|
在vpn领域,ssl vpn无疑是个新贵,由于其与生俱来在远程安全连接方面的优势,近几年逐渐受到业界的追捧。总体来看,ssl vpn还没有达到厂商们期望的大规模应用,然而最近的种种迹象表明,ssl vpn正在进行一场轰轰烈烈的开辟新天地运动。至于具体倚仗哪些优势,在整体性能、功能方面有哪些最新进展,本测试报告向读者一一道来。
一份最新研究表明近90%的企业利用vpn进行的内部网和外部网的连接都只是用来进行internet访问和电子邮件通信,而这些应用都利用了一种更加简单的vpn技术——ssl vpn。基于ssl协议的vpn远程访问方案的确更加容易配置和管理,由于不需要客户端软件,网络配置成本比起目前主流的ipsec vpn要低很多,所以许多企业已经开始利用基于ssl加密协议的远程访问技术来实现vpn通信了。
ssl vpn是最近几年才逐步发展成熟的,但是当去年某些机构对其进行全面测试时,可以说并没有满足用户对其较高的期望。相反,许多基本的问题还没有解决好。时间过去一年多,目前该领域发展到了何种程度?在目前的市场上已经出现了一些厂商的产品与解决方案,它们的优劣都在哪里?与世界最先进的水平相比,多数ssl vpn设备的整体水平如何?带着这些问题,《网络世界》评测实验室组织了2005年度ssl vpn网关公开比较评测。
由于目前市场中的ssl vpn网关设备并不是特别多,此次评测并没有对参测设备进行详细划分级别。我们向所有主流ssl vpn设备厂商发出了邀请,最后有三家厂商接受邀请,送来参测设备并且顺利完成我们的所有测试内容,它们是深信服科技的sinfor ssl vpn express、array networks的spx 5000和深圳数安的rap 1000-x。其中,array networks的spx 5000为千兆产品,其他两家产品为百兆设备。
我们还要特别感谢思博伦通信公司提供了avalanche测试仪,安氏公司提供领信网络扫描软件。同时也对这些勇于参加此次ssl vpn网关公开比较评测的厂商表示赞赏。
● 性能测试——随着软硬件技术的进步,性能有大幅提高,满足企业要求绰绰有余;
● 安全测试——尽管在网络中处于防火墙之后,但是某些设备本身仍存在一定安全风险;
●功能测试——经过近一两年的发展,功能已经获得巨大突破,可以轻松应对用户复杂应用。
性能测试 用数据说话
性能表现是所有网络设备极其重要的一个方面,也是我们此次测试的一个重点。ssl vpn网关设备的性能参数中,比较重要的几个是新建用户速率(setup/teardown速率)、最大并发用户数、邮件系统性能以及设备的实际吞吐量(goodput)等。
setup/teardown速率
setup/teardown速率反映了设备每秒钟可以新建的用户数目,array networks的spx 5000可以达到982个/秒,从我们以往测试服务器的经验来看,这一结果完全超过了一台高端pc web服务器的极限,只有后台使用更高端服务器或者服务器集群才能提供如此高的性能;深信服的sinfor ssl vpn express结果为98个/秒,深圳数安的rap 1000-x达到138.4个/秒,我们认为该数值也足以满足大型企业级用户的要求了。
最大并发用户数
最大并发用户数反映设备同时提供服务的最大用户数目,读者需要注意,此数值并非使用ssl vpn设备的用户总数(很显然,并不是所有需要使用设备的用户都随时在线)。据称,array networks的spx 5000 的最大并发用户数可以达到64000,我们测试结果为57063;深信服sinfor ssl vpn express为150,深圳数安rap 1000-x为249。
owa性能
