艾森SSL VPN系统企业解决方案

艾森 SSL VPN 系统（服务器软件）只需运行在企业数据中心的一台服务器上。 企业 员工可利用任何网页浏览器，安全存取企业连外网络、企业内网络及内部局域网络的资源 。 利用这种无客户端接入方式，企业就能够提供安全的连接，而不需要改写最终用户设备上的程序。它具有可穿越防火墙而不必重新配置防火墙的性能。

一、系统架构图：

　　二、产品特点介绍：

　　（ 1 ）经济有效的远程访问

　　使用 艾森 SSL VPN ， 远程访问企业内部的应用不需要为远程办公员工配置 VPN 客户端软件，节省了软件费用，并减少了管理时间和开支。

　　（ 2 ）提高了用户的工作能力

　　艾森 SSL VPN 系统 远程为任何地点的客户提供了使用支持 SSL 协议的普通浏览器即刻访问公司内部网络的能力。

　　（ 3 ）快速成简单的配置

　　通过 艾森 SSL VPN 系统 ，无需任何应用和防火墙配置即可立即访问已存在的企业内部网应用。

　　（ 4 ）提供极限的安全性保障

　　艾森 SSL VPN 系统 适用于最严格的企业安全策略，确保了只有合法的通道才能永久地连接到内部系统中。这一远程访问应用可以使企业员工通过基于 Web 迅速访问公司内部应用和文件系统，而没有任何安全威胁。

　　（ 5 ）广泛的应用

　　艾森 SSL VPN 系统 可以使客户进行比较广泛的基于 Web 的远程应用，其中包括：

　　网络文件共享—— FTP 共享和 windows 的文件夹共享功能等

　　EMail 访问——访问任何支持 POP3 或 IMAP 的内部邮件系统

　　内部的 Web 应用——进行任何企业自己现有的 Web 应用

　　（ 6 ）与艾森软件 VPN 组合各种灵活的应用

　　与软件 VPN 组合，各取所长，既拥有无客户端远程访问的便捷部署，也能够访问所有的企业现有应用， SSL VPN 只能访问 Web 应用、 Ftp 、邮件和共享文件夹，软件 VPN 提供有益的功能补充。

　　三、解决方案

　　远程 OA 用户 SSL VPN 方案

　　目标：

　　企业内部运行 Web 界面的办公自动化软件（ OA 系统），希望在外地的分公司可以访问企业的 OA ，并且有足够的安全措施保证数据和系统安全。

　　架构图：

　　方案特点：

　　部署简单——只需要安装艾森 SSL VPN 系统软件，然后设定相应的安全策略既可；

　　使用方便——分公司无需安装软件，使用任何 网页浏览器就可以安全存取企业的 OA 信息；

　　分发分发文件——简单的通过 windows 的文件共享方式，实现远程文件共享，同时保持完整地安全性.

　　SSL VPN 和软件 VPN 结合方案

　　目标：

　　企业内部的应用多，其中部分应用（如 ERP 、销售管理等）不是 Web 应用程序，都需要和分公司共同运用。同时为了提高反应速度，部分出差的用户也有使用企业内部 OA 和邮件的需求。

　　架构图：

　　方案特点：

　　各取所需——安装了 VPN 客户端的用户拥有更多的自由度，可以访问企业内开放的所有系统； SSL VPN 客户保持一贯的便捷、高效，易于部署。

　　切换简单—— SSL VPN 可以轻松升级为 VPN 客户端，没有任何困难。

　　统一策略——采用同一的安全策略，管理更容易。

　　什么是 SSL

　　SSL 具备很强的灵活性，因而广受欢迎，如今几乎所有浏览器都内建有 SSL 功能。它正成为企业应用、无线接入设备、 Web 服务以及安全接入管理的关键协议。

　　SSL 高效实现认证加密。 SSL 协议层包含两类子协议 ——SSL 握手协议和 SSL 记录协议。它们共同为应用访问连接（主要是 HTTP 连接）提供认证、加密和防篡改功能。 SSL 能在 TCP/IP 和应用层间无缝实现 Internet 协议栈处理，而不对其他协议层产生任何影响。 SSL 的这种无缝嵌入功能还可运用类似 Internet 应用，如 Intranet 和 Extranet 接入、应用程序安全访问、无线应用以及 Web 服务。

