遠(yuǎn)程訪問辦公室內(nèi)部網(wǎng)絡(luò)資源是各個(gè)公司的IT部門最頭疼的一件事情，而且這樣的頭疼由來已久了。

每天都有成千上萬的網(wǎng)絡(luò)管理員會(huì)收到大量要求解決他們網(wǎng)絡(luò)VPN 安裝設(shè)置問題的用戶電話。被搞得焦頭爛額的用戶在他們的機(jī)器上執(zhí)行了一些操作，使機(jī)器突然之間不能與他們的IPSec VPN連接了。是因?yàn)樗麄兺獬鏊诰频昊蚵灭^的NAT 或防火墻設(shè)置問題嗎？這些設(shè)置總是千變?nèi)f化，公司管理員們真的已經(jīng)厭倦了做這些費(fèi)力不討好的事。

對于改變防火墻和內(nèi)部結(jié)構(gòu)設(shè)置，為了與外部人員區(qū)分開，公司網(wǎng)絡(luò)管理員要花費(fèi)大量時(shí)間和精力給公司內(nèi)部員工進(jìn)行VPN 客戶端配置工作。如何讓外出公干的銷售人員成功實(shí)現(xiàn)安全遠(yuǎn)程內(nèi)部訪問著實(shí)讓網(wǎng)管人員費(fèi)了些心思，如何讓他們使用自己的電腦實(shí)現(xiàn)在家時(shí)查閱email 或訪問公司內(nèi)部重要數(shù)據(jù)呢？是否管理員要發(fā)給他們一張CD 并指導(dǎo)他們?nèi)绾芜M(jìn)行安裝設(shè)置呢？直到現(xiàn)在，許多公司的網(wǎng)管人員還在被這個(gè)問題糾纏著，最近就有一個(gè)網(wǎng)絡(luò)管理員這樣說：“要在員工家里的計(jì)算機(jī)上安裝VPN 客戶端必須做的工作實(shí)在是太多了，為此我們不得不再發(fā)給員工另外一臺(tái)配置好的電腦，讓它專門在家里使用。這樣做的花費(fèi)比指導(dǎo)員工自行安裝來得要少些?！?/P>

公司企業(yè)需要易于使用的安全遠(yuǎn)程訪問連接，看起來IPSec VPN 實(shí)在是太麻煩了！他們不能輕而一舉地給客戶或是合作伙伴配置讓他們安全訪問內(nèi)部數(shù)據(jù)。我們的最終目的就是在簡單易用的前提下提供高性能的安全遠(yuǎn)程數(shù)據(jù)訪問能力。公司該如何應(yīng)對這種情況呢？答案到底在哪里？

SSL VPN 之RAP“遙訪門”

一、 SSL VPN的技術(shù)演變

演化過程

隨著應(yīng)用程序從C/S 結(jié)構(gòu)向Web 的遷移，企業(yè)必須面對一個(gè)新的挑戰(zhàn)，就是如何在不影響最終用戶使用的前提下實(shí)現(xiàn)在任何地方靈活訪問這些應(yīng)用程序。在最近20 年間，用戶和管理層聽到因?yàn)榘踩虿荒軌蛟诠疽酝庠L問內(nèi)部應(yīng)用程序的聲音不絕于耳。在70 年代，人們對遠(yuǎn)程訪問概念幾乎等同于從遠(yuǎn)端的辦公地點(diǎn)訪問應(yīng)用程序，這需要設(shè)置非常昂貴的WAN 網(wǎng)并租用連接線路。

到了80 年代，一小部分用戶可以使用調(diào)制解調(diào)器直接撥號(hào)到modem banks 或他們自己的PC 上，但是使用費(fèi)用相當(dāng)高昂只能有非常有限的小部分人使用。而且在那時(shí)候，在家使用個(gè)人電腦才剛剛成為主流，遠(yuǎn)程訪問需求還不是很大。隨著90 年代的來臨， 在家用PC 盛行的同時(shí)，移動(dòng)電腦開始顯現(xiàn)，在家辦公也開始興起。公司管理者和銷售員們開始在外出出差的時(shí)候攜帶他們的筆記本電腦，他們需要實(shí)時(shí)訪問公司內(nèi)部信息，設(shè)立IPSec VPN 可以保護(hù)用戶遠(yuǎn)程訪問。它可以提供足夠的安全性，但是問題是安裝和維護(hù)相當(dāng)麻煩。任何在PC 上的改變對VPN 而言可能都是一場災(zāi)難，最終用戶不得不硬著頭皮忍受這些變化，因?yàn)樗麄儎e無選擇。即使是現(xiàn)在，你也很難找到一個(gè)用戶，他的VPN 一點(diǎn)兒問題也沒有。從管理員的角度來講，使用IPSec VPN 不僅僅意味著要對客

