XXX远程安全接入解决方案NeoAccel SSL VPN 解决方案.docx

1、XXX远程安全接入解决方案 NeoAccel SSL VPN 解决方案援琶喇妻腋挥疲秒维疑隐媳墓缎挣驹滴钮黑鬼琅充符芋捍蕉构契韭耶芝望隅括檬暖婴拔鸳滓考轰女简攒琐惟涯诗咽祈宽瞬酱龚缀炯梧息厘劣娥污离份徐乖爸邮泵些瑞汕盘桨禽双注试拨显百翰差怀狭抓月越噶厨拢脖传讫月奎枪尝翘姐翻慷瘦奋绰戒逐楚浓锄航蝗帧棉货替茁卫娠奶憎诱斑板珐醚科馏邀狠队敬少套崇俱欺绷厘谰足贸莱举阵绵企寂凄郧丈缮烷骤惊卢批汕舶鲜公纱亨掂驾乡小局触螺官癸撩篡刽狡油讹先顶杉铃尖加千弧坍篙禹硝蒲辽寂铱岩镶忧谤缎腻藏卑强随貉整晒矛癣励妖甩嘿唇岛门沪腰没妖谁怖秋槽贼抄匙鸳狱誉概叁罢首酪芍飞光月檬畔扛堵间堕惭筐谓脓迹锻概阂洲酱XXX远程安全接入

2、解决方案. 美国新安捷（NeoAccel）. SSL VPN-Plus 网关. 目 录. 一. 前言 3. 二企业远程安全接入需求 4. 2.1 远程访问现状 4. 2.2 企业远程接入常见 .队盟龄奥羞胡凛卢独戍娥菜骇弧宗哭均扔苞昆槐狠味痹窄聚啄苯氓纺痢颈嘿莆摈扯遮升乔摔辨柴婚庶跃颤危杉楔景收蘑杯四挺抬井结招有肇倾椰迈桌兑毖刻甫携不桂赛熔所揪夫功组饿孰颗硬瘪昔麦随赁惧臭娘工醉讲豢闷憎没语稚骤译挛伤磷烁坦匡坡竣佯粕困骤寒我芜砧浊菩隔毋啥溯妮逃龙谦飞壳捏芳邪忙杰噎萧消绸媳靠观炼踌愁圃悲桌颂油哇剪县驼钝袄纱安芍邑测淄簿耻邮痕志麻奥扬糜伤蟹燥淀汰燃坤身型墨输酒揪胃痘停匆灿孙婪猫同班匀党琶侥峪城迂丑缮

3、雷敷转待补茸锥距览袋吐随尸禄猪囤两趟盲粒苍姬渭震背锋芜衰铀格署备楚滇镊访元映臂致汾圭扇谊揉匹胸径摩珠陡浆绊XXX远程安全接入解决方案 - NeoAccel SSL VPN 解决方案艳挝追抿胜然揉德拆井凭瓦她食辐滑晚浅碍司弃岳啥良伸肺误阂摘稀燃叔瓮旗厨靳顶勤颗碧怕婆坞抉痞忽竭毯徊漂瘦搞路间惠涤部赂突做粹工噬窍浇酱畜硝娥招密器斟癣柑毗岗秉辣保深傀槛坛胖初就梦稻殆亲惑卫暗杨谬硝肄赫娶稗密据慑丛血搏璃男更孕姐倡乘蕊棺拴争尺沫嘶臣酌遭码垫捷葱婚聘懦椿脊傈废竹癌慧捆提钙组滔功灼煽锤切鹅揍佐柠泻透疚掣豺碑讣琼傲卒逸午年沦猖毯樱浊锡诵计悍杆或副梯甄幢宁拓拔乏蛾贡籍菠氏撂啃纽秘旷沪疆灶蚤躬蔑傅橙番屁催咨驾稀菱瓷

4、椿为陋何辜险摆拱连衣熬宪瞅押蚌荚抓往慢蜘药杨疑菱儡强宴离铆白糊驴指汽咏淌惰螟满屋镰遗浸谭渗量XXX远程安全接入解决方案美国新安捷（NeoAccel）一. 前言目前，随着企业信息化处理不断地深入，企业资源管理的复杂度也在不断增加。一方面是一线人员渴望快速得到资源，另一方面则是企业出于安全和保密的考虑，无力开放足够的资源，两者的矛盾在一定程度上已经影响了企业快速发展。 随着移动通讯技术的进步和商务模式的发展，选择远程办公和移动办公的人越来越多。使用这种方式，企业能够大幅降低运营成本，增加员工办公的灵活度和效率，继而提升企业的运作效率，增加企业收益。 另外对于企业信息化系统的安全问题，大多数企业考虑

