F5网络VPN设计

23

金 华 职 业 技 术 学 院

JINHUA COLLEGE OF VOCATION AND TECHNOLOGY

毕业教学环节成果

（2012届）

题 目 F5 FirePass SSL VPN 建设浅析 学 院 信息工程学院 专 业 计算机网络技术 班 级 网络092 学 号 200931010520206 姓 名 毛依儿 指导教师 朱墨池

2012年 5 月 23 日

金华职业技术学院毕业教学成果

目 录 摘 要 ........................................................................................................................................ 1 英文摘要 .................................................................................................................................... 1 引言 ............................................................................................................................................ 2 1 需求分析 ................................................................................................................................ 3

1.1现有网络分析 ................................................................................................................ 3 1.2用户需求分析 ................................................................................................................ 3 1.3关键点分析 .................................................................................................................... 3 2 远程安全技术产品的选择 .................................................................................................... 5

2.1从网络部署上 ................................................................................................................ 5 2.2从安全角度考虑 ............................................................................................................ 5 2.3从访问控制角度 ............................................................................................................ 6 2.4从经济性和扩展性 ........................................................................................................ 6 3 使用F5 firepass设备进行方案建设 ..................................................................................... 7

3.1 F5 Firepass系统设备型号的选择 ................................................................................. 7 3.2方案建设 ........................................................................................................................ 9 3.3管理员如何实施和管理 ................................................................................................ 9 3.4企业员和合作伙伴工利用firepass访问企业资源.................................................... 11 4 F5 firepass 设备所具有的优势 ............................................................................................ 12

4.1 F5 firepass系统特点 .................................................................................................... 12 4.2.firepass在安全性方面优势 ......................................................................................... 12 4.2.1客户机安全性 ......................................................................................................... 12 4.2.2内容检测和Web应用安全 .................................................................................... 13 4.2.3集成病毒防护功能 ................................................................................................. 13 4.2.4客户端安全性 ......................................................................................................... 13 结论与谢辞 .............................................................................................................................. 14 参考文献 .................................................................................................................................. 15

II

F5 FirePass SSL VPN 建设浅析

信息工程学院计算机网络技术 毛依儿

摘 要:VPN是利用公用网络来连接到企业私有网络，从逻辑上建立一个虚拟的私有网络，通过安全机制来保障机密型，实现真实可靠和严格的访问控制。目前随着多种远程办公模式逐渐普及，解决企业移动办公所需的VPN设备更是被企业所推崇。而F5公司推出的Firepass VPN却广受好评，因此本文通过Firepass 4100设备进行方案建设，突出Firepass设备具有的优势，并为企业如何选择适合的F irepass设备进行阐述。

关键词: VPN 私有网络 F5设备

F5 FirePass SSL VPN construction

analysed

(Major of Computer Network Technology, Information and

Engineering College, Jinhua Polytechnic,MaoYi-er)

Abstract: VPN is to use public network to connect to the enterprise private network, from logic to create a virtual private network, through the security mechanisms to protect confidential type, to achieve reliable and strict access control. At present, along with many kinds of remote office mode gradually universal, solve enterprise mobile office for VPN equipment is being respected by the enterprise. While F5's Firepass VPN is more widely acclaimed, therefore this article through the Firepass 4100 device for construction, the prominent Firepass equipment has the advantage, and how to choose the suitable Firepass Equipment Exposition. Keyword: VPN private network. F5 equipment

1

引言

随着互联网访问的增加，传统的互联网接入服务已越来越不满足用户的需求，因为传统的互联网只提供浏览、电子邮件等单一服务，没有服务质量保证，没有权限和安全机制，界面复杂不已掌握。

VPN就是解决这些问题的。VPN是利用公用网络来连接到企业私有网络，从逻辑上建立一个虚拟的私有网络，通过安全机制来保障机密性，实现真实可靠性和严格的访问控制。VPN的组网方式为企业提供了一种低成本的网络基础设施，并增加企业的网络功能，扩大了其专用网的范围。

