Juniper 網(wǎng)絡(luò)準(zhǔn)入控制解決方案-

??！第第PAGE4需求分析管理成為系統(tǒng)管理員越來數(shù)量眾多在信息系統(tǒng)中桌面系統(tǒng)病毒和安全攻擊病毒蠕蟲和間諜軟件等新興網(wǎng)絡(luò)安全威逼連續(xù)損害客戶利益并使機(jī)構(gòu)損失大量的金錢、生產(chǎn)率和機(jī)會(huì)。與此同時(shí)，移動(dòng)計(jì)算的普及進(jìn)一步加劇了威逼。動(dòng)用戶能夠從家里或公共熱點(diǎn)連接互聯(lián)網(wǎng)或辦公室網(wǎng)絡(luò) — 常在無意中輕易地感染病毒并將其帶進(jìn)企業(yè)環(huán)境，進(jìn)而感染網(wǎng)絡(luò)。對(duì)病毒統(tǒng)操作系統(tǒng)的病機(jī)很簡(jiǎn)潔被攻擊和被病毒感染；軟件升級(jí)與補(bǔ)丁安裝：操作系統(tǒng)補(bǔ)丁包，傳統(tǒng)的手工安裝要花費(fèi)系統(tǒng)管理員大量時(shí)間；遠(yuǎn)程監(jiān)控與維護(hù)為提高效率，系統(tǒng)管理員經(jīng)常需要做遠(yuǎn)程支持，掛念用戶快速準(zhǔn)時(shí)解決機(jī)問題。系統(tǒng)管理員與機(jī)用戶僅依靠電話很難遠(yuǎn)程解決問題。網(wǎng)絡(luò)接入把握還是學(xué)問資產(chǎn)，始終需要在接入價(jià)值與安全風(fēng)險(xiǎn)之間找到最佳平衡點(diǎn)。繁利用最終用戶設(shè)備滲入企業(yè)環(huán)境。即時(shí)消息傳遞（）或?qū)Φ乳g應(yīng)用進(jìn)入網(wǎng)絡(luò)。的安全帶來重大的隱患。選擇適合的網(wǎng)絡(luò)準(zhǔn)入把握產(chǎn)品系統(tǒng)。系統(tǒng)應(yīng)當(dāng)至少具備如下特性：Windows策略；網(wǎng)絡(luò)強(qiáng)制身份認(rèn)證。支持用戶名、密碼；WindowsRADIUS；AAA權(quán)限認(rèn)證。防火墻/IDP（4－7）支持802.1X的交換機(jī)，AP（2層準(zhǔn)入）5．6．防病毒，終端防護(hù)軟件(端點(diǎn))統(tǒng)一終端管理：·基于網(wǎng)絡(luò)地址，用戶身份，終端狀態(tài)的把握·統(tǒng)一配置的個(gè)人防火墻策略·對(duì)終端供應(yīng)修復(fù)功能支持最多的終端防護(hù)軟件·預(yù)定義的檢查：防病毒，個(gè)人防火墻，防惡意軟件，操作系統(tǒng)等·自定義檢查：JEDI，自定義文件，進(jìn)程，注冊(cè)表等·無需客戶端的手工安裝·通過掃瞄器自動(dòng)的下載安裝，削減管理員的工作量9．對(duì)用戶的主機(jī)實(shí)現(xiàn)跨操作系統(tǒng)平臺(tái)的支持。10．對(duì)用戶網(wǎng)絡(luò)改動(dòng)最小、最少。Juniper網(wǎng)絡(luò)公司統(tǒng)一接入把握（UAC）是全面的網(wǎng)絡(luò)接入把握解決方案，端點(diǎn)安全性和智能，以便將接入把握擴(kuò)展到整個(gè)企業(yè)網(wǎng)絡(luò)中。一起，Juniper網(wǎng)絡(luò)公司UAC解決方案可掛念企業(yè)對(duì)試圖接入網(wǎng)絡(luò)的用戶和設(shè)繁變化的網(wǎng)絡(luò)威逼。UACv2.0解決方案通過第3層—第7層掩蓋功能。Juniperv2.0和網(wǎng)絡(luò)位置信息結(jié)合在一起，為每名用戶創(chuàng)建特定會(huì)話的接入把握策略。Juniper統(tǒng)一接入把握解決方案把握，以愛護(hù)公司資產(chǎn)的安全性并滿足法規(guī)遵從要求。應(yīng)對(duì)問題：JuniperUAC統(tǒng)一訪問把握解決方案主要解決用戶網(wǎng)絡(luò)面臨的如下問題：不同用戶的網(wǎng)絡(luò)準(zhǔn)入把握問題。不同用戶終端的應(yīng)用訪問把握問題以及權(quán)限定制和分發(fā)問題。終端的安全性評(píng)估與管理問題。相關(guān)法案，Sarbanes-Oxley（塞班斯法案。)符合性和審計(jì)的要求。解決方案的特性：JuniperUAC（包括802.1xTNC，將用戶終端的身份標(biāo)識(shí)、網(wǎng)絡(luò)標(biāo)識(shí)和終端安全狀況進(jìn)行集中的認(rèn)證和授權(quán)，并且將用戶權(quán)限和策略自動(dòng)的下發(fā)到網(wǎng)絡(luò)當(dāng)中的執(zhí)行點(diǎn)（第第PAGE7！交換機(jī)和無線接入點(diǎn)等現(xiàn)以下功能：基于終端的身份標(biāo)識(shí)、網(wǎng)絡(luò)標(biāo)識(shí)和終端狀況的統(tǒng)一的認(rèn)證和授權(quán)。不符合安全策略的主機(jī)，可以進(jìn)行修復(fù)。對(duì)內(nèi)部網(wǎng)絡(luò)終端的接入和訪問進(jìn)行把握。IPSec用戶終端訪問整個(gè)過程中的安全檢查，保證安全的連續(xù)性。解決方案好處：針對(duì)終端的安全防護(hù)：UAC行集中的認(rèn)證和授權(quán)，統(tǒng)一的在網(wǎng)絡(luò)把握點(diǎn)進(jìn)行策略的下發(fā)。Juniper口，可以很好的與業(yè)界的其他方案，如防病毒，補(bǔ)丁管理、AAAJuniper解決方案優(yōu)勢(shì)：當(dāng)中選擇最佳或者最為適合的產(chǎn)品。系統(tǒng)平臺(tái)的支持。