UAC-售前培训-Unified Access Control统一访问控制解决方案.pptVIP

Unified Access Control技术介绍 企业发展趋势企业网络不断扩展, 安全性不断下降 关键业务挑战 IT愿景 爆炸性的接入需求挑战安全性 客户、访客、合同商、合作伙伴、各种端点（包括受管理的和不受管理的） 动态网络边界 … 但缺乏网络区隔 可信任和不可信的网络区隔概念演化出可信任和不可信任的接入问题 更复杂的威胁——需要减少响应时间以缓解/保护网络安全 通过识别可能被利用的已知弱点，及时保证设备的策略符合性 “灰色网络“－（不了解自己所拥有的网络！），恶意的疏忽大意的人 法规符合性和业务连续性 谁在接入什么？ 异构环境，不同的网络基础设施、AAA服务器、端点软件 需要在现有网络上即插即用的解决方案，无须淘汰和更换 接入控制市场预期 必须包含下列功能 其他的市场预期 企业网络现状 Juniper集成后的方案（UAC2.0） UAC 组件 Infranet Controller IC4000 IC6000 UAC 客户端 Infranet Agent + OAC 无客户端Agentless UAC 执行点 Layer 2 – 802.1x 交换机和无线接入点 Layer 3 – Juniper 防火墙 统一接入控制概述 统一接入控制概述 介绍UAC 2.0 全面的控制架构 UAC 在网络中需要部署的设备 Infranet Controller Infranet Agent (Agent for Windows 2000 and XP) Agentless Infranet Enforcer (ScreenOS 防火墙及其他的网络产品) Infranet Controller 策略管理服务器 动态管理 Infranet Enforcer 和 endpoint上的安全策略 Infranet Enforcer 策略: IPsec 或者基于源 IP Endpoint 策略: Host Enforcer (个人防火墙) Host Checker 为防火墙策略提供增强的认证和授权 基于用户的身份标识，网络标识和端点评估状况，将用户映射到相应的规则上。 交付 Infranet Agent (Windows 2000 and XP) 提供无客户端的访问 (Linux ，Mac OSX) 为没有符合策略的用户，提供修复服务 用户服务 Infranet Controller（续） IC 4000 每台设备支持最多3000个并发的用户 高可用性 双机集群 IC 6000 每台设备支持最多25000个并发用户 高可用性 多机集群 独有的硬件特色 Hot swappable, field upgradeable power supply Field upgradeable hard disk 终端节点的安全检查 预定义的安全检查策略 Trusted Network Connect (TNC)? Trusted Computing Group (TCG) 的下属组织 为端点安全定义了一个公开的架构 为业界领先的端点安全和网络访问控制解决方案提供了互操作性。 60+ 成员 (包括了最著名的厂商) TNC UAC/TNC/Partner 架构 动态的策略评估 与多种认证服务器的结合 ActivCard ActivPack Active Directory (LDAP/NTLM) Defender PassGo Digital certificates / PKI eAladdin eSafe IBM Directory Server iPlanet Directory Server LDAP Local login/password Netegrity SiteMinder Single-Sign On Novell eDirectory Server NT Domain (NTLM) Radius RSA ACE Server / SecurID Safe3w IDshield SecureAccess SecureComputing Safeword Premier Access UNIX NIS 智能的内网访问权限分配 UAC代理器——功能和优点 有线和无线部署中的接入控制 数据链路层——802.1X客户端程序 数据链路层认证 802.1X设备支持包括：交换机和APs 思科、惠普、3Com、北电网络、Foundry、Extreme 思科、Aruba、Trapeze、Meru Colubris 在分配网络层网络（ VLAN ）之前剖析端点和认证用户 网络层——防火墙、IPSec和SourceIP部署 UAC代理器——功能和优点 Windows单点登录 与IC上的动态目录或Windows NT域认证一