安全接入解決方案

ERP系統(tǒng)安全接入解決方案ArrayNetworks,Inc.目錄ERP系統(tǒng)需求分析 錯(cuò)誤！未定義書簽。ERP背景介紹 錯(cuò)誤！未定義書簽。12 ERP的系統(tǒng)部署結(jié)構(gòu) 錯(cuò)誤！未定義書簽。1A ERP系統(tǒng)接入安全分析 錯(cuò)誤！未定義書簽。ERP系統(tǒng)安全接入解決方案 錯(cuò)誤！未定義書簽。2X 方案簡介 錯(cuò)誤！未定義書簽。接入方式： 錯(cuò)誤！未定義書簽。23 同IPSecVPN相比SSLVPN的特點(diǎn)： 錯(cuò)誤！未定義書簽。二SSLVPN提升ERP系統(tǒng)的安全性 錯(cuò)誤！未定義書簽。3.1. 輕松實(shí)現(xiàn)內(nèi)部網(wǎng)到外部網(wǎng)的擴(kuò)展 錯(cuò)誤！未定義書簽。32. 支持通用SSL加密算法 錯(cuò)誤！未定義書簽。用戶認(rèn)證、授權(quán)' 錯(cuò)誤！未定義書簽。3A 審計(jì)和管理 錯(cuò)誤！未定義書簽。多層安全控制機(jī)制 錯(cuò)誤！未定義書簽。證書管理 錯(cuò)誤！未定義書簽。生采用ArrayNetworksSSLVPN接入ERP系統(tǒng)特點(diǎn)： 錯(cuò)誤！未定義書簽。工SSLVPN安全接入對于ERP系統(tǒng)的益處 錯(cuò)誤！未定義書簽。5X 提高信息安全性 錯(cuò)誤！未定義書簽。靈活的用戶管理和訪問控制 錯(cuò)誤！未定義書簽。方便實(shí)施，簡單使用 錯(cuò)誤！未定義書簽。降低管理和維護(hù)成本 錯(cuò)誤！未定義書簽。高度的擴(kuò)展性和靈活性 錯(cuò)誤！未定義書簽。提高企業(yè)生產(chǎn)效率 錯(cuò)誤！未定義書簽。ERP系統(tǒng)需求分析ERP背景介紹20世紀(jì)90年代以來，企業(yè)信息處理量不斷加大，企業(yè)資源管理的復(fù)雜化也不斷加大，這要求信息的處理有更高的效率，傳統(tǒng)的人工管理方式難以適應(yīng)以上系統(tǒng)，而只能依靠計(jì)算機(jī)系統(tǒng)來實(shí)現(xiàn)，信息的集成度要求擴(kuò)大到企業(yè)的整個(gè)資源的利用、管理，從而產(chǎn)生了新一代的管理理論與計(jì)算機(jī)系統(tǒng)一一企業(yè)資源計(jì)劃ERP。企業(yè)資源計(jì)劃系統(tǒng)(ERP)是一套將財(cái)會、分銷、制造及其他業(yè)務(wù)功能集成的應(yīng)用軟件系統(tǒng)。一般來講，ERP系統(tǒng)包括生產(chǎn)計(jì)劃、車間計(jì)劃、銷售定單處理、采購管理、銷售計(jì)劃、倉庫管理、財(cái)務(wù)會計(jì)及報(bào)表等功能。ERP合理地重組企業(yè)業(yè)務(wù)并進(jìn)一步地規(guī)范企業(yè)管理。ERP是最有代表性的現(xiàn)代企業(yè)的管理規(guī)范和管理技術(shù)，是公認(rèn)的先進(jìn)制造企業(yè)的管理準(zhǔn)則。ERP有一整套適合于現(xiàn)代制造業(yè)的管理規(guī)章、制度和準(zhǔn)則，以及非常規(guī)范的企業(yè)業(yè)務(wù)流程和管理控制方法，對于提高企業(yè)的管理水平和促進(jìn)企業(yè)快速發(fā)展都有非常大的幫助。ERP是以計(jì)算機(jī)網(wǎng)絡(luò)為基礎(chǔ)的，它不但充分地利用了企業(yè)原有的計(jì)算機(jī)，挖掘企業(yè)現(xiàn)有的閑散資源的價(jià)值，更為重要的是它能夠同Internet連接起來，幫助企業(yè)同外部建立聯(lián)系，為企業(yè)十年、二十年后的生存和發(fā)展打下堅(jiān)實(shí)基礎(chǔ)和做好充分準(zhǔn)備。ERP同世界上最新的管理理論和管理思想緊密相連，成功實(shí)施對提高企業(yè)利用新技術(shù)，吸收新管理思想和采納科學(xué)的運(yùn)作方式具有重要的意義，使企業(yè)在激烈的市場竟?fàn)幹校紦?jù)優(yōu)勢地位，贏得生存和發(fā)展。