NAC產品報導－Juniper UAC

Juniper的網路隔離解決方案UAC（Unified Access Control，統一存取控制）即先前發表的Enterprise Infranet。從名稱上來看，再加上Juniper只參與微軟NAP聯盟和TCG的TNC，可以看出UAC和Cisco NAC的較勁意味。

Infranet一開始源自Juniper所發起的IPSphere論壇，他們想利用Infranet建立橫跨企業網路與電信業者機房之間的IP服務模型，以便處理使用者身分驗證、威脅防護與應用程式派送等管理工作。

UAC架構很單純，只分三種設備或元件，分為控制設備（Infranet Controller，IC）、執行器（Infranet Enforcer，IE）和代理程式（Infranet Agent，IA）軟體，目前Enterprise Infranet只發展到第一階段，執行器涵蓋到ISG及NetScreen 5到5000等八個系列的防火牆設備。和其他大型的網路隔離解決方案相比，Enterprise Infranet的架構單純很多，因為不牽涉路由器、交換器等網路設備，企業既有的網路基礎架構較不受影響。不過，目前防火牆因為是UAC執行政策強制的唯一設備，因此非Juniper Netscreen防火牆的企業假如要導入，除了須購買Infranet控制設備，要新購防火牆取代既有，或作為第二道防火牆之用。

與SSL VPN有深刻淵源
在概念上，UAC首先需要辨識與確認連線使用者身分，並持續注意這個人要到DMZ、伺服器機房、各部門等網段存取資料；即使已經確認身分是真正的使用者時，但以家用、公用或辦公室個人專屬等不同安全狀態電腦連回公司，還是有可能會產生安全控管缺失，例如病毒大量感染，這就是身分管理所不能處理的範圍。

事實上，SSL VPN存取和個人端安全密不可分，IC就是受到與身分管理密切相關的SSL VPN使用所啟發。IC內含Juniper Secure Access SSL VPN的政策和控制引擎。

開放員工使用SSL VPN，使得管理者必須更全盤掌握連入存取的使用者身分、登入的網路區段、存取的應用程式類型，當發現遠端使用者的電腦狀態不符某項安全政策，設備須立即限定只能連線到特定伺服器，不能到其他重要網段。於是，Juniper就以這樣的經驗和概念為基礎，將控管的目標由對外改為對內。使得每一個人不論身處企業內外，要登入網路時，所有的電腦皆須連到IC驗證狀態是否符合政策，設備會把該部不合格電腦轉到某個網段內，等待MIS矯正或使用者自行修補，例如強制Windows Update修補，或安裝/啟用防毒軟體。

連線即自動部署代理程式
IC是UAC架構的主角，它是一套集中政策控管的伺服器硬體設備，同時可以驗證使用者身分和個人端電腦安全政策是否符合。在IC上，管理者可以設定IA、能存取的網路資源以及主機檢查程式（Host Checker，兼具政策強制執行能力），負責將政策部署到IA和IE。

個人端電腦若為Windows平臺，IC會自動將IA部署到個人端，主機檢查程式因為已內建在IA內，可以同時檢查末端的系統登錄檔（Registry），並整合第三方末端安全軟體。如果末端電腦作業系統是MacOS或Linux，則由IC以Agentless方式檢查。IA並不複雜只是一個檔案很小的Java Applet，可以和第三方廠商的產品元件溝通，然後再把資料回傳IC，再由IE執行政策，它只負責溝通個人端電腦與IC之間，無法真正防護用戶端，安全防護還是要靠合作夥伴的個人安全系統執行。文⊙李宗翰