东达公司的VPN若不能应用有线和无线网络，为各种终端设备和操作平台提供安全的接入，企业分支机构和子公司，甚至是在工地县城办公的员工将无法及时从企业获得资料，解决工作问题，从而耽误工期，降低生产力。同时，来自外部的病毒以及垃圾邮件的入侵也时时威胁着网络，若不能对此进行控制，设备将很容易染上病毒，公司设备将无法正常运转，甚至使全部生产瘫痪，须对本地员工的本地访问以及远程用户的本地访问进行授权访问管理，否则公司机密资料外泄，后果不堪设想。

　　方案设计

　　了解了东达公司的网络状况与安全风险，东达公司急需要一台支持各种设备接入，管理企业内外访问，同时能够使企业设备免于病毒入侵的设备。综上 ，我们推荐SonicWALL Aventail E-class SSL VPN系列，包括EX-750、EX-1600、EX-2500三个产品。

　　设计目标

　　· 简单无缝地连接用户与资源

　　· 检测任何端点的安全性

　　· 轻松保护企业资源

　　实施效果

　　1.简单无缝地连接用户与资源

　　SonicWALL Aventail E-Class SSL VPN对所有应用提供智能接入，包括基Web的应用、客户端/服务器应用、基于服务器的应用、基于主机的应用以及反向连接的应用如VoIP。SonicWALL Aventail SSL VPN可使用台式机、笔记本电脑、自助服务终端、PDA和智能手机等各种设备，在W i n d o ws 、Windows Vista、Windows Mobile、Linux或Macintosh等各种操作平台上无缝地工作，因此极大地提高了生产力的同时降低了支持成本。从用户的角度来说，SonicWALL Aventail Smart Access可以根据设备的类型和状态、用户身份以及所需资源，动态地选择和配置适当的访问方式和安全级别。自适应选址和路由功能可以动态地适应网络变化，以消除冲突。智能接入(Smart Access)功能可以根据Microsoft标准在Windows设备上简化安装程序和启动任何所需的代理程序，因此很好地解决了东达公司员工移动办公的需求。

　　SonicWALL Aventail E-Class SSL VPN对Windows、Windows Vista、Windows Mobile、Macintosh和Linux等各种操作系统环境下运行的客户端/ 服务器应用和传统应用，同时提供基于浏览器的无客户端软件安装的访问以及通过客户端软件的访问。SonicWALL Aventail WorkPlace提供一个策略驱动的、匹配设备的Web门户，用户可以轻松地从台式机、笔记本电脑、PDA、智能手机，甚至从无线热点和自助服务终端轻松访问基于Web的应用和客户端/服务器应用。用户还可以对经常使用的资源定义快捷方式，Workplace可根据合作伙伴和员工的需要自定义不同的标识和颜色模式。

　　SonicWALL Aventail WorkPlace访问对于那些非企业可控的设备来说是最适合不过的了。

　　SonicWALL Aventail Connect访问为使用Windows、Windows Vista、Windows Mobile、Macintosh和Linux的用户提供了全新“办公室化”的体验，实现对各种客户端/服务器应用和基于Web的应用以及所有其他网络资源的完全访问。通过Web可部署的代理程序，或者通过易于配置的标准MSI安装可以实现SonicWALL Aventail Connect，从而为IT可控的设备进行完全访问提供了理想的选择，通常这些访问需要强有力的桌面安全保障、隧道分割控制和个人防火墙监测功能。SonicWALL Aventail Smart Tunneling技术提供支持UDP、TCP和IP协议以及VoIP等反向连接应用的第三层技术。在NAT模式下，无须配置IP地址池。

　　可任选的SonicWALL Aventail Native

　　Access Modules提供附加的基于Windows Terminal Services的内在访问，通过WorkPlace门户，其还具有对负载均衡的Citrix服务器群环境的内在支持，从而可以替代昂贵的Citrix nFuse部署。SonicWALL Aventail Host Access Modules直接将业界领先的AttachmateWRQ终端软件集成到企业的SonicWALL Aventail E-Class SSL VPN上，用户通过它可方便地在IBM、UNIX和OpenVMS环境下访问各种基于主机的应用。

