Juniper-網(wǎng)絡(luò)準(zhǔn)入控制解決方案

1、需求分析隨著企業(yè)信息化程度的提高，數(shù)量眾多的桌面PC管理成為系統(tǒng)管理員越來(lái)越重要的工作，目前企業(yè)擁有上百臺(tái)PC機(jī)及終端。系統(tǒng)管理員在日常維護(hù)過(guò)程中主要面臨以下問(wèn)題，而這些問(wèn)題，既給系統(tǒng)管理員帶來(lái)沉重的工作負(fù)擔(dān)，也會(huì)嚴(yán)重影響企業(yè)的業(yè)務(wù)運(yùn)作。 數(shù)量眾多 在信息系統(tǒng)中桌面系統(tǒng)（PC）的數(shù)量往往是最多的，這些桌面系統(tǒng)往往很分散,分布于不同的樓層，甚至分布于不同的大樓,加上使用這些桌面系統(tǒng)的用戶技能水準(zhǔn)差異很大，使得管理維護(hù)工作很困難； 病毒和安全攻擊病毒、蠕蟲和間諜軟件等新興網(wǎng)絡(luò)安全威脅繼續(xù)損害客戶利益并使機(jī)構(gòu)損失大量的金錢、生產(chǎn)率和機(jī)會(huì)。與此同時(shí)，移動(dòng)計(jì)算的普及進(jìn)一步加劇了威脅。移動(dòng)用戶能夠從家里或

2、公共熱點(diǎn)連接互聯(lián)網(wǎng)或辦公室網(wǎng)絡(luò) 常在無(wú)意中輕易地感染病毒并將其帶進(jìn)企業(yè)環(huán)境，進(jìn)而感染網(wǎng)絡(luò).頻繁的病毒和安全攻擊使得桌面系統(tǒng)的維護(hù)工作量劇增。據(jù)IDG對(duì)病毒統(tǒng)計(jì)報(bào)告顯示，每年新出現(xiàn)的的病毒種類大多數(shù)是針對(duì)Windows操作系統(tǒng)的病毒.由于未及時(shí)打操作系統(tǒng)補(bǔ)丁、未及時(shí)升級(jí)防病毒軟件、繞過(guò)網(wǎng)絡(luò)安全設(shè)施隨意上Internet網(wǎng)、外來(lái)機(jī)器的接入、外來(lái)程序的拷貝等原因，組織內(nèi)部的PC機(jī)很容易被攻擊和被病毒感染； 軟件升級(jí)與補(bǔ)丁安裝： 為解決安全問(wèn)題,管理員經(jīng)常需要在多臺(tái)機(jī)器上安裝同一個(gè)軟件或補(bǔ)丁，如操作系統(tǒng)補(bǔ)丁包，傳統(tǒng)的手工安裝要花費(fèi)系統(tǒng)管理員大量時(shí)間; 遠(yuǎn)程監(jiān)控與維護(hù) 為提高效率，系統(tǒng)管理員經(jīng)常需要做遠(yuǎn)

3、程支持，幫助用戶快速及時(shí)解決PC機(jī)問(wèn)題。系統(tǒng)管理員與PC機(jī)用戶僅依靠電話很難遠(yuǎn)程解決問(wèn)題。 網(wǎng)絡(luò)接入控制隨著企業(yè)日益嚴(yán)重依賴網(wǎng)絡(luò)業(yè)務(wù)，日益迫切需要為所有用戶提供輕松的網(wǎng)絡(luò)接入，并且企業(yè)對(duì)網(wǎng)絡(luò)的依賴性越來(lái)越嚴(yán)重,因此網(wǎng)絡(luò)變得空前關(guān)鍵且更易遭受攻擊。因此，支持用戶接入任何資源，無(wú)論是分類文檔中的數(shù)據(jù)、病人健康信息、還是知識(shí)資產(chǎn)，始終需要在接入價(jià)值與安全風(fēng)險(xiǎn)之間找到最佳平衡點(diǎn).事實(shí)上，僅靠網(wǎng)絡(luò)邊緣的外圍設(shè)備已無(wú)法保證安全性。邊緣安全措施無(wú)法保護(hù)內(nèi)部網(wǎng)絡(luò)段，也無(wú)法替代主機(jī)安全措施。即便企業(yè)運(yùn)行著防火墻等網(wǎng)絡(luò)周邊安全機(jī)制，病毒和電子郵件蠕蟲、特洛伊木馬、拒絕服務(wù)攻擊和其他惡意行為仍頻繁利用最終用戶設(shè)備滲

