策略执行防火墙模块

1、 .WORD. ArubaOS 策略执行防火墙模块Aruba 策略执行防火墙模块为网络移动边缘提供了基于身份识别的安全性。当用户是移动用户时，由于用户可能在任何地点，通过有线或无线方式进入网络，因此基于身份识别的安全性是必要的。 Aruba 通过 ICSA 认证的状态防火墙根据用户身份识别、设备类型、位置和一天中的具体时间给用户分类，并为不同类型的用户提供了不同的访问接入。基于身份识别的状态防火墙防火墙规则是以用户，而不仅仅是 IP 地址为验证方法，这实现了高可见度和更完全的控制。ICSA 认证防火墙质量和安全性能的工业标准，由于其执行了完全独立的测试，因此提供了很高的保障基于策略的访问控制允

2、许将企业安全策略转换为实际行动。遵守企业安全策略变为强制和命令性的，而不仅仅是监测。状态流分类启用应用程序流的身份识别用于某些特殊处理，例如对语音提供增强的联网服务质量 (QoS)基于角色的访问控制允许应用基于组成员的模板，简化管理基于 Web 的强制网络门户为安全客户和雇员访问提供基于浏览器的 SSL 认证高性能的安全硬件加速的加密解密和防火墙规则处理以消除瓶颈控制和升级数据管道的分离由于在移动网络中没有安全的物理层，因此对待移动用户时，应该比对待传统的固定用户更谨慎。防火墙是企业对于网络移动边缘的分层安全策略的强制部分。 Aruba 独一无二的基于身份识别的状态防火墙技术使企业能够为企业网

3、络上的一个用户或一组用户定义访问控制。基于用户识别的状态防火墙Aruba 移动控制器提供了单点加密解密、认证和防火墙执行。由于它们能够识别身份并且已进行终端加密，因此它们对于欺诈攻击免疫，而这些欺诈攻击往往使得基于网络，只进行 IP 地址过滤而不是用户识别的传统防火墙苦恼万分。完全基于策略的访问控制所有企业都写有 IT 安全策略。这些策略可以规定允许或拒绝的网络访问、协议和应用程序以及提供的服务级别。在大多数企业中，会从不同角度监测策略遵守，但只有在情况发生后才会发现并处理违规行为。 Aruba 允许主动执行策略，甚至在移动环境中，当用户通过网络的移动边缘漫游时，策略将始终跟随用户。可以方便地

4、使用防火墙策略配置的图形用户界面 (GUI)状态流分类一旦防火墙识别了应用程序流，将应用标准防火墙操作，例如允许、断开、登录或拒绝。但是，Aruba 的状态防火墙功能不仅仅提供了耐用的安全性。规则操作也可以使用 802.1p 或 DSCP 标记来标注包，把通信量的优先顺序区分为多个队列，或者甚至可以将特定协议重定向到不同的目标。对于许多流行的协议，例如 SIP，流分类是有状态的，它允许将合适的 QoS 应用到控制协议和调用的会话中。基于角色的访问控制Aruba 的状态策略执行防火墙根据用户的角色来启用对网络资源的访问。该角色通过一系列的不同机制，例如外部认证数据库、ESSID 或物理位置来分配

5、或取得。一旦将角色分配给用户，就可以应用不同的策略。高性能的无线安全直到现在，企业还是被迫将无线用户隔离到非保护区 (DMZ) 中，用户在其中受到认证和防火墙保护，就好像他们是从因特网进入其中的一般。虽然该机制在安全角度发挥了作用，但由于限制了基于 DMZ 的 VPN 网关和防火墙，为无线用户提供的性能就受到了严重影响。在企业内部互联网中，Aruba 系统允许对企业用户用最高的安全和性能进行认证、加密和防火墙保护。 Aruba 提供了无线用户和有线网络之间的连接点。对于每个用户的局域网速度防火墙尽管已经使用了强大的认证和加密，但仍需以谨慎的态度对待移动用户。这是因为移动用户可能带来笔记本计算机

6、被偷窃以及从公共热区上带来病毒的危险。把基于身份识别的防火墙合并到网络的移动边缘，可以减少这些危险发生的可能以及带来的损害。通过限制移动用户可以访问的网络资源，Aruba 的策略执行防火墙有助于在企业内部互联网中消除了蠕虫和病毒传播。用于用户和雇员访问的强制网络门户对于没有 802.1x、虚拟专用网 (VPN) 和其它安全软件的客户，Aruba 支持基于 Web 的强制网络门户功能，该功能提供了基于浏览器的标准认证。强制网络门户认证是使用工业标准 SSL（安全套接字层）进行加密的，并支持以密码登录的注册用户，也同样支持仅使用电子地址的访客用户。通过与后端系统的集成，强制网络门户可以支持安全访客

7、访问解决方案，允许前台接待人员发给访客认证，并追踪认证的可信度。说明证书ICSA 认证，企业防火墙 v4.0角色决定标准认证缺省或远程用户拨号认证系统 (RADIUS) 获取物理位置ESSIDMAC 地址应用程序级别的状态网关FTPSIPRTP/RTSPCisco SCCP (Skinny)有线和无线 QoS流分类优先级队列带宽合同802.1p 和 DSCP 标记网络地址转换源和目标用关联防火墙策略创建用户角色功能优点基于用户识别的状态防火墙保持追踪会话状态和通信流，这样可以阻止普通攻击识别应用程序的防火墙可以根据应用程序类型提供流分类硬件加速处理在一个集成的加密引擎上执行所有 VPN 和防火墙处理，这样可以提供高速的