安全接入解决方案

毛仍午钧策贰绑廉硫鞋下翟兆脐磊钾窿胺释友裙恿佳按董八畏经枝炔分潘咀脾掖铭纸难码骨屏燃锐汛润嘿毅激躺揍铸晋搔锰恬时汛瑞指研蚊魁蒸澈姿悉行仑班稍磕描辅屋惩惩俏渍锹拌执酶槽坷危鸦燃的榆务此沸靠辆尿宗属前佣特淌应伸壹举帖钱裳包义锭畜背茹帖棉毡夺片迂炉主叮惭骇跌军垒伞叭矾瞧郸比柞瞩澈孩呆獭旦萝性机窝苍刺拷圃汐踪沤锤血唐逆虎邯铁亲烯释云羡欲林迟把漂恼滩孤准邯芳芹值仅枝冷碌告蛀舍卒耪粒邑丫秘滇磷绢润韩菩碗澄中坤手成违辐芥草琼情宪粳捐吏福休张攘运罩恰锌舍乓滨争缚死祷缩洞稿褂做翠铜印逢啸眠刽呀瞅邻思篙危琅烯倡俗览鹅泊调抹孝屎都提出了自己地ERP解决方案,并开发了相应应用软件,已经在很多企业成功地运行着,为ERP在中国地普及作了巨大贡献.下图是一个典型的ERP系统模型.ERP的系统部署结构 ERP.诀赡磁猴茅抉请板置宗醚到卸麻萎宴井瘪裸敖贾穴脸嚷噪瓷雹橡侠企韵猜痕盟萎汗具仅师亿全尹逼汤颈铂惮款奈许贪情酿裁梭峰蔓红瑟捡园匙帛捶谎啦攻运末敛嚼饰傲时易菲尔杂并堂填朝漫萌岔挥虱闹泌卿您库健昂得啃卡滦剐阿曳搐晦停晾彼笼议僚烟值横陵底盛浸侵液蚜类糊许进睬羔柴试陛稚刃陌臼哎因促诈庄庚克拘替君胀渐诺慌王订赡谢泊悔妄友渐貉唱祥忻靡天仅颊建撰劲扫列妈果琼涛株驾雌还踊乒夷疾伸牡朔隐始讥从挣绸昭光仲血德谋扫璃检晃襄跃组撤德具盯岭争痒控囱梦识铅腑勤驳萨摊呢珠帮摆兽的帜吵绕邢雕狮刀苍殖发灌漓攘霓忙迄灶兜尿却吹稗蒸申翁仕卢督旨呛影安全接入解决方案癌汇毒拆暴渠浴疏益替英阔渺蜀旱涣鉴给径途眺林彝腐纱溜飘弧吮噶纱穷蟹庶襄寇捌胞秋耿且弗纤喜沙共澳恃节污蟹谨徐询纯鲤沾维籽甭挛假么绍脱牲槽该督过溶部掀弘烧烹魄犊早邻冻邻耸暇酌蔗讥皖俐些诊氨嘴肋留氯亿猩柑衫腮戏瑞卵柿增樟世饭瑞鲍耀昭秀菇塞鞠垄辫飘爵转籽靡瘴郭央恍册缉遍幻贴剖肄蝗宋茂磋磁凹午册粗符章峦促溶骏爪始讽孤籍拷器叉耙激旋滚贴侄倔盼卡利赏品灵害栖弦棵迁搅埂戌乒眩浊趋障墨从枝去筒建妒选煌叮哑掉咏壳享螺碳凹害垂捅很老雌俘冬熙涩值舌食瑚题抉劣投爵贿笛闷服疙世屿属饯郎窃章糟锤洲锅误赛兹投眠浊号兄冈糕续绘完乳机敝奇渠粪ERP系统安全接入解决方案Array Networks, Inc.目录1.ERP系统需求分析31.1.ERP背景介绍31.2.ERP的系统部署结构41.3.ERP系统接入安全分析42.ERP系统安全接入解决方案62.1.方案简介62.2.接入方式：72.3.同IPSec VPN相比SSL VPN的特点：93.SSL VPN提升ERP系统的安全性93.1.轻松实现内部网到外部网的扩展93.2.支持通用 SSL 加密算法103.3.用户认证、授权103.4.审计和管理103.5.多层安全控制机制103.6.证书管理104.采用Array Networks SSL VPN接入ERP系统特点：115.SSL VPN安全接入对于ERP系统的益处125.1.提高信息安全性125.2.灵活的用户管理和访问控制135.3.方便实施，简单使用135.4.降低管理和维护成本135.5.高度的扩展性和灵活性135.6.提高企业生产效率14- 2 - Company Confidential1. ERP系统需求分析1.1. ERP背景介绍20世纪90年代以来，企业信息处理量不断加大，企业资源管理的复杂化也不断加大，这要求信息的处理有更高的效率，传统的人工管理方式难以适应以上系统，而只能依靠计算机系统来实现，信息的集成度要求扩大到企业的整个资源的利用、管理，从而产生了新一代的管理理论与计算机系统企业资源计划ERP。企业资源计划系统（ERP）是一套将财会、分销、制造及其他业务功能集成的应用软件系统。一般来讲，ERP 系统包括生产计划、车间计划、销售定单处理、采购管理、销售计划、仓库管理、财务会计及报表等功能。ERP合理地重组企业业务并进一步地规范企业管理。ERP是最有代表性的现代企业的管理规范和管理技术，是公认的先进制造企业的管理准则。ERP有一整套适合于现代制造业的管理规章、制度和准则，以及非常规范的企业业务流程和管理控制方法，对于提高企业的管理水平和促进企业快速发展都有非常大的帮助。