盛達電業BiGuard S3000─新增主機完整性檢查功能

和我們先前測試過的同一系列產品相比，S3000在功能上的最大不同之處，就是提供了主機完整性檢查的驗證功能，如同NAC（Network Access Control）一般，當連接到設備的電腦未能依循企業要求，安裝所需的更新檔，或者是資安軟體，便無法建立SSL VPN的連線通道，以避免可存在於遠端電腦的安全威脅，在連線過程之中流入企業內部。

該款設備最多可允許10臺電腦透過設備的網頁通道存取企業內部的網路資源，除此之外，也有提供IPsec VPN的功能（最多可以建立30個通道），能與遠端的其他辦公室之間，建立Site to Site的通道，個人端電腦無需個別建立連線。

在硬體方面，S3000內建2組可做線路備援、流量負載平衡的WAN埠，以及8組LAN埠，並具備防火牆、NAT，以及DHCP伺服器等功能，適合網路架構精簡的中小型企業使用。

支援瀏覽器版本以IE為主
S3000支援的瀏覽器版本以微軟的IE為主，當我們輸入帳號、密碼，登入設備的網頁介面，建立連線通道之後，瀏覽器的網址列下方會出現一行提示訊息，要我們下載一個Active X元件，以便清除連線過程中殘存於電腦，包括URL記錄在內的快取資料，保障連線安全。

可連接多種帳號伺服器從事帳號驗證
和大多數市售的SSL VPN設備一樣，S3000在功能上也能連接多種不同類型的帳號資料庫進行驗證。而在我們的測試環境中，已經事先架設了一臺Windows Server 2003的AD伺服器，設備連接Windows AD的步驟相當簡單，僅需從設定頁面的下拉式選單當中選取所要連接的帳號伺服器類型，然後輸入AD伺服器所在IP位址，以及User DN、Base DN等基本資訊之後即可建立連線。

連接帳號伺服器之餘，也必須在設備本機上建立一個相同名稱的使用者帳號，並同時設定好驗證該帳號時，要連接何種帳號伺服器從事驗證，以便確認帳號、密碼的有效性。

透過該臺設備，我們實際從外部網路測試了HTTP（Exchange OWA）、FTP，以及遠端桌面連線等幾種企業常用的基本服務，測試結果均能順利完成連線，此外，對於含有特殊字元的複雜性密碼，也能順利地轉送到後端的帳號伺服器進行驗證，不過每家企業需要透過SSL VPN從遠端存取的應用程式項目不同，我們建議最好是能實際測試過產品，以便確認設備與應用程式之間是否有存在需要解決的相容性問題。

具備主機完整性檢查功能
主機完整性檢查的功能稱之為End Point Security（EPS），所提供的檢查項目相當完整，包含作業系統版本、資安軟體，以及連線所使用的瀏覽器版本等項目。

除了這次我們測試的S3000之外，該系列設備中，型號最大的S6000也有提供相同的功能，能拒絕設定未能符合企業需求的電腦透過遠端網路連線進入企業內部。文⊙楊啟倫