Juniper NetScreen Secure Access

為了鞏固VPN產品線，NetScreen（現與Juniper合併）收購SSL VPN廠商Neoteris，發表Instant Virtual Extranet（IVE）4.0平臺（原Neoteris Access Series），並推出NetScreen Secure Access（NetScreen-SA）產品線。有人認為NetScreen花了2億6千5百萬美元並不值得，但不可否認的，NetScreen SA是相當成熟的SSL VPN解決方案。硬體裝置出貨，降低TCO

Juniper目前有NetScreen-SA 1000、NetScreen-SA 3000及NetScreen-SA 5000等3款SSL VPN產品。NetScreen-SA 1000適合小型至中型企業，可同時支援50至250個使用者；NetScreen-SA 3000適合中型企業，具備可擴充性，最多可同時支援1000個使用者；NetScreen-SA 5000適合中型到大型企業，具有最佳的效能與擴充性，每臺最多可同時支援2500個使用者。

除了上述的3款產品，NetScreen-SA還分成基本版及進階版。基本版就如同字面意義，提供基本的遠端存取功能，主要針對辦公室人員、合作夥伴及客戶，；進階版除了基本版的所有功能，還增加進階的群組設定、網路設定及使用者自助式服務（User Self-Service）等功能，能夠適用各種不同的群組與使用模式，設定更彈性詳盡的存取政策。使用者自助式服務提供客製化使用者介面、Web單一登入、多重主機名稱及密碼管理整合等功能。以客戶需求為本，功能完整

IVE平臺的核心是一個內容轉譯引擎（Content Intermediation Engine），負責接收外部需求，並將進入的流量經過SSL加密後，傳送到指定的資源，再轉譯成原資源的通訊協定，對於外送的要求也是以同樣的方式處理。一個好的產品要能滿足企業的各種需求，IVE的設計理念是以客戶需求為本，持續進行更新，幾乎只要增加功能或修正bug就釋出新版本。

系統本身提供角色（Role-based）存取權限管理功能，並可與認證伺服器進行整合，將使用者帳號對應到所屬的角色（Role Mapping）及資源存取控制政策（Resource Policy）。

我們以實例說明。當一位銷售人員登入前，系統會根據「認證」、「設備」及「網路」等3種屬性進行評估，判斷使用者是位於內部或外部網路、是否通過認證，並進行Host Checker（HC，主機檢查）和Cache Cleaner（CC，快取記憶體器清除），確保個人電腦和伺服器的安全性。主機檢查包括主機登錄檔、防火牆、防毒軟體、特定登錄值、特定檔案、執行特定程序及特定埠是否開啟等。

評估完成後，系統會執行動態驗證，將使用者的屬性加入驗證前評估，授權使用者及其對應的角色。如果使用者沒有取得認證，而且HC和CC也失敗，那麼他就對應到一般角色；若是取得認證，而且HC和CC成功，就取得銷售人員的角色。

系統會依據使用者的特性指派角色，授權可以存取的資源，例如一般角色只能讀取CRM系統，在外部網路的銷售人員能夠存取CRM系統，在內部網路的銷售人員則可存取所有資源。也就是說，越安全的角色，能夠存取的資源也就越多。

不過，在使用這麼多的功能之前，管理者必須熟悉操作介面及功能。Juniper針對其SSL VPN設備推出政策設定與管理工具NetScreen-SA Central Manager，讓企業集中控管各處點的SSL VPN裝置，並將容易出錯的管理工作全面自動化。系統的管理方式非常簡單，只要透過Web管理介面，就可以即時監控、設定組態、安全政策及更新軟體等工作，但如果能夠提供更完善的精靈模式，相信用起來會更輕鬆。文⊙陳世煌