iSTAR多连锁支点解决方案集.doc

1 iSTARTM Next Generation SSL VPN iSTARTM 多多连锁连锁支点解决方案集支点解决方案集 2006-8 2 iSTARTM Next Generation SSL VPN 目 录 一、一、公司介公司介绍绍3 二、二、背景介背景介绍绍4 三、三、功能介功能介绍绍5 四、四、产产品品优势优势连连接性能接性能6 五、五、成功用成功用户户7 六、六、某大型集某大型集团团企企业业 SSL VPN 需求需求8 七、七、附附录录（ （FAQ） ）11 3 iSTARTM Next Generation SSL VPN 、公司介绍 广优资讯科技有限公司（UUDynamics, Inc.），是专门从事网络安全产品开发与销售， 提供企业最佳 VPN 解决方案的服务提供商。公司总部位于美国加州硅谷, 亚洲分公司设在中 国上海。自公司成立以来凭借着优秀的销售团队与独特优异的 VPN 开发技术，已经获得包含 IBM 与 Acer 等公司的肯定，并进一步成为了合作伙伴。 、公司大事纪： 公司成立于 2002 年 8 月。 2003 年 7 月，推出 iSTAR Beta 测试版本。 2004 年 3 月，宏碁与 UUDynamics 签约，成为台湾地区总代理。 2004 年 4 月，推出正式版本 iSTAR。 。 2004 年 12 月, 中国普天集团南方电信公司与 UUDynamics 签约，成为中国大陆 地区代理。 2005 年 10 月，iSTAR平台通过国际安全认证权威 ICSA Labs SSL-TLS V2.0 的 认证。 2005 年 12 月 UUDynamics 成为 IBM 大中国地区安全产品合作伙伴。 2006 年至今在金融、电信、制造、流通与政府机构中皆有广大的用户。 4 iSTARTM Next Generation SSL VPN 、背景介绍 当今世界瞬息万变，全球化的商业环境使分布在全国甚至是世界各地的企业分支机构员 工、合作伙伴和客户之间的联系更加紧密。如何安全、快速、方便的 VPN 远程访问企业内部 资源成为企业首先要解决的当务之急。 （图一 VPN 技术应用的发展） 然而到目前为止，大多数的 VPN 远程安全访问解决方案仍然停留在 97 年的 IPSec VPN 技术。随着移动办公和远程用户的急速增加，源于 10 年前的 IPSec 技术不再适合今天多变 的网络环境。IPSec 的易用性差，和防火墙兼容度低，维护成本高，更关键的是：在实际的网络 环境中经常无法正常工作；2001 年所面世的第一代 SSL VPN 技术（第一代 VPN）又受限於架 构上的缺失，因此企业莫不寻求更好的远程访问技术，亦或者根本放弃远程访问技术。 UUDynamics 公司研发的 iSTAR （instant Secure Tunnel ARchitecture）系 列，是针对解决现代网络安全问题所设计的新世代网络安全平台。我们强调网络安全平台 这一观念，即无论是远程访问或是内网安全，也无分是 WAN 还是 LAN，都需要一个安全平 台来保障其资源、主机与通讯的安全性，避免不速之客的威胁及蠕虫的传播。 5 iSTARTM Next Generation SSL VPN iSTAR集成了已知各种 VPN 的优点，以 交交换单换单元元 （UUCentral）、 、 发发布布单单元元 （UUPublisher）及客客户户端端三者架构出新世代的网络安全平台，能广泛的保障远程访问、Lan- to-Lan、内网保护、实体隔离、物理隔离以及远程维护等各种网络应用的安全。它能适应不同 的网络环境，支持各种应用软件的运行，能最快速的架构出适合各行各业的网络安全平台。 iSTAR的两级式（2-level）管理概念，使得它不但符合企业的安全需求，更能够为服务商 （Service Provider）提供一个网络安全服务的营运平台。 、功能介绍 特色功能特色功能功能功能说说明明 远程访问 以安全、快速、方便的远程访问方案协助解决企业分布在全国乃至世 界各地的分支机构员工、合作伙伴和客户之间的联系，或远程访问企 业内部资源，并能掌握互联网不可预测的延时和路由参数。 