【正文】 N時(shí)，必須購(gòu)買適當(dāng)?shù)陌踩浖?，這個(gè)軟件的成本必須考慮進(jìn)去也是很高的。而且當(dāng)用戶的VPN策略稍微有所改變時(shí)，其管理難度將呈幾何級(jí)數(shù)增長(zhǎng)。部署IPSec VPN之后，另外一些安全問題也會(huì)暴露出來(lái)，這些問題主要與建立了開放式網(wǎng)絡(luò)連接有關(guān)。 第二代VPN 第二代VPN采用的是SSL協(xié)議，與IPSec VPN相比，SSL VPN具有如下優(yōu)點(diǎn)：SSL VPN的客戶端程序，如Microsoft Internet Explorer、Netscape Communicator、Mozilla等已經(jīng)預(yù)裝在了終端設(shè)備中，因此不需要再次安裝；SSL VPN可在NAT代理裝置上以透明模式工作；SSL VPN不會(huì)受到安裝在客戶端與服務(wù)器之間的防火墻等NAT設(shè)備的影響，穿透能力強(qiáng)；SSL VPN將遠(yuǎn)程安全接入延伸到IPSec VPN擴(kuò)展不到的地方，使更多的員工，在更多的地方，使用更多的設(shè)備，安全訪問到更多的企業(yè)網(wǎng)絡(luò)資源，同時(shí)降低了部署和支持費(fèi)用； SSL VPN可以在任何地點(diǎn)，利用任何設(shè)備，連接到相應(yīng)的網(wǎng)絡(luò)資源上。所以IPSec VPN實(shí)際上只適用于易于管理的或者位置固定的地方。 但是雖然SSL VPN具有以上眾多的優(yōu)點(diǎn)，卻由于SSL協(xié)議本身的局限性，使得性能遠(yuǎn)低于使用IPSec協(xié)議的設(shè)備。這也是第二代VPN始終無(wú)法取代第一代VPN的原因。SSL VPNPlus的創(chuàng)新技術(shù)之處是重新構(gòu)建了SSL協(xié)議模型，使用單隧道方式處理加密數(shù)據(jù)包，從根本上解決了由于雙TCP疊加帶來(lái)的性能瓶頸，突破了傳統(tǒng)SSL VPN設(shè)備的局限性，降低響應(yīng)時(shí)間，提高設(shè)備性能。三．遠(yuǎn)程安全接入方案設(shè)計(jì)總則 遠(yuǎn)程安全接入設(shè)計(jì)原則 安全性和高可用性VPN直接構(gòu)建在公用網(wǎng)上，實(shí)現(xiàn)簡(jiǎn)單、方便、靈活，但同時(shí)其安全問題也更為突出。VPN將企業(yè)網(wǎng)擴(kuò)展到合作伙伴和客戶，對(duì)安全性提出了更高的要求。u 數(shù)據(jù)驗(yàn)證：在不安全的網(wǎng)絡(luò)上，特別是構(gòu)建遠(yuǎn)程安全接入的公用網(wǎng)上，數(shù)據(jù)包有可能被非法截獲，篡改后重新發(fā)送，接收方將會(huì)接收到錯(cuò)誤的數(shù)據(jù)。 u 用戶驗(yàn)證：遠(yuǎn)程安全接入可使合法用戶訪問他們所需的企業(yè)資源，同時(shí)還要禁止未授權(quán)用戶的非法訪問。這一點(diǎn)對(duì)于遠(yuǎn)程安全接入具有尤為重要的意義。 技術(shù)先進(jìn)性、實(shí)用性原則遠(yuǎn)程安全接入不僅要求能充分利用現(xiàn)有的網(wǎng)絡(luò)資源，而且要滿足未來(lái)發(fā)展的需要。在安全接入產(chǎn)品的選擇上，需要權(quán)衡現(xiàn)有需求和未來(lái)發(fā)展需要之間、現(xiàn)有技術(shù)的可獲得性和未來(lái)技術(shù)發(fā)展方向之間的矛盾。 可管理性原則系統(tǒng)的管理維護(hù)是一項(xiàng)繁重的工作，代價(jià)也極高。系統(tǒng)的管理易維護(hù)性體現(xiàn)在軟硬件兩個(gè)方面。軟件易維護(hù)性主要指體系結(jié)構(gòu)清楚，易理解，同時(shí)，管理界面友好，易操作。隨著企業(yè)用戶的不斷增加，業(yè)務(wù)的不斷擴(kuò)展，應(yīng)用規(guī)模也迅速膨脹。在業(yè)務(wù)數(shù)量劇增的情況下依然能夠提供優(yōu)質(zhì)服務(wù)，這就要求我們的系統(tǒng)具有良好的可擴(kuò)展性 遠(yuǎn)程安全接入設(shè)計(jì)理念遠(yuǎn)程安全接入設(shè)計(jì)必須架構(gòu)在科學(xué)的體系和框架之上，因?yàn)榭蚣苁欠桨冈O(shè)計(jì)和分析的基礎(chǔ)。 遠(yuǎn)程安全接入設(shè)計(jì)目標(biāo)確保為用戶提供高安全性、高可用性、高性能、易管理的解決方案。 