ssl vnp技術(shù)支持手冊(cè)

1、<p>　　SSL VPN 技術(shù)支持手冊(cè)</p><p>　　擬 制： </p><p>　　審 核： </p><p>　　批 準(zhǔn)： </p><p>　　廣 東 卓 維 網(wǎng) 絡(luò) 有 限 公 司</p><p>　　Gu

2、angdong Topway Network Co., Ltd</p><p><b>　　二00七年四月</b></p><p><b>　　文 件 信 息</b></p><p><b>　　版 本 信 息</b></p><p><b>　　目 錄<

3、/b></p><p>　　一、SSL VPN技術(shù)介紹5</p><p>　　二、SSL VPN給用戶(hù)帶來(lái)的價(jià)值7</p><p>　　三、SSL VPN功能實(shí)現(xiàn)8</p><p>　　1、無(wú)客戶(hù)端軟件8</p><p>　　2、保持用戶(hù)使用習(xí)慣8</p><p>　　3、

4、客戶(hù)端應(yīng)用綁定8</p><p>　　4、支持多種TCP/UDP應(yīng)用系統(tǒng)8</p><p>　　5、第三方Radius/Windows/AD/LDAP認(rèn)證系統(tǒng)8</p><p>　　6、Windows　AD/LDAP用戶(hù)數(shù)據(jù)庫(kù)同步9</p><p>　　7、基于信任鏈表的PKI證書(shū)應(yīng)用9</p><p>　

5、　8、客戶(hù)端安全措施9</p><p>　　9、基于角色的細(xì)粒訪(fǎng)問(wèn)控制9</p><p>　　10、信息與狀態(tài)監(jiān)控9</p><p>　　四、SSL VPN技術(shù)優(yōu)勢(shì)11</p><p>　　(1)客戶(hù)端支撐維護(hù)簡(jiǎn)單11</p><p>　　(2)提供增強(qiáng)的遠(yuǎn)程安全接入功能11</p><

6、p>　　(3)提供更細(xì)粒度的訪(fǎng)問(wèn)控制11</p><p>　　(4)能夠穿越NAT和防火墻設(shè)備12</p><p>　　(5)能夠較好地抵御外部系統(tǒng)和病毒攻擊12</p><p>　　(6)網(wǎng)絡(luò)部署靈活方便12</p><p>　　五、SSL VPN的市場(chǎng)和應(yīng)用前景14</p><p>　　1、市場(chǎng)的

7、特點(diǎn)與趨勢(shì)14</p><p>　　2、SSL VPN難以普及主要因素14</p><p>　　3、SSL VPN應(yīng)用前景---- SSL無(wú)處不在15</p><p>　　六、企業(yè)決策：如何選擇SSL VPN---三步走17</p><p>　　七、SSL VPN產(chǎn)品如何選購(gòu)20</p><p>　　八、國(guó)

8、內(nèi)外主流廠(chǎng)商產(chǎn)品一覽表及推薦使用品牌22</p><p>　　九、國(guó)內(nèi)外主流廠(chǎng)商產(chǎn)品系列24</p><p>　　1、Juniper 網(wǎng)絡(luò)24</p><p>　　2、Arry Networks29</p><p>　　2.1　Arry Networks 優(yōu)勢(shì)29</p><p>　　2.2真正的企業(yè)級(jí)SSL

9、 VPN解決方案：30</p><p>　　2.3Array VPN的成功案例30</p><p>　　3、Nortel（北電）網(wǎng)絡(luò)33</p><p>　　3.1產(chǎn)品功能33</p><p>　　3.2產(chǎn)品優(yōu)勢(shì)35</p><p>　　4、F5 Networks36</p><p&g

10、t;　　4.1功能實(shí)現(xiàn)36</p><p>　　4.2技術(shù)優(yōu)勢(shì)39</p><p>　　5、O2Micro　Networks40</p><p>　　5.1產(chǎn)品特征41</p><p>　　5.2、技術(shù)優(yōu)勢(shì)42</p><p>　　6、北京安軟天地科技44</p><p>　　61功

11、能與應(yīng)用44</p><p>　　6.2產(chǎn)品優(yōu)勢(shì)----低成本的解決方案46</p><p>　　6．3產(chǎn)品規(guī)范46</p><p>　　7、深圳賽藍(lán)CYLAN46</p><p>　　7.1成功案例47</p><p>　　7.2功能實(shí)現(xiàn)48</p><p>　　8、深圳深信服5

12、0</p><p>　　8.1應(yīng)用方案優(yōu)勢(shì)：51</p><p>　　8.2產(chǎn)品特征及優(yōu)勢(shì)：51</p><p>　　一、SSL VPN技術(shù)介紹</p><p>　　SSL VPN即指采用SSL （Security Socket Layer）協(xié)議來(lái)實(shí)現(xiàn)遠(yuǎn)程接入的一種新型VPN技術(shù)。SSL協(xié)議是網(wǎng)景公司提出的基于WEB應(yīng)用的安全協(xié)議，它包括

13、：服務(wù)器認(rèn)證、客戶(hù)認(rèn)證（可選）、SSL鏈路上的數(shù)據(jù)完整性和SSL鏈路上的數(shù)據(jù)保密性。對(duì)于內(nèi)、外部應(yīng)用來(lái)說(shuō)，使用SSL可保證信息的真實(shí)性、完整性和保密性。目前SSL 協(xié)議被廣泛應(yīng)用于各種瀏覽器應(yīng)用，也可以應(yīng)用于Outlook等使用TCP協(xié)議傳輸數(shù)據(jù)的C/S應(yīng)用。正因?yàn)镾SL 協(xié)議被內(nèi)置于IE等瀏覽器中，使用SSL 協(xié)議進(jìn)行認(rèn)證和數(shù)據(jù)加密的SSL VPN就可以免于安裝客戶(hù)端。</p><p>　　SSL VPN技術(shù)幫

14、助用戶(hù)通過(guò)標(biāo)準(zhǔn)的WEB瀏覽器就可以訪(fǎng)問(wèn)重要的企業(yè)的應(yīng)用。這使得員工出差時(shí)不必再攜帶自己的筆記本電腦，僅僅通過(guò)一臺(tái)接入Internet的計(jì)算機(jī)就能訪(fǎng)問(wèn)企業(yè)的資源，這為企業(yè)提高了效率也帶來(lái)了方便。SSL VPN網(wǎng)關(guān)位于企業(yè)網(wǎng)絡(luò)的邊緣，介于企業(yè)服務(wù)器與遠(yuǎn)程用戶(hù)之間，控制二者的通信。</p><p>　　SSL VPN應(yīng)用環(huán)境如下圖（一）：</p><p><b>　　圖（一）</

15、b></p><p>　　掌握三個(gè)關(guān)鍵技術(shù)術(shù)語(yǔ)的含義有助于理解SSL VPN是如何實(shí)現(xiàn)的。</p><p>　　代理（Proxying）SSL VPN至少要實(shí)現(xiàn)一種功能：代理WEB頁(yè)面。它將來(lái)自遠(yuǎn)端瀏</p><p>　　覽器的頁(yè)面請(qǐng)求（采用HTTPS協(xié)議）轉(zhuǎn)發(fā)給WEB服務(wù)器，然后將服務(wù)器的響應(yīng)回傳給終端用戶(hù)。</p><p>　　應(yīng)用

16、轉(zhuǎn)換（Application Translation）對(duì)于非WEB頁(yè)面的文件訪(fǎng)問(wèn)，往往要借助于應(yīng)</p><p>　　用轉(zhuǎn)換。SSL VPN網(wǎng)關(guān)與企業(yè)網(wǎng)內(nèi)部的微軟CIFS或FTP服務(wù)器通信，將這些服務(wù)器對(duì)客戶(hù)的響應(yīng)轉(zhuǎn)化為HTTPS協(xié)議和HTML格式發(fā)往客戶(hù)端，終端用戶(hù)感覺(jué)到這些服務(wù)器就是一些基于WEB的應(yīng)用。</p><p>　　有的SSL VPN產(chǎn)品所能支持的應(yīng)用轉(zhuǎn)換器和代理的代理非常少

17、，有的則很好地支持了FTP、網(wǎng)絡(luò)文件系統(tǒng)和微軟文件服務(wù)器的應(yīng)用轉(zhuǎn)換。用戶(hù)在選擇網(wǎng)關(guān)時(shí)，必須對(duì)自己所需要轉(zhuǎn)換的應(yīng)用有一個(gè)很明確的了解，并能夠根據(jù)他們的重要性給他們排個(gè)先后順序。</p><p>　　端口轉(zhuǎn)發(fā)(Port Forwarding)有些應(yīng)用，如微軟的Outlook或MSN，它們的外觀(guān)會(huì)</p><p>　　在轉(zhuǎn)化為基于界面的過(guò)程中丟失。此時(shí)需要用到端口轉(zhuǎn)發(fā)技術(shù)。端口轉(zhuǎn)發(fā)用于端口定義明

18、確的應(yīng)用。它需要在終端系統(tǒng)上運(yùn)行一個(gè)非常小的JAVA或ActiveX程序作為端口轉(zhuǎn)發(fā)器，監(jiān)聽(tīng)某個(gè)端口上的連接。當(dāng)數(shù)據(jù)包進(jìn)入這個(gè)端口時(shí)，它們通過(guò)SSL連接中的隧道被傳送到SSL VPN網(wǎng)關(guān)，SSL VPN網(wǎng)關(guān)解開(kāi)封裝的數(shù)據(jù)包，將它們轉(zhuǎn)發(fā)給目的應(yīng)用服務(wù)器。</p><p>　　良好的SSL VPN產(chǎn)品應(yīng)該具有較好的互操作性，較為細(xì)致的訪(fǎng)問(wèn)控制功能，完善的日志和認(rèn)證體系以及對(duì)應(yīng)用的廣泛支持。</p>&l

