2005年度SSL VPN網(wǎng)關(guān)公開比較測試報告

申請免費試用、咨詢電話：400-8352-114

文章來源：泛普軟件

在VPN領(lǐng)域，SSL VPN無疑是個新貴，由于其與生俱來在遠程安全連接方面的優(yōu)勢，近幾年逐漸受到業(yè)界的追捧。總體來看，SSL VPN還沒有達到廠商們期望的大規(guī)模應(yīng)用，然而最近的種種跡象表明，SSL VPN正在進行一場轟轟烈烈的開辟新天地運動。至于具體倚仗哪些優(yōu)勢，在整體性能、功能方面有哪些最新進展，本測試報告向讀者一一道來。

一份最新研究表明近90%的企業(yè)利用VPN進行的內(nèi)部網(wǎng)和外部網(wǎng)的連接都只是用來進行Internet訪問和電子郵件通信，而這些應(yīng)用都利用了一種更加簡單的VPN技術(shù)——SSL VPN。基于SSL協(xié)議的VPN遠程訪問方案的確更加容易配置和管理，由于不需要客戶端軟件，網(wǎng)絡(luò)配置成本比起目前主流的IPSec VPN要低很多，所以許多企業(yè)已經(jīng)開始利用基于SSL加密協(xié)議的遠程訪問技術(shù)來實現(xiàn)VPN通信了。

SSL VPN是最近幾年才逐步發(fā)展成熟的，但是當(dāng)去年某些機構(gòu)對其進行全面測試時，可以說并沒有滿足用戶對其較高的期望。相反，許多基本的問題還沒有解決好。時間過去一年多，目前該領(lǐng)域發(fā)展到了何種程度？在目前的市場上已經(jīng)出現(xiàn)了一些廠商的產(chǎn)品與解決方案，它們的優(yōu)劣都在哪里？與世界最先進的水平相比，多數(shù)SSL VPN設(shè)備的整體水平如何？帶著這些問題，《網(wǎng)絡(luò)世界》評測實驗室組織了2005年度SSL VPN網(wǎng)關(guān)公開比較評測。

由于目前市場中的SSL VPN網(wǎng)關(guān)設(shè)備并不是特別多，此次評測并沒有對參測設(shè)備進行詳細劃分級別。我們向所有主流SSL VPN設(shè)備廠商發(fā)出了邀請，最后有三家廠商接受邀請，送來參測設(shè)備并且順利完成我們的所有測試內(nèi)容，它們是深信服科技的Sinfor SSL VPN Express、Array Networks的SPX 5000和深圳數(shù)安的RAP 1000-X。其中，Array Networks的SPX 5000為千兆產(chǎn)品，其他兩家產(chǎn)品為百兆設(shè)備。

我們還要特別感謝思博倫通信公司提供了Avalanche測試儀，安氏公司提供領(lǐng)信網(wǎng)絡(luò)掃描軟件。同時也對這些勇于參加此次SSL VPN網(wǎng)關(guān)公開比較評測的廠商表示贊賞。

● 性能測試——隨著軟硬件技術(shù)的進步，性能有大幅提高，滿足企業(yè)要求綽綽有余；
● 安全測試——盡管在網(wǎng)絡(luò)中處于防火墻之后，但是某些設(shè)備本身仍存在一定安全風(fēng)險；
●功能測試——經(jīng)過近一兩年的發(fā)展，功能已經(jīng)獲得巨大突破，可以輕松應(yīng)對用戶復(fù)雜應(yīng)用。

性能測試 用數(shù)據(jù)說話

性能表現(xiàn)是所有網(wǎng)絡(luò)設(shè)備極其重要的一個方面，也是我們此次測試的一個重點。SSL VPN網(wǎng)關(guān)設(shè)備的性能參數(shù)中，比較重要的幾個是新建用戶速率（setup/teardown速率）、最大并發(fā)用戶數(shù)、郵件系統(tǒng)性能以及設(shè)備的實際吞吐量（Goodput）等。

setup/teardown速率

setup/teardown速率反映了設(shè)備每秒鐘可以新建的用戶數(shù)目，Array Networks的SPX 5000可以達到982個/秒，從我們以往測試服務(wù)器的經(jīng)驗來看，這一結(jié)果完全超過了一臺高端PC Web服務(wù)器的極限，只有后臺使用更高端服務(wù)器或者服務(wù)器集群才能提供如此高的性能；深信服的Sinfor SSL VPN Express結(jié)果為98個/秒，深圳數(shù)安的RAP 1000-X達到138.4個/秒，我們認為該數(shù)值也足以滿足大型企業(yè)級用戶的要求了。

