过去,企业使用IPSec VPN 解决方案,使其员工能够远程访问网络资源。为保证站点间通信安全而设计的IPSec如今已经无法满足企业日益增长的网络远程访问需求。随着互联网逐渐成为企业提供访问关键任务应用的最重要手段,以及支持网络的安装设备驱动程序越来越普遍,IPSec解决方案存在的种种局限性成了众多企业发展的障碍
> 挑战
使用IPSec VPNs的企业不得不考虑诸多问题,如IP选址、网络地址转换、有限的远程驱动程序支持,以及每个用户所需的软件安装和维护。由于IPSec解决方案要求客户所用软件确保交易的安全,因此只能通过数量有限的系统访问企业资源。这极大的限制了终端用户通过公共系统或移动设备访问重要资源的能力。同时,这也增加了执行成本,因为企业必须给每个出差的员工配备和维护其携带的笔记本电脑。即使如此,员工在使用配置好的笔记本电脑访问合作伙伴和客户站点时,仍然会遭到防火墙的阻截。
这些IPSec VPN系统缺乏细化控制,管理人员需要提供适当的访问通道以实现对系统的广泛安全控制。要么以牺牲网络安全为代价提供广泛的访问,要么以影响工作效率为代价提供有限的访问,管理人员必须两者选一。IPSec VPN解决方案还限制管理人员进行审核,阻碍他们解决问题,同时使他们无法清楚地获知用户数据。
AT&T/《经济学家》在2003年3-4月的调查显示,在正常情况下,54%的员工在家里办公。预计到2005年,这一比例将增至80%。企业需要这样一种解决方案,它能够提供从多种装置访问应用软件的、安全可靠的、适当的途径。
解决方案
F5是唯一一家能够交付高可用性和性能出色的远程访问方案的厂商,其方案交付对企业和桌面应用的全面无客户远程访问。 作为网络领域的先锋和SSL技术的专家,F5为企业提供了一个完整的方案,使他们能够控制和保护从客户到后端的应用流量,不受设备、地区和应用软件的限制。F5拥有无数行业产品技术奖,再加上其出色的全球销售、技术支持和咨询服务,对任何企业来说,都不失为可靠的零风险之选。
F5 FirePass控制器提供的远程访问解决方案,同时满足管理员和终端用户的需求。FirePass解决方案使企业得以提供终端用户所需的安全、可靠、直观的远程访问通道,无需为耗费时间安装和配置用户软件而伤脑筋,也无需更改服务器应用。F5灵活广泛的解决方案轻松适用于任何网络,在省时省钱的同时提供对网络资源无与伦比的控制。
依靠基于动态规则的访问,提供更强的应用级安全和网络控制,FirePass产品提供行业内最全面的应用访问,以提高劳动力和商业合作伙伴的生产力。
对管理员来说,使用FirePass控制器节省了配置传统的远程VPNs系统所需成本,无需在每部设备上安装用户软件,同时减少了滚动次数,提供无客户访问企业应用的通道,并支持多种类型的设备。这种无处不在的访问几乎可以使客户随时随地使用任何设备访问任何应用,加之全球和局域冗余,为商业用户日益增长的劳动力需求提供高可用性。
完全网络访问
企业笔记本电脑用户,通常称之为“可信赖”用户,就是那些使用公司配备并维护的设备的员工。 可信赖用户通常是经理主管人员或销售小组的成员,他们需要和办公室员工一样访问网络资源。
FirePass VPN 连接器为这些用户提供访问整个网络的通道,且无需对用户或服务器应用进行更改。与传统的IPSec VPNs不同,FirePass产品在提供远程访问的同时,无需在远程装置上安装和配置用户软件。此外,FirePass装置使得管理员能够通过VPN连接器限制和保护网络资源,按照远程访问装置的类型制定规则,对特定网络或接口的访问进行限制。FirePass产品使得管理员能够探测和执行病毒扫描和防火墙标准。譬如,FirePass系统经过设定,可以拒绝使用过时或未经认可的解决方案的用户访问网络资源,同时准予认可的用户访问其所需资源。
