1
企业面临网络安全风险分析
1.1
企业发展现状和趋势
随着网络技术不断发展和革新,以IP网络为代表的开放网络得到越来越多的应用,网络的互连越来越深入和广泛,许多传统型的或者新兴行业的企业都纷纷利用互联网技术,提高企业的生产力,众多的企业核心业务已经可以通过网络进行操作。随着企业局域网规模的不断扩大,企业网络用户的数目和种类也不断的扩张,远程访问的用户,移动办公的用户,合作伙伴,最终用户以及承包商等的主机,都需要接入企业网络进行数据的交换。这样的一个形式,也给企业的网络管理提出了新的挑战,出现了众多的不可管理的或者管理很薄弱的终端主机。比如,合作伙伴,用户或者承包商的主机网络管理员根本无法去管理,即使是企业内部的员工,有很多的移动用户,其终端设备经常被带出企业的局域网之外工作,也给终端主机的管理带来很大的难度。
对于众多的分布式企业,很多都采用了所谓的“数据集中”的方式,将大量的应用服务器集中整合在企业的数据中心,这种方法,在很大的程度上方便了管理,减少了网络管理员的工作量和管理成本,但是,众多服务器的集中部署,也很容易使其成为恶意用户攻击的对象。
1.2
威胁分析
企业的广域网接入,也面临着越来越多的威胁。首先,网络当中的安全漏洞越来越多,黑客已经开始慢慢走向平民化,大众化,各种黑客工具在互联网上轻松可以得到,越来越多的电脑爱好者不断学习各种网络攻击技术,不断发掘各种网络安全漏洞,以目前使用最为广泛的Windows系统为例,微软发布漏洞的周期在大大的缩短,漏洞的数量也在不断的增长。针对微软的漏洞,黑客制造蠕虫的速度也是越来越快,在微软发布其漏洞后两三天后,就会出现针对这个漏洞的蠕虫,如果用户的主机没有及时打上相应的补丁,就将成为这个蠕虫的感染者和传播者。以最近发生的ZOTOB蠕虫泛滥为例,微软于8月9日宣布补丁(星期二);8月11日公布漏洞利用代码(星期四);8月13日蠕虫发起攻击(星期六)。由于蠕虫通过139/tcp或445/tcp蔓延,因此,如果不损失Windows环境中的某些功能,端口不可能得到防火墙的保护。这意味着即使只有一台受感染的笔记本进入企业内部,所有其他设备也将被感染。企业的损失是巨大的。
传统的安全解决方案,绝大部分的防护措施都是部署在网络的边界处,这里有个假设,就是内网的用户是可信的,但是从越来越多的危险来自可信的网络,据统计70%以上的网络攻击行为是来自企业内部,其危害的程度也大大超过了来自互联网的攻击。内部用户的恶意攻击,蓄意报复,甚至是不经意的误操作,都会造成企业核心敏感信息的破坏和泄漏。
1.3
已有安全方案分析
网络安全的建设已经成为目前企业网络建设的一个重要的组成部分,众多的企业用户采用了不同的安全解决方案,来减少系统的安全风险。如采用了防火墙的解决方案,对网络层的攻击进行阻挡,并且进行相应的访问控制;采用入侵防范设备,对针对核心资产的应用层攻击实施阻挡;采用防病毒解决方案,避免企业内部的服务器和终端遭受病毒和蠕虫的感染;采用补丁管理解决方案,提高主机和服务器的健壮性;采用身份认证(AAA)的解决方案,对不同的用户进行认证、授权和记帐。这些相应的解决方案,在很大的程度上降低了企业的安全风险,抵御了企业网络面临的部分威胁,也减少了因为爆发安全时间造成的损失和影响。
但是我们发现,这些解决方案看起来更像是一些单点的安全解决方案,并没有针对企业网络的实际情况做一个很好的整合,其中很多的安全技术,也没有得到很好的强制实施,如经常出现用户终端没有及时的更新防病毒软件特征,没有更新最新的补丁软件,造成终端主机感染病毒或者遭受攻击;个别用户也可以巧妙的通过更改IP地址,方便的绕过防火墙,访问未经授权的资源等等。
1.4
风险分析
事实上,目前企业网络的边界已经变得越来越模糊,仅靠网络边缘的外围设备已无法保证企业网络的安全性。边缘安全措施无法保护内部网络段,也无法替代主机安全措施。目前的企业用户仍然面临着很大的安全风险。
即便企业运行着防火墙等网络周边安全机制,病毒和电子邮件蠕虫、特洛伊木马、拒绝服务攻击和其他恶意行为仍频繁利用无法安全管理或者管理薄弱的最终用户设备渗入企业环境。
即时消息传递(IM)或对等间应用(P2P)等新技术也带来了新型威胁,新型威胁可以完全绕过网络周边的安全设备,企业力求通过策略控制这些技术的使用,但此类策略在传统网络中几乎无法执行。
面向公众的服务器或者移动用户,必定会频繁遭受各种类型的攻击。而且,这些威胁和安全漏洞比想象的更难以觉察、更加危险——移动代码可以通过安全的(但可移动的)PC进入网络,也有可能直接由内部的主机发起。
2
企业需要统一的访问控制解决方案
基于我们对目前的企业局域网络的分析,数据访问基本上可以分为五种:
企业园区内的访问,处于企业网内部的员工、合作伙伴、承包商、访客等的终端主机,直接接入企业的LAN内部,进行数据的交换。通常我们假设内部网络是安全的,可信的,但是,就目前的情况来看,我们很难去真正实现。
对数据中心和服务器区的访问,企业的数据中心和服务器区可能包括WEB服务器,EMAIL服务器等,是安全性较高的区域,一般都会部署相应的安全防护策略。存在漏洞的服务器,可能会被每个用户访问。
分布式企业的访问,企业用户可能在不同的地方有自己的办公分支,对于这些分支节点,由于距离的原因,对分支节点的终端很难做到统一的管理,也缺乏控制。