19、t;p>　　二、SSL VPN給用戶(hù)帶來(lái)的價(jià)值</p><p>　　--------隨時(shí)隨地移動(dòng)接入</p><p>　　就在當(dāng)前大多數(shù)遠(yuǎn)程訪(fǎng)問(wèn)解決方案是利用基于IPSec安全協(xié)議的VPN網(wǎng)絡(luò)的情況下，一種最新的研究表明近近呼90%的企業(yè)利用VPN進(jìn)行的內(nèi)部網(wǎng)和外部網(wǎng)的聯(lián)接都只是用來(lái)進(jìn)行因特網(wǎng)訪(fǎng)問(wèn)和電子郵件通信，另外10%的用戶(hù)是利用諸如x11、聊天協(xié)議和其它私有客戶(hù)端應(yīng)用，屬非因特

20、網(wǎng)應(yīng)用。這些90%的應(yīng)用有研究表明可以利用一種更加簡(jiǎn)單的VPN技術(shù)——SSL VPN來(lái)提供更加有效的解決方案。茶鄉(xiāng)浪子 51cto技術(shù)博客</p><p>　　SSL VPN不需要復(fù)雜的客戶(hù)端支撐，這就易于安裝和配置，明顯降低成本。IPSec VPN需要在遠(yuǎn)程終端用戶(hù)一方安裝特定設(shè)備，以建立安全隧道，而且很多情況下在外部（或非企業(yè)控制）設(shè)備中建立隧道相當(dāng)困難。另外，這類(lèi)復(fù)雜的客戶(hù)端難于升級(jí)，對(duì)新用戶(hù)來(lái)說(shuō)面臨的麻煩

21、可能更多，如系統(tǒng)運(yùn)行支撐問(wèn)題、時(shí)間開(kāi)銷(xiāo)問(wèn)題、管理問(wèn)題等。IPSec解決方案初始成本較低，但運(yùn)行支撐成本高。如今，已有SSL開(kāi)發(fā)商能提供網(wǎng)絡(luò)層支持，進(jìn)行網(wǎng)絡(luò)應(yīng)用訪(fǎng)問(wèn)，就如同遠(yuǎn)程機(jī)器處于LAN中一樣；同時(shí)提供應(yīng)用層接入，進(jìn)行Web應(yīng)用和許多客戶(hù)端/服務(wù)器應(yīng)用訪(fǎng)問(wèn)。</p><p>　　三、SSL VPN功能實(shí)現(xiàn)</p><p><b>　　無(wú)客戶(hù)端軟件</b></p

22、><p>　　采用無(wú)客戶(hù)端軟件的解決方案，用戶(hù)只須要通過(guò)瀏覽器訪(fǎng)問(wèn)VPN服務(wù)。這是因?yàn)镾SL VPN</p><p>　　使用了已嵌入于一般瀏覽器中的SSL協(xié)議。這讓管理員無(wú)須為終端用戶(hù)提供軟件安裝，維護(hù)及策略定制的服務(wù)；僅僅在VPN網(wǎng)關(guān)上設(shè)置用戶(hù)訪(fǎng)問(wèn)權(quán)限即可。</p><p><b>　　保持用戶(hù)使用習(xí)慣</b></p><p

23、>　　每個(gè)企業(yè)都根據(jù)自己的實(shí)際需要定制開(kāi)發(fā)一些應(yīng)用系統(tǒng)，或者部署一些知名的服務(wù)來(lái)滿(mǎn)足自己的需要，比如使用Outlook的日歷安排的功能來(lái)安排會(huì)議；為不同的分支機(jī)構(gòu)的IC設(shè)計(jì)工程師部署集中的Terminal Server來(lái)共享設(shè)計(jì)仿真資源等。員工主要的工作時(shí)間都是在企業(yè)內(nèi)部使用這些特定的應(yīng)用，因此員工在家里或酒店需要訪(fǎng)問(wèn)這些企業(yè)資源時(shí)候也希望保持在公司Intranet中的使用習(xí)慣，不希望變換應(yīng)用客戶(hù)端軟件，也不希望改變應(yīng)用客戶(hù)端的配

24、置。</p><p><b>　　客戶(hù)端應(yīng)用綁定</b></p><p>　　SSL VPN設(shè)計(jì)中考慮到用戶(hù)使用方便，因此特別客戶(hù)端應(yīng)用綁定的功能，讓用戶(hù)可以針</p><p>　　對(duì)某一個(gè)應(yīng)用服務(wù)設(shè)定使用哪一種應(yīng)用客戶(hù)端軟件?？蛻?hù)端應(yīng)用綁定設(shè)置也能由管理員完成，讓用戶(hù)免予進(jìn)行設(shè)置。</p><p>　　管理員/用戶(hù)可以

25、針對(duì)一個(gè)服務(wù)設(shè)定多個(gè)應(yīng)用客戶(hù)端軟件、葉可以定制關(guān)聯(lián)應(yīng)用的特性，給與用戶(hù)最大的選擇應(yīng)用何種應(yīng)用客戶(hù)端軟件的自由。如果用戶(hù)不設(shè)定關(guān)聯(lián)應(yīng)用，那么也可以直接在操作系統(tǒng)中啟動(dòng)應(yīng)用軟件。</p><p>　　支持多種TCP/UDP應(yīng)用系統(tǒng)</p><p>　　雖然SSL協(xié)議主要用戶(hù)保護(hù)WEB應(yīng)用系統(tǒng)，但是SSL VPN應(yīng)該也支持多種基于TCP/UDP的Client/Server結(jié)構(gòu)的應(yīng)用軟件。管理員只

26、須要通過(guò)簡(jiǎn)單的管理接口在服務(wù)器上定義需要支持的應(yīng)用，及配置好服務(wù)器使用的端口。比如FTP、TFTP、Oracle、SQL server等。</p><p>　　5、第三方Radius/Windows/AD/LDAP認(rèn)證系統(tǒng)</p><p>　　作為企業(yè)遠(yuǎn)程接入VPN網(wǎng)關(guān)，SSL VPN最核心的安全功能就是對(duì)遠(yuǎn)程接入用戶(hù)提供認(rèn)證、授權(quán)及訪(fǎng)問(wèn)控制。為了減輕管理員的管理操作，SSL VPN不止應(yīng)

27、該提供內(nèi)置的用戶(hù)認(rèn)證數(shù)據(jù)庫(kù)，也應(yīng)該可以用常用的Radius/Windows/AD/LDAP用戶(hù)認(rèn)證系統(tǒng)結(jié)合，提供一體化的用戶(hù)認(rèn)證設(shè)施。利用第三方認(rèn)證系統(tǒng)，管理員無(wú)須再配置任何相關(guān)的信息，僅僅需要對(duì)不同認(rèn)證服務(wù)器上的用戶(hù)進(jìn)行授權(quán)即可。</p><p>　　6、Windows　AD/LDAP用戶(hù)數(shù)據(jù)庫(kù)同步</p><p>　　企業(yè)一般都會(huì)有集中的用戶(hù)管理系統(tǒng)，比如基于Window AD的用戶(hù)管

28、理系統(tǒng)。雖然ＩＴ管理人員希望只需維護(hù)一個(gè)用戶(hù)數(shù)據(jù)庫(kù)，但也要求在不同的應(yīng)用系統(tǒng)及網(wǎng)關(guān)上進(jìn)行細(xì)粒度的配置。若系統(tǒng)支持同Windows AD/LDAP服務(wù)器之間實(shí)行帳號(hào)同步，就可以保持服務(wù)器與企業(yè)用戶(hù)數(shù)據(jù)庫(kù)的一致。</p><p>　　7、基于信任鏈表的PKI證書(shū)應(yīng)用</p><p>　　基于公開(kāi)密鑰證書(shū)的認(rèn)證系統(tǒng)有其安全性高、擴(kuò)展性好等特點(diǎn)。因此很多企業(yè)已經(jīng)開(kāi)始使用PKI作為基礎(chǔ)的認(rèn)證設(shè)施。企

29、業(yè)提供遠(yuǎn)程接入解決方案不僅僅是接入本企業(yè)的員工，而且會(huì)接入不同企業(yè)的合作伙伴，因此用戶(hù)會(huì)要求遠(yuǎn)程接入網(wǎng)關(guān)能夠支持多個(gè)CA簽發(fā)的證書(shū)的用戶(hù)的認(rèn)證。</p><p><b>　　8、客戶(hù)端安全措施</b></p><p>　　一旦用戶(hù)接入到企業(yè)內(nèi)部網(wǎng)絡(luò)中，那么遠(yuǎn)端用戶(hù)的計(jì)算僅就成了企業(yè)的網(wǎng)絡(luò)的邊緣。因此IT管理人員需要確保遠(yuǎn)端用戶(hù)的計(jì)算機(jī)滿(mǎn)足企業(yè)的安全策略要求。一般通過(guò)四

30、個(gè)措施：</p><p>　　Host check & Cache Clean, ARL(Access Restriction List 訪(fǎng)問(wèn)限制列表)，用戶(hù)登錄鎖定，SSL協(xié)議／加密算法設(shè)置；來(lái)保證客戶(hù)端的安全性。</p><p>　　9、基于角色的細(xì)粒訪(fǎng)問(wèn)控制</p><p>　　訪(fǎng)問(wèn)控制是SSL VPN提供的核心安全服務(wù)?；诮巧L(fǎng)問(wèn)控制便于管理員快速

