国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　技術(shù)幫助用戶(hù)通過(guò)標(biāo)準(zhǔn)的Web就可以訪(fǎng)問(wèn)重要的應(yīng)用。這使得企業(yè)員工出差時(shí)不必再攜帶自己的筆記本電腦，僅僅通過(guò)一臺(tái)接入了Internet的計(jì)算機(jī)就能訪(fǎng)問(wèn)企業(yè)資源，這為企業(yè)提高了效率也帶來(lái)了方便。由于SSL VPN不像IPSec VPN那樣要購(gòu)買(mǎi)和維護(hù)遠(yuǎn)程客戶(hù)端或軟件，因而要比后者造價(jià)低很多。

　　SSL VPN位于企業(yè)網(wǎng)的邊緣，介于企業(yè)與遠(yuǎn)程用戶(hù)之間，控制二者的通信。不久前，美國(guó)《Network World》對(duì)市場(chǎng)上的七種SSL VPN網(wǎng)關(guān)進(jìn)行了測(cè)試，讀者在了解這類(lèi)產(chǎn)品特性的同時(shí)，一定程度上也可以感受到SSL VPN的優(yōu)點(diǎn)與局限。起碼，從目前來(lái)看，這類(lèi)產(chǎn)品在某些方面還有待完善。

　　應(yīng)用即是一切

　　掌握四個(gè)關(guān)鍵術(shù)語(yǔ)的含義有助于理解SSL VPN是如何實(shí)現(xiàn)的。即：代理(proxying)、應(yīng)用轉(zhuǎn)換(application translation)、端口轉(zhuǎn)發(fā)(port forwarding)和網(wǎng)絡(luò)擴(kuò)展(network extension)。

　　SSL VPN網(wǎng)關(guān)至少要實(shí)現(xiàn)一種功能：代理Web頁(yè)面。它將來(lái)自遠(yuǎn)端瀏覽器的頁(yè)面請(qǐng)求(采用HTTPS協(xié)議)轉(zhuǎn)發(fā)給，然后將服務(wù)器的響應(yīng)回傳給終端用戶(hù)。

　　對(duì)于非Web頁(yè)面的文件訪(fǎng)問(wèn)，往往要借助于應(yīng)用轉(zhuǎn)換。SSL VPN網(wǎng)關(guān)與企業(yè)網(wǎng)內(nèi)部的CIFS或服務(wù)器通信，將這些服務(wù)器對(duì)客戶(hù)端的響應(yīng)轉(zhuǎn)化為HTTPS協(xié)議和HTML格式發(fā)往客戶(hù)端，終端用戶(hù)感覺(jué)這些服務(wù)器就是一些基于Web的應(yīng)用。

　　在進(jìn)行代理和應(yīng)用轉(zhuǎn)換時(shí)，測(cè)試者發(fā)現(xiàn)，這些產(chǎn)品之間存在著很大的差別。有的產(chǎn)品所能支持的應(yīng)用轉(zhuǎn)換器和代理的數(shù)量非常少。有的則很好地支持了FTP、網(wǎng)絡(luò)文件系統(tǒng)和微軟文件服務(wù)器的應(yīng)用轉(zhuǎn)換。 用戶(hù)在選擇網(wǎng)關(guān)時(shí)，必須對(duì)自己所需要轉(zhuǎn)換的應(yīng)用有一個(gè)很明確的了解，并能夠根據(jù)它們的重要性給它們排個(gè)先后順序。

　　而有一些應(yīng)用，如微軟Outlook或MSN，它們的外觀(guān)會(huì)在轉(zhuǎn)化為基于Web界面的過(guò)程中丟失。此時(shí)要用到端口轉(zhuǎn)發(fā)技術(shù)。端口轉(zhuǎn)發(fā)用于端口定義明確的應(yīng)用。它需要在終端系統(tǒng)上運(yùn)行一個(gè)非常小的Java或ActiveX程序作為端口轉(zhuǎn)發(fā)器，監(jiān)聽(tīng)某個(gè)端口上的連接。當(dāng)數(shù)據(jù)包進(jìn)入這個(gè)端口時(shí)，它們通過(guò)SSL連接中的隧道被傳送到SSL VPN網(wǎng)關(guān)，SSL VPN網(wǎng)關(guān)解開(kāi)的數(shù)據(jù)包，將它們轉(zhuǎn)發(fā)給目的器。使用端口轉(zhuǎn)發(fā)器，需要終端用戶(hù)指向他希望運(yùn)行的本地應(yīng)用程序，而不必指向真正的應(yīng)用服務(wù)器。

