F5-FirePass远程访问解决方案
 

概述:
  历史上,许多企业曾经采用IPSec ×××解决方案来帮助员工远程访问网络资源。这种最初为确保安全的站点到站点通信而设计的解决方案,如今已经不能满足企业越来越高的远程访问需求。由于互联网已经成为企业发布关键业务应用的最重要的方式,基于Web的设备越来越流行,IPSec解决方案的局限性也为许多企业带来了烦恼。
挑战:
  企业采用IPSec ×××必然要面临有关IP寻址、网络地址转换、远程设备支持受限以及在每个客户端上安装和维护软件等诸多挑战。因为IPSec解决方案要求客户端软件能够进行安全交易,因此,公司资源只能允许有限数量的系统进行访问。这一约束严重限制了最终用户从公共系统和移动设备上访问重要资源,同时也增加了实施成本,因为这意味着企业需要为每个出差员工配备笔记本电脑并提供维护。即使使用已经预先配置好的笔记本电脑,员工从有防火墙限制的合作伙伴及客户站点处访问资源时也可能会出现访问故障。面对这些未能给用户提供精细的适当访问权限控制的IPSec ×××系统,管理员常常需要进行大量的安全控制。管理员必须作出两难选择,要么以牺牲网络安全为代价,为用户提供更多访问权限;要么限制用户访问,以至于难以有效开展工作。IPSec ×××解决方案也提供有限的审计特性,但这些特性却使管理员不太容易处理故障及准确分析用户详细信息。由AT&T/Economist在2003年3、4月份的调查显示,如今,54%的员工会定期在家工作。据预测,到2005年,这一数目将增加到80%。各个企业都需要一种可靠、安全、适用和能够从大多数设备访问应用的解决方案。
  F5是唯一一家能够提供高可用性、高性能远程访问特性的解决方案的厂商,其方案提供了全面的无客户端远程访问公司及桌面应用的能力。 作为网络业内领袖及SSL领域的权威,F5为寻求控制并保护其应用流量的企业提供了完整的选择方案,不论是在客户端还是在后端,也不论何时何地采用哪种基于Web的设备进行访问。F5众多的产品技术奖项及其在销售、技术支持、咨询上的出色表现而受到的普遍赞誉说明,对任何一家企业而言,选择了F5的产品,就是选择了一套可靠的、无风险的方案。
  F5 FirePass控制器所提供的远程访问解决方案能够满足管理员及最终用户的需要。采用FirePass解决方案,企业能够为最终用户提供安全、可靠、直接的远程访问能力;不必花费大量时间进行客户端软件安装及配置,或修改服务器端的应用。 F5灵活的、可扩充的解决方案可以非常简便地适用于任何网络;在提供无可比拟的对网络资源的控制方面的同时,大大节省了时间与金钱。
   FirePass产品提供业内最完善的应用访问,能够提高员工和业务合作伙伴的生产效率,采用动态的、基于策略的访问能够提供具备最佳应用级别的安全及网络控制。 对管理员而言,FirePass控制器去掉了传统远程×××客户端软件加载到每台设备上的部署要求,减少了部署时间,提供了无客户端访问公司应用的能力,并可支持多种设备类型。 这一无所不在、几乎能随时随地访问任何设备的应用的特性、加上全局及局部冗余特性,为那些移动员工不断增多的企业提供了极为可靠的保证。
完全网络访问
  公司笔记本用户,也称“可信”用户,是指那些使用公司分配并由公司维护的笔记本电脑的员工。 “可信”用户通常指管理人员,或者指那些在公司以外的地方同样需要访问公司资源的用户。 对这些用户而言,FirePass网络访问提供了远程访问基于IP(TCP、UDP)的整个网络应用的能力,而不必要求客户端或服务器端应用进行任何变动。 与传统的IPSec ×××不同,FirePass产品在提供远程访问的同时,不要求在远程设备上安装及配置客户端软件。 此外,FirePass设备还允许管理员根据网络访问的特性和远程访问设备的类型制订相应的规则,来限制和保护资源。
支持Windows、Macintosh和Linux
  通过FirePass控制器,您能够建立从微软Windows系统、Macintosh系统以及Linux远程系统到应用的远程访问连接。 这样,Macintosh和Linux用户能够连接到网络并运行任何基于IP的应用,这些应用包括客户端/服务器、IP语音(VoIP)、多媒体或Web应用。
客户完整性检查
  对Windows用户而言,FirePass控制器通过提供管理员对病毒检测和防火墙标准的检查与强制执行来增强安全性能。 如,FirePass能够配置系统拒绝未达到最新操作系统补丁级别、注册表、或相应防毒级别用户的访问,同时,也允许达到标准的用户访问所需资源。 那些未能达到策略要求的用户会被连接到分离的网络中,此时,他们可以升级到当前的企业安全标准。安全分割隧道对于Windows用户而言,如果使用完全网络访问特性进行连接,FirePass控制器提供了一个动态防火墙来保护用户。