互联网的访问,企业网络的互联网接入,必然会使内部的一些脆弱的主机,遭受到来自外部的攻击和感染,如感染病毒,蠕虫,被植入后门,间谍软件,恶意软件等等。
企业扩展远程用户的访问,处于企业网外部的员工、合作伙伴、承包商、访客等的终端主机,通过广域网VPN连接,进入企业网内部,进行数据的交换。这里的威胁主要包括网络和应用层的威胁会直接的带入到网络内部,而内部的核心数据,可能会被窃取带走。
上面的五种不同的访问方式,我们都需要一个更为全面的网络访问控制和终端控制,需要基于用户标识,网络标识,以及用户终端安全状况的统一的访问控制解决方案。对于第五种的访问,企业扩展远程用户的访问,我们采用SSL VPN来实现,对于前四种的访问,我们采用UAC的解决方案。
3
Juniper的解决之道
3.1
Juniper Infranet架构
企业的目标是通过使用开放标准,在限制用户、增强并扩展现有网络周边安全措施、以及确保长期兼容性之间实现均衡。企业必须在实现这个目标的同时,确保以可靠的方式交付业务和应用。Juniper Infranet架构的目标就是为企业提供一个安全的有保证的网络,,我们必须通过使用控制、威胁控制和交付控制等多种方式进行总体控制。此类结构使企业能够不再机械地应对每个事件,而是创建确实构建在基础设施中的持续遵从制度和执行策略的网络。
3.1.1
使用控制
使用控制综合考虑用户、端点和资源后决定允许或拒绝哪些使用。使用控制远远超越了第2层的范围,必须涵盖整个虚拟网络和基础设施,包括防火墙、Web过滤、授权和目录库以及网络登录等。这个企业Infranet解决方案结合了使用控制的所有单元,包括端点防御。在此,解决方案将评估主机的制度遵从情况;对违规主机进行修复;并为用户、端点和会话角色以及网络资源/应用动态分配会话特定的接入权限。
3.1.2
威胁控制
威胁控制必须不局限于基本端点保护的范围,扩展到整个网络以及对网络流量的分析,包括防火墙上的深度检测以及检测和抵御入侵的能力。威胁控制还影响使用控制,因为它能够从允许的接入中检测出恶意内容并将其清除。Juniper的企业基础设施将网络周边最佳的深度检测防火墙与获奖的入侵检测与防护(IDP)产品结合在一起,能够提供这种保护功能。这种结合以及防病毒功能集成,可以对无论是移动员工或不可管理PC无意间从网络外部带来的攻击,还是来自于网络内部攻击。提供全面的防护。
3.1.3
交付控制
安全的交付常被认为是理所当然,但实际上,它是必须构建在基础设施中才能确保成功的关键组件。交付控制确保应用的安全交付;包括性能、服务质量(QoS)、MPLS、虚拟专网(VPNs)、高可用性及最佳路径选等。Juniper网络公司提供业界领先的防火墙/VPN平台以及企业路由产品(这些产品与被全球顶级服务供应商广泛使用的Juniper骨干路由器提供许多相同功能),可确保安全的交付控制。
3.2
企业Infranet UAC解决方案
企业Infranet是一个架构,UAC(统一的访问控制)就是针对这个架构的解决方案,这个企业Infranet实施将Infranet的概念从运营商扩展到企业级别,结合了现有的网络以及网络安全技术(许多技术已被部署)与能够同Juniper和第三方技术有效互操作,从而生成了基于标准的、可扩展的、经济高效的网络。
Juniper
Infranet架构的基础是使用、交付和威胁控制。用于实现统一接入控制的企业Infranet解决方案是以使用控制为出发点的,它是确保即时获得成功的最关键的元素。使用控制已是Juniper网络公司市场领先的SSL VPN产品的主要组件,该产品设计用于在会话前和会话中提供端点评估,确保严格的验证/授权,利用现有基础设施,动态创建会话特定的角色和应用极细粒度的资源策略等。这项功能原本用在企业扩展用户的远处访问,现已扩展到整个企业网络,使用Infranet控制器将策略的可视性与现有执行点连接在一起。Infranet控制器(IC)通过Infranet代理与Infranet执行点通信。这些组件结合在一起,在现有企业基础设施上创建了业务控制层,将端点/用户智能与网络和应用智能集成在一起,以确保自适应的、细粒度的使用控制级别。提供威胁控制和交付控制的其他组件也可以集成到这个解决方案中,无需对现有基础设施进行升级。当用户第一次登录IC时,IC将动态下载Infranet代理(IA)。IA是轻量级软件代理,确定端点是否遵从企业安全策略,类似于Juniper的SSL VPN主机安全检查。与主机安全检查相同,IA可配置用于检查预定义的和自定制的标准,包括主机上的运行程序、开发的端口、申请人的真实性、第三方安全软件应用的存在/版本等。如果发现用户因缺乏端点安全应用(如防病毒或恶意软件防护以及缺乏相关的数据文件或设置等)引发的违规行为,它将把用户发送到修复站点- 无次数限制,也无需中断运行。动态设置的IA还提供可选的认证和加密传输,以便在必要时强制执行网关策略。
Infranet代理收集的信息随后被传送回Infranet控制器。控制器拥有自己的策略和控制引擎,并通过验证服务器以及身份和授权目录库提供无缝通信。控制器随后基于用户验证结果和对设备安全特征的实时检查结果,授予用户会话特定的网络接入权限。将Infranet代理和控制器结合在一起,能够有效防止违规主机连接企业网络,并对企业网络流量提供使用控制。
