策略執(zhí)行防火墻模塊

1、ArubaOS 策略執(zhí)行防火墻模塊Aruba 策略執(zhí)行防火墻模塊為網(wǎng)絡(luò)移動(dòng)邊緣提供了基于身份識(shí)別的安全性。當(dāng)用戶是移動(dòng)用戶時(shí)，由于用戶可能在任何地點(diǎn)，通過(guò)有線或無(wú)線方式進(jìn)入網(wǎng)絡(luò)，因此基于身份識(shí)別的安全性是必要的。 Aruba 通過(guò) ICSA 認(rèn)證的狀態(tài)防火墻根據(jù)用戶身份識(shí)別、設(shè)備類型、位置和一天中的具體時(shí)間給用戶分類，并為不同類型的用戶提供了不同的訪問接入。基于身份份識(shí)別的的狀態(tài)防防火墻防火墻規(guī)規(guī)則是以以用戶，而不僅僅僅是 IP 地址為為驗(yàn)證方方法，這這實(shí)現(xiàn)了了高可見見度和更更完全的的控制。ICSAA 認(rèn)證證防火墻質(zhì)質(zhì)量和安安全性能能的工業(yè)業(yè)標(biāo)準(zhǔn)，由于其其執(zhí)行了了完全獨(dú)獨(dú)立的測(cè)測(cè)試，因因此提供

2、供了很高高的保障障基于策略略的訪問問控制允許將企企業(yè)安全全策略轉(zhuǎn)轉(zhuǎn)換為實(shí)實(shí)際行動(dòng)動(dòng)。遵守守企業(yè)安安全策略略變?yōu)閺?qiáng)強(qiáng)制和命命令性的的，而不不僅僅是是監(jiān)測(cè)。狀態(tài)流分分類啟用應(yīng)用用程序流流的身份份識(shí)別用用于某些些特殊處處理，例例如對(duì)語(yǔ)語(yǔ)音提供供增強(qiáng)的的聯(lián)網(wǎng)服服務(wù)質(zhì)量量 (QQoS)基于角色色的訪問問控制允許應(yīng)用用基于組組成員的的模板，簡(jiǎn)化管管理基于 WWeb 的強(qiáng)制制網(wǎng)絡(luò)門門戶為安全客客戶和雇雇員訪問問提供基基于瀏覽覽器的 SSLL 認(rèn)證證高性能的的安全硬件加速速的加密密解密密和防火火墻規(guī)則則處理以以消除瓶瓶頸控制和升升級(jí)數(shù)據(jù)據(jù)管道的的分離由于在移移動(dòng)網(wǎng)絡(luò)絡(luò)中沒有有安全的的物理層層，因此此對(duì)待移移動(dòng)

3、用戶戶時(shí)，應(yīng)應(yīng)該比對(duì)對(duì)待傳統(tǒng)統(tǒng)的固定定用戶更更謹(jǐn)慎。防火墻墻是企業(yè)業(yè)對(duì)于網(wǎng)網(wǎng)絡(luò)移動(dòng)動(dòng)邊緣的的分層安安全策略略的強(qiáng)制制部分。 Arrubaa 獨(dú)一一無(wú)二的的基于身身份識(shí)別別的狀態(tài)態(tài)防火墻墻技術(shù)使使企業(yè)能能夠?yàn)槠笃髽I(yè)網(wǎng)絡(luò)絡(luò)上的一一個(gè)用戶戶或一組組用戶定定義訪問問控制?；谟脩魬糇R(shí)別的的狀態(tài)防防火墻Arubba 移移動(dòng)控制制器提供供了單點(diǎn)點(diǎn)加密解密、認(rèn)證和和防火墻墻執(zhí)行。由于它它們能夠夠識(shí)別身身份并且且已進(jìn)行行終端加加密，因因此它們們對(duì)于欺欺詐攻擊擊免疫，而這些些欺詐攻攻擊往往往使得基基于網(wǎng)絡(luò)絡(luò)，只進(jìn)進(jìn)行 IIP 地地址過(guò)濾濾而不是是用戶識(shí)識(shí)別的傳傳統(tǒng)防火火墻苦惱惱萬(wàn)分。完全基于于策略的的訪問控控制

