SSL VNP技术支持手册.doc

《SSL VNP技术支持手册.doc》由会员分享，可在线阅读，更多相关《SSL VNP技术支持手册.doc（52页珍藏版）》请在三一办公上搜索。

1、SSL VPN 技术支持手册拟 制： 审 核： 批 准： 广 东 卓 维 网 络 有 限 公 司Guangdong Topway Network Co., Ltd二00七年四月文 件 信 息广州卓维网络有限公司技术支持手册文件编号版 本10SSL VPN文件页数共 子 页 版 本 信 息版 本发布时间作 者版本修改信息V 1.02007-4-2蔡文源目 录一、SSL VPN技术介绍5二、SSL VPN给用户带来的价值7三、SSL VPN功能实现81、无客户端软件82、保持用户使用习惯83、客户端应用绑定84、支持多种TCP/UDP应用系统85、第三方Radius/Windows/AD/LDAP

2、认证系统86、WindowsAD/LDAP用户数据库同步97、基于信任链表的PKI证书应用98、客户端安全措施99、基于角色的细粒访问控制910、信息与状态监控9四、SSL VPN技术优势11(1)客户端支撑维护简单11(2)提供增强的远程安全接入功能11(3)提供更细粒度的访问控制11(4)能够穿越NAT和防火墙设备12(5)能够较好地抵御外部系统和病毒攻击12(6)网络部署灵活方便12五、SSL VPN的市场和应用前景141、市场的特点与趋势142、SSL VPN难以普及主要因素143、SSL VPN应用前景- SSL无处不在15六、企业决策：如何选择SSL VPN-三步走17七、SSL

3、VPN产品如何选购20八、国内外主流厂商产品一览表及推荐使用品牌22九、国内外主流厂商产品系列241、Juniper 网络242、Arry Networks292.1Arry Networks 优势292.2真正的企业级SSL VPN解决方案：302.3Array VPN的成功案例303、Nortel（北电）网络333.1产品功能333.2产品优势354、F5 Networks364.1功能实现364.2技术优势395、O2MicroNetworks405.1产品特征415.2、技术优势426、北京安软天地科技4461功能与应用446.2产品优势-低成本的解决方案4663产品规范467、深圳赛

4、蓝CYLAN467.1成功案例477.2功能实现488、深圳深信服508.1应用方案优势：518.2产品特征及优势：51一、SSL VPN技术介绍SSL VPN即指采用SSL （Security Socket Layer）协议来实现远程接入的一种新型VPN技术。SSL协议是网景公司提出的基于WEB应用的安全协议，它包括：服务器认证、客户认证（可选）、SSL链路上的数据完整性和SSL链路上的数据保密性。对于内、外部应用来说，使用SSL可保证信息的真实性、完整性和保密性。目前SSL 协议被广泛应用于各种浏览器应用，也可以应用于Outlook等使用TCP协议传输数据的C/S应用。正因为SSL 协议被

5、内置于IE等浏览器中，使用SSL 协议进行认证和数据加密的SSL VPN就可以免于安装客户端。 SSL VPN技术帮助用户通过标准的WEB浏览器就可以访问重要的企业的应用。这使得员工出差时不必再携带自己的笔记本电脑，仅仅通过一台接入Internet的计算机就能访问企业的资源，这为企业提高了效率也带来了方便。SSL VPN网关位于企业网络的边缘，介于企业服务器与远程用户之间，控制二者的通信。 SSL VPN应用环境如下图（一）： 图（一） 掌握三个关键技术术语的含义有助于理解SSL VPN是如何实现的。一、 代理（Proxying）SSL VPN至少要实现一种功能：代理WEB页面。它将来自远端浏

6、览器的页面请求（采用HTTPS协议）转发给WEB服务器，然后将服务器的响应回传给终端用户。二、 应用转换（Application Translation）对于非WEB页面的文件访问，往往要借助于应用转换。SSL VPN网关与企业网内部的微软CIFS或FTP服务器通信，将这些服务器对客户的响应转化为HTTPS协议和HTML格式发往客户端，终端用户感觉到这些服务器就是一些基于WEB的应用。有的SSL VPN产品所能支持的应用转换器和代理的代理非常少，有的则很好地支持了FTP、网络文件系统和微软文件服务器的应用转换。用户在选择网关时，必须对自己所需要转换的应用有一个很明确的了解，并能够根据他们的重要