2－7JuniperUAC構(gòu)成：Juniper統(tǒng)一接入把握（UAC）解決方案v2.0包括用作集中策略管理器的InfranetUAC（載的客戶端，如客戶端的設(shè)備；把握器和代理還包含Juniper通過在2005年收購FunkSoftware獲得的整合特性，如OdysseyAccessClient（OAC）802.1X懇求特性和Steel-BeltedRadius身份認(rèn)證服務(wù)。Infranet把握器是經(jīng)過加固的策略管理服務(wù)器，可收集用戶驗(yàn)證、端點(diǎn)安全入。隨后，把握器在安排IP地址前在網(wǎng)絡(luò)邊緣通過802.1X并且／或在網(wǎng)絡(luò)接入把握粒度。UAC代理JuniperInstallerService安裝或通過其他方法進(jìn)行部署。代理同時(shí)供應(yīng)JuniperOAC802.1X功能以及L3－7Windows設(shè)備的特定功能，如IPSecVPN（允許實(shí)現(xiàn)從端點(diǎn)到防火墻的加密）ActiveDirectory單一登錄等。代理供應(yīng)的主機(jī)檢查器功能也被部署在已售出的幾千個(gè)JuniperSecureAccessSSLVPN產(chǎn)防惡意軟件和個(gè)人防火墻等。UAC代理可通過預(yù)定義的主機(jī)檢查策略以及UACMD5校驗(yàn)和檢查，以驗(yàn)證應(yīng)用是否有效。UAC工作原理在用戶向把握器提交認(rèn)證信息前，用戶懇求（802.1X或非802.1x模式，通過設(shè)置用于端點(diǎn)的基于掃瞄器的代理供應(yīng)）便揭示了大量不同的最終用戶特IP和MAC地址、網(wǎng)絡(luò)接口（內(nèi)部或外部、數(shù)字證書（話、掃瞄器類型、SSL版本以及端點(diǎn)安全檢查結(jié)果等。幾乎全部常用的AAA設(shè)置中，包括現(xiàn)有的RADIUSLDAP、AD、NetegritySiteMinder、證書／PKI服務(wù)器及匿名驗(yàn)證服務(wù)器等。把握器將用戶認(rèn)證信息（如組群的成員關(guān)系的環(huán)境中格外有用。接入把握的第三步即最終一步是制訂資源策略，以管理網(wǎng)絡(luò)和資源的接入。例如VLAN安排及／或供應(yīng)商特定的屬性等基于L2RADIUS屬性的策略以及管理對(duì)IP地址／子網(wǎng)掩碼及／或端口接入的L3策略。IDP策略或URL過濾等第第PAGE10！L7策略供應(yīng)更動(dòng)態(tài)的威逼管理。典型部署方式JuniperUAC（如防病毒，補(bǔ)丁管理，身份認(rèn)證系統(tǒng)AAAJuniperICICUAC的解決方案對(duì)最終的用戶是透亮?????的，終端電腦無需預(yù)先安裝客戶端軟IEIC了最終用戶的體驗(yàn)。產(chǎn)品介紹Juniper網(wǎng)絡(luò)公司統(tǒng)一接入把握v2.0（UACv2.0）解決方案將用戶身份、把握策略。您可使用802.1X將其部署在第2層，或使用防火墻的部署方法將3UACv2.0，802.1X3層設(shè)置用于資源接入把握。UACv2.0解決方案中的產(chǎn)品包括：InfranetAAA的連接點(diǎn)。把握器還供應(yīng)來自SBR的集成802.1X功能。UACInfranetOAC功能在第2層接入網(wǎng)絡(luò)的方法、在第3層接入網(wǎng)絡(luò)的方法、主機(jī)檢訪客部署模式，但此時(shí)您將無法下載任何軟件。Infranet把握器Juniper統(tǒng)一接入把握解決方案的核心是InfranetUAC代理部署到端點(diǎn)（或者以無代理模式來收集信息Infranet播到策略執(zhí)行點(diǎn)，這些執(zhí)行點(diǎn)既可在通過802.1X授予IP地址之前部署在網(wǎng)的細(xì)粒度。Infranet把握器將JuniperSecureAccessSSLVPN略把握引擎與企業(yè)現(xiàn)有的AAA／身份識(shí)別及接入管理基礎(chǔ)設(shè)施無縫集成，并允的、策略特定的訂正功能。Infranet把握器可設(shè)置為審計(jì)模式，從而無需執(zhí)行策略也能夠獲悉法規(guī)遵從狀況。Infranet把握器包含兩種型號(hào)：Infranet把握器4000（IC4000）和Infranet6000（IC6000。IC4000署，以供應(yīng)高可用性。IC6000設(shè)計(jì)用于大型企業(yè)，能夠同時(shí)處理幾萬個(gè)并發(fā)端點(diǎn)。IC6000UAC代理UACInfranetJuniperInstallerService安裝或通過其他方法進(jìn)行部署。UAC代理同時(shí)供應(yīng)來自JuniperOdysseyAccessClient的集成802.1X功能以及第37層功能，如在客戶端側(cè)動(dòng)態(tài)執(zhí)行策略的集成個(gè)人防火墻。UAC代理還包括面對(duì)Windows設(shè)備的特定功能，如IPSecVPN（允許實(shí)現(xiàn)從端點(diǎn)到防火墻的加密）ActiveDirectory單一登錄等。主機(jī)檢查器功能允許管理員掃描端點(diǎn)UAC還可執(zhí)行對(duì)組件的定制檢查，如對(duì)注冊(cè)表和端口狀態(tài)進(jìn)行檢查，并可執(zhí)行MD5第第PAGE11！特性和優(yōu)勢(shì)統(tǒng)一接入把握解決方案的主要特性和優(yōu)勢(shì)可概括為以下三個(gè)主要方面：動(dòng)態(tài)的接入把握基于標(biāo)準(zhǔn)的解決方案利用現(xiàn)有的AAA、交換和安全基礎(chǔ)設(shè)施投資特性Infranet把握器

