客户简介

xx石油作为中石化的一个直属骨干销售公司，拥有数百家加油站，随着中石化成品油零售系统电子化的进程，这些加油站都通过远程拨号方式连接到xx石油的成品油零售系统，这种方式大大提高了加油站经营管理的科技含量和服务水平。

业务问题与障碍

目前的远程访问方式除了需要在xx石油公司放置大量的调制解调器池外，各加油站要通过电话线拨入，每个月的电话费用也居高不下。

技术要求

xx石油公司对于加油站远程解决方案的需求是：

1.       传输安全，应该使用公开的协议保证信息传输的机密性；

2.       linux客户端：加油站使用的是linux客户端；

3.       降低客户端接入成本：现行的电话拨号方式电话费用高达300元/月，应该可以使用adsl等接入方式降低客户端接入成本；

4.       不需要linux客户端提供java环境：中石化使用的linux是定制版本，没有java环境，如果象某些厂商的解决方案一样需要在每个linux客户端安装java环境是完全不可行的；

5.       可以适应多种接入平台，适应多种应用运行：该解决方案要能够满足所有基于ip的应用都可以接入，包括基于tcp、udp的c/s应用以及b/s应用，提供与应用无关的特性，可以使用各种windows平台，包括windows98、windows2000、windows xp、windows2003；

6.       提供完善的客户端安全检查手段：可以根据xx石油的安全策略对客户端做各种扫描，如操作系统版本、补丁版本、防病毒软件种类、病毒库更新时间等等，不符合xx石油的安全策略的客户端不允许接入；

7.       提供高可用性：加油站需要7×24小时的远程接入；

8.       提供多种身份认证手段：应提供多种身份认证手段，以满足多种应用的需求；

9.         提供api：需要api，以供进一步开发使用。

解决方案及拓普图

经过详细比较ipsec vpn以及多个国际大厂商的ssl vpn产品之后，xx石油选用了f5公司的firepass作为加油站远程接入方案，使用一台firepass4130和一台firepass failover contoller以保障7×24小时的高可用性。

逻辑图见下图：

该解决方案充分满足了xx石油公司的需求，具有以下特点：

与应用无关

使用网络连接方式提供与应用无关的接入方式，对应用完全透明，所有应用均可以和内网应用一致的方式运行。

部署方便快捷

不需要客户端提供java运行环境，只需要客户第一次登录时自动下载一个大约300k大小的mozilla插件即可，这样不需要xx石油的it人员去现场即可完成部署，大大减少了工作量。

多种多样的接入客户端

f5 firepass可以使用多种接入客户端，包括mac、linux、solaris、windows ce等等，大大扩展了客户端的使用便利性。

良好的安全性

f5 firepass可以对客户端做各种扫描，如操作系统版本、补丁版本、防病毒软件种类、病毒库更新时间等等，从而堵住病毒、木马入侵的途径。

f5 firepass可以对接入客户进行各种限制，如可以访问的地址、端口、url等等。

f5 firepass可以配置成在退出时自动清除高速缓存。

以上这些功能都大大增强了系统的安全性。

高可用性

使用两台firepass以冗余方式对外提供服务，可以保障7×24小时服务。

与各种身份认证服务器集成

企业在部署远程访问设备之前，部署了各种形式的aaa服务器，一般有active directory、ldap、radius、企业自行开发的