FirePass保险公司解决方案

年5月29日FirePass保险公司解决方案文档仅供参考FirePass保险公司解决方案

版本号密级修改人修改日期修改对象备注(原因、进一步说明)jack-8-8文档建立

本文档面向对象F5的合作伙伴售前工程师。需求概述保险市场开放后,国内保险市场将涌入大批强有力的竞争对手。外资保险公司雄厚的资金实力、先进的经营技术、灵活的市场化经营方式对中国保险业提出了严峻的考验。为了提高自身的竞争力,ERP系统得到了越来越广泛的应用,同时由于保险公司的运作特点,对于移动办公提出了越来越高的要求,而由于IPSecVPN的固有缺点,SSLVPN正在保险行业得到广泛应用。SSLVPN作为新出现的技术,能够完美的解决安全的远程接入的需求。安全的远程接入需要来自于三个人群,分别是远程接入的使用者(如业务人员)、公司信息安全主管、公司IT主管,下面分别论述她们的需求。远程接入的使用者(如业务人员)的需求远程接入的使用者(如业务人员)的需求就是随时随地接入,以往的IPSecVPN因为无法解决高可用性以及受网络接入条件的限制,无法满足随时随地接入的需求,具体表现在在需要客户端使用不方便、某些网络条件下无法接入、无法满足7×24小时的高可用要求。公司信息安全主管的需求作为公司的信息安全主管,需要考虑整个系统的信息安全,以往由于使用IPSecVPN开通远程接入而引起大量的病毒、蠕虫、应用攻击,而且一旦接入IPSecVPN,整个内网就完全开放在使用者面前,存在着极大的隐患,信息安全主管希望新的SSLVPN能够解决这些问题。公司IT主管公司往往已经部署了AAA服务器,如ActiveDirectory、LDAP、RSASecureID、PKI、自己开发的SSO服务器等等,公司IT主管希望SSLVPN能够与这些AAA服务器结合起来,即用户的认证交给AAA服务器,而不需要IT主管维护两套用户账户系统;IT主管还需要SSLVPN具有详细的用户级日志,必要时还能够将日志信息经过标准协议传送至公司的日志服务器。F5FirePass解决方案F5的FirePass是企业级的SSLVPN解决方案,能够充分满足上述的所有需求。F5FirePass特点完整的SSLVPN实现F5FirePass包含IPSecVPN、网络访问、网上应用程序(MyIntranet)、Windows文件共享、移动电子邮件、应用程序访问、传统主机、终端服务器等众多功能,使用标准SSL安全协议,不需要专用客户端,能够完美的解决随时随地接入的需求,不但能够满足B/S应用程序的远程接入,也能够满足各种各样C/S应用程序的远程接入。强大的网络访问功能SSLVPN是为弥补IPSecVPN的缺陷应运而生,F5FirePass包含IPSecVPN、网络访问、网上应用程序(MyIntranet)、Windows文件共享、移动电子邮件、应用程序访问、传统主机、终端服务器等众多功能,这其中网络访问功能是真正重要和对于企业来说雪中送炭的功能,其它都是锦上添花的功能,网络访问功能能够完全替代其它所有的功能。网络访问功能既有IPSecVPN所具有的与应用无关已经与内网使用体验一致的特点,而且解决了由于使用IPSecVPN所带来的无法审计登录信息、导致病毒和蠕虫入侵、某些网络条件下无法接入、需要客户端等诸多缺陷,因此网络访问功能才是用户一劳永逸的解决方案,一个SSLVPN解决方案能够不使用其它功能,可是一个不具备网络访问功能的SSLVPN解决方案是不可思议的。FirePass的网络访问功能包含很多高级性能,如GZIP压缩,能够大大提高性能;提供全局和基于组的包过滤功能,能够灵活的定义和限制每个组能够访问的IP、协议、端口,缺乏了包过滤功能的SSLVPN就不具备了相对于IPSecVPN的主要优势;提供对于VLAN的支持,方便大型的SSLVPN应用;不但提供NAPT方式的网络访问,还提供使用源地址的网络访问,而某些应用是必须使用源地址的网络访问的,如视频点播,这样不但能够实现客户端对于服务端的访问,也能够实现服务端主动发起的对于客户端的访问请求,如越来越多的”推”技术。良好的性能F5FirePass能够实现高速缓存和压缩,极大的改进了远程接入的性能。多种多样的接入客户端F5FirePass能够使用多种客户端接入,包括Mac、Linux、Solaris、WindowsCE等等,大大扩展了客户端的使用便利性。良好的安全性IPSecVPN的安全性一直是一个弱点,由于IPSecVPN而引起的病毒、木马、Web攻击一直是无法彻底解决的问题,而F5FirePass能够很好的解决这个问题。在FirePass的门户站主机访问模式下,FirePass能够对上传的文件做病毒扫描,更能够与企业现有的防病毒软件联动,彻底解决病毒问题。而FirePass内带的内容检查功能,解决了Web攻击问题。F5FirePass能够对客户端做各种扫描,如操作系统版本、补丁版本、防病毒软件种类、病毒库更新时间等等,从而堵住病毒、木马入侵的途径。F5FirePass能够对接入客户进行各种限制,如能够访问的地址、端口、URL等等。F5FirePass能够配置成在退出时自动清除高速缓存。以上这些功能都大大增强了系统的安全性。丰富的日志功能IPSecVPN的日志功能非常薄弱,而FirePass能够提供非常丰富的用户级日志功能,更能够经过标准的日志协议将日志实时传送给企业中的日志服务器,便于审计。强大的高可用性对于远程访问非常重要的企业来说,远程访问设备的高可用性非常重要,而IPSecVPN无法提供高可用性,往往成为系统的单点故障。而F5FirePass能够多台以集群方式对外提供服务,也能够前端使用F5BIGIP作为负载均衡设备对外提供服务,在提高系统可用性的同时也提高了系统性能。