远程维护 以安全、快速、方便的远程维护方案帮助企业为其客户提供迅速、优 质的远程维护服务，使企业能有效的降低成本和扩大客户群。 物理隔离 目前政府与税务等部门内部网络与外部网络之间需要交换的信息越 来越多，通过媒体拷贝或其它方式不仅无法保证信息传递的效率，更 缺乏对信息安全的严格审查，极易导致攻击程序的流入和重要信息的 泄漏，iSTAR提供了理想的物理隔离方案以协助政府、税务等部门 轻松落实物理隔离需求。 端到端安全保护 （end to end） iSTAR集成了各种 VPN 的优点，以 交交换单换单元元 （UUCentral）、 、 发发布布 单单元元 （UUPublisher）及客客户户端端三者架构出新世代的网络安全平台， 能完全满足企业对于端到端安全保护需求。 6 iSTARTM Next Generation SSL VPN 、产品优势连接性能 支持Web、C/S 应用及网络文件夹共享功能，支持特殊用户使用网络共享功能。 支持远程服务器连接本地网络功能，支持site-to-site连接。 部署简单，无须预装客户端软件，无须更改现有的网络及防火墙设置，可被安装在各种的 内部网络上。 提供使用Public IP地址（Direct Access）或是Private IP地址（Private Access）两种部署方 式。 使用者（User-based）存取控制政策，简单清晰。 高安全性，基于应用层的end to end安全机制，无须在应用服务器端的防火墙上开任何进 向端口。 无须Public IP地址（Private Access）。 能完全地与企能完全地与企业现业现有有认证认证机制整合。机制整合。 支持双因子（支持双因子（Dual-factor） ）认证认证功能。功能。 支持客户端凭证功能，支持角色（Role-based）管理政策，支持存取时间段（Time-based） 政策，支持主机检查（Host checker）政策，可强制规定上线主机板本的一致性。 内建式CA（Build-in CA）。 采用丛集（cluster）以及负载平衡（load balance）技术，扩充性佳。 N1的架构方式，免除成双成的架构方式，免除成双成对对的的购买购买方式，方式，实现实现低低TCO （ （Total Cost of Ownership） ） 优势优势。 。 以单一环境同时支持企业员工以及商务伙伴使用，可以多个site 共享一个电子凭证 （Private Access）。 获得ICSA认证（ICSA labs SSL-TLS Certification）。 7 iSTARTM Next Generation SSL VPN 、成功用户 政府机构政府机构其它其它 中铁集装箱运输有限责任公司中铁集装箱运输有限责任公司 客户、合作伙伴 用户、远程用户、 供应商等 用户用户 所有基于IP协议 的服务 A. 基于WEB的应 用 B. 文件共享 部 分C/S应用 支持的应用支持的应用 A. 对没有相应技 术的用户比较困 难 B. 需要培训 A. 非常友好，使 用熟悉 的浏览 器 B. 无需终端用户 的培训 用户的易使用性用户的易使用性 A. 通常需要长时 间的配置 B. 需要客户端软 件或者硬件 A. 即插即用安装 B. 无需附加的客 户端软、硬件安 装 制造、流通制造、流通金融、电信金融、电信 8 iSTARTM Next Generation SSL VPN 、某大型集团企业 SSL VPN 需求 某集团是中国最大的食品企业之一，目前在国内投资总额达12亿美元，旗下共拥有60家 营运公司，40家工厂，3家量贩店，31家快餐餐厅，员工近30000人。该集团面临的问题是：为 了提高企业的竞争能力，集团要求提供外出专员安全地远程访问总公司BI（business intelligence）系统、ERP系统和其它信息资源，而且必需能与现有的Radius认证数据库整合， 外出专员不受接入环境的制约，无论使用宽频、拨号、无线上网，或是网络中有防火墙、 NAT、Proxy 都必需能够使用。如何建立一个高可靠性，可平滑扩容，安全可靠稳定的广域 网，能让各分支机构和移动用户或者合作伙伴能随时访问总公司所提供的资源，成为该集团 的最大难题！ 