2023年全國(guó)碩士研究生考試考研英語(yǔ)一試題真題(含答案詳解+作文范文)_第1頁(yè)
已閱讀1頁(yè),還剩49頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、<p>  SSL VPN產(chǎn)品及技術(shù)分析</p><p>  廣 東 卓 維 網(wǎng) 絡(luò) 有 限 公 司</p><p>  Guangdong Topway Network Co., Ltd</p><p><b>  二00七年四月</b></p><p><b>  文 件 信 息</b>

2、;</p><p><b>  版 本 信 息</b></p><p><b>  目 錄</b></p><p>  一、SSL VPN技術(shù)介紹5</p><p>  二、SSL VPN給用戶帶來的價(jià)值7</p><p>  三、SSL VPN功能實(shí)現(xiàn)8<

3、/p><p>  3.1無客戶端軟件8</p><p>  3.2保持用戶使用習(xí)慣8</p><p>  3.3客戶端應(yīng)用綁定9</p><p>  3.4支持多種TCP/UDP應(yīng)用系統(tǒng)9</p><p>  3.5第三方Radius/Windows/AD/LDAP認(rèn)證系統(tǒng)9</p><p&g

4、t;  3.6 Windows AD/LDAP用戶數(shù)據(jù)庫(kù)同步9</p><p>  3.7基于信任鏈表的PKI證書應(yīng)用10</p><p>  3.8客戶端安全措施10</p><p>  3.9基于角色的細(xì)粒訪問控制10</p><p>  3.10信息與狀態(tài)監(jiān)控10</p><p>  四、SSL VPN

5、技術(shù)優(yōu)勢(shì)11</p><p>  4.1客戶端支撐維護(hù)簡(jiǎn)單12</p><p>  4.2提供增強(qiáng)的遠(yuǎn)程安全接入功能12</p><p>  4.3提供更細(xì)粒度的訪問控制12</p><p>  4.4能夠穿越NAT和防火墻設(shè)備12</p><p>  4.5能夠較好地抵御外部系統(tǒng)和病毒攻擊13</p

6、><p>  4.6網(wǎng)絡(luò)部署靈活方便13</p><p>  五、SSL VPN的市場(chǎng)和應(yīng)用前景14</p><p>  5.1 市場(chǎng)的特點(diǎn)與趨勢(shì)14</p><p>  5.2SSL VPN難以普及主要因素15</p><p>  5.3 SSL VPN應(yīng)用前景---- SSL無處不在15</p>

7、<p>  六、企業(yè)決策:如何選擇SSL VPN---三步走17</p><p>  七、SSL VPN產(chǎn)品如何選購(gòu)20</p><p>  八、國(guó)內(nèi)外主流廠商產(chǎn)品一覽表及推薦使用品牌錯(cuò)誤!未定義書簽。</p><p>  九、國(guó)內(nèi)外主流廠商產(chǎn)品系列22</p><p>  9.1 Juniper 網(wǎng)絡(luò)22</p

8、><p>  9.2Arry Networks27</p><p>  9.3Nortel(北電)網(wǎng)絡(luò)31</p><p>  9.4 F5 Networks34</p><p>  9.5 O2Micro Networks38</p><p>  9.6北京安軟天地科技40</p><p

9、>  9.7 深圳賽藍(lán)CYLAN43</p><p>  9.8深圳深信服47</p><p>  一、SSL VPN技術(shù)介紹</p><p>  SSL VPN即指采用SSL (Security Socket Layer)協(xié)議來實(shí)現(xiàn)遠(yuǎn)程接入的一種新型VPN技術(shù)。SSL協(xié)議是網(wǎng)景公司提出的基于WEB應(yīng)用的安全協(xié)議,它包括:服務(wù)器認(rèn)證、客戶認(rèn)證(可選)、SS

10、L鏈路上的數(shù)據(jù)完整性和SSL鏈路上的數(shù)據(jù)保密性。對(duì)于內(nèi)、外部應(yīng)用來說,使用SSL可保證信息的真實(shí)性、完整性和保密性。目前SSL 協(xié)議被廣泛應(yīng)用于各種瀏覽器應(yīng)用,也可以應(yīng)用于Outlook等使用TCP協(xié)議傳輸數(shù)據(jù)的C/S應(yīng)用。正因?yàn)镾SL 協(xié)議被內(nèi)置于IE等瀏覽器中,使用SSL 協(xié)議進(jìn)行認(rèn)證和數(shù)據(jù)加密的SSL VPN就可以免于安裝客戶端。</p><p>  SSL VPN技術(shù)幫助用戶通過標(biāo)準(zhǔn)的WEB瀏覽器就可以訪

11、問重要的企業(yè)的應(yīng)用。這使得員工出差時(shí)不必再攜帶自己的筆記本電腦,僅僅通過一臺(tái)接入Internet的計(jì)算機(jī)就能訪問企業(yè)的資源,這為企業(yè)提高了效率也帶來了方便。SSL VPN網(wǎng)關(guān)位于企業(yè)網(wǎng)絡(luò)的邊緣,介于企業(yè)服務(wù)器與遠(yuǎn)程用戶之間,控制二者的通信。</p><p>  SSL VPN應(yīng)用環(huán)境如下圖(一):</p><p><b>  圖(一)</b></p>&

12、lt;p>  掌握三個(gè)關(guān)鍵技術(shù)術(shù)語(yǔ)的含義有助于理解SSL VPN是如何實(shí)現(xiàn)的。</p><p>  代理(Proxying)SSL VPN至少要實(shí)現(xiàn)一種功能:代理WEB頁(yè)面。它將來自遠(yuǎn)端瀏</p><p>  覽器的頁(yè)面請(qǐng)求(采用HTTPS協(xié)議)轉(zhuǎn)發(fā)給WEB服務(wù)器,然后將服務(wù)器的響應(yīng)回傳給終端用戶。</p><p>  應(yīng)用轉(zhuǎn)換(Application Tra

13、nslation)對(duì)于非WEB頁(yè)面的文件訪問,往往要借助于應(yīng)</p><p>  用轉(zhuǎn)換。SSL VPN網(wǎng)關(guān)與企業(yè)網(wǎng)內(nèi)部的微軟CIFS或FTP服務(wù)器通信,將這些服務(wù)器對(duì)客戶的響應(yīng)轉(zhuǎn)化為HTTPS協(xié)議和HTML格式發(fā)往客戶端,終端用戶感覺到這些服務(wù)器就是一些基于WEB的應(yīng)用。</p><p>  有的SSL VPN產(chǎn)品所能支持的應(yīng)用轉(zhuǎn)換器和代理的代理非常少,有的則很好地支持了FTP、網(wǎng)絡(luò)文件

14、系統(tǒng)和微軟文件服務(wù)器的應(yīng)用轉(zhuǎn)換。用戶在選擇網(wǎng)關(guān)時(shí),必須對(duì)自己所需要轉(zhuǎn)換的應(yīng)用有一個(gè)很明確的了解,并能夠根據(jù)他們的重要性給他們排個(gè)先后順序。</p><p>  端口轉(zhuǎn)發(fā)(Port Forwarding)有些應(yīng)用,如微軟的Outlook或MSN,它們的外觀會(huì)</p><p>  在轉(zhuǎn)化為基于界面的過程中丟失。此時(shí)需要用到端口轉(zhuǎn)發(fā)技術(shù)。端口轉(zhuǎn)發(fā)用于端口定義明確的應(yīng)用。它需要在終端系統(tǒng)上運(yùn)行一個(gè)

15、非常小的JAVA或ActiveX程序作為端口轉(zhuǎn)發(fā)器,監(jiān)聽某個(gè)端口上的連接。當(dāng)數(shù)據(jù)包進(jìn)入這個(gè)端口時(shí),它們通過SSL連接中的隧道被傳送到SSL VPN網(wǎng)關(guān),SSL VPN網(wǎng)關(guān)解開封裝的數(shù)據(jù)包,將它們轉(zhuǎn)發(fā)給目的應(yīng)用服務(wù)器。</p><p>  良好的SSL VPN產(chǎn)品應(yīng)該具有較好的互操作性,較為細(xì)致的訪問控制功能,完善的日志和認(rèn)證體系以及對(duì)應(yīng)用的廣泛支持。</p><p>  二、國(guó)內(nèi)外主流廠商

16、產(chǎn)品一覽表及推薦使用品牌</p><p>  三、SSL VPN功能實(shí)現(xiàn)</p><p><b>  3.1無客戶端軟件</b></p><p>  采用無客戶端軟件的解決方案,用戶只須要通過瀏覽器訪問VPN服務(wù)。這是因?yàn)镾SL VPN</p><p>  使用了已嵌入于一般瀏覽器中的SSL協(xié)議。這讓管理員無須為終端用戶

