Juniper 网络准入控制解决方案

Juniper 网络准入控制解决方案

需求分析

随着企业信息化程度的提高，数量众多的桌面PC管理成为系统管理员越来

越重要的工作，目前企业拥有上百台PC机及终端。系统管理员在日常维护过程中主要面临以下问题，而这些问题，既给系统管理员带来沉重的工作负担，也会严重影响企业的业务运作。

数量众多

在信息系统中桌面系统（PC）的数量往往是最多的，这些桌面系统往往很分

散，分布于不同的楼层，甚至分布于不同的大楼，加上使用这些桌面系统的用户技能水准差异很大，使得管理维护工作很困难；

病毒和安全攻击

病毒、蠕虫和间谍软件等新兴网络安全威胁继续损害客户利益并使机构损失

大量的金钱、生产率和机会。与此同时，移动计算的普及进一步加剧了威胁。移动用户能够从家里或公共热点连接互联网或办公室网络 — 常在无意中轻易地感染病毒并将其带进企业环境，进而感染网络。

频繁的病毒和安全攻击使得桌面系统的维护工作量剧增。据IDG对病毒统计

报告显示，每年新出现的的病毒种类大多数是针对Windows操作系统的病毒。由于未及时打操作系统补丁、未及时升级防病毒软件、绕过网络安全设施随意上Internet网、外来机器的接入、外来程序的拷贝等原因，组织内部的PC机很容易被攻击和被病毒感染；

软件升级与补丁安装：

为解决安全问题，管理员经常需要在多台机器上安装同一个软件或补丁，如

操作系统补丁包，传统的手工安装要花费系统管理员大量时间；

Juniper 网络准入控制解决方案

远程监控与维护

为提高效率，系统管理员经常需要做远程支持，帮助用户快速及时解决PC

机问题。系统管理员与PC机用户仅依靠电话很难远程解决问题。

网络接入控制

随着企业日益严重依赖网络业务，日益迫切需要为所有用户提供轻松的网络

接入，并且企业对网络的依赖性越来越严重，因此网络变得空前关键且更易遭受

攻击。因此，支持用户接入任何资源，无论是分类文档中的数据、病人健康信息、还是知识资产，始终需要在接入价值与安全风险之间找到最佳平衡点。

事实上，仅靠网络边缘的外围设备已无法保证安全性。边缘安全措施无法保

护内部网络段，也无法替代主机安全措施。即便企业运行着防火墙等网络周边安

全机制，病毒和电子邮件蠕虫、特洛伊木马、拒绝服务攻击和其他恶意行为仍频

繁利用最终用户设备渗入企业环境。即时消息传递（IM）或对等间应用(P2P)等

新技术也带来了新型威胁，新型威胁可以完全绕过网络周边的安全设备。企业力

求通过策略控制这些技术的使用，但此类策略在传统网络中几乎无法执行。如果

您使用电子邮件并拥有Web内容、面向公众的服务器或者移动用户，那么您的网

络必定会频繁遭受各种类型的攻击。而且，这些威胁和安全漏洞比想象的更难以

觉察、更加危险——移动代码可以通过安全的（但可移动的）PC进入网络。

目前大部分终端在接入网络的时候，都没有经过严格的身份认证，对终端也

没有有效的验证手段。无法对终端接入网络之前，进行有效的合法性，安全性的

检查。受病毒感染的终端，未打补丁的终端如果随意接入网络，势必给整个网络

的安全带来重大的隐患。

Juniper 网络准入控制解决方案

选择适合的网络准入控制产品

为了解决以上安全以及管理问题，使得整合系统内的终端高效的运行，同时

也为了帮助管理的工作，减轻管理员的负担，考虑建设桌面安全和终端准入控制系统。系统应该至少具备如下特性：

1．终端安全性检查。包括Windows补丁检查，防病毒软件版本、病毒特征库版本检查，违规软件安装检查；共享目录检查；分区表检查；不同用户组的不同安全策略；

2．网络强制身份认证。支持用户名、密码；Windows域认证等认证方式，支持RADIUS认证；AAA 权限认证。

3．防火墙/IDP（4－7层）

4. 支持802.1X的交换机，AP（2层 准入）

5．根据安全策略，对不满足安全策略的终端不予以网络接入。

6．防病毒，终端防护软件(端点)