最大并發(fā)用戶數(shù)

最大并發(fā)用戶數(shù)反映設(shè)備同時提供服務(wù)的最大用戶數(shù)目，讀者需要注意，此數(shù)值并非使用SSL VPN設(shè)備的用戶總數(shù)（很顯然，并不是所有需要使用設(shè)備的用戶都隨時在線）。據(jù)稱，Array Networks的SPX 5000 的最大并發(fā)用戶數(shù)可以達到64000，我們測試結(jié)果為57063；深信服Sinfor SSL VPN Express為150，深圳數(shù)安RAP 1000-X為249。
OWA性能

OWA（Outlook Web Access）性能反映的是設(shè)備在承載Outlook Web郵件系統(tǒng)的性能表現(xiàn)，由于郵件系統(tǒng)在SSL VPN的應(yīng)用中占很大比例，而Outlook郵件系統(tǒng)又具有普遍意義，因此此項結(jié)果在用戶使用郵件系統(tǒng)時有很大參考意義。Array Networks的SPX 5000測試結(jié)果為7237 會話/秒；深信服RAP 1000-X為207 會話/秒，深圳數(shù)安RAP 1000-X為396.45會話/秒。

DDoS攻擊下的OWA性能

DDoS攻擊是網(wǎng)絡(luò)中十分普遍的攻擊類型，我們考察了SSL VPN設(shè)備在遭受DDoS攻擊下的Web郵件系統(tǒng)應(yīng)用的性能表現(xiàn)。從我們以往對各類安全設(shè)備進行測試經(jīng)驗來看，設(shè)備對攻擊的防范能力不容小視，有些防范能力較差的設(shè)備在攻擊面前束手無策，很容易造成設(shè)備工作不正常。從我們的測試結(jié)果來看，所有參測設(shè)備在攻擊下的性能都有小幅下降，Array Networks的SPX 5000測試結(jié)果為7030會話/秒，下降大約2.86％；深信服Sinfor SSL VPN Express為203會話/秒，下降大約1.93％，深圳數(shù)安RAP 1000-X為395.78會話/秒，下降幅度最低，僅為0.17％。

Goodput

按照RFC 2647的定義，我們測試了被測設(shè)備最大HTTP實際吞吐量（Goodput)。在我們的測試環(huán)境下的結(jié)果是，作為千兆設(shè)備的Array Networks SPX 5000為160.352Mbps，深信服Sinfor SSL VPN Express為34.199Mbps，深圳數(shù)安RAP 1000-X為29.864Mbps。需要說明的是，所有參測設(shè)備都沒有提供數(shù)據(jù)壓縮功能。

測試感言：性能已不是問題

從我們的測試結(jié)果來看，性能已經(jīng)可以完全滿足用戶在遠程安全連接方面的需求。據(jù)我們了解，即便是最高端的用戶，也很少會分配高達100Mbps的帶寬給SSL VPN應(yīng)用，再加上Internet網(wǎng)速受多方面影響，因此，從實際吞吐量角度，100Mbps是實際應(yīng)用環(huán)境的極限，所有超過100Mbps的設(shè)備都無法充分展示拳腳。但是VPN設(shè)備可以提供數(shù)據(jù)壓縮能力，即數(shù)據(jù)經(jīng)過壓縮后向外網(wǎng)發(fā)送，這可使用戶更加有效地利用昂貴的帶寬資源。從我們查到的資料來看，有些廠商在這方面的技術(shù)比較先進，數(shù)據(jù)壓縮比例可以達到5:1，遺憾的是此次參測的三款產(chǎn)品都沒有提供該功能，因此我們測試時并沒有考察數(shù)據(jù)壓縮時的性能表現(xiàn)。

 從最大并發(fā)用戶數(shù)角度來看，采取SSL VPN方式，按照慣例一般取1∶10的比例（如果1000個人都可能采取VPN方式，同一時間會有100個人利用VPN隧道），這一點用戶在購買設(shè)備時也應(yīng)該注意——在購買IPSec  VPN時，1000個用戶需要購買1000個客戶端許可證，而如果使用SSL VPN，則可以按照100個并發(fā)用戶數(shù)購買。

