Juniper-SSL-VPN-遠(yuǎn)程安全訪問解決方案建議書

JuniperSSLVPN遠(yuǎn)程平安訪問解決方案建議書美國(guó)Juniper網(wǎng)絡(luò)公司目錄1 企業(yè)網(wǎng)絡(luò)遠(yuǎn)程訪問面臨挑戰(zhàn) 42 Juniper遠(yuǎn)程平安訪問解決方案 43 Juniper遠(yuǎn)程訪問解決方案 53.1 全面的遠(yuǎn)程訪問接入 5 網(wǎng)絡(luò)部署 6 無需安裝客戶端的遠(yuǎn)程平安訪問 7 提高網(wǎng)絡(luò)傳輸性能 9 用戶運(yùn)用界面自定制 9 系統(tǒng)日志和維護(hù) 10 高可用性配置 103.2 全面的遠(yuǎn)程接入平安愛護(hù) 11 接入節(jié)點(diǎn)的平安 11 平安的數(shù)據(jù)傳輸 13 堅(jiān)實(shí)平安的系統(tǒng)平臺(tái) 13 動(dòng)態(tài)全面的資源訪問限制 143.3 平安訪問產(chǎn)品的選擇 15 Juniper遠(yuǎn)程訪問系統(tǒng)產(chǎn)品線說明 15 產(chǎn)品的選擇 163.4 部署和管理遠(yuǎn)程訪問系統(tǒng) 17 部署過程 17 管理配置 17 系統(tǒng)日志和維護(hù) 18 管理員權(quán)限安排 184 Juniper公司介紹 194.1 公司介紹 194.2 企業(yè)構(gòu)想 194.3 聯(lián)系方式 20企業(yè)網(wǎng)絡(luò)遠(yuǎn)程訪問面臨挑戰(zhàn)隨著互聯(lián)網(wǎng)的發(fā)展和電子商務(wù)的普及，越來越多公司的員工已經(jīng)不僅僅是坐在辦公室里處理日常事務(wù)，象出差員工、家庭辦公等多種類型的遠(yuǎn)程訪問公司內(nèi)部資源和應(yīng)用的須要變得非常的迫切。同時(shí)，這種網(wǎng)絡(luò)連接的發(fā)生也為企業(yè)網(wǎng)絡(luò)引入了新的平安威逼，但是目前的網(wǎng)絡(luò)平安方案又是非常的昂貴和困難。目前的企業(yè)極須要一種簡(jiǎn)潔好用的解決方案，可以平安的實(shí)現(xiàn)遠(yuǎn)程員工、合作伙伴乃至客戶對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)資源的訪問，而又不會(huì)為企業(yè)網(wǎng)絡(luò)帶來新的平安風(fēng)險(xiǎn)。Juniper遠(yuǎn)程平安訪問解決方案企業(yè)通過Internet數(shù)據(jù)傳輸平臺(tái)，實(shí)施加密的VPN實(shí)現(xiàn)平安接入的方法主要有兩種：一種是IPsecVPN，另一種是SSLVPN。兩種技術(shù)在不同領(lǐng)域各有其優(yōu)勢(shì)，在實(shí)施固定的站點(diǎn)到站點(diǎn)的VPN和困難應(yīng)用的移動(dòng)用戶接入VPN時(shí)，一般采納IPsec技術(shù)；在實(shí)施一般應(yīng)用的移動(dòng)用戶接入VPN時(shí)，通常采納SSL技術(shù)。Juniper的SSL平安訪問產(chǎn)品（可簡(jiǎn)稱為IVE）從根本上解決了企業(yè)的遠(yuǎn)程訪問問題，可以為企業(yè)的遠(yuǎn)程員工、合作伙伴供應(yīng)對(duì)內(nèi)網(wǎng)資源的平安遠(yuǎn)程訪問。同時(shí)它又消退了因?yàn)檫h(yuǎn)程用戶客戶端的維護(hù)等帶來的諸多不便。極大的削減了工程投資Juniper的遠(yuǎn)程訪問解決方案極大的削減了工程的投資，IVE設(shè)備的部署和維護(hù)都非常的簡(jiǎn)潔，不須要任何客戶端軟件的安裝，也不須要對(duì)服務(wù)器端進(jìn)行特別的設(shè)置，是目前僅有的可以通過很短時(shí)間的配置就可以為成千用戶供應(yīng)遠(yuǎn)程訪問的方案，同時(shí)這種方案不須要指定單獨(dú)的客戶端設(shè)備、不須要其他的平安設(shè)備和應(yīng)用程序的支持，僅僅利用標(biāo)準(zhǔn)WEB閱讀器的平安功能就實(shí)現(xiàn)了平安的遠(yuǎn)程訪問。同其他的網(wǎng)絡(luò)層的VPN設(shè)備一樣，IVE平臺(tái)也兼容已經(jīng)存在的網(wǎng)絡(luò)服務(wù)器和網(wǎng)絡(luò)資源，不須要再做單獨(dú)的定制開發(fā)和軟件集成，IVE平臺(tái)大大削減了系統(tǒng)部署的費(fèi)用，由于不存在客戶端軟件的安裝，也就削減了由此而引起的出差維護(hù)和管理的費(fèi)用。提高了系統(tǒng)平安性IVE平臺(tái)供應(yīng)整體的網(wǎng)絡(luò)平安設(shè)計(jì)，通過堅(jiān)實(shí)的系統(tǒng)完成對(duì)外部應(yīng)用懇求的轉(zhuǎn)換，同時(shí)對(duì)各種連接進(jìn)行細(xì)粒度的訪問限制，而這種平安上的保障，是不以投資、困難性和穩(wěn)定性的犧牲為前提的。