目前实施加密的VPN实现安全接入的办法主要有两种：一种是IPsec VPN，另一种是SSL VPN。两种技术在不同领域各有其优势。在实施普通应用的移动用户接入VPN时，采用SSL技术，原因是SSL无需在客户端安装客户端软件、实施和维护灵活简单、不受地址翻译影响、控制策略更加细化、总体拥有成本较低，而且由于SSL VPN不是打开一个网络层通道，而只是提供了联系应用层请求的固化 网络接口，所以提高了与VPN相关的整个系统的安全性。

针对现在信息技术的快速发展，“在家办公”、“异地办公”、“移动办公” 等多种远程办公模式逐渐普及。因此在研究其VPN设备对解决企业移动办公问题上有重要意义。而F5网络公司在网络应用流量领域占有领先地位，于此本文将浅谈F5 VPN 的关键技术，SSL VPN的实现方式，以及产品系列和选用策略。

2

1 需求分析 1.1现有网络分析

目前，如电信、网通、联通、移动等各大运营商已经基本建立了覆盖全国各省市的数据网络，并且通过近年来各种宽带接入的发展，现在各企业、分公司之间普遍采用传统的专线，包括模拟、拨号、ISDN、数字用户线路（XDSL）、DDN、ATM 等接入方式。同时，随着网络的进一步发展，采用传统电路以及 IP 专线业务开展远程接入业务会产生巨大的运维压力，无法适应今后大规模的网络业务应用，必须建设灵活、高扩展性的 VPN网络。 1.2用户需求分析

随着信息技术的快速发展，为了提高服务的质量和水平、在市场竞争中取得优势，企业建立了内部局域网，使内部办公人员通过网络可以迅速地获取信息。然而，随着个人电脑和互联网应用技术的普及，“在家办公”、“异地办公”、“移动办公”等多种远程办公模式逐渐普及，同时合作伙伴的人员也希望能访问到相应的信息资源，企业的IT管理人员面临将远程办公模式作为内部办公网络的延伸和对合作伙伴人员提供外联网接入的需求，为远程办公的员工提供访问内部信息和为合作伙伴人员访问与其身份相符的信息的方便。然而，要享受通过互联网访问企业内部的信息资源的便利，就需要实施适当的信息安全策略，在严格防止企业信息资源被非法窃取的同时，对合法的访问要提供方便，同时还需尽量降低信息安全策略的实施和维护成本。 1.3关键点分析

VPN解决方案可以给企业带来的好处：

(1) 灵活性和扩充性：需要在 VPN服务中增加新站点或用户时，只需企业客户安装一台带有用户端设备或安全客户端软件的 PC 接入 internet。公司总部负责所需的任何站点和主干级开通工作。最优的 VPN 设计只需通过一条连接实现专用 Intranet、半专用Extranet 和公共 Internet 接入。这种整合能力使企业节约了成本，可以在当前专用网络和公共网络边界的内部和之间低成本扩大服务。

(2) 迅速部署和触及全球：VPN 地理覆盖范围可以简便地进行扩展，连接世界各地的个人和多用户办公室，同时支持流行的应用和协议。企业通过利用服务供应商的主干，而不是构建自己的主干网，把网络扩展到内部有限资源之外，如

3

Internet 上。

(3) 降低运营成本：管理型端到端 VPN 服务可以提供全面的服务质量(QoS)和服务水平协议(SLA)性能，支持要求最苛刻的商业应用。客户无须专业知识及专用资源，就可以实现 VPN自我管理、监控。

(4) 提供差别化服务：下一代功能如 QoS 和安全域划分等技术，将使服务供应商可以向用户提供更多的差别服务，提高该运营商的竞争优势。

4

2 远程安全技术产品的选择

企业通过Internet数据传输平台，实施加密的VPN实现安全接入的办法主要有两种：一种是IPsec VPN，另一种是SSL VPN。两种技术在不同领域各有其优势。在实施普通应用的移动用户接入VPN时，采用SSL技术，原因是SSL无需在客户端安装客户端软件、实施和维护灵活简单、不受地址翻译影响、控制策略更加细化、总体拥有成本较低，而且由于SSL VPN不是打开一个网络层通道，而只是提供了联系应用层请求的固化网络接口，所以提高了与VPN相关的整个系统的安全性。因此在选择SSL VPN的产品是我们应该从以下几方面进行考虑： 2.1从网络部署上

