iThome

這次我們一共借測了5臺SSL VPN的閘道器設備,其中,Celestix的WSA 3000是iThome在2008年的SSL VPN採購特集當中所介紹過的設備,但搭載的軟體套件已經從Windows Server 2003,與Intelligent Application Gateway(IAG) 2007的組合,更新為x64版本的Windows Server 2008 R2,搭配微軟甫推出不久的Forefront Unified Access Gateway(UAG) 2010。

而UAG除了提供企業SSL VPN的存取服務之外,也支援了Direct Access的功能,使得Windows 7的外部電腦,可以在不用輸入帳號、密碼撥號的情況下,在網路連線建立之後,直接在瀏覽器輸入內部電腦的私有IP位址,就能建立連線。

導入設備之前,仍應測試產品與不同瀏覽器之間的相容性

相較於iThome在歷次採購特集,及產品報導曾經測試過的SSL VPN閘道器,這次借測的5臺設備皆能在IE、Firefox等2種瀏覽器,以Active X,及Java的方式,部署通道模式的用戶端軟體,使得連線的建立更加容易;不僅如此,像是Array的SPX 2800更提供適用於MacOS、Linux,及Windows Mobile等多種平臺的套件,管理者可從設備的網頁介面下載,事先安裝到使用者用來連線的電腦,在這一部分的支援度算是相當完整。

至於在功能的設定,及反向代理模式下的存取,我們仍然發現這次提供測試的一部分設備,仍舊有適用特定瀏覽器版本的限制,例如,僅能在IE的環境下才能讓設定選項正常顯示,或者開啟RDP的遠端桌面連線,從這點來看,企業在導入SSL VPN設備時,宜就這點,透過使用者常用的各種瀏覽器詳加測試相容性,並列為重要的評估項目。

較以往的舊款產品增加Site to Site的連線能力,並透過多種功能,避免連線階段可能發生的資安攻擊

連線功能方面,Array的SPX 2800,及盛達電業的BiGuard S6000,皆支援Site to Site的連線模式,對於一向主要提供使用者以Client to Site方式連線的SSL VPN閘道器來說,仍屬少見,而且和以往常用的IPsec相比,這樣的方式能提供更為安全與穩定的連線。

另外,這次送測的設備對於使用者的連線安全,都提供相當程度的防護,例如,端點檢查已經是所有設備皆有的一項功能,雖然各家設備能夠檢查的項目深淺不一,但顯見這項功能已非外廠設備所特有,同時,使得惡意程式流入企業內部的機率能因此而降低。而對於使用者身分的檢查,俠諾的QVF8231能加入隨機產生的圖形驗證碼,使得企業不需要額外導入一次性動態密碼裝置(OTP),另外,還有虛擬鍵盤的功能可以搭配就能增加驗證的複雜度,避免他人透過機器人程式進行破解攻擊。

Celestix的WSA 3000,內建基本的網頁應用程式防火牆功能,透過預設的過濾規則,設備能阻擋惡意的網頁連線進入,另外,F5的BIG-IP Edge Gateway是這項送測的設備中,另外一臺支援這項功能的產品,透過Application Security Manager(ASM)的軟體模組,能提供相當強大的防護功能。

至於Array的SPX 2800則是透過Webwall的功能,以類似於傳統防火牆政策的方式,隔離外部電腦與網頁伺服器之間的連線。

能透過專用的連線套件,讓行動裝置便於和設備建立連線

與行動裝置間的搭配,是SSL VPN近年漸漸普及的一項連線方式。在這次送測的設備中,Array和F5便有專用的連線套件,分別提供RDP遠端桌面,及反向代理/通道模式的連線方式,其中,F5除了一開始的iOS版本之外,後續也有提供Android版本的軟體。

 

5款SSL VPN受測設備規格一覽表

(看大圖)

 

我們如何測試SSL VPN

在iThome的部署環境,我們架設了Exchange OWA、檔案共享,及微軟遠端桌面(RDP)等3種不同型式的存取項目,並透過外部電腦的IE、Firefox等2種主流的瀏覽器,及iPhone內建的Safari實際與設備連線,驗證反向代理的模式下,設備所提供的遠端存取服務,不僅如此,設備的通道模式,及行動裝置專用的連線套件,也包含在這次測試的項目當中,從而了解設備對於幾種常見連線方式的支援程度。

而在使用者帳號的驗證方面,我們將設備連接到一臺Windows AD伺服器,測試設備與外部帳號伺服器之間的連線設定。

 


相關報導請參考「SSL VPN閘道器採購大特輯


Advertisement

更多 iThome相關內容