ssl vnp技術(shù)支持手冊

1、<p>　　SSL VPN 技術(shù)支持手冊</p><p>　　擬 制： </p><p>　　審 核： </p><p>　　批 準(zhǔn)： </p><p>　　廣 東 卓 維 網(wǎng) 絡(luò) 有 限 公 司</p><p>　　Gu

2、angdong Topway Network Co., Ltd</p><p><b>　　二00七年四月</b></p><p><b>　　文 件 信 息</b></p><p><b>　　版 本 信 息</b></p><p><b>　　目 錄<

3、/b></p><p>　　一、SSL VPN技術(shù)介紹5</p><p>　　二、SSL VPN給用戶帶來的價值7</p><p>　　三、SSL VPN功能實現(xiàn)8</p><p>　　1、無客戶端軟件8</p><p>　　2、保持用戶使用習(xí)慣8</p><p>　　3、

4、客戶端應(yīng)用綁定8</p><p>　　4、支持多種TCP/UDP應(yīng)用系統(tǒng)8</p><p>　　5、第三方Radius/Windows/AD/LDAP認(rèn)證系統(tǒng)8</p><p>　　6、Windows　AD/LDAP用戶數(shù)據(jù)庫同步9</p><p>　　7、基于信任鏈表的PKI證書應(yīng)用9</p><p>　

5、　8、客戶端安全措施9</p><p>　　9、基于角色的細(xì)粒訪問控制9</p><p>　　10、信息與狀態(tài)監(jiān)控9</p><p>　　四、SSL VPN技術(shù)優(yōu)勢11</p><p>　　(1)客戶端支撐維護(hù)簡單11</p><p>　　(2)提供增強(qiáng)的遠(yuǎn)程安全接入功能11</p><

6、p>　　(3)提供更細(xì)粒度的訪問控制11</p><p>　　(4)能夠穿越NAT和防火墻設(shè)備12</p><p>　　(5)能夠較好地抵御外部系統(tǒng)和病毒攻擊12</p><p>　　(6)網(wǎng)絡(luò)部署靈活方便12</p><p>　　五、SSL VPN的市場和應(yīng)用前景14</p><p>　　1、市場的

7、特點與趨勢14</p><p>　　2、SSL VPN難以普及主要因素14</p><p>　　3、SSL VPN應(yīng)用前景---- SSL無處不在15</p><p>　　六、企業(yè)決策：如何選擇SSL VPN---三步走17</p><p>　　七、SSL VPN產(chǎn)品如何選購20</p><p>　　八、國

8、內(nèi)外主流廠商產(chǎn)品一覽表及推薦使用品牌22</p><p>　　九、國內(nèi)外主流廠商產(chǎn)品系列24</p><p>　　1、Juniper 網(wǎng)絡(luò)24</p><p>　　2、Arry Networks29</p><p>　　2.1　Arry Networks 優(yōu)勢29</p><p>　　2.2真正的企業(yè)級SSL

9、 VPN解決方案：30</p><p>　　2.3Array VPN的成功案例30</p><p>　　3、Nortel（北電）網(wǎng)絡(luò)33</p><p>　　3.1產(chǎn)品功能33</p><p>　　3.2產(chǎn)品優(yōu)勢35</p><p>　　4、F5 Networks36</p><p&g

10、t;　　4.1功能實現(xiàn)36</p><p>　　4.2技術(shù)優(yōu)勢39</p><p>　　5、O2Micro　Networks40</p><p>　　5.1產(chǎn)品特征41</p><p>　　5.2、技術(shù)優(yōu)勢42</p><p>　　6、北京安軟天地科技44</p><p>　　61功

11、能與應(yīng)用44</p><p>　　6.2產(chǎn)品優(yōu)勢----低成本的解決方案46</p><p>　　6．3產(chǎn)品規(guī)范46</p><p>　　7、深圳賽藍(lán)CYLAN46</p><p>　　7.1成功案例47</p><p>　　7.2功能實現(xiàn)48</p><p>　　8、深圳深信服5

12、0</p><p>　　8.1應(yīng)用方案優(yōu)勢：51</p><p>　　8.2產(chǎn)品特征及優(yōu)勢：51</p><p>　　一、SSL VPN技術(shù)介紹</p><p>　　SSL VPN即指采用SSL （Security Socket Layer）協(xié)議來實現(xiàn)遠(yuǎn)程接入的一種新型VPN技術(shù)。SSL協(xié)議是網(wǎng)景公司提出的基于WEB應(yīng)用的安全協(xié)議，它包括

13、：服務(wù)器認(rèn)證、客戶認(rèn)證（可選）、SSL鏈路上的數(shù)據(jù)完整性和SSL鏈路上的數(shù)據(jù)保密性。對于內(nèi)、外部應(yīng)用來說，使用SSL可保證信息的真實性、完整性和保密性。目前SSL 協(xié)議被廣泛應(yīng)用于各種瀏覽器應(yīng)用，也可以應(yīng)用于Outlook等使用TCP協(xié)議傳輸數(shù)據(jù)的C/S應(yīng)用。正因為SSL 協(xié)議被內(nèi)置于IE等瀏覽器中，使用SSL 協(xié)議進(jìn)行認(rèn)證和數(shù)據(jù)加密的SSL VPN就可以免于安裝客戶端。</p><p>　　SSL VPN技術(shù)幫

14、助用戶通過標(biāo)準(zhǔn)的WEB瀏覽器就可以訪問重要的企業(yè)的應(yīng)用。這使得員工出差時不必再攜帶自己的筆記本電腦，僅僅通過一臺接入Internet的計算機(jī)就能訪問企業(yè)的資源，這為企業(yè)提高了效率也帶來了方便。SSL VPN網(wǎng)關(guān)位于企業(yè)網(wǎng)絡(luò)的邊緣，介于企業(yè)服務(wù)器與遠(yuǎn)程用戶之間，控制二者的通信。</p><p>　　SSL VPN應(yīng)用環(huán)境如下圖（一）：</p><p><b>　　圖（一）</

15、b></p><p>　　掌握三個關(guān)鍵技術(shù)術(shù)語的含義有助于理解SSL VPN是如何實現(xiàn)的。</p><p>　　代理（Proxying）SSL VPN至少要實現(xiàn)一種功能：代理WEB頁面。它將來自遠(yuǎn)端瀏</p><p>　　覽器的頁面請求（采用HTTPS協(xié)議）轉(zhuǎn)發(fā)給WEB服務(wù)器，然后將服務(wù)器的響應(yīng)回傳給終端用戶。</p><p>　　應(yīng)用

16、轉(zhuǎn)換（Application Translation）對于非WEB頁面的文件訪問，往往要借助于應(yīng)</p><p>　　用轉(zhuǎn)換。SSL VPN網(wǎng)關(guān)與企業(yè)網(wǎng)內(nèi)部的微軟CIFS或FTP服務(wù)器通信，將這些服務(wù)器對客戶的響應(yīng)轉(zhuǎn)化為HTTPS協(xié)議和HTML格式發(fā)往客戶端，終端用戶感覺到這些服務(wù)器就是一些基于WEB的應(yīng)用。</p><p>　　有的SSL VPN產(chǎn)品所能支持的應(yīng)用轉(zhuǎn)換器和代理的代理非常少

17、，有的則很好地支持了FTP、網(wǎng)絡(luò)文件系統(tǒng)和微軟文件服務(wù)器的應(yīng)用轉(zhuǎn)換。用戶在選擇網(wǎng)關(guān)時，必須對自己所需要轉(zhuǎn)換的應(yīng)用有一個很明確的了解，并能夠根據(jù)他們的重要性給他們排個先后順序。</p><p>　　端口轉(zhuǎn)發(fā)(Port Forwarding)有些應(yīng)用，如微軟的Outlook或MSN，它們的外觀會</p><p>　　在轉(zhuǎn)化為基于界面的過程中丟失。此時需要用到端口轉(zhuǎn)發(fā)技術(shù)。端口轉(zhuǎn)發(fā)用于端口定義明