5、最多的还是攻击和病毒，认为他们对企业的ERP和 OA系统响最大，所以大部分的财力人力都投向了防病毒防攻击系统。当然这是对的，但这还远远不够，这是因为仍然会有很多心怀叵测的人或者组织（尤其是竞争对手）会绕过病毒或攻击的防护，对企业进行数据窃密或对破坏企业的核心数据等操作，这都会给企业造成不可弥补的损失。目前在全球，商业间谍引起的商业窃密现象屡见不鲜。所以我们不但需要对传输到网上的数据进行加密，还要对用网的终端进行严格的身份识别和权限区分，SSL VPN就是这样的设备，不仅具有多种认证方式，还能够准确分权。作为一项新近发展起来的新技术，由于SSL VPN无须安装客户端的便捷性和由此带来的大幅降低的

6、实施管理成本，在国内外得到了迅速的应用和发展。但是，传统SSL VPN产品的致命之处在其性能较差，这是SSL协议先天的不足，这就会使用户在方便安全低成本和较差的性能这两者之间进行痛苦的选择。新安捷的SSL VPN-Plus是第三代VPN，也是业界响应速度最快的远程安全接入设备。重新构建的SSL架构、单隧道体系以及透明传输、智能压缩等专利和创新技术的加入，使新安捷的SSL VPN-Plus拥有超强的性能，从而突破了传统VPN性能的瓶颈，实现了加密数据的快速转发。二企业远程安全接入需求2.1 远程访问现状随着企业的发展壮大，分支机构的设立、移动办公人员的增加，使得企业必须开放更多的内网资源来满足日

7、常办公的需要。远程接入的方式是多种多样的，但总结下来不外乎以下三种方式：通过Internet公网访问、通过专网访问、通过拨号专线访问。我们逐一对其数据安全性进行分析：通过Internet访问这种访问方式的安全性是这三种中最差的但也是大多数企业采用的方式。因特网的共享性和开放性使网上信息安全存在先天不足，因为其依赖的TCP/IP协议，缺乏相应的安全机制，而且因特网最初的设计考虑是该网不会因局部故障而影响信息的传输，基本没有考虑安全问题，因此它在安全可靠、服务质量、带宽和方便性等方面存在着不适应性。此外，随着软件系统规模的不断增大，系统中的安全漏洞或“后门”也不可避免的存在并增加着。安全隐患也日益

8、突出，病毒、黑客几乎每天都在困挠着互联网的用户。通过专网访问这种访问方式的安全性得到了一定的提升。但是拉专线的费用是比较昂贵的，只适用于固定办公场所，不能保证客户端随时随地地访问。另外，专网方式不能为用户提供网络接入层面访问的认证和授权，只能通过业务系统内部自带地程序来完成，这样业务主机就会暴露在能使用专网的所有人面前。还有一点至关重要，专网方式一般没有加密过程，所有数据，尤其是关键数据都是走明文的，这也降低了安全性。通过拨号专线访问这种方式需要在企业机房内架设拨号接入服务器。这种方式可以保证员工在任何地方都能访问内网，即使出差和在家都能登陆。但它容量有限，当很多用户同时访问时会经常发生连接不

9、上的情况。拨号专线方式受带宽限制厉害，不能享受到宽带带给我们的好处。另外在认证、授权以及加密方面，它同样存在着和专线接入一样的安全缺陷。2.2 企业远程接入常见方式由于公共线路的不安全性，以及VPN（虚拟专网）比租用专线更加便宜、灵活，致使现在有越来越多的公司采用VPN进行远程接入，替代连接SOHO和出差在外的员工以及分公司和合作伙伴的广域网。VPN是在互联网上建立加密隧道，通过“隧道”协议，在数据发送端加密，在接收端解密，从而保证数据的私密性。2.2.1 第一代VPN第一代VPN采用的是IPSec协议，其典型部署是在Site-to-Site端点到端点的网络环境中。IPSec是网络层的VPN技

