《策略执行防火墙模块》由会员分享,可在线阅读,更多相关《策略执行防火墙模块(5页珍藏版)》请在金锄头文库上搜索。
1、ArubaOS 策略执行防火墙模块Aruba 策略执行防火墙模块为网络移动边缘提供了基于身份识别的安全性。当用户是移动用户时,由于用户可能在任何地点,通过有线或无线方式进入网络,因此基于身份识别的安全性是必要的。 Aruba 通过 ICSA 认证的状态防火墙根据用户身份识别、设备类型、位置和一天中的具体时间给用户分类,并为不同类型的用户提供了不同的访问接入。基于身份识识别的状状态防火火墙防火墙规则则是以用用户,而而不仅仅仅是 IIP 地地址为验验证方法法,这实实现了高高可见度度和更完完全的控控制。ICSA 认证防火墙质量量和安全全性能的的工业标标准,由由于其执执行了完完全独立立的测试试,因此此
2、提供了了很高的的保障基于策略的的访问控控制允许将企业业安全策策略转换换为实际际行动。遵守企业安全策略变为强制和命令性的,而不仅仅是监测。状态流分类类启用应用程程序流的的身份识识别用于于某些特特殊处理理,例如如对语音音提供增增强的联联网服务务质量 (QooS)基于角色的的访问控控制允许应用基基于组成成员的模模板,简简化管理理基于 Weeb 的的强制网网络门户户为安全客户户和雇员员访问提提供基于于浏览器器的 SSSL 认证高性能的安安全硬件加速的的加密解密和和防火墙墙规则处处理以消消除瓶颈颈控制和升级级数据管管道的分分离由于在移动动网络中中没有安安全的物物理层,因因此对待待移动用用户时,应应该比对
3、对待传统统的固定定用户更更谨慎。防火墙是企业对于网络移动边缘的分层安全策略的强制部分。 Aruba 独一无二的基于身份识别的状态防火墙技术使企业能够为企业网络上的一个用户或一组用户定义访问控制。基于用户识识别的状状态防火火墙Arubaa 移动动控制器器提供了了单点加加密解解密、认认证和防防火墙执执行。由由于它们们能够识识别身份份并且已已进行终终端加密密,因此此它们对对于欺诈诈攻击免免疫,而而这些欺欺诈攻击击往往使使得基于于网络,只只进行 IP 地址过过滤而不不是用户户识别的的传统防防火墙苦苦恼万分分。完全基于策策略的访访问控制制所有企业都都写有 IT 安全策策略。这这些策略略可以规规定允许许或
4、拒绝绝的网络络访问、协协议和应应用程序序以及提提供的服服务级别别。在大大多数企企业中,会会从不同同角度监监测策略略遵守,但但只有在在情况发发生后才才会发现现并处理理违规行行为。 Aruuba 允许主主动执行行策略,甚甚至在移移动环境境中,当当用户通通过网络络的移动动边缘漫漫游时,策策略将始始终跟随随用户。可以方便地地使用防防火墙策策略配置置的图形形用户界界面 (GUII)状态流分类类一旦防火墙墙识别了了应用程程序流,将将应用标标准防火火墙操作作,例如如允许、断断开、登登录或拒拒绝。但但是,AArubba 的的状态防防火墙功功能不仅仅仅提供供了耐用用的安全全性。规规则操作作也可以以使用 8022
5、.1pp 或 DSSCP 标记来来标注包包,把通通信量的的优先顺顺序区分分为多个个队列,或或者甚至至可以将将特定协协议重定定向到不不同的目目标。对对于许多多流行的的协议,例例如 SSIP,流流分类是是有状态态的,它它允许将将合适的的 QooS 应应用到控控制协议议和调用用的会话话中。基于角色的的访问控控制Arubaa 的状状态策略略执行防防火墙根根据用户户的角色色来启用用对网络络资源的的访问。该角色通过一系列的不同机制,例如外部认证数据库、ESSID 或物理位置来分配或取得。一旦将角色分配给用户,就可以应用不同的策略。高性能的无无线安全全直到现在,企企业还是是被迫将将无线用用户隔离离到非保保护
6、区 (DMMZ) 中,用用户在其其中受到到认证和和防火墙墙保护,就就好像他他们是从从因特网网进入其其中的一一般。虽虽然该机机制在安安全角度度发挥了了作用,但但由于限限制了基基于 DDMZ 的 VPPN 网网关和防防火墙,为为无线用用户提供供的性能能就受到到了严重重影响。在企业内部互联网中,Aruba 系统允许对企业用户用最高的安全和性能进行认证、加密和防火墙保护。 Aruba 提供了无线用户和有线网络之间的连接点。对于每个用用户的局局域网速速度防火火墙尽管已经使使用了强强大的认认证和加加密,但但仍需以以谨慎的的态度对对待移动动用户。这是因为移动用户可能带来笔记本计算机被偷窃以及从公共热区上带来
7、病毒的危险。把基于身份识别的防火墙合并到网络的移动边缘,可以减少这些危险发生的可能以及带来的损害。通过限制移动用户可以访问的网络资源,Aruba 的策略执行防火墙有助于在企业内部互联网中消除了蠕虫和病毒传播。用于用户和和雇员访访问的强强制网络络门户对于没有 8022.1xx、虚拟拟专用网网 (VVPN) 和其其它安全全软件的的客户,Aruba 支持基于 Web 的强制网络门户功能,该功能提供了基于浏览器的标准认证。强制网络门户认证是使用工业标准 SSL(安全套接字层)进行加密的,并支持以密码登录的注册用户,也同样支持仅使用电子邮件地址的访客用户。通过与后端系统的集成,强制网络门户可以支持安全访
8、客访问解决方案,允许前台接待人员发给访客认证,并追踪认证的可信度。说明证书ICSA 认证,企企业防火火墙 vv4.00角色决定标标准认证缺省省或远程程用户拨拨号认证证系统 (RAADIUUS) 获取物理位置ESSIDDMAC 地地址应用程序级级别的状状态网关关FTPSIPRTP/RRTSPPCiscoo SCCCP (Skkinnny)有线和无线线 QooS流分类优先级队列列带宽合同802.11p 和和 DSSCP 标记网络地址转转换源和目标用关联防火火墙策略略创建用用户角色色功能优点基于用户识识别的状状态防火火墙保持持追踪会会话状态态和通信信流,这这样可以以阻止普普通攻击击识别应用程程序的防防火墙可可以根据据应用程程序类型型提供流流分类硬件加速处处理在一一个集成成的加密密引擎上上执行所所有 VVPN 和防火火墙处理理,这样样可以提提供高速速的无线线性能。基于角色的的策略获获得个人人和组策策略,并并可以将将其定义义为纯消消除控制制强制网络门门户基于于 Weeb 的的强制网网络门户户为访客客访问提提供了基基于浏览览器的标标准认证证带宽合同严严格限制制特定用用途或应应用程序序的带宽宽占用,因因此关键键应用程程序的优优先级不不会降低低
