新一代的SSL VPN产品网康应用安全网关6.2产品白皮书北京网康科技有限公司2012年5月版权声明北京网康科技有限公司©2012版权所有，保留一切权力。

本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属北京网康科技有限公司（以下简称网康科技）所有，受到有关产权及版权法保护。

未经网康科技书面许可不得擅自拷贝、传播、复制、泄露或复写本文档的全部或部分内容。

信息更新本文档仅用于为最终用户提供信息，并且随时可由网康科技更改或撤回。

适用版本本文档适用于ASG 6.2版本。

免责条款根据适用法律的许可范围，网康科技按“原样”提供本文档而不承担任何形式的担保，包括（但不限于）任何隐含的适销性、特殊目的适用性或无侵害性。

在任何情况下，网康科技都不会对最终用户或任何第三方因使用本文档造成的任何直接或间接损失或损坏负责，即使网康科技明确得知这些损失或损坏，这些损坏包括（但不限于）利润损失、业务中断、信誉或数据丢失。

期望读者期望了解本产品主要技术特性的用户、企业管理人员、系统管理员、网络管理员等。

本文档假设您对下面的知识有一定的了解：⏹Web与HTTP⏹TCP/IP协议⏹SSL与IPSec⏹网络安全基础知识⏹Windows操作系统目录1 背景 (5)1.1 企业应用发展趋势 (5)1.2 企业应用安全的新挑战 (5)1.3 网康科技虚拟应用网络VAN新理念 (6)2 网康科技应用安全网关ASG (7)2.1 ASG产品系统架构 (8)2.2 应用安全网关工作原理 (8)2.3 用户使用场景 (9)2.3.1 采用浏览器访问企业内部应用 (9)2.3.2 使用客户端软件访问企业内部应用 (9)2.3.3 在分支机构内部的用户 (10)2.4 应用安全网关ASG主要功能列表 (10)3 应用安全网关ASG功能特点与优势 (10)3.1 SSL与IPSec二合一 (10)3.2 高强的用户认证技术与动态认证功能模块添加 (11)3.2.1 用户认证模板 (12)3.2.2 动态添加第三方认证 (12)3.3 全面支持安卓与苹果智能终端 (12)3.4 高度整合虚拟应用，完美支持“云”计算 (13)3.5 支持多种类型的浏览器插件 (14)3.6 单点登陆（SSO） (14)3.7 支持用户自注册与在线审核 (15)3.8 用户账户的自助管理 (15)3.9 虚拟站点，支持门户定制化 (17)3.10 支持自用软件的自助上传 (18)3.11 基于应用的访问策略控制 (18)3.12 客户终端接入扫描与终端流量控制 (19)3.13 完备的系统管理方式 (19)3.14 丰富的日志与统计报表工具 (20)3.15 双机与多机热备 (20)3.16 简便易用，快速部署 (22)3.16.1 无需安装客户端软件，即插即用 (22)3.16.2 Web优化技术 (22)3.16.3 支持各种网络环境 (22)3.16.4 动态页面重构技术，完美支持WEB应用访问 (23)3.16.5 使用SSL Tunnel技术支持所有的C/S架构应用 (23)3.16.6 大量使用配置模板与默认设置，方便管理 (24)3.16.7 典型配置指导 (24)3.16.8 开机快速初始化，无需复杂配置 (24)4 应用安全网关的部署建议 (26)4.1 网关方式部署 (26)4.2 单臂方式部署 (27)4.3 双机热备部署 (27)5 应用安全网关与网康科技其它产品结合后的创新应用 (28)应用安全网关产品白皮书1背景1.1企业应用发展趋势与许多类似的产业技术革命一样，云计算正在推动不同产业改变原有的模式。

正如惠普公司首席战略技术官谢恩•罗宾逊(Shane Robinson)所说的那样，IT技术行业正处于一个重要的转折阶段，虽然这一转折仍处于早期，但它将最终改变我们获取信息、分享内容和互相沟通的方式。

这一全新的浪潮将由一种全新的计算模式所驱动：企业或个人将不再需要在电脑中安装大量套装软件，而是通过Web浏览器接入到一种大范围的、按需定制的服务——也就是我们所说的“云服务”。

当这种转变日趋加速时，IT行业将会在引领用户体验方面发生根本性的飞跃。

云计算将在未来几年进入蓬勃发展期。

根据IDC最新数据显示，云计算服务将在2013年达到整体IT消费的10%，年收益高达442亿美元。

在5年内，云计算服务的增长态势将十分强劲，平均年增幅达26%，是传统IT行业增长速度的6倍。

正是由于应用云模式的兴起，在企业应用的管理模式与使用模式的微观层次发生了许多变化，具体表现为：●应用系统越来越集中化地管理，并且，这些应用系统不再像以前一样，每一个应用系统都有一个或多个独立的服务器，而是由大量的虚拟化系统组合而成。

●在用户的访问手段上，越来越倾向于移动化，每一个应用系统都有可能需要适应计算机（包括台式机以及笔记本）、智能手机以及平板电脑等多种终端接入。

另外，终端接入的网络也由以前单一的有线网络而向有线、无线以及3G网络混合接入转变。

●越来越多的行业系统出现，一种应用系统包打天下的情况不会再出现。

●因为“云”架构越来越深入人心，用户已经不再关心其使用的应用系统部署于一个什么样的网络环境，而只关心应用系统本身。

●企业对于接入的用户身份的识别要求越来越精细，并且，对于用户的使用过程与数据的审计要求越来越严格。

1.2企业应用安全的新挑战这些企业应用发展的趋势也对企业应用访问安全提出了新的挑战，总的来说，可以概括为如何保证云应用的安全。

具体的内容包括：⏹如何让用户随时随地地访问企业私有云应用？⏹如何适应层出不穷的智能移动终端？⏹如何识别各种企业应用并做到精确控制？⏹如何保证每一个接入应用系统的用户都是经过授权的？并且如何保证每一个用户的使用都是可控的与可审计的？⏹如何面向大量非技术化用户提供简单易用的使用方式？1.3网康科技虚拟应用网络VAN新理念针对企业应用发展与企业信息化的新趋势与挑战，网康科技提出了虚拟应用网络VAN 的创新型理念与解决方案，作为技术应对。