owa(outlook web access)性能反映的是设备在承载outlook web邮件系统的性能表现,由于邮件系统在ssl vpn的应用中占很大比例,而outlook邮件系统又具有普遍意义,因此此项结果在用户使用邮件系统时有很大参考意义。array networks的spx 5000测试结果为7237 会话/秒;深信服rap 1000-x为207 会话/秒,深圳数安rap 1000-x为396.45会话/秒。
ddos攻击下的owa性能
ddos攻击是网络中十分普遍的攻击类型,我们考察了ssl vpn设备在遭受ddos攻击下的web邮件系统应用的性能表现。从我们以往对各类安全设备进行测试经验来看,设备对攻击的防范能力不容小视,有些防范能力较差的设备在攻击面前束手无策,很容易造成设备工作不正常。从我们的测试结果来看,所有参测设备在攻击下的性能都有小幅下降,array networks的spx 5000测试结果为7030会话/秒,下降大约2.86%;深信服sinfor ssl vpn express为203会话/秒,下降大约1.93%,深圳数安rap 1000-x为395.78会话/秒,下降幅度最低,仅为0.17%。
goodput
按照rfc 2647的定义,我们测试了被测设备最大http实际吞吐量(goodput)。在我们的测试环境下的结果是,作为千兆设备的array networks spx 5000为160.352mbps,深信服sinfor ssl vpn express为34.199mbps,深圳数安rap 1000-x为29.864mbps。需要说明的是,所有参测设备都没有提供数据压缩功能。
测试感言:性能已不是问题
从我们的测试结果来看,性能已经可以完全满足用户在远程安全连接方面的需求。
据我们了解,即便是最高端的用户,也很少会分配高达100mbps的带宽给ssl vpn应用,再加上internet网速受多方面影响,因此,从实际吞吐量角度,100mbps是实际应用环境的极限,所有超过100mbps的设备都无法充分展示拳脚。但是vpn设备可以提供数据压缩能力,即数据经过压缩后向外网发送,这可使用户更加有效地利用昂贵的带宽资源。从我们查到的资料来看,有些厂商在这方面的技术比较先进,数据压缩比例可以达到5:1,遗憾的是此次参测的三款产品都没有提供该功能,因此我们测试时并没有考察数据压缩时的性能表现。
从最大并发用户数角度来看,采取ssl vpn方式,按照惯例一般取1∶10的比例(如果1000个人都可能采取vpn方式,同一时间会有100个人利用vpn隧道),这一点用户在购买设备时也应该注意——在购买ipsec vpn时,1000个用户需要购买1000个客户端许可证,而如果使用ssl vpn,则可以按照100个并发用户数购买。
用户在部署ssl vpn之前一定要对设备进行性能测试,一方面能够对设备的性能表现有确切掌握,另一方面可以根据实际网络应用环境进行合理购买。
测试方法
由于ssl vpn最近几年才逐渐成熟,因此对其进行测试时业界还没有形成一个十分成熟完善的测试方案,我们参照国际上较为认可的方法并结合目前ssl vpn的发展情况,制定出如下测试方法。其中主要包括性能测试、安全测试以及功能测试三个方面。
性能测试
在性能测试方面,我们使用思博伦通信公司的两台avalanche 2500进行测试,所有结果均用朴实的数字说话。在所有5个测试项目中,每款设备均测试3遍,结果取其平均值。
测试指标1:新建用户速率(setup/teardown rate)
在每项性能指标测试中, 我们都模拟了真实环境中的一系列用户动作,即从用户登录ssl vpn网关到执行各类请求,再到退出。我们把用户动作描述出来,希望读者对我们的测试细节都能够了解得更加清晰。
指标含义:新建用户速率是指设备每秒钟可以新建立的用户连接数目,也称为会话速率,即每秒钟可以建立和终止的ssl会话数目(会话可以理解为客户端到网关的一次连接,即浏览器的一次web 页面访问)。这个参数很大程度上决定了用户能够体验到的连接速度。通常,达到100左右数值的会话速率,一般可以满足大部分用户的应用需求。