　　一些SSL VPN網(wǎng)關(guān)還可以幫助企業(yè)實(shí)絡(luò)擴(kuò)展。它將終端用戶(hù)系統(tǒng)連接到企業(yè)網(wǎng)上，并根據(jù)網(wǎng)絡(luò)層信息(如目的IP地址和端口號(hào))進(jìn)行接入控制。雖然犧牲了高級(jí)別的安全性，卻也換來(lái)了復(fù)雜拓?fù)浣Y(jié)構(gòu)下網(wǎng)絡(luò)管理簡(jiǎn)單的好處。

　　互操作性

　　SSL VPN網(wǎng)關(guān)測(cè)評(píng)的一個(gè)目的就是，測(cè)試這些產(chǎn)品是否像廠(chǎng)商所聲稱(chēng)的那樣比IPSec VPN更易于建立和使用。測(cè)試者使用7種瀏覽器/組合對(duì)20種應(yīng)用進(jìn)行了測(cè)試。SSL VPN所倡導(dǎo)的是安全和易用，因此在評(píng)估時(shí)既要考慮終端用戶(hù)是否便于使用，也要關(guān)注一般水平的網(wǎng)絡(luò)或系統(tǒng)安全管理員的工作難度。

　　測(cè)試者從5種基本的Web應(yīng)用開(kāi)始進(jìn)行測(cè)試，其中有些還包括JavaScript。結(jié)果發(fā)現(xiàn)僅有一款參測(cè)產(chǎn)品支持7個(gè)平臺(tái)上的5種應(yīng)用，其他產(chǎn)品或多或少在某些應(yīng)用上出現(xiàn)了錯(cuò)誤。隨后測(cè)試了兩種典型的郵件應(yīng)用：Outlook Web Access 2003 和iNotes。第三項(xiàng)測(cè)試使用的是三種基于Web的應(yīng)用，其中包括Java和不同類(lèi)型的Flash。第四項(xiàng)測(cè)試評(píng)估的是這些設(shè)備如何處理FTP、和微軟文件服務(wù)器的應(yīng)用轉(zhuǎn)換。參測(cè)設(shè)備表現(xiàn)參差不齊。最后一項(xiàng)測(cè)試的是端口轉(zhuǎn)發(fā)和網(wǎng)絡(luò)擴(kuò)展能力。所有參測(cè)設(shè)備在不同平臺(tái)上都表現(xiàn)出了一定程度上的差異。

　　訪(fǎng)問(wèn)控制

　　作為安全設(shè)備，所有產(chǎn)品都能夠啟動(dòng)或禁止使用組對(duì)應(yīng)用進(jìn)行訪(fǎng)問(wèn)控制。有的產(chǎn)品允許網(wǎng)管把Web應(yīng)用定義為一系列的URL。一旦定義了應(yīng)用，用戶(hù)和組就允許或禁止訪(fǎng)問(wèn)該應(yīng)用。有的產(chǎn)品可以提供細(xì)粒度的控制，不僅做到“允許”或“禁止”，還包括你所能訪(fǎng)問(wèn)的是什么資源，以及你能對(duì)這些資源做些什么。

　　有些SSL VPN網(wǎng)關(guān)在訪(fǎng)問(wèn)控制方面的表現(xiàn)不令人滿(mǎn)意，比如控制對(duì)文件服務(wù)器的訪(fǎng)問(wèn)，它們一旦允許用戶(hù)共享Windows網(wǎng)絡(luò)，就不會(huì)再對(duì)用戶(hù)可以去的地方以及可以做的事情做進(jìn)一步的控制。與此成對(duì)照的是，有的產(chǎn)品則允許你把讀和寫(xiě)權(quán)限定義在單個(gè)文件的水平上。個(gè)別產(chǎn)品還提供了一個(gè)掃描程序，可以在用戶(hù)上載時(shí)掃描文件，看其是否染毒。

