Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

统一访问控制 (UAC)

了解如何在统一访问控制 (UAC) 网络中使用防火墙作为 Infranet 实施器。

统一访问控制 (UAC) 使用以下组件来保护网络,并确保只有合格的最终用户才能访问受保护的资源:

  • IC 系列 UAC 设备 — IC 系列设备是网络中的策略决策点。它使用身份验证信息和策略规则来确定是否提供对网络上各个资源的访问权限。您可以在网络中部署一个或多个 IC 系列设备。

  • Infranet 执行器 — Infranet 执行器是网络中的策略实施点。它从 IC 系列设备接收策略,并使用这些策略中定义的规则来确定是否允许端点访问资源。您可以将 Infranet 执行器部署在要保护的服务器和资源前面。

  • Infranet 代理 — Infranet 代理是直接在网络端点(例如用户的计算机)上运行的客户端组件。代理会检查端点是否符合 Host Checker 策略中指定的安全标准,并将该合规性信息转发给 Infranet 执行器。然后,Infranet 执行器会根据合规性结果允许或拒绝端点访问。

Junos OS 中的统一访问控制

防火墙可以充当 UAC 网络中的 Infranet 执行器。具体来说,它充当第 3 层实施点,使用从 IC 系列设备推送的基于 IP 的策略来控制访问。在 UAC 网络中部署时,防火墙称为 Junos OS 实施器。

优势

  • 根据用户身份、设备安全状态和位置信息,精细、动态地控制最终用户的访问。

  • 通过基于标准的开放式架构,利用现有的网络基础架构,从用户身份验证到接入点和交换机、瞻博网络防火墙和 IDP 系列设备。

UAC 在 Junos OS 环境中的工作原理是什么?

图 1:UAC 在 Junos OS 环境中的工作原理 Network security architecture with Juniper components: Infranet Agent initiates sign-in via Internet, managed by Infranet Controller, secures with JUEP over SSL to SRX Series, protecting resources.

  1. 设置 UAC 流量进入防火墙的接口。

  2. 将具有相同安全要求的接口分组到多个区域中。请参阅 示例:创建安全性区域

  3. 创建安全策略来控制通过安全区域的流量。请参阅 示例:配置安全性策略以允许或拒绝所有流量

Junos OS 安全策略针对中转流量实施规则,定义哪些流量可以通过瞻博网络设备。这些策略控制从一个区域进入和退出另一个区域(到区域)的流量。要在 UAC 部署中将防火墙启用为 Junos OS 实施器,您必须:

  • 确定 UAC 流量将通过的源区域和目标区域。还需要接口列表,包括接口所在的区域。IC 系列 UAC 设备使用目标区域来匹配其在 IC 系列设备上配置的自己的 IPsec 路由策略。

  • 确定包含这些区域的 Junos OS 安全策略,并为这些策略启用 UAC。

具有 Junos OS 安全策略的 UAC 仅支持传统安全策略,不支持动态应用配置。要通过 Junos OS 安全策略配置 UAC,请输入以下配置语句:

带有 IC 系列 UAC 设备的 Junos OS 实施器

带有 IC 系列 UAC 设备的 Junos OS 执行器是什么?

在统一访问控制 (UAC) 网络中,当防火墙部署在 UAC 环境中时,防火墙称为 Junos OS 实施器。防火墙将验证 IC 系列 UAC 设备提交的证书。防火墙和 IC 系列 UAC 设备执行相互身份验证。身份验证后,IC 系列 UAC 设备会将用户和资源访问策略信息发送到防火墙,以充当 Junos OS 实施器。

带有 IC 系列 UAC 设备的 Junos OS 执行器如何工作?