戶端進(jìn)行安裝和調(diào)試，而且還需要調(diào)整整個(gè)網(wǎng)絡(luò)的結(jié)構(gòu)。在數(shù)據(jù)包進(jìn)行傳輸時(shí)NAT 不能完全工作正常，有時(shí)候會(huì)出現(xiàn)連接斷開的現(xiàn)象，改變防火墻設(shè)置可以解決這一問題但是必須要做大量的管理工作。如果IT 管理部門可以完全控制從后端到客戶的網(wǎng)絡(luò)結(jié)構(gòu)，其管理復(fù)雜性可以忍受；當(dāng)IT 管理部門不能完全控制時(shí)，管理復(fù)雜性就要成倍增加。這種情況同樣發(fā)生在本地NAT 和防火墻對合作伙伴，在家里或在酒店。

如今， 公司開始把眼光放在他們是否選擇了合適的安全遠(yuǎn)程訪問系統(tǒng)上。使用IPSec VPN 和租用WAN 線路對于不經(jīng)常更改網(wǎng)絡(luò)結(jié)構(gòu)的用戶來說是非常好的選擇。如果情況并非如此，用戶就需要另做選擇。現(xiàn)在，已經(jīng)有公司開始考慮使用架構(gòu)在因特網(wǎng)上的SSL 協(xié)議，在不破壞已有網(wǎng)絡(luò)布局的前提下進(jìn)行安全遠(yuǎn)程訪問。SSL 是通過因特網(wǎng)進(jìn)行加密傳輸保護(hù)一種常用方法，許多公司對他們的內(nèi)部網(wǎng)和外部網(wǎng)執(zhí)行了SSL 設(shè)置，通過SSL VPN 進(jìn)行訪問控制。

SSL VPN 的定義

SSL VPN 的發(fā)展對現(xiàn)有SSL 應(yīng)用是一個(gè)補(bǔ)充，它增加了公司執(zhí)行訪問控制和安全的級(jí)別和能力。

SSL VPN 還對那些因?yàn)槭褂眠h(yuǎn)程訪問應(yīng)用系統(tǒng)而降低公司安全性的企業(yè)有所幫助。從屬性上講，撥號(hào)可以保證相對安全性，因?yàn)樘囟ǖ碾娫捑€可以確認(rèn)用戶的身份?？蛻舳?服務(wù)器和舊版本的VPN 自身也擁有一定級(jí)別的安全保障能力，因?yàn)榭蛻舳塑浖切枰惭b的。但是，以這樣的安全策略和屬性， 不可否認(rèn)，黑客入侵、安全威脅、身份欺詐呈增長趨勢?，F(xiàn)在，使用SSL VPN，安全特性已經(jīng)發(fā)生了改變，人們可以通過瀏覽器訪問應(yīng)用程序。

如果把SSL 和VPN 兩個(gè)概念分開，大多數(shù)人都清楚他們的含義，但是有多少人知道他們合在一起的意思呢？從學(xué)術(shù)和商業(yè)的角度來講，因?yàn)樗麄兇淼暮x有所不同，因而常常會(huì)被曲解。

SSL 通過加密方式保護(hù)在互聯(lián)網(wǎng)上傳輸?shù)臄?shù)據(jù)安全性，它可以自動(dòng)應(yīng)用在每一個(gè)瀏覽器上。這里，需要提供一個(gè)數(shù)字證書給Web 服務(wù)器，這個(gè)數(shù)字證書需要付費(fèi)購買，相對而言，給應(yīng)用程序設(shè)立SSL 服務(wù)是比較容易的。如果應(yīng)用程序本身不支持SSL， 那么就需要改變一些鏈接，這只與應(yīng)用程序有關(guān)。對于出現(xiàn)較大信息量的情況，建議給SSL 進(jìn)行加速以避免流量瓶頸。通常SSL 加速裝置為熱插拔裝置。

VPN 則主要應(yīng)用于虛擬連接網(wǎng)絡(luò)，它可以確保數(shù)據(jù)的機(jī)密性并且具有一定的訪問控制功能。過去，VPN 總是和IPSec 聯(lián)系在一起，因?yàn)樗荲PN 加密信息實(shí)際用到的協(xié)議。IPSec 運(yùn)行于網(wǎng)絡(luò)層，IPSec VPN 則多用于連接兩個(gè)網(wǎng)絡(luò)或點(diǎn)到點(diǎn)之間的連接。

