Консолидация управления удаленным доступом с F5 Access Policy Manager

Содержание
2 Единый глобальный доступ
3 Консолидированная
инфраструктура и
упрощенное управление
5 Динамический и
централизованный
контроль доступа
7 Высокий уровень
безопасности
8 Secure Web Gateway
10 Гибкость, высокая
производительность и
масштабируемость
12 Архитектура BIG-IP APM
13 Платформы BIG-IP APM
13 Платформы VIPRION
15 Служба технической
поддержки F5
15 Упрощенное
лицензирование
15 Дополнительные сведения
В настоящее время доступ к приложениям, данным и другим бизнес-ресурсам
осуществляется как изнутри компании, так и из-за ее пределов. Сотрудники в офисе
и удаленные сотрудники, партнеры и заказчики зачастую работают с приложениями без
какой-либо защиты. Точка централизованного контроля политик доступа обеспечивает
его с учетом текущих условий и является ключевым элементом управления
масштабируемой, защищенной и динамичной средой.
BIG-IP® Access Policy Manager® (APM) — это гибкое высокопроизводительное решение
в сфере безопасности, обеспечивающее единый глобальный доступ к вашим
приложениям и сети. Объединяя и консолидируя удаленный доступ, доступ через ЛВС
и беспроводные соединения в рамках единого интерфейса управления и предоставляя
простые в управлении политики доступа, BIG-IP APM помогает высвободить
дорогостоящие ИТ-ресурсы и обеспечить экономичное масштабирование.
Основные преимущества
Единый глобальный доступ
Консолидация удаленного доступа, доступа
через локальную сеть и беспроводные
соединения в рамках общего интерфейса.
Консолидация и упрощение
Избавление от прокси-серверов веб-доступа
и интеграция с OAM, XenApp и Exchange
позволяет снизить расходы
на инфраструктуру и управление.
Централизованный контроль доступа
Простая в использовании точка
централизованного контроля позволяет
управлять доступом к приложениям и веб-
сайтам путем динамической реализации
учитывающих контекст политик.
Удобный доступ и надежная защита
Богатый набор функций работы
с конечными устройствами обеспечивает
защиту организации от потери данных,
заражения вирусами и подключения
несанкционированных устройств.
Защищенный доступ в Интернет
Предотвращение доступа пользователей
к ненадлежащим и потенциально опасным
веб-сайтам и зараженным вредоносным
кодом приложениям, а также защита
от изощренных интернет-угроз.
Гибкость и масштабируемость
Простое, быстрое и экономичное решение
для поддержки всех пользователей.
Экономичное масштабирование и
объединенный контроль доступа
BIG-IP Access Policy Manager
ТЕХНИЧЕСКОЕ ОПИСАНИЕ

2
Единый глобальный доступ
По мере увеличения количества мобильных сотрудников у пользователей возникает
потребность в доступе к корпоративным ресурсам из сетей различных типов
и с разнообразных устройств. Главной проблемой при этом становится обеспечение
безопасной и быстрой работы с приложениями для удаленных пользователей.
Одно решение для всех типов доступа
BIG-IP APM располагается между приложениями и пользователями, создавая в сети
стратегическую точку контроля. BIG-IP APM защищает открытые для внешнего мира
приложения, предоставляя пользователям за пределами организации доступ с учетом
контекста и политик, а также консолидирует инфраструктуру доступа компании.
Это устройство также обеспечивает защищенный удаленный доступ к корпоративным
ресурсам из любых сетей и с любых устройств.
Объединяя и консолидируя удаленный доступ, доступ через ЛВС и беспроводные
соединения в рамках единого интерфейса управления и предоставляя простые в
управлении политики доступа, BIG-IP APM помогает ИТ-специалистам вернуть себе
контроль над доступом к приложениям.
Платформа BIG-IP
Частная/общедоступная
облачная система
ЦОД
VDI VDI VDI
Серверы приложений
APMLTM
Каталоги
Локальные и
удаленные
пользователи
Приложение 1 Приложение n
BIG-IP APM дает возможность консолидации и управления всеми видами доступа к сетям и
приложениям.
Удаленный доступ с постоянным подключением
BIG-IP APM в сочетании с отдельно поставляемым клиентом обеспечивает защищенный
удаленный доступ. Высокотехнологичный интегрированный клиент BIG-IP®
Edge
Client®
отвечает за получение сведений о местоположении и определение зоны для
обеспечения не имеющего аналогов надежного защищенного доступа с учетом
политик. BIG-IP Edge Client позволяет пользователям одинаково продуктивно работать
из дома или через беспроводную сеть, использовать USB-модемы при работе в пути,
проводить презентации через корпоративную беспроводную сеть, беспроводную сеть
в кафе или через подключение по локальной сети. BIG-IP Edge Client автоматически