4、所有企業(yè)業(yè)都寫有有 ITT 安全全策略。這些策策略可以以規(guī)定允允許或拒拒絕的網(wǎng)網(wǎng)絡(luò)訪問問、協(xié)議議和應(yīng)用用程序以以及提供供的服務(wù)務(wù)級(jí)別。在大多多數(shù)企業(yè)業(yè)中，會(huì)會(huì)從不同同角度監(jiān)監(jiān)測(cè)策略略遵守，但只有有在情況況發(fā)生后后才會(huì)發(fā)發(fā)現(xiàn)并處處理違規(guī)規(guī)行為。 Arrubaa 允許許主動(dòng)執(zhí)執(zhí)行策略略，甚至至在移動(dòng)動(dòng)環(huán)境中中，當(dāng)用用戶通過(guò)過(guò)網(wǎng)絡(luò)的的移動(dòng)邊邊緣漫游游時(shí)，策策略將始始終跟隨隨用戶?？梢苑奖惚愕厥褂糜梅阑饓Σ呗耘渑渲玫膱D圖形用戶戶界面 (GUUI)狀態(tài)流分分類一旦防火火墻識(shí)別別了應(yīng)用用程序流流，將應(yīng)應(yīng)用標(biāo)準(zhǔn)準(zhǔn)防火墻墻操作，例如允允許、斷斷開、登登錄或拒拒絕。但但是，AArubba 的的狀態(tài)防防火墻功功

5、能不僅僅僅提供供了耐用用的安全全性。規(guī)規(guī)則操作作也可以以使用 8022.1pp 或 DSSCP 標(biāo)記來(lái)來(lái)標(biāo)注包包，把通通信量的的優(yōu)先順順序區(qū)分分為多個(gè)個(gè)隊(duì)列，或者甚甚至可以以將特定定協(xié)議重重定向到到不同的的目標(biāo)。對(duì)于許許多流行行的協(xié)議議，例如如 SIIP，流流分類是是有狀態(tài)態(tài)的，它它允許將將合適的的 QooS 應(yīng)應(yīng)用到控控制協(xié)議議和調(diào)用用的會(huì)話話中?；诮巧脑L問問控制Arubba 的的狀態(tài)策策略執(zhí)行行防火墻墻根據(jù)用用戶的角角色來(lái)啟啟用對(duì)網(wǎng)網(wǎng)絡(luò)資源源的訪問問。該角角色通過(guò)過(guò)一系列列的不同同機(jī)制，例如外外部認(rèn)證證數(shù)據(jù)庫(kù)庫(kù)、ESSSIDD 或物物理位置置來(lái)分配配或取得得。一旦旦將角色色分配給給用

6、戶，就可以以應(yīng)用不不同的策策略。高性能的的無(wú)線安安全直到現(xiàn)在在，企業(yè)業(yè)還是被被迫將無(wú)無(wú)線用戶戶隔離到到非保護(hù)護(hù)區(qū) (DMZZ) 中中，用戶戶在其中中受到認(rèn)認(rèn)證和防防火墻保保護(hù)，就就好像他他們是從從因特網(wǎng)網(wǎng)進(jìn)入其其中的一一般。雖雖然該機(jī)機(jī)制在安安全角度度發(fā)揮了了作用，但由于于限制了了基于 DMZZ 的 VPPN 網(wǎng)網(wǎng)關(guān)和防防火墻，為無(wú)線線用戶提提供的性性能就受受到了嚴(yán)嚴(yán)重影響響。在企企業(yè)內(nèi)部部互聯(lián)網(wǎng)網(wǎng)中，AArubba 系系統(tǒng)允許許對(duì)企業(yè)業(yè)用戶用用最高的的安全和和性能進(jìn)進(jìn)行認(rèn)證證、加密密和防火火墻保護(hù)護(hù)。 AArubba 提提供了無(wú)無(wú)線用戶戶和有線線網(wǎng)絡(luò)之之間的連連接點(diǎn)。對(duì)于每個(gè)個(gè)用戶的的局域網(wǎng)