18、確的應(yīng)用。它需要在終端系統(tǒng)上運行一個非常小的JAVA或ActiveX程序作為端口轉(zhuǎn)發(fā)器，監(jiān)聽某個端口上的連接。當(dāng)數(shù)據(jù)包進(jìn)入這個端口時，它們通過SSL連接中的隧道被傳送到SSL VPN網(wǎng)關(guān)，SSL VPN網(wǎng)關(guān)解開封裝的數(shù)據(jù)包，將它們轉(zhuǎn)發(fā)給目的應(yīng)用服務(wù)器。</p><p>　　良好的SSL VPN產(chǎn)品應(yīng)該具有較好的互操作性，較為細(xì)致的訪問控制功能，完善的日志和認(rèn)證體系以及對應(yīng)用的廣泛支持。</p>&l

19、t;p>　　二、SSL VPN給用戶帶來的價值</p><p>　　--------隨時隨地移動接入</p><p>　　就在當(dāng)前大多數(shù)遠(yuǎn)程訪問解決方案是利用基于IPSec安全協(xié)議的VPN網(wǎng)絡(luò)的情況下，一種最新的研究表明近近呼90%的企業(yè)利用VPN進(jìn)行的內(nèi)部網(wǎng)和外部網(wǎng)的聯(lián)接都只是用來進(jìn)行因特網(wǎng)訪問和電子郵件通信，另外10%的用戶是利用諸如x11、聊天協(xié)議和其它私有客戶端應(yīng)用，屬非因特

20、網(wǎng)應(yīng)用。這些90%的應(yīng)用有研究表明可以利用一種更加簡單的VPN技術(shù)——SSL VPN來提供更加有效的解決方案。茶鄉(xiāng)浪子 51cto技術(shù)博客</p><p>　　SSL VPN不需要復(fù)雜的客戶端支撐，這就易于安裝和配置，明顯降低成本。IPSec VPN需要在遠(yuǎn)程終端用戶一方安裝特定設(shè)備，以建立安全隧道，而且很多情況下在外部（或非企業(yè)控制）設(shè)備中建立隧道相當(dāng)困難。另外，這類復(fù)雜的客戶端難于升級，對新用戶來說面臨的麻煩

21、可能更多，如系統(tǒng)運行支撐問題、時間開銷問題、管理問題等。IPSec解決方案初始成本較低，但運行支撐成本高。如今，已有SSL開發(fā)商能提供網(wǎng)絡(luò)層支持，進(jìn)行網(wǎng)絡(luò)應(yīng)用訪問，就如同遠(yuǎn)程機(jī)器處于LAN中一樣；同時提供應(yīng)用層接入，進(jìn)行Web應(yīng)用和許多客戶端/服務(wù)器應(yīng)用訪問。</p><p>　　三、SSL VPN功能實現(xiàn)</p><p><b>　　無客戶端軟件</b></p

22、><p>　　采用無客戶端軟件的解決方案，用戶只須要通過瀏覽器訪問VPN服務(wù)。這是因為SSL VPN</p><p>　　使用了已嵌入于一般瀏覽器中的SSL協(xié)議。這讓管理員無須為終端用戶提供軟件安裝，維護(hù)及策略定制的服務(wù)；僅僅在VPN網(wǎng)關(guān)上設(shè)置用戶訪問權(quán)限即可。</p><p><b>　　保持用戶使用習(xí)慣</b></p><p

23、>　　每個企業(yè)都根據(jù)自己的實際需要定制開發(fā)一些應(yīng)用系統(tǒng)，或者部署一些知名的服務(wù)來滿足自己的需要，比如使用Outlook的日歷安排的功能來安排會議；為不同的分支機(jī)構(gòu)的IC設(shè)計工程師部署集中的Terminal Server來共享設(shè)計仿真資源等。員工主要的工作時間都是在企業(yè)內(nèi)部使用這些特定的應(yīng)用，因此員工在家里或酒店需要訪問這些企業(yè)資源時候也希望保持在公司Intranet中的使用習(xí)慣，不希望變換應(yīng)用客戶端軟件，也不希望改變應(yīng)用客戶端的配

24、置。</p><p><b>　　客戶端應(yīng)用綁定</b></p><p>　　SSL VPN設(shè)計中考慮到用戶使用方便，因此特別客戶端應(yīng)用綁定的功能，讓用戶可以針</p><p>　　對某一個應(yīng)用服務(wù)設(shè)定使用哪一種應(yīng)用客戶端軟件?？蛻舳藨?yīng)用綁定設(shè)置也能由管理員完成，讓用戶免予進(jìn)行設(shè)置。</p><p>　　管理員/用戶可以

25、針對一個服務(wù)設(shè)定多個應(yīng)用客戶端軟件、葉可以定制關(guān)聯(lián)應(yīng)用的特性，給與用戶最大的選擇應(yīng)用何種應(yīng)用客戶端軟件的自由。如果用戶不設(shè)定關(guān)聯(lián)應(yīng)用，那么也可以直接在操作系統(tǒng)中啟動應(yīng)用軟件。</p><p>　　支持多種TCP/UDP應(yīng)用系統(tǒng)</p><p>　　雖然SSL協(xié)議主要用戶保護(hù)WEB應(yīng)用系統(tǒng)，但是SSL VPN應(yīng)該也支持多種基于TCP/UDP的Client/Server結(jié)構(gòu)的應(yīng)用軟件。管理員只

26、須要通過簡單的管理接口在服務(wù)器上定義需要支持的應(yīng)用，及配置好服務(wù)器使用的端口。比如FTP、TFTP、Oracle、SQL server等。</p><p>　　5、第三方Radius/Windows/AD/LDAP認(rèn)證系統(tǒng)</p><p>　　作為企業(yè)遠(yuǎn)程接入VPN網(wǎng)關(guān)，SSL VPN最核心的安全功能就是對遠(yuǎn)程接入用戶提供認(rèn)證、授權(quán)及訪問控制。為了減輕管理員的管理操作，SSL VPN不止應(yīng)

27、該提供內(nèi)置的用戶認(rèn)證數(shù)據(jù)庫，也應(yīng)該可以用常用的Radius/Windows/AD/LDAP用戶認(rèn)證系統(tǒng)結(jié)合，提供一體化的用戶認(rèn)證設(shè)施。利用第三方認(rèn)證系統(tǒng)，管理員無須再配置任何相關(guān)的信息，僅僅需要對不同認(rèn)證服務(wù)器上的用戶進(jìn)行授權(quán)即可。</p><p>　　6、Windows　AD/LDAP用戶數(shù)據(jù)庫同步</p><p>　　企業(yè)一般都會有集中的用戶管理系統(tǒng)，比如基于Window AD的用戶管

28、理系統(tǒng)。雖然ＩＴ管理人員希望只需維護(hù)一個用戶數(shù)據(jù)庫，但也要求在不同的應(yīng)用系統(tǒng)及網(wǎng)關(guān)上進(jìn)行細(xì)粒度的配置。若系統(tǒng)支持同Windows AD/LDAP服務(wù)器之間實行帳號同步，就可以保持服務(wù)器與企業(yè)用戶數(shù)據(jù)庫的一致。</p><p>　　7、基于信任鏈表的PKI證書應(yīng)用</p><p>　　基于公開密鑰證書的認(rèn)證系統(tǒng)有其安全性高、擴(kuò)展性好等特點。因此很多企業(yè)已經(jīng)開始使用PKI作為基礎(chǔ)的認(rèn)證設(shè)施。企

29、業(yè)提供遠(yuǎn)程接入解決方案不僅僅是接入本企業(yè)的員工，而且會接入不同企業(yè)的合作伙伴，因此用戶會要求遠(yuǎn)程接入網(wǎng)關(guān)能夠支持多個CA簽發(fā)的證書的用戶的認(rèn)證。</p><p><b>　　8、客戶端安全措施</b></p><p>　　一旦用戶接入到企業(yè)內(nèi)部網(wǎng)絡(luò)中，那么遠(yuǎn)端用戶的計算僅就成了企業(yè)的網(wǎng)絡(luò)的邊緣。因此IT管理人員需要確保遠(yuǎn)端用戶的計算機(jī)滿足企業(yè)的安全策略要求。一般通過四

30、個措施：</p><p>　　Host check & Cache Clean, ARL(Access Restriction List 訪問限制列表)，用戶登錄鎖定，SSL協(xié)議／加密算法設(shè)置；來保證客戶端的安全性。</p><p>　　9、基于角色的細(xì)粒訪問控制</p><p>　　訪問控制是SSL VPN提供的核心安全服務(wù)?；诮巧L問控制便于管理員快速

