方案和案例载金融保险公司决方案.doc

FirePass 保险公司解决方案版本号密级修改人修改日期修改对象备注（原因、进一步说明）jack2005-8-8文档建立1 本文档面向对象F5的合作伙伴售前工程师。2 需求概述保险市场开放后，国内保险市场将涌入大批强有力的竞争对手。外资保险公司雄厚的资金实力、先进的经营技术、灵活的市场化经营方式对中国保险业提出了严峻的考验。为了提高自身的竞争力，ERP系统得到了越来越广泛的应用，同时由于保险公司的运作特点，对于移动办公提出了越来越高的要求，而由于IPSec VPN的固有缺点，SSL VPN正在保险行业得到广泛应用。SSL VPN作为新出现的技术，可以完美的解决安全的远程接入的需求。安全的远程接入需要来自于三个人群，分别是远程接入的使用者（如业务人员）、公司信息安全主管、公司IT主管，下面分别论述他们的需求。2.1 远程接入的使用者（如业务人员）的需求远程接入的使用者（如业务人员）的需求就是随时随地接入，以往的IPSec VPN因为无法解决高可用性以及受网络接入条件的限制，无法满足随时随地接入的需求，具体表现在在需要客户端使用不方便、某些网络条件下无法接入、无法满足724小时的高可用要求。2.2 公司信息安全主管的需求作为公司的信息安全主管，需要考虑整个系统的信息安全，以往由于使用IPSec VPN开通远程接入而引起大量的病毒、蠕虫、应用攻击，而且一旦接入IPSec VPN，整个内网就完全开放在使用者面前，存在着极大的隐患，信息安全主管希望新的SSL VPN能够解决这些问题。2.3 公司IT主管公司往往已经部署了AAA服务器，如Active Directory、LDAP、RSA Secure ID、PKI、自己开发的SSO服务器等等，公司IT主管希望SSL VPN能够与这些AAA服务器结合起来，即用户的认证交给AAA服务器，而不需要IT主管维护两套用户账户系统；IT主管还需要SSL VPN具有详细的用户级日志，必要时还可以将日志信息通过标准协议传送至公司的日志服务器。3 F5 FirePass解决方案F5的FirePass是企业级的SSL VPN解决方案，可以充分满足上述的所有需求。3.1 F5 FirePass特点3.1.1 完整的SSL VPN实现F5 FirePass包含IPSec VPN、网络访问、网上应用程序(My Intranet)、Windows文件共享、移动电子邮件、应用程序访问、传统主机、终端服务器等众多功能，使用标准SSL安全协议，不需要专用客户端，可以完美的解决随时随地接入的需求，不仅可以满足B/S应用程序的远程接入，也可以满足各种各样C/S应用程序的远程接入。3.1.2 强大的网络访问功能SSL VPN是为弥补IPSec VPN的缺陷应运而生，F5 FirePass包含IPSec VPN、网络访问、网上应用程序(My Intranet)、Windows文件共享、移动电子邮件、应用程序访问、传统主机、终端服务器等众多功能，这其中网络访问功能是真正重要和对于企业来说雪中送炭的功能，其他都是锦上添花的功能，网络访问功能可以完全替代其他所有的功能。网络访问功能既有IPSec VPN所具有的与应用无关已经与内网使用体验一致的特点，而且解决了由于使用IPSec VPN所带来的无法审计登录信息、导致病毒和蠕虫入侵、某些网络条件下无法接入、需要客户端等诸多缺陷，所以网络访问功能才是用户一劳永逸的解决方案，一个SSL VPN解决方案可以不使用其他功能，但是一个不具备网络访问功能的SSL VPN解决方案是不可思议的。FirePass的网络访问功能包含很多高级性能，如GZIP压缩，可以大大提高性能；提供全局和基于组的包过滤功能，可以灵活的定义和限制每个组可以访问的IP、协议、端口，缺乏了包过滤功能的SSL VPN就不具备了相对于IPSec VPN的主要优势；提供对于VLAN的支持，方便大型的SSL VPN应用；不仅提供NAPT方式的网络访问，还提供使用源地址的网络访问，而某些应用是必须使用源地址的网络访问的，如视频点播，这样不仅可以实现客户端对于服务端的访问，也可以实现服务端主动发起的对于客户端的访问请求，如越来越多的“推”技术。