4、入企業(yè)環(huán)境。即時(shí)消息傳遞(IM）或?qū)Φ乳g應(yīng)用（P2P)等新技術(shù)也帶來(lái)了新型威脅，新型威脅可以完全繞過(guò)網(wǎng)絡(luò)周邊的安全設(shè)備。企業(yè)力求通過(guò)策略控制這些技術(shù)的使用，但此類策略在傳統(tǒng)網(wǎng)絡(luò)中幾乎無(wú)法執(zhí)行。如果您使用電子郵件并擁有Web內(nèi)容、面向公眾的服務(wù)器或者移動(dòng)用戶，那么您的網(wǎng)絡(luò)必定會(huì)頻繁遭受各種類型的攻擊。而且,這些威脅和安全漏洞比想象的更難以覺察、更加危險(xiǎn)-移動(dòng)代碼可以通過(guò)安全的（但可移動(dòng)的）PC進(jìn)入網(wǎng)絡(luò)。目前大部分終端在接入網(wǎng)絡(luò)的時(shí)候，都沒有經(jīng)過(guò)嚴(yán)格的身份認(rèn)證,對(duì)終端也沒有有效的驗(yàn)證手段。無(wú)法對(duì)終端接入網(wǎng)絡(luò)之前,進(jìn)行有效的合法性,安全性的檢查.受病毒感染的終端，未打補(bǔ)丁的終端如果隨意接入網(wǎng)絡(luò)，勢(shì)必

5、給整個(gè)網(wǎng)絡(luò)的安全帶來(lái)重大的隱患。 選擇適合的網(wǎng)絡(luò)準(zhǔn)入控制產(chǎn)品為了解決以上安全以及管理問(wèn)題，使得整合系統(tǒng)內(nèi)的終端高效的運(yùn)行，同時(shí)也為了幫助管理的工作，減輕管理員的負(fù)擔(dān)，考慮建設(shè)桌面安全和終端準(zhǔn)入控制系統(tǒng)。系統(tǒng)應(yīng)該至少具備如下特性： 1終端安全性檢查.包括Windows補(bǔ)丁檢查,防病毒軟件版本、病毒特征庫(kù)版本檢查，違規(guī)軟件安裝檢查；共享目錄檢查；分區(qū)表檢查;不同用戶組的不同安全策略； 2網(wǎng)絡(luò)強(qiáng)制身份認(rèn)證。支持用戶名、密碼；Windows域認(rèn)證等認(rèn)證方式，支持RADIUS認(rèn)證；AAA 權(quán)限認(rèn)證。3防火墻/IDP（47層）4. 支持802。1X的交換機(jī)，AP（2層準(zhǔn)入）5根據(jù)安全策略，對(duì)不滿足安全策略

6、的終端不予以網(wǎng)絡(luò)接入. 6防病毒，終端防護(hù)軟件(端點(diǎn))7. 統(tǒng)一終端管理：基于網(wǎng)絡(luò)地址，用戶身份，終端狀態(tài)的控制統(tǒng)一配置的個(gè)人防火墻策略對(duì)終端提供修復(fù)功能8。 支持最多的終端防護(hù)軟件預(yù)定義的檢查：防病毒，個(gè)人防火墻，防惡意軟件，操作系統(tǒng)等自定義檢查：JEDI，自定義文件，進(jìn)程，注冊(cè)表等無(wú)需客戶端的手工安裝 通過(guò)瀏覽器自動(dòng)的下載安裝，減少管理員的工作量9對(duì)用戶的主機(jī)實(shí)現(xiàn)跨操作系統(tǒng)平臺(tái)的支持。10對(duì)用戶網(wǎng)絡(luò)改動(dòng)最小、最少。Juniper 網(wǎng)絡(luò)公司統(tǒng)一接入控制（UAC）是全面的網(wǎng)絡(luò)接入控制解決方案,結(jié)合了基于標(biāo)準(zhǔn)的強(qiáng)大的用戶驗(yàn)證和授權(quán)功能、基于身份的策略控制和管理以及端點(diǎn)安全性和智能，以便將接入控制

