OA 系统应用安全接入解决方案

1、ArrayNetworksCompany Confidential- PAGE 3 -企业办公自自动化系统统安全接入解解决方案Arrayy Nettworkks, IInc.2004年年10月目录TOC o 1-3 h z u HYPERLINK l _Toc87935527 1.OAA系统需求求分析 PAGEREF _Toc87935527 h 3 HYPERLINK l _Toc87935528 1.1 OOA系统背背景介绍 PAGEREF _Toc87935528 h 3 HYPERLINK l _TToc8779355529 1.2 OA系系统安全现现状 PAGEREF _Toc879

2、35529 h 3 HYPERLINK l _Toc87935530 2.OAA系统SSLL VPNN解决方案案 PAGEREF _Toc87935530 h 7 HYPERLINK l _Toc87935531 2.1 方方案介绍 PAGEREF _Toc87935531 h 7 HYPERLINK l _Toc87935532 2.2 该该方案的安安全特点： PAGEREF _Toc87935532 h 8 HYPERLINK l _Toc87935533 2.3 采采用SSLL VPNN接入OA系统的的优势 PAGEREF _Toc87935533 h 9 HYPERLINK l _To

3、c87935534 3.OAA系统SSLL VPNN解决方案案案例 PAGEREF _Toc87935534 h 10 HYPERLINK l _Toc87935535 3.1 MMicroosoftt Excchangge Seerverr系统 PAGEREF _Toc87935535 h 10 HYPERLINK l _Toc87935536 3.2 IIBM LLotuss Dommino 系统 PAGEREF _Toc87935536 h 12 HYPERLINK l _Toc87935537 4.SSSL VPPN提升OA系统的的安全性 PAGEREF _Toc87935537 h

4、14 HYPERLINK l _Toc87935538 4.1轻松松实现内部部网到外部部网的扩展展 PAGEREF _Toc87935538 h 14 HYPERLINK l _Toc87935539 4.2 支支持通用 SSL 加密算法法 PAGEREF _Toc87935539 h 14 HYPERLINK l _Toc87935540 4.3 用用户认证、授权 PAGEREF _Toc87935540 h 15 HYPERLINK l _Toc87935541 4.4审计计和管理 PAGEREF _Toc87935541 h 15 HYPERLINK l _Toc87935542 4.5

5、 多多层安全控控制机制 PAGEREF _Toc87935542 h 15 HYPERLINK l _Toc87935543 4.6 证证书管理 PAGEREF _Toc87935543 h 16 HYPERLINK l _Toc87935544 4.7 支支持集群技技术 PAGEREF _Toc87935544 h 16 HYPERLINK l _Toc87935545 4.8 SSinglle Siigh OOn PAGEREF _Toc87935545 h 16 HYPERLINK l _Toc87935546 4.9 SSessiion 级级保护 PAGEREF _Toc8793554

6、6 h 17 HYPERLINK l _Toc87935547 5.SSSL VPPN安全接接入对于企企业的益处处 PAGEREF _Toc87935547 h 17 HYPERLINK l _Toc87935548 5.1 提提高信息安安全性 PAGEREF _Toc87935548 h 17 HYPERLINK l _Toc87935549 5.2 灵灵活的用户户管理和访访问控制 PAGEREF _Toc87935549 h 18 HYPERLINK l _Toc87935550 5.3 方方便实施，简简单使用 PAGEREF _Toc87935550 h 18 HYPERLINK l _

7、TToc8779355551 5.4 降低管理理和维护成成本 PAGEREF _Toc87935551 h 18 HYPERLINK l _Toc87935552 5.5 高高度的扩展展性和灵活活性 PAGEREF _Toc87935552 h 19 Company ConfidentialOA系统需需求分析1.1 OOA系统背背景介绍当前，企业业信息处理理量不断加加大，企业业资源管理理的复杂化化也不断加加大，这要要求信息的的处理有更更高的效率率，传统的的人工管理理方式难以以适应以上上系统，而而只能依靠靠计算机系系统来实现现。企业办办公自动化化系统(OOA系统)是为企业数据共共享、员工工之间或

