校園數字圖書館SSL VPN

解決方案

清大信安（北京）科技有限公司

一、 需求概述

  信息是人類社會存在和發展的基礎，是科學技術向前發展的必要條件。當今社會互聯網的普及、移動通信技術的進步、信息化程度的提高，使全世界的數字信息高度共享成為可能。這就給數字圖書館事業的發展帶來了前所未有的挑戰和機遇。從2004-11-05 中國高等教育數字化圖書館（CADLIS）建設項目的正式啟動，一直到2006 年8 月3 日，在國家發改委和財政部委托教育部召開的“十五”“211 工程”公共服務體系建設項目專家驗收會上，CALIS專題項目圓滿完成建設任務。在這其間中國高校的數字圖書館建設得到了前所未有的高速發展。不管是國家還是高校都在電子資源方面投入了大量的精力和財力以方便廣大師生使用。并努力縮小與國外先進大學的差距，電子圖書館的建設已經成為當今數字化校園建設的新亮點。國內很多高校近幾年都從網上購置了大量的電子數據供廣大師生展開教學研究。這些資源對于學校學科建設和科學研究工作有很重要的意義，數字圖書館的建設和應用已經成為高校信息化建設和現代教育技術改革工作的一大重點。

然而在建立和使用數字圖書館的過程中，電子資源商出于版權保護的需求，對高校使用其電子資源采取了一些保護措施，控制數字內容及其分發途徑，從而防止對數字產品非授權使用。正是在這樣一種保護知識產權的背景下，圖書館所購買的電子資源大部分都有限制訪問的IP地址范圍或訪問賬號控制，其中又以限制IP地址范圍為主要手段，其實現主要通過以下方式進行：

  1、 采購的這些數據庫不是存放在圖書館服務器上，而是存儲在提供商的服務器上，圖書館支付費用以后，數據庫服務商是根據訪問者的IP地址來判斷是否是經過授權的用戶。

2、 只要是從校園網出去的IP地址都是認可的，因為校園網出口IP和部分公網IP地址是屬于這個有限范圍的，所以校園網上的所有上網計算機都可以使用。

3、 如果教師、學生在家里上網或者一個老師到外地出差需要訪問這些電子資源，無論采用PSTN撥號、ADSL、小區寬帶，使用的都是社會網絡運營商提供的IP地址，不是校園網的IP地址范圍，因此數據庫服務商認為是非授權用戶，拒絕訪問。當然，我們也可以要求服務商進一步開放更多的IP地址為合法用戶，但是這要求訪問者的IP地址是固定的、靜態的，而實際上，絕大多數校外用戶使用的都是動態IP地址，是不確定的，所以數據庫服務商無法確定訪問者的合法身份，因而自動屏蔽。

從上述情況我們可以得到一個結論，大部分的電子資源僅能在校園網范圍內訪問，離開了校園，老師或學生將無法訪問這些電子資源，而隨著高校后勤社會化的深入發展，越來越多的教師和學生在校外居住，他們對各類電子資源的訪問需求仍然是存在的，同時還有大量的校友、客座教授、外聘教師也需要隨時隨地地接入校園網共享豐富的校園網資源。因此，高校需要一套可管理、可認證、安全的遠程訪問電子圖書館的解決方案，將校園網當作校外用戶的中轉站，使校外用戶通過相應的身份認證進入校園網后再通過校園網訪問相應的電子資源數據庫，從而滿足更多師生訪問館藏資源、網上資源的需求。

  由于電子資源的網外訪問具有應用復雜（Web應用、C/S應用）、安全性要求高（重要的科研教學數據）、訪問量大（用戶量大、流量大）、用戶環境復雜（終端類型多、網絡環境復雜、用戶IT水平參差不齊）等特點，在選擇相應技術和產品時應充分考慮所選擇產品具有的易用性、擴展性、容量等多方面內容。