7、擴(kuò)展到整個(gè)企業(yè)網(wǎng)絡(luò)中。通過(guò)將業(yè)界標(biāo)準(zhǔn)與經(jīng)過(guò)業(yè)界測(cè)試的、得到普遍認(rèn)可的網(wǎng)絡(luò)和安全產(chǎn)品集成在一起，Juniper 網(wǎng)絡(luò)公司UAC 解決方案可幫助企業(yè)對(duì)試圖接入網(wǎng)絡(luò)的用戶和設(shè)備提前進(jìn)行安全策略遵從檢查,并在用戶接入企業(yè)網(wǎng)絡(luò)和資源的整個(gè)過(guò)程中對(duì)會(huì)話進(jìn)行全程跟蹤檢查。這種方法可幫助企業(yè)確保全面遵從安全策略，有效抵御頻繁變化的網(wǎng)絡(luò)威脅。UAC v2.0 解決方案通過(guò)第 3 層第 7 層覆蓋功能.Juniper 網(wǎng)絡(luò)公司統(tǒng)一接入控制 v2。0 是非常靈活的解決方案，能夠?qū)⒂脩羯矸?、設(shè)備安全狀態(tài)信息和網(wǎng)絡(luò)位置信息結(jié)合在一起，為每名用戶創(chuàng)建特定會(huì)話的接入控制策略。Juniper 統(tǒng)一接入控制解決方案企業(yè)網(wǎng)絡(luò)必須

8、為更為多樣化的用戶訪客、承包商和移動(dòng)員工提供接入服務(wù)，他們中的某些人會(huì)使用自己的設(shè)備接入網(wǎng)絡(luò)。用戶可能在無(wú)意中下載一些受感染的文件，并使用這些受感染的設(shè)備直接連接到您的網(wǎng)絡(luò)?；蛘咚麄冎皇菑哪木钟蚓W(wǎng)中接入互聯(lián)網(wǎng)而得不到適當(dāng)?shù)陌踩Ｗo(hù)，從而將您的網(wǎng)絡(luò)暴露于大量威脅之中.此外，當(dāng)您提供網(wǎng)絡(luò)接入服務(wù)時(shí)，必須對(duì)網(wǎng)絡(luò)接入進(jìn)行極細(xì)粒度的控制，以保護(hù)公司資產(chǎn)的安全性并滿足法規(guī)遵從要求。應(yīng)對(duì)問(wèn)題：Juniper UAC統(tǒng)一訪問(wèn)控制解決方案主要解決用戶網(wǎng)絡(luò)面臨的如下問(wèn)題：不同用戶的網(wǎng)絡(luò)準(zhǔn)入控制問(wèn)題。不同用戶終端的應(yīng)用訪問(wèn)控制問(wèn)題以及權(quán)限定制和分發(fā)問(wèn)題。終端的安全性評(píng)估與管理問(wèn)題。相關(guān)法案，Sarbanes-Ox

9、ley （塞班斯法案)。）符合性和審計(jì)的要求。解決方案的特性：Juniper UAC統(tǒng)一訪問(wèn)控制解決方案，采用了業(yè)界公認(rèn)的標(biāo)準(zhǔn)（包括802。1x和TNC等），將用戶終端的身份標(biāo)識(shí)、網(wǎng)絡(luò)標(biāo)識(shí)和終端安全狀況進(jìn)行集中的認(rèn)證和授權(quán)，并且將用戶權(quán)限和策略自動(dòng)的下發(fā)到網(wǎng)絡(luò)當(dāng)中的執(zhí)行點(diǎn)(包括防火墻、交換機(jī)和無(wú)線接入點(diǎn)等）上，實(shí)現(xiàn)了統(tǒng)一的接入控制和訪問(wèn)控制。該方案可以實(shí)現(xiàn)以下功能：基于終端的身份標(biāo)識(shí)、網(wǎng)絡(luò)標(biāo)識(shí)和終端狀況的統(tǒng)一的認(rèn)證和授權(quán)。終端安全狀況的檢查，如檢查防病毒軟件是否更新，補(bǔ)丁是否健壯等，對(duì)于不符合安全策略的主機(jī)，可以進(jìn)行修復(fù)。利用網(wǎng)絡(luò)當(dāng)中已有的防火墻、交換機(jī)和無(wú)線接入點(diǎn)等網(wǎng)絡(luò)和網(wǎng)絡(luò)安全設(shè)備,對(duì)內(nèi)部

