可整合UTM与IPS的NAC产品

UAC 2.1可整合IDP设备协同运作，隔离网路行为异常的电脑；同时也将网路存取的控管机制扩大到无法安装代理程式加以管理的网路设备，除此之外，也能与微软的NAP达成互通。

Unified Access Control（UAC，统一存取控制），是Juniper的网路存取控制（Network Access Control，NAC）产品。它的前身是Juniper在2005年5月推出的Enterprise Infranet，即后来的UAC 1.0，随后UAC 2.0的版本，在2006年11月推出，而此次我们所测试的UAC 2.1，是该公司在2007年10月推出的最新版本。

在功能上，UAC 2.1有叁大特色：首先，可以整合自家厂牌的IDP设备协同运作，隔离网路行为异常的电脑；其次，将网路存取的控管机制涵盖到VoIP、印表机等具备网路功能的资讯设备，透过MAC清单比对的方式，UAC 2.1可以禁止未受管理的设备随意连接企业内部网路，减少安全漏洞发生的机率。

最后一项特色，则是可以和微软的NAP（Network Access Protection）达成互通，在不需要额外安装UAC代理程式的情况下，透过内建在Windows XP SP3以及Windows Vista的NAP代理程式对电脑实施主机安全检查，将未依规定安装防毒软体、Windows代理程式等安全状态未能符合企业要求的电脑予以隔离。

由叁项元件构成，并非单一产品

UAC在架构上是由：担任主控臺角色的Infranet Controller（IC）、负责执行网路隔离的Infranet Enforcer（IE），以及做为代理程式的UAC Agent叁项元件组合而成，除了UAC Agent是软体之外，其余两者（IC、IE）皆是硬体设备。

Infranet Controller

IC在功能上是做为UAC的主控臺，它是一款修改自同厂牌SSL VPN（SA系列）的硬体设备，两种产品使用相同的页面框架以及功能引擎，因此对于先前已经购买SA系列设备的企业来说，并不需要太多时间学习，就能熟悉IC的操作设定。

Infranet Controller是一款修改自同厂牌SSL VPN产品的资安设备，因此两者之间，无论是安装方式与介面设计都有很高的相似度，在功能上，是做为UAC的管理主控臺。

透过IC的网页介面，管理者可以制定主机安全检查的政策规则，以及阅览UAC运作过程中收集而来的各项事件记录。IC目前有IC 4000，以及型号较大的IC 6000等两个型号，分别适用于电脑数量（含网路设备）在3,000臺以下，以及25,000臺以下的环境。

和大多数的NAC产品一样，IC可连结LDAP、RADIUS、Windows AD，以及本机帐号等多种帐号资料库，用以验证使用者是否具备存取内部网路的权限，而且，管理者可依据帐号资料库上的不同使用者群组，个别制定主机安全检查的政策规则，增加UAC的控管弹性。

Infranet Enforcer

IE是UAC的政策执行器，它负责执行从IC传送过来的指令，让通过主机安全检查的电脑得以存取内部网路，反之，则予以隔离，直到安全问题解决，符合企业要求之后才会放行通过。

在解决方案的实际建置方式上，目前版本的UAC支援non-802.1x，以及802.1x两种部署选项，随着部署选项的不同，UAC对于IE角色的定义也会有所差异。

早期版本的UAC 1.0，只有non-802.1x一种部署选项，在此种架构之下，IE的角色纯粹是由SSG（Secure Service Gateway）系列UTM，或者是NetScreen防火墙（需将韧体更新到ScreenOS 5.4以上版本）来担任。

当电脑连接内部网路之后，IE会套用防火墙规则（安装UAC时，由管理者手动新增），强制尚未安装代理程式的电脑透过浏览器从IC自动下载代理程式安装，接着电脑必须在通过身分验证由使用者输入帐号、密码向后端的帐号资料库查询是否具备存取网路的权限，以及主机安全检查的程序后，才能进入内部网路。

