基于特定目的的Array SSL VPN(2)

　　基于特定目的的基于特定目的的SSL VPN介绍

　　普通的SSL VPN的各种缺点都可以通过使用一种专门为SSL VPN设计的平台克服。Array Networks 已经在它的高性能SSL VPN系统的SPX系列中采用这种方法。Array SPX系统是一种基于运行自定义ArrayOSTM操作系统的、基于特定目的的平台。它与普通的SSL VPN相比，他的优化的，线性操作交付具有更高的吞吐量和更低的延迟，却可以支持更多的并发用户数和SSL会话。

　　图：

　　Array 基于特定目的的SSL VPN高级架构

　　普通的计算机平台在经过多层处理时会有很严重的瓶颈和延迟。Array 自定义ArrayOSTM操作系统流线型处理，同时保证了CPU密集型操作例如在硬件中进行的密钥交换和批量加密。

　　最佳性能和用户体验

　　实际上， 与Array最 近的SSL VPN平台比较，Array基于特定目的的平台使得它交付的性能、吞吐量和容量是它们的八倍。

　　大部分性能的提高都归功于ArrayOSTM和SpeedStackTM技术。SpeedStackTM技术是一种处理引擎，它使得多个完整的数据流只执行一次TCP堆栈处理。下面的图描述了多种功能能够不需要数据在内存中濑户机移动即可处理。如果你认为这些特性是由很多功能组成的，那么这里叠加了很多功能。这意味着在任何特定的时间一个功能请求可能为多个特性服务，这样就能更有效的利用资源并且改善性能。

　　图：

　　除了在硬件中执行SSL密钥交换和批量加密之外，Array也把压缩和连 复用技术整合在一起，通过减少网络连 和服务器的负载来降低延迟。这就使得Array能够把有500个SSL并发用户的网页的平均反应时间维持在2毫秒，同时把有成千上万个SSL并发用户的网页的平均反应时间维持在个位数。

　　在那些因应用服务器太贵而不适合执行低级TCP网络操作的环境中，以及WAN带宽对于远程用户来说非常宝贵时，Array SPX提供了整合的应用加速，包括行业领先的TCP连 复用技术和基于硬件的HTTP压缩。这个整合的特性和性能在降低成本的同时还改善了服务器反应时间和终端用户体验。

　　超强的安全性

　　Array超强的性能也意味着用户不必为性能而牺牲安全性，而为性能而牺牲安全性正是一般SSLVPN解决方案经常做的。Array可以同时使用户拥有最大安全性和即时用户反应时间。

　　与所有SSL VPN解决方案一样，Array支持认证、授权和审计 (AAA )，以及清除缓存的终端安全性。但是Array也有许多其他一般SSL VPN解决方案没有的安全特性。

　　首先是Array拥有专利的ArrayOS操作系统。作为一种基于特定目的的操作系统，ArrayOS没有任何一种一般操作系统如Windows或Linux固有的多余特性和功能，以及伴随这些多余特性和功能的安全漏洞。ArrayOS是一种更加安全、受攻击可能性大大减少的操作系统。

　　ArrayOS也采用完全反向代理结构，意味着它终止所有的连接，然后与后台服务器立新的连接。

　　这样做的目的很多。首先，它能使得后台的服务器免遭攻击;因为所有的连接都在Array设备上终止了，下游的设备看不见那些后台的服务器。Array也使用延时绑定技术，它要求在连 传递到应用服务器之前在Array设备上终止连接。这就阻止了不合法的IP地址连接到服务器上，因为他们不会正确地终止。

　　Array SPX也使用线速、基于状态防火墙和七层数据包检测来快速发现-丢弃-反常的数据包。对于要求点对点安全性、特别敏感的应用程序，Array也可以重新加密Array设备和后台服务器之间的会话。

　　可扩展的、虚拟统一接入

　　正如前面所解释的，大型企业和服务供应商需要高扩展性、低总体拥有成本 (TCO)，支持大量不同用户的接入控制。Array SPX凭借它行业领先的扩展性，虚拟化和统一接入控制能力，满足了这些迫切的要求。

　　单台Array系统最多能支持：

　　64000并发用户

　　100000并发SSL会话

　　10000SSL交易/每秒

　　850Mbps吞吐量

　　256个虚拟门户

　　每个虚拟门户都有自己独一无二的统一接入策略，以及外观和安全配置。那意味着从一个单独的系统，企业可以允许它的客户访问它的公开的基于网页的订购系统，允许它的员工访问电子邮件、ERP和CRM系统，以及允许供应商访问他们的外联网。服务供应商从一个单独的Array系统最多可以支持256个不同的客户，这样与一般SSL VPN解决方案相比，大大降低了采购和操作的成本。

