FirePass虛擬版簡介,FirePass虛擬版主要優點,提高員工的工作效率,實現最高的靈活性,降低成本,提高安全性,通過終端安全而降低風險,優秀的用戶體驗,“始終連線”的遠程訪問,無縫的VPN接入,網路訪問,客戶端安全,Windows網路訪問特性,移動設備支持,套用訪問—安全訪問特定套用,特定客戶端/伺服器套用訪問,終端伺服器訪問,動態套用隧道,主機訪問,門戶訪問,Web套用,檔案伺服器訪問,電子郵件訪問,移動設備支持,門戶訪問—全方位的安全性,客戶端安全性,內容檢測和Web套用安全,集成的病毒防護功能,靈活的遠程訪問,動態策略引擎—整體管理控制,動態的基於策略的訪問,可視化策略編輯器,用戶認證,雙因子認證,問題回答測試,客戶端和機器認證/PKI支持,群組管理,群組策略執行,動態組映射,單一登錄 (SSO) 支持,會話逾時與限制,基於角色的管理,日誌與報告,定製,全面的登錄和Webtop定製,iControl SSL VPN客戶端API,FirePass產品細節,FirePass 1200,FirePass 4100,FirePass 4300,FirePass虛擬版,集群,故障切換,SSL加速器硬體選項,FIPS SSL加速器硬體選項,FirePass規格,
FirePass虛擬版簡介
隨著越來越多的移動和遠程員工採用日益增多的不同設備從任何地點訪問企業套用和數據,企業將擁有更靈活、效率更高的用戶。但是,防止套用、數據、網路和設備免遭未授權訪問和工具可能會迅速提高管理複雜度和成本。
FirePass® SSL VPN設備和虛擬版 (VE) 使用戶能夠通過任何設備或網路安全地遠程訪問企業套用和數據。FirePass通過提供卓越的性能、擴展能力、可用性、策略管理和終端安全,保證了對套用的輕鬆訪問。這樣實現了統一的安全策略執行和訪問控制,從而提高了工作人員的敏捷性和工作效率。
FirePass虛擬版主要優點
提高員工的工作效率
實現最高的靈活性
快速且輕鬆地部署虛擬設備,為您現有的虛擬基礎設施增加遠程訪問功能。
降低成本
提高安全性
提供針對群組內聯網資源的精細訪問控制,以增強安全性。
通過終端安全而降低風險
藉助終端安全功能快速且輕鬆地驗證用戶,以確認遵循企業政策。
優秀的用戶體驗
FirePass通過最大限度減少訪問授權檔案和套用所需的時間和工作量,從而有助於保證用戶的工作效率。
“始終連線”的遠程訪問
某些接入客戶端需要用戶在不同地點移動或者重啟套用時進行全天不間斷地重新連線。BIG-IP® Edge Client™解決方案是一個先進的集成化客戶端,提供了位置感知能力和區域確定能力,從而提供了與眾不同的遠程訪問解決方案。當用戶在不同地點間移動時,先進的漫遊、地域檢測和自動連線能力提供了無縫切換。BIG-IP Edge Client有助於保證連續的高效率,無論用戶是在家中使用無線網、在途中使用無線網卡連線、通過企業無線網發表演講、在咖啡廳使用異地無線網,或者使用LAN連線。FirePass 6.1和7.0都支持BIG-IP Edge Client。
無縫的VPN接入
當用戶在Windows過程中第一進入輸入證書時,BIG-IP Edge Client快取證書,然後在第一次嘗試登錄VPN時自動嘗試。這最佳化了用戶體驗,從而有助於提高工作效率。
網路訪問
針對Microsoft Windows(Windows 7、Vista、XP)、Mac和Linux系統的FirePass網路訪問
· 利用Windows Installer Service,消除了FirePass客戶端組件升級時對特殊管理許可權的需求,從而降低了管理成本。
· 提供了對整個網路中所有基於IP的(TCP、UDP)套用的安全遠程訪問。
· 包含所有桌面和筆記本電腦平台的標準特性,以及分割隧道、壓縮、基於活動的逾時時間和自動套用啟動。
· 提供遠程訪問—與IPSec VPN不同—不需要預先安裝客戶端軟體可配置遠程設備。不需要更改客戶端端或伺服器端的套用。
· 通過制訂規則限制對特定網路或連線埠的訪問,從而允許管理員限制和保護通過連線器訪問的資源。
