概述
在當(dāng)今的企業(yè)環(huán)境下,訪問(wèn)方法日益增多,如千兆位有線連接、高速寬帶訪問(wèn)、從不同位置的遠(yuǎn)程訪問(wèn)(信息亭、網(wǎng)吧),以及無(wú)線網(wǎng)絡(luò)等,這些訪問(wèn)方式推動(dòng)了對(duì)全新服務(wù)的需求。企業(yè)資源的移動(dòng)及遠(yuǎn)程訪問(wèn)對(duì)遠(yuǎn)程工作人員的生產(chǎn)效率及業(yè)務(wù)效率至關(guān)重要。然而,無(wú)線通信的大規(guī)模部署同時(shí)卻提出了新的安全及性能方面的需求。
在這種環(huán)境之下,管理員則面臨著不斷增長(zhǎng)的用以保護(hù)關(guān)鍵企業(yè)資源免遭攻擊的需求。根據(jù)用戶標(biāo)識(shí)/認(rèn)證憑證、用戶組及客戶端設(shè)備,控制對(duì)不同資源的訪問(wèn),而客戶端設(shè)備在這種環(huán)境下是安全性要求最高的設(shè)備。
典型的企業(yè)環(huán)境能夠包含如下組件:
訪問(wèn)網(wǎng)絡(luò)
☆ 有線網(wǎng)絡(luò)(稱(chēng)為內(nèi)部 LAN)
☆ 無(wú)線訪問(wèn)
☆ 廣域網(wǎng) (WAN) 或公共互聯(lián)網(wǎng)
資源網(wǎng)絡(luò)
☆ 隔離區(qū) (DMZ),用于互聯(lián)網(wǎng)可訪問(wèn)的服務(wù)
☆ 遠(yuǎn)程訪問(wèn)網(wǎng)關(guān),為 DMZ 服務(wù)的一部分
☆ 具備服務(wù)器與大型機(jī)(用于托管業(yè)務(wù)應(yīng)用)的數(shù)據(jù)中心
訪問(wèn)與控制
☆ AAA 基礎(chǔ)設(shè)施包括認(rèn)證和會(huì)計(jì)服務(wù)器
企業(yè)環(huán)境的差異要求在計(jì)劃訪問(wèn)時(shí),需進(jìn)行多方面的考慮。通常情況下,內(nèi)部 LAN 被認(rèn)作是安全的網(wǎng)絡(luò)。但由于無(wú)線網(wǎng)絡(luò)存在廣播特性,因此不被認(rèn)作是安全網(wǎng)絡(luò)。這種網(wǎng)絡(luò)容易受到竊聽(tīng)、非法接入點(diǎn) (rogue access point) 及其它破解方法的攻擊。對(duì)于遠(yuǎn)程訪問(wèn),通常采取虛擬專(zhuān)用網(wǎng) (VPN) 解決方案,如撥號(hào)、IPSec VPN、及安全套接層 (SSL) VPN。并且,對(duì)數(shù)據(jù)中心設(shè)備的所有訪問(wèn)都必須受到安全保護(hù)。數(shù)據(jù)中心使用訪問(wèn)列表阻止非法訪問(wèn),同時(shí)反向代理服務(wù)器使用認(rèn)證機(jī)制為應(yīng)用提供更高級(jí)別的安全性。
挑戰(zhàn)
在企業(yè)環(huán)境,對(duì)安全性的要求持續(xù)增長(zhǎng)。為各種訪問(wèn)環(huán)境提供單獨(dú)的安全方法(如單一認(rèn)證或訪問(wèn)控制列表)無(wú)法出色地進(jìn)行擴(kuò)充,同時(shí)還會(huì)增加管理負(fù)擔(dān),使其極其昂貴。必須有一種更好的方法用于提供安全可靠的企業(yè)訪問(wèn)。這種方法應(yīng)經(jīng)濟(jì)高效、易于管理、安全可靠,同時(shí)還能實(shí)現(xiàn)性能與可擴(kuò)充性需求。
基本的安全性要求包括:
☆ 驗(yàn)證用戶認(rèn)證憑證與服務(wù),規(guī)定用戶的訪問(wèn)。
☆ 客戶端完整性檢查,包括端點(diǎn)安全驗(yàn)證,以及重新引導(dǎo)用戶至預(yù)先定義的子網(wǎng),下載符合標(biāo)準(zhǔn)的反病毒軟件、防火墻、操作系統(tǒng)更新和補(bǔ)丁。
☆ 防火墻規(guī)則,如基于協(xié)議、端口和目的地的精細(xì)訪問(wèn)控制及數(shù)據(jù)包過(guò)濾。
同一個(gè)用戶常常從不同的地點(diǎn)訪問(wèn)企業(yè)資源,因而安全機(jī)制和訪問(wèn)策略應(yīng)獨(dú)立于用戶訪問(wèn)方法(如無(wú)線、內(nèi)部 LAN 及遠(yuǎn)程訪問(wèn))。由此需要具備訪問(wèn)規(guī)則的統(tǒng)一安全策略,這樣便能確保用戶在采取任何訪問(wèn)方法,都能達(dá)到相同的用戶服務(wù)級(jí)別。統(tǒng)一的方法同時(shí)也更加經(jīng)濟(jì)高效、易于管理和維護(hù),并且不易出錯(cuò),因?yàn)樗械脑L問(wèn)策略僅需定義一次。
該白皮書(shū)列出了內(nèi)部 LAN、無(wú)線及遠(yuǎn)程訪問(wèn)架構(gòu)的技術(shù)要求和特性,指出了通用方法所提出的挑戰(zhàn)。F5 使用涵蓋網(wǎng)絡(luò)層到應(yīng)用層的通用訪問(wèn)方法,由網(wǎng)絡(luò)層到應(yīng)用層全部使用單獨(dú)、統(tǒng)一且經(jīng)濟(jì)高效的管理解決方案。案例研究顯示,F(xiàn)5 方法提供了統(tǒng)一的安全策略,可滿足多種訪問(wèn)方法要求。