3.3
UAC方案的组件
3.3.1
网络控制器(Infranet Controller)
网络控制器(以下简称为IC)作为整个UAC解决方案的核心组件,担负着对内部用户进行统一的身份认证,统一的访问授权和策略下发的任务。
3.3.1.1
策略的统一配置
IC统一定义了对用户终端安全检测和访问控制的一系列策略,可以针对不同的用户,配置不同的客户端安全检查策略,包括防病毒软件安装与更新检查策略,补丁更新策略,个人防火墙检查策略,恶意程序检测策略等。同时可以定义对不符合安全策略终端的修复,如重定向访问终端到防病毒服务器、补丁管理服务器等,也可以直接杀死客户端的某个恶意进程,删除某个恶意文件等。
3.3.1.2
用户登陆
网络集中控制器采用WEB的方式提供给终端用户进行认证。终端用户可以通过在浏览器中输入https://<IC的IP地址>这样的方式,访问IC,输入个人的账号信息,以便进行身份认证和授权。
管理员可以自由调整用户登陆系统的标识与详细界面的外观,以符合企业文化的需要,如,可以修改登陆界面的LOGO,更换为企业本身的LOGO,更换登陆界面的颜色,提示文字等等,也可以嵌入公司的自定制Web页面。
并且可以可以对不同的用户组实现不同的登陆界面和URL。
3.3.1.3
动态的身份认证
IC系统支持全面的身份认证解决方案,其本身可以作为企业内部网络的身份认证服务器,同时IC系统还可以利用您网络当中已有的AAA服务器,支持多种认证服务器系统的整合,如RADIUS、LDAP、Windows NT Domain、Active Directory、UNIX NIS、dual factor认证,包括ActivCard ActivPack™、RSA SecurID®和Secure Computing SafeWord™
PremierAccess™,IC系统也支持数字证书的使用,可以单独的利用客户端的数字证书对用户身份进行验证,从而避免了输入用户名/密码的麻烦。
IC系统不仅仅考察客户端主机的用户标识,即不但但把用户的用户名、密码和其他的身份属性作为认证的唯一标准,同时还通过获取客户端的其他的信息,也作为认证的因素之一,这些信息包括:客户端的IP地址、安装的数字证书及其相关的属性、终端安全状况、操作系统类型、浏览器类型等。
IC系统还支持与认证服务器的密码管理功能的整合,即用户登陆后,IC系统可以提供相应的界面,来允许用户修改AD,LDAP,Radius等认证服务器的密码。
3.3.1.4
动态的访问授权
IC系统支持全面的细粒度的访问控制授权机制,真正实现了关联用户的帐户标识,网络标识和终端状况的动态控制。
IC系统可以通过多种要素对用户身份进行认证,包括用户身份的相关属性(如用户名,组等)、源地址、网络接口(内/外)、证书、节点安全状况检查、浏览器、操作系统等,IC系统可以根据这些内容的不同,将登陆的用户划分为相应的角色,并且基于角色实现授权,每个角色具有针对不同应用资源的不同的访问权限。
另外,IC系统对上述授权依据信息的获取都是一个动态的过程,系统可以定时的检查客户端的相关信息。如可以定时的检查客户端的防病毒软件是否开启,如果用户在使用过程中关闭了防病毒软件,系统可能会因此在用户的访问过程中改变该用户所属的角色,可以强制将该用户退出系统,或者重新为该用户分配相应的权限。这样的话,就实现了一个动态的访问规则的控制,也保证了用户实时的策略遵从性。
3.3.1.5
访问权限下发
用户在控制器上正确登陆认证后,会得到IC系统分配的相应角色的权限,这些访问权限作为策略,可以自动下发到网络中指定的多个执行器上或者客户终端的个人防火墙上,而无需人工进行干预。
Netscreen防火墙作为IC系统的主要的控制器,IC上配置的策略可以自动的下载到防火墙上,动态的对防火墙的策略进行更新,用户登陆到IC后,防火墙会自动的为该用户打开授权的通道,允许用户进行相应的访问,用户退出IC系统后,防火墙会自动关闭这个通道。在Netscreen防火墙上的策略执行包括两种,基于源地址的访问控制策略和基于IPSEC的VPN访问策略。
3.3.1.6
系统管理功能
IC系统支持基于角色的管理员授权机制,不同的管理员具有对不同模块的管理功能,不同的读写权限。
IC系统对不同的管理员用户进行策略的匹配和相关的权限的分配,确定管理员角色的因素包括用户名、用户属性、客户端IP地址、客户端证书、证书属性、节点安全状况、浏览器等等;管理员从权限上也可以划分,可以分别设定对于不同的模块是否具有管理功能,如不同的用户组,不同的认证服务器,不同的系统模块等,同时对该模块的管理也可以设为超级用户、只读用户等多种。
IC系统可以生成详细的日志信息,这些日志信息可以在本地保存,也可以传送给相应的SYSLOG服务器,由于SSL信道和认证子模块可以对客户端和服务器终端进行检查,并且记录下相关的信息,我们可以用这些日志进行审计。管理员通过IC系统的日志管理器或者SYSLOG日志服务器,可以得到丰富的用户访问和系统状态信息,如用户的登入,退出,身份认证结果,连接超时,用户主机安全检查状况,系统自身配置改变,系统状态等。同时可以利用日志管理器提供的过滤搜索功能,方便的查找出你想得到的信息。
3.3.1.7
系统安全性