說明 優(yōu)勢(shì)允許動(dòng)態(tài)激活所選的Juniper防火墻執(zhí)行器功能，包括入侵將端點(diǎn)評(píng)估用戶身份識(shí)別將端點(diǎn)和用戶身份識(shí)別動(dòng)態(tài)防護(hù)功能、防病毒、日志記錄與實(shí)時(shí)網(wǎng)絡(luò)策略執(zhí)行功能捆綁在一起以便實(shí)時(shí)設(shè)置防和Web過濾等從而節(jié)省時(shí)捆綁在一起 火墻配置／規(guī)章 并執(zhí)行安全策略依據(jù)需要?jiǎng)討B(tài)設(shè)置UAC代理并供應(yīng)無代理的方法進(jìn)行允許對(duì)全部用戶實(shí)施接入控設(shè)置UAC代理 接入把握 制，包括訪客、承包商和員安全接入產(chǎn)品在SSLVPN市利用Juniper的Secure 利用Juniper的Secure 場(chǎng)處于領(lǐng)先地位，并在全球AccessSSLVPN策略引擎 AccessSSLVPN策略引擎 千個(gè)部署中得到了實(shí)踐驗(yàn)證第第PAGE14利用JuniperSteel-BeltedRadius單個(gè)集中策略引擎動(dòng)態(tài)驗(yàn)證策略利用現(xiàn)有的AAA投資動(dòng)態(tài)角色映射混合策略模式細(xì)粒度的審計(jì)和日志用戶的定制說明Infranet