無(wú)線、遠(yuǎn)程及 LAN 訪問(wèn)的特性
盡管統(tǒng)一的方法相當(dāng)吸引人,但它必須滿足內(nèi)部 LAN、無(wú)線及遠(yuǎn)程訪問(wèn)方法的不同特性。以下章節(jié)說(shuō)明了每種訪問(wèn)方法的特性。
無(wú)線訪問(wèn)
無(wú)線網(wǎng)絡(luò)設(shè)計(jì)用以實(shí)現(xiàn)高度移動(dòng)性及靈活性。移動(dòng)性是指用戶在不同位置(建筑物的不同樓層、網(wǎng)吧與機(jī)場(chǎng))之間移動(dòng)時(shí),還能保持與網(wǎng)絡(luò)的連接。靈活性是指能夠使用不同的設(shè)備(個(gè)人數(shù)字助理、智能電話、筆記本電腦)與網(wǎng)絡(luò)連接。
在無(wú)線環(huán)境中,主要有兩種連接環(huán)境:
☆ 公共熱點(diǎn)訪問(wèn)
☆ 內(nèi)聯(lián)網(wǎng)安全訪問(wèn)
在每種情況下必須進(jìn)行用戶認(rèn)證才可訪問(wèn)。熱點(diǎn)認(rèn)證將用戶流量路由至公共互聯(lián)網(wǎng),而內(nèi)聯(lián)網(wǎng)流量則采用 VPN 加密方法進(jìn)行控制。可根據(jù)用戶組、服務(wù)器、資源,以及反映企業(yè)策略的安全策略進(jìn)一步劃分內(nèi)聯(lián)網(wǎng)訪問(wèn)。圖 1 顯示了適用于無(wú)線訪問(wèn)的典型配置。![]("http://www.f5.com.cn/tpl/website/images/solution/technology/secureaccess_wp1.gif")
圖 1:無(wú)線訪問(wèn)
遠(yuǎn)程訪問(wèn)
遠(yuǎn)程訪問(wèn)使用戶可以從任意位置(網(wǎng)吧、機(jī)場(chǎng)或家庭辦公)訪問(wèn)企業(yè)資源。其主要要求是為多個(gè)用戶組(授權(quán)用戶、合作伙伴、客戶)提供訪問(wèn),并將它們與允許訪問(wèn)的資源相關(guān)聯(lián)。應(yīng)能從任意客戶端設(shè)備(公司筆記本電腦、家用計(jì)算機(jī)、信息亭、合作伙伴計(jì)算機(jī)等)對(duì)資源進(jìn)行訪問(wèn)。
圖 2 顯示了適于遠(yuǎn)程訪問(wèn)的典型配置![]("http://www.f5.com.cn/tpl/website/images/solution/technology/secureaccess_wp2.gif")
圖 2:遠(yuǎn)程訪問(wèn)
內(nèi)部 LAN 訪問(wèn)
在本文中內(nèi)部 LAN 是指企業(yè)內(nèi)的有線網(wǎng)絡(luò)。通常認(rèn)為,內(nèi)部 LAN 比無(wú)線和遠(yuǎn)程訪問(wèn)網(wǎng)絡(luò)更加安全;然而,向任意用戶開(kāi)發(fā)內(nèi)部 LAN 仍具備安全風(fēng)險(xiǎn)。許多有線網(wǎng)絡(luò)允許大部分通信進(jìn)行無(wú)加密傳輸。然而,有線網(wǎng)絡(luò)同無(wú)線網(wǎng)絡(luò)一樣容易遭受竊聽(tīng),特別是當(dāng)外部人員能夠進(jìn)行物理連接時(shí)。同樣,內(nèi)部用戶可能會(huì)嗅探流量并訪問(wèn)其他用戶的電子郵件(首席執(zhí)行官的郵件、及其它授權(quán)用戶的機(jī)密信息)。
圖 3 顯示了適于內(nèi)部 LAN 訪問(wèn)的典型配置。
![]("http://www.f5.com.cn/tpl/website/images/solution/technology/secureaccess_wp3.gif")
圖 3:內(nèi)部 LAN 訪問(wèn)
為確保各種訪問(wèn)方法的安全,您必須考慮:
☆ 是否易受竊聽(tīng)——通過(guò)無(wú)線網(wǎng)絡(luò)訪問(wèn)的數(shù)據(jù)容易遭到嗅探或竊聽(tīng)。
☆ 入侵者攻擊——入侵者能利用非法 (rouge) 接入點(diǎn)訪問(wèn)用戶數(shù)據(jù)以及敏感的企業(yè)資源。有線對(duì)等加密 (WEP) 安全協(xié)議并不可靠,能夠被破解。Wi-Fi 保護(hù)訪問(wèn) (WPA)/WPA2 是新型的安全技術(shù),要求具備特定的管理技能才能對(duì)其進(jìn)行配置和管理。
☆ 客戶端完整性檢查——客戶端完整性檢查與端點(diǎn)安全對(duì)于遠(yuǎn)程訪問(wèn)至關(guān)重要,因?yàn)檫h(yuǎn)程訪問(wèn)極易受到病毒和其它惡意代碼攻擊。網(wǎng)絡(luò)管理員需要配置、監(jiān)控并執(zhí)行企業(yè)標(biāo)準(zhǔn)策略,來(lái)實(shí)現(xiàn)端點(diǎn)安全及用戶認(rèn)證憑證(包括操作系統(tǒng)補(bǔ)丁級(jí)別、防病毒版本與更新,以及防火墻版本)。