Juniper遠(yuǎn)程訪問解決方案全面的遠(yuǎn)程訪問接入IVE平臺(tái)可以為用戶供應(yīng)便利平安的遠(yuǎn)程訪問，包含但不局限于以下應(yīng)用：內(nèi)部網(wǎng)絡(luò)的內(nèi)容應(yīng)用和基于WEB的應(yīng)用客戶端/服務(wù)器應(yīng)用全部的消息服務(wù)器（MSExchange,LotusNotes）文件服務(wù)器（MSCIFS,NFS）Telnet,SSH標(biāo)準(zhǔn)的郵件服務(wù)器（IMAP,POP,SMTP）下圖描述了Juniper遠(yuǎn)程平安訪問應(yīng)用的簡(jiǎn)潔模型，遠(yuǎn)程員工或者合作伙伴通過INTERNET連接到IVE設(shè)備上，該設(shè)備通過認(rèn)證、授權(quán)和中間轉(zhuǎn)換等技術(shù)響應(yīng)用戶對(duì)內(nèi)部資源的訪問，而不須要對(duì)內(nèi)部的服務(wù)器做任何的改動(dòng)。網(wǎng)絡(luò)部署XXX網(wǎng)絡(luò)須要部署邊界的網(wǎng)絡(luò)防火墻，將企業(yè)的網(wǎng)絡(luò)劃分為兩個(gè)部分：內(nèi)網(wǎng)和服務(wù)器區(qū)，一般來說，遠(yuǎn)程的用戶對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)的訪問主要是針對(duì)服務(wù)器區(qū)的一些重要的應(yīng)用服務(wù)器，如OA系統(tǒng)、業(yè)務(wù)系統(tǒng)、郵件系統(tǒng)等等。我們建議將Juniper的遠(yuǎn)程訪問系統(tǒng)安裝在用戶網(wǎng)絡(luò)的DMZ區(qū)。在企業(yè)的出口防火墻上，須要為IVE設(shè)備映射一個(gè)合法可路由的IP地址，以便互聯(lián)網(wǎng)的用戶可以正常的連接到IVE設(shè)備上，同時(shí)在防火墻上也須要添加相應(yīng)的平安策略，遠(yuǎn)程用戶只能訪問IVE設(shè)備的443端口（HTTPS連接），對(duì)IVE設(shè)備和內(nèi)部服務(wù)器進(jìn)行愛護(hù)。同時(shí)我們也須要不是身份認(rèn)證服務(wù)器對(duì)遠(yuǎn)程用戶的身份信息進(jìn)行驗(yàn)證。對(duì)于XXX網(wǎng)絡(luò)，由于已經(jīng)部署了PKI系統(tǒng)，可以利用X.509格式證書認(rèn)證的方式，來實(shí)現(xiàn)遠(yuǎn)程用戶的訪問。遠(yuǎn)程的用戶首先通過WEB閱讀器登陸IVE設(shè)備，向IVE遞交相應(yīng)的證書，IVE驗(yàn)證客戶端證書后，可以向相應(yīng)的LDAP服務(wù)器進(jìn)行查詢，得到該證書的相關(guān)屬性，并且進(jìn)行訪問的授權(quán)，這樣的話，用戶就可以訪問內(nèi)部相關(guān)的服務(wù)器資源。遠(yuǎn)程用戶的客戶機(jī)與IVE設(shè)備之間的通訊，采納了SSL加密的手段，也就保證了這些敏感的數(shù)據(jù)在不行信任的互聯(lián)網(wǎng)上的平安傳輸。同時(shí)，為了保證業(yè)務(wù)的連續(xù)性，為遠(yuǎn)程的用戶供應(yīng)不間斷的服務(wù)，可以采納Juniper的多臺(tái)IVE設(shè)備，配置成集群的模式，集群模式可以采納主備的模式，在一臺(tái)IVE設(shè)備發(fā)生故障的時(shí)候，另外的設(shè)備可以自動(dòng)的接替它的工作；也可以采納多主的模式，對(duì)遠(yuǎn)程連接實(shí)現(xiàn)負(fù)載均擔(dān)，提高網(wǎng)絡(luò)的訪問性能。下圖是JuniperIVE設(shè)備部署的一個(gè)典型的拓?fù)鋱D：無需安裝客戶端的遠(yuǎn)程平安訪問Juniper的IVE遠(yuǎn)程平安訪問系統(tǒng)，在無需安裝客戶端的前提下，利用系統(tǒng)已有的標(biāo)準(zhǔn)的WEB閱讀器，通過閱讀器支持的SSL平安協(xié)議，實(shí)現(xiàn)對(duì)企業(yè)內(nèi)網(wǎng)的應(yīng)用服務(wù)器的平安訪問。訪問過程中，重要數(shù)據(jù)在互聯(lián)網(wǎng)上以SSL加密的形式傳輸。IVE系統(tǒng)通過以下三種方式幫助遠(yuǎn)程客戶端實(shí)現(xiàn)對(duì)企業(yè)內(nèi)部應(yīng)用服務(wù)器的訪問。