份认证和准入检查,防止非授权用户、非法终端、不安全终端接入办公网,做到安全有效的拦截;其中终端检查包括终端硬件信息检查,防病毒软件检查,系统版本及补丁检查等;用户管理能够对用户实现按人、按部门、按级别进行管理,用户数据能够从AD域中导入;支持第三方认证服务如radius,LDAP,AD,SQL等认证方式;IP地址的管理必须做到杜绝非法设置静态IP地址并能主动检测和拦截此更改动作行为,阻拦此终端的网络连接;要能够按部门、按角色、按人ID分配IP或IP网段;能确定IP的目前使用人和过去使用者;设置访客特定区域;因公司业务交流需求,能够为访客提供特殊通道,访客经过审批授权允许后,访客可以借助公司网络资源连接互联网,还可以授权访客能够访问指定开放的内部资源;用户认证登录管理因公司的管理需求,将在股份公司范围内推广域控制管理模式,对于加入域的电脑能够结合域用户作为认证需求,域用户联网登录桌面系统时进行网络准入认证;未加入域的终端能够提供简易的认证方式,同时也可以通过域用户做认证;系统支持修改认证用户的密码;能够做到用户漫游,即在分公司能都通过内部用户登录网络,到总部和其他分部也可以用此用户登录,获取同等权限;审计日志管理系统能够详细日志的审计功能,能够审计设备、人员、使用IP地址之间的关联信息,能够快速审计到设备使用责任人;防止用户卸载软件,支持无客户端准入规则,防止网络架构变更出现准入漏洞;出于网络准入安全和严谨的控制要求,网络准入系统必须能够做到对于未安装客户端软件或者卸载安装客户端软件的终端设备先认证后才能入网;必须做到防止用户通过假冒合法电脑网络配置信息未经授权认证进入公司内网;必须做到防止用户私自增加无线路由器或者非可管交换机HUB改变了网络架构而出现网络准入控制漏洞,导致未认证进入公司内网的现象;系统的稳定性和可靠性鉴于网络准入控制的稳定性和可靠性,在网络准入系统出现宕机或者因系统故障无法提供认证时,能够提供网络准入系统在长时间内无法恢复的紧急预案措施,保证系统能够快速切换到无认证状态下,保证网络的正常使用;当网络准入系统恢复正常时候时,快速切换到认证状态,保证网络的准入认证控制;系统管理简单方便因各分公司的系统维护人员的技术水平有限,有些分公司甚至缺少系统维护岗位人员,所以此系统应该偏向简单化,易管理维护;因为考虑到本方案部署规模比较大,特别因产品方案不同对网络设备的支持功能需求也会有所不同;股份公司原有一台网络准入系统,但是有些新的功能需求不能满足,从技术和投资成本上考虑,优先考虑现有网络设备的利旧问题,减少额外的费用支出,做到真正有效的费用节省;3 部署方案设计根据公司对网络准入系统的实际需求和技术讨论确认,本方案采取单控制器的集中式管理方式,在股份公司部署一套网络准入系统作为管控中心,同时也负责股份公司本地网络的网络设备的准入控制,其他16家公司根据需求不同而选择不同性能的网络准入系统,通过VPN网络连接股份公司的管控中心,由管控中心统一管控,由各公司的管理用户分角色管理;网络准入系统的网络架构图如下图3所示:图3 网络准入系统的网络架构图本方案部署详解如下:1股份公司的网络准入系统集中管控中心,其他分公司的网络准入系统为不可管控的准入代理设备,其由管控中心集中管理;2分别在股份公司和南沙公司搭建AD域控服务器,提供员工域用户信息给员工用来做认证准入功能,这两台服务器进行数据同步;其他分公司也是由网络准入系统通过网络连接AD域控制服务器读取员工域用户信息做认证;3逃生机制原理处理方法:当网络准入系统失效时,系统自动切换到无认证的网络模式,使已经准入认证过后的终端设备或新接入网的终端设备不受通信影响;4故障点详细分析和应紧处理方式:故障点1、股份公司的网络准入系统故障时,作为管控中心的单点故障将会直接影响到所有公司包括股份公司本地内网的网络准入失效,会对新需要入网的终端设备无法认证入网,而已经认证后的设备在不中断内网连接的情况下其公司的内部网络通信不受影响;此时单点故障发生后,所有公司各自启用网络逃生机制,取消网络认证功能,自动切换到无认证的网络接入模式,保证内网的正常使用;当设备系统恢复后,可切换回认证模式,恢复网络准入控制;故障点2、本方案采用的是单控制中心,当股份公司VPN线路端出现故障时,16家分公司的网络准入系统将无法通过VPN线路连接到管控中心,这会导致16家分公司的网络准入系统同时失效,会对新需要入网的终端设备无法认证入网,而已经认证后的设备在不中断内网连接的情况下在其公司的内部网通信不受影响,当此故障点发生后,16家分公司都会启用逃生机制自动切换到无认证模式的接入;故障点3、当某个分公司的VPN线路端发生单点网络故障或者网络准入系统发生的单点设备故障,此时此分公司内部的网络准入系统都会失效,会对于新需要入网的终端设备无法认证入网,而已经认证后的设备在不中断内网连接的情况下在其公司的内网通信不受影响,此分公司会启用逃生机制自动切换到无认证模式的接入;4 招标技术要求股份公司原有一套网络准入系统使用标准的DHCP和准入技术,但是不能满足此方案中的所有需求;为了做到利旧的原则,原有的网络准入系统原则上不做淘汰,新准入系统最好能兼容或者最大限度的利用原有的准入系统;具体的准入系统技术要求如下:(1)总体要求:支持总共不少于3500终端的准入性能许可,准入方案中需要说明是利用原有准入硬件系统只提供软件还是提供新的硬件系统,如果提供新硬件,需要新硬件ALL In One要求,单台设备支持所有功能,无需再配置服务器或者第三方系统软件,并说明如何利用原有准入系统;16个分公司要做到股份公司统一准入管理;准入方案要具有可扩展性,为以后公司的容灾扩展提供方便,方案中要说明;提供应急逃生方案;2内网接入控制技术要求:基于DHCP的Webportal认证接入,同时可结合准入一起使用支持无客户端准入无线接入控制支持老旧交换机和Hub的接入控制不得使用串接、策略路由、更改交换机VLAN的准入控制技术建立接入隔离网,隔离不明终端支持来宾访客网;3用户管理要求:能结合AD域用户,自动同步AD域用户,实现AD域单点登录用户自注册、自服务定制用户口令安全等级、弱口令字典、过期时间用户口令防暴力破解支持外联LDAP、SQL用户数据库4IP地址管理要求接入网络非法IP自动隔离,杜绝非法设置IP造成IP冲突内嵌DHCP服务,认证后的DHCP地址分配基于组/角色/终端的IP地址下发,IP