以上我們簡要介紹了SSL和VPN，現(xiàn)在我們要了解一下SSL和VPN是怎樣結(jié)合在一起的？大量理論可以證明SSL的獨(dú)特性以及VPN所能提供的安全遠(yuǎn)程訪問控制能力。到目前為止，SSL VPN是解決遠(yuǎn)程用戶訪問敏感公司數(shù)據(jù)最簡單最安全的解決技術(shù)。與復(fù)雜的IPSec VPN相比，SSL通過簡單易用的方法實(shí)現(xiàn)信息遠(yuǎn)程連通。任何安裝瀏覽器的機(jī)器都可以使用SSL VPN， 這是因?yàn)镾SL 內(nèi)嵌在瀏覽器中，它不需要象傳統(tǒng)IPSec VPN一樣必須為每一臺(tái)客戶機(jī)安裝客戶端軟件。這一點(diǎn)對于擁有大量機(jī)器（包括家用機(jī)，工作機(jī)和客戶機(jī)等等）需要與公司機(jī)密信息相連接的用戶至關(guān)重要。人們普遍認(rèn)為它將成為安全遠(yuǎn)程訪問的新生代。

什么是SSL VPN？

很多因素都可以證明SSL VPN 是解決遠(yuǎn)程訪問問題的救星。隨著越來越多的公司掙扎于如何權(quán)衡訪問控制、安全和用戶易用， SSL VPN 已經(jīng)給出了最好的答案。在最近Infonetics 的一份調(diào)查報(bào)告中，他們指出： “到2003 年， 59% 的移動(dòng)用戶會(huì)使用VPN， 到2005 年，這個(gè)數(shù)字將上升到74%；增加的部分大多來自SSL VPN， 因?yàn)樗梢员苊饪蛻舳税惭b和管理所帶來的麻煩。" Gartner 副總裁John Girard 在最近的一份研究報(bào)告中為SSL VPN 做出了精彩評(píng)述：” 作為傳統(tǒng)VPN 的升級(jí)，那些希望使用更加簡單更加靈活的方式部署他們的安全遠(yuǎn)程訪問系統(tǒng)的企業(yè)應(yīng)該考慮使用SSL VPN 作為一項(xiàng)新的投資。現(xiàn)在，許多企業(yè)已經(jīng)開始使用這項(xiàng)基于SSL 技術(shù)，簡單、易用而且不需要高額費(fèi)用的VPN 解決方案部署他們的系統(tǒng)了?！?/P>

SSL VPN 的價(jià)值包括許多方面，最主要的是提高訪問控制能力，安全易用以及高額的投資回報(bào)率。

訪問控制SSL VPN 對訪問控制更加有效，因?yàn)閷?shí)施了用戶集中化管理。所有的遠(yuǎn)程訪問都是通過SSL VPN 控制臺(tái)進(jìn)行控管，這樣可以更加有效的監(jiān)控用戶使用權(quán)限，這些用戶可能是公司內(nèi)部員工，合作伙伴或客戶。所有訪問被限制在應(yīng)用層，而且可以將權(quán)限細(xì)分到一個(gè)URL 或一個(gè)文件。

而使用IPSec VPN， 安全權(quán)限只局限到網(wǎng)絡(luò)。

二、 SSL VPN 之RAP“遙訪門”

Remote Access Pass （遙訪門系統(tǒng)）

安全的遠(yuǎn)程訪問解決方案

介紹

Remote Access Pass （遙訪門系統(tǒng)） 能夠?qū)崿F(xiàn)基于瀏覽器來安全地訪問企業(yè)局域網(wǎng)內(nèi)部的任何一臺(tái)Windows PC.鍵盤、鼠標(biāo)以及顯示界面的變化被大比例的壓縮并加密后傳輸。使用寬帶的用戶能夠逼真地得到“身臨其境”式的體驗(yàn)，即使通過撥號(hào)連接，用戶對于它那令人贊嘆的優(yōu)異性能也會(huì)感到滿意。

Remote Access Pass （遙訪門系統(tǒng)） 包括以下功能：

遠(yuǎn)程控制：基于任何一個(gè)瀏覽器都可以運(yùn)行自適應(yīng)程序，通過它就能夠交互訪問企業(yè)內(nèi)網(wǎng)中的桌面應(yīng)用（哪怕這個(gè)應(yīng)用不是基于WEB的）。

文件傳輸：在計(jì)算機(jī)之間快速地傳輸文件、文件夾和共享目錄資源，而且非常簡便易用。上傳下載文件速度等同于FTP.

