SSLVPN方案

目  录

前言    2

1.    Array SSL VPN技术实现原理    3

1.1.    专业的硬件架构    3

1.2.    ICSA3.0 认证 --- 国际品质，国际认证    4

2.    Array SSL VPN主要功能介绍    4

2.1.    虚拟站点（Virtual Site）    5

2.2.    门户主题(Portal Theme)    5

2.3.    Quick Link – L7 VPN    6

2.4.    非WEB应用支持 -- L4 VPN    6

2.5.    隧道式VPN -- L3 VPN    7

2.6.    强大的认证授权功能（AAA）    7

2.7.    单点登录(Single Sign On)    8

2.8.    客户端安全检查模块（Client Security）    8

2.9.    集群模式（Cluster）    9

2.10.    桌面直通车（DesktopDirect）    9

3.    产品亮点及优势    10

3.1.    云计算级性能    10

3.2.    虚拟化技术    11

3.3.    安全、性能和应用移动性    11

3.4.    应用加速    11

3.5.    可靠性和可用性    12

4.    Array SSL VPN给企业客户带来的益处    12

4.1.    提高信息安全性    12

4.2.    灵活的用户管理和访问控制    13

4.3.    方便实施，简单使用    13

4.4.    降低管理和维护成本    14

4.5.    高度的扩展性和灵活性    14

5.    Array AG系列产品线    14

6.    Array Networks 公司简介    14

前言

越来越多的企业开始利用互联网访问内部应用，这些应用包括：OA系统、企业财务系统、内部信息系统、ERP系统、企业IT设备的维护等等。用户可能会从任意地点（办公室、用户现场、酒店、无线接入点），用任意终端（PC、手机、PDA）访问这些应用。此时，保证应用的安全就是企业必须要考虑的问题，接入人员身份的验证与权限控制，访问数据的加密传输，访问过程的安全审计都是考虑安全接入的主要内容。同时，安全接入方案部署的复杂度，维护支持工作量，对网络结构的适应性，尤其是对客户端复杂上网结构（NAT、Web Proxy、Firewall）的支持都是方案选择非常关注的方面。

很多企业的应用系统不仅是为自己企业的内部人员使用的，还包括很多其他的接入者。如企业自己的客户，企业的合作伙伴，企业IT设备供应商等等，这些人员要访问的是企业的关键业务系统。典型的有渠道商管理系统，供应链管理接入，电子报税，电子报关，SSL VPN运营等业务。这些企业关键业务的部署一样存在上节所提到的问题。同时，企业还要解决性能和安全之间的矛盾，既要对访问的合法性和操作合法性进行检查，还要保证对大量并发业务的快速处理，给使用者良好的使用体验，便于企业各个业务系统业务的开展。这给SSL VPN的应用提供了无限广阔的市场。

SSL VPN是基于应用层的VPN技术，客户端无须安装任何软件或者硬件，使用者可利用标准的浏览器通过简单的SSL安全加密协议实现网络的安全访问和控制。

在数据中心的网络边缘部署Array Networks SSL VPN网关AG系列产品。客户端要访问内部应用服务器，必须通过SSL VPN网关，其过程是先用标准浏览器如IE、Netscape等登陆SSL VPN网关，登陆使用的协议是HTTPS，底层是采用了具有加密算法的SSL协议。登陆SSL VPN是需要经过用户认证、授权、审计的。登陆完成之后，客户端即可以访问内部的各种应用了，无论是B/S结构还是C/S结构，都能够支持，访问过程中的数据传输都是经过加密处理的，同时是经过SSL VPN授权允许和审计的。这样就为用户访问内部应用系统提供了安全的手段，便于内部应用系统的安全发布。

由于使用标准的浏览器，即可接入SSL VPN访问内部系统，所以SSL VPN方案被称为无客户端的VPN方案，提供任意客户端、任何地点、任何时间的安全接入能力。SSL VPN可以成功地穿越防火墙，能处理网络地址转换（NAT）问题。