设备部署地的网络接入状况是用户可控制的，现在改善用户网络接入环境的方式主要为使用多家运营商的线路，这就决定了SSL VPN产品必须要支持多条网络线路复用的功能，最好支持接入用户的智能选路，从而使接入用户选择最快线路接入，少走冤枉路。 2.2从安全角度考虑

用户接入内网都是访问内网资源，内网资源中不乏各单位内部机密，包括ERP、OA等应用中传输的数据也是单位内部业务数据，一旦被第三方截取并破解，其后果不堪设想。因此一款好的SSL VPN产品应该是真正基于工业标准SSL协议的，至少拥有DES、3DES、AES、MD5、RC4、RSA等基本算法，并且随着国家信息安全建设步伐的加快，政府、教育、电力等大型行业用户选择支持国密办加密算法SSL VPN产品无疑是最保险的选择，但这仅仅保证的是数据通道传输的安全，一款好的SSL VPN产品还应该关注用户端接入安全、接入后权限控制这两方面问题，因为普通的内网安全防护设备并不能对SSL VPN方式接进内网的人员提供病毒安全防护，所以通过客户端安全检查、VPN专线等方式，确保建立起的SSL VPN通道不变成病毒、木马专用通道是SSL VPN产品必须保证的。对接入人员的身份认证无疑也是安全的一个考察点，在提供了基本的认证方式如用户名“密码认证、短信认证、USBKEY认证、动态令牌认证、硬件特征码认证等方式后，与客户网络内部已有的第三方服务器认证、域认证或者CA认证能无缝结合进行身份认证也逐渐成为了SSL VPN认证体系评价的标准之一。而对于接入人员细致的权限控制也是SSL VPN产品必备的特性之一，如果一个普通权限员工接入内网后可以随意访

5

问财务服务器，这肯定是存在安全隐患的，一般现有的权限控制都基于角色和资源的关联并搭配以用户门户之类的技术来实现。 2.3从访问控制角度

由于IPSec VPN部署在网络层，因此，内部网络对于通过VPN的使用者来说是透明的，只要是通过了IPSec VPN网关，他可以在内部为所欲为。因此，IPSec VPN的目标是建立起来一个虚拟的IP网，而无法保护内部数据的安全。所以IPSec VPN又被称为网络安全设备。

然而在电子商务和电子政务日益发展的今天，各种应用日益复杂，需要访问内部网络人员的身份也多种多样，比如可能有自己的员工、控股公司的工作人员、供货商、分销商、商业合作伙伴等等。与IPSec VPN只搭建虚拟传输网络不同的是，SSL VPN重点在于保护具体的敏感数据，这就要求SSL VPN的产品可以根据用户的不同身份，给予不同的访问权限。就是说，虽然都可以进入内部网络，但是不同人员可以访问的数据是不同的。而且在配合一定的身份认证方式的基础上，不仅可以控制访问人员的权限，还可以对访问人员的每个访问，做的每笔交易、每个操作进行数字签名，保证每笔数据的不可抵赖性和不可否认性，为事后追踪提供了依据。 2.4从经济性和扩展性

IPSec VPN在部署时一般放置在网络网关处，因而要考虑网络的拓扑结构，如果增添新的设备，往往要改变网络结构，那么IPSec VPN就要重新部署，因此造成IPSec VPN的可扩展性比较差。

但是SSL VPN就有所不同，它一般部署在内网中任一节点处即可，可以随时根据需要，添加需要VPN保护的服务器，因此无需影响原有网络结构。

假设一个公司有1000个用户需要进行远程访问，那么如果购买IPSec VPN的产品，那么就需要购买1000个客户端许可，而如果购买SSL VPN产品，因为这1000个用户并不同时进行远程访问，按照统计学原理，假定只有100个用户会同时进行远程访问，只需要购买100个客户端许可即可。

6

3 使用F5 firepass设备进行方案建设

现在市场上充斥了各式各样的SSL VPN产品，但是F5 firepass 系列的远程接入产品却是广受好评的SSL VPN产品，通过采用标准Web浏览器为用户提供了一种安全访问企业应用和数据的方式。无论在家中还是在路上，FirePass出色的性能、可扩展性、易于使用特性以及安全特性，均有助于提高工作效率，并保持企业数据的安全。