使用Infranet把握器的組件完成802.1X驗(yàn)證任務(wù)在會(huì)話登錄前以及整個(gè)會(huì)話期間執(zhí)行接入把握支持802.1XRADIUSLDAPAD、RSAACE、NIS、證書服務(wù)器（PKI）登錄／密碼、NetegritySiteMinder、RSACleartrust和Oblix（Oracle）利用廣泛的屬性來滿足安全面顯示前必需滿足的管理員可定制接入策略以簡(jiǎn)潔明白的方式供應(yīng)細(xì)粒度的審計(jì)和日志功能支持通過自管理平臺(tái)智能地隔離違規(guī)用戶包括：滿足TNC標(biāo)準(zhǔn)，以便與任何其他符合要求的安全Windows登錄、用于將IPSec應(yīng)用到

無需購買更多設(shè)備，從而節(jié)省了時(shí)間和金錢驗(yàn)證前評(píng)估、驗(yàn)證、角色映射和資源把握，均在一個(gè)位置完成輕松設(shè)置并管理網(wǎng)絡(luò)資源策略規(guī)章部署解決方案無需對(duì)現(xiàn)有基礎(chǔ)設(shè)施進(jìn)行叉式升級(jí)執(zhí)行點(diǎn)動(dòng)態(tài)傳播策略執(zhí)行，無論是基于802.1X的還是基于第3層掩蓋功能的策略可隨著端點(diǎn)或網(wǎng)絡(luò)環(huán)境的變化而變化利用企業(yè)現(xiàn)有的名目、PKI及嚴(yán)格的驗(yàn)證機(jī)制方面的投話制訂動(dòng)態(tài)的驗(yàn)證策略可在驗(yàn)證前及驗(yàn)證后的整個(gè)會(huì)話期間執(zhí)行安全要求確保安全策略體現(xiàn)出業(yè)務(wù)要求的變化們所試圖接入的資源以及遵從狀態(tài)，進(jìn)行具體的日志記錄供應(yīng)任何掛念，然后在完成入角色中愛護(hù)經(jīng)過驗(yàn)證的端點(diǎn)不受惡意／違規(guī)端點(diǎn)的影響，并允許企輕量級(jí)代理可依據(jù)需要由 桌面的本機(jī)客戶端，和面對(duì)Infranet把握器動(dòng)態(tài)設(shè)置 Mac和Linux的無代理執(zhí)

業(yè)對(duì)即使他們無權(quán)管理的端點(diǎn)保持接入把握允許通過預(yù)定義的主機(jī)檢查工端點(diǎn)評(píng)估

可在登錄時(shí)運(yùn)行或依據(jù)管理 具進(jìn)行實(shí)時(shí)網(wǎng)絡(luò)策略管理，員定義的時(shí)間間隔在用戶會(huì) 以支持廣泛的最佳端點(diǎn)安全話期間定期運(yùn)行 決方案；自動(dòng)監(jiān)控病毒特征??！

當(dāng)端點(diǎn)接入的網(wǎng)絡(luò)段不受802.1X基礎(chǔ)設(shè)施或執(zhí)行器愛護(hù)時(shí)，實(shí)施防火墻策略可選的MicrosoftIPSec執(zhí)行功能供應(yīng)經(jīng)過驗(yàn)證和加