FirePass保險(xiǎn)公司解決方案

1、最新 精品 Word 歡迎下載 可修改FirePass 保險(xiǎn)公司解決方案版本號(hào)密級(jí)修改人修改日期修改對(duì)象備注（原因、進(jìn)一步說(shuō)明）jack2022-8-8文檔建立1 本文檔面向?qū)ο驠5的合作伙伴售前工程師。2 需求概述保險(xiǎn)市場(chǎng)開(kāi)放后，國(guó)內(nèi)保險(xiǎn)市場(chǎng)將涌入大批強(qiáng)有力的競(jìng)爭(zhēng)對(duì)手。外資保險(xiǎn)公司雄厚的資金實(shí)力、先進(jìn)的經(jīng)營(yíng)技術(shù)、靈活的市場(chǎng)化經(jīng)營(yíng)方式對(duì)中國(guó)保險(xiǎn)業(yè)提出了嚴(yán)峻的考驗(yàn)。為了提高自身的競(jìng)爭(zhēng)力，ERP系統(tǒng)得到了越來(lái)越廣泛的應(yīng)用，同時(shí)由于保險(xiǎn)公司的運(yùn)作特點(diǎn)，對(duì)于移動(dòng)辦公提出了越來(lái)越高的要求，而由于IPSec VPN的固有缺點(diǎn)，SSL VPN正在保險(xiǎn)行業(yè)得到廣泛應(yīng)用。SSL VPN作為新出現(xiàn)的技術(shù)，可以完美

2、的解決安全的遠(yuǎn)程接入的需求。安全的遠(yuǎn)程接入需要來(lái)自于三個(gè)人群，分別是遠(yuǎn)程接入的使用者（如業(yè)務(wù)人員）、公司信息安全主管、公司IT主管，下面分別論述他們的需求。2.1 遠(yuǎn)程接入的使用者（如業(yè)務(wù)人員）的需求遠(yuǎn)程接入的使用者（如業(yè)務(wù)人員）的需求就是隨時(shí)隨地接入，以往的IPSec VPN因?yàn)闊o(wú)法解決高可用性以及受網(wǎng)絡(luò)接入條件的限制，無(wú)法滿(mǎn)足隨時(shí)隨地接入的需求，具體表現(xiàn)在在需要客戶(hù)端使用不方便、某些網(wǎng)絡(luò)條件下無(wú)法接入、無(wú)法滿(mǎn)足724小時(shí)的高可用要求。2.2 公司信息安全主管的需求作為公司的信息安全主管，需要考慮整個(gè)系統(tǒng)的信息安全，以往由于使用IPSec VPN開(kāi)通遠(yuǎn)程接入而引起大量的病毒、蠕蟲(chóng)、應(yīng)用攻擊，

3、而且一旦接入IPSec VPN，整個(gè)內(nèi)網(wǎng)就完全開(kāi)放在使用者面前，存在著極大的隱患，信息安全主管希望新的SSL VPN能夠解決這些問(wèn)題。2.3 公司IT主管公司往往已經(jīng)部署了AAA服務(wù)器，如Active Directory、LDAP、RSA Secure ID、PKI、自己開(kāi)發(fā)的SSO服務(wù)器等等，公司IT主管希望SSL VPN能夠與這些AAA服務(wù)器結(jié)合起來(lái)，即用戶(hù)的認(rèn)證交給AAA服務(wù)器，而不需要IT主管維護(hù)兩套用戶(hù)賬戶(hù)系統(tǒng)；IT主管還需要SSL VPN具有詳細(xì)的用戶(hù)級(jí)日志，必要時(shí)還可以將日志信息通過(guò)標(biāo)準(zhǔn)協(xié)議傳送至公司的日志服務(wù)器。3 F5 FirePass解決方案F5的FirePass是企業(yè)級(jí)的