核心WEB方式核心方式（coreaccess）的訪問采納標(biāo)準(zhǔn)WEB方式，遠(yuǎn)程用戶首先登陸到IVE系統(tǒng)當(dāng)中，進(jìn)行相關(guān)的平安機(jī)制檢查和身份認(rèn)證，通過認(rèn)證和授權(quán)后，干脆點(diǎn)擊IVE系統(tǒng)主頁(yè)上的相關(guān)預(yù)定義好的網(wǎng)絡(luò)標(biāo)簽實(shí)現(xiàn)對(duì)內(nèi)部服務(wù)器的訪問。核心方式的訪問支持如下的應(yīng)用：平安的web應(yīng)用訪問：對(duì)基于web的內(nèi)容和應(yīng)用供應(yīng)支持，也包括HTML,Javascript,DHTML,VBScript,Javaapplets等。平安的文件共享訪問：動(dòng)態(tài)Windows和Unix文件(CIFS/NFS)的web化基于標(biāo)準(zhǔn)的E-mail客戶端訪問（outlookwebaccess）平安的終端訪問：對(duì)Telnet/SSH主機(jī)(VT100,VT320…)的訪問CORE方式主要適合于遠(yuǎn)程合作伙伴或者用戶進(jìn)行WEB訪問之用。平安內(nèi)容管理器在平安內(nèi)容管理器（SAM,secureapplicationmanager)方式中，遠(yuǎn)程用戶首先登陸到IVE系統(tǒng)當(dāng)中，進(jìn)行相關(guān)的平安機(jī)制檢查和身份認(rèn)證，通過認(rèn)證和授權(quán)后，遠(yuǎn)程系統(tǒng)會(huì)自動(dòng)加載一個(gè)小插件，這個(gè)插件可以將指定的網(wǎng)絡(luò)訪問進(jìn)行重新的定向和SSL封裝，將懇求傳給SA系統(tǒng)，由IVE系統(tǒng)對(duì)懇求進(jìn)行解析，并且對(duì)企業(yè)內(nèi)部的應(yīng)用服務(wù)器進(jìn)行訪問懇求。SAM模式可以保證現(xiàn)有的客戶化應(yīng)用不受變更。采納SAM的方式可以支持如下的應(yīng)用：訪問客戶端/服務(wù)器應(yīng)用,包括nativemessagingclients（MicrosoftOutlookandIBM/LotusNotes）其他的基于固定服務(wù)端口，較為簡(jiǎn)潔的應(yīng)用SAM方式主要適合于遠(yuǎn)程合作伙伴或者用戶進(jìn)行C/S架構(gòu)的相關(guān)訪問之用。網(wǎng)絡(luò)層連接（networkconnect）在網(wǎng)絡(luò)層連接（networkconnect）方式中，遠(yuǎn)程用戶首先登陸到IVE系統(tǒng)當(dāng)中，進(jìn)行相關(guān)的平安機(jī)制檢查和身份認(rèn)證，通過認(rèn)證和授權(quán)后，遠(yuǎn)程系統(tǒng)會(huì)自動(dòng)加載一個(gè)小插件，這個(gè)插件可以從IVE系統(tǒng)中自動(dòng)的獲得一個(gè)內(nèi)部網(wǎng)絡(luò)的IP地址，從而實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)絡(luò)資源的訪問，該種訪問方式與IPSec類似。采納NC的方式可以支持幾乎全部的網(wǎng)絡(luò)應(yīng)用，包括相對(duì)困難的視頻會(huì)議、IP電話等等。一般來說這種方式的訪問適合于網(wǎng)絡(luò)管理員進(jìn)行遠(yuǎn)程管理用。提高網(wǎng)絡(luò)傳輸性能遠(yuǎn)程訪問的速度問題，始終是VPN系統(tǒng)須要解決的問題之一，與IPSec的VPN解決方案便利，JuniperIVE系統(tǒng)供應(yīng)了更高的網(wǎng)絡(luò)傳輸性能，采納的技術(shù)手段包括：利用預(yù)協(xié)商好的GZIP壓縮機(jī)制來在對(duì)應(yīng)用部分的流量在加密之前首先進(jìn)行壓縮處理，只對(duì)應(yīng)用層的數(shù)據(jù)進(jìn)行加密，不進(jìn)行協(xié)議的再次封裝，從而削減互聯(lián)網(wǎng)上傳送的流量,提高了網(wǎng)絡(luò)傳輸?shù)男阅堋９?yīng)隧道分割(SplitTunneling)實(shí)力，假如運(yùn)用了NC或者SAM方式，系統(tǒng)通過設(shè)置可以完成只允許流向LAN的流量通過VPN連接器進(jìn)行傳輸。而去其他地方(如其他的互聯(lián)網(wǎng)訪問)的流量將通過客戶端原有的網(wǎng)關(guān)之間訪問。用戶運(yùn)用界面自定制管理員可以自由調(diào)整用戶登陸IVE系統(tǒng)的標(biāo)識(shí)與具體界面的外觀，比如可以修改LOGO,界面的顏色等等，這樣可以更好地匹配公司的風(fēng)格。同時(shí)管理員可以對(duì)不同的用戶組實(shí)現(xiàn)不同的登陸界面和URL。