与企业原有AAA服务器集成企业在部署远程访问设备之前,一般都部署了各种形式的AAA服务器,一般有ActiveDirectory、LDAP、RADIUS、企业自行开发的SSO等等,客户端也有PKI、RSASecureID等等。FirePass能够轻易的与这样AAA服务器集成,对于IT管理员来说,能够轻易将一台FirePass加入企业网,用户管理依然由原来的AAA服务器去做。F5FirePass解决方案具体需求描述A保险公司的远程访问逻辑图如下图所示。请注意,F5FirePass在网络中的部署方式是非常灵活的,既能够是类似防火墙的接法,把FirePass的几块网卡定义成不同的网段,分别接入到企业网的不同网段,也能够把FirePass直接接到企业的三层交换机上。该企业的远程访问用户分别来自分支机构(多个)、合作伙伴(多个)、在家或出差办公的员工,既需要解决这些客户的随时随地接入需求,更要区分不同用户的权限;接入客户端有Windows、Linux、WindowsMobile、Mac;需要接入的应用有基于Web的应用、基于单个端口的TCP应用(如passive模式的FTP)、TCP和UDP的应用、Windows文件共享、基于微软Exchange的电子邮件、终端服务器(如微软TerminalServer、Citrix、VNC)、传统主机(如3270、320等主机终端),应用不但有客户端到服务端的访问要求,也有服务器主动发起的对于客户端的访问请求(主动发送更新文件等)以及双向的访问请求(如视频会议);认证方式是ActiveDirectory、Windows域认证、LDAP、RADIUS、PKI、RSASecureID、VASCODigipass、企业自行开发的认证服务器等其中的一种,需要FirePass与这些认证服务器无缝集成;企业已经部署或者未部署具有ICAP接口的企业防病毒服务器,无论怎样,希望查杀上传至服务器的文件和邮件中的病毒;需要解决Web应用攻击问题;企业有集中的日志服务器,需要讲详细的日志信息上传至远程访问用户直接访问FirePass,FirePass把认证请求转发到企业的AAA服务器上,认证经过后用户即登录FirePass,按照事先定义的授权策略,用户即可使用IPSecVPN、网络访问、网上应用程序(MyIntranet)、Windows文件共享、移动电子邮件、应用程序访问、传统主机、终端服务器等众多功能中的若干资源。针对需求的解决方案随时随地接入需求FirePass使用SSL协议作为接入协议,SSL协议工作于传输层与应用层之间,与具体接入条件无关,有效的避免了IPSecVPN在某些网络条件下无法接入的弊端。高可用性F5FirePass能够多台以Failover或集群方式对外提供服务,也能够前端使用F5BIGIP作为负载均衡设备对外提供服务,在提高系统可用性的同时也提高了系统性能,能够保障7×24小时服务。提供双因素认证保险公司一般采用RSASecureID或PKI的USBKey作为客户端认证手段,FirePass能够使用这些双因素认证客户端作为认证手段。良好的权限管理F5FirePass能够方便的以用户主干组和资源组映射的方式灵活的进行权限管理,企业能够方便的赋予自己公司不同职权的员工、合作伙伴、供应商等不同的权限。丰富的接入客户端FirePass不但能够使用Windows作为工作客户端,更能够使用Linux、WindowsMobile、Mac、Solaris作为工作客户端,这一点对于使用非Windows客户端的企业尤为重要。提供纯浏览器方式的Windows文件共享FirePass提供纯浏览器方式的Windows文件共享,用户只需浏览器就能够实现Windows共享文件的浏览、上传、下载,而且能够对上传的文件查杀病毒,极大的方便了用户。提供IMAP/POP3邮件服务器Web展现FirePass能够实现IMAP/POP3邮件服务器Web展现,用户只需要使用浏览器,就能够存取基于IMAP/POP3邮件服务器的邮件,非常方便,而且能够对邮件查杀病毒。使用浏览器访问终端服务器FirePass能够实现终端服务器(如微软TerminalServer、Citrix、VNC)的Web展现,用户只需要使用浏览器,就能够实现对于终端服务器的访问。使用浏览器访问传统主机FirePass能够实现传统主机终端(如3270等)的Web展现,用户只需要使用浏览器,就能够实现对于传统主机的访问。实现双向访问FirePass不但支持客户端到服务端的访问要求,也支持服务器主动发起的对于客户端的访问请求(主动发送更新文件等)以及双向的访问请求(如视频会议)。与企业原有AAA服务器集成企业在部署远程访问设备之前,一般都部署了各种形式的AAA服务器,一般有ActiveDirectory、LDAP、RADIUS、企业自行开发的SSO等等,客户端也有PKI、RSASecureID等等。FirePass能够轻易的与这样AAA服务器集成,对于IT管理员来说,能够轻易将一台FirePass加入企业网,用户管理依然由原来的AAA服务器去做。强大的防病毒功能FirePass内置防病毒软件,能够查杀文件和邮件中的病毒,如果企业已经部署具有ICAP接口的企业防病毒服务器,FirePass还能够将查杀病毒的功能交给企业防病毒服务器。提供高可用性F5FirePass能够多台以Failover或集群方式对外提供服务,也能够前端使用F5BIGIP作为负载均衡设备对外提供服务,在提高系统可用性的同时也提高了系统性能。提供防应用攻击功能FirePass内带内容检查功能,能够防止内存溢出、SQL脚本注入等大部分web应用攻击。解决系统远程访问的安全性IPSecVPN的安全性一直是一个弱点,由于IPSecVPN而