总公司总公司 发布单元发布单元 BI Server 交换单元交换单元 Radius Internet 专员专员 专员专员 专员专员 专员专员 专员专员 专员专员 专员专员 （图二 iSTAR为集团企业提供的 SSL VPN 需求解决方案） 9 iSTARTM Next Generation SSL VPN 方案方案说说明明： 对于该集团的需求而言，非但不易整合，架设的成本非常高且难以管理！iSTAR比起传 统的 SSL VPN 与 IPSEC VPN 更具有优越性的地方在于， 越是复杂的环境，越能体现 iSTAR便捷的部属方式。 针对该集团的需求，我们在总公司架设了 iSTAR交换单元，利用 iSTAR特有的部 属方式，准确且快速的建立起各支点的相互传递网络。各个支点分别利用 iSTAR的安全通 道隐密的接收与传送重要数据，充分保证数据在安全的模式下传输。 不同的应用，但采用相同 的发布手段，完全免除了针对不同应用特别部属的昂贵人力物力成本。烟草专卖局（公司）的 需求复杂，但 iSTAR的实施却是非常简单。 获获得效益得效益： 1.选用基于逻辑名的概念，进行连接，适合动态的网络，即插即用，不需对原有的“城墙” 作任何变更，无处不达，并实现端到端的安全保护。 2.针对市场需求的挑战而设计，不但适合企业公司内部互联，并可实时与 Extranet 合作 伙伴互通企业信息，特别在企业重组或者合并时候，提供最好弹性的整和，不必重新 配置协同工作的“城墙”。 3.在互联网的基础上，可利用 iSTAR的架构，构架独特的企业架构，有效的左右路由 路径与优化延迟参数，可处理偏远地区的节点，包括大范围的全球各地区的节点。 4.包含 IPSec VPN 与 SSL VPN 产品全部功能，提供一个整体而且高度集成的解决方案。 5.架构优越，技术超越，因此可以提供高性能，性价比高，低 TCO（Total Cost of Ownership）的全面的端到端的解决方案。 6.部署独立于现存“坚墙厚壁”的架构，无需重新调整现存架构，无需担心 IP 地址冲突， 和现有的 IT 设备完全兼容。 7.安全 iSTAR架构使得位于 Site 端的设备（发布单元）得以摆脱 Public IP 的束缚，不再 10 iSTARTM Next Generation SSL VPN 被局限在网关的位置，可以任意的向内网延伸；这不但简化了 VPN 的部署，同时也 增加了内网的安全性。提供了真正的端到端的保护。 iSTAR架构下，防火墙不需要开任何向内的端口，能有效阻断常见的端口扫描黑 客攻击方式。 iSTAR可与大多数常见的认证方式相容，包括 Windows Active Directory, Windows NT Domain, LDAP 服务器, Radius 服务器，以及 Ace 服务器，它同时也具 备了本地数据库功能(local database)。iSTAR能无缝地与您现有的安全认证机制 完全整合。 客户端支持双因子认证，可支持常见的 RSA SecurID token，one-time password，UUKey，使保险业企业的重要数据资源得到高级别的保护。 Build-in CA 8.快速部署 iSTAR架构不需要改变企业现有网络配置，实现即插即用，快速部署。 9.快速访问 iSTAR架构提供了基于 Internet 的路由可控性，大大提高访问速度，尤其是有效解决 了不同 ISP 间跨网访问、偏远地区的营业网点、以及大范围的全球各地区的网点的网络 延迟问题。 10. 扩展性强 通过 iSTAR架构下的 Multi-site 部署方式，可以在原有架构内快速加入新的网点，有 效支持了保险行业营业网点迅速扩充的拓展性需求。 11. 可靠性高 iSTAR支持 Clustering 及 Load Balancing 技术，并采用 N+1 的高可靠性保护机制， 有效保障了信息系统的可靠运行。 12. 易用性高 企业员工通过 IE 就可以实现对企业相关资源的访问，并通过独特的 UUKey 自动登录功 能，方便用户即插即用，而且所有的应用以图标方式双击访问，无须任何培训。 11 iSTARTM Next Generation SSL VPN 13. 