您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 管理学资料 > [方案和案例下载][F5][金融]FirePass保险公司解决方案
F5Networks,Inc.ChinaWorldTower2,10/F,Suite1001C,Beijingtel:6505.2375fax:65052287:6505.2375fax:65052287版本号密级修改人修改日期修改对象备注(原因、进一步说明)jack2005-8-8文档建立F5Networks,Inc.ChinaWorldTower2,10/F,Suite1001C,Beijingtel:6505.2375fax:65052287的合作伙伴售前工程师。2需求概述保险市场开放后,国内保险市场将涌入大批强有力的竞争对手。外资保险公司雄厚的资金实力、先进的经营技术、灵活的市场化经营方式对中国保险业提出了严峻的考验。为了提高自身的竞争力,ERP系统得到了越来越广泛的应用,同时由于保险公司的运作特点,对于移动办公提出了越来越高的要求,而由于IPSecVPN的固有缺点,SSLVPN正在保险行业得到广泛应用。SSLVPN作为新出现的技术,可以完美的解决安全的远程接入的需求。安全的远程接入需要来自于三个人群,分别是远程接入的使用者(如业务人员)、公司信息安全主管、公司IT主管,下面分别论述他们的需求。2.1远程接入的使用者(如业务人员)的需求远程接入的使用者(如业务人员)的需求就是随时随地接入,以往的IPSecVPN因为无法解决高可用性以及受网络接入条件的限制,无法满足随时随地接入的需求,具体表现在在需要客户端使用不方便、某些网络条件下无法接入、无法满足7×24小时的高可用要求。2.2公司信息安全主管的需求作为公司的信息安全主管,需要考虑整个系统的信息安全,以往由于使用IPSecVPN开通远程接入而引起大量的病毒、蠕虫、应用攻击,而且一旦接入IPSecVPN,整个内网就完全开放在使用者面前,存在着极大的隐患,信息安全主管希望新的SSLVPN能够解决这些问题。2.3公司IT主管公司往往已经部署了AAA服务器,如ActiveDirectory、LDAP、RSASecureID、PKI、自己开发的SSO服务器等等,公司IT主管希望SSLVPN能够与这些F5Networks,Inc.ChinaWorldTower2,10/F,Suite1001C,Beijingtel:6505.2375fax:65052287服务器结合起来,即用户的认证交给AAA服务器,而不需要IT主管维护两套用户账户系统;IT主管还需要SSLVPN具有详细的用户级日志,必要时还可以将日志信息通过标准协议传送至公司的日志服务器。3F5FirePass解决方案F5的FirePass是企业级的SSLVPN解决方案,可以充分满足上述的所有需求。3.1F5FirePass特点3.1.1完整的SSLVPN实现F5FirePass包含IPSecVPN、网络访问、网上应用程序(MyIntranet)、Windows文件共享、移动电子邮件、应用程序访问、传统主机、终端服务器等众多功能,使用标准SSL安全协议,不需要专用客户端,可以完美的解决随时随地接入的需求,不仅可以满足B/S应用程序的远程接入,也可以满足各种各样C/S应用程序的远程接入。3.1.2强大的网络访问功能SSLVPN是为弥补IPSecVPN的缺陷应运而生,F5FirePass包含IPSecVPN、网络访问、网上应用程序(MyIntranet)、Windows文件共享、移动电子邮件、应用程序访问、传统主机、终端服务器等众多功能,这其中网络访问功能是真正重要和对于企业来说雪中送炭的功能,其他都是锦上添花的功能,网络访问功能可以完全替代其他所有的功能。网络访问功能既有IPSecVPN所具有的与应用无关已经与内网使用体验一致的特点,而且解决了由于使用IPSecVPN所带来的无法审计登录信息、导致病毒和蠕虫入侵、某些网络条件下无法接入、需要客户端等诸多缺陷,所以网络访问功能才是用户一劳永逸的解决方案,一个SSLVPN解决方案可以不使用其他功能,但是一个不具备网络访问功能的SSLVPN解决方案是不可思议的。FirePass的网络访问功能包含很多高级性能,如GZIP压缩,可以大大提高性能;提供全局和基于组的包过滤功能,可以灵活的定义和限制每个组可以访问的IP、协议、端口,缺乏了包过滤功能的SSLVPN就不具备了相对于IPSecVPN的主要优势;提供对于VLAN的支持,方便大型的SSLVPN应用;不仅提供F5Networks,Inc.ChinaWorldTower2,10/F,Suite1001C,Beijingtel:6505.2375fax:65052287方式的网络访问,还提供使用源地址的网络访问,而某些应用是必须使用源地址的网络访问的,如视频点播,这样不仅可以实现客户端对于服务端的访问,也可以实现服务端主动发起的对于客户端的访问请求,如越来越多的“推”技术。3.1.3良好的性能F5FirePass可以实现高速缓存和压缩,极大的改善了远程接入的性能。3.1.4多种多样的接入客户端F5FirePass可以使用多种客户端接入,包括Mac、Linux、Solaris、WindowsCE等等,大大扩展了客户端的使用便利性。3.1.5良好的安全性IPSecVPN的安全性一直是一个弱点,由于IPSecVPN而引起的病毒、木马、Web攻击一直是无法彻底解决的问题,而F5FirePass可以很好的解决这个问题。在FirePass的门户站主机访问模式下,FirePass可以对上传的文件做病毒扫描,更可以与企业现有的防病毒软件联动,彻底解决病毒问题。而FirePass内带的内容检查功能,解决了Web攻击问题。