· 使用帶有SSL作為傳輸機制的標準HTTPS協定,因此,設備通過所有HTTP代理工作,包括公共接入點、專用LAN,並通過不支持IPSec VPN的網路和ISP接入。
· 採用GZIP壓縮算法,在加密之前對流量進行壓縮,減少在網際網路上傳輸的流量,並提高性能。
· 支持最新的作業系統和瀏覽器—FirePass 7.0支持32位版本的Windows 7、Vista和XP;Mac OS X Leopard和Snow Leopard;Internet Explorer 6、7和8;Firefox 3.x;以及Safari 4。它支持64位版本的Windows 7、Vista和XP;Linux(請向F5或分銷人員索要完整列表)、Internet Explorer 7(Win 7除外)和8;以及Firefox 3.0。請諮詢F5銷售代表或分銷人員,了解與您的環境的兼容性。
客戶端安全
· 安全的分割隧道—為了防止在採用分離隧道訪問網路時遭受後門攻擊,FirePass提供了一個動態防火牆,以便在使用完全網路訪問特性時保護Windows、Mac和Linux用戶免受攻擊。這一特性可阻止黑客通過客戶端路由到企業網路上,或防止用戶無意中將流量傳送到公共網路上。
· 終端客戶端檢查—FirePass通過在客戶端進行完全網路訪問之前檢測是否存在所需進程(如:病毒掃描、反惡意軟體、個人防火牆、作業系統補丁級別、註冊表設定等)以及檢測是否存在其它進程(如:鍵盤記錄器),來增強其安全性。
· 硬體終端檢測器—FirePass檢測客戶端的特性,例如MAC地址、CPU ID和HDD ID,以識別遠程識別。FirePass對機器授權時,不需要部署機器證書的複雜過程。
Windows網路訪問特性
· Windows登錄/GINA集成—通過與GINA("Ctrl + Alt + Del"提示符)集成,支持用戶簡單、透明地登錄到企業網路。
· Windows VPN撥號器—簡化最終用戶體驗,為用戶提供更友好的撥號界面。
· 自動驅動器映射—網路驅動器可被自動映射到用戶的Windows電腦上。
· 靜態IP支持—當用戶建立網路訪問VPN連線時,可根據用戶分配靜態IP,從而降低了管理支持的成本。
· 透明網路訪問——消除網路訪問瀏覽器彈出視窗,防止用戶意外中斷連線。
移動設備支持
· 實現從Windows Mobile和智慧型電話安全地訪問套用。
· 提供對客戶端/伺服器和基於Web的套用的訪問。
套用訪問—安全訪問特定套用
FirePass允許管理員準許某些用戶—例如,使用並非由本公司維護的設備的業務夥伴—訪問特定的外部網路套用和站點。FirePass只允許訪問那些已經過系統管理員認可的套用,這一做法保護了網路資源。
特定客戶端/伺服器套用訪問
· 無需預先安裝或配置任何軟體。
· 在網路端不需要任何額外軟體即可訪問套用伺服器。
· 採用標準協定訪問套用,如HTTP和SSL/TLS。它支持所有HTTP代理、接入點和專用LAN,並可通過不支持傳統IPSec VPN的網路和ISP進行訪問。
· 包含支持的套用,例如Outlook、Exchange Clusters、被動式FTP、Citrix Nfuse和網路驅動器映射。
· 支持定製CRM套用和採用靜態TCP連線埠的套用。
· 支持自動登錄到AppTunnels、Citrix和WTS套用,以簡化用戶體驗。
· 與Citrix SmartAccess集成,以向Citrix套用提供終端檢測結果,並根據終端掃描結果向XenApp傳送SmartAccess過濾器。
· 支持客戶端套用的自動啟動,以簡化最終用戶體驗並降低支持成本。
· 允許對非Windows和Windows系統鎖定基於Java的通道,以防止ActiveX控制項的執行。
· 對進行網路訪問的客戶端提供完整的DHCP支持,自動進行IP位址分配和地址的動態DNS註冊。DHCP支持能力提供了更輕鬆的多單位部署,而遠程訪問IP位址範圍可與內部LAN重疊。
· 通過門戶訪問提供對Microsoft Communicator的支持,從而增強VoIP通信能力。
· 通過提供獨特的壓縮支持功能,實現對WAN網路中客戶端/伺服器套用流量的壓縮,從而獲得更加優異的性能。
