某科技公司保險(xiǎn)業(yè)解決方案(doc 26頁(yè)).doc

1、廣優(yōu)資訊科技有限公司保險(xiǎn)業(yè)解決方案廣優(yōu)資訊科技有限公司保險(xiǎn)業(yè)解決方案 目 錄 一、一、公司介紹公司介紹3 二、二、背景介紹背景介紹4 三、三、功能介紹功能介紹5 四、四、產(chǎn)品優(yōu)勢(shì)產(chǎn)品優(yōu)勢(shì)連接性能連接性能6 五、五、成功用戶成功用戶7 六、六、某煙草企業(yè)某煙草企業(yè) SSL VPN 需求需求8 七、七、附錄（附錄（FAQ）11 一、公司介紹 廣優(yōu)資訊科技有限公司（UUDynamics, Inc.） ，是專門從事網(wǎng)絡(luò)安全產(chǎn)品開(kāi)發(fā)與銷 售，提供企業(yè)最佳 VPN 解決方案的服務(wù)提供商。公司總部位于美國(guó)加州硅谷, 亞洲分公司 設(shè)在中國(guó)上海。自公司成立以來(lái)憑借著優(yōu)秀的銷售團(tuán)隊(duì)與獨(dú)特優(yōu)異的 VPN 開(kāi)發(fā)技術(shù)，

2、已經(jīng) 獲得包含 IBM 與 Acer 等公司的肯定，并進(jìn)一步成為了合作伙伴。 （一）公司大事紀(jì)： 公司成立于 2002 年 8 月。 2003 年 7 月，推出 iSTAR Beta 測(cè)試版本。 2004 年 3 月，宏碁與 UUDynamics 簽約，成為臺(tái)灣地區(qū)總代理。 2004 年 4 月，推出正式版本 iSTAR。 2004 年 12 月, 中國(guó)普天集團(tuán)南方電信公司與 UUDynamics 簽約，成為中國(guó)大陸 地區(qū)代理。 2005 年 10 月，iSTAR平臺(tái)通過(guò)國(guó)際安全認(rèn)證權(quán)威 ICSA Labs SSL-TLS V2.0 的 認(rèn)證。 2005 年 12 月 UUDynamics 成

3、為 IBM 大中國(guó)地區(qū)安全產(chǎn)品合作伙伴。 2006 年至今在金融、電信、制造、流通與政府機(jī)構(gòu)中皆有廣大的用戶。 二、背景介紹 當(dāng)今世界瞬息萬(wàn)變，全球化的商業(yè)環(huán)境使分布在全國(guó)甚至是世界各地的企業(yè)分支機(jī)構(gòu)員 工、合作伙伴和客戶之間的聯(lián)系更加緊密。如何安全、快速、方便的 VPN 遠(yuǎn)程訪問(wèn)企業(yè)內(nèi) 部資源成為企業(yè)首先要解決的當(dāng)務(wù)之急。 （圖一 VPN 技術(shù)應(yīng)用的發(fā)展） 然而到目前為止，大多數(shù)的 VPN 遠(yuǎn)程安全訪問(wèn)解決方案仍然停留在 97 年的 IPSec VPN 技術(shù)。隨著移動(dòng)辦公和遠(yuǎn)程用戶的急速增加，源于 10 年前的 IPSec 技術(shù)不再適合今 天多變的網(wǎng)絡(luò)環(huán)境。IPSec 的易用性差，和防火墻兼

4、容度低，維護(hù)成本高，更關(guān)鍵的是：在 實(shí)際的網(wǎng)絡(luò)環(huán)境中經(jīng)常無(wú)法正常工作；2001 年所面世的第一代 SSL VPN 技術(shù)（第一代 VPN）又受限於架構(gòu)上的缺失，因此企業(yè)莫不尋求更好的遠(yuǎn)程訪問(wèn)技術(shù)，亦或者根本放棄遠(yuǎn) 程訪問(wèn)技術(shù)。 UUDynamics 公司研發(fā)的 iSTAR （instant Secure Tunnel ARchitecture） 系列，是針對(duì)解決現(xiàn)代網(wǎng)絡(luò)安全問(wèn)題所設(shè)計(jì)的新世代網(wǎng)絡(luò)安全平臺(tái)。我們強(qiáng)調(diào)網(wǎng)絡(luò)安全平 臺(tái)這一觀念，即無(wú)論是遠(yuǎn)程訪問(wèn)或是內(nèi)網(wǎng)安全，也無(wú)分是 WAN 還是 LAN，都需要一個(gè) 安全平臺(tái)來(lái)保障其資源、主機(jī)與通訊的安全性，避免不速之客的威脅及蠕蟲(chóng)的傳播。 iSTAR集

5、成了已知各種 VPN 的優(yōu)點(diǎn)，以交換單元交換單元 （UUCentral） 、 發(fā)布單元發(fā)布單元 （UUPublisher）及客戶端客戶端三者架構(gòu)出新世代的網(wǎng)絡(luò)安全平臺(tái)，能廣泛的保障遠(yuǎn)程訪問(wèn)、 Lan-to-Lan、內(nèi)網(wǎng)保護(hù)、實(shí)體隔離、物理隔離以及遠(yuǎn)程維護(hù)等各種網(wǎng)絡(luò)應(yīng)用的安全。它能適 應(yīng)不同的網(wǎng)絡(luò)環(huán)境，支持各種應(yīng)用軟件的運(yùn)行，能最快速的架構(gòu)出適合各行各業(yè)的網(wǎng)絡(luò)安全 平臺(tái)。iSTAR的兩級(jí)式（2-level）管理概念，使得它不但符合企業(yè)的安全需求，更能夠?yàn)?服務(wù)商（Service Provider）提供一個(gè)網(wǎng)絡(luò)安全服務(wù)的營(yíng)運(yùn)平臺(tái)。 三、功能介紹 特色功能特色功能功能說(shuō)明功能說(shuō)明 遠(yuǎn)程訪問(wèn) 以安全、