10、網(wǎng)絡(luò)終端的接入和訪問(wèn)進(jìn)行控制。對(duì)于關(guān)鍵的業(yè)務(wù)和通訊,自動(dòng)啟用IPSec 連接,保證敏感數(shù)據(jù)傳輸?shù)陌踩?。用戶終端訪問(wèn)整個(gè)過(guò)程中的安全檢查，保證安全的連續(xù)性.解決方案好處：針對(duì)終端的安全防護(hù):UAC方案可以對(duì)終端進(jìn)行安全檢查，對(duì)于不符合安全策略的主機(jī)進(jìn)行修復(fù)，同時(shí)提供個(gè)人防火墻功能，提供對(duì)終端的訪問(wèn)保護(hù)。針對(duì)終端的訪問(wèn)控制：將用戶終端的身份標(biāo)識(shí)、網(wǎng)絡(luò)標(biāo)識(shí)和終端安全狀況進(jìn)行集中的認(rèn)證和授權(quán)，統(tǒng)一的在網(wǎng)絡(luò)控制點(diǎn)進(jìn)行策略的下發(fā)。充分利用已有的網(wǎng)絡(luò)和網(wǎng)絡(luò)安全投資,由于Juniper方案當(dāng)中采用標(biāo)準(zhǔn)的接口,可以很好的與業(yè)界的其他方案,如防病毒,補(bǔ)丁管理、AAA認(rèn)證方案進(jìn)行整合.Juniper解決方案優(yōu)勢(shì)：

11、真正支持標(biāo)準(zhǔn)的解決方案，不局限于單獨(dú)廠商的方案，用戶可以在相關(guān)領(lǐng)域當(dāng)中選擇最佳或者最為適合的產(chǎn)品。良好的用戶體驗(yàn)，不需要管理員為每個(gè)終端單獨(dú)安裝客戶端軟件，軟件采用自動(dòng)定向和下載安裝的方式安裝，大大減少管理員工作量和工程建設(shè)周期。支持所有類別的用戶，如員工、承包商和訪客等，對(duì)用戶的主機(jī)實(shí)現(xiàn)跨操作系統(tǒng)平臺(tái)的支持.非常適合于分階段的實(shí)施。用戶可以根據(jù)網(wǎng)絡(luò)的實(shí)際情況，選擇性的對(duì)防火墻或者交換機(jī)這些27層的控制器進(jìn)行 部署，實(shí)現(xiàn)不同的控制級(jí)別.Juniper UAC 構(gòu)成：Juniper 統(tǒng)一接入控制（UAC）解決方案 v2。0包括用作集中策略管理器的 Infranet 控制器；以及作為可動(dòng)態(tài)下載的端

12、點(diǎn)軟件的 UAC 代理(對(duì)于不支持下載的客戶端，如客戶端的設(shè)備;控制器和代理還包含 Juniper 通過(guò)在 2005 年收購(gòu) Funk Software 獲得的整合特性，如 Odyssey Access Client（OAC） 802。1X 請(qǐng)求特性和 Steel-Belted Radius 身份認(rèn)證服務(wù)。Infranet 控制器是經(jīng)過(guò)加固的策略管理服務(wù)器，可收集用戶驗(yàn)證、端點(diǎn)安全狀態(tài)和設(shè)備位置信息，并將此類信息與策略相結(jié)合來(lái)控制網(wǎng)絡(luò)、資源和應(yīng)用接入。隨后，控制器在分配 IP 地址前在網(wǎng)絡(luò)邊緣通過(guò)802. 1X 并且或在網(wǎng)絡(luò)核心通過(guò)防火墻將這個(gè)策略傳遞給執(zhí)行器.同時(shí)使用這兩類執(zhí)行點(diǎn)可進(jìn)一步提高

13、接入控制粒度。UAC 代理是允許動(dòng)態(tài)下載的軟件代理,可由控制器實(shí)時(shí)設(shè)置，通過(guò) Juniper Installer Service 安裝或通過(guò)其他方法進(jìn)行部署.代理同時(shí)提供 Juniper OAC 的集成 802. 1X 功能以及 L37 覆蓋功能，如用于在客戶端動(dòng)態(tài)執(zhí)行策略的集成個(gè)人防火墻。代理還包括面向 Windows 設(shè)備的特定功能，如 IPSec VPN(允許實(shí)現(xiàn)從端點(diǎn)到防火墻的加密）和 Active Directory 單一登錄等.代理提供的主機(jī)檢查器功能也被部署在已售出的幾千個(gè) Juniper Secure Access SSL VPN 產(chǎn)品中，允許管理員掃描端點(diǎn)以了解各種安全應(yīng)用狀

