FirePass

FirePass@ SSL–VPN 应用访问

安全SSL–VPN应用访问

F5的FirePass@服务器是一款可以通过任何标准Web浏览器为用户提供到公司网络安全接入的强大网络设备，它可在几个小时内完成安装，无需

对公司应用进行任何修改，同时也无需在远程位置进行任何配置或安装工作。

FirePass支持基于多数PDA设备的电子邮件、内联网和文件访问以及面向IP电话的电子邮件访问。通过利用浏览器作为便利的“瘦客户机”，

FirePass可支持企业将安全远程访问轻松而经济高效地扩展到任何连接上互联网的用户 — 员工、客户和合作伙伴。

主要优势：

遵循最佳安全实践的最高标准；为安全通信提供标准的RCR、3DES加密；提供强大的用户与设备鉴权特性；提供精细的接入控制；

降低支持开销；消除客户机系统的日程维护；减轻管理负担；无需修改网络资源远程设备或网络体系结构；

快速完成安装；提供直观熟悉的浏览器界面；
集群可在单个URL上支持10,000条并发连接，且对性能不造成任何影响；
可支持耦合服务器对（在线服务器与备用服务器）之间整个状态的热故障切，不会导致任何的会话中断或终止；
基于web的远程访问适用于所有ISP连接；在其它防火墙背后也可正常运行；完全运行在HTTP(安全应用层互联网协议)之上。

以往的方法

直到现在，许多公司都仍在使用昂贵的拨号线路为站点之外的员工、合作伙伴、在家办公人员和远程办公人员提供到调制解调器池和RAS服务器的远程接入，或者就是通过IPSec层“虚拟专用网（VPN）”提供互联网加密隧道。

存在的问题

IPSec VPN只适用于那些在访问设备上安装了相应客户机软件的用户。这些客户机软件可能不适用于某些远程平台。同时客户机端的软件安装和操作系统升级（甚或总部地址改动）为IT工作人员带来了额外的支持负担。IPSec VPN非常之难以扩展，此外遍历问题又常常会使它们无法在其它防火墙后运行。

解决方案

F5的FirePass提供了一项基于Web的解决方案，可支持企业将安全远程访问扩展到任何连接到互联网的用户，同时无需在远程设备上安装任何特殊软件或进行任何特别配置，也无需对要访问的后台资源进行任何添加或修改。这一方法大大减轻了IPSec VPN的支持负担，并增加了了更多可通过标准Web浏览器进行的到电子邮件、传统应用和台式机远程控制的应用访问。

动态政策引擎

FirePass政策引擎负责管理用户的鉴权和授权。

用户鉴权

缺省模式下，系统通过密码来对照内部FirePass数据库进行鉴权。FirePass经配置后可与RADIUS和LDAP鉴权方法、基于表格的基本HTTP鉴权以及负责鉴权与访问管理的Windows Domain Server联合运行。

双因素鉴权

许多公司都需要“双因素”鉴权，即使用用户ID与密码之外的信息进行鉴权。FirePass完全支持美国市场上领先的RSA SecurID? 令牌式鉴权，并提供了内建的VASCO Digipass?实施。

授权管理

访问权限可授予单个用户或用户群（例如：“销售人员、“合作伙伴”、“IT”）FirePass将单个用户和用户群的访问限制在具体的资源范围内。合作伙伴可能只允许访问外联网服务器，而销售人员则可连接到电子邮件、公司内联网和CRM系统。
支持客户机端证书的动态政策
FirePass支持管理员根据用于访问FirePass 服务器的设备类型来限制或允许访问。例如，用户在使用公司膝上型电脑时允许访问所有的内联网

和客户机/服务器应用，而在公共热点上网时则只允许访问内联网。用户登录时，FirePass服务器还会核查客户机端的数字证书，这一证书将只授予膝上型电脑。根据该证书的核查情况，FirePass服务器将允许更广泛的应用访问。

审计服务

FirePass可提供有关会话和活动日志的报告。汇总报告将按日期、时间、访问OS、使用特性、会话持续时间和会话终端类型来汇总提供网络的使用报告。

UI定制

管理员可以自由调整FirePass标识与详细界面的外观，以更好地匹配公司的风格WEBIFYERS

FirePass可提供到众多网络应用与资源的访问能力，从共享文件到原有大型机应用，无所不包。每个FirePass“webifyer”均代表一种单独的功能，从而能够使得所支持的应用能够更好地适应Web浏览器的工作模式。

FirePass上的Webifyer：
使用一个浏览器即可访问POP/IMAP/SMTP电子邮件服务器和LDAP地址簿。
支持在共享目录下浏览、加载、下载、移动、复制或删除文件。支持SMB共享Windows工作组，NT 4.0和Win2000域，以及带有原始文件系统包的Novell 5.1/6.0。
支持以Web方式访问Microsoft终端服务器、支持WinXP网络访问的台式机、Citrix MetaFrame应用，以及VNC服务器。无需在被访问的终端服务器或WinXP个人电脑上安装额外的软件。
以Web方式访问原有的VT100、VT320、Telnet、X-Term和IBM 3270/5250应；并且无需对应用或应用服务器进行任何修改。
支持特定用途的微型浏览器，例如Palm OS、PocketPC、WAP和iMode电话。可在手持设备或互联网电话上访问文件、电子邮件和PIM数据，以及察看Word文档和PDF文件。
通过任何浏览器对您公司的电脑进行远程安全控制、能够与其他用户共享台式机，以实现基于Web的协作或演示、访问文件、电子邮件和其它应用。
像在公司局域网内那样轻松地访问内部Web服务器，包括Outlook? Web Access电子邮件服务器。

