Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

联合访问控制 (UAC)

总结 了解如何在统一访问控制 (UAC) 网络中将 SRX 系列防火墙用作基础架构实施器。

统一访问控制 (UAC) 使用以下组件来保护网络,并确保只有合格的最终用户才能访问受保护的资源:

  • IC 系列 UAC 设备 — IC 系列设备是网络中的策略决策点。它使用身份验证信息和策略规则来确定是否提供对网络上各个资源的访问权限。您可以在网络中部署一个或多个 IC 系列设备。

  • Infranet Enforcers — Infranet Enforcer 是网络中的策略实施点。它从 IC 系列设备接收策略,并使用这些策略中定义的规则来确定是否允许端点访问资源。将 Infranet 实施器部署在要保护的服务器和资源前面。

  • Infranet 代理 — Infranet 代理是直接在网络端点(如用户计算机)上运行的客户端组件。代理检查端点是否符合主机检查器策略中指定的安全标准,并将该合规性信息中继到 Infranet 实施器。然后,Infranet 实施器根据合规性结果允许或拒绝端点访问。

Junos OS 中的统一访问控制

SRX 系列防火墙可以充当 UAC 网络中的 Infranet 实施器。具体而言,它充当第 3 层实施点,通过使用从 IC 系列设备向下推送的基于 IP 的策略来控制访问。在 UAC 网络中部署时,SRX 系列防火墙称为 Junos OS 实施器。

好处

  • 根据用户身份、设备安全状态和位置信息精细、动态地控制最终用户访问。

  • 通过基于标准的开放式架构,利用您现有的网络基础架构,从用户身份验证到接入点和交换机、瞻博网络防火墙和 IDP 系列设备。

UAC 在 Junos OS 环境中如何工作?

图 1:UAC 在 Junos OS 环境中 Working of UAC in Junos OS Environment的工作方式
  1. 设置 UAC 流量应通过其进入 SRX 系列防火墙的接口。

  2. 将具有相同安全要求的接口分组到区域中。请参见 示例:创建安全区域

  3. 创建安全策略以控制通过安全区域的流量。请参阅 示例:配置安全策略以允许或拒绝所有流量

Junos OS 安全策略强制执行传输流量规则,定义哪些流量可以通过瞻博网络设备。这些策略控制从一个区域(从区域)进入和退出另一个区域(到区域)的流量。要在 UAC 部署中启用 SRX 系列防火墙作为 Junos OS 实施器,您必须:

  • 确定 UAC 流量将通过的源和目标区域。它还需要接口列表,包括它们所在的区域。IC 系列 UAC 设备使用目标区域来匹配其在 IC 系列设备上配置的自己的 IPsec 路由策略。

  • 识别包含这些区域的 Junos OS 安全策略,并为这些策略启用 UAC。

要通过 Junos OS 安全策略配置 UAC,请输入以下配置语句:

带 IC 系列 UAC 设备的 Junos OS 实施器

什么是带有 IC 系列 UAC 设备的 Junos OS 实施器?

在统一访问控制 (UAC) 网络中,SRX 系列防火墙部署在 UAC 环境中时称为 Junos OS 实施器。SRX 系列防火墙验证 IC 系列 UAC 设备提交的证书。SRX 系列防火墙和 IC 系列 UAC 设备执行相互身份验证。身份验证后,IC 系列 UAC 设备会将用户和资源访问策略信息发送到 SRX 系列防火墙,以充当 Junos OS 实施器。

带有 IC 系列 UAC 设备的 Junos OS 实施器如何工作?

