远程安全接入解决方案

美国新安捷有限公司 XXX远程安全接入 解决方案 美国新安捷（ NeoAccel） SSL VPN-Plus 网关 美国新安捷有限公司 目 录 一. 前言 .3 二企业远程安全接入需求 .4 2.1 远程访问现状 .4 2.2 企业远程接入常见方式 .5 2.2.1 第一代 VPN .5 2.2.2 第二代 VPN .7 2.2.3 第三代 VPN SSL VPN-Plus .8 三远程安全接入方案设计总则 .9 3.1 远程安全接入设计原则 .9 3.1.1 安全性和高可用性 .9 3.1.2 技术先进性、实用性原则 .9 3.1.3 可管理性原则 .9 3.1.4 规模可扩充性原则 . 10 3.2 远程安全接入设计理念 . 10 3.3 远程安全接入设计目标 . 11 四 XXX的远程安全接入需求分析 . 12 4.1 企业 背景 . 12 4.2 XXX 目前网络及应用状况 . 12 4.3 XXX 远程安全接入面临的问题 . 12 4.4 XXX 远程安全接入的需求 . 13 五 XXX 远程安全接入解决方案 . 15 5.1 SSL VPN 网关部署 . 15 5.2 方案简介 . 16 5.3 全应用支持 . 17 5.3.1 基于 WEB的应用支持 . 17 5.3.2 瘦应用支持 . 17 5.3.3 Windows 文件共享支持 . 18 5.3.4 WEB访问支持 . 19 5.3.5 全权限访问支持 . 19 5.4 企业应用支持举例 . 20 5.4.1 SGX 对企业 ERP 系统的支持 . 20 5.4.2 SGX 对企业 OA系统的支持 . 22 六 . 新安捷 SGX 系列的优势及特点 . 26 6.1 专利技术 . 26 6.2 新安捷 SSL VPN Plus 的功能特点 . 26 七 . SSL VPN-Plus 安全接入对企业的益处 . 30 7.1 提高了信息安全 . 30 7.2 灵活的用户管理和访问控制 . 31 7.3 实施方便，配置简单 . 31 7.4 降低管理和维 护成本 . 32 7.5 高度的扩展性和灵活性 . 32 八 NeoAccel 厂家技术支持和售后服务体系 . 33 附录：公司简介 . 35 美国新安捷有限公司 一. 前言 目前，随着企业信息化处理不断地深入，企业资源管理的复杂度也在不断增加。一方面是一线人员渴望快速得到资源，另一方面则是企业出于安全和保密的考虑，无 力 开放足够的资源，两者的矛盾在一定程度上已经影响了企业快速发展 。 随着移动通讯技术的进步和商务模式的发展，选择远程办公 和 移动办公的人越来越多。 使用 这种方式，企业能够大幅降低运营成本，增加员工办公的灵活度和效率，继而提升企业的运作效率，增加企业收益。 另外 对于企业信息化系统的安全 问题，大多数企业考虑最多的还是 攻击和 病毒，认为 他们 对企业的 ERP 和 OA 系统响最大，所以大部分的财力人力都投向了防病毒 防攻击系统 。 当然这是对的 ， 但这还远远不够， 这是因为仍然 会有很多心怀叵测的人或者组织（尤其 是 竞争对手） 会绕过 病毒 或攻击的防护， 对企业 进行 数据窃密 或 对 破坏 企业的核心数据 等操作，这都会给企业 造成不可弥补的损失 。 目前在全球，商业间谍引起的商业窃密现象屡见不鲜。 所以我们不但需要对传输到网上的数据进行加密，还要对用网的终端进行严格的身份识别和权限区分， SSL VPN 就是这样的设备，不仅具有多种认证方式 ，还能够准确分权。 作为一项 新近 发展起来的新技术，由于 SSL VPN 无须安装客户端的便捷性和 由 此 带来的 大幅降低的实施管理成本，在国内外得到了迅速的应用和发展。 但是， 传统 SSL VPN 产品的 致命之处在其性能较差，这是 SSL 协议先天的不足，这就会使用户在方便安全低成本和较差的性能这两者之间进行痛苦的选择。 新安捷的 SSL VPN-Plus 是第三代 VPN，也是业界响应速度最快的远程安全接入设备。