客户机-服务器连接器

许多企业都部署了像PeopleSoft?、SAP?、或Oracle? ERP应用这样的传统“胖客户机”体系结构，并且在每个用户的设备上都配备ERP应用客户机。通常这些应用需要面向公司网络之外的外出办公人员或合作伙伴。

直到现在，这些合作伙伴和外出办公人员都需要在每个远程设备上配备特别配置的“VPN”软件。这些软件可以使他们在互联网与公司网络之间建立起一条“隧道”。这样他们才能够访问整个目标网络。

一种更好的方法
F5的FirePass不是利用传统的VPN客户机来提供全部网络接入支持，而是利用浏览器作为客户机与服务器之间的连接器，来支持远程访问个别应用。

客户机-服务器连接器

支持从远端客户机访问应用服务器上的TCP应用。
可支持本地客户机端应用通过浏览器与FirePass服务器之间的安全隧道，与公司的应用服务器进行通信。
允许连接的用户将LAN驱动器映射到远程系统。
无需用户预先安装或配置任何额外组件。
在网络端，被访问的应用服务器上无需安装额外软件。
采用标准HTTPS协议，并以SSL作为传输协议，因此可支持任何HTTP代理–包括公共接入点、专用LAN以及任何不支持传统IPSec VPN的其它网络和ISP。
标准的客户机-服务器连接器包括Outlook、Exchange Cluster、FTP、Citrix Nfuse。管理员可以为那些使用静态TCP端口的应用建立客户的客

户机-服务连接器。

VPN连接器
传统的远程访问VPN可以允许一台远程电脑访问公司网络。一旦配置与连接完成之后，您也可以像在网络内部一样地进行操作。但是，这种解决方案需要在远程电脑上安装和/或配置一套软件（VPN客户机）之后，才能为用户建立起连接。

FirePass VPN连接器则以更友好的属性提供了完全同等的功能。正如传统的VPN一样，它不需要对客户机或服务器端应用进行任何改动即可实现

网络的完全访问。但与IPSec VPN不同的是，FirePass VPN连接器不需要在远程设备上进行任何软件安装和配置上的改动。

VPN连接器使用标准HTTPS协议，可支持所有防火墙与HTTP代理；并且还充分利用了FirePass所有的设置、安全性、可用性及管理特性。

FirePass VPN连接器：

安全地访问所有基于IP的（TCP、UDP）应用。一旦VPN连接器被激活之后，所有指向公司网络的流量都将通过一条安全的SSL隧道进行发送。

无需在远程系统上预先安装和配置任何VPN软件。现场员工和外出人员无需在他们的电脑上进行任何特别设置和配置即可访问其应用。
升级或更换现场的电脑时不会带来任何与VPN有关的额外维护工作；对主机网络用户密码或IP地址进行的任何改动会自动传播到用户的个人电脑上。
利用GZIP压缩机制来在对流量进行加密之前进行压缩处理，从而减少互联网上传送的流量, 进一步改善性能。
提供隧道分割(Split Tunneling)能力，只允许流向LAN的流量通过VPN连接器进行传输。
无需向每位访问用户开放整个网络，即可实现全部的客户机-服务器应用支持。不间断的故障切换—通过在公司网络上配置一台在线备用

FirePass服务器，用户可在发生故障时不间断地切换到备用服务器上。
提供自动驱动器映射功能– 一旦VPN连接器被激活，网络驱动器可自动被映射到用户的电脑上。
提供代理遍历能力--支持通过本地（例如部署在公司网络上）代理服务器和远程(例如部署在远程接入点网络上)代理服务器来访问公司网络。

订购信息

FirePass软件有两款面向不同设备平台的版本可供选择：

FirePass 1000系列

FirePass 1000服务器是专为中小型企业而精心设计的1U机架安装式服务器。它可支持100个并发用户，为以Web方式远程访问公司应用和台式机提供了一套全面的解决方案。FirePass 1000服务器支持全套FirePass软件特性。

FirePass 4000系列

FirePass 4000服务器是专为大型企业而精心设计的2U机架安装式服务器。它可支持1000个并发用户，为以Web方式远程访问公司应用和台式机提供了全面的解决方案。FirePass 4000服务器支持全套FirePass软件特性。

集群

　FirePass设备可集群配置以在单条逻辑URL上支持10,000条并发连接，同时不会带来任何性能降级。高级负载平衡能够有效地在所有可用服务器上分配会话，以最大限度地提高吞吐量。

故障切换

　FirePass可支持在紧耦合服务器对（在线服务器与备用服务器）之间进行整个状态的热故障切换，不会导致任何的会话中断或终止。这意味着，当偶然发生服务器故障时，所有的会话数据都将得到保留，并切换到用户不可见的备用设备上。