1.Array SSL VPN技术实现原理

1.1.专业的硬件架构

Array Networks  AG 是一款针对SSL VPN 专门设计的硬件产品，其核心操作系统为ArrayOS。具有专利技术SpeedStack，包含三个模块：HTTP解析器、Proxy engine、TCP/IP Stack。Array独有的TCP/IP协议栈，指针化的数据处理 使得对于TCP/IP的包处理更加快速，Proxy engine经过多年的沉淀和积累在完成SSL VPN所必须的proxy操作时做到更高效的处理，HTTP parser使得Array AG在处理应用层的能力更加出众。Array 的AG系列具有应用前端设备才具有的先进理念技术连接复用技术，能够极大降低服务器的负载，同时提高应用服务器的响应能力。Array Networks的每款SSL VPN产品都具有SSL硬件加速器，在AG高端设备中中还可配置HTTP 硬件压缩卡。Array的硬件SSL加速同时作对称与非对称加密，即SSL握手和内容传输加密运算都有SSL硬件加速，给于CPU以充分的能量来做高层处理。这些结合SpeedStack技术，使Array产品的性能在市场处于领先地位。

下图为其他厂家产品和Array产品架构的主要区别：

Array Networks的先进架构加上SSL硬件加速保证了其高性能，Array的SSL加速在对称与非对称两种加密上面都作了加速，这意味着在RSA的握手时Array同样作了加速，我们知道RSA握手一般采用1024bit的非对称算法，非常耗资源，用硬件加速可以节省CPU的资源，让CPU可以完成其他更重要的应用层的处理，这样就极大提高了SSL VPN的各项性能，Array AG可以承受线速数据加密，Array的高端产品可以做到每秒钟10000个新进的SSL握手，这一指标在业界是相当高的。    

最大并发用户数是一项非常重要的指标，体现了产品的处理容量，反映的是可以同时多少个用户登陆SSL VPN，对于大型企业更显重要。评估被测设备在应用层的处理容量，此项值越大，表示被测设备处理并发会话的数值越大。Array高端设备的容量高达128000并发用户，目前业界还没有其他厂家能够达到。

1.2.ICSA3.0 认证 --- 国际品质，国际认证

ICSA它的前身是国际计算机安全联盟（International Computer Security Association，ICSA），目前是TruSecure公司的下属单位。ICSA同时提供网络安全产品功能性和安全性方面的认证，以及网络和系统管理人员安全专业技术的能力认证。ICSA的认证项目以安全性及功能性为主，其认证标准是由咨询各界的专家、厂商以及使用者的意见制定出来的。由于各项安全技术以及安全威胁不断的翻新，ICSA的认证标准每年也会更新，并以更新后的标准来测试产品。另外，因为厂商本身会一直推出新款的产品，如果旧版的产品已经获得认证，ICSA也会让新版的产品自动获得认证。但是为了确保新款的产品一样符合原先认证的标准，ICSA会与厂商签订条约，要求厂商的产品发展不能违背原先标准。如果ICSA抽测发现没有符合原先认证的内容，厂商会被要求限期改善，否则即吊销认证。

ICSA实验室的SSL-TLS VPN认证是一种而全面的认证程序，对厂商SSL-TLS VPN产品在一种模拟的真实世界环境中进行严格的测试、评估和验证。新的3.0标准对产品功能、安全性和加密要求作出了严格的调整，而用户在购买这种通过新认证的产品后，就可充分利用新增的安全增强性能。

Array SSL VPN是首批获得ICSA Labs 3.0新标准认证的产品之一，充分证明了Array在安全访问技术领域的领先地位，产品完全能够提供高端安全访问保证。

2.Array SSL VPN主要功能介绍

SSL VPN不同于MPLS 以及 IPSEC VPN的一个特点是面向应用的VPN，当然也提供隧道式的VPN。所以，SSL VPN对于不同的应用采用不同的功能模块来实现，可以做到比传统VPN更加精细的授权访问控制，甚至在隧道内部也能做到基于用户和组的授权。

下图为功能实现模块图：

2.1.虚拟站点（Virtual Site）

Array SSL VPN通过一个或多个虚拟站点实现对内部资源的远程安全访问。一个虚拟站点对应于一个远程访问接口。每个站点都与一个域名相关联并且绑定在一个VIP和端口上。客户端的HTTP请求会被发到虚拟站点上， 而不是直接发到内部服务器上从而有效的保护了内部网络。