31、的對企業(yè)變化相對的更改控制規(guī)則。通過角色將系統(tǒng)的訪問用戶同系統(tǒng)保護(hù)資源聯(lián)合起來，既直觀，而且在訪問控制策略發(fā)生變化的時候無須為每一種資源或者每一個用戶修改權(quán)限；西需要修改某一種服務(wù)／角色／用戶的屬性。</p><p>　　10、信息與狀態(tài)監(jiān)控</p><p>　　提供SSL VPN準(zhǔn)確的狀態(tài)信息所能幫助管理員設(shè)計及實現(xiàn)有效的安全策略。時時監(jiān)控的各個狀態(tài)有助于管理員預(yù)測可能發(fā)生的危害，和及時

32、做出適當(dāng)?shù)姆磻?yīng)。</p><p><b>　　監(jiān)控圖表如下圖：</b></p><p>　　四、SSL VPN技術(shù)優(yōu)勢</p><p>　　--------IP Sec VPN&SSL VPN比較</p><p>　　IPSecVPN和SSLVPN是兩種不同的VPN架構(gòu)，IPSecVPN是工作在網(wǎng)絡(luò)層的，提供所有

33、在網(wǎng)絡(luò)層上的數(shù)據(jù)保護(hù)和透明的安全通信，而SSL VPN是工作在應(yīng)用層(基于HTTP協(xié)議)和TCP層之間的，從整體的安全等級來看，兩者都能夠提供安全的遠(yuǎn)程接入。但是，IPSec VPN技術(shù)是被設(shè)計用于連接和保護(hù)在信任網(wǎng)絡(luò)中的數(shù)據(jù)流，因此更適合為不同的網(wǎng)絡(luò)提供通信安全保障，而SSL VPN因為以下的技術(shù)特點則更適合應(yīng)用于遠(yuǎn)程分散移動用戶的安全接入。</p><p>　　(1)客戶端支撐維

34、護(hù)簡單</p><p>　　對于大多數(shù)執(zhí)行基于SSL協(xié)議的遠(yuǎn)程訪問是不需要在遠(yuǎn)程客戶端設(shè)備上安裝軟件，只需通過標(biāo)準(zhǔn)的Web瀏覽器連接因特網(wǎng)，即可以通過網(wǎng)頁訪問到企業(yè)內(nèi)部的網(wǎng)絡(luò)資源。而IPSecVPN需要在遠(yuǎn)程終端用戶一方安裝特定軟件以建立安全隧道。</p><p>　　(2)提供增強(qiáng)的遠(yuǎn)程安全接入功能</p><p>　　IPSecVPN通過在兩站點間創(chuàng)建安全隧道提

35、供直接(非代理方式)接入，實現(xiàn)對整個網(wǎng)絡(luò)的透明訪問；一旦隧道創(chuàng)建，用戶終端就如同物理地處于企業(yè)內(nèi)部局域網(wǎng)中，這會帶來很多安全風(fēng)險，尤其是在接入用戶權(quán)限過大的情況下。SSLVPN提供安全、可代理連接。通常SSLVPN的實現(xiàn)方式是在企業(yè)的防火墻后面放置一個SSL代理服務(wù)器。如果用戶希望安全地連接到公司網(wǎng)絡(luò)上，那么當(dāng)用戶在瀏覽器上輸入一個URL后，連接將被SSL代理服務(wù)器取得，并驗證該用戶的身份，然后SSL代理服務(wù)器將連接映射到不同的應(yīng)用服務(wù)

36、器上。 </p><p>　　(3)提供更細(xì)粒度的訪問控制</p><p>　　SSLVPN能對加密隧道進(jìn)行細(xì)分，使終端用戶能夠同時接入Internet和訪問內(nèi)部企業(yè)網(wǎng)資源。另外，SSLVPN還能細(xì)化接入控制功能，提供用戶級別的鑒權(quán)，依據(jù)安全策略確保只有授權(quán)的用戶才能夠訪問特定的內(nèi)部網(wǎng)絡(luò)資源，這種精確的接入控制功能對遠(yuǎn)程接入IPSecVPN來說幾乎是不可能實現(xiàn)的。</p>&

37、lt;p>　　(4)能夠穿越NAT和防火墻設(shè)備</p><p>　　SSLVPN工作在傳輸層之上，因而能夠遍歷所有NAT設(shè)備和防火墻設(shè)備，這使得用戶能夠從任何地方遠(yuǎn)程接入到公司的內(nèi)部網(wǎng)絡(luò)。而IPSecVPN工作在網(wǎng)絡(luò)層上，它很難實現(xiàn)防火墻和NAT設(shè)備的遍歷，并且無力解決IP地址沖突。</p><p>　　(5)能夠較好地抵御外部系統(tǒng)和病毒攻擊</p><p>

38、　　SSL是一個安全協(xié)議，數(shù)據(jù)是全程加密傳輸?shù)?。另外，由于SSL網(wǎng)關(guān)隔離了內(nèi)網(wǎng)服務(wù)器和客戶端，只留下一個Web瀏覽接口，客戶端的大多數(shù)木馬病毒感染不到內(nèi)網(wǎng)服務(wù)器。而傳統(tǒng)的IPSecVPN由于實現(xiàn)的是IP級別的訪問，一旦隧道創(chuàng)建，用戶終端就如同物理地處于企業(yè)內(nèi)部局域網(wǎng)中，內(nèi)部網(wǎng)絡(luò)所連接的應(yīng)用系統(tǒng)都是可以偵測得到，這就為黑客攻擊提供了機(jī)會，并且使得局域網(wǎng)能夠傳播的病毒，通過VPN一樣能夠傳播。</p><p>　　(

39、6)網(wǎng)絡(luò)部署靈活方便</p><p>　　IPSecVPN在部署時一般放置在網(wǎng)絡(luò)網(wǎng)關(guān)處，因而需要考慮網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，如果增添新的設(shè)備，往往要改變網(wǎng)絡(luò)結(jié)構(gòu)。而SSLVPN卻有所不同，它一般部署在內(nèi)網(wǎng)中防火墻之后，可以隨時根據(jù)需要，添加需要VPN保護(hù)的服務(wù)器，因此無需影響原有網(wǎng)絡(luò)結(jié)構(gòu)。</p><p>　　SSL VPN & IP Sec VPN技術(shù) 性能比較圖</p>

40、<p>　　五、SSL VPN的市場和應(yīng)用前景</p><p><b>　　市場的特點與趨勢</b></p><p>　　（1）VPN產(chǎn)品的市場需求將迅速增加。</p><p>　　“十一五”期間我國將對信息產(chǎn)業(yè)新增投入巨大，信息化(尤其是政府信息化)將在未來五年成為VPN產(chǎn)品市場發(fā)展的“助推器”。（2）更多的IT廠商將投入生產(chǎn)V

41、PN產(chǎn)品。</p><p>　　VPN產(chǎn)品是高投入、高回報的網(wǎng)絡(luò)安全產(chǎn)品，賽迪顧問預(yù)計，已進(jìn)入中國VPN產(chǎn)品市場的廠商數(shù)量在100～200家左右。（3）產(chǎn)品的安全性和保密性將日趨完善。</p><p>　　目前，許多在安全性和保密性方面要求較高的行業(yè)(如軍隊等)，對VPN產(chǎn)品的選擇和應(yīng)用非常謹(jǐn)慎，因為目前的VPN產(chǎn)品還不能完全滿足其安全、高效、穩(wěn)定地傳輸數(shù)據(jù)和信息的需要。所以，對于未來

42、VPN產(chǎn)品的發(fā)展，應(yīng)用先進(jìn)的技術(shù)，增強(qiáng)產(chǎn)品的功能將成為滿足用戶進(jìn)一步需求的一個重要因素。（4）廠商的服務(wù)質(zhì)量將會有實質(zhì)性的提高 VPN產(chǎn)品作為一類特殊的通過加密手段傳輸數(shù)據(jù)、信息的網(wǎng)絡(luò)安全產(chǎn)品，服務(wù)質(zhì)量的高低直接影響了用戶的購買行為。VPN產(chǎn)品大規(guī)模的應(yīng)用必須是以VPN廠商提供高質(zhì)量的服務(wù)為前提的。因此，在VPN產(chǎn)品大量應(yīng)用的前提下，廠商為用戶提供的服務(wù)在質(zhì)量上必將會有實質(zhì)性的提高。</p><p>