Infranet Enforcer的角色可由SSG系列UTM，或是NetScreen防火墙担任。设定防火墙规则时，必须勾选进阶设定当中的Infranet-Auth项目，日后当使用者电脑、网路设备连接网路时，Infranet Enforcer就会将连线转送给Infranet Controller，由后者决定是否给予正常存取网路的权限，或者隔离到其他VLAN。

UAC 2.0之后的版本，开始支援802.1x的部署选项，在802.1x的架构下，IE是由SSG系列UTM、NetScreen防火墙，以及支援802.1x的交换器、无线AP两种设备共同担任。

由于802.1x是一项实作于OSI网路第二层的身分验证技术，因此在电脑连接SSG UTM、NetScreen防火墙，取得连接内部网路所需的IP位址之前，就必须先通过身分验证的程序，但是，UAC的身分验证必须透过代理程式进行，因此就无法和non-802.1x架构一样，先让电脑连接网路之后再取得代理程式安装。也就是说，在导入802.1x之前，企业就必须将代理程式安装在内部网路的所有电脑上，以免造成使用者日后存取网路时的不便。

UAC Agent

UAC Agent包含两种不同类型的代理程式：一种是以执行档安装的Odyssey Access Client（OAC），以及网页端的Active X元件。

在non-802.1x的架构下，两种代理程式都可透过浏览器自动下载安装。而在802.1x的架构下，只有OAC一种可供选择，而且必须如同我们先前所说的，在布建802.1x的网路环境之前，企业需预先将代理程式安装到内部网路的所有电脑上。

UAC Agent于系统平臺的支援度相当广泛，除了一般常见到的各种Windows作业系统之外，还包括了Linux，以及Mac OS。

IUAC的代理程式分为执行档安装的Odyssey Access Client（OAC），以及网页端的Active X元件两种，透过此程式，可以输入身分验证所需的帐号，密码，透过交换器、无线AP等支援802.1x标準的设备，向后端的Windows AD、RADIUS等帐号资料库要求验证，确认使用者是否具备连接网路的权限。

一般来说，OAC主要安装在内部网路下的员工电脑，Active X元件则适合部署在无法任意安装应用程式的外部访客电脑，因此，如果企业计画在802.1x的架构下部署UAC，就应该把提供给外部访客电脑的连线区域排除在外，取消交换器网路埠上的802.1x验证功能，改以non-802.1x的架构做规画。

可透过常驻图示的颜色改变，快速了解电脑状态

这是我们首次在iThome的测试环境以802.1x的架构部署NAC，因此一共借测了IC 4000、SSG 20 UTM，以及支援802.1x的24埠交换器各一臺，除此之外，还架设了一臺Windows AD伺服器，提供身分验证的服务。

为了测试UAC如何在802.1x的架构下，透过交换器实施网路隔离，因此，我们将交换器上的前、后各12组网路埠，切割为「vlan 20」、「vlan 30」两个VLAN，分别用来模拟企业的内部网路，以及UAC的网路隔离区，并各自连接到SSG 20的LAN埠、DMZ埠与外部网路通连；除此之外，在隶属于vlan 20的第9个网路埠（Port 9）上，启用了802.1x的验证功能。

一旦测试用的电脑未能通过IC的主机安全检查，则该臺电脑所连接的交换器网路埠，就会透过交换器的动态VLAN（Dynamic VLAN）功能，由vlan 20动态对应到vlan 30。并非所有支援802.1x的交换器都提供这项功能，如果没有这项功能，交换器在电脑未能通过802.1x验证，或者是主机安全检查失败时，便会关闭电脑所连接的网路埠。

也就是说，此时电脑只允许存取DMZ下的特定网路资源，像是微软的WSUS伺服器，或者是其他种类的应用程式更新伺服器，以便进一步协助电脑解决安全问题。

我们的测试方法很简单，首先将一臺装有OAC代理程式的Windows XP SP2笔电，连接到提供802.1x验证功能的第9个网路埠，这时，OAC会跳出一个视窗，提示使用者选择输入验证密码，之后就会开始验证帐号的程序，当802.1x验证通过的时候，常驻在系统列右下角的OAC星状图示就会由未连线状态的黑色，变成已连线状态的蓝色。

