方案和案例下載F5金融FirePass保險(xiǎn)公司解決方案

1、Evaluation Warning: The document was created with Spire.Doc for .NET.FirePass 保險(xiǎn)公司解決方案版本號密級修改人修改日期修改對象備注（原因因、進(jìn)一一步說明明）jack2005-8-88文檔建立本文檔面向向?qū)ο驠5的合作作伙伴售售前工程程師。需求概述保險(xiǎn)市場開開放后，國國內(nèi)保險(xiǎn)險(xiǎn)市場將將涌入大大批強(qiáng)有有力的競競爭對手手。外資資保險(xiǎn)公公司雄厚厚的資金金實(shí)力、先先進(jìn)的經(jīng)經(jīng)營技術(shù)術(shù)、靈活活的市場場化經(jīng)營營方式對對中國保保險(xiǎn)業(yè)提提出了嚴(yán)嚴(yán)峻的考考驗(yàn)。為為了提高高自身的的競爭力力，ERRP系統(tǒng)統(tǒng)得到了了越來越越廣泛的的應(yīng)用，同同時(shí)

2、由于于保險(xiǎn)公公司的運(yùn)運(yùn)作特點(diǎn)點(diǎn)，對于于移動辦辦公提出出了越來來越高的的要求，而而由于IIPSeec VVPN的的固有缺缺點(diǎn)，SSSL VPNN正在保保險(xiǎn)行業(yè)業(yè)得到廣廣泛應(yīng)用用。SSL VVPN作作為新出出現(xiàn)的技技術(shù)，可可以完美美的解決決安全的的遠(yuǎn)程接接入的需需求。安安全的遠(yuǎn)遠(yuǎn)程接入入需要來來自于三三個(gè)人群群，分別別是遠(yuǎn)程程接入的的使用者者（如業(yè)業(yè)務(wù)人員員）、公公司信息息安全主主管、公公司ITT主管，下下面分別別論述他他們的需需求。遠(yuǎn)程接入的的使用者者（如業(yè)業(yè)務(wù)人員員）的需需求遠(yuǎn)程接入的的使用者者（如業(yè)業(yè)務(wù)人員員）的需需求就是是隨時(shí)隨隨地接入入，以往往的IPPSecc VPPN因?yàn)闉闊o法解解決高

3、可可用性以以及受網(wǎng)網(wǎng)絡(luò)接入入條件的的限制，無無法滿足足隨時(shí)隨隨地接入入的需求求，具體體表現(xiàn)在在在需要要客戶端端使用不不方便、某某些網(wǎng)絡(luò)絡(luò)條件下下無法接接入、無無法滿足足724小小時(shí)的高高可用要要求。公司信息安安全主管管的需求求作為公司的的信息安安全主管管，需要要考慮整整個(gè)系統(tǒng)統(tǒng)的信息息安全，以以往由于于使用IIPSeec VVPN開開通遠(yuǎn)程程接入而而引起大大量的病病毒、蠕蠕蟲、應(yīng)應(yīng)用攻擊擊，而且且一旦接接入IPPSecc VPPN，整整個(gè)內(nèi)網(wǎng)網(wǎng)就完全全開放在在使用者者面前，存存在著極極大的隱隱患，信信息安全全主管希希望新的的SSLL VPPN能夠夠解決這這些問題題。公司IT主主管公司往往已已經(jīng)

4、部署署了AAAA服務(wù)務(wù)器，如如Acttivee Diirecctorry、LLDAPP、RSSA SSecuure ID、PKI、自己開發(fā)的SSO服務(wù)器等等，公司IT主管希望SSL VPN能夠與這些AAA服務(wù)器結(jié)合起來，即用戶的認(rèn)證交給AAA服務(wù)器，而不需要IT主管維護(hù)兩套用戶賬戶系統(tǒng)；IT主管還需要SSL VPN具有詳細(xì)的用戶級日志，必要時(shí)還可以將日志信息通過標(biāo)準(zhǔn)協(xié)議傳送至公司的日志服務(wù)器。F5 FiirePPasss解決方方案F5的FiirePPasss是企業(yè)業(yè)級的SSSL VPNN解決方方案，可可以充分分滿足上上述的所所有需求求。F5 FiirePPasss特點(diǎn)完整的SSSL VVPN實(shí)

