JuniperUAC解决方案选编.ppt

* * * * * * * Copyright ? 2007 Juniper Networks, Inc. Proprietary and Confidential * Copyright ? 2007 Juniper Networks, Inc. Proprietary and Confidential * Copyright ? 2007 Juniper Networks, Inc. Proprietary and Confidential * Copyright ? 2007 Juniper Networks, Inc. Proprietary and Confidential * Copyright ? 2007 Juniper Networks, Inc. Proprietary and Confidential * Copyright ? 2007 Juniper Networks, Inc. Proprietary and Confidential * Juniper UAC方案介绍 关键业务挑战 IT愿景 爆炸性的接入需求挑战安全性 客户、访客、合同商、合作伙伴、各种端点（包括受管理的和不受管理的） 动态网络边界 … 但缺乏网络区隔 可信任和不可信的网络区隔概念演化出可信任和不可信任的接入问题 更复杂的威胁——需要减少响应时间以缓解/保护网络安全 通过识别可能被利用的已知弱点，及时保证设备的策略符合性 “灰色网络“－（不了解自己所拥有的网络！），恶意的疏忽大意的人 法规符合性和业务连续性 谁在接入什么？ 异构环境，不同的网络基础设施、AAA服务器、端点软件 需要在现有网络上即插即用的解决方案，无须淘汰和更换 接入控制市场预期 在连接之前评估安全状态 对不符合要求的用户进行隔离和/或修复 基于身份的网络准入控制 你能进入网络吗？ 策略和基于身份的接入控制 你能访问什么？ 在整个使用期间评估安全状态 威胁管理 必须包含下列功能 针对下列用户群 访客用户 难以掌握接入安全状态 无法管理的设备 合同商 不在现场 需要接入各种企业资源 远程或移动员工 在办公室之外使用PC 可能“粗心大意” 可能运行非授权的应用程序 终端安全方案目标 终端自身安全性 病毒的防护－防病毒系统 补丁的管理分－补丁管理系统 终端自身的防护－个人防火墙 终端安全策略的强制执行 不同终端的网络访问权限 依据的因素 用户身份信息 终端类型（所处IP地址和位置） 终端安全状况 针对的对象 核心服务器资源 互联网 其他的终端 终端安全设计的整体思路 部署相应的终端防护系统 防病毒系统、补丁管理系统和个人防火墙系统 依据安全域划分的原则将各种类型的终端进行逻辑隔离 该隔离方案可以充分利用安全域的划分和隔离方案。 将用户终端的管理与其网络访问权限结合起来。 整个网络采用一套网络控制器，对终端进行统一的认证授权和策略的下发。 采用统一的认证和授权机制，对内部网络的终端进行验证，认证和授权的内容不再局限于简单的用户名和密码。实现基于用户身份、所处网络位置（用户IP地址）、终端主机的安全状况的统一的授权。 网络中的控制点作为策略的执行点（包括防火墙和交换机等）。 根据终端用户认证信息的不同（用户身份、IP地址、终端主机的安全状况），在边界控制防火墙上动态的为该终端动态加载策略，实现不同的访问权限。 对于不符合安全策略的终端，防火墙上阻断其访问权限，同时对其进行修复。 Juniper UAC方案 接入控制 用户是否 有权限接入网络 访问控制 用户是否 有权限访问资源 威胁控制 用户不能 在网络中引入威胁 数据中心 关键业务 应用, 文件服务器, ERP, CRM 等 Infranet执行端 (EP) AAA 服务器 身份存储 企业Infranet 代理器 (IA) 本地或第三方主机符合性 可信赖的传送 自我防御 1.端点访问, 验证, 修正, 遏制 自我保护 企业Infranet服务控制层部署图 企业Infranet 控制器(IC) IC 3. 授权、执行与日志 2. 可信赖的 传送 (EP) 移动工作者 车载伴侣 (EP) 802.1x 802.1x 如何工作... 防火墙进行访问控制 Data Center Mission critical apps, File Servers, ERP, CRM etc AAA Servers (Active Directory) Infranet Controller Infranet Enforcer (IE) User 终端用户发出请求，要访问防火墙保护的服务器，由于防火墙的规则配置要求只有通过IC认证的用户才可以访问这些服务器，该用户的请求被阻挡