31、的對(duì)企業(yè)變化相對(duì)的更改控制規(guī)則。通過(guò)角色將系統(tǒng)的訪(fǎng)問(wèn)用戶(hù)同系統(tǒng)保護(hù)資源聯(lián)合起來(lái)，既直觀(guān)，而且在訪(fǎng)問(wèn)控制策略發(fā)生變化的時(shí)候無(wú)須為每一種資源或者每一個(gè)用戶(hù)修改權(quán)限；西需要修改某一種服務(wù)／角色／用戶(hù)的屬性。</p><p>　　10、信息與狀態(tài)監(jiān)控</p><p>　　提供SSL VPN準(zhǔn)確的狀態(tài)信息所能幫助管理員設(shè)計(jì)及實(shí)現(xiàn)有效的安全策略。時(shí)時(shí)監(jiān)控的各個(gè)狀態(tài)有助于管理員預(yù)測(cè)可能發(fā)生的危害，和及時(shí)

32、做出適當(dāng)?shù)姆磻?yīng)。</p><p><b>　　監(jiān)控圖表如下圖：</b></p><p>　　四、SSL VPN技術(shù)優(yōu)勢(shì)</p><p>　　--------IP Sec VPN&SSL VPN比較</p><p>　　IPSecVPN和SSLVPN是兩種不同的VPN架構(gòu)，IPSecVPN是工作在網(wǎng)絡(luò)層的，提供所有

33、在網(wǎng)絡(luò)層上的數(shù)據(jù)保護(hù)和透明的安全通信，而SSL VPN是工作在應(yīng)用層(基于HTTP協(xié)議)和TCP層之間的，從整體的安全等級(jí)來(lái)看，兩者都能夠提供安全的遠(yuǎn)程接入。但是，IPSec VPN技術(shù)是被設(shè)計(jì)用于連接和保護(hù)在信任網(wǎng)絡(luò)中的數(shù)據(jù)流，因此更適合為不同的網(wǎng)絡(luò)提供通信安全保障，而SSL VPN因?yàn)橐韵碌募夹g(shù)特點(diǎn)則更適合應(yīng)用于遠(yuǎn)程分散移動(dòng)用戶(hù)的安全接入。</p><p>　　(1)客戶(hù)端支撐維

34、護(hù)簡(jiǎn)單</p><p>　　對(duì)于大多數(shù)執(zhí)行基于SSL協(xié)議的遠(yuǎn)程訪(fǎng)問(wèn)是不需要在遠(yuǎn)程客戶(hù)端設(shè)備上安裝軟件，只需通過(guò)標(biāo)準(zhǔn)的Web瀏覽器連接因特網(wǎng)，即可以通過(guò)網(wǎng)頁(yè)訪(fǎng)問(wèn)到企業(yè)內(nèi)部的網(wǎng)絡(luò)資源。而IPSecVPN需要在遠(yuǎn)程終端用戶(hù)一方安裝特定軟件以建立安全隧道。</p><p>　　(2)提供增強(qiáng)的遠(yuǎn)程安全接入功能</p><p>　　IPSecVPN通過(guò)在兩站點(diǎn)間創(chuàng)建安全隧道提

35、供直接(非代理方式)接入，實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)的透明訪(fǎng)問(wèn)；一旦隧道創(chuàng)建，用戶(hù)終端就如同物理地處于企業(yè)內(nèi)部局域網(wǎng)中，這會(huì)帶來(lái)很多安全風(fēng)險(xiǎn)，尤其是在接入用戶(hù)權(quán)限過(guò)大的情況下。SSLVPN提供安全、可代理連接。通常SSLVPN的實(shí)現(xiàn)方式是在企業(yè)的防火墻后面放置一個(gè)SSL代理服務(wù)器。如果用戶(hù)希望安全地連接到公司網(wǎng)絡(luò)上，那么當(dāng)用戶(hù)在瀏覽器上輸入一個(gè)URL后，連接將被SSL代理服務(wù)器取得，并驗(yàn)證該用戶(hù)的身份，然后SSL代理服務(wù)器將連接映射到不同的應(yīng)用服務(wù)

36、器上。 </p><p>　　(3)提供更細(xì)粒度的訪(fǎng)問(wèn)控制</p><p>　　SSLVPN能對(duì)加密隧道進(jìn)行細(xì)分，使終端用戶(hù)能夠同時(shí)接入Internet和訪(fǎng)問(wèn)內(nèi)部企業(yè)網(wǎng)資源。另外，SSLVPN還能細(xì)化接入控制功能，提供用戶(hù)級(jí)別的鑒權(quán)，依據(jù)安全策略確保只有授權(quán)的用戶(hù)才能夠訪(fǎng)問(wèn)特定的內(nèi)部網(wǎng)絡(luò)資源，這種精確的接入控制功能對(duì)遠(yuǎn)程接入IPSecVPN來(lái)說(shuō)幾乎是不可能實(shí)現(xiàn)的。</p>&

37、lt;p>　　(4)能夠穿越NAT和防火墻設(shè)備</p><p>　　SSLVPN工作在傳輸層之上，因而能夠遍歷所有NAT設(shè)備和防火墻設(shè)備，這使得用戶(hù)能夠從任何地方遠(yuǎn)程接入到公司的內(nèi)部網(wǎng)絡(luò)。而IPSecVPN工作在網(wǎng)絡(luò)層上，它很難實(shí)現(xiàn)防火墻和NAT設(shè)備的遍歷，并且無(wú)力解決IP地址沖突。</p><p>　　(5)能夠較好地抵御外部系統(tǒng)和病毒攻擊</p><p>

38、　　SSL是一個(gè)安全協(xié)議，數(shù)據(jù)是全程加密傳輸?shù)?。另外，由于SSL網(wǎng)關(guān)隔離了內(nèi)網(wǎng)服務(wù)器和客戶(hù)端，只留下一個(gè)Web瀏覽接口，客戶(hù)端的大多數(shù)木馬病毒感染不到內(nèi)網(wǎng)服務(wù)器。而傳統(tǒng)的IPSecVPN由于實(shí)現(xiàn)的是IP級(jí)別的訪(fǎng)問(wèn)，一旦隧道創(chuàng)建，用戶(hù)終端就如同物理地處于企業(yè)內(nèi)部局域網(wǎng)中，內(nèi)部網(wǎng)絡(luò)所連接的應(yīng)用系統(tǒng)都是可以偵測(cè)得到，這就為黑客攻擊提供了機(jī)會(huì)，并且使得局域網(wǎng)能夠傳播的病毒，通過(guò)VPN一樣能夠傳播。</p><p>　　(

39、6)網(wǎng)絡(luò)部署靈活方便</p><p>　　IPSecVPN在部署時(shí)一般放置在網(wǎng)絡(luò)網(wǎng)關(guān)處，因而需要考慮網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，如果增添新的設(shè)備，往往要改變網(wǎng)絡(luò)結(jié)構(gòu)。而SSLVPN卻有所不同，它一般部署在內(nèi)網(wǎng)中防火墻之后，可以隨時(shí)根據(jù)需要，添加需要VPN保護(hù)的服務(wù)器，因此無(wú)需影響原有網(wǎng)絡(luò)結(jié)構(gòu)。</p><p>　　SSL VPN & IP Sec VPN技術(shù) 性能比較圖</p>

40、<p>　　五、SSL VPN的市場(chǎng)和應(yīng)用前景</p><p><b>　　市場(chǎng)的特點(diǎn)與趨勢(shì)</b></p><p>　?。?）VPN產(chǎn)品的市場(chǎng)需求將迅速增加。</p><p>　　“十一五”期間我國(guó)將對(duì)信息產(chǎn)業(yè)新增投入巨大，信息化(尤其是政府信息化)將在未來(lái)五年成為VPN產(chǎn)品市場(chǎng)發(fā)展的“助推器”。（2）更多的IT廠(chǎng)商將投入生產(chǎn)V

41、PN產(chǎn)品。</p><p>　　VPN產(chǎn)品是高投入、高回報(bào)的網(wǎng)絡(luò)安全產(chǎn)品，賽迪顧問(wèn)預(yù)計(jì)，已進(jìn)入中國(guó)VPN產(chǎn)品市場(chǎng)的廠(chǎng)商數(shù)量在100～200家左右。（3）產(chǎn)品的安全性和保密性將日趨完善。</p><p>　　目前，許多在安全性和保密性方面要求較高的行業(yè)(如軍隊(duì)等)，對(duì)VPN產(chǎn)品的選擇和應(yīng)用非常謹(jǐn)慎，因?yàn)槟壳暗腣PN產(chǎn)品還不能完全滿(mǎn)足其安全、高效、穩(wěn)定地傳輸數(shù)據(jù)和信息的需要。所以，對(duì)于未來(lái)

42、VPN產(chǎn)品的發(fā)展，應(yīng)用先進(jìn)的技術(shù)，增強(qiáng)產(chǎn)品的功能將成為滿(mǎn)足用戶(hù)進(jìn)一步需求的一個(gè)重要因素。（4）廠(chǎng)商的服務(wù)質(zhì)量將會(huì)有實(shí)質(zhì)性的提高 VPN產(chǎn)品作為一類(lèi)特殊的通過(guò)加密手段傳輸數(shù)據(jù)、信息的網(wǎng)絡(luò)安全產(chǎn)品，服務(wù)質(zhì)量的高低直接影響了用戶(hù)的購(gòu)買(mǎi)行為。VPN產(chǎn)品大規(guī)模的應(yīng)用必須是以VPN廠(chǎng)商提供高質(zhì)量的服務(wù)為前提的。因此，在VPN產(chǎn)品大量應(yīng)用的前提下，廠(chǎng)商為用戶(hù)提供的服務(wù)在質(zhì)量上必將會(huì)有實(shí)質(zhì)性的提高。</p><p>