5、實(shí)現(xiàn)F5 FiirePPasss包含IIPSeec VVPN、網(wǎng)網(wǎng)絡(luò)訪問問、網(wǎng)上上應(yīng)用程程序(MMy IIntrraneet)、WWinddowss文件共共享、移移動電子子郵件、應(yīng)應(yīng)用程序序訪問、傳傳統(tǒng)主機(jī)機(jī)、終端端服務(wù)器器等眾多多功能，使使用標(biāo)準(zhǔn)準(zhǔn)SSLL安全協(xié)協(xié)議，不不需要專專用客戶戶端，可可以完美美的解決決隨時(shí)隨隨地接入入的需求求，不僅僅可以滿滿足B/S應(yīng)用用程序的的遠(yuǎn)程接接入，也也可以滿滿足各種種各樣CC/S應(yīng)應(yīng)用程序序的遠(yuǎn)程程接入。強(qiáng)大的網(wǎng)絡(luò)絡(luò)訪問功功能SSL VVPN是是為彌補(bǔ)補(bǔ)IPSSec VPNN的缺陷陷應(yīng)運(yùn)而而生，F(xiàn)F5 FFireePasss包含含IPSSec VPNN、網(wǎng)

6、絡(luò)絡(luò)訪問、網(wǎng)網(wǎng)上應(yīng)用用程序(My Inttrannet)、Wiindoows文文件共享享、移動動電子郵郵件、應(yīng)應(yīng)用程序序訪問、傳傳統(tǒng)主機(jī)機(jī)、終端端服務(wù)器器等眾多多功能，這這其中網(wǎng)網(wǎng)絡(luò)訪問問功能是是真正重重要和對對于企業(yè)業(yè)來說雪雪中送炭炭的功能能，其他他都是錦錦上添花花的功能能，網(wǎng)絡(luò)絡(luò)訪問功功能可以以完全替替代其他他所有的的功能。網(wǎng)網(wǎng)絡(luò)訪問問功能既既有IPPSecc VPPN所具具有的與與應(yīng)用無無關(guān)已經(jīng)經(jīng)與內(nèi)網(wǎng)網(wǎng)使用體體驗(yàn)一致致的特點(diǎn)點(diǎn)，而且且解決了了由于使使用IPPSecc VPPN所帶帶來的無無法審計(jì)計(jì)登錄信信息、導(dǎo)導(dǎo)致病毒毒和蠕蟲蟲入侵、某某些網(wǎng)絡(luò)絡(luò)條件下下無法接接入、需需要客戶戶端等諸諸

7、多缺陷陷，所以以網(wǎng)絡(luò)訪訪問功能能才是用用戶一勞勞永逸的的解決方方案，一一個(gè)SSSL VVPN解解決方案案可以不不使用其其他功能能，但是是一個(gè)不不具備網(wǎng)網(wǎng)絡(luò)訪問問功能的的SSLL VPPN解決決方案是是不可思思議的。FirePPasss的網(wǎng)絡(luò)絡(luò)訪問功功能包含含很多高高級性能能，如GGZIPP壓縮，可可以大大大提高性性能；提提供全局局和基于于組的包包過濾功功能，可可以靈活活的定義義和限制制每個(gè)組組可以訪訪問的IIP、協(xié)協(xié)議、端端口，缺缺乏了包包過濾功功能的SSSL VPNN就不具具備了相相對于IIPSeec VVPN的的主要優(yōu)優(yōu)勢；提提供對于于VLAAN的支支持，方方便大型型的SSSL VVPN應(yīng)

