SSL VPN｜Array SPX 1800 提供中型環境使用的SSL VPN設備

機架型、1U高度的Array SPX 1800，是系列產品當中的基本型號，設備最多可以容納100位使用者同時連線。很特別的是，透過「Site Director」的功能，使得這款設備不僅能夠提供Client to Site的SSL VPN連線，更能與另外一部同系列的設備對連，構成Site to Site的連線環境。

SPX 1800內建4組GbE埠，使它可以因應網路架構的不同而彈性部署，透過單一設備，供外部使用者存取內部的多個網路區域。

可設定5個SSL VPN虛擬入口

SPX 1800是單一功能，且適用於中型企業的SSL VPN設備，能較UTM及小型設備提供更多的SSL VPN管理功能。像是透過「Virtual Site」的功能，我們最多可以在這臺設備設定5個SSL VPN虛擬入口，提供分公司，或者個別部門使用，並給予不同的存取權限，在網路上，就好像是多臺分開部署的SSL VPN設備。

Virtual Site可以透過設定精靈的方式新增，它具有Shared、Alias及Exclusive等3種模式，一般來說，以Exclusive較常用，讓使用者能夠透過個別的IP，連接不同的Virtual Site。

SPX 1800的身分驗證功能相當完整，每個Virtual Site可以同時連接4種帳號資料庫，包含常用的LDAP/Windows AD、RADIUS及本機資料庫等類型，並能額外使用一次性的動態密碼（OTP）裝置，輔助查核連線使用者的真實性。

透過SPX 1800連接我們測試環境中的Windows AD，流程相當簡單，僅需再宣告所使用的身分驗證伺服器種類，然後輸入Windows AD伺服器所在的IP位址，及網域名稱，就能完成相關的設定。

以Virtual Site的網頁介面而言，預設為英文語系，而我們也可以修改為日文、韓文、簡體中文，及臺灣通用的正體中文等其他語系。除了首頁的登入畫面外，其餘的操作介面也可以。

提供使用者多種方式連接SSL VPN

SPX 1800的反向代理功能，將透過SSL VPN存取的應用，畫分為內部的網頁伺服器、檔案伺服器，及精簡型電腦（Thin Client）等3大類，其中，透過最後一項應用，除了可以連接Windows遠端桌面、Telnet等作業系統的內建服務外，也能整合Citrix Presentation Server。

除了網頁型式的反向代理，SPX 1800還提供多種存取內部資源的方式。其中，連接器是最常使用的一種，原廠稱這項功能為「L3 VPN」，我們可以透過它建立全通道，或者是分割模式的SSL VPN連線，就如同使用IPsec、PPTP等VPN一樣，完整開放存取內網的權限。

不同於多數SSL VPN僅支援的ActiveX，SPX 1800也可以透過Java，將連接器的元件發布到個人端電腦，讓Firefox等非微軟瀏覽器平臺的使用者也能完整使用SSL VPN的連線功能。另外，該設備也有提供Windows CE、Windows Mobile平臺專用的連接器元件，可先從設備的網頁介面下載程式，再預裝到上述平臺的裝置。

和多數廠牌的SSL VPN連接器一樣，SPX 1800的連接器，也會在欲存取SSL VPN的個人端電腦上，新增一張虛擬網卡的裝置。而在連線同時，我們可以設定將網路磁碟機的設定一併帶入，便於存取內網資源。

相較於前者，SPX系列有另外一項TCP Application的功能，是提供有限度的存取。使用者登入設備後，必須下載「應用程式管理器」的元件，它同樣可以透過ActiveX或Java的方式，透過瀏覽器安裝，當管理器元件啟動後，會顯示內部的主機名稱清單，開啟對應的應用程式（例如遠端桌面連線），輸入主機名稱，就能連到設備後端的主機。

另外，TCP Application下，還有一種「Windows Redirector」的連線方式，我們可以事先在設備建立開放存取的應用程式清單，當TCP Application管理器的元件安裝完畢，而等到個人端電腦開啟列舉在清單上的任何一種應用程式，其連線就會轉向至SSL VPN。

端點檢查功能完整，且支援度佳

SPX系列的端點檢查功能，早期是和Symantec合作的，透過整合於設備的On-Demand Protection套件設定政策，在個人端電腦連接SSL VPN時，檢查其狀態是否符合企業要求。不過，隨著前述產品的停止更新，這項功能也改由Array自行開發，並提供更多項目的檢查機制。

啟用這項功能後，當使用者連接SSL VPN時，設備會將端點檢查的軟體元件及政策檔派送到個人端電腦，檢查通過後，才會出現登入驗證的主畫面。對於未能通過的電腦，除了拒絕連線外，也可以設定將使用者的瀏覽器畫面轉向到指定的網頁，以便於快速矯正。

實際設定SPX的端點檢查功能時，我們發現設備內建的資安軟體清單不僅支援的類別、廠牌很完整，而且版本也很新，例如去年下半才發表的趨勢OfficeScan 10，也出現其中；另外，它還可以檢查電腦的作業系統版本、Registry機碼，及檢查特定路徑是否存有指定名稱的檔案。

可建立Site to Site通道

絕大多數的SSL VPN設備僅能提供Client to Site的SSL VPN連線，而SPX系列則是少數可以建立Site to Site連線的設備之一，這項功能需要另外計價，隨著設備的型號不同，連線數也有所差異，例如我們這次測試的SPX 1800只能同時和一臺同系列的設備對連，而最高型號的SPX 5800，則能與其他250臺設備建立通道。

這項功能主要是透過前述的「L3 VPN」機制做連線。設定上，除了需指定另外一端設備的連線資訊外，也必須設定要提供存取的資源項目，及個人端電腦存取另一地內網所使用的內部IP，之後才能成功完成連線。

TCP Application是一種不需要透過反向代理的SSL VPN連線方式，可限制用戶存取指定的內網資源。

SPX 1800可透過Active、Java兩種方式，將連接器的元件部署到個人端電腦，除了全通道的連線方式外，也能建立分割模式的通道。

設備亦提供端點檢查的機制，可防止不符規定的電腦與之連線，避免安全威脅流入內部。

【註：規格與價格由廠商提供，因時有異動，正確資訊請洽廠商。】