F5 FirePass SSL VPN

F5 FirePass SSL VPN

F5的FirePass SSL VPN設備通過採用標準Web瀏覽器為用戶提供了一種安全訪問企業套用和數據的方式。無論在家中還是在路上,FirePass出色的性能、可擴展性、易於使用特性以及安全特性,均有助於提高工作效率,並保持企業數據的安全。

基本介紹

  • 中文名:F5 FirePass SSL VPN
  • 網路訪問:Windows (Vista,XP,2000)
  • 自動集成個人防火牆解決方案
  • 防止:病毒感染
F5 FirePass SSL VPN簡介,FirePass 可提供,網路訪問,客戶端安全性,Windows網路訪問特性,套用訪問,特定客戶端/伺服器套用訪問,終端伺服器訪問,Dynamic AppTunnels,主機訪問,Web 套用,檔案伺服器訪問,移動設備支持,門戶訪問,客戶機安全性,內容檢測和Web套用安全,集成病毒防護功能,動態策略引擎,基於動態策略的訪問,用戶認證,雙因素認證,客戶端證書/PKI 支持,群組管理,動態組映射,會話逾時及限制,基於角色的管理,日誌與報告,定製,最終用戶圖形界面 (GUI) 的本地化,完成登錄及WebTop定製,安全套用訪問iControl SSL VPN客戶端API,集群,故障切換,

F5 FirePass SSL VPN簡介

F5的FirePass SSL VPN設備通過採用標準Web瀏覽器為用戶提供了一種安全訪問企業套用和數據的方式。無論在家中還是在路上,FirePass出色的性能、可擴展性、易於使用特性以及安全特性,均有助於提高工作效率,並保持企業數據的安全。

FirePass 可提供

· 安全兼容系統自動偵測,防止病毒感染。
· 與業內數量最多的病毒掃描及個人防火牆解決方案 (超過100種不同的防病毒(AV) 和個人防火牆版本) 自動集成。
· 自動攔截受感染的檔案上傳或電子郵件附屬檔案。
· 自動重新路由並隔離受感染或非兼容的系統,將其放入自我補救網路 (self remediation network) 中——以減少呼叫幫助中心的次數。
· 安全工作區可防止竊聽及竅取敏感數據。
· 使用隨機鍵輸入系統進行安全登錄,可防止按鍵記錄器竊聽。
· 由於能夠與FirePass可視化策略編輯器完全集成,因此,可創建基於端點訪問您的網路及您公司的安全配置檔案的定製模板策略。
獨特的可視化策略編輯器能夠創建流程圖樣式的訪問策略圖形視圖——通過“指向並點擊”
(point-and-click) 方式,輕鬆配置並管理組、用戶、設備或三者的任意組合。這一方式簡化了端點策略的定義和管理,降低了管理成本,並提高了快速保護企業資源的能力。

網路訪問

針對Windows (Vista,XP,2000)、Mac、PocketPC和Linux
F5 Fire Pass SSL VPN網路訪問F5 Fire Pass SSL VPN網路訪問
· Windows安裝服務消除了FirePass客戶端組件更新的特殊管理 許可權,從而降低了管理成本。
· 提供到面向所有基於IP (TCP,UDP) 套用的整個網路的安全遠程訪問。
· 具有所有台式機和筆記本電腦平台的標準特性,包括隧道分 割、壓縮、基於活動的時隙 (activity-based timeouts) 以及自 動套用啟動。
· 和傳統IPSec VPN不同,無需在客戶端進行軟體預裝以及遠程設備配置,即可進行遠程訪問。同時也無需改變客戶端或伺服器端套用。
· 允許管理員使用連線器,並通過制定網路或連線埠的訪問限值規 則來限制和保護資源的訪問。
· 採用標準HTTPS協定,並以SSL作為傳輸協定,可支持所有 HTTP代理,包括公共接入點、專用LAN以及任何不支持IPSec VPN的其它網路和ISP。
· 利用GZIP壓縮。在對流量進行加密之前,首先進行壓縮處理, 從而減少網際網路上傳送的流量數量,進一步改善了性能。系統的 FirePass 網路訪問:

客戶端安全性

· 安全分割隧道——當通過分割隧道進行網路訪問時,為了防止後門 (backdoor) 攻擊,FirePass提供了動態防火牆,以便在使用完全網路訪問特性時保護 Win2k/XP 用戶免受攻擊。這一特性可阻止黑客通過客戶機路由到企業網路上,或防止用戶無意中將流量傳送到公共網路上。
· 客戶機完整性檢查——FirePass通過在客戶機進行完全網路訪問之前檢測是否存在所需進程 (如: 病毒掃描、個人防火牆、作業系統補丁級別、註冊表設定等) 以及檢測是否存在其它進程
(如: 鍵盤記錄器) ,來增強其安全性。

