iSTAR多连锁支点解决方案集

1、istartm 多连锁支点解决方案集多连锁支点解决方案集 2006-8 目 录 一、一、公司介绍公司介绍3 二、二、背景介绍背景介绍4 三、三、功能介绍功能介绍5 四、四、产品优势产品优势连接性能连接性能6 五、五、成功用户成功用户7 六、六、某大型集团企业某大型集团企业 ssl vpn 需求需求8 七、七、附录（附录（faq）11 一、公司介绍 广优资讯科技有限公司（uudynamics, inc.） ，是专门从事网络安全产品开发与销 售，提供企业最佳 vpn 解决方案的服务提供商。公司总部位于美国加州硅谷, 亚洲分公司 设在中国上海。自公司成立以来凭借着优秀的销售团队与独特优异的 vpn

2、开发技术，已经 获得包含 ibm 与 acer 等公司的肯定，并进一步成为了合作伙伴。 （一）公司大事纪： 公司成立于 2002 年 8 月。 2003 年 7 月，推出 istar beta 测试版本。 2004 年 3 月，宏碁与 uudynamics 签约，成为台湾地区总代理。 2004 年 4 月，推出正式版本 istar。 2004 年 12 月, 中国普天集团南方电信公司与 uudynamics 签约，成为中国大陆 地区代理。 2005 年 10 月，istar平台通过国际安全认证权威 icsa labs ssl-tls v2.0 的 认证。 2005 年 12 月 uudynam

3、ics 成为 ibm 大中国地区安全产品合作伙伴。 2006 年至今在金融、电信、制造、流通与政府机构中皆有广大的用户。 二、背景介绍 当今世界瞬息万变，全球化的商业环境使分布在全国甚至是世界各地的企业分支机构员 工、合作伙伴和客户之间的联系更加紧密。如何安全、快速、方便的 vpn 远程访问企业内 部资源成为企业首先要解决的当务之急。 （图一 vpn 技术应用的发展） 然而到目前为止，大多数的 vpn 远程安全访问解决方案仍然停留在 97 年的 ipsec vpn 技术。随着移动办公和远程用户的急速增加，源于 10 年前的 ipsec 技术不再适合今 天多变的网络环境。ipsec 的易用性差，

4、和防火墙兼容度低，维护成本高，更关键的是：在 实际的网络环境中经常无法正常工作；2001 年所面世的第一代 ssl vpn 技术（第一代 vpn）又受限於架构上的缺失，因此企业莫不寻求更好的远程访问技术，亦或者根本放弃远 程访问技术。 uudynamics 公司研发的 istar （instant secure tunnel architecture） 系列，是针对解决现代网络安全问题所设计的新世代网络安全平台。我们强调网络安全平 台这一观念，即无论是远程访问或是内网安全，也无分是 wan 还是 lan，都需要一个 安全平台来保障其资源、主机与通讯的安全性，避免不速之客的威胁及蠕虫的传播。 i

5、star集成了已知各种 vpn 的优点，以交换单元交换单元 （uucentral） 、 发布单元发布单元 （uupublisher）及客户端客户端三者架构出新世代的网络安全平台，能广泛的保障远程访问、 lan-to-lan、内网保护、实体隔离、物理隔离以及远程维护等各种网络应用的安全。它能适 应不同的网络环境，支持各种应用软件的运行，能最快速的架构出适合各行各业的网络安全 平台。istar的两级式（2-level）管理概念，使得它不但符合企业的安全需求，更能够为 服务商（service provider）提供一个网络安全服务的营运平台。 三、功能介绍 特色功能特色功能功能说明功能说明 远程访问

