Juniper網(wǎng)絡(luò)統(tǒng)一安全控制平臺(tái)技術(shù)規(guī)范.doc

統(tǒng)一安全控制平臺(tái)技術(shù)規(guī)范系統(tǒng)概述該系統(tǒng)由三個(gè)組件組成。 網(wǎng)絡(luò)控制器：進(jìn)行統(tǒng)一的身份認(rèn)證和授權(quán)，然后將策略對(duì)網(wǎng)內(nèi)的控制器進(jìn)行統(tǒng)一的下發(fā)； 網(wǎng)絡(luò)執(zhí)行器，執(zhí)行控制器下發(fā)的策略，對(duì)網(wǎng)絡(luò)中未授權(quán)的通訊進(jìn)行阻擋。 客戶端代理軟件，安裝在用戶的終端計(jì)算機(jī)上，實(shí)現(xiàn)對(duì)終端計(jì)算機(jī)的安全檢查，和相應(yīng)的策略執(zhí)行。網(wǎng)絡(luò)集中控制器要求以硬件設(shè)備的形式提供網(wǎng)絡(luò)集中控制器，包含以下的功能： 用戶登陸，網(wǎng)絡(luò)集中控制器采用WEB的方式提供給終端用戶進(jìn)行認(rèn)證。管理員可以自由調(diào)整用戶登陸系統(tǒng)的標(biāo)識(shí)與詳細(xì)界面的外觀，可以修改LOGO,界面的顏色等等，可以嵌入公司的普通Web頁(yè)面，保證修改后的登陸界面不再含有原廠商的痕跡，并且可以可以對(duì)不同的用戶組實(shí)現(xiàn)不同的登陸界面和URL，用戶界面支持中文。 身份認(rèn)證支持第三方的AAA認(rèn)證服務(wù)器，包括：系統(tǒng)要求支持多種認(rèn)證服務(wù)器整合，包括RADIUS、LDAP、Windows NT Domain、Active Directory、UNIX NIS、dual factor認(rèn)證（包括ActivCard ActivPack、RSA SecurID和Secure Computing SafeWord PremierAccess）以及X.509客戶端數(shù)字證書），也可在設(shè)備上建立本地用戶數(shù)據(jù)庫(kù)。支持的認(rèn)證的因素包括：系統(tǒng)要求支持的認(rèn)證的因素不僅僅包括用戶名/密碼，還包括源地址、數(shù)字證書屬性、終端安全狀況、瀏覽器類型等。支持與認(rèn)證服務(wù)器的密碼管理功能的整合，即可以在該系統(tǒng)中修改AD，LDAP，Radius等認(rèn)證服務(wù)器的密碼。 訪問授權(quán)可以根據(jù)不同的因素對(duì)用戶進(jìn)行訪問控制和授權(quán)，包括：用戶名，用戶屬性（如組等），數(shù)字證書屬性，源地址，終端安全狀況，瀏覽器類型，時(shí)間等。 訪問權(quán)限下發(fā)用戶在控制器上正確登陸認(rèn)證后，策略可以自動(dòng)下發(fā)到網(wǎng)絡(luò)中的策略執(zhí)行器上，無需人工的干預(yù)。系統(tǒng)下發(fā)的策略包括兩種，基于源地址的訪問控制策略和基于IPSEC的VPN訪問策略。采用網(wǎng)絡(luò)中已有的網(wǎng)絡(luò)設(shè)備或者網(wǎng)絡(luò)安全設(shè)備，作為網(wǎng)絡(luò)執(zhí)行器，要求支持的執(zhí)行器包括：Netscreen防火墻等，并且要求支持802.1x協(xié)議，提供對(duì)交換機(jī)，無線接入點(diǎn)的擴(kuò)展支持。 系統(tǒng)的性能系統(tǒng)要求具有較高的性能指標(biāo)，必須支持不少于500個(gè)并發(fā)用戶的能力。系統(tǒng)必須支持HA功能，支持A/P和A/A模式，系統(tǒng)要實(shí)現(xiàn)對(duì)集群主機(jī)的集中管理。HA系統(tǒng)下，設(shè)備的升級(jí)必須不中斷業(yè)務(wù)。 系統(tǒng)管理功能支持基于WEB的管理方式，支持系統(tǒng)配置的導(dǎo)入導(dǎo)出。支持基于角色的管理員授權(quán)機(jī)制，不同的管理員對(duì)不同模塊，不同的用戶組具有不同的管理功能，不同的讀寫權(quán)限。支持Syslog，支持SNMP ,可以提供MIB庫(kù)，系統(tǒng)提供豐富的日志功能和過濾查詢功能，日志信息包括且不局限于用戶的登入，退出，身份認(rèn)證結(jié)果，連接超時(shí)，用戶主機(jī)安全檢查狀況，系統(tǒng)自身配置改變，系統(tǒng)狀態(tài)等。提供系統(tǒng)使用狀況分析，圖形化的表示系統(tǒng)的并發(fā)用戶數(shù)、CPU利用率等指標(biāo)。 