任意地點訪問
和IPSec VPN不同,RAP 安全認證應用接入系統遠程訪問解決方案允許員工無需專用客戶端軟件,就可以訪問企業應用系統,這樣就不會把公司雇員束縛在某壹臺電腦上。只要公司雇員有瀏覽器,通過RAP 安全認證應用接入系統遠程訪問就能方便、安全地訪問公司網絡,可以是通過機場提供的上網場所,或者在客戶處,或者通過無線設備。當他們出行時,也不用非得帶上筆記本電腦。這種方便性帶來效率上的提高和給雇員帶來精神上的愉悅也是很難量化的。
支持各類內網應用
除完美地支持內網基於WEB的應用, RAP 安全認證應用接入系統還支持有不同安全要求的C/S應用, 及用瘦客戶端(Clientless)支持(JAVA APPLET)象SSH, TELNET, FTP, MS-TERMINAL SERVICE工具和轉換內網EMAIL服務到基於WEB的模式。甚至支持隧道以滿足特殊需要。
支持各類附加認證
除支持本地數據庫認證外, RAP 安全認證應用接入系統還支持USB KEY, 手機, MS-AD, LDAP, RADIUS和RSA SECURE ID等認證。
降低了內部服務器的維護費用
由於RAP 安全認證應用接入系統遠程訪問提供主動的基於應用層的過濾,能保護公司內部服務器,從而使得內部服務器不用忙於打補丁,也不會忙於應付各種緊急情況,最終降低了內部服務器的總體擁有成本。
技術特點
RAP 硬件加密網關可實現遠程用戶對內網計算機進行SSL安全遠程訪問
數字簽名的應用軟件
在內網中的用戶通過“註冊計算機”操作來進行主機服務程序的自動下載。在註冊過程中,將由RAP 基於RSA算法產生證書給目標計算機,連同目標計算機的私鑰存於目標計算機中,以認證目標計算機和用戶的所屬關系及建立SSL安全通道。內網主機的註冊程序是必須的,而客戶端(遠程訪問端)則不需要安裝任何軟件。
所有RAP 安全認證應用接入系統的應用程序都是經數字簽名的,而且它們能夠保持自動更新和升級。所有的安裝和升級過程都要經過簽名驗證,這是為了防止那些偽裝成合法RAP 安全認證應用接入系統軟件的“特洛伊木馬”程序。
客戶端不需要設定任何參數,此舉是為了防止用戶進行錯誤的參數設置而影響SSL安全連接通道的建立。
良好的防火墻的兼容性
許多其他的解決方案都要求目標主機具有公用的IP地址。而RAP 安全認證應用接入系統系統則不同,內網主機會以固定的時間間隔,向App模塊不斷發送“Upcall”命令以檢查連接請求。這樣,RAP系統同各種應用代理的防火墻、動態IP、NAT/PAT設置完全兼容。因此,企業能夠非常容易和簡單的對RAP 安全認證應用接入系統進行控制管理,而無需改變現有的網絡架構。
保護計算機訪問
企業內網中的目標主機必須通過RAP系統註冊才能夠建立遠程連接。註冊程序必須在目標主機上物理的進行,不允許遠程部署,這樣也防止了“安置”特洛伊程序的可能性。只有通過授權的用戶才能對自己的計算機進行註冊。作為計算機的擁有者,他必須以授權的用戶名、臨時密碼登錄,然後開始進行自身電腦的管理工作,包括註冊目標主機、修改臨時密碼和建立計算機遙控密碼。
保護機密數據
RAP 安全認證應用接入系統把數據加工成高壓縮比的加密包進行傳輸,這樣既保證了數據的安全性又不會犧牲網絡的速度性能。所有在客戶端和目標機之間的傳輸應用,例如屏幕圖象、文件傳輸、鍵盤/鼠標輸入等,都是基於安全的SSL協議的加密保護。每壹次合法聯接最初建立之時,RAP系統會為其分配壹個壹次性的32位隨機大數。通過這個隨機數系統可以確定當前連接的唯壹性,這樣就防止了黑客采用重放技術進行攻擊或加入合法連接的可能。對於第三方攻擊者來說,加密的二進制數據使得通過傳輸分析來修改信息包或猜測加密密鑰的工作變得極度困難。
