摘要

隨著越來越多公司轉(zhuǎn)為采用基于加密套接字協(xié)議層(SSL)的個虛擬專用網(wǎng) (VPN )滿足遠程接入需求，基于普通目的計算機平臺的 SSL VPN 解決方案已經(jīng)不能滿足大中型企業(yè)和服務(wù)供應(yīng)商的需求的狀況已經(jīng)非常明顯。大中型企業(yè)和服務(wù)供應(yīng)商這樣的客戶對安全性、用戶體驗、響應(yīng)時間、吞吐量和擴展性都有很高的要求。同時，他們還希望通過在一個單獨的VPN 系統(tǒng)中整合多個訪問控制列表 (ACL)來使系統(tǒng)變得更有效率，這些訪問控制列表如防火墻、LAN 交換機、無線LAN 設(shè)備以及應(yīng)用安全代理設(shè)備等。只有基于特定目的的SSL VPN 平臺可以滿足這些要求。

本白皮書中將會討論這樣一個基于特定目的的SSL VPN 平臺-Array Networks SPX-的特性，以及它如何把高性價比的實際利益交付給企業(yè)和服務(wù)供應(yīng)商。它的特性包括：

更高的安全性，適應(yīng)性和控制力度

更高的性能，效率和用戶體驗

更少的總體擁有成本(TCO)

簡介

現(xiàn)在越來越多的公司轉(zhuǎn)為采用基于SSL協(xié)議的的VPN來滿足他們遠程接入的需求。根據(jù)Gartner的研究報告：

“截止至2008年，大于三分之二的遠程電子辦公的雇員、大于四分之三的訂約人和大于百分之 九十的臨時雇員 (可能0.7)選擇SSL VPN作為最主要的遠程接入方式?！?/P>

“SSL VPN最終也將取代目前處理成千上萬個簡單SSL會話的B2C門戶”

“增長潛力足以吸引每一個網(wǎng)絡(luò)工作者，以及支撐一個相當(dāng)大數(shù)量的小規(guī)模經(jīng)營者、剛起步者和投資者?！?/P>

資料來源：2005年12月8日Gartner發(fā)布的John Girard的 《2005年第三季度北美地區(qū)SSL VPN魔力象限報告》。

隨著移動、多樣化用戶日益增多-包括那些具有多種安全級別的自己的筆記本電腦的非雇員，企業(yè)和運營商正在期待一種使得安全應(yīng)用程序和網(wǎng)絡(luò)接入成為他們提供給終端用戶資源的一部分的方法。

一般的SSL VPN可以讓用戶從多個地點和多種計算機設(shè)備安全訪問數(shù)據(jù)和應(yīng)用程序，同時給用戶提供精細的、基于身份的訪問控制。但是大部分SSL VPN沒有注意實際終端用戶體驗所需的性能以及大規(guī)模統(tǒng)一部署所需的擴展性。

普通的SSL VPN是不夠的

SSL VPN解決方案利用任何瀏覽器都具有的SSL加密技術(shù)加密數(shù)據(jù)，提供數(shù)據(jù)傳輸?shù)乃矫苄院屯暾?。Gartner提出，與那些基于IPSec協(xié)議或?qū)＞€接入相比，很多公司一般都選擇SSL VPN進行遠程訪問。

然而，到現(xiàn)在為止，SSL VPN廠商幾乎都無一例外地把焦點集中在SSL VPN無客戶端接入及應(yīng)用接入控制所提供的靈活性和安全性方面。他們在保證SSL VPN解決方案的性能和擴展性能夠與Ipsec VPN相媲美甚至超過IPSec工作方面作了很少。

現(xiàn)在問題在于大部分SSL VPN解決方案將軟件打包在一般的Linux平臺上，因此它們不能滿足企業(yè)客戶以下需求：

性能和用戶體驗性能和用戶體驗- 接近Ipsec VPN的延遲和吞吐量性能，以及可以在不需要部署和管理昂貴性能和用戶體驗性能和用戶體驗的第三方解決方案前提下改善終端用戶應(yīng)用程序性能體驗。