XXX 目前網(wǎng)絡(luò)及應(yīng)用狀況現(xiàn)階段XXX的網(wǎng)絡(luò)情況如下圖：所有的應(yīng)用和數(shù)據(jù)放置在公司總部，上海和昆山通過網(wǎng)通的2兆DDN專線連入公司總部，SOHO 和移動(dòng)辦公人員直接訪問被映射到公網(wǎng)的公司資源。應(yīng)用有基于B/S 和 C/S 架構(gòu)。 DRP系統(tǒng)被直接開放公網(wǎng)地址和端口，很容易被黑客或不懷好意的人入侵，DRP系統(tǒng)的資料容易丟失。 沒有對(duì)客戶端的機(jī)器安全進(jìn)行檢查及實(shí)施相應(yīng)策略的機(jī)制，使病毒等有害程序輕易進(jìn)入內(nèi)網(wǎng)；可用性差 XXX 遠(yuǎn)程安全接入的需求 根據(jù)遠(yuǎn)程安全接入的設(shè)計(jì)原則，結(jié)合XXX公司的實(shí)際情況，XXX 遠(yuǎn)程安全接入完成后應(yīng)達(dá)到如下效果： 較高的安全性 安全對(duì)企業(yè)的生存和發(fā)展至關(guān)重要，如果因?yàn)榭蛻舳说牟话踩蛩貙?dǎo)致總部服務(wù)器群經(jīng)常出現(xiàn)狀況的話，對(duì)企業(yè)自身的運(yùn)作和生產(chǎn)是十分不利的。 必須支持多種用戶認(rèn)證方式，可以與現(xiàn)有網(wǎng)絡(luò)內(nèi)的認(rèn)證設(shè)備兼容；可以檢查終端系統(tǒng)類型、補(bǔ)丁版本、是否安裝有殺毒軟件、防垃圾郵件等或者檢查特定位置的文件是否存在。 終端檢查不僅要針對(duì)WAN使用VPN的用戶，還需要針對(duì)LAN內(nèi)部互相訪問的終端設(shè)備； 必須在終端斷開VPN連接后，對(duì)終端所保存的信息進(jìn)行清理，甚至能夠卸載客戶端軟件； 優(yōu)良的性能和響應(yīng) 接口設(shè)備的性能是企業(yè)需要考慮的重要因素，因?yàn)檫@直接影響到企業(yè)資源的運(yùn)作能力和未來(lái)的發(fā)展。 支持網(wǎng)內(nèi)全部應(yīng)用遠(yuǎn)程安全接入設(shè)備必須能夠支持所有類型的應(yīng)用，對(duì)網(wǎng)內(nèi)目前運(yùn)行的應(yīng)用支持加密訪問，并且設(shè)置權(quán)限，使不同類型的用戶，訪問不同類型的資源。 簡(jiǎn)捷的安裝部署 利用現(xiàn)有的認(rèn)證系統(tǒng)； 網(wǎng)關(guān)的管理要簡(jiǎn)單。（部署如下圖）兩臺(tái) NeoAccel SGX 做HA，安全、高效地把需要訪問內(nèi)部資源的用戶接入。企業(yè)需要賦予SGX IP地址或域名做為入網(wǎng)門戶。SGX門戶的IP地址可以是公網(wǎng)地址，也可以是防火墻等設(shè)備NAT后的私網(wǎng)地址，此時(shí)，NAT設(shè)備只需要開放TCP 443端口并映射門戶地址為公網(wǎng)地址。 通過部署新安捷的SSL VPNPlus，操作人員無(wú)論是在分公司、合作伙伴辦公地點(diǎn)，還是員工在家、酒店，以及供貨商等在任何地方都可以遠(yuǎn)程進(jìn)行安全的業(yè)務(wù)操作和系統(tǒng)維護(hù)操作，而不必?fù)?dān)心非授權(quán)人員的非法訪問。 全應(yīng)用支持企業(yè)的大部分內(nèi)網(wǎng)資源，可以以WEB瀏覽器形式對(duì)外開放。企業(yè)可以根據(jù)用戶性質(zhì)，開放內(nèi)部不同主機(jī)的命令權(quán)限。該功能也不需要安裝客戶端程序。SGX不用安裝客戶端程序，即可實(shí)現(xiàn)此需求。 全權(quán)限訪問支持企業(yè)中肯定會(huì)有一些特殊用戶，比如網(wǎng)絡(luò)管理員、公司領(lǐng)導(dǎo)等，他們需要的權(quán)限很大，需要自己在遠(yuǎn)程訪問時(shí)也能夠像在內(nèi)網(wǎng)一樣順暢操作。QAT方式不需要下載安裝客戶端程序，只需主機(jī)支持Java，使用這種方式可以使用內(nèi)網(wǎng)所有基于TCP協(xié)議的應(yīng)用，適用于需要操作更簡(jiǎn)便的員工、不希望在主機(jī)上安裝多余程序的人員或合作單位。這種方式登陸的主機(jī)會(huì)得到內(nèi)網(wǎng)IP地址，所有操作就像在內(nèi)網(wǎng)一樣順暢。