每个虚拟站点都可以有自己单独的配置， 包括SSL配置， 文件共享配置以及用户会话管理。这样，就为不同等级的用户访问不同类型的资源提供了极大的灵活性。

2.2.门户主题(Portal Theme)

AG可为用户提供初始门户页面，登录后，用户可访问受保护的资源。用户也可根据需要创建自己的访问界面。AG可输入用户自定义的HTML文件及其它资源(图片等)并作为门户页面显示。此时AG充当一台WEB服务器来储存这些页面。AG提供可自定义的门户页面信息包括网页链接、文件共享链接、L3VPN等等。

AG已经为用户准备了修改门户面页的HTML模板，用户可根据模板格式方便的对门户页面进行修改。

2.3.Quick Link – L7 VPN

QuickLink技术是通过唯一的一个主机名后者端口去映射一个后台应用，在QuickLink处理过程中，它仅仅对页面内容中的出现绝对路径的主机地址进行改写而已，其他的内容不变，不再向早期技术所使用的全文解析和重写方式。简单的来说，它是通过Hostname(域名)或Port（端口）映射的方式，将后台应用以HTTPS方式发布给客户端用户。当然，在访问这些资源之前，还是需要通过AG的AAA认证的。

QuickLink的部署要求：

1、采用Hostname方式部署：

需要在网络中注册一个新的域名，并使的域名的解析地址对于到相应的虚拟站点上，通过此方式部署，一个应用仅对应一个域名，若N个应用则需要N个域名与之对应，且这些域名都必须对应到相应的虚拟站点地址。故此方式，多用于用户有自建的DNS Server情况，可以方便的增、删新的域名。

 2、采用Port方式部署：

采用此方式部署时，AG设备上将会自动打开并监听相应的Port，且是一个应用对应一个Port，若有N个应用则需要N个Port与之对应。

而采用Port时，AG对外发布的端口不再是只有一个443端口了，而是根据此方式发布应用的多少决定再开放新的端口，这样的话，就需要防火墙上开放这些端口的访问控制。

2.4.非WEB应用支持 -- L4 VPN

这项功能可以使客户端通过安全SSL接入企业C/S结构等非WEB应用，Array Networks AG支持大量的非Web应用，绝大多数固定端口的TCP应用都可以支持,并且无需安装客户端软件。

典型的企业非Web应用：Telnet、Email (POP/IMAP/SMTP/OWA)、Microsoft Exchange、Lotus Notes。

L4 VPN是运行在客户端浏览器上面的基于SSL的TCP Proxy，本质上它是一个JAVA APPLET或者是ActiveX控件。它不需要端用户安装客户端软件，大多数的浏览器软件都支持它。Windows - IE；Windows - Netscape；MacOS , MacOS X – IE 和 Netscape。

当用户启动L4 VPN功能时，Java Applet或者ActiveX将作为TCP PROXY运行在客户端，它侦听客户端的特定非WEB的请求，并把请求通过SSL连接发给AG,AG将终结SSL连接并和企业内网应用服务器建立请求连接。这样，对于客户端来讲，通过applet作代理，企业应用服务器就像是运行在客户端本机上。这样，就实现了客户端通过SSL加密接入企业固定TCP端口的非WEB应用。

2.5.隧道式VPN -- L3 VPN

VPN是一个配置在具有广域扩展性的公网上的私有网络。 这项技术被广泛应用于对内部网络资源的安全远程访问上，使得移动用户，电信运营公司以及中间合作伙伴都能够安全地访问内部网络资源。Array AG的SSL VPN技术在实现了相当于传统IPSEC的网络层VPN功能的同时，大大简化了安装和支持。

Array VPN功能被启动后，客户端软件会通过Web浏览器被自动安装在客户机上。VPN客户端软件能够截取所有到达内部网络的数据流，然后应用基于高效SSL引擎的Array网络隧道协议(ATP)安全地将数据通过隧道传送给AG. 所有的数据都被安全加密了。因为Array VPN是实现在网络层上的，所以全部网络层应用都可以透明的穿过隧道，包括各种使用动态端口应用层协议。