系統(tǒng)日志和維護(hù)IVE系統(tǒng)可以生成具體的日志信息，這些日志信息可以在本地保存，也可以傳送給相應(yīng)的SYSLOG服務(wù)器，由于SSL信道和認(rèn)證子模塊可以對(duì)客戶端和服務(wù)器終端進(jìn)行檢查，并且記錄下相關(guān)的信息，我們可以用這些日志進(jìn)行審計(jì)。管理員通過IVE系統(tǒng)的日志管理器或者SYSLOG日志服務(wù)器，可以推斷什么用戶在指定的系統(tǒng)或者資源上做了什么訪問。同時(shí)可以利用日志管理器供應(yīng)的過濾搜尋功能，便利的查找出你想得到的信息。同時(shí)，IVE系統(tǒng)內(nèi)部也供應(yīng)了多種維護(hù)和調(diào)試的工具，如系統(tǒng)的狀態(tài)顯示、PING/TRACEROUTE/TCPDUMP等工具等。高可用性配置為了解決單機(jī)單點(diǎn)故障引起的遠(yuǎn)程訪問的中斷，JuniperIVE設(shè)備支持HA功能。可以支持狀態(tài)保持下的主/備模式，當(dāng)主IVE設(shè)備出現(xiàn)故障（包括網(wǎng)絡(luò)故障和主機(jī)故障），備份的IVE設(shè)備就會(huì)自動(dòng)的切換為主設(shè)備，接替原有設(shè)備的工作，由于多臺(tái)集群設(shè)備之間實(shí)現(xiàn)了狀態(tài)的自動(dòng)同步，已有的用戶連接不會(huì)中斷。協(xié)作流量負(fù)載設(shè)備，JuniperIVE系統(tǒng)支持多主的負(fù)載均擔(dān)方式，不僅可以實(shí)現(xiàn)備份功能，更可以擴(kuò)大容量（如增加系統(tǒng)的并發(fā)用戶數(shù)），又可以實(shí)現(xiàn)流量分擔(dān)，供應(yīng)訪問的速度。互為集群的設(shè)備之間，可以針對(duì)以下的信息進(jìn)行同步。系統(tǒng)狀態(tài)用戶檔案狀態(tài)會(huì)話狀態(tài)群集對(duì)多站點(diǎn)群集對(duì)主動(dòng)/主動(dòng)配置選項(xiàng)全面的遠(yuǎn)程接入平安愛護(hù)Juniper的遠(yuǎn)程接入解決方案供應(yīng)全方位的平安愛護(hù)，從客戶端的接入，到數(shù)據(jù)在互聯(lián)網(wǎng)上的傳輸，再到IVE接入平臺(tái)，到對(duì)后臺(tái)服務(wù)器的資源防護(hù)限制等各個(gè)方面，都供應(yīng)了相應(yīng)的平安機(jī)制。接入節(jié)點(diǎn)的平安節(jié)點(diǎn)平安機(jī)制檢查隨著遠(yuǎn)程用戶的接入，對(duì)于網(wǎng)絡(luò)管理員來說，相當(dāng)于將企業(yè)的辦公網(wǎng)絡(luò)進(jìn)行了延長(zhǎng)，如何將企業(yè)原有的平安愛護(hù)措施和平安策略對(duì)于新接入的主機(jī)也同樣有效，Juniper的IVE系統(tǒng)供應(yīng)全面的解決方案，可以對(duì)接入節(jié)點(diǎn)的平安策略進(jìn)行檢查，并且依據(jù)檢查的結(jié)果，實(shí)施相應(yīng)的訪問限制。并且允許管理員對(duì)以下的選項(xiàng)進(jìn)行定制。和第三方節(jié)點(diǎn)平安解決方案整合，如InfoExpress，McAfee，Sygate，ZoneLabs等注冊(cè)表參數(shù)檢查開放/不允許的ports檢查允許/不允許的進(jìn)程檢查允許/不允許的文件檢查檢查定制的dlls對(duì)第三方軟件實(shí)施心跳檢查應(yīng)用認(rèn)證檢查(進(jìn)程,文件MD5Hash)與賽們鐵可的惡意軟件防護(hù)功能相結(jié)合，供應(yīng)了客戶端對(duì)惡意軟件訪問的支持訪問緩存清除代理假如遠(yuǎn)程用戶運(yùn)用了不行信任的遠(yuǎn)程主機(jī)，對(duì)企業(yè)的內(nèi)部網(wǎng)絡(luò)進(jìn)行了訪問，閱讀器的緩存中將會(huì)保留一部分訪問的數(shù)據(jù)，很簡(jiǎn)潔造成敏感信息的意外泄漏，Juniper的IVE系統(tǒng)為此供應(yīng)了緩存清除的功能，用戶在登陸內(nèi)部網(wǎng)絡(luò)的時(shí)候，自動(dòng)在本地加載一個(gè)緩存清除代理，在用戶正常注銷或者非正常退出的狀況下，清除系統(tǒng)的該次訪問留下的會(huì)話數(shù)據(jù)和臨時(shí)文件。保證了敏感信息不會(huì)保留在客戶端主機(jī)上。對(duì)登陸用戶的身份驗(yàn)證IVE系統(tǒng)支持?jǐn)?shù)字證書的運(yùn)用，可以單獨(dú)的利用客戶端的數(shù)字證書對(duì)用戶身份進(jìn)行驗(yàn)證，從而避開了輸入用戶名/密碼的麻煩。