《FSSLVPN介绍》PPT课件

F5SSLVPN解决方案,Presentedby:张旭SecuritySystemArchitect,AtHomeIntheOfficeOntheRoad,SAPExchangeOracle,Users,Datacenter,TheLeaderinApplicationDeliveryNetworking,议程,什么是SSLVPN为什么要销售F5SSLVPNF5SSLVPN解决方案简介行业解决方案及成功案例简介Demo资源,SSLVPN定义,以SSL协议作为接入协议的VPN特征以SSL协议作为接入协议完整的VPN实现终端安全检查与第三方认证手段的结合,几个错误说法,SSLVPN只能适用于web应用某些国内厂商推出了廉价集IPSecVPN与SSLVPN于一体的设备，必将大大促进VPN的市场推广经过使用SpirentAvalanche测试，某些厂家的SSLVPN产品的TPS(每秒新建用户数)达到了1300，最大在线用户数可以达到64000个,SSLVPN的几个误区问题,究竟SSLVPN有哪些功能？是否只能解决web应用？什么才是一个真正的SSLVPN产品？怎样区别市场上种类繁多的号称的SSLVPN产品？如何衡量SSLVPN产品的性能,究竟SSLVPN有哪些功能,SSLVPN提供C/S应用和B/S应用访问，并非只能解决web应用。这其中最为重要的是网络访问功能，SSLVPN的网络访问功能避免了IPSecVPN的缺点而又继承了IPSecVPN的优点。F5FP产品是一体化的SSLVPN和IPSecVPN,什么才是一个真正的SSLVPN产品,大部分的厂商只是实现了SSLVPN中的网上应用程序，也就是Web反向代理的功能，某国内厂商大肆宣称的集IPSecVPN与SSLVPN于一体的设备也只是在原有的IPSecVPN的设备上加了一个Web反向代理的功能而已，近来又增加了类似与应用隧道的功能只有具备了网络访问这个看似IPSecVPN而又从根本上解决了IPSecVPN缺陷的功能才称得上是一款真正的SSLVPN产品。当然为了安全性考虑的终端安全检查和审计、与企业认证服务器的结合等功能也是一款优秀SSLVPN的必备功能通过组织认证的SSLVPN厂商列表,如何衡量SSLVPN产品的性能-1,首先要区分的是SSLServer和SSLVPNSSLServer相当于SSLVPN中的反向代理功能，二者的要求是不一样的SSLServer强调的是性能，BIGIPSSL性能可达20000TPS和百万级同时在线用户数SSLVPN强调的是易于使用和管理、安全性等等，一个SSLVPN用户的登录包括SSL握手、认证、授权、记录日志等过程，不可能达到SSLServer那样高的性能,如何衡量SSLVPN产品的性能-2,SpirentAvalanche某厂商的设备集合了SSLServer和SSLVPN的功能，虽然SSLServer的性能在业界根本不入流，但显然会高于SSLVPN的性能。该厂商利用大家对于SSLServer和SSLVPN之间认识的混淆，到处宣称使用SpirentAvalanche测试证明自己的SSLVPN具有很高的性能，实际上从测试过程可以发现，测试的只是其中SSLServer的性能。如何测试SSLVPN性能最为重要的最大同时建立VPN隧道数量，非常复杂，可以使用SpirentAvalanche加上特定的脚本实现,SSLVPN应用演示,议程,什么是SSLVPN为什么要销售F5SSLVPNF5SSLVPN解决方案简介行业解决方案及成功案例简介Demo资源,SSLVPNTechnologyAdoption,2004,2006,2008,Source:AnalystResearch(Gartner,Forrestor,Infonetics,.),Q305SynergySSLVPNMarketShareSummary,Q305MarketShareLeadersJuniper:27.6%F5:18.6%Aventail:11.4%Q305MarketShareRevenueLeadersJuniper:$14.3MillionF5:$9.6MillionAventail:$5.9MillionQ305LargestQ/QRevenueGrowthCitrix:81%Aventail:20%Nortel:11%F5:9%Q305LargestY/YRevenueGrowthNortel:232.6%F5:52.3%Aventail:46.6%Q305TotalMarketNumbersRevenue:$51.8MillionQ/QRevenueGrowth:2%,议程,什么是SSLVPN为什么要销售F5SSLVPNF5SSLVPN解决方案简介行业解决方案及成功案例简介Demo资源,远程访问现状,使用者轻车熟路针对真正使用者任何时间，任何地点，任何系统平台。与内网访问方式相同，不需额外负担，请不要再给我负担！系统安全性-针对安全管理人员端点自检查方式，完全符合企业对安全管理的需求。防范病毒入侵防范应用攻击管理轻松方便针对系统管理员与企业AAA系统轻松融合，如此多远程用户，别再给我添乱了！方便灵巧的跟踪报告方式，轻松记录远程访问人员何时访问过何种资源全中文界面，方便使用者和管理者双向访问模式，可提供信息主动推送到端点，并对端点有效维护。