14、態(tài)，包括但不限于防病毒、防惡意軟件和個(gè)人防火墻等。UAC 代理可通過(guò)預(yù)定義的主機(jī)檢查策略以及防病毒簽名文件的自動(dòng)監(jiān)控功能來(lái)評(píng)估最新定義文件的安全狀態(tài)，從而簡(jiǎn)化部署工作。UAC 還允許執(zhí)行定制檢查任務(wù),如對(duì)注冊(cè)表和端口狀態(tài)進(jìn)行檢查，并可執(zhí)行 MD5 校驗(yàn)和檢查，以驗(yàn)證應(yīng)用是否有效。UAC 工作原理在用戶向控制器提交認(rèn)證信息前，用戶請(qǐng)求（802。1X 或非 802。1x 模式，通過(guò)設(shè)置用于端點(diǎn)的基于瀏覽器的代理提供）便揭示了大量不同的最終用戶特征，包括源 IP 和 MAC 地址、網(wǎng)絡(luò)接口（內(nèi)部或外部)、數(shù)字證書（如果存在的話）、瀏覽器類型、SSL 版本以及端點(diǎn)安全檢查結(jié)果等。用戶提交了認(rèn)證信息后，

15、控制器將通過(guò)全面的驗(yàn)證、授權(quán)和記賬引擎，支持幾乎所有常用的 AAA 設(shè)置中,包括現(xiàn)有的 RADIUS、LDAP、AD、Netegrity SiteMinder、證書 PKI 服務(wù)器及匿名驗(yàn)證服務(wù)器等。控制器將用戶認(rèn)證信息以及組群或?qū)傩孕畔?如組群的成員關(guān)系）與認(rèn)證信息輸入之前收集到的信息相關(guān)聯(lián)，包括由主機(jī)檢查器收集的信息，從而能夠?qū)⒂脩魟?dòng)態(tài)映射到接入控制的第二步面向會(huì)話的角色。角色屬性可包括會(huì)話屬性參數(shù),也可為用戶規(guī)定映射到角色之前必須滿足的限制性條件，這在注重安全性并要求必須遵守規(guī)章制度的環(huán)境中非常有用。接入控制的第三步即最后一步是制訂資源策略，以管理網(wǎng)絡(luò)和資源的接入。例如 VLAN 分配及

16、或供應(yīng)商特定的屬性等基于 L2 RADIUS 屬性的策略以及管理對(duì) IP 地址子網(wǎng)掩碼及或端口接入的 L3 策略。IDP 策略或 URL 過(guò)濾等 L7 策略提供更動(dòng)態(tài)的威脅管理.典型部署方式Juniper UAC的統(tǒng)一訪問(wèn)控制解決方案部署簡(jiǎn)單易用，不會(huì)對(duì)用戶網(wǎng)絡(luò)有任何修改.如果網(wǎng)絡(luò)當(dāng)中已經(jīng)部署了防火墻設(shè)備（FW)，終端安全保護(hù)軟件（如防病毒，補(bǔ)丁管理)，身份認(rèn)證系統(tǒng)（AAA）,只需要再添加一臺(tái)Juniper IC設(shè)備，作為整體的用戶認(rèn)證和訪問(wèn)策略的管理,我們就可以充分的利用已有的網(wǎng)絡(luò)安全建設(shè)，結(jié)合IC的策略管理，完成統(tǒng)一的訪問(wèn)控制.UAC的解決方案對(duì)最終的用戶是透明的，終端電腦無(wú)需預(yù)先安裝客戶

17、端軟件，利用IE對(duì)訪問(wèn)重定向的技術(shù)，終端用戶也無(wú)需主動(dòng)到IC上進(jìn)行認(rèn)證，方便了最終用戶的體驗(yàn)。產(chǎn)品介紹Juniper 網(wǎng)絡(luò)公司統(tǒng)一接入控制 v2.0(UAC v2。0）解決方案將用戶身份、設(shè)備安全狀態(tài)信息和網(wǎng)絡(luò)位置信息結(jié)合在一起，為每名用戶創(chuàng)建特定會(huì)話的接入控制策略。您可使用802.1X 將其部署在第 2 層，或使用防火墻的部署方法將其部署在第 3 層.您也可使用混合模式來(lái)設(shè)置 UAC v2.0,將 802.1X 用于網(wǎng)絡(luò)準(zhǔn)入控制并將第 3 層設(shè)置用于資源接入控制。UAC v2.0 解決方案中的產(chǎn)品包括:Infranet 控制器，作為安全策略的集中引擎和面向現(xiàn)有企業(yè) AAA 基礎(chǔ)設(shè)施的連接點(diǎn)。

