iGate SSL VPN远程访问系统—企业级远程访问安全解决方案
    过去的几年中，由于 VPN 虚拟专用网比租用专线更加便宜、灵活，越来越多的公司开始通过互联网等公共网络，采用 VPN 将公司总部和在家工作、出差在外以及分公司员工和合作伙伴连接到一起。但是，由于传统的 IPSec VPN 必须在客户端安装相应的 VPN 程序，下载设置软件和维护连接时会花费 IT 部门大量时间，所以企业始终希望能有一种新的技术可以克服这个问题。

    IGate SSL VPN 将ＳＳＬ加密隧道与独有的双因素身份认证相结合，通 过任何标准 Web浏览器为用户提供到公司内部网络或应用程序的安全远程接入服务。 它 不需要安装专门的客户端软件，也无须进行特别的配置， 所有的网络和客户端 /服务器应用程序都可以通过互联网访问，一切IPSec VPN安装和管理问题都随之迎刃而解。
产品优势

u极强的安全可靠性
    iGate SSL VPN采用对称和非对称两种方式执行加密操作。 作为出入企业内部系统的唯一关口， iGate代理服务器通常被放置在防火墙和后端服务器之间，且只开放443端口（或80端口）。客户端到iGate SSL VPN之间通过采用SSL协议加密建立安全的专用加密通道，而iGate与后端服务器之间则使用标准的http通讯协议或相应的TCP端口，不会因为SSL加解密工作给服务器带来任何负担。当移动用户 需要连接到公司网络时，用户首先 需要插入iKey身份认证令牌并输入PIN码进行登录身份认证。对服务器端的身份认证使用标准SSL验证，对客户端则使用MD5哈希算法的挑战-响应进行验证。双方验证通过后，所有通讯均使用HTTPS协议，保证了从客户端到iGate之间的通讯安全。对于应用系统的攻击，因为只针对相应开启的应用程序，所以黑客不易侦测出系统内部的网络结构，所受到的威胁仅限于程序本身，因此攻击的机会将大大减少。同样，使用iGate SSL VPN，病毒从远程客户端入侵的可能性也会大大降低。因为感染病毒的机器只会局限在某一台进行远程接入的主机，不会蔓延到整个网络，而且这个病毒必须针对远程接入应用程序，不同类型的病毒也不会感染主机。

u快速部署，易于使用，无需安装客户端程序
    iGate SSL VPN最大的好处就是不需要安装客户端程序，远程用户基本上不需要IT部门的支持就可以随时随地从任何支持SSL协议的浏览器安全地访问应用程序，从而最大限度的减少了分发和管理客户端软件的麻烦，降低了系统部署成本和IT部门日常性的管理支持工作费用。由于只通过443端口作为唯一的传输通道，因此管理员不需要在防火墙上作任何修改，也不会因为不同系统的需求修改防火墙上的设定，他可以在几个小时内轻松完成安装，所有安装界面都是通过浏览器界面实现。另外，由于采用了SafeNet公司独有的CryptoSwift SSL硬件加速装置承担并加快安全功能的处理工作，因而，可将对应用程序速度的影响降至最低。

u适用广泛，支持 B/S和C/S应用以及手持设备等
    iGate SSL VPN能保证在任何地方访问基于TCP应用程序的安全，包括Web和C/S应用，老的应用程序，网络文件传输和共享，中端服务，电子邮件服务以及PDA等手持无线设备。对于大多数操作系统，只要是支持SSL协议的浏览器，不论是Windows, Mackintosh, Unix还是Linux,都可以透过iGate SSL VPN进行远程安全接入。

u超强的访问控制管理和认证能力
    所有内外部访问都经过唯一的iGate ACL权限控制软件进行管理，为IT人员提供了更加集中且容易控制访问权限管理工具。对于客户身份的认证，由于使用SafeNet独有的iKey身份认证令牌代替了传统的口令密码认证方式，使iGate具备了超强的身份认证机制，通过挑战响应原理和内置有算法的芯片，确保整个验证实现的唯一性。

