搭配微軟SSL VPN方案的Celestix WSA 3000,是一臺內建x64版本的Windows Server 2008 R2,及新推出的SSL VPN閘道器套件──Forefront Unified Access Gateway(UAG) 2010,提供使用者從遠端存取。這臺設備早期出貨的版本是在Windows Server 2003的架構上,搭配微軟前一版本的SSL VPN套件Intelligent Application Gateway(IAG) 2007,代理商邁格行動表示,在維護合約的有效期限內,企業可以免費升級設備的軟體套件,以原廠提供的安裝光碟進行更新,至於另外一種的升級方式,則是以原有的設備,向原廠折購新款的SSL VPN閘道器,藉此提供企業更好的連線效能,而以WSA系列現有的設備來說,除了型號屬於高階的WSA 8200、WSA 6200為2U高度的機架式設備之外,其餘產品的外型皆為和WSA 3000相同的1U高度設備。

維護方便,可直接透過面板旋鈕建立系統備份,或者進行還原

UAG的軟體可以單獨購買,部署於企業現有的Windows Server 2008 R2伺服器,在費用方面,WSA系列不同於多數的SSL VPN閘道器,除了設備硬體的價格之外,還需額外採購連線使用者數量的授權數。然而,相較於企業在現有的伺服器安裝UAG的部署方式,導入硬體設備的好處在於容易部署,以及維護,以WSA3000而言,當設備重新啟動之後,透過前方面板的圓形旋鈕,管理者可以在這裡設定網路埠的連線組態,與還原或備份系統的操作環境,還原過程中,設備前方的LED會顯示當前的還原狀態,及是透過何種備份檔進行還原。

除了底層的Windows Server系統,及提供SSL VPN存取的UAG之外,尚且包含Forefront Threat Management Gateway(TMG) 2010的軟體防火牆套件,保護設備不受攻擊。

WSA 3000的網路介面為6組GbE埠,其中,第1、2組為預設的LAN、WAN埠,其餘則為DMZ埠,實際部署時,管理者可以視需求,重新設定各個網路埠的角色。一般而言,當我們在UAG的設定介面,操作功能時,會自行增加對應的設定至TMG防火牆,不需對此再手動操作。

連線功能完整,且支援含WAF在內的多種防護功能

不同於其他的SSL VPN閘道器設備,由於WSA系列本身就是一臺Windows伺服器,因此設備開機之後,我們可以連接螢幕,及鍵盤滑鼠,或者以RDP遠端桌面的方式連線,開啟本機的Forefront UAG Management應用程式介面,設定各項功能。

我們需要透過Forefront UAG Management的介面,新增一筆HTTPS Trunk的設定,做為對外提供使用者登入連線的站臺,如果企業想要區分不同部門所能存取的資料的項目,則可新增多筆設定,讓使用者各自透過不同的站臺連入SSL VPN。設定過程中,需完成設備與Windows AD伺服器之間的連線設定,WSA 3000整合網域的方式可以分為2種,一是採我們這次的做法,將設備底層的Windows系統先行加入網域,因此這裡便使用Use local Active Directory forest authentication的選項,套用系統的連線設定即可;其次,則是透過Define domain controllers選項,另外設定2者之間的連線。

不僅如此,我們還可以在HTTPS Trunk的設定過程當中,繼續完成其他功能的操作。例如,UAG本身亦具備端點檢查的功能,而設備可以透過2種方式完成這項設定,一是透過設備本身的功能進行檢查,其次,則是整合內部網路中現有的NAP伺服器,完成之後,就可以開啟Application Wizard的設定精靈,為SSL VPN的站臺加入網頁伺服器、檔案共享,RDP遠端桌面,及微軟的終端機服務等存取項目。

就網頁伺服器的存取來說,UAG已經內建多種微軟網頁伺服器的設定樣版,當中也包含我們在這次在測試環境中開放連線的Exchange OWA,以便套用內建的網頁應用程式防火牆(WAF)提供防護,而且在此還可以選擇不同的Exchange版本,讓設備能區分版本之間的連線差異,在HTTPS Trunk設定當中的URLset項目當中,就可以看到WAF所建立的過濾規則。

我們可以透過UAG的設定介面,找尋內部網路當中的共享資料夾,開放給使用者存取,藉此免去逐一設定的麻煩。而在登入SSL VPN之後,使用者不僅能透過反向代理的網頁介面開啟資料之外,亦能上傳檔案到儲存目錄。

除了網頁型式的反向代理之外,UAG也能以通道模式,在個人端電腦以Active X,或者Java的方式,安裝用戶端軟體提供使用者連線,或者以微軟特有的SSTP撥號連線。

支援Direct Access的存取功能,可建置於IPv4的環境

Direct Access是UAG相當重要的新功能,讓使用者電腦在外部環境開機完畢,連上網路之後,可以直接在瀏覽器等網路應用程式,輸入內部電腦的私有IP位址,建立連線,以免除過去使用者開啟連線程式撥號的麻煩,只要使用者電腦的系統版本為Windows 7,就可以透過這項功能,來連入企業內部。

不同於Windows Server 2008 R2所內建的Direct Access,UAG可以在IPv4的環境建置這項服務,門檻較低。而對於重視連線安全的企業來說,Direct Access本身亦能整合PKI,也就是透過權杖等外部裝置,再次確認使用者身分,及導入NAP的檢查功能,使得惡意程式無法輕易流入。

 

在設備架設的初期階段,我們可以連接設備的網頁介面,完成諸如網路埠組態、加入網域等基本的系統設定,而透過設定精靈的介面,使得操作更加直覺。

 

設備也內建端點檢查的功能,除了常見的安全狀態檢查之外,亦支援多款微軟的套裝產品,及Mac OS,及Linux等非微軟的系統平臺。

 

設備亦內建了WAF的功能,能保護內部的網頁伺服器免於遭受攻擊,同時還可以根據同一伺服器套件的不同版本,採用不同的政策提供連線的檢測。

 

產品資訊

Celestix WSA 3000

建議售價:479,600元

原廠:Celestix

原廠網址:www.celestix.com

代理商:邁格行動

網路埠:GbE×6

最大通道數:無限制,視企業購買授權數而定

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】

 


相關報導請參考「SSL VPN閘道器採購大特輯


Advertisement

更多 iThome相關內容