|
一流的 SSL VPN
F5 的 FirePass? SSL VPN 设备通过采用标准 web 浏览器为用户提供了一种安全访问企业应用和数据的方式。无论在家中或是在路上, FirePass 出色的性能、可扩展性、易于使用特性以及安全特性,均有助于您提高工作效率。为主要合作伙伴提供可控制的应用与数据访问特性,将使您的企业获得竞争优势。由于能够迅速部署可与现有网络基础设施进行互操作的可靠解决方案,因此, IT 部门因此将高枕无忧。最为重要的是,上述产品来自 F5 公司 —— 一家在应用交付网络领域拥有超过 10,000 家企业用户,并且背后还有全球 F5 支持网络作为依托的业内领先企业。
要主优势
最广泛的应用支持
借助 F5 的产品,无论采用何种设备,均能实现对电子邮件、 Web 门户、网络文件服务、终端服务、 CRM 以及其它主要企业应用的访问。
集成的端点安全性
F5 还提供安全虚拟工作区、预先登录终端完整性检查,以及端点信任管理等功能,从而解除了您的后顾之忧,使您无需浪费精力于管理事务。
最大可扩展性
在单一且易于管理的设备上可支持高达 2,000 个并发会话。内置的负载平衡集群可支持高达 20,000 个会话。通过集成 BIG-IP ,可支持超过 20,000 个会话。
低拥有成本
30 分钟或更少时间即可安装完毕。 Visual Policy Editor (可视化策略编辑器)提供的 “ 指向并点击 ” ( point-and-click )接口可轻松管理组、用户或设备。
业界领先性能
传输文件和访问电子邮件时采用压缩技术, SSL 的速度可提高一半以上,高达 400,000 Mbps 。 支持无限的用户数量。
广泛的互操作性
借助 Radius 、 LDAP 及其它方式,能够为现有网络基础设施和身份管理系统提供支持。所提供的 web 门户集成产品可支持 Java applets 。此外,还支持 Javascript 重写及其它技术(已通过 VPNC 认证)。
高可用性及可靠性
F5 屡获殊荣的 BIG-IP 流管理系统提供统一的一流硬件平台。
FirePass 可防止您的网络与已受病毒侵害的 PC 、主机或用户机器相连。对受感染的 PC 自动重新路由能够减少向帮助中心呼叫的次数,并防止按键记录器和恶意程序窍取敏感数据。
集成的端点安全性
FirePass 可防止您的网络与已受病毒侵害的 PC 、主机或用户机器相连。对受感染的 PC 自动重新路由能够减少向帮助中心呼叫的次数,并防止按键记录器和恶意程序窍取敏感数据。
FirePass 可提供:
• 安全标准系统自动侦测,防止受到感染
• ?? 与业内数量最多的病毒扫描及个人防火墙解决方案(超过 100 种不同的防病毒 (AV) 和个人防火墙版本)自动集成
• ?? 自动拦截受感染的文件上传或电子邮件附件
• ?? 自动重新路由并隔离受感染或非标准的系统,将其放入独立的自我补救网络 (self remediation network) 中 —— 以减少呼叫帮助中心的次数
• ?? 安全工作区可防止窃听及窍取敏感数据
• ?? 使用随机键输入系统进行安全登录可防止按键记录器的窃听
• ?? 由于能够与 FirePass 可视化策略编辑器完全集成,因此,可创建基于端点访问您的网络及您公司的安全配置文件的定制模板策略
特的可视化编辑器能够创建流程样式的访问策略图形视图――通过“指向并点击”方式,您能够轻松配置并管理组、用户、设备三者的任意组合。
针对 Windows 、 Macintosh 、 Pocket PC 和 Linux 系统的 FirePass 网络访问 :
• ? 具有所有台式机和笔记本电脑平台的标准特性,包括隧道分割、压缩、基于活动的时隙( activity-based timeouts )以及自动应用启动。
• ? 提供到面向 所有 基于 IP(TCP , UDP )应用的整个网络的安全远程访问。
• ? 和传统 IPSec VPN 不同,无需在客户端进行软件预装以及远程设备配置,即可进行远程访问。同时也无需改变客户端或服务器端应用。
• ? 借助 FirePass ,管理员能够通过制订限定特定网络或端口的访问规则,来限制和保护对资源的访问。
• ? 采用标准 HTTPS 协议,并以 SSL 作为传输协议,可支持所有 HTTP 代理,包括公共接入点、专用 LAN 以及任何不支持 IPSecVPN 的其它网络和 ISP 。
• ? 利用 GZIP 压缩。在对流量进行加密之前,首先进行压缩处理,从而减少互联网上传送的流量数量,进一步改善了性能。
客户机安全性
