【文章內容簡介】 83。 必須支持多種用戶認證方式，可以與現有網絡內的認證設備兼容； 必須具備終端安全檢查。可以檢查終端系統類型、補丁版本、是否安裝有殺毒軟件、防垃圾郵件等或者檢查特定位置的文件是否存在。通過這些檢測來分配用戶區(qū)域以及授權訪問； 終端檢查不僅要針對WAN使用VPN的用戶，還需要針對LAN內部互相訪問的終端設備； 必須能清晰并輕松地對用戶進行分權管理，不同等級的用戶有不同的訪問權限和資源； 必須在終端斷開VPN連接后，對終端所保存的信息進行清理，甚至能夠卸載客戶端軟件； 優(yōu)良的性能和響應 接口設備的性能是企業(yè)需要考慮的重要因素，因為這直接影響到企業(yè)資源的運作能力和未來的發(fā)展。新設備本身需要有較大吞吐，同時還應該具有獨特的數據包處理技術，在寬帶網、窄帶網以及在損耗較嚴重、丟包率較高的網絡環(huán)境里，均能夠實現數據包的快速傳輸。 支持網內全部應用遠程安全接入設備必須能夠支持所有類型的應用，對網內目前運行的應用支持加密訪問，并且設置權限，使不同類型的用戶，訪問不同類型的資源。并且對事件進行記錄。 簡捷的安裝部署 不需或最少量的對現有的網絡拓撲進行修改； 利用現有的認證系統； 無需對任何客戶端進行安裝及管理； 網關的管理要簡單。五．XXX 遠程安全接入解決方案 SSL VPN 網關部署 通過對XXX公司的需求分析，我們建議采用NeoAccel SGX產品解決遠程安全接入的需求。（部署如下圖）兩臺 NeoAccel SGX 做HA，安全、高效地把需要訪問內部資源的用戶接入。 SGX SSL VPN 網關單臂連接核心交換機。企業(yè)需要賦予SGX IP地址或域名做為入網門戶。所有VPN用戶必須登陸此門戶站點才能訪問內部服務器組，同時每個用戶必須有有效的帳號、口令并享有訪問SSL VPN各種資源的相應權限。SGX門戶的IP地址可以是公網地址，也可以是防火墻等設備NAT后的私網地址，此時，NAT設備只需要開放TCP 443端口并映射門戶地址為公網地址。 方案簡介 如上圖所示，企業(yè)內部的資源是多種多樣的，同時針對不同的組織和群組，其開放的權限也是不同的。 通過部署新安捷的SSL VPNPlus，操作人員無論是在分公司、合作伙伴辦公地點，還是員工在家、酒店，以及供貨商等在任何地方都可以遠程進行安全的業(yè)務操作和系統維護操作，而不必擔心非授權人員的非法訪問。在登陸以及通信過程中，SSL VPNPlus還能夠不斷地對客戶端的安全做評估，隨時切斷可疑主機，防止黑客、病毒以及間諜程序的侵入。 全應用支持企業(yè)的大部分內網資源，可以以WEB瀏覽器形式對外開放。在不用安裝任何客戶端軟件的情況下，SGX支持所有基于WEB的應用，如公司內網主頁、Web Outlook等： 瘦應用支持目前在無客戶端情況下，SGX支持四種瘦應用，分別為：Telnet、SSH、VNC和RDP。企業(yè)可以根據用戶性質，開放內部不同主機的命令權限。 Windows文件共享支持在企業(yè)日常的運作中，會經常有文件或主機共享的需求，SGX的文件共享功能可以完全滿足這方面需要，安全開放內網主機的文件夾或主機本身，供遠程用戶訪問。該功能也不需要安裝客戶端程序。 WEB訪問支持有些單位出于訪問安全以及審計方面的考慮，會要求所有分支機構的Internet訪問，必須通過公司總部，使用SSL加密方式。SGX不用安裝客戶端程序，即可實現此需求。遠程用戶必須登陸門戶站點，使用頁面提供的地址欄進行網頁訪問操作。 全權限訪問支持企業(yè)中肯定會有一些特殊用戶，比如網絡管理員、公司領導等，他們需要的權限很大，需要自己在遠程訪問時也能夠像在內網一樣順暢操作。這樣的需求，SGX能夠提供兩種實現方式：QAT和PHAT。QAT方式不需要下載安裝客戶端程序，只需主機支持Java，使用這種方式可以使用內網所有基于TCP協議的應用，適用于需要操作更簡便的員工、不希望在主機上安裝多余程序的人員或合作單位。PHAT方式需要安裝客戶端，安裝過程簡單且快速，用戶端不需要做任何設置，只需要按照提示點擊安裝即可。這種方式登陸的主機會得到內網IP地址，所有操作就像在內網一樣順暢。 企業(yè)應用支持舉例 SGX對企業(yè)ERP系統的支持 為了能夠快速發(fā)展壯大，已經有越來越多的企業(yè)開始部署ERP系統。早期的ERP系統是以Client/Server方式為基礎的，但隨著Web標準平臺的普及，多數企業(yè)已開始將ERP系統移植到Web上，而采用SSL VPN設備來實現Web應用的遠程安全訪問，則是最佳手段。 對于不采用WEB平臺的ERP系統（如采用ERP專用客戶端C/S結構），SGX產品可以使用QAT或PHAT訪問模式來滿足這些C/S結構的ERP應用。 