FirePass保險(xiǎn)公司解決方案_第1頁(yè)
FirePass保險(xiǎn)公司解決方案_第2頁(yè)
FirePass保險(xiǎn)公司解決方案_第3頁(yè)
FirePass保險(xiǎn)公司解決方案_第4頁(yè)
FirePass保險(xiǎn)公司解決方案_第5頁(yè)
已閱讀5頁(yè),還剩6頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、最新 精品 Word 歡迎下載 可修改FirePass 保險(xiǎn)公司解決方案版本號(hào)密級(jí)修改人修改日期修改對(duì)象備注(原因、進(jìn)一步說(shuō)明)jack2022-8-8文檔建立1 本文檔面向?qū)ο驠5的合作伙伴售前工程師。2 需求概述保險(xiǎn)市場(chǎng)開(kāi)放后,國(guó)內(nèi)保險(xiǎn)市場(chǎng)將涌入大批強(qiáng)有力的競(jìng)爭(zhēng)對(duì)手。外資保險(xiǎn)公司雄厚的資金實(shí)力、先進(jìn)的經(jīng)營(yíng)技術(shù)、靈活的市場(chǎng)化經(jīng)營(yíng)方式對(duì)中國(guó)保險(xiǎn)業(yè)提出了嚴(yán)峻的考驗(yàn)。為了提高自身的競(jìng)爭(zhēng)力,ERP系統(tǒng)得到了越來(lái)越廣泛的應(yīng)用,同時(shí)由于保險(xiǎn)公司的運(yùn)作特點(diǎn),對(duì)于移動(dòng)辦公提出了越來(lái)越高的要求,而由于IPSec VPN的固有缺點(diǎn),SSL VPN正在保險(xiǎn)行業(yè)得到廣泛應(yīng)用。SSL VPN作為新出現(xiàn)的技術(shù),可以完美

2、的解決安全的遠(yuǎn)程接入的需求。安全的遠(yuǎn)程接入需要來(lái)自于三個(gè)人群,分別是遠(yuǎn)程接入的使用者(如業(yè)務(wù)人員)、公司信息安全主管、公司IT主管,下面分別論述他們的需求。2.1 遠(yuǎn)程接入的使用者(如業(yè)務(wù)人員)的需求遠(yuǎn)程接入的使用者(如業(yè)務(wù)人員)的需求就是隨時(shí)隨地接入,以往的IPSec VPN因?yàn)闊o(wú)法解決高可用性以及受網(wǎng)絡(luò)接入條件的限制,無(wú)法滿(mǎn)足隨時(shí)隨地接入的需求,具體表現(xiàn)在在需要客戶(hù)端使用不方便、某些網(wǎng)絡(luò)條件下無(wú)法接入、無(wú)法滿(mǎn)足724小時(shí)的高可用要求。2.2 公司信息安全主管的需求作為公司的信息安全主管,需要考慮整個(gè)系統(tǒng)的信息安全,以往由于使用IPSec VPN開(kāi)通遠(yuǎn)程接入而引起大量的病毒、蠕蟲(chóng)、應(yīng)用攻擊,

3、而且一旦接入IPSec VPN,整個(gè)內(nèi)網(wǎng)就完全開(kāi)放在使用者面前,存在著極大的隱患,信息安全主管希望新的SSL VPN能夠解決這些問(wèn)題。2.3 公司IT主管公司往往已經(jīng)部署了AAA服務(wù)器,如Active Directory、LDAP、RSA Secure ID、PKI、自己開(kāi)發(fā)的SSO服務(wù)器等等,公司IT主管希望SSL VPN能夠與這些AAA服務(wù)器結(jié)合起來(lái),即用戶(hù)的認(rèn)證交給AAA服務(wù)器,而不需要IT主管維護(hù)兩套用戶(hù)賬戶(hù)系統(tǒng);IT主管還需要SSL VPN具有詳細(xì)的用戶(hù)級(jí)日志,必要時(shí)還可以將日志信息通過(guò)標(biāo)準(zhǔn)協(xié)議傳送至公司的日志服務(wù)器。3 F5 FirePass解決方案F5的FirePass是企業(yè)級(jí)的