Array L3 VPN 同时支持Standalone安装包的方式，即用户可以在客户端上单独安装L3 VPN控件，不需要用户登陆SSL VPN 门户启动L3 VPN，便于用户部署合使用。

当VPN隧道在客户端建立好后，AG会给客户端分配一个内网IP地址。内网上的所有网络设备都会通过这个内网IP地址和该客户端进行交互。AG通过认证所有的隧道来保证隧道来自于指定虚拟站点的一个合法的登陆会话。如果用户的登陆会话中断了，该用户的VPN隧道也立即中断。

L3 VPN是客户最常使用的功能之一，因此其兼容性、稳定性、健壮性显得尤为重要。

Array L3支持firefox等非IE类的浏览器，和Linux等非Windows的操作系统。采用了独到的连接维持技术，网络中断一分钟，客户的应用也不会中断，即使从有线网络切换到无限网络，连接也不中断！

2.6.强大的认证授权功能（AAA）

AG支持业界标准的认证方法，当企业有自己的AAA服务器时，可以利用其强大的认证功能，AG支持如：LocalDB、Radius、LDAP、数字证书等。若客户无AAA服务器，AG提供本地数据库作用户和授权。AG的授权策略可以基于用户和组来作资源访问控制策略，也可以基于用户端地址等作访问。当用户使用AG提供的隧道功能时，还可以作IP分配及访问规则策略，既在隧道内部仍存在一个防火墙作ACL访问控制。

Array 的SSL VPN支持多种认证方式可供选择：

⏹Array SSL VPN网关设备内部有一个小型数据库，可以存放用户名和密码，也可以作授权管理使用。

⏹Array SSL VPN也支持第三方的认证服务器，如Radius、LDAP等。

⏹Array SSL VPN也支持数字证书认证方式，即客户端必须具有网关认可的数字证书才能使用，数字证书可以存放在USB KEY 或智能卡中。

未来的业务接入正在向统一门户、统一认证和授权方向发展，并且通过PKI、CA系统结合起来提供更高的安全性。Array Networks 支持和PKI系统、统一认证授权系统相结合，Array的SSL VPN网关提供VPN层次，即提供网络层面的接入控制，根据客户端数字证书的特征字来允许或禁止对特定应用的访问，而业务应用层面的接入控制由各个应用系统控制。

统一认证授权和PKI的结合是一个复杂的规划和设计过程，它要和各个业务应用的运行特点，和公司业务管理模式相结合。一般会配置统一认证授权服务器，如LDAP服务器来存储用户ID、用户相关属性（如用户口令、用户权限等）。各个业务应用系统根据客户端的数字证书查找LDAP服务器相关属性，并根据查找结果赋予不同的访问控制规则。

2.7.单点登录(Single Sign On)

当使用公司内部不同的应用系统时，需要输入不同的 “用户名+ 口令”，资源预定系统一个口令、Outlook 一个口令、销售系统又一个口令，很麻烦。因为需要在不同的Web服务器上进行不同的授权管理，管理员也倍感疲惫。Array Networks AG支持单点登陆，可以让用户访问不同的网站只需要一次登录，一次认证，可以有效降低管理负担和方便使用。

2.8.客户端安全检查模块（Client Security）

Array 客户端安全保护模块可以自动检测客户端的安全工具状态，并按照策略将客户定义到不同的接入级别，分配不同的访问策略。客户端安全模块还可以在用户退出时清除Cache，提高信息安全性。

