第1页共12页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第1页共12页FirePass保险公司解决方案第2页共12页第1页共12页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第2页共12页版本号密级修改人修改日期修改对象备注(原因、进一步说明)jack2005-8-8文档建立第3页共12页第2页共12页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第3页共12页1本文档面向对象F5的合作伙伴售前工程师。2需求概述保险市场开放后,国内保险市场将涌入大批强有力的竞争对手。外资保险公司雄厚的资金实力、先进的经营技术、灵活的市场化经营方式对中国保险业提出了严峻的考验。为了提高自身的竞争力,ERP系统得到了越来越广泛的应用,同时由于保险公司的运作特点,对于移动办公提出了越来越高的要求,而由于IPSecVPN的固有缺点,SSLVPN正在保险行业得到广泛应用。SSLVPN作为新出现的技术,可以完美的解决安全的远程接入的需求。安全的远程接入需要来自于三个人群,分别是远程接入的使用者(如业务人员)公司信息安全主管、公司IT主管,下面分别论述他们的需求。2.1远程接入的使用者(如业务人员)的需求远程接入的使用者(如业务人员)的需求就是随时随地接入,以往的IPSecVPN因为无法解决高可用性以及受网络接入条件的限制,无法满足随时随地接入的需求,具体表现在在需要客户端使用不方便、某些网络条件下无法接入、无法满足7×24小时的高可用要求。2.2公司信息安全主管的需求作为公司的信息安全主管,需要考虑整个系统的信息安全,以往由于使用IPSecVPN开通远程接入而引起大量的病毒、蠕虫、应用攻击,而且一旦接入IPSecVPN,整个内网就完全开放在使用者面前,存在着极大的隐患,信息安全主管希望新的SSLVPN能够解决这些问题。第4页共12页第3页共12页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第4页共12页2.3公司IT主管公司往往已经部署了AAA服务器,如ActiveDirectory、LDAP、RSASecureID、PKI、自己开发的SSO服务器等等,公司IT主管希望SSLVPN能够与这些AAA服务器结合起来,即用户的认证交给AAA服务器,而不需要IT主管维护两套用户账户系统;IT主管还需要SSLVPN具有详细的用户级日志,必要时还可以将日志信息通过标准协议传送至公司的日志服务器。3F5FirePass解决方案F5的FirePass是企业级的SSLVPN解决方案,可以充分满足上述的所有需求。3.1F5FirePass特点3.1.1完整的SSLVPN实现F5FirePass包含IPSecVPN、网络访问、网上应用程序(MyIntranet)、Windows文件共享、移动电子邮件、应用程序访问、传统主机、终端服务器等众多功能,使用标准SSL安全协议,不需要专用客户端,可以完美的解决随时随地接入的需求,不仅可以满足B/S应用程序的远程接入,也可以满足各种各样C/S应用程序的远程接入。3.1.2强大的网络访问功能SSLVPN是为弥补IPSecVPN的缺陷应运而生,F5FirePass包含IPSecVPN、网络访问、网上应用程序(MyIntranet)、Windows文件共享、移动电子邮件、应用程序访问、传统主机、终端服务器等众多功能,这其中网络访问功能是真正重要和对于企业来说雪中送炭的功能,其他都是锦上添花的功能,网络第5页共12页第4页共12页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第5页共12页访问功能可以完全替代其他所有的功能。网络访问功能既有IPSecVPN所具有的与应用无关已经与内网使用体验一致的特点,而且解决了由于使用IPSecVPN所带来的无法审计登录信息、导致病毒和蠕虫入侵、某些网络条件下无法接入、需要客户端等诸多缺陷,所以网络访问功能才是用户一劳永逸的解决方案,一个SSLVPN解决方案可以不使用其他功能,但是一个不具备网络访问功能的SSLVPN解决方案是不可思议的。FirePass的网络访问功能包含很多高级性能,如GZIP压缩,可以大大提高性能;提供全局和基于组的包过滤功能,可以灵活的定义和限制每个组可以访问的IP、协议、端口,缺乏了包过滤功能的SSLVPN就不具备了相对于IPSecVPN的主要优势;提供对于VLAN的支持,方便大型的SSLVPN应用;不仅提供NAPT方式的网络访问,还提供使用源地址的网络访问,而某...