控件中的基本组件是可以映射的瞻博网络从基础网络到TCG的可信网络连接(Trusted Network Connect)架构,Juniper试图完成的是非常不同的事情防火墙和访问控制,强调端点安全性。
杜松从其他人休息供应商的NAC体系结构在控制NAC基础架构时为网络管理器提供的控制量。瞻博网络的策略非常依赖于使用其防火墙的身份验证和详细访问控制。结果是,当有人在juniper的NAC控制下进入网络时,每次连接都会通过一个有状态数据包过滤防火墙,可以加密并明确地绑定到访问控制策略基于用户的身份.
例如,当系统在Microsoft网络访问保护下进入网络时,使用DHCP.,主要关注点是用户是否具有适当的端点安全级别。如果是,则用户无限地访问网络。通过瞻博网络的Infranet,用户的端点安全评估是可选的,但基于身份的访问控制策略不是。
这种哲学上的差异有一个好处:它让你更容易决定Juniper方法是否适合你,以及这种级别的身份验证,安全访问控制是您正在寻找的—或者您是否最关心终端安全评估。
在客户端,Juniper使用其Enterprise Infranet Agent作为客户端管理的焦点。Infranet Agent使用自己的JEDI API链接到第三方TCG完整性测量收集器。Juniper还提供终端安全评估工具,这是Juniper的一个特性SSL.VPN.称为主机检查器-用于检查端点状态,如开放的端口或运行的进程。
由于Infranet的体系结构假定用户已经连接到网络,因此Infranet Agent不参与第2层身份验证方案,例如802.1倍.相反,Infranet代理的角色是向网络中的策略实施点提供用户身份验证,并将端点安全评估信息返回到策略决策点,被称为Infranet控制器。
瞻博网络的防火墙和SSL VPN产品称为Infranet Enforcers,充当策略执行点,通常位于网络内部。
Infranet Agent还管理终端系统和Infranet Enforcer Policy Enforcement Point之间的加密。通过应用IPSec在客户端和Infranet Enforcer之间进行加密,Juniper提供了端站、其身份验证和应用策略之间的强绑定。此安全性仅从策略实施点开始;客户端在到达Infranet Enforcer之前的任何不当行为在Juniper Infranet模型中都是不受控制的。
Juniper的Infranet Controllers类似于TCG的Policy Decision Points,它们都是基于Juniper的SSL VPN产品线,使用相同的策略引擎。
与其他NAC架构不同的是,Juniper的策略决策点(Policy Decision Points)在完整性测量验证器(Integrity Measurement Verifiers)之间没有明确的联系,这些完整性测量验证器会评估来自Juniper主机检查器(Juniper Host Checker,在TCG方案中充当完整性测量收集器)的终端安全信息,并将策略决策反馈给基础网络控制器(Infranet Controller)。
相反,Infranet体系结构通过指向JEDI规范,解决了完整性度量收集器如何将信息传递给策略决策点内的完整性度量验证器的问题。实际上,JEDI规范对该链接如何工作没有说明。这是基础架构中的一个弱点,因为桌面和漫游用户策略的管理必须在用于控制第三方安全工具的任何企业控制台中进行一次处理,然后在基础架构控制器环境中进行第二次处理。
选择NAC体系结构取决于您的目标和集成策略。如果你是一个全思科购买现代硬件,你可以套用思科的架构,它和任何人的架构一样完整。
对于那些对基于标准的解决方案感兴趣的人来说,TCG的TNC是唯一真正的选择,尽管存在一些风险。微软的方法最适合在您想要控制您已经拥有的PC的较小网络中,最关心病毒而不是身份验证和访问控制。
下一个:NAC底漆>
了解更多关于这个主题的信息
思科和瞻博网络:没有战略,或缺席策略?03/06/06
02/27/06
高德纳:收购凸显了网络安全领域的热点11/21/05
网络访问控制水龙头从Juniper10/24/05