配置 SRX 系列防火墙以连接到 IC 系列 UAC 设备时,SRX 系列防火墙和 IC 系列 UAC 设备将按如下方式建立安全通信:

  1. 如果在 SRX 系列防火墙上将多个 IC 系列设备配置为 Infranet 控制器,则轮询算法将确定哪个已配置的 IC 系列设备是活动的 Infranet 控制器。其他是故障转移设备。如果活动的 Infranet 控制器变得不工作,该算法将重新应用于配置为建立新的活动 Infranet 控制器的其余 IC 系列设备。

  2. 活动 IC 系列设备向 SRX 系列防火墙提供其服务器证书。如果配置为这样做,SRX 系列防火墙将验证证书。(不需要服务器证书验证;但是,作为额外的安全措施,您可以验证证书以实现额外的信任层。

  3. SRX 系列防火墙和 IC 系列设备使用专有的质询-响应身份验证执行相互身份验证。出于安全原因,密码不包含在发送到 IC 系列设备的消息中。

  4. 使用 SRX 系列防火墙成功进行身份验证后,IC 系列设备会发送其用户身份验证和资源访问策略信息。SRX 系列防火墙使用此信息充当 UAC 网络中的 Junos OS 实施器。

  5. 此后,IC 系列设备和 Junos OS 实施器可以通过 SSL 连接自由通信。通信由称为 Junos UAC 执行器协议 (JUEP) 的专有协议控制。

什么是带有 IC 系列 UAC 设备集群的 Junos OS 实施器?

您可以将 Junos OS 实施器配置为在高可用性配置(称为 IC 系列设备群集)中与多个 IC 系列 UAC 设备配合使用。Junos OS 实施器一次只能与一个 IC 系列设备通信;其他 IC 系列设备用于故障转移。如果 Junos OS 实施器无法连接到添加到群集的第一个 IC 系列设备,它将再次尝试连接到出现故障的 IC 系列设备。然后,它会故障转移到群集中的其他 IC 系列设备。它继续尝试连接到群集中的 IC 系列设备,直到建立连接。

当 Junos OS 实施器无法与 Infranet 实施器建立连接时,它将保留其所有现有身份验证表条目和统一访问控制 (UAC) 策略,并执行您指定的超时操作。超时操作包括:

  • close—关闭现有会话并阻止任何其他流量。这是默认选项。

  • no-change—保留现有会话并要求对新会话进行身份验证。

  • open—保留现有会话并允许新会话访问。

一旦 Junos OS 实施器可以重新建立与 IC 系列设备的连接,IC 系列设备就会将存储在 Junos OS 实施器上的身份验证表条目和 UAC 策略与存储在 IC 系列设备上的身份验证表条目和策略进行比较,并根据需要协调两者。

在 Junos OS 实施器上配置的 IC 系列设备应全部属于同一 IC 系列设备集群。

具有 IPsec 的 Junos OS 实施器

要将 SRX 系列防火墙配置为使用 IPsec 充当 Junos OS 实施器,您必须:

  • 包括在安全 IKE 网关下配置的身份。标识是一个字符串,例如“gateway1.mycompany.com”,其中 gateway1.mycompany.com 区分 IKE 网关。(标识指定预期的隧道流量。

  • 包括预共享种子。这会从远程用户的完整身份生成第 1 阶段凭据的预共享密钥。

  • 包括 RADIUS 共享密钥。这允许 IC 系列 UAC 设备接受来自 Junos OS Infranet 实施器的用于扩展身份验证 (XAuth) 的 RADIUS 数据包。

在 IC 系列设备、Odyssey 接入客户端和 SRX 系列防火墙之间配置 IPsec 时,应注意,以下是从 IC 系列设备到 Odyssey Access Client 支持的 IKE(或第 1 阶段)建议方法或协议配置:

  • IKE 提议: authentication-method pre-shared-keys (必须指定 pre-shared-keys

  • IKE 策略:

    • mode aggressive (您必须使用激进模式)

    • pre-shared-key ascii-text key (仅支持 ASCII 文本预共享密钥)

  • IKE 网关:动态

    • hostname identity (必须在网关之间指定唯一标识)