虚拟应用网络VAN解决方案可以在物理网络之上建立一个虚拟的网络层次，在这个虚拟网络中，物理主机与应用可以通过一个唯一的标识来作为自身的识别号；另外，虚拟主机之间通过一个虚拟路由协议来找到另外一些实体，并且将数据包从一个虚拟实体转发至另外一个实体。

对于最终用户而言，该解决方案可以帮助用户屏蔽掉复杂的物理网络而直接让用户面对所需要访问的应用与网络资源。

更重要的是，该虚拟网络可以作为一个通用的企业通信应用平台，在该平台之上可以开展企业应用接入，企业协作应用以及VPN等业务。

企业也可以在该平台之上开发新的应用。

如下图所示：通过虚拟应用网络，企业用户可以真正只关心本企业的核心业务与应用，而不用再花很大的时间成本去学习与熟悉网络结构与网络技术。

在虚拟应用网络的核心架构中，可以被管理的对象被称之为虚拟实体VE（Virtual Entity），这些实体包括人，即用户；应用；服务器；安全网关以及安全策略等内容。

在这些虚拟实体中，每一个个人用户所需要关注的核心是用户以及应用。

网康科技的理论认为：虚拟应用网络VAN的概念与实用技术是在目前这个应用“云”时代解决应用管理以及应用访问安全的根本性的解决方案。

2网康科技应用安全网关ASG网康科技应用安全网关NS-ASG产品是网康科技创新科技理念VAN的主要组成部分。

通过应用安全网关ASG，企业网络将被虚拟化成用户与应用两个主要虚拟实体，这两个虚拟实体之间的访问关系由访问安全策略来控制。

NS-ASG网关与客户端共同组成VAN虚拟网络。

其中，ASG网关是一个新一代的SSL VPN 网关，用户通过客户端软件或浏览器建立SSL连接，用户端对应用系统的访问数据通过SSL安全加密隧道，在网关侧被网关设备解密后，送至应用系统。

ASG产品的系统架构示意图如下：2.1ASG产品系统架构正如上图所示的应用安全网关的逻辑结构图所示，ASG系统采用的是一种模块化的结构，充分保证了全系统所有功能模块的可扩展性与高度的可客户化能力。

另外，整个系统架构于一个网康科技的专有安全操作系统之上，保证了应用安全网关本身的安全性。

并且，这个安全操作系统内核已经基于硬件平台进行了性能优化，保证了全系统的高效性。

基于网康科技安全操作系统的应用安全网关产品相比较于其它SSL VPN产品，不会出现系统级的性能瓶颈。

2.2应用安全网关工作原理正如其它大部分SSL VPN产品一样，网康科技应用安全网关ASG产品解决的是企业信息过程中出现的两个问题：一是远程用户通过互联网与内网信息系统的连通性问题；二是解决在数据传输过程中的安全问题。

企业远程用户通过客户端软件或者浏览器与部署于企业内网的应用安全网关建立安全数据传输隧道，通过该隧道传输的数据经过网关设备解密后，将透明数据转发至部署于企业内网的应用服务器；应用服务器的响应数据发送至网关设备后，再经网关设备加密后通过安全隧道发送至用户计算机。

由于在整个数据传输过程中，不会出现应用服务器直接接受客户端连接的情况，且所有的数据连接都需要经过认证与授权，因此，应用服务器可以得到很好的保护。

2.3用户使用场景对于一般的企业个人移动用户，以下一些使用场景是典型常见的：2.3.1采用浏览器访问企业内部应用对于使用浏览器的个人用户，可以直接打开浏览器，输入应用安全网关的地址，通过HTTPS的方式访问网关登录门户。

用户在通过用户名/口令或者其它认证方式的身份鉴别后将自动看到该用户的个性化主页，个性化主页将包括该用户可用的B/S与C/S架构的应用。

当用户点击某一个B/S架构应用时，浏览器将打开一个新的页面无缝地访问该应用页面；当用户点击一个C/S架构（注意：视频播放，在网页内打开文件以及PDF浏览等其实都属于C/S架构的应用）应用时，浏览器将自动地打开该应用的客户端软件。

如果在该用户的计算机上没有安装客户端软件时，浏览器将自动弹出提示信息，提示用户安装相应的客户端软件。

2.3.2使用客户端软件访问企业内部应用当某用户通过专用客户端软件访问企业内部应用时，该用户需要打开客户端软件，输入用户名/口令以及其它认证方式所必需的用户身份信息后，客户端将通过加密的方式将用户身份信息发送至网关进行身份鉴别。

当用户通过身份认证后，客户端将自动缩小为系统托盘的一个图标，用户通过鼠标右键可以查看该用户的连接信息，包括虚拟IP地址等。

用户可以通过桌面应用，与在局域网内一样自主地访问企业内部应用系统。

此时，对于应用系统的使用是受限的，用户使用某一个应用时，可能碰到连接超时等应用不可用状况。

2.3.3在分支机构内部的用户在分支机构内部，由于一般情况下会采用网关互联的方式建立Site-Site的网络连接，分支机构网络与总部网络在逻辑上将连接成为一个有机的整体。