擴展性-在一個獨立的硬件平臺上擴展到更多的并發(fā)用戶，同時不必降低性能。

安全性-在不影響總體系統(tǒng)性能的情況下不僅可以提供加密技術(shù)而且可以提供深度包檢測安全性安全性和應(yīng)用級過濾。

統(tǒng)一接入-在不需要改變?nèi)魏斡布那闆r下把遠程用戶、分支機構(gòu)用戶、有線和無線LAN統(tǒng)一接入統(tǒng)一接入(WLAN)用戶整合到一個獨立的SSL VPN平臺。#p#

性能

在一般的平臺上交付的SSL VPN解決方案在設(shè)計和構(gòu)架方面受到限制，這些限制能夠?qū)е略黾友舆t和減少吞吐量的處理瓶頸。比如SSL批量加密。大部分一般的的SSL VPN解決方案使用一個SSL VPN并發(fā)處理器在硬件中交換SSL密鑰，但是對于批量加密還是依賴主要的CPU 。批量加密是一種中央處理器密集處理，它讓系統(tǒng)的吞吐量付出了沉重的代價，同時也大大增加的延遲時間。

應(yīng)用級吞吐量是另一個重要的因素。隨著SSL VPN變得越來越流行，他們被用來處理那些大部分一般SSL VPN平臺所不能夠處理的負載。因此許多SSL VPN平臺已經(jīng)達到了他們的實際限制，而這個限制要遠遠低于供應(yīng)商在支持的并發(fā)用戶數(shù)方面規(guī)定的限制。 這就導(dǎo)致了他們無法正常運行或運行情況不佳，最終導(dǎo)致影響終端用戶的效率。

為了達到一個滿意的性能水平，客戶經(jīng)常發(fā)現(xiàn)他們必須購買大量一般SSL VPN設(shè)備，但是同時它們的運行性能卻遠遠低于所宣稱的吞吐量和并發(fā)用戶方面的性能。由于多次失敗，當(dāng)然就導(dǎo)致成本的增加-在初期資本開支和協(xié)同管理方面，并且由于多點存在故障帶來可靠性的降低。

一些機構(gòu)遭受如此低的性能導(dǎo)致他們必須購買和維護獨立的第三方應(yīng)用加速解決方案。這樣又會導(dǎo)致成本增加和可靠性降低。

擴展性

為了避免這些成本意味著要尋找具有高擴展性的SSL VPN解決方案。擴展性的高低主要由兩個因素決定：最大并發(fā)用戶數(shù)和最大并發(fā)SSL連接數(shù)。

當(dāng)普通SSL VPN解決方案宣稱它們能夠擴展到2500個并發(fā)用戶時，它們實際底線就像上文中提到的一樣很有可能遠遠低于他們所宣稱的。然而對于許多的企業(yè)和服務(wù)供應(yīng)商而言，2500個并發(fā)用戶數(shù)遠遠低于他們的需求。

一個提供管理SSL VPN服務(wù)的服務(wù)供應(yīng)商必須要有在一個獨立的系統(tǒng)中擴展到10000個用戶和幾百個客戶的能力。許多的大型企業(yè)比如大部分全球前2000的企業(yè)都有超多100000個員工也必須有這樣的能力。然而并不是所有的員工都需要安全遠程接入，而且那些需要的員工也并不是要在同一時間同時登陸，重要的是要記住使用SSL VPN的不僅僅是員工。在許多情況下，許多的定約人、合作伙伴、供應(yīng)商以及客戶必須能夠安全訪問。由于SSL VPN操作簡易、無客戶端的特點，大部分專業(yè)IT人士更喜歡使用它們滿足不同組織和個人的安全訪問需求。但是除非SSL VPN解決方案能夠擴展到超過每個系統(tǒng)500到1000個用戶的限制，對于如此巨大的需要，它在架構(gòu)構(gòu)上和經(jīng)濟上是不可行的。

