XXX企业--F5-SSL-VPN-解决方案

F5FirePassSSL安全的远程接入解决方案目录1.前言..........................................................................................................................................32.F5FirePass关键技术..................................................................................................................42.1管理安全............................................................................................................................42.2防火墙................................................................................................................................42.3客户机-服务器连接器......................................................................................................42.4过滤技术............................................................................................................................52.5客户机端证书的动态政策................................................................................................52.6身份认证技术....................................................................................................................62.7FirePassVPN连接器.......................................................................................................62.7审计服务............................................................................................................................72.8UI定制...............................................................................................................................72.9高可用性............................................................................................................................73.SSLVPN在xxx企业的应用.....................................................................................................84.F5FirePass系统设备型号选择...................................................................................................95.SSLVPN和IPSecVPN比较..................................................................................................106.FirePass典型案例介绍.............................................................................................................12联合国.....................................................................................................................................12中国华北电力集团.................................................................................................................12用友软件集团.........................................................................................................................12Tom.com中国........................................................................................................................127.FirePass中国区公开报价.........................................................................................................138.F5公司......................................................................................................................................141.前言随着信息技术的快速发展，为了提高服务的质量和水平、在市场竞争中取得优势，企业建立了内部局域网，使内部办公人员通过网络可以迅速地获取信息。然而，随着个人电脑和互联网应用技术的普及，“在家办公”、“异地办公”、“移动办公”等多种远程办公模式逐渐普及，同时合作伙伴的人员也希望能访问到相应的信息资源，企业的IT管理人员面临将远程办公模式作为内部办公网络的延伸和对合作伙伴人员提供外联网接入的需求，为远程办公的员工提供访问内部信息和为合作伙伴人员访问与其身份相符的信息的方便。然而，要享受通过互联网访问企业内部的信息资源的便利，就需要实施适当的信息安全策略，在严格防止企业信息资源被非法窃取的同时，对合法的访问要提供方便，同时还需尽量降低信息安全策略的实施和维护成本。企业通过Internet数据传输平台，实施加密的VPN实现安全接入的办法主要有两种：一种是IPsecVPN，另一种是SSLVPN。两种技术在不同领域各有其优势，我们建议：在实施固定的站点到站点的VPN，采用IPsec技术；在实施应用的移动用户接入VPN时，采用SSL技术，原因是SSL无需在客户端安装客户端软件、实施和维护灵活简单、不受地址翻译影响、控制策略更加细化、总体拥有成本较低，而且由于SSLVPN不是打开一个网络层通道，而只是提供了联系应用层请求的固化网络接口，所以提高了与VPN相关的整个系统的安全性。SSL和IPsec技术的详细比较请参考《SSLvs.IPSec》一文。企业分支、合作伙伴、移动用户需求新的远程接入需求不但需要保证方便的远程访问，更要求其可靠的安全性。满足移动办公的需要，即实现员工在出差过程中可以访问企业内部网络的资源。这些资源包括邮件系统，文件共享系统，企业内部网和其他企业应用。保证员工远程访问不会给内网带来安全隐患；保障员工和内企业内网间数据交换的安全性（防止截听和篡改）移动用户所面临的威胁和风险细化的远程合作伙伴的安全访问策略2.F5FirePass关键技术2.1管理安全访问权限可授予单个用户或用户群（例如：“销售人员、“合作伙伴”、“IT”）FirePass将单个用户和用户群的访问限制在具体的资源范围内。合作伙伴可能只允许访问外联网服务器，而销售人员则可连接到电子邮件、公司内联网和CRM系统。2.2防火墙通过vpn连接器连接到公司Intranet网络中，FirePass将自动分配一个地址池中的一个IP地址为最终客户端，我们可以在FirePass上根据来源地址、来源端口，目的地址、目的端口进行数据包的过滤规则，是否允许这个数据包访问最终的服务器的应用；2.3客户机-服务器连接器许多企业都部署了像PeopleSoft®、SAP®、或Oracle®ERP应用这样的传统“胖客户机”体系结构，并且在每个用户的设备上都配备ERP应用客户机。通常这些应用需要面向公司网络之外的外出办公人员或合作伙伴。直到现在，这些合作伙伴和外出办公人员都需要在每个远程设备上配备特别配置的“VPN”软件。这些软件可以使他们在互联网与公司网络之间建立起一条“隧道”。这样他们才能够访问整个目标网络。一种更好的方法F5的FirePass不是利用传统的VPN客户机来提供全部网络接入支持，而是利用浏览器作为客户机与服务器之间的连接器，来支持远程访问个别应用。支持从远端客户机访问应用服务器上的TCP应用。可支持本地客户机端应用通过浏览器与FirePass服务器之间的安全隧道，与公司的应用服务器进行通信。允许连接的用户将LAN驱动器映射到远程系统。无需用户预先安装或配置任何额外组件。在网络端，被访问的应用服务器上无需安装额外软件。采用标准HTTPS协议，并以SSL作为传输协议，因此可支持任何HTTP代理–包括公共接入点、专用LAN以及任何不支持传统IPSecVPN的其它网络和ISP。标准的客户机-服务器连接器包括Outlook、ExchangeCluster、FTP、CitrixNfuse。管理员可以为那些使用静态TCP端口的应用建立客户的客户机-服务连接器。2.4过滤技术内容检查，FirePass对远程进入流量进行更深入的检查，FirePass控制器能扫描Web流量中不适当的内容（如：在POST数据中深入的脚本）或者太长的数据包，当发现恶意的内容，FirePass阻止用户的访问2.5客户机端证书的动态政策FirePass支持管理员根据用于访问FirePass服务器的设备类型来限制或允许访问。例如，用户在使用公司膝上型电脑时允许访问所有的内联网和客户机/服务器应用，而在公共热点上网时则只允许访问内联网。用户登录时，FirePass服务器还会核查客户机端的数字证书，这一证书将只授予膝上型电脑。根据该证书的核查情况，FirePass服务器将允许更广泛的应用访问。2.6身份认证技术1．用户鉴权缺省模式下，系统通过密码来对照内部FirePass数据库进行鉴权。FirePass经配置后可与RADIUS和LDAP鉴权方法、基于表格的基本HTTP鉴权以及负责鉴权与访问管理的WindowsDomainServer联合运行。2．双因素鉴权许多公司都需要“双因素”鉴权，即使用用户ID与密码之外的信息进