OA 系統(tǒng)應(yīng)用安全接入解決方案

1、ArrayNetworksCompany Confidential- PAGE 3 -企業(yè)辦公自自動化系統(tǒng)統(tǒng)安全接入解解決方案Arrayy Nettworkks, IInc.2004年年10月目錄TOC o 1-3 h z u HYPERLINK l _Toc87935527 1.OAA系統(tǒng)需求求分析 PAGEREF _Toc87935527 h 3 HYPERLINK l _Toc87935528 1.1 OOA系統(tǒng)背背景介紹 PAGEREF _Toc87935528 h 3 HYPERLINK l _TToc8779355529 1.2 OA系系統(tǒng)安全現(xiàn)現(xiàn)狀 PAGEREF _Toc879

2、35529 h 3 HYPERLINK l _Toc87935530 2.OAA系統(tǒng)SSLL VPNN解決方案案 PAGEREF _Toc87935530 h 7 HYPERLINK l _Toc87935531 2.1 方方案介紹 PAGEREF _Toc87935531 h 7 HYPERLINK l _Toc87935532 2.2 該該方案的安安全特點： PAGEREF _Toc87935532 h 8 HYPERLINK l _Toc87935533 2.3 采采用SSLL VPNN接入OA系統(tǒng)的的優(yōu)勢 PAGEREF _Toc87935533 h 9 HYPERLINK l _To

3、c87935534 3.OAA系統(tǒng)SSLL VPNN解決方案案案例 PAGEREF _Toc87935534 h 10 HYPERLINK l _Toc87935535 3.1 MMicroosoftt Excchangge Seerverr系統(tǒng) PAGEREF _Toc87935535 h 10 HYPERLINK l _Toc87935536 3.2 IIBM LLotuss Dommino 系統(tǒng) PAGEREF _Toc87935536 h 12 HYPERLINK l _Toc87935537 4.SSSL VPPN提升OA系統(tǒng)的的安全性 PAGEREF _Toc87935537 h

4、14 HYPERLINK l _Toc87935538 4.1輕松松實現(xiàn)內(nèi)部部網(wǎng)到外部部網(wǎng)的擴展展 PAGEREF _Toc87935538 h 14 HYPERLINK l _Toc87935539 4.2 支支持通用 SSL 加密算法法 PAGEREF _Toc87935539 h 14 HYPERLINK l _Toc87935540 4.3 用用戶認證、授權(quán) PAGEREF _Toc87935540 h 15 HYPERLINK l _Toc87935541 4.4審計計和管理 PAGEREF _Toc87935541 h 15 HYPERLINK l _Toc87935542 4.5

5、 多多層安全控控制機制 PAGEREF _Toc87935542 h 15 HYPERLINK l _Toc87935543 4.6 證證書管理 PAGEREF _Toc87935543 h 16 HYPERLINK l _Toc87935544 4.7 支支持集群技技術(shù) PAGEREF _Toc87935544 h 16 HYPERLINK l _Toc87935545 4.8 SSinglle Siigh OOn PAGEREF _Toc87935545 h 16 HYPERLINK l _Toc87935546 4.9 SSessiion 級級保護 PAGEREF _Toc8793554

6、6 h 17 HYPERLINK l _Toc87935547 5.SSSL VPPN安全接接入對于企企業(yè)的益處處 PAGEREF _Toc87935547 h 17 HYPERLINK l _Toc87935548 5.1 提提高信息安安全性 PAGEREF _Toc87935548 h 17 HYPERLINK l _Toc87935549 5.2 靈靈活的用戶戶管理和訪訪問控制 PAGEREF _Toc87935549 h 18 HYPERLINK l _Toc87935550 5.3 方方便實施，簡簡單使用 PAGEREF _Toc87935550 h 18 HYPERLINK l _

7、TToc8779355551 5.4 降低管理理和維護成成本 PAGEREF _Toc87935551 h 18 HYPERLINK l _Toc87935552 5.5 高高度的擴展展性和靈活活性 PAGEREF _Toc87935552 h 19 Company ConfidentialOA系統(tǒng)需需求分析1.1 OOA系統(tǒng)背背景介紹當前，企業(yè)業(yè)信息處理理量不斷加加大，企業(yè)業(yè)資源管理理的復雜化化也不斷加加大，這要要求信息的的處理有更更高的效率率，傳統(tǒng)的的人工管理理方式難以以適應(yīng)以上上系統(tǒng)，而而只能依靠靠計算機系系統(tǒng)來實現(xiàn)現(xiàn)。企業(yè)辦辦公自動化化系統(tǒng)(OOA系統(tǒng))是為企業(yè)數(shù)據(jù)共共享、員工工之間或