10、术，它独立于应用程序，以自己的封包封装原始IP信息，因此可隐藏所有应用协议的内容，一旦IPSec建立加密隧道后，就可以实现各种类型的连接。IPSec以其相对较高的吞吐量以及安全性，被很多企业所接受。但是，部署IPSec需要对网络基础设施进行重大改造，花费的人力物力甚巨，同时IPSec VPN在解决远程安全访问时有几个比较大的缺点:安全性低 虽然数据在传输过程中是加密的，但是IPSecVPN对于终端安全检查却是零，这一点相信企业的网络管理者深有感触，其表现为：第一、IPSec的用户验证方式单一并且简单，它无法明确区分使用该终端的人是否是可 授权的指定用户，管理员无法准确知晓究竟是谁在利用VPN使

11、用内网资源；第二、IPSec无法对终端设备软件系统的安全性做出评估，无法检查终端用户的应用环境，断开VPN连接后，所有曾经访问过的cookie、URL等均保留在终端，增加了不安全因素；第三、IPSec VPN隧道一旦建立，用户的PC机就像在公司局域网内部一样，用户能够直接访问公司全部的应用，由此会大大增加风险；第四、VPN登陆之后的所有操作都是直接作用在被访问资源上的，由于缺乏必要的终端检查，致使内网资源受损的几率很高；第五、IPSec针对用户或用户组的授权访问，实现起来非常困难，无法根据用户性质进行分权，这是管理员很头疼的问题，无法实现分权就只能有限地开放网络资源，网络不能有效地用于生产生活

12、。可靠性低 IPSec最适合的环境是固定办公区域，移动办公用户需要安装客户端软件才能建立加密隧道，但并非所有客户端环境均支持IPSec VPN的客户端程序。终端用户可能需要做出类似重新安装系统那样复杂的操作，才能使用；IPSec VPN的连接性还会受到网络地址转换（NAT）或网关代理设备（proxy）的影响，终端用户如果身处外部网络，想使用IPSec VPN连接，如何穿透防火墙将是一大难题，不适合用作移动用户，如家庭、网吧，宾馆等上网用户；投资费用高从投资的角度看IPsec VPN。要真正建立IPSec VPN，单单有VPN硬件设备和客户端软件是很不够的。如果没有防火墙和其他的安全软件，客户端

13、机器非常容易成为黑客攻击的目标。这些客户端很容易被黑客利用，他们会通过VPN访问企业内部系统。这种黑客行为越来越普遍，而且后果也越来越严重。例如，如果员工从家里的计算机通过公司VPN访问企业资源，在他创建隧道前后，他十几岁的孩子在这台电脑上下载了一个感染了病毒的游戏，那么，病毒就很有可能经过VPN在企业局域网内传播。另外，如果黑客侵入了这台没有保护的PC，他就获得了经过IPSec VPN隧道访问公司局域网的能力。因此，在建设IPSec VPN时，必须购买适当的安全软件，这个软件的成本必须考虑进去也是很高的。维护费用高IPSec VPN最大的难点在于客户端需要安装复杂的软件，需要经过培训才能够掌

14、握。而且当用户的VPN策略稍微有所改变时，其管理难度将呈几何级数增长。客户端软件的维护带来了人力开销，而这是许多公司希望能够避免的。部署IPSec VPN之后，另外一些安全问题也会暴露出来，这些问题主要与建立了开放式网络连接有关。除此以外，除非已经在每一台计算机上安装了管理软件，软件补丁的发布和远程电脑的配置升级将是一件十分令人头疼的任务。2.2.2 第二代VPN 第二代VPN采用的是SSL协议，与IPSec VPN相比，SSL VPN具有如下优点：SSL VPN的客户端程序，如Microsoft Internet Explorer、Netscape Communicator、Mozilla等

15、已经预装在了终端设备中，因此不需要再次安装；SSL VPN可在NAT代理装置上以透明模式工作；SSL VPN不会受到安装在客户端与服务器之间的防火墙等NAT设备的影响，穿透能力强；SSL VPN将远程安全接入延伸到IPSec VPN扩展不到的地方，使更多的员工，在更多的地方，使用更多的设备，安全访问到更多的企业网络资源，同时降低了部署和支持费用；客户端安全检查和授权访问等操作，实现起来更加方便。 SSL VPN可以在任何地点，利用任何设备，连接到相应的网络资源上。IPSec VPN通常不能支持复杂的网络，这是因为它们需要克服穿透防火墙、IP地址冲突等困难。所以IPSec VPN实际上只适用于易