國內(nèi)外有很多廠家在做ERP系統(tǒng)，如SAP,ORACLE，IBM，金蝶，用友等，都提出了自己地ERP解決方案，并開發(fā)了相應(yīng)應(yīng)用軟件，已經(jīng)在很多企業(yè)成功地運(yùn)行著，為ERP在中國地普及作了巨大貢獻(xiàn)。下圖是一個(gè)典型的ERP系統(tǒng)模型。ERP的系統(tǒng)部署結(jié)構(gòu)ERP軟件系統(tǒng)是以三層結(jié)構(gòu)的Clent/Server方式為基礎(chǔ)的，在網(wǎng)絡(luò)結(jié)構(gòu)上具有很大的靈活性。在三層結(jié)構(gòu)中，Presentation與Application層的通信量非常小；而Application和Database層之間具有較高的通信量。支持ERP系統(tǒng)運(yùn)行的網(wǎng)絡(luò)可以分為核心網(wǎng)絡(luò)和訪問網(wǎng)絡(luò)兩大部分。核心網(wǎng)絡(luò)的任務(wù)是提供足夠支持應(yīng)用服務(wù)器與數(shù)據(jù)庫服務(wù)器運(yùn)行所需要的高帶寬。同時(shí)核心網(wǎng)絡(luò)起到了隔離作為，保護(hù)了數(shù)據(jù)庫服務(wù)器上數(shù)據(jù)的安全。所有對ERP系統(tǒng)的數(shù)據(jù)訪問實(shí)際上都必須由應(yīng)用服務(wù)器執(zhí)行。在網(wǎng)絡(luò)帶寬足夠的前提下，Database和ApplicationServer可以進(jìn)行靈活的配置：用戶可以根據(jù)硬件平臺的容量選擇將數(shù)據(jù)庫和應(yīng)用服務(wù)器集中在同一主機(jī)上，或者分布在多臺主機(jī)上，起到負(fù)載均衡的作用。訪問網(wǎng)絡(luò)部分的任務(wù)為ERP客戶端提供靈活多樣的接入手段。ERP的三層結(jié)構(gòu)設(shè)計(jì)中，Presentation與Application層通信量小，即使使用電話撥號的訪問方式依然能夠保證良好的用戶響應(yīng)時(shí)間。用戶界面層(PresentationLayer)有兩種方式：專用的圖形化客戶界面；標(biāo)準(zhǔn)的瀏覽器界面，通過java技術(shù)實(shí)現(xiàn)遠(yuǎn)端訪問。一般ERP采用集中式結(jié)構(gòu)。數(shù)據(jù)庫服務(wù)器和應(yīng)用服務(wù)器被安置在計(jì)算中心局域網(wǎng)內(nèi)的核心網(wǎng)段上。所有外地用戶（包括外地局域網(wǎng)用戶和遠(yuǎn)程訪問用戶）都必須通過防火墻的過濾才能夠訪問核心網(wǎng)絡(luò)及其上的ERP系統(tǒng)。企業(yè)總部內(nèi)各辦公樓、庫房等通過光纖和100/10M交換機(jī)與計(jì)算中心共同組成中心網(wǎng)絡(luò)。通過防火墻的分隔，ERP數(shù)據(jù)庫服務(wù)器和應(yīng)用服務(wù)器所在網(wǎng)段成為核心網(wǎng)段，網(wǎng)絡(luò)其余部分為訪問網(wǎng)段。外地分支機(jī)構(gòu)網(wǎng)絡(luò)通過DDN專線（或者FrameRelay、ISDN撥號等其他方式）連接到中心網(wǎng)絡(luò)的訪問網(wǎng)段。為提高網(wǎng)絡(luò)的可靠性，可以采用包括電話撥號備份在內(nèi)的線路備份措施，以及具有冗余路由的廣域網(wǎng)結(jié)構(gòu)。ERP系統(tǒng)接入安全分析通過上面的介紹，我們可以看到，一般的ERP系統(tǒng)的網(wǎng)絡(luò)層面的安全主要依靠防火墻來實(shí)現(xiàn)，但防火墻對于ERP系統(tǒng)的安全遠(yuǎn)不能滿足要求，如防病毒入侵，數(shù)據(jù)的加密，用戶的認(rèn)證和鑒權(quán)等，尤其是不容易作認(rèn)證鑒權(quán)。有些ERP系統(tǒng)采用軟件加密，但軟件加密會消耗大量用戶服務(wù)器的資源，影響ERP系統(tǒng)的響應(yīng)速度。