另外，每個用戶團體，無論它是不同的業(yè)務(wù)部門、合作伙伴、供應(yīng)商或客戶，具有不同級別的接入權(quán)限。普通的SSL VPN解決方案可以為不同的用戶組提供細粒度的的基于角色的授權(quán)，但他們需要分開的SSL VPN設(shè)備為每個用戶組提供不同的門戶。結(jié)果，就造成了在增加很多用戶的情況下造成了整體擁有成本的增加。

安全

普通的SSL VPN平臺在性能和可擴展性的缺陷也造成了安全能力上的一些問題。提供適當(dāng)?shù)陌踩枰幚砥鞯奶幚砟芰?，在一個普通的SSL VPN解決方案中，當(dāng)一個系統(tǒng)中只有五十個用戶時可以把安全性設(shè)置在客戶想要的級別，但是隨著用戶的增加，性能降低。最終IT經(jīng)理可能會降低安全性級別直到性能恢復(fù)到可以 受的水平。顯然這不是最優(yōu)的策略。

普通的SSL VPN設(shè)備的另一個問題是它們是在安裝在現(xiàn)成的操作系統(tǒng)中，因此它們也會受到與那些操作系統(tǒng)關(guān)聯(lián)的攻擊和安全漏洞的影響。大部分一般 目的SSL VPN沒有任何先進的安全特性，比如集成防火墻和深度包檢測，這就意味著客戶必須增加其他的設(shè)備完成這些功能，這就增加了復(fù)雜性、成本和延遲。另外，普通SSL VPN解決方案只在客戶和SSL VPN設(shè)備之間提供傳輸安全，而不在SSL VPN設(shè)備和任何其他與之連接的服務(wù)器之間提供。這就使得用戶可能會有受到內(nèi)部攻擊的危險，而這個危險是所有安全威脅中很重要的一個。

實際上，《2005年CSI/FBI 計算機犯罪與安全調(diào)查》調(diào)查顯示，百分之五十六的人表示在過去的12個月中最少有一次攻擊是來自他們組織內(nèi)部。

統(tǒng)一接入

當(dāng)一般 目的SSL VPN解決方案允許遠程用戶訪問公司資源，通常情況下他們不會處理其他企業(yè)用戶的訪問要求，例如那些從公司LAN或無線LAN登陸公司網(wǎng)絡(luò)的用戶。那就意味著SSL VPN平臺已經(jīng)成為IT管理員必須管理訪問控制列表 (ACL)的另外一個領(lǐng)域，以及在它們LAN和WLAN交換機、防火墻和公司目錄下添加存在ACL的地方。保持所有的ACL與現(xiàn)在的信息同步是一個真正的挑戰(zhàn)，但同時如果應(yīng)對不當(dāng)?shù)脑?，會產(chǎn)生安全漏洞。

即使一般 目的SSL VPN宣稱它們支持統(tǒng)一接入，他們有限的能力使得服務(wù)器供應(yīng)商或企業(yè)范圍內(nèi)的部署不切實際。#p#

基于特定目的的基于特定目的的SSL VPN介紹

普通的SSL VPN的各種缺點都可以通過使用一種專門為SSL VPN設(shè)計的平臺克服。Array Networks 已經(jīng)在它的高性能SSL VPN系統(tǒng)的SPX系列中采用這種方法。Array SPX系統(tǒng)是一種基于運行自定義ArrayOSTM操作系統(tǒng)的、基于特定目的的平臺。它與普通的SSL VPN相比，他的優(yōu)化的，線性操作交付具有更高的吞吐量和更低的延遲，卻可以支持更多的并發(fā)用戶數(shù)和SSL會話。

圖：

Array 基于特定目的的SSL VPN高級架構(gòu)

