采用加密技术的×××有两种:IPsec ×××SSL ×××。IPsec ×××比SSL ×××出现得早,由于协议简单、实现容易,可以满足一般情况下的×××互连要求,IPsec ×××得到了一定的应用和推广。但是,在使用IPsec ×××的过程中,也遇到了一些问题:
· 网络互连性问题。
在通过NAT(地址转换)上网的环境中,IPsec报文的IP头会被出口路由器修改,从而破坏了报文的完整性,在对端的IPsec网关接收时会被丢弃。这样采用NAT方式上网的用户连接IPsec ×××就会遇到问题。虽然后来有了相应的解决办法“NAT穿越”,但是增加了使用的复杂性。
另外,在建立IPsec连接之初需要通过IKE协议协商密钥,IKE协议使用UDP报文进行通讯。如果用户上网的线路途径防火墙,而防火墙配置不当,没有允许IKE报文通过的话,用户建立IPsec ×××连接仍然会遇到问题。
总之,由于用户上网方式多种多样,上网的环境也比较复杂,IPsec ×××在实际应用中会遇到一些网络互连方面的问题。
·  客户端维护问题
对于通过电脑直接远程访问内网的用户,部署IPsec ×××需要预先安装一个客户端软件。由于现在电脑终端的类型有很多种,如台式机、笔记本、PDA、手机等;运行的操作系统也很多:有Windows 98/2000/XP/Vista/CE,Unix,Linux,Palm OS等,IPsec ×××需要为每种运行环境准备一种×××客户端,安装维护起来比较麻烦。另外,IPsec ×××的客户端一般工作在IP层,涉及到对操作系统核心的操作,容易产生异常,带来系统的不稳定。所以IPsec ×××客户端的安装维护是个×××烦。
此外,面对越来越多的安全漏洞和******,如何有效地阻止远程用户的非法***成为建设×××系统不容忽视的重要问题。这一点涉及到以下几方面的技术问题:
·  身份认证
如何验证用户的身份?如何保证标识用户身份的私密信息在网络传输过程中不被窃取?如何保证用户身份不会被冒用?
· 访问控制
即使远程用户的身份是真实的,考虑到远程主机的不可控,远程主机上可能存在各种潜藏的未知危险,对远程用户应当严格地、精细地限制访问权限,以避免由于非法***而造成的系统损失。
· 安全评估
为了尽可能减少远程访问所带来的风险,一种好的作法就是要求远程主机足够安全。这就需要对远程主机的安全状态进行评估。可以检查远程主机上是否安装了符合公司安全标准的操作系统,并及时打上了补丁;远程主机上是否安装并运行了合适的杀毒软件,病毒库是否更新;如此等等。只有在远程主机足够安全的情况下,我们才允许它远程接入企业的网络。
· 动态授权
虽然检查远程主机的安全状态是一种很好的保护网络安全的作法,但是远程主机有可能是私人设备、公用设备(网吧)、合作方的设备,对这些设备我们是不能严格控制和管理的,因而也难以统一要求在这些设备上必须安装符合公司网络安全标准的软件。对此,好的×××系统应当可以对远程主机的安全状态进行评级,对处于不同安全级别的主机授予不同的访问权限,安全的主机将获得较多的访问资源,不安全的主机将只能访问少数受限的网络资源。这种授权管理的办法将使得用户的访问权限不再只与个人身份相关,还与当前所使用主机的安全状态相关,因而被称为动态授权。
· 精细的访问日志
由于远程访问可能带来比较隐蔽的非法***问题,所以需要对远程用户的访问过程进行详细的记录,以便对用户的访问行为进行实时的监控和日后的问题回溯。
面对上述远程接入的问题和安全管理要求,近年来兴起的SSL ×××技术可以很好地给予解决。作为国内网络设备的领导厂商,H3C公司始终关注用户需求,以用户需求为导向来开发产品和设计方案。继IPsec ×××之后,H3C又推出了功能全面,使用方便的SSL ×××产品。H3C SSL ×××产品的种类和形态很多,既有专用的×××产品V100E,又有集成在防火墙中的SSL ×××模块,还有采用OAA架构,与以高端交换机配合使用的SecBlade SSL ×××插卡。