需求分析随着企业信息化程度的提高，数量众多的桌面PC管理成为系统管理员越来越重要的工作，目前企业拥有上百台PC机及终端。

系统管理员在日常维护过程中主要面临以下问题，而这些问题，既给系统管理员带来沉重的工作负担，也会严重影响企业的业务运作。

数量众多在信息系统中桌面系统（PC）的数量往往是最多的，这些桌面系统往往很分散，分布于不同的楼层，甚至分布于不同的大楼，加上使用这些桌面系统的用户技能水准差异很大，使得管理维护工作很困难；病毒和安全攻击病毒、蠕虫和间谍软件等新兴网络安全威胁继续损害客户利益并使机构损失大量的金钱、生产率和机会。

与此同时，移动计算的普及进一步加剧了威胁。

移动用户能够从家里或公共热点连接互联网或办公室网络—常在无意中轻易地感染病毒并将其带进企业环境，进而感染网络。

频繁的病毒和安全攻击使得桌面系统的维护工作量剧增。

据IDG对病毒统计报告显示，每年新出现的的病毒种类大多数是针对Windows操作系统的病毒。

由于未及时打操作系统补丁、未及时升级防病毒软件、绕过网络安全设施随意上Internet网、外来机器的接入、外来程序的拷贝等原因，组织内部的PC机很容易被攻击和被病毒感染；软件升级与补丁安装：为解决安全问题，管理员经常需要在多台机器上安装同一个软件或补丁，如操作系统补丁包，传统的手工安装要花费系统管理员大量时间；远程监控与维护为提高效率，系统管理员经常需要做远程支持，帮助用户快速及时解决PC 机问题。

系统管理员与PC机用户仅依靠电话很难远程解决问题。

网络接入控制随着企业日益严重依赖网络业务，日益迫切需要为所有用户提供轻松的网络接入，并且企业对网络的依赖性越来越严重，因此网络变得空前关键且更易遭受攻击。

因此，支持用户接入任何资源，无论是分类文档中的数据、病人健康信息、还是知识资产，始终需要在接入价值与安全风险之间找到最佳平衡点。

事实上，仅靠网络边缘的外围设备已无法保证安全性。

边缘安全措施无法保护内部网络段，也无法替代主机安全措施。

即便企业运行着防火墙等网络周边安全机制，病毒和电子邮件蠕虫、特洛伊木马、拒绝服务攻击和其他恶意行为仍频繁利用最终用户设备渗入企业环境。

即时消息传递（IM）或对等间应用(P2P)等新技术也带来了新型威胁，新型威胁可以完全绕过网络周边的安全设备。

企业力求通过策略控制这些技术的使用，但此类策略在传统网络中几乎无法执行。

如果您使用电子邮件并拥有Web内容、面向公众的服务器或者移动用户，那么您的网络必定会频繁遭受各种类型的攻击。

而且，这些威胁和安全漏洞比想象的更难以觉察、更加危险——移动代码可以通过安全的（但可移动的）PC进入网络。

目前大部分终端在接入网络的时候，都没有经过严格的身份认证，对终端也没有有效的验证手段。

无法对终端接入网络之前，进行有效的合法性，安全性的检查。

受病毒感染的终端，未打补丁的终端如果随意接入网络，势必给整个网络的安全带来重大的隐患。

选择适合的网络准入控制产品为了解决以上安全以及管理问题，使得整合系统内的终端高效的运行，同时也为了帮助管理的工作，减轻管理员的负担，考虑建设桌面安全和终端准入控制系统。

系统应该至少具备如下特性：1．终端安全性检查。

包括Windows补丁检查，防病毒软件版本、病毒特征库版本检查，违规软件安装检查；共享目录检查；分区表检查；不同用户组的不同安全策略；2．网络强制身份认证。

支持用户名、密码；Windows域认证等认证方式，支持RADIUS认证；AAA 权限认证。

3．防火墙/IDP（4－7层）4. 支持802.1X的交换机，AP（2层准入）5．根据安全策略，对不满足安全策略的终端不予以网络接入。

6．防病毒，终端防护软件(端点)7. 统一终端管理：·基于网络地址，用户身份，终端状态的控制·统一配置的个人防火墙策略·对终端提供修复功能8. 支持最多的终端防护软件·预定义的检查：防病毒，个人防火墙，防恶意软件，操作系统等·自定义检查：JEDI，自定义文件，进程，注册表等·无需客户端的手工安装·通过浏览器自动的下载安装，减少管理员的工作量9．对用户的主机实现跨操作系统平台的支持。

10．对用户网络改动最小、最少。

Juniper 网络公司统一接入控制（UAC）是全面的网络接入控制解决方案，结合了基于标准的强大的用户验证和授权功能、基于身份的策略控制和管理以及端点安全性和智能，以便将接入控制扩展到整个企业网络中。

通过将业界标准与经过业界测试的、得到普遍认可的网络和安全产品集成在一起，Juniper 网络公司UAC 解决方案可帮助企业对试图接入网络的用户和设备提前进行安全策略遵从检查，并在用户接入企业网络和资源的整个过程中对会话进行全程跟踪检查。

这种方法可帮助企业确保全面遵从安全策略，有效抵御频繁变化的网络威胁。

UAC v2.0 解决方案通过第 3 层—第 7 层覆盖功能。

Juniper 网络公司统一接入控制 v2.0 是非常灵活的解决方案，能够将用户身份、设备安全状态信息和网络位置信息结合在一起，为每名用户创建特定会话的接入控制策略。

