遠程安全接入解決方案

美國新安捷有限公司 XXX遠程安全接入 解決方案 美國新安捷（ NeoAccel） SSL VPN-Plus 網(wǎng)關 美國新安捷有限公司 目 錄 一. 前言 .3 二企業(yè)遠程安全接入需求 .4 2.1 遠程訪問現(xiàn)狀 .4 2.2 企業(yè)遠程接入常見方式 .5 2.2.1 第一代 VPN .5 2.2.2 第二代 VPN .7 2.2.3 第三代 VPN SSL VPN-Plus .8 三遠程安全接入方案設計總則 .9 3.1 遠程安全接入設計原則 .9 3.1.1 安全性和高可用性 .9 3.1.2 技術先進性、實用性原則 .9 3.1.3 可管理性原則 .9 3.1.4 規(guī)模可擴充性原則 . 10 3.2 遠程安全接入設計理念 . 10 3.3 遠程安全接入設計目標 . 11 四 XXX的遠程安全接入需求分析 . 12 4.1 企業(yè) 背景 . 12 4.2 XXX 目前網(wǎng)絡及應用狀況 . 12 4.3 XXX 遠程安全接入面臨的問題 . 12 4.4 XXX 遠程安全接入的需求 . 13 五 XXX 遠程安全接入解決方案 . 15 5.1 SSL VPN 網(wǎng)關部署 . 15 5.2 方案簡介 . 16 5.3 全應用支持 . 17 5.3.1 基于 WEB的應用支持 . 17 5.3.2 瘦應用支持 . 17 5.3.3 Windows 文件共享支持 . 18 5.3.4 WEB訪問支持 . 19 5.3.5 全權限訪問支持 . 19 5.4 企業(yè)應用支持舉例 . 20 5.4.1 SGX 對企業(yè) ERP 系統(tǒng)的支持 . 20 5.4.2 SGX 對企業(yè) OA系統(tǒng)的支持 . 22 六 . 新安捷 SGX 系列的優(yōu)勢及特點 . 26 6.1 專利技術 . 26 6.2 新安捷 SSL VPN Plus 的功能特點 . 26 七 . SSL VPN-Plus 安全接入對企業(yè)的益處 . 30 7.1 提高了信息安全 . 30 7.2 靈活的用戶管理和訪問控制 . 31 7.3 實施方便，配置簡單 . 31 7.4 降低管理和維 護成本 . 32 7.5 高度的擴展性和靈活性 . 32 八 NeoAccel 廠家技術支持和售后服務體系 . 33 附錄：公司簡介 . 35 美國新安捷有限公司 一. 前言 目前，隨著企業(yè)信息化處理不斷地深入，企業(yè)資源管理的復雜度也在不斷增加。一方面是一線人員渴望快速得到資源，另一方面則是企業(yè)出于安全和保密的考慮，無 力 開放足夠的資源，兩者的矛盾在一定程度上已經(jīng)影響了企業(yè)快速發(fā)展 。 隨著移動通訊技術的進步和商務模式的發(fā)展，選擇遠程辦公 和 移動辦公的人越來越多。 使用 這種方式，企業(yè)能夠大幅降低運營成本，增加員工辦公的靈活度和效率，繼而提升企業(yè)的運作效率，增加企業(yè)收益。 另外 對于企業(yè)信息化系統(tǒng)的安全 問題，大多數(shù)企業(yè)考慮最多的還是 攻擊和 病毒，認為 他們 對企業(yè)的 ERP 和 OA 系統(tǒng)響最大，所以大部分的財力人力都投向了防病毒 防攻擊系統(tǒng) 。 當然這是對的 ， 但這還遠遠不夠， 這是因為仍然 會有很多心懷叵測的人或者組織（尤其 是 競爭對手） 會繞過 病毒 或攻擊的防護， 對企業(yè) 進行 數(shù)據(jù)竊密 或 對 破壞 企業(yè)的核心數(shù)據(jù) 等操作，這都會給企業(yè) 造成不可彌補的損失 。 目前在全球，商業(yè)間諜引起的商業(yè)竊密現(xiàn)象屢見不鮮。 所以我們不但需要對傳輸?shù)骄W(wǎng)上的數(shù)據(jù)進行加密，還要對用網(wǎng)的終端進行嚴格的身份識別和權限區(qū)分， SSL VPN 就是這樣的設備，不僅具有多種認證方式 ，還能夠準確分權。 作為一項 新近 發(fā)展起來的新技術，由于 SSL VPN 無須安裝客戶端的便捷性和 由 此 帶來的 大幅降低的實施管理成本，在國內(nèi)外得到了迅速的應用和發(fā)展。 但是， 傳統(tǒng) SSL VPN 產(chǎn)品的 致命之處在其性能較差，這是 SSL 協(xié)議先天的不足，這就會使用戶在方便安全低成本和較差的性能這兩者之間進行痛苦的選擇。 新安捷的 SSL VPN-Plus 是第三代 VPN，也是業(yè)界響應速度最快的遠程安全接入設備。重新構建的 SSL 架構、單隧道體系以及透明傳輸、智能壓縮等專利和創(chuàng)新技術的加入，使新安捷的 SSL VPN-Plus 擁有超強 的性能，從而突破了傳統(tǒng) VPN 性能的瓶頸，實現(xiàn)了加密數(shù)據(jù)的快速轉發(fā)。 