6、 以安全、快速、方便的远程访问方案协助解决企业分布在全国乃至 世界各地的分支机构员工、合作伙伴和客户之间的联系，或远程访 问企业内部资源，并能掌握互联网不可预测的延时和路由参数。 远程维护 以安全、快速、方便的远程维护方案帮助企业为其客户提供迅速、 优质的远程维护服务，使企业能有效的降低成本和扩大客户群。 物理隔离 目前政府与税务等部门内部网络与外部网络之间需要交换的信息越 来越多，通过媒体拷贝或其它方式不仅无法保证信息传递的效率， 更缺乏对信息安全的严格审查，极易导致攻击程序的流入和重要信 息的泄漏，istar提供了理想的物理隔离方案以协助政府、税务 等部门轻松落实物理隔离需求。 端到端安全

7、保护 （end to end） istar集成了各种 vpn 的优点，以交换单元交换单元 （uucentral） 、 发布单元发布单元 （uupublisher）及客户端客户端三者架构出新世代的网 络安全平台，能完全满足企业对于端到端安全保护需求。 四、产品优势连接性能 支持web、c/s 应用及网络文件夹共享功能，支持特殊用户使用网络共享功能。 支持远程服务器连接本地网络功能，支持site-to-site连接。 部署简单，无须预装客户端软件，无须更改现有的网络及防火墙设置，可被安装在各种 的内部网络上。 提供使用public ip地址（direct access）或是private ip地址

8、（private access）两种部 署方式。 使用者（user-based）存取控制政策，简单清晰。 高安全性，基于应用层的end to end安全机制，无须在应用服务器端的防火墙上开任何 进向端口。 无须public ip地址（private access）。 能完全地与企业现有认证机制整合。能完全地与企业现有认证机制整合。 支持双因子（支持双因子（dual-factor）认证功能。）认证功能。 支持客户端凭证功能，支持角色（role-based）管理政策，支持存取时间段（time- based）政策，支持主机检查（host checker）政策，可强制规定上线主机板本的一致 性。 内建

9、式ca（build-in ca）。 采用丛集（cluster）以及负载平衡（load balance）技术，扩充性佳。 n1的架构方式，免除成双成对的购买方式，实现低的架构方式，免除成双成对的购买方式，实现低tco （total cost of ownership）优势。）优势。 以单一环境同时支持企业员工以及商务伙伴使用，可以多个site 共享一个电子凭证 （private access）。 获得icsa认证（icsa labs ssl-tls certification）。 五、成功用户 中铁集装箱运输有限责任公司中铁集装箱运输有限责任公司 客户、合作伙伴 用户、远程用户、 供应商等 用户

10、用户 所有基于ip协议 的服务 a. 基于web的应 用 b. 文件共享 部 分c/s应用 支持的应用支持的应用 a. 对没有相应技 术的用户比较困 难 b. 需要培训 a. 非常友好，使 用熟悉 的浏览 器 b. 无需终端用户 的培训 用户的易使用性用户的易使用性 a. 通常需要长时 间的配置 b. 需要客户端软 件或者硬件 a. 即插即用安装 b. 无需附加的客 户端软、硬件安 装 制造、流通制造、流通金融、电信金融、电信 政府机构政府机构其它其它 六、某大型集团企业 ssl vpn 需求 某集团是中国最大的食品企业之一，目前在国内投资总额达12亿美元，旗下共拥有60 家营运公司，40家工

11、厂，3家量贩店，31家快餐餐厅，员工近30000人。该集团面临的问题 是：为了提高企业的竞争能力，集团要求提供外出专员安全地远程访问总公司 bi（business intelligence）系统、erp系统和其它信息资源，而且必需能与现有的radius 认证数据库整合，外出专员不受接入环境的制约，无论使用宽频、拨号、无线上网，或是 网络中有防火墙、nat、proxy 都必需能够使用。如何建立一个高可靠性，可平滑扩容， 安全可靠稳定的广域网，能让各分支机构和移动用户或者合作伙伴能随时访问总公司所提 供的资源，成为该集团的最大难题！ 总公司总公司 发布单元发布单元 bi server 交换单元交换

