這次我們測試的BIG-IP Edge Gateway 3600,是F5在2009年推出的新款網路設備,透過內建的Access Policy Manager(APM)模組,使得這一系列設備能提供SSL VPN的存取服務。

BIG-IP Edge Gateway是基於F5開發的TMOS系統來提供服務,現有的最新版本為10.2.1,至於更新的11版,則預計在今年6月推出,屆時將能提供更多的SSL VPN存取功能。

以3600這一款來說,設備在啟動APM的功能之後,即具備500個SSL VPN連線數的授權,最高可以增加到5,000個,而型號屬於高階機種的8900,則能提供到40,000個連線,就市場現有的SSL VPN閘道器而言,是負載能力相當出色的一款設備。

3600內建的網路埠共計有11組,其中包含1埠GbE介面的管理埠,及提供連線服務的8組GbE埠、2組SFP光纖埠,設備能介接於外部,及內部網路之間,提供SSL VPN連線的分流。

能透過設定精靈新增多種SSL VPN服務,使之便於操作

相較於FirePass系列,BIG-IP Edge Gateway的設定更為容易,它能透過設定精靈的方式,完成SSL VPN服務的建置。而在設備的網頁介面,我們可以看到Network Access、Web Applications,及Web Application Access Management等3種不同的存取模式,就iThome這次實際設定的經驗來說,3種模式的設定精靈都十分易於操作。

管理者不僅能在這裡自定入口頁面的樣式,從英文切換為正體中文等語系之外,設備對於SSL VPN的連線,預設會開啟端點檢查的功能,檢查防毒軟體的狀態,或者日後也可以加入虛擬鍵盤、虛擬安全工作空間(Protected Workspace,PWS)等原先在FirePass就有的功能,強化使用者透過SSL VPN連線時的安全。

BIG-IP Edge Gateway的Network Access模式,是透過安裝在電腦的用戶端軟體,建立通道的連線方式,設備預設是採全通道的方式,傳送個人端電腦的網路流量。當我們登入SSL VPN的入口網頁之後,用戶端軟體能透過我們所使用的IE,及Firefox瀏覽器安裝,連線成功之後,在螢幕右下方的系統列,會出現F5的紅色圓球圖示常駐,點選2下,會出現網頁介面,顯示目前的連線時間,及傳送、接收的流量總計。

至於Web Applications模式,則是BIG-IP Edge Gateway的SSL VPN反向代理存取,當使用者登入設備之後,這時瀏覽器畫面會轉向到設定這項服務時所自定的首頁,並在視窗的左上角出現一個工具列,在這裡輸入欲連線的網址之後,便能連線到位於內部的網頁伺服器。

在設備啟動Local Traffic Manager(LTM)模組的情況下,透過Web Application Access Management的方式,可以在使用者連線到內部的網頁伺服器時,也一併導入負載平衡的功能,使得伺服器的效能負載得以降低,同時在後端的伺服器故障,或者停機維修時,也能因此而提供備援的功能,另一方面也能因此強化連線安全。

透過2種不同版本的行動裝置套件,提供反向代理及通道模式的存取

F5在2011年推出BIG-IP Edge Client,及BIG-IP Edge Portal等2套行動裝置專用的用戶端軟體,現已有iOS,及Android的版本可供使用。其中,BIG-IP Edge Client是以通道模式,提供使用者從外部連入,至於BIG-IP Edge Portal則是以反向代理,讓使用者得以存取企業內部的資源。

2套軟體都是採免費的型式提供,一般來說,在設定連線時,我們僅需輸入SSL VPN對外的IP地址,及使用者的帳號密碼之後,就能完成範本檔的新增,不同於BIG-IP Edge Client,BIG-IP Edge Portal提供書籤的功能,我們可以將所有的連線設定都加入於此,或者只帶入常用的項目,於是當下一次軟體啟動時,點選首頁的書籤就能直接連線。

BIG-IP Edge Client需連接外部的RADIUS,及LDAP/Windows AD等帳號伺服器,提供使用者登入SSL VPN的身分驗證。

以Windows AD的設定來說,透過SSL VPN服務的設定精靈,我們僅需輸入Windows AD伺服器的IP位址、網域名稱,及網域管理者的帳號、密碼之後,就能輕易地完成這臺設備與外部伺服器間的連線。

就iThome測試環境的存取服務來說,除了Exchange OWA的網頁郵件可以透過反向代理存取之外,RDP的遠端桌面,及網芳則是需要透過Network Access的通道模式來連線。

可以搭配WAN Optimization Module的模組,提供流量加速的功能

企業若於多地個別建置BIG-IP Edge Gateway,提供SSL VPN存取的服務時,企業可以整合設備的WAN Optimization Module(WOM)模組,提供流量加速的功能,這時當使用者在個人端電腦,準備連線到內部的伺服器時,用戶端程式會選擇與最近的一臺SSL VPN閘道器建立連線,隨後再轉到真正欲訪問的目的地,這時2臺閘道器之間,會以快取、壓縮等方式預先處理,一方面避免資料的重複傳輸,同時也縮減資料的體積,使得傳送的過程變得更加快速。

提供多種防護功能,確保SSL VPN的連線安全

就連線的防護功能來說,BIG-IP Edge Gateway具備以往在FirePass所能看到的各種防護功能,端點檢查的項目除了一開始便能啟動的防毒軟體之外,也能加入個人防火牆等資安軟體的檢查;而虛擬鍵盤的功能,則能避免使用者輸入的SSL VPN密碼遭到側錄,另外,在樣式方面也改以較大的圖形顯示。

而有鑒於機密防護已經成為企業重要的資安課題,BIG-IP Edge Gateway也提供虛擬安全工作空間的功能,當使用者連線到設備的SSL PVN入口頁面時,桌面即會切換到隔離的環境。

而當設備在BIG-IP Edge Gateway啟用Application Security Manager(ASM)的防護模組之後,對於使用者從外部進入的連線,將能提供更多防護,例如,可以藉此阻擋SQL Injection、緩衝溢位等惡意的攻擊,使得內部的伺服器不受破壞。

 

透過多種不同的設定精靈,使得企業能在BIG-IP Edge Gateway快速建置各種的SSL VPN存取服務,在傳統的通道,及反向代理模式之外,也能整合設備的其他模組,強化SSL VPN的存取應用。

 

APM的設定介面,承襲了FirePass直覺易懂的特色,點選流程圖當中的加號,就可以在不同的連線階段加入額外的功能,例如端點檢查、虛擬桌面,及虛擬鍵盤等。

 

原廠提供BIG-IP Edge Portal,及 BIG-IP Edge Client等2種套件,便於行動裝置的使用者建立連線。

 

產品資訊

F5 BIG-IP Edge Gateway 3600

建議售價:128萬元

原廠:F5

原廠網址:www.f5.com

原廠電話:(02) 8712-6828

代理商:逸盈科技、零壹科技

網路埠:GbE×8、SFP×2

最大通道數:5,000

行動版本套件支援平臺:iOS、Android

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】

 


相關報導請參考「SSL VPN閘道器採購大特輯


Advertisement

更多 iThome相關內容