统一可视化管理基于认证的IP地址管理交换机端口接入人及状态的图像直观显示5认证要求:可以做到无客户端强制认证支持动态口令牌和动态口令卡内嵌RADIUS服务器、RADIUS统一认证基于用户、部门或角色定义认证强度短信方式多因素认证其他网络设备的ID扩展接口API支持第三方认证系统,并实现无缝集成;6哑终端准入要求:支持哑终端设备指纹扫描,无需安装客户端或插件,识别唯一设备类型哑终端设备指纹支持:防范非法终端仿冒设备网络打印机、网络摄像头等7主机健康检测要求:强制插件安装对终端杀毒软件检查,防止无杀毒能力终端入网能够检查终端网卡的唯一性、禁止Proxy代理按不同网段定制不同主机健康检查策略按不同的终端组定制不同主机健康检查策略;8用户上网、下网审计要求:IP使用人实时和历史记录查找IP网段当前使用人及状态直观图表显示用户IP实时和历史记录查找对IP日志的按用户管理和查找可提供详尽的报表以及标准的日志导出、存贮、查询功能;9部署方式及应急灾备:旁路式部署,不改变网络结构可实现多级分布、分级部署,由一个平台统一管理可实现跨路由的数据分布式同步多台互为容灾热备Active/Active设备支持异地容灾、本地双机冗余热备HA等5 产品购买清单6 项目实施周期因本方案是以股份公司为整体设计的方案,牵涉公司单位共有17家,所以实施周期会比较长,实施安装需要分3期,由信息部系统组和厂家技术支持为主,各分公司系统管。
捍卫者内网准入控制系统内网安全的一个理念就是,要建立一个可信、可控的内部安全网络。
内网的终端构成了内网90%以上的组成,当之无愧的成为内网安全的重中之重。
因此内网安全的重点就在于终端的管理.管理终端,建立一个可控的内网,至少需要完成以下基本问题的处理:一、非法接入内网问题公司内网连接着众多的服务器和终端,运行着OA、财务、ERP 等众多系统和数据库,未通过认证的终端如果随意接入内网,将使这些服务器、系统和重要数据面临被攻击和窃取的危险。
二、非法外联问题通常情况下,内网和外网之间有防火墙、防病毒墙等安全设备保障内网的安全性,对于保密网络,甚至是要求与外网物理隔绝的。
但如果内部人员使用拨号、宽带、GPRS、CMDA等方式接入外网,使内网与外网间开出新的连接通道,外部的黑客攻击或者病毒就能够绕过原本连接在内、外网之间的防护屏障,顺利侵入非法外联的计算机,盗窃内网的敏感信息和机密数据,造成泄密事件,甚至利用该机作为跳板,攻击、传染内网的重要服务器,导致整个内网工作瘫痪.而内部人员也可利用不受监管的非法外联发送或泄漏公司的商业秘密。
三、 使用者上网行为问题很多公司员工经常使用QQ 、MSN 之类的进行聊天,使用迅雷之类的软件P2P 下载,或上网观看视频,会造成工作效率低下、公司带宽被占用的情况。
还有员工登录论坛留言发帖,可能发表非法或恶意信息,使公司受到相关部门的处罚或名誉受损等。
➢ 基于安全准入技术的入网规范管理产品➢ 基于非法外联接入的入网规范管理系统➢ 基于可信域认证的内网管理系统➢ 计算机终端接入内外网的身份认证系统➢ 软件及硬件单独或相互联动的多重管理方式接入身份验证合法安全合规性检查合规分配权限入网是是拒绝接入否修复否产品功能●可信域终端接入管理●未通过认证终端接入访问受限●支持USB KEY作为可信凭据●完整的准入审计记录●可与AD域服务器或LDAP服务器相结合认证●黑白名单两种方式进行终端访问管理●支持级联模式部署。
JUNIPER统一接入控制UAC市场运行模式及相关技术调研报告随着移动互联网的快速发展和智能化设备的普及,移动办公已经成为了现代人工作和生活的标配。
但是,带来了方便的同时也给企业网络的安全带来了更大的威胁。
企业需要同时保护自己的网络安全和员工的个人隐私,这就需要有一个集中、全面、可靠的网络接入控制机制。
JUNIPER的统一接入控制UAC正是一个解决方案。
一、UAC市场运行模式1.1 市场研究分析UAC是JUNIPER NETWORKS在安全领域推出的一款全新的接入控制产品。
严密的接入控制可以保护企业内部数据不被从外部访问,同时也避免公司机密被泄露。
UAC功能强大,涵盖了安全策略、用户身份认证、流量控制和访问审计等方面。
UAC可以保护不同类型终端,例如笔记本、桌面、智能手机、平板电脑等设备,为企业的安全访问提供了多元性支持。
UAC 是一种支持并支持各种常见操作系统强大的网络接入控制平台。
在 UAC 中,可以快速创建策略,以便执行对所有终端的统一控制。
1.2 营销策略分析早期的JUNIPER,主要针对大型客户(如政府机构、银行、电信运营商和大型集团等)。
随着技术的发展,移动互联网渐渐成为了主流,JUNIPER也越来越注重在中小企业市场中的定位,正加快针对应用场景的优化和产品的上市节奏。
根据UAC市场运行模式的标准,其营销策略应注重以下几个方面:(1)强化品牌传播。
该产品线的品牌依托JUNIPER,因此品牌传播方面应借助JUNIPER原生优势,在业内广泛传播JUNIPER这一大品牌。
通过品牌的稳固、专业、实力、领先等概念来吸引更多客户,并树立品牌忠诚度。
(2)挖掘客户需求,寻找和发现客户的诉求,进行深挖,掌握客户的想法和需求。
根据客户的需求和市场的变化调整和改进产品线,满足客户的需求。
(3)营造差异化竞争优势。
UAC已经有多个品牌的竞品(如华为的AC、思科的ISE等),因此应该立足于自身的产品特点,在产品的性能、价值、功能等方面进行优化和加强,让其在竞争中占据领先优势。