此外，我们关闭笔电上的Windows XP SP2防火墙，并在IC制定一条主机安全检查的政策规则，只允许开启Windows XP SP2防火墙的电脑才能存取内部网路；然后，将连接在笔电上的网路线重新插拔一次，再次透过OAC进行802.1x的身分验证，完成之后，UAC就会开始主机安全检查的动作。

当电脑未能通过检查的时候，OAC的星状图示会变成红色，显示该臺电脑目前已经被隔离，点选图示之后，可再进一步查看电脑被隔离的详细塬因。

主机安全检查 相关的功能很完整

UAC具备完整的主机安全检查项目，除了基本的防护软体、作业系统版本，以及Windows修补程式检查之外，还能检查防毒软体的病毒码版本、系统通讯埠、註册机码（Registry）、指定路径下是否存在特定档案，以及清查背景程式清单当中是否有执行一些不被允许的应用程式。

产品目前支援1,000多种的市售资安防护软体，并且允许用户依照实际需求，将未列在支援清单当中的应用程式新增为元件，制定主机安全检查的规则时，可由表单将此元件匯入，成为检查项目。

针对已发现的安全问题，UAC也提供强大的自动修復功能，例如，可以主动关闭执行中的应用程式、删除指定路径下的特定档案，以及註册机码，另外，关闭中的防护软体，也可以在执行主机安全检查时，由UAC自动开启。有别于市面上的许多NAC产品，UAC能将控管範围扩展到Linux、Mac OS等这些在企业内部经常可见的异质平臺，算是相当特殊。一般来说，这些平臺受到病毒等恶意程式感染的机会并不大，却有可能因为使用者的不当操作，而产生安全漏洞，或者执行一些不被企业政策所允许的应用程式，举例来说，像是会抢占大量网路频宽的P2P软体，就是其中的控管重点。

针对这些平臺，UAC也有提供相对应的代理程式可供安装，不过控管功能和先前所提到的项目有所不同，只限定在扫描系统通讯埠、关闭特定档案，以及删除指定档案等项目。

整合其他类型的资安产品，强化NAC控管功能

NAC在功能上，是一种依赖政策检查，确认电脑安全状态的资安产品，对于安全设定符合企业要求的电脑，即视为安全无虞，因而允许进入内部网路。

不过，厂商和一些导入NAC的企业可能很快就发现，这类解决方案在某些环境下所能提供的防御效果还是有限，例如有些恶意程式无法利用防毒软体检测出来，以及厂商仍未针对特定的系统漏洞发布对应的修补程式。因此如果能够整合更多类型的资安产品，将能再强化NAC的防护能力。

以Juniper的UAC为例，早在1.0推出的时候，这套解决方案就已经可以整合Infranet Enforcer（须搭配利用Juniper本身的SSG这套UTM设备）的安全功能，藉由入侵防护系统、网页过滤、线上扫毒，以及深度封包检测（Deep Inspection）等机制，隔离网路行为异常的电脑。

到了UAC 2.1推出的时候，则是可以整合Juniper的IDP设备，扫描电脑的网路行为有无异常。整合IDP的好处在于，可以因应流量庞大、电脑数量众多的环境，在不加重闸道端设备效能负担的情况下，也能有效地提供防护。

採用类似做法的厂商，并不只Juniper一家。像是产品线以IPS为主的TippingPoint，他们的NAC产品也能整合自家的IPS设备，达到相同的防护效果，未来TippingPoint计画将NAC、IPS两种产品合而为一，以单一产品的型态推出，让管理者透过单一介面就可以设定NAC的政策规则与IPS的相关功能，简化管理上的复杂度。

Mirage的做法与IPS略有不同，这家公司将功能整合在NAC设备上，主要透过行为感知的方式，检测那些电脑网路可能出现异常。

有类似构想的厂商，还有趋势科技，他们计画在今年下半年推出一款名称暂定为Total Discovery的设备，搭配下一版本的Network VirusWall Enforcement （NVWE）协同运作。就功能而言，Total Discovery并非IPS，它主要是用来了解电脑存取网页的动作是否可能导致病毒，或者是恶意程式入侵。