美國新安捷有限公司 二 企業(yè) 遠程 安全接入 需求 2.1 遠程訪問現(xiàn)狀 隨著 企業(yè) 的發(fā)展壯大，分支機構的設立、移動辦公人員的增加，使得企業(yè)必須開放更多的內(nèi)網(wǎng)資源來滿足日常辦公的需要。遠程接入的方式是多種多樣的，但總結下來不外乎以下三種方式： 通過 Internet 公網(wǎng)訪問、通過專網(wǎng)訪問、通過撥號專線訪問 。我們逐一 對其數(shù)據(jù) 安全性 進行分析 ： 通過 Internet 訪問 這種訪問方式的安全性是這三種中最 差 的但也是大多數(shù)企業(yè)采用的方式。 因特網(wǎng)的共享性和開放性使網(wǎng)上信息安全存 在先天不足，因為其 依賴 的 TCP/IP 協(xié)議，缺乏相應的安全機制，而且因特網(wǎng)最初的設計考慮是該網(wǎng)不會因局部故障而影響信息的傳輸，基本沒有考慮安全問題，因此它在安全可靠、服務質量、帶寬和方便性等方面存在著不適應性。 此外，隨著軟件系統(tǒng)規(guī)模的不斷增大，系統(tǒng)中的安全漏洞或 “ 后門 ” 也不可避免的存在 并增加著 。 安全隱患 也 日益突出 ， 病毒、黑客幾乎每天都在困撓著互聯(lián)網(wǎng)的用戶。 通過專網(wǎng)訪問 這種訪問方式的 安全性得到了一定的提升。 但是 拉專線 的費用是比較昂貴的， 只適用于固定辦公場所，不能保證客戶端隨時隨地地 訪問。 另外 ，專網(wǎng)方式 不能 為 用戶 提供 網(wǎng)絡接入層面訪問的認證和授權，只能通過業(yè)務系統(tǒng)內(nèi)部 自帶地程序來完成 ，這樣業(yè)務主機就會暴露在能使用專網(wǎng)的所有人面前。 還有一點至關重要，專網(wǎng)方式一般沒有加密過程，所有數(shù)據(jù)，尤其是關鍵數(shù)據(jù)都是走明文的，這也降低了安全性。 通過撥號專線訪問 這 種方式 需要在企業(yè)機房內(nèi)架設撥號接入服務器。 美國新安捷有限公司 這種方式可以保證員工 在任何地方都能訪問 內(nèi)網(wǎng) ，即使出差和在家都能登陸。但它容量有限 ，當很多用戶同時訪問時 會經(jīng)常發(fā)生連接不上的情況 。 撥號專線方式 受 帶寬 限制厲害，不能享受到寬帶帶 給我們的好處。 另外 在認證 、授權以及加密方面 ， 它 同樣存在 著和專線接入一 樣的安全缺陷。 2.2 企業(yè) 遠程接入常見方式 由于 公共線路的不安全性，以及 VPN（虛擬專網(wǎng)）比租用專線更加便宜、靈活， 致使現(xiàn)在 有越來越多的公司采用 VPN 進行遠程接入，替代 連接 SOHO 和出差在外的員工 以及 分公司和合作伙伴的廣域網(wǎng)。 VPN 是 在互聯(lián)網(wǎng) 上建立加密隧道 ，通過 “ 隧道 ” 協(xié)議，在 數(shù)據(jù) 發(fā) 送 端加密 ， 在 接 收端解密， 從而 保證數(shù)據(jù)的私密性。 2.2.1 第一代 VPN 第一代 VPN 采用的是 IPSec 協(xié)議，其典型部署是在 Site-to-Site 端點到端點的網(wǎng)絡環(huán)境中。 IPSec 是網(wǎng)絡層的 VPN 技術，它獨立于應用程序，以自己的封包封裝原始 IP 信息，因此可隱藏所有應用協(xié)議的內(nèi)容，一旦 IPSec 建立加密隧道后，就可以實現(xiàn)各種類型的連接。 IPSec 以其相對較高的吞吐量以及安全性，被很多企業(yè)所接受。 但是 ，部署 IPSec 需要對 網(wǎng)絡 基礎設施進行重大改造， 花費的人力物力甚巨，同時IPSec VPN 在解決遠程安全訪問時有幾個比較大的缺點 : 安全性低 雖然數(shù)據(jù)在傳輸過程中是加密的，但是 IPSecVPN 對于終端安全檢查卻是零，這一點相信企業(yè)的網(wǎng)絡管理者深有感觸，其表現(xiàn)為： 第一、 IPSec 的用戶驗證方式單一并 且簡單，它無法明確區(qū)分使用該終端的人是否是可 授權的指定用戶，管理員無法準確知曉究竟是誰在利用 VPN 使用內(nèi)網(wǎng)資源； 第二、 IPSec 無法對終端設備軟件系統(tǒng)的安全性 做 出評估，無法檢查終端用戶的應用環(huán)境，斷開 VPN 連接后，所有曾經(jīng)訪問過的 cookie、 URL 等均保留在終端，增加了不安全因素； 美國新安捷有限公司 第三、 IPSec VPN 隧道一旦建立，用戶的 PC 機就像在公司局域網(wǎng)內(nèi)部一樣 ， 用戶能夠直接訪問公司全部的應用 ， 由此會大大增加風險 ； 第四、 VPN 登陸之后的所有操作都是直接作用在被訪問資源上的，由于缺乏必要的終端檢查，致使 內(nèi)網(wǎng)資源受損的幾率很高； 第 五 、 IPSec 針對用戶或用戶組的授權訪問，實現(xiàn)起來非常困難，無法根據(jù)用戶性質進行分權，這是管理員很頭疼的問題，無法實現(xiàn)分權就只能有限地開放網(wǎng)絡資源，網(wǎng)絡不能有效地用于生產(chǎn)生活。 