公共系统访问
在公共机房或家中使用计算机的用户即那些使用非公司配备并维护的设备访问公司资源的员工(通常称之为“不可信赖”用户)。
FirePass 适配器为这些用户提供了访问广泛网络应用和资源的通道,网络应用包括从共享文件到实时主机连接。每个适配器代表一种单独的功能,将被访问的应用翻译成Web浏览器所用语言。被访问的应用和所支持的协议共同决定适配器的特殊任务。
Web适配器使用户可以像在企业局域网一样便捷地访问内联网服务器,如Microsoft、Outlook和Web Access。在访问这些资源的同时,FirePass装置通过动态映射内部URLs为不显示内部局域网结构的外部URLs来防范外部的侵袭。一旦用户对话结束,FirePass装置便自动清除URL历史记录、用户文件夹以及浏览器高速缓存/临时文件,以确保机密数据不会留存在公共系统中。
终端服务器适配器使用户通过网络访问Microsoft终端服务器、Citrix MetaFrame应用程序和VNC服务器。终端服务器适配器支持群访问选项、SSO技术、用户鉴定和授权用户自动登录。它还支持自动下载和安装恰当的终端服务或Citrix 远程平台用户组件。
桌面适配器使用户可以使用任何浏览器对公司Windows 台式机进行远程安全控制,包括与其他用户同时使用台式机进行网上协作或示范,以及对文件、电邮和其他应用进行轻量访问。
UNIX系统适配器使用户可以使用支持Java / ActiveX的浏览器在网络中的UNIX和Linux主机上运行X Windows应用程序。这使得系统管理员可以使用任何标准浏览器对服务器进行远程管理。
主机适配器使用户可以网上实时访问VT100、VT320、Telnet、X-Term,以及IBM3270/5250应用程序,无需对应用程序或应用服务器进行修正。
文件服务器适配器使用户可以在共享的目录下浏览、上传、下载、移动、复制或清除文件。它支持SMB Shares、Windows Workgroups、NT4.0和Win2000域,以及带有Native 文件系统包的Novell 5.1/6.0。#p#副标题#e#
为合作伙伴选择安全访问
商业合作伙伴用户是指使用另一个公司配备和维护、规格未知的设备,该用户并非这家公司的员工,通常被视为不可信赖的拥护。商业合作伙伴用户一般需要共享文件而进行有限资源访问或外联网访问。
FirePass装置使管理员可以准予这些用户通过Web适配器访问外联网应用程序和站点。适配器通过URL映射保护网络资源,清除浏览器和应用对话留下的机密数据和站点脚本保护。
为了给合作伙伴选择应用访问,FirePass产品提供了应用连接器,使管理员可以批准可信赖用户访问网络应用,而无需向其提供全面网络访问。一旦设定,连接器的图标即出现在用户的主页上,为其提供快捷访问。
移动设备访问
移动设备用户是指需要使用私人便携装置上网的员工。
FirePass产品为使用Palm OS、PocketPC、WAP和iMode电话的用户提供了电子邮件服务器适配器,使他们能够接发信息,并在电子邮件中下载或附加本地文件。适配器从标准电邮服务器应用程序上格式化邮件,并将其转化成可读文件。对于已经格式化的应用程序,FirePass产品准予用户对文件和PIM数据进行访问。
细化控制
管理员经常会感到支持远程访问系统是件棘手的事情。高级维护所必需的用户群管理及滚动升级,同时维持网络安全和用户访问,这是极其复杂的。过去的解决方案只提供有限的联机能力,以满足跟踪网络资源用户或出现问题时提供有价值信息的需要。
基于动态规则的访问
使用FirePass产品,管理员可以对其网络资源进行快捷的细化控制。FirePass装置支持使用远程访问设备对应用程序进行授权访问。