测试步骤:第一步,在32秒(一般为30秒,由于结果文件中每4秒统计数值,为了便于记录结果我们将第一步设为32秒)内压力从0 simusers(simusers为avalanche 2500中模拟的用户单位,一个simuser为一个模拟用户)上升到n simusers,n为预计的最大速率;第二步,维持第一步的最高压力120秒;第三步,20秒内将压力降为0,测试结束。
用户动作:测试仪器模拟的用户,在登录后取一个1024byte的文件后退出。
结果衡量:在第二步维持120秒的后60秒,我们计算该时间段内的平均速率(将成功建立的用户连接数除以60)。
测试指标2:最大并发用户数
指标含义:设备同时可以支持的用户连接数。
最大并发用户数指同时通过ssl vpn 来访问内部网的用户数目。同时在线用户数也是一个非常重要的参数,即同一时间 ssl vpn 所能保持的会话数目,它通常在几百到几千之间,同时在线用户越多,每位用户所感受到的速度越慢。
测试步骤:第一步,32秒内压力从0 simusers/秒上升到新建速率的80%;第二步,维持第一步的最高压力300秒;第三步,20秒内将压力降为0,测试结束。
用户动作:测试仪模拟的用户,在登录以后取一个1024byte的文件,该文件的延迟(文件的延迟时间为用户从发起请求到测试仪器响应用户的时间)为0秒,之后重复取一个延迟为60秒的文件10次,即一个用户至少10分钟后才会退出。
结果衡量:我们把用户成功取得没有延迟的文件数目作为最大并发用户数(因为每个成功登录的用户都会取得该文件,并且在我们的测试时间内不会退出而形成与所有其他用户的并发)。
测试指标3:owa性能
指标含义:设备每秒钟可以完成的邮件系统操作。
测试步骤:第一步,在32秒内压力从0 simusers上升到n simusers;第二步,维持第一步的最高压力120秒;第三步,20秒内将压力降为0,测试结束。
用户动作:测试仪模拟的用户,在登录以后发出大量的邮件系统请求(测试仪为用户模拟了outlook的收件箱),请求数量为79个,然后退出。
结果衡量:在第二步维持120秒的后60秒,我们计算该时间段内的平均速率(将成功建立的用户连接数除以60)。
测试指标4: ddos攻击下的owa性能
指标含义:设备在ddos攻击下每秒钟可以完成的邮件系统操作。
测试步骤:测试步骤同owa性能测试,只是在测试过程中同时对ssl vpn网关设备进行ddos攻击。我们选择了较为常见的synflood攻击。
用户动作:测试仪模拟的用户,在登录以后发出大量的邮件系统请求,请求数量为79个,然后退出。此过程同owa性能测试,只是在测试过程中测试仪同时向被测设备发送synflood攻击数据包。
结果衡量:在第二步维持120的后60秒,我们计算该时间段内的平均速率。
测试指标5:实际吞吐量(goodput)
指标含义:实际吞吐量也称为设备转发速率,它指的是ssl vpn网关最快可以在每秒钟内转发多少数据流量。
测试步骤:第一步,在32秒内压力从0 simusers上升到n simusers;第二步,维持第一步的最高压力120秒;第三步,20秒内将压力降为0,测试结束。
用户动作:测试仪模拟的用户,在登录以后从一个模拟的web服务器取一个1mbyte的文件,然后从另外一个web服务器取一个1mbyte的文件,交替此过程10遍,一共从服务器取20mbyte数据,然后退出。
结果衡量:在第二步维持120秒的后60秒,我们将用户从测试仪模拟的web服务器取得的数据流量进行平均,得出设备的实际吞吐量。
安全测试
我们认为,安全产品最不能忽视其安全性。
在安全性测试中,我们使用商业扫描器(scanner)产品——安氏领信网络扫描器(linktrust network scanner)对被测设备进行安全测试。测试时只针对一种vpn配置进行,即仅提供最基本的web应用的情况。
扫描器会对设备开放端口、警告以及漏洞信息给出详细报告,具体分析每种情况的危害程度以及防范补救措施等。