安全分割隧道
  可阻止黑客通过客户机路由到公司网络上,或防止用户无意中将流量发送到公共网络上。 它提高了访问安全程度、在使用分割隧道访问网络时有效阻止了后门攻击。
独立Windows网络访问客户
   FirePass控制器提供一种全新的客户端控制工具-独立拨号器,它提供了无浏览器的直接远程系统网络访问能力。 这种客户端支持MSI installer,允许系统管理员发布软件给那些无本机管理员权限的用户。
应用访问(Application Access)
  信息亭(Koisk)或家用电脑用户是指那些需要从公司配备或维护的设备以外的地方访问公司资源的用户(通常指“不可信”的设备)。 业务合作伙用户是指那些使用其他公司配备并维护的设备(也称 “不可信”设备)的非本公司员工。 业务合作伙伴通常需要诸如文件共享或外联网访问等有限的资源访问能力。
  采用应用访问(Application Access),FirePass产品通常通过提供只到特殊应用和站点的访问限制来保护网络资源。 管理员因此能够批准授权用户访问网络应用,而不必提供完全网络访问能力给“不可信”的用户。 FirePass控制器还可以记录每个用户针对特定应用访问的“审计跟踪”(audit trail),以促使实现安全审计。
  FirePass可提供到众多网络应用与资源的访问能力,从共享文件到传统大型机应用,无所不包。每个所支持的应用均代表一项不同的功能,可将所服务的应用转换成与Web浏览器一致的语言。具体任务则由要访问的应用和所支持的协议来决定。
  终端服务器访问提供基于Web的到Microsoft Terminal Servers(微软终端服务器)、Citrix MetaFrame 应用和VNC服务器的访问。 终端服务器特性提供针对授权用户的组访问选项支持、单点登录、用户认证及自动登录能力。 如果当前远程设备上未安装相应软件,它也支持自动下载并安装正确的终端服务或Citrix远程平台客户端组件。
  通过UNIX系统访问,装有支持Java/ActiveX浏览器的用户能够运行网络UNIX和Linux主机上的X Windows应用。 这样,系统管理员就能够通过任何标准的浏览器远程管理服务器。
  主机访问实现了基于Web访问传统VT100、VT320、Telnet、X-Term和IBM 3270/5250应用的能力,并且无需对应用或应用服务器进行任何修改。 通过桌面访问,用户能够从任何支持Java或ActiveX下载的浏览器上安全地远程控制其公司Windows桌面。能够与其他用户共享桌面、以进行基于Web的协作或演示,此外它还支持到文件、电子邮件和其它应用的轻量级访问。
门户(Portal)访问
  企业不断增加的基于Web应用、内联网和外联网门户以及基于Web电子邮件的应用部署,能够提高员工的生产效率、改善内部、企业及与使用伙伴间合作的运营效率。 为了使应用效益最大化,企业应该确保员工和合作伙伴能够从任何地方访问这些应用,同时确保仅是授权用户能够进行受限制的、安全的访问。 FirePass控制器提供众多特性确保基于Web的到企业内联网和外联网门户、基于Web的电子邮件及应用的访问。
Web应用
  FirePass控制器提供到内部Web服务器的访问,包括Microsoft Outlook Web访问,这种访问与从公司局域网访问毫无二致。在访问这些资源时,FirePass设备通过动态地将内部URL映射成外部URL来隐藏内部网络结构、以避免其受到外部的攻击。 一旦用户会话结束,FirePass设备能够动态地删除URL历史记录、用户Cookies记录和浏览器缓存(临时文件)以确护敏感数据不会遗留在公共系统中。
   FirePass控制器也能够为业务合作伙伴用户提供特殊访问能力。 FirePass控制器还能管理cookies以避免敏感信息泄露。但对于需要防问cookie的应用而言,FirePass控制器也可将cookie传递到远程浏览器上。FirePass设备可以代理web主机上的登录请求,以避免用户将密码高速缓存在客户机浏览器上。
受保护的工作区