维护简单 由于不需要安装客户端，通过浏览器实现访问，维护量低，设备也支持通过 SSL 加密实 现远程管理。 、附录（FAQ） 1iSTAR的目的目标标客客户户是是谁谁？ 中大型制造企业、银行、政券公司、保险、电信等运营商、政府（电子政务）、IT 服务 公司、连锁及物流企业等。 2通通过过 iSTAR用什么？用什么？ 提供企业的远程安全访问解决方案，包括： 2.1C/S 应用程序访问：支持 C/S 应用程序、WEB 应用程序、常用的终端连接 （IBM5250/3270、Telnet 等）远程桌面控制（MS Terminal、PCAnywhere、RAdmin 等）、邮件（Outlook、Outlook Express、Eudora 等）和其它应用程序，如 Notes、ERP、NetMeeting、SQL Server、CVS 等。 2.2文件服务器访问：支持文件浏览、FTP、SMB、NFS 服务器等。 2.3子网访问 2.3.1 UURemote 可以让远程用户在需要的时候接入虚拟子网，如同在本地局域 网里一样。 2.3.2 UUSoft 可以让远程服务器直接接入虚拟子网，可以为远程维护服务器或 IT 服务运营商提供不间断的远程接入模式。 2.3.3 Site-to-site 访问：Site-to-site 安全通道连接方式提供了私有专线以外的另 一种选择，安全通道两端的资源和应用程序透明共享。 3企企业业哪些人哪些人员员会通会通过过 iSTAR远远程程访问访问公司公司资资源？源？ 出差或在公司外部的人员，对信息提供或获得的时效性要求比较高，同时需要有安全的 12 iSTARTM Next Generation SSL VPN 访问保障，如：公司高级管理层、销售部、特定项目小组、IT 部门维护人员与合作伙伴。 4iSTAR能保能保证证客客户户任何任何时间时间、任何地点的、任何地点的远远程安全程安全访问吗访问吗？ 通过 IE 浏览器，在任何时间、任何地点（如：公司内部、分公司、宾馆、家庭、机场 HOTSPOT WLAN 与合作伙伴公司等），只要可以连接 INTERNET，无需复杂的参数设 置，就可以非常方便安全的访问所需资源。 5iSTAR安全性体安全性体现现在哪几个方面？在哪几个方面？ 5.1采用银行金融广泛使用的 SSL 协议，同时可选 AES-256-CBC、DES-EDE3- CBC、DES-CBC 加密算法，可选支持 MD5 和 SHA1 哈希算法。 5.2三种网络模式（单模式、透明模式及路由模式）提供真正端到端的安全。而 IPSec VPN 提供网关网关到网关网关的安全, 传统式 SSL VPN 只提供端端到网关网关的安全。 5.3支持企业部署比用户名/密码更高的安全策略，如目前流行的双因子认证：RSA SECURID、ONE-TIME PASSWORD 与客户端证书等，同时可以和大多数企业的 认证环境（如：Windows AD、Windows NT DOMAIN、LDAP Server 或本地数据库 认证）无缝集成；并根据企业的安全策略，制定规则分配给相应的角色，对不同的角 色授予不同的权限；通过上述安全策略，iSTAR发布单元可以发布应用程序、文件 夹或子网给一个或多个用户、一个或多个组、特殊角色或持有定制客户端证书的用 户。 5.4更安全的防火墙策略，一般 SSL VPN 是部署在防火墙之后，需要开启向内的 TCP443 端口，开启端口会相应导致潜在的安全隐患，而 iSTAR通过交换单元在 访问端和被访问端都无需开启向内的端口，安全性更高。 13 iSTARTM Next Generation SSL VPN 6iSTAR的的综综合成本合成本优势优势中包含那几个方面？中包含那几个方面？ 6.1配置和配置和维护维护： ：IPSEC VPN 和和 SSL VPN 比比较较 低 高 安装成本 不需要 需要 客户端安全软件（防病 毒和个人防火墙） 不需要 需要 VPN客户端软 件和硬件 需要 需要 服务器端 SSL VPN IPSec. VPN 设备投资 少 多 客户培训 小 和客户端数量成正 比 客户端 小 大 服务器端 SSL VPN IPSec. VPN 维护成本 选项选项SSL VPNIPSec VPN 全程安全性全程安全性A. 