重新构建的 SSL 架构、单隧道体系以及透明传输、智能压缩等专利和创新技术的加入，使新安捷的 SSL VPN-Plus 拥有超强 的性能，从而突破了传统 VPN 性能的瓶颈，实现了加密数据的快速转发。 美国新安捷有限公司 二 企业 远程 安全接入 需求 2.1 远程访问现状 随着 企业 的发展壮大，分支机构的设立、移动办公人员的增加，使得企业必须开放更多的内网资源来满足日常办公的需要。远程接入的方式是多种多样的，但总结下来不外乎以下三种方式： 通过 Internet 公网访问、通过专网访问、通过拨号专线访问 。我们逐一 对其数据 安全性 进行分析 ： 通过 Internet 访问 这种访问方式的安全性是这三种中最 差 的但也是大多数企业采用的方式。 因特网的共享性和开放性使网上信息安全存 在先天不足，因为其 依赖 的 TCP/IP 协议，缺乏相应的安全机制，而且因特网最初的设计考虑是该网不会因局部故障而影响信息的传输，基本没有考虑安全问题，因此它在安全可靠、服务质量、带宽和方便性等方面存在着不适应性。 此外，随着软件系统规模的不断增大，系统中的安全漏洞或 “ 后门 ” 也不可避免的存在 并增加着 。 安全隐患 也 日益突出 ， 病毒、黑客几乎每天都在困挠着互联网的用户。 通过专网访问 这种访问方式的 安全性得到了一定的提升。 但是 拉专线 的费用是比较昂贵的， 只适用于固定办公场所，不能保证客户端随时随地地 访问。 另外 ，专网方式 不能 为 用户 提供 网络接入层面访问的认证和授权，只能通过业务系统内部 自带地程序来完成 ，这样业务主机就会暴露在能使用专网的所有人面前。 还有一点至关重要，专网方式一般没有加密过程，所有数据，尤其是关键数据都是走明文的，这也降低了安全性。 通过拨号专线访问 这 种方式 需要在企业机房内架设拨号接入服务器。 美国新安捷有限公司 这种方式可以保证员工 在任何地方都能访问 内网 ，即使出差和在家都能登陆。但它容量有限 ，当很多用户同时访问时 会经常发生连接不上的情况 。 拨号专线方式 受 带宽 限制厉害，不能享受到宽带带 给我们的好处。 另外 在认证 、授权以及加密方面 ， 它 同样存在 着和专线接入一 样的安全缺陷。 2.2 企业 远程接入常见方式 由于 公共线路的不安全性，以及 VPN（虚拟专网）比租用专线更加便宜、灵活， 致使现在 有越来越多的公司采用 VPN 进行远程接入，替代 连接 SOHO 和出差在外的员工 以及 分公司和合作伙伴的广域网。 VPN 是 在互联网 上建立加密隧道 ，通过 “ 隧道 ” 协议，在 数据 发 送 端加密 ， 在 接 收端解密， 从而 保证数据的私密性。 2.2.1 第一代 VPN 第一代 VPN 采用的是 IPSec 协议，其典型部署是在 Site-to-Site 端点到端点的网络环境中。 IPSec 是网络层的 VPN 技术，它独立于应用程序，以自己的封包封装原始 IP 信息，因此可隐藏所有应用协议的内容，一旦 IPSec 建立加密隧道后，就可以实现各种类型的连接。 IPSec 以其相对较高的吞吐量以及安全性，被很多企业所接受。 但是 ，部署 IPSec 需要对 网络 基础设施进行重大改造， 花费的人力物力甚巨，同时IPSec VPN 在解决远程安全访问时有几个比较大的缺点 : 安全性低 虽然数据在传输过程中是加密的，但是 IPSecVPN 对于终端安全检查却是零，这一点相信企业的网络管理者深有感触，其表现为： 第一、 IPSec 的用户验证方式单一并 且简单，它无法明确区分使用该终端的人是否是可 授权的指定用户，管理员无法准确知晓究竟是谁在利用 VPN 使用内网资源； 第二、 IPSec 无法对终端设备软件系统的安全性 做 出评估，无法检查终端用户的应用环境，断开 VPN 连接后，所有曾经访问过的 cookie、 URL 等均保留在终端，增加了不安全因素； 美国新安捷有限公司 第三、 IPSec VPN 隧道一旦建立，用户的 PC 机就像在公司局域网内部一样 ， 用户能够直接访问公司全部的应用 ， 由此会大大增加风险 ； 第四、 VPN 登陆之后的所有操作都是直接作用在被访问资源上的，由于缺乏必要的终端检查，致使 内网资源受损的几率很高； 第 五 、 IPSec 针对用户或用户组的授权访问，实现起来非常困难，无法根据用户性质进行分权，这是管理员很头疼的问题，无法实现分权就只能有限地开放网络资源，网络不能有效地用于生产生活。 