普通的計算機平臺在經(jīng)過多層處理時會有很嚴重的瓶頸和延遲。Array 自定義ArrayOSTM操作系統(tǒng)流線型處理，同時保證了CPU密集型操作例如在硬件中進行的密鑰交換和批量加密。

最佳性能和用戶體驗

實際上， 與Array最 近的SSL VPN平臺比較，Array基于特定目的的平臺使得它交付的性能、吞吐量和容量是它們的八倍。

大部分性能的提高都歸功于ArrayOSTM和SpeedStackTM技術(shù)。SpeedStackTM技術(shù)是一種處理引擎，它使得多個完整的數(shù)據(jù)流只執(zhí)行一次TCP堆棧處理。下面的圖描述了多種功能能夠不需要數(shù)據(jù)在內(nèi)存中瀨戶機移動即可處理。如果你認為這些特性是由很多功能組成的，那么這里疊加了很多功能。這意味著在任何特定的時間一個功能請求可能為多個特性服務(wù)，這樣就能更有效的利用資源并且改善性能。

圖：

除了在硬件中執(zhí)行SSL密鑰交換和批量加密之外，Array也把壓縮和連 復(fù)用技術(shù)整合在一起，通過減少網(wǎng)絡(luò)連 和服務(wù)器的負載來降低延遲。這就使得Array能夠把有500個SSL并發(fā)用戶的網(wǎng)頁的平均反應(yīng)時間維持在2毫秒，同時把有成千上萬個SSL并發(fā)用戶的網(wǎng)頁的平均反應(yīng)時間維持在個位數(shù)。

在那些因應(yīng)用服務(wù)器太貴而不適合執(zhí)行低級TCP網(wǎng)絡(luò)操作的環(huán)境中，以及WAN帶寬對于遠程用戶來說非常寶貴時，Array SPX提供了整合的應(yīng)用加速，包括行業(yè)領(lǐng)先的TCP連 復(fù)用技術(shù)和基于硬件的HTTP壓縮。這個整合的特性和性能在降低成本的同時還改善了服務(wù)器反應(yīng)時間和終端用戶體驗。

超強的安全性

Array超強的性能也意味著用戶不必為性能而犧牲安全性，而為性能而犧牲安全性正是一般SSLVPN解決方案經(jīng)常做的。Array可以同時使用戶擁有最大安全性和即時用戶反應(yīng)時間。

與所有SSL VPN解決方案一樣，Array支持認證、授權(quán)和審計 (AAA )，以及清除緩存的終端安全性。但是Array也有許多其他一般SSL VPN解決方案沒有的安全特性。

首先是Array擁有專利的ArrayOS操作系統(tǒng)。作為一種基于特定目的的操作系統(tǒng)，ArrayOS沒有任何一種一般操作系統(tǒng)如Windows或Linux固有的多余特性和功能，以及伴隨這些多余特性和功能的安全漏洞。ArrayOS是一種更加安全、受攻擊可能性大大減少的操作系統(tǒng)。

ArrayOS也采用完全反向代理結(jié)構(gòu)，意味著它終止所有的連接，然后與后臺服務(wù)器立新的連接。

這樣做的目的很多。首先，它能使得后臺的服務(wù)器免遭攻擊;因為所有的連接都在Array設(shè)備上終止了，下游的設(shè)備看不見那些后臺的服務(wù)器。Array也使用延時綁定技術(shù)，它要求在連 傳遞到應(yīng)用服務(wù)器之前在Array設(shè)備上終止連接。這就阻止了不合法的IP地址連接到服務(wù)器上，因為他們不會正確地終止。

Array SPX也使用線速、基于狀態(tài)防火墻和七層數(shù)據(jù)包檢測來快速發(fā)現(xiàn)-丟棄-反常的數(shù)據(jù)包。對于要求點對點安全性、特別敏感的應(yīng)用程序，Array也可以重新加密Array設(shè)備和后臺服務(wù)器之間的會話。#p#

