SSLVPN—讓遠程訪問更簡單，更安全

　　 
　　當今世界瞬息萬變，全球化的商業環境使分布在世界各地的企業各分支機構員工、合作伙伴和客戶之間的聯系更加緊密。如何安全、快速、方便的遠程訪問企業內部資源成為IT部門首先要解決的當務之急。
　　

　　通過租用專線的方式實現點到點之間的遠程連接標無疑是一種迅速、安全且可靠的通信手段，但其成本過高，并不適合大多數企業應用。隨著Internet的普及和發展，通過 IPSec VPN技術實現大量數據的遠程訪問為人們提供了一種低運行成本、高生產效率的遠程訪問方式。但是，IPSec VPN也有不足，它使用十分復雜，必須安裝和維護客戶端軟件。另外，從遠程通過IPSec通道連接到企業內部網絡可能會增加局域網受到攻擊或被病毒感染的可能。
　　
　　與電子商務和網上銀行服務一樣，SSL VPN采用標準的安全套接層（SSL）對傳輸中的數據包進行加密，從而在應用層保護了數據的安全性。在不斷擴展的互聯網Web站點之間、遠程辦公室、傳統交易大廳、酒店、無線熱點和客戶端間，SSL VPN克服了IPSec VPN的不足，用戶可以輕松實現安全易用、無需客戶端安裝且配置簡單的遠程訪問，從而降低用戶的總成本并增加遠程用戶的工作效率。而同樣在這些地方，設置傳統的IPSec VPN非常困難，甚至是不可能的，這是由于必須更改網絡地址轉換（NAT）和防火墻設置。
　　
　　SafeEnterprise SSL iGate
　　
　　Safenet SafeEnterprise SSL iGate可以滿足SSL VPN用戶市場的各個層面的需求。iGate Pro SSL VPN具備許多重要特性，如支持B/S和C/S應用、集成iKey身份認證令牌、提供硬件SSL加速、支持客戶端標準瀏覽器訪問、清除緩存記錄和HTTP壓縮等。
　　
　　客戶端檢測
　　
　　在客戶端， iGate Pro會自動檢查客戶端是否安裝了防病毒軟件和防火墻，并確認它們的類型和版本。同樣，iGate Pro也會對注冊表和文件設置進行檢查，確認是否正常運行Win32服務器和Windows自動更新服務。
　　
　　身份認證及授權
　　
　　當確認遠程客戶端符合安全策略后，系統需要確認客戶端用戶身份，各個公司可根據他們的安全策略靈活選擇不同的認證手段，如口令密碼、雙因素身份認證方式（iKey身份認證令牌或RSA SecurID）、PKI方式。通常，建議用戶使用雙因素認證或PKI方式，因為它們要比使用口令密碼確認身份安全得多。對于不同用戶，其可訪問內容也會有所區別，管理員在設置用戶權限您可通過本地授權、LDAP或RADIUS等方式進行。不同的用戶、角色和應用程序具有不同的訪問權限。
　　
　　管理安全
　　
　　通過身份確認后，用戶可以通過入口界面安全訪問內部資源。由于采用代理機制，并且iGate只開放443端口，因而大大減少了內部資源受到攻擊的危險性。iGate可以保護包括Web方式在內的所有給予TCP的應用程序，無論是B/S還是C/S結構的應用程序，都可以實現安全的遠程訪問。例如遠端用戶希望訪問公司內部郵件系統，他就可以利用iGate像在公司內部一樣收發他的郵件。對非Web應用程序，iGate Pro通過基于Java的 VPX程序進行安全訪問，VPX易于安裝，簡單易用，用戶只需進入入口頁面，然后敲一下應用軟件即可鏈接到經過認證的HQ應用服務器。
　　
　　從安全的角度來看，iGate Pro的CPF客戶端策略值得推薦。一旦會話超時、退出登錄或拔除iKey，iGate Pro 會自動刪除暫存在Cache中的臨時文件，因此敏感信息不會駐留在設備中。
　　
　　iGate具有超強的日志記錄功能，能自動保存各種活動和報警報告。它與管理其它資源一樣，可以對訪問進行集中管理，對組別、用戶或資源的使用進行摘要描述，發現可疑訪問，特別標注并進行預警提示，并且可以按照日期、使用情況或組別以圖表方式進行描述。
　　
　　使用簡單
　　
　　基于Web的用戶界面可以管理HTTPS通訊，同時還可以通過Web界面進行初始化配置。利用Web管理器和訪問控制管理器（ACM）工具， iGate Pro可以輕松快速配置和管理遠程訪問服務，無需安裝客戶端。
　　
　　基于Windows的ACM軟件使用戶、應用程序和資源管理變得十分容易。
　　
　　測試過程
　　
　　1．在運行測試iGate Pro前，需要確認以下相關數據：默認網關IP、Web服務器FQDN、Web服務器IP等。
　　
　　2．iGate Pro設置在防火墻后加密隧道或DMZ區，把瀏覽器指向iGate Pro的IP地址，點擊Net Wizard標識，選擇單臂模式。
　　
　　3．根據安裝向導，選擇通過入口頁面訪問方式或直接訪問方式。繼續設置其它選項，如 URL訪問服務器、Web服務器IP地址、80端口、虛擬IP地址和客戶端443端口。
　　
　　4．點擊Advanced標志，出現一系列控制和監測選項，以及設置VPX連接器的選項。VPX連接器允許客戶在遠程PC上通過iGate Pro與C/S應用程序服務器相連。在我們的測試配置中，啟動安裝向導對配置非常有幫助。
　　
　　5．配置ACM中央配置和管理工具，設定需要保護的資源和可以訪問這些資源的用戶。你可以用ACM自定義外部認證的方法或是內部認證，配置用戶、組、訪問權限并連接至登錄頁面。
　　
　　可以增加站點和應用軟件將未經授權的訪問加入至訪問控制列表（ACL），但必須保證安全性。通過ACM軟件，你可以從Windows或任一外部路徑輸入用戶名。
　　
　　6．VPX和ACM工具友好的界面給我們留下了深刻印象，它們描述清楚并且易于操作，即便是一個新手也可以利用手邊的資料快速啟動，進行遠程安全訪問。
　　
　　7． 通過iGate Pro的所有通信都是安全的。進行遠程訪問測試時，我們所用的客戶端PC僅僅裝了普通的瀏覽器和Java。
　　
　　8．考慮多種應用需要一起使用，我們選擇使用入口站點訪問方式。設定使用口令和iKey USB令牌作為身份認證方式。插入iKey，輸入PIN碼，通過身份認證，出現入口頁面，顯示Web應用軟件和非Web應用程序列表。
　　
　　9．工作時，我們可能會需要離開自己的機器，因此我們可以中途拔出iKey，SSL通道就會自動關閉，這是一項極為有用的安全功能。
　　
　　10．iGate Pro對于在安全通信、認證、授權、安全應用程序代理、客戶端安全、終端用戶的支持和管理等方面均能做出良好的響應。
　　
　　結論
　　
　　SSL VPN拓展了我們的應用靈活度， iGate Pro SSL VPN更賦予我們將安全性與易用性相結合的能力。使用iGate, 用戶可以安全訪問基于Web和非基于Web的應用程序和關鍵數據。

原文轉自：http://www.anti-gravitydesign.com