受嚴格驗證保護的訪問
RAP 安全認證應用接入系統的機密性是建立在嚴格的、強大的驗證基礎之上的。RAP SSL VPN的每部分,包括App模塊、Admin管理平臺、Relay中繼、遠程終端和內網主機都會得到同樣嚴格地驗證,只有驗證通過才能夠加入到安全的企業資源中來。
長串組合的復雜密碼
RAP 安全認證應用接入系統系統每個密碼設定時可以包含字母和數字,並支持大小寫敏感。密碼設置的越長越復雜,就會得到越強壯地保護。
多級的嵌套密碼
用戶在輸入登錄密碼時,RAP系統采用了密寫技術來保護敏感數據,輸入的密碼都采用了密文顯示。RAP 安全認證應用接入系統使用多重嵌套密碼保證其安全性。APP 模塊使用數字簽名進行自身驗證,對於所有的 Java程序和系統軟件它都會進行數字簽名。遠程用戶的驗證通過基於MD5算法加密的用戶名/密碼登錄來實現。當內網主機向 App 註冊時,RAP 會基於 RSA 算法產生證書傳送給目標計算機,連同目標計算機的私鑰存於目標計算機中,以認證目標計算機和用戶的所屬關系及建立SSL安全通道。
端到端的驗證
遠程終端同內網主機建立連接時,同樣使用用戶二次輸入的密碼(計算機遙控密碼)對保護數據的密鑰來進行加密交換,即使用遙控密碼對這個密鑰碼進行數字簽名。達到遠程終端和內網主機間數據包的加密和解密。該密鑰保護形式是使用基於3DES算法的簽名信息來進行相互的認證。只要用戶安全地保護他的密碼,那麽就只有他本人才能夠建立與內網主機的連接。
超時休止設定
遠程訪問者可能會沒有Logout就離開了公用的PC或是無人管理的家用PC。RAP 安全認證應用接入系統會采用休止狀態的超時設定功能來減輕這種情況的危險。如果用戶的Session保持15分鐘的休止狀態,遠程用戶帳號將自動從RAP SSL VPN退出登錄。
遠程終端不留痕跡(Cookies Auto Clean)
遠程終端僅使用瀏覽器及動態運行JavaJVM,當用戶退出該應用或關閉瀏覽器後,Session將被清除,在遠程終端不會留下任何用戶痕跡。
系統級的訪問控制
RAP 安全認證應用接入系統提供系統級的遠程訪問控制技術,能夠使用戶更有效的控制企業局域網中的資源。使用RAP 系統的遠程用戶輸入他的Windows登錄密碼,這樣他就取得了企業為其授權的文件級、擁有者和域級許可權限。換句話說,遠程用戶並沒有另辟奚徑來訪問企業內部網,他們只能進入到專有的桌面應用,而且是在現有局域網的管理控制之內的。
強大的日誌審計功能
通過RAP 安全認證應用接入系統的系統管理平臺,企業可以記錄連接情況和維護session日誌,這都是出於安全、統計和審核的目的。企業的系統管理員能夠查看活動中和歷史的session記錄。包括用戶名、主機名、客戶端的IP地址、session的開始/結束時間、session使用時間以及session的類型。同樣也能夠通過RAP系統的Admin管理平臺,來統計各種所需的數據,包括用戶數量、session統計、session接入時間等。標準的統計報告可用來進行“非常規訪問”模式的分析,包括例外的長時間session、意外的客戶端IP地址、異常關閉的代碼等。這些信息對於進行故障診斷、排除問題是非常有益處和有幫助的。系統管理員對於這些信息的訪問都是在限制範圍之內的,他們只能進行壹些必要的基礎工作。