4、SSL VPN解決方案，可以充分滿(mǎn)足上述的所有需求。3.1 F5 FirePass特點(diǎn)3.1.1 完整的SSL VPN實(shí)現(xiàn)F5 FirePass包含IPSec VPN、網(wǎng)絡(luò)訪問(wèn)、網(wǎng)上應(yīng)用程序(My Intranet)、Windows文件共享、移動(dòng)電子郵件、應(yīng)用程序訪問(wèn)、傳統(tǒng)主機(jī)、終端服務(wù)器等眾多功能，使用標(biāo)準(zhǔn)SSL安全協(xié)議，不需要專(zhuān)用客戶(hù)端，可以完美的解決隨時(shí)隨地接入的需求，不僅可以滿(mǎn)足B/S應(yīng)用程序的遠(yuǎn)程接入，也可以滿(mǎn)足各種各樣C/S應(yīng)用程序的遠(yuǎn)程接入。3.1.2 強(qiáng)大的網(wǎng)絡(luò)訪問(wèn)功能SSL VPN是為彌補(bǔ)IPSec VPN的缺陷應(yīng)運(yùn)而生，F(xiàn)5 FirePass包含IPSec VPN、網(wǎng)絡(luò)訪問(wèn)

5、、網(wǎng)上應(yīng)用程序(My Intranet)、Windows文件共享、移動(dòng)電子郵件、應(yīng)用程序訪問(wèn)、傳統(tǒng)主機(jī)、終端服務(wù)器等眾多功能，這其中網(wǎng)絡(luò)訪問(wèn)功能是真正重要和對(duì)于企業(yè)來(lái)說(shuō)雪中送炭的功能，其他都是錦上添花的功能，網(wǎng)絡(luò)訪問(wèn)功能可以完全替代其他所有的功能。網(wǎng)絡(luò)訪問(wèn)功能既有IPSec VPN所具有的與應(yīng)用無(wú)關(guān)已經(jīng)與內(nèi)網(wǎng)使用體驗(yàn)一致的特點(diǎn)，而且解決了由于使用IPSec VPN所帶來(lái)的無(wú)法審計(jì)登錄信息、導(dǎo)致病毒和蠕蟲(chóng)入侵、某些網(wǎng)絡(luò)條件下無(wú)法接入、需要客戶(hù)端等諸多缺陷，所以網(wǎng)絡(luò)訪問(wèn)功能才是用戶(hù)一勞永逸的解決方案，一個(gè)SSL VPN解決方案可以不使用其他功能，但是一個(gè)不具備網(wǎng)絡(luò)訪問(wèn)功能的SSL VPN解決方案是

6、不可思議的。FirePass的網(wǎng)絡(luò)訪問(wèn)功能包含很多高級(jí)性能，如GZIP壓縮，可以大大提高性能；提供全局和基于組的包過(guò)濾功能，可以靈活的定義和限制每個(gè)組可以訪問(wèn)的IP、協(xié)議、端口，缺乏了包過(guò)濾功能的SSL VPN就不具備了相對(duì)于IPSec VPN的主要優(yōu)勢(shì)；提供對(duì)于VLAN的支持，方便大型的SSL VPN應(yīng)用；不僅提供NAPT方式的網(wǎng)絡(luò)訪問(wèn)，還提供使用源地址的網(wǎng)絡(luò)訪問(wèn)，而某些應(yīng)用是必須使用源地址的網(wǎng)絡(luò)訪問(wèn)的，如視頻點(diǎn)播，這樣不僅可以實(shí)現(xiàn)客戶(hù)端對(duì)于服務(wù)端的訪問(wèn)，也可以實(shí)現(xiàn)服務(wù)端主動(dòng)發(fā)起的對(duì)于客戶(hù)端的訪問(wèn)請(qǐng)求，如越來(lái)越多的“推”技術(shù)。3.1.3 良好的性能F5 FirePass可以實(shí)現(xiàn)高速緩存和壓縮