☆ 網(wǎng)段——利用單獨(dú)的策略劃分各種訪問(wèn)和資源網(wǎng)絡(luò),從而確保訪問(wèn)到特定的資源網(wǎng)絡(luò)或資源網(wǎng)絡(luò)中的服務(wù)。
☆ 終端設(shè)備支持——應(yīng)允許多種客戶端設(shè)備(包括臺(tái)式機(jī)、PDA 和智能電話)訪問(wèn)內(nèi)部資源,且不會(huì)因此降低安全性。
☆ 對(duì)等 (Peer-to-Peer) 流量控制——盡管客戶端完整性檢查能夠保證客戶端符合企業(yè)安全標(biāo)準(zhǔn),但仍需要對(duì)實(shí)時(shí)流量進(jìn)行監(jiān)控。否則,對(duì)等流量能輕松濫用帶寬,從而影響互聯(lián)網(wǎng)訪問(wèn)的服務(wù)質(zhì)量,并可能擴(kuò)散惡意代碼和蠕蟲(chóng)。
☆ 穩(wěn)定的連接——用戶連接可能會(huì)發(fā)生暫時(shí)性連接丟失,客戶端 IP 地址也有可能發(fā)生改變(例如無(wú)線客戶端正在漫游或采用 ADSL 連接時(shí) IP 地址更改)。適當(dāng)時(shí),都應(yīng)盡力提供機(jī)制來(lái)應(yīng)對(duì)暫時(shí)性的連接丟失,并重新建立最初的對(duì)話環(huán)境來(lái)確保應(yīng)用級(jí)透明。
☆ 性能——大量用戶與帶寬是典型的可擴(kuò)展參數(shù)。無(wú)線及有線網(wǎng)絡(luò)可能要求數(shù)百 Mbps 甚至 Gbps 的吞吐率。
☆ 多個(gè)地理位置——在延伸至多個(gè)地理位置的企業(yè)網(wǎng)絡(luò)中,分散的方法要優(yōu)于集中的策略引擎,即便所有站點(diǎn)的策略都相同。例如,如果需要訪問(wèn)本地資源,通過(guò) WAN 鏈路將所有的流量路由至中央策略引擎可能不太適當(dāng)。
☆ 高可用性——冗余配置可確保執(zhí)行并控制這些安全要求,從而,當(dāng)某個(gè)設(shè)備發(fā)生故障時(shí),故障切換設(shè)備能夠接管操作。
☆ 易于訪問(wèn)——用戶應(yīng)可在不同位置輕松、持續(xù)訪問(wèn)網(wǎng)絡(luò)。為了便于管理,訪問(wèn)方法不應(yīng)過(guò)于復(fù)雜。例如,移動(dòng)用戶需要從不同的位置的無(wú)線熱點(diǎn)借助 web 瀏覽器輕松訪問(wèn)互聯(lián)網(wǎng)。
☆ 可管理性——無(wú)線網(wǎng)絡(luò)中,在每個(gè)無(wú)線接入點(diǎn)對(duì)安全策略進(jìn)行管理相當(dāng)復(fù)雜,容易出錯(cuò),而且無(wú)法進(jìn)行出色擴(kuò)充。例如,用戶訪問(wèn)內(nèi)部 LAN 前應(yīng)該檢查端點(diǎn)安全性。然而,該功能僅可通過(guò) WEP/WPA/WPA2 實(shí)施來(lái)完成。
☆ 可擴(kuò)充性——在端口級(jí)別管理多個(gè)交換機(jī)和路由器上的安全策略或使用訪問(wèn)列表,并不是可擴(kuò)充模式。
限制 VLAN 端口到 MAC 地址訪問(wèn)的 ACL 不能出色擴(kuò)充或確保該方案還限制了用戶的移動(dòng)性。因此,集中的安全策略管理方法能根據(jù)用戶認(rèn)證憑證和分配至每個(gè)用戶的角色(而非低級(jí)別的、容易出錯(cuò)的訪問(wèn)列表)來(lái)定義同類(lèi)公司整體策略。這樣就減少了管理和維護(hù)成本,同時(shí)降低了總體擁有成本 (TCO)。
下表總結(jié)了每種類(lèi)型網(wǎng)絡(luò)的訪問(wèn)特性。
| 訪問(wèn) | 無(wú)線 | 遠(yuǎn)程 | 有線 |
| 是否易受竊聽(tīng) | 高風(fēng)險(xiǎn) | 低風(fēng)險(xiǎn),因?yàn)榱髁考用?/TD> | 高風(fēng)險(xiǎn) |
| 入侵者攻擊 | 如果未部署掃描儀,則對(duì)入侵者開(kāi)放 | 僅當(dāng)入侵者成功驗(yàn)證時(shí)才能獲得訪問(wèn) | 入侵者能夠訪問(wèn) LAN 資源 |
| 客戶端完整性檢查 | 不具備 WEP/WPA/WPA2 | 能夠在驗(yàn)證過(guò)程中執(zhí)行 | 通常不適用該功能 |
| 網(wǎng)段 |
無(wú)線訪問(wèn)是不安全的網(wǎng)段 |
遠(yuǎn)程訪問(wèn)是非可信的網(wǎng)絡(luò) |
有線企業(yè)網(wǎng)絡(luò)能分為可信任的、不可信任的、公共及私有區(qū)域 數(shù)據(jù)中心與特殊應(yīng)用需要額外的認(rèn)證 |
| 支持不同的終端設(shè)備 |
PDA、筆記本電腦與智能電話 |
PDA、筆記本電腦、智能電話、網(wǎng)吧、家庭辦公用戶、移動(dòng)用戶 各種操作系統(tǒng) |
可利用臺(tái)式機(jī)、預(yù)先配置的設(shè)備、筆記本電腦訪問(wèn) 各種操作系統(tǒng) |
