论文部分内容阅读
需求背景
随着中石化成品油零售系统电子化的推进,中石化天津公司的加油站都必须通过远程连接到某石油的成品油零售系统,需要一个更为安全、经济和高可用的网络接入解决方案。从技术实现的方式来看,中石化天津公司对于加油站远程解决方案的需求包括以下几个方面:
1.传输安全;
2.支持Linux客户端;
3.降低客户端接入成本;
4.不需要linux客户端提供Java环境;
5.可以适应多种接入平台;
6.提供完善的客户端安全检查手段;
7.提供高可用性:加油站需要7×24小时的远程接入;
8.提供多种身份认证手段;
9.提供API。
早先兴起的IPSec VPN,主要是面向网络而非应用,并具有许多自身无法克服的缺点:比如,某些地点无法接入;可能引起大量的病毒入侵、木马、Web攻击等,从而给用户的网络应用带来系列问题。而且,由于中石化天津公司加油站均采用的是Turbo Linux操作系统,需要在各个加油站部署IPSec VPN网关,造价高昂。最终,中石化天津公司选择了更新的SSL VPN作为加油站远程接入解决方案。
采用了F5公司的FirePass产品—一台FirePass4130和一台FirePass FailOver Contoller,将所有加油站连接到某石油分公司的成品油零售系统,从而提供面向应用,高可用,高安全和易用的网络应用服务。
方案特点
1.与应用无关
使用网络连接方式提供与应用无关的接入方式,对应用完全透明,所有应用均可以和内网应用一致的方式运行。对用户来说,这意味着更易用,应用更丰富。
2.部署方便快捷
不需要客户端提供Java运行环境,只需要客户第一次登录时自动下载一个大约300K大小的Mozilla插件即可,这样不需要XX石油的IT人员去加油站现场即可完成部署,大大减少了工作量,节省了时间成本。这对使用linux定制版本,没有Java环境的加油站来说,可谓是量身定做。
3.多种多样的接入
F5 FirePass可以使用多种接入客户端,包括Mac、Linux、Solaris、Windows CE等等,大大扩展了客户端的使用便利性。所以,即使加油站采用的是linux是定制版本,也无后顾之忧。
4.良好的安全性
F5 FirePass可以对客户端做各种扫描,如操作系统版本、补丁版本、防病毒软件种类、病毒库更新时间等等,从而堵住病毒、木马入侵的途径。当授权的用户端点要访问企业网络时,SSL VPN就会对其进行安全策略的检验,如果其防病毒软件等不时最新版本,系统就会自动地为其下载、安装,然后接入网络应用。而技术支持人员,完全不用耗费专门的时间重复劳动,可以更好地专注于企业的网络中心。
F5 FirePass可以对接入客户进行各种限制,如可以访问的地址、端口、URL等等。
F5 FirePass可以配置成在退出时自动清除高速缓存。
以上这些功能都大大增强了系统的安全性。
5.高可用性
使用两台FirePass以冗余方式对外提供服务,可以保障7×24小时服务。
6.与各种身份认证服务器集成
企业在部署远程访问设备之前,部署了各种形式的AAA服务器,一般有Active Directory、LDAP、RADIUS、企业自行开发的SSO等等,客户端也有PKI、RSA Secure ID等等。FirePass可以轻易的与各种身份认证服务器集成,一般有Active Directory、LDAP、RADIUS、企业自行开发的SSO、PKI、RSA Secure ID等等,对于IT管理员来说,可以轻易将一台FirePass加入企业网,用户管理仍然由原来的身份认证服务器去做。
7.提供丰富的日志功能
FirePass可以提供非常丰富的用户级日志功能,更可以通过标准的日志协议将日志实时传送给企业中的日志服务器,便于审计。
8.提供丰富的API
FirePass提供丰富的API,利用这些API,用户和应用可以完全控制FirePass,如使用FirePass提供的API-iControl开发出自动运行的客户端和网络连接监控程序,一开机即自动运行客户端程序登录至FirePass;遇有网络连接中断情况即自动重新登录至FirePass,这样就实现了无人值守运行。
经过几个月的正式运行证明,F5的解决方案真正体现了“简单就是美”的境界。