7. 统一终端管理：

·基于网络地址，用户身份，终端状态的控制

·统一配置的个人防火墙策略

·对终端提供修复功能

8. 支持最多的终端防护软件

·预定义的检查：防病毒，个人防火墙，防恶意软件，操作系统等

·自定义检查：JEDI，自定义文件，进程，注册表等

·无需客户端的手工安装

·通过浏览器自动的下载安装，减少管理员的工作量

9．对用户的主机实现跨操作系统平台的支持。

10．对用户网络改动最小、最少。

Juniper 网络公司统一接入控制（UAC）是全面的网络接入控制解决方案，

结合了基于标准的强大的用户验证和授权功能、基于身份的策略控制和管理以及

Juniper 网络准入控制解决方案

端点安全性和智能，以便将接入控制扩展到整个企业网络中。

通过将业界标准与经过业界测试的、得到普遍认可的网络和安全产品集成在

一起，Juniper 网络公司UAC 解决方案可帮助企业对试图接入网络的用户和设

备提前进行安全策略遵从检查，并在用户接入企业网络和资源的整个过程中对会

话进行全程跟踪检查。这种方法可帮助企业确保全面遵从安全策略，有效抵御频

繁变化的网络威胁。

UAC v2.0 解决方案通过第 3 层—第 7 层覆盖功能。Juniper 网络公司统

一接入控制 v2.0 是非常灵活的解决方案，能够将用户身份、设备安全状态信息

和网络位置信息结合在一起，为每名用户创建特定会话的接入控制策略。

Juniper 统一接入控制解决方案

企业网络必须为更为多样化的用户——访客、承包商和移动员工——提供接

入服务，他们中的某些人会使用自己的设备接入网络。用户可能在无意中下载一

些受感染的文件，并使用这些受感染的设备直接连接到您的网络。或者他们只是

从您的局域网中接入互联网而得不到适当的安全保护，从而将您的网络暴露于大

量威胁之中。此外，当您提供网络接入服务时，必须对网络接入进行极细粒度的

控制，以保护公司资产的安全性并满足法规遵从要求。

应对问题：

Juniper UAC统一访问控制解决方案主要解决用户网络面临的如下问题：

1. 不同用户的网络准入控制问题。

2. 不同用户终端的应用访问控制问题以及权限定制和分发问题。

3. 终端的安全性评估与管理问题。

4. 相关法案，Sarbanes-Oxley （塞班斯法案）。)符合性和审计的要求。

解决方案的特性：

Juniper UAC统一访问控制解决方案，采用了业界公认的标准（包括802.1x

和TNC等），将用户终端的身份标识、网络标识和终端安全状况进行集中的认证

Juniper 网络准入控制解决方案

和授权，并且将用户权限和策略自动的下发到网络当中的执行点（包括防火墙、交换机和无线接入点等）上，实现了统一的接入控制和访问控制。该方案可以实

现以下功能：

1. 基于终端的身份标识、网络标识和终端状况的统一的认证和授权。

2. 终端安全状况的检查，如检查防病毒软件是否更新，补丁是否健壮等，对于

不符合安全策略的主机，可以进行修复。

3. 利用网络当中已有的防火墙、交换机和无线接入点等网络和网络安全设备，

对内部网络终端的接入和访问进行控制。

4. 对于关键的业务和通讯，自动启用IPSec 连接，保证敏感数据传输的安全性。

5. 用户终端访问整个过程中的安全检查，保证安全的连续性。

解决方案好处：

1. 针对终端的安全防护：UAC方案可以对终端进行安全检查，对于不符合安全

策略的主机进行修复，同时提供个人防火墙功能，提供对终端的访问保护。

2. 针对终端的访问控制：将用户终端的身份标识、网络标识和终端安全状况进

行集中的认证和授权，统一的在网络控制点进行策略的下发。

3. 充分利用已有的网络和网络安全投资，由于Juniper方案当中采用标准的接

口，可以很好的与业界的其他方案，如防病毒，补丁管理、AAA认证方案进

行整合。

Juniper解决方案优势：

1. 真正支持标准的解决方案，不局限于单独厂商的方案，用户可以在相关领域

当中选择最佳或者最为适合的产品。

2. 良好的用户体验，不需要管理员为每个终端单独安装客户端软件，软件采用

自动定向和下载安装的方式安装，大大减少管理员工作量和工程建设周期。

3. 支持所有类别的用户，如员工、承包商和访客等，对用户的主机实现跨操作

系统平台的支持。

非常适合于分阶段的实施。用户可以根据网络的实际情况，选择性的对防火

墙或者交换机这些2－7层的控制器进行 部署，实现不同的控制级别。

Juniper 网络准入控制解决方案

Juniper UAC 构成：

Juniper 统一接入控制（UAC）解决方案 v2.0包括用作集中策略管理器的

Infranet 控制器；以及作为可动态下载的端点软件的 UAC 代理（对于不支持下

载的客户端，如客户端的设备；

控制器和代理还包含 Juniper 通过在 2005 年收购 Funk Software 获

得的整合特性，如 Odyssey Access Client（OAC） 802.1X 请求特性和 Steel-Belted Radius 身份认证服务。

Infranet 控制器是经过加固的策略管理服务器，可收集用户验证、端点安

全状态和设备位置信息，并将此类信息与策略相结合来控制网络、资源和应用接

入。随后，控制器在分配 IP 地址前在网络边缘通过802. 1X 并且／或在网络

核心通过防火墙将这个策略传递给执行器。同时使用这两类执行点可进一步提高

接入控制粒度。

UAC 代理是允许动态下载的软件代理，可由控制器实时设置，通过 Juniper

Installer Service 安装或通过其他方法进行部署。代理同时提供 Juniper OAC 的集成 802. 1X 功能以及 L3－7 覆盖功能，如用于在客户端动态执行策略的集