43、　　SSL VPN難以普及主要因素</p><p>　　目前SSL VPN應(yīng)用在國內(nèi)尚未走向普及。原因有很多，其中主要是國內(nèi)企業(yè)的信息化應(yīng)用程度問題。SSL VPN解決方案可以實現(xiàn)的訪問應(yīng)用主要有：電子郵件、PIM（個人信息管理）、內(nèi)部網(wǎng)資源、CRM/ERP等企業(yè)核應(yīng)用。目前，國內(nèi)企業(yè)的信息化程度不高，雖然這些應(yīng)用都已投入使用，但不是所有的應(yīng)用都會開放給遠(yuǎn)程接入。而且，有些信息化程度高的企業(yè)大多實施了IPSec

44、VPN解決方案，對其的信任程度也較高。用戶接受SSL VPN解決方案，并投入實際使用還需要一定的過程。 </p><p>　　3、SSL VPN應(yīng)用前景---- SSL無處不在</p><p>　　企業(yè)為了讓遠(yuǎn)距工作者連上企業(yè)網(wǎng)絡(luò)，正紛紛擁抱一種更簡單、成本更低的方式。這股趨勢為網(wǎng)絡(luò)安全系統(tǒng)供應(yīng)商開啟新的商機(jī)，卻也引來更多的競爭。 </p><p>　　業(yè)者競相推出

45、讓企業(yè)網(wǎng)絡(luò)存取安全無虞的閘道，使用的是一種常見的瀏覽軟體安全技術(shù)，稱為安全嵌入層（ SSL ）加密。分析師和 SSL 網(wǎng)絡(luò)設(shè)備制造商表示，眾多企業(yè)用戶已開始布署采用 SSL 技術(shù)的虛擬私人網(wǎng)絡(luò)（ VPN ）。 </p><p>　　網(wǎng)絡(luò)管理者指出， SSL 讓 VPN 朝使用簡易的目標(biāo)邁進(jìn)一大步，市場占有率因而迅速擴(kuò)增，成為網(wǎng)際網(wǎng)絡(luò)通訊協(xié)定保護(hù)（ IPSec ）的替代選擇（ IPSec 使用普及，但欠缺彈性）。而

46、這股趨勢又助長企業(yè)和員工對遠(yuǎn)距網(wǎng)絡(luò)存取的新需求。 </p><p>　　SSL 的運勢轉(zhuǎn)強(qiáng)，吸引科技巨人對該技術(shù)趨之若鶩，導(dǎo)致這個一年前全是小型新創(chuàng)公司天下的市場被迫汰弱留強(qiáng)。今天， SSL 產(chǎn)品的供應(yīng)商大多是網(wǎng)絡(luò)安全和交換器市場的知名大廠，包括思科系統(tǒng)（ Cisco Systems ）、 Check Point 軟體、 F5 網(wǎng)絡(luò)、諾基亞（ Nokia ）、 NetScreen 、北電網(wǎng)絡(luò)（ Nortel Ne

47、tworks ）和賽門鐵克公司（ Symantec ）。 </p><p>　　這些公司當(dāng)中，有些藉并購新創(chuàng)公司取得 SSL 技術(shù)，例如 F5 網(wǎng)絡(luò)、 NetScreen 和賽門鐵克。其他公司，像是思科、諾基亞和北電網(wǎng)絡(luò)，則自行研發(fā)這種技術(shù)。 </p><p>　　SSL并不是全新的技術(shù)，多年來早就嵌入大部分的標(biāo)準(zhǔn)網(wǎng)頁瀏覽器，讓諸如亞馬遜（Amazon.com）、E-trade等電子商務(wù)

48、公司提供安全的網(wǎng)際網(wǎng)絡(luò)交易。</p><p>　　因為 SSL VPN 允許使用者透過幾乎任一種網(wǎng)頁瀏覽器加以存取，非常適合用於遠(yuǎn)距存取和企業(yè)間網(wǎng)絡(luò)（ extranet ）應(yīng)用軟體。就大多數(shù)以網(wǎng)絡(luò)架構(gòu)的應(yīng)用程式而論，使用者不必再用任何用戶端程式（ client ），可讓員工或合伙商更容易存取網(wǎng)絡(luò)。 </p><p>　　相形之下， IPSec VPN 需要在所有用戶端系統(tǒng)上安裝、設(shè)定特別的

49、軟體，而且在進(jìn)行遠(yuǎn)距存取時，可能變得笨重不堪。 IPSec VPN 通常也有不相容的問題，可能令許多外勤人員為之氣結(jié)，因為無法存取重要的網(wǎng)絡(luò)資料而進(jìn)退兩難。 </p><p>　　SSL 的使用簡便，意味使用這種技術(shù)進(jìn)行遠(yuǎn)距存取，可為企業(yè)節(jié)省大筆開支。市場研究公司 Frost & Sullivan 估計，若用 SSL 遠(yuǎn)距存取 VPN ，每名使用者的平均花費可降到 60 至 220 美元之譜，相較于使用

50、IPSec VPN 所需的 150 到 300 美元。 SSL VPN 的總擁有成本低很多，因為不必預(yù)先逐一設(shè)定每一臺個人電腦.   </p><p>　　六、企業(yè)決策：如何選擇SSL VPN---三步走</p><p>　　2005年上半年是早期應(yīng)用SSL VPN的狂熱期，但是，這種狂熱逐漸衰竭進(jìn)入了六個月的暫停期。市場研究公司Forrester Resea

51、rch預(yù)測稱，到2005年年底，50%的大型企業(yè)已經(jīng)在積極地使用或者正在考慮部署SSL VPN。 </p><p>　　到目前為止，有更多的公司在跟隨著早期應(yīng)用者的腳步正在考慮或者部署這項技術(shù)。這意味著人們再次恢復(fù)了對SSL VPN的興趣。</p><p>　　SSL VPN實際上是一種不需要企業(yè)在遠(yuǎn)程設(shè)備上安裝VPN客戶端軟件的VPN。遠(yuǎn)程用戶能夠通過瀏覽器從任何筆記本電腦或者臺

52、式電腦實現(xiàn)安全連接。</p><p>　　下面三步闡述了企業(yè)如何選擇SSL VPN:</p><p>　　第一步: 確定以用戶為重點還是以應(yīng)用程序為重點。</p><p>　　SSL VPN適配器有兩個不同的特點:一個是以用戶為重點，另一個是以應(yīng)用程序為重點。企業(yè)在部署SSL VPN之前必須要確定這兩個特點哪一個是排在第一位的和最重要的。 </p>

53、<p>　　基于用戶的方式能夠向遠(yuǎn)程用戶提供透明的和完全的網(wǎng)絡(luò)接入功能，就像在局域網(wǎng)中一樣。這種應(yīng)用的VPN一般在一個設(shè)備的終端既有IPsec又有SSL VPN，并且還采用強(qiáng)大的端點安全和網(wǎng)絡(luò)接入控制技術(shù)。以用戶為重點的領(lǐng)域的廠商通常把SSL VPN作為在路由器、以太網(wǎng)交換機(jī)或者多功能一體安全設(shè)備等其它網(wǎng)絡(luò)設(shè)備中的一種可以選擇的功能提供給用戶。 </p><p>　　以用戶為重點的產(chǎn)品有思科的VP

54、N 3000系列集中器、Juniper網(wǎng)絡(luò)公司的安全接入設(shè)備、北電網(wǎng)絡(luò)的VPN路由器和AP網(wǎng)絡(luò)公司的產(chǎn)品。 </p><p>　　使用基于應(yīng)用程序的方法，企業(yè)要把重點放在需要重點使用的應(yīng)用程序方面。以應(yīng)用程序為重點的SSL VPN更強(qiáng)調(diào)后端應(yīng)用程序集成并且在沒有客戶端軟件的模式下(如通過瀏覽器)提供更好的訪問功能。 </p><p>　　基于SSL VPN的應(yīng)用程序集成了端點安全

