盛達電業的BiGuard S6000,是該公司5款SSL VPN閘道器(S6000到S10)當中的最高階型號,它在出廠時已經內建50個SSL VPN通道數的授權,另外,設備也開放企業另購授權,能升級到最多200個通道數的規格。而同系列設備當中,尚有一款外觀完全相同的S3000,預設提供10個SSL VPN的通道數,並能視需求而擴充到50個。而有別於多數的SSL VPN閘道器,S6000在功能方面的特別之處,在於提供了Site to Site的連線,使得2地之間的傳輸,能透過當前最強健的SSL加密提供防護。

S6000的網路介面,為10組的GbE埠,其中,第1、2組為設備的WAN埠,其餘則為LAN埠。除了SSL VPN閘道器的功能之外,它也可以獨自部署在企業的網路出入口,提供NAT、DHCP等服務,適合預算有限的企業,或者是分支辦公室的環境使用。

部署容易,能整合自家或者其他第3方廠商的OTP提供驗證

S6000的部署安裝,和iThome測試過的S20,等同系列的小型號設備大同小異,屬於一款設定容易的SSL VPN閘道器產品,設備的網頁介面除了預設的英文語系之外,還能切換為正體中文在內的多種語系;不僅如此,透過設定精靈的功能,使得設備的操作能進一步簡化,除了基本的網路連線之外,SSL VPN的設定也能以此方式進行。

S6000亦是過群組方式,管理企業各個部門間不同的內部資源存取。而對於使用者身分的辨識,設備可以整合LDAP/Windows AD、RADIUS等常見的外部伺服器,另外,也能整合盛達電業自家的BiGuard OTP,或者其他第3方廠商的一次性密碼裝置方案,以雙因素的方式,確認使用者身分的真實性。

透過群組區分欲提供的存取項目,使用者帳號可從Windows AD匯入,不需要手動設定

S6000本身內建的Billion網域,即為本機的帳號資料庫,而當企業欲連接外部的Windows AD提供驗證服務時,我們需要在設備新增額外的網域設定,這時我們僅需要輸入Windows AD所使用的網域,及伺服器的IP位址,至於同樣為設定所需的BaseDN,則可點選欄位旁邊的Make from Domain自動產生,對於許多管理者來說,是一項相當便利的小功能。

隨後,我們可以透過設備的網頁介面,匯入網域使用者的帳號,免去早期同廠牌SSL VPN閘道器韌體需手動逐一新增的麻煩。

當網域新增完成之後,我們可以在設備的群組頁面,看到一筆自動新增的設定,進入該群組的設定頁面之後,便能在這裡加入欲提供的存取資源項目,修改SSL VPN的連線,及網頁介面的樣式等設定。

提供多種的存取功能

使用者登入SSL VPN時,透過入口網頁下方的下拉式選單,即可進行群組的切換。

在企業沒有配置存取項目的情況下,使用者登入設備之後,預設可以透過Network Extender,及Network Place等2種功能存取內部網路,或者也能視需求而取消。

當我們按下Network Extender的圖示之後,設備可以透過Active X,及Java等2種常見的方式,為外部的個人端電腦安裝用戶端軟體,隨後便可以採用預設的分割通道,或者全通道的模式建立連線,而在這項功能的進階設定當中,我們可以設定規則,讓使用者僅能存取特定的內部區域。

至於Network Place,則是和網芳使用完全相同的功能,當我們開啟這項功能的操作介面之後,便可連線到內部的各個網路群組,或者是屬於網域的電腦,存取內網當中的共享資料。

以我們在測試環境中配置的3種存取項目來說,遠端桌面的連線由於需要在個人端電腦,以Active X的方式安裝外掛程式,在瀏覽器電腦的桌面視窗,因此目前僅能在IE的環境下使用,至於網芳的共享資料夾(包含Network Place),及Exchange OWA的網頁郵件,則可以透過Firefox等IE以外的瀏覽器連接,其中,也包含了內建於iPhone的Safari。

能在連線建立前,檢查外部電腦的安全狀態

有別於同系列當中一些小型號的設備,S6000提供了端點檢查功能,使得設備能檢查,並過濾外部電腦的安全狀態,防止惡意程式的流入,這項功能在設備的網頁介面當中稱為End Point Security(EPS),支援的作業系統則以Windows XP,及Windows Vista為主,透過這項功能,企業能檢查電腦所使用的系統版本,及防毒、個人防火牆等資安軟體的狀態,還有系統機碼,及特定檔案。

EPS採用元件式的架構建立檢查的政策,因此,先前設定過的元件,可以被後來新增的其他政策所套用,以便利管理者的操作。

內建Site to Site的SSL VPN連線功能

早期的BiGuard閘道器主要提供Client to Site的連線,使用者若需連接SSL VPN,必須透過瀏覽器連接設備,而Site to Site的SSL VPN是2009年加入的一項新功能,讓分居2地的設備能建立連線,提供2地的電腦相互通連,除了S6000之外,其他同系列的閘道器也都支援這項功能。

在S6000的SSL VPN設定選單,我們可以看到Site to Site SSL的項目,和一般我們設定IPsec VPN的Site to Site連線一樣,2地之間的SSL VPN閘道器也有Server,及Client的角色區別,實際連線時,我們僅需在範本檔裡,填寫另外一地網路所在的網段,及連線密碼之後,另外一地的電腦就可以直接連入。

 

設定好與Windows AD之間的連線之後,我們可以透過設備的網頁介面,直接將具有SSL VPN使用權限的帳號匯入,並依部門、職務的不同,而套用到指定的群組,不需要以手動的方式逐一完成新增,以降低管理的複雜度。

 

登入設備之後,除了透過下方設定好的資源項目連線之外,也能點選紅色的Network Extender圖,在個人端電腦安裝用戶端程式之後,改以通道模式連線,或者以Network Place,在網頁介面存取其他電腦的共享資料,操作上十分容易。

 

除了PC平臺的瀏覽器之外,透過iPhone內建的Safari亦能操作Network Place的功能。

 

產品資訊

盛達電業BiGuard S6000

建議售價:35萬元(含50個通道數授權)

原廠:盛達電業

原廠網址:www.billion.com

原廠電話:(02)2914-5665

代理商:瑞虹科技

網路埠:GbE×10

最大通道數:200

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】

 


相關報導請參考「SSL VPN閘道器採購大特輯


Advertisement

更多 iThome相關內容