,用户的真正需求一览,F5解决方案是如何满足用户使用需求的,提供全网络访问功能，基于IP的应用都可以访问与内网访问方式相同，不需额外负担随时随地接入：使用SSL协议作为接入协议，与具体接入条件无关，有效的避免了IPSecVPN在某些网络条件下无法接入的弊端多种多样的接入客户端：可以使用多种客户端接入，包括Mac、Linux、Solaris、WindowsCE等等，大大扩展了客户端的使用便利性,F5FirePassSSLVPN解决方案,Internet,Laptop,MobileDevice,Partner,应用访问,门户访问,网络访问,动态策略,后端访问,任何用户任何设备,Kiosk,SecuredbySSL,Intranet,FirePass,Firepass,网络访问功能,Client,用户使用443端口与FirePass建立SSL连接FirePass下载Java或ActiveX代码到客户端FirePass与浏览器建立加密安全隧道用户通过SSLVPN隧道访问资源,Client,Client,Client,满足使用者需求:与内网访问方式相同,如何实现?,全网络访问UDP,TCP分开的隧道选项关所有流量通过隧道特定流量通过隧道应用支持自动启动自动登陆和驱动器映射VLAN压缩包过滤全方位的分组的,网络访问功能,满足使用者需求:与内网访问方式相同,F5解决方案是如何满足用户安全需求的,可以对上传的文件做病毒扫描，更可以与企业现有的防病毒软件联动，彻底解决病毒问题内带的内容检查功能，解决了Web攻击问题可以对客户端做各种扫描，如操作系统版本、补丁版本、防病毒软件种类、病毒库更新时间等等，从而堵住病毒、木马入侵的途径可以对接入客户进行各种限制，如可以限制访问的地址、端口、URL等等。可以配置成在退出时自动清除高速缓存,ICSA认证独立安全机构的认证,ICSALabs独立的安全产品认证机构众所周知,防火墙认证验证SSLVPN解决方案独立验证FirePass的安全性Firepass是全球第一个通过ICSA认证的SSLVPNFirePass通过了2.0版ICSA认证端点安全验证，用于管理由蠕虫和病毒等问题引起的安全风险对主要安全功能和设备安全测试进行严格验证验证与主要业务应用的互操作性，包括Outlook和ExchangeServer、OutlookWebAccess、以及使用服务器消息块（SMB）协议的文件服务等。,满足系统安全性：完全符合企业对安全管理的要求,满足系统安全性：完全符合企业对安全管理的要求,包过滤,满足系统安全性：完全符合企业对安全管理的要求,包过滤,FirePass,终端安全检查及防病毒软件检查,指定的防病毒软件检查指定的个人防火墙检查Windows操作系统补丁检查注册表设置自带防病毒软件并可以通过ICAP与第三方防病毒软件联动,满足系统安全性：完全符合企业对安全管理的要求,FirePassGUI:图形安全策略编辑器(v5.4),轻松定义,编辑,监视和管理图形化安全策略,满足系统安全性：完全符合企业对安全管理的要求,F5解决方案是如何满足用户管理需求的,丰富的日志功能：可以提供非常丰富的用户级日志功能，更可以通过标准的日志协议将日志实时传送给企业中的日志服务器，便于审计与企业原有AAA服务器集成良好的权限管理：可以方便的以用户主干组和资源组映射的方式灵活的进行权限管理，企业可以方便的赋予自己公司不同职权的员工、合作伙伴、供应商等不同的权限实现双向访问，FirePass不仅支持客户端到服务端的访问要求，也支持服务器主动发起的对于客户端的访问请求(主动发送更新文件等)以及双向的访问请求(如视频会议)全中文管理和使用界面以及在线帮助,FirePass,Firepass,FileServers,WebServers,telnettoHosts,E-mailServers,TermServices/Citrix,Desktop,SSLVPN,认证,授权,客户端通过浏览器访问SSLVPN,通过组来管理授权,满足用户管理需求,降低管理和维护工作量,企业认证服务器,管理用户认证和授权,满足用户管理需求,降低管理和维护工作量,一般大企业方式,小企业方式,外部认证,Client,Firepass,Win2KServer,用户认证由外部服务器完成，但授权由FirePass控制,满足用户管理需求,降低管理和维护工作量,通过组来授权,Firepass,Win&UnixFileServers,WebServers,telnettounix&mainframe,E-mailServersPop,IMAP,TermServicesCitrix,VNC,CustomApps,Desktop,PC,PDA,Cellphone,Win&Unix,认证,授权,满足用户管理需求,降低管理和维护工作量,授权,用户组,ITGroup,IT1,IT2,IT3,Employees,Emp1,Emp2,Partners,partner1,partner2,资源组,FullNW,RemoteEmp,PartnerWeb,,email,SSLVPN,ssh,Windowsfiles,满足用户管理需求,降低管理和维护工作量,双向主动访问：业务需要，远程支持,Firepass,双向主动访问NAPT设置,如果设置NAPT,那么客户端源地址被替换成FP地址,非NAPT方式下:,1,NAPT方式下:,0,0,Src:0-Dest:48-0,Src:Dest:0,Src:1Dest:0,48,VPNIPPool,强大的审计日志功能,满足用户管理需求,降低管理和维护工作量,众多的功能,网络访问Portal访问应用访问,VPNConnector,IPSecVPNGateway,门户访问PortalAccess,Firepass