端到端的安全 B. 从客户到资源端全程加密 A. 网络边缘到客户端 B. 仅对从客户到VPN网关之间通道加密 可访问性可访问性选用于任何时间、任何地点访问限制适用于已经定义好受控用户的访问 费用费用低（无需任何附加客户端软件）高（需要管理客户端软件） 安装安装A. 即插即用安装 B. 无需附加的客户端软、硬件安装 A. 通常需要长时间的配置 B. 需要客户端软件或者硬件 用户的易使用性用户的易使用性A. 非常友好，使用熟悉的浏览器 B. 无需终端用户的培训 A. 对没有相应技术的用户比较困难 B. 需要培训 支持的应用支持的应用A. 基于WEB的应用 B. 文件共享 部分C/S应用 所有基于IP协议的服务 用户用户客户、合作伙伴用户、远程用户、供 应商等 更适用于企业内部使用 可伸缩性可伸缩性容易配置和扩展在服务器端容易实现自由伸缩，在客户 端比较困难 14 iSTARTM Next Generation SSL VPN 6.2iSTAR独有的交独有的交换单换单元，解决了企元，解决了企业业没有静没有静态态公网公网 IP 地址、又要使用地址、又要使用 SSL VPN 的的问题问题，尤其在，尤其在亚亚洲地区洲地区 IP 资资源源紧张紧张的的现现状下，可以状下，可以为为企企业节业节省申省申请请静静态态公网公网 IP 地址的高昂地址的高昂费费用。用。 6.3共享数字共享数字证书证书： ：SSL VPN 对对于需要一于需要一张张数字数字证书证书来来认证认证被被访问访问端的可信性，端的可信性， 数字数字 证书证书有有:1、 、权权威机构威机构签发签发如：如：VeriSign 一年大一年大约约 US$800， ，2、 、SSL VPN 厂商厂商签发签发; iSTAR Private Access 连连接方式，可以使多个交接方式，可以使多个交换单换单元共享一元共享一张张数字数字证书证书，大，大 大降低大降低 SSL VPN 的使用成本。的使用成本。 7iSTAR倡倡导导的的 SSL VPN 网网络络安全新理念。安全新理念。 在冷兵器时代，构筑城墙是很好的防护手段，但自从有了航空器后，城墙式的二维地面 防护效用就变得很低，防火墙在公司的网关位置承担看门的职能。但由于目前 WLAN、GPRS/CDMA 移动终端的广泛应用，无线上网使公司的数据不仅仅通过物理线路， 而且也可以通过无线进行传输，防火墙对这部分基本没有防护方法，而 iSTAR基于应用的 访问控制方式, 不仅建立了从公司局域网外的安全访问控制, 而且, 将同样的安全机制延伸 到内网, 从而了有效解决了企业内网到服务器端的访问保护问题. 15 iSTARTM Next Generation SSL VPN 8什么是什么是 iSTAR？ iSTAR是 instant Secure Tunnel ARchitecture 的缩写，它是 UUDynamics 公司首创的新一代 SSL VPN 技术,能快速的解决应用程序或文件安全跨越网络和组织 边 界的问题，为企业用户和服务商（Service Provider）提供安全、灵活的 VPN 解决方案。 9与与传统传统的网的网络络架构比架构比较较， ，iSTAR有什么不同？有什么不同？ iSTAR技术提供了基于 发布单元和交换单元的安全信息网络模型，为现代 企业用户提供了应用程序或文件存取的发布、控制和管理平台。同时，它涵盖了传统 VPN 的所有功能，为现代企业网的 Intranet、Extranet、Remote Access、Application Export 等提供了安全、高效的整体解决方案；iSTAR还能快速实现企业与其分支机 构和商业伙伴之间的 B2B、供应链、分布式 OA 等电子业务的需求。 10 部署部署 iSTAR是否需要公网地址？需要几个公网是否需要公网地址？需要几个公网 IP? 部署时发布单元选择使用 Private Access 方式进行连接，发布单元不需要静态公共 IP 16 iSTARTM Next Generation SSL VPN 地址，设置私有 IP 地址就可以正常工作。如果发布单元选择使用 Direct Access 方式， 发布单元需要一个静态公共 IP 地址就可以把企业内所有资源提供给外面用户访问。 