　　在提供统一 入控制方面，与一般的SSL VPN相比，Array已经取得了质的飞跃。Array SSL VP不需要在多个LAN交换机、SSL VPN设备和独立的无线LAN交换机上创 以及维护访问控制列表(ACL)。使用Array SSL VPN，无论用户是从无线LAN远程访问还是直接连 LAN，用户的访问方式都被支持。所有访问网络的用户而不仅仅是远程用户都要执行Array全面安全策略。

　　安全统一接入依赖于许多Array SSL VPN系统的重要特性，包括：

　　最大并发用户数和会话数;没有支持大量用户的能力就不可能为统一接入控制添加用户。

　　反应时间快，吞吐量大，使得Array在为统一接入添加用户时不必降低效率。

　　整合的高性能网络和应用防火墙，使得组织可以替换当前防火墙的ACL。

　　为不同用户组最多可以支持256个虚拟门户，使得Array可以为许多用户支持和管理多个门户，无论他们是通过WLAN或LAN远程访问还是直接访问。

　　先进的基于角色管理，允许在IT部门委派安全和网络策路责任。

　　Array正在通过使组织在一个地方-Array SSL VPN来控制终端用户访问策路和端点安全来定义市场。这样就不需要在多个LAN交换机、防火墙、SSL VPN设备和单独的WLAN交换机上创和维护访问控制列表 (ACL)，从而减少了管理的成本。

　　满足您的需求

　　Array提供的统一接入与可扩展接入的结合、更高的安全性与最佳性能结合，意味着客户大大节约了成本和时间。能够用一个独立的系统满足所有远程访问的要求意味着比使用多个一般SSL

　　VPN系统降低总体拥有成本 (TCO)。Array提供的先进安全特性和集中控制所有访问需求也能够节约更多的成本。同时，Array为客户提供了一个满足将来VPN需求 (包括站点到站点SSL VPN )的基础。

　　图：

　　更高性能、更低总体拥有成本 (TCO)

　　在每个用户的成本方面，Array每个系统支持64000个并发用户和100000个并发SSL会话，创造了一个总体拥有成本(TCO)的神话。甚至在用户数低于1000时，Array的性价比也很好，而随着用户数增加，成本还会大大降低。同时当用户数大于1000时其它竞争对手的解决方案的成本会迅速增加，因为他们需要增加更多的机器，同时还使管理更加复杂。通过减少后台服务器的负载，Array连接复用技术减少了服务器硬件和软件的成本，将进一步降低了总体拥有成本 (TCO)。

　　当一个拥有130亿美元资产的医疗保健公司需要在两个月内在它的网络中添加5000个人，它考虑过多种VPN和瘦客户端方式。它最终选择了Array系统，因为它比其它竞争的解决方案有更高的性能、可靠性和安全性。同时它能在不升级硬件的情况下扩展到100000个用户并且管理非常简单。

　　Array系统为每个用户只花费了40美元，而竞争对手的解决方案每个用户至少要花200美元。它需要的技术支持更少，管理更加简单，与其他方法比较，Array系统节约了100万美元。

　　另一个医疗保健机构，Presbyterian Healthcare，部署Array SPX让医生和其它工作人员安全访问病人的信息。与之前的解决方案比较，它实现了并发用户数量百分之百增加同时终端用户的反应时间提高了百分之五十。另外，这个机构的服务器处理容量增加了百分之四百，每个微软IIS WEB服务器处理的用户数从以前的800增加到现在的4000个。这个机构需要的后台服务器数量也减少了百分之五十。

　　同样地，为1亿个客户提供移动通信服务的、世界上最大的通信服务供应商之一，它每年在技术支持上花费310万美元帮助它的供应商客户管理他们基于IPsec的VPN访问解决方案。以前的解决方案不能扩展超过2000个用户，然而这个供应商已经有5000个销售商，而且数量一直在增长。改用Array SPX系统使得公司大大减少了技术支持的成本，因为不再需要客户端支持和培训。而且Array系统可以很轻松地支持公司的5000个用户，而且还有能支持更多用户的空间。

　　Array虚拟化特性也比一般SSL VPN节约了很多成本。相对于为每个用户组购买和管理单独的SSL VPN设备，衡量一下在同一个平台上支持你所有不同的用户组-职员、合作伙伴、供应商、以及客户节省的费用。对于服务供应商而言，部署Array SPX不仅意味着可以在一个单独的平台上支持多达256个客户，而且可以不再在客户端放置设备，同时大大节约了初期资本开支和协同管理的费用。

　　Array系统不需要客户为了性能而牺牲安全性。具有在硬件中处理许多CPU密集型任务的能力、基于特定目的的构架使得SPX的性能远远超过竞争对手的解决方案。同时整合网页防火墙和深度包检测技术让客户不必额外购买安全产品，而且还减少了总体拥有成本。