隨著技術的進展,SSL VPN不再只是提供基本的瀏覽器遠端存取機制,有許多應用議題衍生出來,例如能否提升更多相容性,做到傳統IPsec VPN通道能做到的事情,廣域網路的管理與最佳化也與它息息相關。 
對於SSL VPN更重大的變革,則是能對連線的個人端加以嚴格地檢測與控管。我們藉由實際測試、使用其中8種品牌的SSL VPN設備,讓你更了解這類型產品的進展。
採購SSL VPN要訣 類型分為單一功能與多功能 應考量需要的控管功能、身分認證整合、應用程式相容性與擴充性,兼顧安全與管理。這次我們所實測的8臺都是單一功能的SSL VPN設備,但目前也有許多UTM設備也具備SSL VPN的功能。相較之下,一般UTM提供的SSL VPN在功能項目上較為陽春,同時也多半不能針對企業內部不同的使用者群組,個別制定權限政策,進而限制部分使用者的存取。
SSL VPN設備採購要點 支援的網路與應用程式類型的數量要足夠,並且要實際測試;也還需整合身分認證機制,落實政策控管;最好具備主機安全檢測的功能,可強化內網安全;最好能搭配使用雙重認證,進一步確保連線身分。
SSL VPN建置需求檢核表 一家公司建置SSL VPN前,同樣必須先確認需要的功能,我們整理出通用的注意事項,協助你自行評估。包含硬體規格、管理介面、使用者身份驗證方式、個人端連線控管、網路服務與應用程式相容性等。
實測結果分析與建議 介面大多以簡介與中文化,實用性提升 由於SSL VPN主要是供一般的企業員工使用,因此在操作介面的設計上一定要力求簡化,同時,最好上面能提供中文語系的選單。關於這部份的需求,不單國內廠商注意到,就連幾家跨國性的大型SSL VPN設備供應商,像是F5、Juniper等,都留心到這一點。
注意瀏覽器與身份驗證整合的相容性 目前的SSL VPN設備均能支援常見的幾種驗證伺服器種類,像是LDAP、Active Directory等。如果企業想透過密碼複雜性原則一類的方式,進一步規範員工連線密碼的強度,在評估將來可能引進的SSL VPN設備時,同樣有必要針對這點,留心加以測試。
我們如何測試 對於本次送測的設備,我們均統一放置在防火牆後方,然後開啟防火牆上的443埠,讓這些設備與外部網路通連。我們定義了4 種企業經常透過SSL VPN 存取的應用程式服務做為測試項目:Exchange Server 2003 OWA、FTP、RDP遠端桌面,以及網路芳鄰。
案例研究 鴻運科技─利用SSL VPN降低病毒傳布的機率 弘運科技工程部副理林文鍵表示,「當初會選擇SSL VPN,而非IPsec VPN ,主要原因之一,就是為了避免病毒透過VPN 通道由外網傳至內網」。
國立台灣師範大學─以SSL VPN提供永不間斷的服務系統 臺師大以SSL VPN提供永不間斷的服務系統。資訊中心教學服務組組長簡培修說,圖書館期刊的線上閱覽功能、公文稽核,以及郵件系統等服務,未來將可以透過SSL VPN的通道進行存取。
8款SSL VPN設備實測 Blue Coat RA510 ProxyRA適合100人連線環境使用,連線成功之後主要是透過Network Extender模式存取企業的內部網路資源。除了提供本機安全檢查的功能之外,該設備對於機密資料也可在連線階段偵測使用者電腦是否有鍵盤側錄程式在背景執行。
盛達電業 BiGuard S20 BiGuard S20是一臺兼具防火牆功能的SSL VPN設備,最大同時上線人數為20人。這台設備的網路埠多達11組,其中2組是WAN埠,支援線路備援與負載平衡的功能,至於其他9組則是全部做為LAN埠,管理者可視需求將LAN埠當中的其中1組指定為DMZ埠使用。
Celestix WSA 3000 內建微軟ISA 2006和IAG 2007軟體的SSL VPN設備,適合10人至250人之間的企業環境使用。本身具備防火牆和DHCP伺服器的功能,因此可直接放在企業網路的入口,作為閘道端設備。在連線階段,WSA可透過主機安全檢查以及URL Set等功能,檢測與避免使用者電腦面臨安全威脅。
F5 FirePass 4100 FirePass 4100是此次8臺送測設備中,唯一大小為2U的設備,最高可同時負荷2,000人同時連線,適合在人數眾多的大型企業使用。另外,很多企業對於潛藏在系統中的鍵盤側錄工具很頭痛,因為它可以任意盜取使用者的連線密碼,為了不讓這種狀況發生,FirePass提供了一個螢幕小鍵盤的程式加以防止。
Juniper SA 4000 最大同時上線人數多達1000人,本身內建2組GbE網路埠,可依需求採用單埠(One-Arm)或是1進1出的架構,增加設備在不同網路架構下的部署彈性。SA系列提供的安全防護功能相當強大,不只是本身內建的功能發揮作用,還能整合Juniper自家的IDP入侵防禦設備。
O2Micro Succendo 502 502是Succendo系列產品當中的主力機種,最多可容納200人同時上線存取企業內部資源,是一款適合中型企業使用的SSL VPN設備。像許多SSL VPN一樣,Succendo能夠提供使用者以Proxy代理模式連入,它也提供使用者透過Network Extender等模式與設備連接。
SonicWALL SSL VPN 2000 SSL VPN 2000並未針對最大的使用者連線數,訂立任何限制。據代理該廠牌設備的富揚資訊表示,這款設備他們建議是用在50人以下的連線環境,才能兼顧效能。除了一般使用者透過網頁存取SSL VPN服務的方式,SSL VPN 2000也提供Network Extender、File Share兩項額外的連線模式。
合勤ZyWALL SSL 10 該臺設備預設的最大同時上線人數是10人,不過也可視狀況將上限擴充到25人。和Billion的BiGuard S20一樣,ZyWALL SSL10也兼具路由器與防火牆功能,可單獨設置在企業網路的閘道端。在功能上也提供安全檢查的項目,可禁止有安全疑慮的電腦主機建立連線。
全文>> 
沒有留言:
張貼留言