  FirePass控制器现在提供一种能够将用户转移到客户机系统(Windows XP/2000)上临时工作区(对每一次对话进行更新)的安全选项。 受保护的工作区包含新的临时“桌面”(Desktop)及“我的文档”(My Documents)文件夹,其优先级要高于现有相应位置下的应用。 受保护的工作区模式下,用户不能对受保护的工作区以外的位置进行写文件操作。 会话结束后,受保护的工作区将删除临时的文件夹及相应全部内容。
  受保护的工作区增强了客户端的完全性,因为用户数据将不会遗留到公共访问系统上。 而此前,用户直接把缓存清除不能删除的这些内容留在了客户端。 对于多数远程访问会话,间谍软件(spyware)程序具有不可见性,然而,受保护的工作区却对其具有免疫能力。
内容检查引擎
  当用户通过FirePass反向代理访问Web主机时,FirePass控制器会检查Web内容。 FirePass能够检测Web流量内容,一旦发现内容不符,就会将访问用户拒之门外。 内容检测引擎提供增强的HTML请求/响应检测及URL过滤能力,以保护应用免遭跨站点脚本攻击、HTML缓冲区溢出攻击以及SQL脚本注入攻击。
基于cookie的单点登录系统集成
  现在您可以将FirePass控制器连接到基于cookie的单点登录认证系统上,比如Netegrity和SiteMinder。 借助这种增强,用户可以登录到FirePass,以后不必再次输入认证信息,即可访问所有授权的Web应用。
安全虚拟键盘
  键盘记录程序可以收集用户输入密码时的按键动作。 FirePass凭借安全虚拟键盘特性,提供了一个可通过鼠标点击来输入密码的虚拟键盘。 它保证了输入密码的安全性,从而使按键记录程序无法捕获输入的密码。
基于政策的病毒扫描
  FirePass控制器可以使用集成扫描程序或使用由ICAP接口连接到基于标准的病毒扫描程序(如Trend Micro)的外部扫描程序对用户通过门户网站(Portal Access)上载的文件进行扫描。 被扫描的文件包括上载到网络驱动器、上载到基于Web应用(如web邮件的附件)以及上载到FirePass上的移动电子邮件中的文件。这样,受感染的文件就会被阻止在网关,不会被传输到电子邮件或网络中的文件服务器上。
文件服务器访问
  文件服务器访问允许用户浏览、上载、下载、移动、复制或删除共享目录下的文件。它支持SMB共享、Windows工作组;NT 4.0和Win2000域;以及带有原始文件系统包的Novell 5.1/6.0。
移动设备支持
  移动设备用户是指需要通过个人手持设备访问网络的员工。 对于使用PalmOS、PocketPC、WAP和iMode电话的用户来说,FirePass产品提供的电子邮件服务器访问,允许他们发送和接收信息、下载附件以及将局域网文件附加到电子邮件中。 FirePass设备可以动态地对来自标准电子邮件服务器应用的电子邮件进行格式化,通过调整,使其适于在屏幕较小的移动电话和PDA上查看。 对于已为移动设备进行格式化的应用,FirePass产品允许用户访问文件和PIM数据。
动态政策引擎
FirePass动态政策引擎可使管理员轻松地管理用户认证和授权。
使用动态规则访问进行精细控制
  管理员经常会发现很难支持远程访问系统。 对于高级别的维护,需要管理用户组并不断进行更新;同时,维护网络安全和用户访问又非常复杂。 以往的解决方案提供的记录能力非常有限,要求明确记录网络资源或者在发生故障时需要大量有价值的提示方可进行故障排除。  
  凭借FirePass产品, 管理员可以快速而精确地控制网络。根据用于远程访问的设备,FirePass设备也支持授权访问应用的规则。 例如,凭借该特性,管理员可以配置用户权限,规定他们在公共信息亭只能访问电子邮件系统,但是在公司的膝上电脑上则可以完全访问网络。
认证和授权
  通过FirePass设备管理用户认证和授权相当容易。 FirePass产品配置后可与RADIUS和LDAP、Windows域名服务器认证方法或内部安全数据库共同使用 对于LDAP和Windows域名服务器,FirePass产品还支持根据Windows Domain Server中的属性来自动添加用户。 在基础FirePass产品中,也针对有着不同组要求的认证方法提供了用户组认证。例如,员工可能被授权访问LDAP目录(并要求使用双因素令牌);而外联网的合作伙伴则只需使用密码即可,但是仅限于访问单个外联网服务器。
  许多公司都需要双因素认证,即使用用户ID与密码以外的信息进行认证。 FirePass控制器完全支持RSA SecurID令牌式认证,并提供了内建的VASCO Digipass(r)实施。根据RSA或VASCO,用户在进行认证时既要使用密码或PIN,又要使用由“fob”(一款小型电子设备)生成的一系列随时间而异的数字。fob生成的数字通过复杂公式计算得出,而每个公式又都取决于每个用户和数字生成的日期与时间,因此即使fob失窃也不会对整个系统造成损失。
