俠諾新推出的QVF8231,是該公司7款SSL VPN閘道器設備(QVF8202到QVF8231)當中的最高階型號。這臺設備出廠時已經預先內建100個SSL VPN通道數的授權,而企業日後也能視需求續購額外的授權,最多可達700個。

易於設定,能獨自放置於網路的出入口,提供SSL VPN之外的多種網路服務

QVF8231本身兼具完整的路由功能,因此除了使用One-armed模式部署於內部網路之外,也能採用獨自放置於網路的出入口,提供企業所需的各種網路連線服務。

設備的網路介面包含13組的GbE埠,其中包含4組的WAN埠,及8組的LAN埠,另外還有1組硬體式的DMZ埠,就網路的規畫而言,我們可以透過設備所連接的多組對外線路,達成VPN連線的分流。

QVF8231的部署十分容易,當我們將電腦連接設備的LAN埠之後,就能連接設備的網頁介面設定各項功能。

而有別於iThome於2008年測試過的俠諾SSL001,現有版本的韌體額外提供了虛擬鍵盤的功能,當管理者或者一般的使用者登入設備時,可以用這種方式輸入密碼,以避免遭到鍵盤側錄軟體的盜取。

除此之外,企業尚能在這臺設備啟用圖形驗證,也就是隨機產生1組5個字元長度的密碼,及近期所新增的防止暴力破解的功能,針對連續登入失敗3次的帳號預設停用5分鐘,使得他人難以透過機器人程式等工具,算出使用者的真實密碼。

透過群組設定,區隔不同部門的存取需求

在QVF8231的網頁介面,我們可以看到SSL VPN,及進階SSL VPN等2種不同種類的連線功能。其中,SSL VPN是透過在使用者電腦安裝用戶端程式,採全通道,或者分割通道的方式連線,至於進階SSL VPN,則是網頁型式的反向代理,以俠諾的SSL VPN閘道器來說。

除了QVF8203之外,其餘設備皆具備進階SSL VPN的功能,而QVF8231的100個SSL VPN通道數,當中,有95個是透過用戶端程式提供的,進階SSL VPN則為5個,企業目前可以另購授權擴充進階型式的SSL VPN存取。原廠表示,近期的改版將會開放企業增加進階SSL VPN以外的通道數,讓更多使用者以通道模式連入內網。

QVF8231的SSL VPN使用者可以透過預設的本機帳號,及RADIUS、LDAP/Windows AD等外部伺服器完成身分的驗證,並以群組來管理不同部門使用者在設備網頁所能操作的功能。

而就SSL VPN的管理來說,QVF8231在出廠時即已內建Virtual Passage的預設使用者群組。

如果要讓這個群組,能夠透過企業既有的Windows AD檢查使用者帳號,首先必須在該群組的管理畫面新增一項認證服務,接著輸入網域名稱,及伺服器所在的IP位址,便完成設備與Windows AD間的連線。

隨後僅需在設備新增使用者帳號時,將網域的欄位從預設的Default,切換為Windows AD所使用的網域之後,使用者即可透過網域使用者的帳號登入SSL VPN。

採Active X,及Java等2種方式安裝用戶端軟體連線,並能透過微軟的終端機服務,於外部電腦啟動特定的應用程式

在SSL VPN的通道模式下,QVF8231的用戶端軟體,可以透過IE所使用的的Active X,及Firefox等瀏覽器所使用的Java,安裝到外部的個人端電腦,隨後,便能透過設備連接內網。QVF8231本身能透過DHCP發放4個網段的IP位址,供連接設備LAN埠的個人端電腦使用,因此,對於想要管理使用者存取權限的企業來說,這時就必須透過防火牆規範連線的權限。

對於透過用戶端軟體建立SSL VPN通道的外部電腦,QVF8231預設提供全通道的連線方式,不過,企業也可以針對特定的群組改採分割通道的連線方式,限制僅有實際存取內部網路的連線,才會轉送到SSL VPN閘道器,或者開放使用者在登入設備之後,自行決定所要採用的連線方式。

QVF8231的進階SSL VPN能透過網頁型式的反向代理提供遠端桌面(包含微軟的遠端桌面,及VNC)、HTTP/HTTPS網頁存取、Telnet/SSH、FTP/網路芳鄰,及微軟終端服務(Terminal Services)等多種類型的存取。

其中,微軟終端服務的功能相當特別,能讓使用者在外部電腦沒有安裝應用程式,且不需要修改內部電腦設定的情況下,透過SSL VPN開啟安裝於內部電腦的應用程式處理需要完成的工作,設備本身已經內建微軟Office的連線範本,設定上除了需要輸入內部電腦的IP位址之外,也必須因應不同Office套件的版本,修改執行檔的所在路徑(例如Word的WINWORD.exe),如此才能成功啟動應用程式,而從機密防護的角度來看,透過這樣的操作方式,可以規範使用者僅能在企業內網的區域才能開啟帶有機密性質的檔案,使之無法將其複製外流,降低了資料外洩的可能性。

在iThome的測試環境當中,RDP遠端桌面的項目需透過IE連線,如此一來,才能透過Active X安裝外掛程式,在新開啟的瀏覽器視窗與電腦連線。

而網芳存取的介面無異於Windows系統所內建的介面,我們可以根據群組,或者網域找尋所要存取電腦,並在瀏覽器視窗直接開啟檔案,而中文檔名的檔案可能正常顯示,除了PC所使用的瀏覽器之外,在iPhone內建的Safari也可以使用。

設備內建端點檢查的功能,降低內網電腦遭到惡意程式植入的機率

為了過濾可能帶有惡意程式的個人端電腦,從外部網路的環境連入,QVF8231本身也具備端點檢查的功能,並且內含於進階SSL VPN的設定項目之中。

不過,這項功能支援的作業系統平臺,目前以Windows XP為主,透過該功能,企業除了可以檢查外部電腦的Windows XP版本之外,也可以就防毒軟體、瀏覽器、防火牆、系統登錄檔、及指定檔案等項目作檢查,以便限制安全狀態不佳的電腦,無法連入內部。

 

隨著新版韌體的推出,設備也提供虛擬鍵盤,及隨機產生的圖形密碼等2項內建功能,強化使用者登入SSL VPN時的安全防護。

 

設備的網頁介面,預設是以正體中文的語系顯示,而選項的設計也十分圖形化,讓使用者能易於連線。

 

設備可透過微軟終端服務的功能,透過SSL VPN使用安裝於企業內部的應用程式,而除了內建的範本之外,亦可自行新增。

 

產品資訊

俠諾QVF8231

建議售價:276,800元

原廠:俠諾科技

原廠網址:www.qno.com.tw

原廠電話:(03)567-8100

代理商:網際科技

網路埠:GbE×13

最大通道數:700

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】

 


相關報導請參考「SSL VPN閘道器採購大特輯


Advertisement

更多 iThome相關內容