55、，但是，重點主要放在政策管理方面。這種應(yīng)用程序擁有比基于用戶的SSL VPN更直觀的用戶界面和更強(qiáng)大的管理功能?；趹?yīng)用程序的SSL VPN市場的廠商和產(chǎn)品有Avenal公司的EX系列產(chǎn)品、Citrix系統(tǒng)公司的接入網(wǎng)關(guān)、F5網(wǎng)絡(luò)公司FirePass、Whale通信公司的智能應(yīng)用網(wǎng)關(guān)和Permeo公司。 </p><p>　　雖然這些產(chǎn)品的差別很小，但是，企業(yè)應(yīng)該首先提出這個問題以便確定部署SSL VPN的基

56、本方向。如果這個局域網(wǎng)或者廣域網(wǎng)用戶將決定采購方向，那么，就從以用戶為重點的設(shè)備開始。如果是應(yīng)用部門、遠(yuǎn)程接入專家或者企業(yè)移動計劃決定這個項目，那就從以應(yīng)用程序為重點的設(shè)備開始。 第二步：回答如何部署端點安全機(jī)制的問題。</p><p>　　企業(yè)需要集成的端點安全還是嵌入式的端點安全?</p><p>　　端點安全分為三個主要部分:</p><p>　　基

57、本主機(jī)檢查功能:這項功能掃描端點設(shè)備，確認(rèn)殺毒軟件、個人防火墻和操作系統(tǒng)補丁等軟件都已經(jīng)安裝并且是最新的。</p><p>　　緩存清除器:用于清除瀏覽器緩存下載的文件和cookie。</p><p>　　會話加密:會話加密一般使用Java建立一個虛擬“sandbox”，這樣，VPN會話過程中的所有活動都將被隔離和加密，然后在用戶登出時刪除。</p><p>

58、　　大多數(shù)SSL VPN都包括一個進(jìn)行預(yù)先認(rèn)證的基本的主機(jī)檢查。但是，對于高級的緩存清除和加密的“sandbox”等更復(fù)雜的安全功能來說，企業(yè)需要集成第三方廠商提供的工具軟件，如Sygate、CheckPoint軟件公司或者Trust Digital等公司的產(chǎn)品。集成的端點安全提供了廣泛的安全選擇，但是，這需要手工設(shè)置，并且容易出現(xiàn)策略設(shè)置錯誤。而這些錯誤將耗費更多的人力和成本。 據(jù)預(yù)測，大約70%的企業(yè)在他們的SSL VPN網(wǎng)絡(luò)

59、中采用集成的端點安全。 另一方面，嵌入式端點安全是建在設(shè)備中的。嵌入式工具通常有優(yōu)化的政策設(shè)置，能夠讓用戶從一個管理操作臺實施全面的訪問控制。然而，這個選擇的缺點是，企業(yè)如果選擇一種嵌入式產(chǎn)品就將被鎖定一家廠商提供的產(chǎn)品，并且必須要依靠那個廠商提供及時的安全升級。如果一家企業(yè)已經(jīng)擁有思科、McAfee和賽門鐵克等廠商提供的NAC(網(wǎng)絡(luò)準(zhǔn)入控制)設(shè)備，采用嵌入式解決方案就是一種重復(fù)的努力。 企業(yè)最后需要決定它是喜歡最高級的安全

60、并且愿意為此支付較多的資金，還是認(rèn)為實用和簡單性更重要。集成的方法和嵌入式的方法能夠分別解決這兩個優(yōu)先次序的問題。 </p><p>　　七、SSL VPN產(chǎn)品如何選購</p><p>　　SSL VPN由于其強(qiáng)大的功能和實施的方便性應(yīng)用越來越廣泛，市場上的SSL VPN品牌也越來越多，如何選擇適合自己的產(chǎn)品是需要用戶仔細(xì)考慮的一個問題，下面從五個方面描述如何選擇SSL VPN產(chǎn)品

61、: 1、應(yīng)用需求: 選擇VPN是為了支持遠(yuǎn)程訪問內(nèi)部網(wǎng)絡(luò)的應(yīng)用，因此這一點也是最先需要考慮的一點，目前，大多數(shù)SSL VPN支持我們?nèi)粘＝?jīng)常會用到的郵件系統(tǒng)、OA系統(tǒng)、CRM/ERP等等，但并不是所有的應(yīng)用SSL VPN都能夠提供支持，如動態(tài)端口的應(yīng)用就只有部分SSL VPN能夠提供支持。因此，在決定使用一款SSL VPN前一定要先確定是否能支持你的應(yīng)用。 2、安全需求: 要構(gòu)建一個安全的系統(tǒng)，不僅僅需要傳輸過程

62、安全，還要提高系統(tǒng)安全性，以下幾個方面是缺一不可的: </p><p>　?。?）傳輸過程安全 傳輸?shù)倪^程加密強(qiáng)度是確保內(nèi)部數(shù)據(jù)不在傳輸過程中被黑客盜取的關(guān)鍵因素。傳輸過程加密強(qiáng)度越高，傳輸安全性就越有保障。目前，擁有128位加密以上的SSL VPN產(chǎn)品是比較適宜的，56位DES加密相對強(qiáng)度低，選擇時需要特別注意。 </p><p>　?。?）用戶身份驗證 用戶名加密

63、碼的驗證方式安全性相對較低，除了用戶名和密碼外，能提供其他的雙因素驗證方式的產(chǎn)品更加具有優(yōu)勢，如支持PKI體系等? </p><p>　?。?）客戶端設(shè)備的安全性: 客戶端設(shè)備是否安裝了個人防火墻、防病毒軟件等。如果客戶端設(shè)備不夠安全，比如有木馬程序，那么系統(tǒng)依然存在安全隱患。目前部分SSL VPN能夠提供客戶端環(huán)境檢測，比如檢測客戶端是否安裝了防火墻和防病毒軟件。 </p><p

64、>　　（4）完成訪問后，客戶端需要清除客戶端機(jī)器的緩存 在移動用戶完成遠(yuǎn)程訪問后，是否就萬事大吉了呢?當(dāng)然不是，黑客或不法分子可以通過拷貝、復(fù)制駐留在客戶端緩沖區(qū)內(nèi)數(shù)據(jù)盜取企業(yè)機(jī)密。 </p><p>　?。?）服務(wù)端的日志跟蹤 SSL VPN服務(wù)器應(yīng)該提供訪問統(tǒng)計和跟蹤功能，這樣管理員能夠根據(jù)日志隨時掌握系統(tǒng)訪問情況。 3、易于管理和維護(hù)，使用操作性強(qiáng) SSL VPN的突出優(yōu)勢之

65、一就在于移動性強(qiáng)、易用性強(qiáng)。但這些特性往往會增加管理難度。因此用戶在選購SSL VPN時要重點考慮產(chǎn)品的管理性能。產(chǎn)品要做到界面簡單，使用方便，靈活、細(xì)致地設(shè)置訪問權(quán)限,采用基于用戶/組/角色的認(rèn)證機(jī)制，每個文件、網(wǎng)址或應(yīng)用都可進(jìn)行單獨設(shè)置，使訪問控制更易于管理。 4、性能 由于是集中系統(tǒng)，SSL加速決定整個網(wǎng)絡(luò)的吞吐量。如果SSL加速跟不上，遠(yuǎn)程接入就會比實際的Internet接入帶寬低很多。有的SSL VPN產(chǎn)品采用專門的

66、SSL加速硬件，從而提高了VPN的響應(yīng)速度。另外，通過數(shù)據(jù)壓縮技術(shù)，還對所有的傳輸數(shù)據(jù)進(jìn)行壓縮后再進(jìn)行傳輸，這樣就提高了整個網(wǎng)絡(luò)的運行效率和實用性。 5、服務(wù) 除了上面提到的幾點外，具有良好服務(wù)也至關(guān)重要。SSL VPN還是一個在不斷發(fā)展的技術(shù)，更新的可能會比較快，提供SSL VPN的廠家是否具有良好的產(chǎn)品服務(wù)質(zhì)量、渠道響應(yīng)速度和本地支持能力也非常重</p><p>　　SSL VPN的發(fā)展迎合了用戶