終端伺服器訪問
· 支持群組訪問選項、用戶認證以及授權用戶的自動登錄功能。
· 如果尚未在遠程設備上安裝,支持正確的終端服務或Citrix遠程平台客戶端組件的自動下載和安裝,從而節省了時間。
· 對Citrix和Microsoft提供基於Java的終端服務支持。
動態套用隧道
· 為訪問各種不同的客戶端/伺服器套用和基於Web的套用提供最大化支持。
· 無需進行Web套用內容互操作性測試。
· 僅在安裝時要求“高級用戶”許可權,執行時則不需任何特殊許可權。
· 為自動啟動web套用隧道提供額外的支持,簡化最終用戶體驗。
主機訪問
· 安全地基於Web方式訪問舊有的VT100、VT320、Telnet、X-Term和IBM 3270/5250套用。
· 無需對套用或套用伺服器進行修改。
· 無需使用第三方主機訪問軟體,降低了總體擁有成本(TCO)。
門戶訪問
基於代理訪問Web套用、檔案和電子郵件
FirePass的門戶訪問能力力支持任何裝有瀏覽器的客戶端作業系統:Windows、Linux、Mac、智慧型電話、PDA等。
Web套用
· 支持像在公司區域網路中那樣輕鬆訪問內部Web伺服器,包括Microsoft Outlook Web Access、Lotus iNotes和Microsoft SharePoint Server。
· 動態地將內部URL映射到外部URL,使內部網路結構不會泄露URL信息。
· 在FirePass設備級別管理用戶cookie,以避免保留敏感信息。
· 將用戶證書傳送給Web主機,以支持自動登錄以及其他用戶對套用的特定訪問。FirePass還與現有的身份管理伺服器(如CA Netegrity)集成,實現套用的單一登錄。
· 通過精細訪問控制列表(ACL),允許或限制訪問套用的特定部分,從而提高安全性,並降低業務風險。
· 為Web套用提供分割隧道支持,使用戶訪問公共網站時獲得更快的性能。
· 利用高速反向代理驗證後端證書,以快速驗證伺服器的證書。
· 提供動態的伺服器端和DNS快取,以提高Web套用(反向代理)性能,並加快頁面下載。
· 提供現成的反向代理支持,用於在網頁中寫入大量不同的JavaScript內容,從而節省時間。
· 為訪問Web套用提供NTLMv2支持。
檔案伺服器訪問
· 允許用戶瀏覽、上傳、下載、複製、移動或刪除已分享資料夾下的檔案。
· 支持SMB共享、Windows工作組、NT 4.0和Win2000域、帶有本地檔案系統包的Novell 5.1/6.0以及NFS伺服器。
電子郵件訪問
· 以安全的基於Web的方式從標準和移動設備瀏覽器訪問POP/IMAP/SMTP電子郵件伺服器。
· 允許用戶傳送和接收訊息、下載附屬檔案以及將網路檔案貼上到電子郵件上。
移動設備支持
· 通過Apple iPhone、Windows Mobile、PDA、智慧型電話、手機、WAP和iMode電話安全地訪問電子郵件和其它基於Web的套用。
· 支持傳送以網路檔案作為附屬檔案的電子郵件,並支持查看文本或者Word文檔。
· 支持ActiveSync套用,使PDA能夠從PDA設備的Exchange伺服器上同步電子郵件和日曆,而無需預先安裝VPN客戶端組件。
門戶訪問—全方位的安全性
FirePass提供了多個控制層,以保證從公共系統訪問的信息的安全。
客戶端安全性
· 受保護工作區—Windows XP/Vista/7的32位版本或者Windows Vista/7的64位版本用戶可自動切換至受保護的工作區,以進行遠程訪問會話。在受保護工作區模式中,用戶無法將檔案寫入到受保護工作區外的任何位置,並且臨時資料夾和其中所有的內容都將在會話結束時被刪除。
· 快取清理—快取清理控制項可刪除在遠程訪問會話期間來自客戶端電腦的下列數據:Cookies、瀏覽器歷史、自動完成的信息、瀏覽器快取、臨時檔案以及所有安裝的ActiveX 控制項,同時清空資源回收筒。
· 安全虛擬鍵盤—對於額外的密碼安全需求,FirePass提供了已申請專利的安全虛擬鍵盤功能, 藉助滑鼠(而不是鍵盤)實現安全的密碼輸入。
