Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

统一访问控制 (UAC)

了解如何在统一访问控制 (UAC) 网络中将防火墙用作 Infranet 实施器。

统一访问控制 (UAC) 使用以下组件来保护网络,并确保只有合格的最终用户才能访问受保护的资源:

  • IC 系列 UAC 设备 — IC 系列设备是网络中的策略决策点。它使用身份验证信息和策略规则来确定是否提供对网络上各个资源的访问。您可以在网络中部署一个或多个 IC 系列设备。

  • Infranet 执行器 — Infranet 执行器是网络中的一个策略实施点。它从 IC 系列设备接收策略,并使用这些策略中定义的规则来确定是否允许端点访问资源。在要保护的服务器和资源前面部署 Infranet 执行器。

  • Infranet 代理 — Infranet 代理是直接在网络端点(如用户计算机)上运行的客户端组件。代理检查端点是否符合 Host Checker 策略中指定的安全标准,并将该合规性信息中继到 Infranet 执行器。然后,Infranet 执行器会根据合规性结果允许或拒绝端点访问。

Junos OS 中的统一访问控制

防火墙可以在 UAC 网络中充当 Infranet 执行器。具体来说,它充当第 3 层实施点,使用从 IC 系列设备向下推送的基于 IP 的策略来控制访问。在 UAC 网络中部署防火墙时,防火墙称为 Junos OS 实施器。

好处

  • 根据用户身份、设备安全状态和位置信息,精细、动态地控制最终用户的访问。

  • 通过基于标准的开放式架构,充分利用您现有的网络基础架构,从用户身份验证到接入点和交换机、瞻博网络防火墙和 IDP 系列设备。

UAC 在 Junos OS 环境中的工作原理是什么?

图 1:UAC 在 Junos OS 环境中 Network security architecture with Juniper components: Infranet Agent initiates sign-in via Internet, managed by Infranet Controller, secures with JUEP over SSL to SRX Series, protecting resources.的工作

  1. 设置 UAC 流量进入防火墙的接口。

  2. 将具有相同安全要求的接口分组到区域中。请参阅 示例:创建安全区域

  3. 创建安全策略来控制通过安全区域的流量。请参阅 示例:配置安全策略以允许或拒绝所有流量

Junos OS 安全策略强制实施传输流量规则,定义哪些流量可以通过瞻博网络设备。策略控制从一个区域(从区域)进入另一个区域并退出另一个区域(到区域)的流量。要在 UAC 部署中将防火墙启用为 Junos OS 实施器,您必须:

  • 确定 UAC 流量将通过的源区域和目标区域。它还需要接口列表,包括它们所在的区域。IC 系列 UAC 设备使用目标区域来匹配在 IC 系列设备上配置的自己的 IPsec 路由策略。

  • 确定包含这些区域的 Junos OS 安全策略,并为这些策略启用 UAC。

采用 Junos OS 安全策略的 UAC 仅支持传统安全策略,不支持动态应用配置。要通过 Junos OS 安全策略配置 UAC,请输入以下配置语句:

带 IC 系列 UAC 设备的 Junos OS 执行器

带有 IC 系列 UAC 设备的 Junos OS Enforcer 是什么?

在统一访问控制 (UAC) 网络中,当防火墙部署在 UAC 环境中时,防火墙称为 Junos OS 实施器。防火墙验证 IC 系列 UAC 设备提交的证书。防火墙和 IC 系列 UAC 设备执行相互身份验证。身份验证后,IC 系列 UAC 设备会将用户和资源访问策略信息发送到防火墙,充当 Junos OS 实施器。

带有 IC 系列 UAC 设备的 Junos OS Enforcer 如何工作?

