搜索
F5公司SSLVPN产品介绍2®公司背景介绍•互联网络和应用流量管理的领导型企业•成立于1996年,在1999年上市,Nasdaq(FFIV)•总部在西雅图,分支机构遍布北美,欧洲,日本和亚太地区•500+员工•2002年第16次被评为Deloitte&Touche全球技术发展最快的500家企业之一3®F5全球的主要客户金融IT电信4®F5全球的主要客户媒体卫生饮食交通运输其他制造业5®国内客户电信通讯–中国移动–中国联通–中国电信–中国网通--中国吉通传媒–中国广电–中央人民广播电台–新华社总社–新闻出版署IXP–ChinaCache–中国第一家CDN服务商–21DNN–Tom.Com–21CN–Sina–Sohu教育–广东省高教厅–华南理工大学–上海市教委–CERNET数据中心–中国公安大学企业–中国国际电子商务中心CIECC–大庆油田–胜利油田–中国石化总公司–摩托罗拉中国–天津丰田汽车政府–国家知识产权局–北京国税–北京地税–上海市政府–国家统计局–广东省信息中心其他–中国第九届全运会专用网站金融–工商银行总行–中国银联–人民银行金融认证中心–光大银行–进出口银行–平安保险–华西证券–华夏证券–广发证券6®远程访问的要求任何地点任何应用任何设备安全酒店公共信息查询台无线服务访问点笔记本电脑Kiosk家用电脑PDA/移动电话数据保全设备保护网络保护应用的分级访问AAA服务器目录持续访问容易使用容易集成高可用企业职员合作伙伴供应商WebClient/Server传统应用台式机任何用户免客户端软件简单的GUI详细的审计报表GlobalLBStatefulFailover冗灾能力7®远程访问快速发展加大了技术的难度现在的远程访问技术(IPsec,RAS,PPTP)电话拨号移动设备互联网络电话企业互联网络网站服务WLANs,PDAs199719981999200020012002200320042005RemoteAccessIssues驱动力远程访问的问题许多设备类型客户端安全AAA高可用性冗灾合作伙伴,供应商,雇员合适的访问权限网站服务任何地点都能够访问无线局域网络安全合作伙伴访问8®HotelKioskHotSpot为什么不使用IPSec?任何地点任何应用任何设备安全LaptopKioskHomePCPDA/CellPhoneDataPrivacyDeviceProtectionNetworkProtectionGranularAppAccessAAAServersDirectoriesInstantAccess容易使用容易集成高可用性GlobalLBStatefulFailoverDisasterRecoveryEmployeePartnerSupplierWebClient/ServerLegacyDesktop任何用户ClientlessSimpleGUIDetailedAuditTrail9®VPN部署方案–FirePass与传统的IPSECVPN注:300直接用户;高可用性的配置方案总结FirePassSSL/VPNCheckpointSecureClient节省比率实施工程实施量:20工时120工时83%使用帮助:60工时200工时70%直接用户安装:.5工时1工时+50%+维护工程量:30分钟/天1.5工时/天66%服务帮助:2小时/天5工时/天60%10®为什么SSLVPN在远程安全访问中比IPSecVPN更好呢?•降低维护费用并提高效率•与IPSec相比采用SSLVPN在三年的时间内节省$80,000到$260,000(BreakawayMarketingGroupAugust2003)•丰富的客户端活动日志和审计功能•优异的安全性•精确适当的访问权限•IPSec用来为子网对子网的安全通道而设计,不适用于远程客户端访问“EnterprisesthatwanteasierandmoreflexiblewaystodeploysecureremoteaccessshouldconsiderSSLVPNsfornewinvestments,andasupgradesforlegacyVPNs.”JohnGirard,GartnerGroup“SSLVPNsnotonlyofferbettersecuritythanIPSecVPNs,theycanoffersubstantialsavings.”DanaHendrickson,BreakawayMarketingGroup“WeexpectSSL-basedsolutionstoeventuallybethedominantsecurityprotocolforuserandapplicationlevelremoteaccess”ZeusKaravalla,YankeeGroup11®F5FirePassSSLVPN体系架构Internet适配器Client/Server连接器VPN连接器Desktop适配器PolicyEngineSSLAccess管理端口LDAPRADIUSWinNT/2KSalesFinancialAuditorsIntranetSAPFileSharesUsageWhoaccessedWhatwasaccessedAuthenticationGroupAccessRightsAuditMicrosoftExchangeServerServersMicrosoftExchangeServerMicrosoftWindows2000ServersDeskTop12®FirePassSSLVPN简介?InternetLaptop移动设备3rdParty主机系统服务器台式机动态的安全策略支持任何应用无所不在的交付能力KioskSecuredbySSL•最智能的产品•SSL加速的领导企业•丰富的安全功能•容易部署•全球化的支持13®公司策略防火墙/病毒检查Kiosk策略Cache/临时文件清除迷你浏览器策略动态的客户端访问