3.2方案建设
图3-2企业拓扑图
将F5 FirePass4100 连接到xxx企业的核心交换机上,利用原有存在防火墙,在防火墙上映射一个合法可路由的IP地址为FirePass4100 VPN设备,并添加相应的安全策略,在FirePass4100 vpn 设备上添加用户组,并且为每个用户组添加相应的用户(如财务组、行政组等),为每个用户组设置相应的访问权限,远程分之机构用户、移动用户只需要在本机的IE浏览器输入映射的IP地址或者域名的即可访问到FirePass vpn的首页内容,然后输入分配的用户名和密码,即可访问相应的内部资源。
两台F5 FirePass4100 VPN设备之间通过HA方式实现,实现设备之间的高可靠性,即当一台设备发生故障时,另外一台会自动升级为活动设备,对SSL VPN连接用户没有任何影响,同时也保证了设备在管理时,数据不易被窃听和修改。 3.3管理员如何实施和管理
F5 FirePass控制器所提供的远程访问解决方案能够满足管理员及最终用户的需要对管理员而言,FirePass控制器去掉了传统远程VPN客户端软件加载到每台设备上的部署要求,减少了部署时间,提供了无客户端访问公司应用的能力,并可支持多种设备类型。 这一无所不在、几乎能随时随地访问任何设备的应用的特性、加上全局及局部冗余特性,为那些移动员工不断增多的企业提供了极为可靠的保证。
(1)动态政策引擎
9
管理员经常会发现很难支持远程访问系统。 对于高级别的维护,需要管理用户组并不断进行更新;同时,维护网络安全和用户访问又非常复杂。 以往的解决方案提供的记录能力非常有限,要求明确记录网络资源或者在发生故障时需要大量有价值的提示方可进行故障排除。
凭借FirePass设备, 管理员可以快速而精确地控制网络。根据用于远程访问的设备,FirePass设备也支持授权访问应用的规则。 例如,凭借该特性,管理员可以配置用户权限,规定他们在公共信息亭只能访问电子邮件系统,但是在公司的膝上电脑上则可以完全访问网络。
(2)认证和授权
通过FirePass设备管理用户认证和授权相当容易。 FirePass产品配置后可与RADIUS和LDAP、Windows域名服务器认证方法或内部安全数据库共同使用 对于LDAP和Windows域名服务器,FirePass产品还支持根据Windows Domain Server中的属性来自动添加用户。 在基础FirePass产品中,也针对有着不同组要求的认证方法提供了用户组认证。例如,员工可能被授权访问LDAP目录(并要求使用双因素令牌);而外联网的合作伙伴则只需使用密码即可,但是仅限于访问单个外联网服务器。
许多公司都需要双因素认证,即使用用户ID与密码以外的信息进行认证。 FirePass控制器完全支持RSA SecurID令牌式认证,并提供了内建的VASCO Digipass(r)实施。根据RSA或VASCO,用户在进行认证时既要使用密码或PIN,又要使用由“fob”(一款小型电子设备)生成的一系列随时间而异的数字。fob生成的数字通过复杂公式计算得出,而每个公式又都取决于每个用户和数字生成的日期与时间,因此即使fob失窃也不会对整个系统造成损失。
(3)审计
FirePass设备也会向管理员提供来自会话和活动日志的报表。汇总报告将依据用户规定的时间间隔,按日期、时间、访问OS、使用的特性、会话持续时间和会话终端类型来汇总网络使用情况的报告。带有逐层显示能力的详尽报告将使您全面精细地了解到最终用户的所有数据。
(4)客户端证书支持
FirePass控制器允许管理员根据用于访问FirePass 服务器的设备类型来限
10
制或允许访问。FirePass控制器也能够检查用户登录时是否存在客户端数字证书。 此证书只会在膝上电脑上显示。如果具有此证书,FirePass控制器将允许用户访问更广泛的应用。 FirePass设备也可将客户端证书作为一种双因素认证,并禁止没有合法客户端证书的用户访问所有的网络。
(5)可定制的用户界面
FirePass产品包含一个可定制的用户界面,它允许系统管理员将整个最终用户界面语言进行本地化处理,将特性名称及列表转换为本地语言。 系统管理员也可以调整产品的整体外观,以适应公司内联网的结构。