　　認(rèn)證集成

　　識(shí)別用戶(hù)并把它們歸到某個(gè)組里是部署SSL VPN至關(guān)重要的一部分。在對(duì)這些產(chǎn)品進(jìn)行測(cè)試的時(shí)候，測(cè)試者把LDAP和RADIUS作為認(rèn)證的工具，以期發(fā)現(xiàn)參測(cè)設(shè)備設(shè)計(jì)上的優(yōu)劣。

　　RADIUS服務(wù)器應(yīng)用非常普遍。不過(guò)，只有兩款產(chǎn)品可以極為靈活地從RADIUS服務(wù)器里獲得組信息。在其他產(chǎn)品里，RADIUS用戶(hù)不得不通過(guò)一些手段鏡像到組里去。

　　對(duì)于多數(shù)廠(chǎng)商而言，LDAP的支持與Active Directory的支持是同義的。有三種產(chǎn)品均提供極為通用的LDAP實(shí)現(xiàn)，從而可以在各種各樣的環(huán)境中運(yùn)行。

　　因?yàn)镾SL通常都是建立在證書(shū)基礎(chǔ)之上的，因此，大家希望這些產(chǎn)品在其對(duì)公共密鑰基礎(chǔ)設(shè)施(PKI)的支持方面能夠表現(xiàn)優(yōu)異。但只有一款產(chǎn)品支持用證書(shū)進(jìn)行認(rèn)證。

　　有的產(chǎn)品卻使用客戶(hù)端證書(shū)來(lái)進(jìn)行額外的認(rèn)證，在SSL VPN網(wǎng)關(guān)的配置里定義訪(fǎng)問(wèn)控制時(shí)，你可以區(qū)分擁有證書(shū)和沒(méi)有證書(shū)的用戶(hù)的不同。

　　報(bào)告與日志

　　作為安全設(shè)備，人們還希望SSL網(wǎng)關(guān)具有很強(qiáng)大的審計(jì)、日志和報(bào)告功能。希望看到有關(guān)每次修改配置的記錄，希望看到會(huì)話(huà)數(shù)據(jù)，以顯示用戶(hù)何時(shí)登錄、何時(shí)退出的，以及用戶(hù)消耗了多少資源。也希望看到交易統(tǒng)計(jì)數(shù)據(jù)。

　　測(cè)試者稱(chēng)有的產(chǎn)品甚至超出了期望值，它們除了擁有需要的所有記錄之外，還可以使用FTP、SMTP或者安全拷貝自動(dòng)地把其記錄上傳至服務(wù)器的某個(gè)地方。還可以選擇某些特殊的用戶(hù)和應(yīng)用，并提供日志水平。不論用戶(hù)是出于調(diào)試目的，還僅僅是為了更密切地觀(guān)察系統(tǒng)的某個(gè)部分，這都是一項(xiàng)很好的企業(yè)級(jí)性能。

　　有的產(chǎn)品不僅能顯示誰(shuí)登錄了，還能顯示系統(tǒng)本身是如何運(yùn)行的?？梢燥@示多個(gè)圖表，網(wǎng)管能夠清楚地知道CPU、內(nèi)存和I/O負(fù)載情況。

　　選擇產(chǎn)品

　　對(duì)用戶(hù)來(lái)說(shuō)要挑選一個(gè)明顯的最?lèi)?ài)比較困難，雖然有的產(chǎn)品表現(xiàn)一般，但是，多數(shù)產(chǎn)品是各有其優(yōu)勢(shì)。有的提供了一個(gè)成熟的應(yīng)用層，有的提供了范圍最為廣泛的應(yīng)用轉(zhuǎn)換功能。產(chǎn)品是否最終令人滿(mǎn)意，還取決于用戶(hù)對(duì)自己需求的了解程度，適合自己的是最好的。