| 對(duì)等流量控制 | 對(duì)于非 adhoc 網(wǎng)絡(luò),根據(jù)應(yīng)用配置的不同,可支持對(duì)等流量控制,或所有的流量可路由至集中網(wǎng)關(guān)(通用訪問(wèn)控制器) | 遠(yuǎn)程訪問(wèn)控制器能夠檢測(cè)來(lái)自或去往遠(yuǎn)程用戶的對(duì)等流量 | 只有當(dāng)對(duì)等流量首先通過(guò)交換機(jī)或路由器,才會(huì)被檢測(cè) |
| 穩(wěn)定的連接 |
移動(dòng)和漫游必須在無(wú)線網(wǎng)關(guān)上進(jìn)行配置 通常需要移動(dòng) IP 和定制 GRE 通道 |
具有 SSL 重新協(xié)商的 SSL VPN,可確保可靠的連接 | 通過(guò)定義實(shí)現(xiàn)可靠的連接 |
| 可擴(kuò)充性與性能 |
大量用戶 跨多個(gè)站點(diǎn)進(jìn)行分布,需要數(shù)百 Mbps 或 Gbps 吞吐率 |
一部分企業(yè)用戶將同步使用遠(yuǎn)程訪問(wèn) 吞吐率取決于企業(yè)互聯(lián)網(wǎng)帶寬,通常為幾十或數(shù)百 Mbps |
大量用戶 跨多個(gè)站點(diǎn)進(jìn)行分布,需要數(shù)百 Mbps 或 Gbps 吞吐率 |
| 需要高可用性 | 需要 | 需要 | 需要 |
| 輕松訪問(wèn) | 游客能夠輕松訪問(wèn),無(wú)需安裝額外的軟件 | 網(wǎng)吧或 PDA 訪問(wèn),訪問(wèn)機(jī)制極為方便,無(wú)需任何額外的軟件 | |
| 可管理性 | 完整的策略和用戶管理 | 完整的策略和用戶管理 | 完整的策略和用戶管理 |
多訪問(wèn)概覽
圖 4 為三種不同的用戶訪問(wèn)方法概覽,包括:
☆ 遠(yuǎn)程訪問(wèn)和無(wú)線網(wǎng)絡(luò)是隔離的,但借助適當(dāng)?shù)臋C(jī)制,可以控制它們對(duì)內(nèi)部 LAN 的訪問(wèn)。遠(yuǎn)程訪問(wèn)控制器是遠(yuǎn)程用戶能夠訪問(wèn)內(nèi)部資源之前對(duì)其訪問(wèn)進(jìn)行控制的設(shè)備。因此,對(duì)于遠(yuǎn)程訪問(wèn)來(lái)說(shuō),強(qiáng)大的認(rèn)證和加密功能是至關(guān)重要的。
☆ 無(wú)線網(wǎng)關(guān)解決與 RFID 及接入點(diǎn)相關(guān)的問(wèn)題,并可能對(duì)無(wú)線流量進(jìn)行加密。遠(yuǎn)程訪問(wèn)控制器能夠在流量進(jìn)入內(nèi)部資源前管理認(rèn)證和 VPN 加密。
☆ 在內(nèi)部 LAN,用戶通常是可使用到資源。安全敏感應(yīng)用和相應(yīng)的安全性策略位于一個(gè)或多個(gè)受保護(hù)的區(qū)域。![]("http://www.f5.com.cn/tpl/website/images/solution/technology/secureaccess_wp4.gif")
圖 4:多訪問(wèn)概覽
在辦公時(shí)間對(duì)內(nèi)部 LAN 進(jìn)行正常訪問(wèn)的用戶,在其離開(kāi)辦公室時(shí)即成為遠(yuǎn)程訪問(wèn)用戶,而當(dāng)他們離開(kāi)辦公桌在辦公樓內(nèi)走動(dòng)時(shí)又成為了無(wú)線用戶。因此,不考慮用戶所采用的訪問(wèn)類(lèi)型,而將一組訪問(wèn)策略應(yīng)用于相同的用戶是可行的。適于所有的訪問(wèn)方法的要求,包括:
☆ 端點(diǎn)安全
☆ 認(rèn)證
☆ 訪問(wèn)策略管理
☆ 根據(jù)用以訪問(wèn)(可信任的或不可信任的)的設(shè)備,制定不同的服務(wù)級(jí)別
☆ 靈活性和移動(dòng)性支持
☆ 服務(wù)質(zhì)量和帶寬管理
☆ 支持大量 SSL 對(duì)話的性能及可擴(kuò)充性
☆ 審核能力
解決方案
統(tǒng)一訪問(wèn)
F5 通用訪問(wèn)方法基于 F5 的 FirePass 產(chǎn)品——安全套接層虛擬專(zhuān)用網(wǎng) (SSL VPN),該產(chǎn)品與 F5 的 BIG-IP 本地流量管理器相集成。該集成使 F5 成為業(yè)內(nèi)唯一一家能夠?yàn)檫h(yuǎn)程、無(wú)線 LAN (WLAN) 及本地局域網(wǎng) (LAN) 用戶提供統(tǒng)一且集中的安全性與訪問(wèn)控制的廠商,同時(shí)還可滿足統(tǒng)一訪問(wèn)的吞吐量要求。BIG-IP 可保護(hù)網(wǎng)絡(luò)層(例如,VLAN)的訪問(wèn)安全,提供了高速加密能力以及實(shí)時(shí)數(shù)據(jù)包檢測(cè)與流量監(jiān)測(cè)技術(shù)。借助 SSL VPN(具備增強(qiáng)的用戶驗(yàn)證、訪問(wèn)控制、端點(diǎn)安全性、策略管理以及審核支持),F(xiàn)irePass 提供了可擴(kuò)充的精密訪問(wèn)方案。