17、提供軟件安裝,維護(hù)及策略定制的服務(wù);僅僅在VPN網(wǎng)關(guān)上設(shè)置用戶訪問權(quán)限即可。</p><p>  3.2保持用戶使用習(xí)慣</p><p>  每個(gè)企業(yè)都根據(jù)自己的實(shí)際需要定制開發(fā)一些應(yīng)用系統(tǒng),或者部署一些知名的服務(wù)來滿足自己的需要,比如使用Outlook的日歷安排的功能來安排會(huì)議;為不同的分支機(jī)構(gòu)的IC設(shè)計(jì)工程師部署集中的Terminal Server來共享設(shè)計(jì)仿真資源等。員工主要的工作時(shí)

18、間都是在企業(yè)內(nèi)部使用這些特定的應(yīng)用,因此員工在家里或酒店需要訪問這些企業(yè)資源時(shí)候也希望保持在公司Intranet中的使用習(xí)慣,不希望變換應(yīng)用客戶端軟件,也不希望改變應(yīng)用客戶端的配置。</p><p>  3.3客戶端應(yīng)用綁定</p><p>  SSL VPN設(shè)計(jì)中考慮到用戶使用方便,因此特別客戶端應(yīng)用綁定的功能,讓用戶可以針</p><p>  對(duì)某一個(gè)應(yīng)用服務(wù)設(shè)

19、定使用哪一種應(yīng)用客戶端軟件??蛻舳藨?yīng)用綁定設(shè)置也能由管理員完成,讓用戶免予進(jìn)行設(shè)置。</p><p>  管理員/用戶可以針對(duì)一個(gè)服務(wù)設(shè)定多個(gè)應(yīng)用客戶端軟件、葉可以定制關(guān)聯(lián)應(yīng)用的特性,給與用戶最大的選擇應(yīng)用何種應(yīng)用客戶端軟件的自由。如果用戶不設(shè)定關(guān)聯(lián)應(yīng)用,那么也可以直接在操作系統(tǒng)中啟動(dòng)應(yīng)用軟件。</p><p>  3.4支持多種TCP/UDP應(yīng)用系統(tǒng)</p><p&g

20、t;  雖然SSL協(xié)議主要用戶保護(hù)WEB應(yīng)用系統(tǒng),但是SSL VPN應(yīng)該也支持多種基于TCP/UDP的Client/Server結(jié)構(gòu)的應(yīng)用軟件。管理員只須要通過簡(jiǎn)單的管理接口在服務(wù)器上定義需要支持的應(yīng)用,及配置好服務(wù)器使用的端口。比如FTP、TFTP、Oracle、SQL server等。</p><p>  3.5第三方Radius/Windows/AD/LDAP認(rèn)證系統(tǒng)</p><p>

21、;  作為企業(yè)遠(yuǎn)程接入VPN網(wǎng)關(guān),SSL VPN最核心的安全功能就是對(duì)遠(yuǎn)程接入用戶提供認(rèn)證、授權(quán)及訪問控制。為了減輕管理員的管理操作,SSL VPN不止應(yīng)該提供內(nèi)置的用戶認(rèn)證數(shù)據(jù)庫(kù),也應(yīng)該可以用常用的Radius/Windows/AD/LDAP用戶認(rèn)證系統(tǒng)結(jié)合,提供一體化的用戶認(rèn)證設(shè)施。利用第三方認(rèn)證系統(tǒng),管理員無須再配置任何相關(guān)的信息,僅僅需要對(duì)不同認(rèn)證服務(wù)器上的用戶進(jìn)行授權(quán)即可。</p><p>  3.6

22、Windows AD/LDAP用戶數(shù)據(jù)庫(kù)同步</p><p>  企業(yè)一般都會(huì)有集中的用戶管理系統(tǒng),比如基于Window AD的用戶管理系統(tǒng)。雖然IT管理人員希望只需維護(hù)一個(gè)用戶數(shù)據(jù)庫(kù),但也要求在不同的應(yīng)用系統(tǒng)及網(wǎng)關(guān)上進(jìn)行細(xì)粒度的配置。若系統(tǒng)支持同Windows AD/LDAP服務(wù)器之間實(shí)行帳號(hào)同步,就可以保持服務(wù)器與企業(yè)用戶數(shù)據(jù)庫(kù)的一致。</p><p>  3.7基于信任鏈表的PKI證

23、書應(yīng)用</p><p>  基于公開密鑰證書的認(rèn)證系統(tǒng)有其安全性高、擴(kuò)展性好等特點(diǎn)。因此很多企業(yè)已經(jīng)開始使用PKI作為基礎(chǔ)的認(rèn)證設(shè)施。企業(yè)提供遠(yuǎn)程接入解決方案不僅僅是接入本企業(yè)的員工,而且會(huì)接入不同企業(yè)的合作伙伴,因此用戶會(huì)要求遠(yuǎn)程接入網(wǎng)關(guān)能夠支持多個(gè)CA簽發(fā)的證書的用戶的認(rèn)證。</p><p>  3.8客戶端安全措施</p><p>  一旦用戶接入到企業(yè)內(nèi)部網(wǎng)

24、絡(luò)中,那么遠(yuǎn)端用戶的計(jì)算僅就成了企業(yè)的網(wǎng)絡(luò)的邊緣。因此IT管理人員需要確保遠(yuǎn)端用戶的計(jì)算機(jī)滿足企業(yè)的安全策略要求。一般通過四個(gè)措施:</p><p>  Host check & Cache Clean, ARL(Access Restriction List 訪問限制列表),用戶登錄鎖定,SSL協(xié)議/加密算法設(shè)置;來保證客戶端的安全性。</p><p>  3.9基于角色的細(xì)粒訪

25、問控制</p><p>  訪問控制是SSL VPN提供的核心安全服務(wù)。基于角色訪問控制便于管理員快速的對(duì)企業(yè)變化相對(duì)的更改控制規(guī)則。通過角色將系統(tǒng)的訪問用戶同系統(tǒng)保護(hù)資源聯(lián)合起來,既直觀,而且在訪問控制策略發(fā)生變化的時(shí)候無須為每一種資源或者每一個(gè)用戶修改權(quán)限;西需要修改某一種服務(wù)/角色/用戶的屬性。</p><p>  3.10信息與狀態(tài)監(jiān)控</p><p>  

26、提供SSL VPN準(zhǔn)確的狀態(tài)信息所能幫助管理員設(shè)計(jì)及實(shí)現(xiàn)有效的安全策略。時(shí)時(shí)監(jiān)控的各個(gè)狀態(tài)有助于管理員預(yù)測(cè)可能發(fā)生的危害,和及時(shí)做出適當(dāng)?shù)姆磻?yīng)。</p><p><b>  監(jiān)控圖表如下圖:</b></p><p>  四、SSL VPN技術(shù)優(yōu)勢(shì)</p><p>  --------IP Sec VPN&SSL VPN比較</p&

27、gt;<p>  IPSecVPN和SSLVPN是兩種不同的VPN架構(gòu),IPSecVPN是工作在網(wǎng)絡(luò)層的,提供所有在網(wǎng)絡(luò)層上的數(shù)據(jù)保護(hù)和透明的安全通信,而SSL VPN是工作在應(yīng)用層(基于HTTP協(xié)議)和TCP層之間的,從整體的安全等級(jí)來看,兩者都能夠提供安全的遠(yuǎn)程接入。但是,IPSec VPN技術(shù)是被設(shè)計(jì)用于連接和保護(hù)在信任網(wǎng)絡(luò)中的數(shù)據(jù)流,因此更適合為不同的網(wǎng)絡(luò)提供通信安全保障,而SSL V

28、PN因?yàn)橐韵碌募夹g(shù)特點(diǎn)則更適合應(yīng)用于遠(yuǎn)程分散移動(dòng)用戶的安全接入。</p><p>  4.1客戶端支撐維護(hù)簡(jiǎn)單</p><p>  對(duì)于大多數(shù)執(zhí)行基于SSL協(xié)議的遠(yuǎn)程訪問是不需要在遠(yuǎn)程客戶端設(shè)備上安裝軟件,只需通過標(biāo)準(zhǔn)的Web瀏覽器連接因特網(wǎng),即可以通過網(wǎng)頁(yè)訪問到企業(yè)內(nèi)部的網(wǎng)絡(luò)資源。而IPSecVPN需要在遠(yuǎn)程終端用戶一方安裝特定軟件以建立安全隧道。</p><p>

29、;  4.2提供增強(qiáng)的遠(yuǎn)程安全接入功能</p><p>  IPSecVPN通過在兩站點(diǎn)間創(chuàng)建安全隧道提供直接(非代理方式)接入,實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)的透明訪問;一旦隧道創(chuàng)建,用戶終端就如同物理地處于企業(yè)內(nèi)部局域網(wǎng)中,這會(huì)帶來很多安全風(fēng)險(xiǎn),尤其是在接入用戶權(quán)限過大的情況下。SSLVPN提供安全、可代理連接。通常SSLVPN的實(shí)現(xiàn)方式是在企業(yè)的防火墻后面放置一個(gè)SSL代理服務(wù)器。如果用戶希望安全地連接到公司網(wǎng)絡(luò)上,那么當(dāng)

