企業(yè)辦公自動(dòng)化系統(tǒng)安全接入解決策劃方案

企業(yè)辦公自動(dòng)化系統(tǒng)安全接入解決方案 ArrayNetworks,Inc.2004年10月

目錄TOC\o"1-3"\h\z\u1. OA系統(tǒng)需求分析 31.1OA系統(tǒng)背景介紹 31.2OA系統(tǒng)安全現(xiàn)狀 32. OA系統(tǒng)SSLVPN解決方案 72.1方案介紹 72.2該方案的安全特點(diǎn)： 82.3采納SSLVPN接入OA系統(tǒng)的優(yōu)勢(shì) 93. OA系統(tǒng)SSLVPN解決方案案例 103.1MicrosoftExchangeServer系統(tǒng) 103.2IBMLotusDomino系統(tǒng) 124. SSLVPN提升OA系統(tǒng)的安全性 144.1輕松實(shí)現(xiàn)內(nèi)部網(wǎng)到外部網(wǎng)的擴(kuò)展 144.2支持通用SSL加密算法 144.3用戶認(rèn)證、授權(quán) 154.4審計(jì)和治理 154.5多層安全操縱機(jī)制 154.6證書治理 164.7支持集群技術(shù) 164.8SingleSighOn 164.9Session級(jí)愛(ài)護(hù) 175. SSLVPN安全接入關(guān)于企業(yè)的益處 175.1提高信息安全性 175.2靈活的用戶治理和訪問(wèn)操縱 185.3方便實(shí)施，簡(jiǎn)單使用 185.4降低治理和維護(hù)成本 185.5高度的擴(kuò)展性和靈活性 19OA系統(tǒng)需求分析1.1OA系統(tǒng)背景介紹當(dāng)前，企業(yè)信息處理量不斷加大，企業(yè)資源治理的復(fù)雜化也不斷加大，這要求信息的處理有更高的效率，傳統(tǒng)的人工治理方式難以適應(yīng)以上系統(tǒng)，而只能依靠計(jì)算機(jī)系統(tǒng)來(lái)實(shí)現(xiàn)。企業(yè)辦公自動(dòng)化系統(tǒng)(OA系統(tǒng))是為企業(yè)數(shù)據(jù)共享、職員之間或職員與外部團(tuán)體聯(lián)系提供的消息與協(xié)作平臺(tái)，差不多為幾乎所有的大中型企業(yè)所應(yīng)用?，F(xiàn)在一般的大中型企業(yè)，都會(huì)有企業(yè)portal系統(tǒng)和OA系統(tǒng)，甚至有的企業(yè)統(tǒng)稱為OA系統(tǒng)。隨著OA系統(tǒng)的進(jìn)展，企業(yè)辦公自動(dòng)化系統(tǒng)差不多不止是簡(jiǎn)單的郵件收發(fā)等無(wú)紙辦公的概念，她要緊包括信息治理和協(xié)同作業(yè)兩部分。包含的信息也涵蓋了一般信息、專門格式的文件、多媒體、圖片或其他的對(duì)象。采納的形式則有電子郵件，日歷，即時(shí)消息甚至視頻會(huì)議等多種形式。其中用的最多的有MicrosoftExchange系統(tǒng)和IBMLotusDomino系統(tǒng)。1.2OA系統(tǒng)安全現(xiàn)狀關(guān)于OA系統(tǒng)的安全問(wèn)題，大多數(shù)企業(yè)考慮最多的依舊病毒，認(rèn)為病毒對(duì)企業(yè)的辦公環(huán)境阻礙最大，因此大部分的財(cái)力人力都投向了防病毒系統(tǒng)，因此這是對(duì)的。但這還遠(yuǎn)遠(yuǎn)不夠，仍然會(huì)有專門多心懷叵測(cè)的人或者組織對(duì)企業(yè)發(fā)起攻擊，甚至數(shù)據(jù)竊密等，往往對(duì)企業(yè)的核心數(shù)據(jù)造成不可彌補(bǔ)的損失。專門多企業(yè)采納了網(wǎng)絡(luò)防火墻來(lái)加強(qiáng)安全措施。但防火墻又不容易做到數(shù)據(jù)的加密，用戶的認(rèn)證和鑒權(quán)等，尤其是不容易作認(rèn)證鑒權(quán)。