[方案和案例下载][F5][金融]FirePass保险公司解决方案

F5Networks,Inc.ChinaWorldTower2,10/F,Suite1001C,Beijingtel:6505.2375fax:65052287:6505.2375fax:65052287版本号密级修改人修改日期修改对象备注（原因、进一步说明）jack2005-8-8文档建立F5Networks,Inc.ChinaWorldTower2,10/F,Suite1001C,Beijingtel:6505.2375fax:65052287的合作伙伴售前工程师。2需求概述保险市场开放后，国内保险市场将涌入大批强有力的竞争对手。外资保险公司雄厚的资金实力、先进的经营技术、灵活的市场化经营方式对中国保险业提出了严峻的考验。为了提高自身的竞争力，ERP系统得到了越来越广泛的应用，同时由于保险公司的运作特点，对于移动办公提出了越来越高的要求，而由于IPSecVPN的固有缺点，SSLVPN正在保险行业得到广泛应用。SSLVPN作为新出现的技术，可以完美的解决安全的远程接入的需求。安全的远程接入需要来自于三个人群，分别是远程接入的使用者（如业务人员）、公司信息安全主管、公司IT主管，下面分别论述他们的需求。2.1远程接入的使用者（如业务人员）的需求远程接入的使用者（如业务人员）的需求就是随时随地接入，以往的IPSecVPN因为无法解决高可用性以及受网络接入条件的限制，无法满足随时随地接入的需求，具体表现在在需要客户端使用不方便、某些网络条件下无法接入、无法满足7×24小时的高可用要求。2.2公司信息安全主管的需求作为公司的信息安全主管，需要考虑整个系统的信息安全，以往由于使用IPSecVPN开通远程接入而引起大量的病毒、蠕虫、应用攻击，而且一旦接入IPSecVPN，整个内网就完全开放在使用者面前，存在着极大的隐患，信息安全主管希望新的SSLVPN能够解决这些问题。2.3公司IT主管公司往往已经部署了AAA服务器，如ActiveDirectory、LDAP、RSASecureID、PKI、自己开发的SSO服务器等等，公司IT主管希望SSLVPN能够与这些F5Networks,Inc.ChinaWorldTower2,10/F,Suite1001C,Beijingtel:6505.2375fax:65052287服务器结合起来，即用户的认证交给AAA服务器，而不需要IT主管维护两套用户账户系统；IT主管还需要SSLVPN具有详细的用户级日志，必要时还可以将日志信息通过标准协议传送至公司的日志服务器。3F5FirePass解决方案F5的FirePass是企业级的SSLVPN解决方案，可以充分满足上述的所有需求。3.1F5FirePass特点3.1.1完整的SSLVPN实现F5FirePass包含IPSecVPN、网络访问、网上应用程序(MyIntranet)、Windows文件共享、移动电子邮件、应用程序访问、传统主机、终端服务器等众多功能，使用标准SSL安全协议，不需要专用客户端，可以完美的解决随时随地接入的需求，不仅可以满足B/S应用程序的远程接入，也可以满足各种各样C/S应用程序的远程接入。3.1.2强大的网络访问功能SSLVPN是为弥补IPSecVPN的缺陷应运而生，F5FirePass包含IPSecVPN、网络访问、网上应用程序(MyIntranet)、Windows文件共享、移动电子邮件、应用程序访问、传统主机、终端服务器等众多功能，这其中网络访问功能是真正重要和对于企业来说雪中送炭的功能，其他都是锦上添花的功能，网络访问功能可以完全替代其他所有的功能。网络访问功能既有IPSecVPN所具有的与应用无关已经与内网使用体验一致的特点，而且解决了由于使用IPSecVPN所带来的无法审计登录信息、导致病毒和蠕虫入侵、某些网络条件下无法接入、需要客户端等诸多缺陷，所以网络访问功能才是用户一劳永逸的解决方案，一个SSLVPN解决方案可以不使用其他功能，但是一个不具备网络访问功能的SSLVPN解决方案是不可思议的。FirePass的网络访问功能包含很多高级性能，如GZIP压缩，可以大大提高性能；提供全局和基于组的包过滤功能，可以灵活的定义和限制每个组可以访问的IP、协议、端口，缺乏了包过滤功能的SSLVPN就不具备了相对于IPSecVPN的主要优势；提供对于VLAN的支持，方便大型的SSLVPN应用；不仅提供F5Networks,Inc.ChinaWorldTower2,10/F,Suite1001C,Beijingtel:6505.2375fax:65052287方式的网络访问，还提供使用源地址的网络访问，而某些应用是必须使用源地址的网络访问的，如视频点播，这样不仅可以实现客户端对于服务端的访问，也可以实现服务端主动发起的对于客户端的访问请求，如越来越多的“推”技术。3.1.3良好的性能F5FirePass可以实现高速缓存和压缩，极大的改善了远程接入的性能。3.1.4多种多样的接入客户端F5FirePass可以使用多种客户端接入，包括Mac、Linux、Solaris、WindowsCE等等，大大扩展了客户端的使用便利性。3.1.5良好的安全性IPSecVPN的安全性一直是一个弱点，由于IPSecVPN而引起的病毒、木马、Web攻击一直是无法彻底解决的问题，而F5FirePass可以很好的解决这个问题。在FirePass的门户站主机访问模式下，FirePass可以对上传的文件做病毒扫描，更可以与企业现有的防病毒软件联动，彻底解决病毒问题。而FirePass内带的内容检查功能，解决了Web攻击问题。