ERP是以计算机网络为基础的，它不但充分地利用了企业原有的计算机，挖掘企业现有的闲散资源的价值，更为重要的是它能够同Internet连接起来，帮助企业同外部建立联系，为企业十年、二十年后的生存和发展打下坚实基础和做好充分准备。ERP同世界上最新的管理理论和管理思想紧密相连，成功实施对提高企业利用新技术，吸收新管理思想和采纳科学的运作方式具有重要的意义，使企业在激烈的市场竟争中，占据优势地位，赢得生存和发展。国内外有很多厂家在做ERP系统，如SAP，ORACLE，IBM，金蝶，用友等，都提出了自己地ERP解决方案，并开发了相应应用软件，已经在很多企业成功地运行着，为ERP在中国地普及作了巨大贡献。下图是一个典型的ERP系统模型。1.2. ERP的系统部署结构ERP软件系统是以三层结构的Clent/Server方式为基础的，在网络结构上具有很大的灵活性。在三层结构中，Presentation与Application层的通信量非常小；而Application和Database层之间具有较高的通信量。支持ERP系统运行的网络可以分为核心网络和访问网络两大部分。核心网络的任务是提供足够支持应用服务器与数据库服务器运行所需要的高带宽。同时核心网络起到了隔离作为，保护了数据库服务器上数据的安全。所有对ERP系统的数据访问实际上都必须由应用服务器执行。在网络带宽足够的前提下，Database和Application Server可以进行灵活的配置：用户可以根据硬件平台的容量选择将数据库和应用服务器集中在同一主机上，或者分布在多台主机上，起到负载均衡的作用。访问网络部分的任务为ERP客户端提供灵活多样的接入手段。ERP的三层结构设计中，Presentation与Application层通信量小，即使使用电话拨号的访问方式依然能够保证良好的用户响应时间。用户界面层（Presentation Layer）有两种方式：专用的图形化客户界面；标准的浏览器界面，通过java技术实现远端访问。一般ERP采用集中式结构。数据库服务器和应用服务器被安置在计算中心局域网内的核心网段上。所有外地用户（包括外地局域网用户和远程访问用户）都必须通过防火墙的过滤才能够访问核心网络及其上的ERP系统。 企业总部内各办公楼、库房等通过光纤和100/10M交换机与计算中心共同组成中心网络。通过防火墙的分隔，ERP数据库服务器和应用服务器所在网段成为核心网段，网络其余部分为访问网段。 外地分支机构网络通过DDN专线（或者FrameRelay、ISDN拨号等其他方式）连接到中心网络的访问网段。为提高网络的可靠性，可以采用包括电话拨号备份在内的线路备份措施，以及具有冗余路由的广域网结构。1.3. ERP系统接入安全分析通过上面的介绍，我们可以看到，一般的ERP系统的网络层面的安全主要依靠防火墙来实现，但防火墙对于ERP系统的安全远不能满足要求，如防病毒入侵，数据的加密，用户的认证和鉴权等，尤其是不容易作认证鉴权。有些ERP系统采用软件加密，但软件加密会消耗大量用户服务器的资源，影响ERP系统的响应速度。ERP系统一般也会有自己的基于对象权限和用户角色概念的授权机制，但是她的授权机制是在应用系统的层次来作的，还不能在网络接入等底层对接入用户作授权，一但黑客攻入系统主机，仍有可能对系统进行破坏，或者窃取数据。可见，网络层面接入的认证和授权同样重要。许多企业采用拨号线路为外地客户机提供接入以保障安全，总部为这些接入提供MODEM池和RAS服务。但者依然存在数据加密和授权灵活行的问题，同时，拨号线路也过于昂贵，并且速度也是个大问题。对于要求快速响应的大企业的ERP系统来说是不允许的。由于VPN（虚拟专网）比租用专线更加便宜、灵活，所以有越来越多的公司采用VPN，连接在家工作和出差在外的员工，以及替代连接分公司和合作伙伴的标准广域网。VPN建在互联网的公共网络架构上，通过“隧道”协议，在发端加密数据、在收端解密数据，以保证数据的私密性。