4、SSL VPN解決方案,可以充分滿(mǎn)足上述的所有需求。3.1 F5 FirePass特點(diǎn)3.1.1 完整的SSL VPN實(shí)現(xiàn)F5 FirePass包含IPSec VPN、網(wǎng)絡(luò)訪問(wèn)、網(wǎng)上應(yīng)用程序(My Intranet)、Windows文件共享、移動(dòng)電子郵件、應(yīng)用程序訪問(wèn)、傳統(tǒng)主機(jī)、終端服務(wù)器等眾多功能,使用標(biāo)準(zhǔn)SSL安全協(xié)議,不需要專(zhuān)用客戶(hù)端,可以完美的解決隨時(shí)隨地接入的需求,不僅可以滿(mǎn)足B/S應(yīng)用程序的遠(yuǎn)程接入,也可以滿(mǎn)足各種各樣C/S應(yīng)用程序的遠(yuǎn)程接入。3.1.2 強(qiáng)大的網(wǎng)絡(luò)訪問(wèn)功能SSL VPN是為彌補(bǔ)IPSec VPN的缺陷應(yīng)運(yùn)而生,F(xiàn)5 FirePass包含IPSec VPN、網(wǎng)絡(luò)訪問(wèn)

5、、網(wǎng)上應(yīng)用程序(My Intranet)、Windows文件共享、移動(dòng)電子郵件、應(yīng)用程序訪問(wèn)、傳統(tǒng)主機(jī)、終端服務(wù)器等眾多功能,這其中網(wǎng)絡(luò)訪問(wèn)功能是真正重要和對(duì)于企業(yè)來(lái)說(shuō)雪中送炭的功能,其他都是錦上添花的功能,網(wǎng)絡(luò)訪問(wèn)功能可以完全替代其他所有的功能。網(wǎng)絡(luò)訪問(wèn)功能既有IPSec VPN所具有的與應(yīng)用無(wú)關(guān)已經(jīng)與內(nèi)網(wǎng)使用體驗(yàn)一致的特點(diǎn),而且解決了由于使用IPSec VPN所帶來(lái)的無(wú)法審計(jì)登錄信息、導(dǎo)致病毒和蠕蟲(chóng)入侵、某些網(wǎng)絡(luò)條件下無(wú)法接入、需要客戶(hù)端等諸多缺陷,所以網(wǎng)絡(luò)訪問(wèn)功能才是用戶(hù)一勞永逸的解決方案,一個(gè)SSL VPN解決方案可以不使用其他功能,但是一個(gè)不具備網(wǎng)絡(luò)訪問(wèn)功能的SSL VPN解決方案是

6、不可思議的。FirePass的網(wǎng)絡(luò)訪問(wèn)功能包含很多高級(jí)性能,如GZIP壓縮,可以大大提高性能;提供全局和基于組的包過(guò)濾功能,可以靈活的定義和限制每個(gè)組可以訪問(wèn)的IP、協(xié)議、端口,缺乏了包過(guò)濾功能的SSL VPN就不具備了相對(duì)于IPSec VPN的主要優(yōu)勢(shì);提供對(duì)于VLAN的支持,方便大型的SSL VPN應(yīng)用;不僅提供NAPT方式的網(wǎng)絡(luò)訪問(wèn),還提供使用源地址的網(wǎng)絡(luò)訪問(wèn),而某些應(yīng)用是必須使用源地址的網(wǎng)絡(luò)訪問(wèn)的,如視頻點(diǎn)播,這樣不僅可以實(shí)現(xiàn)客戶(hù)端對(duì)于服務(wù)端的訪問(wèn),也可以實(shí)現(xiàn)服務(wù)端主動(dòng)發(fā)起的對(duì)于客戶(hù)端的訪問(wèn)請(qǐng)求,如越來(lái)越多的“推”技術(shù)。3.1.3 良好的性能F5 FirePass可以實(shí)現(xiàn)高速緩存和壓縮