成个人防火墙。代理还包括面向 Windows 设备的特定功能，如 IPSec VPN（允

许实现从端点到防火墙的加密）和 Active Directory 单一登录等。代理提供的

主机检查器功能也被部署在已售出的几千个 Juniper Secure Access SSL VPN 产

品中，允许管理员扫描端点以了解各种安全应用／状态，包括但不限于防病毒、防恶意软件和个人防火墙等。UAC 代理可通过预定义的主机检查策略以及

防病毒签名文件的自动监控功能来评估最新定义文件的安全状态，从而简化部署

工作。UAC 还允许执行定制检查任务，如对注册表和端口状态进行检查，并可执

行 MD5 校验和检查，以验证应用是否有效。

Juniper 网络准入控制解决方案

UAC 工作原理

在用户向控制器提交认证信息前，用户请求（802.1X 或非 802.1x 模式，

通过设置用于端点的基于浏览器的代理提供）便揭示了大量不同的最终用户特

征，包括源 IP 和 MAC 地址、网络接口（内部或外部）、数字证书（如果存在的

话）、浏览器类型、SSL 版本以及端点安全检查结果等。

用户提交了认证信息后，控制器将通过全面的验证、授权和记账引擎，支持

几乎所有常用的 AAA 设置中，包括现有的 RADIUS、LDAP、AD、Netegrity

SiteMinder、证书／ PKI 服务器及匿名验证服务器等。控制器将用户认证信息

以及组群或属性信息（如组群的成员关系）与认证信息输入之前收集到的信息相

关联，包括由主机检查器收集的信息，从而能够将用户动态映射到接入控制的第

二步──面向会话的角色。角色属性可包括会话属性／参数，也可为用户规定映

射到角色之前必须满足的限制性条件，这在注重安全性并要求必须遵守规章制度

的环境中非常有用。

接入控制的第三步即最后一步是制订资源策略，以管理网络和资源的接入。

例如 VLAN 分配及／或供应商特定的属性等基于 L2 RADIUS 属性的策略以及管

理对 IP 地址／子网掩码及／或端口接入的 L3 策略。IDP 策略或 URL 过滤等

Juniper 网络准入控制解决方案

L7 策略提供更动态的威胁管理。

典型部署方式

Juniper UAC的统一访问控制解决方案部署简单易用，不会对用户网络有任

何修改。如果网络当中已经部署了防火墙设备(FW)，终端安全保护软件（如防病

毒，补丁管理），身份认证系统（AAA），只需要再添加一台Juniper IC设备，作

为整体的用户认证和访问策略的管理，我们就可以充分的利用已有的网络安全建

设，结合IC的策略管理，完成统一的访问控制。

UAC的解决方案对最终的用户是透明的，终端电脑无需预先安装客户端软

件，利用IE对访问重定向的技术，终端用户也无需主动到IC上进行认证，方便

了最终用户的体验。

Juniper 网络准入控制解决方案

产品介绍

Juniper 网络公司统一接入控制 v2.0（UAC v2.0）解决方案将用户身份、

设备安全状态信息和网络位置信息结合在一起，为每名用户创建特定会话的接入控制策略。您可使用802.1X 将其部署在第 2 层，或使用防火墙的部署方法将其部署在第 3 层。您也可使用混合模式来设置 UAC v2.0，将 802.1X 用于网络准入控制并将第 3 层设置用于资源接入控制。