8、員員工與外部部團體聯(lián)系系提供的消消息與協(xié)作作平臺，已已經(jīng)為幾乎乎所有的大大中型企業(yè)業(yè)所應(yīng)用。現(xiàn)在一般的的大中型企企業(yè)，都會會有企業(yè)pportaal系統(tǒng)和和OA系統(tǒng)統(tǒng)，甚至有有的企業(yè)統(tǒng)統(tǒng)稱為OAA系統(tǒng)。隨隨著OA系系統(tǒng)的發(fā)展展，企業(yè)辦辦公自動化化系統(tǒng)已經(jīng)經(jīng)不止是簡簡單的郵件件收發(fā)等無無紙辦公的的概念，她她主要包括括信息管理理和協(xié)同作作業(yè)兩部分分。包含的的信息也涵涵蓋了一般般信息、特特殊格式的的文件、多多媒體、圖圖片或其他他的對象。采用的形形式則有電電子郵件，日日歷，即時時消息甚至至視頻會議議等多種形形式。其中用的最最多的有MMicroosoftt Excchangge 系統(tǒng)統(tǒng)和IBMM Lott

9、us DDominno系統(tǒng)。1.2 OA系統(tǒng)統(tǒng)安全現(xiàn)狀狀對于OA系系統(tǒng)的安全全問題，大大多數(shù)企業(yè)業(yè)考慮最多多的還是病病毒，認為為病毒對企企業(yè)的辦公公環(huán)境影響響最大，所所以大部分分的財力人人力都投向向了防病毒毒系統(tǒng)，當當然這是對對的。但這這還遠遠不不夠，仍然然會有很多多心懷叵測測的人或者者組織對企企業(yè)發(fā)起攻攻擊，甚至至數(shù)據(jù)竊密密等，往往往對企業(yè)的的核心數(shù)據(jù)據(jù)造成不可可彌補的損損失。很多企業(yè)采采用了網(wǎng)絡(luò)絡(luò)防火墻來來加強安全全措施。但但防火墻又又不容易做做到數(shù)據(jù)的的加密，用用戶的認證證和鑒權(quán)等等，尤其是是不容易作認證鑒權(quán)權(quán)。有些OAA系統(tǒng)采用用軟件加密密，但軟件件加密會消消耗大量用用戶服務(wù)器器的資源

10、，影影響OA系統(tǒng)的的響應(yīng)速度度。一些企業(yè)采采用撥號線線路為外地地客戶機提提供接入以以保障安全全，總部為為這些接入入提供MOODEM池池和RASS服務(wù)。但但是依然存存在數(shù)據(jù)加加密和授權(quán)權(quán)靈活行的的問題，同同時，撥號號線路也過過于昂貴，并并且速度也也是個大問問題。對于于要求快速速響應(yīng)的大大企業(yè)的OOA系統(tǒng)來來說是不允允許的。由于VPNN（虛擬專專網(wǎng)）比租租用專線更更加便宜、靈活，所所以有越來來越多的公公司采用VVPN，連連接在家工工作和出差差在外的員員工，以及及替代連接接分公司和和合作伙伴伴的標準廣廣域網(wǎng)。VVPN建在在互聯(lián)網(wǎng)的的公共網(wǎng)絡(luò)絡(luò)架構(gòu)上，通通過“隧道道”協(xié)議，在在發(fā)端加密密數(shù)據(jù)、在在收端

11、解密密數(shù)據(jù)，以以保證數(shù)據(jù)據(jù)的私密性性?，F(xiàn)在很多多遠程安全全訪問解決決方案是采采用IPSSec VVPN方式式，其組網(wǎng)網(wǎng)結(jié)構(gòu)是在在站點到站站點的vppn組網(wǎng)方方式。IPPSec是是網(wǎng)絡(luò)層的的VPN技技術(shù)，表示示它獨立于于應(yīng)用程序序。IPSSec以自自己的封包包封裝原始始IP信息息，因此可可隱藏所有有應(yīng)用協(xié)議議的信息，一一旦IPSSec建立立加密隧道道后，就可可以實現(xiàn)各各種類型的的連接。但但是，部署署IPSeec需要對對基礎(chǔ)設(shè)施施進行重大大改造，以以便遠程訪訪問，同時時IPSeec VPPN在解決決遠程安全全訪問時具具有幾個比比較大的缺缺點，如:IPSecc VPNN最大的難難點在于客客戶端需要要