IC系统本身具有足够的安全性,通过TruSecure, Cryptography
Research 和iSec 等国际权威安全机构的安全认证,系统本身数据采用AES加密的保存方式,只有本身的应用才可以正确的读到这些数据。
IC系统采用了优化的Linux内核和额外优化的服务器软件的加固硬件系统,该系统被设计成可以抵御针对系统的攻击和针对通过该系统数据的攻击。系统可以通过只运行完成关键任务的服务来防止攻击,这些关键的服务在开发时就进行了安全加固,确保系统的安全性.系统不运行通常的用户和程序服务,因此不会导致针对这些服务的攻击。系统不允许管理员创建、维护系统级的用户帐号。因为没有交互式的Shell和打开的系统帐号,潜在的入侵者无法尝试利用脆弱的口令、缺省帐号或遗弃的帐号对系统进行非授权的访问。
IC系统内部采用了内核级别的包过滤机制,利用预定义的一些规则,对进入系统的数据包进行判断和检查,保证了只有合法的数据包才可以进入IC系统。
3.3.2
客户端代理(Infranet Agent)
客户端代理软件安装在用户的终端计算机上,用户通过终端代理软件,实现面向IC的身份认证,信息搜集和自身访问策略的加载。
3.3.2.1
自动的客户端软件的安装
对于终端管理方案,管理员最为头疼的问题就是终端进行软件的安装,Juniper UAC解决方案采用了客户端代理软件自动安装的方式,无需管理员逐一的对客户端的主机进行软件的预安装,极大的减少了管理员的工作量。终端用户通过WEB方式登陆到网络控制器后,就可以实现自动的下载,自动的安装。
IA软件的安装也可以采用其他的方式,如采用分发的形式进行预安装,也可以采用Juniper 安装服务的方式进行统一的安装。
3.3.2.2
跨平台的支持
Juniper
IA客户端代理软件提供跨平台的支持,可以支持目前主流的操作系统,如Windows XP SP1/SP2,Windows 2K,Mac OS ,Linux等,用户终端无论采用上述的那种系统,都可以轻松的接入到UAC的解决方案当中,进行统一的访问控制。
另外,对于Windows XP、Windows 2K系统,IA提供了更为全面的功能,如可以支持在Windows 域环境下对网络控制器的单点登陆,在管理员采用域认证服务器对IC进行认证的情况下,用户在登陆域的同时,也可以自动的登陆到IC系统当中,无需两次输入用户名和密码。IA也充分的利用了Windows 平台的IPSec功能,通过配置,IA可以自动的与网络当中的IE(Netscreen 防火墙)之间建立IPSec VPN通道,在内网直接实现封装、加密的安全传输,保证了敏感的数据即使在内网也可以不被人窃取和侦听。
3.3.2.3
客户端安全检查
以前通用的解决方案,注重了网络级的安全建设,核心的保护措施都部署在网络边界处,而忽视了终端的安全性,Juniper 的UAC解决方案有效的将终端与网络和应用访问结合在一起,我们认为,终端的概念不仅仅包括这台主机的网络IP地址,登陆的用户的信息,也包含该终端主机的整体的状态,如安全状况,操作系统等等信息。对于一个企业网络,我们都有一个整体的安全策略和规范,只有符合这个安全策略的用户和主机,他的接入才不会影响整体网络的安全性。
Juniper的IA客户端代理软件,可以对接入节点的安全策略进行检查,并且通知IC,根据检查的结果,实施相应的访问控制。IA检查的内容可以包括客户端的防病毒软件,个人防火墙软件,恶意程序保护软件,间谍软件防护等,以及他们的更新情况。
目前来讲,就终端安全检查方面,国际最为著名的标志为TNC。
TCG-TNC标准
可信计算集团(TCG ,Trusted Computing Group)是一个编写NAC标准的行业集团,其目标是促进多厂商互操作性。该集团也拥有自己的NAC方案。可信网络连接(TNC)规定了厂商用于TNC架构的各类设备上的产品接口。TCG将NAC定义为一种“能够在端点连接至企业网络的过程中应用和执行各类安全要求的开放的、非专用的规格。”可信网络连接技术TNC(Trusted Network
Connection)是建立在基于主机的可信计算技术之上的,其主要目的在于通过使用可信主机提供的终端技术,实现网络访问控制的协同工作。又因为完整性校验被终端作为安全状态的证明技术,所以用TNC的权限控制策略可以估算目标网络的终端适应度。TNC网络构架会结合已存在的网络访问控制策略(例如802.1x、IKE、Radius协议)来实现访问控制功能。
Juniper
UAC 解决方案可以全面支持TNC标准,可以与Symantec, McAFee,
IBM,PatchLink等安全厂商做紧密的结合,从而来判断终端安全性。
同时,Juniper提供大量的预定义安全检查策略,如果预定义的策略中包括了网络中部署终端安全软件,管理员可以直接利用这些策略对登陆的主机进行评估。预定义的策略包含了下面的产品,并且名单处于不断的更新中。
防病毒厂商 Authentium, BitDefender,
AVG, Clamwin, CA, Dr Web, Symantec (Norton), McAfee, Panda, Sophos, F-Secure,
Kaspersky Labs, Zone Labs, SBC Yahoo AV, Trend Micro, Antivir, F-Prot, Nod 32
