隨著移動設備的普及，多數(shù)企業(yè)都已意識到BYOD(Bring Your Own Device)的重要性，也亟思援引適當解決方案，來滿足BYOD環(huán)境建置需求。但F5 Networks技術經(jīng)理林志斌認為，意欲打造BYOD，必須一并就網(wǎng)絡架構設計加以考慮，尤其對于制造業(yè)來說，與外部供應商、協(xié)力伙伴之間經(jīng)常會有協(xié)同作業(yè)需求，所以BYOD所需審視的面向更加復雜，除了內(nèi)部員工外，還摻雜了一些外人，在此情況下，企業(yè)總得需要知道存取者是誰，然后根據(jù)他的角色，適才適所地賦予正確權限、給予不同資源，才能有效地推展BYOD應用。

林志斌強調(diào)，企業(yè)要想建立安全可靠的BYOD環(huán)境，先決條件就是簡化單一簽入(SSO)流程，藉由安全、簡化、自動登入等簡單步驟，好讓使用者易于分享虛擬桌面基礎架構(Virtual Desktop Infrastructure；VDI)資源。

[[85808]]

一直以來，F(xiàn)5所提供的設備，向來介于前端使用者、后端應用服務器等兩端之間，其間所有進進出出的封包內(nèi)容，都可以一目了然，所以想要獲悉使用者是何人、從哪里來、采用哪種設備等訊息，無疑是輕而易舉；如此一來，企業(yè)一旦透過F5設備居間管控，即可根據(jù)存取者的IP安全等級、或是欲傳送的內(nèi)容，精確判斷應當對此人實施何等安全控制。

比方說，倘若存取者的IP位址，已被系統(tǒng)認定為Botnet IP，此時企業(yè)便可將之引入安全區(qū)域，僅允許他存取極有限度的資源，而不管他要寫入或帶出任何資料，都需要嚴加盤查。

何以F5設備能協(xié)助企業(yè)善盡嚴密的存取管控？主因在于，其處在網(wǎng)絡之中的關鍵位置，執(zhí)行遠端存取控制、SSL VPN、應用防火墻等重要任務，由于可做遠端存取控制，所以能夠?qū)λ性煸L者進行精細盤查；由于做SSL VPN，因此可以針對后端不同應用系統(tǒng)，連同各個應用系統(tǒng)的認證與授權機制，一并進行深度整合，據(jù)此營造SSO之利基；由于做應用防火墻，所以也可充分保障后端服務器的安全，不管它是實體主機、虛擬機器，抑或是時下最夯的云端服務器，安全控管無一例外。

“為了針對不同應用情境，強化使用者登入的安全等級，F(xiàn)5特別提供三層式把關機制，”林志斌說，第一道機制為AD，F(xiàn)5設備可串聯(lián)企業(yè)AD或LDAP等賬號認證系統(tǒng)，但是光是做到這樣還不夠，即使使用者賬號無誤，但所在位置異常(譬如從國外連結(jié)企業(yè)網(wǎng)絡)，就必須適時提高安全等級，此時即可搭配第二道機制－OTA(Over The Air)，透過軟件Token、簡訊Token或E-mail Token進行雙因素認證，至于第三道機制，則是ACL控管，可讓企業(yè)針對某些重要封包，進行更嚴格的過濾把關。

為呼應企業(yè)之于BYOD殷切需求，F(xiàn)5提供BIG-IP Access Policy Manager(APM)解決方案，它是一套集結(jié)了SSL VPN、SSO等功能，并支援VDI、Exchange或SharePoint等資源控制的附加模塊，可與同為F5所供應的BIG-IP Local Traffic Manager(LTM)系統(tǒng)搭配運用。

林志斌指出，BIG-IP APM最予人深刻印象之處，即在于它的直覺化，有別于傳統(tǒng)SSL VPN頻頻需要切換不同頁面，借以配置不同安全政策，BIG-IP APM則能讓所有事情在同一頁面完成；另值得一提的是，BIG-IP APM比起一般SSL VPN，更能妥善因應云端應用需求，只因其可容納的同時使用人數(shù)高達10萬，不管進來或出去的內(nèi)容，通通都可管控，同時也支援IPv6架構。

一旦采用了BIG-IP APM，則該企業(yè)使用者的遠端存取情境，就會變成這樣：用戶在登入企業(yè)網(wǎng)絡時，除了得接受身分與權限的確認外，他所使用的設備也得經(jīng)過詳細檢查，針對特定的防毒軟件、防火墻以及更新，“該有都要有”，經(jīng)過此一深層檢查程序后，才可如愿采用企業(yè)應用資源。

更重要的是，對于特別講求資料安全的制造業(yè)來說，當員工下班返家后，仍想連線到公司網(wǎng)絡執(zhí)行某些應用操作，原本放行也不是、阻擋也不是，如今受惠于BIG-IP APM，此事便可迎刃而解，它會啟動一個虛擬桌面，作為員工執(zhí)行作業(yè)的環(huán)境，作業(yè)過程中所產(chǎn)生的任何檔案資料，皆不得儲存在本地設備。

此外，F(xiàn)5考量到使用者若以移動設備執(zhí)行遠端存取，恐囿于3G網(wǎng)絡的速度較差、封包遺失率較高，因而產(chǎn)生不甚良好的使用體驗，因此也搭配BIG-IP APM悉心提供了BIG-IP Edge Client，其支援iOS與Android等高普及率的移動應用平臺，也提供了Client-side的Cache及QoS功能，借以化解上述缺憾。

另一方面，為了簡化并強化企業(yè)VDI應用環(huán)境，BIG-IP APM一方面能與企業(yè)現(xiàn)存的MDM或其他資產(chǎn)系統(tǒng)結(jié)合，憑借身分、設備等不同維度精確判別使用者為何人，從而實施細膩管控，另可適時扮演SSO Proxy角色，且一舉取代Secure Gateway、Web Gateway等慣常見于VDI環(huán)境的繁復機制，使得整體架構趨于簡潔單純，讓原本復雜VDI架構不利于施行SSO的負面因子，通通一掃而空。