RADIUS组映射
  现在,您可以使用从RADIUS协议目录获得的数据将用户动态地映射到FirePass组。 用户可以被自动非配到已授权的应用组。
  适当的访问授权或访问权限会授予个人或组用户。这可以允许管理员对个人和用户组访问特殊的资源加以限制。这样, FirePass服务器可以授权企业合作伙伴只能访问外联网服务器,而销售人员则可以链接到电子邮件、公司内联网和CRM系统。 远程访问实施的灵活性和可扩充性对于管理员也很重要。 解决方案应该很容易的适合现有的基础设施,并且能提供简单可扩展的解决方案,以满足未来的需要。
  对于采用第一主策略访问网络失败但通过了退路策略的用户,管理员也可以限制其访问隔离网络。 这时将为用户提供一条定制的信息,指导他们到适当的服务器上去更新系统。 在隔离网络中,用户可以更新客户机已符合企业的安全标准(例如,更新病毒文件)。 通过这种方法,当客户机政策未被满足时,可以允许用户连接到隔离区进行个人安全程序的更新,而不必阻止用户或寻求IT部门的帮助。
审计
  FirePass设备也会向管理员提供来自会话和活动日志的报表。汇总报告将依据用户规定的时间间隔,按日期、时间、访问OS、使用的特性、会话持续时间和会话终端类型来汇总网络使用情况的报告。带有逐层显示能力的详尽报告将使您全面精细地了解到最终用户的所有数据。
客户端证书支持
  FirePass控制器允许管理员根据用于访问FirePass 服务器的设备类型来限制或允许访问。FirePass控制器也能够检查用户登录时是否存在客户端数字证书。 此证书只会在膝上电脑上显示。如果具有此证书,FirePass控制器将允许用户访问更广泛的应用。 FirePass设备也可将客户端证书作为一种双因素认证,并禁止没有合法客户端证书的用户访问所有的网络。
可定制的用户界面
  FirePass产品包含一个可定制的用户界面,它允许系统管理员将整个最终用户界面语言进行本地化处理,将特性名称及列表转换为本地语言。 系统管理员也可以调整产品的整体外观,以适应公司内联网的结构。
   FirePass产品除了具有本地化的用户界面、图形及定制布局以外,还提供了组群模板,使管理员可以为每一个用户群指定选择可用资源的顺序。 这些模板很方便地为最终用户提供一个更直观的接入门户,即一个快速、轻松地访问相关资料的入口。 最终用户使用任何标准的Web浏览器便可访问他们的个人FirePass主页。
  最终用户可以进一步定制他们的个人主页,包括网络收藏夹,如经常查看的URL的快捷方式、群/个人目录及经常访问的文件。 通过提供自动导航栏,允许用户识别当前位置和返回上一个位置或主页的操作,导航变得更为简便,只需点击鼠标即可。
iControl安全应用访问API和SDK
  FirePass控制器是第一个提供了开放API/SDK包的SSL ×××解决方案,它允许第三方应用开发商使用网络或应用程序访问控制,将无缝、安全的远程访问构建在他们的Win32客户机应用程序中。 API实现了系统与系统及应用程序与应用程序间的连接。
   它允许应用程序自动、透明地开始和结束网络连接,而无需用户登录×××。 它在减少客户机应用程序安装的同时,实现了最终用户更快速、简单的连接。
简单部署
F5的FirePass解决方案提供了灵活的实施功能,确保了任何网络的简单部署。
对于远程访问需求较少的小公司来说,F5提供了有效的支持有限用户的远程访问解决方案。
对于需要更多远程访问的中小型企业来说,F5提供了一项高效解决方案,可在出现节点故障时,通过状态故障切换来支持无缝会话的持续性。
对于需要支持大规模销售组织或业务合作伙伴关系的大型企业,F5提供了一项使用BIG-IP系统的负载平衡解决方案。我们屡获殊荣的流量管理设备,用于分配和管理大量FirePass服务器中的流量,同时BIG-IP链路控制器可利用多条Internet连接来管理和引导资源访问。
针对遍布全球的企业,包括3-DNS控制器在内的F5解决方案可以出色地管理全球应用请求,将其引导至距离最近和最有用的数据中心,或远程办公室。
负载平衡和全局平衡解决方案能够充分利用F5的iControl API(应用编程接口)和iControl Services Manager软件,提供任何其它厂商难以企及的深层次控制及可靠性。