· 下載攔截—對於無法安裝“清除”控制項的系統,FirePass可通過配置而攔截所有檔案的下載, 從而避免發生無意間遺留臨時檔案的情況,同時還能對套用進行訪問。
· 已保存內容的加密—所有保存到遠程系統上的臨時內容都經過加密,以防受保護工作區未正常退出,例如斷電、提交不可讀的內容。
· 門戶對常見移動客戶的支持—FirePass支持通過iPhone、BlackBerry和Opera Mini瀏覽器訪問門戶。
內容檢測和Web套用安全
針對那些通過企業網路進行Web套用訪問的用戶,FirePass通過掃描Web套用訪問以查找套用層攻擊並在發現攻擊時阻止訪問的方式,以增強套用的安全性,並確保套用層免受攻擊(例如跨站點腳本、無效字元、SQL注入、快取溢出)。
集成的病毒防護功能
FirePass可以使用集成式掃瞄器或者外部掃瞄器通過ICAP API對Web 和檔案上傳進行掃描。受感染的檔案在網關就會被阻止,而不允許到達網路上的電子郵件或檔案伺服器,從而增強保護能力。
靈活的遠程訪問
FirePass虛擬版(VE) 可以輕鬆地快速部署虛擬設備,為現有虛擬基礎設施增加SSL VPN功能。這在災難恢復場景中或者在遠程訪問需求激增時提供了更大的靈活性。FirePass虛擬版和BIG-IP 本地流量管理器可以結合使用,在相同的環境中提供業界領先的套用交付和遠程訪問。
動態策略引擎—整體管理控制
藉助FirePass策略引擎,管理員可輕鬆管理用戶認證和授權許可權。
動態的基於策略的訪問
管理員可對網路資源進行快速而精細的控制。提供對策略管理的支持,管理員可根據用戶和所用設備來授權套用訪問。管理員可以通過導入和導出預登錄策略而輕鬆地實施現有策略。
可視化策略編輯器
可視化策略編輯器為您的訪問策略創建了流程圖樣式的圖形化視圖。使您能夠在確定和管理群組、用戶、設備或這三個方面的任意組合時輕鬆地點擊。這簡化了終端策略的定義和管理,降低管理成本,並且提高快速確保企業資源受到保護的能力。
用戶認證
系統通過將密碼與內部FirePass資料庫進行對比而認證用戶。在經過簡單配置後,FirePass也可以支持RADIUS、Active Directory、RSA雙因子、LDAP認證方法、基礎認證和基於表格的HTTP認證、身份管理伺服器(例如Netegrity)和Windows域伺服器。通過Active Directory,用戶可以更改當前或過期的密碼,並在密碼即將過期時受到警告。對嵌套Active Directory配置的支持使用戶能使用更複雜的分層目錄結構。
雙因子認證
許多企業都採用“雙因子”認證方式(例如令牌或智慧卡),這種方法不僅需要用戶ID和密碼。FirePass支持雙因子認證,包括RSA SecurlD® Native ACE認證。
問題回答測試
管理員可以實施CAPTCHA。這是一種簡單的問題回答測試方法,適用於負責保護企業免遭DOS 和基於腳本的暴力攻擊的人員。
客戶端和機器認證/PKI支持
FirePass與現有PKI基礎設施無縫集成,允許管理員根據訪問FirePass所用的設備而限制或允許訪問。FirePass可以在用戶登錄過程中檢查客戶端數字證書或Windows機器證書的狀態。根據有效證書的狀態,FirePass可耿直訪問更多的套用。FirePass還可以將客戶端或機器證書作為雙因子認證的一種方式,並禁止無有效證書的用戶的所有網路訪問請求。
群組管理
訪問許可權可分配給單個用戶或用戶群 (如:“銷售人員”、“合作夥伴”、“IT人員”) 。這樣, FirePass就可限制個人和用戶群訪問特定資源。
群組策略執行
群組策略提供了一種獨有的機制,可對不是網路域一部分的客戶端系統套用和執行策略。您可以使用可視化策略編輯器以模板形式設計群組策略,以限制用戶許可權和訪問,同時滿足PCI、HIPAA 和GLBA法規。(註:群組策略對象僅適用於Active Directory。)
動態組映射
FirePass利用不同的動態組映射機制,如Active Directory、RADIUS、LDAP、客戶端證書、登錄URI 和虛擬主機名以及預登錄會話變數等,將用戶動態映射至FirePass組。
單一登錄 (SSO) 支持