用戶在部署SSL VPN之前一定要對設(shè)備進行性能測試，一方面能夠?qū)υO(shè)備的性能表現(xiàn)有確切掌握，另一方面可以根據(jù)實際網(wǎng)絡(luò)應(yīng)用環(huán)境進行合理購買。

安全測試  安全等級我做主

采用配置“最安全的簡單Web應(yīng)用”，然后測試VPN設(shè)備的安全性能。我們發(fā)現(xiàn)，有的SSL VPN設(shè)備在安全性方面不容樂觀。我們使用安氏領(lǐng)信網(wǎng)絡(luò)掃描器對參測設(shè)備進行了全面的安全掃描，掃描報告中詳細列出設(shè)備存在的安全漏洞、安全警告、安全提示以及打開端口信息。漏洞對于安全設(shè)備來說，是應(yīng)該盡量避免的，黑客可以輕松掃描出設(shè)備的漏洞，利用漏洞進行攻擊。警告和提示也不容忽視，它可能是不太嚴(yán)重的安全威脅，也可能是不易被利用的安全弱點。黑客還可以通過打開端口獲得設(shè)備正在提供的服務(wù)。
         結(jié)果發(fā)現(xiàn)，Array SPX 5000安全性很高，沒有發(fā)現(xiàn)任何漏洞，但是出現(xiàn)了一些安全警告。
         深信服Sinfor SSL VPN Express在對SSL協(xié)議進行開發(fā)時遺留一個漏洞，該漏洞會導(dǎo)致設(shè)備容易受到DoS攻擊，同時還有一些安全警告，但是，上文也提到，該設(shè)備本身默認配備了防火墻系統(tǒng)，整體的安全性已經(jīng)比較高。
深圳數(shù)安的設(shè)備掃描結(jié)果為28個漏洞，15個安全警告。經(jīng)過廠商工程師的安全配置更改以及漏洞修補工作，漏洞全部消除，剩余5個安全警告。
測試感言：安全產(chǎn)品最不能忽視安全！
        由于SSL VPN在功能方面已經(jīng)十分強大，但是功能多的同時也在安全性方面帶來更多隱患。比如，如果只是提供最基本的Web轉(zhuǎn)換功能，即用戶只通過HTTPS訪問Web服務(wù)器內(nèi)容，那么設(shè)備只需打開443端口即可，而如果用戶需要文件服務(wù)，則必需打開更多端口，端口和服務(wù)開啟越多, 安全隱患也就越多。因此，設(shè)備的安全性在一定程度上是由設(shè)備管理員來決定的，如果應(yīng)用類型對用戶業(yè)務(wù)十分關(guān)鍵，機密性較強，那么則開啟最少的端口和服務(wù)，反之，如果應(yīng)用為一般類型，對業(yè)務(wù)并不是十分關(guān)鍵，那么就可以多開啟一些服務(wù)，雖然安全性降低一些，但是為遠程用戶帶來多一些的便利。我們測試的是在開啟最簡單功能、最少端口和服務(wù)的情況下設(shè)備本身的安全性。
         安全性的問題很復(fù)雜，它涉及到整個系統(tǒng)的方方面面，從操作系統(tǒng)到開發(fā)平臺，從程序代碼到系統(tǒng)配置，可以說，一個成熟而相對安全的系統(tǒng)需要花費巨大的人力物力，當(dāng)然還需要在紛繁復(fù)雜的不安全環(huán)境下接受各類考驗。
         在性能測試中的DDOS下的性能也反映了產(chǎn)品的安全性，有些設(shè)備在正常使用環(huán)境下性能很好，但是對DDOS攻擊幾乎無法進行任何防范。

