优点
-
功能丰富,支持全面的认证加密协议
-
无需专用的客户端软件,主流浏览器即可
-
提供了命令行模式下的设置向导,降低配置难度
-
提供了直观的Web管理界面
缺点
-
帮助文档有待进一步加强
价格
-
暂无
中小企业应用与远程访问
【IT168评测中心】中小企业当今的经济发展中占据着越来越重要的地位——虽然每家企业都显得微不足道,但是众多的数量形成了不可忽视的规模效应。据统计2005年美国有60%的工作机会是来自中小企业,欧盟的中小企业也雇佣了超过7400万人。为了提高竞争力,适应市场的快速变化,中小企业信息化是其中至关重要的一环。而同自己的供应商、客户以及远程员工、移动员工建立实时的通讯则是信息化的一个关键组成部分,虚拟专用网络(Virtual Private Networks,VPN)技术可以利用Internet等公用网络构建发送和接收私有数据的网络,让在异地的不同用户如同在一个局域网中。
VPN(虚拟私有网络)技术利用各种安全协议在公共网络上建立专用安全隧道,先后经历了第二层隧道协议和第三层隧道协议的发展阶段。其中的IPSec VPN技术已经被广泛的应用于站点到站点VPN应用中,比较适用于大型机构使用,比如总公司到各个分公司之间的连接。这种技术同样可以用于客户端到站点的连接,但是对于个人用户来说安装、维护过于复杂,因此对于公司而言此时成本就太高了。Infonetics(3Q05)统计的数据证实了这个所带来的后果,大部分提供远程访问的公司仅仅向少数的员工提供了这项服务(比例不超过20%)。
据调查,中小企业用户对于远程访问、动态访问的需求增长明显的超过大型公司,IPSec VPN技术无论是在实用性上还是在成本上都无法很好的满足他们的需求。此时,SSL VPN技术浮出了水面,这种技术基于安全套接层协议(SSL,Security Socket Layer)来保护信息传输的机密性和完整性,无需专用的客户端,使用起来简单方便,非常适合有大量远程访问需求的企业使用。
国内VPN市场的起步很晚,赛迪顾问的统计数据显示2002年的市场规模只有不到4000万元。经过几年的市场培育,中国VPN硬件产品市场才初具规模,CCW Research数据显示2005年中国VPN硬件产品市场规模达到2.7亿元人民币,超过2004年51.3%,预计2006年可望达到4.3亿元。该机构还认为中小企业信息化需求的不断增加,将会是中国VPN硬件市场的主要推动力之一。
去年,我们看到多家网络设备厂商在国内市场较为着重的推广IPSec VPN设备,而且大部分厂商都在努力的降低IPSec VPN设备的易用性。今年年初则有多家厂商开始推动SSL VPN设备以及解决方案,这两种技术在国内的起步时间相差并不太大。
正确看待SSL VPN和IPSec VPN
当在类似的领域有几种不同的解决方案的时候,人们热衷于对它们评头论足,总是喜欢讨论谁更有前途,谁可能会取代谁。我们的观点比较中庸,IPSec VPN和SSL VPN分别基于网络层和应用层开发,各自具有其擅长的领域,未来的一段时间内两者将会共存。
应用
IPSec是基于网络层的VPN技术,是一种基础设施性质的安全技术,与应用无关,所以IPSec VPN的客户端支持所有IP层协议。IPSec VPN比较适用于建立站点到站点、客户端到站点或者客户端到客户端的安全联机。IPSec VPN的连通性会受到网络地址转换(NAT)或者代理网关的影响,因此在现有的网络架构中引入IPSec VPN设备,可能会需要调整现有网络架构和设备。
