×××有两种组网方式:网到网(Site-to-Site)和远程接入(Remote-Access)。网到网的组网方式是指两个局域网(LAN)通过×××连接起来,实现两个局域网主机之间的互相访问。远程接入的组网方式是指远程用户直接通过自己的终端设备与企业的×××网关建立连接,实现对内部网络资源的访问。显然远程接入的组网方式适用于移动办公、家庭办公、与合作伙伴网络互连(Extranet)等场合。
相对于IPsec ×××,SSL ×××可以更好地满足远程接入的技术和管理方面的要求。具体来说,SSL ×××在以下方面提供了很好的支持:
(1) SSL ×××具有很好的网络连通性。因为SSL协议工作在TCP层之上,所以在进行NAT转换时,对TCP/IP报文头的修改不会影响到SSL报文的封装。因而SSL ×××没有像IPsec ×××那样需要解决NAT穿越问题。此外,SSL协议所使用的TCP 443端口号是知名端口,一般防火墙都会打开此端口。而IPsec/IKE协议所要求的UDP 4500/500号端口有时就会被防火墙所禁止。
(2) SSL ×××的Web接入方式可以做到免客户端
SSL ×××提供了三种接入方式:Web接入、TCP接入、IP接入。其中的Web接入可以实现让用户仅通过Web浏览器就可以访问内网的Web站点,而Web浏览器是各种操作系统都提供的,其可靠性、稳定性都能得到保证。因而称Web接入是免客户端的。无客户端的远程接入方式给用户和系统管理员都带来了很大的方便,从根本上消除了安装和维护客户端的麻烦。
(3) TCP接入和IP接入的客户端是免安装免维护的
SSL ×××还提供了TCP接入和IP接入两种接入方式。这两种接入方式都需要使用客户端。不过,SSL ×××的客户端可以通过网页自动下载,自动安装运行,在用户退出登录后,也能自动卸载。这样SSL ×××客户端的运行不需要用户的任何干预,既方便了用户使用,又省去了管理员的支持维护工作。
(4) 安全而又严格的用户认证
首先,SSL ×××采用SSL协议建立加密连接,整个连接的建立过程和数据传输过程都是严密的,在其中传输的用户认证信息不会被盗取。其次,SSL协议支持证书认证,在部署了PKI系统的网络中,可以通过CA证书验明用户身份。而证书可以保存到USB-Key之中,受到USB-Key智能卡的保护,使得证书认证既方便快捷,又安全可靠。
(5) 高细粒度的访问控制。
一方面SSL ×××可以支持对URL、文件共享目录、TCP服务、IP网段等不同粒度的访问控制,另一方面SSL ×××的授权实现了基于角色或用户组的管理,从而方便了管理员对用户实施精确的权限管理。
(6) 安全评估
SSL ×××可以做到在用户正式登录SSL ×××之前,通过下载一个主机检查器,自动检查远程主机的运行环境是否安全。
(7) 动态授权
H3C 的SSL ×××支持对用户的动态授权,可以允许管理员设置10个安全级别。在主机检查和用户组授权管理的支持下,管理员可以轻松实现对复杂终端环境的策略化安全接入管理。
(8) 精细的访问日志
H3C SSL ×××提供的日志信息包括以下内容:
· 用户登录SSL ×××系统的时间、用户名、源IP地址。用户退出SSL ×××系统的时间。
·管理员的配置管理操作:执行人、操作时间、操作种类和配置的参数。
·普通用户的访问:对Web接入可以记录所访问的URL;对TCP接入可以记录所访问的服务器IP地址和端口号,以及所采用的客户端类型;对IP接入可以记录所访问的IP地址。