Juniper路由器安全配置方案一.路由器网络服务安全配置:默认情况下,系统启动了许多无用服务,这些服务在占用系统资源的同时也造成一定的安全隐患,应该在尽可能的情况下停止或限制这些服务1. SNMP服务使用如下命令来停止SNMP服务:set system processes snmp disable使用如下命令来设置SNMP通讯字符串:set snmp community mysnmp authorization read-only使用如下命令来在接口上设备SNMP通讯字符串:set snmp interface fxp0 community mysnmp使用如下命令来在接口上禁止SNMP服务trap:set interfaces fxp0 unit 0 traps disable使用如下命令来限制SNMP的访问客户端:set snmp community mysnmp clients 192.168.0.0/24set snmp community mysnmp clients 0.0.0.0/0 restrict上述命令只允许192.168.0.0/24网段访问路由器的SNMP服务<2.停止接口广播转发:广播转发容易造成smurf攻击,因此应该使用如下命令停止:set system no-redirects接口级别停止广播转发使用如下命令:set interfaces fxp0 unit 0 family inet no-redirects3.停止dhcp-relay服务,dhcp-relay服务用于在不同网段使用同一个dhcp服务器,如果没有使用,则应该使用如下命令停止:set system dhcp-relay disable4.禁止IGMP服务,IGMP服务如果在没有使用的情况下应该使用如下命令禁止:set protocols igmp interface all disable5.禁止PIM服务,PIM服务如果在没有使用的情况下应该使用如下命令禁止:set protocols pim disable6.禁止SAP服务,SAP服务如果在没有使用的情况下应该使用如下命令禁止:set protocols sap disable</P>7.禁止IP Source Routing源路由set chassis no-source-route二.路由器登录控制:1.设置系统登录Banner:set system login message "Warning: if you NOT authorized to access this system,disconnect NOW!"2.设置登录超时时间:默认情况下,系统登录没有登录超时时间限制,应该将登录超时时间设置为15分钟:set cli idle-timeout 153.建议采取用户权限分级管理策略set system login class tier1 idle-timeout 15set system login class tier1 permissions [ configure interface network routing snmp system trace view firewall ]set system login class tier2 idle-timeout 15set system login class tier2 permissions all</P>set system login user admin full-name Administratorset system login user admin uid 2000set system login user admin class tier2set system login user admin authentication encrypted-password "<ASSWORD>"</P>set system login user tier1 uid 2001set system login user tier1 class tier1set system login user tier2 uid 2002set system login user tier2 class tier2</P>4. 限制系统ssh、telnet服务连接数量:以下配置将ssh, telnet连接最大数量限制为10个,并且每分钟最多有5个可以连接:set system services ssh connection-limit 10 rate-limit 5set system services telnet connection-limit 10 rate-limit 5以下特性JUNOS5.0以上支持:set system services root-login deny(禁止root远程登陆)set system services protocol-version v2(使用sshv2)三.配置系统日志服务:1.设置系统kernel级警告发到console上set system syslog console kernel warning2.配置登录系统日志到单独的auth.log文件中set system syslog file auth.log authorization info3.配置系统配置更改日志到单独的change.log文件中set system syslog file change.log change-log info4.配置系统所有日志到日志服务器set system syslog host x.x.x.x. any info四.路由策略安全1.配置以下保留地址的黑洞路由set routing-options options no-resolveset routing-options options syslog level debugset routing-options static route 0.0.0.0/8 discardset routing-options static route 10.0.0.0/8 discardset routing-options static route 20.20.20.0/24 discardset routing-options static route 127.0.0.0/8 discardset routing-options static route 169.254.0.0/16 discardset routing-options static route 172.16.0.0/12 discardset routing-options static route 192.0.2.0/24 discardset routing-options static route 192.168.0.0/16 discardset routing-options static route 204.152.64.0/23 discardset routing-options static route 224.0.0.0/4 discard2.