遠(yuǎn)程開機(jī)：用戶可以遠(yuǎn)程喚醒位于企業(yè)內(nèi)網(wǎng)中自己的主機(jī)。

Java JSP： 動(dòng)態(tài)運(yùn)行在任何遠(yuǎn)程終端上的JVM網(wǎng)頁。

Java Applet：能夠運(yùn)行在任何遠(yuǎn)程終端上的遙控訪問連接，遠(yuǎn)程用戶端支持幾乎所有的操作系統(tǒng)，包括Windows、Mac或者Unix PC.

Remote Access Pass （遙訪門系統(tǒng)） 的整體結(jié)構(gòu)由以下五部分組成：

企業(yè)內(nèi)網(wǎng)主機(jī)：處于內(nèi)網(wǎng)中的目標(biāo)機(jī)控制權(quán)屬于用戶自己，由已被授權(quán)的用戶注冊目標(biāo)計(jì)算機(jī)。在注冊過程中，將由遙訪門基于RSA算法產(chǎn)生證書給目標(biāo)計(jì)算機(jī)，連同目標(biāo)計(jì)算機(jī)的私鑰存于目標(biāo)計(jì)算機(jī)中，以認(rèn)證目標(biāo)計(jì)算機(jī)和用戶的所屬關(guān)系及建立SSL安全通道。

遠(yuǎn)程終端：在用戶端，工作人員需要打開瀏覽器，訪問企業(yè)的公共IP地址，輸入用戶名和密碼，然后點(diǎn)擊所要連接的目標(biāo)主機(jī)名。遠(yuǎn)程用戶端會(huì)自動(dòng)向App模塊發(fā)出一個(gè)基于SSL協(xié)議的加密請求。

App模塊：偵聽外來的連接請求，并把他們映射給注冊的目標(biāo)機(jī)。

通過遠(yuǎn)程瀏覽器動(dòng)態(tài)運(yùn)行JSP與該模塊中的Java servlet的對應(yīng)交互， 實(shí)現(xiàn)認(rèn)證及文件的傳輸。 同時(shí)，當(dāng)一個(gè)遠(yuǎn)程遙控連接完成，App會(huì)分配一個(gè)session任務(wù)給Relay.此時(shí)，遠(yuǎn)程終端的Java Applet程序自動(dòng)裝載運(yùn)行，任何一個(gè)細(xì)小或簡短的事件都會(huì)被精確地執(zhí)行。

Relay中繼：負(fù)責(zé)在遠(yuǎn)程終端和內(nèi)網(wǎng)主機(jī)之間傳送高壓縮比的加密數(shù)據(jù)包。

Admin系統(tǒng)管理平臺(tái)：可以使企業(yè)管理員輕松地完成增減用戶，設(shè)定帳號(hào)臨時(shí)失效或有效，刪除目標(biāo)主機(jī)等工作。

任何一個(gè)企業(yè)最關(guān)心的都是如何保持企業(yè)網(wǎng)絡(luò)的完整性和敏感數(shù)據(jù)的機(jī)密性。基于Internet來向移動(dòng)工作者擴(kuò)展企業(yè)的網(wǎng)絡(luò)應(yīng)用時(shí)，安全是最關(guān)鍵的要素。

Remote Access Pass （遙訪門系統(tǒng)） 正是基于密鑰安全措施來得以建立和發(fā)展的，正如本文所描述的那樣。

徹底的安全性

Helm Systems提供的Remote Access Pass遙訪門系統(tǒng)是一個(gè)非常強(qiáng)大、堅(jiān)固和安全的系統(tǒng)。

安全的設(shè)備

Remote Access Pass （遙訪門系統(tǒng)） 作為硬件工作設(shè)備，對于未授權(quán)的普通人員是無法對其進(jìn)行控制和管理的，甚至它連顯示屏幕都沒有提供。只有企業(yè)的系統(tǒng)管理員才能夠通過登錄來對其進(jìn)行管理設(shè)置，而且所有的操作都是非常簡單和容易的。

安全的應(yīng)用平臺(tái)

Remote Access Pass遙訪門系統(tǒng)運(yùn)行在堅(jiān)固的、高品質(zhì)的、可靠的Linux應(yīng)用平臺(tái)之上。所有的遙訪門系統(tǒng)都通過了突破測試，它們時(shí)刻監(jiān)察著任何可疑的行為并做出詳細(xì)的系統(tǒng)記錄。

可靠的、伸縮性的系統(tǒng)結(jié)構(gòu)

整個(gè)系統(tǒng)結(jié)構(gòu)設(shè)計(jì)是可靠而又安全的，支持集群及冗余功能保證了系統(tǒng)的高實(shí)用性和伸縮性。