SGX部署方式如下圖： 采用SSL VPNPlus的第一項好處就是降低成本，包括初期投資和日后的維護成本。部署SSL VPNPlus很簡便，基本不需要改變現有拓撲結構。由于可以不使用客戶端即可以訪問企業(yè)資源，使用者基本上不需要IT部門的支持，同時企業(yè)只需要管理一種設備即可，不必維護、升級或配置客戶端軟件。 SGX更容易滿足大多數員工對移動連接的需求。用戶通過因特網與任務設備實現連接，只需借助瀏覽器或客戶端程序提供的SSL隧道即可獲得企業(yè)內部資源的安全訪問，即使該員工身在外地，使用一臺危險系數較高的主機。SGX性能更高。SGX目前是業(yè)界SSL加密包轉發(fā)速度最快的VPN設備，這主要得益于其多項創(chuàng)新的專利技術的應用，這種第三代VPN的所有型號設備中都集成了這些技術，可以滿足企業(yè)不同網絡環(huán)境的需求。SGX更安全。ERP系統一般都采用集中式部署結構：數據庫服務器和應用服務器被安置在計算中心局域網內的核心網段上。所有外地用戶（包括外地局域網用戶和遠程訪問用戶）都必須通過防火墻的過濾才能夠訪問核心網絡及其上的ERP系統。我們可以看到， ERP系統的安全主要依靠防火墻來實現。但這對于ERP系統的安全是遠遠不能滿足的，例如防止病毒入侵、數據的加密、用戶的認證和分權、緩存清除等。對于數據的加密，如果不使用VPN技術，企業(yè)通常會借助ERP系統本身的軟件加密，但軟件加密會消耗大量用戶服務器的資源，直接影響到ERP系統的響應速度。用戶的認證和授權，對于ERP系統本身來說，實現起來很不容易。ERP系統一般也會有自己的基于對象權限和用戶角色概念的授權機制，但是它的授權機制是在應用層做的，不能在網絡層對接入用戶做授權。一旦黑客攻入系統主機，仍有可能對系統進行破壞，或者竊取數據。 SGX對ERP三種接入方式的支持：對于B/S架構的ERP系統，使用SGX的WAT訪問模式即可，無需安裝客戶端程序。使用這種方式可以實現：通過標準瀏覽器訪問企業(yè)ERP WEB系統；支持URLNAT：URL的動態(tài)重寫，提高安全性；強迫認證，強迫任何訪問Intranet的請求都必須先通過AAA；隱藏內部資源：可以隱藏Intranet的資源路徑，提高整體安全性。對于C/S結構的ERP系統，使用SGX的QAT或PHAT訪問模式。使用QAT模式時，客戶端將使用Java Applet做為TCP PROXY，所有基于TCP的ERP應用，都可以實現訪問，比通過隧道方式實現要安全的多。ERP系統的維護人員需要更高的操作自由度，所以需要以SGX的PHAT模式進行全權限訪問。此訪問模式是在客戶端和SGX之間通過SSL的連接建立一條VPN通道，客戶主機將會被配置一個和企業(yè)內網地址一致的網址，并通過這條VPN通道直連到企業(yè)內網，就好像在企業(yè)內部一樣。 SGX對企業(yè)OA系統的支持Microsoft Exchange Server系統Exchange Server并不是簡單的Email服務器的代名詞，而是一種交互式傳送和接收的重要平臺，它包含了一般信息、特殊格式的文件、多媒體、圖片或其他的對象。做為Exchange的前端工具的Outlook，現在更突出了它的重要性，它不但可以用來收發(fā)Email，還含有便箋、草稿、任務、日歷、日志、聯系人與公用文件夾等，如果再配合Microsoft Office各項結構化文件，加上其傳閱功能，即可建立一個資源管理系統，讓協同作業(yè)正常運行。從上圖我們可以看出，以Exchange Server為基礎構成的企業(yè)OA系統的客戶端和OA server的架構也基本分為兩類： 基于WEB，客戶端采用OWA接入，既采用Web Browser接入OA系統； 基于TCP的C/S結構，客戶端采用Outlook。對于OWA接入：可以使用WAT模式來實現安全訪問，可以實現： 通過標準瀏覽器訪問企業(yè)OA系統； 支持URLNAT：URL的動態(tài)重寫，提高安全性； 強迫認證，強迫任何訪問Intranet的請求都必須先通過AAA； 隱藏內部資源：可以隱藏Intranet的資源路徑，提高整體安全性。對于Outlook做為客戶端接入exchange server EMAIL系統：可以使用SGX的QAT和PHAT模式來實現安全訪問。對于使用Outlook接入Exchange server 復雜應用：推薦使用SGX的PHAT模式來實現。此訪問模式是在客戶端和SGX之間通過SSL的連接建立一條VPN通道，客戶主機將會被配置一個和企業(yè)內網地址一致的網址，并通過這條VPN通道直連到企業(yè)內網，就好像在企業(yè)