系統(tǒng)安全性系統(tǒng)本身是安全的，要求通過TruSecure, Cryptography Research 和iSec 等國(guó)際權(quán)威安全機(jī)構(gòu)的安全認(rèn)證，系統(tǒng)本身數(shù)據(jù)采用加密的保存方式。本身包含防火墻、防拒絕服務(wù)攻擊等安全機(jī)制。整個(gè)系統(tǒng)各個(gè)組件之間的傳輸要求必須是安全的加密傳輸，請(qǐng)說明整個(gè)方案各個(gè)組件之間傳輸所用的協(xié)議說明。 系統(tǒng)性能要求系統(tǒng)支持XXX個(gè)并發(fā)用戶。網(wǎng)絡(luò)執(zhí)行器采用網(wǎng)絡(luò)中原有的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)安全設(shè)備，作為網(wǎng)絡(luò)訪問的策略執(zhí)行，要求能夠滿足2層到7層的訪問權(quán)限控制。 支持802.1x協(xié)議，支持EAP及其擴(kuò)展協(xié)議，能夠完成二層的接入控制，要求支持的交換機(jī)包括且不局限于以下廠家：Cisco, Extreme, Huawei, HP, Foundry，3com，Nortel等；支持的無線接入點(diǎn)包括且不局限于以下廠家：Cisco, Aruba, Trapeze, Meru ，Colubris等。 對(duì)支持802.1x和動(dòng)態(tài)VLAN劃分的交換機(jī)設(shè)備，可以根據(jù)用戶實(shí)際的訪問權(quán)限，將其分配到指定的VLAN里，實(shí)現(xiàn)基于身份和安全狀況的接入控制和隔離。 對(duì)于網(wǎng)絡(luò)中的防火墻設(shè)備作為控制點(diǎn)，可以實(shí)現(xiàn)基于源地址的訪問控制，并且對(duì)指定的用戶連接，采用自動(dòng)建立VPN的方式，保證傳輸?shù)陌踩浴?對(duì)于未授權(quán)的流量，可以將用戶的連接重新定向到網(wǎng)絡(luò)控制器，強(qiáng)制用戶進(jìn)行身份認(rèn)證，也保證用戶訪問的透明性和方便性。 可加入防火墻的某些特性客戶端代理軟件 安裝模式支持客戶端代理軟件的自動(dòng)安裝，無需管理員逐一的對(duì)客戶端的主機(jī)進(jìn)行軟件的預(yù)安裝，用戶通過WEB方式登陸到網(wǎng)絡(luò)控制器后，可以實(shí)現(xiàn)自動(dòng)的下載，自動(dòng)的安裝。同時(shí)支持其他的軟件安裝模式，包括提供軟件在客戶端手工安裝等。 客戶端支持的操作系統(tǒng)包括Windows XP SP1/SP2，Windows 2K，Mac OS ,Linux，Solaris等，支持在Windows 域環(huán)境下對(duì)網(wǎng)絡(luò)控制器的單點(diǎn)登陸，不需要兩次輸入用戶名/密碼。 客戶端安全檢查代理軟件支持對(duì)客戶端安全屬性的檢查，如可以檢查客戶端的防病毒軟件，個(gè)人防火墻軟件，惡意程序保護(hù)軟件，間諜軟件防護(hù)等，已經(jīng)他們的更新情況。提供預(yù)定義的檢查策略，支持且不局限于下面廠商的產(chǎn)品：u 防病毒廠商 Authentium, BitDefender, AVG, Clamwin, CA, Dr Web, Symantec (Norton), McAfee, Panda, Sophos, F-Secure, Kaspersky Labs, Zone Labs, SBC Yahoo AV, Trend Micro, Antivir, F-Prot, Nod 32u 個(gè)人防火墻廠商: ISS, Microsoft, Symantec (Norton and Sygate), McAfee, Zone Labs, Tiny Software (CA)u 防間諜軟件廠商: Lavasoft (Ad-aware), Computer Associates (Pest Patrol), McAfee, Prevx, Webroot (spy sweeper), PCTools (spyware doctor), Java cool software (spyware blaster), Microsoft, Trend Micro, Bulletproofsoft, Spyware begone, SBC Yahoo支持自定義的安全檢查策略，包括檢查系統(tǒng)中的文件，狀態(tài)表，進(jìn)程，開放的端口等，并且可以提供API接口，通過對(duì)安全檢查的擴(kuò)展。系統(tǒng)提供對(duì)不符合安全策略的客戶端的修復(fù)功能，如重定向到病毒更新服務(wù)器，補(bǔ)丁服務(wù)器