UAC v2.0 解决方案中的产品包括：

Infranet 控制器，作为安全策略的集中引擎和面向现有企业 AAA 基础设施

的连接点。控制器还提供来自 SBR 的集成 802.1X 功能。

UAC 代理，可由 Infranet 控制器动态部署；在单一部署中，UAC 代理提供

通过 OAC功能在第 2 层接入网络的方法、在第 3 层接入网络的方法、主机检查器、主机执行器和状态检测个人防火墙。您也可在无代理模式中设置接入，如访客部署模式，但此时您将无法下载任何软件。

Infranet 控制器

Juniper 统一接入控制解决方案的核心是 Infranet 控制器，这个控制器是

经过强化的策略管理服务器，可将 UAC 代理部署到端点（或者以无代理模式来收集信息），以便获得用户验证、端点安全状态和设备位置信息。Infranet 控制器将这些信息结合起来，以创建动态策略。然后，这些动态策略通过整个网络传播到策略执行点，这些执行点既可在通过 802.1X 授予 IP 地址之前部署在网 络边缘，也可部署在网络内部的防火墙上，或者同时部署在这两处，以提供更高的细粒度。Infranet 控制器将 Juniper 业界领先的Secure Access SSL VPN 策略控制引擎与企业现有的 AAA ／身份识别及接入管理基础设施无缝集成，并允

Juniper 网络准入控制解决方案

许使用授权目录中的群组关系。控制器能够在会话期间按照管理员定义的频率重

复开展这些评估，以确保实现动态的策略管理与执行，并对违规用户应用细粒度

的、策略特定的纠正功能。Infranet 控制器可设置为审计模式，从而无需执行

策略也能够获悉法规遵从情况。

Infranet 控制器包含两种型号：Infranet 控制器 4000（IC 4000）和

Infranet 控制器 6000（IC 6000）。IC 4000 设计用于满足中型企业或远程／分

支办事处的需求，它能够通过扩展，同时处理几千个端点，并可通过群集对的部

署，以提供高可用性。IC6000 设计用于大型企业，能够同时处理几万个并发端

点。IC6000 提供大量的高可用性特性，包括可升级的热插拔电源以及硬盘等。

IC 6000 可部署在多单元群集中，用于提高性能并提供更高的可扩展性。

UAC 代理

UAC 代理是允许动态下载的软件代理，可由 Infranet 控制器实时设置，通

过 Juniper Installer Service 安装或通过其他方法进行部署。UAC 代理同时

提供来自 Juniper Odyssey Access Client 的集成 802. 1X 功能以及第 3 层

—第 7 层功能，如在客户端侧动态执行策略的集成个人防火墙。UAC 代理还包

括面向 Windows 设备的特定功能，如 IPSec VPN（允许实现从端点到防火墙的

加密）和Active Directory 单一登录等。主机检查器功能允许管理员扫描端点

以了解各种安全应用／状态，包括但不限于防病毒、防恶意软件和个人防火墙等。UAC 还可执行对组件的定制检查，如对注册表和端口状态进行检查，并可执行 MD5 校验以验证应用是否有效。通过预定义的主机检查器策略，以及通过防病毒

