概述

　　在當今的企業環境下，訪問方法日益增多，如千兆位有線連接、高速寬帶訪問、從不同位置的遠程訪問（信息亭、網吧），以及無線網絡等，這些訪問方式推動了對全新服務的需求。企業資源的移動及遠程訪問對遠程工作人員的生產效率及業務效率至關重要。然而，無線通信的大規模部署同時卻提出了新的安全及性能方面的需求。
　　在這種環境之下，管理員則面臨著不斷增長的用以保護關鍵企業資源免遭攻擊的需求。根據用戶標識/認證憑證、用戶組及客戶端設備，控制對不同資源的訪問，而客戶端設備在這種環境下是安全性要求最高的設備。

典型的企業環境能夠包含如下組件：
訪問網絡
☆ 有線網絡（稱為內部 LAN）
☆ 無線訪問
☆ 廣域網 (WAN) 或公共互聯網

資源網絡
☆ 隔離區 (DMZ)，用于互聯網可訪問的服務
☆ 遠程訪問網關，為 DMZ 服務的一部分
☆ 具備服務器與大型機（用于托管業務應用）的數據中心

訪問與控制
☆ AAA 基礎設施包括認證和會計服務器
　　企業環境的差異要求在計劃訪問時，需進行多方面的考慮。通常情況下，內部 LAN 被認作是安全的網絡。但由于無線網絡存在廣播特性，因此不被認作是安全網絡。這種網絡容易受到竊聽、非法接入點 (rogue access point) 及其它破解方法的攻擊。對于遠程訪問，通常采取虛擬專用網 (VPN) 解決方案，如撥號、IPSec VPN、及安全套接層 (SSL) VPN。并且，對數據中心設備的所有訪問都必須受到安全保護。數據中心使用訪問列表阻止非法訪問，同時反向代理服務器使用認證機制為應用提供更高級別的安全性。

挑戰

在企業環境，對安全性的要求持續增長。為各種訪問環境提供單獨的安全方法（如單一認證或訪問控制列表）無法出色地進行擴充，同時還會增加管理負擔，使其極其昂貴。必須有一種更好的方法用于提供安全可靠的企業訪問。這種方法應經濟高效、易于管理、安全可靠，同時還能實現性能與可擴充性需求。

基本的安全性要求包括：
☆ 驗證用戶認證憑證與服務，規定用戶的訪問。
☆ 客戶端完整性檢查，包括端點安全驗證，以及重新引導用戶至預先定義的子網，下載符合標準的反病毒軟件、防火墻、操作系統更新和補丁。
☆ 防火墻規則，如基于協議、端口和目的地的精細訪問控制及數據包過濾。

　　同一個用戶常常從不同的地點訪問企業資源，因而安全機制和訪問策略應獨立于用戶訪問方法（如無線、內部 LAN 及遠程訪問）。由此需要具備訪問規則的統一安全策略，這樣便能確保用戶在采取任何訪問方法，都能達到相同的用戶服務級別。統一的方法同時也更加經濟高效、易于管理和維護，并且不易出錯，因為所有的訪問策略僅需定義一次。
　　該白皮書列出了內部 LAN、無線及遠程訪問架構的技術要求和特性，指出了通用方法所提出的挑戰。F5 使用涵蓋網絡層到應用層的通用訪問方法，由網絡層到應用層全部使用單獨、統一且經濟高效的管理解決方案。案例研究顯示，F5 方法提供了統一的安全策略，可滿足多種訪問方法要求。

無線、遠程及 LAN 訪問的特性
　　盡管統一的方法相當吸引人，但它必須滿足內部 LAN、無線及遠程訪問方法的不同特性。以下章節說明了每種訪問方法的特性。

無線訪問
　　無線網絡設計用以實現高度移動性及靈活性。移動性是指用戶在不同位置（建筑物的不同樓層、網吧與機場）之間移動時，還能保持與網絡的連接。靈活性是指能夠使用不同的設備（個人數字助理、智能電話、筆記本電腦）與網絡連接。

在無線環境中，主要有兩種連接環境：
☆ 公共熱點訪問
☆ 內聯網安全訪問

　　在每種情況下必須進行用戶認證才可訪問。熱點認證將用戶流量路由至公共互聯網，而內聯網流量則采用 VPN 加密方法進行控制?？筛鶕脩艚M、服務器、資源，以及反映企業策略的安全策略進一步劃分內聯網訪問。圖 1 顯示了適用于無線訪問的典型配置。
圖 1：無線訪問

遠程訪問
　　遠程訪問使用戶可以從任意位置（網吧、機場或家庭辦公）訪問企業資源。其主要要求是為多個用戶組（授權用戶、合作伙伴、客戶）提供訪問，并將它們與允許訪問的資源相關聯。應能從任意客戶端設備（公司筆記本電腦、家用計算機、信息亭、合作伙伴計算機等）對資源進行訪問。

圖 2 顯示了適于遠程訪問的典型配置

圖 2：遠程訪問

內部 LAN 訪問
　　在本文中內部 LAN 是指企業內的有線網絡。通常認為，內部 LAN 比無線和遠程訪問網絡更加安全；然而，向任意用戶開發內部 LAN 仍具備安全風險。許多有線網絡允許大部分通信進行無加密傳輸。然而，有線網絡同無線網絡一樣容易遭受竊聽，特別是當外部人員能夠進行物理連接時。同樣，內部用戶可能會嗅探流量并訪問其他用戶的電子郵件（首席執行官的郵件、及其它授權用戶的機密信息）。

圖 3 顯示了適于內部 LAN 訪問的典型配置。

圖 3：內部 LAN 訪問

為確保各種訪問方法的安全，您必須考慮：
　　☆ 是否易受竊聽——通過無線網絡訪問的數據容易遭到嗅探或竊聽。
　　☆ 入侵者攻擊——入侵者能利用非法 (rouge) 接入點訪問用戶數據以及敏感的企業資源。有線對等加密 (WEP) 安全協議并不可靠，能夠被破解。Wi-Fi 保護訪問 (WPA)/WPA2 是新型的安全技術，要求具備特定的管理技能才能對其進行配置和管理。
　　☆ 客戶端完整性檢查——客戶端完整性檢查與端點安全對于遠程訪問至關重要，因為遠程訪問極易受到病毒和其它惡意代碼攻擊。網絡管理員需要配置、監控并執行企業標準策略，來實現端點安全及用戶認證憑證（包括操作系統補丁級別、防病毒版本與更新，以及防火墻版本）。
　　☆ 網段——利用單獨的策略劃分各種訪問和資源網絡，從而確保訪問到特定的資源網絡或資源網絡中的服務。
　　☆ 終端設備支持——應允許多種客戶端設備（包括臺式機、PDA 和智能電話）訪問內部資源，且不會因此降低安全性。
　　☆ 對等 (Peer-to-Peer) 流量控制——盡管客戶端完整性檢查能夠保證客戶端符合企業安全標準，但仍需要對實時流量進行監控。否則，對等流量能輕松濫用帶寬，從而影響互聯網訪問的服務質量，并可能擴散惡意代碼和蠕蟲。
　　☆ 穩定的連接——用戶連接可能會發生暫時性連接丟失，客戶端 IP 地址也有可能發生改變（例如無線客戶端正在漫游或采用 ADSL 連接時 IP 地址更改）。適當時，都應盡力提供機制來應對暫時性的連接丟失，并重新建立最初的對話環境來確保應用級透明。
　　☆ 性能——大量用戶與帶寬是典型的可擴展參數。無線及有線網絡可能要求數百 Mbps 甚至 Gbps 的吞吐率。
　　☆ 多個地理位置——在延伸至多個地理位置的企業網絡中，分散的方法要優于集中的策略引擎，即便所有站點的策略都相同。例如，如果需要訪問本地資源，通過 WAN 鏈路將所有的流量路由至中央策略引擎可能不太適當。
　　☆ 高可用性——冗余配置可確保執行并控制這些安全要求，從而，當某個設備發生故障時，故障切換設備能夠接管操作。
　　☆ 易于訪問——用戶應可在不同位置輕松、持續訪問網絡。為了便于管理，訪問方法不應過于復雜。例如，移動用戶需要從不同的位置的無線熱點借助 web 瀏覽器輕松訪問互聯網。
　　☆ 可管理性——無線網絡中，在每個無線接入點對安全策略進行管理相當復雜，容易出錯，而且無法進行出色擴充。例如，用戶訪問內部 LAN 前應該檢查端點安全性。然而，該功能僅可通過 WEP/WPA/WPA2 實施來完成。
　　☆ 可擴充性——在端口級別管理多個交換機和路由器上的安全策略或使用訪問列表，并不是可擴充模式。
　　限制 VLAN 端口到 MAC 地址訪問的 ACL 不能出色擴充或確保該方案還限制了用戶的移動性。因此，集中的安全策略管理方法能根據用戶認證憑證和分配至每個用戶的角色（而非低級別的、容易出錯的訪問列表）來定義同類公司整體策略。這樣就減少了管理和維護成本，同時降低了總體擁有成本 (TCO)。

下表總結了每種類型網絡的訪問特性。

訪問	無線	遠程	有線
是否易受竊聽	高風險	低風險，因為流量加密	高風險
入侵者攻擊	如果未部署掃描儀，則對入侵者開放	僅當入侵者成功驗證時才能獲得訪問	入侵者能夠訪問 LAN 資源
客戶端完整性檢查	不具備 WEP/WPA/WPA2	能夠在驗證過程中執行	通常不適用該功能
網段	無線訪問是不安全的網段 需要認證和實時流量監測機制	遠程訪問是非可信的網絡 通常需要最高的安全性策略 不同的服務應采用不同策略	有線企業網絡能分為可信任的、不可信任的、公共及私有區域 數據中心與特殊應用需要額外的認證
支持不同的終端設備	PDA、筆記本電腦與智能電話 可信任的用戶與游客 各種操作系統	PDA、筆記本電腦、智能電話、網吧、家庭辦公用戶、移動用戶 各種操作系統	可利用臺式機、預先配置的設備、筆記本電腦訪問 各種操作系統
對等流量控制	對于非 adhoc 網絡，根據應用配置的不同，可支持對等流量控制，或所有的流量可路由至集中網關（通用訪問控制器）	遠程訪問控制器能夠檢測來自或去往遠程用戶的對等流量	只有當對等流量首先通過交換機或路由器，才會被檢測
穩定的連接	移動和漫游必須在無線網關上進行配置 通常需要移動 IP 和定制 GRE 通道	具有 SSL 重新協商的 SSL VPN，可確保可靠的連接	通過定義實現可靠的連接
可擴充性與性能	大量用戶 跨多個站點進行分布，需要數百 Mbps 或 Gbps 吞吐率	一部分企業用戶將同步使用遠程訪問 吞吐率取決于企業互聯網帶寬，通常為幾十或數百 Mbps	大量用戶 跨多個站點進行分布，需要數百 Mbps 或 Gbps 吞吐率
需要高可用性	需要	需要	需要
輕松訪問	游客能夠輕松訪問，無需安裝額外的軟件	網吧或 PDA 訪問，訪問機制極為方便，無需任何額外的軟件
可管理性	完整的策略和用戶管理	完整的策略和用戶管理	完整的策略和用戶管理

多訪問概覽
圖 4 為三種不同的用戶訪問方法概覽，包括：
　　☆ 遠程訪問和無線網絡是隔離的，但借助適當的機制，可以控制它們對內部 LAN 的訪問。遠程訪問控制器是遠程用戶能夠訪問內部資源之前對其訪問進行控制的設備。因此，對于遠程訪問來說，強大的認證和加密功能是至關重要的。
　　☆ 無線網關解決與 RFID 及接入點相關的問題，并可能對無線流量進行加密。遠程訪問控制器能夠在流量進入內部資源前管理認證和 VPN 加密。
　　☆ 在內部 LAN，用戶通常是可使用到資源。安全敏感應用和相應的安全性策略位于一個或多個受保護的區域。

圖 4：多訪問概覽

　　在辦公時間對內部 LAN 進行正常訪問的用戶，在其離開辦公室時即成為遠程訪問用戶，而當他們離開辦公桌在辦公樓內走動時又成為了無線用戶。因此，不考慮用戶所采用的訪問類型，而將一組訪問策略應用于相同的用戶是可行的。適于所有的訪問方法的要求，包括：
　　☆ 端點安全
　　☆ 認證
　　☆ 訪問策略管理
　　☆ 根據用以訪問（可信任的或不可信任的）的設備，制定不同的服務級別
　　☆ 靈活性和移動性支持
　　☆ 服務質量和帶寬管理
　　☆ 支持大量 SSL 對話的性能及可擴充性
　　☆ 審核能力

解決方案

統一訪問
　　F5 通用訪問方法基于 F5 的 FirePass 產品——安全套接層虛擬專用網 (SSL VPN)，該產品與 F5 的 BIG-IP 本地流量管理器相集成。該集成使 F5 成為業內唯一一家能夠為遠程、無線 LAN (WLAN) 及本地局域網 (LAN) 用戶提供統一且集中的安全性與訪問控制的廠商，同時還可滿足統一訪問的吞吐量要求。BIG-IP 可保護網絡層（例如，VLAN）的訪問安全，提供了高速加密能力以及實時數據包檢測與流量監測技術。借助 SSL VPN（具備增強的用戶驗證、訪問控制、端點安全性、策略管理以及審核支持），FirePass 提供了可擴充的精密訪問方案。

　　F5 通用訪問方法既能夠集中于某個位置，也可分布于多個地理位置（如以下部署環境中所示）。
　　F5 通用訪問方法支持如下功能：
　　☆ 端點安全
　　☆ 用戶認證
　　☆ 網絡安全
　　☆ 統一的訪問策略管理
　　☆ 高性能
　　☆ 可擴充性
　　☆ 審核與報告

以下章節對每項功能進行了描述。

端點安全性
　　端點安全性包括：在授權客戶端訪問資源之前進行安全檢查。它是一種前瞻性的方法，用來確保只有符合所有安全策略的客戶端才可以對資源進行訪問。它同時還能阻止病毒或惡意軟件進入企業網絡。

　　對于不同類型的客戶端設備（如筆記本電腦、PDA、網吧），安全性措施應該是不同的，并且應包括檢測客戶端的防病毒軟件和版本，以使個人防火墻設置生效，并校驗客戶認證憑證。

　　端點安全性的優勢之一是訪問的范圍和安全控制。從任何設備或位置訪問任何應用都會潛在地導致安全隱患。借助適當的客戶端安全性，端點安全性機制能夠使管理員定義不同的訪問級別，從而確?？蛻舳撕唾Y源能夠得到保護。例如：
　　☆ 具有高速緩存清除特性的信息亭用戶可以訪問終端服務器、文件、內聯網和電子郵件。當用戶退出后，高速緩存的位置和內容都會被自動清除。
　　☆ PDA 用戶只能訪問電子郵件和某些網絡應用，不可以訪問其它任何服務器。
　　☆ 如果筆記本電腦用戶符合所有的端點安全性規則，則為他們提供完整的網絡訪問，并支持所有的客戶端/服務器應用。

　　根據使用的設備，F5 通用訪問方法可以動態地調整用戶的策略。例如，您可以為移動設備、信息亭訪問、筆記本電腦策略以及默認策略定義不同的策略。統一的端點安全性支持客戶端完整性檢查，如，檢查系統注冊表設置、任意特定程序的有無，以及操作系統服務包，檢驗客戶端防病毒軟件版本以及有無客戶端認證的不同策略決定，等。

　　如果用戶不符合安全性策略，則您可以通過將用戶重新引導至某一隔離網絡來定義一個“返回”環境，在該網絡中，用戶可以更新其客戶端。這一隔離網絡可提供軟件和修復操作，例如使用正確的軟件版本更新殺毒程序。

用戶認證
　　F5 通用訪問方法支持動態認證方式。根據認證結果，您可以將用戶分配到不同的組，以標明其能夠額外訪問某些特定的資源，如，訪問特定的網段或服務器。F5 可插拔認證模塊 (PAM) 擴展可以支持多種認證方案，包括：
　　☆ RADIUS
　　☆ 帶 Kerberos 的活動目錄
　　☆ 客戶端證書 LDAP 和 OCSP
　　☆ 基本認證
　　☆ LDAP/LDAPs
　　☆ TACACS+
　　☆ RSA 安全 ID

該架構可以使您根據用戶認證憑證動態定義每個用戶的角色。

　　F5 通用訪問方法也提供單點登錄 (SSO) 工具，通過自動傳遞用戶認證憑證，對用戶訪問 Web 服務器、網絡資源及傳統應用進行認證，同時不會對現有應用做任何修改。SSO 選項包括：
　　☆ 基于表格的認證
　　☆ 基本認證
　　☆ NTLM 認證
　　☆ 域認證

網絡安全
　　F5 通用訪問方法的一個重要要求是，能夠將網絡劃分為多個網段，從而保護并監控從一個網段到另一個網段的訪問。

　　在網絡級別，您能夠根據諸如發出或目的 VLAN、IP 地址以及協議等任意網絡參數，并利用 IP 地址、VLAN、MAC 地址和數據包過濾機制，定義幾乎所有的網絡安全策略組合。您能夠根據認證結果或應用響應，采用更嚴格的訪問規則來確保安全性。利用 F5 的 iRules 和通用檢查引擎，您可以定義定制安全策略?；?TCL 編程語言的 IRules，是一個簡單但功能強大的進行精細控制的工具；通用檢查引擎能夠解析用戶流量的全部有效負載。定制安全策略使您能夠根據 IP 地址、認證結果或有效負載，允許、拒絕、轉發或丟棄流量。通過 BIG-IP 的對等流量也可用于對已知簽名進行檢查、完全重新引導至外部病毒掃描程序，或將其丟棄。

　　所有這些功能可用于實施 LAN 段和不同的區域，如可信任的、公共的、私人的以及受保護的區域，等等。是否需要認證及功能強大的 VPN 加密功能，可通過位于每個段和區域邊界的 BIG-IP 來確定。該配置成為進行劃分操作的關鍵，可用于分類和定義網段、識別不同的流量類型，以及監控實時流量。

　　結合 SSL VPN 訪問，您能夠定義單獨的路由表，以及同每個路由表相關聯的 VLAN。LAN 段成為隸屬于某一用戶組的受保護資源。因此，能夠拒絕其它組用戶訪問該 LAN 段，從而實現 OSI 模型第 2 層和第 3 層的網絡安全。例如，屬于公共組的用戶，不能交換或路由到屬于私人用戶組的 VLAN 。

F5 通用訪問方法還提供了一系列的內置安全特性，用來保護網絡免受 DoS、DdoS 以及協議篡改攻擊，包括：
　　☆ 默認拒絕
　　☆ 自動防護
　　☆ SYN 檢測
　　☆ DoS 和 Dynamic Reaping
　　☆ 虛擬服務器上的連接限制
　　☆ 協議無害處理（Sanitization）
　　☆ 數據包過濾
　　☆ 資源隱藏
　　☆ 安全網絡轉換
　　☆ 無線漫游
　　☆ 審核
　　☆ 報告

　　欲了解 BIG-IP 安全功能的更多信息，請參閱《借助 BIG-IP，保護企業應用安全》。

　　FirePass 和 BIG-IP 通用訪問方法實現了一個基于新的服務和策略的更為強健的安全模型，這些服務和策略易于定義，并能提高生產效率、降低總體擁有成本。

通用訪問策略管理
　　F5 通用訪問方法利用單獨的、通用的策略，同時在網絡層和應用層保護對網絡資源的訪問。這種單點控制降低了管理的負荷，并能夠提高資源利用率，同時還能降低總體擁有成本。

　　根據 LAN 段（用戶所處的源或目的 LAN 段）或認證結果（如用戶認證憑證）， F5 提供了多種不同的分配用戶組和資源的方法。當進行認證時，您可以根據認證服務器的響應靜態或動態地標明組和資源的分配。舉例來說，如果用戶利用 Active Directory（活動目錄）順利通過認證，則 Active Directory （活動目錄）可返回一個屬性（F5 利用該屬性將用戶映射至指定的組）。

　　另外，FirePass 提供了 Visual Policy Editor（可視化策略編輯器），它是唯一一款能夠使安全管理員以圖形方式定義復雜安全策略、并消除可能導致安全漏洞的策略錯誤配置的工具。生成的流程圖同樣能夠使審核員以可視化的方式輕松審核安全策略，而無需通過復雜的產品配置進行分類。

　　您還可以將組管理策略與 F5 的帶寬調整軟件插件模塊結合起來，通過為關鍵應用保留帶寬并區分流量優先級，來確保服務質量。

可擴充性
　　F5 通用訪問方法為企業以及互聯網服務供應商和應用服務供應商提供了一種高度可擴充的模塊。單個 FirePass 設備最高可托管 255 個互不相同的 URI，從而您可以為每個類型的用戶組創建唯一的登錄 URI。例如，授權用戶可以登錄 company.example.com，而合作伙伴則能夠登錄 partners.example.com。該虛擬化技術能夠容納不同的用戶組，而 FirePass 同時負責在幕后將其映射至后端設備。

您可以在不同的配置模式下配置 F5 通用訪問方法：
　　☆ 主動——被動，用于不斷增加的冗余
　　☆ 集群，用于最大限度的可擴充性
　　集群高達 10 個 FirePass 設備，能夠為最多 20,000 個并發用戶提供安全的遠程訪問。在集群配置中， FirePass 通過自動同步FirePass 策略簡化管理。您也可以手動同步配置，包括策略和安全規則。

無線漫游
　　無線用戶可通過兩種方式與 F5 通用訪問配置相連：
　　☆ 當用戶在 AAA 服務器上成功通過認證后，就可以訪問諸如互聯網和公共打印機等公用資源。BIG-IP 代理認證請求并把用戶認證憑證傳給 AAA 服務器。成功認證后，允許用戶對訪問策略定義的資源網絡進行訪問。
　　☆ 其它所有訪問都需要安全連接到通用的訪問配置上。

　　無線用戶必須在 FirePass 上進行認證，才能訪問內部網絡。FirePass 利用 SSL VPN 提供強大的認證和和 VPN 訪問功能，以符合最高安全標準。

　　FirePass SSL 連接借助 SSL Session Identifier（SSL 會話標識符）保留會話的上下文環境。當進行漫游，或發生臨時性連接丟失而改變 IP 地址時，SSL 重新協商能夠確保 SSL 連接及上下文環境重新建立。這保證了跨無線漫游區域的透明連接。

　　加密的 cookie 支持維持相同的用戶認證上下文環境，可用于與單點登錄特性配合使用。因此，當無線用戶漫游時，應用會話上下文環境和用戶認證上下文環境都能保留下來。

審核與報告
　　F5 通用訪問方法提供了以下審核和報告功能：
　　☆ 將虛擬服務器/池、接口、VLAN 、帶寬調整、數據包過濾、系統日志和 SNMP MIB 的統計數據記錄下來。記錄的信息包括用戶登錄、會話活動、組級別統計 (group-level statistics) 以及用戶操作歷史記錄。鑒于 F5 的深層數據包檢查能力，您也可以利用 iRules 記錄其它信息。
　　☆ 以圖形顯示關于系統利用的統計數據（如 CPU 負載、接口統計數據和用戶計算等信息）使您能夠對系統狀況有一個快速的概覽。

部署情境
　　以下示例說明了 F5 的通用訪問方法怎樣為不同網絡拓撲管理安全策略。在每個實例中，F5 通用訪問方法都能利用高度可擴充和靈活的架構，同時在網絡層和應用層保護您的企業。這種通用方法為任意規模的部署降低了總體擁有成本。