8、應(yīng)用；不不僅提供供NAPPT方式式的網(wǎng)絡(luò)絡(luò)訪問，還還提供使使用源地地址的網(wǎng)網(wǎng)絡(luò)訪問問，而某某些應(yīng)用用是必須須使用源源地址的的網(wǎng)絡(luò)訪訪問的，如如視頻點(diǎn)點(diǎn)播，這這樣不僅僅可以實(shí)實(shí)現(xiàn)客戶戶端對于于服務(wù)端端的訪問問，也可可以實(shí)現(xiàn)現(xiàn)服務(wù)端端主動發(fā)發(fā)起的對對于客戶戶端的訪訪問請求求，如越越來越多多的“推”技術(shù)。良好的性能能F5 FiirePPasss可以實(shí)實(shí)現(xiàn)高速速緩存和和壓縮，極極大的改改善了遠(yuǎn)遠(yuǎn)程接入入的性能能。多種多樣的的接入客客戶端F5 FiirePPasss可以使使用多種種客戶端端接入，包包括Maac、LLinuux、SSolaariss、Wiindoows CE等等等，大大大擴(kuò)展展了客戶戶端的

9、使使用便利利性。良好的安全全性IPSecc VPPN的安安全性一一直是一一個(gè)弱點(diǎn)點(diǎn)，由于于IPSSec VPNN而引起起的病毒毒、木馬馬、Weeb攻擊擊一直是是無法徹徹底解決決的問題題，而FF5 FFireePasss可以以很好的的解決這這個(gè)問題題。在FFireePasss的門門戶站主主機(jī)訪問問模式下下，F(xiàn)iirePPasss可以對對上傳的的文件做做病毒掃掃描，更更可以與與企業(yè)現(xiàn)現(xiàn)有的防防病毒軟軟件聯(lián)動動，徹底底解決病病毒問題題。而FFireePasss內(nèi)帶帶的內(nèi)容容檢查功功能，解解決了WWeb攻攻擊問題題。F5 FiirePPasss可以對對客戶端端做各種種掃描，如如操作系系統(tǒng)版本本、補(bǔ)丁丁

10、版本、防防病毒軟軟件種類類、病毒毒庫更新新時(shí)間等等等，從從而堵住住病毒、木木馬入侵侵的途徑徑。F5 FiirePPasss可以對對接入客客戶進(jìn)行行各種限限制，如如可以訪訪問的地地址、端端口、UURL等等等。F5 FiirePPasss可以配配置成在在退出時(shí)時(shí)自動清清除高速速緩存。以上這些功功能都大大大增強(qiáng)強(qiáng)了系統(tǒng)統(tǒng)的安全全性。豐富的日志志功能IPSecc VPPN的日日志功能能非常薄薄弱，而而FirrePaass可可以提供供非常豐豐富的用用戶級日日志功能能，更可可以通過過標(biāo)準(zhǔn)的的日志協(xié)協(xié)議將日日志實(shí)時(shí)時(shí)傳送給給企業(yè)中中的日志志服務(wù)器器，便于于審計(jì)。強(qiáng)大的高可可用性對于遠(yuǎn)程訪訪問非常常重要的的企

11、業(yè)來來說，遠(yuǎn)遠(yuǎn)程訪問問設(shè)備的的高可用用性非常常重要，而而IPSSec VPNN無法提提供高可可用性，往往往成為為系統(tǒng)的的單點(diǎn)故故障。而而F5 FirrePaass可可以多臺臺以集群群方式對對外提供供服務(wù)，也也可以前前端使用用F5 BIGG IPP作為負(fù)負(fù)載均衡衡設(shè)備對對外提供供服務(wù)，在在提高系系統(tǒng)可用用性的同同時(shí)也提提高了系系統(tǒng)性能能。與企業(yè)原有有AAAA服務(wù)器器集成企業(yè)在部署署遠(yuǎn)程訪訪問設(shè)備備之前，一一般都部部署了各各種形式式的AAAA服務(wù)務(wù)器，一一般有AActiive Dirrecttoryy、LDDAP、RRADIIUS、企企業(yè)自行行開發(fā)的的SSOO等等，客客戶端也也有PKKI、RRSA

12、 Seccuree IDD等等。FFireePasss可以以輕易的的與這樣樣AAAA服務(wù)器器集成，對對于ITT管理員員來說，可可以輕易易將一臺臺FirrePaass加加入企業(yè)業(yè)網(wǎng)，用用戶管理理仍然由由原來的的AAAA服務(wù)器器去做。F5 FiirePPasss解決方方案具體需求描描述A保險(xiǎn)公司司的遠(yuǎn)程程訪問邏邏輯圖如如下圖所所示。請請注意，F(xiàn)F5 FFireePasss在網(wǎng)網(wǎng)絡(luò)中的的部署方方式是非非常靈活活的，既既可以是是類似防防火墻的的接法，把把FirrePaass的的幾塊網(wǎng)網(wǎng)卡定義義成不同同的網(wǎng)段段，分別別接入到到企業(yè)網(wǎng)網(wǎng)的不同同網(wǎng)段，也也可以把把FirrePaass直直接接到到企業(yè)的的三層

