F5成就移动办公的安全

在科技高速发展的今天，移动办公设备从笨重的台式机变成了可携带的笔记本，又从笔记本变成了只有10英寸的平板电脑，在到现在的智能手机，人们无论走到何处都能透过手中的移动终端互联网络或者无线网络访问企业的办公系统，收发Email、处理公事事物，可见移动办公已经普及摆脱了时间和场地的限制，提高企业的管理效率。但是随着而来的移动办公安全问题也因此蔓延到办公环境之外，企业的应用程序和网络的安全，企业的数据安全，设备的管理等成为移动办公的风险，让企业不得不担忧起来。

F5解决方案可增强企业对其应用程序接入访问的安全性，并进行全方位管理。现在各企业可以从移动设备到整个网络的广阔范围内实施网络策略。F5 BIG-IP® 接入策略管理器®（APM）是一款灵活、高性能的接入和安全解决方案，可为企业的应用和网络提供统一全局接入。通过将远程接入、局域网接入、web 接入和无线连接融合和整合到单个管理接口中并提供简单、易于管理的接入策略，BIG-IPAPM 可帮助企业释放有价值的 IT 资源，同时经济高效地保护和扩展接入

统一的广域接入

随着移动员工的增加，用户需要通过不同类型的网络以及种类越来越多的设备访问企业资源。确保为远程用户提供安全、快速的应用性能成为一项关键挑战。可适用于所有接入的单一解决方案：位于应用和用户之间，在网络上建立了一个战略控制点。该设备可以保护您面向公众的应用，因为它为外部用户提供了基于策略的、上下文环境感知的访问能力，同时整合了您的接入基础设施。它还支持从所有的网络和设备安全、远程地访问企业资源。通过把远程接入、局域网接入和无线连接融合和整合到单一管理界面中，并提供易于管理的接入策略，BIG-IP APM 让 IT 部门重新控制了应用访问。

“永远连接”的远程接入

BIG-IP APM与一个可选的客户端配合提供安全的远程接入。这个最先进的集成客户端是BIG-IP® 边缘客户端®，它提供了位置感知和区域确定能力，可以提供不同于任何其他设备的安全的、持久的、基于策略的访问能力。BIG-IP边缘客户端有助于确保持续的用户生产力，无论用户是在家里使用无线网络，在旅途中使用无线上网卡，利用企业的无线网络做演示报告，在咖啡厅使用访客无线网络，或者是接入局域网。BIG-IP边缘客户端能够自动检测域并进行连接，即使在丢失VPN连接之后也不例外，或者在检测到LAN连接之后它可以自行断开。其远程和移动用户扩展了受管理的访问，以支持广泛的移动设备。BIG-IP® 边缘门户™有助于为企业Web应用提供安全的远程访问，而且可用于所有的Apple iOS和Android设备。完整的SSL VPN可以通过Apple Mac、iPhone、iPad、MicrosoftWindows 设备、Linux 平台以及Android设备上的BIG-IP 边缘客户端提供。

与IPv6网络之间的增强连接

互联网正在从IPv4向IPv6演进。为了确保业务连续性和未来增长，企业必须扩大其网络功能，以支持IPv4和IPv6的共存。BIG-IP APM完全支持IPv6，提供真正的广域接入体验。

整合的基础设施，简化的管理

通过直接在BIG-IP LTM系统上，把整个企业范围内的、经济高效的应用接入管理与集中的应用交付整合到一起，BIG-IP APM大大简化了验证、授权和计费（AAA）服务的实施。

单点登录

BIG-IP APM支持跨越多个域和Kerberos工单的单点登录（SSO），能够实现其他类型的验证，例如联邦通用访问卡以及把ActiveDirectory身份验证用于所有应用。用户可以自动登录到属于Kerberos领域的后端应用和服务中。在用户通过某个受支持的最终用户身份验证机制的验证之后，这可以提供无缝验证。

安全性断言标记语言（SAML）2.0版仍然继续支持扩展BIG-IP SSO选项，它支持身份提供者（IdP）发起的连接，也支持服务提供商发起的连接。此功能把SSO功能扩展到企业数据中心之外基于云的应用中，可以在企业的BIG-IP平台上实现身份联合。此功能通过SSO最大限度地减少了登录到多个应用时所花费的时间，支持为云计算、Web、虚拟桌面基础设施（VDI）以及客户端/服务器应用提供统一的用户门户。

自动同步的Exchange服务

BIG-IP APM支持在采用同步软件协议的移动设备上（例如AppleiPhone）与Microsoft Exchange同步电子邮件、日历和联系人BIG-IP APM能够帮助您整合基础架构，并保持用户的生产力。当需要迁移到Exchange2010时，BIG-IP APM能够与ActiveDirectory结合运行，逐渐促进无缝的邮箱迁移。当迁移完成后，BIG-IP APM能够通过单一URL访问提供对Exchange的受管理访问，而无论用户、设备或网络如何。

整合的 AAA 基础设施

其他的验证解决方案使用了应用编码、单独的Web服务器代理，或者专门的代理，这可能会带来重大的管理、成本和可扩展性问题。BIG-IP APM直接在BIG-IP系统上进行AAA控制，使您能够在众多应用之间使用自定义的访问策略，并对您的授权环境获得集中的可视性。您可以整合您的AAA基础设施，消除冗余层，简化管理，把资本开支和运营开支降低高达85%。

整合的Oracle接入

BIG-IP APM与访问管理器相集成，因此您可以设计访问策略并从一个地点针对Oracle应用管理基于策略的访问服务。通过整合插件和Web验证代理，这种集成可以帮助您降低资本开支和运营开支。

对虚拟应用环境进行简化的访问

利用BIG-IP APM，管理员可以动态控制企业虚拟化解决方案的交付和安全组件，并充分利用统一的接入、安全性和策略管理。 BIG-IP APM能够同时支持VMware View和Citrix XenApp/XenDesktop以及其他技术组合。此外，BIG-IPAPM提供了单一、可扩展的访问控制解决方案，其中包括远程和局域网接入策略和控制，而无需更改后端服务器的配置。该解决方案还可以扩展到其他应用，以实现简化的、成本更低的、高度可扩展的企业基础设施。

高级报告

对日志和事件的深入视图能够提供访问策略会话的详细信息。利用技术联盟合作伙伴Splunk（一个大型、高速的索引和搜索解决方案）提供的报告，BIG-IP APM可以帮助您深入了解应用访问和流量趋势，汇集长期取证数据，加快事件响应，在用户察觉之前发现未预料到的问题。 BIG-IP APM能够提供定制的报告，其中含有细粒度的数据和统计功能，可以进行智能化的报告和分析。

开箱即用的配置向导

BIG-IP APM可以轻松、快速地配置和部署身份验证和授权服务，有助于降低管理成本。其配置向导包含了一个预建的应用接入和本地流量虚拟设备向导。它创建了一组用于常见部署的基本对象以及访问策略，能够在配置中自动创建分支，以支持必要的配置对象。利用分步骤配置、上下文环境敏感的帮助、审查以及汇总，可以简单、快速地在BIG-IP APM上设置身份验证和授权服务。

实时接入健康状况数据

BIG-IP系统的接入策略仪表盘能够让您快速了解接入健康状况。您可以查看关于活动会话、网络接入吞吐量、新会话以及网络接入连接的默认模板，或利用仪表板窗口选择器创建自定义的视图。通过把所需的统计数据拖放到窗口窗格中，您可以实时了解接入的健康状况。

动态的集中访问控制

通过制定上下文环境感知的、基于策略的接入决策，BIG-IPAPM加强了企业遵守安全标准的能力，并可以确保用户通过适当的应用访问保持高效生产力。

高级可视化策略编辑器

基于GUI的高级可视化策略编辑器（VPE）可以方便地以个人或群组为单位设计和管理细粒度的接入控制策略。利用VPE，您可以快速、高效地创建或编辑全部动态的接入策略，只需简单点击几下鼠标就可以完成。例如，您可以：设计与RADIUS整合的身份验证服务器策略；在授权完成后分配资源访问；或在未能遵守策略时拒绝访问。地理位置代理提供了自动查找和日志记录能力。这简化了配置过程，能够让您根据您机构的地理位置策略定制用户接入规则。通过集中策略控制，VPE可以帮助您更经济高效地管理接入。

动态接入控制

BIG-IP APM使用接入控制列表（ACL）提供接入验证，并在会话中利用提供动态应用的4层和7层ACL向用户授权。根据策略执行点的端点状态，4层和7层 ACL都得到支持。BIG-IP APM允许个人和群组利用动态的、按照每个会话划分的7层 (HTTP) 访问所批准的应用和网络。您可以使用可视化策略编辑器快速、轻松地创建ACL。

接入策略

利用BIG-IP APM，您可以设计用于验证和授权的接入策略，以及可选的端点安全检查，以便强制用户遵守公司政策。您可以为来自任何设备的所有连接定义一个接入配置文件，或者您也可以为不同的接入方式创建多个配置文件，让每一种方式有其自己的访问策略。例如，您可以为应用接入验证或动态ACL连接创建一个策略。随着策略的到位，您的网络变得具有上下文环境感知能力：它了解用户是谁，用户在什么地方访问应用，以及访问时的网络状况。

基于上下文环境的授权

通过把身份纳入到网络中，BIG-IP APM为您提供了一个简化的用户访问集中控制点。当数万个用户访问同一个应用时，BIG-IP APM能够卸载SSL加密处理，提供身份验证和授权服务，并且还可以选择创建与应用服务器之间单一的安全SSL连接。基于上下文环境的授权能够让您完整地、安全地基于策略控制用户的浏览。

卓越的安全性

通过制定上下文环境感知的、基于策略的接入决策，BIG-IPAPM加强了企业遵守安全标准的能力，并可以确保用户通过适当的应用访问保持高效生产力。

VPN 技术

BIG-IP APM与一个可选的客户端配合，为移动和远程工作人员提供SSLVPN远程接入。它为远程连接提供了数据报传输层安全（DTLS）模式，这非常适合于保护和通过隧道传输对延迟敏感的应用。对于分支办事处或数据中心之间的流量，支持IPsec加密。通过在F5统一接入解决方案中使用VPN技术，企业能够在整个广域基础设施中获得端到端的安全性。

强大的端点安全性

BIG-IP APM能够通过浏览器提供检查引擎，以便检查设备的安全状态，并确定该设备是否是企业域的一部分。然后，根据这些结果，它可以分配动态进入控制列表，以提供基于上下文的安全性。它预先配置了十多项集成的端点检查项目，包括操作系统、杀毒软件、防火墙、文件、进程、注册表以及设备的MAC地址、CPU ID和硬盘ID。管理员可以把硬件属性映射到用户角色中，以便把更多的决策点用于接入控制。浏览器缓存清洗器将在用户会话结束时自动删除任何敏感数据。

动态Webtop

在身份验证后，动态Webtop向用户显示一份可用的Web应用列表。由于仅把用户获得授权的资源显示给用户，从这个意义上讲，Webtop内容是动态的。Webtop可以根据用户的身份、背景和组成员资格进行定制。可以通过支持SAML的SSO设置Webtop，以实现无缝的用户体验。

应用隧道

如果终端不符合安全状况策略，一条应用隧道可以提供对特定应用的接入，而无需冒打开一条完整网络接入隧道的安全风险。例如，移动用户只需点击他们的Microsoft Outlook客户端就可以安全地访问他们的电子邮件，无论他们位于何处。应用隧道也可以完全针对广域网进行优化，以便使这些应用连接可以充分利用自适应压缩、加速和TCP优化，从而高效地把内容提供给用户。

具有保护工作区的加密环境

BIG-IP APM使用严格加密方式，为那些需要安全本地计算环境的用户提供了可选的受保护工作区。在这种模式下，用户无法将文件写入受保护工作区以外的地方。在会话结束时，临时文件夹和和浏览器缓存中的内容将被删除，以确保最大程度保护数据。您可以配置BIG-IP APM，以便自动把Microsoft Windows 7（32位）、Windows XP和WindowsVista的用户切换至受保护的工作区。

利用Java补丁实现安全访问

通常情况下，当用户打开一个Java小应用程序时，例如打开IBM终端模拟器，它会在任意端口打开网络连接，这可能会被防火墙阻止，并可能使用SSL来保护流量。这使得小应用程序无法被远程员工使用。利用Java重写，BIG-IP APM转换或实时为服务器的Java小应用程序“打补丁”，以便让执行这些的小应用程序的客户端能够通过BIG-IP APM利用SSL经由获得验证的BIG-IP APM会话进行连接。借助于BIG-IP APM，只需重写一次并把打补丁后的Java存储在RAM缓存中，这样就没有必要每次都重写。

全面的应用接入和安全性

利用高效、多解决方案的BIG-IP平台，您可以添加应用安全性而无需牺牲接入性能。BIG-IP APM和BIG-IP®应用安全管理器™ (ASM)能够共同运行在BIG-IP LTM 设备中，以保护应用免受攻击，同时提供灵活、分层、细粒度的接入控制。攻击立即被过滤，以确保实现应用可用性和安全性以及最佳的用户体验。该集成解决方案可帮助您确保遵守当地和地区的法规，其中包括PCI DSS，这样，您可以最大限度地减少罚款支出，并保护您的企业免于丢失数据。由于无需在网络中引入新的设备，您可以通过一体化的解决方案节省成本。

灵活性、高性能和可扩展性

BIG-IP APM提供了快速应用访问和性能，能够保持用户的工作效率，让您的企业快速、经济高效地进行扩展。

灵活的部署

BIG-IP APM能够以三种不同的方式部署，以满足各种接入需求。它可以作为BIG-IP® 本地流量管理器™的附加模块来部署，以保护面向公众的应用；它也可以作为一个单机设备交付；它还可以运行在BIG-IP LTM虚拟版上，以便在虚拟化的环境中提供灵活的应用访问。

托管的虚拟桌面

虚拟桌面部署必须进行扩展，以满足成千上万的用户和每秒数百次连接的需求。BIG-IP APM包含对微软远程桌面协议（RDP）的原生支持，以及对Citrix XenApp、XenDesktop 和 PCoIP for VMware View的原生安全Web代理支持。此外，BIG-IP APM还将传递一个基于Java的小应用程序，它用作一个Java RDP客户端，并在客户端浏览器中执行。当需要时，这个Java RDP客户端可以作为一个快速虚拟桌面基础设施（VDI）选件，是一个面向Mac和Linux用户的安全远程接入解决方案。BIG-IP APM高度可扩展的高性能应用交付能力在托管的虚拟桌面环境中为用户提供了简化的接入和控制功能。

面向AAA服务器的高可用性

BIG-IP APM在高度可用的异构环境中为用户提供无缝访问Web应用的能力，提高了业务连续性，使您的企业免受可能由于用户生产力下降而导致的收入损失。BIG-IP APM与AAA服务器集成，包括Active Directory、LDAP、RADIUS和原生 RSA SecurID，并通过BIG-IPLTM的智能流量管理能力提供了高可用性。

证书缓存

BIG-IP APM为单点登录（SSO）提供了证书缓存和代理服务，用户只需要登录一次即可访问批准的站点和应用。当用户浏览时，登录证书将交付到Web应用，从而节省了时间并提高了生产力。

前所未有的性能和规模

BIG-IP APM接入以网络速度提供了SSL卸载能力，并支持高达每秒3000次登录。如果企业拥有不断增长的Web应用用户群，BIG-IP APM可以快速以经济高效的方式进行扩展，从而在VIPRION机箱平台上支持多达200,000个并发用户，或者在单一高端设备上支持多达60,000个并发用户。

虚拟集群多处理

BIG-IP APM也可以用在机箱平台上，并支持虚拟集群多处理 (vCMP®) 环境。vCMP 管理程序能够运行多个BIG-IP APM实例，从而实现多租户及有效隔离。利用vCMP，网络管理员可以实现虚拟化，同时实现更高级别的冗余和控制力。

结束语

效率，是企业投入IT设备解决问题根本目的，F5 BIG-IP 接入策略管理器很好的解决了移动办公带来的困扰，从而帮助企业在激烈的市场竞争中脱颖而出！