《FirePass保险公司解决方案ovl》由会员分享,可在线阅读,更多相关《FirePass保险公司解决方案ovl(12页珍藏版)》请在金锄头文库上搜索。
1、FireePasss 保保险公司司解决方方案版本号密级修改人修改日期期修改对象象备注(原原因、进进一步说说明)jackk20055-8-8文档建立立1 本文档面面向对象象F5的合合作伙伴伴售前工工程师。2 需求概述述保险市场场开放后后,国内内保险市市场将涌涌入大批批强有力力的竞争争对手。外外资保险险公司雄雄厚的资资金实力力、先进进的经营营技术、灵灵活的市市场化经经营方式式对中国国保险业业提出了了严峻的的考验。为了提高自身的竞争力,ERP系统得到了越来越广泛的应用,同时由于保险公司的运作特点,对于移动办公提出了越来越高的要求,而由于IPSec VPN的固有缺点,SSL VPN正在保险行业得到广泛
2、应用。SSL VPNN作为新新出现的的技术,可可以完美美的解决决安全的的远程接接入的需需求。安安全的远远程接入入需要来来自于三三个人群群,分别别是远程程接入的的使用者者(如业业务人员员)、公公司信息息安全主主管、公公司ITT主管,下下面分别别论述他他们的需需求。2.1 远程接入入的使用用者(如如业务人人员)的的需求远程接入入的使用用者(如如业务人人员)的的需求就就是随时时随地接接入,以以往的IIPSeec VVPN因因为无法法解决高高可用性性以及受受网络接接入条件件的限制制,无法法满足随随时随地地接入的的需求,具具体表现现在在需需要客户户端使用用不方便便、某些些网络条条件下无无法接入入、无法法
3、满足7724小小时的高高可用要要求。2.2 公司信息息安全主主管的需需求作为公司司的信息息安全主主管,需需要考虑虑整个系系统的信信息安全全,以往往由于使使用IPPSecc VPPN开通通远程接接入而引引起大量量的病毒毒、蠕虫虫、应用用攻击,而而且一旦旦接入IIPSeec VVPN,整整个内网网就完全全开放在在使用者者面前,存存在着极极大的隐隐患,信信息安全全主管希希望新的的SSLL VPPN能够够解决这这些问题题。2.3 公司ITT主管公司往往往已经部部署了AAAA服服务器,如如Acttivee Diirecctorry、LLDAPP、RSSA SSecuure ID、PPKI、自自己开发发的
4、SSSO服务务器等等等,公司司IT主主管希望望SSLL VPPN能够够与这些些AAAA服务器器结合起起来,即即用户的的认证交交给AAAA服务务器,而而不需要要IT主主管维护护两套用用户账户户系统;IT主主管还需需要SSSL VVPN具具有详细细的用户户级日志志,必要要时还可可以将日日志信息息通过标标准协议议传送至至公司的的日志服服务器。3 F5 FFireePasss解决决方案F5的FFireePasss是企企业级的的SSLL VPPN解决决方案,可可以充分分满足上上述的所所有需求求。3.1 F5 FFireePasss特点点3.1.1 完整的SSSL VPNN实现F5 FFireePasss
5、包含含IPSSec VPNN、网络络访问、网网上应用用程序(My Inttrannet)、Wiindoows文文件共享享、移动动电子邮邮件、应应用程序序访问、传传统主机机、终端端服务器器等众多多功能,使使用标准准SSLL安全协协议,不不需要专专用客户户端,可可以完美美的解决决随时随随地接入入的需求求,不仅仅可以满满足B/S应用用程序的的远程接接入,也也可以满满足各种种各样CC/S应应用程序序的远程程接入。3.1.2 强大的网网络访问问功能SSL VPNN是为弥弥补IPPSecc VPPN的缺缺陷应运运而生,FF5 FFireePasss包含含IPSSec VPNN、网络络访问、网网上应用用程序