将防火墙配置为连接到 IC 系列 UAC 设备时,防火墙与 IC 系列 UAC 设备将建立安全通信,如下所示:

  1. 如果防火墙上有多个 IC 系列设备配置为 Infranet 控制器,则轮询算法将确定哪个配置的 IC 系列设备是活动的 Infranet 控制器。其他设备是故障转移设备。如果活动 Infranet 控制器失效,则将该算法重新应用于配置为建立新的活动 Infranet 控制器的其余 IC 系列设备。

  2. 活动 IC 系列设备向防火墙提供其服务器证书。如果配置为这样做,防火墙将验证证书。(不需要服务器证书验证;但是,作为一种额外的安全措施,您可以验证证书以实施额外的信任层。

  3. 防火墙和 IC 系列设备使用专有的质询-响应身份验证执行相互身份验证。出于安全原因,发送到 IC 系列设备的消息中不包含密码。

  4. 通过防火墙成功进行身份验证后,IC 系列设备会发送其用户身份验证和资源访问策略信息。防火墙使用此信息充当 UAC 网络中的 Junos OS 实施器。

  5. 此后,IC 系列设备和 Junos OS 实施器可通过 SSL 连接自由地相互通信。通信由称为 Junos UAC 执行器协议 (JUEP) 的专有协议控制。

带有 IC 系列 UAC 设备群集的 Junos OS Enforcer 是什么?

您可以将 Junos OS 实施器配置为在称为 IC 系列设备群集的高可用性配置中与多个 IC 系列 UAC 设备配合使用。Junos OS 实施器一次只能与一个 IC 系列设备通信;其他 IC 系列设备用于故障转移。如果 Junos OS Enforcer 无法连接到您添加到群集中的第一个 IC 系列设备,它将尝试再次连接到故障的 IC 系列设备。然后,它将故障转移到群集中的其他 IC 系列设备。它将继续尝试连接到群集中的 IC 系列设备,直到建立连接。

当 Junos OS 实施器无法与 Infranet 实施器建立连接时,它将保留其所有现有认证表条目和统一访问控制 (UAC) 策略,并采取您指定的超时作。超时作包括:

  • close—关闭现有会话并阻止任何进一步的流量。这是默认选项。

  • no-change- 保留现有会话并要求对新会话进行身份验证。

  • open—保留现有会话并允许访问新会话。

一旦 Junos OS 实施器可以重新建立与 IC 系列设备的连接,IC 系列设备就会将存储在 Junos OS Enforcer 上的认证表条目和 UAC 策略与存储在 IC 系列设备上的认证表条目和策略进行比较,并根据需要协调两者。

在 Junos OS Enforcer 上配置的 IC 系列设备都应是同一 IC 系列设备群集的成员。

具有 IPsec 的 Junos OS 实施器

要将防火墙配置为使用 IPsec 充当 Junos OS 实施器,您必须:

  • 包括在安全 IKE 网关下配置的身份。标识是一个字符串,例如“gateway1.mycompany.com”,gateway1.mycompany.com 其中用于区分 IKE 网关。(身份指定预期的隧道流量。)

  • 包括预共享种子。这将根据远程用户的完整身份生成预共享密钥,以便获得第 1 阶段凭据。

  • 包括 RADIUS 共享密钥。这允许 IC 系列 UAC 设备接受来自 Junos OS Infranet 实施器的 RADIUS 数据包以进行扩展身份验证 (XAuth)。

在 IC 系列设备、Odyssey Access Client 和防火墙之间配置 IPsec 时,应注意以下 IC 系列设备到 Odyssey Access Client 支持的 IKE(或第 1 阶段)提议方法或协议配置:

  • IKE 提议: authentication-method pre-shared-keys (必须指定 pre-shared-keys

  • IKE 策略:

    • mode aggressive (必须使用积极模式)

    • pre-shared-key ascii-text key (仅支持 ASCII 文本预共享密钥)

  • IKE 网关:动态

    • hostname identity (必须在网关之间指定唯一身份)

