ssl-vpn负载均衡解决方案

ssl-vpn负载均衡解决方案内容摘要：

装额外软件。 • 采用标准 HTTPS 协议，并以 SSL 作为传输协议，因此可支持任何 HTTP 代理– 包括公共接入点、专用 LAN 以及任何不支持传统 IPSec VPN 的其它网络和 ISP。 • 标准的客户机 服务器连接器包括 Outlook、 Exchange Cluster、 FTP、 Citrix Nfuse。 管理员可以为那些使用静态 TCP 端口的应用建立客户的客户机 服务连接器。 北京安泰网安科技有限公司（ F WatchGuard、 Netscreen 中国区总代，技术支持中心） 地址 :广州市天河区天河北路 900906 号高科大厦 A 座 2203 邮编 :510630 电话 :02038389557 38389559 过滤技术 内容检查， FirePass 对远程进入流量进行更深入的检查， FirePass 控制器能扫描Web 流量中不适当的内容（如：在 POST 数据中深入的脚本）或者太长的数据包，当发现恶意的内容， FirePass 阻止用户的访问 客户机端证书的动态政策 FirePass 支持管理员根据用于访问 FirePass 服务器的设备类型来限制或允许访问。 例如，用户在使用公司膝上型电脑时允许访问所有的 内联网和客户机 /服务器应用，而在公共热点上网时则只允许访问内联网。 用户登录时， FirePass 服务器还会核查客户机端的数字证书，这一证书将只授予膝上型电脑。 根据该证书的核查情况， FirePass 服务器将允许更广泛的应用访问。 身份认证技术 1． 用户鉴权 缺省模式下，系统通过密码来对照内部 FirePass 数据库进行鉴权。 FirePass 经配置后可与 RADIUS 和 LDAP 鉴权方法、基于表格的基本 HTTP 鉴权以及负责鉴权与访问管理的 Windows Domain Server 联合运行。 2． 双因素鉴权 许多公 司都需要“双因素”鉴权，即使用用户 ID 与密码之外的信息进行鉴权。 FirePass完全支持美国市场上领先的 RSA SecurID174。 令牌式鉴权，并提供了内建的 VASCO Digipass174。 实施。 同时可以支持“数字证书 +用户名密码”的方式，来提高接入的安全性。 FirePass VPN 连接器 安全地访问所有基于 IP 的（ TCP、 UDP）应用。 一旦 VPN 连接器被激活之后，所有指向公司网络的流量都将通过一条安全的 SSL 隧道进行发送。 • 无需在远程系统上预先安装和配置任何 VPN 软件。 现场员工和外出人员无需在他们的电 脑上进行任何特别设置和配置即可访问其应用。 • 升级或更换现场的电脑时不会带来任何与 VPN 有关的额外维护工作；对主机网络、用户密码或 IP 地址进行的任何改动会自动传播到用户的个人电脑上。 北京安泰网安科技有限公司（ F WatchGuard、 Netscreen 中国区总代，技术支持中心） 地址 :广州市天河区天河北路 900906 号高科大厦 A 座 2203 邮编 :510630 电话 :02038389557 38389559 • 利用 GZIP 压缩机制来在对流量进行加密之前进行压缩处理，从而减少互联网上传送的流量 , 进一步改善性能。 • 提供隧道分割 (Split Tunneling)能力，只允许流向 LAN 的流量通过 VPN 连接器进行传输。 • 无需向每位访问用户开放整个网络，即可实现全部的客户机 服务器应用支持。 • 不间断的故障切换 — 通过在公司网络 上配置一台在线备用 FirePass 服务器，用户可在发生故障时不间断地切换到备用服务器上。 • 提供自动驱动器映射功能 – 一旦 VPN 连接器被激活，网络驱动器可自动被映射到用户的电脑上。 提供代理遍历能力 支持通过本地（例如部署在公司网络上）代理服务器和远程 (例如部署在远程接入点网络上 )代理服务器来访问公司网络。 审计服务 FirePass 可提供有关会话和活动日志的报告。 汇总报告将按日期、时间、访问 OS、使用特性、会话持续时间和会话终端类型来汇总提供网络的使用报告。 UI 定制 管理员可以自由调整 FirePass 标识与详细界面的外观，以更好地匹配公司的风格。 高可用性 集群 FirePass 设备可集群配置以在单条逻辑 URL 上支持 10,000 条并发连接，同时不会带来任何性能降级。 高级负载平衡能够有效地在所有可用服务器上分配会话，以最大限度地提高吞吐量。 故障切换 FirePass 可支持在紧耦合服务器对（在线服务器与备用服务器）之间进行整个状态的热故障切换，不会导致任何的会话中断或终止。 这意味着，当偶然发生服务器故障时，所有的会话数据都将得到保留，并切换到用户不可见的备用设备上。 