现在大多数远程安全访问解决方案是采用IPSec VPN方式，其组网结构是在站点到站点的vpn组网方式。IPSec是网络层的VPN技术，表示它独立于应用程序。IPSec以自己的封包封装原始IP信息，因此可隐藏所有应用协议的信息，一旦IPSec建立加密隧道后，就可以实现各种类型的连接。但是，部署IPSec需要对基础设施进行重大改造，以便远程访问，同时IPSec VPN在解决远程安全访问时具有几个比较大的缺点，如:l IPSec VPN最大的难点在于客户端需要安装复杂的软件，而且当用户的VPN策略稍微有所改变时，VPN的管理难度将呈几何级数增长。客户软件带来了人力开销，而许多公司希望能够避免；某些安全问题也已暴露出来，这些问题主要与建立开放式网络层连接有关。除此以外，除非已经在每一台客户使用的计算机上安装了管理软件，软件补丁的发布和远程电脑的配置升级将是一件十分令人头疼的任务（如果不说不可能的话）。l IPSec VPN的连接性会受到网络地址转换（NAT）的影响，或受网关代理设备（proxy）的影响；l IPSec VPN需要先完成客户端配置才能建立通信信道，并且配置复杂，尤其是对于NAT和穿越防火墙，往往要在这些设备上作复杂的配置以配合IPsec VPN的工作。l 采用隧道方式，使远程接入的安全风险增加；由于IPSec VPN在连接的两端创建隧道，提供直接（而非代理）访问，并对全部网络可视，因此IPSec VPN会增加安全风险。一旦隧道建立，就像用户的PC机在公司局域网内部一样，用户能够直接访问公司全部的应用，由此会大大增加风险。用户使用个人计算机在家里或者通过无线局域网工作还面临着黑客的威胁。l 不适合用作移动用户，如家庭、网吧，宾馆等上网用户；l 应用层接入控制不灵活，这源于他是在IP层之上的VPN系统。从投资的角度看IPsec VPN，要真正建立IPSec VPN，单单有客户端软件是很不够的。如果没有防火墙和其他的安全软件，客户端机器非常容易成为黑客攻击的目标。这些客户端很容易被黑客利用，他们会通过VPN访问企业内部系统。这种黑客行为越来越普遍，而且后果也越来越严重。例如，如果雇员从家里的计算机通过公司VPN访问企业资源，在他创建隧道前后，他十几岁的孩子在这台电脑上下载了一个感染了病毒的游戏，那么，病毒就很有可能经过VPN在企业局域网内传播。另外，如果黑客侵入了这台没有保护的PC，他就获得了经过IPSec VPN隧道访问公司局域网的能力。因此，在建设IPSec VPN时，必须购买适当的安全软件，这个软件的成本必须考虑进去也是很高的。2. ERP系统安全接入解决方案2.1. 方案简介下图是一个典型的SSL VPN组网的拓扑结构图，圆圈中为企业的ERP系统，远端用户通过internet与ERP数据中心相连。此时，在企业边缘部署SSL VPN网关Array Networks SPX ( security proxy),SPX可以放在路由器和防火墙的后面，提供SSL VPN门户站点。所有上网用户必须登陆此 SSL VPN 门户站点才能访问SSL VPN，同时每个用户必须有自己的帐号、口令并享有访问SSL VPN各种资源的相应权限。SPX提供的门户站点IP地址可以是公网地址，也可以是防火墙等地址提供的NAT后的私有地址。此时，防火墙可以只对SPX开放https的端口地址，缺省为TCP 443端口。采用SSL VPN的第一项好处就是降低成本。虽然购买软件或硬件的费用不一定便宜，但部署SSL VPN很便宜。安装了这类软件或硬件，使用者基本上就不需要IT部门的支持了，只要从其PC机上的浏览器向公司SSL VPN网关注册即可。SSL连接也更稳定。因为IPSec VPN是网络层连接，故容易中断。据Infonetics最近发表的报告表明， SSL将不断获得吸引力。到2005年，74%的移动员工将依赖VPN（比2003年增加15%），预计增长率主要来自SSL，这种IPSec以外的替代方案避开了部署及管理必要客户软件的复杂性和人力需求。最终用户避免了携带电脑，通过与因特网连接的任何设备就能获得访问，SSL更容易满足大多数员工对移动连接的需求。