×××的分类

 

采用加密技术的 ××× 有两种： IPsec ××× 和 SSL ×××。IPsec ×××比SSL ×××出现得早，因为协议简单、实现容易，能够知足通常状况下的×××互连要求，IPsec ×××获得了必定的应用和推广。可是，在使用IPsec ×××的过程当中，也遇到了一些问题：

· 网络互连性问题。

在经过NAT（地址转换）上网的环境中，IPsec报文的IP头会被出口路由器修改，从而破坏了报文的完整性，在对端的IPsec网关接收时会被丢弃。这样采用NAT方式上网的用户链接IPsec ×××就会遇到问题。虽而后来有了相应的解决办法“NAT穿越”，可是增长了使用的复杂性。

另外，在创建IPsec链接之初须要经过IKE协议协商密钥，IKE协议使用UDP报文进行通信。若是用户上网的线路途径防火墙，而防火墙配置不当，没有容许IKE报文经过的话，用户创建IPsec ×××链接仍然会遇到问题。

总之，因为用户上网方式多种多样，上网的环境也比较复杂，IPsec ×××在实际应用中会遇到一些网络互连方面的问题。

·  客户端维护问题

对于经过电脑直接远程访问内网的用户，部署IPsec ×××须要预先安装一个客户端软件。因为如今电脑终端的类型有不少种，如台式机、笔记本、PDA、手机等；运行的操做系统也不少：有Windows 98/2000/XP/Vista/CE，Unix，Linux，Palm OS等，IPsec ×××须要为每种运行环境准备一种×××客户端，安装维护起来比较麻烦。另外，IPsec ×××的客户端通常工做在IP层，涉及到对操做系统核心的操做，容易产生异常，带来系统的不稳定。因此IPsec ×××客户端的安装维护是个×××烦。

此外，面对愈来愈多的安全漏洞和******，如何有效地阻止远程用户的非法***成为建设×××系统不容忽视的重要问题。这一点涉及到如下几方面的技术问题：

·  身份认证

如何验证用户的身份？如何保证标识用户身份的私密信息在网络传输过程当中不被窃取？如何保证用户身份不会被冒用？

· 访问控制

即便远程用户的身份是真实的，考虑到远程主机的不可控，远程主机上可能存在各类潜藏的未知危险，对远程用户应当严格地、精细地限制访问权限，以免因为非法***而形成的系统损失。

· 安全评估

为了尽量减小远程访问所带来的风险，一种好的做法就是要求远程主机足够安全。这就须要对远程主机的安全状态进行评估。能够检查远程主机上是否安装了符合公司安全标准的操做系统，并及时打上了补丁；远程主机上是否安装并运行了合适的杀毒软件，病毒库是否更新；如此等等。只有在远程主机足够安全的状况下，咱们才容许它远程接入企业的网络。

· 动态受权

虽然检查远程主机的安全状态是一种很好的保护网络安全的做法，可是远程主机有多是私人设备、公用设备（网吧）、合做方的设备，对这些设备咱们是不能严格控制和管理的，于是也难以统一要求在这些设备上必须安装符合公司网络安全标准的软件。对此，好的×××系统应当能够对远程主机的安全状态进行评级，对处于不一样安全级别的主机授予不一样的访问权限，安全的主机将得到较多的访问资源，不安全的主机将只能访问少数受限的网络资源。这种受权管理的办法将使得用户的访问权限再也不只与我的身份相关，还与当前所使用主机的安全状态相关，于是被称为动态受权。

· 精细的访问日志

因为远程访问可能带来比较隐蔽的非法***问题，因此须要对远程用户的访问过程进行详细的记录，以便对用户的访问行为进行实时的监控和往后的问题回溯。

面对上述远程接入的问题和安全管理要求，近年来兴起的SSL ×××技术能够很好地给予解决。做为国内网络设备的领导厂商，H3C公司始终关注用户需求，以用户需求为导向来开发产品和设计方案。继IPsec ×××以后，H3C又推出了功能全面，使用方便的SSL ×××产品。H3C SSL ×××产品的种类和形态不少，既有专用的×××产品V100E，又有集成在防火墙中的SSL ×××模块，还有采用OAA架构，与以高端交换机配合使用的SecBlade SSL ×××插卡。