SSL VPN则是利用了HTTPS协议,也就是利用SSL来确保信息的机密性和完整性,这种技术建立在应用层上,引入这种设备无需对现有的网络进行改变。对于远程用户来说,最直接的方便是这种VPN应用无需“专用”的客户端软件,这是因为目前的主流的浏览器都支持SSL,因此在访问基于B/S结构的应用时,利用浏览器提供的功能即可。但是现实情况却大大限制了SSL VPN的这种优势,据统计已经部署了VPN的用户的90%以上的应用都是基于C/S架构的(不过也有不同的统计结果,有的研究表明近90%的企业利用VPN进行的内部网和外部网的连接都只是用来进行Internet访问和电子邮件通信,而这些应用完全可以发挥SSL VPN的优势。鉴于我们对于国内应用和市场的了解,我们不太赞同该调查的结果)。因此不要过分的痴迷于SSL VPN厂商宣传的无需客户端将会带来多少多少的方便,而在应该选择IPSec VPN设备的时候选择了SSL VPN设备。
SSL VPN不会受到NAT等因素的影响,也不会受到安装在客户端与服务器之间的防火墙的影响。目前的SSL VPN技术并不太适用于站点对站点的应用,更适合于大量的客户端远程访问站点的应用。
针对这两种技术的优势和缺点,一般认为以IPSec VPN作为点对点连结方案,再搭配以SSL VPN作为远程访问方案,则能满足员工、商业伙伴与客户的安全连接需求,是最合适也最具成本效益的组合。针对这一点我们也要特别提醒正在考虑SSL VPN解决方案的用户,您需要首先考虑自己的应用,只有确认了适用之后再考虑其它的问题。
成本
一般的认为IPSec VPN的部署和管理成本相对较高,最直接的表现是客户端需要安装软件,而且软件的设置非常的复杂,稍有疏忽就无法成功的建立IPSec隧道。而且不同厂商的VPN设备可能需要不同客户端软件,这一点我们在对于不同厂商的VPN产品的评测过程中有着深切的体会。可想而知,让每个远程用户都熟练的掌握这类软件的设置是非常的不现实的,因此应用IPSec VPN的同时需要大量的IT技术支持,这是一项成本不菲的支出。
SSL VPN技术则仅仅需要用户的OS中安装有支持SSL安全加密协议的浏览器即可方便的接入SSL VPN设备中,还有一项好处是没有软件的兼容性问题,主流的浏览器均可用。另外,如果需要向现有网络添加新设备,那么一般会改变现有网络结构,IPSec VPN往往需要重新配置,而SSL VPN一般不受其影响。
安全
IPSec VPN可以提供相当高的通路安全性,同SSL VPN都采用对称式或者非对称式加密算法构建安全通道,依然是应用层面不同,并没有明显的孰优孰劣(在现阶段我们始终要强调应用,如果没有适合的应用,SSL VPN无法发挥其优势。)
IPSec VPN和SSL VPN均支持数字认证技术,此时两者的安全级别并没有太多的差别。主要的差别在于权限的管控,SSL可以设定不同的使用者,执行不同的应用系统,如果IPSec要实现同样的功能,那么配置的复杂程度将会更上几层楼。
远程用户以IPSec VPN的方式与公司内部网络建立联机之后,内部网络所连接的应用系统,都是可以侦测得到,这就提供了黑客攻击的机会。若是采取SSL-VPN来联机,因为是直接开启应用系统,并没在网络层上连接,黑客不易侦测出应用系统内部网络物制,所受到的威胁也仅是所联机的这个应用系统,攻击机会相对就减少。
一般企业在Internet联机入口,都是采取适当的防毒侦测措施,因此无论是IPSec VPN或SSL VPN联机,其入口的病毒侦测效果是相同的。对于远程客户端而言,若采用SSL VPN联机,病毒必须是针对所访问的应用系统的类型的,才可能破坏所访问的主机;如果采用IPSec联机,一般的认为该客户端所感染的病毒有较大机会感染到内部网络的所有电脑,但是考虑到IPSEC VPN本身也有严格的安全策略库,因此病毒也只有“对口”才会有破坏力。所以这个方面两者的差别也不明显。
基于传输层的IPSec VPN要求防火墙为不同的应用打开相应的端口,这就相当于为黑客攻击提供了更多的机会。如果应用均是建立在B/S架构上的话,那么部署SSL VPN则仅仅需要通过443端口即可,防火墙上不会有额外的“口子”。但是实际上,现在的大部分应用还是基于C/S架构的,所以大部分的SSL VPN也会提供DNS、LDAP等其它应用,因此也会有多端口问题。
