當(dāng)今世界瞬息萬變，全球化的商業(yè)環(huán)境使分布在世界各地的企業(yè)各分支機(jī)構(gòu)員工、合作伙伴和客戶之間的聯(lián)系更加緊密。如何安全、快速、方便的遠(yuǎn)程訪問企業(yè)內(nèi)部資源成為IT部門首先要解決的當(dāng)務(wù)之急。

通過租用專線的方式實(shí)現(xiàn)點(diǎn)到點(diǎn)之間的遠(yuǎn)程連接標(biāo)無疑是一種迅速、安全且可靠的通信手段，但其成本過高，并不適合大多數(shù)企業(yè)應(yīng)用。隨著Internet的普及和發(fā)展，通過 IPSec VPN技術(shù)實(shí)現(xiàn)大量數(shù)據(jù)的遠(yuǎn)程訪問為人們提供了一種低運(yùn)行成本、高生產(chǎn)效率的遠(yuǎn)程訪問方式。但是，IPSec VPN也有不足，它使用十分復(fù)雜，必須安裝和維護(hù)客戶端軟件。另外，從遠(yuǎn)程通過IPSec通道連接到企業(yè)內(nèi)部網(wǎng)絡(luò)可能會(huì)增加局域網(wǎng)受到攻擊或被病毒感染的可能。

與電子商務(wù)和網(wǎng)上銀行服務(wù)一樣，SSL VPN采用標(biāo)準(zhǔn)的安全套接層（SSL）對(duì)傳輸中的數(shù)據(jù)包進(jìn)行加密，從而在應(yīng)用層保護(hù)了數(shù)據(jù)的安全性。在不斷擴(kuò)展的互聯(lián)網(wǎng)Web站點(diǎn)之間、遠(yuǎn)程辦公室、傳統(tǒng)交易大廳、酒店、無線熱點(diǎn)和客戶端間，SSL VPN克服了IPSec VPN的不足，用戶可以輕松實(shí)現(xiàn)安全易用、無需客戶端安裝且配置簡單的遠(yuǎn)程訪問，從而降低用戶的總成本并增加遠(yuǎn)程用戶的工作效率。而同樣在這些地方，設(shè)置傳統(tǒng)的IPSec VPN非常困難，甚至是不可能的，這是由于必須更改網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）和防火墻設(shè)置。

SafeEnterprise SSL iGate

Safenet SafeEnterprise SSL iGate可以滿足SSL VPN用戶市場(chǎng)的各個(gè)層面的需求。iGate Pro SSL VPN具備許多重要特性，如支持B/S和C/S應(yīng)用、集成iKey身份認(rèn)證令牌、提供硬件SSL加速、支持客戶端標(biāo)準(zhǔn)瀏覽器訪問、清除緩存記錄和HTTP壓縮等。

客戶端檢測(cè)

在客戶端， iGate Pro會(huì)自動(dòng)檢查客戶端是否安裝了防病毒軟件和防火墻，并確認(rèn)它們的類型和版本。同樣，iGate Pro也會(huì)對(duì)注冊(cè)表和文件設(shè)置進(jìn)行檢查，確認(rèn)是否正常運(yùn)行Win32服務(wù)器和Windows自動(dòng)更新服務(wù)。

身份認(rèn)證及授權(quán)

當(dāng)確認(rèn)遠(yuǎn)程客戶端符合安全策略后，系統(tǒng)需要確認(rèn)客戶端用戶身份，各個(gè)公司可根據(jù)他們的安全策略靈活選擇不同的認(rèn)證手段，如口令密碼、雙因素身份認(rèn)證方式（iKey身份認(rèn)證令牌或RSA SecurID）、PKI方式。通常，建議用戶使用雙因素認(rèn)證或PKI方式，因?yàn)樗鼈円�比使用口令密碼確認(rèn)身份安全得多。對(duì)于不同用戶，其可訪問內(nèi)容也會(huì)有所區(qū)別，管理員在設(shè)置用戶權(quán)限您可通過本地授權(quán)、LDAP或RADIUS等方式進(jìn)行。不同的用戶、角色和應(yīng)用程序具有不同的訪問權(quán)限。

管理安全

通過身份確認(rèn)后，用戶可以通過入口界面安全訪問內(nèi)部資源。由于采用代理機(jī)制，并且iGate只開放443端口，因而大大減少了內(nèi)部資源受到攻擊的危險(xiǎn)性。iGate可以保護(hù)包括Web方式在內(nèi)的所有給予TCP的應(yīng)用程序，無論是B/S還是C/S結(jié)構(gòu)的應(yīng)用程序，都可以實(shí)現(xiàn)安全的遠(yuǎn)程訪問。例如遠(yuǎn)端用戶希望訪問公司內(nèi)部郵件系統(tǒng)，他就可以利用iGate像在公司內(nèi)部一樣收發(fā)他的郵件。對(duì)非Web應(yīng)用程序，iGate Pro通過基于Java的 VPX程序進(jìn)行安全訪問，VPX易于安裝，簡單易用，用戶只需進(jìn)入入口頁面，然后敲一下應(yīng)用軟件即可鏈接到經(jīng)過認(rèn)證的HQ應(yīng)用服務(wù)器。

從安全的角度來看，iGate Pro的CPF客戶端策略值得推薦。一旦會(huì)話超時(shí)、退出登錄或拔除iKey，iGate Pro 會(huì)自動(dòng)刪除暫存在Cache中的臨時(shí)文件，因此敏感信息不會(huì)駐留在設(shè)備中。

iGate具有超強(qiáng)的日志記錄功能，能自動(dòng)保存各種活動(dòng)和報(bào)警報(bào)告。它與管理其它資源一樣，可以對(duì)訪問進(jìn)行集中管理，對(duì)組別、用戶或資源的使用進(jìn)行摘要描述，發(fā)現(xiàn)可疑訪問，特別標(biāo)注并進(jìn)行預(yù)警提示，并且可以按照日期、使用情況或組別以圖表方式進(jìn)行描述。

使用簡單

基于Web的用戶界面可以管理HTTPS通訊，同時(shí)還可以通過Web界面進(jìn)行初始化配置。利用Web管理器和訪問控制管理器（ACM）工具， iGate Pro可以輕松快速配置和管理遠(yuǎn)程訪問服務(wù)，無需安裝客戶端。

基于Windows的ACM軟件使用戶、應(yīng)用程序和資源管理變得十分容易。

測(cè)試過程

1．在運(yùn)行測(cè)試iGate Pro前，需要確認(rèn)以下相關(guān)數(shù)據(jù)：默認(rèn)網(wǎng)關(guān)IP、Web服務(wù)器FQDN、Web服務(wù)器IP等。

2．iGate Pro設(shè)置在防火墻后加密隧道或DMZ區(qū)，把瀏覽器指向iGate Pro的IP地址，點(diǎn)擊Net Wizard標(biāo)識(shí)，選擇單臂模式。

3．根據(jù)安裝向?qū)�，選擇通過入口頁面訪問方式或直接訪問方式。繼續(xù)設(shè)置其它選項(xiàng)，如 URL訪問服務(wù)器、Web服務(wù)器IP地址、80端口、虛擬IP地址和客戶端443端口。

4．點(diǎn)擊Advanced標(biāo)志，出現(xiàn)一系列控制和監(jiān)測(cè)選項(xiàng)，以及設(shè)置VPX連接器的選項(xiàng)。VPX連接器允許客戶在遠(yuǎn)程PC上通過iGate Pro與C/S應(yīng)用程序服務(wù)器相連。在我們的測(cè)試配置中，啟動(dòng)安裝向?qū)��?duì)配置非常有幫助。

5．配置ACM中央配置和管理工具，設(shè)定需要保護(hù)的資源和可以訪問這些資源的用戶。你可以用ACM自定義外部認(rèn)證的方法或是內(nèi)部認(rèn)證，配置用戶、組、訪問權(quán)限并連接至登錄頁面。

可以增加站點(diǎn)和應(yīng)用軟件將未經(jīng)授權(quán)的訪問加入至訪問控制列表（ACL），但必須保證安全性。通過ACM軟件，你可以從Windows或任一外部路徑輸入用戶名。

6．VPX和ACM工具友好的界面給我們留下了深刻印象，它們描述清楚并且易于操作，即便是一個(gè)新手也可以利用手邊的資料快速啟動(dòng)，進(jìn)行遠(yuǎn)程安全訪問。

7． 通過iGate Pro的所有通信都是安全的。進(jìn)行遠(yuǎn)程訪問測(cè)試時(shí)，我們所用的客戶端PC僅僅裝了普通的瀏覽器和Java。

8．考慮多種應(yīng)用需要一起使用，我們選擇使用入口站點(diǎn)訪問方式。設(shè)定使用口令和iKey USB令牌作為身份認(rèn)證方式。插入iKey，輸入PIN碼，通過身份認(rèn)證，出現(xiàn)入口頁面，顯示W(wǎng)eb應(yīng)用軟件和非Web應(yīng)用程序列表。

9．工作時(shí)，我們可能會(huì)需要離開自己的機(jī)器，因此我們可以中途拔出iKey，SSL通道就會(huì)自動(dòng)關(guān)閉，這是一項(xiàng)極為有用的安全功能。

10．iGate Pro對(duì)于在安全通信、認(rèn)證、授權(quán)、安全應(yīng)用程序代理、客戶端安全、終端用戶的支持和管理等方面均能做出良好的響應(yīng)。

結(jié)論

SSL VPN拓展了我們的應(yīng)用靈活度， iGate Pro SSL VPN更賦予我們將安全性與易用性相結(jié)合的能力。使用iGate, 用戶可以安全訪問基于Web和非基于Web的應(yīng)用程序和關(guān)鍵數(shù)據(jù)