    • ike-user-type group-ike-id (必须指定 group-ike-id

    • xauth access-profile profile (必须指定 xauth

以下是从 IC 系列设备到 Odyssey Access Client 支持的 IPsec(或第 2 阶段)提议方法或协议配置。

  • IPsec 提议: protocol esp (必须指定 esp

  • IPsec VPN: establish-tunnels immediately (必须指定 establish-tunnels immediately

使用 Junos OS 实施器实施策略和端点安全

在统一访问控制 (UAC) 环境中,SRX 系列防火墙成为 Junos OS 实施器后,SRX 系列防火墙会根据 Junos OS 安全策略允许或拒绝流量。Infranet 代理在端点上运行,通过检查 UAC 主机检查器策略来保护流量。根据主机检查器合规性结果,Junos OS 实施器允许或拒绝端点访问。

使用 Junos OS 实施器实施策略

SRX 系列防火墙成功将自己确立为 Junos OS 实施器后,将按如下方式保护流量:

  1. 首先,Junos OS 实施器使用适当的 Junos OS 安全策略来处理流量。 安全策略 使用流量的源 IP 地址或接收流量的时间等标准来确定是否应允许流量通过。

  2. 根据 Junos OS 安全策略确定流量可以通过后,Junos OS 实施器会将流量映射到身份验证表条目。Junos OS 实施器使用流中第一个数据包的源 IP 地址来创建映射。

    1. 身份验证表条目包含已成功建立 UAC 会话的用户的源 IP 地址和用户角色。用户角色根据类型(例如,“工程”或“市场营销”)或状态(例如,“防病毒正在运行”)等条件标识一组用户。Junos OS 实施器根据存储在相应认证表条目中的认证结果,确定是允许还是拒绝要通过的流量。

    2. IC 系列 UAC 设备在设备首次相互连接时(如有必要)在整个会话期间将身份验证表条目推送到 Junos OS 实施器。例如,当用户的计算机不符合端点安全策略时,当您更改用户角色的配置时,或者当您禁用 IC 系列设备上的所有用户帐户以响应网络上的病毒等安全问题时,IC 系列设备可能会将更新的身份验证表条目推送到 Junos OS 实施器。

    3. 如果 Junos OS 实施器因缺少身份验证表条目而丢弃数据包,设备将向 IC 系列设备发送消息,而 IC 系列设备又可以调配新的身份验证表条目并将其发送到 Junos OS 实施器。此过程称为动态认证表置备。

  3. 根据身份验证表条目确定流量可以通过后,Junos OS 实施器会将流量映射到资源。Junos OS 实施器使用流程中指定的目标 IP 地址来创建映射。然后,设备使用该资源以及身份验证表条目中指定的用户角色将流映射到资源访问策略。

    1. 资源访问策略指定要根据用户角色控制访问的特定资源。例如,您可以创建一个资源访问策略,该策略仅允许属于“运行工程”和“防病毒”用户角色成员的用户访问“仅工程”服务器。或者,您可以创建一个资源访问策略,以允许“无防病毒正在运行”用户角色的成员访问可下载防病毒软件的修正服务器。

    2. 当设备首次相互连接时,以及当您在 IC 系列设备上修改资源访问策略配置时,IC 系列设备会将资源访问策略推送到 Junos OS 实施器。

    3. 如果 Junos OS 实施器由于“拒绝”策略而丢弃数据包,则 Junos OS 实施器会向 IC 系列设备发送消息,而 IC 系列设备又会向终端的 Odyssey Access 客户端(如果可用)发送消息。(IC 系列设备不会向无代理客户端发送“拒绝”消息。)

  4. 根据资源访问策略确定流量可以通过后,Junos OS 实施器将使用 Junos OS 策略中定义的其余应用程序服务处理流量。Junos OS 实施器按以下顺序运行其余服务:入侵检测和防御 (IDP)、URL 过滤和应用层网关 (ALG)。