总得来说,SSL VPN技术在远程安全连接方面是具有相当优势的技术,我们希望用户能够充分认识这项技术的利弊从而选择最适合自己的设备。
清华同方TF-SSL VPN50
目前全球主流的网络/安全设备厂商均推出了SSL VPN产品,比如Array Networks、Aventail、AEP Networks、Cisco、Citrix、Caymas Systems、Check Point Software Technologies、F5 Networks、Juniper Networks、Menlo Logic、Nortel Networks、Nokia、NetSilica、Permeo Technologies、Symantec、Whale Communications、NetContinuum、PortWise、WRQ,另外国内的深信服科技、深圳数安、北京国富安以及本文的主角清华同方。
清华同方网络产品公司显然对于VPN产品特别是SSL VPN产品相当看好,甚至专门注册了名称为WWW.SSLVPN.CN的域名。在这个网站上展示了该公司已经推出的IPSec VPN系列产品和SSL VPN系列产品。我们此次收到的送测样品为其SSL VPN系列中的一款:
TF-IPSEC VPN 系列 ·TF-VPN 100 ·TF-VPN 200 ·TF-VPN 300 ·TF-VPN 500 ·TF-VPN 1000 ·TF-VPN 1500 |
TF-SSL VPN 系列 ·TF-SSL VPN 25 ·TF-SSL VPN 50 ·TF-SSL VPN 100 ·TF-SSL VPN 250 ·TF-SSL VPN 400 ·TF-SSL VPN 500 |
其SSL VPN产品的型号基本上是以设备支持的并发用户数量来设定的,比如TF-SSL VPN 25可同时支持25个并发用户,而TF-SSL VPN400则可同时支持400个并发用户。我们对比了清华同方在其网站上所提供的各款设备的主要规格,发现除了并发用户不同之外,其主要功能均是相同的。同国际上的通行做法一样,TF-SSL VPN也是按照支持并发用户的数量来定价的。
顾名思义,TF-VPN SSL 50可支持50个并发用户,该设备适用于中小企业,满足其企业移动用户、分支机构、供应商、合作伙伴等企业资源(如基于Web的应用、企业邮件系统、文件服务器、C/S应用系统等)安全接入服务。这款设备可以提供三种客户端接入方式来协助用户访问公司内部资源:
-
远程桌面共享
-
基于浏览器的接入(可以访问Web 应用程序和文件共享)
-
即时下载的Java 小应用程序(可访问客户/服务器应用程序) 应用领域
在TF-SSL VPN50的前面板上提供了一个Console端口(DB9),一个WAN口和三个LAN口。TF-SSL VPN 50需要经过配置才能使用,利用串口配置线连接PC的串口和VPN50的Console端口,并将PC串口配置为38400 8-N-1,即可通过超级终端进行参数配置。
TF-SSL VPN50是基于VIA嵌入式硬件平台开发的(它采用了VIA VT8235南桥芯片,对比VIA现有产品的型号,我们推测可能是同VIA CLE266同级别的芯片组),配置了256MB DDR内存,并采用了128MB CF卡作为主存储器。主板上还提供了一条PCI插槽、IDE接口和FDD接口。这款主板最明显的特点是板载了4颗Intel 82551ER 10BASE-T/100BASE-TX Ethernet控制器芯片,分别提供前面板上1个WAN口和3个LAN口。
配置和管理功能
TF-SSL VPN50的OS是基于BSD开发的,可以提供命令行配置模式,也提供了Web配置界面。不过在使用Web配置界面之前,用户需要首先通过命令行模式进行初始化配置。该系统的命令行模式基本兼容思科的命令行,熟悉思科网络设备配置的用户应该能够较为快速的配置该款产品。清华同方还为命令行配置模式提供了配置向导,使用用户可以快速的完成设备的初始化设置,大大提高了工作效率。