3.1 F5 Firepass系统设备型号的选择 FirePass 4300系列

FirePass 4300控制器是专为大中型企业和运营商而精心设计的2U机架安装式服务器。它支持多达2000个并发用户采用四核CPU获得最佳性能。 此外， FirePass 4300 还支持内置的冗余电源和可选的千兆光纤端口。 FirePass 4100系列

FirePass 4100控制器是专为大中型企业精心设计的2U机架安装式服务器。它可支持多达2000+并发用户，为基于Web方式安全远程访问企业应用和桌面提供了一套全面的解决方案。 FirePass 1200系列

FirePass 1200控制器是专为中小型企业精心设计的1 U 机架安装式服务器。它支持 10－100个并发用户，为基于 Web方式安全远程访问企业应用和桌面提供了一套全面的解决方案。

7

图3-1设备型号

8

3.2方案建设

图3-2企业拓扑图

将F5 FirePass4100 连接到xxx企业的核心交换机上，利用原有存在防火墙，在防火墙上映射一个合法可路由的IP地址为FirePass4100 VPN设备，并添加相应的安全策略，在FirePass4100 vpn 设备上添加用户组，并且为每个用户组添加相应的用户（如财务组、行政组等），为每个用户组设置相应的访问权限，远程分之机构用户、移动用户只需要在本机的IE浏览器输入映射的IP地址或者域名的即可访问到FirePass vpn的首页内容，然后输入分配的用户名和密码，即可访问相应的内部资源。

两台F5 FirePass4100 VPN设备之间通过HA方式实现，实现设备之间的高可靠性，即当一台设备发生故障时，另外一台会自动升级为活动设备，对SSL VPN连接用户没有任何影响，同时也保证了设备在管理时，数据不易被窃听和修改。 3.3管理员如何实施和管理

F5 FirePass控制器所提供的远程访问解决方案能够满足管理员及最终用户的需要对管理员而言，FirePass控制器去掉了传统远程VPN客户端软件加载到每台设备上的部署要求，减少了部署时间，提供了无客户端访问公司应用的能力，并可支持多种设备类型。 这一无所不在、几乎能随时随地访问任何设备的应用的特性、加上全局及局部冗余特性，为那些移动员工不断增多的企业提供了极为可靠的保证。

(1）动态政策引擎

9

管理员经常会发现很难支持远程访问系统。 对于高级别的维护，需要管理用户组并不断进行更新；同时，维护网络安全和用户访问又非常复杂。 以往的解决方案提供的记录能力非常有限，要求明确记录网络资源或者在发生故障时需要大量有价值的提示方可进行故障排除。

凭借FirePass设备, 管理员可以快速而精确地控制网络。根据用于远程访问的设备,FirePass设备也支持授权访问应用的规则。 例如，凭借该特性，管理员可以配置用户权限，规定他们在公共信息亭只能访问电子邮件系统，但是在公司的膝上电脑上则可以完全访问网络。

(2）认证和授权

通过FirePass设备管理用户认证和授权相当容易。 FirePass产品配置后可与RADIUS和LDAP、Windows域名服务器认证方法或内部安全数据库共同使用 对于LDAP和Windows域名服务器，FirePass产品还支持根据Windows Domain Server中的属性来自动添加用户。 在基础FirePass产品中，也针对有着不同组要求的认证方法提供了用户组认证。例如，员工可能被授权访问LDAP目录（并要求使用双因素令牌）；而外联网的合作伙伴则只需使用密码即可，但是仅限于访问单个外联网服务器。

许多公司都需要双因素认证，即使用用户ID与密码以外的信息进行认证。 FirePass控制器完全支持RSA SecurID令牌式认证，并提供了内建的VASCO Digipass(r)实施。根据RSA或VASCO，用户在进行认证时既要使用密码或PIN，又要使用由“fob”(一款小型电子设备)生成的一系列随时间而异的数字。fob生成的数字通过复杂公式计算得出，而每个公式又都取决于每个用户和数字生成的日期与时间，因此即使fob失窃也不会对整个系统造成损失。