3
определяет домены и подключается даже после потери VPN-соединения. Он также
может отключаться при обнаружении подключения по локальной сети.
За счет поддержки широкого спектра мобильных устройств BIG-IP APM расширяет
возможности управляемого доступа для мобильных и удаленных пользователей.
Приложение BIG-IP®
Edge Portal™ (существуют версии для Apple iOS и Google Android)
облегчает защищенный удаленный доступ к корпоративным веб-приложениям.
Полнофункциональный SSL VPN доступен через BIG-IP Edge Client на компьютерах
Apple Mac, iPhone, iPad, устройствах с Microsoft Windows, платформах Linux
и устройствах Android.
Расширенное подключение к сетям стандарта IPv6
Интернет в настоящее время переходит со стандарта IPv4 на IPv6. Чтобы обеспечить
непрерывность работы и будущий рост, организации должны расширять свои сетевые
возможности для поддержки совместного использования IPv4 и IPv6. BIG-IP APM
обладает полной поддержкой IPv6 и обеспечивает все типы доступа.
Консолидированная инфраструктура и упрощенное управление
Объединяя экономичное управление доступом в масштабах всей организации с
централизованной доставкой приложений через систему F5®
BIG-IP®
Local Traffic
Manager™ (LTM), BIG-IP APM сильно упрощает реализацию служб аутентификации,
авторизации и учета (AAA).
Сквозной вход
BIG-IP APM поддерживает единый вход (SSO) для нескольких доменов и Kerberos,
позволяя использовать дополнительные типы проверки подлинности (например Federal
Common Access Cards) и проверку подлинности Active Directory для любых приложений.
Пользователи автоматически входят в серверные приложения, являющиеся частью
пространства Kerberos. Это обеспечивает прозрачность работы после прохождения
пользователем аутентификации по одной из поддерживаемых схем.
Поддержка языка Security Assertion Markup Language (SAML) 2.0 еще сильнее
расширяет возможности BIG-IP в части единого входа за счет поддержки соединений,
инициированных поставщиками удостоверений и поставщиками служб. Эта функция
распространяет возможности единого входа на облачные приложения за пределами
корпоративного центра обработки данных и позволяет объединить удостоверения
для всех имеющихся у организации платформ BIG-IP. Эта функция сводит к минимуму
время, которое тратится на вход в разные приложения с использованием единого
входа и позволяет создать единый пользовательский портал для облачных приложений,
инфраструктуры виртуальных рабочих столов (VDI) и клиент-серверных приложений.
Автоматическая синхронизация служб Exchange
BIG-IP APM поддерживает синхронизацию электронной почты, календаря и контактов
с Microsoft Exchange на мобильных устройствах, использующих протокол Microsoft
ActiveSync (например Apple iPhone). Избавляя от лишних уровней аутентификации
при работе с Microsoft Outlook Web Access, ActiveSync и Outlook Anywhere,
BIG-IP APM помогает компаниям консолидировать инфраструктуру и поддерживать
производительность труда пользователей. При миграции на Exchange 2010 BIG-IP APM
взаимодействует с Active Directory, облегчая прозрачный перенос почтовых ящиков.

4
По окончании миграции BIG-IP APM обеспечивает управляемый доступ к Exchange
по единому URL-адресу для всех пользователей, устройств и сетей.
Консолидированная инфраструктура аутентификации, авторизации и учета
Другие решения для аутентификации используют кодирование приложений,
отдельные агенты веб-серверов или специализированные прокси-серверы,
которые могут создавать серьезные проблемы с управлением, масштабированием
и бюджетом. Контролируя аутентификацию, авторизацию и учет (AAA) непосредственно
в системе BIG-IP, BIG-IP APM позволяет применять настраиваемые политики доступа ко
множеству приложений и централизованно получать информацию о среде авторизации
компании. Это помогает консолидировать инфраструктуру AAA, избавиться от лишних
слоев, упростить управление и, как следствие, снизить капитальные и текущие расходы.
Консолидированный доступ для Oracle
Интеграция BIG-IP APM с решением Oracle Access Manager позволяет разрабатывать
политики доступа и управлять службами доступа на основе политик Oracle из единой
точки. Такая интеграция помогает сократить капитальные и текущие расходы за счет
консолидации подключаемых модулей и веб-прокси аутентификации.
Упрощенный доступ для среды виртуальных приложений
Используя BIG-IP APM, администраторы приобретают возможность динамического
контроля над доставкой и компонентами безопасности корпоративных решений
для виртуализации, а также получают преимущества управления единым доступом,
безопасностью и политиками. Например, в типичном решении на основе Citrix XenApp/
XenDesktop администратор может использовать платформу BIG-IP APM вместо
управления аутентификацией Citrix, центра безопасных сертификатов Secure Ticket
Authority (STA), NetScaler и служб XenApp Services (требуются для поставляемого Citrix
корпоративного развертывания).
BIG-IP APM поддерживает одновременное использование VMware Horizon View
и Citrix XenApp/XenDesktop, а также других технологий. Кроме того, BIG-IP APM
предоставляет в распоряжение компаний единое масштабируемое решение для
контроля доступа, включающее политики и средства управления как для удаленного
доступа, так и доступа через локальную сеть, и не требующее изменения конфигурации
серверов. Данное решение также можно распространить на другие приложения,
добившись упрощения корпоративной инфраструктуры, снижения ее стоимости
и повышения масштабируемости.
Подробные отчеты
Подробное представление журналов и событий содержит детальные сведения
о сеансах политик доступа. В BIG-IP APM используются отчеты технологического
партнера Splunk (решение для высокоскоростного индексирования и поиска),
помогающие получить полную картину тенденций движения трафика и доступа
к приложениям, позволяющие объединять данные для криминологического анализа
больших промежутков времени, ускорить реагирование на инциденты и выявлять
непредвиденные проблемы, пока с ними не столкнулись пользователи.

5
BIG-IP APM позволяет создавать настраиваемые отчеты с подробными данными
и статистикой для интеллектуальной отчетности и анализа. В качестве примера можно
привести подробные отчеты о сеансах по следующим параметрам:
• ошибки доступа;
• пользователи;
• ресурсы, к которым осуществлялся доступ;
• использование групп;
• определение места по IP.
Настраиваемые отчеты содержат подробные данные и статистику для интеллектуального
анализа.
Мастера готовых конфигураций
BIG-IP APM помогает сократить административные расходы, облегчая быструю
настройку и развертывание служб аутентификации и авторизации. Мастер настройки
включает набор готовых мастеров виртуальных устройств локального трафика
и доступа к приложениям. Он создает базовый набор объектов и политику доступа
для типовых развертываний, а также автоматически создает ветви в конфигурации
для поддержки необходимых объектов конфигурации. Пошаговое создание
конфигурации, контекстная справка, обзор и обобщение делают настройку служб
конфигурации и авторизации в BIG-IP APM простой и быстрой.
Доступ к данным о состоянии в режиме реального времени
Панель политик доступа в системе BIG-IP позволяет быстро ознакомиться с
состоянием сессий пользователей. Можно просматривать используемый по
умолчанию шаблон с информацией об активных сессиях, пропускной способности
сети, новых сеансах и соединениях сетевого доступа или создать собственные
представления, используя средство выбора окон на панели управления.
Перетаскивая нужные статистические показатели на панель окна, вы получаете
информацию о состоянии доступа в режиме реального времени.

6
Динамический и централизованный контроль доступа
Принимая решения об управлении доступом с учетом контекста и политик, BIG-IP APM
способствует соблюдению стандартов безопасности в компании и поддерживает
эффективную работу пользователей за счет доступа к нужным приложениям.
Визуальный редактор политик доступа
Продвинутый визуальный редактор политик с графическим интерфейсом облегчает
создание подробных индивидуальных и групповых политик доступа и управление ими.
Визуальный редактор политик позволяет всего в несколько щелчков мышью быстро
и эффективно создавать и изменять динамические политики доступа. Например,
вы можете создать политику сервера аутентификации, интегрированную
с протоколом RADIUS; указать ресурсы, доступ к которым предоставляется после
прохождения авторизации, или закрыть доступ за несоблюдение требований политики.
Агент определения географического положения обеспечивает автоматический поиск
и протоколирование. Это упрощает процесс создания конфигурации и позволяет
настраивать правила доступа пользователей в соответствии с принятой в организации
политикой относительно их географического положения. Визуальный редактор политик
помогает сократить расходы на управление доступом за счет централизации контроля
над политиками.
Продвинутый визуальный редактор политик облегчает создание политик доступа.
Динамический контроль доступа
BIG-IP APM обеспечивает аутентификацию доступа с использованием списков контроля
доступа (ACL) и производит авторизацию пользователей, динамически применяя
во время сеанса списки контроля доступа уровней L4 и L7. Как списки контроля
доступа уровня L4, так и списки контроля доступа уровня L7 поддерживаются с учетом
состояния конечного устройства, выступающего в качестве точки реализации политики.
BIG-IP APM может предоставлять индивидуальный и групповой доступ к утвержденным
приложениям и сетям, используя динамические сеансовые списки контроля доступа
уровня L7 (HTTP). Для простого и быстрого создания списков контроля доступа можно
использовать визуальный редактор политик.

7
Политики доступа
С помощью BIG-IP APM можно создавать политики доступа для аутентификации
и авторизации, а также дополнительной проверки безопасности конечных устройств для
принуждения пользователей к соблюдению корпоративных политик. Можно создать один
профиль доступа для любых соединений с любых устройств или несколько профилей для
различных методов доступа, каждый из которых будет иметь собственную политику доступа.
Например, можно создать политику для аутентификации доступа к приложениям или для
динамического подключения списков контроля доступа. После создания политик сеть
компании начинает учитывать контекст: она понимает, кем является пользователь, как и когда
этот пользователь пытается получить доступ к приложениям, откуда он пытается получить
этот доступ и каково состояние сети в момент доступа.
Авторизация с учетом контекста
Способствуя идентификации пользователей в сети, BIG-IP APM предоставляет вам
простую в использовании централизованную точку контроля над доступом пользователей.
Когда десятки тысяч пользователей получают доступ к приложению, BIG-IP APM
производит разгрузку обработки SSL-шифрования, предоставляет доступ к службам
аутентификации и авторизации, а также может создавать отдельное защищенное
SSL-соединение для сервера приложений. Авторизация с учетом контекста предоставляет
вам полный безопасный контроль над перемещением пользователей с учетом политик.
Высокий уровень безопасности
Принимая решения об управлении доступом с учетом контекста и политик, BIG-IP APM
способствует соблюдению стандартов безопасности в компании и поддерживает
эффективную работу пользователей за счет доступа к нужным веб-ресурсам.
Технологии VPN
BIG-IP APM может работать в сочетании с поставляемым отдельно клиентом,
обеспечивая удаленный SSL-доступ через VPN для удаленных и мобильных
пользователей. Он предлагает для удаленных соединений режим Datagram
Transport Layer Security (DTLS), хорошо подходящий для обеспечения безопасности
и туннелирования приложений, чувствительных к задержкам. Для трафика
между филиалами или центрами обработки данных включается шифрование
IPsec. Используя технологии VPN в решении компании F5 для объединенного
управления доступом, компании обеспечивают сквозную безопасность всей
глобальной инфраструктуры.
Надежная защита конечных устройств
BIG-IP APM может проверять и оценивать состояние системы безопасности устройства
и определить, входит ли оно в домен организации, через браузер. Затем
в зависимости от результатов проверки выбирается динамический список контроля
доступа, обеспечивающий безопасность с учетом контекста. В систему встроено
более десятка проверок конечных устройств, включая проверку ОС, антивирусного ПО,
межсетевого экрана, файлов, процессов, реестра, а также MAC-адреса устройства,
идентификаторов процессора и жесткого диска. В случае мобильных устройств под
управлением Apple iOS или Google Android производится проверка их UDID, а также
признаков снятия ограничений производителя или оператора связи (разлочки)
либо рутинга (получения прав суперпользователя). Администраторы могут связать
характеристики устройства с ролью пользователя, получив дополнительные точки

8
принятия решения при осуществлении контроля доступа. Средство очистки кэша
браузера по окончании сеанса автоматически удалит все конфиденциальные данные.
Динамические вебтопы
Динамический вебтоп отображает список веб-приложений, доступных пользователю
после аутентификации. Содержимое вебтопа является динамическим в том смысле,
что пользователю показываются только ресурсы, для которых он прошел авторизацию.
Вебтоп настраивается с учетом удостоверения пользователя, контекста и членства
в группах. Вебтопы можно настраивать с использованием единого входа на основе
SAML, чтобы все происходило прозрачно для пользователя.
Тоннели приложений
Если конечное устройство не соответствует политике безопасности,
тоннель приложения позволяет предоставить ему доступ только к определенному
приложению, а не к сети в целом. Например, мобильный пользователь может
просто щелкнуть клиент Microsoft Outlook, чтобы получить защищенный доступ
к своей электронной почте из любой точки мира. Тоннели приложений в полной
мере оптимизированы для WAN, и соответствующие приложения пользуются всеми
преимуществами адаптивного сжатия, ускорения и оптимизации TCP для эффективной
доставки контента пользователям.
Зашифрованная среда с защищенным рабочим пространством
Используя надежное шифрование, BIG-IP APM может создавать рабочее пространство
для пользователей, которым требуется локальная защищенная.вычислительная среда.
В этом режиме пользователи не могут сохранять файлы в местоположениях
за пределами защищенной рабочей среды. Содержимое временных папок и кэша
браузера удаляется в конце сеанса для обеспечения максимальной безопасности
данных. Можно настроить BIG-IP APM таким образом, чтобы пользователи
Microsoft Windows 8, Windows 7 (32-разрядная версия), Windows XP и Windows Vista
автоматически переключались на защищенное рабочее пространство.
Защищенный доступ с преобразованием Java-апплетов
Обычно при открытии пользователем Java-апплета (например эмулятора терминала
IBM) он открывает сетевые соединения с использованием произвольных портов,
которые могут быть заблокированы межсетевым экраном или могут использовать SSL
для защиты трафика. Это лишает удаленных сотрудников возможности пользоваться
апплетами. Используя функцию перезаписи Java, BIG-IP APM преобразовывает
серверные Java-апплеты в режиме реального времени. Таким образом, клиенты,
запускающие апплеты, подключаются через BIG-IP APM, используя SSL в рамках
аутентифицированного BIG-IP APM сеанса. После перезаписи BIG-IP APM хранит
преобразованный код Java в кэше оперативной памяти, поэтому его нет необходимости
перезаписывать каждый раз.
Комплексный доступ к приложениям и их защищенность
Эффективная платформа BIG-IP, поддерживающая множество решений,
позволяет обеспечивать безопасность приложений, не жертвуя удобством доступа.
BIG-IP APM и BIG-IP®
Application Security Manager™ (ASM) работают вместе на устройстве
BIG-IP LTM, защищая приложения от атак и обеспечивая гибкий, многоуровневый и
детальный контроль доступа. Мгновенная фильтрация атак обеспечивает безопасность
и доступность приложений и оптимальный уровень удобства для пользователей.

9
Интегрированное решение помогает обеспечить соответствие местным и региональным
нормативным требованиям, включая стандарт безопасности данных отрасли платежных
карт (PCI DSS). Это позволяет свести к минимуму штрафы за нарушения и защитить
организацию от потери данных. Комплексное решение также позволяет сэкономить
средства, поскольку избавляет от необходимости добавлять в сеть новое устройство.
Службы Secure Web Gateway
Обеспечение соблюдения авторизованными пользователями корпоративных политик
использования Интернета является важной задачей вне зависимости от того, идет ли
речь о локальных или удаленных пользователях, и от того, какие устройства они
используют для работы — личные или выданные компанией. Службы F5®
Secure Web
Gateway позволяют решить эту задачу.
Имеется два варианта использования служб Secure Web Gateway: фильтрация URL-
адресов и защищенный веб-шлюз. Оба варианта доступны по подписке, срок которой
составляет один или три года. Служба фильтрации URL-адресов F5 контролирует доступ
к веб-сайтам и веб-приложениям с учетом категорий и рисков, связанных с URL-адресами.
Служба защищенного веб-шлюза также имеет функцию фильтрации URL-адресов, но она
кроме того обнаруживает и блокирует вредоносные программы и скрипты, размещенные
в общедоступных веб-страницах, проверяя возвращаемый HTTP- и HTTPS-трафик.
Фильтрация URL-адресов
Фильтрация URL-адресов помогает обеспечить выполнение требований
государственных и отраслевых регулирующих органов, а также корпоративных политик
использования Интернета. Фильтрация URL-адресов в службах Secure Web Gateway
позволяет контролировать доступ к веб-сайтам и сотням веб-приложений, протоколов
и видеозаписей. Функция фильтрации URL-адресов является настраиваемой и помогает
защитить компанию от интернет-угроз и потери данных.
База данных категорий URL-адресов
В службах Secure Web Gateway используется мощный механизм определения
категорий URL-адресов и база данных. Количество классифицируемых URL-адресов
в Интернете превышает 40 миллионов. Функция определения категорий URL-адресов
применяет информацию о классификации в режиме реального времени. Она может
как использовать базу известных веб-страниц, так и оценивать новые страницы и URL-
адреса. Продвинутые алгоритмы машинного обучения позволяют быстро оценивать
содержимое веб-страниц, сводя к минимуму количество ложных срабатываний
и улучшая классификацию URL-адресов. При распределении URL-адресов по категориям
учитывается контекст: для оценки веб-страниц и URL-адресов и определения их
репутации применяется более двадцати характеристик.
Защита при работе в Интернете
Службы Secure Web Gateway также обнаруживают и блокируют вредоносные
программы и скрипты в веб-страницах, проверяя возвращаемый HTTP- и HTTPS-
трафик. Для этого используется база данных вредоносного ПО, содержащая анализ
более десяти тысяч интернет-вирусов, и набор высокоточных механизмов поиска
сигнатур и эвристического анализа, выявляющих и уничтожающих вредоносный
код общего и специального назначения. В службах Secure Web Gateway имеются
мощные средства анализа, которые применяются в комплексе для проведения оценки
содержимого и контекста с целью более эффективного выявления целенаправленных

10
устойчивых угроз. Эти средства используют собранные с веб-страниц данные
о содержимом и контексте, объединяя их с информацией модулей анализа интернет-
вирусов для принятия информированных решений, а также для выявления признаков,
которые указывают на присутствие целенаправленных устойчивых угроз и других
изощренных методов атаки, способных обмануть другие средства анализа.
Анализ угроз в режиме реального времени
Облачная инфраструктура анализа угроз, выявляющая вредоносные элементы
в содержимом веб-сайтов и социальных сетей, постоянно передает в службы
Secure Web Gateway свежую информацию. Она анализирует все типы содержимого
веб-сайтов и социальных сетей (веб-страницы, документы, исполняемые файлы,
мобильные приложения и т.д.), обрабатывая до пяти миллиардов запросов
содержимого каждый день.
Полученная информация используется для выявления тенденций, связанных
с изощренными интернет-угрозами. Службы Secure Web Gateway могут обнаружить
взлом популярного веб-сайта, отслеживают зараженные сайты и их содержимое,
а также используют новости и обсуждения в социальных сетях для обнаружения
новых популярных сайтов, зараженных сайтов и содержимого, которое необходимо
оценить. Используя анализ больших объемов данных, профили и разрешения
мобильных приложений, а также данные облачных «песочниц», система прогнозирует
появление новых быстро распространяющихся интернет-угроз. Службы Secure
Web Gateway синхронизируются с облачной системой анализа угроз по заданному
пользователем расписанию.
Идентификация пользователей
Службы Secure Web Gateway умеют отслеживать сетевые адреса и связывать с ними
пользователей, что позволяет использовать прозрачные пользовательские политики
безопасности с помощью агента F5 User Identity Agent. F5 User Identity Agent работает
на сервере с ОС Windows и получает информацию от контроллеров домена Active
Directory. F5 User Identity Agent позволяет службам Secure Web Gateway полностью
отслеживать активность каждого пользователя.
Графические отчеты о состоянии безопасности и подробные журналы
Графический интерфейс пользователя служб Secure Web Gateway позволяет
администраторам просматривать и экспортировать различные отчеты
о безопасности. Эти отчеты предоставляют администраторам полную информацию
о входящем и исходящем веб-трафике, использовании Интернета и реализации
политик. Службы Secure Web Gateway протоколируют действия пользователей
в Интернете, фиксируя необходимые для анализа детали: метки времени,
исходный IP-адрес и IP-адрес назначения, имя пользователя, URL-адреса,
состояние блокировки и т.д. При помощи средства публикации журналов F5 журналы
можно передавать в популярные системы управления событиями и информацией
о безопасности, включая решения компаний HP ArcSight и Splunk.
Разные варианты развертывания
Службы Secure Web Gateway поддерживают развертывание через прокси-
сервер. Устройство BIG-IP APM будет работать со службами Secure Web Gateway,
установленными в любом месте сети, используя одно подключение к порту
коммутатора и не требуя прерывания работы или внесения изменений в топологию
сети. Службы Secure Web Gateway также можно развернуть как прозрачный

11
прокси-сервер, не требующий настройки клиентских машин. Прокси-сервер при
этом будет в прозрачном режиме перехватывать весь HTTP- и HTTPS-трафик,
уменьшая потребность в изменении конфигурации сети.
Гибкость, высокая производительность и масштабируемость
BIG-IP APM обеспечивает быстрый доступ к приложениям и высокую
производительность, помогая поддерживать эффективность работы пользователей
и позволяя организации быстро и экономично масштабировать систему.
Гибкое развертывание
Развертывание BIG-IP APM производится тремя разными способами для решения
разнообразных задач доступа. Данное решение можно развернуть в качестве
дополнительного модуля BIG-IP LTM для защиты открытых для внешнего мира
приложений, оно может поставляться в виде автономного устройства или работать
на виртуальном устройства BIG-IP LTM Virtual Edition, обеспечивая гибкий доступ
к приложениям в виртуализованных средах.
Виртуальный рабочий стол
Виртуальные рабочие столы должны масштабироваться для удовлетворения
потребностей тысяч пользователей и обработки сотен соединений в секунду.
BIG-IP APM обладает встроенной поддержкой протокола Microsoft Remote Desktop
Protocol (RDP) и защищенного веб-прокси для Citrix XenApp, XenDesktop, а также
протокола PCoIP для VMware Horizon View. Кроме того, BIG-IP APM передает
Java-апплет, выступающий в качестве Java-клиента RDP и выполняющийся
в браузере клиента. Данный Java-клиент RDP удовлетворяет потребность в
быстром использовании инфраструктуры виртуальных рабочих столов (VDI)
и может использоваться для удаленного доступа пользователей Mac и Linux.
Высокопроизводительные и масштабируемые возможности BIG-IP APM в сфере
доставки приложений облегчают доступ и контроль для пользователей размещенных
виртуальных рабочих столов.
Высокая доступность серверов аутентификации, авторизации и учета
Обеспечивая пользователям прозрачный доступ к веб-приложениям в среде,
отличающейся высоким уровнем доступности и разнородностью, BIG-IP APM
помогает повысить стабильность работы компании и защищает от потерь,
которые могут быть связаны со снижением производительности труда
пользователей. BIG-IP APM интегрируется с серверами аутентификации,
авторизации и учета (AAA), включая Active Directory, LDAP, RADIUS и Native RSA
SecurID, и обеспечивает высокий уровень доступности, используя функции
интеллектуального управления трафиком BIG-IP LTM.
Кэширование полномочий
BIG-IP APM обеспечивает кэширование полномочий и прокси-сервисы для единого
входа (SSO), позволяя пользователям получать доступ к санкционированным сайтам
и приложениям, войдя в систему лишь один раз. При переходе пользователей к другим
веб-приложениям, сведения об их полномочиях передаются этим веб-приложениям,
помогая экономить время и способствуя повышению производительности труда.

12
Беспрецедентная производительность и масштабирование
BIG-IP APM имеет функцию разгрузки SSL со скоростью сети и поддерживает до 3000
входов в систему в секунду. Организациям, число пользователей веб-приложений
в которых постоянно растет, BIG-IP APM предлагает быстрое и экономичное
масштабирование с поддержкой до 200 тысяч одновременно работающих
пользователей на платформе VIPRION или 60 тысяч одновременно работающих
пользователей на отдельном устройстве высокого класса.
Среда Virtual Clustered Multiprocessing
BIG-IP APM также предлагается на платформе шасси и на устройствах BIG-IP 5200v,
7200v и 10200v, которые поддерживают технологию Virtual Clustered Multiprocessing
(vCMP®
). Гипервизор vCMP дает возможность запускать несколько экземпляров
BIG-IP APM. Это позволяет создавать многопользовательские решения и
обеспечивает эффективное разделение. vCMP позволяет администраторам
использовать виртуализацию, одновременно переходя на новый уровень
резервирования и контроля.

13
Архитектура BIG-IP APM
Работая в качестве модуля на платформе BIG-IP Local Traffic Manager, BIG-IP APM
использует уникальную специализированную операционную систему TMOS® компании
F5. TMOS — это высокопроизводительная интеллектуальная модульная операционная
система, предоставляющая информацию, гибкость и контроль, необходимые для
доставки и обеспечения безопасности веб-приложений.
Функции TMOS
Разгрузка SSL
Кэширование
Сжатие
Оптимизация TCP/IP
Заблаговременное формирование скорости
передачи и качества обслуживания
Шлюз IPv6 Gateway™
Фильтрация по IP-адресам и портам
Язык скриптов iRules®
Поддержка VLAN через встроенный коммутатор
Ввод в эксплуатацию ресурсов
Домены маршрутизации (виртуализация)
Удаленная аутентификация
Создание отчетов по расписанию
Полный прокси-сервер
Управление ключами и организация
переключения при сбое
Обработка SSL и повторное шифрование для
веб-серверов
Сегментация VLAN
Защита от DoS-атак
Защита на уровне системы
Организация слоев BIG-IP APM и BIG-IP
Application Security Manager
Организация слоев BIG-IP APM и BIG-IP
WebAccelerator
Поддержка F5 Enterprise Manager
Функции BIG-IP APM
Доступ к порталу, тоннель приложения и
сетевой доступ
Готовность к переходу на IPv6
Реализация детальной политики доступа
Продвинутый визуальный редактор политик
с агентом определения географического
положения
Высокая доступность и аутентификация
сервера ААА
Режим DTLS для доставки и обеспечения
безопасности приложений
Поддержка Microsoft ActiveSync и Outlook
Anywhere с NTLM на стороне клиента
Упрощенное управление доступом для Citrix
XenApp и XenDesktop
Встроенная клиентская поддержка для клиента
Microsoft RDP и клиент Java RDP
Поддержка полного прокси-сервера для
протокола VMware Horizon View PCoIP
Прозрачная миграция почтовых ящиков
Microsoft Exchange
Список контроля доступа (ACL) уровня L7
Поддержка защищенного рабочего
пространства и шифрование
Агент определения географического
местоположения по IP в визуальном редакторе
политик
Кэширование полномочий и прокси для единого
входа
Преобразование (перезапись) Java для
безопасного доступа
Гибкое развертывание в виртуальной среде
VMware
Интеграция с Oracle Access Manager
Единый вход с поддержкой протокола Kerberos,
кэширования полномочий и языка SAML 2.0
Авторизация с учетом контекста через
динамические списки контроля доступа
уровней L4/L7
Поддержка сертификатов компьютеров с ОС
Windows
Интеграция с Windows Credential Manager
Поддержка внешней страницы входа в систему
Поддержка контроля доступа к виртуальному
серверу BIG-IP Local Traffic Manager (LTM)
Мастера готовых конфигураций
Масштабирование до ста тысяч одновременно
работающих пользователей
Маршрутизация политик
Экспорт и импорт политик доступа
Настраиваемые периоды ожидания
Средство мониторинга состояния для учета
RADIUS
Кластерное мультипроцессирование
Поддержка переменных URI входа
Поддержка прокси и кэша DNS
Дополнительный клиент для удаленного
доступа к VPN c SSL
Доступ с постоянным соединением через клиент
BIG-IP Edge Client
Простой доступ к приложениям через портал
BIG-IP Edge Portal
Поддержка широкого спектра клиентских
платформ (iPad, iPhone, Mac, Windows, Linux,
Android)
Поддержка браузеров: IE, Firefox, Chrome
IPsec-шифрование обмена данными между
площадками
Тоннели приложений

14
Динамические вебтопы, учитывающие
удостоверение пользователя
Защищенное рабочее пространство
Фильтрация веб-содержимого, определение
категорий URL-адресов, выявление
и нейтрализация интернет-вирусов в
режиме реального времени и облачное
выявление новых и распространяющихся
целенаправленных устойчивых угроз через
службы F5 Secure Web Gateway
Методы проверки подлинности: форма,
сертификат, единый вход Kerberos, SecurID,
простой, жетон RSA, смарт-карта, N-factor
Проверка конечных устройств: проверка
Windows, Mac, Linux, антивируса и межсетевого
экрана; проверка устройств с ОС Apple
iOS и Google Android на признаки снятия
ограничений производителя или оператора
связи (разлочки) либо рутинга (получения прав
суперпользователя).
Проверка более десятка параметров конечных
устройств
Поддержка виртуальной клавиатуры
Таблицы стилей для настройки внешнего вида
страницы входа
Адаптация пакета Windows Mobile
Централизованное создание подробных
отчетов с использованием механизма Splunk
Среда Virtual Clustered Multiprocessing (vCMP)
Платформы BIG-IP APM
BIG-IP APM предлагается в виде автономного устройства или программного модуля
для развернутой системы BIG-IP. Существует несколько моделей использования
BIG-IP APM, соответствующих различным требованиям к производительности.
Подробные сведения см. в техническом описании BIG-IP.
Платформы VIPRION
BIG-IP Local Traffic Manager и Access Policy Manager также предлагаются в версии для
модульной системы VIPRION. Использование этого шасси и архитектуры линейных карт
обеспечивает простоту масштабирования по мере роста сети доставки приложений.
Подробные сведения см. в техническом описании VIPRION.