13、交交換機(jī)上上。該企業(yè)的遠(yuǎn)遠(yuǎn)程訪問問用戶分分別來自自分支機(jī)機(jī)構(gòu)(多多個(gè))、合合作伙伴伴(多個(gè)個(gè))、在在家或出出差辦公公的員工工，既需需要解決決這些客客戶的隨隨時(shí)隨地地接入需需求，更更要區(qū)分分不同用用戶的權(quán)權(quán)限；接入客客戶端有有Winndowws、LLinuux、WWinddowss Moobille、MMac；需要接接入的應(yīng)應(yīng)用有基基于Weeb的應(yīng)應(yīng)用、基基于單個(gè)個(gè)端口的的TCPP應(yīng)用(如paassiive模模式的FFTP)、TCCP和UUDP的的應(yīng)用、WWinddowss文件共共享、基基于微軟軟Excchannge的的電子郵郵件、終終端服務(wù)務(wù)器(如如微軟TTermminaal SServver

14、、CCitrrix、VVNC)、傳統(tǒng)統(tǒng)主機(jī)(如32270、3320等等主機(jī)終終端)，應(yīng)應(yīng)用不僅僅有客戶戶端到服服務(wù)端的的訪問要要求，也也有服務(wù)務(wù)器主動動發(fā)起的的對于客客戶端的的訪問請請求(主主動發(fā)送送更新文文件等)以及雙雙向的訪訪問請求求(如視視頻會議議)；認(rèn)認(rèn)證方式式是Acctivve DDireectoory、Windows域認(rèn)證、LDAP、RADIUS、PKI、RSA Secure ID、VASCO Digipass、企業(yè)自行開發(fā)的認(rèn)證服務(wù)器等其中的一種，需要FirePass與這些認(rèn)證服務(wù)器無縫集成；企業(yè)已經(jīng)部署或者未部署具有ICAP接口的企業(yè)防病毒服務(wù)器，無論怎樣，希望查殺上傳至服務(wù)器

15、的文件和郵件中的病毒；需要解決Web應(yīng)用攻擊問題；企業(yè)有集中的日志服務(wù)器，需要講詳細(xì)的日志信息上傳至遠(yuǎn)程訪問用用戶直接接訪問FFireePasss，F(xiàn)FireePasss把認(rèn)認(rèn)證請求求轉(zhuǎn)發(fā)到到企業(yè)的的AAAA服務(wù)器器上，認(rèn)認(rèn)證通過過后用戶戶即登錄錄FirrePaass，按按照事先先定義的的授權(quán)策策略，用用戶即可可使用IIPSeec VVPN、網(wǎng)網(wǎng)絡(luò)訪問問、網(wǎng)上上應(yīng)用程程序(MMy IIntrraneet)、WWinddowss文件共共享、移移動電子子郵件、應(yīng)應(yīng)用程序序訪問、傳傳統(tǒng)主機(jī)機(jī)、終端端服務(wù)器器等眾多多功能中中的若干干資源。針對需求的的解決方方案隨時(shí)隨地接接入需求求FirePPasss使

16、用SSSL協(xié)協(xié)議作為為接入?yún)f(xié)協(xié)議，SSSL協(xié)協(xié)議工作作于傳輸輸層與應(yīng)應(yīng)用層之之間，與與具體接接入條件件無關(guān)，有有效的避避免了IIPSeec VVPN在在某些網(wǎng)網(wǎng)絡(luò)條件件下無法法接入的的弊端。高可用性F5 FiirePPasss可以多多臺以FFailloveer或集集群方式式對外提提供服務(wù)務(wù)，也可可以前端端使用FF5 BBIG IP作作為負(fù)載載均衡設(shè)設(shè)備對外外提供服服務(wù)，在在提高系系統(tǒng)可用用性的同同時(shí)也提提高了系系統(tǒng)性能能，可以以保障7724小小時(shí)服務(wù)務(wù)。提供雙因素素認(rèn)證保險(xiǎn)公司一一般采用用RSAA Seecurre IID或PPKI的的USBB Keey作為為客戶端端認(rèn)證手手段，F(xiàn)FireeP