功能测试
在功能测试方面我们主要进行了两部分测试。一部分测试设备对应用类型的支持能力,被测设备厂商工程师向我们演示了尽量多的应用类型,包括ftp、网络文件系统、文件服务器、p2p等。另一部分测试设备本身在管理使用方面的功能特性,主要涉及访问控制、认证集成、报告与日志以及配置、安装和易用性等管理特性。
编辑推荐奖:array spx 5000
此次测试,我们主要关注四个方面:性能、安全、功能和价格,在进行整体考核时的权重为:性能占40%,功能占30%,安全占20%,价格占10%。
参测三款ssl vpn网关全部顺利完成我们各项测试,其中,深信服sinfor ssl vpn express 虽然在性能、功能各方面表现不很突出,但是价格非常便宜,且集成了防火墙,对于其“中小企业”定位用户来说是个不错的选择。深圳数安rap 1000-x在功能方面已经十分丰富,对于使用百兆环境的用户来说,已基本可以满足需求。
array networks spx-5000表现出众,该产品性能优异——无论是最大并发连接数还是新建连接速率以及实际吞吐量都可轻松满足高端企业级应用;功能全面——对各种类型应用做到很好支持;安全性能较高—我们严格的网络扫描测试中没有出现任何漏洞,技术工程师也给我们的测试充分的支持。综合各项测试内容,array networks的spx 5000成绩最为优秀,获得了《网络世界》评测实验室的编辑推荐奖。
|
安全测试 安全等级我做主
采用配置“最安全的简单web应用”,然后测试vpn设备的安全性能。我们发现,有的ssl vpn设备在安全性方面不容乐观。我们使用安氏领信网络扫描器对参测设备进行了全面的安全扫描,扫描报告中详细列出设备存在的安全漏洞、安全警告、安全提示以及打开端口信息。漏洞对于安全设备来说,是应该尽量避免的,黑客可以轻松扫描出设备的漏洞,利用漏洞进行攻击。警告和提示也不容忽视,它可能是不太严重的安全威胁,也可能是不易被利用的安全弱点。黑客还可以通过打开端口获得设备正在提供的服务。
结果发现,array spx 5000安全性很高,没有发现任何漏洞,但是出现了一些安全警告。
深信服sinfor ssl vpn express在对ssl协议进行开发时遗留一个漏洞,该漏洞会导致设备容易受到dos攻击,同时还有一些安全警告,但是,上文也提到,该设备本身默认配备了防火墙系统,整体的安全性已经比较高。
深圳数安的设备扫描结果为28个漏洞,15个安全警告。经过厂商工程师的安全配置更改以及漏洞修补工作,漏洞全部消除,剩余5个安全警告。
测试感言:安全产品最不能忽视安全!
由于ssl vpn在功能方面已经十分强大,但是功能多的同时也在安全性方面带来更多隐患。比如,如果只是提供最基本的web转换功能,即用户只通过https访问web服务器内容,那么设备只需打开443端口即可,而如果用户需要文件服务,则必需打开更多端口,端口和服务开启越多, 安全隐患也就越多。因此,设备的安全性在一定程度上是由设备管理员来决定的,如果应用类型对用户业务十分关键,机密性较强,那么则开启最少的端口和服务,反之,如果应用为一般类型,对业务并不是十分关键,那么就可以多开启一些服务,虽然安全性降低一些,但是为远程用户带来多一些的便利。我们测试的是在开启最简单功能、最少端口和服务的情况下设备本身的安全性。
安全性的问题很复杂,它涉及到整个系统的方方面面,从操作系统到开发平台,从程序代码到系统配置,可以说,一个成熟而相对安全的系统需要花费巨大的人力物力,当然还需要在纷繁复杂的不安全环境下接受各类考验。
在性能测试中的ddos下的性能也反映了产品的安全性,有些设备在正常使用环境下性能很好,但是对ddos攻击几乎无法进行任何防范。
功能测试 应对复杂功能 我能