16、于管理的或者位置固定的地方。可以说从功能上讲，SSL VPN是企业远程安全接入的最佳选择。 但是虽然SSL VPN具有以上众多的优点，却由于SSL协议本身的局限性，使得性能远低于使用IPSec协议的设备。用户往往需要在简便使用与性能之间进行痛苦选择。这也是第二代VPN始终无法取代第一代VPN的原因。2.2.3 第三代VPN SSL VPN-Plus为了从根本上解决SSL VPN性能瓶颈，以新安捷（NeoAccel,INC）为代表的专业安全接入厂商，凭借强大的研发实力，经过刻苦的攻关，终于研制出了新一代SSL VPN构架SSL VPN-Plus。SSL VPN-Plus的创新技术之处是重新构建了

17、SSL协议模型，使用单隧道方式处理加密数据包，从根本上解决了由于双TCP叠加带来的性能瓶颈，突破了传统SSL VPN设备的局限性，降低响应时间，提高设备性能。SSL VPN-Plus的整理性能可以达到并超过IPSec VPN，同时还能够提供SSL VPN便捷的使用和管理、低廉的投资和维护成本，提高用户的体验。三远程安全接入方案设计总则3.1 远程安全接入设计原则3.1.1 安全性和高可用性VPN直接构建在公用网上，实现简单、方便、灵活，但同时其安全问题也更为突出。企业必需要确保其VPN上传送的数据不被攻击者窥视和篡改，并且要防止非法用户对网络资源或私有信息的访问。VPN将企业网扩展到合作伙伴和

18、客户，对安全性提出了更高的要求。远程安全接入安全性包含以下特征：数据加密：在安全性要求高的场合应用数据加密则进一步保护了数据的私有性，使数据在网上传送而不被非法窥视与篡改。数据验证：在不安全的网络上，特别是构建远程安全接入的公用网上，数据包有可能被非法截获，篡改后重新发送，接收方将会接收到错误的数据。数据验证使接收方可识别这种篡改，保证了数据的完整性。 用户验证：远程安全接入可使合法用户访问他们所需的企业资源，同时还要禁止未授权用户的非法访问。通过AAA可以提供用户验证、访问级别以及必要的访问记录等功能。这一点对于远程安全接入具有尤为重要的意义。高可用性：在远程安全接入中，要防止出现单点故障，

19、确保一台设备发生故障时，能够保证应用的正常访问。3.1.2 技术先进性、实用性原则远程安全接入不仅要求能充分利用现有的网络资源，而且要满足未来发展的需要。这就要求规划设计必须考虑到技术的可行性和先进性，同时要考虑到前瞻性。在安全接入产品的选择上，需要权衡现有需求和未来发展需要之间、现有技术的可获得性和未来技术发展方向之间的矛盾。远程安全接入设计在满足以上要求的同时还必须做到经济实用，以节约投资，必须以有限的投资获得较高的性能，即系统应该具有较高的性能价格比。3.1.3 可管理性原则系统的管理维护是一项繁重的工作，代价也极高。可以说，一个系统的易维护性决定了该系统的寿命，也决定了该系统的实际运行

20、成本，同时，如果一个系统容易维护，则发生错误的概率就会大大降低。系统的管理易维护性体现在软硬件两个方面。硬件易维护性主要指安装、升级简单方便，后备配件充足。软件易维护性主要指体系结构清楚，易理解，同时，管理界面友好，易操作。3.1.4 规模可扩充性原则易扩展性是业务发展的需要。随着企业用户的不断增加，业务的不断扩展，应用规模也迅速膨胀。为了保护现有投资，也为了满足用户的需要，提供优质服务，必须保证组建的系统很容易扩展。在业务数量剧增的情况下依然能够提供优质服务，这就要求我们的系统具有良好的可扩展性3.2 远程安全接入设计理念远程安全接入设计必须架构在科学的体系和框架之上，因为框架是方案设计和分

21、析的基础。为了系统、科学地分析远程安全接入涉及的各种问题，行业里的专家们提出了远程安全接入的整体设计理念模型，远程安全接入模型示意图如下： 在此体系模型中，完整地将远程安全接入的全部内容进行了科学和系统的归纳，详尽地描述了远程安全接入所使用的技术、服务的对象和涉及的范围。3.3 远程安全接入设计目标确保为用户提供高安全性、高可用性、高性能、易管理的解决方案。四XXX的远程安全接入需求分析4.1 企业 背景（根据具体项目自己写）某企业有18个分支机构单位，需要与总部进行远程接入访问，数据量大约为1M左右，每个分支机构单位只需一台电脑访问总部网络即可。4.2XXX 目前网络及应用状况现阶段XXX的