设置strict模式的unicast RPFset interfaces so-0/0/0 unit 0 family inetrpf-check <fail-filter filter-name3.设置相应prefix-list,禁止保留地址访问set policy-options prefix-list reserved 0.0.0.0/8set policy-options prefix-list reserved 10.0.0.0/8set policy-options prefix-list reserved 20.20.20.0/24set policy-options prefix-list reserved 127.0.0.0/8set policy-options prefix-list reserved 169.254.0.0/16set policy-options prefix-list reserved 172.16.0.0/12set policy-options prefix-list reserved 192.0.2.0/24set policy-options prefix-list reserved 204.152.64.0/23set policy-options prefix-list reserved 224.0.0.0/4set firewall filter inbound-filter term 1 from prefix-list reservedset firewall filter inbound-filter term 1 then count spoof-inbound-reservedset firewall filter inbound-filter term 1 then discardset interfaces ge-0/0/0 unit 0 family inet filter input inbound-filter五. Firewall-Policy设置Firewall-Policy可以限制进入及流量主机数据包的来源、目标地址、协议、端口号、流量等,应用Firewall-Policy可以实现类似于防火墙的性能,但一般不建议在骨干路由器上使用,以下是Firewall-Policy的使用方法:1.创建Firewall-Policy:set firewall filter local-sec term sec-in1 from destination-port telnetset firewall filter local-sec term sec-in1 from destination-address 172.16.0.1/32set firewall filter local-sec term sec-in1 from source-address 192.168.0.0/24set firewall filter local-sec term sec-in1 then acceptset firewall filter local-sec term sec-in2 from destination-port telnetset firewall filter local-sec term sec-in2 from destination-address 172.16.0.1/32set firewall filter local-sec term sec-in2 then discardset firewall filter local-sec term sec-in3 fromset firewall filter local-sec term sec-in1 then accept2.应用到路由器的端口上:set interfaces fxp0 unit 0 family inet filter input local-sec以上例子不允许除192.168.0.0/24网段外所有地址telnet访问172.16.0.1,但允许其它任何包通过。
juniper 解决方案
《Juniper解决方案》
Juniper是一家全球领先的网络解决方案提供商,致力于为客
户提供高性能、高可靠性的网络产品和服务。
Juniper的解决
方案涵盖了网络安全、云计算、软件定义网络(SDN)等领域,为客户构建了可靠的网络基础设施。
在网络安全领域,Juniper提供了一系列的解决方案,如防火墙、入侵检测系统(IDS)、虚拟专用网络(VPN)等,帮助
客户保护其网络免受恶意攻击和数据泄露的威胁。
在云计算领域,Juniper提供了针对公有云、私有云和混合云
的解决方案,包括云网络、云安全和云管理等,帮助客户构建可靠、高性能的云基础设施。
在软件定义网络领域,Juniper提供了基于软件的网络控制器
和虚拟化技术,帮助客户实现网络的灵活性和可扩展性。
Juniper的解决方案还包括了网络管理和优化、数据中心网络、无线网络等方面,为客户提供了全面的网络解决方案。
通过Juniper的解决方案,客户可以构建高性能、高可靠性的
网络基础设施,满足不同应用场景的需求。
Juniper不仅提供
了先进的产品和技术,还提供了专业的技术支持和服务,帮助客户实现网络的持续发展和创新。
总之,Juniper的解决方案在网络安全、云计算、软件定义网络等领域都具有强大的竞争力和市场影响力,为客户提供了卓越的网络解决方案和服务。
锐捷网络准入控制及终端安全方案一、面临挑战企业网络从有线向无线转型的过程中,为保障网络安全,需实现有线无线一体化准入。
而单一的解决方案,不能满足复杂网络环境下的多样化准入控制需求:多用户角色:传统的网络环境下,主要应用对象为企业员工,但在移动办公场景下,应用对象可扩展至访客、领导、VIP会员等多种用户角色,需基于用户角色在访问权限上做区别;多分支异构:多分支机构中网络架构也会存在差异,如何做统一地接入管理,实现一体化认证,是一项重大的技术挑战;多终端接入:传统网络主要使用PC连接,随着移动终端的普及,终端的数量及类型也随之增多,用户的体验要求也越来越高,同时也带来了更多安全上的挑战。
二、解决方案1、锐捷网络准入控制及终端安全方案概述宁盾网络准入控制及终端安全方案基于对终端风险以及用户身份的真实性进行双重验证,判断是否准入网络以及获得访问权限,实现接入网络终端及用户身份的双重可信,提升网络安全。
