×××的两种组网方式

×××有两种组网方式：网到网（Site-to-Site）和远程接入（Remote-Access)。网到网的组网方式是指两个局域网（LAN）经过×××链接起来，实现两个局域网主机之间的互相访问。远程接入的组网方式是指远程用户直接经过本身的终端设备与企业的×××网关创建链接，实现对内部网络资源的访问。显然远程接入的组网方式适用于移动办公、家庭办公、与合做伙伴网络互连（Extranet）等场合。

相对于IPsec ×××，SSL ×××能够更好地知足远程接入的技术和管理方面的要求。具体来讲，SSL ×××在如下方面提供了很好的支持：

(1)      SSL ×××具备很好的网络连通性。由于SSL协议工做在TCP层之上，因此在进行NAT转换时，对TCP/IP报文头的修改不会影响到SSL报文的封装。于是SSL ×××没有像IPsec ×××那样须要解决NAT穿越问题。此外，SSL协议所使用的TCP 443端口号是知名端口，通常防火墙都会打开此端口。而IPsec/IKE协议所要求的UDP 4500/500号端口有时就会被防火墙所禁止。

(2)  SSL ×××的Web接入方式能够作到免客户端

SSL ×××提供了三种接入方式：Web接入、TCP接入、IP接入。其中的Web接入能够实现让用户仅经过Web浏览器就能够访问内网的Web站点，而Web浏览器是各类操做系统都提供的，其可靠性、稳定性都能获得保证。于是称Web接入是免客户端的。无客户端的远程接入方式给用户和系统管理员都带来了很大的方便，从根本上消除了安装和维护客户端的麻烦。

(3)  TCP接入和IP接入的客户端是免安装免维护的

SSL ×××还提供了TCP接入和IP接入两种接入方式。这两种接入方式都须要使用客户端。不过，SSL ×××的客户端能够经过网页自动下载，自动安装运行，在用户退出登陆后，也能自动卸载。这样SSL ×××客户端的运行不须要用户的任何干预，既方便了用户使用，又省去了管理员的支持维护工做。

(4)  安全而又严格的用户认证

首先，SSL ×××采用SSL协议创建加密链接，整个链接的创建过程和数据传输过程都是严密的，在其中传输的用户认证信息不会被盗取。其次，SSL协议支持证书认证，在部署了PKI系统的网络中，能够经过CA证书验明用户身份。而证书能够保存到USB-Key之中，受到USB-Key智能卡的保护，使得证书认证既方便快捷，又安全可靠。

(5)  高细粒度的访问控制。

一方面SSL ×××能够支持对URL、文件共享目录、TCP服务、IP网段等不一样粒度的访问控制，另外一方面SSL ×××的受权实现了基于角色或用户组的管理，从而方便了管理员对用户实施精确的权限管理。

(6)  安全评估

SSL ×××能够作到在用户正式登陆SSL ×××以前，经过下载一个主机检查器，自动检查远程主机的运行环境是否安全。

 (7)  动态受权

H3C 的SSL ×××支持对用户的动态受权，能够容许管理员设置10个安全级别。在主机检查和用户组受权管理的支持下，管理员能够轻松实现对复杂终端环境的策略化安全接入管理。

(8)  精细的访问日志

H3C SSL ×××提供的日志信息包括如下内容：

·   用户登陆SSL ×××系统的时间、用户名、源IP地址。用户退出SSL ×××系统的时间。

·管理员的配置管理操做：执行人、操做时间、操做种类和配置的参数。

·普通用户的访问：对Web接入能够记录所访问的URL；对TCP接入能够记录所访问的服务器IP地址和端口号，以及所采用的客户端类型；对IP接入能够记录所访问的IP地址。