项目概况及需求：

【电脑商网专稿】山西省电力系统存在很多远程用户，这些用户希望能够通过Internet安全地接入到电力系统内部网络，以访问内部服务器提供的多种服务，针对这种需求有多种远程接入解决方案，其中包括：昂贵的远程拨号接入，配置复杂的IPsec VPN，无需客户端软件的SSL-VPN解决方案。最终，根据专家和用户的多次考察和商讨，最终决定采用中华卫士SSL VPN系统来实现远程用户安全访问的需求。

解决方案：

中华卫士SSL VPN作为一种网络数据转发设备，它工作在传输层。为了应用中华卫士SSL VPN，需要将其部署到企业信息网络中。中华卫士SSL VPN在部署的时候有两种典型的应用模式；一种是旁路代理方式，一种是在线转发方式，分别如下图所示：

 
旁路代理方式

旁路代理方式中，从Internet需要访问内部应用服务器的数据通过企业防火墙直接到达中华卫士SSL VPN。经过中华卫士SSL VPN对用户进行认证、授权之后，应用数据将在SSL的保护下在Internet上传输。中华卫士SSL VPN解密得到应用数据并通过内部网络转发给应用服务器。应用服务器对客户端的应答则按照相反的顺序到达客户端。
这种部署方式的好处是用户不需要改变任何的网络配置，只需要为中华卫士SSL VPN分配两个IP地址分别连接内部网络和企业网关路由器/防火墙即可。这种部署方式不会中断企业服务，也不需要改变应用服务器的路由设置。因此旁路代理方式可以非常平滑地将中华卫士SSL VPN部署到现有企业信息系统网络中。
 

在线转发方式

在线转发方式需要将中华卫士SSL VPN串接在企业应用服务器组同企业网关路由器/防火墙之间。这种部署方式的好处在于中华卫士SSL VPN能够完全控制从Internet到企业内部网络的访问企业内部网络的数据，因而避免因为防火墙上策略配置的失误导致Internet访问直接到达应用服务器的问题。

关键技术：

l 无客户端软件，使用简单方便；
l 保持用户使用习惯，不影响原有应用；
l 客户端应用绑定，完善支持各种系统；
l 支持多种TCP/UDP应用系统；
l 第三方Radius/Windows AD/LDAP认证系统；
l Windows AD/LDAP用户数据库同步；
l 基于信任链表的PKI证书应用
l 客户端安全措施;
l 基于角色的细粒度访问控制;
l 信息与状态监控.