将防火墙配置为连接到 IC 系列 UAC 设备时,防火墙和 IC 系列 UAC 设备将按如下方式建立安全通信:

  1. 如果在防火墙上将多个 IC 系列设备配置为 Infranet 控制器,则轮询算法将确定哪台配置的 IC 系列设备是活动 Infranet 控制器。其他的是故障切换设备。如果活动 Infranet 控制器失效,则会将算法重新应用于配置为建立新活动 Infranet 控制器的剩余 IC 系列设备。

  2. 活动 IC 系列设备向防火墙提供其服务器证书。如果配置为这样做,防火墙将验证证书。(不需要验证服务器证书;但是,作为一项额外的安全措施,您可以验证证书以实施额外的信任层。)

  3. 防火墙和 IC 系列设备使用专用的身份验证-响应验证来执行相互身份验证。出于安全原因,发送到 IC 系列设备的消息中不包含密码。

  4. 成功通过防火墙身份验证后,IC 系列设备会发送其用户身份验证和资源访问策略信息。防火墙使用此信息在 UAC 网络中充当 Junos OS 实施器。

  5. 此后,IC 系列设备和 Junos OS 实施器可以通过 SSL 连接相互自由通信。通信由称为 Junos UAC 实施器协议 (JUEP) 的专有协议控制。

带有 IC 系列 UAC 设备群集的 Junos OS 执行器是什么?

您可以将 Junos OS 实施器配置为在称为 IC 系列设备群集的高可用性配置中与多个 IC 系列 UAC 群集配合使用。Junos OS 实施器一次只能与一个 IC 系列设备通信;其他 IC 系列设备用于故障切换。如果 Junos OS 实施器无法连接到您添加到群集的第一个 IC 系列设备,它将再次尝试连接到出现故障的 IC 系列设备。然后,它会故障转移到群集中的其他 IC 系列设备。它将继续尝试连接到群集中的 IC 系列设备,直到发生连接。

当 Junos OS 实施器无法与 Infranet 实施器建立连接时,它将保留其所有现有身份验证表条目和统一访问控制 (UAC) 策略,并执行您指定的超时作。超时作包括:

  • close— 关闭现有会话并阻止任何进一步的流量。这是默认选项。

  • no-change— 保留现有会话并要求对新会话进行身份验证。

  • open— 保留现有会话并允许新会话访问。

一旦 Junos OS 实施器可以重新建立与 IC 系列设备的连接,IC 系列设备就会将存储在 Junos OS 实施器上的身份验证表条目和 UAC 策略与存储在 IC 系列设备上的身份验证表条目和策略进行比较,并根据需要对两者进行协调。

在 Junos OS 实施器上配置的 IC 系列设备都应是同一个 IC 系列设备群集的成员。

具有 IPsec 的 Junos OS 实施器

要将防火墙配置为使用 IPsec 充当 Junos OS 实施器,您必须:

  • 包括在安全 IKE 网关下配置的身份。标识是一个字符串,如“gateway1.mycompany.com”,gateway1.mycompany.com 在其中区分IKE网关。(身份指定要传输的隧道流量。)

  • 包括预共享种子。这将根据第 1 阶段凭据的远程用户的完整身份生成预共享密钥。

  • 包括 RADIUS 共享密钥。这允许 IC 系列 UAC 设备接受来自 Junos OS Infranet 实施器的 RADIUS 数据包以进行扩展身份验证 (XAuth)。

在 IC 系列设备、Odyssey Access Client 和防火墙之间配置 IPsec 时,应注意以下内容是从 IC 系列设备到 Odyssey Access Client 支持的 IKE(或第 1 阶段)提议方法或协议配置:

  • IKE 提议: authentication-method pre-shared-keys (必须指定 pre-shared-keys

  • IKE 策略:

    • mode aggressive (必须使用积极模式)

    • pre-shared-key ascii-text key (仅支持 ASCII 文本预共享密钥)

  • IKE 网关:动态

    • hostname identity (必须在网关之间指定唯一身份)