特征文件的自动监控功能来监测最新定义文件以进行安全状态评估，还可以简化

部署工作。

Juniper 网络准入控制解决方案

特性和优势

统一接入控制解决方案的主要特性和优势可概括为以下三个主要方面：

将用户身份识别、设备安全评估以及网络信息和策略执行结合在一起，以实现

动态的接入控制

基于标准的解决方案

利用现有的 AAA、交换和安全基础设施投资

Juniper 网络准入控制解决方案

利用 Juniper Steel-Belted Radius

使用 Infranet 控制器的组 件完成 802.1X 验证任务

单个集中策略引擎

动态验证策略利用现有的 AAA 投资

动态角色映射 基于角色 / 基于资源的 混合策略模式

在会话登录前以及整个会话 期间执行接入控制 支持 802.1X、RADIUS、LDAP、 AD、RSA ACE、NIS、证书服务 器(数字证书/ PKI)、本地 登录/密码、Netegrity SiteMinder、RSA Cleartrust 和 Oblix(Oracle) 利用广泛的属性来满足安全 要求，这些要求是用户登录页 面显示前必须满足的 管理员可定制接入策略

无需购买更多设备，从而节约 了时间和金钱 验证前评估、验证、角色映射 和资源控制，均在一个位置完 成轻松设置并管理网络资源策 略规则部署解决方案无需对现 有基础设施进行叉式升级执行 点动态传播策略执行，无论是 基于 802.1X 的还是基于第 3 层覆盖功能的策略可随着端点 或网络环境的变化而变化

利用企业现有的目录、PKI 以 及严格的验证机制方面的投 资，允许管理员为每个用户会 话制订动态的验证策略 可在验证前及验证后的整个会 话期间执行安全要求 确保安全策略体现出业务要求 的变化 确保按照最终用户的角色、他 们所试图接入的资源以及 端点和用户对网络安全策略的 遵从状态，进行详细的日 志记录 允许用户自行纠错而无需为其 提供任何帮助，然后在完成 纠错后将用户动态地映射到接 入角色中

细粒度的审计和日志

以简洁明了的方式提供细粒 度的审计和日志功能

细粒度地隔离并修正违规 用户的定制说明 Infranet 代理

支持通过自管理平台智能地 隔离违规用户

包括：满足 TNC 标准，以便 与任何其他符合要求的安全 解决方案实现无缝互操作、主 机个人防火墙、Windows 单一 登录、用于将 IPSec 应用到 轻量级代理， 可根据需要由 桌面的本机客户端，和面向 Infranet 控制器动态设置 Mac 和 Linux 的无代理执行

端点评估

保护经过验证的端点不受恶意 /违规端点的影响，并允

许企 业对即使他们无权管理的端点 保持接入控制 允许通过预定义的主机检查工 可在登录时运行，或根据管理 具进行实时网络策略管理， 员定义的时间间隔在用户会 以支持广泛的最佳端点安全解 话期间定期运行 决方案；自动监控病毒特征

Juniper 网络准入控制解决方案

主机执行器

无代理部署

当端点接入的网络段不受 802.1X 基础设施或执行器保 护 时，实施防火墙策略 可选的 Microsoft IPSec 执 行功能提供经过验证和加密的 传输，用于确保会话的完整性 和私密性 状态个人防火墙，也可用作客 经过验证的传输可确保安全地 户端侧策略执行器以及使用 执行网络规则 IPSec 的可选安全传输(经过 经过加密的传输可确保局域网 验证和加密) 通信的私密性 企业可通过将端点评估和用户 身份验证相结合来保护 Mac、 Linux 和 Solaris 平台执行 无代理的部署可实现跨平台 基于源 IP 地址的网络安全策 略 支持

本文来源：https://www.bwwdw.com/article/0l31.html