个人防火墙厂商: ISS, Microsoft, Symantec
(Norton and Sygate), McAfee, Zone Labs, Tiny Software (CA)
防间谍软件厂商: Lavasoft (Ad-aware),
Computer Associates (Pest Patrol), McAfee, Prevx, Webroot (spy sweeper),
PCTools (spyware doctor), Java cool software (spyware blaster), Microsoft,
Trend Micro, Bulletproofsoft, Spyware begone, SBC Yahoo
对于目前还没有进行预定义检测策略,系统也支持强大的自定义功能,可以检测的内容包括:
注册表参数检查
开放/不允许的 ports检查
允许/不允许的进程检查
允许/不允许的文件检查
检查定制的dlls
对第三方软件实施心跳检查
应用认证检查 (进程, 文件 MD5 Hash)
Juniper解决方案当中,客户端的安全检查是包含在用户登陆前,登陆后的各个阶段,可以实时的获得用户的主机状态,并且根据状态进行实时的授权。当用户在通过认证后的网络访问过程中,主机的状态发生变化(如防病毒软件关闭),那么他的相应的权限也有可能发生变化。
系统对于不符合安全策略的客户端,提供了自定义的修复功能,比如对于没有安装防病毒软件或者病毒软件没有及时更新的主机,可以采用将其重定向到病毒更新服务器方法,强制其进行更新;对于没有对操作系统进行足够补丁的主机,可以重定向到补丁服务器;对于存在恶意进程的主机,可以采用杀死该进程或者删除文件的修复方法等。
3.3.2.4
个人防火墙
Juniper
IA客户端代理当中,包含了一个个人防火墙的功能(Host Enforcer),通过个人防火墙,可以实现了针对各个终端的连接访问控制。可以阻止终端直接的互相的恶意访问,病毒和蠕虫的传播等等。个人防火墙上的策略由管理员统一进行配置和策略下发,即使该终端的用户没有到IC上进行认证,个人防火墙功能依然可以生效。
3.3.3
网络执行器(Infranet Enforcer)
网络执行器是指部署在网络当中的网络接入设备和网络安全设备,这些设备可以执行来自IC的统一的策略,对特定的用户的网络访问进行控制。目前UAC解决方案中的执行器包括Netscreen系列安全产品,如防火墙、入侵防护、应用前端系统等,也包括支持标准的802.1x协议的交换机和无线接入设备等等。
3.3.3.1
防火墙
Juniper网络公司的防火墙产品Netscreen系列集成安全产品是执行关键安全功能的专用产品,优化用于最大限度地提供性能,由安全性特定的实时操作系统ScreenOS所控制。这个操作系统从一开始就设计用于以低成本执行安全功能,而且不像依赖通用操作系统的其他安全产品那样容易生成安全漏洞。通过性能和接口密度各不相同的广泛平台,Juniper网络公司防火墙产品可满足中小企业、大型分布式企业及服务供应商的许多需求。这些集成产品提供网络和应用层保护、虚拟专网(VPN)功能和拒绝服务(DoS)防护功能。Juniper防火墙作为深层检测防火墙,扩展了状态检测功能,能够检测应用层攻击并在网络周边阻断它们,集成入侵防护针对企业、运营商和数据中心环境的蠕虫、特洛伊木马、间谍软件和恶意软件提供无与伦比的应用层保护。Juniper防火墙基于策略的集中管理简化了部署和全网络升级工作,从而最大限度地减少了忽略安全漏洞的几率;虚拟技术允许管理员将网络分成多个安全区域以实现进一步的保护,固有的高可用性特性允许成对部署产品以消除单点故障,快速部署特性帮助最大限度地减少重复工作以及因大规模部署带来管理负担。
Juniper防火墙的全线产品,包括原有的Netscreen系统防火墙,SSG和ISG系列安全网关,都可以作为UAC解决方案中的网络执行器使用,通过IC进行统一的策略配置,将各个用户的不同的权限策略下发到网络中的任何一台防火墙上,实现了针对用户的网络层的访问控制。
3.3.3.2
交换机和无线接入点
Juniper
UAC解决方案支持标准的802.1x协议,支持这个协议的内网的交换机设备和无线接入设备都可以作为Juniper解决方案当中的网络执行器。
802.1x协议起源于802.11协议,后者是标准的无线局域网协议,802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。现在已经开始被应用于一般的有线LAN的接入。为了对端口加以控制,以实现用户级的接入控制。802.1x就是IEEE为了解决基于端口的接入控制(Port-Based Access Control)而定义的一个标准。802.1X的认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证成功那么就“打开”这个端口,允许文所有的报文通过;如果认证不成功就使这个端口保持“关闭”,此时只允许802.1X的认证报文EAPOL(Extensible Authentication
Protocol over LAN)通过。
1.