67、對低成本、高性價比遠(yuǎn)程訪問的需求?，F(xiàn)在，它已經(jīng)廣泛應(yīng)用于各行各業(yè)。選購SSL VPN時，用戶要根據(jù)自身特點和不同的業(yè)務(wù)模式，選擇適合自己的產(chǎn)品，再次強(qiáng)調(diào)，VPN是正在發(fā)展的技術(shù)，更新?lián)Q代比較快，因此用戶在選購時可以少考慮一些擴(kuò)展性，多注重產(chǎn)品的實用性。畢竟，只有適合自己的，才是最理想的選擇。</p><p>　　八、國內(nèi)外主流廠商產(chǎn)品一覽表及推薦使用品牌</p><p>　　九、國內(nèi)外主流

68、廠商產(chǎn)品系列</p><p>　　Juniper 網(wǎng)絡(luò)</p><p><b>　　1.1客戶概況:</b></p><p>　　1.2Juniper網(wǎng)絡(luò)產(chǎn)品優(yōu)勢</p><p>　　廣泛的SSL VPN設(shè)備和特性，可提供定制解決方案，以滿足各種規(guī)模公司的遠(yuǎn)程接入要求。 </p><p>　　獨特

69、的安全功能，為從最終用戶設(shè)備到內(nèi)部服務(wù)器的各種產(chǎn)品提供端到端的保護(hù)。 </p><p>　　SSL VPN市場公認(rèn)的領(lǐng)導(dǎo)者，2005年市場份額占有率高達(dá)近40%。 </p><p>　　為服務(wù)提供商提供高可用性和可升級性。</p><p>　　1.3各產(chǎn)品的領(lǐng)先技術(shù)優(yōu)勢</p><p>　?。?）Secure Access 700 主要特性與

70、優(yōu)勢如下：</p><p>　　為中小型企業(yè)而設(shè)計 </p><p>　　為遠(yuǎn)程或移動員工提供安全接入 </p><p>　　無需安裝客戶端軟件，最少量的服務(wù)器更改，少量的后期維護(hù)工作</p><p><b>　　降低總擁有成本 </b></p><p>　　即插即用產(chǎn)品，可在幾分鐘內(nèi)完成安裝，只

71、需最少的IT知識 </p><p>　　無需部署或維護(hù)客戶端軟件 </p><p>　　簡單的最終用戶和管理員界面，可實現(xiàn)簡便易用性 </p><p>　　提高遠(yuǎn)程員工的工作效率 </p><p>　　不存在網(wǎng)絡(luò)互操作性問題</p><p><b>　　端到端分層安全性 </b></p>

72、;<p>　　全面安全地接入LAN資源，確保端點設(shè)備、傳輸中的數(shù)據(jù)以及內(nèi)部資源的安全 <LI與廣泛的驗證方法和協(xié)議的無縫集成< li></p><p>　　（2）Secure Access 2000 主要特性與優(yōu)勢如下：</p><p><b>　　端到端分層安全性 </b></p><p>　　端點客戶端、設(shè)備

73、、數(shù)據(jù)和服務(wù)器的分層安全性控制 </p><p>　　Juniper 網(wǎng)絡(luò)公司Endpoint Defense Initiative（端點防御計劃），用于提供最高的端點安全性 </p><p>　　可以根據(jù)用戶組或角色、網(wǎng)絡(luò)、設(shè)備及會話屬性來規(guī)定基于用戶身份的接入</p><p><b>　　降低總擁有成本 </b></p>&l

74、t;p>　　不需要部署客戶端軟件或更改服務(wù)器，幾乎不需要長期維護(hù) </p><p>　　從單一平臺安全地遠(yuǎn)程接入內(nèi)聯(lián)網(wǎng)和外聯(lián)網(wǎng) </p><p>　　安全的外聯(lián)網(wǎng)接入，無需構(gòu)建DMZ、無需加固服務(wù)器、無需復(fù)制資源、或無需增加部署來添加應(yīng)用或用戶</p><p><b>　　簡化可管理性 </b></p><p>　

75、　集中管理選項提供統(tǒng)一管理 </p><p>　　用戶自助服務(wù)功能，可降低技術(shù)支持服務(wù)窗口的支持成本 </p><p>　　細(xì)粒度的審計和日志記錄 </p><p>　　3種不同的接入方法，允許管理員根據(jù)具體目的來設(shè)置接入權(quán)限 </p><p>　　基于角色分配管理任務(wù)</p><p><b>　　高可用性

76、</b></p><p>　　群集對部署選項，可為整個LAN和WAN提供高可用性</p><p>　?。?）Secure Access 4000 主要特性與優(yōu)勢如下：</p><p><b>　　增強(qiáng)的安全性 </b></p><p>　　接入權(quán)限管理特性允許執(zhí)行強(qiáng)有力的靈活驗證和授權(quán)策略，而不需要部署其他任

77、何軟件 </p><p>　　可以根據(jù)用戶組或角色、網(wǎng)絡(luò)、設(shè)備及會話屬性來規(guī)定基于用戶身份的接入 </p><p>　　端點客戶端、設(shè)備、數(shù)據(jù)和服務(wù)器的分層安全性控制 </p><p>　　3種不同的安全接入方法，允許企業(yè)根據(jù)具體目的來設(shè)置接入權(quán)限 </p><p>　　基于資源的細(xì)６仁諶?/li> </p><p&

78、gt;　　細(xì)粒度的審計和日志記錄</p><p><b>　　降低總擁有成本 </b></p><p>　　不需要部署客戶端軟件或更改服務(wù)器，幾乎不需要長期維護(hù) </p><p>　　安全的外聯(lián)網(wǎng)接入，無需構(gòu)建DMZ、無需加固服務(wù)器、無需復(fù)制資源、或無需增加部署來添加應(yīng)用或用戶</p><p>　　高性能、可擴(kuò)展性、可管

79、理性 </p><p>　　集中管理選項提供統(tǒng)一管理 </p><p>　　用戶自助服務(wù)功能，可提高用戶生產(chǎn)效率并降低管理成本 </p><p>　　基于角色分配管理任務(wù) </p><p>　　群集對部署選項，可為整個LAN和WAN提供高可用性</p><p>　　（4）Secure Access 6000 主要特性與

80、優(yōu)勢如下：</p><p>　　性能、可擴(kuò)展性及強(qiáng)勁的高可用性 </p><p>　　設(shè)計用于滿足大量用戶和復(fù)雜的應(yīng)用需求 </p><p>　　基于硬件的性能增強(qiáng)特性，可提供可擴(kuò)展性 </p><p>　　多單元群集選項，可為整個LAN和WAN提供高可用性 </p><p>　　無以倫比的SSL 加速芯片使得增強(qiáng)型C

81、PU的加密/解密過程更快 </p><p>　　可選冗余熱插拔硬盤，電源和風(fēng)扇</p><p><b>　　端到端安全性 </b></p><p>　　接入權(quán)限管理特性，允許執(zhí)行強(qiáng)有力的靈活驗證和授權(quán)策略，而不需要部署其他任何軟件 </p><p>　　端點客戶端、設(shè)備、數(shù)據(jù)和服務(wù)器的安全性控制 </p>

82、<p>　　可以根據(jù)用戶組或角色、網(wǎng)絡(luò)、設(shè)備及會話屬性來規(guī)定基于用戶身份的接入 </p><p>　　3種不同的安全接入方法，允許企業(yè)根據(jù)具體目的來設(shè)置接入權(quán)限 </p><p>　　細(xì)粒度的審計和日志記錄</p><p>　　簡化管理，降低總擁有成本 </p><p>　　集中管理選項提供統(tǒng)一管理 </p><

83、p>　　用戶自助服務(wù)功能，可提高用戶生產(chǎn)效率并降低管理成本 </p><p>　　安全遠(yuǎn)程接入，無需部署客戶端軟件、無需更改服務(wù)器、或幾乎不需要長期維護(hù)</p><p>　?。?）Secure Access 6000 SP的主要特性與優(yōu)勢包括：</p><p>　　低總體擁有成本，高投資回報 </p><p>　　無需安裝客戶端軟件，不

84、存在防火墻/NAT穿越問題，從而降低支持成本 </p><p>　　通過外部網(wǎng)接入、災(zāi)難恢復(fù)、內(nèi)部局域網(wǎng)安全和移動設(shè)備接入等服務(wù)獲得各種收入機(jī)會 </p><p><b>　　提高客戶滿意度 </b></p><p>　　充分利用現(xiàn)有SP基礎(chǔ)設(shè)施，包括MPLS和IPSec網(wǎng)絡(luò)</p><p>　　虛擬化框架，全面的管理靈