? 安全分割隧道-当通过分割隧道进行网络访问时,为了防止后门 (backdoor) 攻击, FirePass 提供了动态防火墙,以便在使用完全网络访问特性时保护 Win2k/XP 用户免受攻击。这一特性可阻止黑客通过客户机路由到企业网络上,或防止用户无意中将流量发送到公共网络上。
? 客户机完整性检查- FirePass 通过在客户机进行完全网络访问之前检测是否存在所需进程(如:病毒扫描、个人防火墙、操作系统补丁级别、注册表设置等)以及检测是否存在其它进程(如:键盘记录器),来增强其安全性。
Windows 网络访问特性
? 独立 Windows 客户机 -FirePass 建立了一条完成用户认证之后的网络连接。软件使用微软的 MSI installer 技术,可自动被分配至客户机中。
? 提供自动驱动器映射功能 - 网络 驱动器可 自动被 映射到 用户的 Windows 电脑上。
? 当用户建立网络访问 VPN 连接时,可提供静态 IP 支持来为用户分配静态 IP- 这一方法大大降低了管理支持的成本。
? Windows 登陆 /GINA 集成 – 通过与 windows GINA(“ctrl + alt + del” 提示 ) 的集成可以让用户简单、透明地登陆到企业网络内部。
? 独立的 VPN 客户端 CLI – 新的命令行界面通过与第三方的应用(比如远程拨号软件)集成提供 Single Sign-on 功能。
? Windows VPN 拨号器 – 为那些比较熟悉拨号界面的用户提供一个简化的最终用户使用体验。
? 透明的网络访问 – 消除网络访问中的浏览器弹出窗口;避免用户不小心关掉网络访问的连接。
应用访问-对特定应用的安全访问
借助 FirePass ,管理员能够准许特定用户访问特定内容 —— 例如,业务合作伙伴可使用并非由其本公司维护的设备,对特定的外联网应用和站点进行访问。 FirePass 只允许访问那些已经过系统管理员进行特殊清除处理的应用,这一做法保护了网络资源。
特定客户机 / 服务器应用访问 :
? 支持本地客户端应用通过浏览器与 FirePass 控制器之间的安全连接,与特定公司应用服务器进行通信。
? 无需用户预先安装或配置任何软件。
? 在网络端,被访问的应用服务器上无需使用额外软件。
? 由于采用标准 HTTPS 协议,并以 SSL 作为传输协议,因此,该技术支持全部 HTTP 代理,包括公共接入点、专用 LAN ,以及任何不支持传统 IPSecVPN 的其它网络和 ISP 。
? 所支持的应用包括 Outlook 、 Exchange Cluster 、被动式 FTP 、 Citrix Nfuse 和网络驱动映射。
? 管理员还能实现定制应用功能 —— 包括 CRM (客户关系管理),以及其它采用静态 TCP 端口的应用。
? 支持自动登录到 AppTunnels 、 Citrix 、 WTS 应用以简化最终用户的体验。
? 支持客户端应用的自动启动,以简化最终用户体验并降低支持成本。
? 通过提供独特的压缩支持功能,实现对 WAN 网络中客户机 / 服务器应用流量的压缩,从而获得更加优异的性能。
终端服务器访问
? 提供了一种基于 Web 的安全访问方式,可访问 Microsoft 终端服务器、 Citrix MetaFrame 应用、 Windows XP 远程桌面和 VNC 服务器等。
? 支持群组访问选项、用户认证、自动登录功能以及授权用户。
? 如果尚未在远程设备上安装,支持正确的终端服务或 Citrix 远程平台客户机组件的自动下载和安装,从而节省了时间。
? 支持远程访问 XP 桌面,以便使用 RDP 进行远端故障排除;使用内置 VNC 特性访问非 XP 桌面应用。
主机访问
? 能够对传统的 VT100 、 VT320 、 Telnet 、 X-Term 和 IBM 3270/5250 等应用进行基于 Web 的安全访问。
? 无需对应用或应用服务器进行修改。
? 无需使用第三方主机访问软件,降低了 TCO (总体拥有成本)。
门户访问-为员工、客户和合作伙伴提供对公共系统的安全访问
FirePass 的门户访问能力支持任何装有浏览器的操作系统( Windows XP 、 Linux 、 Macintosh 、 Pocket PC 、 PDA 等)访问。
Web 应用
? 支持像在公司局域网里那样轻松访问内部 Web 服务器(包括 Microsoft Outlook Web Access 、 Lotus iNotes 和 MS SharePoint Portal )。
? 提供针对群组内联网资源的精细访问控制。例如,员工可对整个内联网站点访问,而合作伙伴只能访问有限的特定 Web 主机。