随着中石化成品油零售系统电子化的推进,中石化天津公司的加油站都必须通过远程连接到某石油的成品油零售系统,需要一个更为安全、经济和高可用的网络接入解决方案。从技术实现的方式来看,中石化天津公司对于加油站远程解决方案的需求包括以下几个方面:
1.传输安全;
2.支持Linux客户端;
3.降低客户端接入成本;
4.不需要linux客户端提供Java环境;
5.可以适应多种接入平台;
6.提供完善的客户端安全检查手段;
7.提供高可用性:加油站需要7×24小时的远程接入;
8.提供多种身份认证手段;
9.提供API。
早先兴起的IPSec VPN,主要是面向网络而非应用,并具有许多自身无法克服的缺点:比如,某些地点无法接入;可能引起大量的病毒入侵、木马、Web攻击等,从而给用户的网络应用带来系列问题。而且,由于中石化天津公司加油站均采用的是Turbo Linux操作系统,需要在各个加油站部署IPSec VPN网关,造价高昂。最终,中石化天津公司选择了更新的SSL VPN作为加油站远程接入解决方案。
采用了F5公司的FirePass产品—一台FirePass4130和一台FirePass FailOver Contoller,将所有加油站连接到某石油分公司的成品油零售系统,从而提供面向应用,高可用,高安全和易用的网络应用服务。
方案特点
1.与应用无关
使用网络连接方式提供与应用无关的接入方式,对应用完全透明,所有应用均可以和内网应用一致的方式运行。对用户来说,这意味着更易用,应用更丰富。
2.部署方便快捷
不需要客户端提供Java运行环境,只需要客户第一次登录时自动下载一个大约300K大小的Mozilla插件即可,这样不需要XX石油的IT人员去加油站现场即可完成部署,大大减少了工作量,节省了时间成本。这对使用linux定制版本,没有Java环境的加油站来说,可谓是量身定做。
3.多种多样的接入
F5 FirePass可以使用多种接入客户端,包括Mac、Linux、Solaris、Windows CE等等,大大扩展了客户端的使用便利性。所以,即使加油站采用的是linux是定制版本,也无后顾之忧。
4.良好的安全性
F5 FirePass可以对客户端做各种扫描,如操作系统版本、补丁版本、防病毒软件种类、病毒库更新时间等等,从而堵住病毒、木马入侵的途径。当授权的用户端点要访问企业网络时,SSL VPN就会对其进行安全策略的检验,如果其防病毒软件等不时最新版本,系统就会自动地为其下载、安装,然后接入网络应用。而技术支持人员,完全不用耗费专门的时间重复劳动,可以更好地专注于企业的网络中心。
F5 FirePass可以对接入客户进行各种限制,如可以访问的地址、端口、URL等等。
F5 FirePass可以配置成在退出时自动清除高速缓存。
以上这些功能都大大增强了系统的安全性。
5.高可用性
使用两台FirePass以冗余方式对外提供服务,可以保障7×24小时服务。
6.与各种身份认证服务器集成
企业在部署远程访问设备之前,部署了各种形式的AAA服务器,一般有Active Directory、LDAP、RADIUS、企业自行开发的SSO等等,客户端也有PKI、RSA Secure ID等等。FirePass可以轻易的与各种身份认证服务器集成,一般有Active Directory、LDAP、RADIUS、企业自行开发的SSO、PKI、RSA Secure ID等等,对于IT管理员来说,可以轻易将一台FirePass加入企业网,用户管理仍然由原来的身份认证服务器去做。
7.提供丰富的日志功能
FirePass可以提供非常丰富的用户级日志功能,更可以通过标准的日志协议将日志实时传送给企业中的日志服务器,便于审计。
8.提供丰富的API
FirePass提供丰富的API,利用这些API,用户和应用可以完全控制FirePass,如使用FirePass提供的API-iControl开发出自动运行的客户端和网络连接监控程序,一开机即自动运行客户端程序登录至FirePass;遇有网络连接中断情况即自动重新登录至FirePass,这样就实现了无人值守运行。
经过几个月的正式运行证明,F5的解决方案真正体现了“简单就是美”的境界。