⏹客户端的接入权限

确定客户端的级别，基于如下特征：

✓客户端的IP地址、客户端包含特定文件、客户端注册表特定键值

✓客户端安全检查，检查客户端的安全配置

✓客户端个人防火墙检查、客户端防病毒软件检查、操作系统版本及补丁检查

⏹MAC地址、硬件ID绑定

将用户登陆的账号合特定网卡的MAC地址或硬件ID进行绑定，即某一个用户必须使用特定的MAC地址或硬件ID才允许登陆SSL VPN。

⏹Cache Clean

清除客户端cache，使客户访问VPN后不留痕迹。

2.9.集群模式（Cluster）

    Array AG 的Clustering 采用VRRP协议，它可以带给用户如下功能：

●整个Cluster作为一台设备工作，则整个Cluster的性能等同于一台AG的性能。所以，Cluster可提供更高的宽带和更小的延时。

●不需要额外的负载均衡设备实现负载分发。 (同时可支持外部负载均衡设备)。

●在大多数情况下，当一台AG出现问题，用户不会感觉到应用中断。

●不需要专门的端口来实现同步，但推荐使用一个端口来保证同步正常。同步过程中所有的流量都是加密的。

决定Cluster内的一台设备是否健康依靠远端的设备和设备本身。每台设备内置的健康检测程序会监控在不同条件下的设备状态，以决定一台设备是否健康。

2.10.桌面直通车（DesktopDirect）

当企业部署有传统的ERP、CRM等应用时，客户端的日常维护和升级工作一直困扰着企业的网管人员，如何让您的业务人员能安全便捷的使用企业应用，而网管人员又能摆脱繁重的桌面应用的维护工作？

如何让员工在家里就可以安全便捷的连接到自己的办公桌面上开展工作，来保证企业业务的连续性？企业并不希望机密的数据在传输过程中泄密，如何解决安全和效率之间的矛盾？3G手机已经得到了广泛的应用，如何在3G手机上就能访问到公司的办公桌面？考虑到降低能耗的需要，如何能在远程将处于关机状态下的办公电脑，在需要的时候实时开启电源，在不使用的时候能关闭，达到节能减排的目标？

DesktopDirect 使公司员工随时随地的远程安全接入办公桌面环境，而员工无论是通过家里的PC机、笔记本电脑，还是通过公共场所的计算机，或是合作伙伴、分支机构的计算机都可以非常方便地远程登陆操作桌面电脑， DesktopDirect运行在Array 的AG系列硬件平台上面，其对用户的身份验证可以集成企业自己的认证服务器，如AD、LDAP、Radius server等，也可以采用AG内部的LocalDB来认证。用户登陆到SSL VPN提供的接入门户，就可以通过浏览器使用远程桌面操作办公室的桌面电脑，而这些都是通过SSL VPN来进行保护的，安全度高，操作方便。DesktopDirect还支持单点登陆（Single Sign On）,用户使用DesktopDirect可以自动登陆远程桌面服务，不必再次输入认证信息，改善用户体验。

Array DesktopDirect（桌面快车）使企业雇员无论在家还是在旅途中都可以继续安全的远程工作，就像他们坐在办公室的桌面电脑旁边。通过简单的点击操作，可以将手中的PC或笔记本电脑变成远在办公室的桌面计算机的操作终端，进而保证企业生产的连续性。因为所有的应用都运行在办公室的计算机上，DesktopDirect使企业不必在支持额外的应用环境方面做更多的IT投入。

Array 桌面快车解决方案是企业进行应用虚拟化和桌面虚拟化的最佳实践！

3.产品亮点及优势

3.1.云计算级性能

Array Networks AG系列安全接入网关能够有效降低总体拥有成本（TCO），是为满足不同性能及规模的统一接入需求而开发的一款产品。凭借Array Networks屡获殊荣的位多核SpeedCore™ 平台，单一设备上最多可支持128,000个并发用户和3.2Gbps的吞吐量。Array AG系列安全接入网关是市场上性能最高、可扩展性最好的安全接入解决方案，为全球企业、电信运营商和云服务提供商提供了无与伦比的投资回报（ROI）。单台AG设备可在本地数据库中存储500,000个用户，实现AAA控制和接入控制。AG设备的SSL硬件加速功能为客户提供了极好的1024位和2048位密钥SSL证书处理性能。

3.2.虚拟化技术

基于Array Networks独创的虚拟化技术及长达7年的运营商级客户服务记录，一台AG网关相当于多台虚拟安全接入设备，为用户提供了企业级整合的安全接入和安全控制方案。一台AG网关最多可支持256个虚拟站点（Virtual Portal），服务于不同用户、用户组或租户，有效降低了管理和配置的复杂化，提升了用户体验。每个虚拟门户拥有的配置管理、接入策略、接入方法和内部资源。一个虚拟站点还可与多个IP地址关联起来，实现从多个外部或内部链路的安全接入。