F5 通用訪問(wèn)方法既能夠集中于某個(gè)位置,也可分布于多個(gè)地理位置(如以下部署環(huán)境中所示)。
F5 通用訪問(wèn)方法支持如下功能:
☆ 端點(diǎn)安全
☆ 用戶認(rèn)證
☆ 網(wǎng)絡(luò)安全
☆ 統(tǒng)一的訪問(wèn)策略管理
☆ 高性能
☆ 可擴(kuò)充性
☆ 審核與報(bào)告
以下章節(jié)對(duì)每項(xiàng)功能進(jìn)行了描述。
端點(diǎn)安全性
端點(diǎn)安全性包括:在授權(quán)客戶端訪問(wèn)資源之前進(jìn)行安全檢查。它是一種前瞻性的方法,用來(lái)確保只有符合所有安全策略的客戶端才可以對(duì)資源進(jìn)行訪問(wèn)。它同時(shí)還能阻止病毒或惡意軟件進(jìn)入企業(yè)網(wǎng)絡(luò)。
對(duì)于不同類(lèi)型的客戶端設(shè)備(如筆記本電腦、PDA、網(wǎng)吧),安全性措施應(yīng)該是不同的,并且應(yīng)包括檢測(cè)客戶端的防病毒軟件和版本,以使個(gè)人防火墻設(shè)置生效,并校驗(yàn)客戶認(rèn)證憑證。
端點(diǎn)安全性的優(yōu)勢(shì)之一是訪問(wèn)的范圍和安全控制。從任何設(shè)備或位置訪問(wèn)任何應(yīng)用都會(huì)潛在地導(dǎo)致安全隱患。借助適當(dāng)?shù)目蛻舳税踩裕它c(diǎn)安全性機(jī)制能夠使管理員定義不同的訪問(wèn)級(jí)別,從而確保客戶端和資源能夠得到保護(hù)。例如:
☆ 具有高速緩存清除特性的信息亭用戶可以訪問(wèn)終端服務(wù)器、文件、內(nèi)聯(lián)網(wǎng)和電子郵件。當(dāng)用戶退出后,高速緩存的位置和內(nèi)容都會(huì)被自動(dòng)清除。
☆ PDA 用戶只能訪問(wèn)電子郵件和某些網(wǎng)絡(luò)應(yīng)用,不可以訪問(wèn)其它任何服務(wù)器。
☆ 如果筆記本電腦用戶符合所有的端點(diǎn)安全性規(guī)則,則為他們提供完整的網(wǎng)絡(luò)訪問(wèn),并支持所有的客戶端/服務(wù)器應(yīng)用。
根據(jù)使用的設(shè)備,F(xiàn)5 通用訪問(wèn)方法可以動(dòng)態(tài)地調(diào)整用戶的策略。例如,您可以為移動(dòng)設(shè)備、信息亭訪問(wèn)、筆記本電腦策略以及默認(rèn)策略定義不同的策略。統(tǒng)一的端點(diǎn)安全性支持客戶端完整性檢查,如,檢查系統(tǒng)注冊(cè)表設(shè)置、任意特定程序的有無(wú),以及操作系統(tǒng)服務(wù)包,檢驗(yàn)客戶端防病毒軟件版本以及有無(wú)客戶端認(rèn)證的不同策略決定,等。
如果用戶不符合安全性策略,則您可以通過(guò)將用戶重新引導(dǎo)至某一隔離網(wǎng)絡(luò)來(lái)定義一個(gè)“返回”環(huán)境,在該網(wǎng)絡(luò)中,用戶可以更新其客戶端。這一隔離網(wǎng)絡(luò)可提供軟件和修復(fù)操作,例如使用正確的軟件版本更新殺毒程序。
用戶認(rèn)證
F5 通用訪問(wèn)方法支持動(dòng)態(tài)認(rèn)證方式。根據(jù)認(rèn)證結(jié)果,您可以將用戶分配到不同的組,以標(biāo)明其能夠額外訪問(wèn)某些特定的資源,如,訪問(wèn)特定的網(wǎng)段或服務(wù)器。F5 可插拔認(rèn)證模塊 (PAM) 擴(kuò)展可以支持多種認(rèn)證方案,包括:
☆ RADIUS
☆ 帶 Kerberos 的活動(dòng)目錄
☆ 客戶端證書(shū) LDAP 和 OCSP
☆ 基本認(rèn)證
☆ LDAP/LDAPs
☆ TACACS+
☆ RSA 安全 ID
該架構(gòu)可以使您根據(jù)用戶認(rèn)證憑證動(dòng)態(tài)定義每個(gè)用戶的角色。
F5 通用訪問(wèn)方法也提供單點(diǎn)登錄 (SSO) 工具,通過(guò)自動(dòng)傳遞用戶認(rèn)證憑證,對(duì)用戶訪問(wèn) Web 服務(wù)器、網(wǎng)絡(luò)資源及傳統(tǒng)應(yīng)用進(jìn)行認(rèn)證,同時(shí)不會(huì)對(duì)現(xiàn)有應(yīng)用做任何修改。SSO 選項(xiàng)包括:
☆ 基于表格的認(rèn)證
☆ 基本認(rèn)證
☆ NTLM 認(rèn)證
☆ 域認(rèn)證
網(wǎng)絡(luò)安全
F5 通用訪問(wèn)方法的一個(gè)重要要求是,能夠?qū)⒕W(wǎng)絡(luò)劃分為多個(gè)網(wǎng)段,從而保護(hù)并監(jiān)控從一個(gè)網(wǎng)段到另一個(gè)網(wǎng)段的訪問(wèn)。
