FirePass标准解决方案【DOC精选】.docVIP

FirePass 标准解决方案  版本号 密级 修改人 修改日期 修改对象 备注（原因、进一步说明） jack 2005-8-2 文档建立  本文档面向对象 F5的合作伙伴售前工程师。 前言 SSL VPN作为新生事物，无论是从事SSL VPN销售的工程师还是用户，都存在很多认识上的误区，FirePass作为业界功能最为强大的SSL VPN产品，把FirePass的强大功能发挥到极至以便更好的为用户服务并非易事，本文希望能够起到抛砖引玉的作用，在使用时请结合用户环境加以修改。 需求概述 随着企业的业务发展，对于安全的远程接入的需求越来越强，SSL VPN作为新出现的技术，可以完美的解决安全的远程接入的需求。安全的远程接入需要来自于三个人群，分别是远程接入的使用者、公司信息安全主管、公司IT主管，下面分别论述他们的需求。 远程接入的使用者的需求 远程接入的使用者的需求就是随时随地接入，以往的IPSec VPN因为无法解决高可用性以及受网络接入条件的限制，无法满足随时随地接入的需求，具体表现在在需要客户端使用不方便、某些网络条件下无法接入、无法满足7×24小时的高可用要求。 公司信息安全主管的需求 作为公司的信息安全主管，需要考虑整个系统的信息安全，以往由于使用IPSec VPN开通远程接入而引起大量的病毒、蠕虫、应用攻击，而且一旦接入IPSec VPN，整个内网就完全开放在使用者面前，存在着极大的隐患，信息安全主管希望新的SSL VPN能够解决这些问题。 公司IT主管 公司往往已经部署了AAA服务器，如Active Directory、LDAP、RSA Secure ID、自己开发的SSO服务器等等，公司IT主管希望SSL VPN能够与这些AAA服务器结合起来，即用户的认证交给AAA服务器，而不需要IT主管维护两套用户账户系统；IT主管还需要SSL VPN具有详细的用户级日志，必要时还可以将日志信息通过标准协议传送至公司的日志服务器。 F5 FirePass解决方案 F5的FirePass是企业级的SSL VPN解决方案，可以充分满足上述的所有需求。 F5 FirePass特点 完整的SSL VPN实现 F5 FirePass包含IPSec VPN、网络访问、网上应用程序(My Intranet)、Windows文件共享、移动电子邮件、应用程序访问、传统主机、终端服务器等众多功能，使用标准SSL安全协议，不需要专用客户端，可以完美的解决随时随地接入的需求，不仅可以满足B/S应用程序的远程接入，也可以满足各种各样C/S应用程序的远程接入. 良好的性能 F5 FirePass可以实现高速缓存和压缩，极大的改善了远程接入的性能。 多种多样的接入客户端 F5 FirePass可以使用多种客户端接入，包括Mac、Linux、Solaris、Windows CE等等，大大扩展了客户端的使用便利性。 良好的安全性 IPSec VPN的安全性一直是一个弱点，由于IPSec VPN而引起的病毒、木马、Web攻击一直是无法彻底解决的问题，而F5 FirePass可以很好的解决这个问题。在FirePass的门户站主机访问模式下，FirePass可以对上传的文件做病毒扫描，更可以与企业现有的防病毒软件联动，彻底解决病毒问题。而FirePass内带的内容检查功能，解决了Web攻击问题。 F5 FirePass可以对客户端做各种扫描，如操作系统版本、补丁版本、防病毒软件种类、病毒库更新时间等等，从而堵住病毒、木马入侵的途径。 F5 FirePass可以对接入客户进行各种限制，如可以访问的地址、端口、URL等等。 F5 FirePass可以配置成在退出时自动清除高速缓存。 以上这些功能都大大增强了系统的安全性。 丰富的日志功能 IPSec VPN的日志功能非常薄弱，而FirePass可以提供非常丰富的用户级日志功能，更可以通过标准的日志协议将日志实时传送给企业中的日志服务器，便于审计。 强大的高可用性 对于远程访问非常重要的企业来说，远程访问设备的高可用性非常重要，而IPSec VPN无法提供高可用性，往往成为系统的单点故障。而F5 FirePass可以多台以集群方式对外提供服务，也可以前端使用F5 BIG IP作为负载均衡设备对外提供服务，在提高系统可用性的同时也提高了系统性能。 与企业原有AAA服务器集成 企业在部署远程访问设备之前，一般都部署了各种形式的AAA服务器，一般有Active Directory、LDAP、RADIUS、企业自行开发的SSO等等，客户端也有PKI、RSA Secure ID等等。FirePass可以轻易的与这样AAA服务器集成，对于IT管理员来说，可以轻易将一台FirePass加入企业