7、,極大的改善了遠(yuǎn)程接入的性能。3.1.4 多種多樣的接入客戶(hù)端F5 FirePass可以使用多種客戶(hù)端接入,包括Mac、Linux、Solaris、Windows CE等等,大大擴(kuò)展了客戶(hù)端的使用便利性。3.1.5 良好的安全性IPSec VPN的安全性一直是一個(gè)弱點(diǎn),由于IPSec VPN而引起的病毒、木馬、Web攻擊一直是無(wú)法徹底解決的問(wèn)題,而F5 FirePass可以很好的解決這個(gè)問(wèn)題。在FirePass的門(mén)戶(hù)站主機(jī)訪問(wèn)模式下,F(xiàn)irePass可以對(duì)上傳的文件做病毒掃描,更可以與企業(yè)現(xiàn)有的防病毒軟件聯(lián)動(dòng),徹底解決病毒問(wèn)題。而FirePass內(nèi)帶的內(nèi)容檢查功能,解決了Web攻擊問(wèn)題。F5

8、FirePass可以對(duì)客戶(hù)端做各種掃描,如操作系統(tǒng)版本、補(bǔ)丁版本、防病毒軟件種類(lèi)、病毒庫(kù)更新時(shí)間等等,從而堵住病毒、木馬入侵的途徑。F5 FirePass可以對(duì)接入客戶(hù)進(jìn)行各種限制,如可以訪問(wèn)的地址、端口、URL等等。F5 FirePass可以配置成在退出時(shí)自動(dòng)清除高速緩存。以上這些功能都大大增強(qiáng)了系統(tǒng)的安全性。3.1.6 豐富的日志功能IPSec VPN的日志功能非常薄弱,而FirePass可以提供非常豐富的用戶(hù)級(jí)日志功能,更可以通過(guò)標(biāo)準(zhǔn)的日志協(xié)議將日志實(shí)時(shí)傳送給企業(yè)中的日志服務(wù)器,便于審計(jì)。3.1.7 強(qiáng)大的高可用性對(duì)于遠(yuǎn)程訪問(wèn)非常重要的企業(yè)來(lái)說(shuō),遠(yuǎn)程訪問(wèn)設(shè)備的高可用性非常重要,而IPSe

9、c VPN無(wú)法提供高可用性,往往成為系統(tǒng)的單點(diǎn)故障。而F5 FirePass可以多臺(tái)以集群方式對(duì)外提供服務(wù),也可以前端使用F5 BIG IP作為負(fù)載均衡設(shè)備對(duì)外提供服務(wù),在提高系統(tǒng)可用性的同時(shí)也提高了系統(tǒng)性能。3.1.8 與企業(yè)原有AAA服務(wù)器集成企業(yè)在部署遠(yuǎn)程訪問(wèn)設(shè)備之前,一般都部署了各種形式的AAA服務(wù)器,一般有Active Directory、LDAP、RADIUS、企業(yè)自行開(kāi)發(fā)的SSO等等,客戶(hù)端也有PKI、RSA Secure ID等等。FirePass可以輕易的與這樣AAA服務(wù)器集成,對(duì)于IT管理員來(lái)說(shuō),可以輕易將一臺(tái)FirePass加入企業(yè)網(wǎng),用戶(hù)管理仍然由原來(lái)的AAA服務(wù)器去做

10、。3.2 F5 FirePass解決方案3.2.1 具體需求描述A保險(xiǎn)公司的遠(yuǎn)程訪問(wèn)邏輯圖如下圖所示。請(qǐng)注意,F(xiàn)5 FirePass在網(wǎng)絡(luò)中的部署方式是非常靈活的,既可以是類(lèi)似防火墻的接法,把FirePass的幾塊網(wǎng)卡定義成不同的網(wǎng)段,分別接入到企業(yè)網(wǎng)的不同網(wǎng)段,也可以把FirePass直接接到企業(yè)的三層交換機(jī)上。該企業(yè)的遠(yuǎn)程訪問(wèn)用戶(hù)分別來(lái)自分支機(jī)構(gòu)(多個(gè))、合作伙伴(多個(gè))、在家或出差辦公的員工,既需要解決這些客戶(hù)的隨時(shí)隨地接入需求,更要區(qū)分不同用戶(hù)的權(quán)限;接入客戶(hù)端有Windows、Linux、Windows Mobile、Mac;需要接入的應(yīng)用有基于Web的應(yīng)用、基于單個(gè)端口的TCP應(yīng)用