大量的圖像壓縮和加/解密工作分布在遠(yuǎn)程終端和內(nèi)網(wǎng)主機(jī)上，而遙訪門系統(tǒng)的核心模塊則主要負(fù)責(zé)在連接之初對用戶和微機(jī)雙方的身份進(jìn)行驗(yàn)證、在遠(yuǎn)程終端和內(nèi)網(wǎng)主機(jī)建立連接后的交互會(huì)話過程中，不斷對雙方身份的真實(shí)性進(jìn)行再次驗(yàn)證以及抵御外界的非法侵入。這樣就非常有效地解決了常見的網(wǎng)絡(luò)瓶頸問題，而使系統(tǒng)能夠得到最佳性能。

保護(hù)用戶的機(jī)密

Helm Systems知道，任何一個(gè)企業(yè)對于網(wǎng)絡(luò)建設(shè)最關(guān)心的是安全性。Remote Access Pass （遙訪門系統(tǒng)）

提供強(qiáng)大的安全保密策略來保證個(gè)人用戶或企業(yè)的信息不被泄露。

訪問用戶信息企業(yè)的系統(tǒng)管理員是唯一能夠管理控制Remote Access Pass （遙訪門系統(tǒng)） 的人，當(dāng)然，這是在被允許的受限范圍內(nèi)。為了進(jìn)行更好地技術(shù)服務(wù)，他們要進(jìn)行一些大家都知道的必需的基本工作。

Remote Access Pass （遙訪門系統(tǒng)） 的session記錄將被企業(yè)用來進(jìn)一步提高網(wǎng)絡(luò)服務(wù)的質(zhì)量和進(jìn)行性能分析。遙訪門系統(tǒng)記錄了交互通訊中的域名、瀏覽器和MIME類型。當(dāng)然，這些數(shù)據(jù)是集中體現(xiàn)和記錄的，它不會(huì)同任何的個(gè)人或企業(yè)帳號(hào)發(fā)生關(guān)聯(lián)。

確保傳輸?shù)谋Ｃ苄?/P>

使用Remote Access Pass （遙訪門系統(tǒng)），系統(tǒng)管理員能夠訪問到企業(yè)內(nèi)帳號(hào)的使用摘要，而不會(huì)訪問到某個(gè)用戶的遠(yuǎn)程聯(lián)接中去。事實(shí)上，盡管Remote Access Pass （遙訪門系統(tǒng)） 的Relay中繼承擔(dān)著遠(yuǎn)程終端與內(nèi)網(wǎng)主機(jī)之間的交互傳輸工作，但這些信息包都是加密傳輸?shù)模魏稳硕紵o法破解傳輸信息。除了使用者之外誰也無法擁有產(chǎn)生密鑰的計(jì)算機(jī)遙控密碼，因此每個(gè)人建立的session活動(dòng)都不會(huì)受到任何的安全威脅。

安全的管理策略

Remote Access Pass （遙訪門系統(tǒng)） 為企業(yè)的系統(tǒng)管理員提供一個(gè)安全的系統(tǒng)管理平臺(tái)，通過它可以控制管理那些合法職員的訪問和阻止未授權(quán)人員的連接。

安全的操作界面

在線的系統(tǒng)管理平臺(tái)無須安裝任何客戶端軟件，只需通過一臺(tái)內(nèi)網(wǎng)計(jì)算機(jī)采用瀏覽器就能實(shí)現(xiàn)管理。一旦企業(yè)安裝部署了Remote Access Pass （遙訪門系統(tǒng)） ，該企業(yè)的系統(tǒng)管理員會(huì)收到詳細(xì)的使用說明。

Remote Access Pass （遙訪門系統(tǒng)） 基于X.509數(shù)字簽名體系進(jìn)行驗(yàn)證，管理員身份還需通過用戶名/密碼的再次認(rèn)證。建立連接后，所有的傳輸管理都是基于加密的SSL協(xié)議來進(jìn)行，以此保護(hù)企業(yè)和個(gè)人機(jī)密不被泄露和修改。

添加新用戶

只有系統(tǒng)管理員是唯一被授權(quán)可添加新用戶的人，管理員通過系統(tǒng)管理平臺(tái)可以輕松地進(jìn)行增加用戶的操作。系統(tǒng)會(huì)向每個(gè)新用戶發(fā)送郵件，郵件信息中包含了暫時(shí)的隨意密碼。之后，用戶自行更改密碼。