可靠性低 IPSec 最适合的环境是固定办公区域，移动办公用户 需要安装客户端软件才能建立加密隧道，但并非所有客户端 环境 均支持 IPSec VPN 的客户端程序。终端用户可能需要做出类似 重新安装 系统那样复杂的操作，才能使用； IPSec VPN 的连接性还会受到网络地址转换（ NAT）或网关代理设备（ proxy）的影响，终端用户如果身处外部网络，想使用 IPSec VPN 连接，如何穿透防火墙将是一大难题，不适合用作移动用户，如家庭、网吧，宾馆等上网用户； 投资费用高 从投资的角度看 IPsec VPN。 要真正建立 IPSec VPN，单单有 VPN 硬件设备和 客户端软件是很不够的。如果没有防火墙和其他的安全软件，客户端机器非常容易成为黑客攻击的目标。这些客户端很容易被黑客利用，他们会通过 VPN 访问企业内部系统。 这种黑客行为越来越普遍，而且后果也越来越严重。例如，如果 员工 从家里的计算机通过公司 VPN 访问企业资源，在他创建 隧道前后，他十几岁的孩子在这台电脑上下载了一个感染了病毒的游戏，那么，病毒就很有可能经过 VPN 在企业局域网内传播。另外，如果黑客侵入了这台没有保护的 PC，他就获得了经过 IPSec VPN 隧道访问公司局域网的能力。因此，在建设 IPSec VPN 时，必须购买适当的安全软件，这个软件的成本必须考虑进去 也是很高的 。 维护费用高 美国新安捷有限公司 IPSec VPN 最大的难点在于客户端需要安装复杂的软件， 需要经过培训才能够掌握。 而且当用户的 VPN 策略稍微有所改变时， 其 管理难度将呈几何级数增长。 客户端 软件 的维护 带来了人力开销，而 这是 许多 公司希望能够避免 的。 部署 IPSec VPN 之后，另外一些 安全问题也 会 暴露出来，这些问题主要与建立 了 开放式网络连接有关。除此以外，除非已经在每一台计算机上安装了管理软件，软件补丁的发布和远程电脑的配置升级将是一件十分令人头疼的任务。 2.2.2 第二代 VPN 第二代 VPN 采用 的是 SSL 协议，与 IPSec VPN 相比， SSL VPN 具有如下优点： SSL VPN 的 客 户 端 程 序 ， 如 Microsoft Internet Explorer 、 Netscape Communicator、 Mozilla 等已经预装在了终 端设备中，因此不需要再次安装； SSL VPN 可在 NAT 代理装置上以透明模式工作； SSL VPN 不会受到安装在客户端与服务器之间的防火墙 等 NAT 设备 的影响 ，穿透能力强； SSL VPN 将远程安全接入延伸到 IPSec VPN 扩展不到的地方，使更多的员工，在更多的地方，使用更多的设备，安全访问 到更多的 企业网络资源，同时降低了部署和支持费用 ； 客户端安全检查和授权访问等操作，实现起来更加方便。 SSL VPN 可以在任何地点，利用任何设备，连接到相应的网络资源上。IPSec VPN 通常不能支持复杂的网络 ，这是因为它们需要克服 穿透 防火墙、 IP 地址冲突等困难。 所以 IPSec VPN 实际上只适用于易于管理的或者位置固定的 地方 。 可以说从功能上讲， SSL VPN 是企业远程安全接入的最佳选择。 但是虽然 SSL VPN 具有以上众多的优点，却由于 SSL 协议本身的局限性，使得性能远低于使用 IPSec 协议的设备。用户往往需要在简便使用与性能之间进行痛苦选择。这也是第二代 VPN 始终无法取代第一代 VPN 的原因。 