可靠性低 IPSec 最適合的環(huán)境是固定辦公區(qū)域，移動辦公用戶 需要安裝客戶端軟件才能建立加密隧道，但并非所有客戶端 環(huán)境 均支持 IPSec VPN 的客戶端程序。終端用戶可能需要做出類似 重新安裝 系統(tǒng)那樣復雜的操作，才能使用； IPSec VPN 的連接性還會受到網(wǎng)絡地址轉換（ NAT）或網(wǎng)關代理設備（ proxy）的影響，終端用戶如果身處外部網(wǎng)絡，想使用 IPSec VPN 連接，如何穿透防火墻將是一大難題，不適合用作移動用戶，如家庭、網(wǎng)吧，賓館等上網(wǎng)用戶； 投資費用高 從投資的角度看 IPsec VPN。 要真正建立 IPSec VPN，單單有 VPN 硬件設備和 客戶端軟件是很不夠的。如果沒有防火墻和其他的安全軟件，客戶端機器非常容易成為黑客攻擊的目標。這些客戶端很容易被黑客利用，他們會通過 VPN 訪問企業(yè)內(nèi)部系統(tǒng)。 這種黑客行為越來越普遍，而且后果也越來越嚴重。例如，如果 員工 從家里的計算機通過公司 VPN 訪問企業(yè)資源，在他創(chuàng)建 隧道前后，他十幾歲的孩子在這臺電腦上下載了一個感染了病毒的游戲，那么，病毒就很有可能經(jīng)過 VPN 在企業(yè)局域網(wǎng)內(nèi)傳播。另外，如果黑客侵入了這臺沒有保護的 PC，他就獲得了經(jīng)過 IPSec VPN 隧道訪問公司局域網(wǎng)的能力。因此，在建設 IPSec VPN 時，必須購買適當?shù)陌踩浖?，這個軟件的成本必須考慮進去 也是很高的 。 維護費用高 美國新安捷有限公司 IPSec VPN 最大的難點在于客戶端需要安裝復雜的軟件， 需要經(jīng)過培訓才能夠掌握。 而且當用戶的 VPN 策略稍微有所改變時， 其 管理難度將呈幾何級數(shù)增長。 客戶端 軟件 的維護 帶來了人力開銷，而 這是 許多 公司希望能夠避免 的。 部署 IPSec VPN 之后，另外一些 安全問題也 會 暴露出來，這些問題主要與建立 了 開放式網(wǎng)絡連接有關。除此以外，除非已經(jīng)在每一臺計算機上安裝了管理軟件，軟件補丁的發(fā)布和遠程電腦的配置升級將是一件十分令人頭疼的任務。 2.2.2 第二代 VPN 第二代 VPN 采用 的是 SSL 協(xié)議，與 IPSec VPN 相比， SSL VPN 具有如下優(yōu)點： SSL VPN 的 客 戶 端 程 序 ， 如 Microsoft Internet Explorer 、 Netscape Communicator、 Mozilla 等已經(jīng)預裝在了終 端設備中，因此不需要再次安裝； SSL VPN 可在 NAT 代理裝置上以透明模式工作； SSL VPN 不會受到安裝在客戶端與服務器之間的防火墻 等 NAT 設備 的影響 ，穿透能力強； SSL VPN 將遠程安全接入延伸到 IPSec VPN 擴展不到的地方，使更多的員工，在更多的地方，使用更多的設備，安全訪問 到更多的 企業(yè)網(wǎng)絡資源，同時降低了部署和支持費用 ； 客戶端安全檢查和授權訪問等操作，實現(xiàn)起來更加方便。 SSL VPN 可以在任何地點，利用任何設備，連接到相應的網(wǎng)絡資源上。IPSec VPN 通常不能支持復雜的網(wǎng)絡 ，這是因為它們需要克服 穿透 防火墻、 IP 地址沖突等困難。 所以 IPSec VPN 實際上只適用于易于管理的或者位置固定的 地方 。 可以說從功能上講， SSL VPN 是企業(yè)遠程安全接入的最佳選擇。 但是雖然 SSL VPN 具有以上眾多的優(yōu)點，卻由于 SSL 協(xié)議本身的局限性，使得性能遠低于使用 IPSec 協(xié)議的設備。用戶往往需要在簡便使用與性能之間進行痛苦選擇。這也是第二代 VPN 始終無法取代第一代 VPN 的原因。 美國新安捷有限公司 2.2.3 第三代 VPN SSL VPN-Plus 為了從根本上解決 SSL VPN 性能瓶頸，以新安捷（ NeoAccel,INC）為代表的專業(yè)安全接入廠商，憑借強大的研發(fā)實力，經(jīng)過刻苦的攻關，終于研制出了新一代 SSL VPN 構架 SSL VPN-Plus。 