7、性给他们排个先后顺序。三、 端口转发(Port Forwarding)有些应用，如微软的Outlook或MSN，它们的外观会在转化为基于界面的过程中丢失。此时需要用到端口转发技术。端口转发用于端口定义明确的应用。它需要在终端系统上运行一个非常小的JAVA或ActiveX程序作为端口转发器，监听某个端口上的连接。当数据包进入这个端口时，它们通过SSL连接中的隧道被传送到SSL VPN网关，SSL VPN网关解开封装的数据包，将它们转发给目的应用服务器。良好的SSL VPN产品应该具有较好的互操作性，较为细致的访问控制功能，完善的日志和认证体系以及对应用的广泛支持。二、SSL VPN给用户带来的价

8、值 -随时随地移动接入就在当前大多数远程访问解决方案是利用基于IPSec安全协议的VPN网络的情况下，一种最新的研究表明近近呼90%的企业利用VPN进行的内部网和外部网的联接都只是用来进行因特网访问和电子邮件通信，另外10%的用户是利用诸如x11、聊天协议和其它私有客户端应用，属非因特网应用。这些90%的应用有研究表明可以利用一种更加简单的VPN技术SSL VPN来提供更加有效的解决方案。 SSL VPN不需要复杂的客户端支撑，这就易于安装和配置，明显降低成本。IPSec VPN需要在远程终端用户一方安装特定设备，以建立安全隧道，而且很多情况下在外部（或非企业控制）设备中建立隧道相当困难。另外

9、，这类复杂的客户端难于升级，对新用户来说面临的麻烦可能更多，如系统运行支撑问题、时间开销问题、管理问题等。IPSec解决方案初始成本较低，但运行支撑成本高。如今，已有SSL开发商能提供网络层支持，进行网络应用访问，就如同远程机器处于LAN中一样；同时提供应用层接入，进行Web应用和许多客户端/服务器应用访问。三、SSL VPN功能实现1、 无客户端软件采用无客户端软件的解决方案，用户只须要通过浏览器访问VPN服务。这是因为SSL VPN使用了已嵌入于一般浏览器中的SSL协议。这让管理员无须为终端用户提供软件安装，维护及策略定制的服务；仅仅在VPN网关上设置用户访问权限即可。2、 保持用户使用习

10、惯 每个企业都根据自己的实际需要定制开发一些应用系统，或者部署一些知名的服务来满足自己的需要，比如使用Outlook的日历安排的功能来安排会议；为不同的分支机构的IC设计工程师部署集中的Terminal Server来共享设计仿真资源等。员工主要的工作时间都是在企业内部使用这些特定的应用，因此员工在家里或酒店需要访问这些企业资源时候也希望保持在公司Intranet中的使用习惯，不希望变换应用客户端软件，也不希望改变应用客户端的配置。3、 客户端应用绑定SSL VPN设计中考虑到用户使用方便，因此特别客户端应用绑定的功能，让用户可以针对某一个应用服务设定使用哪一种应用客户端软件。客户端应用绑定设

11、置也能由管理员完成，让用户免予进行设置。管理员/用户可以针对一个服务设定多个应用客户端软件、叶可以定制关联应用的特性，给与用户最大的选择应用何种应用客户端软件的自由。如果用户不设定关联应用，那么也可以直接在操作系统中启动应用软件。4、 支持多种TCP/UDP应用系统 虽然SSL协议主要用户保护WEB应用系统，但是SSL VPN应该也支持多种基于TCP/UDP的Client/Server结构的应用软件。管理员只须要通过简单的管理接口在服务器上定义需要支持的应用，及配置好服务器使用的端口。比如FTP、TFTP、Oracle、SQL server等。5、第三方Radius/Windows/AD/LD

12、AP认证系统 作为企业远程接入VPN网关，SSL VPN最核心的安全功能就是对远程接入用户提供认证、授权及访问控制。为了减轻管理员的管理操作，SSL VPN不止应该提供内置的用户认证数据库，也应该可以用常用的Radius/Windows/AD/LDAP用户认证系统结合，提供一体化的用户认证设施。利用第三方认证系统，管理员无须再配置任何相关的信息，仅仅需要对不同认证服务器上的用户进行授权即可。6、WindowsAD/LDAP用户数据库同步企业一般都会有集中的用户管理系统，比如基于Window AD的用户管理系统。虽然管理人员希望只需维护一个用户数据库，但也要求在不同的应用系统及网关上进行细粒度的

13、配置。若系统支持同Windows AD/LDAP服务器之间实行帐号同步，就可以保持服务器与企业用户数据库的一致。7、基于信任链表的PKI证书应用 基于公开密钥证书的认证系统有其安全性高、扩展性好等特点。因此很多企业已经开始使用PKI作为基础的认证设施。企业提供远程接入解决方案不仅仅是接入本企业的员工，而且会接入不同企业的合作伙伴，因此用户会要求远程接入网关能够支持多个CA签发的证书的用户的认证。8、客户端安全措施一旦用户接入到企业内部网络中，那么远端用户的计算仅就成了企业的网络的边缘。因此IT管理人员需要确保远端用户的计算机满足企业的安全策略要求。一般通过四个措施：Host check & C

14、ache Clean, ARL(Access Restriction List 访问限制列表)，用户登录锁定，SSL协议加密算法设置；来保证客户端的安全性。9、基于角色的细粒访问控制 访问控制是SSL VPN提供的核心安全服务。基于角色访问控制便于管理员快速的对企业变化相对的更改控制规则。通过角色将系统的访问用户同系统保护资源联合起来，既直观，而且在访问控制策略发生变化的时候无须为每一种资源或者每一个用户修改权限；西需要修改某一种服务角色用户的属性。10、信息与状态监控 提供SSL VPN准确的状态信息所能帮助管理员设计及实现有效的安全策略。时时监控的各个状态有助于管理员预测可能发生的危害，和

15、及时做出适当的反应。监控图表如下图：四、SSL VPN技术优势 -IP Sec VPN&SSL VPN比较IPSecVPN和SSLVPN是两种不同的VPN架构，IPSecVPN是工作在网络层的，提供所有在网络层上的数据保护和透明的安全通信，而SSLVPN是工作在应用层(基于HTTP协议)和TCP层之间的，从整体的安全等级来看，两者都能够提供安全的远程接入。但是，IPSecVPN技术是被设计用于连接和保护在信任网络中的数据流，因此更适合为不同的网络提供通信安全保障，而SSLVPN因为以下的技术特点则更适合应用于远程分散移动用户的安全接入。(1)客户端支撑维护简单对于大多数执行基于SSL协议的远程

16、访问是不需要在远程客户端设备上安装软件，只需通过标准的Web浏览器连接因特网，即可以通过网页访问到企业内部的网络资源。而IPSecVPN需要在远程终端用户一方安装特定软件以建立安全隧道。(2)提供增强的远程安全接入功能IPSecVPN通过在两站点间创建安全隧道提供直接(非代理方式)接入，实现对整个网络的透明访问；一旦隧道创建，用户终端就如同物理地处于企业内部局域网中，这会带来很多安全风险，尤其是在接入用户权限过大的情况下。SSLVPN提供安全、可代理连接。通常SSLVPN的实现方式是在企业的防火墙后面放置一个SSL代理服务器。如果用户希望安全地连接到公司网络上，那么当用户在浏览器上输入一个UR

17、L后，连接将被SSL代理服务器取得，并验证该用户的身份，然后SSL代理服务器将连接映射到不同的应用服务器上。 (3)提供更细粒度的访问控制SSLVPN能对加密隧道进行细分，使终端用户能够同时接入Internet和访问内部企业网资源。另外，SSLVPN还能细化接入控制功能，提供用户级别的鉴权，依据安全策略确保只有授权的用户才能够访问特定的内部网络资源，这种精确的接入控制功能对远程接入IPSecVPN来说几乎是不可能实现的。(4)能够穿越NAT和防火墙设备SSLVPN工作在传输层之上，因而能够遍历所有NAT设备和防火墙设备，这使得用户能够从任何地方远程接入到公司的内部网络。而IPSecVPN工作在

18、网络层上，它很难实现防火墙和NAT设备的遍历，并且无力解决IP地址冲突。(5)能够较好地抵御外部系统和病毒攻击SSL是一个安全协议，数据是全程加密传输的。另外，由于SSL网关隔离了内网服务器和客户端，只留下一个Web浏览接口，客户端的大多数木马病毒感染不到内网服务器。而传统的IPSecVPN由于实现的是IP级别的访问，一旦隧道创建，用户终端就如同物理地处于企业内部局域网中，内部网络所连接的应用系统都是可以侦测得到，这就为黑客攻击提供了机会，并且使得局域网能够传播的病毒，通过VPN一样能够传播。(6)网络部署灵活方便IPSecVPN在部署时一般放置在网络网关处，因而需要考虑网络的拓扑结构，如果增

19、添新的设备，往往要改变网络结构。而SSLVPN却有所不同，它一般部署在内网中防火墙之后，可以随时根据需要，添加需要VPN保护的服务器，因此无需影响原有网络结构。SSL VPN & IP Sec VPN技术 性能比较图选项SSL VPN IPSec VPN 身份验证单向身份验证双向身份验证数字证书双向身份验证数字证书加密强加密基于Web浏览器强加密依靠执行全程安全性端到端安全从客户到资源端全程加密网络边缘到客户端仅对从客户到VPN网关之间通道加密可访问性茶乡浪子 51cto技术博客选用于任何时间、任何地点访问限制适用于已经定义好受控用户的访问费用茶乡浪子 51cto技术博客低（无需任何附加客户端

20、软件）高（需要管理客户端软件）安装茶乡浪子 51cto技术博客即插即用安装无需任何附加的客户端软、硬件安装通常需要长时间的配置需要客户端软件或者硬件用户的易使用性对用户非常友好，使用非常熟悉的Web浏览器无需终端用户的培训对没有相应技术的用户比较困难需要培训支持的应用基于Web的应用文件共享E-mail 所有基于IP协议的服务用户客户、合作伙伴用户、远程用户、供应商等茶 更适用于企业内部使用可伸缩性容易配置和扩展在服务器端容易实现自由伸缩，在客户端比较困难茶 五、SSL VPN的市场和应用前景1、 市场的特点与趋势（1）VPN产品的市场需求将迅速增加。“十一五”期间我国将对信息产业新增投入巨大

21、，信息化(尤其是政府信息化)将在未来五年成为VPN产品市场发展的“助推器”。（2）更多的IT厂商将投入生产VPN产品。VPN产品是高投入、高回报的网络安全产品，赛迪顾问预计，已进入中国VPN产品市场的厂商数量在100200家左右。（3）产品的安全性和保密性将日趋完善。目前，许多在安全性和保密性方面要求较高的行业(如军队等)，对VPN产品的选择和应用非常谨慎，因为目前的VPN产品还不能完全满足其安全、高效、稳定地传输数据和信息的需要。所以，对于未来VPN产品的发展，应用先进的技术，增强产品的功能将成为满足用户进一步需求的一个重要因素。（4）厂商的服务质量将会有实质性的提高 VPN产品作为一类特殊

22、的通过加密手段传输数据、信息的网络安全产品，服务质量的高低直接影响了用户的购买行为。VPN产品大规模的应用必须是以VPN厂商提供高质量的服务为前提的。因此，在VPN产品大量应用的前提下，厂商为用户提供的服务在质量上必将会有实质性的提高。2、 SSL VPN难以普及主要因素目前SSL VPN应用在国内尚未走向普及。原因有很多，其中主要是国内企业的信息化应用程度问题。SSL VPN解决方案可以实现的访问应用主要有：电子邮件、PIM（个人信息管理）、内部网资源、CRM/ERP等企业核应用。目前，国内企业的信息化程度不高，虽然这些应用都已投入使用，但不是所有的应用都会开放给远程接入。而且，有些信息化程

23、度高的企业大多实施了IPSec VPN解决方案，对其的信任程度也较高。用户接受SSL VPN解决方案，并投入实际使用还需要一定的过程。 3、SSL VPN应用前景- SSL无处不在企业为了让远距工作者连上企业网络，正纷纷拥抱一种更简单、成本更低的方式。这股趋势为网络安全系统供应商开启新的商机，却也引来更多的竞争。 业者竞相推出让企业网络存取安全无虞的闸道，使用的是一种常见的浏览软体安全技术，称为安全嵌入层（ SSL ）加密。分析师和 SSL 网络设备制造商表示，众多企业用户已开始布署采用 SSL 技术的虚拟私人网络（ VPN ）。 网络管理者指出， SSL 让 VPN 朝使用简易的目标迈进一大

24、步，市场占有率因而迅速扩增，成为网际网络通讯协定保护（ IPSec ）的替代选择（ IPSec 使用普及，但欠缺弹性）。而这股趋势又助长企业和员工对远距网络存取的新需求。 SSL 的运势转强，吸引科技巨人对该技术趋之若鹜，导致这个一年前全是小型新创公司天下的市场被迫汰弱留强。今天， SSL 产品的供应商大多是网络安全和交换器市场的知名大厂，包括思科系统（ Cisco Systems ）、 Check Point 软体、 F5 网络、诺基亚（ Nokia ）、 NetScreen 、北电网络（ Nortel Networks ）和赛门铁克公司（ Symantec ）。 这些公司当中，有些藉并购新

25、创公司取得 SSL 技术，例如 F5 网络、 NetScreen 和赛门铁克。其他公司，像是思科、诺基亚和北电网络，则自行研发这种技术。 SSL并不是全新的技术，多年来早就嵌入大部分的标准网页浏览器，让诸如亚马逊（A）、E-trade等电子商务公司提供安全的网际网络交易。因为 SSL VPN 允许使用者透过几乎任一种网页浏览器加以存取，非常适合用於远距存取和企业间网络（ extranet ）应用软体。就大多数以网络架构的应用程式而论，使用者不必再用任何用户端程式（ client ），可让员工或合伙商更容易存取网络。 相形之下， IPSec VPN 需要在所有用户端系统上安装、设定特别的软体，而

26、且在进行远距存取时，可能变得笨重不堪。 IPSec VPN 通常也有不相容的问题，可能令许多外勤人员为之气结，因为无法存取重要的网络资料而进退两难。 SSL 的使用简便，意味使用这种技术进行远距存取，可为企业节省大笔开支。市场研究公司 Frost & Sullivan 估计，若用 SSL 远距存取 VPN ，每名使用者的平均花费可降到 60 至 220 美元之谱，相较于使用 IPSec VPN 所需的 150 到 300 美元。 SSL VPN 的总拥有成本低很多，因为不必预先逐一设定每一台个人电脑.六、企业决策：如何选择SSL VPN-三步走 2005年上半年是早期应用SSL VPN的狂热期

27、，但是，这种狂热逐渐衰竭进入了六个月的暂停期。市场研究公司Forrester Research预测称，到2005年年底，50%的大型企业已经在积极地使用或者正在考虑部署SSL VPN。 到目前为止，有更多的公司在跟随着早期应用者的脚步正在考虑或者部署这项技术。这意味着人们再次恢复了对SSL VPN的兴趣。SSL VPN实际上是一种不需要企业在远程设备上安装VPN客户端软件的VPN。远程用户能够通过浏览器从任何笔记本电脑或者台式电脑实现安全连接。下面三步阐述了企业如何选择SSL VPN:第一步: 确定以用户为重点还是以应用程序为重点。SSL VPN适配器有两个不同的特点:一个是以用户为重点，另一