美国新安捷有限公司 2.2.3 第三代 VPN SSL VPN-Plus 为了从根本上解决 SSL VPN 性能瓶颈，以新安捷（ NeoAccel,INC）为代表的专业安全接入厂商，凭借强大的研发实力，经过刻苦的攻关，终于研制出了新一代 SSL VPN 构架 SSL VPN-Plus。 SSL VPN-Plus 的创新技术之处是重新构建了 SSL 协议模型，使用单隧道方式处理加密数据包，从根本上解决了由于双 TCP 叠加带来的性能瓶颈，突破了传统 SSL VPN 设备的局限性，降低响应时间，提高设备性能。 SSL VPN-Plus 的整理性能可以达到并超过 IPSec VPN，同时还能够提供 SSL VPN 便捷的使用和管理、低廉的投资和维护成本，提高用户的体验。 美国新安捷有限公司 三远程安全接入方案设计总则 3.1 远程安全接入设计原则 3.1.1 安全性和高可用性 VPN 直接构建在公用网上，实现简单、方便、灵活，但同时其安全问题也更为突出。企业必需要确保其 VPN 上传送的数据不被攻击者窥视和篡改，并且要防止非法用户对网络资源或私有信息的访问。 VPN 将企业网扩展到合作伙伴和客户，对安全性提出了更高的要求。 远程安全接入安全性包含以下特征： 数据加密：在安全性要求高的场合应用数据加密则进一步保护了数据的私有性，使数据在网上传送而不 被非法窥视与篡改。 数据验证：在不安全的网络上，特别是构建远程安全接入的公用网上，数据包有可能被非法截获，篡改后重新发送，接收方将会接收到错误的数据。数据验证使接收方可识别这种篡改，保证了数据的完整性。 用户验证：远程安全接入可使合法用户访问他们所需的企业资源，同时还要禁止未授权用户的非法访问。通过 AAA 可以提供用户验证、访问级别以及必要的访问记录等功能。这一点对于远程安全接入具有尤为重要的意义。 高可用性：在远程安全接入中，要防止出现单点故障，确保一台设备发生故障时，能够保证应用的正常访问。 3.1.2 技术先进性、实用性原则 远程安全接入不仅要求能充分利用现有的网络资源，而且要满足未来发展的需要。这就要求规划设计必须考虑到技术的可行性和先进性，同时要考虑到前瞻性。在安全接入产品的选择上，需要权衡现有需求和未来发展需要之间、现有技术的可获得性和未来技术发展方向之间的矛盾。远程安全接入设计在满足以上要求的同时还必须做到经济实用，以节约投资，必须以有限的投资获得较高的性能，即系统应该具有较高的性能价格比。 3.1.3 可管理性原则 系统的管理维护是一项繁重的工作，代价也极高。可以说，一个系统的 易维护性决定了该系统的寿命，也决定了该系统的实际运行成本，同时，如果一个系统容 美国新安捷有限公司 易维护，则发生错误的概率就会大大降低。系统的管理易维护性体现在软硬件两个方面。硬件易维护性主要指安装、升级简单方便，后备配件充足。软件易维护性主要指体系结构清楚，易理解，同时，管理界面友好，易操作。 3.1.4 规模可扩充性原则 易扩展性是业务发展的需要。随着企业用户的不断增加，业务的不断扩展，应用规模也迅速膨胀。为了保护现有投资，也为了满足用户的需要，提供优质服务，必须保证组建的系统很容易扩展。在业务数量剧增的情况下依然能够 提供优质服务，这就要求我们的系统具有良好的可扩展性 3.2 远程安全接入设计理念 远程安全接入设计必须架构在科学的体系和框架之上，因为框架是方案设计和分析的基础。为了系统、科学地分析远程安全接入涉及的各种问题，行业里的专家们提出了远程安全接入的整体设计理念模型，远程安全接入模型示意图如下： 在此体系模型中，完整地将远程安全接入的全部内容进行了科学和系统的归纳，详尽地描述了远程安全接入所使用的技术、服务的对象和涉及的范围。 美国新安捷有限公司 3.3 远程安全接入设计目标 确保为用户提供高安全性、高可用性、高性能、易管 理的解决方案。 美国新安捷有限公司 四 XXX的 远程 安全接入 需求分析 4.1 企业 背景 （ 根据具体项目自己写 ） 某企业有 18 个分支机构单位，需要与总部进行远程接入访问，数据量大约为 1M 左右，每个分支机构单位只需一台电脑访问总部网络即可。 