iGate硬件：

服务器：

    iGate Team是专为中小型企业而精心设计的1U机架安装式服务器。它可支持最大100个并发用户，为远程访问公司Web应用和C/S应用提供了全面的解决方案。iGate Team提供一个10/100M以太网端口。
 
    iGate Pro是专为大型企业而精心设计的1U机架安装式服务器。它内置了SafeNet独有的CryptoSwift SSL加速卡进行SSL加解密工作，可支持最大1000个并发用户，为远程访问公司Web应用和C/S应用提供了全面的解决方案。iGate Pro提供一个10/100M以太网端口。

iGate Enterprise是专门针对特大型企业，如跨国公司和复杂系统应用环境设计的VPN平台。在iGate Pro基础上，通过强大的集中管理功能和周密的安全策略，iGate Enterprise为用户提供了一套安全的远程用户访问企业内部核心数据的理想解决方案。 它同时可支持3000个并发用户数。

客户端
    客户端使用iKey令牌+PIN码的双因素认证方式。

iGate软件组成：
    1． iGate内置的操作系统和管理软件；
    2． ACM访问控制管理工具，用来进行用户管理，访问权限设置和分配iKey；
    3． 客户端软件，包括iKey驱动和浏览器插件，可以自动下载，无需任何设置。

工作原理：
    iGate的工作位置可以放在DMZ（推荐）区或者防火墙与后端服务器之间，从客户端到iGate SSL VPN之间的通讯都采用SSL协议加密，而iGate与服务器之间的通讯则使用标准的http协议（对于Web应用）或相应的TCP端口（对于C/S结构应用程序），不会因为SSL加解密工作给服务器带来任何负担。
客户登录时使用iKey+PIN码的双因素认证方式，其中对服务器身份使用标准SSL验证，对客户端身份使用MD5哈希算法的挑战-响应进行验证。双方验证结束后，所有通讯均使用HTTPS协议，保证了从客户端到iGate之间的通讯安全。信息传递到iGate，由iGate将其解密后以标准HTTP协议或通过相应TCP端口传递到后端的服务器，从服务器返回的信息，再由iGate加密后传递到客户端。

iGate网络接入方式：
    iGate使用单臂模式接入，无需改变任何网络设置，只用一根直联线将iGate与内部网络中的交换机相连，并进行简单的设置，就可以完成对后端服务器的完全保护以及用户的验证工作。

iGate实现的功能
    n 对网络应用程序的安全访问——在远程客户端和安全站点或应用服务器之间建立一条安全的SSL隧道，一旦连接建立，所有指定应用都将通过这条安全的隧道目标地址。
    n 无需客户配置——iGate无需客户端软件，用户只需要使用IE接到iGate的入口页面就可以使用所有被保护资源。这使得客户免去了对VPN客户端的配置工作，也大大减轻了网管人员技术支持的压力。
    n 高安全性认证——使用iKey+PIN码的双因素认证方式，免除了用户名+口令方式的安全隐患。同时，客户端一旦从电脑上拔出iKey，所有的连接将自动切断。
    n 硬件SSL加速——内置SafeNet特有的CryptoSwift SSL加速卡，使SSL加密不会影响程序运行的速度。
    n 流量压缩——在传送数据前使用GZIP进行压缩，降低了网络流量，改善传输性能。
    n 多种应用支持——iGate可以保护包括Web方式在内的所有基于TCP的应用程序，无论是B/S还是C/S结构的程序，都可以实现安全的远程访问。 同时，可以将公司的多种资源放建立统一的入口，方便管理。
    n 穿越防火墙——使用标准的HTTPS协议传输数据，不会被防火墙阻隔，也不会面临地址转换（NAT）的问题。
    n 一次性口令——iGate可以将认证用户的用户名和所使用的iKey系列号传递给后端的应用程序服务器，从而实现用户只进行一次登录就可以访问所有需要需要认证访问的资源。
    n 外部用户认证——iGate支持Active Directory、LDAP和RADIUS的外部认证服务器，这样就无需在iGate上手动添加用户列表，提高管理效率。
    n 灵活的权限管理——基于组、角色和个人的多级权限分配，可以适应公司复杂的管理规则，为每个人分配相应的访问权限。
    n 支持双机冗余——通过备用机的设置增加可靠性，当工作中的iGate出现问题时，备份机会自动进入工作状态，保证整个系统的不间断工作。

iGate应用方案：

1针对网站保护的应用：

2 

   