85、活性 </p><p>　　靈活的選擇，讓SP能夠： </p><p>　　讓終端客戶定義其虛擬系統(tǒng)的細(xì)節(jié) </p><p>　　提供易于部署的標(biāo)準(zhǔn)配置</p><p>　　基于角色的授權(quán)，進(jìn)行集中管理，從而簡化整個管理流程</p><p>　　客戶所需要的一流特性 </p><p>　　各種增

86、值接入方式，客戶可以自由選擇 </p><p><b>　　端到端的分層安全性</b></p><p>　　滿足服務(wù)提供商對性能、可擴(kuò)展性及高可用性的要求 </p><p><b>　　冗余、熱交換組件 </b></p><p>　　增強(qiáng)性能的特性，例如SSL加速、壓縮與集群，提供最優(yōu)的可擴(kuò)展性和可

87、用性 </p><p>　　多設(shè)備集群部署選擇，實現(xiàn)整個局域網(wǎng)和廣域網(wǎng)的高可用性</p><p>　?。?）Secure Access </p><p>　　通過推出Juniper 網(wǎng)絡(luò)公司安全接入高級特性，Juniper 網(wǎng)絡(luò)公司增強(qiáng)了在SSL VPN市場上的核心競爭力。本包將簡化你的Secure Access部署的管理、配置和維護(hù)，不管它是由提供遠(yuǎn)程和/或外部網(wǎng)

88、接入的單一設(shè)備構(gòu)成還是由遍布全球的一系列大型平臺構(gòu)成。高級特性亦包括Central Manager，一種采用基于Web的直觀用戶界面的強(qiáng)大產(chǎn)品，旨在方便Secure Access設(shè)備的配置、更新和監(jiān)控。</p><p>　　Secure Access系統(tǒng)的主要特性與優(yōu)勢包括：</p><p>　　Central Manager</p><p><b>　　

89、集群管理 </b></p><p><b>　　系統(tǒng)儀表板一瞥 </b></p><p><b>　　推動配置 </b></p><p><b>　　可定制的日志過濾 </b></p><p><b>　　用戶自助服務(wù)</b></p>

90、;<p><b>　　密碼管理 </b></p><p>　　基于標(biāo)題和表格的Web SSO </p><p>　　單個設(shè)備多個主機(jī)名 </p><p><b>　　可定制的用戶界面 </b></p><p>　　使用布爾規(guī)則進(jìn)行管理角色的授權(quán)</p><p>

91、　　針對每個任務(wù)的讀/寫/拒絕接入 </p><p><b>　　高級認(rèn)證</b></p><p><b>　　SAML </b></p><p>　　SiteMinder </p><p>　　SSO，用于訪問管理產(chǎn)品 </p><p><b>　　高級PKI特性

92、 </b></p><p><b>　　高級角色映射與限制</b></p><p>　　布爾表達(dá)式，用于整合屬性 </p><p><b>　　更多屬性標(biāo)準(zhǔn) </b></p><p><b>　　高級資源策略</b></p><p>　　結(jié)合

93、布爾表達(dá)式的資源訪問 </p><p><b>　　更多屬性標(biāo)準(zhǔn) </b></p><p>　　Arry Networks</p><p>　　2.1　Arry Networks 優(yōu)勢</p><p>　　Array SPX系列SSL VPN訪問網(wǎng)關(guān)不管在性能上還是在功能上都處于業(yè)界領(lǐng)先位置，它能提供低至幾個毫秒的響應(yīng)時

94、間，并能同時支持多達(dá)64000個并發(fā)用戶。</p><p>　　SPX系列設(shè)備在設(shè)計之初就針對關(guān)鍵業(yè)務(wù)應(yīng)用進(jìn)行了特別優(yōu)化，是目前業(yè)界唯一一款能夠滿足安全遠(yuǎn)程訪問的所有關(guān)鍵需求的解決方案。在部署了SPX系列設(shè)備之后，您將擁有多層安全、強(qiáng)健的應(yīng)用和設(shè)備兼容性、即點即用的系統(tǒng)管理功能、最低的整體擁有成本和最佳的終極用戶使用體驗。</p><p>　　不管是小型企業(yè)還是全球財富榜500強(qiáng)企業(yè)，SP

95、X系列設(shè)備都可以保證您的員工、合作伙伴和客戶能夠隨時隨地快速安全地訪問所需要的資源，極大地提高了企業(yè)生產(chǎn)力。</p><p>　　2.2真正的企業(yè)級SSL VPN解決方案：</p><p><b>　　端到端的安全性 </b></p><p>　　優(yōu)異的性能和負(fù)載能力 </p><p><b>　　集成的加速功

96、能 </b></p><p>　　集豐富的功能于一體 </p><p>　　l細(xì)粒度的訪問控制 </p><p><b>　　廣泛的兼容性 </b></p><p>　　按業(yè)務(wù)增長的需要進(jìn)行付費和投資的靈活性 </p><p>　　2.3Array VPN的成功案例</p>

97、<p>　　在Array Networks公司，始終秉承一個信念：所開發(fā)的在技術(shù)上極具創(chuàng)新的產(chǎn)品不單要推動技術(shù)在性能上的飛躍，同時也要為企業(yè)機(jī)構(gòu)創(chuàng)造實實在在的商業(yè)利益。</p><p>　　這就是為什么現(xiàn)在全球2000強(qiáng)企業(yè)中有超過20%的企業(yè)已經(jīng)部署了Array的產(chǎn)品，同時在全球零售、金融、醫(yī)療保健、科技和教育等領(lǐng)域的主要企業(yè)機(jī)構(gòu)中Array的產(chǎn)品也正被迅速地接受并流行開來。下邊展示Array的S

98、SL VPN網(wǎng)關(guān)都可以幫企業(yè)做些什么：</p><p>　　Nortel（北電）網(wǎng)絡(luò)　</p><p>　　根據(jù)Infonetics的報道，北電在SSL VPN收入方面已經(jīng)“躍升至第2位”，占據(jù)SSL VPN市場19%的份額。　 Infonetics調(diào)查公司首席分析家Jeff Wilson表示：“SSL VPN現(xiàn)在已經(jīng)開始步入自己的軌道，并在市場上產(chǎn)生了重大影響。最初，人們認(rèn)為它僅僅

99、是一種遠(yuǎn)程接入解決方案，其用途存在諸多限制，但現(xiàn)在許多廠商將它用于內(nèi)部安全和全公司的安全應(yīng)用訪問，這就大大擴(kuò)展了其目標(biāo)市場的范圍?！?lt;/p><p>　　北電VPN網(wǎng)關(guān)是一種遠(yuǎn)程接入安全解決方案，可將企業(yè)應(yīng)用的范圍擴(kuò)展到遠(yuǎn)程員工、合作伙伴和客戶身邊。VPN網(wǎng)關(guān)利用廣泛部署的Web瀏覽器SSL技術(shù)的，和IPsec VPN接入功能，提供當(dāng)前市場上最靈活、最經(jīng)濟(jì)高效的安全遠(yuǎn)程接入解決方案。</p><

100、;p><b>　　3.1產(chǎn)品功能</b></p><p>　　集成的流量管理 VPN網(wǎng)關(guān)支持基于內(nèi)容的負(fù)載均衡，支持具有安全會話持續(xù)性和即插即用的可擴(kuò)展性的高可用性應(yīng)用架構(gòu)。</p><p>　　SSL加速器配置選項 VPN網(wǎng)關(guān)目前包含了整套北電SSL加速器功能，可以部署作為經(jīng)濟(jì)高效的專用SSL卸載設(shè)備，并能根據(jù)需要靈活地激活SSL VPN功能。<

101、;/p><p>　　集成的SSL加速功能 VPN網(wǎng)關(guān)每秒最多可以管理1500次公共密鑰操作，在整個網(wǎng)關(guān)上保持應(yīng)用的高性能。而全面的密鑰和證書管理特性則能幫助簡化PKI管理。</p><p>　　內(nèi)網(wǎng)端加密 在不造成服務(wù)器過載下，VPN網(wǎng)關(guān)通過在網(wǎng)關(guān)兩邊（一邊是客戶端，另一邊是應(yīng)用）支持經(jīng)過鑒權(quán)和加密的會話來保護(hù)用戶隱私和數(shù)據(jù)保密性。</p><p>　　客戶