該密碼通過MD5等一系列不可逆算法變換成新的大數(shù)密碼存入數(shù)據(jù)庫，以便認(rèn)證。這種方式非常適合企業(yè)進(jìn)行大范圍的網(wǎng)絡(luò)部署，而又保持了嚴(yán)謹(jǐn)?shù)钠髽I(yè)認(rèn)證管理。

停用和刪除用戶帳號(hào)系統(tǒng)管理平臺(tái)還可被用來檢查個(gè)人或群組的活動(dòng)狀態(tài)，可以臨時(shí)地停用或永久地刪除用戶帳號(hào)。對于受到影響的用戶，系統(tǒng)會(huì)自動(dòng)向他們發(fā)送郵件來說明帳號(hào)被停用或刪除的信息。在其后，這些帳號(hào)的用戶，他們的訪問要求都會(huì)遭到拒絕。

安全的安裝服務(wù)

Remote Access Pass （遙訪門系統(tǒng)） 的軟件安裝和升級(jí)程序都是從企業(yè)安全的角度來考慮和設(shè)計(jì)的。

數(shù)字簽名的應(yīng)用軟件

在內(nèi)網(wǎng)中的用戶通過“注冊計(jì)算機(jī)”操作來進(jìn)行主機(jī)服務(wù)程序的自動(dòng)下載。在注冊過程中，將由遙訪門基于RSA算法產(chǎn)生證書給目標(biāo)計(jì)算機(jī)，連同目標(biāo)計(jì)算機(jī)的私鑰存于目標(biāo)計(jì)算機(jī)中，以認(rèn)證目標(biāo)計(jì)算機(jī)和用戶的所屬關(guān)系及建立SSL安全通道。內(nèi)網(wǎng)主機(jī)的注冊程序是必須的，而客戶端則不需要安裝任何軟件。

所有Remote Access Pass （遙訪門系統(tǒng)） 的應(yīng)用程序都是經(jīng)數(shù)字簽名的，而且它們會(huì)保持自動(dòng)更新和升級(jí)。所有的安裝和升級(jí)過程都要經(jīng)過簽名驗(yàn)證，這是為了防止那些偽裝成合法Remote Access Pass （遙訪門系統(tǒng)） 軟件的“特洛伊木馬”程序。

在客戶端沒有任何安全參數(shù)的設(shè)定，系統(tǒng)只驗(yàn)證用戶的登錄名、帳號(hào)密碼和計(jì)算機(jī)遙控密碼。此舉是為了防止用戶發(fā)生錯(cuò)誤的參數(shù)設(shè)置，因此，每個(gè)用戶都要安全地保護(hù)自己的密碼。

防火墻的兼容性

Remote Access Pass （遙訪門系統(tǒng)） 具備防火墻友好性。它僅利用HTTP/TCP的80、443端口實(shí)現(xiàn)訪問。因?yàn)榇蠖鄶?shù)的防火墻都是開放了這些端口與互聯(lián)網(wǎng)進(jìn)行通訊。使用遙訪門系統(tǒng)進(jìn)行遠(yuǎn)程訪問，您就不需要設(shè)置旁路訪問或?qū)偣尽⒎止尽⑦h(yuǎn)程辦公場所的防火墻設(shè)置進(jìn)行任何改變。

許多其他的解決方案都要求目標(biāo)主機(jī)具有公用的IP地址。而Remote Access Pass遙訪門系統(tǒng)則不同，內(nèi)網(wǎng)主機(jī)會(huì)以固定的時(shí)間間隔，向App模塊不斷發(fā)送“Upcall”命令以檢查連接請求。這就使得遙訪門系統(tǒng)同各種應(yīng)用代理的防火墻、動(dòng)態(tài)IP、NAT/PAT設(shè)置完全兼容。因此，企業(yè)能夠非常容易和簡單得對Remote Access Pass（遙訪門系統(tǒng)）進(jìn)行控制管理。

保護(hù)計(jì)算機(jī)訪問

企業(yè)內(nèi)網(wǎng)中的目標(biāo)主機(jī)必須進(jìn)行遙訪門系統(tǒng)注冊才能夠建立遠(yuǎn)程連接。注冊程序必須在目標(biāo)主機(jī)前物理地進(jìn)行，它不支持遠(yuǎn)程部署，這樣也防止了“安置”特洛伊程序的可能。

只有已被授權(quán)的用戶才能對自己的微機(jī)進(jìn)行注冊。作為計(jì)算機(jī)的擁有者，他必須以授權(quán)的用戶名、臨時(shí)密碼登錄，然后開始進(jìn)行自身微機(jī)的管理工作，包括注冊目標(biāo)主機(jī)、修改臨時(shí)密碼和建立計(jì)算機(jī)遙控密碼。

