Juniper 网络准入控制解决方案
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
需求分析
随着企业信息化程度的提高,数量众多的桌面PC管理成为系统管理员越来越重要的工作,目前企业拥有上百台PC机及终端。系统管理员在日常维护过程中主要面临以下问题,而这些问题,既给系统管理员带来沉重的工作负担,也会严重影响企业的业务运作。
数量众多
在信息系统中桌面系统(PC)的数量往往是最多的,这些桌面系统往往很分散,分布于不同的楼层,甚至分布于不同的大楼,加上使用这些桌面系统的用户技能水准差异很大,使得管理维护工作很困难;
病毒和安全攻击
病毒、蠕虫和间谍软件等新兴网络安全威胁继续损害客户利益并使机构损失大量的金钱、生产率和机会。与此同时,移动计算的普及进一步加剧了威胁。移动用户能够从家里或公共热点连接互联网或办公室网络—常在无意中轻易地感染病毒并将其带进企业环境,进而感染网络。
频繁的病毒和安全攻击使得桌面系统的维护工作量剧增。据IDG对病毒统计报告显示,每年新出现的的病毒种类大多数是针对Windows操作系统的病毒。由于未及时打操作系统补丁、未及时升级防病毒软件、绕过网络安全设施随意上Internet网、外来机器的接入、外来程序的拷贝等原因,组织内部的PC机很容易被攻击和被病毒感染;
软件升级与补丁安装:
为解决安全问题,管理员经常需要在多台机器上安装同一个软件或补丁,如操作系统补丁包,传统的手工安装要花费系统管理员大量时间;
远程监控与维护
为提高效率,系统管理员经常需要做远程支持,帮助用户快速及时解决PC
机问题。系统管理员与PC机用户仅依靠电话很难远程解决问题。
网络接入控制
随着企业日益严重依赖网络业务,日益迫切需要为所有用户提供轻松的网络接入,并且企业对网络的依赖性越来越严重,因此网络变得空前关键且更易遭受攻击。因此,支持用户接入任何资源,无论是分类文档中的数据、病人健康信息、还是知识资产,始终需要在接入价值与安全风险之间找到最佳平衡点。
事实上,仅靠网络边缘的外围设备已无法保证安全性。边缘安全措施无法保护内部网络段,也无法替代主机安全措施。即便企业运行着防火墙等网络周边安全机制,病毒和电子邮件蠕虫、特洛伊木马、拒绝服务攻击和其他恶意行为仍频繁利用最终用户设备渗入企业环境。即时消息传递(IM)或对等间应用(P2P)等新技术也带来了新型威胁,新型威胁可以完全绕过网络周边的安全设备。企业力求通过策略控制这些技术的使用,但此类策略在传统网络中几乎无法执行。如果您使用电子邮件并拥有Web内容、面向公众的服务器或者移动用户,那么您的网络必定会频繁遭受各种类型的攻击。而且,这些威胁和安全漏洞比想象的更难以觉察、更加危险——移动代码可以通过安全的(但可移动的)PC进入网络。
目前大部分终端在接入网络的时候,都没有经过严格的身份认证,对终端也没有有效的验证手段。无法对终端接入网络之前,进行有效的合法性,安全性的检查。受病毒感染的终端,未打补丁的终端如果随意接入网络,势必给整个网络的安全带来重大的隐患。
选择适合的网络准入控制产品
为了解决以上安全以及管理问题,使得整合系统内的终端高效的运行,同时也为了帮助管理的工作,减轻管理员的负担,考虑建设桌面安全和终端准入控制系统。系统应该至少具备如下特性:
1.终端安全性检查。包括Windows补丁检查,防病毒软件版本、病毒特征库版本检查,违规软件安装检查;共享目录检查;分区表检查;不同用户组的不
同安全策略;
2.网络强制身份认证。支持用户名、密码;Windows域认证等认证方式,支持RADIUS认证;AAA 权限认证。
