|
基于用户识别的状态防火墙
Aruba
移动控制器提供了单点加密/解密、认证和防火墙执行。 由于它们能够识别身份并且已进行终端加密,因此它们对于欺诈攻击免疫,而这些欺诈攻击往往使得基于网络,只进行
IP 地址过滤而不是用户识别的传统防火墙苦恼万分。
完全基于策略的访问控制
所有企业都写有
IT 安全策略。 这些策略可以规定允许或拒绝的网络访问、协议和应用程序以及提供的服务级别。 在大多数企业中,会从不同角度监测策略遵守,但只有在情况发生后才会发现并处理违规行为。
Aruba 允许主动执行策略,甚至在移动环境中,当用户通过网络的移动边缘漫游时,策略将始终跟随用户。
状态流分类
一旦防火墙识别了应用程序流,将应用标准防火墙操作,例如允许、断开、登录或拒绝。
但是,Aruba 的状态防火墙功能不仅仅提供了耐用的安全性。 规则操作也可以使用 802.1p 或 DSCP
标记来标注包,把通信量的优先顺序区分为多个队列,或者甚至可以将特定协议重定向到不同的目标。 对于许多流行的协议,例如
SIP,流分类是有状态的,它允许将合适的 QoS 应用到控制协议和调用的会话中。
基于角色的访问控制
Aruba
的状态策略执行防火墙根据用户的角色来启用对网络资源的访问。 该角色通过一系列的不同机制,例如外部认证数据库、ESSID
或物理位置来分配或取得。 一旦将角色分配给用户,就可以应用不同的策略。
高性能的无线安全
直到现在,企业还是被迫将无线用户隔离到非保护区
(DMZ) 中,用户在其中受到认证和防火墙保护,就好像他们是从因特网进入其中的一般。 虽然该机制在安全角度发挥了作用,但由于限制了基于
DMZ 的 VPN 网关和防火墙,为无线用户提供的性能就受到了严重影响。 在企业内部互联网中,Aruba
系统允许对企业用户用最高的安全和性能进行认证、加密和防火墙保护。 Aruba 提供了无线用户和有线网络之间的连接点。
对于每个用户的局域网速度防火墙
尽管已经使用了强大的认证和加密,但仍需以谨慎的态度对待移动用户。
这是因为移动用户可能带来笔记本计算机被偷窃以及从公共热区上带来病毒的危险。 把基于身份识别的防火墙合并到网络的移动边缘,可以减少这些危险发生的可能以及带来的损害。
通过限制移动用户可以访问的网络资源,Aruba 的策略执行防火墙有助于在企业内部互联网中消除了蠕
虫和病毒传播。
用于用户和雇员访问的强制网络门户
对于没有
802.1x、虚拟专用网 (VPN) 和其它安全软件的客户,Aruba 支持基于 Web 的强制网络门户功能,该功能提供了基于浏览器的标准认证。
强制网络门户认证是使用工业标准 SSL(安全套接字层)进行加密的,并支持以密码登录的注册用户,也同样支持仅使用电子邮件地址的访客用户。
通过与后端系统的集成,强制网络门户可以支持安全访客访问解决方案,允许前台接待人员发给访客认证,并追踪认证的可信度。
说明:
证书
ICSA 认证,企业防火墙 v4.0
角色决定标准
认证 — 缺省或远程用户拨号认证系统 (RADIUS) 获取
物理位置
ESSID
MAC 地址
应用程序级别的状态网关
FTP
SIP
RTP/RTSP
Cisco SCCP (Skinny)
有线和无线 QoS
流分类
优先级队列
带宽合同
802.1p 和 DSCP 标记
网络地址转换
源和目标
| 功能 |
优点 |
| 基于用户识别的状态防火墙 |
保持追踪会话状态和通信流,这样可以阻止普通攻击。 |
| 识别应用程序的防火墙 |
可以根据应用程序类型提供流分类。 |
| 硬件加速处理 |
在一个集成的加密引擎上执行所有
VPN 和防火墙处理,这样可以提供高速的无线性能。 |
| 基于角色的策略 |
获得个人和组策略,并可以将其定义为纯消除控制。 |
| 强制网络门户 |
基于
Web 的强制网络门户为访客访问提供了基于浏览器的标准认证。 |
| 带宽合同 |
严格限制特定用途或应用程序的带宽占用,因此关键应用程序的优先级不会降低 |
|