其安全管理逻辑是先对接入内网终端进行合规性检查,并确认接入网络用户身份的真实性,根据终端风险以及用户角色动态赋予访问权限,并和第三方网络审计以及态势感知平台联动,实现内外网上网实名审计以及主动防御。
在此方案中,锐捷无线WLC开启portal认证,认证服务器指向宁盾认证服务平台,有线部分通过ND ACE结合AM做portal的统一准入,最终实现有线无线的一体化准入控制。
2、身份认证方式2、1员工场景①用户名密码认证,用户名密码可以创建,也可以与AD、LDAP同步帐号信息;②支持802、1X认证;③支持802、1x+portal认证;④支持802、1x+portal+动态码认证。
2、2访客场景①短信认证,可设定短信内容模版、短信验证码有效期及长度等;②微信认证,通过关注微信公众号进行认证连接上网;③支持二次无感知认证,可设定有效期,超过有效期的访客须通过其他认证方式登录;④支持协助扫码认证,快速授权上网,实现访客与被访人之间可追溯;⑤支持访客自助申请认证,由指定人员审批申请信息,加强内外网访问安全控制;⑥支持邮箱认证,访客可以通过邮箱认证接入网络。
网络准入解决方案一.网络准入现状信息技术的发展导致信息网络所起的作用越来越巨大,连接范围越来越广泛,使用人员越来越众多、终端系统越来越庞杂,终端所面临的各种安全问题也越来越突出。
在当前的信息网络应用环境下,网络管理者普遍面临如下终端安全问题:1、网络边界不清晰网络中有多少台终端在工作?有没有外来终端入侵?有多少网络设备?终端连接状况如何?2、使用人员难以确定谁在操作终端?有没有人进行越权访问?有没有进行非法操作?如何尽快发现和管理?3、BYOD带来巨大挑战BYOD(Bring Your Own Device,自带设备办公)设备是否有漏洞?安全设置是否符合安全规定?带离办公区后会不会被攻击?是否会将外部的攻击带入办公区?4、终端安全状况不清晰终端的操作系统环境是否安全?终端的软件环境是否合规?终端是否符合安全基线要求?5、各种安全制度难以落实针对终端和网络使用的各项安全制度,是否能够快速落实和检查?6、防护系统众多难以整合各种防护系统如何进行统一管理?各防护系统的安全数据如何整合?二:盈高网络准入解决方案ASM6000入网规范管理系统,是盈高科技自主知识产权的新一代集成化终端安全管理平台。
是完全基于最先进的第三代准入控制技术的纯硬件网络准入控制系统。
是在总结了ASM4000系统及用户需求的基础上,秉承了“不改变网络、灵活客户端、终端安全集成化”的特性。
改变了业界传统的将准入控制系统作为一个单独功能产品的做法,率先提出准入平台的概念。
ASM6000采用了盈高科技独创的“SOPE”安全模型解决当前严峻的终端安全问题,“SOPE”是一个向上滚动的模型体系,通过不断的循环能够让终端安全与业务达到完美平衡:基础架构生成shaping infrastructureASM6000通过智能获取用户网络的整体构成信息,包括:交换设备、入网终端、ip资源等。
生成全网的拓扑图、设备状态视图、终端状态视图等。
观测obsevationASM6000在线实时观测所有终端上下网行为、安全状态并生成统计报告,同时对入网计算机能够精确地定位到边界交换机端口。
网络准入控制和桌面安全管理系统整体解决方案建议书网络准入控制和桌面安全管理系统整体解决方案建议书目录1. 建设网络准入控制和桌面安全管理系统的必要性 (4)2. 解决方案总体设计思路方案设计原则 (5)2.1. 方案设计原则 (5)2.2. 统一的集成化管理平台 (6)2.3. 支持多厂商/多平台 (7)3. UniAccess TM终端安全管理系统架构 (7)3.1. UniAccess TM的终端安全管理总体思路 (7)3.2. UniAccess TM的安全接入管理系统架构 (8)3.3. UniAccess TM安全接入管理系统主要功能简介 (11)4. UniAccess TM网络准入控制介绍及在XXXX部署建议 (12)4.1. UniAccess TM网络准入控制技术总体介绍 (12)4.1.1. 准入控制系统部署后终端接入网络的流程 (13)4.1.2. 准入控制系统部署后的影响 (13)4.1.3. UniAccess TM网络准入控制技术 (15)4.2. XXXX网络准入控制系统部署建议 (18)4.2.1. 准入控制系统总体部署建议 (18)4.2.2. 总部、地区总部网络准入控制建议 (18)4.2.3. 中小型分支机构准入控制建议 (21)5. 集中式桌面安全综合管理 (23)5.1. 资产/IT设备统计 (23)5.1.1. 资产信息自动采集 (23)5.1.2. 设备快速定位(交换机端口定位) (24)5.1.3. 客户端设备注册 (25)5.1.4. 客户端代理反卸载及管理员联机卸载 (27)5.1.5. 未安装杀毒软件客户端报警 (27)5.1.6. 配置变更管理 (30)5.1.7. 未注册设备及注册程序卸载告警 (33)5.1.8. 客户端组件在线升级 (34)5.1.9. Web方式客户端注册 (35)5.2. 安全策略管理 (37)5.2.1. 管理员权限管理和分组 (37)5.2.2. 客户端流量异常管理控制 (38)5.2.3. 客户端流量明细统计 (39)5.2.4. 客户端安全漏洞检查 (40)5.2.5. 软件许可监控(黑白名单) (41)5.2.6. 违规客户端远程阻断 (43)5.2.7. 非授权外连 (43)5.2.8. 终端的网络访问行为审计与控制 (44)5.2.9. 支持穿透客户端防火墙 (44)5.2.10. 报表和数据备份 (44)5.3. 防止文件非法外传控制 (46)5.3.1. U盘/软盘控制 (46)5.3.2. MSN/QQ文件外传控制 (46)5.3.3. 电子邮件方式外传控制 (47)5.3.4. WebMail方式外传控制 (47)5.3.5. 文件共享方式外传控制 (47)5.3.6. 离线控制 (47)5.4. 补丁分发管理 (48)5.4.1. 补丁断点续传 (48)5.4.2. 补丁测试 (48)5.4.3. 客户端用户手工安装补丁 (49)5.4.4. 补丁自动分发安装 (50)5.5. 软件分发管理 (51)5.5.1. 断点续传 (51)5.5.2. 分发模式 (52)5.5.3. 