11、(如passive模式的FTP)、TCP和UDP的應(yīng)用、Windows文件共享、基于微軟Exchange的電子郵件、終端服務(wù)器(如微軟Terminal Server、Citrix、VNC)、傳統(tǒng)主機(jī)(如3270、320等主機(jī)終端),應(yīng)用不僅有客戶(hù)端到服務(wù)端的訪問(wèn)要求,也有服務(wù)器主動(dòng)發(fā)起的對(duì)于客戶(hù)端的訪問(wèn)請(qǐng)求(主動(dòng)發(fā)送更新文件等)以及雙向的訪問(wèn)請(qǐng)求(如視頻會(huì)議);認(rèn)證方式是Active Directory、Windows域認(rèn)證、LDAP、RADIUS、PKI、RSA Secure ID、VASCO Digipass、企業(yè)自行開(kāi)發(fā)的認(rèn)證服務(wù)器等其中的一種,需要FirePass與這些認(rèn)證服務(wù)器無(wú)縫集

12、成;企業(yè)已經(jīng)部署或者未部署具有ICAP接口的企業(yè)防病毒服務(wù)器,無(wú)論怎樣,希望查殺上傳至服務(wù)器的文件和郵件中的病毒;需要解決Web應(yīng)用攻擊問(wèn)題;企業(yè)有集中的日志服務(wù)器,需要講詳細(xì)的日志信息上傳至遠(yuǎn)程訪問(wèn)用戶(hù)直接訪問(wèn)FirePass,F(xiàn)irePass把認(rèn)證請(qǐng)求轉(zhuǎn)發(fā)到企業(yè)的AAA服務(wù)器上,認(rèn)證通過(guò)后用戶(hù)即登錄FirePass,按照事先定義的授權(quán)策略,用戶(hù)即可使用IPSec VPN、網(wǎng)絡(luò)訪問(wèn)、網(wǎng)上應(yīng)用程序(My Intranet)、Windows文件共享、移動(dòng)電子郵件、應(yīng)用程序訪問(wèn)、傳統(tǒng)主機(jī)、終端服務(wù)器等眾多功能中的若干資源。3.2.2 針對(duì)需求的解決方案 隨時(shí)隨地接入需求FirePas

13、s使用SSL協(xié)議作為接入?yún)f(xié)議,SSL協(xié)議工作于傳輸層與應(yīng)用層之間,與具體接入條件無(wú)關(guān),有效的避免了IPSec VPN在某些網(wǎng)絡(luò)條件下無(wú)法接入的弊端。 高可用性F5 FirePass可以多臺(tái)以Failover或集群方式對(duì)外提供服務(wù),也可以前端使用F5 BIG IP作為負(fù)載均衡設(shè)備對(duì)外提供服務(wù),在提高系統(tǒng)可用性的同時(shí)也提高了系統(tǒng)性能,可以保障724小時(shí)服務(wù)。 提供雙因素認(rèn)證保險(xiǎn)公司一般采用RSA Secure ID或PKI的USB Key作為客戶(hù)端認(rèn)證手段,F(xiàn)irePass可以使用這些雙因素認(rèn)證客戶(hù)端作為認(rèn)證手段。 良好的權(quán)限管理F5 FirePass可以

