【ｉＧａｔｅ　ＳＳＬ　ＶＰＮ远程访问系统】

　　过去的几年中，由于 VPN 虚拟专用网比租用专线更加便宜、灵活，越来越多的公司开始通过互联网等公共网络，采用 VPN 将公司总部和在家工作、出差在外以及分公司员工和合作伙伴连接到一起。但是，由于传统的 IPSec VPN 必须在客户端安装相应的 VPN 程序，下载设置软件和维护连接时会花费 IT 部门大量时间，所以企业始终希望能有一种新的技术可以克服这个问题。
　　IGate SSL VPN 将ＳＳＬ加密隧道与独有的双因素身份认证相结合，通过任何标准 Web浏览器为用户提供到公司内部网络或应用程序的安全远程接入服务。它不需要安装专门的客户端软件，也无须进行特别的配置，所有的网络和客户端/服务器应用程序都可以通过互联网访问，一切IPSec VPN安装和管理问题都随之迎刃而解。
　　
　　iGate产品优势
　　
　　首先是极强的安全可靠性，iGate SSL VPN采用对称和非对称两种方式执行加密操作。作为出入企业内部系统的唯一关口，iGate代理服务器通常被放置在防火墙和后端服务器之间，且只开放443端口（或80端口）。客户端到iGate SSL VPN之间通过采用SSL协议加密建立安全的专用加密通道，而iGate与后端服务器之间则使用标准的http通讯协议或相应的TCP端口，不会因为SSL加解密工作给服务器带来任何负担。当移动用户需要连接到公司网络时，用户首先需要插入iKey身份认证令牌并输入PIN码进行登录身份认证。对服务器端的身份认证使用标准SSL验证，对客户端则使用MD5哈希算法的挑战-响应进行验证。双方验证通过后，所有通讯均使用HTTPS协议，保证了从客户端到iGate之间的通讯安全。对于应用系统的攻击，因为只针对相应开启的应用程序，所以黑客不易侦测出系统内部的网络结构，所受到的威胁仅限于程序本身，因此攻击的机会将大大减少。同样，使用iGate SSL VPN，病毒从远程客户端入侵的可能性也会大大降低。因为感染病毒的机器只会局限在某一台进行远程接入的主机，不会蔓延到整个网络，而且这个病毒必须针对远程接入应用程序，不同类型的病毒也不会感染主机。
　　然后是快速部署，易于使用，无需安装客户端程序，iGate SSL VPN最大的好处就是不需要安装客户端程序，远程用户基本上不需要IT部门的支持就可以随时随地从任何支持SSL协议的浏览器安全地访问应用程序，从而最大限度的减少了分发和管理客户端软件的麻烦，降低了系统部署成本和IT部门日常性的管理支持工作费用。由于只通过443端口作为唯一的传输通道，因此管理员不需要在防火墙上作任何修改，也不会因为不同系统的需求修改防火墙上的设定，他可以在几个小时内轻松完成安装，所有安装界面都是通过浏览器界面实现。另外，由于采用了SafeNet公司独有的CryptoSwift SSL硬件加速装置承担并加快安全功能的处理工作，因而，可将对应用程序速度的影响降至最低。
　　第三是适用广泛，支持 B/S和C/S应用以及手持设备等，iGate SSL VPN能保证在任何地方访问基于TCP应用程序的安全，包括Web和C/S应用，老的应用程序，网络文件传输和共享，中端服务，电子邮件服务以及PDA等手持无线设备。对于大多数操作系统，只要是支持SSL协议的浏览器，不论是Windows, Mackintosh, Unix还是Linux,都可以透过iGate SSL VPN进行远程安全接入。
　　最后是具有超强的访问控制管理和认证能力，所有内外部访问都经过唯一的iGate ACL权限控制软件进行管理，为IT人员提供了更加集中且容易控制访问权限管理工具。对于客户身份的认证，由于使用SafeNe**有的iKey身份认证令牌代替了传统的口令密码认证方式，使iGate具备了超强的身份认证机制，通过挑战响应原理和内置有算法的芯片，确保整个验证实现的唯一性。
　　
　　iGate硬件
　　
　　在服务器方面，分为三类：
　　iGate Team是专为中小型企业而精心设计的1U机架安装式服务器。它可支持最大100个并发用户，为远程访问公司Web应用和C/S应用提供了全面的解决方案。iGate Team提供一个10/100M以太网端口。
　　iGate Pro是专为大型企业而精心设计的1U机架安装式服务器。它内置了SafeNe**有的CryptoSwift SSL加速卡进行SSL加解密工作，可支持最大1000个并发用户，为远程访问公司Web应用和C/S应用提供了全面的解决方案。iGate Pro提供一个10/100M以太网端口。