　　SonicWALL Aventail SSL VPN让用户可以从任何无线网络环境使用移动设备(包括支持Windows Mobile的设备、Symbian智能手机、DoCoMo iMode设备和具备WAP功能的设备)，无论基于Web或基于客户端均可安全可靠地访问各种重要网络资源 。

　　SonicWALL Aventail SSL VPN解决方案不仅提供对各种设备的集中化管理和细粒度接入控制，而且还具备对丢失或被盗设备实施禁止访问的功能。采用会话保持(Se s s i on Persistence)技术，移动用户在不同网络间漫游时——移动于办公室、交通工具、家和酒店之间时，均可灵活地保持当前会话，而无须重新验证。　　2.检测任何端点的安全性

　　SonicWALL Aventail End Point Control(EPC)可以确保Windows、Windows Vista、Windows Mobile、Macintosh和Linux等系统中的各种端点遵守细粒度访问控制规则。EPC结合验证前审查功能来确认端点准则的顺利实施，比如防病毒库的升级。SonicWALL Aventail Policy Zones技术应用检测到的端点准则来自动强制执行策略。例如，在安全通道建立之前，用户的访问或许被隔离并被指引到补救指令。通过检测客户端证书，Device Watermarks可以对丢失或被盗设备轻松实施禁止访问的功能。SonicWALL Aventail的虚拟键盘(Virtual Keyboard)可以中止在不被信任的端点上针对键盘记录的嗅探(sniffer)。作为一个可选项，SonicWALL Aventail Advanced EPC将细粒度端点控制检测与卓越的数据保护相结合。高级质询(Advanced Interrogator)利用Windows平台上预先定义的防病毒、个人防火墙和反间谍软件解决方案完整列表来简化设备配置文件的安装，包括选择版本和签名文件更新等。缓存控制(C a c he Control)技术可以消除浏览器缓存、会话记录、Cookies和密码。安全桌面(Secure Desktop)技术通过创建一个虚拟的加密环境来防止敏感资料被遗留。SonicWALL E-Class Aventail SSL VPN也在Outlook Web Access或Lotus iNotes中阻止可疑的电子邮件附件，或者阻止对金融数据和病患记录的访问。在SonicWALL Aventail SSL VPN中，默认状态下连接是关闭的，所以其提供的“拒绝一切”的防火墙似的保护能力是无可匹敌的。

　　3.轻松保护企业资源

　　由于具有背景相关帮助和安装向导，可以轻松地安装和部署SonicWALL Aventail E-Class SSL VPN。基于对象的、可扩展的SonicWALL Aventail Unified Policy模型在一个单一配置选项上整合了所有网络资源、文件共享和客户端-服务器资源的控制，因此完善的策略管理只耗时几分钟而已。组群和嵌套组可通过RADI US、LDAP或Active Directory认证存储来动态完成。

　　SonicWALL Aventail SSL VPN支持单点登录(SSO)和基于表格的Web应用程序。用户可以轻松地更新自己的密码而无须IT 支持的帮助。

　　SonicWALL Aventail Policy Replication使得IT可以轻松地在多个设备节点上复制策略，这些设备节点可以位于同一群集中，也可以分散位于不同的地理位置上。

　　SonicWALL Aventail Management Console提供一套功能丰富的集中化监控功能，用来审查、执行、管理和资源规划。可任选的Aventail Advanced Reporting功能让系统管理员可以从任何Web浏览器获取标准报告或自定义报告来审查是谁、在什么时候、从哪个远程位置访问了哪些企业资源。可视化管理工具提供实时的系统状态和方向的相关信息，并且直观地提出管理系统对象的可行性方案。

　　点评：

　　SonicWALL Aventail E-Class SSL VPN 解决方案在没有增加基础架构成本或复杂性的基础上，可提供一套完整的远程访问控制解决方案。SonicWALL Aventail E-Class SSL VPN 提供全方位安全保障的应用接入、端点控制和统一策略管理。采用这个易于使用和控制的解决方案，可以让员工和外网商业伙伴使用任何设备，从任何地方，无须安装客户端软件安全访问所需的资源。这种 SSL VPN 安全解决方案大大地提高了生产力。中国信息安全