2006年伊始，Microsoft Windows便出现了严重的缺陷：WMF安全漏洞。我曾亲眼目睹了基于WMF安全漏洞的网络攻击。去年，我目睹了恶意软件作者发动的许多攻击，试图在“窗口打开”期间感染PC(在恶意软件被识别出并提供修复程序前)，这种趋势在2006年似乎仍在继续。即使您已经部署了所有必需的防火墙、IPS和防病毒程序，zero-day攻击——如利用WMF安全漏洞发动的攻击也足以令公司IT经理头疼。

    越来越多的员工在家里或酒店等使用笔记本电脑，公司IT经理投入大量资源来实施安全的远程接入解决方案(包括SSLVPN)。然而，他们往往忽略了另一个重要因素：企业园区局域网内部的接入控制。即使员工直接连接园区局域网，谨慎的实施接入控制(包括员工身份和PC/笔记本电脑安全检查)也是非常重要的。

    这是因为当员工的笔记本电脑从受保护的园区局域网向外连接互联网时，就会立即对所有的病毒、特洛伊木马和其他恶意攻击敞开大门。也许您认为应通过适当的安全补丁和防病毒软件来认真管理所有员工的计算机。盖洛普公司近期的报告指出，即使是最好的公司，也只能控制80%的网络终端，剩下的20%仍得不到管理。

    Juniper网络公司已推出了一体化接入控制解决方案，可在整个网络上实施将用户端点评估并提供身份和网络信息用于动态策略管理，在接入和安全控制之间实现完美均衡，从而解决了上述问题。通过这个解决方案，企业可控制接入、抵御威胁、确保制度遵从，并提供安全可靠的网络服务。

    一体化接入控制解决方案包含三个协作组件，是经济高效的解决方案。（1）Infranet控制器：经过加固的产品，支持基于角色制订策略；（2）Infranet代理：轻量级软件代理，用于评估端点对安全制度的遵从状态；（3）Infranet执行器：实施执行策略。

    Infranet控制器利用Juniper安全接入SSLVPN的策略和控制引擎，可与验证服务器及身份和授权目录库进行无缝通信。控制器随后基于用户验证实现会话特定的动态网络接入，并对设备的安全特征进行实时检查。Infranet控制器可无缝设置Infranet代理，Infranet代理评估端点的制度遵从状态并将信息发送回Infranet控制器。基于具体的角色，Infranet代理也可在客户主机上执行网络策略。

    除了在客户主机上执行网络策略外，第一版Infranet控制器还支持在Juniper防火墙/VPN产品和集成安全网关上执行网络策略。根据Infranet控制器发送的信号，执行器可支持端点防御和增强型AAA执行，同时根据需要提供端到端的安全性。执行器在提高策略控制、可视性和网络交易保护的同时，无需大幅度更改基础设施。如果您正在使用现有基础设施，希望通过简单安全的方法来支持安全接入企业网络中的资源与应用，则需要详细了解Juniper网络公司一体化接入解决方案。

转载地址:http://www.cww.net.cn/Technique/2006/7/46043.htm