校園網校內網絡上有很多資源，如圖書館內的圖書資源、學術資源、各類數據庫資源等。這些資源除了部分對教育網開放，其它只對內網用戶開放，想要訪問這些內部資源，就必需擁有校內網絡的地址，否則不能正常使用校內資源。解決這一問題的傳統方式是VPN 接入。采用這種方式不僅配置復雜、運行維護成本高，而且缺乏對客戶端點安全的評估手段，難以保證端對端的安全性。

 而校園網內部信息對于安全性的要求是比較高的，外部訪問內網的目的不僅要考慮高速高效的達成，還要考慮到用戶接入前的身份認證及接入后的訪問權限問題。

  但是，大部分的電子資源僅能在校園網范圍內訪問，許多在校外居住和生活的教工和學生、校友、客座教授、外聘教師由于離開了校園網范圍，無法訪問到學校內的資源，以及學校提供的外網資源?，F狀如圖所示：

通過高校數字圖書館目前普遍存在的問題，我們看到中國政法大學在以下幾個方面需要解決。

Ø 網外用戶訪問校內圖書館資源的問題

圖書館的電子資源訪問都是通過校園IP地址判斷的，所以在網外的客戶由于沒有允許的IP地址所以造成大量教職工、學生無法訪問的情況。

Ø 移動用戶接入安全問題

無論是學校電子資源的版權還是校園網內的科研教學數據都是無價的，使得遠程訪問資源的安全性必須得到很高的重視。而且校園網的安全是高校行政辦公系統正常運轉的保證，安全問題不容忽視。

Ø 遠程接入易用性問題

 校外訪問用戶IT水平參差不齊，程序的安裝及繁瑣的配置務必會加大老師和學生的負擔，影響資源的使用效率，并造成各種各樣的問題。而且管理人員的維護量和成本會倍增。

Ø 用戶自運營商網絡訪問教育網內電子資源速度慢的問題 

由于多數校外訪問者使用的是當地運營商提供的網絡（如電信的ADSL），這些運營商網絡與教育網之間的訪問速度非常慢，導致校外用戶通過這些網絡訪問電子資源的速度很慢，極大的影響了用戶使用的滿意度。

Ø 不同格式電子資源應用的支持問題

圖書館現有的應用系統類型豐富，而且需要考慮試用的以及將來擴展的電子資源應用。遠程接入系統需要對所有的應用（B/S，C/S）都能做到完整的支持。

Ø 大量用戶訪問問題

由于高校的資源多數都是購買授權的方式，上游的電子資源服務商對資源的應用是有限制的。除了限制發起的IP地址外，還會限制單一IP地址所產生的流量。

根據以上需求，我們認為VPN技術是一種比較理想的解決方法，也是目前多數已經解決以上需求的高校所采用的方式。

二、 解決方案

2.1  VPN技術在高校圖書館的應用分析

VPN是虛擬專用網的簡稱，虛擬專用網不是真的專用網絡，但卻能夠實現專用網絡的功能。虛擬專用網指的是依靠ISP（Internet Service Provider 服務提供商）和其它NSP（NetworkService provider網絡服務提供商），在公用網絡中建立專用的數據通信網絡的技術。在虛擬專用網中，任意兩個節點之間的連接并沒有傳統專網所需的端到端的物理鏈路，而是利用某種公眾網的物理鏈路資源動態組成的。

實際上，目前國內已經有不少高校采用了或者正常嘗試使用VPN技術來解決這個問題，而且大多是采用的IPsec VPN技術。利用IPSEC技術，校外用戶在本機安裝一個VPN客戶端軟件后經過配置連入圖書館網絡，IPSEC VPN中心端會給每個遠程用戶分配一個校園網IP地址，從而實現遠程用戶以校園網用戶身份訪問電子資源。

雖說IPSec VPN是目前VPN的主流技術之一，但IPSEC協議最初是為了解決site to site的安全問題而制定的，因此在此基礎上建立的遠程接入方案在面臨越來越多的end to site應用情況下已經力不從心。