6、快速、方便的遠(yuǎn)程訪問(wèn)方案協(xié)助解決企業(yè)分布在全國(guó)乃至 世界各地的分支機(jī)構(gòu)員工、合作伙伴和客戶之間的聯(lián)系，或遠(yuǎn)程訪 問(wèn)企業(yè)內(nèi)部資源，并能掌握互聯(lián)網(wǎng)不可預(yù)測(cè)的延時(shí)和路由參數(shù)。 遠(yuǎn)程維護(hù) 以安全、快速、方便的遠(yuǎn)程維護(hù)方案幫助企業(yè)為其客戶提供迅速、 優(yōu)質(zhì)的遠(yuǎn)程維護(hù)服務(wù)，使企業(yè)能有效的降低成本和擴(kuò)大客戶群。 物理隔離 目前政府與稅務(wù)等部門內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間需要交換的信息越 來(lái)越多，通過(guò)媒體拷貝或其它方式不僅無(wú)法保證信息傳遞的效率， 更缺乏對(duì)信息安全的嚴(yán)格審查，極易導(dǎo)致攻擊程序的流入和重要信 息的泄漏，iSTAR提供了理想的物理隔離方案以協(xié)助政府、稅務(wù) 等部門輕松落實(shí)物理隔離需求。 端到端安全保護(hù) （e

7、nd to end） iSTAR集成了各種 VPN 的優(yōu)點(diǎn)，以交換單元交換單元 （UUCentral） 、 發(fā)布單元發(fā)布單元 （UUPublisher）及客戶端客戶端三者架構(gòu)出新世代的網(wǎng) 絡(luò)安全平臺(tái)，能完全滿足企業(yè)對(duì)于端到端安全保護(hù)需求。 四、產(chǎn)品優(yōu)勢(shì) 支持Web、C/S 應(yīng)用及網(wǎng)絡(luò)文件夾共享功能，支持特殊用戶使用網(wǎng)絡(luò)共享功能。 支持遠(yuǎn)程服務(wù)器連接本地網(wǎng)絡(luò)功能，支持site-to-site連接。 部署簡(jiǎn)單，無(wú)須預(yù)裝客戶端軟件，無(wú)須更改現(xiàn)有的網(wǎng)絡(luò)及防火墻設(shè)置，可被安裝在各種 的內(nèi)部網(wǎng)絡(luò)上。 提供使用Public IP地址（Direct Access）或是Private IP地址（Private

8、Access）兩種部 署方式。 使用者（User-based）存取控制政策，簡(jiǎn)單清晰。 高安全性，基于應(yīng)用層的end to end安全機(jī)制，無(wú)須在應(yīng)用服務(wù)器端的防火墻上開(kāi)任何 進(jìn)向端口。 無(wú)須Public IP地址（Private Access）。 能完全地與企業(yè)現(xiàn)有認(rèn)證機(jī)制整合。能完全地與企業(yè)現(xiàn)有認(rèn)證機(jī)制整合。 支持雙因子（支持雙因子（Dual-factor）認(rèn)證功能。）認(rèn)證功能。 支持客戶端憑證功能，支持角色（Role-based）管理政策，支持存取時(shí)間段（Time- based）政策，支持主機(jī)檢查（Host checker）政策，可強(qiáng)制規(guī)定上線主機(jī)板本的一致 性。 內(nèi)建式CA（Build

9、-in CA）。 采用叢集（cluster）以及負(fù)載平衡（load balance）技術(shù)，擴(kuò)充性佳。 N1的架構(gòu)方式，免除成雙成對(duì)的購(gòu)買方式，實(shí)現(xiàn)低的架構(gòu)方式，免除成雙成對(duì)的購(gòu)買方式，實(shí)現(xiàn)低TCO （Total Cost of Ownership）優(yōu)勢(shì)。）優(yōu)勢(shì)。 以單一環(huán)境同時(shí)支持企業(yè)員工以及商務(wù)伙伴使用，可以多個(gè)site 共享一個(gè)電子憑證 （Private Access）。 獲得ICSA認(rèn)證（ICSA labs SSL-TLS Certification）。 五、某煙草企業(yè) SSL VPN 需求 某煙草專賣局（公司）現(xiàn)有職能部門 6 個(gè)，下轄九個(gè)縣市局，全部員工 1300 余人，擁 有資產(chǎn)總

10、額近 5 億元。是該省煙草行業(yè)中最大的一個(gè)專賣專營(yíng)銷地局（公司） 。隨著煙草行 業(yè)信息化的提高，為提供更好服務(wù)質(zhì)量和內(nèi)部信息交換的需要，該煙草專賣局（公司）下轄 九個(gè)縣市分公司通過(guò) 2M 光纖連接到市中心，需要安全的訪問(wèn)市中心的 OA 辦公系統(tǒng)，內(nèi)部 網(wǎng)站，F(xiàn)TP 服務(wù)器。同時(shí)所有煙草專賣店需要匯總數(shù)據(jù)到各縣中心數(shù)據(jù)庫(kù)服務(wù)器，再由各縣 匯總到市數(shù)據(jù)庫(kù)中心，所有煙草專賣店與公司管理層也需要從外部網(wǎng)絡(luò)訪問(wèn)市中心內(nèi)部資源， 更需要公司 IT 人員在外也能維護(hù)整個(gè)系統(tǒng)。 面對(duì)如此復(fù)雜的應(yīng)用，某煙草專賣局（公司）面臨了以下的困擾： 1.配置管理復(fù)雜，工作量大 如果整個(gè)項(xiàng)目采用 IPSec VPN，那么各