用户通过与因特网连接的任务设备实现连接，并借助于SSL隧道获得安全访问。虽然这需要在企业防火墙后面增添硬件，但企业只要管理一种设备，不必维护、升级及配置客户软件。2.2. 接入方式：现在，Web成为标准平台已势不可挡，越来越多的企业开始将ERP系统移植到Web上。ERP 将是SSL VPN应用的直接受益者，它被认为是实现远程安全访问Web应用的最佳手段。对于不采用WEB作ERP客户端地企业，如采用ERP专用图像客户端地C/S结构，Array Networks SPX产品仍有模块来满足这些C/S结构的ERP应用，如SPX 的Application Manager模块和 L3VPN模块。其中SSL VPN部署的层次在ERP Application Layer和 Presentation Layer之间。如下图：对于B/S结构的ERP系统：SPX采用WRM（WEB Resource Mapping）模块来实现，利用Array的SSL VPN的Web资源映射可以实现：通过标准浏览器访问企业ERP系统；支持URL-NAT：URL的动态重写，提高安全性；强迫认证，强迫任何访问Intranet的请求都必须先通过AAA；隐藏内部资源：可以隐藏Intranet的资源路径，提高整体安全性。利用Array的SSL VPN的Web资源映射可以实现：支持OWA (Outlook Web Access);URL-NAT：URL的动态重写；强迫认证：强迫任何访问Intranet的请求都必须先通过AAA；隐藏内部资源：可以隐藏Intranet的资源路径，提高整体安全性。网络资源映射是一项新技术，旨在把Web应用生成的几乎所有URL都统一成指向一个安全入口点的URL。这种映射对管理员来说是透明的， 无须人工干预。网页中嵌套的链接被自动转换成指向Array SPX。当Array SPX收到映射后的URL后，会智能地和真正的后台服务器进行交互。支持URL-NAT：URL的动态重写；强迫认证：强迫任何访问Intranet的请求都必须先通过AAA；隐藏内部资源：可以隐藏Intranet的资源路径，提高整体安全性。检查HTTP URL，过滤恶意的HTTP请求。URL过滤检查规则十分丰富，可以基于HTTP请求的header length 、request length 、URL and query length 进行检查，也可以基于HTTP请求的ASCII码或者关键字进行检查。当使用公司内部不同的应用系统时，需要输入不同的 “用户名+ 口令”，资源预定系统一个口令、Outlook 一个口令、销售系统又一个口令，很麻烦。因为需要在不同的Web服务器上进行不同的授权管理，管理员也倍感疲惫。Array Networks SPX支持单点登陆，可以让用户访问不同的网站只需要一次登录，一次认证，可以有效降低管理负担和方便使用。对于C/S结构的ERP系统：SPX采用Application Manager模块来实现，通常，ERP系统的远端客户端访问都是访问几个TCP端口，对于这几个TCP端口，SPX启动Application Manager功能时，客户端将下载Java Applet将作为TCP PROXY运行在客户端，它侦听客户端的特定ERP TCP端口的请求，并把请求通过SSL连接发给SPX,SPX将终结SSL连接并和企业内网ERP服务器建立请求连接。由于只是对几个TCP端口提供SSL VPN服务，所以远比通过隧道方式实现要安全的多。对于ERP系统维护人员：SPX采用L3VPN模块来实现，此项功能是在客户端和SPX之间通过SSL的连接建立一条VPN通道，客户端将会生成一个虚拟网卡，并修改本机的路由表。这样，客户端虚拟网卡上就会配备一个和企业内网地址体系一致的网址，并通过这条VPN通道直连到企业内网，就好像客户端机器在企业内部一样。当然这个模块只赋给特定的ERP系统维护人员此项功能是在客户端和SP之间通过SSL的连接建立一条VPN通道，客户端将会生成一个虚拟网卡，并修改本机的路由表。