SSL VPN-Plus 的創(chuàng)新技術之處是重新構建了 SSL 協(xié)議模型，使用單隧道方式處理加密數(shù)據(jù)包，從根本上解決了由于雙 TCP 疊加帶來的性能瓶頸，突破了傳統(tǒng) SSL VPN 設備的局限性，降低響應時間，提高設備性能。 SSL VPN-Plus 的整理性能可以達到并超過 IPSec VPN，同時還能夠提供 SSL VPN 便捷的使用和管理、低廉的投資和維護成本，提高用戶的體驗。 美國新安捷有限公司 三遠程安全接入方案設計總則 3.1 遠程安全接入設計原則 3.1.1 安全性和高可用性 VPN 直接構建在公用網(wǎng)上，實現(xiàn)簡單、方便、靈活，但同時其安全問題也更為突出。企業(yè)必需要確保其 VPN 上傳送的數(shù)據(jù)不被攻擊者窺視和篡改，并且要防止非法用戶對網(wǎng)絡資源或私有信息的訪問。 VPN 將企業(yè)網(wǎng)擴展到合作伙伴和客戶，對安全性提出了更高的要求。 遠程安全接入安全性包含以下特征： 數(shù)據(jù)加密：在安全性要求高的場合應用數(shù)據(jù)加密則進一步保護了數(shù)據(jù)的私有性，使數(shù)據(jù)在網(wǎng)上傳送而不 被非法窺視與篡改。 數(shù)據(jù)驗證：在不安全的網(wǎng)絡上，特別是構建遠程安全接入的公用網(wǎng)上，數(shù)據(jù)包有可能被非法截獲，篡改后重新發(fā)送，接收方將會接收到錯誤的數(shù)據(jù)。數(shù)據(jù)驗證使接收方可識別這種篡改，保證了數(shù)據(jù)的完整性。 用戶驗證：遠程安全接入可使合法用戶訪問他們所需的企業(yè)資源，同時還要禁止未授權用戶的非法訪問。通過 AAA 可以提供用戶驗證、訪問級別以及必要的訪問記錄等功能。這一點對于遠程安全接入具有尤為重要的意義。 高可用性：在遠程安全接入中，要防止出現(xiàn)單點故障，確保一臺設備發(fā)生故障時，能夠保證應用的正常訪問。 3.1.2 技術先進性、實用性原則 遠程安全接入不僅要求能充分利用現(xiàn)有的網(wǎng)絡資源，而且要滿足未來發(fā)展的需要。這就要求規(guī)劃設計必須考慮到技術的可行性和先進性，同時要考慮到前瞻性。在安全接入產(chǎn)品的選擇上，需要權衡現(xiàn)有需求和未來發(fā)展需要之間、現(xiàn)有技術的可獲得性和未來技術發(fā)展方向之間的矛盾。遠程安全接入設計在滿足以上要求的同時還必須做到經(jīng)濟實用，以節(jié)約投資，必須以有限的投資獲得較高的性能，即系統(tǒng)應該具有較高的性能價格比。 3.1.3 可管理性原則 系統(tǒng)的管理維護是一項繁重的工作，代價也極高?？梢哉f，一個系統(tǒng)的 易維護性決定了該系統(tǒng)的壽命，也決定了該系統(tǒng)的實際運行成本，同時，如果一個系統(tǒng)容 美國新安捷有限公司 易維護，則發(fā)生錯誤的概率就會大大降低。系統(tǒng)的管理易維護性體現(xiàn)在軟硬件兩個方面。硬件易維護性主要指安裝、升級簡單方便，后備配件充足。軟件易維護性主要指體系結構清楚，易理解，同時，管理界面友好，易操作。 3.1.4 規(guī)模可擴充性原則 易擴展性是業(yè)務發(fā)展的需要。隨著企業(yè)用戶的不斷增加，業(yè)務的不斷擴展，應用規(guī)模也迅速膨脹。為了保護現(xiàn)有投資，也為了滿足用戶的需要，提供優(yōu)質服務，必須保證組建的系統(tǒng)很容易擴展。在業(yè)務數(shù)量劇增的情況下依然能夠 提供優(yōu)質服務，這就要求我們的系統(tǒng)具有良好的可擴展性 3.2 遠程安全接入設計理念 遠程安全接入設計必須架構在科學的體系和框架之上，因為框架是方案設計和分析的基礎。為了系統(tǒng)、科學地分析遠程安全接入涉及的各種問題，行業(yè)里的專家們提出了遠程安全接入的整體設計理念模型，遠程安全接入模型示意圖如下： 在此體系模型中，完整地將遠程安全接入的全部內(nèi)容進行了科學和系統(tǒng)的歸納，詳盡地描述了遠程安全接入所使用的技術、服務的對象和涉及的范圍。 美國新安捷有限公司 3.3 遠程安全接入設計目標 確保為用戶提供高安全性、高可用性、高性能、易管 理的解決方案。 美國新安捷有限公司 四 XXX的 遠程 安全接入 需求分析 4.1 企業(yè) 背景 （ 根據(jù)具體項目自己寫 ） 某企業(yè)有 18 個分支機構單位，需要與總部進行遠程接入訪問，數(shù)據(jù)量大約為 1M 左右，每個分支機構單位只需一臺電腦訪問總部網(wǎng)絡即可。 