可擴展的、虛擬統(tǒng)一接入

正如前面所解釋的，大型企業(yè)和服務(wù)供應(yīng)商需要高擴展性、低總體擁有成本 (TCO)，支持大量不同用戶的接入控制。Array SPX憑借它行業(yè)領(lǐng)先的擴展性，虛擬化和統(tǒng)一接入控制能力，滿足了這些迫切的要求。

單臺Array系統(tǒng)最多能支持：

64000并發(fā)用戶

100000并發(fā)SSL會話

10000SSL交易/每秒

850Mbps吞吐量

256個虛擬門戶

每個虛擬門戶都有自己獨一無二的統(tǒng)一接入策略，以及外觀和安全配置。那意味著從一個單獨的系統(tǒng)，企業(yè)可以允許它的客戶訪問它的公開的基于網(wǎng)頁的訂購系統(tǒng)，允許它的員工訪問電子郵件、ERP和CRM系統(tǒng)，以及允許供應(yīng)商訪問他們的外聯(lián)網(wǎng)。服務(wù)供應(yīng)商從一個單獨的Array系統(tǒng)最多可以支持256個不同的客戶，這樣與一般SSL VPN解決方案相比，大大降低了采購和操作的成本。

在提供統(tǒng)一 入控制方面，與一般的SSL VPN相比，Array已經(jīng)取得了質(zhì)的飛躍。Array SSL VP不需要在多個LAN交換機、SSL VPN設(shè)備和獨立的無線LAN交換機上創(chuàng) 以及維護訪問控制列表(ACL)。使用Array SSL VPN，無論用戶是從無線LAN遠程訪問還是直接連 LAN，用戶的訪問方式都被支持。所有訪問網(wǎng)絡(luò)的用戶而不僅僅是遠程用戶都要執(zhí)行Array全面安全策略。

安全統(tǒng)一接入依賴于許多Array SSL VPN系統(tǒng)的重要特性，包括：

最大并發(fā)用戶數(shù)和會話數(shù);沒有支持大量用戶的能力就不可能為統(tǒng)一接入控制添加用戶。

反應(yīng)時間快，吞吐量大，使得Array在為統(tǒng)一接入添加用戶時不必降低效率。

整合的高性能網(wǎng)絡(luò)和應(yīng)用防火墻，使得組織可以替換當(dāng)前防火墻的ACL。

為不同用戶組最多可以支持256個虛擬門戶，使得Array可以為許多用戶支持和管理多個門戶，無論他們是通過WLAN或LAN遠程訪問還是直接訪問。

先進的基于角色管理，允許在IT部門委派安全和網(wǎng)絡(luò)策路責(zé)任。

Array正在通過使組織在一個地方-Array SSL VPN來控制終端用戶訪問策路和端點安全來定義市場。這樣就不需要在多個LAN交換機、防火墻、SSL VPN設(shè)備和單獨的WLAN交換機上創(chuàng)和維護訪問控制列表 (ACL)，從而減少了管理的成本。

滿足您的需求

Array提供的統(tǒng)一接入與可擴展接入的結(jié)合、更高的安全性與最佳性能結(jié)合，意味著客戶大大節(jié)約了成本和時間。能夠用一個獨立的系統(tǒng)滿足所有遠程訪問的要求意味著比使用多個一般SSL

VPN系統(tǒng)降低總體擁有成本 (TCO)。Array提供的先進安全特性和集中控制所有訪問需求也能夠節(jié)約更多的成本。同時，Array為客戶提供了一個滿足將來VPN需求 (包括站點到站點SSL VPN )的基礎(chǔ)。

圖：

更高性能、更低總體擁有成本 (TCO)