11、個(gè)地區(qū)需要設(shè)置防火墻開(kāi)放 IPSec 的通訊端口， 同時(shí)需要給每個(gè)客戶端安裝 IPSec 客戶端軟件，加上需要培訓(xùn)員工使用客戶端軟件， 網(wǎng) 絡(luò)管理員的配置和維護(hù)工作量非常龐大。 2.為了一個(gè)應(yīng)用程序，必須開(kāi)放整個(gè)網(wǎng)絡(luò) 為了讓使用者訪問(wèn)文件服務(wù)器，內(nèi)部 Web 服務(wù)器和 OA 辦公系統(tǒng)，必須從網(wǎng)絡(luò)層進(jìn)行 連 接，導(dǎo)致網(wǎng)絡(luò)的安全性降低。如果分支機(jī)構(gòu)的計(jì)算機(jī)感染蠕蟲(chóng)病毒，勢(shì)必影響到總部的 網(wǎng)絡(luò)和服務(wù)器。 3.不適合遠(yuǎn)程訪問(wèn) 公司管理層和 IT 管理人員在移動(dòng)辦公時(shí)需要遠(yuǎn)程訪問(wèn)企業(yè)的網(wǎng)絡(luò)資源，為此網(wǎng)管人員 必 須隨時(shí)根據(jù)需求修改 IPSec VPN 設(shè)備上的使用者認(rèn)證配置。即便如此，由于某些上網(wǎng) 的地

12、方，設(shè)置了上網(wǎng)安全策略（例如酒店架設(shè)防火墻） ，經(jīng)常發(fā)生在外的人員無(wú)法使用 和 維護(hù)企業(yè)網(wǎng)絡(luò)資源的現(xiàn)象。 4.成本高 如果使用 IPSec VPN 方案，就需要在九個(gè)縣市也部署 IPSec VPN 設(shè)備，企業(yè)的購(gòu)買成 本增加，由于 IPSec VPN 整個(gè)的復(fù)雜性和需要安裝客戶端，整個(gè)部署過(guò)程也將變的漫 長(zhǎng)，同時(shí)整個(gè)維護(hù)量也非常大，維護(hù)成本也會(huì)大大提高。 （圖二 為煙草業(yè)提供的 SSL VPN 需求解決方案） 方案說(shuō)明方案說(shuō)明： 對(duì)于該煙草專賣局（公司）的需求而言，非但不易整合，架設(shè)的成本非常高且難以管理！ iSTAR比起傳統(tǒng)的 SSL VPN 與 IPSEC VPN 更具有優(yōu)越性的地方在于，

13、 越是復(fù)雜的環(huán) 境，越能體現(xiàn) iSTAR便捷的部屬方式 。 針對(duì)該煙草專賣局（公司）的需求，我們?cè)诳偣炯茉O(shè)了 iSTAR交換單元，利用 iSTAR特有的部屬方式，準(zhǔn)確且快速的建立起各支點(diǎn)的相互傳遞網(wǎng)絡(luò)。各個(gè)支點(diǎn)分別利 用 iSTAR的安全通道隱密的接收與傳送重要數(shù)據(jù)，充分保證數(shù)據(jù)在安全的模式下傳輸。 不同的應(yīng)用，但采用相同的發(fā)布手段 ，完全免除了針對(duì)不同應(yīng)用特別部屬的昂貴人力物 力成本。煙草專賣局（公司）的需求復(fù)雜，但 iSTAR的實(shí)施卻是非常簡(jiǎn)單。 獲得效益獲得效益： 1.選用基于邏輯名的概念，進(jìn)行連接，適合動(dòng)態(tài)的網(wǎng)絡(luò)，即插即用，不需對(duì)原有的“城 墻”作任何變更，無(wú)處不達(dá)，并實(shí)現(xiàn)端到端的安

14、全保護(hù)。 2.針對(duì)市場(chǎng)需求的挑戰(zhàn)而設(shè)計(jì)，不但適合企業(yè)公司內(nèi)部互聯(lián)，并可實(shí)時(shí)與 Extranet 合 作伙伴互通企業(yè)信息，特別在企業(yè)重組或者合并時(shí)候，提供最好彈性的整和，不必 重新配置協(xié)同工作的“城墻”。 3.在互聯(lián)網(wǎng)的基礎(chǔ)上，可利用 iSTAR的架構(gòu)，構(gòu)架獨(dú)特的企業(yè)架構(gòu)，有效的左右路 由路徑與優(yōu)化延遲參數(shù)，可處理偏遠(yuǎn)地區(qū)的節(jié)點(diǎn)，包括大范圍的全球各地區(qū)的節(jié)點(diǎn)。 4.包含 IPSec VPN 與 SSL VPN 產(chǎn)品全部功能，提供一個(gè)整體而且高度集成的解決方 案。 5.架構(gòu)優(yōu)越，技術(shù)超越，因此可以提供高性能，性價(jià)比高，低 TCO（Total Cost of Ownership）的全面的端到端的解決

15、方案。 6.部署獨(dú)立于現(xiàn)存“堅(jiān)墻厚壁”的架構(gòu)，無(wú)需重新調(diào)整現(xiàn)存架構(gòu)，無(wú)需擔(dān)心 IP 地址沖突， 和現(xiàn)有的 IT 設(shè)備完全兼容。 7.安全 iSTAR架構(gòu)使得位于 Site 端的設(shè)備（發(fā)布單元）得以擺脫 Public IP 的束縛，不 再被局限在網(wǎng)關(guān)的位置，可以任意的向內(nèi)網(wǎng)延伸；這不但簡(jiǎn)化了 VPN 的部署，同 時(shí)也增加了內(nèi)網(wǎng)的安全性。提供了真正的端到端的保護(hù)。 iSTAR架構(gòu)下，防火墻不需要開(kāi)任何向內(nèi)的端口，能有效阻斷常見(jiàn)的端口掃描黑 客攻擊方式。 iSTAR可與大多數(shù)常見(jiàn)的認(rèn)證方式相容，包括 Windows Active Directory, Windows NT Domain, LDAP

16、服務(wù)器, Radius 服務(wù)器，以及 Ace 服務(wù)器，它同時(shí)也 具備了本地?cái)?shù)據(jù)庫(kù)功能(local database)。iSTAR能無(wú)縫地與您現(xiàn)有的安全認(rèn)證機(jī) 制完全整合。 客戶端支持雙因子認(rèn)證，可支持常見(jiàn)的 RSA SecurID token，one-time password，UUKey，使保險(xiǎn)業(yè)企業(yè)的重要數(shù)據(jù)資源得到高級(jí)別的保護(hù)。 Build-in CA 8.快速部署 iSTAR架構(gòu)不需要改變企業(yè)現(xiàn)有網(wǎng)絡(luò)配置，實(shí)現(xiàn)即插即用，快速部署。 9.快速訪問(wèn) iSTAR架構(gòu)提供了基于 Internet 的路由可控性，大大提高訪問(wèn)速度，尤其是有效解決 了不同 ISP 間跨網(wǎng)訪問(wèn)、偏遠(yuǎn)地區(qū)的營(yíng)業(yè)網(wǎng)點(diǎn)、以

17、及大范圍的全球各地區(qū)的網(wǎng)點(diǎn)的網(wǎng)絡(luò) 延遲問(wèn)題。 10. 擴(kuò)展性強(qiáng) 通過(guò) iSTAR架構(gòu)下的 Multi-site 部署方式，可以在原有架構(gòu)內(nèi)快速加入新的網(wǎng)點(diǎn)，有 效支持了保險(xiǎn)行業(yè)營(yíng)業(yè)網(wǎng)點(diǎn)迅速擴(kuò)充的拓展性需求。 11. 可靠性高 iSTAR支持 Clustering 及 Load Balancing 技術(shù)，并采用 N+1 的高可靠性保護(hù)機(jī)制， 有效保障了信息系統(tǒng)的可靠運(yùn)行。 12. 易用性高 企業(yè)員工通過(guò) IE 就可以實(shí)現(xiàn)對(duì)企業(yè)相關(guān)資源的訪問(wèn)，并通過(guò)獨(dú)特的 UUKey 自動(dòng)登錄功 能，方便用戶即插即用，而且所有的應(yīng)用以圖標(biāo)方式雙擊訪問(wèn)，無(wú)須任何培訓(xùn)。 13. 維護(hù)簡(jiǎn)單 由于不需要安裝客戶端，通過(guò)瀏

18、覽器實(shí)現(xiàn)訪問(wèn)，維護(hù)量低，設(shè)備也支持通過(guò) SSL 加密 實(shí)現(xiàn)遠(yuǎn)程管理。 六、附錄（FAQ） 1iSTAR的目標(biāo)客戶是誰(shuí)？的目標(biāo)客戶是誰(shuí)？ 中大型制造企業(yè)、銀行、政券公司、保險(xiǎn)、電信等運(yùn)營(yíng)商、政府（電子政務(wù)） 、IT 服務(wù) 公司、連鎖及物流企業(yè)等。 2通過(guò)通過(guò) iSTAR用什么？用什么？ 提供企業(yè)的遠(yuǎn)程安全訪問(wèn)解決方案，包括： 2.1C/S 應(yīng)用程序訪問(wèn)：支持 C/S 應(yīng)用程序、WEB 應(yīng)用程序、常用的終端連接 （IBM5250/3270、Telnet 等）遠(yuǎn)程桌面控制（MS Terminal、PCAnywhere、RAdmin 等） 、郵件（Outlook、Outlook Express、Eud

19、ora 等）和其它應(yīng)用程序，如 Notes、ERP、NetMeeting、SQL Server、CVS 等。 2.2文件服務(wù)器訪問(wèn)：支持文件瀏覽、FTP、SMB、NFS 服務(wù)器等。 2.3子網(wǎng)訪問(wèn) 2.3.1 UURemote 可以讓遠(yuǎn)程用戶在需要的時(shí)候接入虛擬子網(wǎng)，如同在本地局域 網(wǎng)里一樣。 2.3.2 UUSoft 可以讓遠(yuǎn)程服務(wù)器直接接入虛擬子網(wǎng)，可以為遠(yuǎn)程維護(hù)服務(wù)器或 IT 服務(wù)運(yùn)營(yíng)商提供不間斷的遠(yuǎn)程接入模式。 2.3.3 Site-to-site 訪問(wèn)：Site-to-site 安全通道連接方式提供了私有專線以外的另 一種選擇，安全通道兩端的資源和應(yīng)用程序透明共享。 3企業(yè)哪些人員會(huì)

20、通過(guò)企業(yè)哪些人員會(huì)通過(guò) iSTAR遠(yuǎn)程訪問(wèn)公司資源？遠(yuǎn)程訪問(wèn)公司資源？ 出差或在公司外部的人員，對(duì)信息提供或獲得的時(shí)效性要求比較高，同時(shí)需要有安全 的 訪問(wèn)保障，如：公司高級(jí)管理層、銷售部、特定項(xiàng)目小組、IT 部門維護(hù)人員與合作伙 伴。 4iSTAR能保證客戶任何時(shí)間、任何地點(diǎn)的遠(yuǎn)程安全訪問(wèn)嗎？能保證客戶任何時(shí)間、任何地點(diǎn)的遠(yuǎn)程安全訪問(wèn)嗎？ 通過(guò) IE 瀏覽器，在任何時(shí)間、任何地點(diǎn)（如：公司內(nèi)部、分公司、賓館、家庭、機(jī)場(chǎng) HOTSPOT WLAN 與合作伙伴公司等） ，只要可以連接 INTERNET，無(wú)需復(fù)雜的參數(shù) 設(shè) 置，就可以非常方便安全的訪問(wèn)所需資源。 5iSTAR安全性體現(xiàn)在哪幾個(gè)方面

21、？安全性體現(xiàn)在哪幾個(gè)方面？ 5.1采用銀行金融廣泛使用的 SSL 協(xié)議，同時(shí)可選 AES-256-CBC、DES-EDE3- CBC、DES-CBC 加密算法，可選支持 MD5 和 SHA1 哈希算法。 5.2三種網(wǎng)絡(luò)模式（單模式、透明模式及路由模式）提供真正端到端的安全。而 IPSec VPN 提供網(wǎng)關(guān)網(wǎng)關(guān)到網(wǎng)關(guān)網(wǎng)關(guān)的安全, 傳統(tǒng)式 SSL VPN 只提供端端到網(wǎng)關(guān)網(wǎng)關(guān)的安全。 5.3支持企業(yè)部署比用戶名/密碼更高的安全策略，如目前流行的雙因子認(rèn)證：RSA SECURID、ONE-TIME PASSWORD 與客戶端證書(shū)等，同時(shí)可以和大多數(shù)企業(yè) 的認(rèn)證環(huán)境（如：Windows AD、Wind

22、ows NT DOMAIN、LDAP Server 或本地?cái)?shù) 據(jù)庫(kù)認(rèn)證）無(wú)縫集成；并根據(jù)企業(yè)的安全策略，制定規(guī)則分配給相應(yīng)的角色，對(duì)不 同的角色授予不同的權(quán)限；通過(guò)上述安全策略，iSTAR發(fā)布單元可以發(fā)布應(yīng)用 程序、文件夾或子網(wǎng)給一個(gè)或多個(gè)用戶、一個(gè)或多個(gè)組、特殊角色或持有定制客戶 端證書(shū)的用戶。 5.4更安全的防火墻策略，一般 SSL VPN 是部署在防火墻之后，需要開(kāi)啟向內(nèi)的 TCP443 端口，開(kāi)啟端口會(huì)相應(yīng)導(dǎo)致潛在的安全隱患，而 iSTAR通過(guò)交換單元 在訪問(wèn)端和被訪問(wèn)端都無(wú)需開(kāi)啟向內(nèi)的端口，安全性更高。 6iSTAR的綜合成本優(yōu)勢(shì)中包含那幾個(gè)方面？的綜合成本優(yōu)勢(shì)中包含那幾個(gè)方面？ 6

23、.1配置和維護(hù)：配置和維護(hù)：IPSEC VPN 和和 SSL VPN 比較比較 選項(xiàng)選項(xiàng)SSL VPNIPSec VPN 全程安全性全程安全性A. 端到端的安全 B. 從客戶到資源端全程加密 A. 網(wǎng)絡(luò)邊緣到客戶端 B. 僅對(duì)從客戶到VPN網(wǎng)關(guān)之間通道加密 可訪問(wèn)性可訪問(wèn)性選用于任何時(shí)間、任何地點(diǎn)訪問(wèn)限制適用于已經(jīng)定義好受控用戶的訪問(wèn) 費(fèi)用費(fèi)用低（無(wú)需任何附加客戶端軟件）高（需要管理客戶端軟件） 安裝安裝A. 即插即用安裝 B. 無(wú)需附加的客戶端軟、硬件安裝 A. 通常需要長(zhǎng)時(shí)間的配置 B. 需要客戶端軟件或者硬件 用戶的易使用性用戶的易使用性A. 非常友好，使用熟悉的瀏覽器 B. 無(wú)需終端用

24、戶的培訓(xùn) A. 對(duì)沒(méi)有相應(yīng)技術(shù)的用戶比較困難 B. 需要培訓(xùn) 支持的應(yīng)用支持的應(yīng)用A. 基于WEB的應(yīng)用 B. 文件共享 部分C/S應(yīng)用 所有基于IP協(xié)議的服務(wù) 用戶用戶客戶、合作伙伴用戶、遠(yuǎn)程用戶、供 應(yīng)商等 更適用于企業(yè)內(nèi)部使用 可伸縮性可伸縮性容易配置和擴(kuò)展在服務(wù)器端容易實(shí)現(xiàn)自由伸縮，在客戶 端比較困難 6.2iSTAR獨(dú)有的交換單元，解決了企業(yè)沒(méi)有靜態(tài)公網(wǎng)獨(dú)有的交換單元，解決了企業(yè)沒(méi)有靜態(tài)公網(wǎng) IP 地址、又要使用地址、又要使用 SSL VPN 的問(wèn)題，尤其在亞洲地區(qū)的問(wèn)題，尤其在亞洲地區(qū) IP 資源緊張的現(xiàn)狀下，可以為企業(yè)節(jié)省申請(qǐng)靜態(tài)公資源緊張的現(xiàn)狀下，可以為企業(yè)節(jié)省申請(qǐng)靜態(tài)公 網(wǎng)網(wǎng)