12、单元 radius internet 专员专员 专员专员 专员专员 专员专员 专员专员 专员专员 专员专员 （图二 istar为集团企业提供的 ssl vpn 需求解决方案） 方案说明方案说明： 对于该集团的需求而言，非但不易整合，架设的成本非常高且难以管理！istar比起 传统的 ssl vpn 与 ipsec vpn 更具有优越性的地方在于， 越是复杂的环境，越能体现 istar便捷的部属方式 。 针对该集团的需求，我们在总公司架设了 istar交换单元，利用 istar特有的部 属方式，准确且快速的建立起各支点的相互传递网络。各个支点分别利用 istar的安全 通道隐密的接收与传送重要数

13、据，充分保证数据在安全的模式下传输。 不同的应用，但采 用相同的发布手段 ，完全免除了针对不同应用特别部属的昂贵人力物力成本。烟草专卖局 （公司）的需求复杂，但 istar的实施却是非常简单。 获得效益获得效益： 1.选用基于逻辑名的概念，进行连接，适合动态的网络，即插即用，不需对原有的“城 墙”作任何变更，无处不达，并实现端到端的安全保护。 2.针对市场需求的挑战而设计，不但适合企业公司内部互联，并可实时与 extranet 合 作伙伴互通企业信息，特别在企业重组或者合并时候，提供最好弹性的整和，不必 重新配置协同工作的“城墙”。 3.在互联网的基础上，可利用 istar的架构，构架独特的企

14、业架构，有效的左右路 由路径与优化延迟参数，可处理偏远地区的节点，包括大范围的全球各地区的节点。 4.包含 ipsec vpn 与 ssl vpn 产品全部功能，提供一个整体而且高度集成的解决方 案。 5.架构优越，技术超越，因此可以提供高性能，性价比高，低 tco（total cost of ownership）的全面的端到端的解决方案。 6.部署独立于现存“坚墙厚壁”的架构，无需重新调整现存架构，无需担心 ip 地址冲突， 和现有的 it 设备完全兼容。 7.安全 istar架构使得位于 site 端的设备（发布单元）得以摆脱 public ip 的束缚，不 再被局限在网关的位置，可以任意

15、的向内网延伸；这不但简化了 vpn 的部署，同 时也增加了内网的安全性。提供了真正的端到端的保护。 istar架构下，防火墙不需要开任何向内的端口，能有效阻断常见的端口扫描黑 客攻击方式。 istar可与大多数常见的认证方式相容，包括 windows active directory, windows nt domain, ldap 服务器, radius 服务器，以及 ace 服务器，它同时也 具备了本地数据库功能(local database)。istar能无缝地与您现有的安全认证机 制完全整合。 客户端支持双因子认证，可支持常见的 rsa securid token，one-time p

16、assword，uukey，使保险业企业的重要数据资源得到高级别的保护。 build-in ca 8.快速部署 istar架构不需要改变企业现有网络配置，实现即插即用，快速部署。 9.快速访问 istar架构提供了基于 internet 的路由可控性，大大提高访问速度，尤其是有效解决 了不同 isp 间跨网访问、偏远地区的营业网点、以及大范围的全球各地区的网点的网络 延迟问题。 10. 扩展性强 通过 istar架构下的 multi-site 部署方式，可以在原有架构内快速加入新的网点，有 效支持了保险行业营业网点迅速扩充的拓展性需求。 11. 可靠性高 istar支持 clustering

17、及 load balancing 技术，并采用 n+1 的高可靠性保护机制， 有效保障了信息系统的可靠运行。 12. 易用性高 企业员工通过 ie 就可以实现对企业相关资源的访问，并通过独特的 uukey 自动登录功 能，方便用户即插即用，而且所有的应用以图标方式双击访问，无须任何培训。 13. 维护简单 由于不需要安装客户端，通过浏览器实现访问，维护量低，设备也支持通过 ssl 加密 实现远程管理。 七、附录（faq） 1istar的目标客户是谁？的目标客户是谁？ 中大型制造企业、银行、政券公司、保险、电信等运营商、政府（电子政务） 、it 服务 公司、连锁及物流企业等。 2通过通过 ist