30、用戶在瀏覽器上輸入一個(gè)URL后,連接將被SSL代理服務(wù)器取得,并驗(yàn)證該用戶的身份,然后SSL代理服務(wù)器將連接映射到不同的應(yīng)用服務(wù)器上。 </p><p>  4.3提供更細(xì)粒度的訪問控制</p><p>  SSLVPN能對(duì)加密隧道進(jìn)行細(xì)分,使終端用戶能夠同時(shí)接入Internet和訪問內(nèi)部企業(yè)網(wǎng)資源。另外,SSLVPN還能細(xì)化接入控制功能,提供用戶級(jí)別的鑒權(quán),依據(jù)安全策略確保只有授權(quán)的用戶

31、才能夠訪問特定的內(nèi)部網(wǎng)絡(luò)資源,這種精確的接入控制功能對(duì)遠(yuǎn)程接入IPSecVPN來說幾乎是不可能實(shí)現(xiàn)的。</p><p>  4.4能夠穿越NAT和防火墻設(shè)備</p><p>  SSLVPN工作在傳輸層之上,因而能夠遍歷所有NAT設(shè)備和防火墻設(shè)備,這使得用戶能夠從任何地方遠(yuǎn)程接入到公司的內(nèi)部網(wǎng)絡(luò)。而IPSecVPN工作在網(wǎng)絡(luò)層上,它很難實(shí)現(xiàn)防火墻和NAT設(shè)備的遍歷,并且無力解決IP地址沖突

32、。</p><p>  4.5能夠較好地抵御外部系統(tǒng)和病毒攻擊</p><p>  SSL是一個(gè)安全協(xié)議,數(shù)據(jù)是全程加密傳輸?shù)?。另外,由于SSL網(wǎng)關(guān)隔離了內(nèi)網(wǎng)服務(wù)器和客戶端,只留下一個(gè)Web瀏覽接口,客戶端的大多數(shù)木馬病毒感染不到內(nèi)網(wǎng)服務(wù)器。而傳統(tǒng)的IPSecVPN由于實(shí)現(xiàn)的是IP級(jí)別的訪問,一旦隧道創(chuàng)建,用戶終端就如同物理地處于企業(yè)內(nèi)部局域網(wǎng)中,內(nèi)部網(wǎng)絡(luò)所連接的應(yīng)用系統(tǒng)都是可以偵測(cè)得到,

33、這就為黑客攻擊提供了機(jī)會(huì),并且使得局域網(wǎng)能夠傳播的病毒,通過VPN一樣能夠傳播。</p><p>  4.6網(wǎng)絡(luò)部署靈活方便</p><p>  IPSecVPN在部署時(shí)一般放置在網(wǎng)絡(luò)網(wǎng)關(guān)處,因而需要考慮網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu),如果增添新的設(shè)備,往往要改變網(wǎng)絡(luò)結(jié)構(gòu)。而SSLVPN卻有所不同,它一般部署在內(nèi)網(wǎng)中防火墻之后,可以隨時(shí)根據(jù)需要,添加需要VPN保護(hù)的服務(wù)器,因此無需影響原有網(wǎng)絡(luò)結(jié)構(gòu)。<

34、;/p><p>  SSL VPN & IP Sec VPN技術(shù) 性能比較圖</p><p>  五、SSL VPN的市場(chǎng)和應(yīng)用前景</p><p>  5.1 市場(chǎng)的特點(diǎn)與趨勢(shì)</p><p>  5.1.1VPN產(chǎn)品的市場(chǎng)需求將迅速增加。</p><p>  “十一五”期間我國(guó)將對(duì)信息產(chǎn)業(yè)新增投入巨大,信息化(

35、尤其是政府信息化)將在未來五年成為VPN產(chǎn)品市場(chǎng)發(fā)展的“助推器”。5.1.2更多的IT廠商將投入生產(chǎn)VPN產(chǎn)品。</p><p>  VPN產(chǎn)品是高投入、高回報(bào)的網(wǎng)絡(luò)安全產(chǎn)品,賽迪顧問預(yù)計(jì),已進(jìn)入中國(guó)VPN產(chǎn)品市場(chǎng)的廠商數(shù)量在100~200家左右。5.1.3產(chǎn)品的安全性和保密性將日趨完善。</p><p>  目前,許多在安全性和保密性方面要求較高的行業(yè)(如軍隊(duì)等),對(duì)VPN產(chǎn)品的

36、選擇和應(yīng)用非常謹(jǐn)慎,因?yàn)槟壳暗腣PN產(chǎn)品還不能完全滿足其安全、高效、穩(wěn)定地傳輸數(shù)據(jù)和信息的需要。所以,對(duì)于未來VPN產(chǎn)品的發(fā)展,應(yīng)用先進(jìn)的技術(shù),增強(qiáng)產(chǎn)品的功能將成為滿足用戶進(jìn)一步需求的一個(gè)重要因素。5.1.4廠商的服務(wù)質(zhì)量將會(huì)有實(shí)質(zhì)性的提高 VPN產(chǎn)品作為一類特殊的通過加密手段傳輸數(shù)據(jù)、信息的網(wǎng)絡(luò)安全產(chǎn)品,服務(wù)質(zhì)量的高低直接影響了用戶的購(gòu)買行為。VPN產(chǎn)品大規(guī)模的應(yīng)用必須是以VPN廠商提供高質(zhì)量的服務(wù)為前提的。因此,在VPN

37、產(chǎn)品大量應(yīng)用的前提下,廠商為用戶提供的服務(wù)在質(zhì)量上必將會(huì)有實(shí)質(zhì)性的提高。</p><p>  SSL VPN難以普及主要因素</p><p>  目前SSL VPN應(yīng)用在國(guó)內(nèi)尚未走向普及。原因有很多,其中主要是國(guó)內(nèi)企業(yè)的信息化應(yīng)用程度問題。SSL VPN解決方案可以實(shí)現(xiàn)的訪問應(yīng)用主要有:電子郵件、PIM(個(gè)人信息管理)、內(nèi)部網(wǎng)資源、CRM/ERP等企業(yè)核應(yīng)用。目前,國(guó)內(nèi)企業(yè)的信息化程度不高

38、,雖然這些應(yīng)用都已投入使用,但不是所有的應(yīng)用都會(huì)開放給遠(yuǎn)程接入。而且,有些信息化程度高的企業(yè)大多實(shí)施了IPSec VPN解決方案,對(duì)其的信任程度也較高。用戶接受SSL VPN解決方案,并投入實(shí)際使用還需要一定的過程。 </p><p>  5.3 SSL VPN應(yīng)用前景---- SSL無處不在</p><p>  企業(yè)為了讓遠(yuǎn)距工作者連上企業(yè)網(wǎng)絡(luò),正紛紛擁抱一種更簡(jiǎn)單、成本更低的方式。這股

39、趨勢(shì)為網(wǎng)絡(luò)安全系統(tǒng)供應(yīng)商開啟新的商機(jī),卻也引來更多的競(jìng)爭(zhēng)。 </p><p>  業(yè)者競(jìng)相推出讓企業(yè)網(wǎng)絡(luò)存取安全無虞的閘道,使用的是一種常見的瀏覽軟體安全技術(shù),稱為安全嵌入層( SSL )加密。分析師和 SSL 網(wǎng)絡(luò)設(shè)備制造商表示,眾多企業(yè)用戶已開始布署采用 SSL 技術(shù)的虛擬私人網(wǎng)絡(luò)( VPN )。 </p><p>  網(wǎng)絡(luò)管理者指出, SSL 讓 VPN 朝使用簡(jiǎn)易的目標(biāo)邁進(jìn)一大步,

40、市場(chǎng)占有率因而迅速擴(kuò)增,成為網(wǎng)際網(wǎng)絡(luò)通訊協(xié)定保護(hù)( IPSec )的替代選擇( IPSec 使用普及,但欠缺彈性)。而這股趨勢(shì)又助長(zhǎng)企業(yè)和員工對(duì)遠(yuǎn)距網(wǎng)絡(luò)存取的新需求。 </p><p>  SSL 的運(yùn)勢(shì)轉(zhuǎn)強(qiáng),吸引科技巨人對(duì)該技術(shù)趨之若鶩,導(dǎo)致這個(gè)一年前全是小型新創(chuàng)公司天下的市場(chǎng)被迫汰弱留強(qiáng)。今天, SSL 產(chǎn)品的供應(yīng)商大多是網(wǎng)絡(luò)安全和交換器市場(chǎng)的知名大廠,包括思科系統(tǒng)( Cisco Systems )、 Che

41、ck Point 軟體、 F5 網(wǎng)絡(luò)、諾基亞( Nokia )、 NetScreen 、北電網(wǎng)絡(luò)( Nortel Networks )和賽門鐵克公司( Symantec )。 </p><p>  這些公司當(dāng)中,有些藉并購(gòu)新創(chuàng)公司取得 SSL 技術(shù),例如 F5 網(wǎng)絡(luò)、 NetScreen 和賽門鐵克。其他公司,像是思科、諾基亞和北電網(wǎng)絡(luò),則自行研發(fā)這種技術(shù)。 </p><p>  SSL