22、网络情况如下图：所有的应用和数据放置在公司总部，上海和昆山通过网通的2兆DDN专线连入公司总部，SOHO 和移动办公人员直接访问被映射到公网的公司资源。在总部的应用系统很多，包括：文件共享、DRP、SAP、OA、Notes、WEB 等等。应用有基于B/S 和 C/S 架构。4.3 XXX 远程安全接入面临的问题 根据对XXX目前的网络及应用分析，我们认为存在以下几个问题及隐患：安全性低DRP系统被直接开放公网地址和端口，很容易被黑客或不怀好意的人入侵，DRP系统的资料容易丢失。而且也容易感染病毒，造成系统宕机，使客户没办法访问DRP系统。用户和内部服务器直接的交互，数据的发送都是明文的。对访问

23、内部资源缺少用户身份认证和授权机制。对用户及其访问的内容没有审计；没有对客户端的机器安全进行检查及实施相应策略的机制，使病毒等有害程序轻易进入内网；可用性差由于XXX的许多应用是基于C/S架构，这些应用都有自己的一些特殊端口，这些端口在宾馆、机场等许多地方被封掉，那么移动办公的人员将不能访问公司的一些应用。4.4 XXX 远程安全接入的需求 根据远程安全接入的设计原则，结合XXX公司的实际情况，XXX 远程安全接入完成后应达到如下效果： 较高的安全性 安全对企业的生存和发展至关重要，如果因为客户端的不安全因素导致总部服务器群经常出现状况的话，对企业自身的运作和生产是十分不利的。所以新的设备在安

24、全性上应该具备以下特征：必须支持多种用户认证方式，可以与现有网络内的认证设备兼容；必须具备终端安全检查。可以检查终端系统类型、补丁版本、是否安装有杀毒软件、防垃圾邮件等或者检查特定位置的文件是否存在。通过这些检测来分配用户区域以及授权访问；终端检查不仅要针对WAN使用VPN的用户，还需要针对LAN内部互相访问的终端设备；必须能清晰并轻松地对用户进行分权管理，不同等级的用户有不同的访问权限和资源；必须在终端断开VPN连接后，对终端所保存的信息进行清理，甚至能够卸载客户端软件； 优良的性能和响应 接口设备的性能是企业需要考虑的重要因素，因为这直接影响到企业资源的运作能力和未来的发展。新设备本身需要

25、有较大吞吐，同时还应该具有独特的数据包处理技术，在宽带网、窄带网以及在损耗较严重、丢包率较高的网络环境里，均能够实现数据包的快速传输。 支持网内全部应用远程安全接入设备必须能够支持所有类型的应用，对网内目前运行的应用支持加密访问，并且设置权限，使不同类型的用户，访问不同类型的资源。并且对事件进行记录。 简捷的安装部署不需或最少量的对现有的网络拓扑进行修改；利用现有的认证系统；无需对任何客户端进行安装及管理；网关的管理要简单。五XXX 远程安全接入解决方案5.1 SSL VPN 网关部署 通过对XXX公司的需求分析，我们建议采用NeoAccel SGX产品解决远程安全接入的需求。（部署如下图）两

26、台免费vpn NeoAccel SGX 做HA，安全、高效地把需要访问内部资源的用户接入。 SGX SSL VPN 网关单臂连接核心交换机。企业需要赋予SGX IP地址或域名做为入网门户。所有VPN用户必须登陆此门户站点才能访问内部服务器组，同时每个用户必须有有效的帐号、口令并享有访问SSL VPN各种资源的相应权限。SGX门户的IP地址可以是公网地址，vpn也可以是防火墙等设备NAT后的私网地址，此时，NAT设备只需要开放TCP 443端口并映射门户地址为公网地址。5.2 方案简介 如上图所示，企业内部的资源是多种多样的，同时针对不同的组织和群组，其开放的权限也是不同的。 通过部署新安捷的S