从Juniper的解决方案来看,用户终端接入交换机设备,物理网线连接。这个时候用户没有得到IP地址,没有任何的IP访问权限,只允许802.1X的认证报文通过。
2.
交换机检查用户终端是否含有802.1X的客户端,如果没有,则将其分配到guest VLAND当中,获得该VLAN的IP地址,与IC实行了路由的可连接,用户可以登陆到IC上,自动的下载和安装相应的IA客户端软件。
3.
安装了客户端软件的主机,可以利用802.1x认证客户端进行身份认证。向交换机发送身份信息和主机的安全检查结果。
4.
IA客户端对用户的主机进行安全检查,通过认证的主机如果不符合企业的安全策略,交换机会将其分配跟修复服务器同一个VLAN中,自动的重定向到修复服务器进行修复。
5.
如果认证的主机符合企业的安全策略,交换机会将其分配到内部网络的VLAN,与内部的服务器之间实现路由可达,只要用户具备相应的访问权限,即可以进行针对服务器的数据访问。
3.3.3.3
入侵防范
Juniper网络公司入侵检测与防护产品(IDP)可以为企业用户提供全面易用的串联保护措施,能够在网络层和应用层攻击产生任何实际损害前终止它们,从而最大限度地缩短与入侵相关的时间,避免攻击造成的损失,降低管理成本。JUNIPER IDP系统支持多达八种的攻击检测的手段,如状态签名,协议异常,流量异常,二层攻击,泛洪攻击,网络蜜罐,后门检测和欺骗攻击等,并且可以通过八种技术相结合的方式进行检测。其中后门检测和网络蜜罐更是JUNIPER IDP独有的技术,与其他产品仅有签名检测,协议异常,泛洪攻击几种方式相比,检测的手段更加丰富,检测攻击的种类更多,准确率更高。Juniper公司拥有专业的安全团队,同时与CERT,微软,CVE等安全组织和厂商拥有良好的合作关系,提供了业界唯一的每日的攻击特征更新(大大高于一般安全厂商提供的两周的更新频率),支持当天对微软软件漏洞提供防护,保证了可以在最早的时间检测到最新的攻击,目前Juniper-IDP系统当中已有的攻击特征已经超过了4000种。能够提供Zero-Day防护,以抵御针对蠕虫、特洛伊木马、间谍软件、键盘记录和其他恶意软件,防止它们穿过网络或通过已被感染的用户扩散到其他用户。Juniper网络公司IDP不仅帮助抵御网络攻击,还能提供关于擅自添加到网络中的流氓服务器和应用的信息。能够了解添加到网络中的对等间或即时消息处理等非法应用,可帮助管理员更轻松地执行安全策略并遵守公司应用规则。Juniper网络公司IDP采用基于规则的集中管理方法,对系统行为进行细粒度控制,并支持轻松接入广泛的日志及可全面定制的报告。 Juniper网络公司IDP是保证关键信息资产安全性,对网络威胁进行控制的最佳工具。
Juniper的IDP入侵防范系统的全套产品线,包括IDP50,200,600和1100,以及带有专用IDP模块的Netscreen ISG防火墙,都可以作为UAC解决方案中的网络执行器,通过统一的策略配置,可以对指定的用户的流量进行3-7层的流量控制,尤其是在应用层的流量控制方面,如BT下载,MSN,以及其他一些P2P流量,即时通讯等,有着网络层设备(如防火墙)无法完成的作用。
3.3.3.4
应用前端
Juniper 网络公司 DX 系列应用前端平台,可在易于管理且非常灵活的平台内为企业的WEB服务器提供前所未有的应用性能、安全性和可用性。
利用 Juniper 网络公司 DX 系列应用加速平台,通常可使访问业务关键应用的时间缩短一半 - 极大地提高应用可用性和可接受性,尤其对远程和分支机构用户更为有效。DX 平台可实时优化并压缩所有发出的 Web 数据,而且时延几乎可以忽略不计。内容忠实性得以维护,确保 Web 内容一直都可以百分之百地精确再现;无论用户处于什么位置,采用何种网络连接,都可极大地降低带宽使用,用户也能够体验到更加快速的页面加载。可选的 3G 缓冲功能可进一步改进用户响应时间,消除关键的服务器,以提高可扩展性和性能。
Juniper DX 平台还可作为传输代理来管理服务器与用户间的所有连接和请求,提高 Web 和应用服务器的容量。所有 DX 平台都可最大程度利用可用的服务器和网络资源,使 Web 服务器 的 CPU 可用于其他任务,最多可使 Web 和应用服务器的容量增加 10 倍。
DX
的“内部防火墙”功能可补充现有的安全设备,进一步保护关键传输区域中的“Web 层”免受潜在的 TCP 和 HTTP/Web 恶意攻击;支持 Web 的应用就位于这一区域内。Juniper DX 可利用现有的 RADIUS 和 LDAP 基础设施对用户进行验证,并能够提供请求前的授权。DX 平台还可保护数据和连接,保护服务器免受 DOS 和 SYN 泛滥攻击;该平台还可提供基于本机 HTTP 协议通信的特殊安全功能,以实现强大、灵活且可适应的安全功能。