? 访问资源时, FirePass 可动态将内部 URL 映射到外部 URL ,因此内部网络结构就不会泄露 URL 信息。
? 在 FirePass 控制器上管理用户 cookie ,以避免暴露敏感信息。但对于需要访问 cookie 的应用程序, FirePass 也可将 cookie 传递到远程浏览器上。
? 能够将用户证书发送给 web 主机,以支持自动登录以及其他用户对应用的特定访问。 FirePass 也可与现有身份管理服务器(如 Netegrity )集成,实现应用的单点登录。
? FirePass 可代理 web 主机上的登录请求,以避免用户将密码高速缓存在客户端浏览器上。
? 为 web 应用提供隧道分割支持,可使最终用户访问公共网络站点时获得更快的性能。
? 对增加的 web 应用(反向代理)能力提供动态的服务器端高速缓存功能,缩短页面下载时间。
? 提供与设备无关的反向代理功能,以重写 web 页面中各种 Javascript 内容,从而节省了时间。
文件服务器访问
? 允许用户浏览、上传、下载、复制、移动或删除共享目录下的文件。
? 支持 SMB 共享、 Windows 工作组; NT 4.0 和 Win2000 域;带有本地文件系统包的 Novell 5.1/6.0 ,以及 NFS 服务器。
电子邮件访问
? 提供基于 Web 、从标准和移动设备浏览器上安全访问 POP/IMAP/SMTP 电子邮件服务器。
• ? 允许用户发送和接收消息、下载附件以及将网络文件粘贴到电子邮件上。
移动设备支持
? 可通过 PDA (如 Palm OS )、蜂窝电话(如 WAP 和 iMode 手机)安全访问电子邮件和其它应用。
? 动态地对来自 POP/IMAP/SMTP 电子邮件服务器的电子邮件进行格式调整,以便适应移动电话和 PDA 的较小屏幕。能够发送以网络文件作为附件的电子邮件,并能查看文本或者 Word 文档。
门户访问 —— 全方位的安全性
FirePass 提供多层控制功能,可确保从公共系统安全访问信息。
客户机安全性
? 受保护工作区 ——Windows 2000/XP 的用户可自动切换至受保护工作区,来进行远程访问会话。在受保护工作区模式中,用户无法将文件写入到受保护工作区和临时文件夹外的任何位置,并且所有的内容都将在会话结束时被删除。
? 高速缓存清除 —— 高速缓存清除控件可删除来自客户端电脑的下列数据: Cookies 、浏览器历史记录和自动完成信息;浏览器高速缓存;在远程访问会话期间所安装的临时文件、全部安装的 ActiveX 控件;此外,回收站也将被清空。
多重组映射 - RADIUS
FirePass 可查询 RADIUS 服务器获得组信息并自动映射多重 RADIUS 组到 FirePass 资源组。这样,在大型环境中缩短配置时间的同时,可简化配置并降低成本。
会话超时及限制
管理员可对闲置及会话超时情况进行配置,以防止黑客控制用户(在信息亭忘计注销的用户)发出的会话。
基于角色的管理
该管理方式通过提供管理功能,提高了组织机构的灵活性(注册新用户、终止会话、重设密码),但同时也不向他们泄露所有功能(如关闭服务器及删除证书)
审计服务
FirePass 可提供有关会话和活动日志的报告。汇总报告将根据日期、时间、访问操作系统、使用特性、访问的 Web 站点、会话持续时间和会话终端类型及其它用户指定的时间间隔信息来汇总网络使用情况。
定制
最终用户图形界面的本地化
借助 FirePass ,最终用户网页上的特性名称(如 Web 应用)等所有字段可进行本地化。借助此项功能,企业不仅可本地化用户收藏夹,还可本地化所有最终用户图形界面,这使应用更加简化。
完成登录及 WebTop 定制
凭借 FirePass ,管理人员完全可以定制一套完整的登录流程,并使 webtop 网页与现有的企业网络站点门户实现最佳匹配;为了改善最终用户的体验, FirePass 允许使用 WebDAV 功能上传定制页面。
自动启动应用
FirePass 可根据用户登录情况自动启动一个或多个已配置的收藏夹,以节约访问资源的时间。
针对安全应用访问的 iControl SSL VPN 客户机 API
由于只有 SSL VPN 产品具备开放式 API 和 SDK ,因此 FirePass 控制器通过提供安全的系统到系统或应用到应用通信,可实现对丰富的 Win32 客户端应用的自动、安全访问。现在,无需用户登录 VPN ,应用便可自动、透明地启动和关闭网络连接。这使最终用户能够更快速、更轻松地进行连接,同时消除了客户端应用安装所需。
订购信息
FirePass 1200 系列