政策笔记本电脑公共信息查询台客户端/服务器应用全网络连接终端服务器PDA文件访问企业内联网电子邮件14®配备笔记本电脑的客户UserExecutives,Sales,ConsultantsUserissueReliableVPNaccessfromhotels,customersites,homeoffices,etc.ControlFull/restrictednetworkaccessExistingApproachesIPSecDialupRASLimitationsClient-sidesoftware,supportcostsEquipmentcosts,limitedbandwidth/connection15®F5公司的笔记本电脑VPN方案与IPSec完全一样的功能•完全的网络访问•访问任何IP应用(TCP,UDP)•免客户端软件•安全(SSL封装)•设备验证(确认有效性)•客户端合法性检查•详细的审计功能FirePassVPNConnectorMicrosoftExchangeServerSSLVPNTunnelSSL公司网络笔记本电脑BrowserMicrosoftOutlookAntivirusFirewall16®功能-VPN连接器•全网络访问–UDP,TCP•分开的隧道选项–关–所有流量通过隧道–特定流量通过隧道•应用支持–自动启动–自动登陆和驱动器映射•包过滤–全方位的–分组的17®F5Firepass的完全网络级SSLVPN18®F5内联网络访问•访问基于Web的应用–Group-basedcontrols•会话的超时限制•隐藏URL避免黑客入侵•Cookie管理•清除临时文件免留后患•能够阻止文件下载FirePassWeb适配器企业网络Kiosk/家用电脑BrowserWebServersCache/临时文件自动清除(Win32)SSL19®功能-Web适配器•Web访问–在主业内显示–单独开立窗口–自动导向到用户定义的站点•限制访问控制–限定用户只能访问特定网站(e.g.http://*.f5.com)•代理登陆–基本/NTLM鉴权–自动登陆–传输变量到常规站点(如userid)20®Web适配器–流量检查企业内联网络动态政策引擎Web适配器FirePassInternetCrossSiteScriptingUser-Defined政策引擎扫描TCP/IP的包头和数据字段的值•交叉站点印记攻击防范–FirePass扫描可疑的字节和字串•内容检查和转换–FirePass能够修补和清除Web的内容21®F5主机服务器访问•安全访问Citrix,VNC,和Windows2K终端服务器–Downloadprevention•安全基于web来访问Windows/NFS服务器–Uploadvirusscan•安全基于web访问3270/5250/VTxxx主机FirePassCorporateNetworkKiosk/HomePCBrowserCache/TempFileCleanup(Win32)Non-WebServersCitrixTermServersLegacyHostsFileServersHost/ServerAdapterSSL22®功能–文件服务器访问•Windows文件服务器访问–浏览,上载,下载,移动,和文件复制•客户端要求–不需要Java/ActiveX•鉴权–FirePass代理提示用户登陆主域–支持自动登陆功能23®功能-NFS适配器•NFS服务器访问–浏览,上载,下载,移动,和文件复制•客户端要求–不需要Java/ActiveX•鉴权–FirePass从NIS服务器中导入用户信息–用户自定义24®F5远程台式机访问•安全访问–WindowsXP远端台式机–XWindow(UNIX/Linux)•安全访问–Windows台式机系统•集中运筹台式机访问管理FirePassCorporateNetworkKiosk/HomePCBrowserDesktopsWinXPWin32DesktopDesktopAdapterSSLUNIX/Linux25®Feature-UNIXSystemAdapter•XWindowaccess–FirePassconnectstoUNIXsystemviacommandlineinterface–XWindowsapplicationisre-directedtoFirePass•Flexibleclientsupport–Java/ActiveXpluginssupported–NOXWindowssoftware•Increasedproductivity–AccessUNIXserversfromanybrowser26®Feature-DesktopAdapter•Remotecontrol–WIN32systems–Remoteprinting–Java/ActiveXaccessfromstandardbrowser•Guestaccess/collaboration–Inviteupto10guests•Desktopaccess–Email/fileaccess•Seatlicense–Desktopsoftwareinstallrequired27®移动设备的安全访问User任何移动设备的职员Userissue通过任何PDA和高端移动电话访问Control访问电子邮件,移动应用ExistingApproach‘Mobiledevice’capableapplicationsMobilegatewayLimitationsRequirespurchaseofapplication(fewavailable)Requirespurchaseandsupportofanadditionaldevice28®F5移动设备访问•访问标准电子邮件服务器的电子邮件•观看/发送文件•使得信息能够被移动设备访问•受限制的应用访问•利