在每個用戶的成本方面，Array每個系統(tǒng)支持64000個并發(fā)用戶和100000個并發(fā)SSL會話，創(chuàng)造了一個總體擁有成本(TCO)的神話。甚至在用戶數(shù)低于1000時，Array的性價比也很好，而隨著用戶數(shù)增加，成本還會大大降低。同時當(dāng)用戶數(shù)大于1000時其它競爭對手的解決方案的成本會迅速增加，因為他們需要增加更多的機器，同時還使管理更加復(fù)雜。通過減少后臺服務(wù)器的負載，Array連接復(fù)用技術(shù)減少了服務(wù)器硬件和軟件的成本，將進一步降低了總體擁有成本 (TCO)。

當(dāng)一個擁有130億美元資產(chǎn)的醫(yī)療保健公司需要在兩個月內(nèi)在它的網(wǎng)絡(luò)中添加5000個人，它考慮過多種VPN和瘦客戶端方式。它最終選擇了Array系統(tǒng)，因為它比其它競爭的解決方案有更高的性能、可靠性和安全性。同時它能在不升級硬件的情況下擴展到100000個用戶并且管理非常簡單。

Array系統(tǒng)為每個用戶只花費了40美元，而競爭對手的解決方案每個用戶至少要花200美元。它需要的技術(shù)支持更少，管理更加簡單，與其他方法比較，Array系統(tǒng)節(jié)約了100萬美元。

另一個醫(yī)療保健機構(gòu)，Presbyterian Healthcare，部署Array SPX讓醫(yī)生和其它工作人員安全訪問病人的信息。與之前的解決方案比較，它實現(xiàn)了并發(fā)用戶數(shù)量百分之百增加同時終端用戶的反應(yīng)時間提高了百分之五十。另外，這個機構(gòu)的服務(wù)器處理容量增加了百分之四百，每個微軟IIS WEB服務(wù)器處理的用戶數(shù)從以前的800增加到現(xiàn)在的4000個。這個機構(gòu)需要的后臺服務(wù)器數(shù)量也減少了百分之五十。

同樣地，為1億個客戶提供移動通信服務(wù)的、世界上最大的通信服務(wù)供應(yīng)商之一，它每年在技術(shù)支持上花費310萬美元幫助它的供應(yīng)商客戶管理他們基于IPsec的VPN訪問解決方案。以前的解決方案不能擴展超過2000個用戶，然而這個供應(yīng)商已經(jīng)有5000個銷售商，而且數(shù)量一直在增長。改用Array SPX系統(tǒng)使得公司大大減少了技術(shù)支持的成本，因為不再需要客戶端支持和培訓(xùn)。而且Array系統(tǒng)可以很輕松地支持公司的5000個用戶，而且還有能支持更多用戶的空間。

Array虛擬化特性也比一般SSL VPN節(jié)約了很多成本。相對于為每個用戶組購買和管理單獨的SSL VPN設(shè)備，衡量一下在同一個平臺上支持你所有不同的用戶組-職員、合作伙伴、供應(yīng)商、以及客戶節(jié)省的費用。對于服務(wù)供應(yīng)商而言，部署Array SPX不僅意味著可以在一個單獨的平臺上支持多達256個客戶，而且可以不再在客戶端放置設(shè)備，同時大大節(jié)約了初期資本開支和協(xié)同管理的費用。

Array系統(tǒng)不需要客戶為了性能而犧牲安全性。具有在硬件中處理許多CPU密集型任務(wù)的能力、基于特定目的的構(gòu)架使得SPX的性能遠遠超過競爭對手的解決方案。同時整合網(wǎng)頁防火墻和深度包檢測技術(shù)讓客戶不必額外購買安全產(chǎn)品，而且還減少了總體擁有成本。#p#

安全無處不在：統(tǒng)一接控制

總體擁有成本 (TCO)的另一個方面與公司處理用戶訪問策略的方式有關(guān)，這是一個低效率、冗余和復(fù)雜的過程。大部分公司被迫在網(wǎng)絡(luò)中為相同的用戶在無數(shù)個點定義用戶訪問策略，包括：