保護(hù)機(jī)密數(shù)據(jù)

Remote Access Pass （遙訪門系統(tǒng)） 將數(shù)據(jù)形成高壓縮比的加密包來傳輸，它能保證數(shù)據(jù)的安全性而并不以犧牲性能為代價(jià)。所有在客戶端和目標(biāo)機(jī)之間的傳輸應(yīng)用，例如屏幕圖象、文件傳輸、鍵盤/鼠標(biāo)輸入等，都是基于安全的SSL協(xié)議的加密保護(hù)。

當(dāng)每一次合法聯(lián)接最初建立之時(shí)，遙訪門系統(tǒng)會(huì)為其分配一個(gè)一次性的隨機(jī)32位數(shù)。通過這個(gè)隨機(jī)數(shù)系統(tǒng)可以確定當(dāng)前連接的唯一性，這樣就防止了黑客采用重放技術(shù)進(jìn)行攻擊或加入合法連接的可能。

對于第三方攻擊者來說，加密的二進(jìn)制數(shù)據(jù)使得通過傳輸分析來修改信息包或猜測加密密鑰的工作變得極度困難。

受嚴(yán)格驗(yàn)證保護(hù)的訪問

Remote Access Pass （遙訪門系統(tǒng)） 的機(jī)密性是建立在嚴(yán)格的、強(qiáng)大的驗(yàn)證基礎(chǔ)之上的。Remote Access Pass （遙訪門系統(tǒng)） 的每部分，包括App模塊、Admin管理平臺(tái)、Relay中繼、遠(yuǎn)程終端和內(nèi)網(wǎng)主機(jī)都會(huì)得到同樣嚴(yán)格地驗(yàn)證，只有驗(yàn)證通過才能夠加入到安全的企業(yè)資源中來。

長串組合的復(fù)雜密碼Remote Access Pass遙訪門系統(tǒng)要求每個(gè)被設(shè)定的密碼可以包含字母和數(shù)字，并支持大小寫敏感。密碼設(shè)置的越長、越復(fù)雜，就會(huì)得到越強(qiáng)壯地保護(hù)。

多級(jí)的嵌套密碼

用戶在輸入登錄密碼時(shí)，遙訪門系統(tǒng)采用了密寫技術(shù)來保護(hù)敏感數(shù)據(jù)，輸入的密碼都采用了密文顯示。

Remote Access Pass （遙訪門系統(tǒng)） 使用多重嵌套密碼以保證其安全性。APP模塊使用數(shù)字簽名進(jìn)行自身驗(yàn)證，對于所有的Java程序和系統(tǒng)軟件它都會(huì)進(jìn)行數(shù)字簽名。遠(yuǎn)程用戶的驗(yàn)證通過基于MD5算法加密的用戶名/密碼登錄來實(shí)現(xiàn)。當(dāng)內(nèi)網(wǎng)主機(jī)向App注冊時(shí)，將由遙訪門基于RSA算法產(chǎn)生證書給目標(biāo)計(jì)算機(jī)，連同目標(biāo)計(jì)算機(jī)的私鑰存于目標(biāo)計(jì)算機(jī)中，以認(rèn)證目標(biāo)計(jì)算機(jī)和用戶的所屬關(guān)系及建立SSL安全通道。

端到端的驗(yàn)證

當(dāng)遠(yuǎn)程終端同內(nèi)網(wǎng)主機(jī)建立連接時(shí)，他們同樣使用用戶二次輸入的密碼（計(jì)算機(jī)遙控密碼）對保護(hù)數(shù)據(jù)的密鑰來進(jìn)行加密交換， 即使用遙控密碼對這個(gè)密鑰碼進(jìn)行數(shù)字簽名。達(dá)到遠(yuǎn)程終端和內(nèi)網(wǎng)主機(jī)間數(shù)據(jù)包的加解密。該密鑰保護(hù)基于Trib-DES算法的簽名信息來進(jìn)行相互的認(rèn)證。

只要用戶安全地保護(hù)他的密碼，那么就只有他本人才能夠建立與內(nèi)網(wǎng)主機(jī)的連接。

休止超時(shí)設(shè)定

遠(yuǎn)程訪問者可能會(huì)沒有Logout就離開了公用的PC或是無人管理的家用PC.Remote Access Pass（遙訪門系統(tǒng)）會(huì)采用休止?fàn)顟B(tài)的超時(shí)設(shè)定功能以減輕來自這方面的危險(xiǎn)。如果用戶的Session保持15分鐘的休止?fàn)顟B(tài)，遠(yuǎn)程用戶帳號(hào)將自動(dòng)從Remote Access Pass （遙訪門系統(tǒng)） 退出登錄。

