​建立与工厂DMZ防火墙的SSL VPN 会话 一旦安全浏览器连接了防火墙，防火墙要建立一个与远程用户的SSL VPN会话，增加另一层保护。这个会话会进一步保护终端客户机和工厂防火墙之间的数据流。远程访问服务器需要对远程用户再一次进行验证，检验服务/帐号。 另外，工厂服务器确保所有远程用户被验证和授权使用远程访问服务。入侵检测/保护系统IDS/IPS 一旦用户建立了一个会话，防火墙的侵入检测和保护服务开始运行，检查进出防火墙的数据流，防止不同类型的网络威胁。IDS/IPS **为工厂架构的一部分，要检查所有通过防火墙的数据流。IDS/IPS增加了一个安保等级，阻止来自远程系统可能的威胁和攻击，在源头阻截恶意数据流，防止这些威胁在隔离区或者制造区影响系统。 虽然NAC也可以减少来自远程系统的威胁，但两种技术可以取长补短，NAC针对远程系统的姿态（版本和保护类型），IPS/IDS检查没有被NAC阻截的威胁和攻击的数据流。再者，按深度防御的方法需要实施不同的安保服务。 到远程访问服务器的远程终端会话 一旦安全浏览器建立了与工厂隔离区的连接，防火墙可以允许这个用户通过终端会话访问远