什么是 Ivanti ISA?
Ivanti ISA(Security Appliance)是专为企业安全远程访问打造的硬件设备平台,除物理设备外也支持虚拟化部署(ISA-V)和主流公有云(AWS、Azure、GCP)。ISA 运行 Ivanti Connect Secure 软件(原 Pulse Connect Secure),为企业提供 SSL VPN 隧道、零信任按应用访问、多因素认证(MFA)、终端合规检测和集中管理能力。
Ivanti 于 2020 年收购 Pulse Secure,原 Pulse Secure Appliance(PSA)系列已全面更新为 ISA 系列。ISA X500 系列当前包含 ISA6500 和 ISA8500C/8500F 硬件设备,运行 Ivanti Connect Secure 25.x 版本,底层采用 Oracle Linux 9 操作系统并启用 SELinux 安全增强。截至本页最近更新时间,Ivanti 官方 25.1.2.2 版本支持 ISA6500 和 ISA8500 硬件。正式采购和部署时,请以 Ivanti 当时发布的最新兼容性及版本文档为准。
ISA 支持物理硬件、虚拟设备和云三种部署方式,覆盖从 250 到 25,000 并发用户的企业规模,适用于中小企业远程办公到大型数据中心安全接入等不同场景。
适用场景
远程办公安全接入
员工分布多地,传统VPN拨号慢、体验不稳定。ISA提供快速SSL VPN和无客户端接入,支持各类主流设备。
数据中心与混合云
业务上云后访问策略分散难以统一。ISA支持物理、虚拟和云统一部署,实现跨环境一致的访问控制。
SSL VPN新建或更新
老旧VPN设备性能瓶颈且存在安全漏洞。ISA6500/8500C/8500F配合ICS 25.X,采用现代操作系统和安全加固架构。
分支机构安全互联
多分支机构专线成本高、部署周期长。ISA配合Secure Access Client实现远程和本地统一客户端接入。
Pulse Secure存量迁移
Pulse Secure设备硬件老化、软件版本过旧。部分PSA/MAG及现有Connect Secure环境可以迁移至ISA X500系列,具体迁移路径需根据设备型号、软件版本和功能配置进行兼容性评估。
零信任架构建设
传统边界安全模型无法适应当前网络环境。ISA作为ZTNA网关,结合MFA和终端合规,实现持续验证、最小权限访问。
核心能力
安全远程访问
支持SSL VPN L3隧道、ZTNA按应用L4访问、无客户端HTML5 Web访问,满足不同场景的接入需求。
身份认证与MFA
支持SAML 2.0、OIDC、PKI证书、TOTP动态口令和生物识别,可集成企业现有AD/LDAP目录和第三方IdP。
访问权限控制
基于用户身份、设备状态和上下文信息的动态访问策略,最小权限原则,支持应用级精细授权和条件访问。
集中管理与可视化
可选Neurons for Secure Access(NSA)SaaS管理平台,集中管控多台ISA网关,提供用户行为分析和自定义报告。
高可用与弹性扩展
支持Active/Active和Active/Passive集群部署,ICE按需突增许可,订阅许可支持跨设备灵活转移。
多形态部署
物理硬件ISA6500/8500C/8500F、虚拟设备ISA-V(VMware/Hyper-V/KVM)、云市场镜像(AWS/Azure/GCP),灵活适配各种IT环境。
型号对比与选型
ISA X500 系列覆盖从中小企业到大型企业的安全访问需求
硬件设备
| 项目 | ISA6500 | ISA8500C | ISA8500F |
|---|---|---|---|
| 部署形式 | 1U 机架式设备 | 1U 机架式设备 | 1U 机架式设备 |
| 最大并发VPN用户 | 2,500 | 25,000 | 25,000 |
| ESP吞吐量(大包) | 8.5 Gbps | 9.3 Gbps | 9.3 Gbps |
| SSL吞吐量(大包) | 3.8 Gbps | 8.6 Gbps | 8.6 Gbps |
| 网络接口 | 2×10Gb Base-T RJ-45 + 1×1Gb(管理) | 4×10Gb Base-T RJ-45 + 1×1Gb(管理) | 4×10Gb SFP+ + 1×1Gb(管理) |
| 冗余电源 | 单电源 | 双热插拔 | 双热插拔 |
| 集群模式 | Active/Active、Active/Passive | Active/Active、Active/Passive | Active/Active、Active/Passive |
| 典型适用场景 | 中小企业、分支机构 | 大型企业、数据中心(RJ-45接入) | 大型企业、数据中心(光纤接入) |
虚拟设备
| 项目 | ISA4000-V | ISA6000-V | ISA8000-V |
|---|---|---|---|
| 最大并发用户 | 250 | 2,500 | 25,000 |
| 参考vCPU | 4 | 8 | 12 |
| 参考内存 | 8 GB | 16 GB | 32 GB |
| 存储要求 | 因虚拟化平台、云平台及软件版本而异,请以对应版本的 Ivanti Supported Platforms Guide 为准 | ||
| 本地虚拟化平台 | VMware / Hyper-V / KVM | ||
| 云服务商 | AWS / Azure / Google Cloud | ||
如何选择适合的型号?