42、并不是全新的技術(shù),多年來早就嵌入大部分的標(biāo)準(zhǔn)網(wǎng)頁(yè)瀏覽器,讓諸如亞馬遜(Amazon.com)、E-trade等電子商務(wù)公司提供安全的網(wǎng)際網(wǎng)絡(luò)交易。</p><p>  因?yàn)?SSL VPN 允許使用者透過幾乎任一種網(wǎng)頁(yè)瀏覽器加以存取,非常適合用於遠(yuǎn)距存取和企業(yè)間網(wǎng)絡(luò)( extranet )應(yīng)用軟體。就大多數(shù)以網(wǎng)絡(luò)架構(gòu)的應(yīng)用程式而論,使用者不必再用任何用戶端程式( client ),可讓員工或合伙商更容易存取網(wǎng)絡(luò)。

43、 </p><p>  相形之下, IPSec VPN 需要在所有用戶端系統(tǒng)上安裝、設(shè)定特別的軟體,而且在進(jìn)行遠(yuǎn)距存取時(shí),可能變得笨重不堪。 IPSec VPN 通常也有不相容的問題,可能令許多外勤人員為之氣結(jié),因?yàn)闊o法存取重要的網(wǎng)絡(luò)資料而進(jìn)退兩難。 </p><p>  SSL 的使用簡(jiǎn)便,意味使用這種技術(shù)進(jìn)行遠(yuǎn)距存取,可為企業(yè)節(jié)省大筆開支。市場(chǎng)研究公司 Frost & Sull

44、ivan 估計(jì),若用 SSL 遠(yuǎn)距存取 VPN ,每名使用者的平均花費(fèi)可降到 60 至 220 美元之譜,相較于使用 IPSec VPN 所需的 150 到 300 美元。 SSL VPN 的總擁有成本低很多,因?yàn)椴槐仡A(yù)先逐一設(shè)定每一臺(tái)個(gè)人電腦.   </p><p>  六、企業(yè)決策:如何選擇SSL VPN---三步走</p><p>  2005年上半年是

45、早期應(yīng)用SSL VPN的狂熱期,但是,這種狂熱逐漸衰竭進(jìn)入了六個(gè)月的暫停期。市場(chǎng)研究公司Forrester Research預(yù)測(cè)稱,到2005年年底,50%的大型企業(yè)已經(jīng)在積極地使用或者正在考慮部署SSL VPN。</p><p>  到目前為止,有更多的公司在跟隨著早期應(yīng)用者的腳步正在考慮或者部署這項(xiàng)技術(shù)。這意味著人們?cè)俅位謴?fù)了對(duì)SSL VPN的興趣。</p><p>  SSL VPN

46、實(shí)際上是一種不需要企業(yè)在遠(yuǎn)程設(shè)備上安裝VPN客戶端軟件的VPN。遠(yuǎn)程用戶能夠通過瀏覽器從任何筆記本電腦或者臺(tái)式電腦實(shí)現(xiàn)安全連接。</p><p>  下面三步闡述了企業(yè)如何選擇SSL VPN:</p><p>  第一步: 確定以用戶為重點(diǎn)還是以應(yīng)用程序?yàn)橹攸c(diǎn)。</p><p>  SSL VPN適配器有兩個(gè)不同的特點(diǎn):一個(gè)是以用戶為重點(diǎn),另一個(gè)是以應(yīng)用程序?yàn)橹攸c(diǎn)。

47、企業(yè)在部署SSL VPN之前必須要確定這兩個(gè)特點(diǎn)哪一個(gè)是排在第一位的和最重要的。 基于用戶的方式能夠向遠(yuǎn)程用戶提供透明的和完全的網(wǎng)絡(luò)接入功能,就像在局域網(wǎng)中一樣。這種應(yīng)用的VPN一般在一個(gè)設(shè)備的終端既有IPsec又有SSL VPN,并且還采用強(qiáng)大的端點(diǎn)安全和網(wǎng)絡(luò)接入控制技術(shù)。以用戶為重點(diǎn)的領(lǐng)域的廠商通常把SSL VPN作為在路由器、以太網(wǎng)交換機(jī)或者多功能一體安全設(shè)備等其它網(wǎng)絡(luò)設(shè)備中的一種可以選擇的功能提供給用戶。 以用戶為重點(diǎn)

48、的產(chǎn)品有思科的VPN 3000系列集中器、Juniper網(wǎng)絡(luò)公司的安全接入設(shè)備、北電網(wǎng)絡(luò)的VPN路由器和AP網(wǎng)絡(luò)公司的產(chǎn)品。 使用基于應(yīng)用程序的方法,企業(yè)要把重點(diǎn)放在需要重點(diǎn)使用的應(yīng)用程序方面。以應(yīng)用程序?yàn)橹攸c(diǎn)的SSL VPN更強(qiáng)調(diào)后端應(yīng)用程序集成并且在沒有客戶端軟件的模式下(如通過瀏覽器)提供更好的訪問功能。 基于SSL VPN的應(yīng)用程序集成了端點(diǎn)安全,但是,重點(diǎn)主要放在政策管理方面。這種應(yīng)用程序擁有比基于用戶的SSL V

49、PN更直觀的用戶界面和更強(qiáng)大的管理功</p><p>  雖然這些產(chǎn)品的差別很小,但是,企業(yè)應(yīng)該首先提出這個(gè)問題以便確定部署SSL VPN的基本方向。如果這個(gè)局域網(wǎng)或者廣域網(wǎng)用戶將決定采購(gòu)方向,那么,就從以用戶為重點(diǎn)的設(shè)備開始。如果是應(yīng)用部門、遠(yuǎn)程接入專家或者企業(yè)移動(dòng)計(jì)劃決定這個(gè)項(xiàng)目,那就從以應(yīng)用程序?yàn)橹攸c(diǎn)的設(shè)備開始。</p><p>  第二步:回答如何部署端點(diǎn)安全機(jī)制的問題。</

50、p><p>  企業(yè)需要集成的端點(diǎn)安全還是嵌入式的端點(diǎn)安全?</p><p>  端點(diǎn)安全分為三個(gè)主要部分:</p><p>  基本主機(jī)檢查功能:這項(xiàng)功能掃描端點(diǎn)設(shè)備,確認(rèn)殺毒軟件、個(gè)人防火墻和操作系統(tǒng)補(bǔ)丁等軟件都已經(jīng)安裝并且是最新的。</p><p>  緩存清除器:用于清除瀏覽器緩存下載的文件和cookie。</p>&l

51、t;p>  會(huì)話加密:會(huì)話加密一般使用Java建立一個(gè)虛擬“sandbox”,這樣,VPN會(huì)話過程中的所有活動(dòng)都將被隔離和加密,然后在用戶登出時(shí)刪除。</p><p>  大多數(shù)SSL VPN都包括一個(gè)進(jìn)行預(yù)先認(rèn)證的基本的主機(jī)檢查。但是,對(duì)于高級(jí)的緩存清除和加密的“sandbox”等更復(fù)雜的安全功能來說,企業(yè)需要集成第三方廠商提供的工具軟件,如Sygate、CheckPoint軟件公司或者Trust Di

52、gital等公司的產(chǎn)品。集成的端點(diǎn)安全提供了廣泛的安全選擇,但是,這需要手工設(shè)置,并且容易出現(xiàn)策略設(shè)置錯(cuò)誤。而這些錯(cuò)誤將耗費(fèi)更多的人力和成本。 據(jù)預(yù)測(cè),大約70%的企業(yè)在他們的SSL VPN網(wǎng)絡(luò)中采用集成的端點(diǎn)安全。 另一方面,嵌入式端點(diǎn)安全是建在設(shè)備中的。嵌入式工具通常有優(yōu)化的政策設(shè)置,能夠讓</p><p>  用戶從一個(gè)管理操作臺(tái)實(shí)施全面的訪問控制。然而,這個(gè)選擇的缺點(diǎn)是,企業(yè)如果選擇一種嵌入式產(chǎn)

53、品就將被鎖定一家廠商提供的產(chǎn)品,并且必須要依靠那個(gè)廠商提供及時(shí)的安全升級(jí)。如果一家企業(yè)已經(jīng)擁有思科、McAfee和賽門鐵克等廠商提供的NAC(網(wǎng)絡(luò)準(zhǔn)入控制)設(shè)備,采用嵌入式解決方案就是一種重復(fù)的努力。 企業(yè)最后需要決定它是喜歡最高級(jí)的安全并且愿意為此支付較多的資金,還是認(rèn)為實(shí)用和簡(jiǎn)單性更重要。集成的方法和嵌入式的方法能夠分別解決這兩個(gè)優(yōu)先次序的問題。</p><p>  第三步:回答有多少雇員需要安全的遠(yuǎn)