F5FirePass可以对客户端做各种扫描，如操作系统版本、补丁版本、防病毒软件种类、病毒库更新时间等等，从而堵住病毒、木马入侵的途径。F5FirePass可以对接入客户进行各种限制，如可以访问的地址、端口、URL等等。F5FirePass可以配置成在退出时自动清除高速缓存。以上这些功能都大大增强了系统的安全性。3.1.6丰富的日志功能IPSecVPN的日志功能非常薄弱，而FirePass可以提供非常丰富的用户级日志功能，更可以通过标准的日志协议将日志实时传送给企业中的日志服务器，便于审计。F5Networks,Inc.ChinaWorldTower2,10/F,Suite1001C,Beijingtel:6505.2375fax:65052287强大的高可用性对于远程访问非常重要的企业来说，远程访问设备的高可用性非常重要，而IPSecVPN无法提供高可用性，往往成为系统的单点故障。而F5FirePass可以多台以集群方式对外提供服务，也可以前端使用F5BIGIP作为负载均衡设备对外提供服务，在提高系统可用性的同时也提高了系统性能。3.1.8与企业原有AAA服务器集成企业在部署远程访问设备之前，一般都部署了各种形式的AAA服务器，一般有ActiveDirectory、LDAP、RADIUS、企业自行开发的SSO等等，客户端也有PKI、RSASecureID等等。FirePass可以轻易的与这样AAA服务器集成，对于IT管理员来说，可以轻易将一台FirePass加入企业网，用户管理仍然由原来的AAA服务器去做。3.2F5FirePass解决方案3.2.1具体需求描述A保险公司的远程访问逻辑图如下图所示。请注意，F5FirePass在网络中的部署方式是非常灵活的，既可以是类似防火墙的接法，把FirePass的几块网卡定义成不同的网段，分别接入到企业网的不同网段，也可以把FirePass直接接到企业的三层交换机上。F5Networks,Inc.ChinaWorldTower2,10/F,Suite1001C,Beijingtel:6505.2375fax:65052287服务器(ActiveDirectory)该企业的远程访问用户分别来自分支机构(多个)、合作伙伴(多个)、在家或出差办公的员工，既需要解决这些客户的随时随地接入需求，更要区分不同用户的权限；接入客户端有Windows、Linux、WindowsMobile、Mac；需要接入的应用有基于Web的应用、基于单个端口的TCP应用(如passive模式的FTP)、TCP和UDP的应用、Windows文件共享、基于微软Exchange的电子邮件、终端服务器(如微软TerminalServer、Citrix、VNC)、传统主机(如3270、320等主机终端)，应用不仅有客户端到服务端的访问要求，也有服务器主动发起的对于客户端的访F5Networks,Inc.ChinaWorldTower2,10/F,Suite1001C,Beijingtel:6505.2375fax:65052287问请求(主动发送更新文件等)以及双向的访问请求(如视频会议)；认证方式是ActiveDirectory、Windows域认证、LDAP、RADIUS、PKI、RSASecureID、VASCODigipass、企业自行开发的认证服务器等其中的一种，需要FirePass与这些认证服务器无缝集成；企业已经部署或者未部署具有ICAP接口的企业防病毒服务器，无论怎样，希望查杀上传至服务器的文件和邮件中的病毒；需要解决Web应用攻击问题；企业有集中的日志服务器，需要讲详细的日志信息上传至远程访问用户直接访问FirePass，FirePass把认证请求转发到企业的AAA服务器上，认证通过后用户即登录FirePass，按照事先定义的授权策略，用户即可使用IPSecVPN、网络访问、网上应用程序(MyIntranet)、Windows文件共享、移动电子邮件、应用程序访问、传统主机、终端服务器等众多功能中的若干资源。3.2.2针对需求的解决方案3.2.2.1随时随地接入需求FirePass使用SSL协议作为接入协议，SSL协议工作于传输层与应用层之间，与具体接入条件无关，有效的避免了IPSecVPN在某些网络条件下无法接入的弊端。3.2.2.2高可用性F5FirePass可以多台以Failover或集群方式对外提供服务，也可以前端使用F5BIGIP作为负载均衡设备对外提供服务，在提高系统可用性的同时也提高了系统性能，可以保障7×24小时服务。3.2.2.3提供双因素认证保险公司一般采用RSASecureID或PKI的USBKey作为客户端认证手段，FirePass可以使用这些双因素认证客户端作为认证手段。3.2.2.4良好的权限管理F5FirePass可以方便的以用户主干组和资源组映射的方式灵活的进行权限管理，企业可以方便的赋予自己公司不同职权的员工、合作伙伴、供应商等不同F5Networks,Inc.ChinaWorldTower2,10/F,Suite1001C,Beijingtel:6505.2375fax:65052287的权限。3.2.2.5丰富的接入客户端FirePass不仅可以使用Windows作为工作客户端，更可以使用Linux、WindowsMobile、Mac、Solaris作为工作客户端，这一点对于使用非Windows客户端的企业尤为重要。3.2.2.6提供纯浏览器方式的Windows文件共享FirePass提供纯浏览器方式的Windows文件共享，用户只需浏览器就可以实现Windows共享文件的浏览、上传、下载，而且可以对上传的文件查杀病毒，