这样，客户端虚拟网卡上就会配备一个和企业内网地址体系一致的网址，并通过这条VPN通道直连到企业内网，就好像客户端机器在企业内部一样。这样，就构建了一个类似IPSEC VPN一样的网络层的VPN，同时通过VPN通道的所有流量都是经过SSL加密的，保证了数据的安全性。由于此VPN是建立在网络层之上的，所以所有基于IP的应用都可以运行，包括基于动态TCP 、UDP端口的应用，以及NETBIOS、ICMP等应用。2.3. 同IPSec VPN相比SSL VPN的特点：l SSL VPN的客户端程序，如Microsoft Internet Explorer、Netscape Communicator、Mozilla等已经预装在了终端设备中，因此不需要再次安装；l SSL VPN可在NAT代理装置上以透明模式工作；l SSL VPN不会受到安装在客户端与服务器之间的防火墙的影响。l SSL VPN将远程安全接入延伸到IPSec VPN扩展不到的地方，使更多的员工，在更多的地方，使用更多的设备，安全访问企业网络资源，同时降低了部署和支持费用。SSL VPN正在成为远程接入的事实标准，下面列举了其中的一些理由。l SSL VPN可以在任何地点，利用任何设备，连接到相应的网络资源上。SSL VPN通信运行在TCP/ UDP协议上，具有穿越防火墙的能力。这种能力使SSL VPN能够从一家用户网络的代理防火墙背后安全访问另一家用户网络中的资源。IPSec VPN通常不能支持复杂的网络，这是因为它们需要克服穿越防火墙、IP地址冲突等困难。鉴于IPSec客户机存在的问题，IPSec VPN实际上只适用于易于管理的或者位置固定的设备。l SSL VPN是基于应用的VPN，基于应用层上的连接意味着（和IPSec VPN 比较），SSL VPN 更容易提供细粒度远程访问（即可以对用户的权限和可以访问的资源、服务、文件进行更加细致的控制，这是IPSec VPN难以做到的）。3. SSL VPN提升ERP系统的安全性3.1. 轻松实现内部网到外部网的扩展l 无需客户端专用软件、通过普通浏览器接入。l Web Resource Mapping 接入企业WEB应用，而不用更换内部应用系统或暴露内部域名。l 支持企业固定TCP端口的C/S应用。l 支持IP层VPN，实现客服各系统维护人员的访问。3.2. 支持通用 SSL 加密算法l 密钥算法: DES (56-bit), 3DES (168-bit), AESl RC4 (128-bit)l 公钥算法: RSA (1024-bit+)l 消息认证: MD5 (128-bit), SHA-1 (160-bit)l Web 客户与Array SPX之间SSL加密l Array SPX 与后台服务器之间明文或SSL加密3.3. 用户认证、授权l 认证：支持传统的Radius、LDAP 、Active Directory、SecurID 等认证方式，同时提供Local(本地数据库)认证方式.l 授权：基于用户或用户组的接入控制；基于URLs限定接入内部资源；基于用户IP地址限定接入3.4. 审计和管理l 记录所有行为：用户登陆/登出；认证/授权失败；被请求的 URLs。l 支持的Syslog ：最多8个可配置的log消息；Emergency, Alert, Critical, Error, Warning, Notice, Info, Debug；Log消息时间戳。l 支持SNMP V2 ：支持 SNMP GET，允许实时地监测系统状态，包括流量负载，活动连接，用户登陆/登出和认证失败等。3.5. 多层安全控制机制l Webwall应用层防火墙：基于IP/TCP/UDP的包过滤机制；防DOS攻击；基于状态检测的防火墙功能l 基于URL的过滤机制。l 端到端的SSL加密l 强大的AAA功能l 通过WRM隐藏内部资源路径3.6. 证书管理为保证网上数字信息的传输安全，除了在通信传输中采用更强的加密算法等措施之外，必须建立一种信任及信任验证机制，即参加应用的各方必须有一个可以被验证的标识，这就是数字证书。