3.1.3 良好的性能F5 FirePass可以实现高速缓存和压缩，极大的改善了远程接入的性能。3.1.4 多种多样的接入客户端F5 FirePass可以使用多种客户端接入，包括Mac、Linux、Solaris、Windows CE等等，大大扩展了客户端的使用便利性。3.1.5 良好的安全性IPSec VPN的安全性一直是一个弱点，由于IPSec VPN而引起的病毒、木马、Web攻击一直是无法彻底解决的问题，而F5 FirePass可以很好的解决这个问题。在FirePass的门户站主机访问模式下，FirePass可以对上传的文件做病毒扫描，更可以与企业现有的防病毒软件联动，彻底解决病毒问题。而FirePass内带的内容检查功能，解决了Web攻击问题。F5 FirePass可以对客户端做各种扫描，如操作系统版本、补丁版本、防病毒软件种类、病毒库更新时间等等，从而堵住病毒、木马入侵的途径。F5 FirePass可以对接入客户进行各种限制，如可以访问的地址、端口、URL等等。F5 FirePass可以配置成在退出时自动清除高速缓存。以上这些功能都大大增强了系统的安全性。3.1.6 丰富的日志功能IPSec VPN的日志功能非常薄弱，而FirePass可以提供非常丰富的用户级日志功能，更可以通过标准的日志协议将日志实时传送给企业中的日志服务器，便于审计。3.1.7 强大的高可用性对于远程访问非常重要的企业来说，远程访问设备的高可用性非常重要，而IPSec VPN无法提供高可用性，往往成为系统的单点故障。而F5 FirePass可以多台以集群方式对外提供服务，也可以前端使用F5 BIG IP作为负载均衡设备对外提供服务，在提高系统可用性的同时也提高了系统性能。3.1.8 与企业原有AAA服务器集成企业在部署远程访问设备之前，一般都部署了各种形式的AAA服务器，一般有Active Directory、LDAP、RADIUS、企业自行开发的SSO等等，客户端也有PKI、RSA Secure ID等等。FirePass可以轻易的与这样AAA服务器集成，对于IT管理员来说，可以轻易将一台FirePass加入企业网，用户管理仍然由原来的AAA服务器去做。3.2 F5 FirePass解决方案3.2.1 具体需求描述A保险公司的远程访问逻辑图如下图所示。请注意，F5 FirePass在网络中的部署方式是非常灵活的，既可以是类似防火墙的接法，把FirePass的几块网卡定义成不同的网段，分别接入到企业网的不同网段，也可以把FirePass直接接到企业的三层交换机上。该企业的远程访问用户分别来自分支机构(多个)、合作伙伴(多个)、在家或出差办公的员工，既需要解决这些客户的随时随地接入需求，更要区分不同用户的权限；接入客户端有Windows、Linux、Windows Mobile、Mac；需要接入的应用有基于Web的应用、基于单个端口的TCP应用(如passive模式的FTP)、TCP和UDP的应用、Windows文件共享、基于微软Exchange的电子邮件、终端服务器(如微软Terminal Server、Citrix、VNC)、传统主机(如3270、320等主机终端)，应用不仅有客户端到服务端的访问要求，也有服务器主动发起的对于客户端的访问请求(主动发送更新文件等)以及双向的访问请求(如视频会议)；认证方式是Active Directory、Windows域认证、LDAP、RADIUS、PKI、RSA Secure ID、VASCO Digipass、企业自行开发的认证服务器等其中的一种，需要FirePass与这些认证服务器无缝集成；企业已经部署或者未部署具有ICAP接口的企业防病毒服务器，无论怎样，希望查杀上传至服务器的文件和邮件中的病毒；需要解决Web应用攻击问题；企业有集中的日志服务器，需要讲详细的日志信息上传至远程访问用户直接访问FirePass，FirePass把认证请求转发到企业的AAA服务器上，认证通过后用户即登录FirePass，按照事先定义的授权策略，用户即可使用IPSec VPN、网络访问、网上应用程序(My Intranet)、Windows文件共享、移动电子邮件、应用程序访问、传统主机、终端服务器等众多功能中的若干资源。