25、 IP 地址的高昂費(fèi)用。地址的高昂費(fèi)用。 6.3共享數(shù)字證書(shū)：共享數(shù)字證書(shū)：SSL VPN 對(duì)于需要一張數(shù)字證書(shū)來(lái)認(rèn)證被訪問(wèn)端的可信性，對(duì)于需要一張數(shù)字證書(shū)來(lái)認(rèn)證被訪問(wèn)端的可信性， 數(shù)字?jǐn)?shù)字 證書(shū)有證書(shū)有:1、權(quán)威機(jī)構(gòu)簽發(fā)如：、權(quán)威機(jī)構(gòu)簽發(fā)如：VeriSign 一年大約一年大約 US$800，2、SSL VPN 廠商簽廠商簽 發(fā)發(fā); iSTAR Private Access 連接方式，可以使多個(gè)交換單元共享一張數(shù)字證書(shū)，連接方式，可以使多個(gè)交換單元共享一張數(shù)字證書(shū)， 大大降低大大降低 SSL VPN 的使用成本。的使用成本。 低 高 安裝成本 不需要 需要 客戶端安全軟件（防病 毒和個(gè)人防火墻

26、） 不需要 需要 VPN客戶端軟 件和硬件 需要 需要 服務(wù)器端 SSL VPN IPSec. VPN 設(shè)備投資 少 多 客戶培訓(xùn) 小 和客戶端數(shù)量成正 比 客戶端 小 大 服務(wù)器端 SSL VPN IPSec. VPN 維護(hù)成本 7iSTAR倡導(dǎo)的倡導(dǎo)的 SSL VPN 網(wǎng)絡(luò)安全新理念。網(wǎng)絡(luò)安全新理念。 在冷兵器時(shí)代，構(gòu)筑城墻是很好的防護(hù)手段，但自從有了航空器后，城墻式的二維地 面防護(hù)效用就變得很低，防火墻在公司的網(wǎng)關(guān)位置承擔(dān)看門的職能。但由于目前 WLAN、GPRS/CDMA 移動(dòng)終端的廣泛應(yīng)用，無(wú)線上網(wǎng)使公司的數(shù)據(jù)不僅僅通過(guò)物理線路， 而且也可以通過(guò)無(wú)線進(jìn)行傳輸，防火墻對(duì)這部分基本沒(méi)有防

27、護(hù)方法，而 iSTAR基于應(yīng)用 的訪問(wèn)控制方式, 不僅建立了從公司局域網(wǎng)外的安全訪問(wèn)控制, 而且, 將同樣的安全機(jī)制延 伸到內(nèi)網(wǎng), 從而了有效解決了企業(yè)內(nèi)網(wǎng)到服務(wù)器端的訪問(wèn)保護(hù)問(wèn)題. 8什么是什么是 iSTAR？ iSTAR是 instant Secure Tunnel ARchitecture 的縮寫(xiě)，它是 UUDynamics 公司首創(chuàng)的新一代 SSL VPN 技術(shù),能快速的解決應(yīng)用程序或文件安全跨越網(wǎng)絡(luò)和組織 邊 界的問(wèn)題，為企業(yè)用戶和服務(wù)商（Service Provider）提供安全、靈活的 VPN 解決方案。 9與傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)比較，與傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)比較，iSTAR有什么不同？有什么

28、不同？ iSTAR技術(shù)提供了基于 發(fā)布單元和交換單元的安全信息網(wǎng)絡(luò)模型，為現(xiàn)代 企業(yè)用戶提供了應(yīng)用程序或文件存取的發(fā)布、控制和管理平臺(tái)。同時(shí)，它涵蓋了傳統(tǒng) VPN 的所有功能，為現(xiàn)代企業(yè)網(wǎng)的 Intranet、Extranet、Remote Access、Application Export 等提供了安全、高效的整體解決方案；iSTAR還能快速實(shí)現(xiàn)企業(yè)與其分支機(jī) 構(gòu)和商業(yè)伙伴之間的 B2B、供應(yīng)鏈、分布式 OA 等電子業(yè)務(wù)的需求。 10 部署部署 iSTAR是否需要公網(wǎng)地址？需要幾個(gè)公網(wǎng)是否需要公網(wǎng)地址？需要幾個(gè)公網(wǎng) IP? 部署時(shí)發(fā)布單元選擇使用 Private Access 方式進(jìn)行連接，

29、發(fā)布單元不需要靜態(tài)公共 IP 地址，設(shè)置私有 IP 地址就可以正常工作。如果發(fā)布單元選擇使用 Direct Access 方式， 發(fā)布單元需要一個(gè)靜態(tài)公共 IP 地址就可以把企業(yè)內(nèi)所有資源提供給外面用戶訪問(wèn)。 11 部署部署 iSTAR對(duì)網(wǎng)絡(luò)速度是否有要求？對(duì)網(wǎng)絡(luò)速度是否有要求？ 發(fā)布單元需要寬帶網(wǎng)絡(luò)，以便給客戶端提供快速的訪問(wèn)。客戶端對(duì)訪問(wèn)速度基本沒(méi)有 要 求，支持 MODEM 撥號(hào)，ADSL 撥號(hào)，有線通和其它各種上網(wǎng)方式。 12 使用使用 iSTAR，要不要對(duì)每個(gè)客戶機(jī)進(jìn)行安裝配置，要不要對(duì)每個(gè)客戶機(jī)進(jìn)行安裝配置? iSTAR是通過(guò)微軟標(biāo)準(zhǔn)的 IE 瀏覽器實(shí)現(xiàn) SSL VPN 連接，所以

30、對(duì)客戶機(jī)無(wú)需預(yù)先安 裝軟件。 13 iSTAR部署需要對(duì)現(xiàn)有網(wǎng)絡(luò)做什么樣的改動(dòng)？部署需要對(duì)現(xiàn)有網(wǎng)絡(luò)做什么樣的改動(dòng)？ iSTAR的部署對(duì)網(wǎng)絡(luò)完全透明，無(wú)需更改任何網(wǎng)絡(luò)設(shè)置。在內(nèi)網(wǎng)提供單模式 （Standalone Mode） 、透明模式（Transparent Mode） 、路由模式（Router Mode）這 三種模式來(lái)適應(yīng)企業(yè)的具體網(wǎng)絡(luò)。 14 iSTAR部署是否需要對(duì)應(yīng)用服務(wù)器進(jìn)行改動(dòng)？部署是否需要對(duì)應(yīng)用服務(wù)器進(jìn)行改動(dòng)？ iSTAR的部署無(wú)需對(duì)應(yīng)用服務(wù)器進(jìn)行任何改動(dòng)，可以和目前使用的應(yīng)用服務(wù)器無(wú)縫 連 接。 15 iSTAR接入需要要對(duì)防火墻做改動(dòng)嗎接入需要要對(duì)防火墻做改動(dòng)嗎? iSTAR

31、使用的 TCP 443 端口，目前的防火墻基本將此端口打開(kāi)。 16 iSTAR是否支持無(wú)線上網(wǎng)？是否支持無(wú)線上網(wǎng)？ 支持標(biāo)準(zhǔn)的 WIFI，GPRS 和 CDMA 無(wú)線上網(wǎng)方式。 17 客戶端如何使用客戶端如何使用 iSTAR進(jìn)行接入？進(jìn)行接入？ iSTAR SSL VPN 為客戶的應(yīng)用程序提供一個(gè)透明的運(yùn)行平臺(tái)。在客戶端，第一次 通 過(guò) IE 以 HTTPS 連接到 iSTAR SSL VPN 的服務(wù)器上時(shí)，一個(gè) ActiveX 控件會(huì)自動(dòng) 下載并安裝（IE 的安全設(shè)置應(yīng)允許該操作） 。用戶不需要手工安裝任何客戶端軟件。 然后打開(kāi) Microsoft Internet Explorer，輸入

32、URL 地址，經(jīng)過(guò)用戶認(rèn)證后，就可以獲取 在服務(wù)器端授權(quán)給該用戶的應(yīng)用列表，執(zhí)行該列表中的應(yīng)用程序客戶端，該應(yīng)用客戶 端 就可以安全地連接到遠(yuǎn)程的服務(wù)器進(jìn)行工作。 18 iSTAR支持那些應(yīng)用程序，支持支持那些應(yīng)用程序，支持 C/S 程序嗎？程序嗎？ 支持 WEB 應(yīng)用程序，C/S 應(yīng)用程序，文件共享，支持使用任何靜態(tài)和動(dòng)態(tài) TCP 端口 的 C/S 程序，同時(shí)可以自定義需要使用的應(yīng)用程序。 還支持可以訪問(wèn)多個(gè)服務(wù)器的單個(gè)應(yīng)用，這些服務(wù)器將開(kāi)啟相同端口。支持能同時(shí)訪 問(wèn) 多個(gè)服務(wù)器的分布式應(yīng)用，其中的每個(gè)服務(wù)器都會(huì)打開(kāi)一組不同的端口，并提供不同 的 服務(wù)。 19 iSTAR支持哪些客戶端安全策

33、略？支持哪些客戶端安全策略？ iSTAR可以要求客戶端必須安裝和啟用指定的防病毒軟件，客戶端訪問(wèn)的操作系統(tǒng) 類 型，操作系統(tǒng)的補(bǔ)丁，以及基于時(shí)間段訪問(wèn)的策略。 20 iSTAR是否可以實(shí)現(xiàn)子網(wǎng)虛擬接入功能？是否可以實(shí)現(xiàn)子網(wǎng)虛擬接入功能？ iSTAR支持 Site To Site ，UURemote 支持按需連接虛擬子網(wǎng)，UUSoft 支持不間斷 連 接虛擬子網(wǎng)。 21 iSTAR支持那幾種語(yǔ)言版本？支持那幾種語(yǔ)言版本？ 目前支持簡(jiǎn)體中文，繁體中文和英文三種語(yǔ)言版本，以后將支持更多的語(yǔ)言版本。 22 iSTAR支持什么樣的認(rèn)證方式？支持什么樣的認(rèn)證方式？ iSTAR支持目前主要的認(rèn)證方式，包括

34、Windows AD、Windows NT Domain、LDAP server、 Radius server 和 Ace/Server 以及客戶端證書(shū)等，同時(shí)也提供本地?cái)?shù)據(jù)庫(kù)認(rèn) 證。iSTAR可以很好的和大多數(shù)企業(yè)的認(rèn)證環(huán)境集成。 23 iSTAR需要什么定期維護(hù)需要什么定期維護(hù)? 管理員應(yīng)該定期備份 iSTAR的配置文件，使用管理界面就可以輕松完成。 24 客戶端是否支持?jǐn)?shù)字證書(shū)方式認(rèn)證？客戶端是否支持?jǐn)?shù)字證書(shū)方式認(rèn)證？ 支持。 25 iSTAR是否支持是否支持 CLUSTER？方式是什么樣？方式是什么樣？ iSTAR支持最多 10 臺(tái)的 CLUSTER，方式是 N+1 的方式。 26 i

35、STAR能否支持用能否支持用“戶名戶名+口令口令”這種認(rèn)證方式這種認(rèn)證方式? 是否可以將某些用戶配置成通過(guò)用是否可以將某些用戶配置成通過(guò)用 “戶名戶名+口令口令”的方式登錄，而另外一些用戶使用的方式登錄，而另外一些用戶使用 USB Key 登錄？登錄？ iSTAR的最簡(jiǎn)單的認(rèn)證方式就是用“戶名+口令” ，同時(shí)通過(guò)多重安全域支持多級(jí)管 理 部署，用戶可選 擇登錄不同的安全域進(jìn)行認(rèn)證。或根據(jù)企業(yè)的需要對(duì)一些不同用戶通 過(guò) 用“戶名+口令”方式錄，高級(jí)用戶實(shí)現(xiàn) USB KEY 登錄的認(rèn)證方式。 27 iSTAR是否有審記功能？是否有審記功能？ iSTAR有 6 級(jí)審計(jì)功能，可以清楚的進(jìn)行審計(jì)工作。

36、28 iSTAR支持什么樣的報(bào)警方式？支持什么樣的報(bào)警方式？ 支持郵件或者尋呼機(jī)報(bào)警。 29 iSTAR是否有導(dǎo)入，導(dǎo)出，和恢復(fù)出廠設(shè)置功能？是否有導(dǎo)入，導(dǎo)出，和恢復(fù)出廠設(shè)置功能？ 支持導(dǎo)出，導(dǎo)入配置，同時(shí)提供恢復(fù)出廠設(shè)置功能。 30 iSTAR是否有清除訪問(wèn)的是否有清除訪問(wèn)的 CACHE 和記錄的功能？和記錄的功能？ 有，可以選擇清除瀏覽緩存，瀏覽歷史記錄，用戶認(rèn)證信息與自動(dòng)填充密碼等功能。 31 實(shí)施實(shí)施 iSTAR需要做什么相關(guān)準(zhǔn)備需要做什么相關(guān)準(zhǔn)備? 為了使遠(yuǎn)程客戶可以訪問(wèn) iSTAR發(fā)布出來(lái)的應(yīng)用，公司需要接入 Internet。 32 iSTAR本身使用什么操作系統(tǒng)？本身使用什么操

37、作系統(tǒng)？ 使用的是經(jīng)過(guò)安全加固和精簡(jiǎn)的 LINUX 的系統(tǒng)。 33 iSTAR如何進(jìn)行管理？如何進(jìn)行管理？ iSTAR支持本地和遠(yuǎn)程管理，通過(guò) IE 瀏覽器使用同樣的界面管理進(jìn)行管理。整個(gè)管 理過(guò)程通過(guò) SSL 信道實(shí)現(xiàn)。 34 有了有了 iSTAR，還需要，還需要 IPSec VPN 嗎？嗎？ iSTAR融合了 SSL VPN 和 IPSec VPN 的特點(diǎn)，企業(yè)完全可以通過(guò) iSTAR實(shí)現(xiàn)整 體 VPN 方案，不需再使用 IPSec VPN。 35 iSTAR是否支持現(xiàn)有的用戶數(shù)據(jù)庫(kù)，是如何工作的？是否支持現(xiàn)有的用戶數(shù)據(jù)庫(kù)，是如何工作的？ iSTAR可以使用 Windows AD、NTLM

38、、RADIUS，LDAP 等用戶數(shù)據(jù)庫(kù)完成認(rèn)證。 iSTAR在對(duì)遠(yuǎn)程訪問(wèn)的控制包括認(rèn)證和授權(quán)兩個(gè)階段。當(dāng)一個(gè)用戶從外部訪問(wèn) iSTAR的時(shí)候，iSTAR首先要完成對(duì)該用戶的身份認(rèn)證。默認(rèn)情況下，iSTAR完 成認(rèn)證過(guò)程，用戶也可以通過(guò)配置，由上述認(rèn)證服務(wù)器完成用戶認(rèn)證工作，例如用戶在 使 用 RSA SECURID認(rèn)證時(shí)，可以將認(rèn)證工作交給 ACE 服務(wù)器完成。當(dāng)認(rèn)證通過(guò)后， iSTAR會(huì)完成接下來(lái)的授權(quán)工作。 36 iSTAR界面中是否能定制企業(yè)自己的界面中是否能定制企業(yè)自己的 LOGO？ 企業(yè)可以根據(jù)自己的需要，在 iSTAR的訪問(wèn)界面中使用企業(yè)自己的 LOGO。 37 iSTAR如何升級(jí)

39、新版本？如何升級(jí)新版本？ 在管理界面中提供升級(jí)選項(xiàng)，管理員只需獲取升級(jí)包，使用此功能就可以輕松完成升 級(jí)。 38 iSTAR是否支持雙因子認(rèn)證？是否支持雙因子認(rèn)證？ 支持。目前支持 RSA SECURID令牌卡，動(dòng)態(tài)式密碼（one-time password） ，客戶端 證書(shū)認(rèn)證。 39 iSTAR支持那些加密算法？支持那些加密算法？ 目前支持 AES-256-CBC，DES-EDE3-CBC，DES-CBC 加密算法，支持 MD5 和 SHA1 哈希算法。 40 什么是什么是 iSTAR的發(fā)布單元？它的主要作用是什么？的發(fā)布單元？它的主要作用是什么？ 發(fā)布單元（Publisher）UU100/UU200 位于 iSTAR體系結(jié)構(gòu)中的應(yīng)用服務(wù)器端，它 可 以將應(yīng)用服務(wù)器提供的服務(wù)安全地發(fā)布給合法的用戶，也可以將應(yīng)用服務(wù)器端的某個(gè)子 網(wǎng)發(fā)布給合法的用戶。發(fā)布單元可以與用戶的認(rèn)證服務(wù)器相聯(lián)接，根據(jù)認(rèn)證服務(wù)器的認(rèn) 證結(jié)果確定是否提供服務(wù)。 41 什么是什么是 iSTAR的交換單元？它的主要作用是什么？的交換單元？它的主要作用是什么？ UUSwitch/UUExchange 是 iSTAR體系