54、程訪問。 較低的應(yīng)用數(shù)量分類為2000或者更少的用戶。雖然廣告宣傳說SSL VPN支持更多數(shù)量的用戶,但是,這些設(shè)備不應(yīng)該達(dá)到它們的極限。作為一個(gè)規(guī)則,企業(yè)應(yīng)該設(shè)想其10%的雇員需要并發(fā)訪問功能。少量的應(yīng)用還應(yīng)該考慮人員的增加因素,以支持未來用戶的增長(zhǎng)。</p><p>  七、SSL VPN產(chǎn)品如何選購(gòu)</p><p>  SSL VPN由于其強(qiáng)大的功能和實(shí)施的方便性應(yīng)用越來

55、越廣泛,市場(chǎng)上的SSL VPN品牌也越來越多,如何選擇適合自己的產(chǎn)品是需要用戶仔細(xì)考慮的一個(gè)問題,下面從五個(gè)方面描述如何選擇SSL VPN產(chǎn)品: 7.1應(yīng)用需求: 選擇VPN是為了支持遠(yuǎn)程訪問內(nèi)部網(wǎng)絡(luò)的應(yīng)用,因此這一點(diǎn)也是最先需要考慮的一點(diǎn),目前,大多數(shù)SSL VPN支持我們?nèi)粘=?jīng)常會(huì)用到的郵件系統(tǒng)、OA系統(tǒng)、CRM/ERP等等,但并不是所有的應(yīng)用SSL VPN都能夠提供支持,如動(dòng)態(tài)端口的應(yīng)用就只有部分SSL VPN能夠提供

56、支持。因此,在決定使用一款SSL VPN前一定要先確定是否能支持你的應(yīng)用。 7.2安全需求: 要構(gòu)建一個(gè)安全的系統(tǒng),不僅僅需要傳輸過程安全,還要提高系統(tǒng)安全性,以下幾個(gè)方面是缺一不可的: </p><p>  7.1.1傳輸過程安全 傳輸?shù)倪^程加密強(qiáng)度是確保內(nèi)部數(shù)據(jù)不在傳輸過程中被黑客盜取的關(guān)鍵因素。傳輸過程加密強(qiáng)度越高,傳輸安全性就越有保障。目前,擁有128位加密以上的SSL VPN產(chǎn)品

57、是比較適宜的,56位DES加密相對(duì)強(qiáng)度低,選擇時(shí)需要特別注意。 </p><p>  7.1.2用戶身份驗(yàn)證 用戶名加密碼的驗(yàn)證方式安全性相對(duì)較低,除了用戶名和密碼外,能提供其他的雙因素驗(yàn)證方式的產(chǎn)品更加具有優(yōu)勢(shì),如支持PKI體系等? </p><p>  7.1.3客戶端設(shè)備的安全性: 客戶端設(shè)備是否安裝了個(gè)人防火墻、防病毒軟件等。如果客戶端設(shè)備不夠安全,比如有木馬程

58、序,那么系統(tǒng)依然存在安全隱患。目前部分SSL VPN能夠提供客戶端環(huán)境檢測(cè),比如檢測(cè)客戶端是否安裝了防火墻和防病毒軟件。 </p><p>  7.1.4完成訪問后,客戶端需要清除客戶端機(jī)器的緩存 在移動(dòng)用戶完成遠(yuǎn)程訪問后,是否就萬(wàn)事大吉了呢?當(dāng)然不是,黑客或不法分子可以通過拷貝、復(fù)制駐留在客戶端緩沖區(qū)內(nèi)數(shù)據(jù)盜取企業(yè)機(jī)密。 </p><p>  7.1.5服務(wù)端的日志跟蹤

59、SSL VPN服務(wù)器應(yīng)該提供訪問統(tǒng)計(jì)和跟蹤功能,這樣管理員能夠根據(jù)日志隨時(shí)掌握系統(tǒng)訪問情況。 7.3易于管理和維護(hù),使用操作性強(qiáng) SSL VPN的突出優(yōu)勢(shì)之一就在于移動(dòng)性強(qiáng)、易用性強(qiáng)。但這些特性往往會(huì)增加管理難度。因此用戶在選購(gòu)SSL VPN時(shí)要重點(diǎn)考慮產(chǎn)品的管理性能。產(chǎn)品要做到界面簡(jiǎn)單,使用方便,靈活、細(xì)致地設(shè)置訪問權(quán)限,采用基于用戶/組/角色的認(rèn)證機(jī)制,每個(gè)文件、網(wǎng)址或應(yīng)用都可進(jìn)行單獨(dú)設(shè)置,使訪問控制更易于管理。 7

60、.4性能 由于是集中系統(tǒng),SSL加速?zèng)Q定整個(gè)網(wǎng)絡(luò)的吞吐量。如果SSL加速跟不上,遠(yuǎn)程接入就會(huì)比實(shí)際的Internet接入帶寬低很多。有的SSL VPN產(chǎn)品采用專門的SSL加速硬件,從而提高了VPN的響應(yīng)速度。另外,通過數(shù)據(jù)壓縮技術(shù),還對(duì)所有的傳輸數(shù)據(jù)進(jìn)行壓縮后再進(jìn)行傳輸,這樣就提高了整個(gè)網(wǎng)絡(luò)的運(yùn)行效率和實(shí)用性。 7.5服務(wù) 除了上面提到的幾點(diǎn)外,具有良好服務(wù)也至關(guān)重要。SSL VPN還是一個(gè)在不斷發(fā)展的技術(shù),更新的可能

61、會(huì)比較快,提供SSL VPN的廠家是否具有良好的產(chǎn)品服務(wù)質(zhì)量、渠道響應(yīng)速度和本地支持能</p><p>  SSL VPN的發(fā)展迎合了用戶對(duì)低成本、高性價(jià)比遠(yuǎn)程訪問的需求。現(xiàn)在,它已經(jīng)廣泛應(yīng)用于各行各業(yè)。選購(gòu)SSL VPN時(shí),用戶要根據(jù)自身特點(diǎn)和不同的業(yè)務(wù)模式,選擇適合自己的產(chǎn)品,再次強(qiáng)調(diào),VPN是正在發(fā)展的技術(shù),更新?lián)Q代比較快,因此用戶在選購(gòu)時(shí)可以少考慮一些擴(kuò)展性,多注重產(chǎn)品的實(shí)用性。畢竟,只有適合自己的,才是

62、最理想的選擇。</p><p>  九、國(guó)內(nèi)外主流廠商產(chǎn)品系列</p><p>  9.1 Juniper 網(wǎng)絡(luò)</p><p>  9.1.1客戶概況:</p><p>  9.1.2 Juniper網(wǎng)絡(luò)產(chǎn)品優(yōu)勢(shì)</p><p>  廣泛的SSL VPN設(shè)備和特性,可提供定制解決方案,以滿足各種規(guī)模公司的遠(yuǎn)程接入要求

63、。 </p><p>  獨(dú)特的安全功能,為從最終用戶設(shè)備到內(nèi)部服務(wù)器的各種產(chǎn)品提供端到端的保護(hù)。 </p><p>  SSL VPN市場(chǎng)公認(rèn)的領(lǐng)導(dǎo)者,2005年市場(chǎng)份額占有率高達(dá)近40%。 </p><p>  為服務(wù)提供商提供高可用性和可升級(jí)性。</p><p>  9.1.3各產(chǎn)品的領(lǐng)先技術(shù)優(yōu)勢(shì)</p><p>

64、; ?。?)Secure Access 700 主要特性與優(yōu)勢(shì)如下:</p><p>  為中小型企業(yè)而設(shè)計(jì) </p><p>  為遠(yuǎn)程或移動(dòng)員工提供安全接入 </p><p>  無需安裝客戶端軟件,最少量的服務(wù)器更改,少量的后期維護(hù)工作</p><p><b>  降低總擁有成本 </b></p>&

65、lt;p>  即插即用產(chǎn)品,可在幾分鐘內(nèi)完成安裝,只需最少的IT知識(shí) </p><p>  無需部署或維護(hù)客戶端軟件 </p><p>  簡(jiǎn)單的最終用戶和管理員界面,可實(shí)現(xiàn)簡(jiǎn)便易用性 </p><p>  提高遠(yuǎn)程員工的工作效率 </p><p>  不存在網(wǎng)絡(luò)互操作性問題</p><p><b> 

66、 端到端分層安全性 </b></p><p>  全面安全地接入LAN資源,確保端點(diǎn)設(shè)備、傳輸中的數(shù)據(jù)以及內(nèi)部資源的安全 <LI與廣泛的驗(yàn)證方法和協(xié)議的無縫集成< li></p><p> ?。?)Secure Access 2000 主要特性與優(yōu)勢(shì)如下:</p><p><b>  端到端分層安全性 </b>&l