14、方便的以用戶(hù)主干組和資源組映射的方式靈活的進(jìn)行權(quán)限管理,企業(yè)可以方便的賦予自己公司不同職權(quán)的員工、合作伙伴、供應(yīng)商等不同的權(quán)限。 豐富的接入客戶(hù)端FirePass不僅可以使用Windows作為工作客戶(hù)端,更可以使用Linux、Windows Mobile、Mac、Solaris作為工作客戶(hù)端,這一點(diǎn)對(duì)于使用非Windows客戶(hù)端的企業(yè)尤為重要。 提供純?yōu)g覽器方式的Windows文件共享FirePass提供純?yōu)g覽器方式的Windows文件共享,用戶(hù)只需瀏覽器就可以實(shí)現(xiàn)Windows共享文件的瀏覽、上傳、下載,而且可以對(duì)上傳的文件查殺病毒,極大的方便了用戶(hù)。3.2.2.

15、7 提供IMAP/POP3郵件服務(wù)器Web展現(xiàn)FirePass可以實(shí)現(xiàn)IMAP/POP3郵件服務(wù)器Web展現(xiàn),用戶(hù)只需要使用瀏覽器,就可以存取基于IMAP/POP3郵件服務(wù)器的郵件,非常方便,并且可以對(duì)郵件查殺病毒。 使用瀏覽器訪問(wèn)終端服務(wù)器FirePass可以實(shí)現(xiàn)終端服務(wù)器(如微軟Terminal Server、Citrix、VNC)的Web展現(xiàn),用戶(hù)只需要使用瀏覽器,就可以實(shí)現(xiàn)對(duì)于終端服務(wù)器的訪問(wèn)。 使用瀏覽器訪問(wèn)傳統(tǒng)主機(jī)FirePass可以實(shí)現(xiàn)傳統(tǒng)主機(jī)終端(如3270等)的Web展現(xiàn),用戶(hù)只需要使用瀏覽器,就可以實(shí)現(xiàn)對(duì)于傳統(tǒng)主機(jī)的訪問(wèn)。0 實(shí)現(xiàn)雙

16、向訪問(wèn)FirePass不僅支持客戶(hù)端到服務(wù)端的訪問(wèn)要求,也支持服務(wù)器主動(dòng)發(fā)起的對(duì)于客戶(hù)端的訪問(wèn)請(qǐng)求(主動(dòng)發(fā)送更新文件等)以及雙向的訪問(wèn)請(qǐng)求(如視頻會(huì)議)。1 與企業(yè)原有AAA服務(wù)器集成企業(yè)在部署遠(yuǎn)程訪問(wèn)設(shè)備之前,一般都部署了各種形式的AAA服務(wù)器,一般有Active Directory、LDAP、RADIUS、企業(yè)自行開(kāi)發(fā)的SSO等等,客戶(hù)端也有PKI、RSA Secure ID等等。FirePass可以輕易的與這樣AAA服務(wù)器集成,對(duì)于IT管理員來(lái)說(shuō),可以輕易將一臺(tái)FirePass加入企業(yè)網(wǎng),用戶(hù)管理仍然由原來(lái)的AAA服務(wù)器去做。2 強(qiáng)大的防病毒功能FirePass內(nèi)置防病毒軟件,可以查殺文件和郵件中的病毒,如果企業(yè)已經(jīng)部署具有ICAP接口的企業(yè)防病毒服務(wù)器,F(xiàn)irePass還可以將查殺病毒的功能交給企業(yè)防病毒服務(wù)器。3 提供高可用性F5 FirePass可以多臺(tái)以Failover或集群方式對(duì)外提供服務(wù),也可以前端使用F5 BIG IP作為負(fù)載均衡設(shè)備對(duì)外提供服務(wù),在提高系統(tǒng)可用性的同時(shí)也提高了系統(tǒng)性能。4 提供防應(yīng)用攻擊功能FirePass內(nèi)帶內(nèi)容檢查功能,可以防止內(nèi)存溢出、SQL腳本注入等大部分web應(yīng)用攻擊。5 解決系統(tǒng)遠(yuǎn)程訪問(wèn)的安全性IPSec VPN的安全性一直是一個(gè)弱點(diǎn),由于IPSec V

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論