在确定测试方案之前我们认为,ssl vpn设备在功能方面的表现可能是制约其获得大规模部署的一个重要因素。原因在于,一年以前,国外的测试同行们对多款业界主流产品进行测试后发现,多数产品所能支持的应用转换和代理的数量非常少,同时,功能方面是ssl vpn设备之间差别最突出,也最影响它们在实际环境中的部署。带着这些疑问,我们制定了功能方面的考量内容,主要包括支持应用类型、数据压缩功能、安全功能、认证方式以及报告与日志方面。
如前文所述,数据压缩功能对ssl vpn网关这种依靠互联网带宽资源的设备来说十分必要。尽管有些设备称支持该功能,但遗憾的是送测产品都没有提供该功能。
支持应用类型
我们认为,ssl vpn网关对应用的支持大致分为4个层面。第一个层面为web资源映射。从ssl vpn最初的应用情况来看,主要有web服务器资源映射,也叫作代理web页面。这是ssl vpn最基本的应用支持类型,因此如果用户希望通过web资源映射来收发e-mail,则只能使用web mail的方式。第二个层面为文件共享等应用。比如非web页面的文件共享,必需经过转换才能够发往客户端。ssl vpn网关与企业网内部的微软cifs或ftp服务器通信,将这些服务器对客户端的响应转化为https协议和html格式发往客户端,终端用户感觉这些应用就是一些基于web的应用。第三个层面为c/s应用代理,它需要在终端系统上运行一个非常小的java或activex程序作为端口转发器,监听某个端口上的连接。当数据包进入这个端口时,它们通过ssl连接中的隧道被传送到ssl vpn网关中,ssl vpn网关解开封装的数据包,将它们转发给目的应用服务器。第四个层面应用为网络扩展。它将终端用户系统连接到企业网上,并根据网络层信息(如目的ip地址和端口号)进行接入控制。
对于用户来说,第一个层面的应用是必须的(如果设备连此应用都无法满足,那它也就不能称为ssl vpn了),而文件共享和c/s应用代理的需要也比较大,因此大多数用户会要求ssl vpn能够支持这两种应用,至于网络扩展应用,一般使用较少,而且由于该功能会给整个内部网络带来更多安全隐患,因此必须使用该功能的用户也需要谨慎使用。
web资源映射功能 array spx 5000采用web资源映射功能(web resource mapping,wrm)来实现,用户不需要改变内网的web结构,在array spx 5000上设置在内网访问的url即可。深信服公司采用html智能重构技术来实现web映射,把企业内部的web服务器映射成ssl主机的一个子目录来访问(该子目录是一个无意义的字符串)。
sinfor ssl vpn对用户链接做识别,重写html并将其转换成https的有效链接,sinfor ssl vpn并不重写所有html代码,而是根据智能搜索引擎判断出需要重构的网页再加以修改。sinfor ssl vpn提供了基于web方式的邮件收发系统,方便了没有邮件客户端的用户。深圳数安rap服务器上模拟一个web解析服务器,动态解析远程客户对内网web服务器请求,rap监听到远程客户访问内网web服务器的url后,通过rap向内网服务器取动态请求,内网web服务器就像响应普通内网客户端的请求一样响应rap的请求。
共享文件 array spx 5000支持windows和unix的文件共享,将内网共享文件,通过web的方式提供给用户,用户可以在web页面中下载、上传文件。sinfor ssl vpn提供了基于web的ftp系统,用户可以下载上传文件。针对标准的tcp协议,深圳数安rap可以实现active模式ftp、passive模式ftp、telnet等应用的支持。
c/s应用代理 array spx 5000采用application manager模块来实现c/s应用代理。多数c/s结构应用系统的访问都是通过几个固定tcp端口,对于这几个tcp端口,spx 5000启动application manager功能,客户端将下载java applet作为tcp proxy运行在客户端,它侦听客户端发往服务器方的tcp端口的请求,并把请求通过ssl连接发给spx 5000,spx 5000将终结和ssl的连接并和内网应用服务器建立连接,发送请求。当用户具有c/s服务的访问权限时,浏览器会下载一个activex控件。该控件提供基于ssl协议的c/s访问服务。