同時(shí)，IVE系統(tǒng)還支持多種認(rèn)證服務(wù)器（包括RADIUS、LDAP、WindowsNTDomain、ActiveDirectory、UNIXNIS、dualfactor認(rèn)證，包括ActivCardActivPack?、RSASecurID?和SecureComputingSafeWord?PremierAccess?以及X.509客戶端數(shù)字證書），也可在設(shè)備上建立本地用戶數(shù)據(jù)庫(kù)，更支持LDAP/ActiveDirectory的用戶組的特性，便利管理員定義策略。對(duì)于XXX系統(tǒng)，由于已經(jīng)存在了PKI系統(tǒng)，我們可以利用證書的方式對(duì)客戶端進(jìn)行認(rèn)證，這樣我們須要為IVE系統(tǒng)也申請(qǐng)一個(gè)數(shù)字證書(也可以將根CA證書導(dǎo)入到IVE系統(tǒng)當(dāng)中)，這樣的話，只有遞交了正確的數(shù)字證書的用戶，才能夠通過IVE系統(tǒng)的認(rèn)證，具有對(duì)后臺(tái)服務(wù)器的訪問權(quán)限。同時(shí)，IVE系統(tǒng)還支持通過CRL下載或者OCSP協(xié)議等，對(duì)證書的狀態(tài)進(jìn)行查詢，這樣的話，失效的證書也無法登陸IVE平臺(tái)。同時(shí)我們也可以采納用戶名、密碼與數(shù)字證書相結(jié)合的方式，登陸的用戶必需在遞交合法的數(shù)字證書的同時(shí)，輸入相應(yīng)的用戶名和密碼，才能夠登陸IVE平臺(tái)。IVE平臺(tái)也供應(yīng)了對(duì)用戶端密碼暴力破解的防護(hù)，為了防止字典探測(cè)攻擊。系統(tǒng)對(duì)多次登陸懇求的頻率進(jìn)行了限制。平安的數(shù)據(jù)傳輸遠(yuǎn)程訪問的用戶的數(shù)據(jù)在不行信任的互聯(lián)網(wǎng)上傳輸?shù)臅r(shí)候，采納了SSL加密的技術(shù)，保證了信息不會(huì)因?yàn)楸粋陕?，竊取而造成重要信息的泄露。SSL傳輸可以設(shè)定相關(guān)的加密的強(qiáng)度，為了平安須要，可以采納高強(qiáng)度的加密傳輸，數(shù)據(jù)的加密采納對(duì)稱密鑰的方式，系統(tǒng)缺省2分鐘協(xié)商一次密鑰信息，保證了惡意的攻擊者無法得到精確的密鑰。假如用戶提交的認(rèn)證信息正確，系統(tǒng)將會(huì)發(fā)放一個(gè)授權(quán)的標(biāo)記（TOKEN），在WEB懇求當(dāng)中，這個(gè)標(biāo)記保存在一個(gè)加密的回話COOKIE當(dāng)中，這種做法保證了系統(tǒng)不會(huì)受到冒認(rèn)者的攻擊。因?yàn)橐粋€(gè)攻擊者須要來偽造一個(gè)會(huì)話的標(biāo)記（TOKEN）才能達(dá)到冒認(rèn)的效果，而這又是很難實(shí)現(xiàn)的，同時(shí)在互聯(lián)網(wǎng)上傳輸?shù)臄?shù)據(jù)包，其目的地址都是對(duì)于與IVE平臺(tái)的公網(wǎng)地址，也不會(huì)泄露網(wǎng)絡(luò)內(nèi)部服務(wù)器的網(wǎng)絡(luò)拓?fù)?。?jiān)實(shí)平安的系統(tǒng)平臺(tái)IVE系統(tǒng)采納了優(yōu)化的Linux內(nèi)核和額外優(yōu)化的服務(wù)器軟件的加固硬件系統(tǒng)，該系統(tǒng)被設(shè)計(jì)成可以抵擋針對(duì)系統(tǒng)的攻擊和針對(duì)通過該系統(tǒng)數(shù)據(jù)的攻擊。系統(tǒng)可以通過只運(yùn)行完成關(guān)鍵任務(wù)的服務(wù)來防止攻擊，這些關(guān)鍵的服務(wù)在開發(fā)時(shí)就進(jìn)行了平安加固，確保系統(tǒng)的平安性。IVE系統(tǒng)不運(yùn)行通常的用戶和程序服務(wù)，因此不會(huì)導(dǎo)致針對(duì)這些服務(wù)的攻擊。IVE系統(tǒng)不允許管理員創(chuàng)建、維護(hù)系統(tǒng)級(jí)的用戶帳號(hào)。因?yàn)闆]有交互式的Shell和打開的系統(tǒng)帳號(hào)，潛在的入侵者無法嘗試?yán)么嗳醯目诹睢⑷笔ぬ?hào)或遺棄的帳號(hào)對(duì)系統(tǒng)進(jìn)行非授權(quán)的訪問。IVE系統(tǒng)內(nèi)部采納了內(nèi)核級(jí)別的包過濾機(jī)制，利用預(yù)定義的一些規(guī)則，對(duì)進(jìn)入系統(tǒng)的數(shù)據(jù)包進(jìn)行推斷和檢查，保證了只有合法的數(shù)據(jù)包才可以進(jìn)入或者通過IVE系統(tǒng)。IVE系統(tǒng)上的全部信息都采納了AES的加密處理，保證了剛好設(shè)備被進(jìn)入或者被偷走，惡意的攻擊者都無法看到系統(tǒng)中的相關(guān)信息。