譬如,管理员可以利用这一特性设定用户许可,当用户使用公司电脑上网时,为其提供全面网络访问,而当用户在公共机房上网时,只能通过电子邮件才能进行访问。
审核
FirePass装置还可以为管理员提供会议和活动日志。摘要报告按照日期时间对用户所访问的O/S、所使用的要素、会议持续时间、用户指定的时间间隔中会议终止类型等进行汇总。钻研明细资料的详细报告提供对所有终端用户数据的完全细化访问。
认证及授权使用
FirePass装置管理用户认证和授权轻而易举。定制后的FirePass产品可以与RADIUS和LDAP、Windows Domain Servers认证程序或内部安全数据库协同工作。对于LDAP和Windows Domain Servers来说,FirePass产品支持用户根据其特质进行自动登记。FirePass基本产品也为那些要求不同群体使用不同认证程序的用户提供群体认证。譬如,员工在访问某个LDAP目录时,必须提供双因素令牌认证,而外部的合作伙伴则只需输入一个密码,但只限于某个特定外联网服务器。
许多企业要求进行令牌认证,这是一种使用用户名和密码以外的认证方式。FirePass完全支持RSA SecurID 的令牌认证。 FirePass 还提供内置VASCO Digipass执行。无论使用RSA或VASCO,用户认证都包括一个密码或PIN,以及由用户携带的、被称为“表链”的小型电子装置生成的一连串不断变化的数字。由于这串数字是根据一个复杂的公式为每个用户在当日当时度身订做的,所以如果“表链”丢失或被盗,不会危及系统的安全。
适当访问
个人或群体用户可以获得授权或访问特权。这使得FirePass管理员们能够限制个人或群体用户访问特定资源。同时,这也使得FirePass服务器只允许公司合作伙伴访问外联网服务器,而销售人员则可以访问电邮、内联网和CRM系统。对管理员来说,远程访问执行的灵活性和可扩展性也很重要。解决方案必须能够轻松地装入现存的基础设施,并提供为满足未来需要而设计的简单解决方案。
定制用户界面
FirePass产品包括一个定制用户界面,可以使系统管理员调整产品的整体视觉效果和感觉,以符合公司内联网的风格。除了更换图标和定制布局外,FirePass产品还提供群体模板,使管理员能够区分各个用户群所选择的资源及其次序。这些模板帮助终端用户获的一个更为直观的访问入口,使他们能够快捷地访问相关资源。终端用户通过任何标准Web浏览器都能够访问其个人FirePass主页。终端用户可以进一步定制他们的个人主页,将经常访问的URLs、群体/个人目录和经常访问的文件添加入收藏夹。通过提自动导航栏,导航变得容易起来。用户可以确定其目前所在位置,轻轻点击一下鼠标就能回到前页或主页。
方便部署
F5 FirePass解决方案提供灵活的执行功能,确保能够方便部署到任何网络。
对远程访问需求有限的小企业,F5为其提供了一个成本低廉、用户支持有限的远程访问方案。
对远程访问需求高的中小型企业,F5提供了一个高可用性解决方案,其状态故障切换功能可在节点连接失败的情况下支持连续无缝对话。
对需要支持庞大的销售机构或商业合作伙伴的大型企业,F5提供了一个负载平衡解决方案,使用我们获奖的流量管理装置——BIG-IP系统在众多FirePass服务器间分配和管理流量,同时使用我们的BIG-IP链路控制器并利用多个互联网联接来管理和引导资源访问。
对于遍布全球的企业来说,F5的解决方案使用3-DNS控制器分配和管理全球应用请求,将其发送至最近或可用性最高的数据中心或远程控制处。
负载平衡和全球负载平衡解决方案都能分利用F5的iControl API和iControl Services Manager软件的优势,为用户提供无与伦比的深入控制和可靠性。