软件分发过程监控 (52)5.6. 远程协助与维护 (53)5.7. 客户机软件部署 (54)5.7.1. UniAccess TM的客户机软件部署技术 (54)5.7.2. 客户机软件部署建议 (55)6. 服务器配置与系统安装、部署建议 (56)6.1. UniAccess TM安全接入管理系统的部署优势 (56)6.2. 服务器部署建议 (56)6.2.1. UniAccess TM服务器硬件(1台,必选项目) (58)6.2.2. Radius服务器(2台,必选1台) (58)6.2.3. 补丁下载服务器(1台,可选) (59)6.2.4. 探测器(1台,可选) (59)6.3. UniAccess TM Agent的特点及其部署方法 (59)6.4. 系统部署时间 (61)1.建设网络准入控制和桌面安全管理系统的必要性随着证券行业信息化的飞速发展,业务和应用完全依赖于计算机网络和计算机终端。
1. 引言网络准入是指对接入到企业内部网络的设备或用户进行身份认证、权限控制、流量控制等手段的安全管理。
通过网络准入方案,企业可以有效保护内部网络的安全,防止未经授权的设备或用户进入内部网络,提升网络的安全性和稳定性。
本文档将详细介绍一个完整的网络准入方案,包括准入认证、访问控制、流量控制和准入审计等方面的内容。
2. 准入认证准入认证是网络准入的第一道防线,通过对接入设备或用户进行身份认证,确保只有经过授权的设备或用户才能接入企业网络。
在准入认证方面,我们建议采用以下措施:•使用802.1X认证机制:对接入设备进行身份认证,可以基于用户名/密码、证书或MAC地址等方式进行认证。
•强制设备安全配置:要求接入设备安装最新的操作系统补丁、杀毒软件和防火墙,并禁用不必要的服务和端口。
•限制无线接入:对于无线接入,需要限制使用非企业授权的无线网络,并采用强密码机制和周边物理隔离等措施加强安全性。
•强制设备注册:要求全部设备在接入网络之前进行注册,获取唯一标识和设备证书,并保存在认证服务器中。
3. 访问控制访问控制是网络准入的核心环节,通过对接入设备或用户的权限进行控制,确保只有授权的设备或用户能够访问特定的网络资源。
在访问控制方面,我们建议采用以下措施:•基于角色的访问控制:将用户或设备划分为不同的角色,每个角色具有不同的访问权限,可以根据需要进行细粒度的控制。
•网络分段和VLAN:将内部网络划分为不同的子网或VLAN,根据需求将不同的设备或用户分配到不同的网络段,实现访问隔离和安全控制。
•强制访问策略:对于敏感数据或关键资源,可以通过访问策略进行控制,例如仅允许特定IP地址或特定时间段内的访问。
•定期权限审查:定期对用户或设备的权限进行审查和更新,确保权限与实际需求相符,避免过度的权限泛滥。
4. 流量控制流量控制是网络准入的重要一环,通过对接入设备或用户的流量进行管理,保障网络的带宽和服务质量。
在流量控制方面,我们建议采用以下措施:•基于策略的流量控制:根据不同的业务需求和网络资源状况,对接入设备或用户的流量进行限制和分类,确保重要业务的带宽和服务质量。
juniper解决方案
《Juniper解决方案:实现网络安全与高效互联》
Juniper Networks是一家领先的互联网协议网络公司,其解决方案以其高效的性能和卓越的安全性而闻名。
Juniper致力于利用先进的技术,帮助客户解决复杂的网络挑战,确保他们的网络安全和高效互联。
Juniper解决方案提供了一系列创新的产品和服务,涵盖了从网络路由器、交换机到网络安全等各个领域。
其产品和解决方案不仅能够满足客户日常的网络需求,还可以应对日益增长的网络安全威胁和需求,确保网络运行的高效和安全。
在网络安全方面,Juniper的解决方案提供了全方位的安全保护,包括入侵检测和防御、安全威胁管理、访问控制等功能,可以有效地保护客户的网络免受各种安全威胁的侵害。
除了安全性,Juniper的解决方案也致力于提高网络的性能和可靠性。
其高性能的网络设备可以帮助客户构建高效的网络拓扑,提高网络的数据传输速度和响应时间,提高整个网络的运行效率和用户体验。
总的来说,Juniper的解决方案不仅可以满足客户日常的网络需求,还可以有效应对日益增长的网络安全挑战。
通过使用Juniper的解决方案,客户可以实现网络安全与高效互联,为他们的业务提供稳定可靠的网络支持。
随着企业信息化程度的提高,数量众多的桌面 PC 管理成为系统管理员越来越重要的工作,目前企业拥有上百台 PC 机及终端。
系统管理员在日常维护过程中主要面临以下问题,而这些问题,既给系统管理员带来沉重的工作负担,也会严重影响企业的业务运作。
在信息系统中桌面系统(PC)的数量往往是最多的,这些桌面系统往往很分散,分布于不同的楼层,甚至分布于不同的大楼,加上使用这些桌面系统的用户技能水准差异很大,使得管理维护工作很困难;病毒、蠕虫和间谍软件等新兴网络安全威胁继续损害客户利益并使机构损失大量的金钱、生产率和机会。
与此同时,移动计算的普及进一步加剧了威胁。
移动用户能够从家里或公共热点连接互联网或办公室网络—常在无意中轻易地感染病毒并将其带进企业环境,进而感染网络。
频繁的病毒和安全攻击使得桌面系统的维护工作量剧增。
据 IDG 对病毒统计报告显示,每年新出现的的病毒种类大多数是针对 Windows 操作系统的病毒.由于未及时打操作系统补丁、未及时升级防病毒软件、绕过网络安全设施随意上Internet 网、外来机器的接入、外来程序的拷贝等原因,组织内部的PC 机很容易被攻击和被病毒感染;为解决安全问题,管理员经常需要在多台机器上安装同一个软件或补丁,如操作系统补丁包,传统的手工安装要花费系统管理员大量时间 ;为提高效率,系统管理员经常需要做远程支持,帮助用户快速及时解决 PC 机问题。
系统管理员与 PC 机用户仅依靠电话很难远程解决问题。
随着企业日益严重依赖网络业务, 日益迫切需要为所有用户提供轻松的网络接入,并且企业对网络的依赖性越来越严重,因此网络变得空前关键且更易遭受攻击.因此,支持用户接入任何资源,无论是分类文档中的数据、病人健康信息、还是知识资产,始终需要在接入价值与安全风险之间找到最佳平衡点。
事实上,仅靠网络边缘的外围设备已无法保证安全性。
边缘安全措施无法保护内部网络段,也无法替代主机安全措施。