在網(wǎng)絡(luò)級(jí)別,您能夠根據(jù)諸如發(fā)出或目的 VLAN、IP 地址以及協(xié)議等任意網(wǎng)絡(luò)參數(shù),并利用 IP 地址、VLAN、MAC 地址和數(shù)據(jù)包過(guò)濾機(jī)制,定義幾乎所有的網(wǎng)絡(luò)安全策略組合。您能夠根據(jù)認(rèn)證結(jié)果或應(yīng)用響應(yīng),采用更嚴(yán)格的訪問(wèn)規(guī)則來(lái)確保安全性。利用 F5 的 iRules 和通用檢查引擎,您可以定義定制安全策略。基于 TCL 編程語(yǔ)言的 IRules,是一個(gè)簡(jiǎn)單但功能強(qiáng)大的進(jìn)行精細(xì)控制的工具;通用檢查引擎能夠解析用戶流量的全部有效負(fù)載。定制安全策略使您能夠根據(jù) IP 地址、認(rèn)證結(jié)果或有效負(fù)載,允許、拒絕、轉(zhuǎn)發(fā)或丟棄流量。通過(guò) BIG-IP 的對(duì)等流量也可用于對(duì)已知簽名進(jìn)行檢查、完全重新引導(dǎo)至外部病毒掃描程序,或?qū)⑵鋪G棄。
所有這些功能可用于實(shí)施 LAN 段和不同的區(qū)域,如可信任的、公共的、私人的以及受保護(hù)的區(qū)域,等等。是否需要認(rèn)證及功能強(qiáng)大的 VPN 加密功能,可通過(guò)位于每個(gè)段和區(qū)域邊界的 BIG-IP 來(lái)確定。該配置成為進(jìn)行劃分操作的關(guān)鍵,可用于分類(lèi)和定義網(wǎng)段、識(shí)別不同的流量類(lèi)型,以及監(jiān)控實(shí)時(shí)流量。
結(jié)合 SSL VPN 訪問(wèn),您能夠定義單獨(dú)的路由表,以及同每個(gè)路由表相關(guān)聯(lián)的 VLAN。LAN 段成為隸屬于某一用戶組的受保護(hù)資源。因此,能夠拒絕其它組用戶訪問(wèn)該 LAN 段,從而實(shí)現(xiàn) OSI 模型第 2 層和第 3 層的網(wǎng)絡(luò)安全。例如,屬于公共組的用戶,不能交換或路由到屬于私人用戶組的 VLAN 。
F5 通用訪問(wèn)方法還提供了一系列的內(nèi)置安全特性,用來(lái)保護(hù)網(wǎng)絡(luò)免受 DoS、DdoS 以及協(xié)議篡改攻擊,包括:
☆ 默認(rèn)拒絕
☆ 自動(dòng)防護(hù)
☆ SYN 檢測(cè)
☆ DoS 和 Dynamic Reaping
☆ 虛擬服務(wù)器上的連接限制
☆ 協(xié)議無(wú)害處理(Sanitization)
☆ 數(shù)據(jù)包過(guò)濾
☆ 資源隱藏
☆ 安全網(wǎng)絡(luò)轉(zhuǎn)換
☆ 無(wú)線漫游
☆ 審核
☆ 報(bào)告
欲了解 BIG-IP 安全功能的更多信息,請(qǐng)參閱《借助 BIG-IP,保護(hù)企業(yè)應(yīng)用安全》。
FirePass 和 BIG-IP 通用訪問(wèn)方法實(shí)現(xiàn)了一個(gè)基于新的服務(wù)和策略的更為強(qiáng)健的安全模型,這些服務(wù)和策略易于定義,并能提高生產(chǎn)效率、降低總體擁有成本。
通用訪問(wèn)策略管理
F5 通用訪問(wèn)方法利用單獨(dú)的、通用的策略,同時(shí)在網(wǎng)絡(luò)層和應(yīng)用層保護(hù)對(duì)網(wǎng)絡(luò)資源的訪問(wèn)。這種單點(diǎn)控制降低了管理的負(fù)荷,并能夠提高資源利用率,同時(shí)還能降低總體擁有成本。
根據(jù) LAN 段(用戶所處的源或目的 LAN 段)或認(rèn)證結(jié)果(如用戶認(rèn)證憑證), F5 提供了多種不同的分配用戶組和資源的方法。當(dāng)進(jìn)行認(rèn)證時(shí),您可以根據(jù)認(rèn)證服務(wù)器的響應(yīng)靜態(tài)或動(dòng)態(tài)地標(biāo)明組和資源的分配。舉例來(lái)說(shuō),如果用戶利用 Active Directory(活動(dòng)目錄)順利通過(guò)認(rèn)證,則 Active Directory (活動(dòng)目錄)可返回一個(gè)屬性(F5 利用該屬性將用戶映射至指定的組)。
另外,F(xiàn)irePass 提供了 Visual Policy Editor(可視化策略編輯器),它是唯一一款能夠使安全管理員以圖形方式定義復(fù)雜安全策略、并消除可能導(dǎo)致安全漏洞的策略錯(cuò)誤配置的工具。生成的流程圖同樣能夠使審核員以可視化的方式輕松審核安全策略,而無(wú)需通過(guò)復(fù)雜的產(chǎn)品配置進(jìn)行分類(lèi)。
您還可以將組管理策略與 F5 的帶寬調(diào)整軟件插件模塊結(jié)合起來(lái),通過(guò)為關(guān)鍵應(yīng)用保留帶寬并區(qū)分流量?jī)?yōu)先級(jí),來(lái)確保服務(wù)質(zhì)量。
可擴(kuò)充性