Juniper的DX应用前端系统通常部署在企业的重要的WEB服务器之前,作为UAC解决方案中的网络执行器之一,他可以对用户终端通向WEB服务器的所有的应用层流量启动控制功能,如可以控制某个用户访问的URL,访问的WEB内容等等,起到了一个应用层防火墙的作用。
3.4
UAC方案流程分析
Juniper
UAC的统一访问控制解决方案部署简单易用,如果网络当中已经部署了防火墙设备,终端安全保护软件(如防病毒,补丁管理),身份认证系统(AAA),只需要再添加一台Juniper IC设备,作为整体的用户认证和访问策略的管理,我们就可以充分的利用已有的网络安全建设,结合IC的策略管理,完成统一的访问控制。
UAC的解决方案对最终的用户是透明的,终端电脑无需预先安装客户端软件,利用IE对访问重定向的技术,终端用户也无需主动到IC上进行认证,方便了最终用户的体验,
下面的图例是一个典型的UAC方案的部署,在内部网络当中部署了Netscreen ISG2000防火墙最为网络执行器(IE),对核心的服务器资源进行保护;部署了微软的Active Directory,做为AAA认证服务器。
1.
终端用户发出请求,要访问Netscreen ISG2000防火墙保护的核心服务器,由于防火墙的规则配置要求只有通过IC认证的用户才可以访问这些服务器,该用户的请求被阻挡。
2.
终端用户的请求被Netscreen ISG2000防火墙重定向到IC的认证界面。
3.
IC通过SSL的方式向终端主机传送IA,利用ActiveX或者Java的方式从IC的登陆界面中对客户端自动安装IA软件。用户只需要在第一次登陆IC的时候安装IA软件,以后无需再次下载安装。
4.
IA软件对客户端的状况进行检查,如果与IC中定制的安全策略不相匹配,则将用户重新定向到相应的修复服务器,进行客户端安全软件的修复。
5.
客户端利用IA向IC进行身份认证,输入相应的用户名和密码。
6.
IC将用户名和密码信息传送给AAA服务器,进行认证,从AAA认证服务器上得到用户的相关属性信息,如组等。
7.
IC根据这些信息,判断该用户的权限和指定的安全策略。
8.
IC将该用户的访问权限,以SSH/SSL的方式下发到网络中的执行器,该例中策略将会下发到Netscreen ISG2000防火墙,
9.
IC上设置的个人防火墙策略也会下发到IA上。
10.
由于在防火墙上已经有了相应的权限,该用户可以穿过Netscreen ISG2000访问其后保护的核心服务器。
3.5
UAC方案的使用环境举例
统一的访问控制解决方案,适合于不同的网络环境,下面我们将简单描述一下扩展企业、分布式企业、WAN网关、数据中心和园区网LAN的统一访问控制解决方案,这些方案可能会组合在一起,应用到某个用户的实际环境当中。
3.5.1
面向扩展企业的企业Infranet
对于扩展企业,远程用户的接入,我们建议采用Juniper的安全接入SSL VPN平台实现统一的访问控制。通过Network Connect网络层接入方法实现将IPSec传输的高性能与SSL的易用性结合在一起,构成了自适应传输模式,可确保在每个网络环境中实现连接。Juniper的核心无客户端Web接入方法仍然是业界的最佳标准,支持基于多种WEB应用,包括复杂的XML的内容和Flash内容,并为Java applets提供单独的交付平台,对于只使用WEB平台作为内部应用的网络,提供了更为安全,更为方便的解决方案。此外,Juniper使用最佳的第三方安全应用,终端的安全检查等机制,为每个会话应用最新的保护和控制。
3.5.2
面向分布式企业的企业Infranet
使用控制和威胁控制可轻松应用于分布式企业。客户通常在这些位置部署小型防火墙/VPN,如Juniper网络公司NetScreen-200产品家族或者SSG系列安全网关。用户通常从不安全的网络或使用不可管理的端点进入分支办事处,然后通过站点间的IPSec隧道直接接入企业LAN。Juniper的NetScreen防火墙现已提供深层检测和防病毒检测特性,因此,已经能够牵制某些威胁。UAC的解决方案可通过适当策略使分支办事处的防火墙能够用作Infranet执行器,允许连接前先检查用户的策略遵从情况,从而消除安全问题的主要来源。
3.5.3
面向WAN网关的企业Infranet
