Juniper UAC-售前培训-统一访问控制解决方案.ppt

* * * * * * * * * * * * * Campus backbone optical fibre cabling linking buildings and major affinity groups (subnets) to central multi-port routing switches * Backbone cabling switching within each building * Wiring closet to station wiring, specifications and standards * Campus network to off-campus Internet connectivity * Metropolitan area network (MAN) extension of campus network to other satellite locations * Modem pools for analogue telephone access from off-campus * Campus wireless connectivity * * * * 这里显示的是典型的企业网络环境。有用户、因特网网关和存有关键资源的数据中心。第一个部署例子来自扩展企业。这个我们已经做了多年。接下来我们要部署infranet控制器、更新已有的Juniper防火墙，或者在因特网网关处部署一个新的防火墙。这种做法一举两得，用户只要下载一次infranet agent（代理程序）即可，而且还能防止用户用不符要求的PC去访问因特网。 安装完agent之后，机器联网时只能连接到infranet控制器，而机器被迫提供其终端状态，通过认证，然后这些信息会被用于策略符合性检查，接着用户才能被允许通过因特网网关处的执行器连到网上。如果用户使用的是旧的agent，agent会自动更新。如果机器不符合要求，agent会引导用户进行修正。Agent还会在控制器的指引下进行与网关（执行器）确定采用何种传输方式。传输方式可以是明码，执行器用源IP代表用户；也可以是认证传输，或者加密传输。执行器会授权、执行和记录每个连接。 你也可以在数据中心的服务器前端部署infranet执行器。这样能保护数据中心的关键资源，确保其他用户只能使用agent。对最终用户的评价和认证过程也是一样的。 企业网络的关键问题之一就是蠕虫的自动传播。蠕虫传播的后果有三个方面：消耗WAN带宽；使关键服务器崩溃或损坏；破坏和感染网络上的对等服务器。位于因特网边界和数据中心边界的执行器就可以解决前面两个问题。 Agent也具有自我保护功能（具有简单个人防火墙）能阻止agent与任何不属于控制器信任域范围内的机器进行通信。这并不会阻止某些工作组使用的带宽，而是更好地解决问题，尤其是在大部分主机都有AGENT在运行的情况下。 另外，JUNIPER将会推出更多工作组级别的执行器，可用于不安全网络如无线局域网等，并能处理非信任，非可管理的系统，如外保商的系统等。控制器可以将这些用户映射为具备相应访问权限的某特定角色，进行访问控制。 * * * This slide is animated CLICK Any Juniper firewall running Screen OS 5.3 can function as an enforcer. If a firewall is not on 5.3, it is available via a simple software upgrade. At the moment there are only 2 exceptions – SSG and ISG with IDP – they are on separate code trains. ISG without IDP is fine. CLICK Juniper firewalls offer a wide range of speeds from the 5GT all the way up to the 5400, as well as best-in-class security features. * * * * Infranet 部署方式 – Auth 传输 Authenticated 传输(IPsec VPN) 安全的 有签名的流量传输 (不可欺骗) 3DES 安全的加密通道 (endpoint 到enforcer) 无加密 (封装) 允许 IDP / IPS 侦听分析网络流量 流量被签名，但是不加密 Endpoint Enforcer IPsec policy configuration IPsec based p