Windows網路訪問特性

· 獨立Windows客戶端——FirePass建立了一條完成用戶認證之後的網路連線。軟體使用微軟的MSI installer技術,可自動被分配至客戶端中。
· Windows登錄/GINA集成——通過與GINA (“ctrl+alt+del”命令) 集成,支持用戶簡單、透明地登錄至企業網路。
· 獨立VPN客戶端CLI ——命令行界面支持通過與第三方套用(如遠程撥號軟體) 相集成,提供單點登錄支持。
· Windows VPN撥號器——簡化最終用戶體驗,為用戶提供更友好的撥號界面。
· 提供自動驅動器映射功能——網路驅動器可被自動映射到用戶的Windows電腦上。
· 提供靜態IP支持——當用戶建立網路訪問VPN連線時,可根據用戶分配靜態IP,這一方法大大降低了管理支持的成本。
· 透明網路訪問——消除網路訪問瀏覽器Window彈出視窗,防止用戶意外中斷連線。
F5 Fire Pass SLL VPN透明網路訪問F5 Fire Pass SLL VPN透明網路訪問

套用訪問

——對特定套用的安全訪問
藉助FirePass,管理員能夠準許特定用戶訪問特定內容——例如,業務合作夥伴可使用並非由其本公司維護的設備,對特定的外聯網套用和站點進行訪問。FirePass只允許訪問那些已經過系統管理員具體認可的套用,這一做法保護了網路資源。

特定客戶端/伺服器套用訪問

· 支持本地客戶端套用通過瀏覽器與FirePass控制器之間的安全連線,與特定公司套用伺服器進行通信。
· 無需用戶預先安裝或配置任何軟體。
· 在網路端,被訪問的套用伺服器上無需使用額外軟體。
· 採用標準HTTPS協定,並以SSL作為傳輸協定,因此可支持全部HTTP代理,包括公共接入點、專用LAN以及任何不支持傳統IPSec VPN的其它網路和ISP。
· 所支持的套用包括Outlook、Exchange Cluster、被動式FTP、Citrix Nfuse和網路驅動映射。
· 管理員還能實現定製套用功能——包括客戶關係管理 (CRM),以及其它採用靜態TCP連線埠的套用。
· 支持AppTunnels、Citrix、WTS套用的自動登錄以簡化最終用戶的體驗。
· 支持客戶端套用的自動啟動,以簡化最終用戶體驗並降低支持成本。
· 通過提供獨特的壓縮支持功能,實現對WAN網路中客戶機/伺服器套用流量的壓縮,從而獲得更加優異的性能。

終端伺服器訪問

· 提供了一種基於Web的安全訪問方式,可訪問Microsoft終端伺服器、Citrix MetaFrame套用、Windows XP遠程桌面和VNC伺服器等。
· 支持群組訪問選項、用戶認證、自動登錄功能以及授權用戶。
· 如果尚未在遠程設備上安裝,支持正確的終端服務或Citrix遠程平台客戶端組件的自動下載和安裝,從而節省了時間。
· 支持遠程訪問XP桌面,以便使用RDP進行遠端故障排除; 使用內置VNC特性訪問非XP桌面套用。

Dynamic AppTunnels

· 提供最大化支持,用於訪問各種不同的客戶端/伺服器套用和基於Web的套用。
· 更好的選擇,無需反向代理,即可從Windows客戶端設備訪問套用。
· 無需進行Web套用內容互操作行測試。
· 僅當安裝時要求“高級用戶”許可權,執行時則不需任何特殊許可權。
· 提供自動啟動web套用渠道的附加支持,簡化最終用戶體驗。

主機訪問

· 能夠對傳統的VT100、VT320、Telnet、X-Term和IBM3270/5250等套用進行基於Web的安全訪問。
· 無需對套用或套用伺服器進行修改。
· 無需使用第三方主機訪問軟體,降低了總體擁有成本 (TCO) 。
門戶訪問——對web套用、檔案及電子郵件的基於代理的訪問
FirePass的門戶訪問能力支持任何裝有瀏覽器 (Windows XP、Linux、Macintosh、Pocket PC、PDA等) 的作業系統。在FirePass門戶上可訪問:

Web 套用

· 支持像在公司區域網路里那樣輕鬆訪問內部Web伺服器 (包括Microsoft Outlook Web Access、Lotus iNotes和MSSharePoint Portal) 。
· 提供針對群組內聯網資源的精細訪問控制。例如,員工可對整個內聯網站點訪問,而合作夥伴只能訪問有限的特定Web主機。
· 訪問資源時,FirePass可動態將內部URL映射到外部URL,因此內部網路結構就不會泄露URL信息。
· 在 FirePass控制器上管理用戶cookie,以避免暴露敏感信息。
· 能夠將用戶證書傳送給Web主機,以支持自動登錄以及其他用戶對套用的特定訪問。FirePass也可與現有身份管理伺服器(如Netegrity) 集成,實現套用的單點登錄
· FirePass可代理Web主機上的登錄請求,以避免用戶將密碼高速快取在客戶端瀏覽器上。
· 精細訪問控制 (ACL)——允許或限制對特定套用部分的訪問,從而增加安全性或降低業務風險。
· 為Web套用提供隧道分割支持,可使最終用戶訪問公共網路站點時獲得更快的性能。
· 對增加的Web套用 (反向代理) 提供動態的伺服器端高速快取功能,縮短頁面下載時間。
· 提供與設備無關的反向代理功能,以重寫Web頁面中各種Javascript內容,從而節省了時間。

檔案伺服器訪問

· 允許用戶瀏覽、上傳、下載、複製、移動或刪除已分享資料夾下的檔案。
· 支持SMB共享、Windows 工作組; NT 4.0和Win2000域; 帶有本地檔案系統包的Novell 5.1/6.0,
以及NFS伺服器。
電子郵件訪問
· 提供基於安全Web、從標準和移動設備瀏覽器上對POP/IMAP/SMTP電子郵件伺服器的訪問。
· 允許用戶傳送和接收訊息、下載附屬檔案以及將網路檔案貼上到電子郵件上。

移動設備支持

· 可通過PDA (如WAP和手機) 和iMode電話安全訪問電子郵件和其它套用。
· 動態地對來自POP/IMAP/SMTP電子郵件伺服器的電子郵件進行格式調整,以便適應行動電話和PDA的較小螢幕。
- 能夠傳送以網路檔案作為附屬檔案的電子郵件,並能查看文本或者Word文檔。
- ActiveSync支持——支持ActiveSync套用,允許PDA從PDA設備的Exchange伺服器上同步電子郵件和日曆,且無需預先安裝VPN客戶端組件。

門戶訪問

——全方位的安全性
FirePass提供多層控制功能,可確保從公共系統安全訪問信息。

客戶機安全性

· 受保護工作區——Windows 2000/XP的用戶可自動切換至受保護工作區,來進行遠程訪問會話。在受保護工作區模式中,用戶無法將檔案寫入到受保護工作區和臨時資料夾外的任何位置,並且所有的內容都將在會話結束時被刪除。
· 高速快取清除——高速快取清除控制項可刪除在遠程訪問會話期間來自客戶端電腦的下列數據: Cookies、瀏覽器歷史記錄、自動完成信息、瀏覽器高速快取、臨時檔案、以及所有安裝的
ActiveX控制項。同時它還可清空資源回收筒數據。
· 安全虛擬鍵盤——對於額外的密碼安全方面的需求,FirePass提供了已申請專利的安全虛擬鍵盤功能,它藉助滑鼠 (而不是鍵盤) 來實現安全的密碼輸入。
· 下載攔截——對於無法安裝“清除”控制項的系統,可配置FirePass以攔截所有檔案的下載,從而避免發生無意間遺留臨時檔案的情況,同時還能對套用進行訪問。

內容檢測和Web套用安全

針對那些通過企業網路進行Web套用訪問的用戶,FirePass通過掃描Web套用訪問以查找套用層攻擊並在發現攻擊時攔截訪問的方式,來增強套用的安全性,並確保套用層免受攻擊。

集成病毒防護功能

FirePass採用基於ICAP API的集成掃瞄器或外部掃瞄器對Web和檔案上傳進行掃描。這樣,受感染的檔案在網關就會被阻斷而無法訪問網路中的電子郵件或檔案伺服器,從而加強了防護

動態策略引擎

——整體管理控制
藉助FirePass策略引擎,管理員可輕鬆管理用戶認證和授權。

基於動態策略的訪問

藉助FirePass策略引擎,管理員可對網路資源進行快速而精細的控制。在這一策略支持下,管理員可根據用戶和所用設備來授權套用訪問。

用戶認證

預設模式下,系統將密碼對照內部FirePass資料庫進行認證。經配置後,FirePass還支持RADIUS、活動目錄、RSA雙因素、LDAP認證、基於表格的基本HTTP認證,以及身份管理伺服器(如Netegrity) 與Windows域名伺服器認證等方式。