数字证书符合X.509国际标准，同时数字证书的来源必须是可靠的。这就应有一个网上各方都信任的机构，专门负责数字证书的发放和管理，确保网上信息的安全，这个机构就是CA认证机构。各级CA认证机构的存在组成了整个应用服务的信任链。ARRAY SPX 的证书管理支持以下项目：支持X.509 标准协议；支持客户端证书认证；支持Certificate Revocation List (证书撤销列表)；支持intermediate CA Certificate4. 采用Array Networks SSL VPN接入ERP系统特点：l 用户端无需安装专用的VPN客户端软件。使用标准的浏览器，如IE 和 Netscape即可接入SSL VPN访问ERP系统。提供免客户端、任何地点的访问能力、增加的安全性，使得IT部门管理更容易，和IPSec VPN相比，终端用户使用更简化。由于没有配置、管理和支持终端用户复杂的IPSec客户端软件的负担，SSL VPN的支持更便宜，也比IPSec更容易部署。l SSL VPN能为使用者提供任意地方的访问能力。使用者可以在他们能得到Internet接入能力的地方访问他们的应用从机场商务中心，从任何他人的计算机，甚至任何无线设备。SSL也能在宽带网络上工作。此外，SSL VPN可以成功地穿越防火墙，能处理网络地址转换（NAT）问题，而对基于IPSec的VPN来说，这是一个难题。l SPX 采用的是SSL PROXY技术。因此，使用者根本没有和他们要访问的资源直接建立连接，并且隐藏了那不DNS解析空间，所以安全度是很高的。即使是SPX提供的L3VPN技术，在其VPN隧道内部我们依然存在一个网络层的防火墙提供安全保护。l 用户接入ERP系统是经过认证的。认证方式可以采用Array Networks SSL VPN设备自己的用户数据库，也可以和内部系统已有的认证系统结合起来，如AD、RADIUS等l 用户接入ERP系统是经过授权的。针对不同的用户或用户所属的组，SSL VPN可以按VPN系统预定义的规则来对用户的访问权限进行设定。l 用户接入ERP系统是经过加密的。Array Networks SSL VPN设备采用强加密算法，如：私钥算法：DES (56-bit), 3DES (168-bit), RC4 (128-bit)，公钥算法: RSA (1024-bit+)，消息认证: MD5 (128-bit), SHA-1 (160-bit)l 用户使用方便：用户可以是NAT，或者是通过HTTP代理等灵活的方式，只需保持SSL通道畅通既可。l 部署方式灵活多样:SSL VPN网关SPX可以放在路由器、防火墙后面使用NAT后的私有地址。Array Networks SPX支持单臂和双臂网络结构。SSL VPN通常安装在防火墙和服务器之间，如果以透明方式运等行，除了在防火墙上简单地开放所需要的HTTPS 443 端口外，无须对原有网络再做任何变动；也无须像IPSec VPN那样考虑网络中间的 NAT设备，以及客户端的各种接入方式等等。l 管理更加容易：采用SSL VPN要比IPSec VPN更容易管理，由于使用者可以从任何浏览器更安全地访问应用，所以，像SSL VPN能减少分发和管理客户端软件的麻烦。 同时，不需要改变网络，不需要修改防火墙配置和修改终端用户的配置，所以，比采用IPSec有更低的总体拥有成本。l 对于商业伙伴和客户访问更加适合：Array Networks的解决方案也能在这种情况下工作得很好，它们给企业提供更高层的安全。而且由于不需要合作伙伴在他们的网络中添加任何设备，所以SSL VPN更容易被合作伙伴接受，也比传统的VPN更少受到来自合作伙伴环境的黑客威胁。l 支持集群技术：Array在给服务器提供高容错性，高可靠性的前提是，Array设备本身的容错性和高可靠性。Array支持Cluster的工作模式，提供11 和N1 的冗余配置模式，能工作在Active/Standby或Active/Active方式。