8、员员工与外部部团体联系系提供的消消息与协作作平台，已已经为几乎乎所有的大大中型企业业所应用。现在一般的的大中型企企业，都会会有企业pportaal系统和和OA系统统，甚至有有的企业统统称为OAA系统。随随着OA系系统的发展展，企业办办公自动化化系统已经经不止是简简单的邮件件收发等无无纸办公的的概念，她她主要包括括信息管理理和协同作作业两部分分。包含的的信息也涵涵盖了一般般信息、特特殊格式的的文件、多多媒体、图图片或其他他的对象。采用的形形式则有电电子邮件，日日历，即时时消息甚至至视频会议议等多种形形式。其中用的最最多的有MMicroosoftt Excchangge 系统统和IBMM Lott

9、us DDominno系统。1.2 OA系统统安全现状状对于OA系系统的安全全问题，大大多数企业业考虑最多多的还是病病毒，认为为病毒对企企业的办公公环境影响响最大，所所以大部分分的财力人人力都投向向了防病毒毒系统，当当然这是对对的。但这这还远远不不够，仍然然会有很多多心怀叵测测的人或者者组织对企企业发起攻攻击，甚至至数据窃密密等，往往往对企业的的核心数据据造成不可可弥补的损损失。很多企业采采用了网络络防火墙来来加强安全全措施。但但防火墙又又不容易做做到数据的的加密，用用户的认证证和鉴权等等，尤其是是不容易作认证鉴权权。有些OAA系统采用用软件加密密，但软件件加密会消消耗大量用用户服务器器的资源

10、，影影响OA系统的的响应速度度。一些企业采采用拨号线线路为外地地客户机提提供接入以以保障安全全，总部为为这些接入入提供MOODEM池池和RASS服务。但但是依然存存在数据加加密和授权权灵活行的的问题，同同时，拨号号线路也过过于昂贵，并并且速度也也是个大问问题。对于于要求快速速响应的大大企业的OOA系统来来说是不允允许的。由于VPNN（虚拟专专网）比租租用专线更更加便宜、灵活，所所以有越来来越多的公公司采用VVPN，连连接在家工工作和出差差在外的员员工，以及及替代连接接分公司和和合作伙伴伴的标准广广域网。VVPN建在在互联网的的公共网络络架构上，通通过“隧道道”协议，在在发端加密密数据、在在收端

11、解密密数据，以以保证数据据的私密性性。现在很多多远程安全全访问解决决方案是采采用IPSSec VVPN方式式，其组网网结构是在在站点到站站点的vppn组网方方式。IPPSec是是网络层的的VPN技技术，表示示它独立于于应用程序序。IPSSec以自自己的封包包封装原始始IP信息息，因此可可隐藏所有有应用协议议的信息，一一旦IPSSec建立立加密隧道道后，就可可以实现各各种类型的的连接。但但是，部署署IPSeec需要对对基础设施施进行重大大改造，以以便远程访访问，同时时IPSeec VPPN在解决决远程安全全访问时具具有几个比比较大的缺缺点，如:IPSecc VPNN最大的难难点在于客客户端需要要

12、安装复杂杂的软件，而而且当用户户的VPNN策略稍微微有所改变变时，VPPN的管理理难度将呈呈几何级数数增长。客客户软件带带来了人力力开销，而而许多公司司希望能够够避免；某某些安全问问题也已暴暴露出来，这这些问题主主要与建立立开放式网网络层连接接有关。除除此以外，除除非已经在在每一台客客户使用的的计算机上上安装了管管理软件，软软件补丁的的发布和远远程电脑的的配置升级级将是一件件十分令人人头疼的任任务（如果果不说不可可能的话）。IPSecc VPNN的连接性性会受到网网络地址转转换（NAAT）的影影响，或受受网关代理理设备（pproxyy）的影响响；IPSecc VPNN需要先完完成客户端端配置才

