Juniper的網路隔離解決方案UAC(Unified Access Control,統一存取控制)即先前發表的Enterprise Infranet。從名稱上來看,再加上Juniper只參與微軟NAP聯盟和TCG的TNC,可以看出UAC和Cisco NAC的較勁意味。

Infranet一開始源自Juniper所發起的IPSphere論壇,他們想利用Infranet建立橫跨企業網路與電信業者機房之間的IP服務模型,以便處理使用者身分驗證、威脅防護與應用程式派送等管理工作。

UAC架構很單純,只分三種設備或元件,分為控制設備(Infranet Controller,IC)、執行器(Infranet Enforcer,IE)和代理程式(Infranet Agent,IA)軟體,目前Enterprise Infranet只發展到第一階段,執行器涵蓋到ISG及NetScreen 5到5000等八個系列的防火牆設備。和其他大型的網路隔離解決方案相比,Enterprise Infranet的架構單純很多,因為不牽涉路由器、交換器等網路設備,企業既有的網路基礎架構較不受影響。不過,目前防火牆因為是UAC執行政策強制的唯一設備,因此非Juniper Netscreen防火牆的企業假如要導入,除了須購買Infranet控制設備,要新購防火牆取代既有,或作為第二道防火牆之用。

與SSL VPN有深刻淵源
在概念上,UAC首先需要辨識與確認連線使用者身分,並持續注意這個人要到DMZ、伺服器機房、各部門等網段存取資料;即使已經確認身分是真正的使用者時,但以家用、公用或辦公室個人專屬等不同安全狀態電腦連回公司,還是有可能會產生安全控管缺失,例如病毒大量感染,這就是身分管理所不能處理的範圍。

事實上,SSL VPN存取和個人端安全密不可分,IC就是受到與身分管理密切相關的SSL VPN使用所啟發。IC內含Juniper Secure Access SSL VPN的政策和控制引擎。

開放員工使用SSL VPN,使得管理者必須更全盤掌握連入存取的使用者身分、登入的網路區段、存取的應用程式類型,當發現遠端使用者的電腦狀態不符某項安全政策,設備須立即限定只能連線到特定伺服器,不能到其他重要網段。於是,Juniper就以這樣的經驗和概念為基礎,將控管的目標由對外改為對內。使得每一個人不論身處企業內外,要登入網路時,所有的電腦皆須連到IC驗證狀態是否符合政策,設備會把該部不合格電腦轉到某個網段內,等待MIS矯正或使用者自行修補,例如強制Windows Update修補,或安裝/啟用防毒軟體。

連線即自動部署代理程式
IC是UAC架構的主角,它是一套集中政策控管的伺服器硬體設備,同時可以驗證使用者身分和個人端電腦安全政策是否符合。在IC上,管理者可以設定IA、能存取的網路資源以及主機檢查程式(Host Checker,兼具政策強制執行能力),負責將政策部署到IA和IE。

個人端電腦若為Windows平臺,IC會自動將IA部署到個人端,主機檢查程式因為已內建在IA內,可以同時檢查末端的系統登錄檔(Registry),並整合第三方末端安全軟體。如果末端電腦作業系統是MacOS或Linux,則由IC以Agentless方式檢查。IA並不複雜只是一個檔案很小的Java Applet,可以和第三方廠商的產品元件溝通,然後再把資料回傳IC,再由IE執行政策,它只負責溝通個人端電腦與IC之間,無法真正防護用戶端,安全防護還是要靠合作夥伴的個人安全系統執行。文⊙李宗翰


Advertisement

更多 iThome相關內容