Ø 首先是客戶端配置問題：

在每個遠程接入的終端都需要安裝相應的IPSec客戶端，并且需要做復雜的配置，隨著這種遠程接入客戶端安裝數量的增多將給網絡管理員帶來巨大的挑戰。雖然一些領先的公司已經解決了IPSec 客戶端難以配置和維護的問題，但是還是無法避免在每個終端上安裝客戶端的麻煩，而且即使這些客戶端很少出問題，但隨著用戶數量的增多，每天需要維護的客戶端絕對數量也不少。

Ø 其次是IPSec VPN自身安全問題：

往往傳統的IPSec 解決方案都沒有很好的解決移動用戶接入到私有網絡的安全控制問題，這樣就為病毒傳播和黑客入侵提供了很多可能的途徑，并且在如何針對不同用戶身份設定對不同資源的訪問權限上也存在不少缺陷（隨著技術的發展，新興的VPN廠商已經著手改進這些問題并取得了相應的成績）。

Ø 然后是對網絡的支持問題：

傳統的IPSec VPN在網絡適應性上都存在一些問題，雖然一些領導廠商已經或正在解決網絡兼容性問題，但由于IPSec VPN對防火墻的安全策略的配置較為復雜（往往要開放一些非常用端口），因此客戶端的網絡適應性還是不能做到百分之百完美。

Ø 最后是移動設備支持問題：

隨著未來通訊技術的發展，移動終端的種類將會越來越多，IPSec 客戶端需要有更多的版本來適應這些終端，但隨著終端種類的爆炸性增長，這幾乎是不可能的。

因此，SSL VPN技術應運而生。

SSL VPN的突出優勢在于Web安全和移動接入，它可以提供遠程的安全接入，而無需安裝或設定客戶端軟件。SSL在Web的易用性和安全性方面架起了一座橋梁。目前，對SSL VPN公認的三大好處是：首先來自于它的簡單性，它不需要配置，可以立即安裝、立即生效；第二個好處是客戶端不需要安裝，直接利用瀏覽器中內嵌的SSL協議就行；第三個好處是兼容性好，可以適用于任何的終端及操作系統。所有的校外用戶只需要打開IE瀏覽器訪問圖書館的Internet IP即可成功接入圖書館，SSL VPN技術采用了一種類似代理性質的技術，所有的訪問都是以SSL VPN設備的LAN口的名義發起的，所以只要SSL VPN設備的LAN口IP是一個合法的校園網IP，所有成功接入SSL的校外用戶都可以成功訪問這個SSL VPN設備LAN口所能訪問的資源。

但SSL VPN并不能取代IPSec VPN。因為，這兩種技術目前應用在不同的領域。SSL VPN考慮的是應用軟件的安全性，更多應用在Web的遠程安全接入方面；而IPSec VPN是在兩個局域網之間通過Internet建立的安全連接，保護的是點對點之間的通信，并且，IPSec工作于網絡層，不局限于Web應用。它構建了局域網之間的虛擬專用網絡，對終端站點間所有傳輸數據進行保護，而不管是哪類網絡應用，安全和應用的擴展性更強。從高校應用來看，由于SSL接入方式下所有用戶的訪問請求都是從SSL VPN設備的LAN口發起的，對于那些對單個用戶流量有嚴格限制的資源商來說，這些SSL用戶的訪問會被當成一個用戶對待，很快就會因為達到資源商的流量限制而造成該IP被禁用，也就導致所有SSL用戶無法繼續訪問圖書館資源。

那么，高校圖書館應該選擇何種VPN技術以解決目前校外用戶合理訪問圖書館各類資源的需求呢？

2.2 高校數字圖書館對VPN技術的特殊要求

我們知道，上游資源商對于資源的應用是有限制的，除了限制發起請求的IP地址外，還會限制單個IP地址所產生的流量，因此在圖書館大量的校外用戶群中，我們將用戶分為兩個類型，一類是使用圖書館資源較為頻繁、訪問數據量較大的用戶（以教師為主，數量較少），另一類則是使用次數較少、訪問數據不多的用戶（以學生為主，數量較多），通過用戶使用習慣的分析，我們發現給訪問量大但數量少的教師用戶必須獲得獨立的校園網IP地址，這樣就可以把大量的用戶流量分配到不同的IP地址上，避免單個IP流量過大造成的問題，而那些數量眾多但訪問量小的學生用戶則允許在一個IP上發起訪問，而不會造成單IP流量過大。