　　iGate Enterprise是专门针对特大型企业，如跨国公司和复杂系统应用环境设计的VPN平台。在iGate Pro基础上，通过强大的集中管理功能和周密的安全策略，iGate Enterprise为用户提供了一套安全的远程用户访问企业内部核心数据的理想解决方案。它同时可支持3000个并发用户数。
　　客户端使的是iKey令牌+PIN码的双因素认证方式。
　　
　　iGate软件组成：
　　iGate内置的操作系统和管理软件；
　　ACM访问控制管理工具，用来进行用户管理，访问权限设置和分配iKey；
　　客户端软件，包括iKey驱动和浏览器插件，可以自动下载，无需任何设置。
　　
　　iGate工作原理：
　　iGate的工作位置可以放在DMZ（推荐）区或者防火墙与后端服务器之间，从客户端到iGate SSL VPN之间的通讯都采用SSL协议加密，而iGate与服务器之间的通讯则使用标准的http协议（对于Web应用）或相应的TCP端口（对于C/S结构应用程序），不会因为SSL加解密工作给服务器带来任何负担。
　　客户登录时使用iKey+PIN码的双因素认证方式，其中对服务器身份使用标准SSL验证，对客户端身份使用MD5哈希算法的挑战-响应进行验证。双方验证结束后，所有通讯均使用HTTPS协议，保证了从客户端到iGate之间的通讯安全。信息传递到iGate，由iGate将其解密后以标准HTTP协议或通过相应TCP端口传递到后端的服务器，从服务器返回的信息，再由iGate加密后传递到客户端。
　　
　　iGate网络接入方式：
　　iGate使用单臂模式接入，无需改变任何网络设置，只用一根直联线将iGate与内部网络中的交换机相连，并进行简单的设置，就可以完成对后端服务器的完全保护以及用户的验证工作。
　　
　　iGate实现的功能：
　　对网络应用程序的安全访问――在远程客户端和安全站点或应用服务器之间建立一条安全的SSL隧道，一旦连接建立，所有指定应用都将通过这条安全的隧道目标地址。
　　无需客户配置――iGate无需客户端软件，用户只需要使用IE接到iGate的入口页面就可以使用所有被保护资源。这使得客户免去了对VPN客户端的配置工作，也大大减轻了网管人员技术支持的压力。
　　高安全性认证――使用iKey+PIN码的双因素认证方式，免除了用户名+口令方式的安全隐患。同时，客户端一旦从电脑上拔出iKey，所有的连接将自动切断。
　　硬件SSL加速――内置SafeNet特有的CryptoSwift SSL加速卡，使SSL加密不会影响程序运行的速度。
　　流量压缩――在传送数据前使用GZIP进行压缩，降低了网络流量，改善传输性能。
　　多种应用支持――iGate可以保护包括Web方式在内的所有基于TCP的应用程序，无论是B/S还是C/S结构的程序，都可以实现安全的远程访问。 同时，可以将公司的多种资源放建立统一的入口，方便管理。
　　穿越防火墙――使用标准的HTTPS协议传输数据，不会被防火墙阻隔，也不会面临地址转换（NAT）的问题。
　　一次性口令――iGate可以将认证用户的用户名和所使用的iKey系列号传递给后端的应用程序服务器，从而实现用户只进行一次登录就可以访问所有需要需要认证访问的资源。
　　外部用户认证――iGate支持Active Directory、LDAP和RADIUS的外部认证服务器，这样就无需在iGate上手动添加用户列表，提高管理效率。
　　灵活的权限管理――基于组、角色和个人的多级权限分配，可以适应公司复杂的管理规则，为每个人分配相应的访问权限。
　　支持双机冗余――通过备用机的设置增加可靠性，当工作中的iGate出现问题时，备份机会自动进入工作状态，保证整个系统的不间断工作。
　　此应用主要针对企业内部网或需要限制访问的收费网站等，您无需自己编程制作任何加密、认证机制，只需按照以下步骤点击鼠标配置即可：
　　通过超级终端或Web界面对iGate进行网络配置，为其分配一个内部IP地址；
　　指定要保护站点的内部IP地址，并且设定一个与之对应的虚拟IP（VIP）；
　　将所有对该站点Web Server的访问指向虚拟IP；
　　使用ACM工具添加用户、为其指定可访问的资源并分配iKey。