F5FirePass可以对客户端做各种扫描,如操作系统版本、补丁版本、防病毒软件种类、病毒库更新时间等等,从而堵住病毒、木马入侵的途径。F5FirePass可以对接入客户进行各种限制,如可以访问的地址、端口、URL等等。F5FirePass可以配置成在退出时自动清除高速缓存。以上这些功能都大大增强了系统的安全性。3.1.6丰富的日志功能IPSecVPN的日志功能非常薄弱,而FirePass可以提供非常丰富的用户级日志功能,更可以通过标准的日志协议将日志实时传送给企业中的日志服务器,便于审计。F5Networks,Inc.ChinaWorldTower2,10/F,Suite1001C,Beijingtel:6505.2375fax:65052287强大的高可用性对于远程访问非常重要的企业来说,远程访问设备的高可用性非常重要,而IPSecVPN无法提供高可用性,往往成为系统的单点故障。而F5FirePass可以多台以集群方式对外提供服务,也可以前端使用F5BIGIP作为负载均衡设备对外提供服务,在提高系统可用性的同时也提高了系统性能。3.1.8与企业原有AAA服务器集成企业在部署远程访问设备之前,一般都部署了各种形式的AAA服务器,一般有ActiveDirectory、LDAP、RADIUS、企业自行开发的SSO等等,客户端也有PKI、RSASecureID等等。FirePass可以轻易的与这样AAA服务器集成,对于IT管理员来说,可以轻易将一台FirePass加入企业网,用户管理仍然由原来的AAA服务器去做。3.2F5FirePass解决方案3.2.1具体需求描述A保险公司的远程访问逻辑图如下图所示。请注意,F5FirePass在网络中的部署方式是非常灵活的,既可以是类似防火墙的接法,把FirePass的几块网卡定义成不同的网段,分别接入到企业网的不同网段,也可以把FirePass直接接到企业的三层交换机上。F5Networks,Inc.ChinaWorldTower2,10/F,Suite1001C,Beijingtel:6505.2375fax:65052287服务器(ActiveDirectory)该企业的远程访问用户分别来自分支机构(多个)、合作伙伴(多个)、在家或出差办公的员工,既需要解决这些客户的随时随地接入需求,更要区分不同用户的权限;接入客户端有Windows、Linux、WindowsMobile、Mac;需要接入的应用有基于Web的应用、基于单个端口的TCP应用(如passive模式的FTP)、TCP和UDP的应用、Windows文件共享、基于微软Exchange的电子邮件、终端服务器(如微软TerminalServer、Citrix、VNC)、传统主机(如3270、320等主机终端),应用不仅有客户端到服务端的访问要求,也有服务器主动发起的对于客户端的访F5Networks,Inc.ChinaWorldTower2,10/F,Suite1001C,Beijingtel:6505.2375fax:65052287问请求(主动发送更新文件等)以及双向的访问请求(如视频会议);认证方式是ActiveDirectory、Windows域认证、LDAP、RADIUS、PKI、RSASecureID、VASCODigipass、企业自行开发的认证服务器等其中的一种,需要FirePass与这些认证服务器无缝集成;企业已经部署或者未部署具有ICAP接口的企业防病毒服务器,无论怎样,希望查杀上传至服务器的文件和邮件中的病毒;需要解决Web应用攻击问题;企业有集中的日志服务器,需要讲详细的日志信息上传至远程访问用户直接访问FirePass,FirePass把认证请求转发到企业的AAA服务器上,认证通过后用户即登录FirePass,按照事先定义的授权策略,用户即可使用IPSecVPN、网络访问、网上应用程序(MyIntranet)、Windows文件共享、移动电子邮件、应用程序访问、传统主机、终端服务器等众多功能中的若干资源。3.2.2针对需求的解决方案3.2.2.1随时随地接入需求FirePass使用SSL协议作为接入协议,SSL协议工作于传输层与应用层之间,与具体接入条件无关,有效的避免了IPSecVPN在某些网络条件下无法接入的弊端。3.2.2.2高可用性F5FirePass可以多台以Failover或集群方式对外提供服务,也可以前端使用F5BIGIP作为负载均衡设备对外提供服务,在提高系统可用性的同时也提高了系统性能,可以保障7×24小时服务。3.2.2.3提供双因素认证保险公司一般采用RSASecureID或PKI的USBKey作为客户端认证手段,FirePass可以使用这些双因素认证客户端作为认证手段。3.2.2.4良好的权限管理F5FirePass可以方便的以用户主干组和资源组映射的方式灵活的进行权限管理,企业可以方便的赋予自己公司不同职权的员工、合作伙伴、供应商等不同F5Networks,Inc.ChinaWorldTower2,10/F,Suite1001C,Beijingtel:6505.2375fax:65052287的权限。3.2.2.5丰富的接入客户端FirePass不仅可以使用Windows作为工作客户端,更可以使用Linux、WindowsMobile、Mac、Solaris作为工作客户端,这一点对于使用非Windows客户端的企业尤为重要。3.2.2.6提供纯浏览器方式的Windows文件共享FirePass提供纯浏览器方式的Windows文件共享,用户只需浏览器就可以实现Windows共享文件的浏览、上传、下载,而且可以对上传的文件查杀病毒,
本文标题:[方案和案例下载][F5][金融]FirePass保险公司解决方案
链接地址:https://www.777doc.com/doc-6340650 .html