4.2 XXX 目前網(wǎng)絡及應用狀況 現(xiàn)階段 XXX 的網(wǎng)絡情況如下圖： 所有的應用和數(shù)據(jù)放置在公司總部，上海和昆山通過網(wǎng)通的 2 兆 DDN 專線連入公司總部， SOHO 和移動辦公人員直接訪問被映射到公網(wǎng)的公司資源。 在總部的應用 系統(tǒng)很多，包括： 文件共享、 DRP、 SAP、 OA、 Notes、 WEB 等等。應用有基于 B/S 和 C/S 架構。 4.3 XXX 遠程安全接入面臨的問題 根據(jù)對 XXX 目前的網(wǎng)絡及應用分析，我們認為存在以下幾個問題及隱患： 美國新安捷有限公司 安全性低 DRP 系統(tǒng)被直接開放公網(wǎng)地址和端口，很容易被黑客或不懷好意的人入侵，DRP 系統(tǒng)的資料容易丟失。而且也容易感染病毒，造成系統(tǒng)宕機，使客戶沒辦法訪問 DRP 系統(tǒng)。 用戶和內(nèi)部服務器直接的交互，數(shù)據(jù)的發(fā)送都是明文的。 對訪問內(nèi)部資源缺少用戶身份認證和授權機制。 對用戶及其訪問的 內(nèi)容沒有審計； 沒有對客戶端的機器安全進行檢查及實施相應策略 的機制 ， 使 病毒等有害 程序輕易進入內(nèi)網(wǎng)； 可用 性 差 由于 XXX 的許多應用是基于 C/S 架構， 這些應用都有自己的一些特殊端口，這些端口 在賓館 、 機場 等許多地方被封掉，那么移動辦公的人員將不能訪問公司的一些應用。 4.4 XXX 遠程安全接入的需求 根據(jù)遠程安全接入的設計原則，結合 XXX 公司的實際情況， XXX 遠程安全接入完成后應達到如下效果： 較高的 安全性 安全對企業(yè)的生存和發(fā)展至關重要，如果因為客戶端的不安全因素導致總部服務器群 經(jīng)常出現(xiàn)狀況的話，對企業(yè)自身的運作和生產(chǎn)是十分不利的。所以新的設備在安全性上應該具備以下特征： 必須支持多種用戶認證方式 ，可以與現(xiàn)有網(wǎng)絡內(nèi)的認證設備兼容 ； 必須具備終端安全檢查?？梢詸z查終端系統(tǒng)類型、補丁版本、是否安裝有殺毒軟件、防垃圾郵件等或者檢查特定位置的文件是否存在。通過這些檢測來分配用戶區(qū)域以及授權訪問； 美國新安捷有限公司 終端檢查不僅要針對 WAN 使用 VPN 的用戶，還需要針對 LAN 內(nèi)部互相訪問的終端設備； 必須能清晰并輕松地對用戶進行分權管理，不同等級的用戶有不同的訪問權限和資源 ； 必須在終端斷開 VPN 連接后，對終端 所保存的信息進行清理，甚至能夠卸載客戶端軟件； 優(yōu)良的 性能 和響應 接口 設備的性能是 企業(yè) 需要考慮的重要因素，因為這直接影響到企業(yè) 資源的運作能力和未來的發(fā)展 。新設備本身需要有較大吞吐，同時還應該具有獨特的數(shù)據(jù)包處理技術，在寬帶網(wǎng)、窄帶網(wǎng)以及在損耗較嚴重、丟包率較高的網(wǎng)絡環(huán)境里，均能夠實現(xiàn) 數(shù)據(jù)包的 快速傳輸。 支持網(wǎng)內(nèi)全部 應用 遠程安全接入設備 必須 能夠 支持所有類型的應用， 對 網(wǎng)內(nèi) 目前運 行 的 應用支持加密訪問，并且設置權限，使不同類型的用戶，訪問不同類型的資源。并且對事件進行記錄。 簡捷的 安 裝 部署 不需或最少量的對現(xiàn)有的網(wǎng)絡拓撲進行修改； 利用現(xiàn)有的認證系統(tǒng)； 無需對任何客戶端進行 安裝 及管理 ； 網(wǎng)關的管理要簡單。 美國新安捷有限公司 五 XXX 遠程安全接入 解決方案 5.1 SSL VPN 網(wǎng)關部署 通過對 XXX 公司的需求分析，我們建議采用 NeoAccel SGX 產(chǎn)品解決遠程安全接入的需求。（部署如下圖）兩臺 NeoAccel SGX 做 HA， 安全、高效地把需要訪問內(nèi)部資源的用戶接入。 SGX SSL VPN 網(wǎng)關 單臂 連接核心交換機 。 企業(yè)需要賦予 SGX IP 地址或域名做為入網(wǎng) 門戶。所有 VPN 用戶必須登陸此門戶站點才能訪問 內(nèi)部服務器組 ，同時每個用戶必須有有效的帳號、口令并享有訪問 SSL VPN 各種資源的相應權限。 SGX 門戶的 IP 地址可以是公網(wǎng)地址，也可以是防火墻等設備 NAT 后的私網(wǎng)地址，此時， NAT 設備只需要開放 TCP 443 端口并映射門戶地址為公網(wǎng)地址 。 