Juniper 统一接入控制解决方案企业网络必须为更为多样化的用户——访客、承包商和移动员工——提供接入服务，他们中的某些人会使用自己的设备接入网络。

用户可能在无意中下载一些受感染的文件，并使用这些受感染的设备直接连接到您的网络。

或者他们只是从您的局域网中接入互联网而得不到适当的安全保护，从而将您的网络暴露于大量威胁之中。

此外，当您提供网络接入服务时，必须对网络接入进行极细粒度的控制，以保护公司资产的安全性并满足法规遵从要求。

应对问题：Juniper UAC统一访问控制解决方案主要解决用户网络面临的如下问题：1.不同用户的网络准入控制问题。

2.不同用户终端的应用访问控制问题以及权限定制和分发问题。

3.终端的安全性评估与管理问题。

4.相关法案，Sarbanes-Oxley （塞班斯法案）。

)符合性和审计的要求。

解决方案的特性：Juniper UAC统一访问控制解决方案，采用了业界公认的标准（包括802.1x 和TNC等），将用户终端的身份标识、网络标识和终端安全状况进行集中的认证和授权，并且将用户权限和策略自动的下发到网络当中的执行点（包括防火墙、交换机和无线接入点等）上，实现了统一的接入控制和访问控制。

该方案可以实现以下功能：1.基于终端的身份标识、网络标识和终端状况的统一的认证和授权。

2.终端安全状况的检查，如检查防病毒软件是否更新，补丁是否健壮等，对于不符合安全策略的主机，可以进行修复。

3.利用网络当中已有的防火墙、交换机和无线接入点等网络和网络安全设备，对内部网络终端的接入和访问进行控制。

4.对于关键的业务和通讯，自动启用IPSec 连接，保证敏感数据传输的安全性。

5.用户终端访问整个过程中的安全检查，保证安全的连续性。

解决方案好处：1.针对终端的安全防护：UAC方案可以对终端进行安全检查，对于不符合安全策略的主机进行修复，同时提供个人防火墙功能，提供对终端的访问保护。

2.针对终端的访问控制：将用户终端的身份标识、网络标识和终端安全状况进行集中的认证和授权，统一的在网络控制点进行策略的下发。

3.充分利用已有的网络和网络安全投资，由于Juniper方案当中采用标准的接口，可以很好的与业界的其他方案，如防病毒，补丁管理、AAA认证方案进行整合。

Juniper解决方案优势：1.真正支持标准的解决方案，不局限于单独厂商的方案，用户可以在相关领域当中选择最佳或者最为适合的产品。

2.良好的用户体验，不需要管理员为每个终端单独安装客户端软件，软件采用自动定向和下载安装的方式安装，大大减少管理员工作量和工程建设周期。

3.支持所有类别的用户，如员工、承包商和访客等，对用户的主机实现跨操作系统平台的支持。

非常适合于分阶段的实施。

用户可以根据网络的实际情况，选择性的对防火墙或者交换机这些2－7层的控制器进行部署，实现不同的控制级别。

Juniper UAC 构成：Juniper 统一接入控制（UAC）解决方案 v2.0包括用作集中策略管理器的Infranet 控制器；以及作为可动态下载的端点软件的 UAC 代理（对于不支持下载的客户端，如客户端的设备；控制器和代理还包含 Juniper 通过在 2005 年收购 Funk Software 获得的整合特性，如Odyssey Access Client（OAC）802.1X 请求特性和Steel-Belted Radius 身份认证服务。

Infranet 控制器是经过加固的策略管理服务器，可收集用户验证、端点安全状态和设备位置信息，并将此类信息与策略相结合来控制网络、资源和应用接入。

随后，控制器在分配 IP 地址前在网络边缘通过802. 1X 并且／或在网络核心通过防火墙将这个策略传递给执行器。

同时使用这两类执行点可进一步提高接入控制粒度。

UAC 代理是允许动态下载的软件代理，可由控制器实时设置，通过 Juniper Installer Service 安装或通过其他方法进行部署。

代理同时提供 Juniper OAC 的集成 802. 1X 功能以及 L3－7 覆盖功能，如用于在客户端动态执行策略的集成个人防火墙。

代理还包括面向 Windows 设备的特定功能，如 IPSec VPN（允许实现从端点到防火墙的加密）和 Active Directory 单一登录等。

代理提供的主机检查器功能也被部署在已售出的几千个 Juniper Secure Access SSL VPN 产品中，允许管理员扫描端点以了解各种安全应用／状态，包括但不限于防病毒、防恶意软件和个人防火墙等。

UAC 代理可通过预定义的主机检查策略以及防病毒签名文件的自动监控功能来评估最新定义文件的安全状态，从而简化部署工作。

UAC 还允许执行定制检查任务，如对注册表和端口状态进行检查，并可执行 MD5 校验和检查，以验证应用是否有效。

UAC 工作原理在用户向控制器提交认证信息前，用户请求（802.1X 或非 802.1x 模式，通过设置用于端点的基于浏览器的代理提供）便揭示了大量不同的最终用户特征，包括源 IP 和 MAC 地址、网络接口（内部或外部）、数字证书（如果存在的话）、浏览器类型、SSL 版本以及端点安全检查结果等。

用户提交了认证信息后，控制器将通过全面的验证、授权和记账引擎，支持几乎所有常用的 AAA 设置中，包括现有的 RADIUS、LDAP、AD、Netegrity SiteMinder、证书／ PKI 服务器及匿名验证服务器等。

控制器将用户认证信息以及组群或属性信息（如组群的成员关系）与认证信息输入之前收集到的信息相关联，包括由主机检查器收集的信息，从而能够将用户动态映射到接入控制的第二步──面向会话的角色。