遠(yuǎn)程終端不留痕跡

遠(yuǎn)程終端僅使用瀏覽器及動(dòng)態(tài)運(yùn)行Java JVM， 當(dāng)用戶退出該應(yīng)用或關(guān)閉瀏覽器后， Session將被清除， 在遠(yuǎn)程終端不會(huì)留下任何用戶痕跡。

系統(tǒng)級(jí)的訪問控制

Remote Access Pass （遙訪門系統(tǒng)） 提供系統(tǒng)級(jí)的遠(yuǎn)程訪問控制技術(shù)，能夠使用戶更有效的控制企業(yè)局域網(wǎng)中的資源。使用遙訪門系統(tǒng)的遠(yuǎn)程用戶輸入他的Windows登錄密碼，而后他就取得了企業(yè)為其授權(quán)的文件級(jí)、擁有者和域級(jí)許可權(quán)限。換句話說，遠(yuǎn)程用戶并沒有另辟奚徑來訪問企業(yè)內(nèi)部網(wǎng)，他們只能進(jìn)入到專有的桌面應(yīng)用，而且是在現(xiàn)有局域網(wǎng)的管理控制之內(nèi)的。

為公司提供監(jiān)控訪問

通過Remote Access Pass （遙訪門系統(tǒng)） 的系統(tǒng)管理平臺(tái)，企業(yè)可以記錄連接情況和維護(hù)session日志，這都是出于安全、統(tǒng)計(jì)和審核的目的。

企業(yè)的系統(tǒng)管理員能夠查看活動(dòng)中和歷史的session記錄。包括用戶名、主機(jī)名、客戶端的IP地址、session的開始/結(jié)束時(shí)間、session使用時(shí)間以及session的類型。

同樣也能夠通過遙訪門系統(tǒng)的Admin管理平臺(tái)，來統(tǒng)計(jì)各種所需的數(shù)據(jù)，包括用戶數(shù)量、session統(tǒng)計(jì)、session接入時(shí)間等。標(biāo)準(zhǔn)的統(tǒng)計(jì)報(bào)告可用來進(jìn)行“非常規(guī)訪問”模式的分析，包括例外的長時(shí)間session、意外的客戶端IP地址、異常關(guān)閉的代碼等。這些信息對于進(jìn)行故障診斷、排除問題是非常有益處和幫助的。

系統(tǒng)管理員對于這些信息的訪問都是在限制范圍之內(nèi)的，他們只會(huì)進(jìn)行一些必要的基礎(chǔ)工作。

遠(yuǎn)程內(nèi)網(wǎng)WEB服務(wù)器訪問

總結(jié)

SSL VPN之RAP的作用：提供安全的遠(yuǎn)程訪問服務(wù)并以實(shí)際行動(dòng)來保護(hù)用戶的機(jī)密；不斷完善企業(yè)級(jí)結(jié)構(gòu)的安全和遠(yuǎn)程訪問控制工具；采用多級(jí)認(rèn)證和先進(jìn)的加密技術(shù)來保護(hù)交互式的遠(yuǎn)程session的安全性。其最終結(jié)果就是：Remote Access Pass （“遙訪門”系統(tǒng)） 是強(qiáng)大的、安全可靠的遠(yuǎn)程訪問解決方案。

國外SSL VPN的技術(shù)優(yōu)勢、劣勢

1、 大部分國外產(chǎn)品經(jīng)過國外市場的考驗(yàn)，基本上是成熟產(chǎn)品，但是不乏有一些為了趕上SSL VPN這個(gè)時(shí)髦概念的偽SSL VPN產(chǎn)品

2、 國外的SSL VPN除了whale communications外其他的產(chǎn)品都是采用的反向代理技術(shù)來處理內(nèi)部的HTML網(wǎng)頁，所以導(dǎo)致很多特殊的應(yīng)用不能支持

3、 很多國外產(chǎn)品并不是嚴(yán)格的無客戶端的產(chǎn)品，在很多實(shí)際應(yīng)用的時(shí)候采用了動(dòng)態(tài)下載插件或者ActiceX等方式，帶來不安全隱患，而且技術(shù)上也比較簡單，容易實(shí)現(xiàn)

4、 國外SSL VPN 通常不支持遠(yuǎn)程桌面的訪問

5、 國外的SSL VPN產(chǎn)品目前來講，支持的應(yīng)用比較豐富，比如郵件、lotus 、exhange、ftp、telnet、等應(yīng)用目前已經(jīng)支持