×××是企业安全的重要保障,我们通常理解为是“公网的隧道”,意思是×××可以穿过公网,连接企业各个SITES,而不会被******,发生信息泄露。从×××的应用而言,主要分为站点到站点,用户到企业内部。站点到站点,是企业总部和分支机构在”10.”这个同一网段内,大家可以相互访问,从硬件路由器上设置连接,比较常见的情况是2M的光纤专线走帧中继,把企业整个跨区域的网络连接起来,我们能在网上邻居找到域内上千台电脑,这是多么不可思议的事,全靠×××实现站点到站点的访问,主要是用MPLS协议来规划的。<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

 

企业内部的×××连接一般直接使用光纤专线,另外还有的是结合ADSL技术来实现,我们不做过多的描述,在这里我们着重说的是用户和企业的×××连接,这其中要用到企业证书。用户在企业内部的网络时,服务器是根据用户登录信息来验证身份,用户的计算机加入到域之后,那么等于获得企业的域证书,用户就可以在权限许可的范围内访问企业内部资源。可用户一旦离开企业,那么他是无法直接通过企业的防火墙来访问服务器,这时我们要用到×××技术来验证用户的身份是否合法,继而允许用户和企业之间建立信任连接。

 

大家使用过WINDOWS2003的路由与远程访问工具,它能很好的解释×××的连接建立,我们使用工业的RADIUS标准来使用×××设备,一种是×××服务器加入域,从AD中去验证用户身份,由于不是很安全,基本上不会用到,另一种是×××服务器向RADIUS服务器请求验证,RADIUS服务器是在AD环境可以验证身份。在企业的×××环境中,我们的计算机安装×××的客户端之后,应用所在企业的配置文件来使用×××客户端,这个配置文件中包含企业×××服务器的公网IP地址、端口号,相互之间访问验证的方式,在用户第一次登陆时要设置密码,完成后会密码保存到服务器上,下次用户使用×××客户端时进入防火墙之后直接跟企业的×××服务器做验证。×××服务器通常放在防火墙的安全区,企业经常会用到的有CheckPointJuniper防火墙,防火墙会把用户×××访问请求转交给×××服务器,×××服务器通过用户名和密码,以及动态密码来综合验证用户是否为×××用户,用户通过验证之后,访问企业内部资源还用再输入域用户名和密码,最后完成整个×××登录访问的过程。

 

这个×××应用企业证书的过程,实际上就是用户身份的验证,用户从第一次激活×××之后,×××服务器就保存用户的访问凭证,即企业证书,在证书有效期内,用户可以自由访问,还要提到的是企业的×××服务器为了安全起见通常会放到总部,用户在企业外部访问企业内部资源速度比较慢,还要受到公网带宽的影响。×××的技术用公钥和私钥来解释,企业是公钥,用户个人是私钥,企业和用户是相对应的关系,×××在企业的应用比较复杂,目前技术基于安全的考虑,使用的是443端口访问方式来应用。