,Win&UnixFileServers,WebServers,telnettounix&mainframe,E-mailServersPop,IMAP,TermServicesCitrix,VNC,CustomApps,Desktop,PC,PDA,Cellphone,Server端是Html格式的展现,门户访问网上应用程序,访问基于Web的应用强大的bypass功能可以解决页面重写问题会话的超时限制隐藏URL避免黑客入侵Cookie管理清除临时文件免留后患能够阻止文件下载,FirePass,Web适配器,企业网络,Kiosk/家用电脑,Browser,WebServers,Cache/临时文件自动清除(Win32),门户访问网上应用程序,企业内联网络,动态政策引擎,Web适配器,FirePass,Internet,CrossSiteScriptingUser-Defined,政策引擎扫描TCP/IP的包头和数据字段的值,交叉站点印记攻击防范FirePass扫描可疑的字节和字串内容检查和转换FirePass能够修补和清除Web的内容,门户访问Windows服务器访问,Windows文件服务器访问浏览,上载,下载,移动,和文件复制客户端要求不需要Java/ActiveX,POP3&IMAP邮件服务器Web展现,应用访问ApplicationAccesss,Firepass,Win&UnixFileServers,WebServers,telnettounix&mainframe,E-mailServersPop,IMAP,TermServicesCitrix,VNC,CustomApps,Desktop,PC,PDA,Cellphone,下载一个程序到客户端浏览器,应用访问应用连接器,访问特定的客户端服务器应用CRM(SAP,Oracle)客户端邮件(Outlook,Notes)FTP,HTTP,HTTPS可定义一段端口客户端需求ActiveX/Plugin简单的GUI简单排错在一个浏览器窗口包含多个应用通道,应用访问终端服务器、主机,基于浏览器安全访问Citrix,VNC,和Windows2K终端服务器基于浏览器安全访问3270/5250/VTxxx主机,FirePass,CorporateNetwork,Kiosk/HomePC,Browser,Cache/TempFileCleanup(Win32),Non-WebServersCitrixTermServersLegacyHostsFileServers,Host/ServerAdapter,旅店信息亭热点,SSLvsIPSec，为什么进化到SSLVPN?,任何位置,任何应用,任何设备,安全性,便携式电脑信息亭家用电脑PDA/蜂窝电话,数据保密设备保护网络保护精细应用控制,AAA服务器目录即时访问,易于使用,易于集成,高可用性,全球负载平衡状态故障切换灾难恢复,员工合作伙伴供应商,Web客户机/服务器传统主机台式机,任何,无客户机简单的GUI详尽的审计记录,为什么SSLVPN在远程安全访问中比IPSecVPN更好呢？,降低维护费用并提高效率丰富的客户端活动日志和审计功能优异的安全性精确适当的访问权限IPSec用来为子网对子网的安全通道而设计，不适用于远程客户端访问大多数情况下的子网对子网的安全通道需求其实是远程访问需求,Failover,PC,PDA,Cellphone,Active,Standby,Failover,PC,PDA,Cellphone,Active,Standby,Standby,Active,StandbyMaster,强大的集群功能,PC,PDA,Cellphone,Master,ClusterNodes,与BIGIP集成,PC,Cellphone,FirePassNodes,BIGIP,议程,什么是SSLVPN为什么要销售F5SSLVPNF5SSLVPN解决方案简介行业解决方案及成功案例简介Demo资源,标准企业远程访问解决方案,SSLVPN运营解决方案,电信运营商在为政府和企业提供IPSecVPN服务可能引起大量的病毒入侵某些地点无法接入与AAA服务器无法结合,SSLVPN运营解决方案-大型,SSLVPN运营解决方案-中型,SSLVPN运营解决方案,与3DNS结合解决多链路接入BIGIP智能47层交换及SSL卸载功能对于VLAN的支持高可用性高安全性分组管理每组有自己的管理员每组的定制页面与企业的AAA服务器结合可使用HTTPForms认证与定制AAA服务器结合,连锁店(4S店)远程访问解决方案,计算机应用水平低、无专职IT维护人某些接入客户端是Linux网络连接有时会中断，所有的业务系统都需要712小时接入总部要求远程接入方案能够提供自动运行、自动重新登录能够提供高可用接入方案能够提供双向的访问,连锁店(4S店)远程访问解决方案,连锁店(4S店)远程访问解决方案,高可用性使用两台FirePass以冗余方式对外提供服务，可以保障724小时服务提供无人值守运行使用FirePass提供的API-iControl开发出自动运行的客户端和网络连接监控程序提供双因素认证包括Linux在内的丰富的接入客户端实现双向访问,混合接入平台的企业远程接入解决方案,混合使用Linux与Windows作为接入客户端接入客户端分布分散，条件恶劣，要求安装与维护简单SSLVPN网关对应用透明OnlyF5！,典型案例上海大众汽车公司,典型案例中石化天津石油公司,FirePass只要求Linux客户端有Mozilla浏览器即可，客户端采用Mo