　　SSL 能基于 Internet 实现安全数据通信：数据在从浏览器发出时进行加密，到达数据中心后解密；同样地，数据在传回客户端时也进行加密，再在 Internet 中传输。它工作于高层， SSL 会话由两部分组成：连接和应用会话。在连接阶段，客户端与服务器交换证书并协议安全参数，如果客户端接受了服务器证书，便生成主密钥，并对所有后续通信进行加密。在应用会话阶段，客户端与服务器间安全传输各类信息，如认证卡号、股票交易数据、个人健康状况这类敏感或机密数据。

　　SSL 安全功能组件包括三部分：认证，在连接两端对服务器或同时对服务器和客户端进行验证；加密，对通信进行加密，只有经过加密的双方才能交换信息并相互识别；完整性检验，进行信息内容检测，防止被篡改。保证通信进程安全的一个关键步骤是对通信双方进行认证， SSL 握手子协议负责这一进程处理：客户端向服务器提交有效证书，服务器采用公共密钥算法对证书信息进行检验，以确认终端用户的合法性。

　　在发展初期，很多采纳 SSL 的传统网络应用，如电子商务并不具备客户端认证功能。这类功能在 SSL 协议之外，通过一些组合信息，如姓名 / 认证卡号结合或其他客户端提供的数据（如口令）来实现的。如今很多企业在数据中心采纳 SSL ，主要是针对新型应用实现客户端认证功能。 SSL VPN 即是应终端用户附加认证而设。客户端认证能让服务器在协议功能范围内确认用户身份，同时客户端也可运用同样技术对服务器进行认证。

　　什么是 SSL VPN

　　（ 1 ） SSL VPN 控制功能强大

　　相对于传统的 IPSec VPN ， SSL 能让公司实现更多远程用户在不同地点接入，实现更多网络资源访问，且对客户端设备要求低，因而降低了配置和运行支撑成本。很多企业用户采纳 SSL VPN 作为远程安全接入技术，主要看重的是其接入控制功能。

　　SSL VPN 提供增强的远程安全接入功能。 IPSec VPN 通过在两站点间创建隧道提供直接（非代理方式）接入，实现对整个网络的透明访问；一旦隧道创建，用户 PC 就如同物理地处于企业 LAN 中。这带来很多安全风险，尤其是在接入用户权限过大的情况下。 SSL VPN 提供安全、可代理连接，只有经认证的用户才能对资源进行访问，这就安全多了。 SSL VPN 能对加密隧道进行细分，从而使得终端用户能够同时接入 Internet 和访问内部企业网资源，也就是说它具备可控功能。另外， SSL VPN 还能细化接入控制功能，易于将不同访问权限赋予不同用户，实现伸缩性访问；这种精确的接入控制功能对远程接入 IPSec VPN 来说几乎是不可能实现的。

　　SSL VPN 基本上不受接入位置限制，可以从众多 Internet 接入设备、任何远程位置访问网络资源。 SSL VPN 通信基于标准 TCP/UDP 协议传输，因而能遍历所有 NAT 设备、基于代理的防火墙和状态检测防火墙。这使得用户能够从任何地方接入，无论是处于其他公司网络中基于代理的防火墙之后，或是宽带连接中。 IPSec VPN 在稍复杂的网络结构中难于实现，因为它很难实现防火墙和 NAT 遍历，无力解决 IP 地址冲突。另外， SSL VPN 能实现从可管理企业设备或非管理设备接入，如家用 PC 或公共 Internet 接入场所，而 IPSec VPN 客户端只能从可管理或固定设备接入。随着远程接入需求的不断增长，远程接入 IPSec VPN 在访问控制方面受到极大挑战，而且管理和运行支撑成本较高，它是实现点对点连接的最佳解决方案，但要实现任意位置的远程安全接入， SSL VPN 要理想得多。

　　应用优势

　　SSL VPN 不需要复杂的客户端支撑，这就易于安装和配置，明显降低成本。 IPSec VPN 需要在远程终端用户一方安装特定设备，以建立安全隧道，而且很多情况下在外部（或非企业控制）设备中建立隧道相当困难。另外，这类复杂的客户端难于升级，对新用户来说面临的麻烦可能更多，如系统运行支撑问题、时间开销问题、管理问题等。 IPSec 解决方案初始成本较低，但运行支撑成本高。如今，已有 SSL 开发商能提供网络层支持，进行网络应用访问，就如同远程机器处于 LAN 中一样；同时提供应用层接入，进行 Web 应用和许多客户端 / 服务器应用访问。