18、控制器還提供來(lái)自 SBR 的集成 802。1X 功能。UAC 代理，可由 Infranet 控制器動(dòng)態(tài)部署；在單一部署中，UAC 代理提供通過(guò) OAC功能在第 2 層接入網(wǎng)絡(luò)的方法、在第 3 層接入網(wǎng)絡(luò)的方法、主機(jī)檢查器、主機(jī)執(zhí)行器和狀態(tài)檢測(cè)個(gè)人防火墻。您也可在無(wú)代理模式中設(shè)置接入，如訪客部署模式,但此時(shí)您將無(wú)法下載任何軟件。Infranet 控制器Juniper 統(tǒng)一接入控制解決方案的核心是 Infranet 控制器，這個(gè)控制器是經(jīng)過(guò)強(qiáng)化的策略管理服務(wù)器，可將 UAC 代理部署到端點(diǎn)（或者以無(wú)代理模式來(lái)收集信息），以便獲得用戶驗(yàn)證、端點(diǎn)安全狀態(tài)和設(shè)備位置信息。Infranet 控制器將這些信

19、息結(jié)合起來(lái)，以創(chuàng)建動(dòng)態(tài)策略。然后，這些動(dòng)態(tài)策略通過(guò)整個(gè)網(wǎng)絡(luò)傳播到策略執(zhí)行點(diǎn),這些執(zhí)行點(diǎn)既可在通過(guò) 802.1X 授予 IP 地址之前部署在網(wǎng)絡(luò)邊緣，也可部署在網(wǎng)絡(luò)內(nèi)部的防火墻上，或者同時(shí)部署在這兩處，以提供更高的細(xì)粒度。Infranet 控制器將 Juniper 業(yè)界領(lǐng)先的Secure Access SSL VPN 策略控制引擎與企業(yè)現(xiàn)有的 AAA 身份識(shí)別及接入管理基礎(chǔ)設(shè)施無(wú)縫集成，并允許使用授權(quán)目錄中的群組關(guān)系?？刂破髂軌蛟跁?huì)話期間按照管理員定義的頻率重復(fù)開展這些評(píng)估,以確保實(shí)現(xiàn)動(dòng)態(tài)的策略管理與執(zhí)行，并對(duì)違規(guī)用戶應(yīng)用細(xì)粒度的、策略特定的糾正功能。Infranet 控制器可設(shè)置為審計(jì)模式,從

20、而無(wú)需執(zhí)行策略也能夠獲悉法規(guī)遵從情況。Infranet 控制器包含兩種型號(hào)：Infranet 控制器 4000(IC 4000）和Infranet 控制器 6000（IC 6000）.IC 4000 設(shè)計(jì)用于滿足中型企業(yè)或遠(yuǎn)程分支辦事處的需求，它能夠通過(guò)擴(kuò)展，同時(shí)處理幾千個(gè)端點(diǎn)，并可通過(guò)群集對(duì)的部署,以提供高可用性.IC6000 設(shè)計(jì)用于大型企業(yè)，能夠同時(shí)處理幾萬(wàn)個(gè)并發(fā)端點(diǎn)。IC6000 提供大量的高可用性特性，包括可升級(jí)的熱插拔電源以及硬盤等。IC 6000 可部署在多單元群集中，用于提高性能并提供更高的可擴(kuò)展性.UAC 代理UAC 代理是允許動(dòng)態(tài)下載的軟件代理，可由 Infranet 控制