即便企业运行着防火墙等网络周边安全机制,病毒和电子邮件蠕虫、特洛伊木马、拒绝服务攻击和其他恶意行为仍频繁利用最终用户设备渗入企业环境。
网络准入解决方案网络准入解决方案一.网络准入现状信息技术的发展导致信息网络所起的作用越来越巨大,连接范围越来越广泛,使用人员越来越众多、终端系统越来越庞杂,终端所面临的各种安全问题也越来越突出。
在当前的信息网络应用环境下,网络管理者普遍面临如下终端安全问题:1、网络边界不清晰网络中有多少台终端在工作?有没有外来终端入侵?有多少网络设备?终端连接状况如何?2、使用人员难以确定谁在操作终端?有没有人进行越权访问?有没有进行非法操作?如何尽快发现和管理?3、BYOD带来巨大挑战BYOD(Bring Y our Own Device,自带设备办公)设备是否有漏洞?安全设置是否符合安全规定?带离办公区后会不会被攻击?是否会将外部的攻击带入办公区?4、终端安全状况不清晰终端的操作系统环境是否安全?终端的软件环境是否合规?终端是否符合安全基线要求?5、各种安全制度难以落实针对终端和网络使用的各项安全制度,是否能够快速落实和检查?6、防护系统众多难以整合各种防护系统如何进行统一管理?各防护系统的安全数据如何整合?二:盈高网络准入解决方案ASM6000入网规范管理系统,是盈高科技自主知识产权的新一代集成化终端安全管理平台。
是完全基于最先进的第三代准入控制技术的纯硬件网络准入控制系统。
是在总结了ASM4000系统及用户需求的基础上,秉承了“不改变网络、灵活客户端、终端安全集成化”的特性。
改变了业界传统的将准入控制系统作为一个单独功能产品的做法,率先提出准入平台的概念。
ASM6000采用了盈高科技独创的“SOPE”安全模型解决当前严峻的终端安全问题,“SOPE”是一个向上滚动的模型体系,通过不断的循环能够让终端安全与业务达到完美平衡:基础架构生成shaping infrastructureASM6000通过智能获取用户网络的整体构成信息,包括:交换设备、入网终端、ip资源等。
生成全网的拓扑图、设备状态视图、终端状态视图等。
需求分析随着企业信息化程度的提高,数量众多的桌面PC管理成为系统管理员越来越重要的工作,目前企业拥有上百台PC机及终端。
系统管理员在日常维护过程中主要面临以下问题,而这些问题,既给系统管理员带来沉重的工作负担,也会严重影响企业的业务运作。
数量众多在信息系统中桌面系统(PC)的数量往往是最多的,这些桌面系统往往很分散,分布于不同的楼层,甚至分布于不同的大楼,加上使用这些桌面系统的用户技能水准差异很大,使得管理维护工作很困难;病毒和安全攻击病毒、蠕虫和间谍软件等新兴网络安全威胁继续损害客户利益并使机构损失大量的金钱、生产率和机会。
与此同时,移动计算的普及进一步加剧了威胁。
移动用户能够从家里或公共热点连接互联网或办公室网络—常在无意中轻易地感染病毒并将其带进企业环境,进而感染网络。
频繁的病毒和安全攻击使得桌面系统的维护工作量剧增。
据IDG对病毒统计报告显示,每年新出现的的病毒种类大多数是针对Windows操作系统的病毒。
由于未及时打操作系统补丁、未及时升级防病毒软件、绕过网络安全设施随意上Internet网、外来机器的接入、外来程序的拷贝等原因,组织内部的PC机很容易被攻击和被病毒感染;软件升级与补丁安装:为解决安全问题,管理员经常需要在多台机器上安装同一个软件或补丁,如操作系统补丁包,传统的手工安装要花费系统管理员大量时间;远程监控与维护为提高效率,系统管理员经常需要做远程支持,帮助用户快速及时解决PC 机问题。
系统管理员与PC机用户仅依靠电话很难远程解决问题。
网络接入控制随着企业日益严重依赖网络业务,日益迫切需要为所有用户提供轻松的网络接入,并且企业对网络的依赖性越来越严重,因此网络变得空前关键且更易遭受攻击。
因此,支持用户接入任何资源,无论是分类文档中的数据、病人健康信息、还是知识资产,始终需要在接入价值与安全风险之间找到最佳平衡点。
事实上,仅靠网络边缘的外围设备已无法保证安全性。
边缘安全措施无法保护内部网络段,也无法替代主机安全措施。
即便企业运行着防火墙等网络周边安全机制,病毒和电子邮件蠕虫、特洛伊木马、拒绝服务攻击和其他恶意行为仍频繁利用最终用户设备渗入企业环境。
即时消息传递(IM)或对等间应用(P2P)等新技术也带来了新型威胁,新型威胁可以完全绕过网络周边的安全设备。
企业力求通过策略控制这些技术的使用,但此类策略在传统网络中几乎无法执行。
如果您使用电子邮件并拥有Web内容、面向公众的服务器或者移动用户,那么您的网络必定会频繁遭受各种类型的攻击。
而且,这些威胁和安全漏洞比想象的更难以觉察、更加危险——移动代码可以通过安全的(但可移动的)PC进入网络。
目前大部分终端在接入网络的时候,都没有经过严格的身份认证,对终端也没有有效的验证手段。
无法对终端接入网络之前,进行有效的合法性,安全性的检查。
受病毒感染的终端,未打补丁的终端如果随意接入网络,势必给整个网络的安全带来重大的隐患。
选择适合的网络准入控制产品为了解决以上安全以及管理问题,使得整合系统内的终端高效的运行,同时也为了帮助管理的工作,减轻管理员的负担,考虑建设桌面安全和终端准入控制系统。
系统应该至少具备如下特性:1.终端安全性检查。
包括Windows补丁检查,防病毒软件版本、病毒特征库版本检查,违规软件安装检查;共享目录检查;分区表检查;不同用户组的不同安全策略;2.网络强制身份认证。
支持用户名、密码;Windows域认证等认证方式,支持RADIUS认证;AAA 权限认证。
3.防火墙/IDP(4-7层)4. 支持802.1X的交换机,AP(2层准入)5.根据安全策略,对不满足安全策略的终端不予以网络接入。
6.防病毒,终端防护软件(端点)7. 统一终端管理:·基于网络地址,用户身份,终端状态的控制·统一配置的个人防火墙策略·对终端提供修复功能8. 支持最多的终端防护软件·预定义的检查:防病毒,个人防火墙,防恶意软件,操作系统等·自定义检查:JEDI,自定义文件,进程,注册表等·无需客户端的手工安装·通过浏览器自动的下载安装,减少管理员的工作量9.对用户的主机实现跨操作系统平台的支持。
10.对用户网络改动最小、最少。
Juniper 网络公司统一接入控制(UAC)是全面的网络接入控制解决方案,结合了基于标准的强大的用户验证和授权功能、基于身份的策略控制和管理以及端点安全性和智能,以便将接入控制扩展到整个企业网络中。