3.防火墙/IDP(4-7层)
4. 支持802.1X的交换机,AP(2层准入)
5.根据安全策略,对不满足安全策略的终端不予以网络接入。
6.防病毒,终端防护软件(端点)
7. 统一终端管理:
·基于网络地址,用户身份,终端状态的控制
·统一配置的个人防火墙策略
·对终端提供修复功能
8. 支持最多的终端防护软件
·预定义的检查:防病毒,个人防火墙,防恶意软件,操作系统等
·自定义检查:JEDI,自定义文件,进程,注册表等
·无需客户端的手工安装
·通过浏览器自动的下载安装,减少管理员的工作量
9.对用户的主机实现跨操作系统平台的支持。
10.对用户网络改动最小、最少。
Juniper 网络公司统一接入控制(UAC)是全面的网络接入控制解决方案,结合了基于标准的强大的用户验证和授权功能、基于身份的策略控制和管理以及端点安全性和智能,以便将接入控制扩展到整个企业网络中。
通过将业界标准与经过业界测试的、得到普遍认可的网络和安全产品集成在一起,Juniper 网络公司UAC 解决方案可帮助企业对试图接入网络的用户和设备提前进行安全策略遵从检查,并在用户接入企业网络和资源的整个过程中对会话进行全程跟踪检查。这种方法可帮助企业确保全面遵从安全策略,有效抵御频繁变化的网络威胁。
UAC v2.0 解决方案通过第3 层—第7 层覆盖功能。Juniper 网络公司统一接入控制v2.0 是非常灵活的解决方案,能够将用户身份、设备安全状态信息和网络位置信息结合在一起,为每名用户创建特定会话的接入控制策略。
Juniper 统一接入控制解决方案
企业网络必须为更为多样化的用户——访客、承包商和移动员工——提供接
入服务,他们中的某些人会使用自己的设备接入网络。用户可能在无意中下载一些受感染的文件,并使用这些受感染的设备直接连接到您的网络。或者他们只是从您的局域网中接入互联网而得不到适当的安全保护,从而将您的网络暴露于大量威胁之中。此外,当您提供网络接入服务时,必须对网络接入进行极细粒度的控制,以保护公司资产的安全性并满足法规遵从要求。
应对问题:
Juniper UAC统一访问控制解决方案主要解决用户网络面临的如下问题:
1.不同用户的网络准入控制问题。
2.不同用户终端的应用访问控制问题以及权限定制和分发问题。
3.终端的安全性评估与管理问题。
4.相关法案,Sarbanes-Oxley (塞班斯法案)。)符合性和审计的要求。
解决方案的特性:
Juniper UAC统一访问控制解决方案,采用了业界公认的标准(包括802.1x 和TNC等),将用户终端的身份标识、网络标识和终端安全状况进行集中的认证和授权,并且将用户权限和策略自动的下发到网络当中的执行点(包括防火墙、交换机和无线接入点等)上,实现了统一的接入控制和访问控制。该方案可以实现以下功能:
1.基于终端的身份标识、网络标识和终端状况的统一的认证和授权。
2.终端安全状况的检查,如检查防病毒软件是否更新,补丁是否健壮
等,对于不符合安全策略的主机,可以进行修复。
3.利用网络当中已有的防火墙、交换机和无线接入点等网络和网络安
全设备,对内部网络终端的接入和访问进行控制。
4.对于关键的业务和通讯,自动启用IPSec 连接,保证敏感数据传输
的安全性。
5.用户终端访问整个过程中的安全检查,保证安全的连续性。
解决方案好处:
1.针对终端的安全防护:UAC方案可以对终端进行安全检查,对于不
符合安全策略的主机进行修复,同时提供个人防火墙功能,提供对终端的访问保护。
2.针对终端的访问控制:将用户终端的身份标识、网络标识和终端安
全状况进行集中的认证和授权,统一的在网络控制点进行策略的下发。