(3）审计

FirePass设备也会向管理员提供来自会话和活动日志的报表。汇总报告将依据用户规定的时间间隔，按日期、时间、访问OS、使用的特性、会话持续时间和会话终端类型来汇总网络使用情况的报告。带有逐层显示能力的详尽报告将使您全面精细地了解到最终用户的所有数据。

(4）客户端证书支持

FirePass控制器允许管理员根据用于访问FirePass 服务器的设备类型来限

10

制或允许访问。FirePass控制器也能够检查用户登录时是否存在客户端数字证书。 此证书只会在膝上电脑上显示。如果具有此证书，FirePass控制器将允许用户访问更广泛的应用。 FirePass设备也可将客户端证书作为一种双因素认证，并禁止没有合法客户端证书的用户访问所有的网络。

(5）可定制的用户界面

FirePass产品包含一个可定制的用户界面，它允许系统管理员将整个最终用户界面语言进行本地化处理，将特性名称及列表转换为本地语言。 系统管理员也可以调整产品的整体外观，以适应公司内联网的结构。

FirePass产品除了具有本地化的用户界面、图形及定制布局以外，还提供了组群模板，使管理员可以为每一个用户群指定选择可用资源的顺序。 这些模板很方便地为最终用户提供一个更直观的接入门户,即一个快速、轻松地访问相关资料的入口。 最终用户使用任何标准的Web浏览器便可访问他们的个人FirePass主页。 包括网络收藏夹，如经常查看的URL的快捷方式、群/个人目录及经常访问的文件。 通过提供自动导航栏，允许用户识别当前位置和返回上一个位置或主页的操作，导航变得更为简便，只需点击鼠标即可。 3.4企业员和合作伙伴工利用firepass访问企业资源

FirePass产品除了具有本地化的用户界面、图形及定制布局以外，还提供了组群模板，使管理员可以为每一个用户群指定选择可用资源的顺序。这些模板很方便地为最终用户提供一个更直观的接入门户,即一个快速、轻松地访问相关资料的入口。最终用户还可以使用任何标准的Web浏览器访问他们的个人FirePass主页。

11

4 F5 firepass 设备所具有的优势 4.1 F5 firepass系统特点

一流的策略管理——独特的可视化策略编辑器能够提供直观、易用的 “指向并点击” (poin-tand-click) 界面，在降低管理成本的同时，轻松管理精 细访问策略。

集成的端点安全性——提供安全虚拟工作区、预先登录终端完整性检查，以及端点信任管理等功能，从而解除了您的后顾之忧，使您无需浪费精力于管理事务。

广泛的应用支持——可实现从管理的及非管理的客户端设备从任何地方轻松、安全地访问电子邮件， Web门户、网络文件服务、终端服务、客户关系管理系统以及其它主要企业应用。

广泛的客户支持——FirePass可提供广泛的多平台支持，允许用户从Windows(98、 2000、XP、 Vista) 、MAC、 Linux和 Pocket PC客户端安全访问网络。还支持全新的Vista客户端操作系统和I E7。

企业级可扩充性与性能——在单一且易于管理的设备上可支持高达2,000个并发会话。通过与F5 BIG-IP本地流量管理器的集成，可支持几万个并发会话。借助任意IP应用流量的压缩和Web应用的服务器端高速缓存功能，可以优化最终用户的体验。

广泛的互操作性——借助Active Directory、 Radius、 LDAP、 PKI、 RSA ACE及其它方式，为现有网络基础设施和身份管理系统提供支持。 所提供的Web门户集成产品支持 Java applets、 Javascript重写及其它技术。

业内领先全球的高可用性——与F5 BIG-IP广域流量管理器的独特集成，能够于发生站点灾难时在整个WAN上提供高度可用性。故障切换支持在站点内提供高度可用性。

4.2.firepass在安全性方面优势 4.2.1客户机安全性

受保护工作区——Windows 2000/XP的用户可自动切换至受保护工作区，来进行远程访问会话。在受保护工作区模式中，用户无法将文件写入到受保护工作区和临时文件夹外的任何位置，并且所有的内容都将在会话结束时被删除。

12

高速缓存清除——高速缓存清除控件可删除在远程访问会话期间来自客户端电 脑的下列数据:Cookies、浏览器历史记录、自动完成信息、浏览器高速缓存、临时文件、以及所有安装的ActiveX控件。同时它还可清空回收站数据。