SSL VPN 設(shè)備，為遠程訪問

WLAN 交換機，為無線訪問

LAN 交換機，為有線訪問

防火墻

代理服務(wù)器，例如為電子郵件和其它應(yīng)用除了對管理員來說代價很大，定義許多次策略使得很難保證所有的策略同步，這就會導(dǎo)致無意識的生成安全漏洞。

Array SSL VPN 系統(tǒng)讓 IT 管理員只需在一個位置定義終端用戶訪問策略，從而不需要在多個交 換機和設(shè)備上創(chuàng)建和維護多個訪問控制列表 (ACL)?，F(xiàn)在統(tǒng)一接入控制的概念特別重要，因為網(wǎng)絡(luò)訪問已經(jīng)無處不在，用戶可能使用根據(jù)或不根據(jù)公司安全策略配置的設(shè)備、從任何地方登錄公司網(wǎng)絡(luò)。當(dāng)企業(yè)用戶、商業(yè)合作伙伴或客人上網(wǎng)瀏覽或遠程工作時，他們可能受到未知感染，然后把它們直接帶入網(wǎng)絡(luò)中。同樣，如果沒有合適的訪問控制，公司LAN 上的內(nèi)部用戶在訪問國際互聯(lián)網(wǎng)時可能會給公司網(wǎng)絡(luò)帶來威脅。這些威脅是無法被任何公司接受的，特別是那些必須滿足嚴格的規(guī)章要求來保護公司數(shù)據(jù)的公司。

企業(yè)需要集中的統(tǒng)一接入解決方案，它能把用戶身份、設(shè)備和網(wǎng)絡(luò)許可的各個方面結(jié)合在一起，而且即使對于他們不能控制的組也能同時執(zhí)行策略。

Array 就能提供這樣的解決方案。 Array SSL VPN 系統(tǒng)能夠控制用戶接入，無論他是從無線LAN遠程接入還是直接從有線LAN 接入。同時，所有訪問網(wǎng)絡(luò)的用戶，不僅僅是遠程用戶，都可以執(zhí)行 Array 全面的安全策略。

Array 具有許多安全特性，包括：

客戶端完整性檢查，保證客戶端機器遵守公司安全策略。具有多種補救方法，包括限制訪問，把出錯的機器定向到修補程序服務(wù)器以及限制訪問某些應(yīng)用或環(huán)境。

安全訪問網(wǎng)頁應(yīng)用程序，使用基于角色 的安全訪問外 網(wǎng)和內(nèi)網(wǎng)以及隱藏 URL (URL masking)保護網(wǎng)頁應(yīng)用程序。

安全訪問文件服務(wù)器和客戶端/服務(wù)器應(yīng)用程序。

基于角色的管理，把不同組的管理工作分派到合適的IT 工作人員。

強認證，包括支持雙因素認證以及與微軟活動 目錄、RADIUS、UNIX NIS 或本地認證數(shù)據(jù)庫的結(jié)合。

整合的網(wǎng)絡(luò)和應(yīng)用層防火墻。

Array SPX 平臺本身對于提供統(tǒng)一訪問時非常關(guān)鍵的。只有一個能夠支持大量并發(fā)用戶和會話、又具有高吞吐量和低反應(yīng)時間的平臺才適合在一個大環(huán)境中處理統(tǒng)一訪問。

瘦客戶端應(yīng)用安全性

除了能夠安全訪問網(wǎng)頁應(yīng)用、電子郵件、文件服務(wù)器等等，Array SPX 還能為瘦客戶端應(yīng)用 (包

括Citrix 和Windows 終端服務(wù)器)提供關(guān)鍵的安全服務(wù)。例如，把一臺Array設(shè)備放在一臺Citrix服務(wù)器的前面可以減少暴露公司網(wǎng)絡(luò)。傳統(tǒng)上，遠程客戶是直接連 Citrix服務(wù)器，公司網(wǎng)絡(luò)典型部署一直都是這樣的。那就意味著能夠訪問Citrix服務(wù)器的入侵者同樣也能夠訪問其余的網(wǎng)絡(luò)。