每个虚拟站点可轻松实现客户化的定制界面，定制过程简便易行。所有AG特性和功能均可无缝地集成到现有web页面中或通过AG页面定制技术以最简易的操作嵌入到原本定制的页面布局中。AG设备内置了2个可供用户选择的定制页面。用户也可以下载内置定制页面并在它们基础上制作个性化的页面。

3.3.安全、性能和应用移动性

提供随时随地的安全接入，既提高了生产效率，确保了对相关法规的遵从和安全事件的可追溯性，又满足了企业，运营商和云计算服务商对高性能的要求，同时保障了最佳的用户体验。 Array AG系列安全接入网关给用户带来随时随地安全接入、高扩展，高性能，应用移动性和高性价比。

此外，AG系列网关还具有高度灵活性，可根据用户业务需求，在保证高性价的同时，提供对多用户，多分组，多租户的支持。

采用Array的AG系列网关，企业和运营商既能满足目前的特定接入和安全需求，又为未来因需求提高而需要的良好扩展性奠定坚实的基础。

3.4.应用加速

传统方案中，增加安全性无疑是要以牺牲应用程序的性能为代价的；另一方面，无论多么成熟的VPN解决方案，只有终端用户感受到的高速接入和友好易用的操作才可以保证企业的高生产效率。为了达到这个目的，Array AG系列安全接入网关提供了多种集成化应用加速技术，包括硬件SSL加密、连接复用、优化的网络协议及多核平台等，构建了一个对服务器的强大访问平台。安全性与性能间的冲突通过专用Array AG设备得到了彻底解决。

3.5.可靠性和可用性

被全球最大型企业和运营商部署，最苛刻生产网络环境中八年如一日地保持完美性能，Array安全接入技术的可靠性已得到了充分验证。即使在非正常情况下，设备出现异常，集群功能也可确保终端用户的体验和访问不受影响。

4.Array SSL VPN给企业客户带来的益处

选择SSL VPN解决方案的一个关键好处在于它提供不需要专用客户端软件的访问能力。由于SSL已经得到标准的浏览器如IE和Netscape的支持， SSL VPN可以提供免客户端软件的解决方案，这可以让IT部门不再受安装和管理复杂的IPSec客户端软件之苦。    便于企业将其关键的业务系统安全的发布出去，使得合作伙伴，企业用户等能够方便、安全的访问企业的业务系统。

IT部门和终端用户更容易,采用SSL VPN更容易管理，由于使用者可以从任何浏览器更安全地访问应用，所以，SSL VPN能减少分发和管理客户端软件的麻烦。SSL VPN解决方案不需要改变网络，不需要修改防火墙配置和修改终端用户的配置。对于SSL VPN方案部署初期，尤其是当开始用户数量比较少时还不是很明显，但当随着VPN使用时间的延长，尤其是随着用户数量的增大，SSL VPN的部署以及维护成本将会相对于IPSEC等VPN方案有极大的降低。

通过Array的SSL VPN实现企业内部系统的安全接入，可以“帮助企业提高生产力，改善用户使用体验”。

4.1.提高信息安全性

防止信息泄漏 

由于客户端与SSL VPN网关之间实现高强度的加密信息传输，因此虽然信息传输是通过公网进行的，但是其安全性是可以得到保证的。第三方即使可以得到传输数据，但是却无法得到隐藏到其中的明文信息。因此敏感的信息如业务帐号等被保护起来，杜绝了有效信息的泄露。 

杜绝非法访问 

SSL VPN的访问要经过认证和授权，充分保证用户身份的合法性。SSL VPN只允许那些拥有相应权限的用户进行网络连接。如果请求连接的用户没有合法身份，则SSL VPN将拒绝其连接请求，从而了非法用户对内网的访问。

保护信息的完整性 

SSL VPN使用数字证书进行机密性与完整性参数的协商，它不仅能够对所传输的数据进行机密性的保护，同时也对其提供完整性保护。当在传输过程中的数据被篡改之后，SSL VPN是可以检测到的，如果检测到数据被篡改，他们就会放弃所接收到的数据。