美國新安捷有限公司 5.2 方案簡介 如上圖 所示，企業(yè)內(nèi)部的資源是多種多樣的，同時針對不同的組織和群組，其開放的權限也是不同的。 通過部署新安捷的 SSL VPN-Plus，操作人員無論是在分公司、合作伙伴辦公地點，還是員工在家、酒 店，以及供貨商等在任何地方都可以遠程進行安全的業(yè)務操作和系統(tǒng)維護操作，而不必擔心非授權人員的非法訪問。在登陸以及通信過程中， SSL VPN-Plus 還能夠不斷地對客戶端的安全做評估，隨時切斷可疑主機，防止黑客、病毒以及間諜程序的侵入。 美國新安捷有限公司 5.3 全應用支持 5.3.1 基于 WEB 的應用支持 企業(yè)的大部分內(nèi)網(wǎng)資源，可以以 WEB 瀏覽器形式對外開放。在不用安裝任何客戶端軟件的情況下， SGX 支持所有基于 WEB的應用，如公司內(nèi)網(wǎng)主頁、 Web Outlook 等： 5.3.2 瘦應用支持 目前在無客戶端情況下， SGX 支持四種瘦應用，分別為： Telnet、 SSH、 VNC 和RDP。企業(yè)可以根據(jù)用戶性質，開放內(nèi)部不同主機的命令權限。 美國新安捷有限公司 5.3.3 Windows 文件共享支持 在企業(yè)日常的運作中，會經(jīng)常有文件或主機共享的需求， SGX 的文件共享功能可以完全滿足這方面需要，安全開放內(nèi)網(wǎng)主機的文件夾或主機本身，供遠程用戶訪問。該功能也不需要安裝客戶端程序。 美國新安捷有限公司 5.3.4 WEB 訪問支持 有些單位出于訪問安全以及審計方面的考慮，會要求所有分支機構的 Internet 訪問，必須通過公司總部，使用 SSL 加密 方式。 SGX 不用安裝客戶端程序，即可實現(xiàn)此需求。遠程用戶必須登陸門戶站點，使用頁面提供的地址欄進行網(wǎng)頁訪問操作。 5.3.5 全權限訪問支持 企業(yè)中肯定會有一些特殊用戶，比如網(wǎng)絡管理員、公司領導等，他們需要的權限很大，需要自己在遠程訪問時也能夠像在內(nèi)網(wǎng)一樣順暢操作。這樣的需求， SGX 能夠提供兩種實現(xiàn)方式： QAT 和 PHAT。 QAT 方式不需要下載安裝客戶端程序，只需主機支持 Java，使用這種方式可以使用內(nèi)網(wǎng)所有基于 TCP 協(xié)議的應用，適用于需要操作更簡便的員工、不希望在主機上安裝多余程序的人員或合作單位。 PHAT 方式需要安裝客戶端，安裝過程簡單且快速，用戶端不需要做任何設置，只需要按照提示點擊安裝即可。這種方式登陸的主機會得到內(nèi)網(wǎng) IP 地址，所有操作就像在內(nèi)網(wǎng)一樣順暢。 美國新安捷有限公司 5.4 企業(yè)應用支持舉例 5.4.1 SGX 對企業(yè) ERP 系統(tǒng)的支持 為了 能夠快速 發(fā)展壯大 ，已經(jīng)有越來越多的企業(yè)開始部署 ERP 系統(tǒng) 。早期的 ERP 系統(tǒng) 是以 Client/Server 方式為基礎的， 但隨著 Web 標準平臺 的普及 ， 多數(shù) 企業(yè) 已 開始將 ERP 系統(tǒng) 移植到 Web 上 ，而采用 SSL VPN 設備來 實現(xiàn) Web 應用 的 遠程安全訪問 ，則是 最佳手段 。 對于不采用 WEB 平臺的 ERP 系統(tǒng)（ 如采用 ERP 專用 客戶端 C/S 結構 ） ， SGX產(chǎn)品 可以使用 QAT 或 PHAT 訪問模式 來滿足這些 C/S 結構的 ERP應用。 SGX 部署方式如下圖： 美國新安捷有限公司 采用 SSL VPN-Plus 的第一項好處就是降低成本 ，包括初期投資和日后的維護成本。 部署 SSL VPN-Plus 很 簡便，基本不需要改變現(xiàn)有拓撲結構 。 由于可以不使用客戶端即可以訪問企業(yè)資源， 使用者基本上 不需要 IT 部門的支持 ，同時企業(yè) 只 需 要管理一種設備 即可 ，不必維護、升級 或 配置客戶 端 軟件。 SGX 更容易滿足 大多數(shù)員工對移動連接的需求 。用戶通過因特網(wǎng) 與 任務設備實現(xiàn)連接， 只需 借助 瀏覽器或客戶端程序提供的 SSL 隧道 即可 獲得 企業(yè)內(nèi)部資源的 安全訪問 ，即使該員工身在外地，使用一臺危險系數(shù)較高的主機。 SGX 性能更高。 SGX 目前是業(yè)界 SSL 加密包轉發(fā)速度最快的 VPN 設備，這主要得益于其多項創(chuàng)新的專利技術的應用，這種第三代 VPN 的所有型號設備中都集成了這些技術，可以滿足企業(yè)不同網(wǎng)絡環(huán)境的需求。 