ERP系統(tǒng)一般也會有自己的基于對象權(quán)限和用戶角色概念的授權(quán)機(jī)制，但是她的授權(quán)機(jī)制是在應(yīng)用系統(tǒng)的層次來作的，還不能在網(wǎng)絡(luò)接入等底層對接入用戶作授權(quán)，一但黑客攻入系統(tǒng)主機(jī)，仍有可能對系統(tǒng)進(jìn)行破壞，或者竊取數(shù)據(jù)?？梢姡W(wǎng)絡(luò)層面接入的認(rèn)證和授權(quán)同樣重要。許多企業(yè)采用撥號線路為外地客戶機(jī)提供接入以保障安全，總部為這些接入提供MODEM池和RAS服務(wù)。但者依然存在數(shù)據(jù)加密和授權(quán)靈活行的問題，同時(shí)，撥號線路也過于昂貴，并且速度也是個(gè)大問題。對于要求快速響應(yīng)的大企業(yè)的ERP系統(tǒng)來說是不允許的。由于VPN（虛擬專網(wǎng)）比租用專線更加便宜、靈活，所以有越來越多的公司采用VPN，連接在家工作和出差在外的員工，以及替代連接分公司和合作伙伴的標(biāo)準(zhǔn)廣域網(wǎng)oVPN建在互聯(lián)網(wǎng)的公共網(wǎng)絡(luò)架構(gòu)上，通過“隧道”協(xié)議，在發(fā)端加密數(shù)據(jù)、在收端解密數(shù)據(jù)，以保證數(shù)據(jù)的私密性?，F(xiàn)在大多數(shù)遠(yuǎn)程安全訪問解決方案是采用IPSecVPN方式，其組網(wǎng)結(jié)構(gòu)是在站點(diǎn)到站點(diǎn)的vpn組網(wǎng)方式。IPSec是網(wǎng)絡(luò)層的VPN技術(shù)，表示它獨(dú)立于應(yīng)用程序。IPSec以自己的封包封裝原始IP信息，因此可隱藏所有應(yīng)用協(xié)議的信息，一旦IPSec建立加密隧道后，就可以實(shí)現(xiàn)各種類型的連接。但是，部署IPSec需要對基礎(chǔ)設(shè)施進(jìn)行重大改造，以便遠(yuǎn)程訪問，同時(shí)IPSecVPN在解決遠(yuǎn)程安全訪問時(shí)具有幾個(gè)比較大的缺點(diǎn)，如：IPSecVPN最大的難點(diǎn)在于客戶端需要安裝復(fù)雜的軟件，而且當(dāng)用戶的VPN策略稍微有所改變時(shí)，VPN的管理難度將呈幾何級數(shù)增長?？蛻糗浖砹巳肆﹂_銷，而許多公司希望能夠避免；某些安全問題也已暴露出來，這些問題主要與建立開放式網(wǎng)絡(luò)層連接有關(guān)。除此以外，除非已經(jīng)在每一臺客戶使用的計(jì)算機(jī)上安裝了管理軟件，軟件補(bǔ)丁的發(fā)布和遠(yuǎn)程電腦的配置升級將是一件十分令人頭疼的任務(wù)（如果不說不可能的話）。IPSecVPN的連接性會受到網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）的影響，或受網(wǎng)關(guān)代理設(shè)備（proxy）的影響；IPSecVPN需要先完成客戶端配置才能建立通信信道，并且配置復(fù)雜，尤其是對于NAT和穿越防火墻，往往要在這些設(shè)備上作復(fù)雜的配置以配合IPsecVPN的工作。?采用隧道方式，使遠(yuǎn)程接入的安全風(fēng)險(xiǎn)增加；由于IPSecVPN在連接的兩端創(chuàng)建隧道，提供直接（而非代理）訪問，并對全部網(wǎng)絡(luò)可視，因此IPSecVPN會增加安全風(fēng)險(xiǎn)。一旦隧道建立，就像用戶的PC機(jī)在公司局域網(wǎng)內(nèi)部一樣，用戶能夠直接訪問公司全部的應(yīng)用，由此會大大增加風(fēng)險(xiǎn)。用戶使用個(gè)人計(jì)算機(jī)在家里或者通過無線局域網(wǎng)工作還面臨著黑客的威脅。?不適合用作移動用戶，如家庭、網(wǎng)吧，賓館等上網(wǎng)用戶；?應(yīng)用層接入控制不靈活，這源于他是在IP層之上的VPN系統(tǒng)。從投資的角度看IPsecVPN，要真正建立IPSecVPN，單單有客戶端軟件是很不夠的。如果沒有防火墻和其他的安全軟件，客戶端機(jī)器非常容易成為黑客攻擊的目標(biāo)。這些客戶端很容易被黑客利用，他們會通過VPN訪問企業(yè)內(nèi)部系統(tǒng)。這種黑客行為越來越普遍，而且后果也越來越嚴(yán)重。