3.2.2 针对需求的解决方案 随时随地接入需求FirePass使用SSL协议作为接入协议，SSL协议工作于传输层与应用层之间，与具体接入条件无关，有效的避免了IPSec VPN在某些网络条件下无法接入的弊端。 高可用性F5 FirePass可以多台以Failover或集群方式对外提供服务，也可以前端使用F5 BIG IP作为负载均衡设备对外提供服务，在提高系统可用性的同时也提高了系统性能，可以保障724小时服务。 提供双因素认证保险公司一般采用RSA Secure ID或PKI的USB Key作为客户端认证手段，FirePass可以使用这些双因素认证客户端作为认证手段。 良好的权限管理F5 FirePass可以方便的以用户主干组和资源组映射的方式灵活的进行权限管理，企业可以方便的赋予自己公司不同职权的员工、合作伙伴、供应商等不同的权限。 丰富的接入客户端FirePass不仅可以使用Windows作为工作客户端，更可以使用Linux、Windows Mobile、Mac、Solaris作为工作客户端，这一点对于使用非Windows客户端的企业尤为重要。 提供纯浏览器方式的Windows文件共享FirePass提供纯浏览器方式的Windows文件共享，用户只需浏览器就可以实现Windows共享文件的浏览、上传、下载，而且可以对上传的文件查杀病毒，极大的方便了用户。 提供IMAP/POP3邮件服务器Web展现FirePass可以实现IMAP/POP3邮件服务器Web展现，用户只需要使用浏览器，就可以存取基于IMAP/POP3邮件服务器的邮件，非常方便，并且可以对邮件查杀病毒。 使用浏览器访问终端服务器FirePass可以实现终端服务器(如微软Terminal Server、Citrix、VNC)的Web展现，用户只需要使用浏览器，就可以实现对于终端服务器的访问。 使用浏览器访问传统主机FirePass可以实现传统主机终端(如3270等)的Web展现，用户只需要使用浏览器，就可以实现对于传统主机的访问。0 实现双向访问FirePass不仅支持客户端到服务端的访问要求，也支持服务器主动发起的对于客户端的访问请求(主动发送更新文件等)以及双向的访问请求(如视频会议)。1 与企业原有AAA服务器集成企业在部署远程访问设备之前，一般都部署了各种形式的AAA服务器，一般有Active Directory、LDAP、RADIUS、企业自行开发的SSO等等，客户端也有PKI、RSA Secure ID等等。FirePass可以轻易的与这样AAA服务器集成，对于IT管理员来说，可以轻易将一台FirePass加入企业网，用户管理仍然由原来的AAA服务器去做。2 强大的防病毒功能FirePass内置防病毒软件，可以查杀文件和邮件中的病毒，如果企业已经部署具有ICAP接口的企业防病毒服务器，FirePass还可以将查杀病毒的功能交给企业防病毒服务器。3 提供高可用性F5 FirePass可以多台以Failover或集群方式对外提供服务，也可以前端使用F5 BIG IP作为负载均衡设备对外提供服务，在提高系统可用性的同时也提高了系统性能。4 提供防应用攻击功能FirePass内带内容检查功能，可以防止内存溢出、SQL脚本注入等大部分web应用攻击。5 解决系统远程访问的安全性IPSec VPN的安全性一直是一个弱点，由于IPSec VPN而引起的病毒、木马、Web攻击一直是无法彻底解决的问题，F5 FirePass可以对客户端做各种扫描，如操作系统版本、补丁版本、防病毒软件种类、病毒库更新时间等等，从而堵住病毒、木马入侵的途径。F5