并发用户数
含远程员工、第三方接入及预留增长空间,确保所选型号有余量应对业务扩展。
业务流量
大文件传输、视频会议等高带宽场景需选择高性能型号,避免网络瓶颈。
高可用要求
关键业务建议配置双机集群。ISA8500C/8500F 支持双热插拔电源,更适合数据中心部署。
部署环境
纯云场景可选虚拟版,本地数据中心可选物理硬件,混合环境可组合使用。
身份系统集成
确认与现有 AD/LDAP/SAML 等认证系统的兼容性,规划 MFA 和 SSO 集成方案。
授权与续保
订阅许可通常含技术支持和版本更新,请确认续保周期和授权范围。
VISBAT 可提供的服务
VISBAT 可为您提供从选型采购到部署运维的完整技术服务
需求梳理与型号选型
根据并发用户、业务场景和网络环境推荐合适的ISA型号与部署方案。
产品报价与采购咨询
提供Ivanti ISA硬件、虚拟化及订阅授权报价,协助完成采购流程。
演示与POC协调
协调厂商资源,安排产品功能演示或概念验证(POC)测试。
Pulse Secure迁移升级
根据客户现有设备和软件版本进行迁移评估,设计配置转换、身份认证对接、测试验证、业务切换及回退方案。
MFA/SSO/身份集成
对接企业现有AD、LDAP、SAML、OIDC等身份认证系统。
续保与技术支持
协助续保方案评估、版本升级规划和日常技术问题响应。
实施流程
需求沟通
明确用户规模、访问场景和性能要求
环境评估
评估现有网络、身份系统和安全策略
产品选型
推荐匹配型号,输出配置与报价方案
报价或测试
确认商务条件或协调POC功能验证
部署迁移
设备上架、策略配置、旧系统迁移切换
验收与支持
功能验收、文档交付、进入运维支持阶段
典型部署场景
以下内容为典型应用场景说明,不代表具体客户案例。
金融行业安全访问场景
适合需要远程办公、第三方接入、身份认证和访问审计的金融机构。具体架构需根据合规要求、并发用户和现有身份系统设计。
制造企业多站点访问场景
适合总部、工厂和外部运维人员需要统一安全访问的制造企业,可根据各站点规模组合使用物理、虚拟或云部署方式。
企业零信任演进场景
可结合身份认证、MFA、终端状态检查和应用级访问控制,逐步从传统网络级VPN向细粒度访问模式演进。
医疗机构远程接入场景
可为远程办公、远程运维和业务系统访问提供身份验证、加密传输、权限控制和访问日志能力。
常见问题
Ivanti ISA是什么?
Ivanti ISA(Security Appliance)是 Ivanti 公司推出的安全访问硬件设备与虚拟化平台,运行 Ivanti Connect Secure 软件(原 Pulse Connect Secure),提供 SSL VPN、零信任访问(ZTNA)、多因素认证(MFA)和终端合规检测等功能。
Ivanti和Pulse Secure是什么关系?
Pulse Secure 原为独立网络安全厂商,2020年被Ivanti收购。原Pulse Secure产品线(Pulse Connect Secure、Pulse Policy Secure等)已整合为Ivanti Connect Secure和Ivanti Policy Secure,原PSA硬件设备系列已更新为ISA系列。
Ivanti ISA适合多少用户?
ISA系列覆盖从250到25,000并发用户。ISA4000-V适合小型企业(250并发),ISA6500适合中小企业(2,500并发),ISA8500C/8500F适合大型企业和数据中心(25,000并发)。虚拟设备可灵活满足不同规模需求。
如何选择不同型号?
主要参考并发用户数、业务流量、高可用需求、部署环境(物理/虚拟/云)和未来扩容规划。VISBAT可根据您的实际环境提供选型建议,具体配置及授权方式请咨询确认。
是否支持虚拟化或云部署?
支持。Ivanti提供ISA-V虚拟设备,可在VMware/Hyper-V/KVM上运行,也可通过AWS、Azure、GCP云市场获取预配置镜像。虚拟版可满足250至25,000并发需求(具体取决于分配的vCPU和内存资源)。
是否支持MFA和SSO?
支持。Ivanti Connect Secure支持SAML 2.0、OIDC、PKI证书、TOTP动态口令和生物识别等多种认证方式,可与Azure AD、Okta、Ping Identity等主流身份提供商集成,实现SSO单点登录。
原有Pulse Secure环境能否升级或迁移?
部分环境可以迁移,但不能仅根据产品系列判断。需要确认现有设备型号、ICS版本、认证方式、客户端版本、授权模式及功能配置,再依据Ivanti官方支持的迁移路径制定方案。VISBAT可提供迁移评估、测试和实施服务。
Ivanti产品如何报价?
报价通常包含硬件设备(或虚拟化授权)和订阅许可两部分。订阅许可按并发用户数计费,含技术支持与版本更新。VISBAT可提供报价咨询,具体价格因配置和授权模式而异,请咨询确认。
授权和续保包含哪些内容?
订阅许可通常含软件版本更新、安全补丁、技术支持及ICE紧急突增许可。续保周期一般为1-3年。具体授权范围和续保条款请以Ivanti最新厂商政策为准。
VISBAT可提供哪些技术支持?
VISBAT提供选型咨询、产品报价、安装部署、策略配置、Pulse Secure迁移、身份系统集成、运维培训和续保支持,为您提供从采购到运维的完整技术服务。
如何申请演示或选型咨询?
可通过页面底部联系方式提交需求,或建议提供预计并发用户数、当前设备型号和部署环境等信息,以便获得更准确的选型建议。
需要确认Ivanti型号、授权或迁移方案?
请告诉我们以下信息,我们的技术顾问将为您提供针对性的选型建议和报价方案:
- 预计并发用户数
- 当前使用设备或系统(如 Pulse Secure PSA3000)
- 部署环境(数据中心 / 虚拟化 / 云)
- 是否需要 MFA、SSO 或高可用
- 期望上线时间