JuniperIVE平臺(tái)的設(shè)計(jì)和開發(fā)過程通過多個(gè)平安專業(yè)保障公司和專家的審查和驗(yàn)證，TrueSecure，世界領(lǐng)先的針對(duì)互聯(lián)網(wǎng)連接平安供應(yīng)保證方案的組織，為JuniperIVE平臺(tái)進(jìn)行了驗(yàn)證，并且供應(yīng)了相關(guān)的報(bào)告，JuniperIVE也是SSLVPN同類產(chǎn)品中唯一通過TrueSecure驗(yàn)證的產(chǎn)品，另外，DanFarmer（SATAN的作者，一位受人敬重的平安專家）和CryptographyResearch（SSL3.0的合作設(shè)計(jì)者）也對(duì)IVE系統(tǒng)進(jìn)行了審計(jì)和驗(yàn)證。動(dòng)態(tài)全面的資源訪問限制JuniperIVE系統(tǒng)支持全面的細(xì)粒度的訪問限制機(jī)制，真正實(shí)現(xiàn)了對(duì)用戶身份（Who）,訪問的目的資源（What）,時(shí)間（When）,位置（Where）和方式（How）的動(dòng)態(tài)限制。動(dòng)態(tài)認(rèn)證策略：IVE平臺(tái)可以通過多種要素對(duì)用戶身份進(jìn)行認(rèn)證，包括供應(yīng)身份前檢查和供應(yīng)身份后檢查，其中供應(yīng)身份前檢查的內(nèi)容可包括：源地址、網(wǎng)絡(luò)接口（內(nèi)/外）、證書、節(jié)點(diǎn)平安狀況檢查（包括主機(jī)檢查和緩存清除）、閱讀器、登錄的URL、SSL版本和加密級(jí)別；供應(yīng)身份后檢查的內(nèi)容可包括：身份確定、證書特性、密碼長(zhǎng)度、同時(shí)登錄用戶數(shù)、書目服務(wù)密碼等等；IVE平臺(tái)可以依據(jù)這些內(nèi)容，將登陸的用戶劃分為相應(yīng)的角色，并且基于角色實(shí)現(xiàn)授權(quán)。另外上面的很大一部分檢查都是一個(gè)動(dòng)態(tài)的過程，IVE平臺(tái)可以定時(shí)的檢查客戶端的相關(guān)信息。如可以定時(shí)的檢查客戶端的防病毒軟件是否開啟，假如用戶在運(yùn)用過程中關(guān)閉了防病毒軟件，系統(tǒng)可能會(huì)因此在用戶的訪問過程中變更該用戶所屬的角色，重新為該用戶安排相應(yīng)的權(quán)限。這樣的話，就實(shí)現(xiàn)了一個(gè)動(dòng)態(tài)的訪問規(guī)則的限制。角色定義和訪問手段的限制：管理員可以定義用戶屬于一個(gè)或多個(gè)角色，對(duì)不同角色供應(yīng)不同的訪問權(quán)限。對(duì)屬于多個(gè)角色的用戶可以一次性地給該用戶多個(gè)角色的總和，也可以讓用戶選擇采納某個(gè)角色進(jìn)行應(yīng)用訪問；對(duì)于不同的用戶角色，管理員賜予不同的訪問權(quán)限，首先是對(duì)訪問方式的授權(quán)，如指定的用戶只能通過WEB或者C/S方式進(jìn)行等等對(duì)目的資源的訪問限制策略：對(duì)于不同的應(yīng)用資源，管理員可以供應(yīng)不同的訪問策略，策略可以以IP地址為基礎(chǔ)，也可以實(shí)現(xiàn)到基于URL級(jí)別或者文件級(jí)別的應(yīng)用層的訪問限制，對(duì)于XXX網(wǎng)絡(luò)，我們可以實(shí)現(xiàn)通過得到LDAP書目服務(wù)器的相關(guān)證書信息，依據(jù)這些信息進(jìn)行權(quán)限的安排。平安訪問產(chǎn)品的選擇Juniper遠(yuǎn)程訪問系統(tǒng)產(chǎn)品線說明Juniper網(wǎng)絡(luò)公司供應(yīng)的系列SSLVPN遠(yuǎn)程訪問系統(tǒng)可以依據(jù)用戶應(yīng)用狀況、運(yùn)用環(huán)境等的不同，供應(yīng)四款不同型號(hào)的產(chǎn)品，來滿意不同用戶的實(shí)際需求。SecureAccess700系列，為中小企業(yè)供應(yīng)經(jīng)濟(jì)高效的平安方式，支持員工遠(yuǎn)程平安的接入企業(yè)網(wǎng)絡(luò)。SecureAccess700系列支持的并發(fā)用戶數(shù)為10－25個(gè)，可以依據(jù)license的不同進(jìn)行限制。SecureAccess700系列運(yùn)用平安套接層(SSL)供應(yīng)加密傳輸，因此，用戶只需Web閱讀器便可即時(shí)接入網(wǎng)絡(luò)。這消退了為每位用戶安裝、配置以及維護(hù)客戶端軟件的昂揚(yáng)成本。由于運(yùn)用SSL傳輸，SecureAccess700還消退了傳統(tǒng)遠(yuǎn)程接入產(chǎn)品中常見的網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)和防火墻穿越問題。