12、安裝復雜雜的軟件，而而且當用戶戶的VPNN策略稍微微有所改變變時，VPPN的管理理難度將呈呈幾何級數(shù)數(shù)增長?？涂蛻糗浖砹巳肆α﹂_銷，而而許多公司司希望能夠夠避免；某某些安全問問題也已暴暴露出來，這這些問題主主要與建立立開放式網(wǎng)網(wǎng)絡(luò)層連接接有關(guān)。除除此以外，除除非已經(jīng)在在每一臺客客戶使用的的計算機上上安裝了管管理軟件，軟軟件補丁的的發(fā)布和遠遠程電腦的的配置升級級將是一件件十分令人人頭疼的任任務(wù)（如果果不說不可可能的話）。IPSecc VPNN的連接性性會受到網(wǎng)網(wǎng)絡(luò)地址轉(zhuǎn)轉(zhuǎn)換（NAAT）的影影響，或受受網(wǎng)關(guān)代理理設(shè)備（pproxyy）的影響響；IPSecc VPNN需要先完完成客戶端端配置才

13、能能建立通信信信道，并并且配置復復雜，尤其其是對于NNAT和穿穿越防火墻墻，往往要要在這些設(shè)設(shè)備上作復復雜的配置置以配合IIPsecc VPNN的工作。采用隧道方方式，使遠遠程接入的的安全風險險增加；由由于IPSSec VVPN在連連接的兩端端創(chuàng)建隧道道，提供直直接（而非非代理）訪訪問，并對對全部網(wǎng)絡(luò)絡(luò)可視，因因此IPSSec VVPN會增增加安全風風險。一旦旦隧道建立立，就像用用戶的PCC機在公司司局域網(wǎng)內(nèi)內(nèi)部一樣，用用戶能夠直直接訪問公公司全部的的應(yīng)用，由此會大大大增加風風險。用戶戶使用個人人計算機在在家里或者者通過無線線局域網(wǎng)工工作還面臨臨著黑客的的威脅。不適合用作作移動用戶戶，如家庭庭

14、、網(wǎng)吧，賓賓館等上網(wǎng)網(wǎng)用戶；應(yīng)用層接入入控制不靈靈活，這源源于他是在在IP層之之上的VPPN系統(tǒng)。從投資的角角度看IPPsec VPN，要真正建立IPSec VPN，單單有客戶端軟件是很不夠的。如果沒有防火墻和其他的安全軟件，客戶端機器非常容易成為黑客攻擊的目標。這些客戶端很容易被黑客利用，他們會通過VPN訪問企業(yè)內(nèi)部系統(tǒng)。這種黑客行為越來越普遍，而且后果也越來越嚴重。例如，如果雇員從家里的計算機通過公司VPN訪問企業(yè)資源，在他創(chuàng)建隧道前后，他十幾歲的孩子在這臺電腦上下載了一個感染了病毒的游戲，那么，病毒就很有可能經(jīng)過VPN在企業(yè)局域網(wǎng)內(nèi)傳播。另外，如果黑客侵入了這臺沒有保護的PC，他就獲得了

15、經(jīng)過IPSec VPN隧道訪問公司局域網(wǎng)的能力。因此，在建設(shè)IPSec VPN時，必須購買適當?shù)陌踩浖?，這個軟件的成本必須考慮進去也是很高的。最好的方法法是采用SSSL VVPN組網(wǎng)網(wǎng)。同IPSeec VPPN相比，SSSL VVPN具有有如下優(yōu)點點：SSL VVPN的客客戶端程序序，如Miicrossoft Inteernett Expploreer、Neetscaape CCommuunicaator、Moziilla等等已經(jīng)預(yù)裝裝在了終端端設(shè)備中，因因此不需要要再次安裝裝；SSL VVPN可在在NAT代代理裝置上上以透明模模式工作；SSL VVPN不會會受到安裝裝在客戶端端與服務(wù)器器之

16、間的防防火墻的影影響。SSL VVPN將遠遠程安全接接入延伸到到IPSeec VPPN擴展不不到的地方方，使更多多的員工，在在更多的地地方，使用用更多的設(shè)設(shè)備，安全全訪問企業(yè)業(yè)網(wǎng)絡(luò)資源源，同時降降低了部署署和支持費費用。SSSL VPPN正在成成為遠程接接入的事實實標準，下下面列舉了了其中的一一些理由。SSL VVPN可以以在任何地地點，利用用任何設(shè)備備，連接到到相應(yīng)的網(wǎng)網(wǎng)絡(luò)資源上上。SSLL VPNN通信運行行在TCPP/ UDDP協(xié)議上上，具有穿穿越防火墻墻的能力。這種能力力使SSLL VPNN能夠從一一家用戶網(wǎng)網(wǎng)絡(luò)的代理理防火墻背背后安全訪訪問另一家家用戶網(wǎng)絡(luò)絡(luò)中的資源源。IPSSec

17、VVPN通常常不能支持持復雜的網(wǎng)網(wǎng)絡(luò)，這是是因為它們們需要克服服穿越防火火墻、IPP地址沖突突等困難。鑒于IPPSec客客戶機存在在的問題，IIPSecc VPNN實際上只只適用于易易于管理的的或者位置置固定的設(shè)設(shè)備。SSL VVPN是基基于應(yīng)用的的VPN，基于應(yīng)用層上的連接意味著（和IPSec VPN 比較），SSL VPN 更容易提供細粒度遠程訪問（即可以對用戶的權(quán)限和可以訪問的資源、服務(wù)、文件進行更加細致的控制，這是IPSec VPN難以做到的）。OA系統(tǒng)SSSL VVPN解決決方案2.1 方方案介紹現(xiàn)在，WWeb成為為標準平臺臺已勢不可可擋，越來來越多的企企業(yè)開始將將OA系統(tǒng)移植到到W

18、eb上上,當然企企業(yè)門戶系系統(tǒng)肯定是是基于Weeb的。OA系統(tǒng)統(tǒng)將是SSLL VPNN應(yīng)用的直直接受益者者，它被認認為是實現(xiàn)現(xiàn)遠程安全全訪問Weeb應(yīng)用的的最佳手段段。對于不不采用WEEB作OAA系統(tǒng)客戶戶端的企業(yè)業(yè)，ArrrayNeetworrks SSP產(chǎn)品仍仍有模塊來來滿足這些些C/S結(jié)結(jié)構(gòu)的OAA應(yīng)用，如如SP 的的Appllicattion Manaager模模塊和 LL3VPNN模塊。典型的邏邏輯結(jié)構(gòu)如如下： 其中，Weeb Reesourrce MMappiing 、Appllicattion 、L3VVPN是SSP 提供供的三個應(yīng)應(yīng)用模塊，針針對不同的的OA應(yīng)用用可以采用用不同

19、的SSSL VVPN模塊塊。這樣無無論員工是是在家、賓賓館、抑或或是競爭對對手那里，都都可以輕松松又十分安安全地接入入企業(yè)OAA系統(tǒng)。2.2 采采用SSLL VPNN接入OAA系統(tǒng)的優(yōu)勢勢用戶端無需需安裝專用用的VPNN客戶端軟軟件，使用標準準的瀏覽器器，如IEE 和 NNetsccape即即可接入SSSL VVPN訪問問OA系統(tǒng)統(tǒng)。提供免免客戶端、任何地點點的訪問能能力、增加加的安全性性，使得IIT部門管管理更容易易，和IPPSec VPN相相比，終端端用戶使用用更簡化。由于沒有有配置、管管理和支持持終端用戶戶復雜的IIPSecc客戶端軟軟件的負擔擔，SSLL VPNN的支持更更便宜，也也比

20、IPSSec更容容易部署。SSL VVPN能為為使用者提提供任意地地方的訪問問能力。使用者可可以在他們們能得到IInterrnet接接入能力的的地方訪問問他們的應(yīng)應(yīng)用從從機場商務(wù)務(wù)中心，從從任何他人人的計算機機，甚至任任何無線設(shè)設(shè)備。SSSL也能在在寬帶網(wǎng)絡(luò)絡(luò)上工作。此外，SSSL VVPN可以以成功地穿穿越防火墻墻，能處理理網(wǎng)絡(luò)地址址轉(zhuǎn)換（NNAT）問問題，而對對基于IPPSec的的VPN來來說，這是是一個難題題。服務(wù)器端也也無需安裝裝任何額外外的VPNN專用軟件件。SP 采用用的是SSSL PRROXY技技術(shù)，因此，使使用者根本本沒有和他他們要訪問問的資源直直接建立連連接，并且且隱藏了那那

21、不DNSS解析空間間，所以安安全度是很很高的。即使是SSP提供的的L3VPPN技術(shù)，在在其VPNN隧道內(nèi)部部我們依然然存在一個個網(wǎng)絡(luò)層的的防火墻提提供安全保保護。用戶接入OOA系統(tǒng)是是經(jīng)過認證證的，認證證方式可以以采用ArrrayNNetwoorks SSL VPN設(shè)設(shè)備自己的的用戶數(shù)據(jù)據(jù)庫，也可可以和OAA已有的認認證系統(tǒng)結(jié)結(jié)合起來，如如AD、RRADIUUS等用戶接入OOA系統(tǒng)是是經(jīng)過經(jīng)過過精細授權(quán)權(quán)控制的，針對不同同的用戶或或用戶所屬屬的組，SSSL VVPN可以以按 OAA系統(tǒng)預(yù)定定義的規(guī)則則來對用戶戶的訪問權(quán)權(quán)限進行設(shè)設(shè)定。用戶接入OOA系統(tǒng)是是經(jīng)過加密密的，ArrrayNNetwo

22、orks SSL VPN設(shè)設(shè)備采用強強加密算法法，如：私私鑰算法：DES (56-bit), 3DDES (168-bit), RCC4 (1128-bbit)，公鑰算法法: RSSA (11024-bit+)，消息認證證: MDD5 (1128-bbit), SHAA-1 (160-bit)用戶使用方方便：用戶戶可以是NNAT，或或者是通過過HTTPP代理等靈靈活的方式式，只需保保持SSLL通道暢通通既可。部署方式靈靈活多樣。SSL VPN網(wǎng)網(wǎng)關(guān)SP可可以放在路路由器、防防火墻后面面使用NAAT后的私私有地址。管理更加容容易。采用用SSL VPN要要比IPSSec VVPN更容容易管理，由由

23、于使用者者可以從任任何瀏覽器器更安全地地訪問應(yīng)用用，所以，像像SSL VPNN能減少分分發(fā)和管理理客戶端軟軟件的麻煩煩。 同時，不需需要改變網(wǎng)網(wǎng)絡(luò)，不需需要修改防防火墻配置置和修改終終端用戶的的配置，所所以，比采采用IPSSec有更更低的總體體擁有成本本。支持Cluusterr技術(shù)。為OA系統(tǒng)提提供高可靠靠性。OA系統(tǒng)SSSL VVPN解決決方案案例例3.1 MMicroosoftt Excchangge Seerverr系統(tǒng)Exchaange 20000 Serrver 最主要的的兩大功能能是：信息息管理與協(xié)協(xié)同作業(yè)。也就是說說Exchhangee 20000 Serrver并并不是簡單單的

24、E-mmail服服務(wù)器的代代名詞，而而是一種交交互式傳送送和接收的的重要場所所，它包含含了一般信信息、特殊殊格式的文文件、多媒媒體、圖片片或其他的的對象。做為Excchangge的前端端工具的OOutloook，在在現(xiàn)今更突突出了它的的重要性，它它不但用來來收發(fā)E-maill，還含有有便箋、草草稿、任務(wù)務(wù)、日歷、日志、聯(lián)聯(lián)系人與公公用文件夾夾，增加了了靈活性。如再配合合Micrrosofft Offficee各項結(jié)構(gòu)構(gòu)化文件，加加上其傳閱閱功能，即即可建立一一個資源管管理系統(tǒng)，讓讓協(xié)同作業(yè)業(yè)正常運行行。企業(yè)信息管管理的基礎(chǔ)礎(chǔ)在于通訊訊管理及組組織管理，它它的首要條條件是先架架設(shè)一個暢暢通無阻的

25、的企業(yè)內(nèi)部部網(wǎng)絡(luò)（IIntraanet）。在Miccrosooft的架架設(shè)中，可可以先用WWindoows 22000 Servver系列列軟件來架架設(shè)企業(yè)內(nèi)內(nèi)部網(wǎng)絡(luò)。然后將EExchaange 20000 Serrver導導入，利用用Winddows 20000 Serrver與與Exchhangee 20000 Seerverr的整合，來來達到通訊訊及組織管管理的目的的。從上圖我們們?nèi)钥梢钥纯闯?，以Exchhangee Serrver為為基礎(chǔ)構(gòu)成成的企業(yè)OOA系統(tǒng)的的客戶端和和OA sserveer的架構(gòu)構(gòu)也基本分分為兩類：B/S結(jié)構(gòu)構(gòu)，客戶端端采用OWWA接入，既既采用Weeb Brro

26、wseer接入OOA系統(tǒng)；C/S結(jié)構(gòu)構(gòu)，客戶端端采用Ouutloook。對于OWAA接入：SP采用用WRM（WWEB RResouurce Mappping）模模塊來實現(xiàn)現(xiàn)，利用AArrayy的SSLL VPNN的Webb資源映射射可以實現(xiàn)現(xiàn)：通過標準瀏瀏覽器訪問問企業(yè)OAA系統(tǒng)；支持URLL-NAT：UURL的動動態(tài)重寫，提提高安全性性；強迫認證，強強迫任何訪訪問Inttraneet的請求求都必須先先通過AAAA；隱藏內(nèi)部資資源：可以以隱藏Inntrannet的資資源路徑，提提高整體安安全性。而且，經(jīng)第第三方測試試，ArrrayNeetowrrks SSP的WRRM有著極極佳的性能能表現(xiàn)。對

