×××的兩種組網方式

×××有兩種組網方式：網到網（Site-to-Site）和遠程接入（Remote-Access)。網到網的組網方式是指兩個局域網（LAN）經過×××鏈接起來，實現兩個局域網主機之間的互相訪問。遠程接入的組網方式是指遠程用戶直接經過本身的終端設備與企業的×××網關創建鏈接，實現對內部網絡資源的訪問。顯然遠程接入的組網方式適用於移動辦公、家庭辦公、與合做夥伴網絡互連（Extranet）等場合。

相對於IPsec ×××，SSL ×××能夠更好地知足遠程接入的技術和管理方面的要求。具體來講，SSL ×××在如下方面提供了很好的支持：

(1)      SSL ×××具備很好的網絡連通性。由於SSL協議工做在TCP層之上，因此在進行NAT轉換時，對TCP/IP報文頭的修改不會影響到SSL報文的封裝。於是SSL ×××沒有像IPsec ×××那樣須要解決NAT穿越問題。此外，SSL協議所使用的TCP 443端口號是知名端口，通常防火牆都會打開此端口。而IPsec/IKE協議所要求的UDP 4500/500號端口有時就會被防火牆所禁止。

(2)  SSL ×××的Web接入方式能夠作到免客戶端

SSL ×××提供了三種接入方式：Web接入、TCP接入、IP接入。其中的Web接入能夠實現讓用戶僅經過Web瀏覽器就能夠訪問內網的Web站點，而Web瀏覽器是各類操做系統都提供的，其可靠性、穩定性都能獲得保證。於是稱Web接入是免客戶端的。無客戶端的遠程接入方式給用戶和系統管理員都帶來了很大的方便，從根本上消除了安裝和維護客戶端的麻煩。

(3)  TCP接入和IP接入的客戶端是免安裝免維護的

SSL ×××還提供了TCP接入和IP接入兩種接入方式。這兩種接入方式都須要使用客戶端。不過，SSL ×××的客戶端能夠經過網頁自動下載，自動安裝運行，在用戶退出登陸後，也能自動卸載。這樣SSL ×××客戶端的運行不須要用戶的任何干預，既方便了用戶使用，又省去了管理員的支持維護工做。

(4)  安全而又嚴格的用戶認證

首先，SSL ×××採用SSL協議創建加密鏈接，整個鏈接的創建過程和數據傳輸過程都是嚴密的，在其中傳輸的用戶認證信息不會被盜取。其次，SSL協議支持證書認證，在部署了PKI系統的網絡中，能夠經過CA證書驗明用戶身份。而證書能夠保存到USB-Key之中，受到USB-Key智能卡的保護，使得證書認證既方便快捷，又安全可靠。

(5)  高細粒度的訪問控制。

一方面SSL ×××能夠支持對URL、文件共享目錄、TCP服務、IP網段等不一樣粒度的訪問控制，另外一方面SSL ×××的受權實現了基於角色或用戶組的管理，從而方便了管理員對用戶實施精確的權限管理。

(6)  安全評估

SSL ×××能夠作到在用戶正式登陸SSL ×××以前，經過下載一個主機檢查器，自動檢查遠程主機的運行環境是否安全。

 (7)  動態受權

H3C 的SSL ×××支持對用戶的動態受權，能夠容許管理員設置10個安全級別。在主機檢查和用戶組受權管理的支持下，管理員能夠輕鬆實現對複雜終端環境的策略化安全接入管理。

(8)  精細的訪問日誌

H3C SSL ×××提供的日誌信息包括如下內容：

·   用戶登陸SSL ×××系統的時間、用戶名、源IP地址。用戶退出SSL ×××系統的時間。

·管理員的配置管理操做：執行人、操做時間、操做種類和配置的參數。

·普通用戶的訪問：對Web接入能夠記錄所訪問的URL；對TCP接入能夠記錄所訪問的服務器IP地址和端口號，以及所採用的客戶端類型；對IP接入能夠記錄所訪問的IP地址。