功能測試  應(yīng)對復(fù)雜功能   我能
        在確定測試方案之前我們認為，SSL VPN設(shè)備在功能方面的表現(xiàn)可能是制約其獲得大規(guī)模部署的一個重要因素。原因在于，一年以前，國外的測試同行們對多款業(yè)界主流產(chǎn)品進行測試后發(fā)現(xiàn)，多數(shù)產(chǎn)品所能支持的應(yīng)用轉(zhuǎn)換和代理的數(shù)量非常少，同時，功能方面是SSL VPN設(shè)備之間差別最突出，也最影響它們在實際環(huán)境中的部署。帶著這些疑問，我們制定了功能方面的考量內(nèi)容，主要包括支持應(yīng)用類型、數(shù)據(jù)壓縮功能、安全功能、認證方式以及報告與日志方面。
        如前文所述，數(shù)據(jù)壓縮功能對SSL VPN網(wǎng)關(guān)這種依靠互聯(lián)網(wǎng)帶寬資源的設(shè)備來說十分必要。盡管有些設(shè)備稱支持該功能，但遺憾的是送測產(chǎn)品都沒有提供該功能。
支持應(yīng)用類型
        我們認為，SSL VPN網(wǎng)關(guān)對應(yīng)用的支持大致分為4個層面。第一個層面為Web資源映射。從SSL VPN最初的應(yīng)用情況來看，主要有Web服務(wù)器資源映射，也叫作代理Web頁面。這是SSL VPN最基本的應(yīng)用支持類型，因此如果用戶希望通過Web資源映射來收發(fā)E-mail，則只能使用Web mail的方式。第二個層面為文件共享等應(yīng)用。比如非Web頁面的文件共享，必需經(jīng)過轉(zhuǎn)換才能夠發(fā)往客戶端。SSL VPN網(wǎng)關(guān)與企業(yè)網(wǎng)內(nèi)部的微軟CIFS或FTP服務(wù)器通信，將這些服務(wù)器對客戶端的響應(yīng)轉(zhuǎn)化為HTTPS協(xié)議和HTML格式發(fā)往客戶端，終端用戶感覺這些應(yīng)用就是一些基于Web的應(yīng)用。第三個層面為C/S應(yīng)用代理，它需要在終端系統(tǒng)上運行一個非常小的Java或ActiveX程序作為端口轉(zhuǎn)發(fā)器，監(jiān)聽某個端口上的連接。當(dāng)數(shù)據(jù)包進入這個端口時，它們通過SSL連接中的隧道被傳送到SSL VPN網(wǎng)關(guān)中，SSL VPN網(wǎng)關(guān)解開封裝的數(shù)據(jù)包，將它們轉(zhuǎn)發(fā)給目的應(yīng)用服務(wù)器。第四個層面應(yīng)用為網(wǎng)絡(luò)擴展。它將終端用戶系統(tǒng)連接到企業(yè)網(wǎng)上，并根據(jù)網(wǎng)絡(luò)層信息（如目的IP地址和端口號）進行接入控制。
        對于用戶來說，第一個層面的應(yīng)用是必須的（如果設(shè)備連此應(yīng)用都無法滿足，那它也就不能稱為SSL VPN了），而文件共享和C/S應(yīng)用代理的需要也比較大，因此大多數(shù)用戶會要求SSL VPN能夠支持這兩種應(yīng)用，至于網(wǎng)絡(luò)擴展應(yīng)用，一般使用較少，而且由于該功能會給整個內(nèi)部網(wǎng)絡(luò)帶來更多安全隱患，因此必須使用該功能的用戶也需要謹(jǐn)慎使用。
        Web資源映射功能     Array SPX 5000采用Web資源映射功能（Web Resource Mapping，WRM）來實現(xiàn)，用戶不需要改變內(nèi)網(wǎng)的Web結(jié)構(gòu)，在Array SPX 5000上設(shè)置在內(nèi)網(wǎng)訪問的URL即可。深信服公司采用HTML智能重構(gòu)技術(shù)來實現(xiàn)Web映射，把企業(yè)內(nèi)部的Web服務(wù)器映射成SSL主機的一個子目錄來訪問（該子目錄是一個無意義的字符串）。
        Sinfor SSL VPN對用戶鏈接做識別，重寫HTML并將其轉(zhuǎn)換成HTTPS的有效鏈接，Sinfor SSL VPN并不重寫所有HTML代碼，而是根據(jù)智能搜索引擎判斷出需要重構(gòu)的網(wǎng)頁再加以修改。Sinfor SSL VPN提供了基于Web方式的郵件收發(fā)系統(tǒng)，方便了沒有郵件客戶端的用戶。深圳數(shù)安RAP服務(wù)器上模擬一個Web解析服務(wù)器，動態(tài)解析遠程客戶對內(nèi)網(wǎng)Web服務(wù)器請求，RAP監(jiān)聽到遠程客戶訪問內(nèi)網(wǎng)Web服務(wù)器的URL后，通過RAP向內(nèi)網(wǎng)服務(wù)器取動態(tài)請求，內(nèi)網(wǎng)Web服務(wù)器就像響應(yīng)普通內(nèi)網(wǎng)客戶端的請求一樣響應(yīng)RAP的請求。
        共享文件    Array SPX 5000支持Windows和Unix的文件共享，將內(nèi)網(wǎng)共享文件，通過Web的方式提供給用戶，用戶可以在Web頁面中下載、上傳文件。Sinfor SSL VPN提供了基于Web的FTP系統(tǒng)，用戶可以下載上傳文件。針對標(biāo)準(zhǔn)的TCP協(xié)議，深圳數(shù)安RAP可以實現(xiàn)active模式FTP、passive模式FTP、Telnet等應(yīng)用的支持。