    • ike-user-type group-ike-id (必须注明group-ike-id

    • xauth access-profile profile (必须注明xauth

以下是从 IC 系列设备到 Odyssey Access Client 支持的 IPsec(或第 2 阶段)提议方法或协议配置。

  • IPsec 提议: protocol esp (必须指定 esp

  • IPsec VPN: establish-tunnels immediately (必须指定 establish-tunnels immediately

借助 Junos OS 实施器实现策略实施和端点安全性

在统一访问控制 (UAC) 环境中,防火墙成为 Junos OS 实施器后,防火墙将基于 Junos OS 安全策略允许或拒绝流量。Infranet 代理在端点上运行,通过检查 UAC Host Checker 策略来保护流量。根据 Host Checker 合规性结果,Junos OS 实施器允许或拒绝端点访问。

使用 Junos OS 实施器实施策略

防火墙成功将自身建立为 Junos OS 实施器后,将按如下方式保护流量:

  1. 首先,Junos OS 实施器使用相应的 Junos OS 安全策略来处理流量。 安全策略 使用流量的源 IP 地址或流量接收时间等标准来确定是否应允许流量通过。

  2. 一旦它确定流量可以根据 Junos OS 安全策略通过,Junos OS 实施器就会将流量映射到身份验证表条目。Junos OS 实施器使用流中第一个数据包的源 IP 地址来创建映射。

    1. 身份验证表条目包含已成功建立 UAC 会话的用户的源 IP 地址和用户角色 () 。用户角色根据类型(例如,“工程”或“营销”)或状态(例如,“正在运行防病毒”)等标准标识一组用户。Junos OS实施器根据存储在相应身份验证表条目中的身份验证结果确定是允许还是拒绝流量通过。

    2. 当设备首次相互连接时,以及在整个会话过程中,IC 系列 UAC 设备会将身份验证表条目推送到 Junos OS 实施器。例如,当用户的计算机变得不符合端点安全策略时,当您更改用户角色的配置时,或者当您禁用 IC 系列设备上的所有用户帐户以响应安全问题(如网络上的病毒)时,IC 系列设备可能会将更新的身份验证表条目推送到 Junos OS 实施器。

    3. 如果 Junos OS 实施器由于缺少身份验证表条目而丢弃数据包,则设备会向 IC 系列设备发送一条消息,而 IC 系列设备可能会配置新的身份验证表条目并将其发送至 Junos OS 实施器。此过程称为动态身份验证表调配。

  3. 一旦它根据身份验证表条目确定流量可以通过,Junos OS 实施器就会将流映射到资源。Junos OS 实施器使用流中指定的目标 IP 地址来创建映射。然后,设备使用该资源以及身份验证表条目中指定的用户角色将流映射到资源访问策略。

    1. 资源访问策略指定要根据用户角色控制访问的特定资源。例如,您可以创建一个资源访问策略,该策略仅允许作为“工程”和“防病毒运行”用户角色的成员访问“仅工程”服务器。或者,您可以创建一个资源访问策略,以允许“无正在运行防病毒”用户角色的成员访问可下载防病毒软件的修复服务器。

    2. 当设备首次相互连接以及您修改 IC 系列设备上的资源访问策略配置时,IC 系列设备会将资源访问策略推送到 Junos OS 实施器。

    3. 如果 Junos OS 实施器由于“拒绝”策略而丢弃数据包,则 Junos OS 执行器会向 IC 系列设备发送一条消息,而 IC 系列设备又会向端点的 Odyssey Access Client(如果可用)发送一条消息。(IC 系列设备不会向无代理客户端发送“拒绝”消息。

  4. 一旦确定流量可以根据资源访问策略传递,Junos OS 实施器就会使用 Junos OS 策略中定义的剩余应用服务来处理流量。Junos OS 实施器按以下顺序运行其余服务:入侵检测和防御 (IDP)、URL 过滤和应用层网关 (ALG)。

将 Infranet 代理与 Junos OS 实施器结合使用,实现端点安全性

Infranet 代理可帮助您确保网络上的流量安全,从启动通信的端点开始,如下所示:

  1. Infranet 代理直接在端点上运行,检查端点是否符合统一访问控制 (UAC) Host Checker 策略。

  2. 可以在 UAC Host Checker 策略中使用各种条件来确定合规性。例如,可以配置 Host Checker 策略来确认端点正在运行防病毒软件或防火墙,或者端点未运行特定类型的恶意软件或进程。

  3. Infranet 代理将合规性信息传输到 Junos OS 实施器。

  4. Junos OS 实施器根据 Host Checker 合规性结果允许或拒绝端点访问网络上的资源。

由于 Infranet 代理直接在端点上运行,因此您可以随时使用 Infranet 代理检查端点的安全合规性。例如,当用户尝试登录 IC 系列 UAC 设备时,您可以要求 Infranet 代理立即发送合规性结果 — 在 Infranet 代理向 IC 系列设备返回积极的合规性结果之前,用户甚至不会看到登录页面。您还可以将 Infranet 代理配置为在用户登录后或在用户会话期间定期检查合规性。

如果运行 Infranet 代理的端点具有适当的访问权限,它们会自动将其合规性结果发送到 IC 系列设备,IC 系列设备将相应地更新身份验证表条目,并将其推送到 Junos OS 实施器。Junos OS 实施器支持与 Odyssey Access Client 和“无代理”Infranet 代理的连接。

带有 Junos OS 实施器的强制门户

在统一访问控制 (UAC) 部署中,用户可能不知道,他们必须先登录 IC 系列 UAC 设备进行身份验证和端点安全检查,然后才能访问 Junos OS 实施器背后的受保护资源。

要帮助用户登录 IC 系列设备,可以配置强制门户功能。有关更多信息,请参阅 示例:在 Junos OS 实施器上创建强制门户策略。强制门户功能允许您在 Junos OS 实施器中配置策略,自动将发往受保护资源的 HTTP 流量重定向到 IC 系列设备或 Junos OS 实施器中配置的 URL。

您可以为使用源 IP 实施或 IPsec 实施或这两种实施方法组合的部署配置强制强制门户。

图 2:带有 Junos OS 实施器的 Network diagram showing data flow: Client computer sends requests via top switch to application servers and bottom switch to storage servers.强制门户

  1. 用户使用浏览器指向受保护的资源。

  2. Junos OS 实施器会确定用户未通过身份验证,并将请求重定向至 IC 系列设备或其他服务器。

  3. 用户输入他们的 Infranet 用户名和密码进行登录。

  4. IC 系列设备将用户凭据传递到身份验证服务器。

  5. 身份验证后,IC 系列设备会将用户重定向到他们想要访问的受保护资源。

默认情况下,Junos OS 实施器会对用户输入的受保护资源 URL 进行编码,并将其转发到 IC 系列设备。IC 系列设备使用受保护的资源 URL 来帮助用户导航到受保护的资源。IC 系列设备使用受保护资源 URL 的方式取决于用户的端点是否正在运行 Odyssey Access Client 或 Pulse Secure。

如果用户的端点未运行 Odyssey Access Client 或 Pulse Secure(即,它处于无代理或 Java 代理配置中),则 IC 系列设备会自动打开一个新的浏览器窗口,并在用户登录后使用 HTTP 访问受保护的资源。

如果端点使用的是 Odyssey Access Client,则 IC 系列设备会在网页中插入一个超文本链接,该链接将在用户登录后自动打开。然后,用户必须单击该超文本链接,才能在同一浏览器窗口中通过 HTTP 访问受保护的资源。

Junos OS 实施器仅支持 HTTP 流量的强制门户功能。如果您尝试使用 HTTPS 或非浏览器应用程序(如电子邮件应用程序)访问受保护的资源,则 Junos OS 实施器不会重定向流量。使用 HTTPS 或非浏览器应用程序时,您必须先手动登录 IC 系列设备,然后才能尝试访问受保护的资源。