5款SSL VPN閘道器測試總評

這次我們一共借測了5臺SSL VPN的閘道器設備，其中，Celestix的WSA 3000是iThome在2008年的SSL VPN採購特集當中所介紹過的設備，但搭載的軟體套件已經從Windows Server 2003，與Intelligent Application Gateway（IAG） 2007的組合，更新為x64版本的Windows Server 2008 R2，搭配微軟甫推出不久的Forefront Unified Access Gateway（UAG） 2010。

而UAG除了提供企業SSL VPN的存取服務之外，也支援了Direct Access的功能，使得Windows 7的外部電腦，可以在不用輸入帳號、密碼撥號的情況下，在網路連線建立之後，直接在瀏覽器輸入內部電腦的私有IP位址，就能建立連線。

導入設備之前，仍應測試產品與不同瀏覽器之間的相容性

相較於iThome在歷次採購特集，及產品報導曾經測試過的SSL VPN閘道器，這次借測的5臺設備皆能在IE、Firefox等2種瀏覽器，以Active X，及Java的方式，部署通道模式的用戶端軟體，使得連線的建立更加容易；不僅如此，像是Array的SPX 2800更提供適用於MacOS、Linux，及Windows Mobile等多種平臺的套件，管理者可從設備的網頁介面下載，事先安裝到使用者用來連線的電腦，在這一部分的支援度算是相當完整。

至於在功能的設定，及反向代理模式下的存取，我們仍然發現這次提供測試的一部分設備，仍舊有適用特定瀏覽器版本的限制，例如，僅能在IE的環境下才能讓設定選項正常顯示，或者開啟RDP的遠端桌面連線，從這點來看，企業在導入SSL VPN設備時，宜就這點，透過使用者常用的各種瀏覽器詳加測試相容性，並列為重要的評估項目。

較以往的舊款產品增加Site to Site的連線能力，並透過多種功能，避免連線階段可能發生的資安攻擊

連線功能方面，Array的SPX 2800，及盛達電業的BiGuard S6000，皆支援Site to Site的連線模式，對於一向主要提供使用者以Client to Site方式連線的SSL VPN閘道器來說，仍屬少見，而且和以往常用的IPsec相比，這樣的方式能提供更為安全與穩定的連線。

另外，這次送測的設備對於使用者的連線安全，都提供相當程度的防護，例如，端點檢查已經是所有設備皆有的一項功能，雖然各家設備能夠檢查的項目深淺不一，但顯見這項功能已非外廠設備所特有，同時，使得惡意程式流入企業內部的機率能因此而降低。而對於使用者身分的檢查，俠諾的QVF8231能加入隨機產生的圖形驗證碼，使得企業不需要額外導入一次性動態密碼裝置（OTP），另外，還有虛擬鍵盤的功能可以搭配就能增加驗證的複雜度，避免他人透過機器人程式進行破解攻擊。

Celestix的WSA 3000，內建基本的網頁應用程式防火牆功能，透過預設的過濾規則，設備能阻擋惡意的網頁連線進入，另外，F5的BIG-IP Edge Gateway是這項送測的設備中，另外一臺支援這項功能的產品，透過Application Security Manager（ASM）的軟體模組，能提供相當強大的防護功能。

至於Array的SPX 2800則是透過Webwall的功能，以類似於傳統防火牆政策的方式，隔離外部電腦與網頁伺服器之間的連線。

能透過專用的連線套件，讓行動裝置便於和設備建立連線

與行動裝置間的搭配，是SSL VPN近年漸漸普及的一項連線方式。在這次送測的設備中，Array和F5便有專用的連線套件，分別提供RDP遠端桌面，及反向代理／通道模式的連線方式，其中，F5除了一開始的iOS版本之外，後續也有提供Android版本的軟體。

5款SSL VPN受測設備規格一覽表

(看大圖)

我們如何測試SSL VPN

在iThome的部署環境，我們架設了Exchange OWA、檔案共享，及微軟遠端桌面（RDP）等3種不同型式的存取項目，並透過外部電腦的IE、Firefox等2種主流的瀏覽器，及iPhone內建的Safari實際與設備連線，驗證反向代理的模式下，設備所提供的遠端存取服務，不僅如此，設備的通道模式，及行動裝置專用的連線套件，也包含在這次測試的項目當中，從而了解設備對於幾種常見連線方式的支援程度。

而在使用者帳號的驗證方面，我們將設備連接到一臺Windows AD伺服器，測試設備與外部帳號伺服器之間的連線設定。

相關報導請參考「SSL VPN閘道器採購大特輯」