SSO配置採用認證會話變數從證書中提取SSO信息,並從用戶名和密碼設定中提取認證信息。高級會話變數有助於系統管理員擴展並定製FirePass,使管理員能夠處理和創建新的會話變數,以實現定製的部署。管理員還可以收集和獲取RADIUS屬性以及LDAP、Active Directory和證書欄位值。
會話逾時與限制
管理員可對不活動時間及會話逾時時間進行配置,以防止黑客試圖控制用戶(在網咖忘記註銷的用戶) 發出的會話。
基於角色的管理
提供能夠靈活地向某些管理員用戶提供一些管理功率(如註冊新用戶、終止會話、重新設定密碼), 而不向他們泄露所有功能(例如,關閉伺服器或者刪除證書)。
日誌與報告
FirePass為記錄用戶、管理員、會話、套用和系統事件提供了內置了日誌支持能力。此外,FirePass 以silo格式提供日誌,以實現與外部syslog伺服器的集成。管理控制台提供了大量審計報告,有助於遵循安全審計要求。匯總報告根據日期、時間、訪問的作業系統、使用的特性、訪問的網站、會話持續時間、會話終止類型和用戶指定的時間間隔信息匯總網路使用情況。單個URL用於以HTML或電子表格格式檢索匯總/群組報告。
定製
FirePass提供了先進的定製特性,使管理員能夠設計獨特的GUI,或者使現有的企業網站以最佳方式反映企業和用戶的要求、
本地化用戶GUI
FirePass對用戶網頁上的所有欄位進行本地化處理,包括特性的名稱(例如,Web套用)。這有助於企業本地化用戶GUI,而不僅僅是用戶收藏夾—從而提高業務價值,並降低總體擁有成本。
全面的登錄和Webtop定製
憑藉FirePass,管理員可以全面地定製整個登錄過程和webtop 網頁,使其與現有的企業網站門戶實現最佳匹配。管理員可以使用WebDAV能力上傳定製網頁,以增強用戶體驗。
iControl SSL VPN客戶端API
針對安全套用訪問的iControl SSL VPN客戶端API
作為市場上唯一採用開放式客戶端API和SDK的SSL VPN產品,FirePass通過提供安全的系統到系統或套用到套用的通信,實現了對Win32客戶端作業系統(XP、Vista、7)套用的自動、安全訪問。現在,無需用戶登錄VPN,套用便可自動、透明地啟動和關閉網路連線。這使最終用戶能夠更快速、更輕鬆地進行連線,同時降低了客戶端套用安裝成本。
FirePass產品細節
FirePass設備和虛擬版產品可滿足小型及大型企業的並行用戶訪問需求。
FirePass 1200
FirePass 1200設備針對中小型企業和分支機構而設計,可支持10至100個並行用戶。
FirePass 4100
FirePass 4100控制器針對中型企業而設計,而且從性價比角度講,建議擁有500個並行用戶的企業使用。
FirePass 4300
FirePass 4300設備針對大中型企業和服務提供商而設計,可支持2000個並行用戶。
FirePass虛擬版
FirePass虛擬版運行於VMware ESX 4.0虛擬環境中,是針對大中小企業和服務提供商而設計的,可支持多達2000個並行用戶。
集群
FirePass 4100和4300設備與虛擬版都內置了集群支持功能。這些產品可以與F5 BIG-IP® 廣域流量管理器™ 和BIG-IP® 本地流量管理器™ 結合使用,提供業界領先的擴展能力、性能和可用性。
故障切換
FirePass設備和虛擬版也可以經過配置,實現一對伺服器(活動伺服器和備用伺服器)之間帶狀態信息的故障切換,以避免在可能出現主單元故障時必須重新登錄另一個FirePass設備或虛擬版。
SSL加速器硬體選項
FIPS SSL加速器硬體選項
FirePass符合FIPS規範,滿足政府、金融機構、醫療機構和其它對安全要求較高的組織的安全需求。FirePass 4100和4300設備提供了對FIPS 140 2級防篡改型SSL密鑰存儲的支持,並採用經FlPS認證的加密支持能力對硬體的SSL流量進行加密和解密。FIPS SSL加速器是4100和4300 基礎平台的出廠安裝選項。
FirePass規格
FirePass設備包含三種型號,並可提供虛擬版,滿足各種規模的企業的並行用戶訪問需求。