7、，極大的改善了遠(yuǎn)程接入的性能。3.1.4 多種多樣的接入客戶(hù)端F5 FirePass可以使用多種客戶(hù)端接入，包括Mac、Linux、Solaris、Windows CE等等，大大擴(kuò)展了客戶(hù)端的使用便利性。3.1.5 良好的安全性IPSec VPN的安全性一直是一個(gè)弱點(diǎn)，由于IPSec VPN而引起的病毒、木馬、Web攻擊一直是無(wú)法徹底解決的問(wèn)題，而F5 FirePass可以很好的解決這個(gè)問(wèn)題。在FirePass的門(mén)戶(hù)站主機(jī)訪問(wèn)模式下，F(xiàn)irePass可以對(duì)上傳的文件做病毒掃描，更可以與企業(yè)現(xiàn)有的防病毒軟件聯(lián)動(dòng)，徹底解決病毒問(wèn)題。而FirePass內(nèi)帶的內(nèi)容檢查功能，解決了Web攻擊問(wèn)題。F5

8、FirePass可以對(duì)客戶(hù)端做各種掃描，如操作系統(tǒng)版本、補(bǔ)丁版本、防病毒軟件種類(lèi)、病毒庫(kù)更新時(shí)間等等，從而堵住病毒、木馬入侵的途徑。F5 FirePass可以對(duì)接入客戶(hù)進(jìn)行各種限制，如可以訪問(wèn)的地址、端口、URL等等。F5 FirePass可以配置成在退出時(shí)自動(dòng)清除高速緩存。以上這些功能都大大增強(qiáng)了系統(tǒng)的安全性。3.1.6 豐富的日志功能IPSec VPN的日志功能非常薄弱，而FirePass可以提供非常豐富的用戶(hù)級(jí)日志功能，更可以通過(guò)標(biāo)準(zhǔn)的日志協(xié)議將日志實(shí)時(shí)傳送給企業(yè)中的日志服務(wù)器，便于審計(jì)。3.1.7 強(qiáng)大的高可用性對(duì)于遠(yuǎn)程訪問(wèn)非常重要的企業(yè)來(lái)說(shuō)，遠(yuǎn)程訪問(wèn)設(shè)備的高可用性非常重要，而IPSe

9、c VPN無(wú)法提供高可用性，往往成為系統(tǒng)的單點(diǎn)故障。而F5 FirePass可以多臺(tái)以集群方式對(duì)外提供服務(wù)，也可以前端使用F5 BIG IP作為負(fù)載均衡設(shè)備對(duì)外提供服務(wù)，在提高系統(tǒng)可用性的同時(shí)也提高了系統(tǒng)性能。3.1.8 與企業(yè)原有AAA服務(wù)器集成企業(yè)在部署遠(yuǎn)程訪問(wèn)設(shè)備之前，一般都部署了各種形式的AAA服務(wù)器，一般有Active Directory、LDAP、RADIUS、企業(yè)自行開(kāi)發(fā)的SSO等等，客戶(hù)端也有PKI、RSA Secure ID等等。FirePass可以輕易的與這樣AAA服務(wù)器集成，對(duì)于IT管理員來(lái)說(shuō)，可以輕易將一臺(tái)FirePass加入企業(yè)網(wǎng)，用戶(hù)管理仍然由原來(lái)的AAA服務(wù)器去做

10、。3.2 F5 FirePass解決方案3.2.1 具體需求描述A保險(xiǎn)公司的遠(yuǎn)程訪問(wèn)邏輯圖如下圖所示。請(qǐng)注意，F(xiàn)5 FirePass在網(wǎng)絡(luò)中的部署方式是非常靈活的，既可以是類(lèi)似防火墻的接法，把FirePass的幾塊網(wǎng)卡定義成不同的網(wǎng)段，分別接入到企業(yè)網(wǎng)的不同網(wǎng)段，也可以把FirePass直接接到企業(yè)的三層交換機(jī)上。該企業(yè)的遠(yuǎn)程訪問(wèn)用戶(hù)分別來(lái)自分支機(jī)構(gòu)(多個(gè))、合作伙伴(多個(gè))、在家或出差辦公的員工，既需要解決這些客戶(hù)的隨時(shí)隨地接入需求，更要區(qū)分不同用戶(hù)的權(quán)限；接入客戶(hù)端有Windows、Linux、Windows Mobile、Mac；需要接入的應(yīng)用有基于Web的應(yīng)用、基于單個(gè)端口的TCP應(yīng)用