17、asss可以以使用這這些雙因因素認(rèn)證證客戶端端作為認(rèn)認(rèn)證手段段。良好的權(quán)限限管理F5 FiirePPasss可以方方便的以以用戶主主干組和和資源組組映射的的方式靈靈活的進(jìn)進(jìn)行權(quán)限限管理，企企業(yè)可以以方便的的賦予自自己公司司不同職職權(quán)的員員工、合合作伙伴伴、供應(yīng)應(yīng)商等不不同的權(quán)權(quán)限。豐富的接入入客戶端端FirePPasss不僅可可以使用用Winndowws作為為工作客客戶端，更更可以使使用Liinuxx、Wiindoows Mobbilee、Maac、SSolaariss作為工工作客戶戶端，這這一點(diǎn)對對于使用用非Wiindoows客客戶端的的企業(yè)尤尤為重要要。提供純?yōu)g覽覽器方式式的Wiindoo

18、ws文文件共享享FirePPasss提供純純?yōu)g覽器器方式的的Winndowws文件件共享，用用戶只需需瀏覽器器就可以以實(shí)現(xiàn)WWinddowss共享文文件的瀏瀏覽、上上傳、下下載，而而且可以以對上傳傳的文件件查殺病病毒，極極大的方方便了用用戶。提供IMAAP/PPOP33郵件服服務(wù)器WWeb展展現(xiàn)FirePPasss可以實(shí)實(shí)現(xiàn)IMMAP/POPP3郵件件服務(wù)器器Webb展現(xiàn)，用用戶只需需要使用用瀏覽器器，就可可以存取取基于IIMAPP/POOP3郵郵件服務(wù)務(wù)器的郵郵件，非非常方便便，并且且可以對對郵件查查殺病毒毒。使用瀏覽器器訪問終終端服務(wù)務(wù)器FirePPasss可以實(shí)實(shí)現(xiàn)終端端服務(wù)器器(如微微

19、軟Teermiinall Seerveer、CCitrrix、VVNC)的Weeb展現(xiàn)現(xiàn)，用戶戶只需要要使用瀏瀏覽器，就就可以實(shí)實(shí)現(xiàn)對于于終端服服務(wù)器的的訪問。使用瀏覽器器訪問傳傳統(tǒng)主機(jī)機(jī)FirePPasss可以實(shí)實(shí)現(xiàn)傳統(tǒng)統(tǒng)主機(jī)終終端(如如32770等)的Weeb展現(xiàn)現(xiàn)，用戶戶只需要要使用瀏瀏覽器，就就可以實(shí)實(shí)現(xiàn)對于于傳統(tǒng)主主機(jī)的訪訪問。實(shí)現(xiàn)雙向訪訪問FirePPasss不僅支支持客戶戶端到服服務(wù)端的的訪問要要求，也也支持服服務(wù)器主主動發(fā)起起的對于于客戶端端的訪問問請求(主動發(fā)發(fā)送更新新文件等等)以及及雙向的的訪問請請求(如如視頻會會議)。與企業(yè)原有有AAAA服務(wù)器器集成企業(yè)在部署署遠(yuǎn)程訪訪問設(shè)備備之前，一一般都部部署了各各種形式式的AAAA服務(wù)務(wù)器，一一般有AActiive Dirrecttoryy、LDDAP、RRADIIUS、企企業(yè)自行行開發(fā)的的SSOO等等，客客戶端也也有PKKI、RRSA Seccuree IDD等等。FFireePasss可以以輕易的的與這樣樣AAAA服務(wù)器器集成，對對于ITT管理員員來說，可可以輕易易將一臺臺FirrePaass加加入企業(yè)業(yè)網(wǎng)，用用戶管理理仍然由由原來的的AAAA服務(wù)器器去做。強(qiáng)大的防病病毒功能能FirePPasss內(nèi)置防防病毒軟軟件，可可以