Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Configure o controle unificado de acesso no Junos OS

A UAC (Unified Access Control, Controle unificado de acesso) usa dispositivos UAC da Série IC, aplicadores de Infranet e agentes Infranet para proteger sua rede, garantindo que apenas usuários válidos possam acessar os recursos.

Entender o UAC em um ambiente Junos OS

Nota:

A partir de 1º de agosto de 2015, todos os produtos de hardware e software Junos Pulse serão vendidos e suportados pelo Pulse Secure. Para tornar a transição o mais perfeita possível e fornecer suporte para clientes e parceiros da Juniper, visite https://www.juniper.net/us/en/pulsesecure/.

Uma implantação de controle de acesso unificado (UAC) usa os seguintes componentes para proteger uma rede e garantir que apenas usuários finais qualificados podem acessar recursos protegidos:

  • UAC Appliances da Série IC — um dispositivo da Série IC é um ponto de decisão de política na rede. Ele usa informações de autenticação e regras de política para determinar se fornece ou não acesso a recursos individuais na rede. Você pode implantar um ou mais dispositivos da Série IC em sua rede.

  • Aplicadores da Infranet — um Enforcer da Infranet é um ponto de aplicação de políticas na rede. Ele recebe políticas do dispositivo da Série IC e usa as regras definidas nessas políticas para determinar se permite ou não um acesso de endpoint a um recurso. Você implanta os Aplicadores de Infranet na frente dos servidores e recursos que deseja proteger.

  • Agentes infranet — um agente da Infranet é um componente do lado cliente que é executado diretamente em endpoints de rede (como computadores dos usuários). O agente verifica se o endpoint está em conformidade com os critérios de segurança especificados nas políticas do Host Checker e transmite essas informações de conformidade ao Enforcer da Infranet. O Enforcer da Infranet permite ou nega o acesso ao endpoint com base nos resultados de conformidade.

Um firewall da Série SRX pode funcionar como um Enforcer Infranet em uma rede UAC. Especificamente, ele atua como um ponto de aplicação de Camada 3, controlando o acesso usando políticas baseadas em IP empurradas para baixo do dispositivo da Série IC. Quando implantado em uma rede UAC, um firewall da Série SRX é chamado de Junos OS Enforcer. Veja a Figura 1.

Figura 1: Integração de um dispositivo de segurança Junos OS em uma rede Integrating a Junos OS Security Device into a Unified Access Control Network de controle de acesso unificada
Nota:

Você pode usar o Junos OS Enforcer com o dispositivo da Série IC e dispositivos de acesso seguro em uma rede da Federação IF-MAP. Em uma rede federada, vários dispositivos da Série IC e dispositivos de acesso seguro que não estão diretamente conectados ao Junos OS Enforcer podem acessar recursos protegidos pelo dispositivo de segurança. Não há tarefas de configuração para a Federação IF-MAP no Junos OS Enforcer. Você configura políticas em dispositivos da Série IC que podem criar dinamicamente entradas de tabela de autenticação no Junos OS Enforcer.

Habilitação do UAC em um ambiente junos OS (procedimento CLI)

Antes de começar:

  1. Configure as interfaces pelas quais o tráfego UAC deve entrar no firewall da Série SRX.

  2. Interfaces de grupo com requisitos de segurança idênticos em zonas. Veja exemplo: criação de zonas de segurança.

  3. Crie políticas de segurança para controlar o tráfego que passa pelas zonas de segurança. Veja exemplo: configuração de uma política de segurança para permitir ou negar todo o tráfego.

As políticas de segurança do Junos OS aplicam regras para o tráfego de trânsito, definindo o que o tráfego pode passar pelo dispositivo da Juniper Networks. As políticas controlam o tráfego que entra de uma zona (da zona) e sai de outra (para zona). Para habilitar um firewall da Série SRX como um Junos OS Enforcer em uma implantação de UAC, você deve:

  • Identificar as zonas de origem e destino pelas quais o tráfego UAC viajará. Ele também precisa da lista de interfaces, incluindo em quais zonas elas estão. O UAC Appliance da Série IC usa a zona de destino para combinar com suas próprias políticas de roteamento IPsec configuradas no dispositivo da Série IC.

  • Identifique as políticas de segurança do Junos OS que abrangem essas zonas e habilite o UAC para essas políticas.

Para configurar o UAC por meio de uma política de segurança do Junos OS, digite a seguinte declaração de configuração: