1、F5 Networks, Inc. China World Tower 2,10/F,Suite 1001C,Beijing tel: 6505.2375 fax: 65052287 FirePass 保险公司解决方案F5 Networks, Inc. China World Tower 2,10/F,Suite 1001C,Beijing tel: 6505.2375 fax: 65052287 版本号 密级修改人 修改日期 修改对象 备注(原因、进一步说明)jack 2005-8-8 文档建立F5 Networks, Inc. China World Tower 2,10/F,Suite
2、1001C,Beijing tel: 6505.2375 fax: 65052287 1 本文档面向对象F5 的合作伙伴售前工程师。2 需求概述保险市场开放后,国内保险市场将涌入大批强有力的竞争对手。外资保险公司雄厚的资金实力、先进的经营技术、灵活的市场化经营方式对中国保险业提出了严峻的考验。为了提高自身的竞争力,ERP 系统得到了越来越广泛的应用,同时由于保险公司的运作特点,对于移动办公提出了越来越高的要求,而由于 IPSec VPN 的固有缺点,SSL VPN 正在保险行业得到广泛应用。SSL VPN 作为新出现的技术,可以完美的解决安全的远程接入的需求。安全的远程接入需要来自于三个人群,
3、分别是远程接入的使用者(如业务人员) 、公司信息安全主管、公司 IT 主管,下面分别论述他们的需求。2.1 远 程接入的使用者(如业务人员)的需求远程接入的使用者(如业务人员)的需求就是随时随地接入,以往的 IPSec VPN 因为无法解决高可用性以及受网络接入条件的限制,无法满足随时随地接入的需求,具体表现在在需要客户端使用不方便、某些网络条件下无法接入、无法满足 724 小时的高可用要求。2.2 公司信息安全主管的需求作为公司的信息安全主管,需要考虑整个系统的信息安全,以往由于使用IPSec VPN 开通远程接入而引起大量的病毒、蠕虫、应用攻击,而且一旦接入IPSec VPN,整个内网就完
4、全开放在使用者面前,存在着极大的隐患,信息安全主管希望新的 SSL VPN 能够解决这些问题。2.3 公司 IT 主管公司往往已经部署了 AAA 服务器,如 Active Directory、LDAP、RSA Secure ID、PKI、自己开发的 SSO 服务器等等,公司 IT 主管希望 SSL VPN 能F5 Networks, Inc. China World Tower 2,10/F,Suite 1001C,Beijing tel: 6505.2375 fax: 65052287 够与这些 AAA 服务器结合起来,即用户的认证交给 AAA 服务器,而不需要 IT主管维护两套用户账户系统
5、;IT 主管还需要 SSL VPN 具有详细的用户级日志,必要时还可以将日志信息通过标准协议传送至公司的日志服务器。3 F5 FirePass 解决方案F5 的 FirePass 是企业级的 SSL VPN 解决方案,可以充分满足上述的所有需求。3.1 F5 FirePass 特点3.1.1 完整的 SSL VPN 实现F5 FirePass 包含 IPSec VPN、网络访问、网上应用程序(My Intranet)、Windows 文件共享、移动电子邮件、应用程序访问、传统主机、终端服务器等众多功能,使用标准 SSL 安全协议,不需要专用客户端,可以完美的解决随时随地接入的需求,不仅可以满足
6、 B/S 应用程序的远程接入,也可以满足各种各样 C/S 应用程序的远程接入。3.1.2 强大的网络访问功能SSL VPN 是为弥补 IPSec VPN 的缺陷应运而生,F5 FirePass 包含 IPSec VPN、网络访问、网上应用程序(My Intranet)、Windows 文件共享、移动电子邮件、应用程序访问、传统主机、终端服务器等众多功能,这其中网络访问功能是真正重要和对于企业来说雪中送炭的功能,其他都是锦上添花的功能,网络访问功能可以完全替代其他所有的功能。网络访问功能既有 IPSec VPN 所具有的与应用无关已经与内网使用体验一致的特点,而且解决了由于使用 IPSec VP
7、N 所带来的无法审计登录信息、导致病毒和蠕虫入侵、某些网络条件下无法接入、需要客户端等诸多缺陷,所以网络访问功能才是用户一劳永逸的解决方案,一个 SSL VPN 解决方案可以不使用其他功能,但是一个不具备网络访问功能的 SSL VPN 解决方案是不可思议的。FirePass 的网络访问功能包含很多高级性能,如 GZIP 压缩,可以大大提高性能;提供全局和基于组的包过滤功能,可以灵活的定义和限制每个组可以访问的 IP、协议、端口,缺乏了包过滤功能的 SSL VPN 就不具备了相对于 IPSec VPN 的主要优势;提供对于 VLAN 的支持,方便大型的 SSL VPN 应用;不仅F5 Netwo
8、rks, Inc. China World Tower 2,10/F,Suite 1001C,Beijing tel: 6505.2375 fax: 65052287 提供 NAPT 方式的网络访问,还提供使用源地址的网络访问,而某些应用是必须使用源地址的网络访问的,如视频点播,这样不仅可以实现客户端对于服务端的访问,也可以实现服务端主动发起的对于客户端的访问请求,如越来越多的“推”技术。3.1.3 良好的性能F5 FirePass 可以实现高速缓存和压缩,极大的改善了远程接入的性能。3.1.4 多种多样的接入客户端F5 FirePass 可以使用多种客户端接入,包括Mac、 Linux、So
9、laris、Windows CE 等等,大大扩展了客户端的使用便利性。3.1.5 良好的安全性IPSec VPN 的安全性一直是一个弱点,由于 IPSec VPN 而引起的病毒、木马、Web 攻击一直是无法彻底解决的问题,而 F5 FirePass 可以很好的解决这个问题。在 FirePass 的门户站主机访问模式下,FirePass 可以对上传的文件做病毒扫描,更可以与企业现有的防病毒软件联动,彻底解决病毒问题。而 FirePass内带的内容检查功能,解决了 Web 攻击问题。F5 FirePass 可以对客户端做各种扫描,如操作系统版本、补丁版本、防病毒软件种类、病毒库更新时间等等,从而堵
10、住病毒、木马入侵的途径。F5 FirePass 可以对接入客户进行各种限制,如可以访问的地址、端口、URL 等等。F5 FirePass 可以配置成在退出时自动清除高速缓存。以上这些功能都大大增强了系统的安全性。3.1.6 丰富的日志功能IPSec VPN 的日志功能非常薄弱,而 FirePass 可以提供非常丰富的用户级日志功能,更可以通过标准的日志协议将日志实时传送给企业中的日志服务器,便于审计。F5 Networks, Inc. China World Tower 2,10/F,Suite 1001C,Beijing tel: 6505.2375 fax: 65052287 3.1.7
11、强大的高可用性对于远程访问非常重要的企业来说,远程访问设备的高可用性非常重要,而 IPSec VPN 无法提供高可用性,往往成为系统的单点故障。而 F5 FirePass 可以多台以集群方式对外提供服务,也可以前端使用 F5 BIG IP 作为负载均衡设备对外提供服务,在提高系统可用性的同时也提高了系统性能。3.1.8 与企业原有 AAA 服务器集成企业在部署远程访问设备之前,一般都部署了各种形式的 AAA 服务器,一般有 Active Directory、LDAP、RADIUS、企业自行开发的 SSO 等等,客户端也有 PKI、RSA Secure ID 等等。FirePass 可以轻易的与
12、这样 AAA 服务器集成,对于 IT 管理员来说,可以轻易将一台 FirePass 加入企业网,用户管理仍然由原来的 AAA 服务器去做。3.2 F5 FirePass 解决方案3.2.1 具体需求描述A 保险公司的远程访问逻辑图如下图所示。请注意, F5 FirePass 在网络中的部署方式是非常灵活的,既可以是类似防火墙的接法,把 FirePass 的几块网卡定义成不同的网段,分别接入到企业网的不同网段,也可以把 FirePass 直接接到企业的三层交换机上。F5 Networks, Inc. China World Tower 2,10/F,Suite 1001C,Beijing tel
13、: 6505.2375 fax: 65052287 I n t e r n e t合作伙伴家分支机构P D A笔记本酒店路由器对外发布服务器F i r e P a s sF i r e P a s sD M Z内网服务器群内网 P CA A A 服务器 ( A c t i v e D i r e c t o r y )该企业的远程访问用户分别来自分支机构(多个)、合作伙伴(多个)、在家或出差办公的员工,既需要解决这些客户的随时随地接入需求,更要区分不同用户的权限;接入客户端有 Windows、Linux、Windows Mobile、Mac;需要接入的应用有基于 Web 的应用、基于单个端口的
14、 TCP 应用(如 passive 模式的 FTP)、TCP 和 UDP 的应用、Windows 文件共享、基于微软 Exchange 的电子邮件、终端服务器( 如微软 Terminal Server、Citrix、VNC)、传统主机(如 3270、320 等主机终端) ,应用不仅有客户端到服务端的访问要求,也有服务器主动发起的对于F5 Networks, Inc. China World Tower 2,10/F,Suite 1001C,Beijing tel: 6505.2375 fax: 65052287 客户端的访问请求(主动发送更新文件等)以及双向的访问请求(如视频会议);认证方式是
15、 Active Directory、Windows 域认证、LDAP、RADIUS 、PKI、RSA Secure ID、VASCO Digipass、企业自行开发的认证服务器等其中的一种,需要FirePass 与这些认证服务器无缝集成;企业已经部署或者未部署具有 ICAP 接口的企业防病毒服务器,无论怎样,希望查杀上传至服务器的文件和邮件中的病毒;需要解决 Web 应用攻击问题;企业有集中的日志服务器,需要讲详细的日志信息上传至远程访问用户直接访问 FirePass,FirePass 把认证请求转发到企业的 AAA服务器上,认证通过后用户即登录 FirePass,按照事先定义的授权策略,用户
16、即可使用 IPSec VPN、网络访问、网上应用程序(My Intranet)、Windows 文件共享、移动电子邮件、应用程序访问、传统主机、终端服务器等众多功能中的若干资源。3.2.2 针对需求的解决方案3.2.2.1 随 时随地接入需求FirePass 使用 SSL 协议作为接入协议, SSL 协议工作于传输层与应用层之间,与具体接入条件无关,有效的避免了 IPSec VPN 在某些网络条件下无法接入的弊端。3.2.2.2 高可用性F5 FirePass 可以多台以 Failover 或集群方式对外提供服务,也可以前端使用 F5 BIG IP 作为负载均衡设备对外提供服务,在提高系统可用
17、性的同时也提高了系统性能,可以保障 724 小时服务。3.2.2.3 提供双因素认证保险公司一般采用 RSA Secure ID 或 PKI 的 USB Key 作为客户端认证手段,FirePass 可以使用这些双因素认证客户端作为认证手段。3.2.2.4 良好的 权限管理F5 FirePass 可以方便的以用户主干组和资源组映射的方式灵活的进行权限F5 Networks, Inc. China World Tower 2,10/F,Suite 1001C,Beijing tel: 6505.2375 fax: 65052287 管理,企业可以方便的赋予自己公司不同职权的员工、合作伙伴、供应商
18、等不同的权限。3.2.2.5 丰富的接入客户端FirePass 不仅可以使用 Windows 作为工作客户端,更可以使用Linux、 Windows Mobile、Mac、Solaris 作为工作客户端,这一点对于使用非Windows 客户端的企业尤为重要。3.2.2.6 提供 纯浏览器方式的 Windows 文件共享FirePass 提供纯浏览器方式的 Windows 文件共享,用户只需浏览器就可以实现 Windows 共享文件的浏览、上传、下载,而且可以对上传的文件查杀病毒,极大的方便了用户。3.2.2.7 提供 IMAP/POP3 邮件服务器 Web 展现FirePass 可以实现 IM
19、AP/POP3 邮件服务器 Web 展现,用户只需要使用浏览器,就可以存取基于 IMAP/POP3 邮件服务器的邮件,非常方便,并且可以对邮件查杀病毒。3.2.2.8 使用 浏览器访问终端服务器FirePass 可以实现终端服务器(如微软 Terminal Server、Citrix、VNC)的Web 展现,用户只需要使用浏览器,就可以实现对于终端服务器的访问。3.2.2.9 使用 浏览器访问传统主机FirePass 可以实现传统主机终端(如 3270 等)的 Web 展现,用户只需要使用浏览器,就可以实现对于传统主机的访问。3.2.2.10 实现双向访问FirePass 不仅支持客户端到服务
20、端的访问要求,也支持服务器主动发起的对于客户端的访问请求(主动发送更新文件等)以及双向的访问请求(如视频会议)。F5 Networks, Inc. China World Tower 2,10/F,Suite 1001C,Beijing tel: 6505.2375 fax: 65052287 3.2.2.11 与企业原有 AAA 服务器集成企业在部署远程访问设备之前,一般都部署了各种形式的 AAA 服务器,一般有 Active Directory、LDAP、RADIUS、企业自行开发的 SSO 等等,客户端也有 PKI、RSA Secure ID 等等。FirePass 可以轻易的与这样 A
21、AA 服务器集成,对于 IT 管理员来说,可以轻易将一台 FirePass 加入企业网,用户管理仍然由原来的 AAA 服务器去做。3.2.2.12 强大的防病毒功能FirePass 内置防病毒软件,可以查杀文件和邮件中的病毒,如果企业已经部署具有 ICAP 接口的企业防病毒服务器,FirePass 还可以将查杀病毒的功能交给企业防病毒服务器。3.2.2.13 提供高可用性F5 FirePass 可以多台以 Failover 或集群方式对外提供服务,也可以前端使用 F5 BIG IP 作为负载均衡设备对外提供服务,在提高系统可用性的同时也提高了系统性能。3.2.2.14 提供防应用攻击功能Fir
22、ePass 内带内容检查功能,可以防止内存溢出、 SQL 脚本注入等大部分web 应用攻击。3.2.2.15 解决系统远程访问的安全性IPSec VPN 的安全性一直是一个弱点,由于 IPSec VPN 而引起的病毒、木马、Web 攻击一直是无法彻底解决的问题, F5 FirePass 可以对客户端做各种扫描,如操作系统版本、补丁版本、防病毒软件种类、病毒库更新时间等等,从而堵住病毒、木马入侵的途径。F5 FirePass 可以对接入客户进行各种限制,如可以访问的地址、端口、URL 等等。F5 FirePass 可以配置成在退出时自动清除高速缓存。以上这些功能都大大增强了系统的安全性。自由度参
23、数,在 d 趋于无穷大时,T 分布收a敛于正态分布。2.2 模型求解本文数据选取 2004 年 3 月 3 日至 2012 年 5 月 22 日上海证券交易所上证 180 的交易数据。样本容量共有 2000 个,采用 Eviews6.0 和 Excel 对数据进行分析。上证 180 日收益率定义为 ,其中, 为上证 180 当日交易的收盘价格。收盘1log()l()tttrptp价格分布如下:图 2-1 收盘价分布图樐樐 5你认为最能代表浙江移动的一句话是什么? 沟通从心开始 谢谢合作!谢谢合作!姓名:顾静娜 部门/分公司:杭州分公司案例十二:机场登机 案例研究 Incontrol Enter
24、prise Dynamics 1 案例十二:机场登机1.1 介绍在机场,乘客必须要排队等待的地方就是登机台,或者更准确的说,要在登机台前的队列中等待。虽然登机台的检查很快,可乘客必须要排队等待直到轮到自己登机。乘客的等待时间越长,航空公司的服务评价就会越低。因此,尽量减少登机过程的等待时间是尤为重要的。航空公司需要决定在某一特定时刻开放多少个登机台。开放很多的登机台,会使得乘客的等待时间减少很多。但与此同时会增加成本。因此航空公司必须在顾客满意度和成本之间寻找到一个平衡点。为了得到更多的信息,我们便开始进行仿真研究。1.2 情景说明在这个案例研究中,你在机场工作,并需要弄清楚当满足某一服务水平
25、的情况下需要开放多少个登机台。为了简化这个问题,我们主要研究一个每天出发的单程航班。一些早到的乘客会在飞机起飞前 4 小时便到达了登机台。而其他人则是在飞机起飞前半小时到达登机台。总共有 10 个登机台可用。由于优质员工的成本很高,全部使用的话会很不明智。而登机台开放过少的话会导致乘客等待时间过长。现在就要由你来找出登机台数以及成本之间的最优平衡。登机处登记处是由几个登机台和相应的队列组成,如图 1 所视。当乘客到达登机处时,他们将选择一个登机台进行登机检查。如果登机台处有人排队队列,那乘客也将会排队等候。否则,他们将直接进行进入登机台进行登机检查。登机检查后,乘客会通过选择一个出口离开登机处
26、。服务时间在登机台处所用的服务时间是达到服务要求的一个决定性因素,也就是整个登机的所占用的全部时间。如果服务时间较短,队列就会相应的短一些,乘客便不需要等待太长的时间。当服务时间过长时,除非开放更多的登机台,否则等待时间便会增加。当然,服务时间是不固定的,它根据顾客而定。早期的研究已经测量出登机的时间和服务时间的概率分布。已经正式 Gamma 分布很适合代表在登机处的服务时间。 非常大的值是存在的,但是可能性非常小。平均服务时间是 2 分钟。Arrival pattern为达到服务目标而开放的服务台的数量也取决于旅客中到达的旅客数量。 如果乘客在登机前的四个小时内是按照固定的流速到达,那么两个
27、服务台就够了。如果大部分的乘客是在起飞前 3 到 4 个小时到达,那么只需要在 1 个小时内开放 4 个服务台,然后在其他的 3 个小时内只需要开放 1 个服务台就够了。到达模式可以统计为一张到达图。X 轴代表出发前的时间,y 轴代表已经到达的顾客百分比。以下为两种到达模式的例子: 在出发前 4 个小时内均匀到达,每半个小时有 12.5%的乘客到达。图一 1: 登机处图 2: Gamma 分布案例十二:机场登机 案例研究 Incontrol Enterprise Dynamics 2 大多数的乘客在前 90 分钟内到达。.在这 1 个半小时内,有 65%的乘客到达。服务台计划开放的服务台可以在
28、服务台计划中找到。下表为 1 个服务台计划:Start time End time First desk # desks Class Flight nr.0 240 1 2 economy SQ128在这个计划中,总计 10 个服务台中的前两个,为 SQ128 航班的乘客开放 4 个小时。另一个计划可能是:Start time End time First desk # desks Class Flight nr.0 60 1 4 economy SQ12860 240 1 1 economy SQ128在这个计划中, 第一个小时内有 4 个服务台为航班 SQ128 开放,但是 1 个小时候
29、3 个将会关闭,只留下一个开放。在两个例子中,我们指的都是固定的计划,因为在之前就已经决定了有多少个服务台要开放。动态的开关服务服务台还可以动态的开关。 这意味着如果等待的乘客过多的话会开放一个新的服务台(增加),如果等待的乘客少于一个值(降低)的话会关闭一个服务台。例如, 如果在 2 分钟或者更长的时间内,每个开放的服务台前等待的乘客数量超过了 10 个,那么将开放一个新的服务台。在服务台开放前还可以有 2 分钟的时间。 如果在 1 分钟或者更长的时间内每个开放的服务台前的顾客少于 5个,那么将关闭一个服务台。为了实现动态开关服务台,需要添加一列到计划表中:开始时服务台的数量。Start t
30、ime End time First desk # desks Start with Class Flight nr.0 240 1 4 1 economy SQ128在这个计划中,开始的时候为航班 SQ128 开放的服务台为 1 个。在高峰期的时候服务台的数量动态的到达最多的 4 个。当大部分的乘客已经登机服务需求降低的时候,服务台依次关闭。 服务小时正如前文所述,航空公司必须找到服务与成本之间的平衡点。成本可以表现为一个航班需要的服务台小时数量。 如果 2 个服务台开放了 4 个小时,那么就是有 8 个服务台小时。如果 1 个服务台开放了 4 个小时,3 个开放 1 个小时, 那么就是有
31、7 个服务台小时。 这样,服务台计划可以进行彼此比较。图 3: 均匀到达模式 图 4: 主要在 1.5 个小时内到达模式案例十二:机场登机 案例研究 Incontrol Enterprise Dynamics 3 每个服务台单独排队或者是银行排队方式?有两种常见的乘客排队方式:每个服务台单独排队或者银行排队方式,分别在图 5 和图 6 中展示为了实现排队,需要在服务台计划中添加一列。Start timeEnd time First desk# desks Start withBank liningClass Flight nr.0 240 1 2 1 1 economy SQ128如果列 Ba
32、nk lining的内容为 1,那么采用银行排队方式,如果为 0,采用单独排队方式。绩效指标为了评价服务水品,航空公司制定了一个规范。绩效指标的一个例子为使 80%的乘客在 10 分钟内接受服务。其他的性能指标有平均等待时间, 平均队列长度, 单独队列平均长度还有每小时服务的乘客数量。图 5: 每个服务台有单独的队列 图 6: 所有的服务台共用一个队列案例十二:机场登机 案例研究 Incontrol Enterprise Dynamics 4 2 CHECK-IN 模型为了更好的了解服务台前队列的情况,我们用一个模型来分析进程。乘客的等待时间跟他们以及前面的乘客在服务台处花费的时间有关。因此研
33、究不同的服务台计划就显得非常合理了。Check-in 模型已经建好。你需要将文件 3D Objects 和 CHECK-IN Library.atm 还有 checkin.mod 放到你的 work 文件夹中来观看. 然后打开 Enterprise Dynamics 软件并打开模型 checkin.mod.当模型打开后就会跟图 7 所示一样在模型能够运行前必须首先更新内部统计信息. 右击排队区域的模块. 会出现一个菜单列表,选择选项 “Update function table”. 之前运行的模型数据就会被清除掉,这样模型就可以开始运行. 永远记得要在运行模型前清楚之前的数据!这里你可以改变到
34、达模式这里是 10 个服务台,你可以改变服务计划这里你可以观看等待时间和队列长度图 7: 模型的 2D 视图案例十二:机场登机 案例研究 Incontrol Enterprise Dynamics 5 模型中变量设置: 开放服务台数量 是否要动态的开关服务台以及相关参数 服务台计划 乘客到达模式. 默认为 12.5%每半个小时。 乘客数量. 默认为一个航班有 225 个乘客该模型的最初配置如下: 225 个乘客在 4 个小时内稳定到达到达窗口 2 个窗口开放 4 个小时 每名乘客的服务时间为服从平均 2 分钟的 Gamma(2,2)分布 没有争夺为了简化模型, 我们假设一名乘客一旦进入某个服务台前的队列,他们就不会再改变队列,除非这个服务台关闭, 即使是新开的服务台前队列中有很少的乘客. 换句话说, 是没有争夺的. 这是不太切合实际的但是在大多数情况下,这对全局来说影响是非常小的。设定到达模式要改变到达模式, 右击 Arrival pattern 原子并选择 Edit Arrival pattern 表 。在这里你可以改变在 4个小时内每半个小时到达的顾客的百分比。另外一个选项, Define Arrival pattern 是用来定义模式的名称以及行数. 你不需要改变这个.回顾结果双击 Waiting ti