例如，如果雇員從家里的計(jì)算機(jī)通過公司VPN訪問企業(yè)資源，在他創(chuàng)建隧道前后，他十幾歲的孩子在這臺電腦上下載了一個(gè)感染了病毒的游戲，那么，病毒就很有可能經(jīng)過VPN在企業(yè)局域網(wǎng)內(nèi)傳播。另外，如果黑客侵入了這臺沒有保護(hù)的PC,他就獲得了經(jīng)過IPSecVPN隧道訪問公司局域網(wǎng)的能力。因此，在建設(shè)IPSecVPN時(shí)，必須購買適當(dāng)?shù)陌踩浖?，這個(gè)軟件的成本必須考慮進(jìn)去也是很高的。ERP系統(tǒng)安全接入解決方案方案簡介下圖是一個(gè)典型的SSLVPN組網(wǎng)的拓?fù)浣Y(jié)構(gòu)圖，圓圈中為企業(yè)的ERP系統(tǒng)，遠(yuǎn)端用戶通過internet與ERP數(shù)據(jù)中心相連。此時(shí)，在企業(yè)邊緣部署SSLVPN網(wǎng)關(guān)一ArrayNetworksSPX（securityproxy）,SPX可以放在路由器和防火墻的后面，提供SSLVPN門戶站點(diǎn)。所有上網(wǎng)用戶必須登陸此SSLVPN門戶站點(diǎn)才能訪問SSLVPN,同時(shí)每個(gè)用戶必須有自己的帳號、口令并享有訪問SSLVPN各種資源的相應(yīng)權(quán)限。SPX提供的門戶站點(diǎn)IP地址可以是公網(wǎng)地址，也可以是防火墻等地址提供的NAT后的私有地址。此時(shí)，防火墻可以只對SPX開放https的端口地址，缺省為TCP443端口。采用SSLVPN的第一項(xiàng)好處就是降低成本。雖然購買軟件或硬件的費(fèi)用不一定便宜，但部署SSLVPN很便宜。安裝了這類軟件或硬件，使用者基本上就不需要IT部門的支持了，只要從其PC機(jī)上的瀏覽器向公司SSLVPN網(wǎng)關(guān)注冊即可oSSL連接也更穩(wěn)定。因?yàn)镮PSecVPN是網(wǎng)絡(luò)層連接，故容易中斷。據(jù)Infonetics最近發(fā)表的報(bào)告表明，SSL將不斷獲得吸引力。到2005年，74%的移動員工將依賴VPN（比2003年增加15%），預(yù)計(jì)增長率主要來自SSL，這種IPSec以外的替代方案避開了部署及管理必要客戶軟件的復(fù)雜性和人力需求。最終用戶避免了攜帶電腦，通過與因特網(wǎng)連接的任何設(shè)備就能獲得訪問，SSL更容易滿足大多數(shù)員工對移動連接的需求。用戶通過與因特網(wǎng)連接的任務(wù)設(shè)備實(shí)現(xiàn)連接，并借助于SSL隧道獲得安全訪問。雖然這需要在企業(yè)防火墻后面增添硬件，但企業(yè)只要管理一種設(shè)備，不必維護(hù)、升級及配置客戶軟件。接入方式：現(xiàn)在，Web成為標(biāo)準(zhǔn)平臺已勢不可擋，越來越多的企業(yè)開始將ERP系統(tǒng)移植到Web上。ERP將是SSLVPN應(yīng)用的直接受益者，它被認(rèn)為是實(shí)現(xiàn)遠(yuǎn)程安全訪問Web應(yīng)用的最佳手段。對于不采用WEB作ERP客戶端地企業(yè)，如采用ERP專用圖像客戶端地C/S結(jié)構(gòu)，ArrayNetworksSPX產(chǎn)品仍有模塊來滿足這些C/S結(jié)構(gòu)的ERP應(yīng)用，如SPX的ApplicationManager模塊和L3VPN模塊。其中SSLVPN部署的層次在ERPApplicationLayer和PresentationLayer之間。如下圖：對于B/S結(jié)構(gòu)的ERP系統(tǒng)：SPX采用WRM(WEBResourceMapping)模塊來實(shí)現(xiàn)，利用Array的SSLVPN的Web資源映射可以實(shí)現(xiàn)：通過標(biāo)準(zhǔn)瀏覽器訪問企業(yè)ERP系統(tǒng)；支持URL-NAT：URL的動態(tài)重寫，提高安全性；強(qiáng)迫認(rèn)證，強(qiáng)迫任何訪問Intranet的請求都必須先通過AAA；隱藏內(nèi)部資源：可以隱藏Intranet的資源路徑，提高整體安全性。