使用不可管理的或违规端点接入互联网的用户,通常也是网络安全的一个薄弱环境。Juniper业界领先的ISG防火墙/VPN用于处理WAN网关中常见的千兆级流量,并对流量进行深层检测。此外,ISG现已提供集成的入侵检测与防护(IDP)模块, 并且也可以作为Infranet执行器之一。除了千级兆的吞吐量外,IDP模块还将添加其他的重要安全特性,如L7检测、间谍软件和shell码防护等,并同时考虑客户端到服务器以及服务器到客户端的流量。当用作Infranet执行器时,这些平台将把其独特的安全特性与传统的控制及网络流量可视性结合在一起。用户终端在想要访问互联网时,必须首先接受IC的认证和检查,比如其防病毒软件的安装和更新状况,其操作系统补丁情况,只有通过了正常的身份认证,并且符合了企业的安全策略,足够健壮的客户端,才可以去访问互联网,这样的客户端可以避免受到来自互联网恶意网站,恶意程序的侵袭,保证了内网的安全性。
3.5.4
数据中心的企业Infranet
数据中心是也要网络的一个重要的安全领域,一般情况下,企业采用防火墙对数据中心进行保护,防火墙的保护措施只能是基于地址和端口的访问。然而,当防火墙用作企业Infranet执行器时,就可以结合多种因素,全面保护敏感资源和应用。已通过评估和验证的端点可以接入数据中心,其他没有经过认证或者端点安全性不够的主机,不能穿透防火墙与数据中心的资源进行通讯。这样,通过屏蔽不可管理的或违规端点,Juniper网络公司企业Infranet可在无需替换任何基础设施的前提下,更好的实现了数据中心的安全性。
3.5.5
园区网LAN的企业Infranet
扩展企业中的用户通常通过登录SSL VPN进入内部网络,因此是经过验证的安全用户,但园区网LAN中的用户通常不需要这样做,可以直接接入到企业的内部网络,给企业网络带来了不少的安全隐患。企业Infranet改变了这个情况。部署了UAC解决方案以后,尚未安装Infranet代理的用户在登录LAN时,必须到企业的门户页面寻求支持。这个门户页面将用户连接到Infranet控制器并自动下载Infranet代理软件。代理评估端点安全性并对端点进行验证,以确定它们是安全的,或将不安全的端点发送至修复页面。代理配置用于对整个会话定期进行此类检查,以确保一致的安全性。对于已安装了Infranet代理的用户,日常登录程序保持不变。
3.6
UAC方案优势分析
Juniper的UAC解决方案的优势在于:
Juniper UAC解决方案实现了集中统一的认证、授权管理,管理员不在需要费尽脑汁去配置网络中的各个设备,去完成相应的访问控制机制,所有的安全策略都由IC统一的进行配置和下发,无论对于安全策略的定义、执行还是故障排查,都提供了很大的方便性。
Juniper UAC解决方案充分利用已有的网络安全建设,将各个孤立的解决方案实现最佳的融合。UAC将内部网络的防病毒解决方案,补丁管理解决方案,身份认证解决方案,网络访问控制解决方案结合在一起,实现了对终端安全方案的强制执行,不符合终端安全策略的用户,将会在网络访问中受到限制,对网络访问的方案增强到基于网络标识、用户标识和终端状况等因素的集中授权。
Juniper UAC解决方案支持公开的标准,是一个兼容性很强的解决方案,通过对802.1x的支持,所有支持标志的802.1x的交换机和无线接入设备,都可以作为UAC方案当中的执行器,如Cisco, Huawei, Foundry,
3Com等;通过对TNC标准的支持,UAC解决方案可以与更多的终端安全产品开放接口,实现网络控制和终端安全的完全互操作。TNC组织的成员包括Symantec, IBM, McAFee,
PatchLink等。通过对标准的支持,用户可以充分利用已有的网络设备和安全软件,即使没有某一个解决方案,也不必担心会被某个单一厂家绑定,完全可以在同类产品当中选择最优的方案。
Juniper UAC解决方案可以分阶段的方案部署,第一阶段,利用网络中部署的防火墙设备,完成3层的内网统一访问控制,这种方式部署简单,易用,不需要客户端的手工安装,部署时间只需要半天左右。第二个阶段,利用网络中的支持802.1x的交换机和无线接入设备,实现二层的网络准入控制,同时融合3-7层的网络访问控制,实现完全的内网统一访问控制
Juniper UAC解决方案实现了真正的安全性,可以含盖所有的用户情况,无论是可管理的,没有管理的还是不可管理的主机,同时对终端操作系统实现跨平台的支持。Juniper方案中的客户端的安全检查,包含了最多的终端安全厂商,并且在用户访问的整个过程当中都可以进行检查,一旦发现于预定义的策略不符,系统可以改变该用户的权限,或者禁用用户。
终端管理简单方便,不需要客户端软件的预安装。解决方案对用户透明,大大减少了网络管理员的工作量,也减少了用户使用上的难度。
|