11 部署部署 iSTAR对对网网络络速度是否有要求？速度是否有要求？ 发布单元需要宽带网络，以便给客户端提供快速的访问。客户端对访问速度基本没有要 求，支持 MODEM 拨号，ADSL 拨号，有线通和其它各种上网方式。 12 使用使用 iSTAR，要不要，要不要对对每个客每个客户户机机进进行安装配置行安装配置? iSTAR是通过微软标准的 IE 浏览器实现 SSL VPN 连接，所以对客户机无需预先安 装软件。 13 iSTAR部署需要部署需要对现对现有网有网络络做什么做什么样样的改的改动动？ iSTAR的部署对网络完全透明，无需更改任何网络设置。在内网提供单模式 （Standalone Mode）、透明模式（Transparent Mode）、路由模式（Router Mode）这 三种模式来适应企业的具体网络。 14 iSTAR部署是否需要部署是否需要对应对应用服用服务务器器进进行改行改动动？ iSTAR的部署无需对应用服务器进行任何改动，可以和目前使用的应用服务器无缝连 接。 15 iSTAR接入需要要接入需要要对对防火防火墙墙做改做改动吗动吗? iSTAR使用的 TCP 443 端口，目前的防火墙基本将此端口打开。 16 iSTAR是否支持无是否支持无线线上网？上网？ 支持标准的 WIFI，GPRS 和 CDMA 无线上网方式。 17 客客户户端如何使用端如何使用 iSTAR进进行接入？行接入？ 17 iSTARTM Next Generation SSL VPN iSTAR SSL VPN 为客户的应用程序提供一个透明的运行平台。在客户端，第一次通 过 IE 以 HTTPS 连接到 iSTAR SSL VPN 的服务器上时，一个 ActiveX 控件会自动 下载并安装（IE 的安全设置应允许该操作）。用户不需要手工安装任何客户端软件。 然后打开 Microsoft Internet Explorer，输入 URL 地址，经过用户认证后，就可以获取 在服务器端授权给该用户的应用列表，执行该列表中的应用程序客户端，该应用客户端 就可以安全地连接到远程的服务器进行工作。 18 iSTAR支持那些支持那些应应用程序，支持用程序，支持 C/S 程序程序吗吗？ 支持 WEB 应用程序，C/S 应用程序，文件共享，支持使用任何静态和动态 TCP 端口的 C/S 程序，同时可以自定义需要使用的应用程序。 还支持可以访问多个服务器的单个应用，这些服务器将开启相同端口。支持能同时访问 多个服务器的分布式应用，其中的每个服务器都会打开一组不同的端口，并提供不同的 服务。 19 iSTAR支持哪些客支持哪些客户户端安全策略？端安全策略？ iSTAR可以要求客户端必须安装和启用指定的防病毒软件，客户端访问的操作系统类 18 iSTARTM Next Generation SSL VPN 型，操作系统的补丁，以及基于时间段访问的策略。 20 iSTAR是否可以是否可以实现实现子网虚子网虚拟拟接入功能？接入功能？ iSTAR支持 Site To Site ，UURemote 支持按需连接虚拟子网，UUSoft 支持不间断连 接虚拟子网。 21 iSTAR支持那几种支持那几种语语言版本？言版本？ 目前支持简体中文，繁体中文和英文三种语言版本，以后将支持更多的语言版本。 22 iSTAR支持什么支持什么样样的的认证认证方式？方式？ iSTAR支持目前主要的认证方式，包括 Windows AD、Windows NT Domain、LDAP server、 Radius server 和 Ace/Server 以及客户端证书等，同时也提供本地数据库认 证。iSTAR可以很好的和大多数企业的认证环境集成。 23 iSTAR需要什么定期需要什么定期维护维护? 管理员应该定期备份 iSTAR的配置文件，使用管理界面就可以轻松完成。 24 客客户户端是否支持数字端是否支持数字证书证书方式方式认证认证？ 支持。 25 iSTAR是否支持是否支持 CLUSTER？方式是什么？方式是什么样样？ iSTAR支持最多 10 台的 CLUSTER，方式是 N+1 的方式。 