北京安泰网安科技有限公司（ F WatchGuard、 Netscreen 中国区总代，技术支持中心） 地址 :广州市天河区天河北路 900906 号高科大厦 A 座 2203 邮编 :510630 电话 :02038389557 38389559 F5 FirePass 系统设备型号选择 在此方案中，根据我们在以往项目上的经验，我们推荐使用 firepass 1000。 FirePass 1000 服务器是专为中小型企业而精心设计的 1U 机架安装式服务器。 它最大可支持 100 个并发用户，为以 Web 方式远程访问公司应用和台式机提供了一套全面的解决方案。 FirePass 1000 服务器支持全套 FirePass 软件特性。 产品性能参数： F5 Link Controller 产品介绍 关键特性与优势 为拥有多条链路和多家 ISP 提 供商的站点提供高可用性 (%)； 全方位链路监视，提供实时的链路状况和容量信息； 消除带有 BGP 的多归属的部署障碍； 采用高级分组交换技术； 对用户和 ISP 提供商透明； 把用户导向速度最快的链路； 平衡流量以最大限度地利用链路资源和吞吐量； 链接成本负载平衡功能把流量导向花费最低的链路，以实现最低的带宽成本； 提供无缝的链路归并，以实现灵活的带宽可扩充性和降低成本； 北京安泰网安科技有限公司（ F WatchGuard、 Netscreen 中国区总代，技术支持中心） 地址 :广州市天河区天河北路 900906 号高科大厦 A 座 2203 邮编 :510630 电话 :02038389557 38389559 服务质量（ QoS）为满足各种业务需求提供个性化的流量控制； 提供安全网络地址转换（ SNAT）和智能 DNS，从而实现双向流量控制； 实时性能监视和数据统计以评估链路性能； 可同时支持防火墙三明治负载平衡； 为所有基于 TCP 和 UDP 的流量及其它 IP 流量提供链路负载平衡； 通过 Web 浏览器和 CLI 提供安全与远程管理 增设链路控制器（ Link Controller）提供完全冗余，以进行二级故障切换保护； 支持 iControl－为 F5 的 IP 流量和内容管理产品系列提供的业界首款开放应用编程接口（ API）。 BIGIP174。 Link Controller 安 1000 多归属网络的高可用性和链路控制 随着企业逐渐采用互联网传送关键任务应用，只与公共网络保持一个链路就意味着单点故障和严重的网络隐患。 F5 BIGIP Link Controller： 提供可靠的网络连接 管理多个链路上的入站 /出站流量 通过最佳性能链路发送流量 提高链接的可扩充性和吞吐量 实现最大的企业连接投资回报率 消除带有 BGP 的多归属的部署障碍和成本 确保可靠的网络连接 高可用性 BIGIP Link Controller 可检测整个链路所出现的错误，从 而提供可靠的端到端连接。 它负责监视每个连接的状况和可用性以及检测链路或 ISP 是否发生故障。 如果出现故障，流量将被动态透明地导向其它可用链路，以确保可靠的数据中心连接。 北京安泰网安科技有限公司（ F WatchGuard、 Netscreen 中国区总代，技术支持中心） 地址 :广州市天河区天河北路 900906 号高科大厦 A 座 2203 邮编 :510630 电话 :02038389557 38389559 全方位链路监视 BIGIP Link Controller 通过网关路由器提供链路工作状况和吞吐量的全景图，确保链路的可用性并提供关于任何指定链路带宽及容量的详细信息。 Link Controller 也可检测出由 ISP 配置错误或其它手工操作错误引起的故障。 最大限度地扩大带宽和提高投资回报 链接成本负载平衡 链接成本负载平衡功能可帮助您为 所有的通向数据中心的流量选择最低成本的连接方式。 流量被导向花费最低的链路，从而将带宽投资降至最低限度； 消除过量供应的情况； 为不同连接和不同成本的线路提供灵活性，以扩大带宽，消除带宽瓶颈，同时减少对低效率带宽的使用和相关成本的开销。 带宽的可扩充性 无论对于何种链路或提供商， Link Controller 都可帮助您归并花费较低且较窄的线路，以提供低成本的带宽冗余，同时减少浪费在闲置光纤或备用线路上的成本。 可扩充性 BIGIP 链路控制器为企业提供了一个可扩充平台： 集成防火墙负载 平衡，为冗余防火墙部署提供高可用性； 可通过升级增强服务器和高速缓存的本地负载平衡； 可通过升级支持全面、多站点的全局负载平衡和灾难恢复； 可随企业发展而扩展的高性能端口密集型平台； 支持数千兆位吞吐量以及任何数量的 ISP。 北京安泰网安科技有限公司（ F WatchGuard、 Netscreen 中国区总代，技术支持中心） 地址 :广州市天河区天河北路 900906 号高科大厦 A 座 2203 邮编 :510630 电话 :02038389557 38389559 全方。