Juniper网络统一安全控制平台技术规范.doc

统一安全控制平台技术规范 系统概述 该系统由三个组件组成。 网络控制器：进行统一的身份认证和授权，然后将策略对网内的控制器进行统一的下发； 网络执行器，执行控制器下发的策略，对网络中未授权的通讯进行阻挡。 客户端代理软件，安装在用户的终端计算机上，实现对终端计算机的安全检查，和相应的策略执行。 网络集中控制器 要求以硬件设备的形式提供网络集中控制器，包含以下的功能： 用户登陆， 网络集中控制器采用WEB的方式提供给终端用户进行认证。 管理员可以自由调整用户登陆系统的标识与详细界面的外观，可以修改LOGO,界面的颜色等等，可以嵌入公司的普通Web页面，保证修改后的登陆界面不再含有原厂商的痕迹，并且可以可以对不同的用户组实现不同的登陆界面和URL，用户界面支持中文。 身份认证 支持第三方的AAA认证服务器，包括：系统要求支持多种认证服务器整合，包括RADIUS、LDAP、Windows NT Domain、Active Directory、UNIX NIS、dual factor认证（包括ActivCard ActivPack?、RSA SecurID?和Secure Computing SafeWord? PremierAccess?）以及X.509客户端数字证书），也可在设备上建立本地用户数据库。 支持的认证的因素包括：系统要求支持的认证的因素不仅仅包括用户名/密码，还包括源地址、数字证书属性、终端安全状况、浏览器类型等。 支持与认证服务器的密码管理功能的整合，即可以在该系统中修改AD，LDAP，Radius等认证服务器的密码。 访问授权 可以根据不同的因素对用户进行访问控制和授权，包括：用户名，用户属性（如组等），数字证书属性，源地址，终端安全状况，浏览器类型，时间等。 访问权限下发 用户在控制器上正确登陆认证后，策略可以自动下发到网络中的策略执行器上，无需人工的干预。系统下发的策略包括两种，基于源地址的访问控制策略和基于IPSEC的VPN访问策略。采用网络中已有的网络设备或者网络安全设备，作为网络执行器，要求支持的执行器包括：Netscreen防火墙等，并且要求支持802.1x协议，提供对交换机，无线接入点的扩展支持。 系统的性能 系统要求具有较高的性能指标，必须支持不少于500个并发用户的能力。 系统必须支持HA功能，支持A/P和A/A模式，系统要实现对集群主机的集中管理。HA系统下，设备的升级必须不中断业务。 系统管理功能 支持基于WEB的管理方式，支持系统配置的导入导出。 支持基于角色的管理员授权机制，不同的管理员对不同模块，不同的用户组具有不同的管理功能，不同的读写权限。 支持Syslog，支持SNMP ,可以提供MIB库，系统提供丰富的日志功能和过滤查询功能，日志信息包括且不局限于用户的登入，退出，身份认证结果，连接超时，用户主机安全检查状况，系统自身配置改变，系统状态等。 提供系统使用状况分析，图形化的表示系统的并发用户数、CPU利用率等指标。 系统安全性 系统本身是安全的，要求通过TruSecure, Cryptography Research 和iSec 等国际权威安全机构的安全认证，系统本身数据采用加密的保存方式。本身包含防火墙、防拒绝服务攻击等安全机制。 整个系统各个组件之间的传输要求必须是安全的加密传输，请说明整个方案各个组件之间传输所用的协议说明。 系统性能 要求系统支持XXX个并发用户。 网络执行器 采用网络中原有的网络设备和网络安全设备，作为网络访问的策略执行，要求能够满足2层到7层的访问权限控制。 支持802.1x协议，支持EAP及其扩展协议，能够完成二层的接入控制，要求支持的交换机包括且不局限于以下厂家：Cisco, Extreme, Huawei, HP, Foundry，3com，Nortel等；支持的无线接入点包括且不局限于以下厂家：Cisco, Aruba, Trapeze, Meru ，Colubris等。 对支持802.1x和动态VLAN划分的交换机设备，可以根据用户实际的访问权限，将其分配到指定的VLAN里，实现基于身份和安全状况的接入控制和隔离。 对于网络中的防火墙设备作为控制点，可以实现基于源地址的访问控制，并且对指定的用户连接，采用自动建立VPN的方式，保证传输的安全性。 对于未授权的流量，可以将用户的连接重新定向到网络控制器，强制用户进行身份认证，也保证用户访问的透明性和方便性。 可加入防火墙的某些特性 客户端代理软件 安装模式 支持客户端代理软件的自动安装，无需管理员逐一的对客户端的主机进行软件的预安装，用户通过WEB方式登陆到网络控制器后，可以实现自动的下载，自动的安装。 同时支持其他的软件安装模式，包括提供软件在客户端手工安装等。 客户端支持的操作系统 包括Wi