18、ar用什么？用什么？ 提供企业的远程安全访问解决方案，包括： 2.1c/s 应用程序访问：支持 c/s 应用程序、web 应用程序、常用的终端连接 （ibm5250/3270、telnet 等）远程桌面控制（ms terminal、pcanywhere、radmin 等） 、邮件（outlook、outlook express、eudora 等）和其它应用程序，如 notes、erp、netmeeting、sql server、cvs 等。 2.2文件服务器访问：支持文件浏览、ftp、smb、nfs 服务器等。 2.3子网访问 2.3.1 uuremote 可以让远程用户在需要的时候接入虚拟子

19、网，如同在本地局域 网里一样。 2.3.2 uusoft 可以让远程服务器直接接入虚拟子网，可以为远程维护服务器或 it 服务运营商提供不间断的远程接入模式。 2.3.3 site-to-site 访问：site-to-site 安全通道连接方式提供了私有专线以外的另 一种选择，安全通道两端的资源和应用程序透明共享。 3企业哪些人员会通过企业哪些人员会通过 istar远程访问公司资源？远程访问公司资源？ 出差或在公司外部的人员，对信息提供或获得的时效性要求比较高，同时需要有安全 的 访问保障，如：公司高级管理层、销售部、特定项目小组、it 部门维护人员与合作伙 伴。 4istar能保证客户任何

20、时间、任何地点的远程安全访问吗？能保证客户任何时间、任何地点的远程安全访问吗？ 通过 ie 浏览器，在任何时间、任何地点（如：公司内部、分公司、宾馆、家庭、机场 hotspot wlan 与合作伙伴公司等） ，只要可以连接 internet，无需复杂的参数 设 置，就可以非常方便安全的访问所需资源。 5istar安全性体现在哪几个方面？安全性体现在哪几个方面？ 5.1采用银行金融广泛使用的 ssl 协议，同时可选 aes-256-cbc、des-ede3- cbc、des-cbc 加密算法，可选支持 md5 和 sha1 哈希算法。 5.2三种网络模式（单模式、透明模式及路由模式）提供真正端到

21、端的安全。而 ipsec vpn 提供网关网关到网关网关的安全, 传统式 ssl vpn 只提供端端到网关网关的安全。 5.3支持企业部署比用户名/密码更高的安全策略，如目前流行的双因子认证：rsa securid、one-time password 与客户端证书等，同时可以和大多数企业 的认证环境（如：windows ad、windows nt domain、ldap server 或本地数 据库认证）无缝集成；并根据企业的安全策略，制定规则分配给相应的角色，对不 同的角色授予不同的权限；通过上述安全策略，istar发布单元可以发布应用 程序、文件夹或子网给一个或多个用户、一个或多个组、特殊

22、角色或持有定制客户 端证书的用户。 5.4更安全的防火墙策略，一般 ssl vpn 是部署在防火墙之后，需要开启向内的 tcp443 端口，开启端口会相应导致潜在的安全隐患，而 istar通过交换单元 在访问端和被访问端都无需开启向内的端口，安全性更高。 6istar的综合成本优势中包含那几个方面？的综合成本优势中包含那几个方面？ 6.1配置和维护：配置和维护：ipsec vpn 和和 ssl vpn 比较比较 低 高 安装成本 不需要 需要 客户端安全软件（防病 毒和个人防火墙） 不需要 需要 vpn客户端软 件和硬件 需要 需要 服务器端 ssl vpn ipsec. vpn 设备投资 少

