Juniper UAC解决方案白皮书.doc

JUNIPER 统一访问控制解决方案 技术白皮书 2006-10 Juniper Networks, Inc. 目 录 1 企业面临网络安全风险分析 3 1.1 企业发展现状和趋势 3 1.2 威胁分析 3 1.3 已有安全方案分析 4 1.4 风险分析 4 2 企业需要统一的访问控制解决方案 5 3 Juniper的解决之道 6 3.1 Juniper Infranet架构 6 3.1.1 使用控制 7 3.1.2 威胁控制 7 3.1.3 交付控制 7 3.2 企业Infranet UAC解决方案 8 3.3 UAC方案的组件 9 3.3.1 网络控制器（Infranet Controller） 9 3.3.2 客户端代理（Infranet Agent） 12 3.3.3 网络执行器（Infranet Enforcer） 15 3.4 UAC方案流程分析 19 3.5 UAC方案的使用环境举例 20 3.5.1 面向扩展企业的企业Infranet 20 3.5.2 面向分布式企业的企业Infranet 20 3.5.3 面向WAN网关的企业Infranet 21 3.5.4 数据中心的企业Infranet 22 3.5.5 园区网LAN的企业Infranet 22 3.6 UAC方案优势分析 22 企业面临网络安全风险分析 企业发展现状和趋势 随着网络技术不断发展和革新，以IP网络为代表的开放网络得到越来越多的应用，网络的互连越来越深入和广泛，许多传统型的或者新兴行业的企业都纷纷利用互联网技术，提高企业的生产力，众多的企业核心业务已经可以通过网络进行操作。随着企业局域网规模的不断扩大，企业网络用户的数目和种类也不断的扩张，远程访问的用户，移动办公的用户，合作伙伴，最终用户以及承包商等的主机，都需要接入企业网络进行数据的交换。这样的一个形式，也给企业的网络管理提出了新的挑战，出现了众多的不可管理的或者管理很薄弱的终端主机。比如，合作伙伴，用户或者承包商的主机网络管理员根本无法去管理，即使是企业内部的员工，有很多的移动用户，其终端设备经常被带出企业的局域网之外工作，也给终端主机的管理带来很大的难度。 对于众多的分布式企业，很多都采用了所谓的“数据集中”的方式，将大量的应用服务器集中整合在企业的数据中心，这种方法，在很大的程度上方便了管理，减少了网络管理员的工作量和管理成本，但是，众多服务器的集中部署，也很容易使其成为恶意用户攻击的对象。 威胁分析 企业的广域网接入，也面临着越来越多的威胁。首先，网络当中的安全漏洞越来越多，黑客开始慢慢走向平民化，大众化，各种黑客工具，越来越多的电脑爱好者不断学习各种网络攻击技术，不断发掘各种网络安全漏洞，Windows系统为例，微软发布漏洞的周期在大大的缩短，漏洞的数量也在不断的增长。针对微软的漏洞，黑客制造蠕虫的速度也是越来越快，在微软发布其漏洞后两三天后，就会出现针对这个漏洞的蠕虫，如果用户的主机没有及时打上相应的补丁，就将成为这个蠕虫的感染者和传播者。以最近发生的ZOTOB蠕虫泛滥为例，微软于8月9日宣布补丁(星期二)；8月11日公布漏洞利用代码(星期四)；8月13日蠕虫发起攻击(星期六)。由于蠕虫通过139/tcp或445/tcp蔓延，因此，如果不损失Windows环境中的某些功能，端口不可能得到防火墙的保护。这意味着即使只有一台受感染的笔记本进入企业内部，所有其他设备也将被感染。企业的损失是巨大的。 传统的安全解决方案，绝大部分的防护措施都是部署在网络的边界处，这里有个假设，就是内网的用户是可信的，但是从越来越多的危险来自可信的网络，据统计７０％以上的网络攻击行为是来自企业内部）Juniper的解决之道 Juniper Infranet架构 企业的目标是通过使用开放标准，在限制用户、增强并扩展现有网络周边安全措施、以及确保长期兼容性之间实现均衡。企业必须在实现这个目标的同时，确保以可靠的方式交付业务和应用。Juniper Infranet架构的目标就是为企业提供一个安全的有保证的网络，，我们必须通过使用控制、威胁控制和交付控制等多种方式进行总体控制。此类结构使企业能够不再机械地应对每个事件，而是创建确实构建在基础设施中的持续遵从制度和执行策略的网络。 使用控制 使用控制综合考虑用户、端点和资源后决定允许或拒绝哪些使用。使用控制远远超越了第2层的范围，必须涵盖整个虚拟网络和基础设施，包括防火墙、Web过滤、授权和目录库以及网络登录等。这个企业InfranetJuniper的企业基础设施将网络周边最佳的深度检测防火墙与获奖的入侵检测与防护（IDP）产品结合在一起，能够提供这种保护功能。这种结合以及防病毒功能集成，可以对无论是移动员工或不可管理PC无意间从网络外部带来的攻击，还是