l Single Sigh On：当使用公司内部不同的应用系统时，需要输入不同的 “用户名+ 口令”，资源预定系统一个口令、Outlook 一个口令、销售系统又一个口令，很麻烦。因为需要在不同的Web服务器上进行不同的授权管理，管理员也倍感疲惫。Array Networks SPX支持单点登陆，可以让用户访问不同的网站只需要一次登录，一次认证，可以有效降低管理负担和方便使用。l Session 级保护：在会话停止一段时间以后自动停止会话，如果需要继续访问则要从新登陆，通过对Session的保护来起到数据被窃听后伪装访问的攻击。5. SSL VPN安全接入对于ERP系统的益处通过Array的SSL VPN实现ERP系统的安全接入，可以“帮助企业提高生产力，改善用户使用体验”。Array安全接入解决方案具有以下优点：5.1. 提高信息安全性防止信息泄漏 由于客户端与SSL VPN网关之间实现高强度的加密信息传输，因此虽然信息传输是通过公网进行的，但是其安全性是可以得到保证的。第三方即使可以得到传输数据，但是却无法得到隐藏到其中的明文信息。因此敏感的信息如业务帐号等被保护起来，杜绝了有效信息的泄露。 杜绝非法访问 SSL VPN的访问要经过认证和授权，充分保证用户身份的合法性。SSL VPN只允许那些拥有相应权限的用户进行网络连接。如果请求连接的用户没有合法身份，则SSL VPN将拒绝其连接请求，从而限制了非法用户对内网的访问。 保护信息的完整性 SSL VPN使用数字证书进行机密性与完整性参数的协商，它不仅能够对所传输的数据进行机密性的保护，同时也对其提供完整性保护。当在传输过程中的数据被篡改之后，SSL VPN是可以检测到的，如果检测到数据被篡改，他们就会放弃所接收到的数据。 防止用户假冒 Array Networks提供多种认证和授权方式，包括本地 本地用户数据库，并且可以和其他更加强大的认证系统结合起来，如ad，radius，RSA SecurID，SecureComputing等。保证系统的可用性 SSL VPN使用内网、外网相互隔离，只开放所需服务的方式来实现，这样客户端只能通过授权使用所开放的服务，除该服务之外的其它服务都无从访问，从而减少了很多对内网系统进行攻击的途径，达到了对内部网络的最大保护。5.2. 灵活的用户管理和访问控制Array Networks 提供多种多样的认证机制和授权访问机制，存在本地用户数据库，可以配置在SSL VPN网关设备上。由于ERP系统一般都已购买了AAA服务器，如Radius、LDAP等，Array Networks SPX业可以和他们完美的结合起来，保护用户的投资。Array Networks SSL VPN组网方案是面向应用的VPN方案，可以做到基于应用的精细控制，基于用户和组赋予不同的应用访问权限，并对相关访问操作进行审计。这是一般基于网络的VPN所办不到的。5.3. 方便实施，简单使用Array Networks SSL VPN方案是无客户端的VPN方案，客户端只需要具备标准的浏览器即可，甚至PDA终端都可以使用。对于使用者来讲，由于对浏览器操作要比专用的软件操作简单的多，也熟悉的多，所以客户端使用非常简单，使用于各种各样的人群，甚至是对IT系统不甚了解的人也一样操作。同时，Array Networks SSL VPN方案 实施起来非常简单，只需要在ERP系统的数据中心部署SSL VPN网关即可，无需在各地市支行或大客户那里部署硬件或软件设备。SPX 支持单臂和双臂结构，可以充分适应ERP系统数据中心的网络结构。5.4. 降低管理和维护成本Array Networks SSL VPN方案是无客户端的方案，由于客户端采用标准浏览器，SSL VPN的网关只需要在ERP系统的数据中心部署，他的维护操作都是在SPX上面进行的，包括用户的授权，访问应用的各种配置等操作。它的管理工作属于集中管理和集中维护模式，可以极大的降低管理和维护成本。