43、　　SSL VPN難以普及主要因素</p><p>　　目前SSL VPN應(yīng)用在國(guó)內(nèi)尚未走向普及。原因有很多，其中主要是國(guó)內(nèi)企業(yè)的信息化應(yīng)用程度問(wèn)題。SSL VPN解決方案可以實(shí)現(xiàn)的訪(fǎng)問(wèn)應(yīng)用主要有：電子郵件、PIM（個(gè)人信息管理）、內(nèi)部網(wǎng)資源、CRM/ERP等企業(yè)核應(yīng)用。目前，國(guó)內(nèi)企業(yè)的信息化程度不高，雖然這些應(yīng)用都已投入使用，但不是所有的應(yīng)用都會(huì)開(kāi)放給遠(yuǎn)程接入。而且，有些信息化程度高的企業(yè)大多實(shí)施了IPSec

44、VPN解決方案，對(duì)其的信任程度也較高。用戶(hù)接受SSL VPN解決方案，并投入實(shí)際使用還需要一定的過(guò)程。 </p><p>　　3、SSL VPN應(yīng)用前景---- SSL無(wú)處不在</p><p>　　企業(yè)為了讓遠(yuǎn)距工作者連上企業(yè)網(wǎng)絡(luò)，正紛紛擁抱一種更簡(jiǎn)單、成本更低的方式。這股趨勢(shì)為網(wǎng)絡(luò)安全系統(tǒng)供應(yīng)商開(kāi)啟新的商機(jī)，卻也引來(lái)更多的競(jìng)爭(zhēng)。 </p><p>　　業(yè)者競(jìng)相推出

45、讓企業(yè)網(wǎng)絡(luò)存取安全無(wú)虞的閘道，使用的是一種常見(jiàn)的瀏覽軟體安全技術(shù)，稱(chēng)為安全嵌入層（ SSL ）加密。分析師和 SSL 網(wǎng)絡(luò)設(shè)備制造商表示，眾多企業(yè)用戶(hù)已開(kāi)始布署采用 SSL 技術(shù)的虛擬私人網(wǎng)絡(luò)（ VPN ）。 </p><p>　　網(wǎng)絡(luò)管理者指出， SSL 讓 VPN 朝使用簡(jiǎn)易的目標(biāo)邁進(jìn)一大步，市場(chǎng)占有率因而迅速擴(kuò)增，成為網(wǎng)際網(wǎng)絡(luò)通訊協(xié)定保護(hù)（ IPSec ）的替代選擇（ IPSec 使用普及，但欠缺彈性）。而

46、這股趨勢(shì)又助長(zhǎng)企業(yè)和員工對(duì)遠(yuǎn)距網(wǎng)絡(luò)存取的新需求。 </p><p>　　SSL 的運(yùn)勢(shì)轉(zhuǎn)強(qiáng)，吸引科技巨人對(duì)該技術(shù)趨之若鶩，導(dǎo)致這個(gè)一年前全是小型新創(chuàng)公司天下的市場(chǎng)被迫汰弱留強(qiáng)。今天， SSL 產(chǎn)品的供應(yīng)商大多是網(wǎng)絡(luò)安全和交換器市場(chǎng)的知名大廠(chǎng)，包括思科系統(tǒng)（ Cisco Systems ）、 Check Point 軟體、 F5 網(wǎng)絡(luò)、諾基亞（ Nokia ）、 NetScreen 、北電網(wǎng)絡(luò)（ Nortel Ne

47、tworks ）和賽門(mén)鐵克公司（ Symantec ）。 </p><p>　　這些公司當(dāng)中，有些藉并購(gòu)新創(chuàng)公司取得 SSL 技術(shù)，例如 F5 網(wǎng)絡(luò)、 NetScreen 和賽門(mén)鐵克。其他公司，像是思科、諾基亞和北電網(wǎng)絡(luò)，則自行研發(fā)這種技術(shù)。 </p><p>　　SSL并不是全新的技術(shù)，多年來(lái)早就嵌入大部分的標(biāo)準(zhǔn)網(wǎng)頁(yè)瀏覽器，讓諸如亞馬遜（Amazon.com）、E-trade等電子商務(wù)

48、公司提供安全的網(wǎng)際網(wǎng)絡(luò)交易。</p><p>　　因?yàn)?SSL VPN 允許使用者透過(guò)幾乎任一種網(wǎng)頁(yè)瀏覽器加以存取，非常適合用於遠(yuǎn)距存取和企業(yè)間網(wǎng)絡(luò)（ extranet ）應(yīng)用軟體。就大多數(shù)以網(wǎng)絡(luò)架構(gòu)的應(yīng)用程式而論，使用者不必再用任何用戶(hù)端程式（ client ），可讓員工或合伙商更容易存取網(wǎng)絡(luò)。 </p><p>　　相形之下， IPSec VPN 需要在所有用戶(hù)端系統(tǒng)上安裝、設(shè)定特別的

49、軟體，而且在進(jìn)行遠(yuǎn)距存取時(shí)，可能變得笨重不堪。 IPSec VPN 通常也有不相容的問(wèn)題，可能令許多外勤人員為之氣結(jié)，因?yàn)闊o(wú)法存取重要的網(wǎng)絡(luò)資料而進(jìn)退兩難。 </p><p>　　SSL 的使用簡(jiǎn)便，意味使用這種技術(shù)進(jìn)行遠(yuǎn)距存取，可為企業(yè)節(jié)省大筆開(kāi)支。市場(chǎng)研究公司 Frost & Sullivan 估計(jì)，若用 SSL 遠(yuǎn)距存取 VPN ，每名使用者的平均花費(fèi)可降到 60 至 220 美元之譜，相較于使用

50、IPSec VPN 所需的 150 到 300 美元。 SSL VPN 的總擁有成本低很多，因?yàn)椴槐仡A(yù)先逐一設(shè)定每一臺(tái)個(gè)人電腦.   </p><p>　　六、企業(yè)決策：如何選擇SSL VPN---三步走</p><p>　　2005年上半年是早期應(yīng)用SSL VPN的狂熱期，但是，這種狂熱逐漸衰竭進(jìn)入了六個(gè)月的暫停期。市場(chǎng)研究公司Forrester Resea

51、rch預(yù)測(cè)稱(chēng)，到2005年年底，50%的大型企業(yè)已經(jīng)在積極地使用或者正在考慮部署SSL VPN。 </p><p>　　到目前為止，有更多的公司在跟隨著早期應(yīng)用者的腳步正在考慮或者部署這項(xiàng)技術(shù)。這意味著人們?cè)俅位謴?fù)了對(duì)SSL VPN的興趣。</p><p>　　SSL VPN實(shí)際上是一種不需要企業(yè)在遠(yuǎn)程設(shè)備上安裝VPN客戶(hù)端軟件的VPN。遠(yuǎn)程用戶(hù)能夠通過(guò)瀏覽器從任何筆記本電腦或者臺(tái)

52、式電腦實(shí)現(xiàn)安全連接。</p><p>　　下面三步闡述了企業(yè)如何選擇SSL VPN:</p><p>　　第一步: 確定以用戶(hù)為重點(diǎn)還是以應(yīng)用程序?yàn)橹攸c(diǎn)。</p><p>　　SSL VPN適配器有兩個(gè)不同的特點(diǎn):一個(gè)是以用戶(hù)為重點(diǎn)，另一個(gè)是以應(yīng)用程序?yàn)橹攸c(diǎn)。企業(yè)在部署SSL VPN之前必須要確定這兩個(gè)特點(diǎn)哪一個(gè)是排在第一位的和最重要的。 </p>

53、<p>　　基于用戶(hù)的方式能夠向遠(yuǎn)程用戶(hù)提供透明的和完全的網(wǎng)絡(luò)接入功能，就像在局域網(wǎng)中一樣。這種應(yīng)用的VPN一般在一個(gè)設(shè)備的終端既有IPsec又有SSL VPN，并且還采用強(qiáng)大的端點(diǎn)安全和網(wǎng)絡(luò)接入控制技術(shù)。以用戶(hù)為重點(diǎn)的領(lǐng)域的廠(chǎng)商通常把SSL VPN作為在路由器、以太網(wǎng)交換機(jī)或者多功能一體安全設(shè)備等其它網(wǎng)絡(luò)設(shè)備中的一種可以選擇的功能提供給用戶(hù)。 </p><p>　　以用戶(hù)為重點(diǎn)的產(chǎn)品有思科的VP

54、N 3000系列集中器、Juniper網(wǎng)絡(luò)公司的安全接入設(shè)備、北電網(wǎng)絡(luò)的VPN路由器和AP網(wǎng)絡(luò)公司的產(chǎn)品。 </p><p>　　使用基于應(yīng)用程序的方法，企業(yè)要把重點(diǎn)放在需要重點(diǎn)使用的應(yīng)用程序方面。以應(yīng)用程序?yàn)橹攸c(diǎn)的SSL VPN更強(qiáng)調(diào)后端應(yīng)用程序集成并且在沒(méi)有客戶(hù)端軟件的模式下(如通過(guò)瀏覽器)提供更好的訪(fǎng)問(wèn)功能。 </p><p>　　基于SSL VPN的應(yīng)用程序集成了端點(diǎn)安全

55、，但是，重點(diǎn)主要放在政策管理方面。這種應(yīng)用程序擁有比基于用戶(hù)的SSL VPN更直觀(guān)的用戶(hù)界面和更強(qiáng)大的管理功能?；趹?yīng)用程序的SSL VPN市場(chǎng)的廠(chǎng)商和產(chǎn)品有Avenal公司的EX系列產(chǎn)品、Citrix系統(tǒng)公司的接入網(wǎng)關(guān)、F5網(wǎng)絡(luò)公司FirePass、Whale通信公司的智能應(yīng)用網(wǎng)關(guān)和Permeo公司。 </p><p>　　雖然這些產(chǎn)品的差別很小，但是，企業(yè)應(yīng)該首先提出這個(gè)問(wèn)題以便確定部署SSL VPN的基

