Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

在多站点中配置统一Junos OS

统一接入控制 (UAC) 使用 IC 系列 UAC 设备、Infranet 实施器和 Infranet 代理,确保只有有效的用户才能访问资源,从而保护您的网络。

了解多环境中的 UAC Junos OS

注意:

从 2015 年 8 月 1 Junos Pulse,所有软件与硬件产品都由 Pulse Secure 出售和支持。要尽可能无缝过渡并为客户和合作伙伴瞻博网络 ,请访问 https://www.juniper.net/us/en/pulsesecure/

统一接入控制 (UAC) 部署使用以下组件保护网络安全,并确保只有符合资格的最终用户才能访问受保护的资源:

  • IC 系列 UAC 设备 - IC 系列设备是网络中策略决策点。它使用身份验证信息和策略规则来确定是否提供对网络上各个资源的访问。您可以在网络中部署一个或多个 IC 系列设备。

  • Infranet 实施器 — Infranet 实施器是网络中一个策略实施点。它从 IC 系列设备接收策略,并使用这些策略中定义的规则来确定是否允许端点访问资源。您可以在要保护的服务器和资源前面部署 Infranet 实施器。

  • Infranet 代理 — Infranet 代理是直接在网络端点(例如用户计算机)上运行的客户端组件。代理检查端点是否符合在安全政策中指定的Host Checker,并且将合规性信息中继到 Infranet 实施器。然后,Infranet 实施器根据合规性结果允许或拒绝端点访问。

SRX 系列设备可以用作 UAC 网络中 Infranet 实施器。具体来说,它用作第 3 层实施点,通过使用 IC 系列设备下推的基于 IP 的策略控制访问。在 UAC 网络中部署时,SRX 系列设备称为Junos OS器。参见 图 1

图 1:将Junos OS设备集成到统一访问控制网络中 Integrating a Junos OS Security Device into a Unified Access Control Network
注意:

您可将 Junos OS实施器与 IF-MAP 联合网络中 IC 系列设备和安全接入设备一起使用。在联合网络中,多个 IC 系列设备和安全接入设备未直接连接到 Junos OS实施器可以访问受安全设备保护的资源。该实施器上的 IF-MAP Federation 没有Junos OS任务。您可以在 IC 系列设备上配置策略,以在策略实施器上动态创建Junos OS表条目。

在多环境内Junos OS UAC(CLI过程)

开始之前:

  1. 设置 UAC 信息流应通过它进入 SRX 系列设备的接口。

  2. 将具有相同安全要求的接口分组到区域。请参阅 示例:创建安全区域

  3. 创建安全策略,以控制通过安全区域的流量。请参阅 示例:配置安全策略以允许或拒绝所有流量

Junos OS策略对传输流量实施规则,定义流量可以通过该瞻博网络的信息流。这些策略控制从一个区域(从区域)进入并退出另一个区域(到区域)的流量。要启用 SRX 系列设备作为 UAC 部署Junos OS实施器,您必须:

  • 确定 UAC 流量要通过的源和目标区域。它还需要接口列表,包括它们所包含区域。IC 系列 UAC 设备使用目标区域与 IC 系列设备上配置自己的 IPsec 路由策略匹配。

  • 识别Junos OS区域的安全安全策略,并为此策略启用 UAC。

要通过默认安全策略Junos OS UAC,请输入以下配置语句: