SSL VPN：让远程访问更简单更安全

当今世界瞬息万变，全球化的商业环境使分布在世界各地的企业各分支机构员工、合作伙伴和客户之间的联系更加紧密。如何安全、快速、方便的远程访问企业内部资源成为IT部门首先要解决的当务之急。

通过租用专线的方式实现点到点之间的远程连接标无疑是一种迅速、安全且可靠的通信手段，但其成本过高，并不适合大多数企业应用。随着Internet的普及和发展，通过 IPSec VPN技术实现大量数据的远程访问为人们提供了一种低运行成本、高生产效率的远程访问方式。但是，IPSec VPN也有不足，它使用十分复杂，必须安装和维护客户端软件。另外，从远程通过IPSec通道连接到企业内部网络可能会增加局域网受到攻击或被病毒感染的可能。

与电子商务和网上银行服务一样，SSL VPN采用标准的安全套接层（SSL）对传输中的数据包进行加密，从而在应用层保护了数据的安全性。在不断扩展的互联网Web站点之间、远程办公室、传统交易大厅、酒店、无线热点和客户端间，SSL VPN克服了IPSec VPN的不足，用户可以轻松实现安全易用、无需客户端安装且配置简单的远程访问，从而降低用户的总成本并增加远程用户的工作效率。而同样在这些地方，设置传统的IPSec VPN非常困难，甚至是不可能的，这是由于必须更改网络地址转换（NAT）和防火墙设置。

SafeEnterprise SSL iGate

Safenet SafeEnterprise SSL iGate可以满足SSL VPN用户市场的各个层面的需求。iGate Pro SSL VPN具备许多重要特性，如支持B/S和C/S应用、集成iKey身份认证令牌、提供硬件SSL加速、支持客户端标准浏览器访问、清除缓存记录和HTTP压缩等。

客户端检测

在客户端， iGate Pro会自动检查客户端是否安装了防病毒软件和防火墙，并确认它们的类型和版本。同样，iGate Pro也会对注册表和文件设置进行检查，确认是否正常运行Win32服务器和Windows自动更新服务。

身份认证及授权

当确认远程客户端符合安全策略后，系统需要确认客户端用户身份，各个公司可根据他们的安全策略灵活选择不同的认证手段，如口令密码、双因素身份认证方式（iKey身份认证令牌或RSA SecurID）、PKI方式。通常，建议用户使用双因素认证或PKI方式，因为它们要比使用口令密码确认身份安全得多。对于不同用户，其可访问内容也会有所区别，管理员在设置用户权限您可通过本地授权、LDAP或RADIUS等方式进行。不同的用户、角色和应用程序具有不同的访问权限。

管理安全

通过身份确认后，用户可以通过入口界面安全访问内部资源。由于采用代理机制，并且iGate只开放443端口，因而大大减少了内部资源受到攻击的危险性。iGate可以保护包括Web方式在内的所有给予TCP的应用程序，无论是B/S还是C/S结构的应用程序，都可以实现安全的远程访问。例如远端用户希望访问公司内部邮件系统，他就可以利用iGate像在公司内部一样收发他的邮件。对非Web应用程序，iGate Pro通过基于Java的 VPX程序进行安全访问，VPX易于安装，简单易用，用户只需进入入口页面，然后敲一下应用软件即可链接到经过认证的HQ应用服务器。

从安全的角度来看，iGate Pro的CPF客户端策略值得推荐。一旦会话超时、退出登录或拔除iKey，iGate Pro 会自动删除暂存在Cache中的临时文件，因此敏感信息不会驻留在设备中。

iGate具有超强的日志记录功能，能自动保存各种活动和报警报告。它与管理其它资源一样，可以对访问进行集中管理，对组别、用户或资源的使用进行摘要描述，发现可疑访问，特别标注并进行预警提示，并且可以按照日期、使用情况或组别以图表方式进行描述。

使用简单

基于Web的用户界面可以管理HTTPS通讯，同时还可以通过Web界面进行初始化配置。利用Web管理器和访问控制管理器（ACM）工具， iGate Pro可以轻松快速配置和管理远程访问服务，无需安装客户端。

基于Windows的ACM软件使用户、应用程序和资源管理变得十分容易。

测试过程

1．在运行测试iGate Pro前，需要确认以下相关数据：默认网关IP、Web服务器FQDN、Web服务器IP等。

2．iGate Pro设置在防火墙后加密隧道或DMZ区，把浏览器指向iGate Pro的IP地址，点击Net Wizard标识，选择单臂模式。

3．根据安装向导，选择通过入口页面访问方式或直接访问方式。继续设置其它选项，如 URL访问服务器、Web服务器IP地址、80端口、虚拟IP地址和客户端443端口。

4．点击Advanced标志，出现一系列控制和监测选项，以及设置VPX连接器的选项。VPX连接器允许客户在远程PC上通过iGate Pro与C/S应用程序服务器相连。在我们的测试配置中，启动安装向导对配置非常有帮助。

5．配置ACM中央配置和管理工具，设定需要保护的资源和可以访问这些资源的用户。你可以用ACM自定义外部认证的方法或是内部认证，配置用户、组、访问权限并连接至登录页面。

可以增加站点和应用软件将未经授权的访问加入至访问控制列表（ACL），但必须保证安全性。通过ACM软件，你可以从Windows或任一外部路径输入用户名。

6．VPX和ACM工具友好的界面给我们留下了深刻印象，它们描述清楚并且易于操作，即便是一个新手也可以利用手边的资料快速启动，进行远程安全访问。

7． 通过iGate Pro的所有通信都是安全的。进行远程访问测试时，我们所用的客户端PC仅仅装了普通的浏览器和Java。

8．考虑多种应用需要一起使用，我们选择使用入口站点访问方式。设定使用口令和iKey USB令牌作为身份认证方式。插入iKey，输入PIN码，通过身份认证，出现入口页面，显示Web应用软件和非Web应用程序列表。

9．工作时，我们可能会需要离开自己的机器，因此我们可以中途拔出iKey，SSL通道就会自动关闭，这是一项极为有用的安全功能。

10．iGate Pro对于在安全通信、认证、授权、安全应用程序代理、客户端安全、终端用户的支持和管理等方面均能做出良好的响应。

结论

SSL VPN拓展了我们的应用灵活度， iGate Pro SSL VPN更赋予我们将安全性与易用性相结合的能力。使用iGate, 用户可以安全访问基于Web和非基于Web的应用程序和关键数据。