4.2 XXX 目前网络及应用状况 现阶段 XXX 的网络情况如下图： 所有的应用和数据放置在公司总部，上海和昆山通过网通的 2 兆 DDN 专线连入公司总部， SOHO 和移动办公人员直接访问被映射到公网的公司资源。 在总部的应用 系统很多，包括： 文件共享、 DRP、 SAP、 OA、 Notes、 WEB 等等。应用有基于 B/S 和 C/S 架构。 4.3 XXX 远程安全接入面临的问题 根据对 XXX 目前的网络及应用分析，我们认为存在以下几个问题及隐患： 美国新安捷有限公司 安全性低 DRP 系统被直接开放公网地址和端口，很容易被黑客或不怀好意的人入侵，DRP 系统的资料容易丢失。而且也容易感染病毒，造成系统宕机，使客户没办法访问 DRP 系统。 用户和内部服务器直接的交互，数据的发送都是明文的。 对访问内部资源缺少用户身份认证和授权机制。 对用户及其访问的 内容没有审计； 没有对客户端的机器安全进行检查及实施相应策略 的机制 ， 使 病毒等有害 程序轻易进入内网； 可用 性 差 由于 XXX 的许多应用是基于 C/S 架构， 这些应用都有自己的一些特殊端口，这些端口 在宾馆 、 机场 等许多地方被封掉，那么移动办公的人员将不能访问公司的一些应用。 4.4 XXX 远程安全接入的需求 根据远程安全接入的设计原则，结合 XXX 公司的实际情况， XXX 远程安全接入完成后应达到如下效果： 较高的 安全性 安全对企业的生存和发展至关重要，如果因为客户端的不安全因素导致总部服务器群 经常出现状况的话，对企业自身的运作和生产是十分不利的。所以新的设备在安全性上应该具备以下特征： 必须支持多种用户认证方式 ，可以与现有网络内的认证设备兼容 ； 必须具备终端安全检查。可以检查终端系统类型、补丁版本、是否安装有杀毒软件、防垃圾邮件等或者检查特定位置的文件是否存在。通过这些检测来分配用户区域以及授权访问； 美国新安捷有限公司 终端检查不仅要针对 WAN 使用 VPN 的用户，还需要针对 LAN 内部互相访问的终端设备； 必须能清晰并轻松地对用户进行分权管理，不同等级的用户有不同的访问权限和资源 ； 必须在终端断开 VPN 连接后，对终端 所保存的信息进行清理，甚至能够卸载客户端软件； 优良的 性能 和响应 接口 设备的性能是 企业 需要考虑的重要因素，因为这直接影响到企业 资源的运作能力和未来的发展 。新设备本身需要有较大吞吐，同时还应该具有独特的数据包处理技术，在宽带网、窄带网以及在损耗较严重、丢包率较高的网络环境里，均能够实现 数据包的 快速传输。 支持网内全部 应用 远程安全接入设备 必须 能够 支持所有类型的应用， 对 网内 目前运 行 的 应用支持加密访问，并且设置权限，使不同类型的用户，访问不同类型的资源。并且对事件进行记录。 简捷的 安 装 部署 不需或最少量的对现有的网络拓扑进行修改； 利用现有的认证系统； 无需对任何客户端进行 安装 及管理 ； 网关的管理要简单。 美国新安捷有限公司 五 XXX 远程安全接入 解决方案 5.1 SSL VPN 网关部署 通过对 XXX 公司的需求分析，我们建议采用 NeoAccel SGX 产品解决远程安全接入的需求。（部署如下图）两台 NeoAccel SGX 做 HA， 安全、高效地把需要访问内部资源的用户接入。 SGX SSL VPN 网关 单臂 连接核心交换机 。 企业需要赋予 SGX IP 地址或域名做为入网 门户。所有 VPN 用户必须登陆此门户站点才能访问 内部服务器组 ，同时每个用户必须有有效的帐号、口令并享有访问 SSL VPN 各种资源的相应权限。 SGX 门户的 IP 地址可以是公网地址，也可以是防火墙等设备 NAT 后的私网地址，此时， NAT 设备只需要开放 TCP 443 端口并映射门户地址为公网地址 。 