因此，我們建議貴校圖書館選擇使用清大信安科技推出的Access 安全控制應用網關一體化SSL VPN，該產品具有完全自主知識產權的軟硬件一體化專用設備。Access 基于SSL 安全通信協議，支持PKI證書認證和數字簽名機制，為業務應用系統提供強身份認證、應用授權和訪問控制、數據加密和完整性保護、抗否認等安全服務。通過特殊優化的體系結構和高性能的密碼運算硬件加速設備，在保證業務應用處理性能和提供安全性保護之間建立了完美的平衡，實現了易用性和安全性的統一。利用SSL VPN無需部署客戶端的特性，滿足學校大規模校外用戶訪問的需求，大大降低客戶端的維護工作量，從而實現VPN在圖書館應用的快速部署。拓撲如下：

三、方案優點及給客戶帶來的價值

Access嚴格遵照SSL協議標準，因此無需在客戶終端安裝任何軟件。幾乎所有的個人計算機都安裝了網絡瀏覽器，利用瀏覽器內置的SSL模塊，Access 不再需要安裝額外的客戶端軟件，就可以為遠程接入和應用通信提供安全保護。通過利用這種“零客戶端”的方式，Access 可以將配置和維護遠程計算機的成本降低到最低，無需進行培訓，即使初級的終端用戶也能立即輕松使用。

借助于瀏覽器技術Access可以支持所有網絡環境，只要瀏覽器能夠上網就可以使用SSL VPN。采用C語言實現技術可以非常方便地將產品移植各種體系結構的硬件平臺上，目前產品支持的硬件平臺有：Intel X86硬件平臺、Intel Xscale 425網絡處理器平臺、PPC 8541硬件平臺。

如果SSL VPN僅僅對Web應用做簡單的HTTP 到 HTTPS 的協議轉換和代理將無法支持所Web應用。比如有一個鏈接指向本地的一個網頁寫成了絕對路徑，如:http://192.168.0.1/entry/link.htm，那么這個鏈接在192.168.0.0的局域網內是可以正常訪問的，但是到了SSL VPN的瀏覽器上，如果保留這個鏈接不變，由于使用者不在局域網絡，將導致無法打開此鏈接。因此，SSL VPN還需要對這些鏈接做識別重寫URL鏈接，將其轉換成https的有效鏈接。Access采用了HTML智能重構技術，可以重寫包含絕對路徑的HTML代碼，從而支持幾乎所有Web應用。Access并不重寫所有HTML代碼，而是根據智能搜索引擎判斷出需要重構的網頁再加以修改，以保證響應的速度。

除了使用HTML智能重構技術全面支持B/S應用外，Access 還可以使用端口映射和目錄映射技術，以及ActiveX 方式的本地安全代理技術，能夠為絕大多數的Browser/Server 和Client/Server 模式的業務應用提供透明的安全服務。由于Access 能夠同時保護多個后端的業務應用，因此在結構上具有良好的可擴展性，新的應用系統可以隨時添加進來，置于Access 的保護之下。

Access采用ProxyIE技術支持TCP代理應用。通過IP Tunnel技術支持所有TCP/IP應用。Access可以支持絕大多數常見的靜態或者動態端口的C/S應用，包括網上鄰居、FTP、OUTLOOK、SQL、Lotus NOTES、SYBASE、ORACLE、CITRIX等。這種對C/S應用透明支持的技術，使得客戶端在使用SSL VPN時不需要做任何配置更改便可以訪問。并且Access支持內網DNS服務，若企業內部自建有DNS服務器，則在客戶的資源列表中可以直接輸入域名就可以訪問相應的內網資源。