将 Infranet 代理与 Junos OS 实施器配合使用的端点安全

Infranet 代理可帮助您保护网络上的流量,从发起通信的端点开始,如下所示:

  1. 直接在端点上运行的 Infranet 代理检查端点是否符合统一访问控制 (UAC) 主机检查器策略。

  2. 可以在 UAC 主机检查器策略中使用各种条件来确定符合性。例如,您可以配置主机检查器策略以确认终端正在运行防病毒软件或防火墙,或者终端未运行特定类型的恶意软件或进程。

  3. Infranet 代理将合规性信息传输到 Junos OS 实施器。

  4. Junos OS 实施器根据主机检查器合规性结果允许或拒绝端点访问网络上的资源。

由于 Infranet 代理直接在端点上运行,因此您可以随时使用 Infranet 代理检查端点的安全合规性。例如,当用户尝试登录 IC 系列 UAC 设备时,您可以要求 Infranet 代理立即发送合规性结果 — 在 Infranet 代理向 IC 系列设备返回积极的合规性结果之前,用户甚至不会看到登录页面。您还可以将 Infranet 代理配置为在用户登录后或在用户会话期间定期检查合规性。

如果运行 Infranet 代理的端点具有适当的访问权限,它们会自动将其合规性结果发送到 IC 系列设备,IC 系列设备将相应地更新身份验证表条目并将其推送到 Junos OS 实施器。Junos OS Enforcer 支持与 Odyssey Access Client 和“无代理”Infranet 代理的连接。

采用 Junos OS 实施器的强制门户

在统一访问控制 (UAC) 部署中,用户可能不知道他们必须先登录到 IC 系列 UAC 设备进行身份验证和端点安全检查,然后才能访问 Junos OS 实施器后面的受保护资源。

为了帮助用户登录到 IC 系列设备,您可以配置强制门户功能。有关更多信息,请参阅 示例:在 Junos OS 实施器上创建强制门户策略。强制门户功能允许您在 Junos OS 实施器中配置策略,自动将发往受保护资源的 HTTP 流量重定向到 IC 系列设备或在 Junos OS 实施器中配置的 URL。

您可以为使用源 IP 强制或 IPsec 强制或这两种强制方法组合的部署配置强制门户。

图 2:带有 Junos OS 实施器的 Captive Portal with Junos OS Enforcer强制门户
  1. 用户使用浏览器指向受保护的资源。

  2. Junos OS 实施器确定用户未通过身份验证,并将请求重定向到 IC 系列设备或其他服务器。

  3. 用户输入其 Infranet 用户名和密码进行登录。

  4. IC 系列设备将用户凭据传递到身份验证服务器。

  5. 身份验证后,IC 系列设备将用户重定向到他们想要访问的受保护资源。

默认情况下,Junos OS 实施器对用户输入的受保护资源 URL 进行编码并将其转发到 IC 系列设备。IC 系列设备使用受保护的资源 URL 来帮助用户导航到受保护的资源。IC 系列设备使用受保护资源 URL 的方式取决于用户的端点运行的是 Odyssey Access Client 还是 Junos Pulse。

如果用户的终端未运行 Odyssey Access Client 或 Junos Pulse(即处于无代理或 Java 代理配置中),IC 系列设备会自动打开一个新的浏览器窗口,并在用户登录后使用 HTTP 访问受保护的资源。

如果终端使用的是 Odyssey Access 客户端,IC 系列设备会在网页中插入一个超文本链接,该链接在用户登录后自动打开。然后,用户必须单击该超文本链接,才能在同一浏览器窗口中通过 HTTP 访问受保护的资源。

Junos OS 实施器仅支持 HTTP 流量的强制门户功能。如果尝试使用 HTTPS 或非浏览器应用程序(如电子邮件应用程序)访问受保护的资源,Junos OS 实施器不会重定向流量。使用 HTTPS 或非浏览器应用程序时,必须先手动登录到 IC 系列设备,然后才能尝试访问受保护的资源。