网络安全—无约束接入控制

　　接入控制　　

　　计算机网络术语，一个加强允许或者拒绝用户访问网络资源的控制方法，通常基于用户的帐户或者用户所属的某个组。

　　多元接入需求威胁内网安全

　　当今的现代化企业当中，为提升业务弹性和企业竞争力，一个能互联的局域网是企业必不可少的组成部分，目前常用的开放式IT系统，连接了企业内、外的用户，带给了企业高效、便捷。企业员工获取了重要的业务资源，外界供货商、客户、访客等各类用户联机到网络，访问企业，但是各类用户的访问需求有时不仅限于简单的互联网接入，甚至会涉及敏感内部数据的访问。但是，企业内部员工操作不当、甚至是恶意操作，外访客户或商业合作伙伴在远程工作中感染病毒，然后直接将受感染的设备与网络相连造成网络内部蠕虫感染等内网安全问题更是严重地威胁着企业的网络安全。这种来自内部网络的威胁要求企业必须能够及时发现接入用户，并只允许各种合法用户接入网络，以满足安全性和法规遵从性要求。
 
　　UAC三层架构实现统一接入控制

　　Juniper网络公司的统一接入控制（Unified Access Control）解决方案将用户身份、设备安全性状态信息与网络位置信息结合在一起，为用户制定独特接入控制策略，并通过对用户行为的控制以达到内网安全的需求。据Juniper高新技术销售总监孙希龙介绍，UAC的架构很单纯，只分三种组件：

　　1、IC（Infranet Controler）：UAC架构的主角，是处于其灵魂地位的控制设备，一套集中政策控管的服务器硬设备，同时可以验证使用者身份和个人端计算机安全政策是否符合。

　　2、IE（Infranet Enforcer）：防火墙执行设备

　　3、IA（Infranet Agencer）：客户端软件代理程序，作为企业代理器，可以和第三方厂商的产品组件沟通，再把数据回传IC，之后由IE（Infranet Enforcer）执行政策。

　　解决方案包括“网络接入控制、网络访问控制、网络威胁控制”三个部分。Juniper的UAC解决方案将控管的目标由对外改为对内，使得要登入网络的用户无论身处企业内外，都需要连接到IC，并验证状态是否符合政策，设备会把不合格的计算机转到某个网段内，等待矫正或用户计算机自行修复。从概念上，UAC首先需要识别和确认访问者的身份，确认其身份是否为真正使用者并确认其接入是否处于安全状态，当发现远程使用者的计算机状态不符合某项安全政策时，设备会限定其只能联机到特定服务器，而不能介入其他重要网段。

　　与其他网络隔离解决方案相比，它不会对企业既有网络基础架构造成影响。但值得注意的是，目前的解决方案中防火墙是UAC执行政策强制的设备，不兼容其他厂商防火墙产品。当然，Juniper网络公司的统一接入控制（Unified Access Control）是个开放的平台，如果用户网络中没有Juniper的防火墙设备，那么不同厂商的支持标准802.1X的以太网交换机也可以担当执行设备。