 一般的SSL VPN在部署的時候都是采用一點對多點的星形部署模式，用戶需要發布的資源比較集中，通過一臺或者多臺VPN就能夠對外提供安全服務了。但是對于分布式系統的用戶資源來說，需要統一呈現給用戶訪問，屏蔽資源的地理差異。網絡安全代理技術既可以將一段服務映射到不同地域的VPN的服務上，也可以將一個網段映射到其它VPN的安全域中，非常靈活的完成分布式系統的安全部署需求。這種部署方式特別適合行業級VPN需求及大公司多分公司的環境。

Access采用SSL協議加密建立安全的專用通道，可以使用1024位、2048位、4096位的非對稱密鑰進行身份認證過程的加密，使用128位、256位的RC4算法和3DES算法保護數據傳輸的安全。為防止用戶身份被盜用，Access除了使用用戶名密碼/證書的認證方式外，還使用USB KEY(一種USB 的身份認證設備)進行雙因素身份認證。為防止USB KEY丟失被盜用，還為USB KEY加入了PIN碼保護。為防止對PIN碼的強制性攻擊，在芯片級設置了多次密碼試錯自鎖功能。

在用戶的資源列表中，除了C/S應用的透明支持，Access還增加了一個隱藏服務。用戶在訪問總部的資源時，Access可以不在用戶可用的WEB、APP資源列表中顯示其具體的資源，但用戶仍然可以使用。這種支持隱藏服務的功能，更加保證了企業內網資源的安全性。

目前很多SSL VPN僅僅支持服務器端的數字證書，這樣就無法使用PKI體系識別接入用戶的真偽。Access能夠支持雙向的數字證書：不僅支持使用證書對服務器身份進行認證，還能夠對客戶端身份進行驗證。這樣Access就能支持開放的PKI體系，和許多使用CA中心的應用有效集成，簡化認證過程：即同一套PKI即用于SSL VPN的接入認證，又用于接入后登錄應用系統的認證。

Access可以從微軟域服務器或LDAP服務器中直接導入用戶數據，能和第3方的LDAP認證服務器或RADIUS認證服務器有效集成。這樣一個組織機構就可以保持一套認證體系，簡化了部署過程，避免多套認證體系帶來的更多維護成本和更多安全風險。

Access中內置了一個CA中心，可以減少中小企業構建CA安全認證體系的成本。通過該CA中心，管理員可以給每個遠程接入用戶頒發證書，并存儲在USB KEY中，用來認證每個接入用戶的身份。同時Access也支持第三方CA中心，支持CRL和OCSP證書認證協議。

作為HTTPS服務器，所有SSL VPN都同樣面臨著DOS的威脅。所以大多數SSL VPN都需要前置防火墻保護其安全。而Access自身就是一個防火墻，集成了對DOS等攻擊的防御手段。其防御DOS的基本原理如下：在網絡層模擬應用層對DOS攻擊的主機發起應答，由于DOS攻擊主機無法完成3次握手，因此可以識別出不完整的請求，避免了把攻擊發送到SSL VPN應用上。而對于真實的SYN，在網絡層完成了SYN的3次握手后，再模擬請求的客戶端把SYN請求發送到應用層。通過這種SYN代理的方法就使得正常的SSL VPN遠程訪問順利的通過防火墻到達內部服務器，而DOS攻擊則被拒之門外。

Access對每個用戶的訪問控制粒度精確到了對每個資源進行何種操作的級別。例如對某個文件用戶A能訪問列表但不能閱讀，而用戶B既可以閱讀也可以下載。對用戶的授權是按照組織的構架，把用戶按角色進行管理，可以為每個用戶或每個組分配一個或多個角色。比如可以為某用戶分配經理和財務的雙重角色，這樣他即可以訪問經理的文檔數據又可以使用財務系統。通過這種有特色的角色權限分配體系能滿足各種現實世界中的權限設置要求。同時Access通過行為跟蹤引擎，對每個遠程接入用戶的所有訪問記錄都留下了日志記錄。

密碼算法設計的安全性和實現的安全性，對于基于密碼算法的安全系統設計十分關鍵。目前市面上的SSLVPN基本上就是直接利用瀏覽器中已經嵌入的國際標準算法，來保證企業信息傳輸的機密性和完整性。所使用算法有：DES、3DES、RC4；RSA；MD5、SHA-1等，這些算法的設計都是源自國外，對于國家安全來說，其安全性是受到懷疑的。