7、網(wǎng)速度防防火墻盡管已經(jīng)經(jīng)使用了了強(qiáng)大的的認(rèn)證和和加密，但仍需需以謹(jǐn)慎慎的態(tài)度度對(duì)待移移動(dòng)用戶戶。這是是因?yàn)橐埔苿?dòng)用戶戶可能帶帶來(lái)筆記記本計(jì)算算機(jī)被偷偷竊以及及從公共共熱區(qū)上上帶來(lái)病病毒的危危險(xiǎn)。把把基于身身份識(shí)別別的防火火墻合并并到網(wǎng)絡(luò)絡(luò)的移動(dòng)動(dòng)邊緣，可以減減少這些些危險(xiǎn)發(fā)發(fā)生的可可能以及及帶來(lái)的的損害。通過(guò)限限制移動(dòng)動(dòng)用戶可可以訪問問的網(wǎng)絡(luò)絡(luò)資源，Aruuba 的策略略執(zhí)行防防火墻有有助于在在企業(yè)內(nèi)內(nèi)部互聯(lián)聯(lián)網(wǎng)中消消除了蠕蠕蟲和病病毒傳播播。用于用戶戶和雇員員訪問的的強(qiáng)制網(wǎng)網(wǎng)絡(luò)門戶戶對(duì)于沒有有 8002.11x、虛虛擬專用用網(wǎng) (VPNN) 和和其它安安全軟件件的客戶戶，Arrubaa 支持

8、持基于 Webb 的強(qiáng)強(qiáng)制網(wǎng)絡(luò)絡(luò)門戶功功能，該該功能提提供了基基于瀏覽覽器的標(biāo)標(biāo)準(zhǔn)認(rèn)證證。強(qiáng)制制網(wǎng)絡(luò)門門戶認(rèn)證證是使用用工業(yè)標(biāo)標(biāo)準(zhǔn) SSSL（安全套套接字層層）進(jìn)行行加密的的，并支支持以密密碼登錄錄的注冊(cè)冊(cè)用戶，也同樣樣支持僅僅使用電電子郵件件地址的的訪客用用戶。通通過(guò)與后后端系統(tǒng)統(tǒng)的集成成，強(qiáng)制制網(wǎng)絡(luò)門門戶可以以支持安安全訪客客訪問解解決方案案，允許許前臺(tái)接接待人員員發(fā)給訪訪客認(rèn)證證，并追追蹤認(rèn)證證的可信信度。說(shuō)明證書ICSAA 認(rèn)證證，企業(yè)業(yè)防火墻墻 v44.0角色決定定標(biāo)準(zhǔn)認(rèn)證缺缺省或遠(yuǎn)遠(yuǎn)程用戶戶撥號(hào)認(rèn)認(rèn)證系統(tǒng)統(tǒng) (RRADIIUS) 獲取取物理位置置ESSIIDMAC 地址應(yīng)用程序序級(jí)別的的狀態(tài)網(wǎng)網(wǎng)關(guān)FTPSIPRTP/RTSSPCiscco SSCCPP (SSkinnny)有線和無(wú)無(wú)線 QQoS流分類優(yōu)先級(jí)隊(duì)隊(duì)列帶寬合同同802.1p 和 DSSCP 標(biāo)記網(wǎng)絡(luò)地址址轉(zhuǎn)換源和目標(biāo)標(biāo)用關(guān)聯(lián)防防火墻策策略創(chuàng)建建用戶角角色功能優(yōu)點(diǎn)點(diǎn)基于用戶戶識(shí)別的的狀態(tài)防防火墻保保持追蹤蹤會(huì)話狀狀態(tài)和通通信流，這樣可可以阻止止普通攻攻擊識(shí)別應(yīng)用用程序的的防火墻墻可以根根據(jù)應(yīng)用用程序類類型提供供流分類類硬件加速速處理在在一個(gè)集集成的加加密引擎擎上執(zhí)行行所有 VPNN 和防防火墻處處理，這這樣可以以提供高高速的無(wú)無(wú)線性