sinforproxy提供了一种类似于ipsec vpn的数据包截取技术,当网络连接发生时,sinforproxy会依据条件截取该连接并转向到ssl隧道,使后续数据发送或接收都从ssl隧道传输。依赖此技术,sinfor ssl vpn可以轻松做到将内网的多台服务器所有端口提供给客户端。在rap的服务器上注册了各种内部的c/s应用服务器ip、端口和协议等信息;当客户端请求建立某个c/s应用请求时,rap服务器端会主动push一个java applet到客户端,实时监听客户端到当前c/s应用的原内网地址信息和端口,协议信息等,客户端java applet把监听到所有信息通过ssl加密后在internet上传回到rap服务器上,rap服务器解密该数据包,把这些原始信息像在内网的访问一样传给真正的内部c/s服务器,内网c/s应用服务器正常响应此请求,像内网访问一样返回数据包到rap,rap加密此数据包通过internet传输给远程的客户端。
网络扩展 对于udp应用,spx 5000采用三层虚拟通道技术来实现,此项功能是在客户端和spx 5000之间通过ssl连接建立一条虚拟通道,客户端将会生成一个虚拟网卡,并修改本机的路由表。这样,客户端虚拟网卡上就会配备一个和内网地址体系一致的网址,并通过这条虚拟通道直连到内网,就好像客户端机器在内部一样。一旦网络层隧道建立后,所有基于ip的应用都可以实现。可实现包括b/s、c/s架构的应用,也可实现tcp的应用。深圳数安rap 1000x的实现方式是,当客户端远程请求建立ssl通道的时候,客户端动态生成rap虚拟的网络设备,并且通过rap动态获得内网ip地址,此时,客户端的ip就变成了内网ip,只能访问内网指定的服务器或相应服务器的相应的端口。深信服设备没有提供该类型应用的支持。
安全功能
由于ssl vpn设备最重要的使用环境为远程安全连接,因此,安全是其必不可少的功能。
url加密是提高安全性的一个措施,有些设备也称之为url隐藏功能,在ie浏览器的url框中,地址是一串不能读懂的乱码,而且每次用户登录都会发生实时改变。这种方式的好处是远程用户不能使用ping命令找到该服务器的网址,因此可以避免对该服务器的网络攻击。有些厂商的产品默认为url隐藏,因此无法进行多项性能测试,进而很遗憾没有参加我们的测试。有些厂商的设备没有此功能。而测试工程师认为,最好像array的设备那样,将此功能设置为可选,这样如果用户需要增加安全性,则开启此功能,而在调试、测试阶段则可以不必开启此功能。深信服没有url加密功能,而深圳数安的设备默认开启url加密功能,但是针对我们的测试进行了特定的改进,从而也可以不启动url加密功能。
超时检测、清除缓存、客户端安全扫描也是针对用户远程连接所设计的安全功能。超时检测功能是当用户登录设备后而没有任何动作并超过一定时限后将该用户自动退出系统。客户端缓冲区及临时文件清除功能就是在ssl vpn的远程访问结束后,自动清除留在远程访问设备缓冲区中的临时文件和数据。清除缓存功能不仅非常必要,而且,不支持这项功能的ssl vpn产品会对企业信息造成严重危害。ie浏览器为了提高速度,常常将访问的文件和数据放在临时文件中。并且在退出后不会自动删除。这样,有经验的客户可以通过浏览器提供的检查临时文件的功能,打开残留在临时文件目录中的文档,从而窃取企业机密。为了简化用户重复登录,反复输入密码的麻烦,浏览器有的时候会在缓冲区中记录用户口令信息,这样,在不关闭浏览器的时候,二次访问需要口令的网址的时候,浏览器会自动输入口令。因为ssl vpn的远程用户可能使用公共设备,如果不清除缓冲区,如果忘记关闭浏览器而离开,后面的用户可以会登录到内部系统。所以,必须在会话结束后清除缓冲区。参测的三款设备都支持超时检测和清除缓存功能。