6、(My Inttrannet)、Wiindoows文文件共享享、移动动电子邮邮件、应应用程序序访问、传传统主机机、终端端服务器器等众多多功能,这这其中网网络访问问功能是是真正重重要和对对于企业业来说雪雪中送炭炭的功能能,其他他都是锦锦上添花花的功能能,网络络访问功功能可以以完全替替代其他他所有的的功能。网网络访问问功能既既有IPPSecc VPPN所具具有的与与应用无无关已经经与内网网使用体体验一致致的特点点,而且且解决了了由于使使用IPPSecc VPPN所带带来的无无法审计计登录信信息、导导致病毒毒和蠕虫虫入侵、某某些网络络条件下下无法接接入、需需要客户户端等诸诸多缺陷陷,所以以网络访访问
7、功能能才是用用户一劳劳永逸的的解决方方案,一一个SSSL VVPN解解决方案案可以不不使用其其他功能能,但是是一个不不具备网网络访问问功能的的SSLL VPPN解决决方案是是不可思思议的。FireePasss的网网络访问问功能包包含很多多高级性性能,如如GZIIP压缩缩,可以以大大提提高性能能;提供供全局和和基于组组的包过过滤功能能,可以以灵活的的定义和和限制每每个组可可以访问问的IPP、协议议、端口口,缺乏乏了包过过滤功能能的SSSL VVPN就就不具备备了相对对于IPPSecc VPPN的主主要优势势;提供供对于VVLANN的支持持,方便便大型的的SSLL VPPN应用用;不仅仅提供NNA
8、PTT方式的的网络访访问,还还提供使使用源地地址的网网络访问问,而某某些应用用是必须须使用源源地址的的网络访访问的,如如视频点点播,这这样不仅仅可以实实现客户户端对于于服务端端的访问问,也可可以实现现服务端端主动发发起的对对于客户户端的访访问请求求,如越越来越多多的“推”技术。3.1.3 良好的性性能F5 FFireePasss可以以实现高高速缓存存和压缩缩,极大大的改善善了远程程接入的的性能。3.1.4 多种多样样的接入入客户端端F5 FFireePasss可以以使用多多种客户户端接入入,包括括Macc、Liinuxx、Soolarris、WWinddowss CEE等等,大大大扩展展了客户
9、户端的使使用便利利性。3.1.5 良好的安安全性IPSeec VVPN的的安全性性一直是是一个弱弱点,由由于IPPSecc VPPN而引引起的病病毒、木木马、WWeb攻攻击一直直是无法法彻底解解决的问问题,而而F5 FirrePaass可可以很好好的解决决这个问问题。在在FirrePaass的的门户站站主机访访问模式式下,FFireePasss可以以对上传传的文件件做病毒毒扫描,更更可以与与企业现现有的防防病毒软软件联动动,彻底底解决病病毒问题题。而FFireePasss内带带的内容容检查功功能,解解决了WWeb攻攻击问题题。F5 FFireePasss可以以对客户户端做各各种扫描描,如操操作
10、系统统版本、补补丁版本本、防病病毒软件件种类、病病毒库更更新时间间等等,从从而堵住住病毒、木木马入侵侵的途径径。F5 FFireePasss可以以对接入入客户进进行各种种限制,如如可以访访问的地地址、端端口、UURL等等等。F5 FFireePasss可以以配置成成在退出出时自动动清除高高速缓存存。以上这些些功能都都大大增增强了系系统的安安全性。3.1.6 丰富的日日志功能能IPSeec VVPN的的日志功功能非常常薄弱,而而FirrePaass可可以提供供非常丰丰富的用用户级日日志功能能,更可可以通过过标准的的日志协协议将日日志实时时传送给给企业中中的日志志服务器器,便于于审计。3.1.7
11、强大的高高可用性性对于远程程访问非非常重要要的企业业来说,远远程访问问设备的的高可用用性非常常重要,而而IPSSec VPNN无法提提供高可可用性,往往往成为为系统的的单点故故障。而而F5 FirrePaass可可以多台台以集群群方式对对外提供供服务,也也可以前前端使用用F5 BIGG IPP作为负负载均衡衡设备对对外提供供服务,在在提高系系统可用用性的同同时也提提高了系系统性能能。3.1.8 与企业原原有AAAA服务务器集成成企业在部部署远程程访问设设备之前前,一般般都部署署了各种种形式的的AAAA服务器器,一般般有Acctivve DDireectoory、LLDAPP、RAADIUUS、