11、(如passive模式的FTP)、TCP和UDP的應(yīng)用、Windows文件共享、基于微軟Exchange的電子郵件、終端服務(wù)器(如微軟Terminal Server、Citrix、VNC)、傳統(tǒng)主機(jī)(如3270、320等主機(jī)終端)，應(yīng)用不僅有客戶(hù)端到服務(wù)端的訪問(wèn)要求，也有服務(wù)器主動(dòng)發(fā)起的對(duì)于客戶(hù)端的訪問(wèn)請(qǐng)求(主動(dòng)發(fā)送更新文件等)以及雙向的訪問(wèn)請(qǐng)求(如視頻會(huì)議)；認(rèn)證方式是Active Directory、Windows域認(rèn)證、LDAP、RADIUS、PKI、RSA Secure ID、VASCO Digipass、企業(yè)自行開(kāi)發(fā)的認(rèn)證服務(wù)器等其中的一種，需要FirePass與這些認(rèn)證服務(wù)器無(wú)縫集

12、成；企業(yè)已經(jīng)部署或者未部署具有ICAP接口的企業(yè)防病毒服務(wù)器，無(wú)論怎樣，希望查殺上傳至服務(wù)器的文件和郵件中的病毒；需要解決Web應(yīng)用攻擊問(wèn)題；企業(yè)有集中的日志服務(wù)器，需要講詳細(xì)的日志信息上傳至遠(yuǎn)程訪問(wèn)用戶(hù)直接訪問(wèn)FirePass，F(xiàn)irePass把認(rèn)證請(qǐng)求轉(zhuǎn)發(fā)到企業(yè)的AAA服務(wù)器上，認(rèn)證通過(guò)后用戶(hù)即登錄FirePass，按照事先定義的授權(quán)策略，用戶(hù)即可使用IPSec VPN、網(wǎng)絡(luò)訪問(wèn)、網(wǎng)上應(yīng)用程序(My Intranet)、Windows文件共享、移動(dòng)電子郵件、應(yīng)用程序訪問(wèn)、傳統(tǒng)主機(jī)、終端服務(wù)器等眾多功能中的若干資源。3.2.2 針對(duì)需求的解決方案 隨時(shí)隨地接入需求FirePas

13、s使用SSL協(xié)議作為接入?yún)f(xié)議，SSL協(xié)議工作于傳輸層與應(yīng)用層之間，與具體接入條件無(wú)關(guān)，有效的避免了IPSec VPN在某些網(wǎng)絡(luò)條件下無(wú)法接入的弊端。 高可用性F5 FirePass可以多臺(tái)以Failover或集群方式對(duì)外提供服務(wù)，也可以前端使用F5 BIG IP作為負(fù)載均衡設(shè)備對(duì)外提供服務(wù)，在提高系統(tǒng)可用性的同時(shí)也提高了系統(tǒng)性能，可以保障724小時(shí)服務(wù)。 提供雙因素認(rèn)證保險(xiǎn)公司一般采用RSA Secure ID或PKI的USB Key作為客戶(hù)端認(rèn)證手段，F(xiàn)irePass可以使用這些雙因素認(rèn)證客戶(hù)端作為認(rèn)證手段。 良好的權(quán)限管理F5 FirePass可以