對于符合國家主管要求的SSLVPN，必然是采用了密碼主管部門審批算法的SSLVPN，其實現方式在SSLVPN中使用了高性能的密碼卡來提供密碼處理功能，在客戶端采用USBKey等硬件載體來實現密碼處理，從而實現了服務器端與客戶端之間有效認證和傳輸加密問題。

用國家主管部門審批的算法替代國際公開的算法，同時采用硬件實現，安全性得到了很大提高，提升了安全級別，同時也符合國家相關政策的要求。對于安全比較敏感，希望獲得最完善安全體驗的大型企業和政府用戶，可以采用自主算法的產品，以便實現安全的萬無一失。

密碼運算過程復雜，消耗計算資源，使得安全處理經常稱為影響應用性能的瓶頸。Access采用強大的密碼加速硬件設備，突破密碼運算的性能瓶頸，保證業務應用的服務質量，輕松滿足大規模企業級應用。

Access從開始設計時就定位在為電信級企業提供安全保障服務，通過無數次性能測試－調整－測試，最高并發用戶連接數能達到數萬之多，能夠滿足用戶的各種需求。

Access自身就支持多機熱備部署，當VPN網關啟動時，系統會自動監聽熱備網卡上是否相應的信號。若有檢測到另外一臺VPN網關的信號時，表明有備份設備存在。則此時VPN網關會自動協商主備信息，其中一臺的設為主設備，另一臺設備為備份設備。當主設備發生故障時，備份設備在5秒內沒有收到來自主設備的信號，則備份設備認為主設備出現故障，隨即啟動相應服務程序，切換為主設備狀態。而這一切對于客戶端來說，都是自動進行的，整個過程無需人工手動干預。

同時Access結合清大信安(北京)科技有限公司的負載均衡（TiSLB）產品，能夠達到8臺設備同時工作同時運行，并且該TiSLB產品是驅動級TiSLB產品，自身處理性能就能達到千兆線速，這使得整個VPN群集系統的處理能力就能達到千兆線速。

Access提供的負載均衡可以在用戶現有網絡結構的基礎上，提供一種廉價有效的方法擴展服務器帶寬和增加吞吐量，加強網絡數據處理能力，提高網絡的靈活性和可用性。它主要完成以下任務：解決網絡擁塞問題，服務就近提供，實現地理位置無關性 ；為用戶提供更好的訪問質量；提高服務器響應速度；提高服務器及其他資源的利用效率；避免了網絡關鍵部位出現單點失效。

Access提供了故障自動恢復功能和配置備份功能，當系統出現故障時能自動恢復，并把故障現場信息保留下來，進行故障分析并且徹底解決問題。

可以使用命令行方式和圖形配置界面來配置Access并且提供多種配置備份的方法，使管理員可以非常靈活的配置產品。同時Access還提供集中管理界面，為配置在分布式環境中多臺VPN提供方便。

通過遠程監控平臺，管理員可以實時地監控用戶的接入情況，實時觀察SSL VPN的運行情況。使用豐富的系統日志，可以及時定位故障，并實施遠程維護。通過GUI界面，管理員還可以隨時查看每個在線用戶的情況，可以隨時中斷可疑會話，方便快捷。還可以實現告警的短信通知，及時通知到終端用戶。

Access提供了高級日志、簡單日志、審計日志、錯誤日志四個級別的運行日志，幫助管理診斷系統。并提供了用戶訪問記錄審計和報表來記錄、跟蹤用戶行為。由于VPN網關的存儲空間有限，還提供了獨立的日志服務器，這樣日志空間可以不受存儲空間的限制。

Access可以在線升級Firmware以提高系統的性能和功能。通過在線升級功能，管理員可以擁有不斷更新換代的SSL VPN產品。同等型號的設備的所有升級都將是免費的。