防止用户假冒 

Array Networks提供多种认证和授权方式，包括本地 本地用户数据库，并且可以和其他更加强大的认证系统结合起来，如AD，Radius，Ldap、数字证书等。

保证系统的可用性 

SSL VPN使用内网、相互隔离，只开放所需服务的方式来实现，这样客户端只能通过授权使用所开放的服务，除该服务之外的其它服务都无从访问，从而减少了很多对内网系统进行攻击的途径，达到了对内部网络的最大保护。

4.2.灵活的用户管理和访问控制

Array Networks 提供多种多样的认证机制和授权访问机制，存在本地用户数据库，可以配置在SSL VPN网关设备上。由于企业应用系统一般都已购买了AAA服务器，如Radius、LDAP等，Array Networks AG业可以和他们完美的结合起来，保护用户的投资。

Array Networks SSL VPN组网方案是面向应用的VPN方案，可以做到基于应用的精细控制，基于用户和组赋予不同的应用访问权限，并对相关访问操作进行审计。这是一般基于网络的VPN所办不到的。

4.3.方便实施，简单使用

Array Networks SSL VPN方案是无客户端的VPN方案，客户端只需要具备标准的浏览器即可，甚至PDA终端都可以使用。对于使用者来讲，由于对浏览器操作要比专用的软件操作简单的多，也熟悉的多，所以客户端使用非常简单，使用于各种各样的人群，甚至是对IT系统不甚了解的人也一样操作。

同时，Array Networks SSL VPN方案 实施起来非常简单，只需要在企业的数据中心部署SSL VPN网关即可，无需在各地市支行或大客户那里部署硬件或软件设备。AG 支持单臂和双臂结构，可以充分适应企业数据中心的网络结构。

4.4.降低管理和维护成本

Array Networks SSL VPN方案是无客户端的方案，由于客户端采用标准浏览器，SSL VPN的网关只需要在企业的数据中心部署，他的维护操作都是在AG上面进行的，包括用户的授权，访问应用的各种配置等操作。它的管理工作属于集中管理和集中维护模式，可以极大的降低管理和维护成本。

对于SSL VPN方案部署初期，尤其是当开始用户数量比较少时还不是很明显，但当随着VPN使用时间的延长，尤其是随着用户数量的增大，SSL VPN的部署以及维护成本将会相对于IPSEC等VPN方案有极大的降低。

4.5.高度的扩展性和灵活性

Array Networks SSL VPN产品从中小企业到大型企业，以至于到电信运营，有完整的产品线。而且AG的销售模式是按照并发用户数的License来卖的，可以根据用户的需求来购买，当用户数增加时，只需购买相应的license即可，充分保护用户的投资。同时，AG的功能模块也是这个销售模式，用户可以不够买不需要的功能模块，当业务应用有需求时再购买，只需要相应license即可。

Array Networks SSL VPN支持Cluster结构，当设备容量不够时，可以横向扩展。 

5.Array AG1100产品

Array Networks创建于2000年，自创建以来，Array Networks 已稳步成长为SSL VPN 领域的市场领导者。目前，Array Networks办事处已遍布北美、欧洲、拉美和亚太等地区，发展重要客户及合作伙伴近千家，解决方案广泛部署在全球各地的电信及服务提供商、大型企业、以及金融、、能源、医疗保健、科技公司、媒体等行业。

Array Networks 在中国拥有全资子公司，负责中国区域市场的销售、支持工作，并拥有完整的研发队伍，可以快速响应本地用户的特殊需求 自2005年连续多年来。Array Networks在中国的SSL VPN市场占有量第一，达到超过一半的市场份额。

Array Networks 构建了全球性能最佳的SSL VPN 以及应用加速系统。灵活强大的Array Access Gateway让企业和服务供应商们可以在世界任何地方、通过任何一种设备、快速安全的为他们的授权用户提供一切的应用服务。我们所推行的高度集成的应用加速器，提高了数据中心效率、减少了基础设施成本，并显著地改善了Web站点及应用软件的性能，从而为客户和员工们提供了出色的用户体验。