例 1：園區網部署

園區網配置如下：
　　☆ 內部 LAN 被分割為可信任、不可信任、受保護、公共，以及隔離的區域。
　　☆ 訪問公用區域不需要訪問可信任和不可信任區域所需的特殊認證或其它驗證。
　　☆ 來自可信任的 LAN 的用戶可以訪問受保護的 LAN。
　　☆ 不可信任的、無線的和遠程訪問用戶在其訪問任何受保護資源前，都需要認證。


圖 5：園區網中的 F5 通用訪問方法

利用這種部署，F5 通用訪問方法能夠降低總體擁有成本：
　　☆ 每個區域分離處進行劃分的中心點。
　　☆ 借助獨立 VLAN，每個區域得以區分。能夠為每個 VLAN 和/或每個 VLAN 內的服務單獨定義高度靈活的訪問規則、安全策略、認證方案，并確保 NAT 轉換的安全性。
　　☆ 單獨的認證服務器能夠定義用戶及其角色，以滿足不同訪問方法的需求。
　　☆ 您可以擴展 F5 通用訪問方法，實時檢查數千兆位吞吐流量，以支持園區網內非常流行的三重播放（數據、視頻、語音）。深層數據包檢查、通用檢查引擎以及 iRules 提供了無人企及的控制功能，可用來管理和監控每秒數千兆位吞吐率的實時流量。
☆ 同 SSL 卸載及負載均衡結合使用，F5 解決方案支持數千兆位加密吞吐量，并能每秒處理成百上千項 SSL 交易。

例 2：多站點企業部署
　　對于其園區網絡分布在多個不同地理位置的大型企業而言，每個園區都有一個小型或大型的園區網，這些網絡與上述例子中描述的實例有著同樣的要求。對于每種訪問方法，都能采用靈活的安全及訪問策略，實現無線和內部 LAN 訪問。同時，它還支持內部 LAN 分段。遠程訪問服務通常集中于一個或兩個位置（總部）。

圖 6 顯示了幾個分布于不同地理位置的園區網配置。

圖 6：企業網絡中的 F5 解決方案

　　在這種部署環境下，F5 通用訪問方法能夠降低總體擁有成本：
　　☆ F5 解決方案位于所有訪問域的中心位置，包括遠程訪問域。
　　☆ 每個分支機構都有專用的 F5 通用訪問方法，從而將園區劃分為不同的區域。
　　☆ 中心位置包括用戶訪問權限及用戶組定義，這些定義標明了安全策略和訪問規則。
　　☆ 借助集群功能，F5 配置可實現自動同步。
　　☆ 在分支機構處可以設定受保護的部分，并對公共 LAN 進行劃分。
　　☆ 分支機構能夠訪問中心位置的資源。

結論
　　F5 BIG-IP 和 FirePass 產品的集成構成了一套獨一無二的解決方案，該方案能夠提供一種通用的方法，可用于保護和管理基礎設施，并能實現內部 LAN、無線及遠程訪問方法。F5 通用訪問方法通過提供如下功能使企業獲益：
　　☆ 針對無線、遠程和內部 LAN 訪問的單一安全策略。
　　☆ 針對所有企業用戶和 guest 用戶，提供一種與訪問方法無關的通用認證方式。
　　☆ 單一的管理方法，可實現經濟高效的管理。
　　☆ 可安全訪問所有企業關鍵資源。
　　☆ 對于要求有多千兆位吞吐量，且需要具備大量用戶的加密 SSL VPN (AES、3DES) 功能和透明代理功能，F5 也提供了支持。
　　☆ 用于選擇性服務的所有 SSL VPN 功能，，支持特定用戶組、門戶及 Webifyer 訪問預定義的應用。
　　☆ 借助 DoS Reaping（DoS 調整）、帶寬限制、數據包過濾、深層數據包檢查和安全網絡轉換功能，可實現更強的安全性，使其免受網絡、DoS、DdoS 和協議篡改攻擊。
　　☆ 通用的可視化訪問策略管理、審核，以及監控，能夠降低總體擁有成本。
　　☆ 應用的高可用性和快速交付。
　　☆ 資本開支/運營開支方面的大量節約。
　　☆ 降低園區和分布式環境下的總體擁有成本。
　　☆ 完全虛擬化功能，為可管理服務部署降低資本開支/運營開支。