67、t;/p><p>  端點(diǎn)客戶端、設(shè)備、數(shù)據(jù)和服務(wù)器的分層安全性控制 </p><p>  Juniper 網(wǎng)絡(luò)公司Endpoint Defense Initiative(端點(diǎn)防御計(jì)劃),用于提供最高的端點(diǎn)安全性 </p><p>  可以根據(jù)用戶組或角色、網(wǎng)絡(luò)、設(shè)備及會(huì)話屬性來規(guī)定基于用戶身份的接入</p><p><b>  降低總

68、擁有成本 </b></p><p>  不需要部署客戶端軟件或更改服務(wù)器,幾乎不需要長(zhǎng)期維護(hù) </p><p>  從單一平臺(tái)安全地遠(yuǎn)程接入內(nèi)聯(lián)網(wǎng)和外聯(lián)網(wǎng) </p><p>  安全的外聯(lián)網(wǎng)接入,無需構(gòu)建DMZ、無需加固服務(wù)器、無需復(fù)制資源、或無需增加部署來添加應(yīng)用或用戶</p><p><b>  簡(jiǎn)化可管理性 <

69、;/b></p><p>  集中管理選項(xiàng)提供統(tǒng)一管理 </p><p>  用戶自助服務(wù)功能,可降低技術(shù)支持服務(wù)窗口的支持成本 </p><p>  細(xì)粒度的審計(jì)和日志記錄 </p><p>  3種不同的接入方法,允許管理員根據(jù)具體目的來設(shè)置接入權(quán)限 </p><p>  基于角色分配管理任務(wù)</p&g

70、t;<p><b>  高可用性 </b></p><p>  群集對(duì)部署選項(xiàng),可為整個(gè)LAN和WAN提供高可用性</p><p> ?。?)Secure Access 4000 主要特性與優(yōu)勢(shì)如下:</p><p><b>  增強(qiáng)的安全性 </b></p><p>  接入權(quán)限管理

71、特性允許執(zhí)行強(qiáng)有力的靈活驗(yàn)證和授權(quán)策略,而不需要部署其他任何軟件 </p><p>  可以根據(jù)用戶組或角色、網(wǎng)絡(luò)、設(shè)備及會(huì)話屬性來規(guī)定基于用戶身份的接入 </p><p>  端點(diǎn)客戶端、設(shè)備、數(shù)據(jù)和服務(wù)器的分層安全性控制 </p><p>  3種不同的安全接入方法,允許企業(yè)根據(jù)具體目的來設(shè)置接入權(quán)限 </p><p>  基于資源的細(xì)6

72、仁諶?/li> </p><p>  細(xì)粒度的審計(jì)和日志記錄</p><p><b>  降低總擁有成本 </b></p><p>  不需要部署客戶端軟件或更改服務(wù)器,幾乎不需要長(zhǎng)期維護(hù) </p><p>  安全的外聯(lián)網(wǎng)接入,無需構(gòu)建DMZ、無需加固服務(wù)器、無需復(fù)制資源、或無需增加部署來添加應(yīng)用或用戶</

73、p><p>  高性能、可擴(kuò)展性、可管理性 </p><p>  集中管理選項(xiàng)提供統(tǒng)一管理 </p><p>  用戶自助服務(wù)功能,可提高用戶生產(chǎn)效率并降低管理成本 </p><p>  基于角色分配管理任務(wù) </p><p>  群集對(duì)部署選項(xiàng),可為整個(gè)LAN和WAN提供高可用性</p><p>

74、  (4)Secure Access 6000 主要特性與優(yōu)勢(shì)如下:</p><p>  性能、可擴(kuò)展性及強(qiáng)勁的高可用性 </p><p>  設(shè)計(jì)用于滿足大量用戶和復(fù)雜的應(yīng)用需求 </p><p>  基于硬件的性能增強(qiáng)特性,可提供可擴(kuò)展性 </p><p>  多單元群集選項(xiàng),可為整個(gè)LAN和WAN提供高可用性 </p>&

75、lt;p>  無以倫比的SSL 加速芯片使得增強(qiáng)型CPU的加密/解密過程更快 </p><p>  可選冗余熱插拔硬盤,電源和風(fēng)扇</p><p><b>  端到端安全性 </b></p><p>  接入權(quán)限管理特性,允許執(zhí)行強(qiáng)有力的靈活驗(yàn)證和授權(quán)策略,而不需要部署其他任何軟件 </p><p>  端點(diǎn)客戶端

76、、設(shè)備、數(shù)據(jù)和服務(wù)器的安全性控制 </p><p>  可以根據(jù)用戶組或角色、網(wǎng)絡(luò)、設(shè)備及會(huì)話屬性來規(guī)定基于用戶身份的接入 </p><p>  3種不同的安全接入方法,允許企業(yè)根據(jù)具體目的來設(shè)置接入權(quán)限 </p><p>  細(xì)粒度的審計(jì)和日志記錄</p><p>  簡(jiǎn)化管理,降低總擁有成本 </p><p>  

77、集中管理選項(xiàng)提供統(tǒng)一管理 </p><p>  用戶自助服務(wù)功能,可提高用戶生產(chǎn)效率并降低管理成本 </p><p>  安全遠(yuǎn)程接入,無需部署客戶端軟件、無需更改服務(wù)器、或幾乎不需要長(zhǎng)期維護(hù)</p><p> ?。?)Secure Access 6000 SP的主要特性與優(yōu)勢(shì)包括:</p><p>  低總體擁有成本,高投資回報(bào) </

78、p><p>  無需安裝客戶端軟件,不存在防火墻/NAT穿越問題,從而降低支持成本 </p><p>  通過外部網(wǎng)接入、災(zāi)難恢復(fù)、內(nèi)部局域網(wǎng)安全和移動(dòng)設(shè)備接入等服務(wù)獲得各種收入機(jī)會(huì) </p><p><b>  提高客戶滿意度 </b></p><p>  充分利用現(xiàn)有SP基礎(chǔ)設(shè)施,包括MPLS和IPSec網(wǎng)絡(luò)</p

79、><p>  虛擬化框架,全面的管理靈活性 </p><p>  靈活的選擇,讓SP能夠: </p><p>  讓終端客戶定義其虛擬系統(tǒng)的細(xì)節(jié) </p><p>  提供易于部署的標(biāo)準(zhǔn)配置</p><p>  基于角色的授權(quán),進(jìn)行集中管理,從而簡(jiǎn)化整個(gè)管理流程</p><p>  客戶所需要的一流

80、特性 </p><p>  各種增值接入方式,客戶可以自由選擇 </p><p><b>  端到端的分層安全性</b></p><p>  滿足服務(wù)提供商對(duì)性能、可擴(kuò)展性及高可用性的要求 </p><p><b>  冗余、熱交換組件 </b></p><p>  增強(qiáng)性能

81、的特性,例如SSL加速、壓縮與集群,提供最優(yōu)的可擴(kuò)展性和可用性 </p><p>  多設(shè)備集群部署選擇,實(shí)現(xiàn)整個(gè)局域網(wǎng)和廣域網(wǎng)的高可用性</p><p> ?。?)Secure Access </p><p>  通過推出Juniper 網(wǎng)絡(luò)公司安全接入高級(jí)特性,Juniper 網(wǎng)絡(luò)公司增強(qiáng)了在SSL VPN市場(chǎng)上的核心競(jìng)爭(zhēng)力。本包將簡(jiǎn)化你的Secure Acce

82、ss部署的管理、配置和維護(hù),不管它是由提供遠(yuǎn)程和/或外部網(wǎng)接入的單一設(shè)備構(gòu)成還是由遍布全球的一系列大型平臺(tái)構(gòu)成。高級(jí)特性亦包括Central Manager,一種采用基于Web的直觀用戶界面的強(qiáng)大產(chǎn)品,旨在方便Secure Access設(shè)備的配置、更新和監(jiān)控。</p><p>  Secure Access系統(tǒng)的主要特性與優(yōu)勢(shì)包括:</p><p>  Central Manager<

83、;/p><p><b>  集群管理 </b></p><p><b>  系統(tǒng)儀表板一瞥 </b></p><p><b>  推動(dòng)配置 </b></p><p><b>  可定制的日志過濾 </b></p><p><b&g

84、t;  用戶自助服務(wù)</b></p><p><b>  密碼管理 </b></p><p>  基于標(biāo)題和表格的Web SSO </p><p>  單個(gè)設(shè)備多個(gè)主機(jī)名 </p><p><b>  可定制的用戶界面 </b></p><p>  使用布爾規(guī)則進(jìn)

85、行管理角色的授權(quán)</p><p>  針對(duì)每個(gè)任務(wù)的讀/寫/拒絕接入 </p><p><b>  高級(jí)認(rèn)證</b></p><p><b>  SAML </b></p><p>  SiteMinder </p><p>  SSO,用于訪問管理產(chǎn)品 </p>

86、<p><b>  高級(jí)PKI特性 </b></p><p><b>  高級(jí)角色映射與限制</b></p><p>  布爾表達(dá)式,用于整合屬性 </p><p><b>  更多屬性標(biāo)準(zhǔn) </b></p><p><b>  高級(jí)資源策略</b