13、能能建立通信信信道，并并且配置复复杂，尤其其是对于NNAT和穿穿越防火墙墙，往往要要在这些设设备上作复复杂的配置置以配合IIPsecc VPNN的工作。采用隧道方方式，使远远程接入的的安全风险险增加；由由于IPSSec VVPN在连连接的两端端创建隧道道，提供直直接（而非非代理）访访问，并对对全部网络络可视，因因此IPSSec VVPN会增增加安全风风险。一旦旦隧道建立立，就像用用户的PCC机在公司司局域网内内部一样，用用户能够直直接访问公公司全部的的应用，由此会大大大增加风风险。用户户使用个人人计算机在在家里或者者通过无线线局域网工工作还面临临着黑客的的威胁。不适合用作作移动用户户，如家庭庭

14、、网吧，宾宾馆等上网网用户；应用层接入入控制不灵灵活，这源源于他是在在IP层之之上的VPPN系统。从投资的角角度看IPPsec VPN，要真正建立IPSec VPN，单单有客户端软件是很不够的。如果没有防火墙和其他的安全软件，客户端机器非常容易成为黑客攻击的目标。这些客户端很容易被黑客利用，他们会通过VPN访问企业内部系统。这种黑客行为越来越普遍，而且后果也越来越严重。例如，如果雇员从家里的计算机通过公司VPN访问企业资源，在他创建隧道前后，他十几岁的孩子在这台电脑上下载了一个感染了病毒的游戏，那么，病毒就很有可能经过VPN在企业局域网内传播。另外，如果黑客侵入了这台没有保护的PC，他就获得了

15、经过IPSec VPN隧道访问公司局域网的能力。因此，在建设IPSec VPN时，必须购买适当的安全软件，这个软件的成本必须考虑进去也是很高的。最好的方法法是采用SSSL VVPN组网网。同IPSeec VPPN相比，SSSL VVPN具有有如下优点点：SSL VVPN的客客户端程序序，如Miicrossoft Inteernett Expploreer、Neetscaape CCommuunicaator、Moziilla等等已经预装装在了终端端设备中，因因此不需要要再次安装装；SSL VVPN可在在NAT代代理装置上上以透明模模式工作；SSL VVPN不会会受到安装装在客户端端与服务器器之

16、间的防防火墙的影影响。SSL VVPN将远远程安全接接入延伸到到IPSeec VPPN扩展不不到的地方方，使更多多的员工，在在更多的地地方，使用用更多的设设备，安全全访问企业业网络资源源，同时降降低了部署署和支持费费用。SSSL VPPN正在成成为远程接接入的事实实标准，下下面列举了了其中的一一些理由。SSL VVPN可以以在任何地地点，利用用任何设备备，连接到到相应的网网络资源上上。SSLL VPNN通信运行行在TCPP/ UDDP协议上上，具有穿穿越防火墙墙的能力。这种能力力使SSLL VPNN能够从一一家用户网网络的代理理防火墙背背后安全访访问另一家家用户网络络中的资源源。IPSSec

17、VVPN通常常不能支持持复杂的网网络，这是是因为它们们需要克服服穿越防火火墙、IPP地址冲突突等困难。鉴于IPPSec客客户机存在在的问题，IIPSecc VPNN实际上只只适用于易易于管理的的或者位置置固定的设设备。SSL VVPN是基基于应用的的VPN，基于应用层上的连接意味着（和IPSec VPN 比较），SSL VPN 更容易提供细粒度远程访问（即可以对用户的权限和可以访问的资源、服务、文件进行更加细致的控制，这是IPSec VPN难以做到的）。OA系统SSSL VVPN解决决方案2.1 方方案介绍现在，WWeb成为为标准平台台已势不可可挡，越来来越多的企企业开始将将OA系统移植到到W

18、eb上上,当然企企业门户系系统肯定是是基于Weeb的。OA系统统将是SSLL VPNN应用的直直接受益者者，它被认认为是实现现远程安全全访问Weeb应用的的最佳手段段。对于不不采用WEEB作OAA系统客户户端的企业业，ArrrayNeetworrks SSP产品仍仍有模块来来满足这些些C/S结结构的OAA应用，如如SP 的的Appllicattion Manaager模模块和 LL3VPNN模块。典型的逻逻辑结构如如下： 其中，Weeb Reesourrce MMappiing 、Appllicattion 、L3VVPN是SSP 提供供的三个应应用模块，针针对不同的的OA应用用可以采用用不同