利用Array的SSLVPN的Web資源映射可以實(shí)現(xiàn)：支持OWA(OutlookWebAccess);URL-NAT：URL的動態(tài)重寫；強(qiáng)迫認(rèn)證：強(qiáng)迫任何訪問Intranet的請求都必須先通過AAA；隱藏內(nèi)部資源：可以隱藏Intranet的資源路徑，提高整體安全性。網(wǎng)絡(luò)資源映射是一項(xiàng)新技術(shù)，旨在把Web應(yīng)用生成的幾乎所有URL都統(tǒng)一成指向一個(gè)安全入口點(diǎn)的URL。這種映射對管理員來說是透明的，無須人工干預(yù)。網(wǎng)頁中嵌套的鏈接被自動轉(zhuǎn)換成指向ArraySPX。當(dāng)ArraySPX收到映射后的URL后，會智能地和真正的后臺服務(wù)器進(jìn)行交互。支持URL-NAT：URL的動態(tài)重寫；強(qiáng)迫認(rèn)證：強(qiáng)迫任何訪問Intranet的請求都必須先通過AAA；隱藏內(nèi)部資源：可以隱藏Intranet的資源路徑，提高整體安全性。檢查HTTPURL，過濾惡意的HTTP請求。URL過濾檢查規(guī)則十分豐富，可以基于HTTP請求的headerlength>requestlength、URLandquerylength進(jìn)行檢查，也可以基于HTTP請求的ASCII碼或者關(guān)鍵字進(jìn)行檢查。當(dāng)使用公司內(nèi)部不同的應(yīng)用系統(tǒng)時(shí)，需要輸入不同的“用戶名+口令”，資源預(yù)定系統(tǒng)一個(gè)口令、Outlook—個(gè)口令、銷售系統(tǒng)又一個(gè)口令，很麻煩。因?yàn)樾枰诓煌腤eb服務(wù)器上進(jìn)行不同的授權(quán)管理，管理員也倍感疲憊。ArrayNetworksSPX支持單點(diǎn)登陸，可以讓用戶訪問不同的網(wǎng)站只需要一次登錄，一次認(rèn)證，可以有效降低管理負(fù)擔(dān)和方便使用。對于C/S結(jié)構(gòu)的ERP系統(tǒng)：SPX采用ApplicationManager模塊來實(shí)現(xiàn)，通常，ERP系統(tǒng)的遠(yuǎn)端客戶端訪問都是訪問幾個(gè)TCP端口，對于這幾個(gè)TCP端口，SPX啟動ApplicationManager功能時(shí)，客戶端將下載JavaApplet將作為TCPPROXY運(yùn)行在客戶端，它偵聽客戶端的特定ERPTCP端口的請求，并把請求通過SSL連接發(fā)給SPX,SPX將終結(jié)SSL連接并和企業(yè)內(nèi)網(wǎng)ERP服務(wù)器建立請求連接。由于只是對幾個(gè)TCP端口提供SSLVPN服務(wù)，所以遠(yuǎn)比通過隧道方式實(shí)現(xiàn)要安全的多。對于ERP系統(tǒng)維護(hù)人員：SPX采用L3VPN模塊來實(shí)現(xiàn)，此項(xiàng)功能是在客戶端和SPX之間通過SSL的連接建立一條VPN通道，客戶端將會生成一個(gè)虛擬網(wǎng)卡，并修改本機(jī)的路由表。這樣，客戶端虛擬網(wǎng)卡上就會配備一個(gè)和企業(yè)內(nèi)網(wǎng)地址體系一致的網(wǎng)址，并通過這條VPN通道直連到企業(yè)內(nèi)網(wǎng)，就好像客戶端機(jī)器在企業(yè)內(nèi)部一樣。當(dāng)然這個(gè)模塊只賦給特定的ERP系統(tǒng)維護(hù)人員此項(xiàng)功能是在客戶端和SP之間通過SSL的連接建立一條VPN通道，客戶端將會生成一個(gè)虛擬網(wǎng)卡，并修改本機(jī)的路由表。這樣，客戶端虛擬網(wǎng)卡上就會配備一個(gè)和企業(yè)內(nèi)網(wǎng)地址體系一致的網(wǎng)址，并通過這條VPN通道直連到企業(yè)內(nèi)網(wǎng)，就好像客戶端機(jī)器在企業(yè)內(nèi)部一樣。這樣，就構(gòu)建了一個(gè)類似IPSECVPN一樣的網(wǎng)絡(luò)層的VPN,同時(shí)通過VPN通道的所有流量都是經(jīng)過SSL加密的，保證了數(shù)據(jù)的安全性。由于此VPN是建立在網(wǎng)絡(luò)層之上的，所以所有基于IP的應(yīng)用都可以運(yùn)行,包括基于動態(tài)TCP、UDP端口的應(yīng)用，以及NETBIOS、ICMP等應(yīng)用。