56、本方向。如果這個(gè)局域網(wǎng)或者廣域網(wǎng)用戶(hù)將決定采購(gòu)方向，那么，就從以用戶(hù)為重點(diǎn)的設(shè)備開(kāi)始。如果是應(yīng)用部門(mén)、遠(yuǎn)程接入專(zhuān)家或者企業(yè)移動(dòng)計(jì)劃決定這個(gè)項(xiàng)目，那就從以應(yīng)用程序?yàn)橹攸c(diǎn)的設(shè)備開(kāi)始。 第二步：回答如何部署端點(diǎn)安全機(jī)制的問(wèn)題。</p><p>　　企業(yè)需要集成的端點(diǎn)安全還是嵌入式的端點(diǎn)安全?</p><p>　　端點(diǎn)安全分為三個(gè)主要部分:</p><p>　　基

57、本主機(jī)檢查功能:這項(xiàng)功能掃描端點(diǎn)設(shè)備，確認(rèn)殺毒軟件、個(gè)人防火墻和操作系統(tǒng)補(bǔ)丁等軟件都已經(jīng)安裝并且是最新的。</p><p>　　緩存清除器:用于清除瀏覽器緩存下載的文件和cookie。</p><p>　　會(huì)話(huà)加密:會(huì)話(huà)加密一般使用Java建立一個(gè)虛擬“sandbox”，這樣，VPN會(huì)話(huà)過(guò)程中的所有活動(dòng)都將被隔離和加密，然后在用戶(hù)登出時(shí)刪除。</p><p>

58、　　大多數(shù)SSL VPN都包括一個(gè)進(jìn)行預(yù)先認(rèn)證的基本的主機(jī)檢查。但是，對(duì)于高級(jí)的緩存清除和加密的“sandbox”等更復(fù)雜的安全功能來(lái)說(shuō)，企業(yè)需要集成第三方廠(chǎng)商提供的工具軟件，如Sygate、CheckPoint軟件公司或者Trust Digital等公司的產(chǎn)品。集成的端點(diǎn)安全提供了廣泛的安全選擇，但是，這需要手工設(shè)置，并且容易出現(xiàn)策略設(shè)置錯(cuò)誤。而這些錯(cuò)誤將耗費(fèi)更多的人力和成本。 據(jù)預(yù)測(cè)，大約70%的企業(yè)在他們的SSL VPN網(wǎng)絡(luò)

59、中采用集成的端點(diǎn)安全。 另一方面，嵌入式端點(diǎn)安全是建在設(shè)備中的。嵌入式工具通常有優(yōu)化的政策設(shè)置，能夠讓用戶(hù)從一個(gè)管理操作臺(tái)實(shí)施全面的訪(fǎng)問(wèn)控制。然而，這個(gè)選擇的缺點(diǎn)是，企業(yè)如果選擇一種嵌入式產(chǎn)品就將被鎖定一家廠(chǎng)商提供的產(chǎn)品，并且必須要依靠那個(gè)廠(chǎng)商提供及時(shí)的安全升級(jí)。如果一家企業(yè)已經(jīng)擁有思科、McAfee和賽門(mén)鐵克等廠(chǎng)商提供的NAC(網(wǎng)絡(luò)準(zhǔn)入控制)設(shè)備，采用嵌入式解決方案就是一種重復(fù)的努力。 企業(yè)最后需要決定它是喜歡最高級(jí)的安全

60、并且愿意為此支付較多的資金，還是認(rèn)為實(shí)用和簡(jiǎn)單性更重要。集成的方法和嵌入式的方法能夠分別解決這兩個(gè)優(yōu)先次序的問(wèn)題。 </p><p>　　七、SSL VPN產(chǎn)品如何選購(gòu)</p><p>　　SSL VPN由于其強(qiáng)大的功能和實(shí)施的方便性應(yīng)用越來(lái)越廣泛，市場(chǎng)上的SSL VPN品牌也越來(lái)越多，如何選擇適合自己的產(chǎn)品是需要用戶(hù)仔細(xì)考慮的一個(gè)問(wèn)題，下面從五個(gè)方面描述如何選擇SSL VPN產(chǎn)品

61、: 1、應(yīng)用需求: 選擇VPN是為了支持遠(yuǎn)程訪(fǎng)問(wèn)內(nèi)部網(wǎng)絡(luò)的應(yīng)用，因此這一點(diǎn)也是最先需要考慮的一點(diǎn)，目前，大多數(shù)SSL VPN支持我們?nèi)粘＝?jīng)常會(huì)用到的郵件系統(tǒng)、OA系統(tǒng)、CRM/ERP等等，但并不是所有的應(yīng)用SSL VPN都能夠提供支持，如動(dòng)態(tài)端口的應(yīng)用就只有部分SSL VPN能夠提供支持。因此，在決定使用一款SSL VPN前一定要先確定是否能支持你的應(yīng)用。 2、安全需求: 要構(gòu)建一個(gè)安全的系統(tǒng)，不僅僅需要傳輸過(guò)程

62、安全，還要提高系統(tǒng)安全性，以下幾個(gè)方面是缺一不可的: </p><p>　?。?）傳輸過(guò)程安全 傳輸?shù)倪^(guò)程加密強(qiáng)度是確保內(nèi)部數(shù)據(jù)不在傳輸過(guò)程中被黑客盜取的關(guān)鍵因素。傳輸過(guò)程加密強(qiáng)度越高，傳輸安全性就越有保障。目前，擁有128位加密以上的SSL VPN產(chǎn)品是比較適宜的，56位DES加密相對(duì)強(qiáng)度低，選擇時(shí)需要特別注意。 </p><p>　?。?）用戶(hù)身份驗(yàn)證 用戶(hù)名加密

63、碼的驗(yàn)證方式安全性相對(duì)較低，除了用戶(hù)名和密碼外，能提供其他的雙因素驗(yàn)證方式的產(chǎn)品更加具有優(yōu)勢(shì)，如支持PKI體系等? </p><p>　?。?）客戶(hù)端設(shè)備的安全性: 客戶(hù)端設(shè)備是否安裝了個(gè)人防火墻、防病毒軟件等。如果客戶(hù)端設(shè)備不夠安全，比如有木馬程序，那么系統(tǒng)依然存在安全隱患。目前部分SSL VPN能夠提供客戶(hù)端環(huán)境檢測(cè)，比如檢測(cè)客戶(hù)端是否安裝了防火墻和防病毒軟件。 </p><p

64、>　?。?）完成訪(fǎng)問(wèn)后，客戶(hù)端需要清除客戶(hù)端機(jī)器的緩存 在移動(dòng)用戶(hù)完成遠(yuǎn)程訪(fǎng)問(wèn)后，是否就萬(wàn)事大吉了呢?當(dāng)然不是，黑客或不法分子可以通過(guò)拷貝、復(fù)制駐留在客戶(hù)端緩沖區(qū)內(nèi)數(shù)據(jù)盜取企業(yè)機(jī)密。 </p><p>　　（5）服務(wù)端的日志跟蹤 SSL VPN服務(wù)器應(yīng)該提供訪(fǎng)問(wèn)統(tǒng)計(jì)和跟蹤功能，這樣管理員能夠根據(jù)日志隨時(shí)掌握系統(tǒng)訪(fǎng)問(wèn)情況。 3、易于管理和維護(hù)，使用操作性強(qiáng) SSL VPN的突出優(yōu)勢(shì)之

65、一就在于移動(dòng)性強(qiáng)、易用性強(qiáng)。但這些特性往往會(huì)增加管理難度。因此用戶(hù)在選購(gòu)SSL VPN時(shí)要重點(diǎn)考慮產(chǎn)品的管理性能。產(chǎn)品要做到界面簡(jiǎn)單，使用方便，靈活、細(xì)致地設(shè)置訪(fǎng)問(wèn)權(quán)限,采用基于用戶(hù)/組/角色的認(rèn)證機(jī)制，每個(gè)文件、網(wǎng)址或應(yīng)用都可進(jìn)行單獨(dú)設(shè)置，使訪(fǎng)問(wèn)控制更易于管理。 4、性能 由于是集中系統(tǒng)，SSL加速?zèng)Q定整個(gè)網(wǎng)絡(luò)的吞吐量。如果SSL加速跟不上，遠(yuǎn)程接入就會(huì)比實(shí)際的Internet接入帶寬低很多。有的SSL VPN產(chǎn)品采用專(zhuān)門(mén)的

66、SSL加速硬件，從而提高了VPN的響應(yīng)速度。另外，通過(guò)數(shù)據(jù)壓縮技術(shù)，還對(duì)所有的傳輸數(shù)據(jù)進(jìn)行壓縮后再進(jìn)行傳輸，這樣就提高了整個(gè)網(wǎng)絡(luò)的運(yùn)行效率和實(shí)用性。 5、服務(wù) 除了上面提到的幾點(diǎn)外，具有良好服務(wù)也至關(guān)重要。SSL VPN還是一個(gè)在不斷發(fā)展的技術(shù)，更新的可能會(huì)比較快，提供SSL VPN的廠(chǎng)家是否具有良好的產(chǎn)品服務(wù)質(zhì)量、渠道響應(yīng)速度和本地支持能力也非常重</p><p>　　SSL VPN的發(fā)展迎合了用戶(hù)