Array反向代理結(jié)構(gòu)消除了這個威脅。所有遠程會話都在Array系統(tǒng)上終止，然后Array系統(tǒng)與 Citrix服務(wù)器建立連接，這樣就防止遠程用戶訪問其他網(wǎng)絡(luò)資源。Citrix服務(wù)器變成又一個受到Array SPX保護的應(yīng)用 (見圖)。

Array SPX也允許管理員精細控制用戶訪問權(quán)利，直至URL、目錄或應(yīng)用級別。Array還具有強大的審計功能，處理從用戶登錄到退出時的所有動作。#p#

實時事務(wù)解決方案

許多機構(gòu)對快速反應(yīng)時間的需求越來越迫切。無論是要求從您的面向客戶網(wǎng)站獲得更好性能的客戶，還是在ERP系統(tǒng)上痛苦掙扎的內(nèi)部用戶，對于他們自己想要的東西，沒有人愿意等太久。在許多情況下，時間確實就是金錢。例如在金融服務(wù)領(lǐng)域，快速反應(yīng)時間是至關(guān)重要的，因為大量的錢取決于及時接入和交易。股票價格幾乎每秒鐘都在變化，而且從這一分鐘到下一分鐘變動也非成大。另一個問題是許多經(jīng)紀人不是在傳統(tǒng)意義上的辦公室中工作。他們可能在路上，可能在拜訪客戶，但是他們?nèi)匀恍枰焖?、安全地訪問交易應(yīng)用程序。

在這種情況下，SSL VPN解決方案是最好的選擇，因為與在每個客戶端機器安裝和維護IPsec軟件相比，它更加簡單。一般SSL VPN不可能具有這樣的反應(yīng)時間-低于5毫秒，這個反應(yīng)時間正是交易應(yīng)用程序需要的，特別是用戶特別多的時候。

然而，Array SPX卻能勝任這個任務(wù)，它能實現(xiàn)500個并發(fā)用戶時的反應(yīng)時間低于2毫秒。

未來基礎(chǔ)

顯然SSL VPN在遠程訪問方面代替了IPsec VPN，但是IPsec仍然在站點到站點VPN連接中廣泛使用。與遠程訪問配置相比，在站點到站點配置中，更多的用戶可能同時連 到一臺單獨的VPN設(shè)備，這就意味著系統(tǒng)具有更高的擴展性。

今天Array支持64000個并發(fā)用戶、256個虛擬門戶，因此它已經(jīng)為SSL VPN技術(shù)的發(fā)展作了充分的準(zhǔn)備。

總結(jié)

在遠程訪問需求方面，SSL VPN技術(shù)在與IPsec的競爭中取得了勝利。根據(jù)Gartner的預(yù)測，到2008年SSL VPN將成為大部分商業(yè)使用的、主要的遠程接入方式。但是隨著SSL VPN使用的增加，對接入安全性和性能的要求也越來越高。

一般的VPN解決方案不能滿足這些持續(xù)增長的需求，達不到在性能、擴展性、安全性、用戶體驗和統(tǒng)一接入方面的目標(biāo)。只有建立一個完全符合SSL VPN要求的平臺才能滿足企業(yè)和服務(wù)供應(yīng)商的需求。具有專利ArrayOS操作系統(tǒng)的Array SPX系統(tǒng)能夠滿足最迫切的需求，支持多達64000個并發(fā)用戶和1000000個SSL會話。它支持256個不同的虛擬門戶。這種虛擬化能力在這個行業(yè)中也是無人能比的。如此多的特性使得Array不僅是滿足當(dāng)今客戶需求的最好選擇，而且也是能和您一起成長、滿足未來VPN需求的唯一平臺。

【編輯推薦】

1. Array SSL VPN確保華北電網(wǎng)的接入安全
2. Array SSL VPN助力廣西中煙提升管理水平