有些OA系統(tǒng)采納軟件加密，但軟件加密會(huì)消耗大量用戶服務(wù)器的資源，阻礙OA系統(tǒng)的響應(yīng)速度。一些企業(yè)采納撥號(hào)線路為外地客戶機(jī)提供接入以保障安全，總部為這些接入提供MODEM池和RAS服務(wù)。然而依舊存在數(shù)據(jù)加密和授權(quán)靈活行的問(wèn)題，同時(shí)，撥號(hào)線路也過(guò)于昂貴，同時(shí)速度也是個(gè)大問(wèn)題。關(guān)于要求快速響應(yīng)的大企業(yè)的OA系統(tǒng)來(lái)講是不同意的。由于VPN（虛擬專網(wǎng)）比租用專線更加廉價(jià)、靈活，因此有越來(lái)越多的公司采納VPN，連接在家工作和出差在外的職員，以及替代連接分公司和合作伙伴的標(biāo)準(zhǔn)廣域網(wǎng)。VPN建在互聯(lián)網(wǎng)的公共網(wǎng)絡(luò)架構(gòu)上，通過(guò)“隧道”協(xié)議，在發(fā)端加密數(shù)據(jù)、在收端解密數(shù)據(jù)，以保證數(shù)據(jù)的私密性。 現(xiàn)在專門多遠(yuǎn)程安全訪問(wèn)解決方案是采納IPSecVPN方式，其組網(wǎng)結(jié)構(gòu)是在站點(diǎn)到站點(diǎn)的vpn組網(wǎng)方式。IPSec是網(wǎng)絡(luò)層的VPN技術(shù)，表示它獨(dú)立于應(yīng)用程序。IPSec以自己的封包封裝原始IP信息，因此可隱藏所有應(yīng)用協(xié)議的信息，一旦IPSec建立加密隧道后，就能夠?qū)崿F(xiàn)各種類型的連接。然而，部署IPSec需要對(duì)基礎(chǔ)設(shè)施進(jìn)行重大改造，以便遠(yuǎn)程訪問(wèn)，同時(shí)IPSecVPN在解決遠(yuǎn)程安全訪問(wèn)時(shí)具有幾個(gè)比較大的缺點(diǎn)，如:IPSecVPN最大的難點(diǎn)在于客戶端需要安裝復(fù)雜的軟件，而且當(dāng)用戶的VPN策略略微有所改變時(shí)，VPN的治理難度將呈幾何級(jí)數(shù)增長(zhǎng)?？蛻糗浖?lái)了人力開銷，而許多公司希望能夠幸免；某些安全問(wèn)題也已暴露出來(lái)，這些問(wèn)題要緊與建立開放式網(wǎng)絡(luò)層連接有關(guān)。除此以外，除非差不多在每一臺(tái)客戶使用的計(jì)算機(jī)上安裝了治理軟件，軟件補(bǔ)丁的公布和遠(yuǎn)程電腦的配置升級(jí)將是一件十分令人頭疼的任務(wù)（假如不講不可能的話）。IPSecVPN的連接性會(huì)受到網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）的阻礙，或受網(wǎng)關(guān)代理設(shè)備（proxy）的阻礙；IPSecVPN需要先完成客戶端配置才能建立通信信道，同時(shí)配置復(fù)雜，尤其是關(guān)于NAT和穿越防火墻，往往要在這些設(shè)備上作復(fù)雜的配置以配合IPsecVPN的工作。采納隧道方式，使遠(yuǎn)程接入的安全風(fēng)險(xiǎn)增加；由于IPSecVPN在連接的兩端創(chuàng)建隧道，提供直接（而非代理）訪問(wèn)，并對(duì)全部網(wǎng)絡(luò)可視，因此IPSecVPN會(huì)增加安全風(fēng)險(xiǎn)。一旦隧道建立，就像用戶的PC機(jī)在公司局域網(wǎng)內(nèi)部一樣，用戶能夠直接訪問(wèn)公司全部的應(yīng)用，由此會(huì)大大增加風(fēng)險(xiǎn)。用戶使用個(gè)人計(jì)算機(jī)在家里或者通過(guò)無(wú)線局域網(wǎng)工作還面臨著黑客的威脅。不適合用作移動(dòng)用戶，如家庭、網(wǎng)吧，賓館等上網(wǎng)用戶；應(yīng)用層接入操縱不靈活，這源于他是在IP層之上的VPN系統(tǒng)。 從投資的角度看IPsecVPN，要真正建立IPSecVPN，單單有客戶端軟件是專門不夠的。