23、 多 客户培训 小 和客户端数量成正 比 客户端 小 大 服务器端 ssl vpn ipsec. vpn 维护成本 选项选项ssl vpnipsec vpn 全程安全性全程安全性a. 端到端的安全 b. 从客户到资源端全程加密 a. 网络边缘到客户端 b. 仅对从客户到vpn网关之间通道加密 可访问性可访问性选用于任何时间、任何地点访问限制适用于已经定义好受控用户的访问 费用费用低（无需任何附加客户端软件）高（需要管理客户端软件） 安装安装a. 即插即用安装 b. 无需附加的客户端软、硬件安装 a. 通常需要长时间的配置 b. 需要客户端软件或者硬件 用户的易使用性用户的易使用性a. 非常友好

24、，使用熟悉的浏览器 b. 无需终端用户的培训 a. 对没有相应技术的用户比较困难 b. 需要培训 支持的应用支持的应用a. 基于web的应用 b. 文件共享 部分c/s应用 所有基于ip协议的服务 用户用户客户、合作伙伴用户、远程用户、供 应商等 更适用于企业内部使用 可伸缩性可伸缩性容易配置和扩展在服务器端容易实现自由伸缩，在客户 端比较困难 6.2istar独有的交换单元，解决了企业没有静态公网独有的交换单元，解决了企业没有静态公网 ip 地址、又要使用地址、又要使用 ssl vpn 的问题，尤其在亚洲地区的问题，尤其在亚洲地区 ip 资源紧张的现状下，可以为企业节省申请静态公资源紧张的现

25、状下，可以为企业节省申请静态公 网网 ip 地址的高昂费用。地址的高昂费用。 6.3共享数字证书：共享数字证书：ssl vpn 对于需要一张数字证书来认证被访问端的可信性，对于需要一张数字证书来认证被访问端的可信性， 数字数字 证书有证书有:1、权威机构签发如：、权威机构签发如：verisign 一年大约一年大约 us$800，2、ssl vpn 厂商签厂商签 发发; istar private access 连接方式，可以使多个交换单元共享一张数字证书，连接方式，可以使多个交换单元共享一张数字证书， 大大降低大大降低 ssl vpn 的使用成本。的使用成本。 7istar倡导的倡导的 ssl

26、 vpn 网络安全新理念。网络安全新理念。 在冷兵器时代，构筑城墙是很好的防护手段，但自从有了航空器后，城墙式的二维地 面防护效用就变得很低，防火墙在公司的网关位置承担看门的职能。但由于目前 wlan、gprs/cdma 移动终端的广泛应用，无线上网使公司的数据不仅仅通过物理线路， 而且也可以通过无线进行传输，防火墙对这部分基本没有防护方法，而 istar基于应用 的访问控制方式, 不仅建立了从公司局域网外的安全访问控制, 而且, 将同样的安全机制延 伸到内网, 从而了有效解决了企业内网到服务器端的访问保护问题. 8什么是什么是 istar？ istar是 instant secure tun

27、nel architecture 的缩写，它是 uudynamics 公司首创的新一代 ssl vpn 技术,能快速的解决应用程序或文件安全跨越网络和组织 边 界的问题，为企业用户和服务商（service provider）提供安全、灵活的 vpn 解决方案。 9与传统的网络架构比较，与传统的网络架构比较，istar有什么不同？有什么不同？ istar技术提供了基于 发布单元和交换单元的安全信息网络模型，为现代 企业用户提供了应用程序或文件存取的发布、控制和管理平台。同时，它涵盖了传统 vpn 的所有功能，为现代企业网的 intranet、extranet、remote access、appl

28、ication export 等提供了安全、高效的整体解决方案；istar还能快速实现企业与其分支机 构和商业伙伴之间的 b2b、供应链、分布式 oa 等电子业务的需求。 10 部署部署 istar是否需要公网地址？需要几个公网是否需要公网地址？需要几个公网 ip? 部署时发布单元选择使用 private access 方式进行连接，发布单元不需要静态公共 ip 地址，设置私有 ip 地址就可以正常工作。如果发布单元选择使用 direct access 方式， 发布单元需要一个静态公共 ip 地址就可以把企业内所有资源提供给外面用户访问。 11 部署部署 istar对网络速度是否有要求？对网络