四．產品功能

按照 Access 所提供的應用安全服務的不同，將產品功能劃分為以下類別：

ü 應用模式

ü 訪問控制

ü 特色功能

ü 安全性與可靠性

ü 整體性能

ü 管理維護

Access通過多種卓越的技術使SSL VPN能夠滿足企業的各種業務應用的訪問，無論是B/S結構應用還是C/S結構應用，底層數據都經過SSL協議安全防護，充分滿足了企業業務應用的全局安全訪問需求。

對企業數據中心和業務應用的安全威脅，很大一部分是非授權的訪問，因此認證鑒權對于SSL VPN至關重要。Access 提供多種認證手段和細粒度的授權訪問策略來保障SSL VPN的可控性和安全性。

SSL VPN在應用訪問中的網絡位置及扮演的角色至關重要，其安全性和可靠性將與企業的業務正常運行息息相關。Access通過提供多層次的安全防護來保障數據中心的安全，從數據的加密、用戶身份的認證鑒權，到后臺的應用防護，從設備本身的操作系統內核防范、IP層限制規則，到四到七層應用的過濾控制，全面保障企業應用的持續健康運行。   Access還支持集群部署架構，充分保障企業業務應用的高可用性。

SSL VPN應用越來越廣泛，不但應用到企業的遠程辦公環境中，還會應用到企業的業務系統中，訪問量會非常大。Access通過多種性能提升機制，保障系統的整體性能。

對SSL VPN系統部署與管理的關注莫過于企業IT管理維護人員了，這涉及到設備管理的復雜性，并與系統的維護成本關系非常大。Access提供命令行、圖形化界面等多種配置和維護管理手段，具有很強的易用性，便于系統的實施和管理。同時提供詳盡的日志審計分析，為設備運行分析及安全監控提供了有效的工具和手段。

五、產品部署模式

Access 針對擁有網絡應用需求的各類企業，側重于有分布式應用需求的企業集團，幫助企業的分支機構、商業合作伙伴及遍布各地的用戶，通過簡單的操作，實現遠程訪問企業的核心系統和資源，從而推動企業的信息化發展。

Access 針對的目標企業應用環境包括：

l 電子商務交易平臺

l 電子政務應用系統

l ERP 、CRM、 SCM、OA、財務、人力資源、物流管理等系統

l 關鍵內部業務應用系統

l 電子郵件應用系統

Access 以安全網關的形式，直接部署于受保護的應用系統前端，如下圖所示：

Access 重點解決應用安全的需求，要依賴于安全的網絡環境的支持，因此通常會將Access 部署在企業網絡的邊界防火墻后面，典型位置是邊界防火墻的非軍事化區 DMZ中。

本案例示意了商業銀行的網上銀行業務系統，使用Access 為遠程用戶的訪問和業務數據傳輸提供安全保護，網上銀行業務系統是典型的B/S 模式的電子商務應用系統。該商業銀行已經建立了 PKI 認證系統，為Access 和用戶簽發數字證書，并使用專門的USBKey 設備用于證書和密鑰的存儲。用戶登錄系統，在通過雙向證書身份認證和應用訪問控制之后，可以訪問網上銀行系統，所有網上銀行業務數據的傳輸均得到高強度的加密和完整性保護。

本案例示意了制造型企業使用 Access為遠程辦公和移動辦公的用戶提供遠程安全接入服務。

該企業建立了第三方的動態口令認證系統，對外以Radius 標準協議提供認證服務接口，該認證系統為每個遠程用戶都頒發了動態口令卡設備，用于進行登錄認證。Access 自己產生服務器證書。

遠程用戶首先通過因特網訪問 Access，對網關服務器的身份進行認證，并且在單向SSL 安全通道的保護下，根據動態口令卡臨時產生的登錄口令，提出登錄請求。Access 將用戶ID/登錄口令，轉發給Radius 服務器進行認證，通過用戶身份認證之后，對其進行權限檢查和訪問控制。

接下來，用戶就可以在 SSL 通道的安全保護之下，訪問其授權范圍內的企業服務資源，包括B/S 模式的Web 門戶和電子郵件系統，以及C/S 模式的OA、ERP、CRM 等內部信息管理系統。