F5 通用訪問(wèn)方法為企業(yè)以及互聯(lián)網(wǎng)服務(wù)供應(yīng)商和應(yīng)用服務(wù)供應(yīng)商提供了一種高度可擴(kuò)充的模塊。單個(gè) FirePass 設(shè)備最高可托管 255 個(gè)互不相同的 URI,從而您可以為每個(gè)類(lèi)型的用戶組創(chuàng)建唯一的登錄 URI。例如,授權(quán)用戶可以登錄 company.example.com,而合作伙伴則能夠登錄 partners.example.com。該虛擬化技術(shù)能夠容納不同的用戶組,而 FirePass 同時(shí)負(fù)責(zé)在幕后將其映射至后端設(shè)備。
您可以在不同的配置模式下配置 F5 通用訪問(wèn)方法:
☆ 主動(dòng)——被動(dòng),用于不斷增加的冗余
☆ 集群,用于最大限度的可擴(kuò)充性
集群高達(dá) 10 個(gè) FirePass 設(shè)備,能夠?yàn)樽疃?20,000 個(gè)并發(fā)用戶提供安全的遠(yuǎn)程訪問(wèn)。在集群配置中, FirePass 通過(guò)自動(dòng)同步FirePass 策略簡(jiǎn)化管理。您也可以手動(dòng)同步配置,包括策略和安全規(guī)則。
無(wú)線漫游
無(wú)線用戶可通過(guò)兩種方式與 F5 通用訪問(wèn)配置相連:
☆ 當(dāng)用戶在 AAA 服務(wù)器上成功通過(guò)認(rèn)證后,就可以訪問(wèn)諸如互聯(lián)網(wǎng)和公共打印機(jī)等公用資源。BIG-IP 代理認(rèn)證請(qǐng)求并把用戶認(rèn)證憑證傳給 AAA 服務(wù)器。成功認(rèn)證后,允許用戶對(duì)訪問(wèn)策略定義的資源網(wǎng)絡(luò)進(jìn)行訪問(wèn)。
☆ 其它所有訪問(wèn)都需要安全連接到通用的訪問(wèn)配置上。
無(wú)線用戶必須在 FirePass 上進(jìn)行認(rèn)證,才能訪問(wèn)內(nèi)部網(wǎng)絡(luò)。FirePass 利用 SSL VPN 提供強(qiáng)大的認(rèn)證和和 VPN 訪問(wèn)功能,以符合最高安全標(biāo)準(zhǔn)。
FirePass SSL 連接借助 SSL Session Identifier(SSL 會(huì)話標(biāo)識(shí)符)保留會(huì)話的上下文環(huán)境。當(dāng)進(jìn)行漫游,或發(fā)生臨時(shí)性連接丟失而改變 IP 地址時(shí),SSL 重新協(xié)商能夠確保 SSL 連接及上下文環(huán)境重新建立。這保證了跨無(wú)線漫游區(qū)域的透明連接。
加密的 cookie 支持維持相同的用戶認(rèn)證上下文環(huán)境,可用于與單點(diǎn)登錄特性配合使用。因此,當(dāng)無(wú)線用戶漫游時(shí),應(yīng)用會(huì)話上下文環(huán)境和用戶認(rèn)證上下文環(huán)境都能保留下來(lái)。
審核與報(bào)告
F5 通用訪問(wèn)方法提供了以下審核和報(bào)告功能:
☆ 將虛擬服務(wù)器/池、接口、VLAN 、帶寬調(diào)整、數(shù)據(jù)包過(guò)濾、系統(tǒng)日志和 SNMP MIB 的統(tǒng)計(jì)數(shù)據(jù)記錄下來(lái)。記錄的信息包括用戶登錄、會(huì)話活動(dòng)、組級(jí)別統(tǒng)計(jì) (group-level statistics) 以及用戶操作歷史記錄。鑒于 F5 的深層數(shù)據(jù)包檢查能力,您也可以利用 iRules 記錄其它信息。
☆ 以圖形顯示關(guān)于系統(tǒng)利用的統(tǒng)計(jì)數(shù)據(jù)(如 CPU 負(fù)載、接口統(tǒng)計(jì)數(shù)據(jù)和用戶計(jì)算等信息)使您能夠?qū)ο到y(tǒng)狀況有一個(gè)快速的概覽。
部署情境
以下示例說(shuō)明了 F5 的通用訪問(wèn)方法怎樣為不同網(wǎng)絡(luò)拓?fù)涔芾戆踩呗浴T诿總€(gè)實(shí)例中,F(xiàn)5 通用訪問(wèn)方法都能利用高度可擴(kuò)充和靈活的架構(gòu),同時(shí)在網(wǎng)絡(luò)層和應(yīng)用層保護(hù)您的企業(yè)。這種通用方法為任意規(guī)模的部署降低了總體擁有成本。
例 1:園區(qū)網(wǎng)部署
園區(qū)網(wǎng)配置如下:
☆ 內(nèi)部 LAN 被分割為可信任、不可信任、受保護(hù)、公共,以及隔離的區(qū)域。
☆ 訪問(wèn)公用區(qū)域不需要訪問(wèn)可信任和不可信任區(qū)域所需的特殊認(rèn)證或其它驗(yàn)證。
☆ 來(lái)自可信任的 LAN 的用戶可以訪問(wèn)受保護(hù)的 LAN。
☆ 不可信任的、無(wú)線的和遠(yuǎn)程訪問(wèn)用戶在其訪問(wèn)任何受保護(hù)資源前,都需要認(rèn)證。![]("http://www.f5.com.cn/tpl/website/images/solution/technology/secureaccess_wp5.gif")
圖 5:園區(qū)網(wǎng)中的 F5 通用訪問(wèn)方法
利用這種部署,F(xiàn)5 通用訪問(wèn)方法能夠降低總體擁有成本:
☆ 每個(gè)區(qū)域分離處進(jìn)行劃分的中心點(diǎn)。