67、對(duì)低成本、高性?xún)r(jià)比遠(yuǎn)程訪(fǎng)問(wèn)的需求?，F(xiàn)在，它已經(jīng)廣泛應(yīng)用于各行各業(yè)。選購(gòu)SSL VPN時(shí)，用戶(hù)要根據(jù)自身特點(diǎn)和不同的業(yè)務(wù)模式，選擇適合自己的產(chǎn)品，再次強(qiáng)調(diào)，VPN是正在發(fā)展的技術(shù)，更新?lián)Q代比較快，因此用戶(hù)在選購(gòu)時(shí)可以少考慮一些擴(kuò)展性，多注重產(chǎn)品的實(shí)用性。畢竟，只有適合自己的，才是最理想的選擇。</p><p>　　八、國(guó)內(nèi)外主流廠(chǎng)商產(chǎn)品一覽表及推薦使用品牌</p><p>　　九、國(guó)內(nèi)外主流

68、廠(chǎng)商產(chǎn)品系列</p><p>　　Juniper 網(wǎng)絡(luò)</p><p><b>　　1.1客戶(hù)概況:</b></p><p>　　1.2Juniper網(wǎng)絡(luò)產(chǎn)品優(yōu)勢(shì)</p><p>　　廣泛的SSL VPN設(shè)備和特性，可提供定制解決方案，以滿(mǎn)足各種規(guī)模公司的遠(yuǎn)程接入要求。 </p><p>　　獨(dú)特

69、的安全功能，為從最終用戶(hù)設(shè)備到內(nèi)部服務(wù)器的各種產(chǎn)品提供端到端的保護(hù)。 </p><p>　　SSL VPN市場(chǎng)公認(rèn)的領(lǐng)導(dǎo)者，2005年市場(chǎng)份額占有率高達(dá)近40%。 </p><p>　　為服務(wù)提供商提供高可用性和可升級(jí)性。</p><p>　　1.3各產(chǎn)品的領(lǐng)先技術(shù)優(yōu)勢(shì)</p><p>　?。?）Secure Access 700 主要特性與

70、優(yōu)勢(shì)如下：</p><p>　　為中小型企業(yè)而設(shè)計(jì) </p><p>　　為遠(yuǎn)程或移動(dòng)員工提供安全接入 </p><p>　　無(wú)需安裝客戶(hù)端軟件，最少量的服務(wù)器更改，少量的后期維護(hù)工作</p><p><b>　　降低總擁有成本 </b></p><p>　　即插即用產(chǎn)品，可在幾分鐘內(nèi)完成安裝，只

71、需最少的IT知識(shí) </p><p>　　無(wú)需部署或維護(hù)客戶(hù)端軟件 </p><p>　　簡(jiǎn)單的最終用戶(hù)和管理員界面，可實(shí)現(xiàn)簡(jiǎn)便易用性 </p><p>　　提高遠(yuǎn)程員工的工作效率 </p><p>　　不存在網(wǎng)絡(luò)互操作性問(wèn)題</p><p><b>　　端到端分層安全性 </b></p>

72、;<p>　　全面安全地接入LAN資源，確保端點(diǎn)設(shè)備、傳輸中的數(shù)據(jù)以及內(nèi)部資源的安全 <LI與廣泛的驗(yàn)證方法和協(xié)議的無(wú)縫集成< li></p><p>　?。?）Secure Access 2000 主要特性與優(yōu)勢(shì)如下：</p><p><b>　　端到端分層安全性 </b></p><p>　　端點(diǎn)客戶(hù)端、設(shè)備

73、、數(shù)據(jù)和服務(wù)器的分層安全性控制 </p><p>　　Juniper 網(wǎng)絡(luò)公司Endpoint Defense Initiative（端點(diǎn)防御計(jì)劃），用于提供最高的端點(diǎn)安全性 </p><p>　　可以根據(jù)用戶(hù)組或角色、網(wǎng)絡(luò)、設(shè)備及會(huì)話(huà)屬性來(lái)規(guī)定基于用戶(hù)身份的接入</p><p><b>　　降低總擁有成本 </b></p>&l

74、t;p>　　不需要部署客戶(hù)端軟件或更改服務(wù)器，幾乎不需要長(zhǎng)期維護(hù) </p><p>　　從單一平臺(tái)安全地遠(yuǎn)程接入內(nèi)聯(lián)網(wǎng)和外聯(lián)網(wǎng) </p><p>　　安全的外聯(lián)網(wǎng)接入，無(wú)需構(gòu)建DMZ、無(wú)需加固服務(wù)器、無(wú)需復(fù)制資源、或無(wú)需增加部署來(lái)添加應(yīng)用或用戶(hù)</p><p><b>　　簡(jiǎn)化可管理性 </b></p><p>　

75、　集中管理選項(xiàng)提供統(tǒng)一管理 </p><p>　　用戶(hù)自助服務(wù)功能，可降低技術(shù)支持服務(wù)窗口的支持成本 </p><p>　　細(xì)粒度的審計(jì)和日志記錄 </p><p>　　3種不同的接入方法，允許管理員根據(jù)具體目的來(lái)設(shè)置接入權(quán)限 </p><p>　　基于角色分配管理任務(wù)</p><p><b>　　高可用性

76、</b></p><p>　　群集對(duì)部署選項(xiàng)，可為整個(gè)LAN和WAN提供高可用性</p><p>　?。?）Secure Access 4000 主要特性與優(yōu)勢(shì)如下：</p><p><b>　　增強(qiáng)的安全性 </b></p><p>　　接入權(quán)限管理特性允許執(zhí)行強(qiáng)有力的靈活驗(yàn)證和授權(quán)策略，而不需要部署其他任

77、何軟件 </p><p>　　可以根據(jù)用戶(hù)組或角色、網(wǎng)絡(luò)、設(shè)備及會(huì)話(huà)屬性來(lái)規(guī)定基于用戶(hù)身份的接入 </p><p>　　端點(diǎn)客戶(hù)端、設(shè)備、數(shù)據(jù)和服務(wù)器的分層安全性控制 </p><p>　　3種不同的安全接入方法，允許企業(yè)根據(jù)具體目的來(lái)設(shè)置接入權(quán)限 </p><p>　　基于資源的細(xì)６仁諶?/li> </p><p&

78、gt;　　細(xì)粒度的審計(jì)和日志記錄</p><p><b>　　降低總擁有成本 </b></p><p>　　不需要部署客戶(hù)端軟件或更改服務(wù)器，幾乎不需要長(zhǎng)期維護(hù) </p><p>　　安全的外聯(lián)網(wǎng)接入，無(wú)需構(gòu)建DMZ、無(wú)需加固服務(wù)器、無(wú)需復(fù)制資源、或無(wú)需增加部署來(lái)添加應(yīng)用或用戶(hù)</p><p>　　高性能、可擴(kuò)展性、可管

79、理性 </p><p>　　集中管理選項(xiàng)提供統(tǒng)一管理 </p><p>　　用戶(hù)自助服務(wù)功能，可提高用戶(hù)生產(chǎn)效率并降低管理成本 </p><p>　　基于角色分配管理任務(wù) </p><p>　　群集對(duì)部署選項(xiàng)，可為整個(gè)LAN和WAN提供高可用性</p><p>　?。?）Secure Access 6000 主要特性與

80、優(yōu)勢(shì)如下：</p><p>　　性能、可擴(kuò)展性及強(qiáng)勁的高可用性 </p><p>　　設(shè)計(jì)用于滿(mǎn)足大量用戶(hù)和復(fù)雜的應(yīng)用需求 </p><p>　　基于硬件的性能增強(qiáng)特性，可提供可擴(kuò)展性 </p><p>　　多單元群集選項(xiàng)，可為整個(gè)LAN和WAN提供高可用性 </p><p>　　無(wú)以倫比的SSL 加速芯片使得增強(qiáng)型C

81、PU的加密/解密過(guò)程更快 </p><p>　　可選冗余熱插拔硬盤(pán)，電源和風(fēng)扇</p><p><b>　　端到端安全性 </b></p><p>　　接入權(quán)限管理特性，允許執(zhí)行強(qiáng)有力的靈活驗(yàn)證和授權(quán)策略，而不需要部署其他任何軟件 </p><p>　　端點(diǎn)客戶(hù)端、設(shè)備、數(shù)據(jù)和服務(wù)器的安全性控制 </p>

82、<p>　　可以根據(jù)用戶(hù)組或角色、網(wǎng)絡(luò)、設(shè)備及會(huì)話(huà)屬性來(lái)規(guī)定基于用戶(hù)身份的接入 </p><p>　　3種不同的安全接入方法，允許企業(yè)根據(jù)具體目的來(lái)設(shè)置接入權(quán)限 </p><p>　　細(xì)粒度的審計(jì)和日志記錄</p><p>　　簡(jiǎn)化管理，降低總擁有成本 </p><p>　　集中管理選項(xiàng)提供統(tǒng)一管理 </p><

83、p>　　用戶(hù)自助服務(wù)功能，可提高用戶(hù)生產(chǎn)效率并降低管理成本 </p><p>　　安全遠(yuǎn)程接入，無(wú)需部署客戶(hù)端軟件、無(wú)需更改服務(wù)器、或幾乎不需要長(zhǎng)期維護(hù)</p><p>　　（5）Secure Access 6000 SP的主要特性與優(yōu)勢(shì)包括：</p><p>　　低總體擁有成本，高投資回報(bào) </p><p>　　無(wú)需安裝客戶(hù)端軟件，不

84、存在防火墻/NAT穿越問(wèn)題，從而降低支持成本 </p><p>　　通過(guò)外部網(wǎng)接入、災(zāi)難恢復(fù)、內(nèi)部局域網(wǎng)安全和移動(dòng)設(shè)備接入等服務(wù)獲得各種收入機(jī)會(huì) </p><p><b>　　提高客戶(hù)滿(mǎn)意度 </b></p><p>　　充分利用現(xiàn)有SP基礎(chǔ)設(shè)施，包括MPLS和IPSec網(wǎng)絡(luò)</p><p>　　虛擬化框架，全面的管理靈