客户端扫描对用户来说也是一个不错的功能。由于使用ssl vpn以后,用户可以使用任何设备访问内部资源,甚至可以使用网吧电脑访问内部系统。如果远程访问的系统有病毒或安全漏洞,将危害企业内部的信息安全。客户端扫描功能可以大大降低病毒和黑客工具对企业信息的危害。深圳数安和深信服的设备不支持该功能,array设备支持该功能。array spx 5000可以对登录的客户端进行检测,根据对客户端特征值的检测结果,将客户端划分到不同的安全访问级别,为客户端提供不同的功能模块,并且可以自定义什么级别的用户可以拥有哪些功能模块。对于接入的客户端,可针对以下内容检测客户端的安全级别:客户端的ip地址、客户端的ssl证书、客户端包含的特定文件、客户端注册表特定键值、客户端个人防火墙检查、客户端防病毒软件检查,包括病毒库的更新时间以及操作系统版本补丁检查等。
|
ssl vpn网关功能评价表 |
|
公司名称 |
array etworks 华耀环宇科技(北京)有限公司 |
深圳市深信服电子科技有限公司 |
深圳市数安信息系统有限公司 |
|
产品名称 |
spx 5000 |
sinfor ssl vpn express |
rap 1000-x |
|
产品类型(软件、硬件) |
单独硬件 |
单独硬件 |
单独硬件 |
|
产品定位 |
大中型企业/电信/移动用户 |
中小型企业远程接入和办公 |
中小型企业远程接入和办公 |
|
配置 |
硬盘 |
40g |
cf 128m |
40g |
|
cpu |
amd opteron 2.8g |
p3 1g |
p4 2.0g |
|
内存 |
4g |
256m |
1g |
|
是否采用硬件加密 |
是 |
是 |
否 |
|
是否有加速卡 |
是 |
否 |
是 |
|
设备操作系统类型 |
arrayos |
linux |
linux |
|
支持操作系统类型 |
windows、linux、unix、macintosh、palm os |
windows |
windows,linux 、wince、smart phone |
|
提供网络接口类型 |
10/100/1000 rj-45、ge光口 |
百兆以太网端口、百兆管理端口 |
百兆以太网端口、百兆管理端口 |
|
冗余部件 |
无 |
无 |
无 |
|
功能 |
http压缩 |
不支持 |
不支持(c/s应用支持) |
不支持 |
|
超时检测 |
支持 |
支持 |
支持 |
|
清除缓存记录 |
支持 |
支持 |
支持 |
|
自动升级 |
不支持 |
支持 |
支持 |
|
双机备份 |
支持 |
不支持 |
不支持 |
|
安全 |
客户端安全扫描 |
支持 |
不支持 |
不支持 |
|
身份认证方式 |
localdb/ad/ldap/radius/securid/证书特殊字段检测 |
用户名密码、usbkey、ldap(activedirectory)、radius |
active directory、ldap、 radius、usb-key、local database、secur id,手机短信认证 |
|
用户权限管理 |
支持 |
支持 |
支持 |
|
数字证书认证 |
支持 |
支持 |
支持 |
|
是否支持现有用户数据库 |
是 |
是 |
是 |
|
管理 |
集中管理 |
支持 |
支持 |
支持 |
|
|
管理平台 |
win98/nt/2000;工具( ssh、webui、console) |
win 98/nt/2000/xp |
win 98/nt/2000/xp |
|
|
远端管理 |
支持 |
支持 |
支持 |
|
|
分层管理 |
支持 |
支持 |
不支持 |
|
|
实时统计信息 |