29、速度是否有要求？ 发布单元需要宽带网络，以便给客户端提供快速的访问。客户端对访问速度基本没有 要 求，支持 modem 拨号，adsl 拨号，有线通和其它各种上网方式。 12 使用使用 istar，要不要对每个客户机进行安装配置，要不要对每个客户机进行安装配置? istar是通过微软标准的 ie 浏览器实现 ssl vpn 连接，所以对客户机无需预先安 装软件。 13 istar部署需要对现有网络做什么样的改动？部署需要对现有网络做什么样的改动？ istar的部署对网络完全透明，无需更改任何网络设置。在内网提供单模式 （standalone mode） 、透明模式（transparent mo

30、de） 、路由模式（router mode）这 三种模式来适应企业的具体网络。 14 istar部署是否需要对应用服务器进行改动？部署是否需要对应用服务器进行改动？ istar的部署无需对应用服务器进行任何改动，可以和目前使用的应用服务器无缝 连 接。 15 istar接入需要要对防火墙做改动吗接入需要要对防火墙做改动吗? istar使用的 tcp 443 端口，目前的防火墙基本将此端口打开。 16 istar是否支持无线上网？是否支持无线上网？ 支持标准的 wifi，gprs 和 cdma 无线上网方式。 17 客户端如何使用客户端如何使用 istar进行接入？进行接入？ istar ssl

31、 vpn 为客户的应用程序提供一个透明的运行平台。在客户端，第一次 通 过 ie 以 https 连接到 istar ssl vpn 的服务器上时，一个 activex 控件会自动 下载并安装（ie 的安全设置应允许该操作） 。用户不需要手工安装任何客户端软件。 然后打开 microsoft internet explorer，输入 url 地址，经过用户认证后，就可以获取 在服务器端授权给该用户的应用列表，执行该列表中的应用程序客户端，该应用客户 端 就可以安全地连接到远程的服务器进行工作。 18 istar支持那些应用程序，支持支持那些应用程序，支持 c/s 程序吗？程序吗？ 支持 web

32、 应用程序，c/s 应用程序，文件共享，支持使用任何静态和动态 tcp 端口 的 c/s 程序，同时可以自定义需要使用的应用程序。 还支持可以访问多个服务器的单个应用，这些服务器将开启相同端口。支持能同时访 问 多个服务器的分布式应用，其中的每个服务器都会打开一组不同的端口，并提供不同 的 服务。 19 istar支持哪些客户端安全策略？支持哪些客户端安全策略？ istar可以要求客户端必须安装和启用指定的防病毒软件，客户端访问的操作系统 类 型，操作系统的补丁，以及基于时间段访问的策略。 20 istar是否可以实现子网虚拟接入功能？是否可以实现子网虚拟接入功能？ istar支持 site

33、to site ，uuremote 支持按需连接虚拟子网，uusoft 支持不间断 连 接虚拟子网。 21 istar支持那几种语言版本？支持那几种语言版本？ 目前支持简体中文，繁体中文和英文三种语言版本，以后将支持更多的语言版本。 22 istar支持什么样的认证方式？支持什么样的认证方式？ istar支持目前主要的认证方式，包括 windows ad、windows nt domain、ldap server、 radius server 和 ace/server 以及客户端证书等，同时也提供本地数据库认 证。istar可以很好的和大多数企业的认证环境集成。 23 istar需要什么定期维

34、护需要什么定期维护? 管理员应该定期备份 istar的配置文件，使用管理界面就可以轻松完成。 24 客户端是否支持数字证书方式认证？客户端是否支持数字证书方式认证？ 支持。 25 istar是否支持是否支持 cluster？方式是什么样？方式是什么样？ istar支持最多 10 台的 cluster，方式是 n+1 的方式。 26 istar能否支持用能否支持用“户名户名+口令口令”这种认证方式这种认证方式? 是否可以将某些用户配置成通过用是否可以将某些用户配置成通过用 “户名户名+口令口令”的方式登录，而另外一些用户使用的方式登录，而另外一些用户使用 usb key 登录？登录？ istar