早期的ERP系統(tǒng)是以Client/Server方式為基礎(chǔ)的，但隨著Web標(biāo)準(zhǔn)平臺(tái)的普及，多數(shù)企業(yè)已開始將ERP系統(tǒng)移植到Web上，而采用SSL VPN設(shè)備來(lái)實(shí)現(xiàn)Web應(yīng)用的遠(yuǎn)程安全訪問，則是最佳手段。 SGX部署方式如下圖： 采用SSL VPNPlus的第一項(xiàng)好處就是降低成本，包括初期投資和日后的維護(hù)成本。由于可以不使用客戶端即可以訪問企業(yè)資源，使用者基本上不需要IT部門的支持，同時(shí)企業(yè)只需要管理一種設(shè)備即可，不必維護(hù)、升級(jí)或配置客戶端軟件。用戶通過因特網(wǎng)與任務(wù)設(shè)備實(shí)現(xiàn)連接，只需借助瀏覽器或客戶端程序提供的SSL隧道即可獲得企業(yè)內(nèi)部資源的安全訪問，即使該員工身在外地，使用一臺(tái)危險(xiǎn)系數(shù)較高的主機(jī)。SGX目前是業(yè)界SSL加密包轉(zhuǎn)發(fā)速度最快的VPN設(shè)備，這主要得益于其多項(xiàng)創(chuàng)新的專利技術(shù)的應(yīng)用，這種第三代VPN的所有型號(hào)設(shè)備中都集成了這些技術(shù)，可以滿足企業(yè)不同網(wǎng)絡(luò)環(huán)境的需求。ERP系統(tǒng)一般都采用集中式部署結(jié)構(gòu)：數(shù)據(jù)庫(kù)服務(wù)器和應(yīng)用服務(wù)器被安置在計(jì)算中心局域網(wǎng)內(nèi)的核心網(wǎng)段上。我們可以看到， ERP系統(tǒng)的安全主要依靠防火墻來(lái)實(shí)現(xiàn)。對(duì)于數(shù)據(jù)的加密，如果不使用VPN技術(shù)，企業(yè)通常會(huì)借助ERP系統(tǒng)本身的軟件加密，但軟件加密會(huì)消耗大量用戶服務(wù)器的資源，直接影響到ERP系統(tǒng)的響應(yīng)速度。ERP系統(tǒng)一般也會(huì)有自己的基于對(duì)象權(quán)限和用戶角色概念的授權(quán)機(jī)制，但是它的授權(quán)機(jī)制是在應(yīng)用層做的，不能在網(wǎng)絡(luò)層對(duì)接入用戶做授權(quán)。 SGX對(duì)ERP三種接入方式的支持：對(duì)于B/S架構(gòu)的ERP系統(tǒng)，使用SGX的WAT訪問模式即可，無(wú)需安裝客戶端程序。對(duì)于C/S結(jié)構(gòu)的ERP系統(tǒng)，使用SGX的QAT或PHAT訪問模式。ERP系統(tǒng)的維護(hù)人員需要更高的操作自由度，所以需要以SGX的PHAT模式進(jìn)行全權(quán)限訪問。 SGX對(duì)企業(yè)OA系統(tǒng)的支持Microsoft Exchange Server系統(tǒng)Exchange Server并不是簡(jiǎn)單的Email服務(wù)器的代名詞，而是一種交互式傳送和接收的重要平臺(tái)，它包含了一般信息、特殊格式的文件、多媒體、圖片或其他的對(duì)象。從上圖我們可以看出，以Exchange Server為基礎(chǔ)構(gòu)成的企業(yè)OA系統(tǒng)的客戶端和OA server的架構(gòu)也基本分為兩類： 基于TCP的C/S結(jié)構(gòu)，客戶端采用Outlook。 通過標(biāo)準(zhǔn)瀏覽器訪問企業(yè)OA系統(tǒng)； 強(qiáng)迫認(rèn)證，強(qiáng)迫任何訪問Intranet的請(qǐng)求都必須先通過AAA；對(duì)于Outlook做為客戶端接入exchange server EMAIL系統(tǒng)：可以使用SGX的QAT和PHAT模式來(lái)實(shí)現(xiàn)安全訪問。此訪問模式是在客戶端和SGX之間通過SSL的連接建立一條VPN通道，客戶主機(jī)將會(huì)被配置一個(gè)和企業(yè)內(nèi)網(wǎng)地址一致的網(wǎng)址，并通過這條VPN通道直連到企業(yè)內(nèi)網(wǎng)，就好像在企業(yè)內(nèi)部一樣。功能包括： IBM Lotus Notes 是客戶端軟件，它提供了工業(yè)級(jí)的最高安全性，它是一個(gè)完全功能的協(xié)作客戶端 Lotus Notes客戶端家族支持從Web瀏覽器, 移動(dòng)設(shè)備, 甚至Microsoft Outlook訪問Domino。 通過標(biāo)準(zhǔn)瀏覽器訪問企業(yè)OA系統(tǒng)； 強(qiáng)迫認(rèn)證，強(qiáng)迫任何訪問Intranet的請(qǐng)求都必須先通過AAA