87、></p><p>  結(jié)合布爾表達(dá)式的資源訪問 </p><p><b>  更多屬性標(biāo)準(zhǔn) </b></p><p>  ArrAy Networks</p><p>  9.2.1 ArrAy Networks 優(yōu)勢(shì)</p><p>  Array SPX系列SSL VPN訪問網(wǎng)關(guān)不管在

88、性能上還是在功能上都處于業(yè)界領(lǐng)先位置,它能提供低至幾個(gè)毫秒的響應(yīng)時(shí)間,并能同時(shí)支持多達(dá)64000個(gè)并發(fā)用戶。</p><p>  SPX系列設(shè)備在設(shè)計(jì)之初就針對(duì)關(guān)鍵業(yè)務(wù)應(yīng)用進(jìn)行了特別優(yōu)化,是目前業(yè)界唯一一款能夠滿足安全遠(yuǎn)程訪問的所有關(guān)鍵需求的解決方案。在部署了SPX系列設(shè)備之后,您將擁有多層安全、強(qiáng)健的應(yīng)用和設(shè)備兼容性、即點(diǎn)即用的系統(tǒng)管理功能、最低的整體擁有成本和最佳的終極用戶使用體驗(yàn)。</p>&

89、lt;p>  不管是小型企業(yè)還是全球財(cái)富榜500強(qiáng)企業(yè),SPX系列設(shè)備都可以保證您的員工、合作伙伴和客戶能夠隨時(shí)隨地快速安全地訪問所需要的資源,極大地提高了企業(yè)生產(chǎn)力。</p><p>  9.2.2真正的企業(yè)級(jí)SSL VPN解決方案:</p><p><b>  端到端的安全性 </b></p><p>  優(yōu)異的性能和負(fù)載能力 <

90、;/p><p><b>  集成的加速功能 </b></p><p>  集豐富的功能于一體 </p><p>  l細(xì)粒度的訪問控制 </p><p><b>  廣泛的兼容性 </b></p><p>  按業(yè)務(wù)增長(zhǎng)的需要進(jìn)行付費(fèi)和投資的靈活性 </p><

91、;p>  9.2.3 Array VPN的成功案例</p><p>  在Array Networks公司,始終秉承一個(gè)信念:所開發(fā)的在技術(shù)上極具創(chuàng)新的產(chǎn)品不單要推動(dòng)技術(shù)在性能上的飛躍,同時(shí)也要為企業(yè)機(jī)構(gòu)創(chuàng)造實(shí)實(shí)在在的商業(yè)利益。</p><p>  這就是為什么現(xiàn)在全球2000強(qiáng)企業(yè)中有超過20%的企業(yè)已經(jīng)部署了Array的產(chǎn)品,同時(shí)在全球零售、金融、醫(yī)療保健、科技和教育等領(lǐng)域的主要

92、企業(yè)機(jī)構(gòu)中Array的產(chǎn)品也正被迅速地接受并流行開來。下邊展示Array的SSL VPN網(wǎng)關(guān)都可以幫企業(yè)做些什么:</p><p>  Nortel(北電)網(wǎng)絡(luò) </p><p>  根據(jù)Infonetics的報(bào)道,北電在SSL VPN收入方面已經(jīng)“躍升至第2位”,占據(jù)SSL VPN市場(chǎng)19%的份額?!?Infonetics調(diào)查公司首席分析家Jeff Wilson表示:“SSL VP

93、N現(xiàn)在已經(jīng)開始步入自己的軌道,并在市場(chǎng)上產(chǎn)生了重大影響。最初,人們認(rèn)為它僅僅是一種遠(yuǎn)程接入解決方案,其用途存在諸多限制,但現(xiàn)在許多廠商將它用于內(nèi)部安全和全公司的安全應(yīng)用訪問,這就大大擴(kuò)展了其目標(biāo)市場(chǎng)的范圍。”</p><p>  北電VPN網(wǎng)關(guān)是一種遠(yuǎn)程接入安全解決方案,可將企業(yè)應(yīng)用的范圍擴(kuò)展到遠(yuǎn)程員工、合作伙伴和客戶身邊。VPN網(wǎng)關(guān)利用廣泛部署的Web瀏覽器SSL技術(shù)的,和IPsec VPN接入功能,提供當(dāng)前市

94、場(chǎng)上最靈活、最經(jīng)濟(jì)高效的安全遠(yuǎn)程接入解決方案。</p><p><b>  9.3.1產(chǎn)品功能</b></p><p>  集成的流量管理 VPN網(wǎng)關(guān)支持基于內(nèi)容的負(fù)載均衡,支持具有安全會(huì)話持續(xù)性和即插即用的可擴(kuò)展性的高可用性應(yīng)用架構(gòu)。</p><p>  SSL加速器配置選項(xiàng) VPN網(wǎng)關(guān)目前包含了整套北電SSL加速器功能,可以部署作為

95、經(jīng)濟(jì)高效的專用SSL卸載設(shè)備,并能根據(jù)需要靈活地激活SSL VPN功能。</p><p>  集成的SSL加速功能 VPN網(wǎng)關(guān)每秒最多可以管理1500次公共密鑰操作,在整個(gè)網(wǎng)關(guān)上保持應(yīng)用的高性能。而全面的密鑰和證書管理特性則能幫助簡(jiǎn)化PKI管理。</p><p>  內(nèi)網(wǎng)端加密 在不造成服務(wù)器過載下,VPN網(wǎng)關(guān)通過在網(wǎng)關(guān)兩邊(一邊是客戶端,另一邊是應(yīng)用)支持經(jīng)過鑒權(quán)和加密的會(huì)話

96、來保護(hù)用戶隱私和數(shù)據(jù)保密性。</p><p>  客戶端安全性 VPN網(wǎng)關(guān)可根據(jù)用戶IP地址或鑒權(quán)強(qiáng)度動(dòng)態(tài)地調(diào)整接入權(quán)限,并能自動(dòng)終止可疑會(huì)話而不會(huì)在用戶設(shè)備上留下跟蹤數(shù)據(jù)。</p><p>  鑒權(quán) 除了LDAP、RADIUS、NTLM、Active Directory和Netegrity服務(wù)支持外,VPN網(wǎng)關(guān)還加入了本地鑒權(quán)數(shù)據(jù)庫(kù)。另外,在需要強(qiáng)有力鑒權(quán)的情況下,它可以使用

97、數(shù)字證書或基于令牌的雙因子系統(tǒng),對(duì)用戶進(jìn)行鑒權(quán)。</p><p>  無客戶端/增強(qiáng)型無客戶端模式 為了確保支持最廣泛的應(yīng)用,VPN網(wǎng)關(guān)可以適應(yīng)任何特定瀏覽器的會(huì)話類型。無客戶端模式可在網(wǎng)關(guān)上提供快速內(nèi)容轉(zhuǎn)換,而增強(qiáng)型無客戶端模式則在瀏覽器中運(yùn)行Applet,為客戶端/服務(wù)器應(yīng)用構(gòu)建VPN隧道。</p><p>  全局VPN負(fù)載均衡  VPN網(wǎng)關(guān)解決方案可部署在分布

98、式環(huán)境中,提供到專用網(wǎng)絡(luò)的多個(gè)冗余接入點(diǎn)。通過融合北電應(yīng)用交換機(jī)的全局服務(wù)器負(fù)載均衡技術(shù),用戶可以透明地重定向到最近或性能最佳的接入點(diǎn),而不受其所處實(shí)際位置的影響。</p><p>  精細(xì)的接入控制和審計(jì) VPN網(wǎng)關(guān)可以根據(jù)靜態(tài)列表提供接入控制。用戶經(jīng)過鑒權(quán)后,一個(gè)動(dòng)態(tài)會(huì)話Cookie會(huì)在整個(gè)會(huì)話期間保存客戶的真實(shí)身份。通過一個(gè)系統(tǒng)日志事件管理器,可以記錄所有用戶活動(dòng),以支持詳細(xì)的審計(jì)。</p&g

99、t;<p>  群集 利用內(nèi)部負(fù)載平衡機(jī)制或北電應(yīng)用交換機(jī),可以群集部署多個(gè)VPN網(wǎng)關(guān)。除了提供即插即用的可擴(kuò)展性之外,應(yīng)用交換機(jī)還提供負(fù)載平衡、健康檢查和到群集內(nèi)網(wǎng)關(guān)的持久連接。</p><p>  高級(jí)過濾 VPN網(wǎng)關(guān)可提供強(qiáng)大的應(yīng)用層過濾功能,用于屏蔽不需要的流量。您甚至可以制定策略,根據(jù)IP地址、請(qǐng)求的URL、應(yīng)用類型或cookie信息來屏蔽經(jīng)過鑒權(quán)的用戶。這種額外的安全功能為不能