安全虚拟键盘——对于额外的密码安全方面的需求，FirePass 提供了已申请专利的安全虚拟键盘功能，它借助鼠标 (而不是键盘) 来实现安全的密码输入。

下载拦截——对于无法安装“清除”控件的系统，可配置 FirePass以拦截所有文件的下载，从而避免发生无意间遗留临时文件的情况，同时还能对应用进行访问。

4.2.2内容检测和Web应用安全

针对那些通过企业网络进行Web应用访问的用户，FirePass通过扫描Web应用访问以查找应用层攻击并在发现攻击时拦截访问的方式，来增强应用的安全性，并确保应用层免受攻击。 4.2.3集成病毒防护功能

FirePass采用基于ICAP API的集成扫描仪或外部扫描仪对Web 和文件上传进行扫描。这样，受感染的文件在网关就会被阻断而无法访问网络中的电子邮件或文件服务器，从而加强了防护。 4.2.4客户端安全性

安全分割隧道——当通过分割隧道进行网络访问时，为防止后门的攻击，firepass提供了动态防火墙，一边在使用完全网络访问特定时保护Win2000/XP用户免受攻击。这一特定性可阻止黑客通过客户机路由到企业网络上，或防止用户无意中将流量发送到公共网络上。

客户机完整性检查——firepass通过在客户机进行完全网络访问之前检查是否存在所需进程（如：病毒扫描，个人防火墙，操作系统补丁级别，注册表设置等）以及检测是否存在其他进程（如：键盘记录器），来增强其安全性。

13

结论与谢辞

经过三个多月的学习和工作，我的毕业设计课题也终将告一段落。从开始接到论文题目到构思，再到论文文章的完成，每走一步对我来说都是新的尝试与挑战，这也是我在大学期间独立完成的最大的项目。Firepass VPN设备形状类似于交换机、路由器之类，而他所具备的功能却是很强大，不仅有可视化策略编辑器、广泛的客户支持、安全方面更是强大，管理者可以通过它做到轻松管理，企业员工和合作者可以用不同的用户名和密码通过客户端登入，为了安全还设置了用户权限。这期间，我学到了很多知识也有很多感受，但由于能力和时间的关系，还是觉得有很多不尽人意的地方。

毕业论文不足之处：

(1) 整体论文思路不清，摘要多次修改，英文摘要格式； (2) 论文结构安排主次不明，内容欠缺，不够严谨；

从这次的论文学习中，尽管还有这样那样的缺点，可我觉得还是挺满意的。毕业设计也许是我大学生涯交上的最后一个作业了。想借此机会感谢这三年以来给我帮助的所有老师和同学，谢谢你们的鼓励与支持。还有我的毕业指导老师，感谢他不厌其烦的指导。在此，郑重地向他道声谢谢。

大学生活即将匆匆忙忙地过去，但它给我的收获却不能用用言语来表述，这三年以来，经历过的所有事，所有人，都将是我以后生活回味的一部分，是我为人处事的指南针。就要离开学校，走上工作的岗位了，这将是我人生历程的又一个起点，为此我会加倍努力，加油！

14

参考文献

[1]易光华，傅光轩，胡艳.一种基于SSL的VPN的研究与实现[J]. 贵州大学学报：

自然科学版，2006年03期

[2] 何宁，郑伟，常春.基于SSL协议的访问控制体系的分析与设计[J].控制工程；

2004年02期

[3]李跃.基于SSL的VPN的研究与改进[J].信息安全与通信保密.2005年02期 [4]王海航，谭成翔，孙为清，赵轶群.VPN技术的研究与应用现状及发展趋势[J].

计算机工程与应用.2001年23期

[5]戴芦生.虚拟专用网技术（VPN）及其实现[J].安徽电子信息职业技术学院报（自

然科学版）,2006年03期

[6]赵庆松，孙玉芳，张晓平.基于角色域-类型增强访问控制模型研究及其实现[J]

电子学报,2003年06期

[7]洪琳，李展.数字签名、数字信封和数字证书[J].计算机应用.2000年02期

15

本文来源：https://www.bwwdw.com/article/epj3.html