支持 |
不支持 |
不支持 |
|
价格 |
|
210000美元/1000用户
(原报价误为人民币,特此致歉) |
24570人民币 |
win 98/nt/2000/xp |
认证方式
识别用户并把它们归到某个组里是部署ssl vpn至关重要的一部分。radius服务器应用非常普遍。有的产品可以极为灵活地从radius服务器里获得组信息。在其他产品里,radius用户不得不通过一些手段镜像到组里去。对于多数厂商而言,ldap的支持与active directory的支持是同义的。ssl通常都是建立在证书基础之上的,因此,大家希望这些产品在其对公共密钥基础设施(pki)的支持方面能够表现优异。
上述的认证方式参测的三款产品都支持,值得指出的是,深信服与深圳数安的设备还支持usb key硬件认证方式,array spx 5000 5000支持 rsa securid。
报告与日志功能
作为安全设备,人们还希望ssl网关具有很强大的审计、日志和报告功能。希望看到有关每次修改配置的记录,希望看到会话数据,以显示用户何时登录、何时退出的,以及用户消耗了多少资源。也希望看到交易统计数据。参测设备都对用户各类信息做了详细日志。sinfor ssl vpn提供了调试、信息、告警、错误的4个级别运行日志,帮助管理诊断系统。
3款产品除了拥有需要的记录之外,还可以使用ftp、smtp或者安全拷贝自动把其记录上传至服务器的某个地方。还可以选择某些特殊的用户和应用,并提供日志水平。不论用户是出于调试目的,还仅仅是为了更密切地观察系统的某个部分,这都是一项很好的企业级特性。
有的产品不仅能显示谁登录了,还能显示系统本身是如何运行的。可以显示多个图表,网管能够清楚地知道cpu、内存和i/o负载情况。array spx 5000在这方面就表现不错,前面板的实时统计信息使管理员对系统运行情况一目了然,通过图形化的界面显示系统实时的各种参数,包括cpu利用率、端口流量、ssl连接数、登录/退出数量、并发用户连接情况等各项信息。实现对系统的实时监控。其他两款产品则没有实时统计信息。
测试感言:功能最影响用户选择
功能是ssl vpn设备的一个基础,由于经过多年的网络建设,用户在网络构建时,无论是物理层面还是应用层面,都形成一个相对复杂而独具特点的环境,因此,设备性能再好,安全性再高,如果对用户的应用系统无法进行正常转换,那么根本谈不上部署。比如,某用户在前几年习惯了java平台的应用(包括中间件的使用),当希望部署某国外品牌时,该应用无法通过ssl vpn设备进行正常连接;另一用户的业务系统必须通过activex实现,在部署某款ssl vpn时同样无法达到正常工作的目的。
通过功能的测试,我们感觉到,ssl vpn在功能方面已经不存在任何应用障碍了。当去年国外同行进行ssl vpn测试的时候,他们还感觉到许多应用类型无法支持。如今当时的困难都被很好解决。
因此,目前来讲,ssl vpn网关只剩下一个障碍,那就是子网对子网的安全连接问题。在逻辑上分析,我们认为远程连接领域ssl vpn优势十分明显,但是某些用户如果同时需要远程连接和子网对子网的安全连接,那么ipsec vpn就会体现出优势。因此,一些厂商认识到这种问题后,推出集成ipsec与ssl vpn于一体的设备,如果用户需要同时采用两种类型vpn,这种一体化设备是一种不错的选择。
关于url加密的功能成为我们此次测试的一个问题,如果设备默认支持此功能而且无法将它取消,那么就无法进行我们的测试,因此对此功能最好能够提供可选的“按钮”,当正常使用时开启该功能以提高安全性,而在设备部署、调试、测试阶段则关闭该功能以完成测试工作。
对用户来说要挑选一个明显的最爱比较困难,有的提供了一个成熟的应用层防火墙,有的提供了范围广泛的应用转换功能。产品是否最终令人满意,还取决于用户对自己应用需求的了解程度,用户需要记住:“适合自己的才是最好的。” | |
| 