27、于Outtlookk作客戶端端接入exxchannge sserveer EMMAIL系系統(tǒng)：由于于這些應(yīng)用用都采用固固定的TCCP端口，如如SMTPP:25端端口；POOP3：1110端口口；IMAAP:1443端口等等。SP采采用Appplicaationn Mannagerr模塊來實實現(xiàn)，通常常，OA系系統(tǒng)的遠端端客戶端訪訪問都是訪訪問這幾個TCCP端口，對對于這幾個個TCP端端口，SPP啟動Apppliccatioon Maanageer功能時時，客戶端端將下載JJava Appllet將作作為TCPP PROOXY運行行在客戶端端，它偵聽聽客戶端的的特定應(yīng)用用TCP端端口的請求求，并

28、把請請求通過SSSL連接接發(fā)給SPP,SP將將終結(jié)SSSL連接并并和企業(yè)內(nèi)內(nèi)網(wǎng)Excchangge服務(wù)器器建立請求求連接。由由于只是對對幾個TCCP端口提提供SSLL VPNN服務(wù)，所所以遠比通通過隧道方方式實現(xiàn)要要安全的多多。對于使用OOutloook接入入Exchhangee serrver 復雜應(yīng)用用：這類應(yīng)用用比如使用用MAPII等。SPP采用L33VPN模模塊來實現(xiàn)現(xiàn)，此項功功能是在客客戶端和SSP之間通通過SSLL的連接建建立一條VVPN通道道，客戶端端將會生成成一個虛擬擬網(wǎng)卡，并并修改本機機的路由表表。這樣，客客戶端虛擬擬網(wǎng)卡上就就會配備一一個和企業(yè)業(yè)內(nèi)網(wǎng)地址址體系一致致的網(wǎng)址，

29、并并通過這條條VPN通通道直連到到企業(yè)內(nèi)網(wǎng)網(wǎng)，就好像像客戶端機機器在企業(yè)業(yè)內(nèi)部一樣樣。3.2 IIBM LLotuss Dommino 系統(tǒng)IBM LLotuss Dommino 是一個世世界級的消消息服務(wù)解解決方案，同同時，它還還是快速開開發(fā)平臺，用用戶可以基基于此平臺臺快速開發(fā)發(fā)協(xié)作應(yīng)用用。內(nèi)置核心任任務(wù) (郵郵件、日歷歷、目錄、安全、WWeb服務(wù)務(wù)等) ；集成Doominoo管理、統(tǒng)統(tǒng)計、監(jiān)控控等功能IBM LLotuss Nottes 是是客戶端軟軟件，它提提供了工業(yè)業(yè)級的最高高安全性，它它是一個完完全功能的的協(xié)作客戶戶端通過Lottus NNotess，用戶可可以訪問郵郵件、日歷歷、

30、待辦事事宜、聯(lián)系系人信息等等Lotuss Nottes客戶戶端家族支支持從Weeb瀏覽器器, 移動動設(shè)備, 甚至Miicrossoft Outllook訪訪問Dommino。下圖是Lootus Notees典型拓拓撲結(jié)構(gòu)：對于Webb接入：SP仍然采用WWRM（WWEB RResouurce Mappping）模模塊來實現(xiàn)現(xiàn)，利用AArrayy的SSLL VPNN的Webb資源映射射可以實現(xiàn)現(xiàn)：通過標準瀏瀏覽器訪問問企業(yè)OAA系統(tǒng)；支持URLL-NAT：UURL的動動態(tài)重寫，提提高安全性性；強迫認證，強強迫任何訪訪問Inttraneet的請求求都必須先先通過AAAA；隱藏內(nèi)部資資源：可以以隱藏

31、Inntrannet的資資源路徑，提提高整體安安全性。目前經(jīng)測試試對于Lootus Notees 6.5以上版版本，ArrrayNNetowwrks SP產(chǎn)品品給予支持持。對于Nottes 客客戶端接入入Domiino 系系統(tǒng)：由于這些些應(yīng)用都采采用固定的的TCP端端口，對于于不同的群群件，一般般會采用不不同的高端端TCP端口口。一般情情況下，OOA系統(tǒng)的的遠端客戶戶端訪問都都這幾個TCCP端口，對對于這幾個個TCP端端口，SPP啟動Apppliccatioon Maanageer功能時時，客戶端端將下載JJava Appllet將作作為TCPP PROOXY運行行在客戶端端，它偵聽聽客戶端的

32、的特定nootes客客戶端 TTCP端口口的請求，并并把請求通通過SSLL連接發(fā)給給SP,SSP將終結(jié)結(jié)SSL連連接并和企企業(yè)內(nèi)網(wǎng)DDominno服務(wù)器器建立請求求連接。由由于只是對對幾個TCCP端口提提供SSLL VPNN服務(wù)，所所以遠比通通過隧道方方式實現(xiàn)要要安全的多多。SSL VVPN提升升OA系統(tǒng)統(tǒng)的安全性性4.1輕松松實現(xiàn)內(nèi)部部網(wǎng)到外部部網(wǎng)的擴展展無需客戶端端專用軟件件、通過普普通瀏覽器器接入。Web RResouurce Mappping 接入企業(yè)業(yè)OA應(yīng)用，而而不用更換換內(nèi)部應(yīng)用用系統(tǒng)或暴暴露內(nèi)部域域名。支持企業(yè)固固定TCPP端口的OOA應(yīng)用。支持IP層層VPN，實實現(xiàn)OA系系統(tǒng)

33、維護人人員的訪問問。4.2 支支持通用 SSL 加密算法法密鑰算法: DESS (566-bitt), 33DES (1688-bitt), RRC4 (128-bit)公鑰算法: RSAA (10024-bbit+)消息認證: MD55 (1228-biit), SHA-1 (1160-bbit)Web 客客戶與Arrray SP之間間SSL加加密Arrayy SP 與后臺服服務(wù)器之間間明文或SSSL加密密4.3 用用戶認證、授權(quán)認證：支持持傳統(tǒng)的RRadiuus、LDDAP 、Actiive DDirecctoryy、SeccurIDD 等認證證方式，同同時提供LLocall(本地數(shù)數(shù)據(jù)庫

34、)認認證方式.授權(quán)：基于于用戶或用用戶組的接接入控制；基于URRLs限定定接入內(nèi)部部資源；基基于用戶IIP地址限限定接入4.4審計計和管理記錄所有行行為用戶登陸/登出認證/授權(quán)權(quán)失敗被請求的 URLss支持的Syyslogg 最多8個可可配置的llog消息息Emerggencyy, Allert, Criiticaal, EErrorr, Waarninng, NNoticce, IInfo, DebbugLog消息息時間戳支持SNMMP V22 支持 SNNMP GGET，允允許實時地地監(jiān)測系統(tǒng)統(tǒng)狀態(tài)，包包括流量負負載，活動動連接，用用戶登陸/登出和認認證失敗等等。4.5 多多層安全控控制機

35、制Webwaall應(yīng)應(yīng)用層防火火墻：基于于IP/TTCP/UUDP的包包過濾機制制；防DOOS攻擊；基于狀態(tài)態(tài)檢測的防防火墻功能能基于URLL的過濾機機制。端到端的SSSL加密密強大的AAAA功能通過WRMM隱藏內(nèi)部部資源路徑徑4.6 證證書管理為保證網(wǎng)上上數(shù)字信息息的傳輸安安全，除了了在通信傳傳輸中采用用更強的加加密算法等等措施之外外，必須建建立一種信信任及信任任驗證機制制，即參加加應(yīng)用的各方方必須有一一個可以被被驗證的標標識，這就就是數(shù)字證證書。數(shù)字字證書符合合X.5009國際標標準，同時時數(shù)字證書書的來源必必須是可靠靠的。這就就應(yīng)有一個個網(wǎng)上各方方都信任的的機構(gòu)，專專門負責數(shù)數(shù)字證書的的

36、發(fā)放和管管理，確保保網(wǎng)上信息息的安全，這這個機構(gòu)就就是CA認認證機構(gòu)。各級CAA認證機構(gòu)構(gòu)的存在組組成了整個個應(yīng)用服務(wù)務(wù)的信任鏈鏈。ARRAAY SPP 的證書書管理支持持以下項目目：支持X.5509 標標準協(xié)議。支持客戶端端證書認證證。支持Cerrtifiicatee Revvocattion Listt (證書書撤銷列表表)支持inttermeediatte CAA Cerrtifiicatee4.7 支支持集群技技術(shù)Arrayy在給服務(wù)務(wù)器提供高高容錯性，高高可靠性的的前提是，AArrayy設(shè)備本身身的容錯性性和高可靠靠性。Arrray支支持Cluusterr的工作模模式，提供供11 和

37、N11 的冗余余配置模式式，能工作作在Acttive/Stanndby或或Actiive/AActivve方式。 每個設(shè)設(shè)備獨立的的流量的處處理，同時時又監(jiān)視本本Clusster中中其它設(shè)備備的工作狀狀態(tài)； 能把CClustterinng 配置置成Acttive-Stanndby 或 Acttive-Actiive ； 利用VVRRP的的技術(shù)實現(xiàn)現(xiàn) （ VRRRP虛擬擬路由冗余余協(xié)議， RFC 23388）。4.8 SSinglle Siigh OOn當使用公公司內(nèi)部不不同的應(yīng)用用系統(tǒng)時，需需要輸入不不同的 “用戶名+ 口令”，資源預(yù)預(yù)定系統(tǒng)一一個口令、Outllook 一個口令令、銷售系系統(tǒng)

38、又一個個口令，很很麻煩。因因為需要在在不同的WWeb服務(wù)務(wù)器上進行行不同的授授權(quán)管理，管管理員也倍倍感疲憊。ArraayNettworkks SPP支持單點點登陸，可可以讓用戶戶訪問不同同的網(wǎng)站只只需要一次次登錄，一一次認證，可可以有效降降低管理負負擔和方便便使用。4.9 SSessiion 級級保護在會話停止止一段時間間以后自動動停止會話話，如果需需要繼續(xù)訪訪問則要從從新登陸，通通過對Seessioon的保護護來起到數(shù)數(shù)據(jù)被竊聽聽后偽裝訪訪問的攻擊擊。SSL VVPN安全全接入對于于企業(yè)的益益處通過Arrray的的SSL VPN實實現(xiàn)ERPP系統(tǒng)的安安全接入，可可以“幫助企業(yè)業(yè)提高生產(chǎn)產(chǎn)力，

39、改善善用戶使用用體驗”。Arrray安全全接入解決決方案具有有以下優(yōu)點點：5.1 提提高信息安安全性 防防止信息泄泄漏 由于客戶戶端與SSSL VPPN網(wǎng)關(guān)之之間實現(xiàn)高高強度的加加密信息傳傳輸，因此此雖然信息息傳輸是通通過公網(wǎng)進進行的，但但是其安全全性是可以以得到保證證的。第三三方即使可可以得到傳傳輸數(shù)據(jù)，但但是卻無法法得到隱藏藏到其中的的明文信息息。因此敏敏感的信息息如業(yè)務(wù)帳帳號等被保保護起來，杜杜絕了有效效信息的泄泄露。 杜絕非非法訪問 SSLL VPNN的訪問要要經(jīng)過認證證和授權(quán)，充充分保證用用戶身份的的合法性。SSL VPN只只允許那些些擁有相應(yīng)應(yīng)權(quán)限的用用戶進行網(wǎng)網(wǎng)絡(luò)連接。如果請求求

40、連接的用用戶沒有合合法身份，則則SSL VPN將將拒絕其連連接請求，從從而限制了了非法用戶戶對內(nèi)網(wǎng)的的訪問。 保護信信息的完整整性 SSL VPN使使用數(shù)字證證書進行機機密性與完完整性參數(shù)數(shù)的協(xié)商，它它不僅能夠夠?qū)λ鶄鬏斴數(shù)臄?shù)據(jù)進進行機密性性的保護，同同時也對其其提供完整整性保護。當在傳輸輸過程中的的數(shù)據(jù)被篡篡改之后，SSL VPN是可以檢測到的，如果檢測到數(shù)據(jù)被篡改，他們就會放棄所接收到的數(shù)據(jù)。 防止用戶假冒 ArryNetworks提供多種認證和授權(quán)方式，包括本地 本地用戶數(shù)據(jù)庫，并且可以和其他更加強大的認證系統(tǒng)結(jié)合起來，如ad，radius，RSA SecurID，SecureComputing等保證系統(tǒng)的可用性 SSL VPN使用內(nèi)網(wǎng)、外網(wǎng)相互隔離，只開放所需服務(wù)的方式來實現(xiàn)，這樣客戶端只能通過授權(quán)使用所開放的服務(wù)，除該服務(wù)之外的其它服務(wù)都無從訪問，從而減少了很多對內(nèi)網(wǎng)系統(tǒng)進行攻擊的途徑，達到了對內(nèi)部網(wǎng)絡(luò)的最大保護。5.2 靈靈活的用戶戶管理和訪訪問控制ArraayNettworkks 提供供多種多樣樣的認證機機