同IPSecVPN相比SSLVPN的特點(diǎn)：SSLVPN的客戶端程序，如MicrosoftInternetExplorer、NetscapeCommunicator、Mozilla等已經(jīng)預(yù)裝在了終端設(shè)備中，因此不需要再次安裝；SSLVPN可在NAT代理裝置上以透明模式工作；SSLVPN不會受到安裝在客戶端與服務(wù)器之間的防火墻的影響。SSLVPN將遠(yuǎn)程安全接入延伸到IPSecVPN擴(kuò)展不到的地方，使更多的員工，在更多的地方，使用更多的設(shè)備，安全訪問企業(yè)網(wǎng)絡(luò)資源，同時(shí)降低了部署和支持費(fèi)用°SSLVPN正在成為遠(yuǎn)程接入的事實(shí)標(biāo)準(zhǔn)，下面列舉了其中的一些理由。SSLVPN可以在任何地點(diǎn)，利用任何設(shè)備，連接到相應(yīng)的網(wǎng)絡(luò)資源上。SSLVPN通信運(yùn)行在TCP/UDP協(xié)議上，具有穿越防火墻的能力。這種能力使SSLVPN能夠從一家用戶網(wǎng)絡(luò)的代理防火墻背后安全訪問另一家用戶網(wǎng)絡(luò)中的資源。IPSecVPN通常不能支持復(fù)雜的網(wǎng)絡(luò)，這是因?yàn)樗鼈冃枰朔┰椒阑饓ΑP地址沖突等困難。鑒于IPSec客戶機(jī)存在的問題，IPSecVPN實(shí)際上只適用于易于管理的或者位置固定的設(shè)備。SSLVPN是基于應(yīng)用的VPN，基于應(yīng)用層上的連接意味著(和IPSecVPN比較)，SSLVPN更容易提供細(xì)粒度遠(yuǎn)程訪問(即可以對用戶的權(quán)限和可以訪問的資源、服務(wù)、文件進(jìn)行更加細(xì)致的控制，這是IPSecVPN難以做到的)。SSLVPN提升ERP系統(tǒng)的安全性輕松實(shí)現(xiàn)內(nèi)部網(wǎng)到外部網(wǎng)的擴(kuò)展?無需客戶端專用軟件、通過普通瀏覽器接入。WebResourceMapping接入企業(yè)WEB應(yīng)用，而不用更換內(nèi)部應(yīng)用系統(tǒng)或暴露內(nèi)部域名。?支持企業(yè)固定TCP端口的C/S應(yīng)用。?支持IP層VPN，實(shí)現(xiàn)客服各系統(tǒng)維護(hù)人員的訪問。支持通用SSL加密算法密鑰算法：DES(56-bit),3DES(168-bit),AESRC4(128-bit)公鑰算法：RSA(1024-bit+)消息認(rèn)證：MD5(128-bit),SHA-1(160-bit)Web客戶與ArraySPX之間SSL加密ArraySPX與后臺服務(wù)器之間明文或SSL加密用戶認(rèn)證、授權(quán)認(rèn)證：支持傳統(tǒng)的Radius、LDAP、ActiveDirectory、SecurlD等認(rèn)證方式，同時(shí)提供Local(本地?cái)?shù)據(jù)庫)認(rèn)證方式.授權(quán)：基于用戶或用戶組的接入控制；基于URLs限定接入內(nèi)部資源；基于用戶IP地址限定接入審計(jì)和管理記錄所有行為：用戶登陸/登出；認(rèn)證/授權(quán)失敗；被請求的URLs。支持的Syslog:最多8個(gè)可配置的log消息；Emergency,Alert,Critical,Error,Warning,Notice.Info,Debug；Log消息時(shí)間戳。支持SNMPV2:支持SNMPGET，允許實(shí)時(shí)地監(jiān)測系統(tǒng)狀態(tài)，包括流量負(fù)載，活動連接，用戶登陸/登出和認(rèn)證失敗等。多層安全控制機(jī)制Webwall-應(yīng)用層防火墻：基于IP/TCP/UDP的包過濾機(jī)制；防DOS攻擊；基于狀態(tài)檢測的防火墻功能基于URL的過濾機(jī)制。端到端的SSL加密強(qiáng)大的AAA功能通過WRM隱藏內(nèi)部資源路徑證書管理為保證網(wǎng)上數(shù)字信息的傳輸安全，除了在通信傳輸中采用更強(qiáng)的加密算法等措施之外,必須建立一種信任及信任驗(yàn)證機(jī)制，即參加應(yīng)用的各方必須有一個(gè)可以被驗(yàn)證的標(biāo)識，這就是數(shù)字證書。