SGX 更安全。 ERP系統(tǒng) 一般 都 采用集中式 部署 結構 ： 數(shù)據(jù)庫服務器和應用服務器被安置在計算中心局域網(wǎng)內(nèi)的核心網(wǎng)段上。所有外地用戶（包括外 地局域網(wǎng)用戶和遠程訪問用戶）都必須通過防火墻的過濾才能夠訪問核心網(wǎng)絡及其上的 ERP 系統(tǒng)。 我們可以看到， ERP 系統(tǒng)的安全主要依靠防火墻來實現(xiàn) 。 但 這 對于 ERP 系統(tǒng)的安全 是 遠 遠 不能滿足 的 ， 例如 防 止 病毒入侵 、 數(shù)據(jù)的加密 、 用戶的認證和 分 權 、緩存清除 等 。 美國新安捷有限公司 對于數(shù)據(jù)的加密，如果不使用 VPN 技術，企業(yè)通常會借助 ERP 系統(tǒng) 本身的 軟件加密，但軟件加密會消耗大量用戶服務器的資源， 直接 影響 到 ERP 系統(tǒng)的響應速度。 用戶的認證和授權，對于 ERP 系統(tǒng)本身來說，實現(xiàn)起來很不容易。 ERP 系統(tǒng)一般也會有自己的基于對象權限和用戶角色概念的 授權機制，但是 它 的授權機制是在應用層 做 的，不能在網(wǎng)絡層對接入用戶 做 授權 。一旦 黑客攻入系統(tǒng)主機，仍有可能對系統(tǒng)進行破壞，或者竊取數(shù)據(jù)。 SGX 對 ERP 三種接入方式的支持： 對于 B/S 架 構的 ERP 系統(tǒng) ，使 用 SGX 的 WAT 訪問模式即可，無需安裝客戶端程序。使用這種方式 可以實現(xiàn)：通過標準瀏覽器訪問企業(yè) ERP WEB 系統(tǒng)；支持 URL-NAT： URL 的動態(tài)重寫，提高安全性；強迫認證，強迫任何訪問 Intranet 的請求都必須先通過 AAA；隱藏內(nèi)部資源：可以隱藏 Intranet 的資源路徑，提高整體安全性。 對于 C/S 結構 的 ERP 系統(tǒng) ，使用 SGX 的 QAT 或 PHAT 訪問模式。使用 QAT 模式時 ，客戶端將 使用 Java Applet 做為 TCP PROXY， 所有基于 TCP 的 ERP 應用，都可以實現(xiàn)訪問，比 通過隧道方式實現(xiàn)要安全的多。 ERP 系統(tǒng) 的 維護人員 需要更高的操作自由度，所以需要以 SGX 的 PHAT 模式進行全權限訪問。 此 訪問模式 是在客戶端和 SGX 之間通過 SSL 的連接建立一條 VPN 通道， 客戶主機將 會 被配置 一個和企業(yè)內(nèi)網(wǎng)地址一致的網(wǎng)址，并通過這條 VPN 通道直連到企業(yè)內(nèi)網(wǎng)，就好像在企業(yè)內(nèi)部一樣。 5.4.2 SGX 對企業(yè) OA系統(tǒng)的支持 Microsoft Exchange Server 系統(tǒng) Exchange Server 并不是簡單的 E-mail 服務器的代名詞，而是一種交互式傳送和接收的重要 平臺 ，它包含了一般信息、特殊格式的文件、多媒體、圖片或其他的對象。 做為 Exchange 的前端工具的 Outlook， 現(xiàn)在 更突出了它的重要性，它不但 可以 用來收發(fā) E-mail，還含有便箋、草稿、任務、日歷、日志、聯(lián)系人與公用文件夾 等， 如果 再配合 Microsoft Office 各項結構化文件，加上其傳閱功能，即可建立一個資源管 美國新安捷有限公司 理系統(tǒng)，讓協(xié)同作業(yè)正常運行。 從 上圖我們可以看出，以 Exchange Server 為基礎構成的企業(yè) OA 系統(tǒng)的客戶端和OA server 的架構也基本分為兩類： 基于 WEB，客戶端采用 OWA 接入，既采用 Web Browser 接入 OA 系統(tǒng)； 基于 TCP 的 C/S 結構，客戶端采用 Outlook。 對于 OWA 接入 ： 可以使用 WAT 模式 來實現(xiàn) 安全訪問 ，可以實現(xiàn)： 通過標準瀏覽器訪問企業(yè) OA 系統(tǒng)； 支持 URL-NAT： URL 的動態(tài)重寫，提高安全性； 強迫認證，強迫任何訪問 Intranet 的請求都必須先通過 AAA； 隱藏內(nèi)部資源：可以隱藏 Intranet 的資 源路徑，提高整體安全性。 對于 Outlook 做為 客戶端接入 exchange server EMAIL 系統(tǒng)： 可以使用 SGX 的QAT 和 PHAT 模式 來實現(xiàn) 安全訪問。 