假如沒(méi)有防火墻和其他的安全軟件，客戶端機(jī)器特不容易成為黑客攻擊的目標(biāo)。這些客戶端專門容易被黑客利用，他們會(huì)通過(guò)VPN訪問(wèn)企業(yè)內(nèi)部系統(tǒng)。這種黑客行為越來(lái)越普遍，而且后果也越來(lái)越嚴(yán)峻。例如，假如雇員從家里的計(jì)算機(jī)通過(guò)公司VPN訪問(wèn)企業(yè)資源，在他創(chuàng)建隧道前后，他十幾歲的小孩在這臺(tái)電腦上下載了一個(gè)感染了病毒的游戲，那么，病毒就專門有可能通過(guò)VPN在企業(yè)局域網(wǎng)內(nèi)傳播。另外，假如黑客侵入了這臺(tái)沒(méi)有愛(ài)護(hù)的PC，他就獲得了通過(guò)IPSecVPN隧道訪問(wèn)公司局域網(wǎng)的能力。因此，在建設(shè)IPSecVPN時(shí)，必須購(gòu)買適當(dāng)?shù)陌踩浖莻€(gè)軟件的成本必須考慮到里面去也是專門高的。最好的方法是采納SSLVPN組網(wǎng)。同IPSecVPN相比，SSLVPN具有如下優(yōu)點(diǎn)：SSLVPN的客戶端程序，如MicrosoftInternetExplorer、NetscapeCommunicator、Mozilla等差不多預(yù)裝在了終端設(shè)備中，因此不需要再次安裝；SSLVPN可在NAT代理裝置上以透明模式工作；SSLVPN可不能受到安裝在客戶端與服務(wù)器之間的防火墻的阻礙。SSLVPN將遠(yuǎn)程安全接入延伸到IPSecVPN擴(kuò)展不到的地點(diǎn)，使更多的職員，在更多的地點(diǎn)，使用更多的設(shè)備，安全訪問(wèn)企業(yè)網(wǎng)絡(luò)資源，同時(shí)降低了部署和支持費(fèi)用。SSLVPN正在成為遠(yuǎn)程接入的事實(shí)標(biāo)準(zhǔn)，下面列舉了其中的一些理由。SSLVPN能夠在任何地點(diǎn)，利用任何設(shè)備，連接到相應(yīng)的網(wǎng)絡(luò)資源上。SSLVPN通信運(yùn)行在TCP/UDP協(xié)議上，具有穿越防火墻的能力。這種能力使SSLVPN能夠從一家用戶網(wǎng)絡(luò)的代理防火墻背后安全訪問(wèn)另一家用戶網(wǎng)絡(luò)中的資源。IPSecVPN通常不能支持復(fù)雜的網(wǎng)絡(luò)，這是因?yàn)樗鼈冃枰朔┰椒阑饓?、IP地址沖突等困難。鑒于IPSec客戶機(jī)存在的問(wèn)題，IPSecVPN實(shí)際上只適用于易于治理的或者位置固定的設(shè)備。SSLVPN是基于應(yīng)用的VPN，基于應(yīng)用層上的連接意味著（和IPSecVPN比較），SSLVPN更容易提供細(xì)粒度遠(yuǎn)程訪問(wèn)（即能夠?qū)τ脩舻臋?quán)限和能夠訪問(wèn)的資源、服務(wù)、文件進(jìn)行更加細(xì)致的操縱，這是IPSecVPN難以做到的）。

OA系統(tǒng)SSLVPN解決方案2.1方案介紹 現(xiàn)在，Web成為標(biāo)準(zhǔn)平臺(tái)已勢(shì)不可擋，越來(lái)越多的企業(yè)開始將OA系統(tǒng)移植到Web上,因此企業(yè)門戶系統(tǒng)確信是基于Web的。OA系統(tǒng)將是SSLVPN應(yīng)用的直同意益者，它被認(rèn)為是實(shí)現(xiàn)遠(yuǎn)程安全訪問(wèn)Web應(yīng)用的最佳手段。關(guān)于不采納WEB作OA系統(tǒng)客戶端的企業(yè)，ArrayNetworksSP產(chǎn)品仍有模塊來(lái)滿足這些C/S結(jié)構(gòu)的OA應(yīng)用，如SP的ApplicationManager模塊和L3VPN模塊。 典型的邏輯結(jié)構(gòu)如下：其中，WebResourceMapping、Application、L3VPN是SP提供的三個(gè)應(yīng)用模塊，針對(duì)不同的OA應(yīng)用能夠采納不同的SSLVPN模塊。如此不管職員是在家、賓館、抑或是競(jìng)爭(zhēng)對(duì)手那兒，都能夠輕松又十分安全地接入企業(yè)OA系統(tǒng)。2.2采納SSLVPN接入OA系統(tǒng)的優(yōu)勢(shì)用戶端無(wú)需安裝專用的VPN客戶端軟件，使用標(biāo)準(zhǔn)的掃瞄器，如IE和Netscape即可接入SSLVPN訪問(wèn)OA系統(tǒng)。提供免客戶端、任何地點(diǎn)的訪問(wèn)能力、增加的安全性，使得IT部門治理更容易，和IPSecVPN相比，終端用戶使用更簡(jiǎn)化。由于沒(méi)有配置、治理和支持終端用戶復(fù)雜的IPSec客戶端軟件的負(fù)擔(dān)，SSLVPN的支持更廉價(jià)，也比IPSec更容易部署。SSLVPN能為使用者提供任意地點(diǎn)的訪問(wèn)能力。使用者能夠在他們能得到Internet接入能力的地點(diǎn)訪問(wèn)他們的應(yīng)用——從機(jī)場(chǎng)商務(wù)中心，從任何他人的計(jì)算機(jī)，甚至任何無(wú)線設(shè)備。SSL也能在寬帶網(wǎng)絡(luò)上工作。此外，SSLVPN能夠成功地穿越防火墻，能處理網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）問(wèn)題，而對(duì)基于IPSec的VPN來(lái)講，這是一個(gè)難題。服務(wù)器端也無(wú)需安裝任何額外的VPN專用軟件。SP采納的是SSLPROXY技術(shù)，因此，使用者全然沒(méi)有和他們要訪問(wèn)的資源直接建立連接，同時(shí)隱藏了那不DNS解析空間，因此安全度是專門高的。即使是SP提供的L3VPN技術(shù)，在其VPN隧道內(nèi)部我們依舊存在一個(gè)網(wǎng)絡(luò)層的防火墻提供安全愛(ài)護(hù)。用戶接入OA系統(tǒng)是通過(guò)認(rèn)證的，認(rèn)證方式能夠采納ArrayNetworksSSLVPN設(shè)備自己的用戶數(shù)據(jù)庫(kù)，也能夠和OA已有的認(rèn)證系統(tǒng)結(jié)合起來(lái)，如AD、RADIUS等．用戶接入OA系統(tǒng)是通過(guò)通過(guò)精細(xì)授權(quán)操縱的，針對(duì)不同的用戶或用戶所屬的組，SSLVPN能夠按OA系統(tǒng)預(yù)定義的規(guī)則來(lái)對(duì)用戶的訪問(wèn)權(quán)限進(jìn)行設(shè)定。用戶接入OA系統(tǒng)是通過(guò)加密的，ArrayNetworksSSLVPN設(shè)備采納強(qiáng)加密算法，如：私鑰算法：DES(56-bit),3DES(168-bit),RC4(128-bit)，公鑰算法:RSA(1024-bit+)，消息認(rèn)證:MD5(128-bit),SHA-1(160-bit)．用戶使用方便：用戶能夠是NAT，或者是通過(guò)HTTP代理等靈活的方式，只需保持SSL通道暢通既可。部署方式靈活多樣。SSLVPN網(wǎng)關(guān)SP能夠放在路由器、防火墻后面使用NAT后的私有地址。治理更加容易。采納SSLVPN要比IPSecVPN更容易治理，由于使用者能夠從任何掃瞄器更安全地訪問(wèn)應(yīng)用，因此，像SSLVPN能減少分發(fā)和治理客戶端軟件的苦惱。同時(shí)，不需要改變網(wǎng)絡(luò)，不需要修改防火墻配置和修改終端用戶的配置，因此，比采納IPSec有更低的總體擁有成本。支持Cluster技術(shù)。為OA系統(tǒng)提供高可靠性。OA系統(tǒng)SSLVPN解決方案案例3.1MicrosoftExchangeServer系統(tǒng)Exchange2000Server最要緊的兩大功能是：信息治理與協(xié)同作業(yè)。也確實(shí)是講Exchange2000Server并不是簡(jiǎn)單的E-mail服務(wù)器的代名詞，而是一種交互式傳送和接收的重要場(chǎng)所，它包含了一般信息、專門格式的文件、多媒體、圖片或其他的對(duì)象。做為Exchange的前端工具的Outlook，在現(xiàn)今更突出了它的重要性，它不但用來(lái)收發(fā)E-mail，還含有便箋、草稿、任務(wù)、日歷、日志、聯(lián)系人與公用文件夾，增加了靈活性。如再配合MicrosoftOffice各項(xiàng)結(jié)構(gòu)化文件，加上其傳閱功能，即可建立一個(gè)資源治理系統(tǒng)，讓協(xié)同作業(yè)正常運(yùn)行。企業(yè)信息治理的基礎(chǔ)在于通訊治理及組織治理，它的首要條件是先架設(shè)一個(gè)暢通無(wú)阻的企業(yè)內(nèi)部網(wǎng)絡(luò)（Intranet）。在Microsoft的架設(shè)中，能夠先用Windows2000Server系列軟件來(lái)架設(shè)企業(yè)內(nèi)部網(wǎng)絡(luò)。然后將Exchange2000Server導(dǎo)入，利用Windows2000Server與Exchange2000Server的整合，來(lái)達(dá)到通訊及組織治理的目的。從上圖我們?nèi)阅軌蚩闯?，以ExchangeServer為基礎(chǔ)構(gòu)成的企業(yè)OA系統(tǒng)的客戶端和OAserver的架構(gòu)也差不多分為兩類：B/S結(jié)構(gòu)，客戶端采納OWA接入，既采納WebBrowser接入OA系統(tǒng)；C/S結(jié)構(gòu)，客戶端采納Outlook。關(guān)于OWA接入：SP采納WRM（WEBResourceMapping）模塊來(lái)實(shí)現(xiàn)，利用Array的SSLVPN的Web資源映射能夠?qū)崿F(xiàn)：通過(guò)標(biāo)準(zhǔn)掃瞄器訪問(wèn)企業(yè)OA系統(tǒng)；支持URL-NAT：URL的動(dòng)態(tài)重寫，提高安全性；強(qiáng)迫認(rèn)證，強(qiáng)迫任何訪問(wèn)Intranet的請(qǐng)求都必須先通過(guò)AAA；隱藏內(nèi)部資源：能夠隱藏Intranet的資源路徑，提高整體安全性。而且，經(jīng)第三方測(cè)試，ArrayNetowrksSP的WRM有著極佳的性能表現(xiàn)。關(guān)于Outlook作客戶端接入exchangeserverEMAIL系統(tǒng)：由于這些應(yīng)用都采納固定的TCP端口，如SMTP:25端口；POP3：110端口；IMAP:143端口等。SP采納ApplicationManager模塊來(lái)實(shí)現(xiàn)，通常，OA系統(tǒng)的遠(yuǎn)端客戶端訪問(wèn)差不多上訪問(wèn)這幾個(gè)TCP端口，關(guān)于這幾個(gè)TCP端口，SP啟動(dòng)ApplicationManager功能時(shí)，客戶端將下載JavaApplet將作為TCPPROXY運(yùn)行在客戶端，它偵聽客戶端的特定應(yīng)用TCP端口的請(qǐng)求，并把請(qǐng)求通過(guò)SSL連接發(fā)給SP,SP將終結(jié)SSL連接并和企業(yè)內(nèi)網(wǎng)Exchange服務(wù)器建立請(qǐng)求連接。由于只是對(duì)幾個(gè)TCP端口提供SSLVPN服務(wù)，因此遠(yuǎn)比通過(guò)隧道方式實(shí)現(xiàn)要安全的多。關(guān)于使用Outlook接入Exchangeserver復(fù)雜應(yīng)用：這類應(yīng)用比如使用MAPI等。SP采納L3VPN模塊來(lái)實(shí)現(xiàn)，此項(xiàng)功能是在客戶端和SP之間通過(guò)SSL的連接建立一條VPN通道，客戶端將會(huì)生成一個(gè)虛擬網(wǎng)卡，并修改本機(jī)的路由表。