數(shù)字證書符合X.509國際標(biāo)準(zhǔn)，同時(shí)數(shù)字證書的來源必須是可靠的。這就應(yīng)有—個(gè)網(wǎng)上各方都信任的機(jī)構(gòu)，專門負(fù)責(zé)數(shù)字證書的發(fā)放和管理，確保網(wǎng)上信息的安全，這個(gè)機(jī)構(gòu)就是CA認(rèn)證機(jī)構(gòu)。各級CA認(rèn)證機(jī)構(gòu)的存在組成了整個(gè)應(yīng)用服務(wù)的信任鏈。ARRAYSPX的證書管理支持以下項(xiàng)目：支持X.509標(biāo)準(zhǔn)協(xié)議；支持客戶端證書認(rèn)證；支持CertificateRevocationList證書撤銷列表)；支持intermediateCACertificate采用ArrayNetworksSSLVPN接入ERP系統(tǒng)特點(diǎn)：?用戶端無需安裝專用的VPN客戶端軟件。使用標(biāo)準(zhǔn)的瀏覽器，如IE和Netscape即可接入SSLVPN訪問ERP系統(tǒng)。提供免客戶端、任何地點(diǎn)的訪問能力、增加的安全性,使得IT部門管理更容易，和IPSecVPN相比，終端用戶使用更簡化。由于沒有配置、管理和支持終端用戶復(fù)雜的IPSec客戶端軟件的負(fù)擔(dān)，SSLVPN的支持更便宜，也比IPSec更容易部署。SSLVPN能為使用者提供任意地方的訪問能力。使用者可以在他們能得到Internet接入能力的地方訪問他們的應(yīng)用一一從機(jī)場商務(wù)中心，從任何他人的計(jì)算機(jī)，甚至任何無線設(shè)備。SSL也能在寬帶網(wǎng)絡(luò)上工作。此外，SSLVPN可以成功地穿越防火墻，能處理網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)問題，而對基于IPSec的VPN來說，這是一個(gè)難題。SPX釆用的是SSLPROXY技術(shù)。因此，使用者根本沒有和他們要訪問的資源直接建立連接，并且隱藏了那不DNS解析空間，所以安全度是很高的。即使是SPX提供的L3VPN技術(shù)，在其VPN隧道內(nèi)部我們依然存在一個(gè)網(wǎng)絡(luò)層的防火墻提供安全保護(hù)。?用戶接入ERP系統(tǒng)是經(jīng)過認(rèn)證的。認(rèn)證方式可以采用ArrayNetworksSSLVPN設(shè)備自己的用戶數(shù)據(jù)庫，也可以和內(nèi)部系統(tǒng)已有的認(rèn)證系統(tǒng)結(jié)合起來，如AD、RADIUS等.?用戶接入ERP系統(tǒng)是經(jīng)過授權(quán)的。針對不同的用戶或用戶所屬的組，SSLVPN可以按VPN系統(tǒng)預(yù)定義的規(guī)則來對用戶的訪問權(quán)限進(jìn)行設(shè)定。?用戶接入ERP系統(tǒng)是經(jīng)過加密的。ArrayNetworksSSLVPN設(shè)備采用強(qiáng)加密算法，如：私鑰算法：DES(56-bit),3DES(168-bit),RC4(128-bit)，公鑰算法：RSA(1024-bit+)，消息認(rèn)證：MD5(128-bit),SHA-1(160-bit).?用戶使用方便：用戶可以是NAT,或者是通過HTTP代理等靈活的方式，只需保持SSL通道暢通既可。?部署方式靈活多樣:SSLVPN網(wǎng)關(guān)SPX可以放在路由器、防火墻后面使用NAT后的私有地址。ArrayNetworksSPX支持單臂和雙臂網(wǎng)絡(luò)結(jié)構(gòu)。SSLVPN通常安裝在防火墻和服務(wù)器之間，如果以透明方式運(yùn)等行，除了在防火墻上簡單地開放所需要的HTTPS443端口外，無須對原有網(wǎng)絡(luò)再做任何變動；也無須像IPSecVPN那樣考慮網(wǎng)絡(luò)中間的NAT設(shè)備，以及客戶端的各種接入方式等等。?管理更加容易：采用SSLVPN要比IPSecVPN更容易管理，由于使用者可以從任何瀏覽器更安全地訪問應(yīng)用，所以，像SSLVPN能減少分發(fā)和管理客戶端軟件的麻煩。