    • ike-user-type group-ike-id (您必须指定group-ike-id

    • xauth access-profile profile (您必须指定xauth

以下是从 IC 系列设备到 Odyssey Access Client 支持的 IPsec(或第 2 阶段)提议方法或协议配置。

  • IPsec 提议: protocol esp (必须指定 esp

  • IPsec VPN: establish-tunnels immediately (必须指定 establish-tunnels immediately

借助 Junos OS Enforcer 实现策略实施和端点安全

在统一访问控制 (UAC) 环境中,防火墙成为 Junos OS 实施器后,防火墙会根据 Junos OS 安全策略允许或拒绝流量。Infranet 代理在端点上运行,通过检查 UAC Host Checker 策略来保护流量。根据 Host Checker 合规性结果,Junos OS Enforcer 允许或拒绝端点访问。

使用 Junos OS Enforcer 实施策略

防火墙成功将自己确立为 Junos OS 实施器后,它将按如下方式保护流量:

  1. 首先,Junos OS 实施器使用适当的 Junos OS 安全策略来处理流量。 安全策略 使用流量的源 IP 地址或接收流量的时间等标准来确定是否应允许流量通过。

  2. 一旦根据 Junos OS 安全策略确定流量可以通过,Junos OS 实施器会将流量流映射到身份验证表条目。Junos OS 实施器使用流中第一个数据包的源 IP 地址创建映射。

    1. 认证表条目包含已成功建立 UAC 会话的用户的源 IP 地址和用户角色。用户角色根据类型(例如,“工程”或“营销”)或状态(例如,“正在运行的防病毒软件”)等条件标识一组用户。Junos OS 实施器根据存储在相应认证表条目中的认证结果,确定是允许还是拒绝通过流量。

    2. 当设备首次相互连接时,IC 系列 UAC 设备会将认证表条目推送到 Junos OS 实施器,必要时还会在整个会话过程中推送。例如,当用户的计算机不符合端点安全策略时,当您更改用户角色的配置时,或者禁用 IC 系列设备上的所有用户帐户以响应网络上的病毒等安全问题时,IC 系列设备可能会将更新的认证表条目推送到 Junos OS 实施器。

    3. 如果 Junos OS Enforcer 因缺少认证表条目而丢弃数据包,设备会向 IC 系列设备发送一条消息,而 IC 系列设备可能会调配一个新的认证表条目并将其发送给 Junos OS Enforcer。此过程称为动态身份验证表置备。

  3. 一旦 Junos OS 实施器根据身份验证表条目确定流量可以通过,便会将流映射到资源。Junos OS 实施器使用流中指定的目标 IP 地址创建映射。然后,设备使用该资源以及在身份验证表条目中指定的用户角色将流映射到资源访问策略。

    1. 资源访问策略指定要基于用户角色控制访问的特定资源。例如,您可以创建一个资源访问策略,该策略仅允许作为“工程和防病毒运行”用户角色成员的用户访问“仅限工程”服务器。或者,您可以创建一个资源访问策略,该策略允许“无防病毒运行”用户角色的成员访问可在其上下载防病毒软件的修正服务器。

    2. 当设备首次相互连接时,以及当您修改 IC 系列设备上的资源访问策略配置时,IC 系列设备会将资源访问策略推送到 Junos OS 实施器。

    3. 如果 Junos OS Enforcer 由于“拒绝”策略而丢弃数据包,则 Junos OS Enforcer 会向 IC 系列设备发送一条消息,后者又会向端点的 Odyssey Access Client(如果可用)发送一条消息。(IC 系列设备不会向无代理客户端发送“拒绝”消息。

  4. 一旦确定流量可以基于资源访问策略传递,Junos OS 实施器就会使用 Junos OS 策略中定义的其余应用服务处理流量。Junos OS 实施器按以下顺序运行其余服务:入侵检测和防御 (IDP)、URL 过滤和应用层网关 (ALG)。

将 Infranet 代理与 Junos OS Enforcer 结合使用的端点安全性

Infranet 代理可帮助您保护网络上的流量,从启动通信的端点开始,如下所示:

  1. Infranet 代理直接在端点上运行,用于检查端点是否符合您的统一访问控制 (UAC) Host Checker 策略。

  2. 您可以在 UAC Host Checker 策略中使用各种标准来确定合规性。例如,您可以配置 Host Checker 策略以确认端点是否正在运行防病毒软件或防火墙,或者端点未运行特定类型的恶意软件或进程。

  3. Infranet 代理将合规性信息传输到 Junos OS 实施器。

  4. Junos OS 实施器根据 Host Checker 合规性结果允许或拒绝端点对网络资源的访问。

由于 Infranet 代理直接在终端节点上运行,因此您可以使用 Infranet 代理随时检查终端的安全合规性。例如,当用户尝试登录 IC 系列 UAC 设备时,您可以要求 Infranet 代理立即发送合规结果 — 在 Infranet 代理向 IC 系列设备返回肯定的合规结果之前,用户甚至不会看到登录页面。您还可以将 Infranet 代理配置为在用户登录后或在用户会话期间定期检查合规性。

如果运行 Infranet 代理的端点具有适当的访问权限,它们会自动将其合规性结果发送到 IC 系列设备,IC 系列设备将相应地更新身份验证表条目并将其推送到 Junos OS 实施器。Junos OS Enforcer 支持与 Odyssey Access Client 和“无代理”Infranet 代理连接。

带有 Junos OS Enforcer 的强制门户

在统一访问控制 (UAC) 部署中,用户可能不知道,他们必须先登录到 IC 系列 UAC 设备进行身份验证和端点安全检查,然后才能访问 Junos OS 实施器后面的受保护资源。

要帮助用户登录到 IC 系列设备,您可以配置强制门户功能。有关更多信息,请参阅 示例:在 Junos OS Enforcer 上创建强制门户策略。强制门户功能允许您在 Junos OS Enforcer 中配置一个策略,以自动将发往受保护资源的 HTTP 流量重定向到 IC 系列设备或 Junos OS Enforcer 中配置的 URL。

您可以为使用源 IP 实施或 IPsec 实施,或两种实施方法的组合的部署配置强制门户。

图 2:带有 Junos OS Enforcer Network diagram showing data flow: Client computer sends requests via top switch to application servers and bottom switch to storage servers. 的强制门户

  1. 用户使用浏览器指向受保护的资源。

  2. Junos OS Enforcer 确定用户未经过身份验证,并将请求重定向到 IC 系列设备或其他服务器。

  3. 用户输入其 Infranet 用户名和密码进行登录。

  4. IC 系列设备将用户凭据传递到身份验证服务器。

  5. 身份验证后,IC 系列设备会将用户重定向到他们想要访问的受保护资源。

默认情况下,Junos OS 实施器对用户输入的受保护资源 URL 进行编码并转发给 IC 系列设备。IC 系列设备使用受保护的资源 URL 来帮助用户导航到受保护的资源。IC 系列设备使用受保护资源 URL 的方式取决于用户的端点是运行 Odyssey Access Client 还是 Junos Pulse。

如果用户的端点未运行 Odyssey Access Client 或 Junos Pulse(即,它处于无代理配置或 Java 代理配置中),则 IC 系列设备会自动打开新的浏览器窗口,并在用户登录后使用 HTTP 访问受保护的资源。

如果端点使用的是 Odyssey Access Client,则 IC 系列设备会在网页中插入一个超文本链接,该链接在用户登录后自动打开。然后,用户必须单击该超文本链接才能在同一浏览器窗口中通过 HTTP 访问受保护的资源。

Junos OS 实施器仅支持用于 HTTP 流量的强制门户功能。如果您尝试使用 HTTPS 或非浏览器应用程序(如电子邮件应用程序)访问受保护的资源,则 Junos OS 实施器不会重定向流量。使用 HTTPS 或非浏览器应用程序时,必须先手动登录到 IC 系列设备,然后才能尝试访问受保护的资源。