该解决方案有四个主要组件，包括 F5 BIG-IP 平台、BIG-IP 访问策略管理器 (APM)、临时身份验证和 Web SSH 客户端。

BIG-IP 平台

BIG-IP 平台是符合 FIPS 标准、通过通用标准认证和 UC APL 认可的产品，具有物理和虚拟两种形式。 F5特权用户访问解决方案的所有功能均在 BIG-IP 平台内运行。 BIG-IP 是国防部网络中广泛部署的安全产品，已经为数千个关键应用执行了强身份验证。 这个附加解决方案只是将现有功能应用于特权用户需求。

BIG-IP 访问策略管理器

访问应用的特权用户首先要通过 BIG-IP 访问策略管理器 (APM) 进行身份验证。 BIG-IP APM 首次展示美国。 政府 (USG) 向用户发出警告横幅，要求用户接受才能继续进行身份验证。

接下来，BIG-IP APM 向用户请求 CAC 或强凭证，然后根据证书吊销列表 (CRL) 或在线证书状态协议 (OCSP) 服务器进行检查，以确保他们的凭证没有被吊销。 或者，BIG-IP APM 可以查询目录服务器，例如 Microsoft Active Directory (AD) 或轻量级目录访问协议 (LDAP) 服务器、安全断言标记语言 (SAML) 提供程序或各种第三方目录，以进一步确定用户的身份。

一旦 BIG-IP APM 验证特权用户被允许访问系统，BIG-IP APM 将查询其他属性以确定特权用户可以访问哪些资源。 最后，特权用户将看到一个他们被允许访问的资源的门户页面。 BIG-IP APM 还提供高级功能以确保客户端的完整性，例如验证客户端是否为政府提供的设备 (GFE)、是否符合基于主机的安全系统 (HBSS) 和/或是否运行受支持的操作系统。

短暂身份验证

临时身份验证本质上是一种闭路、一次性密码，适用于仅使用用户名和密码进行身份验证的系统。 整个系统存在于 F5 BIG-IP 内部，并与 BIG-IP APM 协同工作，以确保安全的端到端加密连接，同时消除凭证重放的可能性。 在此过程中，用户或客户端都不会知道这个临时密码，而且，万一这个密码被泄露，对于攻击者或不法分子来说，它就完全没有价值了。 这甚至允许 F5 为任何仅限于使用用户名和密码进行身份验证的系统提供 CAC 或多因素身份验证。

Web SSH 客户端

Web SSH 客户端是一个 HTML5 客户端，可在任何政府提供的网络浏览器上运行，不需要安装客户端组件。 这样就可以从任何当前和未来的美国进行即时访问。 带有网络浏览器的联邦政府系统。 该客户端提供完整的终端仿真、鼠标事件、剪切和粘贴以及在客户端上记录连接的能力。 该客户端还支持叠加每个主机或全局指定的分类横幅的功能，以及提供每个主机的密码选项以确保与传统设备的兼容性。

虽然 F5特权用户访问解决方案弥补了传统和不合规系统的严重安全漏洞，但它也是聚合对现代系统的访问权限的有效方法。 F5 可以保护许多需要特权用户访问的系统。 一些示例包括：

• 电话管理界面（例如 Cisco Communications Manager 管理）
• 防火墙、IDS/IPS 和 DLP 管理界面（例如 Palo Alto 网络界面）
• 代理管理界面（例如 BlueCoat ProxySG）
• 存储阵列接口（例如 NetApp OnCommand、Pure Storage）
• VDI 管理界面和 VDI 客户端身份验证要求（例如 VMWare Horizon、Citrix XenDesktop、Windows 远程桌面）

通过整合管理员的访问控制，您可以利用 BIG-IP APM 的广泛身份验证和控制功能。 它使您能够在不受信任的网络上强制使用 TLS 加密标准。 您还可以使用 BIG-IP APM 的日志记录功能来提供单点记录和审核对这些系统的管理访问，并与报告和日志记录系统集成以实现合规性目的。

F5 提供了一个框架来添加未来可能成为需求的功能。 政府和国防部领导层正在考虑的一些身份验证功能包括派生凭证、生物识别和其他身份验证因素。 如果政府选择不再使用目前常用的 CAC 或身份验证方法，F5 解决方案可以灵活地进行扩展，以支持定义的附加功能。

F5 解决方案支持身份验证联合模型，并可促进国防部采用 SAML 和云技术。 F5 可以为 DoD 环境中的应用、设备、管理界面和系统提供强大的身份验证 - 无论它们位于云端还是未来所在的任何地方。

要了解更多信息，请访问www.f5.com/solutions/us-federal-government或阅读有关影响联邦机构的网络安全趋势的更多信息。