同時(shí)，不需要改變網(wǎng)絡(luò)，不需要修改防火墻配置和修改終端用戶的配置，所以，比采用IPSec有更低的總體擁有成本。?對于商業(yè)伙伴和客戶訪問更加適合：ArrayNetworks的解決方案也能在這種情況下工作得很好，它們給企業(yè)提供更高層的安全。而且由于不需要合作伙伴在他們的網(wǎng)絡(luò)中添加任何設(shè)備，所以SSLVPN更容易被合作伙伴接受，也比傳統(tǒng)的VPN更少受到來自合作伙伴環(huán)境的黑客威脅。?支持集群技術(shù)：Array在給服務(wù)器提供高容錯(cuò)性，高可靠性的前提是，Array設(shè)備本身的容錯(cuò)性和高可靠性。Array支持Cluster的工作模式，提供1+1和N+1的冗余配置模式，能工作在Active/Standby或Active/Active方式。SingleSighOn：當(dāng)使用公司內(nèi)部不同的應(yīng)用系統(tǒng)時(shí)，需要輸入不同的“用戶名+口令”，資源預(yù)定系統(tǒng)一個(gè)口令、Outlook—個(gè)口令、銷售系統(tǒng)又一個(gè)口令，很麻煩。因?yàn)樾枰诓煌腤eb服務(wù)器上進(jìn)行不同的授權(quán)管理，管理員也倍感疲憊。ArrayNetworksSPX支持單點(diǎn)登陸，可以讓用戶訪問不同的網(wǎng)站只需要一次登錄，一次認(rèn)證，可以有效降低管理負(fù)擔(dān)和方便使用。Session級保護(hù)：在會話停止一段時(shí)間以后自動停止會話，如果需要繼續(xù)訪問則要從新登陸，通過對Session的保護(hù)來起到數(shù)據(jù)被竊聽后偽裝訪問的攻擊。SSLVPN安全接入對于ERP系統(tǒng)的益處通過Array的SSLVPN實(shí)現(xiàn)ERP系統(tǒng)的安全接入，可以'幫助企業(yè)提高生產(chǎn)力，改善用戶使用體驗(yàn)”。Array安全接入解決方案具有以下優(yōu)點(diǎn)：提高信息安全性防止信息泄漏由于客戶端與SSLVPN網(wǎng)關(guān)之間實(shí)現(xiàn)高強(qiáng)度的加密信息傳輸，因此雖然信息傳輸是通過公網(wǎng)進(jìn)行的，但是其安全性是可以得到保證的。第三方即使可以得到傳輸數(shù)據(jù)，但是卻無法得到隱藏到其中的明文信息。因此敏感的信息如業(yè)務(wù)帳號等被保護(hù)起來，杜絕了有效信息的泄露。杜絕非法訪問SSLVPN的訪問要經(jīng)過認(rèn)證和授權(quán)，充分保證用戶身份的合法性。SSLVPN只允許那些擁有相應(yīng)權(quán)限的用戶進(jìn)行網(wǎng)絡(luò)連接。如果請求連接的用戶沒有合法身份，貝ySSLVPN將拒絕其連接請求，從而限制了非法用戶對內(nèi)網(wǎng)的訪問。保護(hù)信息的完整性SSLVPN使用數(shù)字證書進(jìn)行機(jī)密性與完整性參數(shù)的協(xié)商，它不僅能夠?qū)λ鶄鬏數(shù)臄?shù)據(jù)進(jìn)行機(jī)密性的保護(hù)，同時(shí)也對其提供完整性保護(hù)。當(dāng)在傳輸過程中的數(shù)據(jù)被篡改之后，SSLVPN是可以檢測到的，如果檢測到數(shù)據(jù)被篡改，他們就會放棄所接收到的數(shù)據(jù)。防止用戶假冒ArrayNetworks提供多種認(rèn)證和授權(quán)方式，包括本地本地用戶數(shù)據(jù)庫，并且可以和其他更加強(qiáng)大的認(rèn)證系統(tǒng)結(jié)合起來，如ad，radius，RSASecurID，SecureComputing等。保證系統(tǒng)的可用性SSLVPN使用內(nèi)網(wǎng)、外網(wǎng)相互隔離，只開放所需服務(wù)的方式來實(shí)現(xiàn)，這樣客戶端只能通過授權(quán)使用所開放的服務(wù)，除該服務(wù)之外的其它服務(wù)都無從訪問，從而減少了很多對內(nèi)網(wǎng)系統(tǒng)進(jìn)行攻擊的途徑，達(dá)到了對內(nèi)部網(wǎng)絡(luò)的最大