通过将业界标准与经过业界测试的、得到普遍认可的网络和安全产品集成在一起,Juniper 网络公司UAC 解决方案可帮助企业对试图接入网络的用户和设备提前进行安全策略遵从检查,并在用户接入企业网络和资源的整个过程中对会话进行全程跟踪检查。
这种方法可帮助企业确保全面遵从安全策略,有效抵御频繁变化的网络威胁。
UAC v2.0 解决方案通过第 3 层—第 7 层覆盖功能。
Juniper 网络公司统一接入控制 v2.0 是非常灵活的解决方案,能够将用户身份、设备安全状态信息和网络位置信息结合在一起,为每名用户创建特定会话的接入控制策略。
Juniper 统一接入控制解决方案企业网络必须为更为多样化的用户——访客、承包商和移动员工——提供接入服务,他们中的某些人会使用自己的设备接入网络。
用户可能在无意中下载一些受感染的文件,并使用这些受感染的设备直接连接到您的网络。
或者他们只是从您的局域网中接入互联网而得不到适当的安全保护,从而将您的网络暴露于大量威胁之中。
此外,当您提供网络接入服务时,必须对网络接入进行极细粒度的控制,以保护公司资产的安全性并满足法规遵从要求。
应对问题:Juniper UAC统一访问控制解决方案主要解决用户网络面临的如下问题:1.不同用户的网络准入控制问题。
2.不同用户终端的应用访问控制问题以及权限定制和分发问题。
3.终端的安全性评估与管理问题。
4.相关法案,Sarbanes-Oxley (塞班斯法案)。
)符合性和审计的要求。
解决方案的特性:Juniper UAC统一访问控制解决方案,采用了业界公认的标准(包括802.1x 和TNC等),将用户终端的身份标识、网络标识和终端安全状况进行集中的认证和授权,并且将用户权限和策略自动的下发到网络当中的执行点(包括防火墙、交换机和无线接入点等)上,实现了统一的接入控制和访问控制。
该方案可以实现以下功能:1.基于终端的身份标识、网络标识和终端状况的统一的认证和授权。
2.终端安全状况的检查,如检查防病毒软件是否更新,补丁是否健壮等,对于不符合安全策略的主机,可以进行修复。
3.利用网络当中已有的防火墙、交换机和无线接入点等网络和网络安全设备,对内部网络终端的接入和访问进行控制。
4.对于关键的业务和通讯,自动启用IPSec 连接,保证敏感数据传输的安全性。
5.用户终端访问整个过程中的安全检查,保证安全的连续性。
解决方案好处:1.针对终端的安全防护:UAC方案可以对终端进行安全检查,对于不符合安全策略的主机进行修复,同时提供个人防火墙功能,提供对终端的访问保护。
2.针对终端的访问控制:将用户终端的身份标识、网络标识和终端安全状况进行集中的认证和授权,统一的在网络控制点进行策略的下发。
3.充分利用已有的网络和网络安全投资,由于Juniper方案当中采用标准的接口,可以很好的与业界的其他方案,如防病毒,补丁管理、AAA认证方案进行整合。
Juniper解决方案优势:1.真正支持标准的解决方案,不局限于单独厂商的方案,用户可以在相关领域当中选择最佳或者最为适合的产品。
2.良好的用户体验,不需要管理员为每个终端单独安装客户端软件,软件采用自动定向和下载安装的方式安装,大大减少管理员工作量和工程建设周期。
3.支持所有类别的用户,如员工、承包商和访客等,对用户的主机实现跨操作系统平台的支持。
非常适合于分阶段的实施。
用户可以根据网络的实际情况,选择性的对防火墙或者交换机这些2-7层的控制器进行部署,实现不同的控制级别。
Juniper UAC 构成:Juniper 统一接入控制(UAC)解决方案 v2.0包括用作集中策略管理器的Infranet 控制器;以及作为可动态下载的端点软件的 UAC 代理(对于不支持下载的客户端,如客户端的设备;控制器和代理还包含 Juniper 通过在 2005 年收购 Funk Software 获得的整合特性,如Odyssey Access Client(OAC)802.1X 请求特性和Steel-Belted Radius 身份认证服务。
Infranet 控制器是经过加固的策略管理服务器,可收集用户验证、端点安全状态和设备位置信息,并将此类信息与策略相结合来控制网络、资源和应用接入。
随后,控制器在分配 IP 地址前在网络边缘通过802. 1X 并且/或在网络核心通过防火墙将这个策略传递给执行器。
同时使用这两类执行点可进一步提高接入控制粒度。
UAC 代理是允许动态下载的软件代理,可由控制器实时设置,通过 Juniper Installer Service 安装或通过其他方法进行部署。
代理同时提供 Juniper OAC 的集成 802. 1X 功能以及 L3-7 覆盖功能,如用于在客户端动态执行策略的集成个人防火墙。
代理还包括面向 Windows 设备的特定功能,如 IPSec VPN(允许实现从端点到防火墙的加密)和 Active Directory 单一登录等。
代理提供的主机检查器功能也被部署在已售出的几千个 Juniper Secure Access SSL VPN 产品中,允许管理员扫描端点以了解各种安全应用/状态,包括但不限于防病毒、防恶意软件和个人防火墙等。
UAC 代理可通过预定义的主机检查策略以及防病毒签名文件的自动监控功能来评估最新定义文件的安全状态,从而简化部署工作。
UAC 还允许执行定制检查任务,如对注册表和端口状态进行检查,并可执行 MD5 校验和检查,以验证应用是否有效。
UAC 工作原理在用户向控制器提交认证信息前,用户请求(802.1X 或非 802.1x 模式,通过设置用于端点的基于浏览器的代理提供)便揭示了大量不同的最终用户特征,包括源 IP 和 MAC 地址、网络接口(内部或外部)、数字证书(如果存在的话)、浏览器类型、SSL 版本以及端点安全检查结果等。
用户提交了认证信息后,控制器将通过全面的验证、授权和记账引擎,支持几乎所有常用的 AAA 设置中,包括现有的 RADIUS、LDAP、AD、Netegrity SiteMinder、证书/ PKI 服务器及匿名验证服务器等。
控制器将用户认证信息以及组群或属性信息(如组群的成员关系)与认证信息输入之前收集到的信息相关联,包括由主机检查器收集的信息,从而能够将用户动态映射到接入控制的第二步──面向会话的角色。