102、端安全性 VPN網(wǎng)關(guān)可根據(jù)用戶IP地址或鑒權(quán)強(qiáng)度動態(tài)地調(diào)整接入權(quán)限，并能自動終止可疑會話而不會在用戶設(shè)備上留下跟蹤數(shù)據(jù)。</p><p>　　鑒權(quán) 除了LDAP、RADIUS、NTLM、Active Directory和Netegrity服務(wù)支持外，VPN網(wǎng)關(guān)還加入了本地鑒權(quán)數(shù)據(jù)庫。另外，在需要強(qiáng)有力鑒權(quán)的情況下，它可以使用數(shù)字證書或基于令牌的雙因子系統(tǒng)，對用戶進(jìn)行鑒權(quán)。</p><

103、;p>　　無客戶端/增強(qiáng)型無客戶端模式 為了確保支持最廣泛的應(yīng)用，VPN網(wǎng)關(guān)可以適應(yīng)任何特定瀏覽器的會話類型。無客戶端模式可在網(wǎng)關(guān)上提供快速內(nèi)容轉(zhuǎn)換，而增強(qiáng)型無客戶端模式則在瀏覽器中運行Applet，為客戶端/服務(wù)器應(yīng)用構(gòu)建VPN隧道。</p><p>　　全局VPN負(fù)載均衡  VPN網(wǎng)關(guān)解決方案可部署在分布式環(huán)境中，提供到專用網(wǎng)絡(luò)的多個冗余接入點。通過融合北電應(yīng)用交換機(jī)的全局服務(wù)器負(fù)載

104、均衡技術(shù)，用戶可以透明地重定向到最近或性能最佳的接入點，而不受其所處實際位置的影響。</p><p>　　精細(xì)的接入控制和審計 VPN網(wǎng)關(guān)可以根據(jù)靜態(tài)列表提供接入控制。用戶經(jīng)過鑒權(quán)后，一個動態(tài)會話Cookie會在整個會話期間保存客戶的真實身份。通過一個系統(tǒng)日志事件管理器，可以記錄所有用戶活動，以支持詳細(xì)的審計。</p><p>　　群集 利用內(nèi)部負(fù)載平衡機(jī)制或北電應(yīng)用交換機(jī)，可

105、以群集部署多個VPN網(wǎng)關(guān)。除了提供即插即用的可擴(kuò)展性之外，應(yīng)用交換機(jī)還提供負(fù)載平衡、健康檢查和到群集內(nèi)網(wǎng)關(guān)的持久連接。</p><p>　　高級過濾 VPN網(wǎng)關(guān)可提供強(qiáng)大的應(yīng)用層過濾功能，用于屏蔽不需要的流量。您甚至可以制定策略，根據(jù)IP地址、請求的URL、應(yīng)用類型或cookie信息來屏蔽經(jīng)過鑒權(quán)的用戶。這種額外的安全功能為不能掃描加密數(shù)據(jù)的防火墻和入侵檢測系統(tǒng)提供了補充。</p><p

106、><b>　　3.2產(chǎn)品優(yōu)勢</b></p><p>　　簡單性 VPN網(wǎng)關(guān)可以無縫集成到任何網(wǎng)絡(luò)中，并能利用現(xiàn)有客戶端技術(shù)來最大限度地減少安裝、操作和支持問題。擴(kuò)展可以通過額外網(wǎng)關(guān)的簡單即插即用過程實現(xiàn)。訪問安全的應(yīng)用與使用熟悉的Web瀏覽器介面登錄網(wǎng)站一樣簡單。直觀的Web門戶可為遠(yuǎn)程用戶提供所需的遠(yuǎn)程接入功能和應(yīng)用訪問；Web UI管理界面還增加了一個帶有配置精靈和詳細(xì)幫助屏

107、幕的。</p><p>　　廣泛的應(yīng)用支持  增強(qiáng)型無客戶端和透明操作模式可增加提供給遠(yuǎn)程用戶的應(yīng)用類型。通過將SSL與應(yīng)用代理相結(jié)合，VPN網(wǎng)關(guān)可為企業(yè)提供到傳統(tǒng)客戶端/服務(wù)器和UDP應(yīng)用的安全遠(yuǎn)程接入。</p><p>　　高性能、可用性和可擴(kuò)展性 事實證明，VPN網(wǎng)關(guān)是速度最快的SSL VPN網(wǎng)關(guān)之一。通過在后端服務(wù)器間共享請求，集成的智能流量管理功能可提高應(yīng)用

108、性能。利用內(nèi)在的群集功能或北電應(yīng)用交換機(jī)的高級群集管理功能，可以通過一個簡單的即插即用流程擴(kuò)展容量。</p><p>　　無限制的移動性  VPN網(wǎng)關(guān)為移動工作者提供了與其公司保持聯(lián)系的更多機(jī)會，從而提高與員工和客戶進(jìn)行通信的頻率。同樣，合作伙伴的接入不再局限于特定的PC，因而簡化了B2B流程集成。</p><p>　　更低的總投資成本 VPN網(wǎng)關(guān)通過現(xiàn)有的網(wǎng)絡(luò)瀏覽器

109、和互聯(lián)網(wǎng)連接提供一種簡單的遠(yuǎn)程接入解決方案，并且沒有安裝、支持和維護(hù)客戶端軟件的操作開銷。此外，VPN網(wǎng)關(guān)還可以配置用于支持IPsec遠(yuǎn)程用戶，而無需增加硬件投資。</p><p>　　4、F5 Networks</p><p><b>　　4.1功能實現(xiàn)</b></p><p>　　Web 應(yīng)用 　　☆ 支持像在公司局域網(wǎng)里那樣輕松訪問內(nèi)部

110、 Web 服務(wù)器，包括 Microsoft Outlook Web Access、Lotus iNotes 和 MS SharePoint Portal。　　☆ 提供按群組對內(nèi)聯(lián)網(wǎng)資源的精細(xì)訪問控制。例如，員工可對整個內(nèi)聯(lián)網(wǎng)站點訪問，而合作伙伴只能訪問有限的特定 Web 主機(jī)。　　☆ 訪問資源時，F(xiàn)irePass 可動態(tài)將內(nèi)部 URL 映射到外部 URL，因此不會暴露內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)?！　　?管理員可在 FirePass 控制器上管理

111、用戶 cookie，以避免暴露敏感信息?！　　?能夠?qū)⒂脩糇C書發(fā)送給 web 主機(jī)，以支持自動登錄以及其他用戶對應(yīng)用的特定訪問。FirePass 也可與現(xiàn)有身份管理服務(wù)器（如 Netegrity）集成，實現(xiàn)應(yīng)用的單點登錄。　　☆ FirePass 可代理來自 web 主機(jī)的登錄請求，以避免用戶將密碼緩存在客戶端瀏覽器上?！　　?精細(xì)的訪問控制列表 (ACL)――允許或限制對應(yīng)用特定部分的訪問，增加了安全性并降低了業(yè)務(wù)風(fēng)險?！　　?/p>

112、 為 web 應(yīng)用提供隧道分割支持，提高最終用戶對公共網(wǎng)絡(luò)站</p><p>　　文件服務(wù)器訪問　　☆ 允許用戶瀏覽、上傳、下載、復(fù)制、移動或刪除共享目錄下的文件。 　　☆ 支持 SMB 共享、Windows 工作組；NT 4.0 和 Win2000 域；帶有本地文件系統(tǒng)包的 Novell 5.1/6.0，以及 NFS 服務(wù)器。</p><p>　　電子郵件訪問　　☆ 提供從標(biāo)準(zhǔn)和移

113、動設(shè)備瀏覽器到 POP/IMAP/SMTP 電子郵件服務(wù)器的 基于 Web 的安全訪問能力。　　☆ 允許用戶發(fā)送和接收消息、下載附件以及將網(wǎng)絡(luò)文件粘貼到電子郵件上。</p><p>　　移動設(shè)備支持　　☆ 可通過 PDA（如Palm OS）和蜂窩電話（如 WAP 和 iMode 手機(jī)）安全訪問電子郵件和其它應(yīng)用?！　　?系統(tǒng)必須能夠動態(tài)地對來自 POP/IMAP/SMTP 電子郵件服務(wù)器的電子郵件進(jìn)行格式調(diào)