SecureAccess700利用了網(wǎng)絡(luò)連接技術(shù)，這擴(kuò)展了最廣泛的遠(yuǎn)程連接形式，且無需安裝桌面系統(tǒng)軟件，因?yàn)樗\(yùn)用了包含在標(biāo)準(zhǔn)Web閱讀器中的平安協(xié)議。SecureAccess2000系列和SecureAccess4000系列SSLVPN分別為中小型企業(yè)和大中型企業(yè)供應(yīng)經(jīng)濟(jì)高效平安的遠(yuǎn)程接入。SA2000系列支持的并發(fā)用戶數(shù)為25－100個(gè)，SA4000系列支持的并發(fā)用戶數(shù)為50－1000個(gè),可以依據(jù)license的不同進(jìn)行限制。SA2000和SA4000系列基于InstantVirtualExtranet平臺(tái)，該平臺(tái)運(yùn)用全部標(biāo)準(zhǔn)Web閱讀器中所運(yùn)用的平安協(xié)議SSL作為平安接入傳輸機(jī)制。SSL的運(yùn)用使客戶不再須要部署客戶端軟件、修改內(nèi)部服務(wù)器或進(jìn)行成本昂揚(yáng)的后期維護(hù)。SecureAccess產(chǎn)品還可以供應(yīng)先進(jìn)的合作伙伴/客戶外聯(lián)網(wǎng)特性來只允許特定用戶和用戶組接入，而且只須要很少甚至根本不須要基礎(chǔ)設(shè)施修改、DMZ部署或軟件代理程序。這一功能還使企業(yè)可以愛護(hù)企業(yè)內(nèi)聯(lián)網(wǎng)接入的平安性，使管理員可以依據(jù)不同員工、承包商和訪問者須要的資源來限制他們的接入權(quán)限。該系列產(chǎn)品可以部署在經(jīng)濟(jì)高效的群集對(duì)（ClusterPair）中以供應(yīng)企業(yè)須要的冗余性、高可用性和無縫的故障切換功能。SecureAccess6000系列SSLVPN可以為那些有大量平安接入和困難授權(quán)要求的企業(yè)供應(yīng)一流的性能、可擴(kuò)展性和冗余。單臺(tái)SA6000系列支持的并發(fā)用戶數(shù)為100-2500個(gè)該產(chǎn)品系列特地設(shè)計(jì)用于滿意最嚴(yán)格的性能要求--支持大量用戶、資源密集型應(yīng)用程序和困難的運(yùn)用模式--以供應(yīng)更高的可擴(kuò)展性。SA6000系列產(chǎn)品可以供應(yīng)豐富的接入管理策略實(shí)施功能，使企業(yè)可以為大量差分用戶供應(yīng)平安遠(yuǎn)程接入的優(yōu)勢(shì)，同時(shí)輕松而經(jīng)濟(jì)高效地愛護(hù)外聯(lián)網(wǎng)和內(nèi)聯(lián)網(wǎng)的平安性。借助NetScreen-SA6000，企業(yè)就可以獲得平安的合作伙伴/客戶外聯(lián)網(wǎng)的優(yōu)勢(shì)，同時(shí)最大限度地削減成本很高而且須要大量維護(hù)工作的基礎(chǔ)設(shè)施修改、DMZ部署和/或分布式軟件代理程序。SA6000產(chǎn)品系列還可以用于愛護(hù)企業(yè)內(nèi)聯(lián)網(wǎng)平安性。此外，由于SA6000產(chǎn)品可以集中管理并以多單元和多站點(diǎn)群集的方式部署，所以這種平安解決方案易于管理而且可擴(kuò)展。SA6000產(chǎn)品可以供應(yīng)企業(yè)級(jí)性能可擴(kuò)展性和高可用性，其特性包括兩個(gè)千兆以太網(wǎng)端口、SSL加速和基于硬件的HTTP壓縮功能，因此可以供應(yīng)最高的性能。這些產(chǎn)品既可以作為獨(dú)立設(shè)備以群集對(duì)（ClusterPairs）方式部署，又可以部署為多單元群集（Multi-UnitClusters）以實(shí)現(xiàn)無與倫比的高吞吐量和冗余。產(chǎn)品的選擇在選擇產(chǎn)品型號(hào)時(shí)，考慮的因素包括并發(fā)用戶數(shù)、網(wǎng)絡(luò)的應(yīng)用的困難程度和實(shí)際流量，其中并發(fā)用戶數(shù)是一個(gè)最主要的指標(biāo)。由于IVE系統(tǒng)無需客戶端，所以無需考慮客戶端軟件的費(fèi)用。依據(jù)項(xiàng)目的閱歷，對(duì)于遠(yuǎn)程訪問，并發(fā)用戶一般是系統(tǒng)總用戶數(shù)的1/5到1/4，用戶可以依據(jù)自己的實(shí)際狀況選擇相應(yīng)的產(chǎn)品型號(hào)和用戶數(shù)許可證。對(duì)于IVE平臺(tái)的訪問方式的支持，須要依據(jù)系統(tǒng)中實(shí)際的應(yīng)用來推斷，如遠(yuǎn)程用戶運(yùn)用WEB進(jìn)行訪問，建議采納CORE的方式，遠(yuǎn)程用戶運(yùn)用CS架構(gòu)進(jìn)行訪問，建議采納SAM，遠(yuǎn)程管理員進(jìn)行遠(yuǎn)程維護(hù)，建議采納NC的方式。