19、的SSSL VVPN模块块。这样无无论员工是是在家、宾宾馆、抑或或是竞争对对手那里，都都可以轻松松又十分安安全地接入入企业OAA系统。2.2 采采用SSLL VPNN接入OAA系统的优势势用户端无需需安装专用用的VPNN客户端软软件，使用标准准的浏览器器，如IEE 和 NNetsccape即即可接入SSSL VVPN访问问OA系统统。提供免免客户端、任何地点点的访问能能力、增加加的安全性性，使得IIT部门管管理更容易易，和IPPSec VPN相相比，终端端用户使用用更简化。由于没有有配置、管管理和支持持终端用户户复杂的IIPSecc客户端软软件的负担担，SSLL VPNN的支持更更便宜，也也比

20、IPSSec更容容易部署。SSL VVPN能为为使用者提提供任意地地方的访问问能力。使用者可可以在他们们能得到IInterrnet接接入能力的的地方访问问他们的应应用从从机场商务务中心，从从任何他人人的计算机机，甚至任任何无线设设备。SSSL也能在在宽带网络络上工作。此外，SSSL VVPN可以以成功地穿穿越防火墙墙，能处理理网络地址址转换（NNAT）问问题，而对对基于IPPSec的的VPN来来说，这是是一个难题题。服务器端也也无需安装装任何额外外的VPNN专用软件件。SP 采用用的是SSSL PRROXY技技术，因此，使使用者根本本没有和他他们要访问问的资源直直接建立连连接，并且且隐藏了那那

21、不DNSS解析空间间，所以安安全度是很很高的。即使是SSP提供的的L3VPPN技术，在在其VPNN隧道内部部我们依然然存在一个个网络层的的防火墙提提供安全保保护。用户接入OOA系统是是经过认证证的，认证证方式可以以采用ArrrayNNetwoorks SSL VPN设设备自己的的用户数据据库，也可可以和OAA已有的认认证系统结结合起来，如如AD、RRADIUUS等用户接入OOA系统是是经过经过过精细授权权控制的，针对不同同的用户或或用户所属属的组，SSSL VVPN可以以按 OAA系统预定定义的规则则来对用户户的访问权权限进行设设定。用户接入OOA系统是是经过加密密的，ArrrayNNetwo

22、orks SSL VPN设设备采用强强加密算法法，如：私私钥算法：DES (56-bit), 3DDES (168-bit), RCC4 (1128-bbit)，公钥算法法: RSSA (11024-bit+)，消息认证证: MDD5 (1128-bbit), SHAA-1 (160-bit)用户使用方方便：用户户可以是NNAT，或或者是通过过HTTPP代理等灵灵活的方式式，只需保保持SSLL通道畅通通既可。部署方式灵灵活多样。SSL VPN网网关SP可可以放在路路由器、防防火墙后面面使用NAAT后的私私有地址。管理更加容容易。采用用SSL VPN要要比IPSSec VVPN更容容易管理，由由

23、于使用者者可以从任任何浏览器器更安全地地访问应用用，所以，像像SSL VPNN能减少分分发和管理理客户端软软件的麻烦烦。 同时，不需需要改变网网络，不需需要修改防防火墙配置置和修改终终端用户的的配置，所所以，比采采用IPSSec有更更低的总体体拥有成本本。支持Cluusterr技术。为OA系统提提供高可靠靠性。OA系统SSSL VVPN解决决方案案例例3.1 MMicroosoftt Excchangge Seerverr系统Exchaange 20000 Serrver 最主要的的两大功能能是：信息息管理与协协同作业。也就是说说Exchhangee 20000 Serrver并并不是简单单的