FirePass产品除了具有本地化的用户界面、图形及定制布局以外,还提供了组群模板,使管理员可以为每一个用户群指定选择可用资源的顺序。 这些模板很方便地为最终用户提供一个更直观的接入门户,即一个快速、轻松地访问相关资料的入口。 最终用户使用任何标准的Web浏览器便可访问他们的个人FirePass主页。 包括网络收藏夹,如经常查看的URL的快捷方式、群/个人目录及经常访问的文件。 通过提供自动导航栏,允许用户识别当前位置和返回上一个位置或主页的操作,导航变得更为简便,只需点击鼠标即可。 3.4企业员和合作伙伴工利用firepass访问企业资源
FirePass产品除了具有本地化的用户界面、图形及定制布局以外,还提供了组群模板,使管理员可以为每一个用户群指定选择可用资源的顺序。这些模板很方便地为最终用户提供一个更直观的接入门户,即一个快速、轻松地访问相关资料的入口。最终用户还可以使用任何标准的Web浏览器访问他们的个人FirePass主页。
11
4 F5 firepass 设备所具有的优势 4.1 F5 firepass系统特点
一流的策略管理——独特的可视化策略编辑器能够提供直观、易用的 “指向并点击” (poin-tand-click) 界面,在降低管理成本的同时,轻松管理精 细访问策略。
集成的端点安全性——提供安全虚拟工作区、预先登录终端完整性检查,以及端点信任管理等功能,从而解除了您的后顾之忧,使您无需浪费精力于管理事务。
广泛的应用支持——可实现从管理的及非管理的客户端设备从任何地方轻松、安全地访问电子邮件, Web门户、网络文件服务、终端服务、客户关系管理系统以及其它主要企业应用。
广泛的客户支持——FirePass可提供广泛的多平台支持,允许用户从Windows(98、 2000、XP、 Vista) 、MAC、 Linux和 Pocket PC客户端安全访问网络。还支持全新的Vista客户端操作系统和I E7。
企业级可扩充性与性能——在单一且易于管理的设备上可支持高达2,000个并发会话。通过与F5 BIG-IP本地流量管理器的集成,可支持几万个并发会话。借助任意IP应用流量的压缩和Web应用的服务器端高速缓存功能,可以优化最终用户的体验。
广泛的互操作性——借助Active Directory、 Radius、 LDAP、 PKI、 RSA ACE及其它方式,为现有网络基础设施和身份管理系统提供支持。 所提供的Web门户集成产品支持 Java applets、 Javascript重写及其它技术。
业内领先全球的高可用性——与F5 BIG-IP广域流量管理器的独特集成,能够于发生站点灾难时在整个WAN上提供高度可用性。故障切换支持在站点内提供高度可用性。
4.2.firepass在安全性方面优势 4.2.1客户机安全性
受保护工作区——Windows 2000/XP的用户可自动切换至受保护工作区,来进行远程访问会话。在受保护工作区模式中,用户无法将文件写入到受保护工作区和临时文件夹外的任何位置,并且所有的内容都将在会话结束时被删除。
12
高速缓存清除——高速缓存清除控件可删除在远程访问会话期间来自客户端电 脑的下列数据:Cookies、浏览器历史记录、自动完成信息、浏览器高速缓存、临时文件、以及所有安装的ActiveX控件。同时它还可清空回收站数据。
安全虚拟键盘——对于额外的密码安全方面的需求,FirePass 提供了已申请专利的安全虚拟键盘功能,它借助鼠标 (而不是键盘) 来实现安全的密码输入。
下载拦截——对于无法安装“清除”控件的系统,可配置 FirePass以拦截所有文件的下载,从而避免发生无意间遗留临时文件的情况,同时还能对应用进行访问。
4.2.2内容检测和Web应用安全
针对那些通过企业网络进行Web应用访问的用户,FirePass通过扫描Web应用访问以查找应用层攻击并在发现攻击时拦截访问的方式,来增强应用的安全性,并确保应用层免受攻击。 4.2.3集成病毒防护功能
FirePass采用基于ICAP API的集成扫描仪或外部扫描仪对Web 和文件上传进行扫描。这样,受感染的文件在网关就会被阻断而无法访问网络中的电子邮件或文件服务器,从而加强了防护。 4.2.4客户端安全性
安全分割隧道——当通过分割隧道进行网络访问时,为防止后门的攻击,firepass提供了动态防火墙,一边在使用完全网络访问特定时保护Win2000/XP用户免受攻击。这一特定性可阻止黑客通过客户机路由到企业网络上,或防止用户无意中将流量发送到公共网络上。
客户机完整性检查——firepass通过在客户机进行完全网络访问之前检查是否存在所需进程(如:病毒扫描,个人防火墙,操作系统补丁级别,注册表设置等)以及检测是否存在其他进程(如:键盘记录器),来增强其安全性。
13