28、个是以应用程序为重点。企业在部署SSL VPN之前必须要确定这两个特点哪一个是排在第一位的和最重要的。 基于用户的方式能够向远程用户提供透明的和完全的网络接入功能，就像在局域网中一样。这种应用的VPN一般在一个设备的终端既有IPsec又有SSL VPN，并且还采用强大的端点安全和网络接入控制技术。以用户为重点的领域的厂商通常把SSL VPN作为在路由器、以太网交换机或者多功能一体安全设备等其它网络设备中的一种可以选择的功能提供给用户。 以用户为重点的产品有思科的VPN 3000系列集中器、Juniper网络公司的安全接入设备、北电网络的VPN路由器和AP网络公司的产品。 使用基于应用程序的方法

29、，企业要把重点放在需要重点使用的应用程序方面。以应用程序为重点的SSL VPN更强调后端应用程序集成并且在没有客户端软件的模式下(如通过浏览器)提供更好的访问功能。 基于SSL VPN的应用程序集成了端点安全，但是，重点主要放在政策管理方面。这种应用程序拥有比基于用户的SSL VPN更直观的用户界面和更强大的管理功能。基于应用程序的SSL VPN市场的厂商和产品有Avenal公司的EX系列产品、Citrix系统公司的接入网关、F5网络公司FirePass、Whale通信公司的智能应用网关和Permeo公司。 虽然这些产品的差别很小，但是，企业应该首先提出这个问题以便确定部署SSL VPN的基本

30、方向。如果这个局域网或者广域网用户将决定采购方向，那么，就从以用户为重点的设备开始。如果是应用部门、远程接入专家或者企业移动计划决定这个项目，那就从以应用程序为重点的设备开始。 第二步：回答如何部署端点安全机制的问题。企业需要集成的端点安全还是嵌入式的端点安全?端点安全分为三个主要部分:l 基本主机检查功能:这项功能扫描端点设备，确认杀毒软件、个人防火墙和操作系统补丁等软件都已经安装并且是最新的。l 缓存清除器:用于清除浏览器缓存下载的文件和cookie。l 会话加密:会话加密一般使用Java建立一个虚拟“sandbox”，这样，VPN会话过程中的所有活动都将被隔离和加密，然后在用户登出时删除

31、。 大多数SSL VPN都包括一个进行预先认证的基本的主机检查。但是，对于高级的缓存清除和加密的“sandbox”等更复杂的安全功能来说，企业需要集成第三方厂商提供的工具软件，如Sygate、CheckPoint软件公司或者Trust Digital等公司的产品。集成的端点安全提供了广泛的安全选择，但是，这需要手工设置，并且容易出现策略设置错误。而这些错误将耗费更多的人力和成本。 据预测，大约70%的企业在他们的SSL VPN网络中采用集成的端点安全。 另一方面，嵌入式端点安全是建在设备中的。嵌入式工具通常有优化的政策设置，能够让用户从一个管理操作台实施全面的访问控制。然而，这个选择的缺点是，

32、企业如果选择一种嵌入式产品就将被锁定一家厂商提供的产品，并且必须要依靠那个厂商提供及时的安全升级。如果一家企业已经拥有思科、McAfee和赛门铁克等厂商提供的NAC(网络准入控制)设备，采用嵌入式解决方案就是一种重复的努力。 企业最后需要决定它是喜欢最高级的安全并且愿意为此支付较多的资金，还是认为实用和简单性更重要。集成的方法和嵌入式的方法能够分别解决这两个优先次序的问题。 第三步：回答有多少雇员需要安全的远程访问。 较低的应用数量分类为2000或者更少的用户。虽然广告宣传说SSL VPN支持更多数量的用户，但是，这些设备不应该达到它们的极限。作为一个规则，企业应该设想其10%的雇员需要并发访

33、问功能。少量的应用还应该考虑人员的增加因素，以支持未来用户的增长。七、SSL VPN产品如何选购SSL VPN由于其强大的功能和实施的方便性应用越来越广泛，市场上的SSL VPN品牌也越来越多，如何选择适合自己的产品是需要用户仔细考虑的一个问题，下面从五个方面描述如何选择SSL VPN产品: 1、应用需求: 选择VPN是为了支持远程访问内部网络的应用，因此这一点也是最先需要考虑的一点，目前，大多数SSL VPN支持我们日常经常会用到的邮件系统、OA系统、CRM/ERP等等，但并不是所有的应用SSL VPN都能够提供支持，如动态端口的应用就只有部分SSL VPN能够提供支持。因此，在决定使用一款

34、SSL VPN前一定要先确定是否能支持你的应用。 2、安全需求: 要构建一个安全的系统，不仅仅需要传输过程安全，还要提高系统安全性，以下几个方面是缺一不可的: （1）传输过程安全 传输的过程加密强度是确保内部数据不在传输过程中被黑客盗取的关键因素。传输过程加密强度越高，传输安全性就越有保障。目前，拥有128位加密以上的SSL VPN产品是比较适宜的，56位DES加密相对强度低，选择时需要特别注意。 （2）用户身份验证 用户名加密码的验证方式安全性相对较低，除了用户名和密码外，能提供其他的双因素验证方式的产品更加具有优势，如支持PKI体系等? （3）客户端设备的安全性: 客户端设备是否安装了个人

35、防火墙、防病毒软件等。如果客户端设备不够安全，比如有木马程序，那么系统依然存在安全隐患。目前部分SSL VPN能够提供客户端环境检测，比如检测客户端是否安装了防火墙和防病毒软件。 （4）完成访问后，客户端需要清除客户端机器的缓存 在移动用户完成远程访问后，是否就万事大吉了呢?当然不是，黑客或不法分子可以通过拷贝、复制驻留在客户端缓冲区内数据盗取企业机密。 （5）服务端的日志跟踪 SSL VPN服务器应该提供访问统计和跟踪功能，这样管理员能够根据日志随时掌握系统访问情况。 3、易于管理和维护，使用操作性强 SSL VPN的突出优势之一就在于移动性强、易用性强。但这些特性往往会增加管理难度。因此用

36、户在选购SSL VPN时要重点考虑产品的管理性能。产品要做到界面简单，使用方便，灵活、细致地设置访问权限,采用基于用户/组/角色的认证机制，每个文件、网址或应用都可进行单独设置，使访问控制更易于管理。 4、性能 由于是集中系统，SSL加速决定整个网络的吞吐量。如果SSL加速跟不上，远程接入就会比实际的Internet接入带宽低很多。有的SSL VPN产品采用专门的SSL加速硬件，从而提高了VPN的响应速度。另外，通过数据压缩技术，还对所有的传输数据进行压缩后再进行传输，这样就提高了整个网络的运行效率和实用性。 5、服务 除了上面提到的几点外，具有良好服务也至关重要。SSL VPN还是一个在不断

37、发展的技术，更新的可能会比较快，提供SSL VPN的厂家是否具有良好的产品服务质量、渠道响应速度和本地支持能力也非常重要。比如承诺免费或低费用升级，等等。 SSL VPN的发展迎合了用户对低成本、高性价比远程访问的需求。现在，它已经广泛应用于各行各业。选购SSL VPN时，用户要根据自身特点和不同的业务模式，选择适合自己的产品，再次强调，VPN是正在发展的技术，更新换代比较快，因此用户在选购时可以少考虑一些扩展性，多注重产品的实用性。毕竟，只有适合自己的，才是最理想的选择。八、国内外主流厂商产品一览表及推荐使用品牌国内/外（序号）厂家名称简 述SSL VPN产品系列外（1）JuniperJun

38、iper 网络公司提供全面的SSL VPN产品，在市场上处于领导地位。Juniper 的Secure Access 产品拥有各种机型和特性，可以满足各种规模公司的远程接入需求，包括从中小企业所需的远程/移动员工的接入访问，到大型，跨国企业所需的员工与外联网在统一平台上的接入访问。1、 Secure Access 700 （适用中小型企业）2、Secure Access 2000（适用中小型企业）3、Secure Access 4000 （适用大中型企业）4、Secure Access 6000 （适用大型和跨国企业）5、Secure Access 6000（适用服务提供商管理服务）外（2）Ar

39、ray（推荐使用品牌）世界上最强大的SSL VPN应用访问解决方案。 任何时间、任何地点的安全访问 全局安全和访问控制 卓越的安全性和出色的终端用户体验 目前市场上同类产品中的性能翘楚1、 SPX-2000(面向中小型企业)2、 SPX-3000(面向大中型企业)3、 SPX-5000 (面向大型跨国企业和大中型企业) 外（3）北电（推荐使用品牌）北电VPN网关系列是一套远程接入安全解决方案，可将企业应用的覆盖范围扩展到在偏远地区工作的员工、合作伙伴和客户身边。北电VPN网关利用广泛部署能支持SSL功能的网络浏览器，和支持传统的IPsec VPN接入，提供当前市场上最灵活、最经济高效的安全远程

40、接入解决方案。（SSL VPN与IP SEC VPN功能并兼）1、VPN Gateway 3050（面向大型公司）、VPN Gateway 3070（面向大型公司和服务提供商）外（4）F5F5 的 FirePass SSL VPN 设备提供了一种通过标准网络浏览器，到公司应用和数据的安全访问能力。无论在家中或是在路上，FirePass 出色的性能、可扩展性、易用性以及安全性都可帮助您提高工作效率和确保公司数据的安全性。、FirePass 1200(专为中小型企业设计)、FirePass 4100 (专为大型企业设计)外（5）O2Micro-部署在企业的内部网络的Succendo系统为远程访问提

41、供了集中的控制及保护。-使用Succendo无须对原有的网络环境或用户的使用习惯进行任何变动。1、Succendo 502（25200并发用户数）、Succendo 2000（100500并发用户数）国内（6）北京安软天地科技安软天地公司的EverLink SRAC VPN Gateway是一种简便、低成本的应用层VPN，是个具有高性能的网络应用装置，它将很多应用技术整和进一个简单的网络设备。该VPN运行在应用层，可以帮助企业建立一个即插即用的虚拟专用网。利用多种安全认证方法，包括PKI和动态口令插入VPN，VPN可以提供最彻底的检验用户身份方式。、EverLink SRAC VPN网关国内（

42、7）深圳赛蓝（推荐使用品牌）2002年底，推出了面向大、中、小型企业用户的SME VPN及SSL VPN产品，为国内外用户提供了安全、稳定、可靠，高性价比的广域网解决方案。 2006年初，推出了面向大、中、小型企业用户的Application Firewall（应用层防火墙）VPN防火墙，是结合外部防御与内部防御等多种安全防御功能于一身的新一代UTM 防火墙VPN设备。1、 CYLAN VPN SSL 30 GATEWAY(中小型企业级)2 、CYLAN VPN SSL 50 GATEWAY（中小型企业级）3、CYLAN VPN SSL 100 GATEWAY（中型企业级）2、 CYLAN V

43、PN SSL 200 GATEWAY（中型企业级）3、 CYLAN VPN SSL 620 GATEWAY（中大型企业级）4、 CYLAN VPN SSL 650 GATEWAY（大型企业级）国内（8）深圳深信服一台VPN网关中SSL VPN与IP SEC VPN功能并兼1、 M5100-S VNP网关2、 M5400-S VNP网关3、 M5600-S VNP网关4、 M5800-S VNP网关九、国内外主流厂商产品系列1、 Juniper 网络1.1客户概况:客户描 述区域行业产品系列Arizona Game and FishArizona Game and Fish 部署Juniper

44、网络公司SSL VPN。北美政府SSLASPCAASPCA 明智地选择了 Juniper 网络公司防火墙和SSL VPN 解决方案。北美非盈利组织SSLCatholic Health System（中文）Juniper SSL VPN 支持随时随地访问关键医疗信息。北美医疗SSLHealthBridgeHealthBridge 在医院领域应用Juniper 网络公司SSL VPN 解决方案。北美医疗SSLIsle of Wight 学院Isle of Wight 学院通过Juniper 网络公司SSL VPN解决方案建立安全远程接入。EMEA教育/研究SSLLancaster General（中文）Lancaster General 通过Juniper SSL VPN解决方案实现安全性。北美医疗SSLLinc 集团Linc 集团通过Juniper 网络公司SSL VPN 解决方案将各个部门联系在一起。北美制造SSLRaymond JamesRaymond James 明智投资于Juniper 网络公司SSL VPN 解决方案。北美金融SSLSomerset 地区学区（中文）Somerset地区的学区：成长中