SSL VPN－Juniper SA 4000

Juniper SA 4000是系列產品中，適合中型以上企業使用的型號，同一時間最多可以容納1,000人從外部網路連接上線。除此之外，設備本身也具備良好的防護功能，可禁止具有安全風險的用戶端電腦與這臺設備之間建立連線，並提供周邊裝置控管的功能，防止重要的機密資料透過用戶端本機上的隨身碟、印表機等裝置外流出去。

當我們在瀏覽器輸入SA 4000所在的IP位址，預設會進入使用者連線的登入頁面，管理者如果想要設定功能組態，則必須在IP位址後方加入admin的字串，才會轉接到設定專用的登入頁面。第一次設定SA 4000，除了可以經由多數人常用的網頁介面之外，也可以串接Console埠，在終端機介面輸入指令完成網路組態、SSL金鑰，以及管理者帳號新增等基本設定。

能以多種方式驗證使用者帳號
SA 4000可以結合Active Directory（AD）、LDAP、RADIUS，以及本機帳號等多種方式驗證使用者帳號是否正確有效。由於這次我們以一臺安裝Exchange Server 2003的Windows Server 2003伺服器作為測試平臺，從外部網路測試是否可以正常連接OWA、遠端桌面，以及檔案共享等服務，因此在驗證伺服器的選擇便以AD為主，這部分的設定方式相當簡單，僅需指定網域主控站所在的IP位址，以及一組具備網域管理員權限的帳號、密碼，就可以完成設定。

安全檢查項目與UAC大致相同
管理者可以決定是否對用戶端電腦執行安全檢查，確認該電腦是否依照企業規定安裝防護軟體、修補程式，以及有無更新病毒碼，一旦發現違反政策規定的電腦，SA 4000就會拒絕與之連線，避免可能存在的有害程式流竄到內部網路造成破壞。

用戶端電腦第一次連上SA 4000時，會自動從設備下載Host Checker代理程式，以便採取各項檢查的動作。支援這項安全檢查功能的作業系統平臺除了微軟的Windows系統之外，Linux也包含在內。

我們發現，安全檢查的項目和Juniper的端點安全產品UAC（Unified Access Control）大致相同。事實上，UAC的主控臺設備（IC系列）就是從SSL VPN設備發展而來，因此無論是外觀、操作介面，甚至是產品功能，兩者之間都有著很高的相似度。

SA 4000可以支援1,000多種的市售資安防護軟體，像是防毒軟體、個人防火牆，以及反間諜程式等多種類別，此外，也可以檢查用戶端作業系統的版本；至於修補程式和病毒碼版本的檢查，在早期版本的韌體已經提供這項功能，不過需要以手動方式新增項目，新的IVE（Instant Virtual Extranet） 6.0版韌體，可以讓用戶從Juniper原廠的資料庫下載一份預先編輯好的清單，無需再手動建立。當管理者透過網路註冊設備之後，就可以啟用這項功能，預設是每30分鐘就會自動更新一次。

不只是執行前述的各種檢查項目，SA 4000的管理者也可以透過已經安裝的Host Checker採取一些額外的管理措施，例如可以關閉在系統背景執行的應用程式，禁止P2P之類的抓檔程式濫用企業頻寬，或是未知類型的程式破壞系統檔案、竊取重要的個人資料。

提供周邊裝置控管功能
在機動性與設定方便的考量之外，能夠依照帳號群組個別制定存取權限也是企業採用SSL VPN的重要原因，只是大多數同類型設備在通道建立之後，往往就沒有額外功能可以防止有心人士盜取企業內部的重要資料。

Juniper在SA 4000以上型號的SSL VPN設備，加入了一項名為Secure Virtual Workspace（SVW）的防護功能，這項功能提供一個和Windows桌面完全相同的虛擬桌面，使用者可以在此閱覽、修改機密資料，但無法複製、傳送到本機電腦上的外接裝置，如印表機、隨身碟等，藉此保護重要資料的安全。

提供線上交談功能
做為遠端存取企業網路資源的通道之餘，SA 4000也提供一項名為「安全會議」的線上交談功能，利用SSL協定的加密特性，保護交談訊息被不相關的人士所竊聽。

管理者可以在網頁介面指定具備使用這項功能權限的使用者群組。除了單純參加會議之外，群組內的任何使用者也可以自行新增一個會議。SA 4000提供兩種不同性質的安全會議，一種是事先預約，與會者必須在建立者所指定的時間，連接設備參與會議，至於另一種則是即時性的，會議建立之後就可以馬上開始交談，時間長度是一個小時。

這項功能會在用戶端電腦安裝一個名為Secure Meeting的元件，當使用者成功加入會議的時侯，就會開啟Secure Meeting，開始線上交談。

「共用」也是Secure Meeting的重要功能之一，利用這項功能，被指定為簡報者的人可以將本機畫面分享給其它人瀏覽。舉例來說，如果選擇將背景程式中的Explorer.exe共用，那麼其它的使用者就可以看到簡報者目前的桌面。文⊙楊啟倫