TF-SSL VPN50主要的工具包括:Config、Create、Delete、edit、export、factory、group、help、import、info、list、mode、password、pxg、quit、setup、show、status、test、user等。比如config工具可以对于设备进行全面的配置管理,setup可以启动初始化向导功能,show工具则可以现实设备的状态。
TF-SSL VPN50设备的Web管理界面提供了系统管理、网络配置、安全设定、远程访问和状态查看等5大类功能,整个界面分为左右两部分,点击左侧的目录树可以方便的查看设定界面。
系统管理功能可以决定是否启用远程管理功能,如果启用的远程管理功能,安全锁功能也同时生效——它用以防止非授权用户采用穷举法进入管理系统。管理员可通过SSH协议(v1和v2)和Telnet协议进行命令行模式的远程管理,甚至可以通过浏览器进行命令行模式的管理。SSH认证是结合了RSA公钥机制和用户认证的一种安全措施。
网络配置功能可以分别对于WAN口、LAN口、IF1口和IF2口进行配置,还可以设定DNS服务、默认网关、添加主机、设定静态路由表、LDAP设置。
安全设定功能主要是进行证书管理,管理员可以查看证书信息,还可帮助用户创建、导入一份新的证书。
TF-SSL VPN50系统支持四种用户认证机制,分别是Windows、RADIUS、LDAP和本地用户数据库,还可通过系统提供的接口测试用户认证。在Anywhere页面,管理员可以条件Web服务、Windows应用、VNC服务和UNIX应用。
Central服务用以提供安装客户端的远程访问,可访问各种基于TCP的C/S应用以及标准的UDP应用。所有的配置都由系统管理员集中管理,不需要用户进行复杂的设定。
TF-SSL VPN50支持本地组、LDAP组和RADIUS组等多种用户组定义,然后可以为不同的组定义访问控制列表,该列表可以基于URL和端口制定策略,对于组用户进行较为精确的控制。
TF-SSL VPN50的Web管理界面可以对于设备的状态进行查看,比如系统版本号、版权和许可等信息。更重要的这个设备可利用SNMP MIBs(Management Information Base)来监视本系统的运行状态,比如数据流量、可报告的用户的认证情况、HTTPS网关运行情况、可报告SOCKS代理的运行状况。
SSL VPN50系统提供了一个小容量的日志缓存,最多可存储200条信息,这个日志系统主要用于系统的调试,这是企业级产品的必备功能。
这款设备还以图表的形式直观的显示CPU、内存和网络流量,管理员可以快速直接的了解系统的负载情况。
IT168评测中心观点
随着经济全球化的迅猛发展,企业信息化的不断深入,各类企业的管理、经营模式也都随之发生的着变化,其中分散化办公、协同工作的趋势相当的明显。根据IDC的预测,今年全球的移动办公用户和远程办公用户有望达到1.5亿。这种变化将会给企业的IT人员带来非常艰巨的任务,他们需要为确保远程用户通过安全的远程访问来获得所需的企业内部的信息资源,还需要确保无论用户在什么地方接入企业网络,企业内部的关键资源都依然是安全的。
在国内市场上, SSL VPN相对而言还是一个新生产品,目前我们IT168评测中心尚未针对这类产品制定可行的性能评估方案,因此我们主要对于该产品的功能进行了试用和验证。过去,我们曾经对于近20家SSL VPN设备的主要功能进行过统计,这次它们成为了我们衡量清华同方TF-SSL VPN 50设备的主要依据,通过较长时间的试用,我们认为该设备提高了较高的安全性,较为精确的访问控制功能,其部署和管理工作无需更改现有网络环境,也不需要用户的进行复杂的设置,是一款适用于中小企业用户提供远程访问服务的SSL VPN产品。