SSL VPN設備｜WatchGuard SSL 100 支援豐富的使用者身分認證方式

由WatchGuard推出的SSL 100，是一臺針對100人以下應用環境的SSL VPN設備，計價主要是依同時上線的使用者數量而定，目前可購買25人、50人或100人的授權。

SSL 100內建4個GbE網路埠，不過在建置上，最多只用到2個，從網頁管理介面設定網路時，可以選擇用單一網路埠或雙網路埠來連接。管理者若要修改使用者、開放的資源與檢視系統狀態，預設是以HTTPS的方式連至8443埠來登入SSL 100的Web UI頁面，而一般使用者登入的頁面（WatchGuard稱為Application Portal），則不需要指定埠號。

提供Tunnel和網頁應用程式存取管道

初次進入系統管理介面後，會出現快速設定的精靈引導，隨後設定SSL VPN的使用者登入帳號，SSL 100支援本機的使用者資料庫和連接內部網路存在的目錄服務，像是Active Directory、OpenLDAP和eDirectory。

定義登入的使用者群組之後，接著管理者需要設定要開放給使用者存取的「資源」，SSL 100提供通道（Tunnel）和網頁等2種形式的選擇，並且分別內建9種和11種範本，裡面均已設好相關網路協定所對應的網路埠號。以一般Windows網路分享資料夾為例，可以挑選Microsoft Windows File Share，輸入伺服器的IP位址、資料夾路徑，還可指定使用者登入後所打算掛載的網路磁碟機代號，下一步是指定資源存取的規則（Access Rules），系統預設是「Any Authentication」可先暫時套用，隨後再自定需要的存取規則、重新選擇搭配的資源。

若是要以Windows遠端桌面透過SSL 100登入內部網路的電腦，設定更簡單，只要填入目的電腦的IP，接著按預設值套用，即可很快完成。除了使用電腦內建的遠端桌面程式，WatchGuard也提供JavaRDP的選項。

支援豐富的使用者身分認證方式

在身分認證方式上，SSL 100總共支援16種之多，其中5種是WatchGuard內建的機制，最常使用的是WatchGuard SSL Password，也就是固定的使用者密碼，另外一種是透過網頁瀏覽器外掛的ActiveX和Java Applet元件，將認證身分帳密輸入的WatchGuard SSL Web，這種方式的驗證，在傳到伺服器端之前都是經過加密的。

針對網頁瀏覽器、手機WAP連線和PDA登入，則是WatchGuard SSL Challenge和WatchGuard SSL Synchronized，輸入使用者帳號後，SSL 100會透過在使用者電腦出現Mobile ID的軟體視窗，分別藉由系統預設好的問題和動態密碼（One-Time Password），來確認對方身分。

最特殊的做法是WatchGuard SSL Mobile Text，主要混合了輸入網頁瀏覽器的ID／密碼，以及發布到使用者手機的動態密碼。

對於其他常見的身分認證整合方式，SSL 100也支援LDAP、AD、eDirectory、RADIUS、Windows的網域使用者帳號登入、NTLM等驗證，以及RSA SecurID的動態密碼硬體裝置，甚至是使用者憑證、HTML網頁身分驗證表單，以及相當少見的Confidence Online軟體身分認證。

搭配存取規則，可禁止不符合企業安全要求的個人端電腦連入

一般SSL VPN除了開放資源給使用者遠端登入，並且確認身分認證的合法性之外，在連線前後還有一些工作要進行，確保企業內部網路不會因為使用者電腦的安全性不足而遭到網路病毒的散播，以及在結束連線後自動清除下載檔案與曾連入的網址、暫存的網頁快取。

以SSL 100來說，它提供了個人端電腦系統評估（Assessment）的功能，主要是檢查連至SSL VPN的Windows個人端電腦是否執行特定的應用程式、包含特定的登錄機碼數值，或是存在指定的檔案、資料夾。這些都需要管理者自定。

若要進一步評估更多的個人端電腦狀態，管理者需透過新增Assessment性質的存取規則，即可要求連線電腦需符合條件，才能使用SSL 100上開放的特定資源，舉凡處理程序、使用者帳號、所屬網域、網路卡、本機與遠端電腦IP的TCP與UDP埠的狀態，或是防毒軟體、個人防火牆與防間諜軟體廠牌。

只要設定了相關的系統評估規則，當使用者在SSL 100 Application Portal頁面點選特定資源時，先跳出End-Point Integrity scan的檢查頁面，再決定是否放行。當我們在存取規則中設定連線個人端環境的防毒軟體廠牌為Any Product，接著以一臺裝了Symantec企業版防毒軟體Endpoint Protection 11.0 MR4的電腦登入這臺SSL VPN，會發現可以通過檢查而登入。

事實上，若管理者在防毒軟體廠牌中選定一家後，還可以進一步從下拉式選單中，挑選要求安裝的防毒軟體產品，例如在Microsoft下，可以指定連線使用者必須安裝Forefront Client Security、Security Essentials等。

當使用者結束與SSL 100的遠端連線後，過程中的暫存資料最好也應一併清除，以免機密外洩，SSL 100這方面的功能稱為Abolishment，管理者可以設定監控使用者所下載、開啟與建立的檔案類型，系統預設針對8種副檔名來管制，例如HTM、PDF、TXT、DOC等。

Abolishment的功能也一樣是透過End-Point Integrity scan啟動執行，當使用者關閉或登出SSL VPN連線後，系統會掃描是否殘餘了上述監控的檔案，並且列出相關的檔案清單，提示使用者是否要刪除。

可透過個人端軟體，直接以通道連結內部網路的資源

當一般使用者登入SSL 100，存取各種網路服務時，他所操作的電腦通常會啟動WatchGuard 提供的Access Client軟體，但這只是動態執行的On-demand Access Client，當連線結束後，該軟體就會消失。

在Access Client上有一個選項相當特殊，稱為「Register essp:// protocol handler」，這可以從IE、Firefox等瀏覽器或從Windows開始選單中，開啟essp://開頭的網址，針對指定的遠端資源建立直接存取的通道捷徑或執行命令。

ESSP（Extended Security Session Protocol）是一種用在Access Client和WatchGuard SSL VPN設備之間的通道傳輸協定，使用者可直接存取SSL VPN上的資源，而不需透過Application Portal的頁面來點選。

關於系統評估的存取規則，可要求連線的個人端電腦須安裝防毒軟體、個人防火牆或防間諜軟體，以目前原廠的LiveSecurity訂閱服務持續更新的狀態下，防毒軟體支援80多家廠牌。

這臺設備總共提供16種使用者身分認證的方式。

系統可以產生一份內容達42頁的PDF格式報表。

【註：規格與價格由廠商提供，因時有異動，正確資訊請洽廠商。】