    此应用主要针对企业内部网或需要限制访问的收费网站等，您无需自己编程制作任何加密、认证机制，只需按照以下步骤点击鼠标配置即可：
    2.1 通过超级终端或Web界面对iGate进行网络配置，为其分配一个内部IP地址；
    2.2 指定要保护站点的内部IP地址，并且设定一个与之对应的虚拟IP（VIP）；
    2.3 将所有对该站点Web Server的访问指向虚拟IP；
    2.4 使用ACM工具添加用户、为其指定可访问的资源并分配iKey。

    经过以上几个简单的步骤，您已经对站点资源应用进行了完善的保护，所有对站点的访问都必须通过iGate进行验证，信息的传输过程也完全使用SSL协议进行加密。同时，由于使用了SafeNet公司特有的CryptoSwift SSL加速卡，您几乎感觉不到加密所带来的延时。
    iGate对网站资源的保护甚至可以细化到文件，即针对每个组、角色和用户，可以定义不同的访问权限。
如果您有多个需要保护的站点资源，可以为他们建立一个公用的入口页面，在其中添加多个链接，分别指向不同的站点服务器。同时，结合ACM软件中特有的用户分组和角色功能，可以给每个用户分配不同的资源，使每个用户登录后的入口界面只能看到自己可访问的站点链接。而且，用户只需要记住入口页面的一个域名，就可以方便的通过链接访问多个站点。

3针对Web应用程序的保护

   

    此应用主要针对基于Browser/Server结构的应用程序。在没有使用iGate进行保护之前，客户端浏览器和服务器之间通过标准HTTP协议通信，信息在传输的过程中容易被截获、更改，而且仅使用“用户名+密码”的认证方式很容易被盗窃和破译。因此，大多数公司都只能在局域网内部使用这些应用。

    针对类似的应用只需进行以下四个步骤的设置即可实现安全的远程访问：
    3.1 通过超级终端或Web界面对iGate进行网络配置，为其分配一个内部IP地址；
    3.2 指定要Web应用程序服务器的内部IP地址，并且设定一个与之对应的虚拟IP；
    3.3 将所有对Web应用程序服务器的访问指向虚拟IP；
    3.4 使用ACM工具添加用户、为其指定可访问的应用程序服务器并分配iKey。
    经过iGate保护后，用户打开应用程序界面时，会先看到iGate的登录界面，在客户端插入iKey并输入PIN码后再进入应用程序界面。而且，这里所有的通讯都是基于SSL协议加密的，其他人无法从中窃取任何有价值的信息。从而保证了用户认证和数据传输的双重安全，使得通过Internet的远程访问应用想在局域网内部一样安全、快捷。

    与保护Web站点相同，你可以为多个Web应用程序建立公用的入口界面，也可以给不同用户分配不同的可用资源，在登录后的入口界面显示不同的链接。

    很多Web应用程序已经内置了用户名+口令的认证方式，并且针对不同的用户分配了不同访问权限。为了不给用户登录过程中添加多一次认证的麻烦，iGate方案中包含了Master Key功能，即iGate会将登录用户的用户名和所使用的iKey的序列号传递给后方应用程序。只需将应用程序入口页面加以更改，取得所传递来的信息，使其与软件用户相对应，即可只通过一次认证完成所有身份识别。

针对Client/Server结构应用程序的保护

   

