微波EDA网,见证研发工程师的成长!
首页 > 通信和网络 > 通信网络技术文库 > 无约束接入控制

无约束接入控制

时间:11-02 来源:小熊在线 点击:
多元接入需求威胁内网安全

在当今企业中,网络已经成为业务的重要组成部分。为提升业务弹性和企业竞争力,目前全球分布式机构通常采用开放式IT系统,为企业内、外的更多用户提供有线及无线网络。与此同时,各类用户的访问需求也不仅限于简单的互联网接入,有时甚至涉及敏感内部数据的访问。于是,随着访问量的增加,企业面临的安全风险也在增高。面对更多用户更多元化的接入需求,企业要求确保员工可以获取重要的业务资源,而外界供货商、客户、访客等也要通过控制妥善的分层式存取联机到网络,确保生产力的有效提升。我们看到,网络周边正在扩展,而这种延伸与扩展,带给企业的除了高效、便捷外,更有层出不穷的挑战与风险。

提到网络安全,人们能够联想到的往往是病毒爆发、黑客攻击等外部威胁,而企业内部员工操作不当、甚至有意进行恶意操作;外访客户或商业合作伙伴在远程工作中感染病毒,然后直接将受感染的设备与网络相连造成网络内部蠕虫感染等内网安全问题却越来越严重地威胁着企业的网络安全。Juniper高新技术销售总监孙希龙谈到,"人们的一个思想误区是,只要将网络出口放上最好的安全设备就可以保证网络内部的安全。而事实是,如果企业不采取有效的接入控制,从局域网接入局域网的用户就会使企业遭受多种威胁。"这种来自内部网络的威胁要求企业必须能够及时发现接入用户,并只允许各种合法用户接入网络,以满足安全性和法规遵从性要求。

三层架构实现统一接入控制

在安全已经步入细化管理阶段的今天,Juniper网络公司的统一接入控制(Unified Access Control)解决方案将用户身份、设备安全性状态信息与网络位置信息结合在一起,为用户制定独特接入控制策略,并通过对用户行为的控制以达到内网安全的需求。据Juniper高新技术销售总监孙希龙介绍,UAC的架构很单纯,只分三种组件:处于其灵魂地位的控制设备Infranet Controler、防火墙执行设备Infranet Enforcer以及客户端软件代理程序Infranet Agencer。与其他网络隔离解决方案相比,它不会对企业既有网络基础架构造成影响。目前的解决方案中防火墙是UAC执行政策强制的设备,不兼容其他厂商防火墙产品。但值得注意的是,Juniper网络公司的统一接入控制(Unified Access Control)是个开放的平台,如果用户网络中没有Juniper的防火墙设备,那么不同厂商的支持标准802.1X的以太网交换机也可以担当执行设备。

UAC解决方案包括"网络接入控制、网络访问控制、网络威胁控制"三个部分。从概念上,UAC首先需要识别和确认访问者的身份,确认其身份是否为真正使用者并确认其接入是否处于安全状态,当发现远程使用者的计算机状态不符合某项安全政策时,设备会限定其只能联机到特定服务器,而不能介入其他重要网段。Juniper的UAC解决方案将控管的目标由对外改为对内,使得要登入网络的用户无论身处企业内外,都需要连接到IC,并验证状态是否符合政策,设备会把不合格的计算机转到某个网段内,等待矫正或用户计算机自行修复。IC(Infranet Controler)是UAC架构的主角,它是一套集中政策控管的服务器硬设备,同时可以验证使用者身份和个人端计算机安全政策是否符合。IA(Infranet Agencer)是客户端软件作为企业代理器,可以和第三方厂商的产品组件沟通,再把数据回传IC,之后由IE(Infranet Enforcer)执行政策。

异构环境昭示更大发展空间

从UAC(Unified Access Control)统一接入控制的名字来看,难免让人将它与其他类型的产品作比较。其实类似的概念出现比较早,而且对用户要求非常高。"它们往往对整网部署有特殊的需求。而现在很多用户建网站都是异构的网络,他不会吊在一个厂商的交换产品上,如果有其他产品的交换机,整套方案就无法制定。"Juniper企业市场经理张东伟这样说。"另外,即使以交换机方式去做内网管理,仅是交换机的改造难度就非常大。访问控制应用在企业内部实施一定是有阻力的,IT人员希望进行有效的管理,但是对于员工来说,他的心态和上网行为已经形成,突然受到管理和约束,肯定有障碍。而方案的实施周期越长,项目就越可能被搁浅。"

作为UAC来说,它是一个公开标准的方案,它不限于单一厂商的产品、不影响客户的后续采购。其次,UAC的部署相对简单快捷,可以允许用户分步实施,而且利用UAC实行灾难恢复也很简便。另外,作为国外厂商提供的产品,UAC难得地支持多元化界面,用户可以选择中文客户端。所有这些优势都将有助于UAC的发展与推广。

最后,Juniper高新技术销售总监孙希龙还向用户建议,在部署UAC实现企业统一接入控制时,应该采取异构网络的开放环境,网络规模不宜过大,大企业则应该分部门、分区域、分步骤进行部署实现。

Copyright © 2017-2020 微波EDA网 版权所有

网站地图

Top