15
Автономная версия BIG-IP APM
Базовое число одновременно
Максимальное число одновременно
BIG-IP APM VE Standalone Lab (10 Мбит/с) 10 10
BIG-IP APM VE Standalone (200 Мбит/с) 100 2500
BIG-IP APM VE Standalone (1 Гбит/с) 250 2500
2000s 100 500
2200s 100 2500
4000s 500 5000
4200v 1000 10 000
5200v 2000 20 000
7200v 4000 40 000
10200v 8000 60 000
Программный модуль BIG-IP APM
Базовое число одновременно
Максимальное число одновременно
Модуль BIG-IP APM для BIG-IP VE 250 2500
1600 500 1000
2000s 100 500
2200s 100 2500
3600 500 5000
3900 500 10 000
4000s 500 5000
4200v 500 10 000
5000s 500 20 000
5200v 500 20 000
6900 500 25 000
7000s 500 40 000
7200v 500 40 000
8900 500 40 000
10200v 500 60 000
11000 500 60 000
VIPRION 2400 500 60 000
VIPRION 4480 500 100 000
VIPRION 4800 500 200 000

16
Службы технической поддержки F5
Подразделение технической поддержки F5 предлагает услуги по обучению,
поддержке и консультационные услуги мирового уровня, помогая клиентам
максимально эффективно использовать вложенные в решения F5 средства.
F5 Services оказывает всю необходимую помощь в обеспечении безопасной,
быстрой и надежной работы приложений — от оперативных ответов на вопросы
и обучения рабочих групп заказчиков до комплексного управления внедрением
системы на всех этапах — от проектирования до развертывания. Чтобы получить
подробные сведения о подразделении F5 Global Services, свяжитесь с нами по
адресу consulting@f5.com или посетите сайт f5.com/services.
Упрощенное лицензирование
Решение проблемы создания динамичной среды для приложений еще никогда
не было таким простым. Концепция F5 Good, Better, Best обеспечивает вам гибкость,
необходимую для ввода модулей в эксплуатацию по мере необходимости, и лучшее
соотношение цены и эффективности.
• Определите, какие решения лучше всего подходят для вашей среды приложений,
используя эталонные архитектуры F5.
• Воспользуйтесь предложениями F5 Good, Better, Best, чтобы ввести в
эксплуатацию модули, необходимые для выполнения ваших приложений.
• Добейтесь максимальной гибкости приложений за счет возможности
развертывать модули на виртуальной или физической платформе.
(Примечание: предложения F5 Good, Better, Best не включают службы F5 Secure
Web Gateway.)
Дополнительные сведения
Дополнительные сведения о решении BIG-IP APM см. на сайте f5.com.
Общие сведения о продуктах
BIG‑IP Access Policy Manager
Техническая статья
Защищенный мобильный доступ к корпоративным приложениям
Техническое резюме
Защищенный доступ к корпоративным веб-приложениям с помощью
Пример внедрения
Компания, работающая в сфере безопасности, обеспечивает защиту систем и
доступ к приложениям
Видео
Управление доступом к веб-приложениям для BIG-IP LTM
F5 Networks, Inc. 401 Elliott Avenue West, Seattle, WA 98119 888-882-4447 www.f5.com
F5 Networks
Азиатско-тихоокеанский
регион
apacinfo@f5.com
F5 Networks Ltd.
Европа, Ближний Восток
и Африка
emeainfo@f5.com
F5 Networks,
Япония
f5j-info@f5.com
Решения для мира приложений.
Главный офис
F5 Networks, Inc.
info@f5.com
Авторское право © 2014 F5 Networks, Inc. Все права защищены. F5, F5 Networks и логотип F5 являются товарными знаками F5 Networks, Inc. в США и ряде других стран. Список других товарных
знаков компании F5 см. на сайте f5.com. Названия любых других продуктов, служб или компаний, упомянутые в настоящем документе, могут являться товарными знаками их владельцев; их
упоминание не является прямой или косвенной рекомендацией со стороны компании F5. DS-15755 0214

Консолидация управления удаленным доступом с F5 Access Policy Manager

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to Консолидация управления удаленным доступом с F5 Access Policy Manager

Similar to Консолидация управления удаленным доступом с F5 Access Policy Manager (20)

More from Dmitry Tikhovich

More from Dmitry Tikhovich (14)

Консолидация управления удаленным доступом с F5 Access Policy Manager