如此，客戶端虛擬網(wǎng)卡上就會(huì)配備一個(gè)和企業(yè)內(nèi)網(wǎng)地址體系一致的網(wǎng)址，并通過(guò)這條VPN通道直連到企業(yè)內(nèi)網(wǎng)，就看起來(lái)客戶端機(jī)器在企業(yè)內(nèi)部一樣。 3.2IBMLotusDomino系統(tǒng)IBMLotusDomino是一個(gè)世界級(jí)的消息服務(wù)解決方案，同時(shí)，它依舊快速開發(fā)平臺(tái)，用戶能夠基于此平臺(tái)快速開發(fā)協(xié)作應(yīng)用。內(nèi)置核心任務(wù)(郵件、日歷、目錄、安全、Web服務(wù)等)；集成Domino治理、統(tǒng)計(jì)、監(jiān)控等功能IBMLotusNotes是客戶端軟件，它提供了工業(yè)級(jí)的最高安全性，它是一個(gè)完全功能的協(xié)作客戶端通過(guò)LotusNotes，用戶能夠訪問(wèn)郵件、日歷、待辦事宜、聯(lián)系人信息等LotusNotes客戶端家族支持從Web掃瞄器,移動(dòng)設(shè)備,甚至MicrosoftOutlook訪問(wèn)Domino。

下圖是LotusNotes典型拓?fù)浣Y(jié)構(gòu)： 關(guān)于Web接入：SP仍然采納WRM（WEBResourceMapping）模塊來(lái)實(shí)現(xiàn)，利用Array的SSLVPN的Web資源映射能夠?qū)崿F(xiàn)：通過(guò)標(biāo)準(zhǔn)掃瞄器訪問(wèn)企業(yè)OA系統(tǒng)；支持URL-NAT：URL的動(dòng)態(tài)重寫，提高安全性；強(qiáng)迫認(rèn)證，強(qiáng)迫任何訪問(wèn)Intranet的請(qǐng)求都必須先通過(guò)AAA；隱藏內(nèi)部資源：能夠隱藏Intranet的資源路徑，提高整體安全性。目前經(jīng)測(cè)試關(guān)于LotusNotes6.5以上版本，ArrayNetowrksSP產(chǎn)品給予支持。關(guān)于Notes客戶端接入Domino系統(tǒng)：由于這些應(yīng)用都采納固定的TCP端口，關(guān)于不同的群件，一般會(huì)采納不同的高端TCP端口。一般情況下，OA系統(tǒng)的遠(yuǎn)端客戶端訪問(wèn)都這幾個(gè)TCP端口，關(guān)于這幾個(gè)TCP端口，SP啟動(dòng)ApplicationManager功能時(shí)，客戶端將下載JavaApplet將作為TCPPROXY運(yùn)行在客戶端，它偵聽客戶端的特定notes客戶端TCP端口的請(qǐng)求，并把請(qǐng)求通過(guò)SSL連接發(fā)給SP,SP將終結(jié)SSL連接并和企業(yè)內(nèi)網(wǎng)Domino服務(wù)器建立請(qǐng)求連接。由于只是對(duì)幾個(gè)TCP端口提供SSLVPN服務(wù)，因此遠(yuǎn)比通過(guò)隧道方式實(shí)現(xiàn)要安全的多。SSLVPN提升OA系統(tǒng)的安全性4.1輕松實(shí)現(xiàn)內(nèi)部網(wǎng)到外部網(wǎng)的擴(kuò)展無(wú)需客戶端專用軟件、通過(guò)一般掃瞄器接入。WebResourceMapping接入企業(yè)OA應(yīng)用，而不用更換內(nèi)部應(yīng)用系統(tǒng)或暴露內(nèi)部域名。支持企業(yè)固定TCP端口的OA應(yīng)用。支持IP層VPN，實(shí)現(xiàn)OA系統(tǒng)維護(hù)人員的訪問(wèn)。4.2支持通用SSL加密算法密鑰算法:DES(56-bit),3DES(168-bit),RC4(128-bit)公鑰算法:RSA(1024-bit+)消息認(rèn)證:MD5(128-bit),SHA-1(160-bit)Web客戶與ArraySP之間SSL加密ArraySP與后臺(tái)服務(wù)器之間明文或SSL加密4.3用戶認(rèn)證、授權(quán)認(rèn)證：支持傳統(tǒng)的Radius、LDAP、ActiveDirectory、SecurID等認(rèn)證方式，同時(shí)提供Local(本地?cái)?shù)據(jù)庫(kù))認(rèn)證方式.授權(quán)：基于用戶或用戶組的接入操縱；基于URLs限定接入內(nèi)部資源；基于用戶IP地址限定接入4.4審計(jì)和治理記錄所有行為用戶登陸/登出認(rèn)證/授權(quán)失敗被請(qǐng)求的URLs支持的Syslog最多8個(gè)可配置的log消息Emergency,Alert,Critical,Error,Warning,Notice,Info,DebugLog消息時(shí)刻戳支持SNMPV2支持SNMPGET，同意實(shí)時(shí)地監(jiān)測(cè)系統(tǒng)狀態(tài)，包括流量負(fù)載，活動(dòng)連接，用戶登陸/登出和認(rèn)證失敗等。4.5多層安全操縱機(jī)制Webwall－應(yīng)用層防火墻：基于IP/TCP/UDP的包過(guò)濾機(jī)制；防DOS攻擊；基于狀態(tài)檢測(cè)的防火墻功能基于URL的過(guò)濾機(jī)制。端到端的SSL加密強(qiáng)大的AAA功能通過(guò)WRM隱藏內(nèi)部資源路徑4.6證書治理為保證網(wǎng)上數(shù)字信息的傳輸安全，除了在通信傳輸中采納更強(qiáng)的加密算法等措施之外，必須建立一種信任及信任驗(yàn)證機(jī)制，即參加應(yīng)用的各方必須有一個(gè)能夠被驗(yàn)證的標(biāo)識(shí)，這確實(shí)是數(shù)字證書。數(shù)字證書符合X.509國(guó)際標(biāo)準(zhǔn)，同時(shí)數(shù)字證書的來(lái)源必須是可靠的。這就應(yīng)有一個(gè)網(wǎng)上各方都信任的機(jī)構(gòu)，專門負(fù)責(zé)數(shù)字證書的發(fā)放和治理，確保網(wǎng)上信息的安全，那個(gè)機(jī)構(gòu)確實(shí)是CA認(rèn)證機(jī)構(gòu)。各級(jí)CA認(rèn)證機(jī)構(gòu)的存在組成了整個(gè)應(yīng)用服務(wù)的信任鏈。 ARRAYSP的證書治理支持以下項(xiàng)目：支持X.509標(biāo)準(zhǔn)協(xié)議。支持客戶端證書認(rèn)證。支持CertificateRevocationList(證書撤銷列表)支持intermediateCACertificate4.7支持集群技術(shù)Array在給服務(wù)器提供高容錯(cuò)性，高可靠性的前提是，Array設(shè)備本身的容錯(cuò)性和高可靠性。Array支持Cluster的工作模式，提供1＋1和N＋1的冗余配置模式，能工作在Active/Standby或Active/Active方式。－每個(gè)設(shè)備獨(dú)立的流量的處理，同時(shí)又監(jiān)視本Cluster中其它設(shè)備的工作狀態(tài)；－能把Clustering配置成Active-Standby或Active-Active；－利用VRRP的技術(shù)實(shí)現(xiàn)（VRRP－虛擬路由冗余協(xié)議，RFC2338）。4.8SingleSighOn 當(dāng)使用公司內(nèi)部不同的應(yīng)用系統(tǒng)時(shí)，需要輸入不同的“用戶名+口令”，資源預(yù)定系統(tǒng)一個(gè)口令、Outlook一個(gè)口令、銷售系統(tǒng)又一個(gè)口令，專門苦惱。因?yàn)樾枰诓煌腤eb服務(wù)器上進(jìn)行不同的授權(quán)治理，治理員也倍感疲乏。ArrayNetworksSP支持單點(diǎn)登陸，能夠讓用戶訪問(wèn)不同的網(wǎng)站只需要一次登錄，一次認(rèn)證，能夠有效降低治理負(fù)擔(dān)和方便使用。4.9Session級(jí)愛(ài)護(hù)在會(huì)話停止一段時(shí)刻以后自動(dòng)停止會(huì)話，假如需要接著訪問(wèn)則要從新登陸，通過(guò)對(duì)Session的愛(ài)護(hù)來(lái)起到數(shù)據(jù)被竊聽后偽裝訪問(wèn)的攻擊。SSLVPN安全接入關(guān)于企業(yè)的益處 通過(guò)Array的SSLVPN實(shí)現(xiàn)ERP系統(tǒng)的安全接入，能夠“關(guān)心企業(yè)提高生產(chǎn)力，改善用戶使用體驗(yàn)”。Array安全接入解決方案具有以下優(yōu)點(diǎn)：5.1提高信息安全性防止信息泄漏

由于客戶端與SSLVPN網(wǎng)關(guān)之間實(shí)現(xiàn)高強(qiáng)度的加密信息傳輸，因此盡管信息傳輸是通過(guò)公網(wǎng)進(jìn)行的，然而其安全性是能夠得到保證的。第三方即使能夠得到傳輸數(shù)據(jù)，然而卻無(wú)法得到隱藏到其中的明文信息。因此敏感的信息如業(yè)務(wù)帳號(hào)等被愛(ài)護(hù)起來(lái)，杜絕了有效信息的泄露。

杜絕非法訪問(wèn)

SSLVPN的訪問(wèn)要通過(guò)認(rèn)證和授權(quán)，充分保證用戶身份的合法性。SSLVPN只同意那些擁有相應(yīng)權(quán)限的用戶進(jìn)行網(wǎng)絡(luò)連接。假如請(qǐng)求連接的用戶沒(méi)有合法身份，則SSLVPN將拒絕其連接請(qǐng)求，從而限制了非法用戶對(duì)內(nèi)網(wǎng)的訪問(wèn)。

愛(ài)護(hù)信息的完整性

SSLVPN使用數(shù)字證書進(jìn)行機(jī)密性與完整性參數(shù)的協(xié)商，它不僅能夠?qū)λ鶄鬏數(shù)臄?shù)據(jù)進(jìn)行機(jī)密性的愛(ài)護(hù)，同時(shí)也對(duì)其提供完整性愛(ài)護(hù)。當(dāng)在傳輸過(guò)程中的數(shù)據(jù)被篡改之后，SSLVPN是能夠檢測(cè)到的，假如檢測(cè)到數(shù)據(jù)被篡改，他們就會(huì)放棄所接收到的數(shù)據(jù)。

防止用戶假冒

ArryNetworks提供多種認(rèn)證和授權(quán)方式，包括本地本地用戶數(shù)據(jù)庫(kù)，同時(shí)能夠和其他更加強(qiáng)大的認(rèn)證系統(tǒng)結(jié)合起來(lái)，如ad，radius，RSASecurID，SecureComputing等

保證系統(tǒng)的可用性

SSLVPN使用內(nèi)網(wǎng)、外網(wǎng)相互隔離，只開放所需服務(wù)的方式來(lái)實(shí)現(xiàn)，如此客戶端只能通過(guò)授權(quán)使用所開放的服務(wù)，除該服務(wù)之外的其它服務(wù)都無(wú)從訪問(wèn)，從而減少了專門多對(duì)內(nèi)網(wǎng)系統(tǒng)進(jìn)行攻擊的途徑，達(dá)到了對(duì)內(nèi)部網(wǎng)絡(luò)的最大愛(ài)護(hù)。5.2靈活的用戶治理和訪問(wèn)操縱 ArrayNetworks提供多種多樣的認(rèn)證機(jī)制和授權(quán)訪問(wèn)機(jī)制，存在本地用戶數(shù)據(jù)庫(kù)，能夠配置在SSLVPN網(wǎng)關(guān)設(shè)備上。由于企業(yè)應(yīng)用系統(tǒng)一般都已購(gòu)買了AAA服務(wù)器，如Radius、LDAP等，ArrayNetworksSP業(yè)能夠和他們完美的結(jié)合起來(lái)，愛(ài)護(hù)用戶的投資。 ArrayNetworksSSLVPN組網(wǎng)方案是面向應(yīng)用的VPN方案，能夠做到基于應(yīng)用的精細(xì)操縱，基于用戶和組給予不同的應(yīng)用訪問(wèn)權(quán)限，并對(duì)相關(guān)訪問(wèn)操作進(jìn)行審計(jì)。這是一般基于網(wǎng)絡(luò)的VPN所辦不到的。5.3