24、E-mmail服服务器的代代名词，而而是一种交交互式传送送和接收的的重要场所所，它包含含了一般信信息、特殊殊格式的文文件、多媒媒体、图片片或其他的的对象。做为Excchangge的前端端工具的OOutloook，在在现今更突突出了它的的重要性，它它不但用来来收发E-maill，还含有有便笺、草草稿、任务务、日历、日志、联联系人与公公用文件夹夹，增加了了灵活性。如再配合合Micrrosofft Offficee各项结构构化文件，加加上其传阅阅功能，即即可建立一一个资源管管理系统，让让协同作业业正常运行行。企业信息管管理的基础础在于通讯讯管理及组组织管理，它它的首要条条件是先架架设一个畅畅通无阻的

25、的企业内部部网络（IIntraanet）。在Miccrosooft的架架设中，可可以先用WWindoows 22000 Servver系列列软件来架架设企业内内部网络。然后将EExchaange 20000 Serrver导导入，利用用Winddows 20000 Serrver与与Exchhangee 20000 Seerverr的整合，来来达到通讯讯及组织管管理的目的的。从上图我们们仍可以看看出，以Exchhangee Serrver为为基础构成成的企业OOA系统的的客户端和和OA sserveer的架构构也基本分分为两类：B/S结构构，客户端端采用OWWA接入，既既采用Weeb Brro

26、wseer接入OOA系统；C/S结构构，客户端端采用Ouutloook。对于OWAA接入：SP采用用WRM（WWEB RResouurce Mappping）模模块来实现现，利用AArrayy的SSLL VPNN的Webb资源映射射可以实现现：通过标准浏浏览器访问问企业OAA系统；支持URLL-NAT：UURL的动动态重写，提提高安全性性；强迫认证，强强迫任何访访问Inttraneet的请求求都必须先先通过AAAA；隐藏内部资资源：可以以隐藏Inntrannet的资资源路径，提提高整体安安全性。而且，经第第三方测试试，ArrrayNeetowrrks SSP的WRRM有着极极佳的性能能表现。对

27、于Outtlookk作客户端端接入exxchannge sserveer EMMAIL系系统：由于于这些应用用都采用固固定的TCCP端口，如如SMTPP:25端端口；POOP3：1110端口口；IMAAP:1443端口等等。SP采采用Appplicaationn Mannagerr模块来实实现，通常常，OA系系统的远端端客户端访访问都是访访问这几个TCCP端口，对对于这几个个TCP端端口，SPP启动Apppliccatioon Maanageer功能时时，客户端端将下载JJava Appllet将作作为TCPP PROOXY运行行在客户端端，它侦听听客户端的的特定应用用TCP端端口的请求求，并

28、把请请求通过SSSL连接接发给SPP,SP将将终结SSSL连接并并和企业内内网Excchangge服务器器建立请求求连接。由由于只是对对几个TCCP端口提提供SSLL VPNN服务，所所以远比通通过隧道方方式实现要要安全的多多。对于使用OOutloook接入入Exchhangee serrver 复杂应用用：这类应用用比如使用用MAPII等。SPP采用L33VPN模模块来实现现，此项功功能是在客客户端和SSP之间通通过SSLL的连接建建立一条VVPN通道道，客户端端将会生成成一个虚拟拟网卡，并并修改本机机的路由表表。这样，客客户端虚拟拟网卡上就就会配备一一个和企业业内网地址址体系一致致的网址，

29、并并通过这条条VPN通通道直连到到企业内网网，就好像像客户端机机器在企业业内部一样样。3.2 IIBM LLotuss Dommino 系统IBM LLotuss Dommino 是一个世世界级的消消息服务解解决方案，同同时，它还还是快速开开发平台，用用户可以基基于此平台台快速开发发协作应用用。内置核心任任务 (邮邮件、日历历、目录、安全、WWeb服务务等) ；集成Doominoo管理、统统计、监控控等功能IBM LLotuss Nottes 是是客户端软软件，它提提供了工业业级的最高高安全性，它它是一个完完全功能的的协作客户户端通过Lottus NNotess，用户可可以访问邮邮件、日历历、

30、待办事事宜、联系系人信息等等Lotuss Nottes客户户端家族支支持从Weeb浏览器器, 移动动设备, 甚至Miicrossoft Outllook访访问Dommino。下图是Lootus Notees典型拓拓扑结构：对于Webb接入：SP仍然采用WWRM（WWEB RResouurce Mappping）模模块来实现现，利用AArrayy的SSLL VPNN的Webb资源映射射可以实现现：通过标准浏浏览器访问问企业OAA系统；支持URLL-NAT：UURL的动动态重写，提提高安全性性；强迫认证，强强迫任何访访问Inttraneet的请求求都必须先先通过AAAA；隐藏内部资资源：可以以隐藏

31、Inntrannet的资资源路径，提提高整体安安全性。目前经测试试对于Lootus Notees 6.5以上版版本，ArrrayNNetowwrks SP产品品给予支持持。对于Nottes 客客户端接入入Domiino 系系统：由于这些些应用都采采用固定的的TCP端端口，对于于不同的群群件，一般般会采用不不同的高端端TCP端口口。一般情情况下，OOA系统的的远端客户户端访问都都这几个TCCP端口，对对于这几个个TCP端端口，SPP启动Apppliccatioon Maanageer功能时时，客户端端将下载JJava Appllet将作作为TCPP PROOXY运行行在客户端端，它侦听听客户端的

32、的特定nootes客客户端 TTCP端口口的请求，并并把请求通通过SSLL连接发给给SP,SSP将终结结SSL连连接并和企企业内网DDominno服务器器建立请求求连接。由由于只是对对几个TCCP端口提提供SSLL VPNN服务，所所以远比通通过隧道方方式实现要要安全的多多。SSL VVPN提升升OA系统统的安全性性4.1轻松松实现内部部网到外部部网的扩展展无需客户端端专用软件件、通过普普通浏览器器接入。Web RResouurce Mappping 接入企业业OA应用，而而不用更换换内部应用用系统或暴暴露内部域域名。支持企业固固定TCPP端口的OOA应用。支持IP层层VPN，实实现OA系系统

33、维护人人员的访问问。4.2 支支持通用 SSL 加密算法法密钥算法: DESS (566-bitt), 33DES (1688-bitt), RRC4 (128-bit)公钥算法: RSAA (10024-bbit+)消息认证: MD55 (1228-biit), SHA-1 (1160-bbit)Web 客客户与Arrray SP之间间SSL加加密Arrayy SP 与后台服服务器之间间明文或SSSL加密密4.3 用用户认证、授权认证：支持持传统的RRadiuus、LDDAP 、Actiive DDirecctoryy、SeccurIDD 等认证证方式，同同时提供LLocall(本地数数据库

34、)认认证方式.授权：基于于用户或用用户组的接接入控制；基于URRLs限定定接入内部部资源；基基于用户IIP地址限限定接入4.4审计计和管理记录所有行行为用户登陆/登出认证/授权权失败被请求的 URLss支持的Syyslogg 最多8个可可配置的llog消息息Emerggencyy, Allert, Criiticaal, EErrorr, Waarninng, NNoticce, IInfo, DebbugLog消息息时间戳支持SNMMP V22 支持 SNNMP GGET，允允许实时地地监测系统统状态，包包括流量负负载，活动动连接，用用户登陆/登出和认认证失败等等。4.5 多多层安全控控制机

35、制Webwaall应应用层防火火墙：基于于IP/TTCP/UUDP的包包过滤机制制；防DOOS攻击；基于状态态检测的防防火墙功能能基于URLL的过滤机机制。端到端的SSSL加密密强大的AAAA功能通过WRMM隐藏内部部资源路径径4.6 证证书管理为保证网上上数字信息息的传输安安全，除了了在通信传传输中采用用更强的加加密算法等等措施之外外，必须建建立一种信信任及信任任验证机制制，即参加加应用的各方方必须有一一个可以被被验证的标标识，这就就是数字证证书。数字字证书符合合X.5009国际标标准，同时时数字证书书的来源必必须是可靠靠的。这就就应有一个个网上各方方都信任的的机构，专专门负责数数字证书的的

