从办公系统的网络结构进行需求分析，该系统主要需要实现内网和外网的安全身份认证和SSL通道的建立及数据库的安全访问，具体情况如下。

    ●要求能通某公数据/邮件服务器，使用者是外部移动办公用户或分支机构的职员。
    ●要求能通过Internet访问办公应用服务器，使用者是外部移动办公用户或分支机构的职员。
    ●要求能通过Internet访问企业后台财务系统和人事系统服务器，使用者是外部移动办公用户或分支机构的职员。
    ●VPN服务器通过本地数据库的方式来完成用户身份认证。
    ●VPN服务器根据用户/用户组的方式来决定用户的访问权限。
    ●VPN服务器为客户端与服务器的通信提供SSL加密服务。
    ●VPN提供300客户端license。
    ●与客户端的接入方式无关,客户端可能通过拨号、代理、NAT等方式连接，无论用哪种连接方式，都能可以通过访问服务器，而不必修改应用程序。

    针对上述需求，EverLink SRAC Gateway作为直接连接局域网内部的服务器的中间设备，安放在内部网络的DMZ区，配置两个IP地址，一个为内部地址，一个为外部地址。它完成的功能是在已经建立的安全通道的基础上根据用户提交的用户名/口令确定用户的身份和使用权限，然后为用户建立符合用户身份可以访问的服务器之间的安全通道。在SRAC Gateway和用户之间的通信都是经过SSL加密的安全通道进行传输的，保证信息传输的安全性。同时，所有对服务器的访问必须通过SRAC服务器，这样即使系统受到攻击也是对SRAC服务器的攻击，从而增强了对各应用服务器的保护。

    ●在防火墙上屏蔽外网用户对内网服务器的访问，保证了未经许可不能访问内网服务器。
    ●在防火墙后面的Switch上安装EverLink SRAC Gateway，该服务器采用双网卡形式，一块网卡分配DMZ区的IP地址，一块网卡接内部网络，分配内部IP地址。
    ●利用SRAC Gateway的用户管理功能，增加新用户和用户组。
    ●在SRAC Gateway上新增到各个服务器的安全通道。
    ●为每一用户组分配可访问的安全通道， 安全通道对该组中的任何成员开放。当授权用户要访问服务器时，先访问SRAC Gateway，SRAC Gateway根据用户帐号为用户提供授权的安全通道。用户利用SRAC提供的安全通道访问对应的内网服务。非授权的用户对安全通道的访问将会被拒绝。同时实现了数据在Internet上的传输是经过SSL加密的。  

    这样一来，不仅实现了基于用户名/口令的的身份认证，同时实现了SSL的传输加密，安全性将大大提高。采取了上述方案之后，整个的网络将是一个安全可控的体系。

（1）安全性
    ●关闭防火墙上开的不安全通道，办公系统所有的访问全部通过防火墙，机构的安全可以置于统一的监督、控制和管理之下。
    ●加密的用户名/口令认证方式，在网络传输过程中无法被窃听。用户名/口令不正确，网络连接不能建立。
    ●进入系统后，将处于系统的严格的网络资源控制策略控制中，用户不能越权访问未被授权的资源。机构可以按照自己的需求建立安全控制体系。
    ●传输时建立SSL安全通道，所有来往的信息全被高强度加密算法（不低于128位的对称密钥）加密，防止网络窃听导致内部信息失密。
    ●异地/移动办公：分支机构或外出员通过SRAC服务器的身份验证以后就可以和SRAC服务器之间建立一个安全的加密通道，保证异地办公的安全性。
    ●扩展内部网络，便于和客户、合作伙伴安全交互：通过SRAC Gateway的使用，安全的将公司内部网络扩展到Internet网上。通过为不同身份的用户提供不同的访问控制权限，可以方便的实现和不同客户、合作伙伴之间的安全交互。

（2）适用性
    ●能根据机构的具体要求进行访问控制，访问控制可以精确到用户、服务器、应用，控制手段方便、灵活。
    ●可以方便的根据应用进行应用的扩展，为不同的应用设置相应权限。
    ●使用方便，所有会使用浏览器的用户都会使用该系统。

（3）支持多种认证方式
    ●内嵌的、非明文传输的本地用户认证
    ●数字证书（EverLink CA, Win2000 CA等）
    ●集成第三方认证（Radius, NT/2000域, LDAP）
    ●双因素认证（USB key, 动态口令卡）

(4) 强大的应用代理引擎
    ●基于Windows文件共享服务的应用（共享目录、VSS）
    ●电子邮件服务（POP3, SMTP, IMAP, Lotus Notes）
    ●数据库服务（Oracle, SQL Server, DB2等）
    ●中间件服务(TUXEDO)
    ●终端服务（Telnet等）
    ●文件传输服务（FTP等）
    ●WEB服务（HTTP）
    ●其他应用服务（自定义端口）

(5) 基于角色的访问控制
    ●利用组来定义角色，一个人可以扮演多种角色
    ●依据角色来分配访问权限
    ●访问权限可以细化某台服务器的某个端口

(6) 基于SSL的数据加密传输通道
    ●全程数据加密传输（客户端到SRAC网关）
    ●数据完整性校验
    ●使用符合国家密码政策的加密算法

(7) 日志和审计
    ●可配置的访问日志（打开或关闭）
    ●强制的错误日志
    ●基于B/S模式的审计界面

(8) 基于B/S模式的管理员界面
    ●常规设置（认证模式、网络设置等）
    ●安全通道的配置
    ●访问权限控制
    ●用户/用户组管理
    ●日志管理和审计

（9）灵巧、易用的客户端
    ●与应用客户端无缝衔接（服务名自动映射）
    ●与用户的上网方式无关（拨号、NAT、代理）
    ●支持HTTP和SOCKS代理服务器
    ●可以直接从SRAC Gateway下载（小于500KB）
    ●绿色环保软件，不修改系统注册表
    ●零安装（随处运行），几乎零配置
    ●担心重要数据（包括口令）在网上传递时被窃取

（10）经济性
    ●无须支付过多的额外费用，包括电话线路、中继线、拨号服务器和长途电话等费用。
    ●时间效益好，不需要改变现有的网络环境和应用系统，保护以前的网络投资。