這次我們測試的Array SPX 2800,是該系列5款SSL VPN閘道器(SPX 1800~SPX 6800)當中的中階型號。就規格而言,它能同時容納1,200臺用戶端裝置同時與設備連線。而值得一提的是,透過虛擬站臺(Virtual Site)的功能,使得SPX系列的設備,可分割為多臺虛擬的閘道器,以便分開管理,以SPX 2800來說,支援的虛擬站臺數量為50個。

SPX 2800的網路介面為4組GbE埠,可採一般SSL VPN閘道器常用的One-armed模式,部署於內部網路,或者將設備連接於外部網路與內部網路中間,透過NAT的方式,讓連接不同SSL VPN虛擬站臺的使用者,能透過專屬的網路埠進出設備,避免連線堵塞。

驗證設定十分彈性,能透過多種不同的帳號來源查核使用者,另外亦支援多網域的環境

在SPX 2800新增虛擬站臺的操作十分容易,一般來說,我們只需在設備的網頁介面,設定站臺開放對外連線的實體IP位址/FQDN網址、所使用的內部IP位址、SSL憑證資訊,以及定義SSL金鑰(1024或2048位元)的長度等必須的基本資料之後,就能完成新增。

除了預設的英文語系之外,各個虛擬站臺的入口網頁,可以隨著企業的需求,切換成包含正體中文、日文等多種語系的介面。除此之外,SPX 2800也和大多數的SSL VPN閘道器一樣,企業能自行設計入口網頁的樣式。

SPX 2800的虛擬站臺,可以同時透過4種不同的方式,驗證登入使用者的身分,預設是以本機使用者做為驗證的來源,或者是整合LDAP/Windows AD,及RADIUS等常見的外部帳號伺服器,其中,LDAP/Windows AD的部分,能同時支援企業內部的多個網域,是這系列設備的特色之一。

相較於PPTP、IPsec等傳統的連線方式,SSL VPN能提供較為安全的連線,防範惡意程式透過連線而流入內部的管道。以SPX 2800來說,它本身提供端點檢查的功能,能限制未安裝防毒軟體或者病毒碼版本過舊等健康狀態不良的個人端電腦,禁止它們連入內部網路,該功能在SPX系列的早期版本韌體,是整合Symantec的技術,在提供遠端虛擬桌面之餘,也一併檢查電腦,而現有版本的韌體,則是改為Array自行開發,在使用者登入SSL VPN之前,即啟動該功能進行檢查。

SPX 2800的所有用戶端軟體,都可以採Active X,或者Java的方式安裝到個人端電腦,以便使用不同版本瀏覽器的電腦登入內網時,都能接受這臺設備的管理。就像端點檢查的用戶端軟體,預設是透過Active X的方式發布,如果要切換為Java,則個人端的電腦必須先安裝JVM軟體。

SPX 2800端點檢查功能支援的資安軟體清單,可以透過網路而自動更新,根據我們實際設定的經驗,它所支援的種類及版本相當齊全,可以說包括現有各個廠牌的產品;不僅如此,企業還可以自訂檢查的項目,將個人端電腦的作業系統版本、系統機碼、特定檔案,及應用程式納為檢查項目。較為特別的是,支援的系統,除了微軟的Windows系列之外,也包含了蘋果的Mac OS。

提供行動裝置版本的軟體,存取內部電腦的遠端桌面

Desktop Direct是SPX系列設備相當重要的一項功能,提供外部的用戶端裝置,特別是iPhone,及iPad等2種行動裝置,透過它連接內部電腦的遠端桌面。根據原廠所提供的資料,1臺SPX系列設備,最多能容納20臺用戶端裝置透過該功能建立連線。

當使用者登入SSL VPN之後,我們可以根據帳號,提供對應的連線電腦清單,而透過行動裝置的使用者來說,企業在管理上,更可以將上述2種裝置的UDID識別碼加入,進一步限制特定的裝置才能使用這項功能連線。

目前,Array在App Store提供3種不同版本的Desktop Direct用戶端軟體,如果企業已在設備安裝授權,使用者下載免費版本的套件即可連線;反之,則需繳交5.99美元,安裝付費版本;至於Lite版本,是具備全功能的測試套件,提供最長3分鐘的遠端連線。

對於以電腦連線的使用者來說,可透過Desktop Direct專屬的入口網頁登入設備,進而開啟內部電腦的遠端桌面;至於iPhone/iPad的使用者在啟動用戶端軟體之後,輸入連線的網址,或IP位址,及帳號之後,就能完成連線檔的新增。

不僅如此,透過Array的DesktopDirect Published Applications Server Agent程式,我們可以採用類似微軟的終端機服務發布軟體,當使用者透過DesktopDirect連線到裝有該軟體的電腦時,將只會出現軟體的操作介面,而非完整的遠端桌面。

能在個人端電腦安裝用戶端軟體,以通道模式連入內網

除了網頁反向代理的存取模式之外,SPX 2800也能透過本身的L3VPN功能,也就是在個人端電腦安裝用戶端軟體,以全通道的方式連入內部網路。和多數具備SSL VPN功能的設備不同的是,SPX 2800提供Windows、Linux,及Windows Mobile等3種平臺的用戶端程式,企業可以從設備下載安裝檔,先行部署到使用者持有的用戶端裝置,或者透過瀏覽器提示安裝。

支援Site to Site的SSL VPN連線方式

Array算是很早透過SSL VPN架設Site to Site連線的網路設備廠商,透過設備的網頁介面,我們可以為個別的虛擬站臺設定連線,設定方式與一般的IPsec連線差別不大,除了能開放使用者存取另外一地的整個網路之外,亦能限定開放特定的電腦連線,提供良好的安全管理機制。

 

SPX 2800在部署上能將設備分割為最多50臺的虛擬閘道器分開管理,因應不同企業部門的存取需求。

 

透過Array在App Store提供的Desktop Direct用戶端軟體,企業可以透過行動裝置開啟內部電腦的遠端桌面功能,現今支援的裝置包括蘋果的iPhone,及iPad等2款裝置。

 

透過安裝在個人端電腦的用戶端程式,使用者能以預設的全通道或者分割通道的模式存取內網。

 

產品資訊

Array SPX 2800

建議售價:265萬元(含250個通道數授權,及1年保固)

原廠:Array

原廠網址:www.arraynetworks.net

原廠電話:(02)7718-2750

代理商:奕瑞科技、中華龍網、鉞享科技

網路埠:GbE×4

最大通道數:1,200

行動版本套件支援平臺:iOS

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】

 


相關報導請參考「SSL VPN閘道器採購大特輯


Advertisement

更多 iThome相關內容