五月天亚洲色图_亚洲精品少妇_亚洲熟妇无码av另类本色_自拍高清综合中文_成年女人wwxx免费_国产高清视频在线观看三区_下载香蕉视频app_芒果视频下载_日韩AV综合无码中文一区_国产日产精品久久

　　機會與風險

　　將瀏覽器用作客戶端平臺，SSLVPN使用戶遠程訪問IT難以控制的設備成為可能，無論從家用PC還是商業(yè)伙伴的便攜式電腦或者PDA設備都是如此。這種“任何時間、任何地方”的方法可以將訪問擴展到更多的工作人員而其成本卻會大大減少。據(jù)Gartner估計，到2008年，SSLVPN對三分之二的遠程工作人員來說將會成為主要的遠程訪問方法，而且約有90%的雇員需要使用臨時性的遠程訪問。

　　然而，將未被管理的端點設備連接到公司網(wǎng)絡會增加風險。如果一個遠程工作人員的家用PC感染了蠕蟲或木馬，其VPN通道可將這些威脅轉(zhuǎn)播到公司網(wǎng)絡資源。如果Internet信息站點有一個鍵盤記錄器，那么用戶的全部的VPN會話，包括登錄名和口令都將被竊取。在這兩種情況下，用戶趨向于將敏感數(shù)據(jù)─無論是緩存中的口令還是臨時文件，置于其他人可發(fā)現(xiàn)的地方。很明顯，要確保安全地訪問未被管理的端點就需要減輕這些風險。

　　過濾空白點

　　可喜的是，SSLVPN廠商一直努力著手解決這些問題。當今的SSLVPN設備提供了一套相當成熟的NAC(網(wǎng)絡訪問控制)功能來抗擊這些威脅。

　　身份識別：SSLVPN支持用戶身份驗證和目錄，創(chuàng)建一個基于用戶標識的訪問控制基礎。但是一個特定的用戶可能會從任何未經(jīng)管理的和被管理的端點設備來進行連接。因為，既要根據(jù)用戶的身份標識來判斷，又要根據(jù)設備的標識和類型來決定。以產(chǎn)品為基礎，SSLVPN可以使用HostID(主機ID)識別被信任的端點、計算機/域名、設備證書、駐留文件、注冊表項或硬件標識。SSLVPN還可以識別端點的操作系統(tǒng)和瀏覽器，并相應地做出響應。

　　端點完整性：多年來，VPN僅僅假定被管理的設備是可信賴的。未被管理的設備有極大的風險，但是假定端點將會免于受惡意軟件的侵害卻并非真正安全。如今，大多數(shù)VPN產(chǎn)品都檢查端點的完整性，并且使用管理員定義的配置文件來檢測遺漏的補丁、老病毒特征、非活動的或被破壞的反病毒程序、反間諜軟件和防火墻程序、不正常的進程或監(jiān)聽端口以及惡意軟件的跡象等。為了簡化配置，許多產(chǎn)品提供可供選擇的模板、檢查列表或者圖形化的規(guī)則生成器。有一些甚至可以與被管理端點的端點安全程序進行交互。而且，大多數(shù)SSLVPN產(chǎn)品還可以執(zhí)行進入前檢查，有一些產(chǎn)品還支持后進入完整性審計，確保端點保持清潔。

　　授權(quán)認可：通過操作在一個更高的層次上，SSLVPN提供比IPsec更加精細的授權(quán)策略。與對整個子網(wǎng)授權(quán)相反，許多SSLVPN將訪問縮小到單個服務器、應用程序、命令、URL、文件夾和其它數(shù)據(jù)對象。將這些精細過濾器與用戶身份驗證、設備標識相結(jié)合，端點安全檢查就會有更大的威力。例如，使用公司桌面PC的工作人員可以被授權(quán)使用寬帶應用訪問，而對于從公用PC訪問公司資源則被限制為只能使用遠程終端會話。

　　如果端點的完整性檢查失敗，工作人員就會轉(zhuǎn)到一個自助頁面來尋求補救。一些SSLVPN產(chǎn)品將用戶和設備與小組結(jié)合起來，簡化了管理并可促進連續(xù)性。.

　　增強:SSLVPN通道的建立并不意味著安全的終止。VPN必須實施過濾器來決定用戶可以發(fā)送的應用程序消息，發(fā)往何處，在傳輸中如何進行保護。大多數(shù)SSLVPN產(chǎn)品都得到了強化，以減輕那些未被管理的端點的風險。在會話期間，用戶可以在一個安全工作區(qū)中(一個將活動和數(shù)據(jù)與其它端點過程隔離開的虛擬化的環(huán)境)操作。會話結(jié)束后(由于顯式退出或非活動超時)，SSLVPN可以刪除所有的會話數(shù)據(jù)，包括Web的cache(高速緩存)、歷史數(shù)據(jù)、cookies、表單記錄及口令等。在這里，措施是基于策略的。例如，在允許文件被存到一個策略一致的公司膝上型電腦上時，在一個高風險的平臺上要求安全的工作空間。

　　這些網(wǎng)絡訪問控制功能也有可能沒有存在于你喜歡的SSLVPN產(chǎn)品中。特定端點的限制也可以執(zhí)行安全檢查，這些檢查并不能通過管理員權(quán)限來執(zhí)行，也不能通過只能建立在Win32PC上的虛擬環(huán)境來執(zhí)行。SSLVPN特性在過去的幾年里已經(jīng)有了極大的擴充，這都反映了這個領域經(jīng)驗和技術的成熟。好好看一下你可以使用的NAC功能吧，你也許會大吃一驚的。

　　與NAC的關系

　　熟悉思科NetworkAdmissionControl(NAC)，微軟NetworkAccessProtection或者TCG的TrustedNetworkConnect的讀者可能會想“等一下，這些功能怎么這么像NAC、NAP、TNC?”事實上，許多概念和技術都是起源于SSLVPN市場，從端點的安全檢查到基于瀏覽器的客戶端軟件。

　　SSLVPN有望在NAC的使用中大展風采。Infonetics預計到2008年超過2/3的SSLVPN網(wǎng)關可以用作一個NAC部署的部分。在有些情況下，這些SSPVPN會成為一個更寬泛的NAC策略的一部分。許多SSLVPN供應商已經(jīng)宣布NAC體系結(jié)構(gòu)或參與到一個或多個NAC項目中。例如，Cicso,Microsoft,Juniper都銷售分別適合NAC、NAP和TNC的設備。CaymasSystems甚至還有一種產(chǎn)品既支持NAC又支持NAP。

　　在部署為一個更寬泛的NAC策略的局部時，一個明顯的方法就是使SSLVPN設備集中于控制離站的遠程用戶的網(wǎng)絡訪問,遠程用戶包括：旅途中的工作人員，遠程工作人員等等。然而，一些分析人士相信，SSLVPN可以在NAC中扮演明星的角色。特別是，隨著網(wǎng)絡外圍的消失，越來越多的設備可被認為是“遠程的”(外部的)。一些企業(yè)可能會選擇運行所有的網(wǎng)絡訪問，無論是在站的還是離站的，這些訪問都通過一個SSLVPN設備實施，這樣就能提供更安全的訪問控制。