26 iSTAR能否支持用能否支持用“户户名名+口令口令”这这种种认证认证方式方式? 是否可以将某些用是否可以将某些用户户配置成通配置成通过过用用“户户 名名+口令口令”的方式登的方式登录录，而另外一些用，而另外一些用户户使用使用 USB Key 登登录录？ iSTAR的最简单的认证方式就是用“户名+口令”，同时通过多重安全域支持多级管理 19 iSTARTM Next Generation SSL VPN 部署，用户可选 择登录不同的安全域进行认证。或根据企业的需要对一些不同用户通过 用“户名+口令”方式录，高级用户实现 USB KEY 登录的认证方式。 27 iSTAR是否有是否有审记审记功能？功能？ iSTAR有 6 级审计功能，可以清楚的进行审计工作。 28 iSTAR支持什么支持什么样样的的报报警方式？警方式？ 支持邮件或者寻呼机报警。 29 iSTAR是否有是否有导导入，入，导导出，和恢复出厂出，和恢复出厂设设置功能？置功能？ 支持导出，导入配置，同时提供恢复出厂设置功能。 30 iSTAR是否有清除是否有清除访问访问的的 CACHE 和和记录记录的功能？的功能？ 有，可以选择清除浏览缓存，浏览历史记录，用户认证信息与自动填充密码等功能。 31 实实施施 iSTAR需要做什么相关准需要做什么相关准备备? 为了使远程客户可以访问 iSTAR发布出来的应用，公司需要接入 Internet。 32 iSTAR本身使用什么操作系本身使用什么操作系统统？ 使用的是经过安全加固和精简的 LINUX 的系统。 33 iSTAR如何如何进进行管理？行管理？ iSTAR支持本地和远程管理，通过 IE 浏览器使用同样的界面管理进行管理。整个管 理过程通过 SSL 信道实现。 34 有了有了 iSTAR， ，还还需要需要 IPSec VPN 吗吗？ iSTAR融合了 SSL VPN 和 IPSec VPN 的特点，企业完全可以通过 iSTAR实现整 20 iSTARTM Next Generation SSL VPN 体 VPN 方案，不需再使用 IPSec VPN。 35 iSTAR是否支持是否支持现现有的用有的用户户数据数据库库，是如何工作的？，是如何工作的？ iSTAR可以使用 Windows AD、NTLM、RADIUS，LDAP 等用户数据库完成认证。 iSTAR在对远程访问的控制包括认证和授权两个阶段。当一个用户从外部访问 iSTAR的时候，iSTAR首先要完成对该用户的身份认证。默认情况下，iSTAR完 成认证过程，用户也可以通过配置，由上述认证服务器完成用户认证工作，例如用户在使 用 RSA SECURID认证时，可以将认证工作交给 ACE 服务器完成。当认证通过后， iSTAR会完成接下来的授权工作。 36 iSTAR界面中是否能定制企界面中是否能定制企业业自己的自己的 LOGO？ 企业可以根据自己的需要，在 iSTAR的访问界面中使用企业自己的 LOGO。 37 iSTAR如何升如何升级级新版本？新版本？ 在管理界面中提供升级选项，管理员只需获取升级包，使用此功能就可以轻松完成升 级。 38 iSTAR是否支持双因子是否支持双因子认证认证？ 21 iSTARTM Next Generation SSL VPN 支持。目前支持 RSA SECURID令牌卡，动态式密码（one-time password），客户端 证书认证。 39 iSTAR支持那些加密算法？支持那些加密算法？ 目前支持 AES-256-CBC，DES-EDE3-CBC，DES-CBC 加密算法，支持 MD5 和 SHA1 哈希算法。 40 什么是什么是 iSTAR的的发发布布单单元？它的主要作用是什么？元？它的主要作用是什么？ 发布单元（Publisher）UU100/UU200 位于 iSTAR体系结构中的应用服务器端，它可 以将应用服务器提供的服务安全地发布给合法的用户，也可以将应用服务器端的某个子 网发布给合法的用户。发布单元可以与用户的认证服务器相联接，根据认证服务器的认 证结果确定是否提供服务。 41 什么是什么是 iSTAR的交的交换单换单元？它的主要作用是什么？元？它的主要作用是什么？ UUSwitch/UUExchange 是 iSTAR体系