美国新安捷有限公司 5.2 方案简介 如上图 所示，企业内部的资源是多种多样的，同时针对不同的组织和群组，其开放的权限也是不同的。 通过部署新安捷的 SSL VPN-Plus，操作人员无论是在分公司、合作伙伴办公地点，还是员工在家、酒 店，以及供货商等在任何地方都可以远程进行安全的业务操作和系统维护操作，而不必担心非授权人员的非法访问。在登陆以及通信过程中， SSL VPN-Plus 还能够不断地对客户端的安全做评估，随时切断可疑主机，防止黑客、病毒以及间谍程序的侵入。 美国新安捷有限公司 5.3 全应用支持 5.3.1 基于 WEB 的应用支持 企业的大部分内网资源，可以以 WEB 浏览器形式对外开放。在不用安装任何客户端软件的情况下， SGX 支持所有基于 WEB的应用，如公司内网主页、 Web Outlook 等： 5.3.2 瘦应用支持 目前在无客户端情况下， SGX 支持四种瘦应用，分别为： Telnet、 SSH、 VNC 和RDP。企业可以根据用户性质，开放内部不同主机的命令权限。 美国新安捷有限公司 5.3.3 Windows 文件共享支持 在企业日常的运作中，会经常有文件或主机共享的需求， SGX 的文件共享功能可以完全满足这方面需要，安全开放内网主机的文件夹或主机本身，供远程用户访问。该功能也不需要安装客户端程序。 美国新安捷有限公司 5.3.4 WEB 访问支持 有些单位出于访问安全以及审计方面的考虑，会要求所有分支机构的 Internet 访问，必须通过公司总部，使用 SSL 加密 方式。 SGX 不用安装客户端程序，即可实现此需求。远程用户必须登陆门户站点，使用页面提供的地址栏进行网页访问操作。 5.3.5 全权限访问支持 企业中肯定会有一些特殊用户，比如网络管理员、公司领导等，他们需要的权限很大，需要自己在远程访问时也能够像在内网一样顺畅操作。这样的需求， SGX 能够提供两种实现方式： QAT 和 PHAT。 QAT 方式不需要下载安装客户端程序，只需主机支持 Java，使用这种方式可以使用内网所有基于 TCP 协议的应用，适用于需要操作更简便的员工、不希望在主机上安装多余程序的人员或合作单位。 PHAT 方式需要安装客户端，安装过程简单且快速，用户端不需要做任何设置，只需要按照提示点击安装即可。这种方式登陆的主机会得到内网 IP 地址，所有操作就像在内网一样顺畅。 美国新安捷有限公司 5.4 企业应用支持举例 5.4.1 SGX 对企业 ERP 系统的支持 为了 能够快速 发展壮大 ，已经有越来越多的企业开始部署 ERP 系统 。早期的 ERP 系统 是以 Client/Server 方式为基础的， 但随着 Web 标准平台 的普及 ， 多数 企业 已 开始将 ERP 系统 移植到 Web 上 ，而采用 SSL VPN 设备来 实现 Web 应用 的 远程安全访问 ，则是 最佳手段 。 对于不采用 WEB 平台的 ERP 系统（ 如采用 ERP 专用 客户端 C/S 结构 ） ， SGX产品 可以使用 QAT 或 PHAT 访问模式 来满足这些 C/S 结构的 ERP应用。 SGX 部署方式如下图： 美国新安捷有限公司 采用 SSL VPN-Plus 的第一项好处就是降低成本 ，包括初期投资和日后的维护成本。 部署 SSL VPN-Plus 很 简便，基本不需要改变现有拓扑结构 。 由于可以不使用客户端即可以访问企业资源， 使用者基本上 不需要 IT 部门的支持 ，同时企业 只 需 要管理一种设备 即可 ，不必维护、升级 或 配置客户 端 软件。 SGX 更容易满足 大多数员工对移动连接的需求 。用户通过因特网 与 任务设备实现连接， 只需 借助 浏览器或客户端程序提供的 SSL 隧道 即可 获得 企业内部资源的 安全访问 ，即使该员工身在外地，使用一台危险系数较高的主机。 SGX 性能更高。 SGX 目前是业界 SSL 加密包转发速度最快的 VPN 设备，这主要得益于其多项创新的专利技术的应用，这种第三代 VPN 的所有型号设备中都集成了这些技术，可以满足企业不同网络环境的需求。 