12、企企业自行行开发的的SSOO等等,客客户端也也有PKKI、RRSA Seccuree IDD等等。FFireePasss可以以轻易的的与这样样AAAA服务器器集成,对对于ITT管理员员来说,可可以轻易易将一台台FirrePaass加加入企业业网,用用户管理理仍然由由原来的的AAAA服务器器去做。3.2 F5 FFireePasss解决决方案3.2.1 具体需求求描述A保险公公司的远远程访问问逻辑图图如下图图所示。请请注意,FF5 FFireePasss在网网络中的的部署方方式是非非常灵活活的,既既可以是是类似防防火墙的的接法,把把FirrePaass的的几块网网卡定义义成不同同的网段段,分别别
13、接入到到企业网网的不同同网段,也也可以把把FirrePaass直直接接到到企业的的三层交交换机上上。该企业的的远程访访问用户户分别来来自分支支机构(多个)、合作作伙伴(多个)、在家家或出差差办公的的员工,既既需要解解决这些些客户的的随时随随地接入入需求,更更要区分分不同用用户的权权限;接接入客户户端有WWinddowss、Liinuxx、Wiindoows Mobbilee、Maac;需需要接入入的应用用有基于于Webb的应用用、基于于单个端端口的TTCP应应用(如如passsivve模式式的FTTP)、TTCP和和UDPP的应用用、Wiindoows文文件共享享、基于于微软EExchhang
14、ge的电电子邮件件、终端端服务器器(如微微软Teermiinall Seerveer、CCitrrix、VVNC)、传统统主机(如32270、3320等等主机终终端),应应用不仅仅有客户户端到服服务端的的访问要要求,也也有服务务器主动动发起的的对于客客户端的的访问请请求(主主动发送送更新文文件等)以及双双向的访访问请求求(如视视频会议议);认认证方式式是Acctivve DDireectoory、WWinddowss域认证证、LDDAP、RADIUS、PKI、RSA Secure ID、VASCO Digipass、企业自行开发的认证服务器等其中的一种,需要FirePass与这些认证服务器无缝
15、集成;企业已经部署或者未部署具有ICAP接口的企业防病毒服务器,无论怎样,希望查杀上传至服务器的文件和邮件中的病毒;需要解决Web应用攻击问题;企业有集中的日志服务器,需要讲详细的日志信息上传至远程访问问用户直直接访问问FirrePaass,FFireePasss把认认证请求求转发到到企业的的AAAA服务器器上,认认证通过过后用户户即登录录FirrePaass,按按照事先先定义的的授权策策略,用用户即可可使用IIPSeec VVPN、网网络访问问、网上上应用程程序(MMy IIntrraneet)、WWinddowss文件共共享、移移动电子子邮件、应应用程序序访问、传传统主机机、终端端服务器器
16、等众多多功能中中的若干干资源。3.2.2 针对需求求的解决决方案3.2.2.1 随时随地地接入需需求FireePasss使用用SSLL协议作作为接入入协议,SSSL协协议工作作于传输输层与应应用层之之间,与与具体接接入条件件无关,有有效的避避免了IIPSeec VVPN在在某些网网络条件件下无法法接入的的弊端。3.2.2.2 高可用性性F5 FFireePasss可以以多台以以Faiilovver或或集群方方式对外外提供服服务,也也可以前前端使用用F5 BIGG IPP作为负负载均衡衡设备对对外提供供服务,在在提高系系统可用用性的同同时也提提高了系系统性能能,可以以保障7724小小时服务务。3.2.2.3 提供双因因素认证证保险公司司
