Symantec Clientless VPN Gateway

Symantec去年10月併購SSL VPN廠商SafeWeb，推出Symantec Clientless VPN Gateway 4400（SCVG）系列，目前有4420和4460兩款產品。

在硬體架構上，SCVG與Symantec Gateway Security（SGS）幾乎一模一樣，只在背板上有點差異，4420是1U高，最多支援350個線上使用者（concurrent users），4460則是2U高，最最多支援1000個線上使用者。許多網路裝置是使用預設的IP位址（如19.168.1.1），設定前必須更改電腦的IP位址到相同的網路區段，但利用SCVG前方的LCD面板，我們就可以進行基本的網路設定（IP位址、子網路遮罩、閘道），再由系統產生登入的密碼，能夠增強系統的安全性。設定容易，支援多種認證機制

產品使用Linux系統核心，支援高可用性（High Availability）叢集架構，而且備援的機器只需一半左右的售價，內建的硬體加速器可做為未來擴充使用。負載平衡功能則需搭配L4交換器。未來SCVG整合進SGS之後，產品將提供更佳的可用性。

SCVG支援多種使用者認證機制，包括RADIUS、AD、LDAP、ACE Server及RSA SecurID等，並支援多重認證伺服器（Multiple Authentication Servers），方便企業選擇所需的方案，企業也可搭配Token Card、One-Time Password及Smartcard 等認證機制。目前SCVG可以很輕易的與RADIUS整合，但LDAP就比較麻煩，而且它尚未支援Windows Server 2003 Active Directory。依「角色」定義存取資源，彈性化政策制定

登入系統後，管理介面會即時顯示各種狀態，包括系統版本、時間、處理器/記憶體/硬碟使用量、接收/傳送速率、線上使用者Sessions及Port Forward的狀況，這些資訊都可以用來協助管理者制定存取政策。系統會記錄本機上的日誌，包括Debug、Access、Audit、Error及Event等5種類型，以便管理者檢索與稽核。

管理者可以依照使用者的角色指定存取資料，而非連線的順序，產品並支援多重角色功能，舉例來說，企業高層能夠比一般員工更快速去收發郵件，而不必排隊等待，而且單一使用者可以扮演多種角色。

企業要客製化使用者頁面也非常容易，只要修改「網頁樣本」就可以更換內容，包括企業標誌、每日新聞、功能及語言等項目。另外，為了增強系統的安全性，也可以在網頁內撰寫一些防護機制（Script），例如檢查個人電腦是否有安裝防毒軟體、是否被植入木馬程式，或禁止使用者（員工、夥伴、客戶）任意存取內部網路。

與其他產品相同，SCVG支援使用Web介面的HTTP、HTTPS、FTP、Telnet、File、Outlook、RMS及MAPI等協定，使用TCP/UDP通訊協定的應用程式也可利用Port Forwarding功能，比較特別的是產品支援Layer 3 VPN通道，只要在遠端的機器上面安裝所需的元件，就可以存取所有IP-based的應用程式。

系統可自行產生SSL憑證（CSR），也可使用第三方的憑證，但一次只能使用其中一種。在SSL加密方面，系統支援DES/3DES、AES 128/256 bit及RC5。此外，產品支援HIPPA及Sarbanes-Oxley等資訊安全標準，方便企業進行稽核工作。

Symantec計畫將SCVG整合進SGS，也就是說，產品將具備防火牆、防毒、入侵偵測及VPN等功能。林育民表示，IPSec VPN負責Site-to-Site傳輸，而SSL VPN則負責Client-to-Site的傳輸，企業可依需求使用不同的建置方式。文⊙陳世煌