SGX 更安全。 ERP系统 一般 都 采用集中式 部署 结构 ： 数据库服务器和应用服务器被安置在计算中心局域网内的核心网段上。所有外地用户（包括外 地局域网用户和远程访问用户）都必须通过防火墙的过滤才能够访问核心网络及其上的 ERP 系统。 我们可以看到， ERP 系统的安全主要依靠防火墙来实现 。 但 这 对于 ERP 系统的安全 是 远 远 不能满足 的 ， 例如 防 止 病毒入侵 、 数据的加密 、 用户的认证和 分 权 、缓存清除 等 。 美国新安捷有限公司 对于数据的加密，如果不使用 VPN 技术，企业通常会借助 ERP 系统 本身的 软件加密，但软件加密会消耗大量用户服务器的资源， 直接 影响 到 ERP 系统的响应速度。 用户的认证和授权，对于 ERP 系统本身来说，实现起来很不容易。 ERP 系统一般也会有自己的基于对象权限和用户角色概念的 授权机制，但是 它 的授权机制是在应用层 做 的，不能在网络层对接入用户 做 授权 。一旦 黑客攻入系统主机，仍有可能对系统进行破坏，或者窃取数据。 SGX 对 ERP 三种接入方式的支持： 对于 B/S 架 构的 ERP 系统 ，使 用 SGX 的 WAT 访问模式即可，无需安装客户端程序。使用这种方式 可以实现：通过标准浏览器访问企业 ERP WEB 系统；支持 URL-NAT： URL 的动态重写，提高安全性；强迫认证，强迫任何访问 Intranet 的请求都必须先通过 AAA；隐藏内部资源：可以隐藏 Intranet 的资源路径，提高整体安全性。 对于 C/S 结构 的 ERP 系统 ，使用 SGX 的 QAT 或 PHAT 访问模式。使用 QAT 模式时 ，客户端将 使用 Java Applet 做为 TCP PROXY， 所有基于 TCP 的 ERP 应用，都可以实现访问，比 通过隧道方式实现要安全的多。 ERP 系统 的 维护人员 需要更高的操作自由度，所以需要以 SGX 的 PHAT 模式进行全权限访问。 此 访问模式 是在客户端和 SGX 之间通过 SSL 的连接建立一条 VPN 通道， 客户主机将 会 被配置 一个和企业内网地址一致的网址，并通过这条 VPN 通道直连到企业内网，就好像在企业内部一样。 5.4.2 SGX 对企业 OA系统的支持 Microsoft Exchange Server 系统 Exchange Server 并不是简单的 E-mail 服务器的代名词，而是一种交互式传送和接收的重要 平台 ，它包含了一般信息、特殊格式的文件、多媒体、图片或其他的对象。 做为 Exchange 的前端工具的 Outlook， 现在 更突出了它的重要性，它不但 可以 用来收发 E-mail，还含有便笺、草稿、任务、日历、日志、联系人与公用文件夹 等， 如果 再配合 Microsoft Office 各项结构化文件，加上其传阅功能，即可建立一个资源管 美国新安捷有限公司 理系统，让协同作业正常运行。 从 上图我们可以看出，以 Exchange Server 为基础构成的企业 OA 系统的客户端和OA server 的架构也基本分为两类： 基于 WEB，客户端采用 OWA 接入，既采用 Web Browser 接入 OA 系统； 基于 TCP 的 C/S 结构，客户端采用 Outlook。 对于 OWA 接入 ： 可以使用 WAT 模式 来实现 安全访问 ，可以实现： 通过标准浏览器访问企业 OA 系统； 支持 URL-NAT： URL 的动态重写，提高安全性； 强迫认证，强迫任何访问 Intranet 的请求都必须先通过 AAA； 隐藏内部资源：可以隐藏 Intranet 的资 源路径，提高整体安全性。 对于 Outlook 做为 客户端接入 exchange server EMAIL 系统： 可以使用 SGX 的QAT 和 PHAT 模式 来实现 安全访问。 