35、的最简单的认证方式就是用“户名+口令” ，同时通过多重安全域支持多级管 理 部署，用户可选 择登录不同的安全域进行认证。或根据企业的需要对一些不同用户通 过 用“户名+口令”方式录，高级用户实现 usb key 登录的认证方式。 27 istar是否有审记功能？是否有审记功能？ istar有 6 级审计功能，可以清楚的进行审计工作。 28 istar支持什么样的报警方式？支持什么样的报警方式？ 支持邮件或者寻呼机报警。 29 istar是否有导入，导出，和恢复出厂设置功能？是否有导入，导出，和恢复出厂设置功能？ 支持导出，导入配置，同时提供恢复出厂设置功能。 30 istar是否有清除访问的是

36、否有清除访问的 cache 和记录的功能？和记录的功能？ 有，可以选择清除浏览缓存，浏览历史记录，用户认证信息与自动填充密码等功能。 31 实施实施 istar需要做什么相关准备需要做什么相关准备? 为了使远程客户可以访问 istar发布出来的应用，公司需要接入 internet。 32 istar本身使用什么操作系统？本身使用什么操作系统？ 使用的是经过安全加固和精简的 linux 的系统。 33 istar如何进行管理？如何进行管理？ istar支持本地和远程管理，通过 ie 浏览器使用同样的界面管理进行管理。整个管 理过程通过 ssl 信道实现。 34 有了有了 istar，还需要，还需

37、要 ipsec vpn 吗？吗？ istar融合了 ssl vpn 和 ipsec vpn 的特点，企业完全可以通过 istar实现整 体 vpn 方案，不需再使用 ipsec vpn。 35 istar是否支持现有的用户数据库，是如何工作的？是否支持现有的用户数据库，是如何工作的？ istar可以使用 windows ad、ntlm、radius，ldap 等用户数据库完成认证。 istar在对远程访问的控制包括认证和授权两个阶段。当一个用户从外部访问 istar的时候，istar首先要完成对该用户的身份认证。默认情况下，istar完 成认证过程，用户也可以通过配置，由上述认证服务器完成用户

38、认证工作，例如用户在 使 用 rsa securid认证时，可以将认证工作交给 ace 服务器完成。当认证通过后， istar会完成接下来的授权工作。 36 istar界面中是否能定制企业自己的界面中是否能定制企业自己的 logo？ 企业可以根据自己的需要，在 istar的访问界面中使用企业自己的 logo。 37 istar如何升级新版本？如何升级新版本？ 在管理界面中提供升级选项，管理员只需获取升级包，使用此功能就可以轻松完成升 级。 38 istar是否支持双因子认证？是否支持双因子认证？ 支持。目前支持 rsa securid令牌卡，动态式密码（one-time password） ，

39、客户端 证书认证。 39 istar支持那些加密算法？支持那些加密算法？ 目前支持 aes-256-cbc，des-ede3-cbc，des-cbc 加密算法，支持 md5 和 sha1 哈希算法。 40 什么是什么是 istar的发布单元？它的主要作用是什么？的发布单元？它的主要作用是什么？ 发布单元（publisher）uu100/uu200 位于 istar体系结构中的应用服务器端，它 可 以将应用服务器提供的服务安全地发布给合法的用户，也可以将应用服务器端的某个子 网发布给合法的用户。发布单元可以与用户的认证服务器相联接，根据认证服务器的认 证结果确定是否提供服务。 41 什么是什么是 istar的交换单元？它的主要作用是什么？的交换单元？它的主要作用是什么？ uuswitch/uuexchange 是 istar体系结构的中心，是高效的、均衡