    对于目前很多单位还在使用的Client/Server结构的软件，iGate也可以为其提供强大的保护。C/S结构的软件在局域网以外使用时，主要面临的问题是通信过程不安全和无法穿越防火墙的端口限制。
    为此，SafeNet公司专门开发了针对这些应用的VPX模块。VPX 是“Virtual Private anything”的缩写，中文意思为“任意虚拟专用”，它是最新一代的安全远程访问技术。通过使用SSL对客户端程序到iGate的全程通讯进行加密，保证了数据传输的安全性。同时，基于HTTPS的传输不会被防火墙阻截，使得原来只有基于Web应用程序才可以应用的简单易用远程访问方式也同样可以应用在例如Microsoft Outlook, Terminal Services, Telnet 和Citrix这样的C/S应用程序上。

VPX的配置方法也很简单，只需以下五个步骤，即可完成：   

    3.5 通过超级终端或Web界面对iGate进行网络配置，为其分配一个内部IP地址；
    3.6 建立一个间接访问站点，并为VPX通道配置指定IP；
    3.7 指定要保护程序的服务器内部地址和客户端使用的虚拟地址（使用本机地址，如：127.0.0.1）；
    3.8 指定应用程序通讯所使用的TCP端口号；
    3.9 使用ACM工具添加用户、分配权限并颁发iKey。

    经过iGate保护后，用户不需要对C/S结构应用程序的客户端做任何更改，即可像在局域网内部一样使用，其过程为：
    客户连接上Internet，打开IE浏览器，访问被保护站点，使用iKey通过认证后通道会自动建立。这时用户就可以向在局域网内一样适用该软件了。这里用户不会感到任何变化和遇到复杂的配置问题。

    实际通讯是站点页面内嵌的Applet程序会监听客户端程序发出的信息，经过加密处理后使用HTTPS协议发送到iGate，iGate将其解密后使用相应的端口传送给后端服务器，再将返回的信息用同样的方式传递到客户端程序。

产品特性附录：

1.安全的代理服务器
    · 1U标准硬件设备
    · 不会与企业现有网络环境发生冲突，设置容易
    · 全程 SSL加密认证， 唯一安全通道， 允许防火墙只开放 443端口
    · 无需搭建专用网
    · 内部站点保护， 隐藏内部服务器名和目录结构，可以保护到一个文件
    · 支持HTTP压缩

2.基于硬件的SSL加速
    · 对所有http数据进行SSL加速， 每秒钟可处理多达 1000条操作，在5毫秒内处理1条1024位RSA加密操作
    · 集中证书管理， X.509证书存储
    · VPX软件支持客户/服务器应用程序访问

3.高级认证功能
    · 与 Radius, Active Directory和 LDAP 兼容
    · 强有力的用户名加口令支持
    · 集成应用 iKey身份认证令牌，同时支持用户名加口令和动态口令认证方式
    · 访问控制策略与安全级别相适应
    · 拔除 iKey后自动关闭VPN链接

4.应支持的远程访问应用程序种类
    · Web应用程序
    · 安全文件共享访问（WebDav, SMB）
    · 标准 email协议（IMAP, POP3,SMTP）
    · Web email系统（OWA, Lotus Note）
    · TCP服务支持
    · Telnet服务支持
    · 安全访问终端服务器和 Citrix

5.管理工具
    · 基于 Web的配置工具
    · 高级用户、资源和 iKey管理工具
    · 管理多个单元的通用接口
    · 审计报告服务

6.易于使用
    · 通过浏览器访问内部资源
    · 无需客户端就可以访问Web应用程序
    · 通过 VPX技术可自由配置C/S应用程序

7.内部站点保护
    · 通过唯一入口访问内部的多个 Web服务器
    · 与所有 http应用程序兼容
    · 隐藏的服务器名和目录结构
    · 实时的 html代码重写 （升级选项）
可选附件
    · 备份代理服务器
    · 身份认证令牌iKey
    · C/S应用程序支持软件