部署和管理遠(yuǎn)程訪問系統(tǒng)部署過程通常的基于客戶端的VPN解決方案，在部署的時(shí)候，無論是VPN服務(wù)器，還是數(shù)量眾多的客戶端，都須要花費(fèi)大量的資金，并且在系統(tǒng)的管理和維護(hù)上也須要IT部門大量的時(shí)間。而部署Juniper遠(yuǎn)程訪問系統(tǒng)則很簡(jiǎn)潔，只須要進(jìn)行下面幾個(gè)步驟：安裝并且啟動(dòng)遠(yuǎn)程訪問系統(tǒng)；將遠(yuǎn)程訪問系統(tǒng)接入INTERNET,并且進(jìn)行簡(jiǎn)潔的網(wǎng)絡(luò)設(shè)置和用戶訪問限制設(shè)置，如接口的IP地址、用戶的認(rèn)證授權(quán)服務(wù)器等；告知你的員工、客戶和合作伙伴你已經(jīng)可以供應(yīng)這項(xiàng)服務(wù)，告知他們一個(gè)URL地址，通過這個(gè)地址可以遠(yuǎn)程訪問內(nèi)部的資源。管理配置系統(tǒng)的管理采納WEB的方式，簡(jiǎn)潔易用，你可以采納標(biāo)準(zhǔn)的WEB閱讀器來訪問和管理配置該設(shè)備。IVE的管理和配置可以分為如下幾個(gè)功能模塊：系統(tǒng)管理器顯示當(dāng)前系統(tǒng)資源運(yùn)用狀況，允許你遠(yuǎn)程重啟或者關(guān)掉系統(tǒng)，同時(shí)也支持許可證的安裝，系統(tǒng)升級(jí)管理和NTP時(shí)間同步管理等。配置管理器支持系統(tǒng)配置的導(dǎo)入/導(dǎo)出，你可以將系統(tǒng)復(fù)原到以前的某個(gè)配置，也可以將配置導(dǎo)入另外的系統(tǒng)當(dāng)中。用戶（組）管理器管理員可以閱讀和管理IVE系統(tǒng)中的用戶（組），修改相關(guān)的用戶的連接屬性和IP訪問規(guī)則，同時(shí)也支持對(duì)基于用戶（組）的網(wǎng)絡(luò)標(biāo)簽（Bookmark）的設(shè)置。訪問限制管理器管理員可以集中的管理每個(gè)用戶組的訪問權(quán)限，可以定義用戶允許或者不允許訪問指定服務(wù)器上的網(wǎng)絡(luò)資源，訪問限制策略可以細(xì)化到文件共享和URL以及子書目級(jí)別。日志管理器管理員可以登陸到IVE服務(wù)器，實(shí)時(shí)的閱讀日志，也可以通過設(shè)置SYSLOG日志服務(wù)器的方式，自動(dòng)的接收日志。用戶界面定制管理器管理員可以定制系統(tǒng)的用戶界面，可以加入企業(yè)的LOGO，顏色配置等等。證書管理簡(jiǎn)化WEB服務(wù)器證書和客戶端證書的管理。系統(tǒng)日志和維護(hù)IVE系統(tǒng)可以生成具體的日志信息，這些日志信息可以在本地保存，也可以傳送給相應(yīng)的SYSLOG服務(wù)器，由于SSL信道和認(rèn)證子模塊可以對(duì)客戶端和服務(wù)器終端進(jìn)行檢查，并且記錄下相關(guān)的信息，我們可以用這些日志進(jìn)行審計(jì)。管理員通過IVE系統(tǒng)的日志管理器或者SYSLOG日志服務(wù)器，可以推斷什么用戶在指定的系統(tǒng)或者資源上做了什么訪問。同時(shí)可以利用日志管理器供應(yīng)的過濾搜尋功能，便利的查找出你想得到的信息。同時(shí)，IVE系統(tǒng)內(nèi)部也供應(yīng)了多種維護(hù)和調(diào)試的工具，如系統(tǒng)的狀態(tài)顯示、PING/TRACEROUTE/TCPDUMP等工具等。管理員權(quán)限安排IVE系統(tǒng)對(duì)不同的管理員用戶進(jìn)行策略的匹配和相關(guān)的權(quán)限的安排，確定管理員角色的因素包括用戶名、用戶屬性、客戶端IP地址、客戶端證書、證書屬性、節(jié)點(diǎn)平安狀況、閱讀器等等；管理員從權(quán)限上也可以劃分為超級(jí)用戶、只讀用戶等多種，同時(shí)針對(duì)特定的用戶組，也可以設(shè)定改組的管理員用戶，可以對(duì)僅限于改組的用戶信息進(jìn)行維護(hù)，包括增加用戶、刪除用戶等等。Juniper公司介紹公司介紹Juniper網(wǎng)絡(luò)公司致力于實(shí)現(xiàn)網(wǎng)絡(luò)商務(wù)模式的轉(zhuǎn)型。作為全球領(lǐng)先的聯(lián)網(wǎng)和平安性解決方案供應(yīng)商，Juniper網(wǎng)絡(luò)公司對(duì)依靠網(wǎng)絡(luò)獲得戰(zhàn)略性收益的客戶始終賜予親密關(guān)注。公司的客戶來自全球各行各業(yè)，包括主要的網(wǎng)絡(luò)運(yùn)營(yíng)商、企業(yè)、政府機(jī)構(gòu)以及探討和教化機(jī)構(gòu)等。J