雙因素認證

許多企業都採用“雙因素”認證方式,這是一種使用用戶ID與密碼以外的信息進行認證的方式。FirePass完全支持領先的RSASecurlD®令牌式認證以及RSA純粹ACE認證。

客戶端證書/PKI 支持

FirePass支持管理員根據用來訪問FirePass控制器的設備類型來限制或允許訪問。FirePass可在用戶登錄期間檢查客戶端是否有電子證書。根據該電子證書的核查結果,FirePass可支持更廣泛
的套用訪問。FirePass還將客戶端證書作為雙因素認證的一種方式,並禁止無有效客戶端證書的用戶訪問所有網路。

群組管理

訪問許可權可分配給單個用戶或用戶群 (如:“銷售人員”、“合作夥伴”、“IT支持人員”) 。 這樣,FirePass就可限制個人和用戶群訪問特定資源。

動態組映射

FirePass利用不同的動態組映射機制,如活動目錄 (ActiveDirctory) 、RADIUS、LDAP,客戶端認證憑證、登錄URI、虛擬主機名稱,以及預先登錄會話變數等,將用戶映射至FirePass組。

會話逾時及限制

管理員可對閒置及會話逾時情況進行配置,以防止黑客控制用戶(在信息亭忘計註銷的用戶) 發出的會話。

基於角色的管理

該管理方式通過向一些管理員用戶提供註冊新用戶、終止會話、重設密碼等管理功能,提高了組織機構的靈活性,但同時也保證了不向他們泄露所有功能 (如關閉伺服器及刪除證書)

日誌與報告

FirePass為日誌用戶、管理員、會話、套用及系統事件提供內置日誌支持。此外,FirePass還提供系統日誌格式,可用於與外部系統日誌伺服器相集成。管理控制台提供範圍廣泛的審核報告,
以通過安全審核。匯總報告將根據日期、時間、訪問作業系統、使用特性、訪問的Web站點、會話持續時間和會話終端類型及其它用戶指定的時間間隔信息來匯總網路使用情況。

定製

最終用戶圖形界面 (GUI) 的本地化

FirePass支持將最終用戶網頁上包括特性名稱 (如Web套用) 在內的所有欄位進行本地化。藉助此項功能,企業不僅可本地化用戶收藏夾,還可本地化所有最終用戶圖形界面,從而使套用更加簡化。

完成登錄及WebTop定製

憑藉FirePass,管理人員完全可以定製一套完整的登錄流程,並使webtop網頁與現有的企業網路站點門戶實現最佳匹配; 為了改善最終用戶體驗,FirePass允許使用WebDAV功能上傳定製頁面。

安全套用訪問iControl SSL VPN客戶端API

由於只有SSL VPN產品具備開放式API和SDK,因此FirePass通過提供安全的系統到系統或套用到套用的通信,來實現對Win32客戶端 (98、2000、XP、VISTA) 套用的自動、安全訪問。現
在,無需用戶登錄VPN,套用便可自動、透明地啟動和關閉網路連線。這使最終用戶能夠更快速、更輕鬆地進行連線,同時降低了客戶端套用安裝成本。

集群

為支持大型部署,可將多個FirePass 4100或4300設備進行集群。對於高性能大容量集群,客戶通過卸載SSL終端到BIG-IP上,可充分利用F5 BIG-IP的獨特集成特性。能夠在一個集群中處理幾萬個並發會話,同時可實現SSL VPN集群的最大性能。

故障切換

FirePass控制器支持伺服器對 (線上伺服器與備用伺服器) 間的故障切換,從而在主單元發生故障時,用戶不必要重新登錄到另一FirePass。
FirePass 4300系列FirePass 4300控制器是專為大中型企業和運營商而精心設計的2U機架安裝式伺服器。它支持多達2000個並發用戶採用四核CPU獲得最佳性能。此外,FirePass 4300還支持內置的冗餘電源和可選的千兆光纖連線埠。
F5 FirePass SSL VPN產品系列F5 FirePass SSL VPN產品系列
FirePass 4100系列FirePass 4100控制器是專為大中型企業精心設計的2U機架安裝式伺服器。它可支持多達2000+並發用戶,為基於Web方式安全遠程訪問企業套用和桌面提供了一套全面的解決方案
FirePass 1200系列FirePass 1200控制器是專為中小型企業精心設計的1U機架安裝式伺服器。它支持10-100個並發用戶,為基於Web方式安全遠程訪問企業套用和桌面提供了一套全面的解決方案。

相關詞條

熱門詞條

聯絡我們