FirePass 1200 控制器是专为中小型企业精心设计的 1U 机架安装式服务器。它支持多达 100 个并发用户,为基于 Web 方式安全远程访问企业应用和桌面提供了一套全面的解决方案。
FirePass 4100 系列
FirePass 4100 控制器是专为大型企业精心设计的 2U 机架安装式服务器。它可支持多达 2000 个并发用户,为基于 Web 方式安全远程访问企业应用和桌面提供了一套全面的解决方案。
FIPS SSL 加速器硬件选件
FirePass 兼容 FIPS 标准 * ,可满足政府、金融、医疗及其它具有安全意识的机构对安全问题的强烈需要。 FirePass 4100 为 FIPS 140 Level-2 提供了独特的支持,可实现 SSL 密钥的抗篡改存储能力,同时还为硬件中的加密和解密 SSL 流量提供了 FIPS 认证加密支持。 FIPS SSL 加速器可作为用于基础 4100 平台的一项工厂装机选件。
SSL 加速器硬件选件
FirePass 4100 可提供独特的硬件 SSL 加速选件,以卸载 SSL 密钥交换,同时可实现 SSL 流量的加密和解密。这使大型企业环境下的处理器密集型 “ 加密 (ciphers) ” (如 3DES 和 AES )性能显著增强。
集群
使用内置的负载平衡集群选件, FirePass 4100 控制器集群可支持单一 URL 上高达 20,000 个会话,同时性能不会受到影响。对于高性能大容量集群,客户通过卸载 SSL 终端到 BIG-IP 上,可充分利用 BIG-IP 的独特集成特性,能够在一个集群中处理超过 20,000 个并发会话,同时可实现 SSL VPN 集群的最大性能。
故障切换
FirePass 控制器支持耦合服务器对(在线服务器与备用服务器)间的热状态故障切换,同时会话不会中断或终止。这意味着当偶然发生服务器故障时,所有的会话数据都将得到保存,并切换到对于用户不可见的备用设备上。
? 对于专用数据流的使用, FIPS 140-2 符合 CESG (英国国家信息安全保障技术机构) 安全标准。
? 安全虚拟键盘-对于额外的密码安全方面的需求, FirePass 提供了已申请专利的安全虚拟键盘功能,它借助鼠标(而不是键盘)来实现安全的密码输入。
? 下载拦截 (Download Blocking) —— 对于无法安装 “ 清除 ” 控件的系统,可配置 FirePass 以拦截所有文件的下载,从而避免发生无意间遗留临时文件的情况,同时还能对应用进行访问。
内容检测和 Web 应用安全
针对那些通过企业网络进行 Web 应用访问的用户, FirePass 通过扫描 Web 应用访问以查找应用层攻击并在发现攻击时拦截访问的方式,来增强应用的安全性,并确保应用层免受攻击。
集成病毒防护功 能
FirePass 采用基于 ICAP API 的集成扫描仪或外部扫描仪对 Web 和 文件上传进行扫描。 这样,受感染的 文件在网关就会被拦截 而无法访问网络中的电子邮件或 文件服务器 ,从而改进了对其的防护。
动态策略引擎-整体管理控制
借助 FirePass 策略引擎,管理员可轻松管理用户认证和授权。
基于动态策略的访问
借助 FirePass 策略引擎,管理员可对网络资源进行快速而精细的控制。在这一策略支持下,管理员可根据用户和所用设备来授权应用访问。
用户认证
缺省模式下,系统将密码对照内部 FirePass 数据库进行认证。经配置后, FirePass 还支持 RADIUS 、活动目录、 RSA 双因素、 LDAP 认证、基于表格的基本 HTTP 认证,以及身份管理服务器(如 Netegrity )与 Windows 域名服务器认证等方式。
双因素认证
许多企业都采用 “ 双因素 ” 认证方式,这是一种使用用户 ID 与密码以外的信息进行认证的方式。 FirePass 完全支持领先的 RSA SecurlD ? 令牌式认证以及 RSA 纯粹 ACE 认证。
客户端证书 /PKI 支持
FirePass 支持管理员根据用来访问 FirePass 控制器的设备类型来限制或允许访问。 FirePass 可在用户登录期间检查客户端是否有电子证书。根据该电子证书的核查结果, FirePass 可支持更广泛的应用访问。 FirePass 还将客户端证书作为双因素认证的一种方式,并禁止无有效客户端证书的用户访问所有网络。
群组管理
访问权限可分配给单个用户或用户群(如: “ 销售人员 ” 、 “ 合作伙伴 ” 、 “ IT 支持人员 ” )。 这样, FirePass 就可限制个人和用户群访问特定资源。
例如,合作伙伴只被允许访问外联网服务器,而销售人员则可以访问电子邮件、公司内联网和 CRM 系统。
>>返回 |