36、发放和管管理，确保保网上信息息的安全，这这个机构就就是CA认认证机构。各级CAA认证机构构的存在组组成了整个个应用服务务的信任链链。ARRAAY SPP 的证书书管理支持持以下项目目：支持X.5509 标标准协议。支持客户端端证书认证证。支持Cerrtifiicatee Revvocattion Listt (证书书撤销列表表)支持inttermeediatte CAA Cerrtifiicatee4.7 支支持集群技技术Arrayy在给服务务器提供高高容错性，高高可靠性的的前提是，AArrayy设备本身身的容错性性和高可靠靠性。Arrray支支持Cluusterr的工作模模式，提供供11 和

37、N11 的冗余余配置模式式，能工作作在Acttive/Stanndby或或Actiive/AActivve方式。 每个设设备独立的的流量的处处理，同时时又监视本本Clusster中中其它设备备的工作状状态； 能把CClustterinng 配置置成Acttive-Stanndby 或 Acttive-Actiive ； 利用VVRRP的的技术实现现 （ VRRRP虚拟拟路由冗余余协议， RFC 23388）。4.8 SSinglle Siigh OOn当使用公公司内部不不同的应用用系统时，需需要输入不不同的 “用户名+ 口令”，资源预预定系统一一个口令、Outllook 一个口令令、销售系系统

38、又一个个口令，很很麻烦。因因为需要在在不同的WWeb服务务器上进行行不同的授授权管理，管管理员也倍倍感疲惫。ArraayNettworkks SPP支持单点点登陆，可可以让用户户访问不同同的网站只只需要一次次登录，一一次认证，可可以有效降降低管理负负担和方便便使用。4.9 SSessiion 级级保护在会话停止止一段时间间以后自动动停止会话话，如果需需要继续访访问则要从从新登陆，通通过对Seessioon的保护护来起到数数据被窃听听后伪装访访问的攻击击。SSL VVPN安全全接入对于于企业的益益处通过Arrray的的SSL VPN实实现ERPP系统的安安全接入，可可以“帮助企业业提高生产产力，

39、改善善用户使用用体验”。Arrray安全全接入解决决方案具有有以下优点点：5.1 提提高信息安安全性 防防止信息泄泄漏 由于客户户端与SSSL VPPN网关之之间实现高高强度的加加密信息传传输，因此此虽然信息息传输是通通过公网进进行的，但但是其安全全性是可以以得到保证证的。第三三方即使可可以得到传传输数据，但但是却无法法得到隐藏藏到其中的的明文信息息。因此敏敏感的信息息如业务帐帐号等被保保护起来，杜杜绝了有效效信息的泄泄露。 杜绝非非法访问 SSLL VPNN的访问要要经过认证证和授权，充充分保证用用户身份的的合法性。SSL VPN只只允许那些些拥有相应应权限的用用户进行网网络连接。如果请求求

40、连接的用用户没有合合法身份，则则SSL VPN将将拒绝其连连接请求，从从而限制了了非法用户户对内网的的访问。 保护信信息的完整整性 SSL VPN使使用数字证证书进行机机密性与完完整性参数数的协商，它它不仅能够够对所传输输的数据进进行机密性性的保护，同同时也对其其提供完整整性保护。当在传输输过程中的的数据被篡篡改之后，SSL VPN是可以检测到的，如果检测到数据被篡改，他们就会放弃所接收到的数据。 防止用户假冒 ArryNetworks提供多种认证和授权方式，包括本地 本地用户数据库，并且可以和其他更加强大的认证系统结合起来，如ad，radius，RSA SecurID，SecureComputing等保证系统的可用性 SSL VPN使用内网、外网相互隔离，只开放所需服务的方式来实现，这样客户端只能通过授权使用所开放的服务，除该服务之外的其它服务都无从访问，从而减少了很多对内网系统进行攻击的途径，达到了对内部网络的最大保护。5.2 灵灵活的用户户管理和访访问控制ArraayNettworkks 提供供多种多样样的认证机机