F5FirePass介绍.ppt

1、F5 公司SSLVPN产品介绍,公司背景介绍,互联网络和应用流量管理的领导型企业 成立于1996年, 在1999年上市, Nasdaq (FFIV) 总部在西雅图, 分支机构遍布北美，欧洲，日本和亚太地区 500+ 员工 2002年第16次被评为Deloitte 高可用性的配置方案,为什么SSL VPN在远程安全访问中比IPSec VPN 更好呢？,降低维护费用并提高效率 与IPSec 相比采用SSL VPN 在三年的时间内节省 $80,000 到 $260,000 (Breakaway Marketing Group August 2003) 丰富的客户端活动日志和审计功能 优异的安全性 精

2、确适当的访问权限 IPSec 用来为子网对子网的安全通道而设计，不适用于远程客户端访问,“Enterprises that want easier and more flexible ways to deploy secure remote access should consider SSL VPNs for new investments, and as upgrades for legacy VPNs.” John Girard, Gartner Group,“SSL VPNs not only offer better security than IPSec VPNs, they ca

3、n offer substantial savings.” Dana Hendrickson, Breakaway Marketing Group,“We expect SSL-based solutions to eventually be the dominant security protocol for user and application level remote access” Zeus Karavalla, Yankee Group,F5 FirePass SSL VPN 体系架构,Internet,适配器,Client/Server 连接器,VPN连接器,Desktop 适

4、配器,Policy Engine,SSL Access,管理端口,LDAP RADIUS Win NT/2K,Sales Financial Auditors,Intranet SAP File Shares,Usage Who accessed What was accessed,Authentication,Group,Access Rights,Audit,Microsoft Exchange Server,Servers,Microsoft Exchange Server Microsoft Windows 2000,Servers,Desk Top,FirePass SSL VPN简

5、介?,Internet,Laptop,移动设备,3rd Party,主机系统,服务器,台式机,动态的安全策略,支持任何应用,无所不在的交付能力,Kiosk,Secured by SSL,最智能的产品 SSL加速的领导企业 丰富的安全功能 容易部署 全球化的支持,动态的客户端访问政策,笔记本电脑,公共信息查询台,客户端/服务器应用 全网络连接,终端服务器,PDA,文件 访问,企业 内联网,电子 邮件,配备笔记本电脑的客户,F5公司的笔记本电脑VPN方案,与IPSec完全一样的功能 完全的网络访问 访问任何IP应用(TCP, UDP) 免客户端软件 安全(SSL 封装) 设备验证 (确认有效性)

6、客户端合法性检查 详细的审计功能,FirePass,公司网络,笔记本电脑,Browser,功能 - VPN 连接器,全网络访问 UDP, TCP 分开的隧道选项 关 所有流量通过隧道 特定流量通过隧道 应用支持 自动启动 自动登陆和驱动器映射 包过滤 全方位的 分组的,F5 Firepass 的完全网络级SSL VPN,F5 内联网络访问,访问基于Web的应用 Group-based controls 会话的超时限制 隐藏URL避免黑客入侵 Cookie 管理 清除临时文件免留后患 能够阻止文件下载,FirePass,Web 适配器,企业网络,Kiosk/家用电脑,Browser,Web Se

7、rvers,Cache/临时文件自动清除 (Win32),功能 - Web 适配器,Web 访问 在主业内显示 单独开立窗口 自动导向到用户定义的站点 限制访问控制 限定用户只能访问特定网站 (e.g. http:/*) 代理登陆 基本/ NTLM 鉴权 自动登陆 传输变量到常规站点 (如 userid),Web 适配器 流量检查,企业内联网络,动态政策引擎,Web 适配器,FirePass,Internet,Cross Site Scripting User-Defined,政策引擎 扫描TCP/IP的包头和数据字段的值,交叉站点印记攻击防范 FirePass 扫描可疑的字节和字串 内容检查

8、和转换 FirePass 能够修补和清除Web的内容,F5 主机服务器访问,安全访问 Citrix, VNC, 和 Windows 2K 终端服务器 Download prevention 安全基于web来访问 Windows / NFS 服务器 Upload virus scan 安全基于web访问 3270 / 5250 / VTxxx 主机,FirePass,Corporate Network,Kiosk/Home PC,Browser,Cache/Temp File Cleanup (Win32),Non-Web Servers Citrix Term Servers Legacy H

9、osts File Servers,Host /Server Adapter,功能 文件服务器访问,Windows 文件服务器访问 浏览, 上载, 下载, 移动, 和文件复制 客户端要求 不需要 Java / ActiveX 鉴权 FirePass 代理提示用户登陆主域 支持自动登陆功能,功能- NFS 适配器,NFS 服务器访问 浏览, 上载, 下载, 移动, 和文件复制 客户端要求 不需要 Java / ActiveX 鉴权 FirePass 从NIS服务器中导入用户信息 用户自定义,F5 远程台式机访问,安全访问 Windows XP 远端台式机 X Window (UNIX / Lin

10、ux) 安全访问 Windows 台式机系统 集中运筹台式机访问管理,FirePass,Corporate Network,Kiosk/Home PC,Browser,Desktops WinXP Win32 Desktop,Desktop Adapter,Feature - UNIX System Adapter,X Window access FirePass connects to UNIX system via command line interface X Windows application is re-directed to FirePass Flexible client

11、support Java / ActiveX plugins supported NO X Windows software Increased productivity Access UNIX servers from any browser,Feature - Desktop Adapter,Remote control WIN32 systems Remote printing Java / ActiveX access from standard browser Guest access / collaboration Invite up to 10 guests Desktop ac