85、活性 </p><p>　　靈活的選擇，讓SP能夠： </p><p>　　讓終端客戶(hù)定義其虛擬系統(tǒng)的細(xì)節(jié) </p><p>　　提供易于部署的標(biāo)準(zhǔn)配置</p><p>　　基于角色的授權(quán)，進(jìn)行集中管理，從而簡(jiǎn)化整個(gè)管理流程</p><p>　　客戶(hù)所需要的一流特性 </p><p>　　各種增

86、值接入方式，客戶(hù)可以自由選擇 </p><p><b>　　端到端的分層安全性</b></p><p>　　滿(mǎn)足服務(wù)提供商對(duì)性能、可擴(kuò)展性及高可用性的要求 </p><p><b>　　冗余、熱交換組件 </b></p><p>　　增強(qiáng)性能的特性，例如SSL加速、壓縮與集群，提供最優(yōu)的可擴(kuò)展性和可

87、用性 </p><p>　　多設(shè)備集群部署選擇，實(shí)現(xiàn)整個(gè)局域網(wǎng)和廣域網(wǎng)的高可用性</p><p>　?。?）Secure Access </p><p>　　通過(guò)推出Juniper 網(wǎng)絡(luò)公司安全接入高級(jí)特性，Juniper 網(wǎng)絡(luò)公司增強(qiáng)了在SSL VPN市場(chǎng)上的核心競(jìng)爭(zhēng)力。本包將簡(jiǎn)化你的Secure Access部署的管理、配置和維護(hù)，不管它是由提供遠(yuǎn)程和/或外部網(wǎng)

88、接入的單一設(shè)備構(gòu)成還是由遍布全球的一系列大型平臺(tái)構(gòu)成。高級(jí)特性亦包括Central Manager，一種采用基于Web的直觀(guān)用戶(hù)界面的強(qiáng)大產(chǎn)品，旨在方便Secure Access設(shè)備的配置、更新和監(jiān)控。</p><p>　　Secure Access系統(tǒng)的主要特性與優(yōu)勢(shì)包括：</p><p>　　Central Manager</p><p><b>　　

89、集群管理 </b></p><p><b>　　系統(tǒng)儀表板一瞥 </b></p><p><b>　　推動(dòng)配置 </b></p><p><b>　　可定制的日志過(guò)濾 </b></p><p><b>　　用戶(hù)自助服務(wù)</b></p>

90、;<p><b>　　密碼管理 </b></p><p>　　基于標(biāo)題和表格的Web SSO </p><p>　　單個(gè)設(shè)備多個(gè)主機(jī)名 </p><p><b>　　可定制的用戶(hù)界面 </b></p><p>　　使用布爾規(guī)則進(jìn)行管理角色的授權(quán)</p><p>

91、　　針對(duì)每個(gè)任務(wù)的讀/寫(xiě)/拒絕接入 </p><p><b>　　高級(jí)認(rèn)證</b></p><p><b>　　SAML </b></p><p>　　SiteMinder </p><p>　　SSO，用于訪(fǎng)問(wèn)管理產(chǎn)品 </p><p><b>　　高級(jí)PKI特性

92、 </b></p><p><b>　　高級(jí)角色映射與限制</b></p><p>　　布爾表達(dá)式，用于整合屬性 </p><p><b>　　更多屬性標(biāo)準(zhǔn) </b></p><p><b>　　高級(jí)資源策略</b></p><p>　　結(jié)合

93、布爾表達(dá)式的資源訪(fǎng)問(wèn) </p><p><b>　　更多屬性標(biāo)準(zhǔn) </b></p><p>　　Arry Networks</p><p>　　2.1　Arry Networks 優(yōu)勢(shì)</p><p>　　Array SPX系列SSL VPN訪(fǎng)問(wèn)網(wǎng)關(guān)不管在性能上還是在功能上都處于業(yè)界領(lǐng)先位置，它能提供低至幾個(gè)毫秒的響應(yīng)時(shí)

94、間，并能同時(shí)支持多達(dá)64000個(gè)并發(fā)用戶(hù)。</p><p>　　SPX系列設(shè)備在設(shè)計(jì)之初就針對(duì)關(guān)鍵業(yè)務(wù)應(yīng)用進(jìn)行了特別優(yōu)化，是目前業(yè)界唯一一款能夠滿(mǎn)足安全遠(yuǎn)程訪(fǎng)問(wèn)的所有關(guān)鍵需求的解決方案。在部署了SPX系列設(shè)備之后，您將擁有多層安全、強(qiáng)健的應(yīng)用和設(shè)備兼容性、即點(diǎn)即用的系統(tǒng)管理功能、最低的整體擁有成本和最佳的終極用戶(hù)使用體驗(yàn)。</p><p>　　不管是小型企業(yè)還是全球財(cái)富榜500強(qiáng)企業(yè)，SP

95、X系列設(shè)備都可以保證您的員工、合作伙伴和客戶(hù)能夠隨時(shí)隨地快速安全地訪(fǎng)問(wèn)所需要的資源，極大地提高了企業(yè)生產(chǎn)力。</p><p>　　2.2真正的企業(yè)級(jí)SSL VPN解決方案：</p><p><b>　　端到端的安全性 </b></p><p>　　優(yōu)異的性能和負(fù)載能力 </p><p><b>　　集成的加速功

96、能 </b></p><p>　　集豐富的功能于一體 </p><p>　　l細(xì)粒度的訪(fǎng)問(wèn)控制 </p><p><b>　　廣泛的兼容性 </b></p><p>　　按業(yè)務(wù)增長(zhǎng)的需要進(jìn)行付費(fèi)和投資的靈活性 </p><p>　　2.3Array VPN的成功案例</p>

97、<p>　　在Array Networks公司，始終秉承一個(gè)信念：所開(kāi)發(fā)的在技術(shù)上極具創(chuàng)新的產(chǎn)品不單要推動(dòng)技術(shù)在性能上的飛躍，同時(shí)也要為企業(yè)機(jī)構(gòu)創(chuàng)造實(shí)實(shí)在在的商業(yè)利益。</p><p>　　這就是為什么現(xiàn)在全球2000強(qiáng)企業(yè)中有超過(guò)20%的企業(yè)已經(jīng)部署了Array的產(chǎn)品，同時(shí)在全球零售、金融、醫(yī)療保健、科技和教育等領(lǐng)域的主要企業(yè)機(jī)構(gòu)中Array的產(chǎn)品也正被迅速地接受并流行開(kāi)來(lái)。下邊展示Array的S

98、SL VPN網(wǎng)關(guān)都可以幫企業(yè)做些什么：</p><p>　　Nortel（北電）網(wǎng)絡(luò)　</p><p>　　根據(jù)Infonetics的報(bào)道，北電在SSL VPN收入方面已經(jīng)“躍升至第2位”，占據(jù)SSL VPN市場(chǎng)19%的份額?！?Infonetics調(diào)查公司首席分析家Jeff Wilson表示：“SSL VPN現(xiàn)在已經(jīng)開(kāi)始步入自己的軌道，并在市場(chǎng)上產(chǎn)生了重大影響。最初，人們認(rèn)為它僅僅

99、是一種遠(yuǎn)程接入解決方案，其用途存在諸多限制，但現(xiàn)在許多廠(chǎng)商將它用于內(nèi)部安全和全公司的安全應(yīng)用訪(fǎng)問(wèn)，這就大大擴(kuò)展了其目標(biāo)市場(chǎng)的范圍?！?lt;/p><p>　　北電VPN網(wǎng)關(guān)是一種遠(yuǎn)程接入安全解決方案，可將企業(yè)應(yīng)用的范圍擴(kuò)展到遠(yuǎn)程員工、合作伙伴和客戶(hù)身邊。VPN網(wǎng)關(guān)利用廣泛部署的Web瀏覽器SSL技術(shù)的，和IPsec VPN接入功能，提供當(dāng)前市場(chǎng)上最靈活、最經(jīng)濟(jì)高效的安全遠(yuǎn)程接入解決方案。</p><

100、;p><b>　　3.1產(chǎn)品功能</b></p><p>　　集成的流量管理 VPN網(wǎng)關(guān)支持基于內(nèi)容的負(fù)載均衡，支持具有安全會(huì)話(huà)持續(xù)性和即插即用的可擴(kuò)展性的高可用性應(yīng)用架構(gòu)。</p><p>　　SSL加速器配置選項(xiàng) VPN網(wǎng)關(guān)目前包含了整套北電SSL加速器功能，可以部署作為經(jīng)濟(jì)高效的專(zhuān)用SSL卸載設(shè)備，并能根據(jù)需要靈活地激活SSL VPN功能。<

101、;/p><p>　　集成的SSL加速功能 VPN網(wǎng)關(guān)每秒最多可以管理1500次公共密鑰操作，在整個(gè)網(wǎng)關(guān)上保持應(yīng)用的高性能。而全面的密鑰和證書(shū)管理特性則能幫助簡(jiǎn)化PKI管理。</p><p>　　內(nèi)網(wǎng)端加密 在不造成服務(wù)器過(guò)載下，VPN網(wǎng)關(guān)通過(guò)在網(wǎng)關(guān)兩邊（一邊是客戶(hù)端，另一邊是應(yīng)用）支持經(jīng)過(guò)鑒權(quán)和加密的會(huì)話(huà)來(lái)保護(hù)用戶(hù)隱私和數(shù)據(jù)保密性。</p><p>　　客戶(hù)