對于使用 Outlook 接入 Exchange server 復雜應用： 推薦使用 SGX 的 PHAT 模式來 實現(xiàn) 。 此 訪問模式 是在客戶端和 SGX 之間通過 SSL 的連接建立一條 VPN 通道， 客戶主機將 會 被配置 一個和企業(yè)內(nèi)網(wǎng)地址一致的網(wǎng)址，并通過這條 VPN 通道直連到企業(yè)內(nèi)網(wǎng)，就好像在企業(yè)內(nèi)部一樣。 IBM Lotus Domino 系統(tǒng) IBM Lotus Domino 是一個世界級的消息服務解決方案，同時，它還是快速開發(fā)平臺，用戶可以基于此平臺快速開發(fā)協(xié)作應用。 功能包括： 內(nèi)置核心任務 (郵件、日歷、目錄、安全、 Web 服務等 ) ；集成 Domino 管 美國新安捷有限公司 理、統(tǒng)計、監(jiān)控等功能 IBM Lotus Notes 是客戶端軟件，它提供了工業(yè)級的最高安全性，它是一個完全功能的協(xié)作客戶端 通過 Lotus Notes，用戶可以訪問郵件、日歷、待辦事宜、聯(lián)系人信息等 Lotus Notes 客戶端家族支持從 Web 瀏覽器 , 移動設備 , 甚至 Microsoft Outlook 訪問 Domino。 下圖是 Lotus Notes 典型拓撲結構： 對于基于 Web 接入： 可以使用 WAT 模式 來實現(xiàn) 安全訪問 ，可以實現(xiàn)： 通過標準瀏覽器訪問企業(yè) OA 系統(tǒng)； 支持 URL-NAT： URL 的動態(tài)重寫，提高安全性； 強迫認證，強迫任何訪問 Intranet 的請求都必須先通過 AAA； 隱藏內(nèi)部資源：可以隱藏 Intranet 的資源路徑，提高整體安全性。 對于 Notes 客戶端接入 Domino 系統(tǒng)： 可以 使用 SGX 的 QAT 或 PHAT 訪問模式。使用 QAT 模式時 ，客戶端將 使用 Java Applet 做為 TCP PROXY， 所有基于 TCP 的可選客戶端 : Lo tus N otes (Windo ws 和 Mac ),Domino Web Access (Wi nd ows 和 Linux ), POP3/I MAP , 移動設備 , MS Outlo ok可運行于不同平臺IBM A IX, IBM O S4 00 , IBM zOS , Li nu x, M icros of t Win do w s, Su n So la ri s郵件服務器內(nèi)置的管理、統(tǒng)計、事件管理、監(jiān)控目錄服務器Web 服務器協(xié)作服務器開發(fā)工具Notes Cl ien t Web b r ow serNRPC , HTTP , NN T P, POP, I MA P, SM TP, LD AP可選客戶端 和和 移動設備可運行于不同平臺郵件服務器內(nèi)置的管理、統(tǒng)計、事件管理、監(jiān)控目錄服務器服務器協(xié)作服務器開發(fā)工具 美國新安捷有限公司 ERP 應用，都可以實現(xiàn)訪問，比 通過隧道方式實現(xiàn)要安全的多。 使用 PHAT 模式時， 客戶端和 SGX 之間通過 SSL 的連接建立一條 VPN 通道， 客戶主機將 會 被配置 一個和企業(yè)內(nèi)網(wǎng)地址一致的網(wǎng)址，并通過這條 VPN 通道直連到企業(yè)內(nèi)網(wǎng)，就好像在企業(yè)內(nèi)部一樣。 美國新安捷有限公司 六 . 新安捷 SGX 系列的優(yōu)勢及特點 6.1 專利技術 SSL VPN Plus 是新安捷公司傾力打造的新一代安全接入網(wǎng)關，依靠其主要的三項專利技術，解決了 TCP-over-TCP 崩潰問題，突破了傳統(tǒng) SSL VPN 性能的瓶頸，成為業(yè)界性能最高、轉發(fā)速度最快的 VPN 網(wǎng)關。專利技術如下： ICCA 高智能聯(lián)接加速架構 (ICCA)技術。從根本上解決了 TCP崩潰引起的傳輸速度問題。 TSSL 透明 SSL引擎 (TSSL)技術。最優(yōu)化地處理 SSL數(shù)據(jù)包傳輸 ,聯(lián)合硬件處理器 ,使 SSL VPN-Plus具有最佳的性能。 ATCE 加速引發(fā)壓縮引擎 (ATCE)技術。采用獨特算法來處理壓縮的過程，智能壓縮，最終使信息傳輸速度與一般沒有加密的信息傳輸速度相當。 另外新 安捷的開發(fā)人員充分考慮了窄帶網(wǎng)絡和高損耗網(wǎng)絡的特點，使設備能很好地適應上述網(wǎng)絡環(huán)境，保障數(shù)