对于使用 Outlook 接入 Exchange server 复杂应用： 推荐使用 SGX 的 PHAT 模式来 实现 。 此 访问模式 是在客户端和 SGX 之间通过 SSL 的连接建立一条 VPN 通道， 客户主机将 会 被配置 一个和企业内网地址一致的网址，并通过这条 VPN 通道直连到企业内网，就好像在企业内部一样。 IBM Lotus Domino 系统 IBM Lotus Domino 是一个世界级的消息服务解决方案，同时，它还是快速开发平台，用户可以基于此平台快速开发协作应用。 功能包括： 内置核心任务 (邮件、日历、目录、安全、 Web 服务等 ) ；集成 Domino 管 美国新安捷有限公司 理、统计、监控等功能 IBM Lotus Notes 是客户端软件，它提供了工业级的最高安全性，它是一个完全功能的协作客户端 通过 Lotus Notes，用户可以访问邮件、日历、待办事宜、联系人信息等 Lotus Notes 客户端家族支持从 Web 浏览器 , 移动设备 , 甚至 Microsoft Outlook 访问 Domino。 下图是 Lotus Notes 典型拓扑结构： 对于基于 Web 接入： 可以使用 WAT 模式 来实现 安全访问 ，可以实现： 通过标准浏览器访问企业 OA 系统； 支持 URL-NAT： URL 的动态重写，提高安全性； 强迫认证，强迫任何访问 Intranet 的请求都必须先通过 AAA； 隐藏内部资源：可以隐藏 Intranet 的资源路径，提高整体安全性。 对于 Notes 客户端接入 Domino 系统： 可以 使用 SGX 的 QAT 或 PHAT 访问模式。使用 QAT 模式时 ，客户端将 使用 Java Applet 做为 TCP PROXY， 所有基于 TCP 的可选客户端 : Lo tus N otes (Windo ws 和 Mac ),Domino Web Access (Wi nd ows 和 Linux ), POP3/I MAP , 移动设备 , MS Outlo ok可运行于不同平台IBM A IX, IBM O S4 00 , IBM zOS , Li nu x, M icros of t Win do w s, Su n So la ri s邮件服务器内置的管理、统计、事件管理、监控目录服务器Web 服务器协作服务器开发工具Notes Cl ien t Web b r ow serNRPC , HTTP , NN T P, POP, I MA P, SM TP, LD AP可选客户端 和和 移动设备可运行于不同平台邮件服务器内置的管理、统计、事件管理、监控目录服务器服务器协作服务器开发工具 美国新安捷有限公司 ERP 应用，都可以实现访问，比 通过隧道方式实现要安全的多。 使用 PHAT 模式时， 客户端和 SGX 之间通过 SSL 的连接建立一条 VPN 通道， 客户主机将 会 被配置 一个和企业内网地址一致的网址，并通过这条 VPN 通道直连到企业内网，就好像在企业内部一样。 美国新安捷有限公司 六 . 新安捷 SGX 系列的优势及特点 6.1 专利技术 SSL VPN Plus 是新安捷公司倾力打造的新一代安全接入网关，依靠其主要的三项专利技术，解决了 TCP-over-TCP 崩溃问题，突破了传统 SSL VPN 性能的瓶颈，成为业界性能最高、转发速度最快的 VPN 网关。专利技术如下： ICCA 高智能联接加速架构 (ICCA)技术。从根本上解决了 TCP崩溃引起的传输速度问题。 TSSL 透明 SSL引擎 (TSSL)技术。最优化地处理 SSL数据包传输 ,联合硬件处理器 ,使 SSL VPN-Plus具有最佳的性能。 ATCE 加速引发压缩引擎 (ATCE)技术。采用独特算法来处理压缩的过程，智能压缩，最终使信息传输速度与一般没有加密的信息传输速度相当。 另外新 安捷的开发人员充分考虑了窄带网络和高损耗网络的特点，使设备能很好地适应上述网络环境，保障数