102、端安全性 VPN網(wǎng)關(guān)可根據(jù)用戶(hù)IP地址或鑒權(quán)強(qiáng)度動(dòng)態(tài)地調(diào)整接入權(quán)限，并能自動(dòng)終止可疑會(huì)話(huà)而不會(huì)在用戶(hù)設(shè)備上留下跟蹤數(shù)據(jù)。</p><p>　　鑒權(quán) 除了LDAP、RADIUS、NTLM、Active Directory和Netegrity服務(wù)支持外，VPN網(wǎng)關(guān)還加入了本地鑒權(quán)數(shù)據(jù)庫(kù)。另外，在需要強(qiáng)有力鑒權(quán)的情況下，它可以使用數(shù)字證書(shū)或基于令牌的雙因子系統(tǒng)，對(duì)用戶(hù)進(jìn)行鑒權(quán)。</p><

103、;p>　　無(wú)客戶(hù)端/增強(qiáng)型無(wú)客戶(hù)端模式 為了確保支持最廣泛的應(yīng)用，VPN網(wǎng)關(guān)可以適應(yīng)任何特定瀏覽器的會(huì)話(huà)類(lèi)型。無(wú)客戶(hù)端模式可在網(wǎng)關(guān)上提供快速內(nèi)容轉(zhuǎn)換，而增強(qiáng)型無(wú)客戶(hù)端模式則在瀏覽器中運(yùn)行Applet，為客戶(hù)端/服務(wù)器應(yīng)用構(gòu)建VPN隧道。</p><p>　　全局VPN負(fù)載均衡  VPN網(wǎng)關(guān)解決方案可部署在分布式環(huán)境中，提供到專(zhuān)用網(wǎng)絡(luò)的多個(gè)冗余接入點(diǎn)。通過(guò)融合北電應(yīng)用交換機(jī)的全局服務(wù)器負(fù)載

104、均衡技術(shù)，用戶(hù)可以透明地重定向到最近或性能最佳的接入點(diǎn)，而不受其所處實(shí)際位置的影響。</p><p>　　精細(xì)的接入控制和審計(jì) VPN網(wǎng)關(guān)可以根據(jù)靜態(tài)列表提供接入控制。用戶(hù)經(jīng)過(guò)鑒權(quán)后，一個(gè)動(dòng)態(tài)會(huì)話(huà)Cookie會(huì)在整個(gè)會(huì)話(huà)期間保存客戶(hù)的真實(shí)身份。通過(guò)一個(gè)系統(tǒng)日志事件管理器，可以記錄所有用戶(hù)活動(dòng)，以支持詳細(xì)的審計(jì)。</p><p>　　群集 利用內(nèi)部負(fù)載平衡機(jī)制或北電應(yīng)用交換機(jī)，可

105、以群集部署多個(gè)VPN網(wǎng)關(guān)。除了提供即插即用的可擴(kuò)展性之外，應(yīng)用交換機(jī)還提供負(fù)載平衡、健康檢查和到群集內(nèi)網(wǎng)關(guān)的持久連接。</p><p>　　高級(jí)過(guò)濾 VPN網(wǎng)關(guān)可提供強(qiáng)大的應(yīng)用層過(guò)濾功能，用于屏蔽不需要的流量。您甚至可以制定策略，根據(jù)IP地址、請(qǐng)求的URL、應(yīng)用類(lèi)型或cookie信息來(lái)屏蔽經(jīng)過(guò)鑒權(quán)的用戶(hù)。這種額外的安全功能為不能掃描加密數(shù)據(jù)的防火墻和入侵檢測(cè)系統(tǒng)提供了補(bǔ)充。</p><p

106、><b>　　3.2產(chǎn)品優(yōu)勢(shì)</b></p><p>　　簡(jiǎn)單性 VPN網(wǎng)關(guān)可以無(wú)縫集成到任何網(wǎng)絡(luò)中，并能利用現(xiàn)有客戶(hù)端技術(shù)來(lái)最大限度地減少安裝、操作和支持問(wèn)題。擴(kuò)展可以通過(guò)額外網(wǎng)關(guān)的簡(jiǎn)單即插即用過(guò)程實(shí)現(xiàn)。訪(fǎng)問(wèn)安全的應(yīng)用與使用熟悉的Web瀏覽器介面登錄網(wǎng)站一樣簡(jiǎn)單。直觀(guān)的Web門(mén)戶(hù)可為遠(yuǎn)程用戶(hù)提供所需的遠(yuǎn)程接入功能和應(yīng)用訪(fǎng)問(wèn)；Web UI管理界面還增加了一個(gè)帶有配置精靈和詳細(xì)幫助屏

107、幕的。</p><p>　　廣泛的應(yīng)用支持  增強(qiáng)型無(wú)客戶(hù)端和透明操作模式可增加提供給遠(yuǎn)程用戶(hù)的應(yīng)用類(lèi)型。通過(guò)將SSL與應(yīng)用代理相結(jié)合，VPN網(wǎng)關(guān)可為企業(yè)提供到傳統(tǒng)客戶(hù)端/服務(wù)器和UDP應(yīng)用的安全遠(yuǎn)程接入。</p><p>　　高性能、可用性和可擴(kuò)展性 事實(shí)證明，VPN網(wǎng)關(guān)是速度最快的SSL VPN網(wǎng)關(guān)之一。通過(guò)在后端服務(wù)器間共享請(qǐng)求，集成的智能流量管理功能可提高應(yīng)用

108、性能。利用內(nèi)在的群集功能或北電應(yīng)用交換機(jī)的高級(jí)群集管理功能，可以通過(guò)一個(gè)簡(jiǎn)單的即插即用流程擴(kuò)展容量。</p><p>　　無(wú)限制的移動(dòng)性  VPN網(wǎng)關(guān)為移動(dòng)工作者提供了與其公司保持聯(lián)系的更多機(jī)會(huì)，從而提高與員工和客戶(hù)進(jìn)行通信的頻率。同樣，合作伙伴的接入不再局限于特定的PC，因而簡(jiǎn)化了B2B流程集成。</p><p>　　更低的總投資成本 VPN網(wǎng)關(guān)通過(guò)現(xiàn)有的網(wǎng)絡(luò)瀏覽器

109、和互聯(lián)網(wǎng)連接提供一種簡(jiǎn)單的遠(yuǎn)程接入解決方案，并且沒(méi)有安裝、支持和維護(hù)客戶(hù)端軟件的操作開(kāi)銷(xiāo)。此外，VPN網(wǎng)關(guān)還可以配置用于支持IPsec遠(yuǎn)程用戶(hù)，而無(wú)需增加硬件投資。</p><p>　　4、F5 Networks</p><p><b>　　4.1功能實(shí)現(xiàn)</b></p><p>　　Web 應(yīng)用 　　☆ 支持像在公司局域網(wǎng)里那樣輕松訪(fǎng)問(wèn)內(nèi)部

110、 Web 服務(wù)器，包括 Microsoft Outlook Web Access、Lotus iNotes 和 MS SharePoint Portal。　　☆ 提供按群組對(duì)內(nèi)聯(lián)網(wǎng)資源的精細(xì)訪(fǎng)問(wèn)控制。例如，員工可對(duì)整個(gè)內(nèi)聯(lián)網(wǎng)站點(diǎn)訪(fǎng)問(wèn)，而合作伙伴只能訪(fǎng)問(wèn)有限的特定 Web 主機(jī)?！　　?訪(fǎng)問(wèn)資源時(shí)，F(xiàn)irePass 可動(dòng)態(tài)將內(nèi)部 URL 映射到外部 URL，因此不會(huì)暴露內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)?！　　?管理員可在 FirePass 控制器上管理

111、用戶(hù) cookie，以避免暴露敏感信息?！　　?能夠?qū)⒂脩?hù)證書(shū)發(fā)送給 web 主機(jī)，以支持自動(dòng)登錄以及其他用戶(hù)對(duì)應(yīng)用的特定訪(fǎng)問(wèn)。FirePass 也可與現(xiàn)有身份管理服務(wù)器（如 Netegrity）集成，實(shí)現(xiàn)應(yīng)用的單點(diǎn)登錄?！　　?FirePass 可代理來(lái)自 web 主機(jī)的登錄請(qǐng)求，以避免用戶(hù)將密碼緩存在客戶(hù)端瀏覽器上?！　　?精細(xì)的訪(fǎng)問(wèn)控制列表 (ACL)――允許或限制對(duì)應(yīng)用特定部分的訪(fǎng)問(wèn)，增加了安全性并降低了業(yè)務(wù)風(fēng)險(xiǎn)?！　　?/p>

112、 為 web 應(yīng)用提供隧道分割支持，提高最終用戶(hù)對(duì)公共網(wǎng)絡(luò)站</p><p>　　文件服務(wù)器訪(fǎng)問(wèn)　　☆ 允許用戶(hù)瀏覽、上傳、下載、復(fù)制、移動(dòng)或刪除共享目錄下的文件。 　　☆ 支持 SMB 共享、Windows 工作組；NT 4.0 和 Win2000 域；帶有本地文件系統(tǒng)包的 Novell 5.1/6.0，以及 NFS 服務(wù)器。</p><p>　　電子郵件訪(fǎng)問(wèn)　　☆ 提供從標(biāo)準(zhǔn)和移

113、動(dòng)設(shè)備瀏覽器到 POP/IMAP/SMTP 電子郵件服務(wù)器的 基于 Web 的安全訪(fǎng)問(wèn)能力。　　☆ 允許用戶(hù)發(fā)送和接收消息、下載附件以及將網(wǎng)絡(luò)文件粘貼到電子郵件上。</p><p>　　移動(dòng)設(shè)備支持　　☆ 可通過(guò) PDA（如Palm OS）和蜂窩電話(huà)（如 WAP 和 iMode 手機(jī)）安全訪(fǎng)問(wèn)電子郵件和其它應(yīng)用?！　　?系統(tǒng)必須能夠動(dòng)態(tài)地對(duì)來(lái)自 POP/IMAP/SMTP 電子郵件服務(wù)器的電子郵件進(jìn)行格式調(diào)