☆ 借助獨(dú)立 VLAN,每個(gè)區(qū)域得以區(qū)分。能夠?yàn)槊總€(gè) VLAN 和/或每個(gè) VLAN 內(nèi)的服務(wù)單獨(dú)定義高度靈活的訪問(wèn)規(guī)則、安全策略、認(rèn)證方案,并確保 NAT 轉(zhuǎn)換的安全性。
☆ 單獨(dú)的認(rèn)證服務(wù)器能夠定義用戶及其角色,以滿足不同訪問(wèn)方法的需求。
☆ 您可以擴(kuò)展 F5 通用訪問(wèn)方法,實(shí)時(shí)檢查數(shù)千兆位吞吐流量,以支持園區(qū)網(wǎng)內(nèi)非常流行的三重播放(數(shù)據(jù)、視頻、語(yǔ)音)。深層數(shù)據(jù)包檢查、通用檢查引擎以及 iRules 提供了無(wú)人企及的控制功能,可用來(lái)管理和監(jiān)控每秒數(shù)千兆位吞吐率的實(shí)時(shí)流量。
☆ 同 SSL 卸載及負(fù)載均衡結(jié)合使用,F(xiàn)5 解決方案支持?jǐn)?shù)千兆位加密吞吐量,并能每秒處理成百上千項(xiàng) SSL 交易。
例 2:多站點(diǎn)企業(yè)部署
對(duì)于其園區(qū)網(wǎng)絡(luò)分布在多個(gè)不同地理位置的大型企業(yè)而言,每個(gè)園區(qū)都有一個(gè)小型或大型的園區(qū)網(wǎng),這些網(wǎng)絡(luò)與上述例子中描述的實(shí)例有著同樣的要求。對(duì)于每種訪問(wèn)方法,都能采用靈活的安全及訪問(wèn)策略,實(shí)現(xiàn)無(wú)線和內(nèi)部 LAN 訪問(wèn)。同時(shí),它還支持內(nèi)部 LAN 分段。遠(yuǎn)程訪問(wèn)服務(wù)通常集中于一個(gè)或兩個(gè)位置(總部)。
圖 6 顯示了幾個(gè)分布于不同地理位置的園區(qū)網(wǎng)配置。![]("http://www.f5.com.cn/tpl/website/images/solution/technology/secureaccess_wp6.gif")
圖 6:企業(yè)網(wǎng)絡(luò)中的 F5 解決方案
在這種部署環(huán)境下,F(xiàn)5 通用訪問(wèn)方法能夠降低總體擁有成本:
☆ F5 解決方案位于所有訪問(wèn)域的中心位置,包括遠(yuǎn)程訪問(wèn)域。
☆ 每個(gè)分支機(jī)構(gòu)都有專(zhuān)用的 F5 通用訪問(wèn)方法,從而將園區(qū)劃分為不同的區(qū)域。
☆ 中心位置包括用戶訪問(wèn)權(quán)限及用戶組定義,這些定義標(biāo)明了安全策略和訪問(wèn)規(guī)則。
☆ 借助集群功能,F(xiàn)5 配置可實(shí)現(xiàn)自動(dòng)同步。
☆ 在分支機(jī)構(gòu)處可以設(shè)定受保護(hù)的部分,并對(duì)公共 LAN 進(jìn)行劃分。
☆ 分支機(jī)構(gòu)能夠訪問(wèn)中心位置的資源。
結(jié)論
F5 BIG-IP 和 FirePass 產(chǎn)品的集成構(gòu)成了一套獨(dú)一無(wú)二的解決方案,該方案能夠提供一種通用的方法,可用于保護(hù)和管理基礎(chǔ)設(shè)施,并能實(shí)現(xiàn)內(nèi)部 LAN、無(wú)線及遠(yuǎn)程訪問(wèn)方法。F5 通用訪問(wèn)方法通過(guò)提供如下功能使企業(yè)獲益:
☆ 針對(duì)無(wú)線、遠(yuǎn)程和內(nèi)部 LAN 訪問(wèn)的單一安全策略。
☆ 針對(duì)所有企業(yè)用戶和 guest 用戶,提供一種與訪問(wèn)方法無(wú)關(guān)的通用認(rèn)證方式。
☆ 單一的管理方法,可實(shí)現(xiàn)經(jīng)濟(jì)高效的管理。
☆ 可安全訪問(wèn)所有企業(yè)關(guān)鍵資源。
☆ 對(duì)于要求有多千兆位吞吐量,且需要具備大量用戶的加密 SSL VPN (AES、3DES) 功能和透明代理功能,F(xiàn)5 也提供了支持。
☆ 用于選擇性服務(wù)的所有 SSL VPN 功能,,支持特定用戶組、門(mén)戶及 Webifyer 訪問(wèn)預(yù)定義的應(yīng)用。
☆ 借助 DoS Reaping(DoS 調(diào)整)、帶寬限制、數(shù)據(jù)包過(guò)濾、深層數(shù)據(jù)包檢查和安全網(wǎng)絡(luò)轉(zhuǎn)換功能,可實(shí)現(xiàn)更強(qiáng)的安全性,使其免受網(wǎng)絡(luò)、DoS、DdoS 和協(xié)議篡改攻擊。
☆ 通用的可視化訪問(wèn)策略管理、審核,以及監(jiān)控,能夠降低總體擁有成本。
☆ 應(yīng)用的高可用性和快速交付。
☆ 資本開(kāi)支/運(yùn)營(yíng)開(kāi)支方面的大量節(jié)約。
☆ 降低園區(qū)和分布式環(huán)境下的總體擁有成本。
☆ 完全虛擬化功能,為可管理服務(wù)部署降低資本開(kāi)支/運(yùn)營(yíng)開(kāi)支。