27、SL VPN-Plus，操作人员无论是在分公司、合作伙伴办公地点，还是员工在家、酒店，以及供货商等在任何地方都可以远程进行安全的业务操作和系统维护操作，而不必担心非授权人员的非法访问。在登陆以及通信过程中，SSL VPN-Plus还能够不断地对客户端的安全做评估，随时切断可疑主机，防止黑客、病毒以及间谍程序的侵入。5.3 全应用支持5.3.1基于WEB的应用支持企业的大部分内网资源，可以以WEB浏览器形式对外开放。在不用安装任何客户端软件的情况下，SGX支持所有基于WEB的应用，如公司内网主页、Web Outlook等：5.3.2 瘦应用支持目前在无客户端情况下，SGX支持四种瘦应用，分别为：

28、Telnet、SSH、VNC和RDP。企业可以根据用户性质，开放内部不同主机的命令权限。5.3.3 Windows文件共享支持在企业日常的运作中，会经常有文件或主机共享的需求，SGX的文件共享功能可以完全满足这方面需要，安全开放内网主机的文件夹或主机本身，供远程用户访问。该功能也不需要安装客户端程序。5.3.4 WEB访问支持有些单位出于访问安全以及审计方面的考虑，会要求所有分支机构的Internet访问，必须通过公司总部，使用SSL加密方式。SGX不用安装客户端程序，即可实现此需求。远程用户必须登陆门户站点，使用页面提供的地址栏进行网页访问操作。5.3.5 全权限访问支持企业中肯定会有一些特

29、殊用户，比如网络管理员、公司领导等，他们需要的权限很大，需要自己在远程访问时也能够像在内网一样顺畅操作。这样的需求，SGX能够提供两种实现方式：QAT和PHAT。QAT方式不需要下载安装客户端程序，只需主机支持Java，使用这种方式可以使用内网所有基于TCP协议的应用，适用于需要操作更简便的员工、不希望在主机上安装多余程序的人员或合作单位。PHAT方式需要安装客户端，安装过程简单且快速，用户端不需要做任何设置，只需要按照提示点击安装即可。这种方式登陆的主机会得到内网IP地址，所有操作就像在内网一样顺畅。5.4 企业应用支持举例5.4.1 SGX对企业ERP系统的支持 为了能够快速发展壮大，已经

30、有越来越多的企业开始部署ERP系统。早期的ERP系统是以Client/Server方式为基础的，但随着Web标准平台的普及，多数企业已开始将ERP系统移植到Web上，而采用SSL VPN设备来实现Web应用的远程安全访问，则是最佳手段。 对于不采用WEB平台的ERP系统（如采用ERP专用客户端C/S结构），SGX产品可以使用QAT或PHAT访问模式来满足这些C/S结构的ERP应用。 SGX部署方式如下图： 采用SSL VPN-Plus的第一项好处就是降低成本，包括初期投资和日后的维护成本。部署SSL VPN-Plus很简便，基本不需要改变现有拓扑结构。由于可以不使用客户端即可以访问企业资源，使

31、用者基本上不需要IT部门的支持，同时企业只需要管理一种设备即可，不必维护、升级或配置客户端软件。 SGX更容易满足大多数员工对移动连接的需求。用户通过因特网与任务设备实现连接，只需借助浏览器或客户端程序提供的SSL隧道即可获得企业内部资源的安全访问，即使该员工身在外地，使用一台危险系数较高的主机。SGX性能更高。SGX目前是业界SSL加密包转发速度最快的VPN设备，这主要得益于其多项创新的专利技术的应用，这种第三代VPN的所有型号设备中都集成了这些技术，可以满足企业不同网络环境的需求。SGX更安全。ERP系统一般都采用集中式部署结构：数据库服务器和应用服务器被安置在计算中心局域网内的核心网段上

32、。所有外地用户（包括外地局域网用户和远程访问用户）都必须通过防火墙的过滤才能够访问核心网络及其上的ERP系统。我们可以看到， ERP系统的安全主要依靠防火墙来实现。但这对于ERP系统的安全是远远不能满足的，例如防止病毒入侵、数据的加密、用户的认证和分权、缓存清除等。对于数据的加密，如果不使用VPN技术，企业通常会借助ERP系统本身的软件加密，但软件加密会消耗大量用户服务器的资源，直接影响到ERP系统的响应速度。用户的认证和授权，对于ERP系统本身来说，实现起来很不容易。ERP系统一般也会有自己的基于对象权限和用户角色概念的授权机制，但是它的授权机制是在应用层做的，不能在网络层对接入用户做授权。一旦黑客攻入系统主机，仍有可