100、掃描加密數(shù)據(jù)的防火墻和入侵檢測(cè)系統(tǒng)提供了補(bǔ)充。</p><p><b>  9.3.2產(chǎn)品優(yōu)勢(shì)</b></p><p>  簡(jiǎn)單性 VPN網(wǎng)關(guān)可以無縫集成到任何網(wǎng)絡(luò)中,并能利用現(xiàn)有客戶端技術(shù)來最大限度地減少安裝、操作和支持問題。擴(kuò)展可以通過額外網(wǎng)關(guān)的簡(jiǎn)單即插即用過程實(shí)現(xiàn)。訪問安全的應(yīng)用與使用熟悉的Web瀏覽器介面登錄網(wǎng)站一樣簡(jiǎn)單。直觀的Web門戶可為遠(yuǎn)程用戶提供所

101、需的遠(yuǎn)程接入功能和應(yīng)用訪問;Web UI管理界面還增加了一個(gè)帶有配置精靈和詳細(xì)幫助屏幕的。</p><p>  廣泛的應(yīng)用支持  增強(qiáng)型無客戶端和透明操作模式可增加提供給遠(yuǎn)程用戶的應(yīng)用類型。通過將SSL與應(yīng)用代理相結(jié)合,VPN網(wǎng)關(guān)可為企業(yè)提供到傳統(tǒng)客戶端/服務(wù)器和UDP應(yīng)用的安全遠(yuǎn)程接入。</p><p>  高性能、可用性和可擴(kuò)展性 事實(shí)證明,VPN網(wǎng)關(guān)是速度最快的

102、SSL VPN網(wǎng)關(guān)之一。通過在后端服務(wù)器間共享請(qǐng)求,集成的智能流量管理功能可提高應(yīng)用性能。利用內(nèi)在的群集功能或北電應(yīng)用交換機(jī)的高級(jí)群集管理功能,可以通過一個(gè)簡(jiǎn)單的即插即用流程擴(kuò)展容量。</p><p>  無限制的移動(dòng)性  VPN網(wǎng)關(guān)為移動(dòng)工作者提供了與其公司保持聯(lián)系的更多機(jī)會(huì),從而提高與員工和客戶進(jìn)行通信的頻率。同樣,合作伙伴的接入不再局限于特定的PC,因而簡(jiǎn)化了B2B流程集成。</p&

103、gt;<p>  更低的總投資成本 VPN網(wǎng)關(guān)通過現(xiàn)有的網(wǎng)絡(luò)瀏覽器和互聯(lián)網(wǎng)連接提供一種簡(jiǎn)單的遠(yuǎn)程接入解決方案,并且沒有安裝、支持和維護(hù)客戶端軟件的操作開銷。此外,VPN網(wǎng)關(guān)還可以配置用于支持IPsec遠(yuǎn)程用戶,而無需增加硬件投資。</p><p>  9.4 F5 Networks</p><p><b>  9.4.1功能實(shí)現(xiàn)</b></p&

104、gt;<p>  Web 應(yīng)用   ☆ 支持像在公司局域網(wǎng)里那樣輕松訪問內(nèi)部 Web 服務(wù)器,包括 Microsoft Outlook Web Access、Lotus iNotes 和 MS SharePoint Portal?!  ?提供按群組對(duì)內(nèi)聯(lián)網(wǎng)資源的精細(xì)訪問控制。例如,員工可對(duì)整個(gè)內(nèi)聯(lián)網(wǎng)站點(diǎn)訪問,而合作伙伴只能訪問有限的特定 Web 主機(jī)?!  ?訪問資源時(shí),F(xiàn)irePass 可動(dòng)態(tài)將內(nèi)部 URL 映射到

105、外部 URL,因此不會(huì)暴露內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)?!  ?管理員可在 FirePass 控制器上管理用戶 cookie,以避免暴露敏感信息?!  ?能夠?qū)⒂脩糇C書發(fā)送給 web 主機(jī),以支持自動(dòng)登錄以及其他用戶對(duì)應(yīng)用的特定訪問。FirePass 也可與現(xiàn)有身份管理服務(wù)器(如 Netegrity)集成,實(shí)現(xiàn)應(yīng)用的單點(diǎn)登錄?!  ?FirePass 可代理來自 web 主機(jī)的登錄請(qǐng)求,以避免用戶將密碼緩存在客戶端瀏覽器上?!  ?精細(xì)的訪問控

106、制列表 (ACL)――允許或限制對(duì)應(yīng)用特定部分的訪問,增加了安全性并降低了業(yè)務(wù)風(fēng)險(xiǎn)。  ☆ 為 web 應(yīng)用提供隧道分割支持,提高最終用戶對(duì)公共網(wǎng)絡(luò)站</p><p>  文件服務(wù)器訪問  ☆ 允許用戶瀏覽、上傳、下載、復(fù)制、移動(dòng)或刪除共享目錄下的文件。   ☆ 支持 SMB 共享、Windows 工作組;NT 4.0 和 Win2000 域;帶有本地文件系統(tǒng)包的 Novell 5.1/6.0,以及 NFS

107、 服務(wù)器。</p><p>  電子郵件訪問  ☆ 提供從標(biāo)準(zhǔn)和移動(dòng)設(shè)備瀏覽器到 POP/IMAP/SMTP 電子郵件服務(wù)器的 基于 Web 的安全訪問能力?!  ?允許用戶發(fā)送和接收消息、下載附件以及將網(wǎng)絡(luò)文件粘貼到電子郵件上。</p><p>  移動(dòng)設(shè)備支持  ☆ 可通過 PDA(如Palm OS)和蜂窩電話(如 WAP 和 iMode 手機(jī))安全訪問電子郵件和其它應(yīng)用?! ?/p>

108、☆ 系統(tǒng)必須能夠動(dòng)態(tài)地對(duì)來自 POP/IMAP/SMTP 電子郵件服務(wù)器的電子郵件進(jìn)行格式調(diào)整,以適應(yīng)屏幕較小的移動(dòng)電話和 PDA?!  ?支持發(fā)送以網(wǎng)絡(luò)文件作為附件的電子郵件,并能查看文本或者 Word 文檔?!  ?ActiveSync 支持——支持 ActiveSync 應(yīng)用,允許 PDA 設(shè)備對(duì) Exchange 服務(wù)器上電子郵件和日歷的 PDA 同步,無需預(yù)先安裝 VPN 客戶端組件。</p><p&g

109、t;  門戶訪問——全方位的安全性  FirePass 可提供多層控制能力,以確保公共系統(tǒng)訪問的安全性。</p><p>  客戶端安全性  ☆ 受保護(hù)的工作區(qū)――Windows 2000/XP 的用戶可自動(dòng)切換至受保護(hù)的工作區(qū)模式,以進(jìn)行遠(yuǎn)程訪問會(huì)話。在受保護(hù)的工作區(qū)模式中,用戶無法將文件寫入到受保護(hù)工作區(qū)和臨時(shí)文件夾外的任何位置,并且所有的內(nèi)容都將在會(huì)話結(jié)束時(shí)被刪除?!  ?緩存清除――緩存清除控制可刪

110、除來自客戶端電腦的下列數(shù)據(jù):在遠(yuǎn)程訪問會(huì)話期間安裝的Cookies、瀏覽歷史記錄、自動(dòng)完成信息、瀏覽器緩存、臨時(shí)文件、全部 ActiveX 控件。同時(shí)它還可清空回收站數(shù)據(jù)。  ☆ 安全虛擬鍵盤――作為額外的密碼安全功能,F(xiàn)irePass 提供了已申請(qǐng)專利的安全虛擬鍵盤功能,它借助鼠標(biāo)(代替鍵盤)確保了密碼輸入的安全性?!  ?下載阻止――針對(duì)無法安裝“清除”控件的系統(tǒng),管理員可配置 FirePass 阻止所有下載,從而避免發(fā)生無意間

111、遺留臨時(shí)文件的情況-同時(shí)仍可訪問應(yīng)用。</p><p>  內(nèi)容檢測(cè)和 Web 應(yīng)用安全  針對(duì)那些通過公司網(wǎng)絡(luò)進(jìn)行Web應(yīng)用訪問的用戶,F(xiàn)irePass 可掃描 Web 應(yīng)用訪問來查找應(yīng)用層攻擊,并在發(fā)現(xiàn)攻擊時(shí)阻斷用戶的訪問,從而增強(qiáng)應(yīng)用的安全性并防止應(yīng)用層攻擊。</p><p>  集成病毒防御功能  FirePass 可使用集成的掃描程序或外部掃描程序(通過 ICAP API)來

112、對(duì) Web 和文件上傳進(jìn)行掃描。這樣,受感染的文件在網(wǎng)關(guān)就會(huì)被阻止而無法感染電子郵件或網(wǎng)絡(luò)上的文件服務(wù)器,從而加強(qiáng)了對(duì)后者的防護(hù)。</p><p>  動(dòng)態(tài)策略引擎-整體管理控制  借助 FirePass 政策引擎,管理員可輕松管理用戶的認(rèn)證和授權(quán)。</p><p>  基于動(dòng)態(tài)策略的訪問控制  借助 FirePass,管理員可實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)資源的快速、精細(xì)控制。 通過政策支持,管理員可以

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫(kù)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論