14、方便的以用戶(hù)主干組和資源組映射的方式靈活的進(jìn)行權(quán)限管理，企業(yè)可以方便的賦予自己公司不同職權(quán)的員工、合作伙伴、供應(yīng)商等不同的權(quán)限。 豐富的接入客戶(hù)端FirePass不僅可以使用Windows作為工作客戶(hù)端，更可以使用Linux、Windows Mobile、Mac、Solaris作為工作客戶(hù)端，這一點(diǎn)對(duì)于使用非Windows客戶(hù)端的企業(yè)尤為重要。 提供純?yōu)g覽器方式的Windows文件共享FirePass提供純?yōu)g覽器方式的Windows文件共享，用戶(hù)只需瀏覽器就可以實(shí)現(xiàn)Windows共享文件的瀏覽、上傳、下載，而且可以對(duì)上傳的文件查殺病毒，極大的方便了用戶(hù)。3.2.2.

15、7 提供IMAP/POP3郵件服務(wù)器Web展現(xiàn)FirePass可以實(shí)現(xiàn)IMAP/POP3郵件服務(wù)器Web展現(xiàn)，用戶(hù)只需要使用瀏覽器，就可以存取基于IMAP/POP3郵件服務(wù)器的郵件，非常方便，并且可以對(duì)郵件查殺病毒。 使用瀏覽器訪問(wèn)終端服務(wù)器FirePass可以實(shí)現(xiàn)終端服務(wù)器(如微軟Terminal Server、Citrix、VNC)的Web展現(xiàn)，用戶(hù)只需要使用瀏覽器，就可以實(shí)現(xiàn)對(duì)于終端服務(wù)器的訪問(wèn)。 使用瀏覽器訪問(wèn)傳統(tǒng)主機(jī)FirePass可以實(shí)現(xiàn)傳統(tǒng)主機(jī)終端(如3270等)的Web展現(xiàn)，用戶(hù)只需要使用瀏覽器，就可以實(shí)現(xiàn)對(duì)于傳統(tǒng)主機(jī)的訪問(wèn)。0 實(shí)現(xiàn)雙

16、向訪問(wèn)FirePass不僅支持客戶(hù)端到服務(wù)端的訪問(wèn)要求，也支持服務(wù)器主動(dòng)發(fā)起的對(duì)于客戶(hù)端的訪問(wèn)請(qǐng)求(主動(dòng)發(fā)送更新文件等)以及雙向的訪問(wèn)請(qǐng)求(如視頻會(huì)議)。1 與企業(yè)原有AAA服務(wù)器集成企業(yè)在部署遠(yuǎn)程訪問(wèn)設(shè)備之前，一般都部署了各種形式的AAA服務(wù)器，一般有Active Directory、LDAP、RADIUS、企業(yè)自行開(kāi)發(fā)的SSO等等，客戶(hù)端也有PKI、RSA Secure ID等等。FirePass可以輕易的與這樣AAA服務(wù)器集成，對(duì)于IT管理員來(lái)說(shuō)，可以輕易將一臺(tái)FirePass加入企業(yè)網(wǎng)，用戶(hù)管理仍然由原來(lái)的AAA服務(wù)器去做。2 強(qiáng)大的防病毒功能FirePass內(nèi)置防病毒軟件，可以查殺文件和郵件中的病毒，如果企業(yè)已經(jīng)部署具有ICAP接口的企業(yè)防病毒服務(wù)器，F(xiàn)irePass還可以將查殺病毒的功能交給企業(yè)防病毒服務(wù)器。3 提供高可用性F5 FirePass可以多臺(tái)以Failover或集群方式對(duì)外提供服務(wù)，也可以前端使用F5 BIG IP作為負(fù)載均衡設(shè)備對(duì)外提供服務(wù)，在提高系統(tǒng)可用性的同時(shí)也提高了系統(tǒng)性能。4 提供防應(yīng)用攻擊功能FirePass內(nèi)帶內(nèi)容檢查功能，可以防止內(nèi)存溢出、SQL腳本注入等大部分web應(yīng)用攻擊。5 解決系統(tǒng)遠(yuǎn)程訪問(wèn)的安全性IPSec VPN的安全性一直是一個(gè)弱點(diǎn)，由于IPSec V