12、cess Email / file access Seat license Desktop software install required,移动设备的安全访问,F5 移动设备访问,访问标准电子邮件服务器的电子邮件 观看/发送文件 使得信息能够被移动设备访问 受限制的应用访问 利用既有的授权系统,FirePass,企业网络,移动设备,移动适配器,移动应用 文件 电子邮件,合作伙伴/第三方访问,F5 合作伙伴和第三方访问策略,访问 Web 或者客户端/服务器应用 管理员能够限制访问行为 针对应用的访问行为 阻止这些第三方互相入侵和干扰,FirePass,Corporate Network,Pa

13、rtner PC,Browser,Microsoft Outlook,应用连接器,访问特定的客户端服务器应用 CRM (SAP, Oracle) 客户端邮件 (Outlook, Notes) FTP, HTTP, HTTPS 特定(静态 TCP 端口) 客户端需求 ActiveX / Plugin 简单的 GUI 简单排错 在一个浏览器窗口包含多个应用通道,FirePass,动态安全政策引擎,动态政策引擎,笔记本电脑政策,缺省政策,Kiosk 政策,移动设备政策,应用访问,鉴权 LDAP RADIUS WIN NT/2K Web-Based,分组 Sales Financial Auditor

14、s etc.,访问权限 Intranet SAP Siebel File Shares,审计 Usage Reporting Who accessed What was accessed From Where,用户/ 设备安全 动态基于使用设备的用户安全政策 无缝集成 利用现有的 AAA 服务器 自动的用户目录映射 详细的审计功能 可观察到应用级,管理 - User 鉴权,灵活的服务器支持 外部的 AAA 服务器 Internal 数据库 RADIUS 服务器是最通用的解决方案 Win2K支持 支持其他厂商的Radius,SSL Connection,外部服务器 RADIUS 服务器 (Win

15、2K, 其他) LDAP (例如Active Directory) WinNT (NTLM) 服务器 (V4.0) HTTP basic login (V4.0) HTTP forms-based login (V4.0),FirePass Internal Database,SSL Connection,管理 用户组建立,通过Sign-on模板自动实现 用户登陆Firepass时自安装 用户通过LDAP/NTLM查询结果被映射到不同的组中 通过LDAP导入实现半自动化分组 建立并发送查询命令到LDAP 服务器 Win2k Active Directory, Novell Directory

16、Server, etc. 检查需要网络访问的用户 指派组定义 手动分组 管理员输入userid, name, group name, 和 email,FirePass 将多台设备集于一身,IPSec VPN Nortel Cisco NetScreen CheckPoint,Intranet / Extranet 特定的解决 方案,台式机远程访问 Symantec GoToMyPC,移动设备访问 Nokia IBM Cisco,传统主机 WRQ Attachmate IBM,FirePass 硬件平台,* - Software does not currently support,FirePa

17、ss 容错功能,双机容错功能 Stateful failover 提供针对所有应用不间断的容错能力 单一的管理端口 激活设备设置 设置信息和各种状态信息会定期同步 单独的 SKU 激活的设备决定软件的设置和最大并发用户数,Internet,激活,热备份,Intranet application servers,FirePass 4000 集群,机群对 最多到10 台Firepass 4000 能够机群在一起已达到最高10,000 并发用户 集群主机随机分发用户的会话 支持分布式集群 (例如：不同地域) 单一的管理点 通过集群主机配置 配置信息定期同步 需要第二台Fire Pass 4000 软

18、件功能在第二台Firepass上配置,Internet,Intranet application servers,集群主机,集群节点,FirePass 1000/4000 与 BIG-IP,FirePass,Internet,BIG-IP Active/Standby,Intranet application servers,客户举例 企业软件,销售人员提高产出 Laptop access to legacy client/server and next generation CRM 拓宽访问数据中心的能力 Non-corporate equipment access to applicati

19、ons on Citrix terminal server farm 全球有效性 Global disaster recovery solution to route around data center failures,数据中心,SSL Connection,Traveling Employee,Support Rep Customer Site,Sales Person Customer Site,FirePass,备份数据中心,FirePass,FirePass 价格,平台 FirePass 1000 Family (25-100 Conc. Users) 28K$-56K$ Fire

20、Pass 1000 Failover Controller $24K FirePass 4000 Family (100-1000 Conc. Users) $69K - $193K FirePass 4000 Failover Controller $61K 软件选项 FirePass Add 25, 100, 300 Conc. Users $18K,$37K,$74K Application Connector, Mobile Adapter, Unix System Adapter,Host Adapter, Terminal Server Adapter, Vasco Digipas

21、s $8.6K each Desktop Adapter 10, 50, 200 Pack $7K,$29K,$72K,F5 SSL VPN 解决方案,家用电脑,企业网络,免客户端 SSL 安全 客户端安全 应用支持 Web Servers Hosts Desktops,SSL VPN,F5 Cache Cleanup,SSL,Corporate Desktop,UNIX/Linux System,Email / File Server,Mainframe,Web Server,为什么选择 FirePass?,第一个 SSL VPN 设备 第一个支持 “免客户端” 的全网络安全访问 第一个支持

22、移动设备访问的SSL VPN产品 第一个采用 stateful failover技术的SSL VPN产品 第一个集成了远程台式机控制功能的SSL VPN 产品,Q&A Thank You!,Backup,Why SSL VPN for Remote Access?,“SSL-based network appliances provide an advantage over traditional IPSec VPNs because they reduce client complexity and support costs In fact, we believe by 2005/06 SSL-based solutions will be the dominant method for remote access, with 80 percent of users utilizing SSL.” David Thompson, Meta Group 11/02,“SSL remote access is 45 percent less expensive than IPSec solutions and 72 percent chea