21、器實(shí)時(shí)設(shè)置，通過(guò) Juniper Installer Service 安裝或通過(guò)其他方法進(jìn)行部署.UAC 代理同時(shí)提供來(lái)自 Juniper Odyssey Access Client 的集成 802。 1X 功能以及第 3 層第 7 層功能,如在客戶端側(cè)動(dòng)態(tài)執(zhí)行策略的集成個(gè)人防火墻.UAC 代理還包括面向 Windows 設(shè)備的特定功能,如 IPSec VPN（允許實(shí)現(xiàn)從端點(diǎn)到防火墻的加密）和Active Directory 單一登錄等。主機(jī)檢查器功能允許管理員掃描端點(diǎn)以了解各種安全應(yīng)用狀態(tài)，包括但不限于防病毒、防惡意軟件和個(gè)人防火墻等。UAC 還可執(zhí)行對(duì)組件的定制檢查,如對(duì)注冊(cè)表和端口狀態(tài)進(jìn)

22、行檢查，并可執(zhí)行 MD5 校驗(yàn)以驗(yàn)證應(yīng)用是否有效.通過(guò)預(yù)定義的主機(jī)檢查器策略，以及通過(guò)防病毒特征文件的自動(dòng)監(jiān)控功能來(lái)監(jiān)測(cè)最新定義文件以進(jìn)行安全狀態(tài)評(píng)估，還可以簡(jiǎn)化部署工作.特性和優(yōu)勢(shì)統(tǒng)一接入控制解決方案的主要特性和優(yōu)勢(shì)可概括為以下三個(gè)主要方面: 將用戶身份識(shí)別、設(shè)備安全評(píng)估以及網(wǎng)絡(luò)信息和策略執(zhí)行結(jié)合在一起，以實(shí)現(xiàn)動(dòng)態(tài)的接入控制 基于標(biāo)準(zhǔn)的解決方案 利用現(xiàn)有的AAA、交換和安全基礎(chǔ)設(shè)施投資特性說(shuō)明優(yōu)勢(shì)Infranet 控制器將端點(diǎn)評(píng)估、用戶身份識(shí)別與實(shí)時(shí)網(wǎng)絡(luò)策略執(zhí)行功能捆綁在一起將端點(diǎn)和用戶身份識(shí)別動(dòng)態(tài)捆綁在一起，以便實(shí)時(shí)設(shè)置防火墻配置規(guī)則允許動(dòng)態(tài)激活所選的 Juniper 防火墻執(zhí)行器功能,包

23、括入侵防護(hù)功能、防病毒、日志記錄和 Web 過(guò)濾等,從而節(jié)省時(shí)間并執(zhí)行安全策略設(shè)置 UAC 代理根據(jù)需要?jiǎng)討B(tài)設(shè)置 UAC 代理，并提供無(wú)代理的方法進(jìn)行接入控制允許對(duì)所有用戶實(shí)施接入控制，包括訪客、承包商和員工利用 Juniper 的 Secure Access SSL VPN 策略引擎利用 Juniper 的 Secure Access SSL VPN 策略引擎安全接入產(chǎn)品在 SSL VPN 市場(chǎng)處于領(lǐng)先地位，并在全球幾千個(gè)部署中得到了實(shí)踐驗(yàn)證利用 Juniper SteelBelted Radius使用 Infranet 控制器的組件完成 802。1X 驗(yàn)證任務(wù)無(wú)需購(gòu)買更多設(shè)備，從而節(jié)約了時(shí)

24、間和金錢單個(gè)集中策略引擎在會(huì)話登錄前以及整個(gè)會(huì)話期間執(zhí)行接入控制驗(yàn)證前評(píng)估、驗(yàn)證、角色映射和資源控制,均在一個(gè)位置完成輕松設(shè)置并管理網(wǎng)絡(luò)資源策略規(guī)則部署解決方案無(wú)需對(duì)現(xiàn)有基礎(chǔ)設(shè)施進(jìn)行叉式升級(jí)執(zhí)行點(diǎn)動(dòng)態(tài)傳播策略執(zhí)行，無(wú)論是基于 802.1X 的還是基于第 3 層覆蓋功能的策略可隨著端點(diǎn)或網(wǎng)絡(luò)環(huán)境的變化而變化動(dòng)態(tài)驗(yàn)證策略利用現(xiàn)有的 AAA 投資支持 802。1X、RADIUS、LDAP、AD、RSA ACE、NIS、證書服務(wù)器(數(shù)字證書 PKI）、本地登錄密碼、Netegrity SiteMinder、RSA Cleartrust 和 Oblix（Oracle）利用企業(yè)現(xiàn)有的目錄、PKI 以及嚴(yán)格的驗(yàn)證機(jī)制方面的投資，允許管理員為每個(gè)用戶會(huì)話制訂動(dòng)態(tài)