        C/S應(yīng)用代理      Array SPX 5000采用Application Manager模塊來實現(xiàn)C/S應(yīng)用代理。多數(shù)C/S結(jié)構(gòu)應(yīng)用系統(tǒng)的訪問都是通過幾個固定TCP端口，對于這幾個TCP端口，SPX 5000啟動Application Manager功能，客戶端將下載Java Applet作為TCP PROXY運行在客戶端，它偵聽客戶端發(fā)往服務(wù)器方的TCP端口的請求，并把請求通過SSL連接發(fā)給SPX 5000，SPX 5000將終結(jié)和SSL的連接并和內(nèi)網(wǎng)應(yīng)用服務(wù)器建立連接，發(fā)送請求。當(dāng)用戶具有C/S服務(wù)的訪問權(quán)限時，瀏覽器會下載一個ActiveX控件。該控件提供基于SSL協(xié)議的C/S訪問服務(wù)。
        SinforProxy提供了一種類似于IPSec VPN的數(shù)據(jù)包截取技術(shù)，當(dāng)網(wǎng)絡(luò)連接發(fā)生時，SinforProxy會依據(jù)條件截取該連接并轉(zhuǎn)向到SSL隧道，使后續(xù)數(shù)據(jù)發(fā)送或接收都從SSL隧道傳輸。依賴此技術(shù)，Sinfor SSL VPN可以輕松做到將內(nèi)網(wǎng)的多臺服務(wù)器所有端口提供給客戶端。在RAP的服務(wù)器上注冊了各種內(nèi)部的C/S應(yīng)用服務(wù)器IP、端口和協(xié)議等信息；當(dāng)客戶端請求建立某個C/S應(yīng)用請求時，RAP服務(wù)器端會主動PUSH一個Java Applet到客戶端，實時監(jiān)聽客戶端到當(dāng)前C/S應(yīng)用的原內(nèi)網(wǎng)地址信息和端口，協(xié)議信息等，客戶端Java Applet把監(jiān)聽到所有信息通過SSL加密后在Internet上傳回到RAP服務(wù)器上，RAP服務(wù)器解密該數(shù)據(jù)包，把這些原始信息像在內(nèi)網(wǎng)的訪問一樣傳給真正的內(nèi)部C/S服務(wù)器，內(nèi)網(wǎng)C/S應(yīng)用服務(wù)器正常響應(yīng)此請求，像內(nèi)網(wǎng)訪問一樣返回數(shù)據(jù)包到RAP，RAP加密此數(shù)據(jù)包通過Internet傳輸給遠程的客戶端。
        網(wǎng)絡(luò)擴展     對于UDP應(yīng)用，SPX 5000采用三層虛擬通道技術(shù)來實現(xiàn)，此項功能是在客戶端和SPX 5000之間通過SSL連接建立一條虛擬通道，客戶端將會生成一個虛擬網(wǎng)卡，并修改本機的路由表。這樣，客戶端虛擬網(wǎng)卡上就會配備一個和內(nèi)網(wǎng)地址體系一致的網(wǎng)址，并通過這條虛擬通道直連到內(nèi)網(wǎng)，就好像客戶端機器在內(nèi)部一樣。一旦網(wǎng)絡(luò)層隧道建立后，所有基于IP的應(yīng)用都可以實現(xiàn)?？蓪崿F(xiàn)包括B/S、C/S架構(gòu)的應(yīng)用，也可實現(xiàn)TCP的應(yīng)用。深圳數(shù)安RAP 1000X的實現(xiàn)方式是，當(dāng)客戶端遠程請求建立SSL通道的時候，客戶端動態(tài)生成RAP虛擬的網(wǎng)絡(luò)設(shè)備，并且通過RAP動態(tài)獲得內(nèi)網(wǎng)IP地址，此時，客戶端的IP就變成了內(nèi)網(wǎng)IP，只能訪問內(nèi)網(wǎng)指定的服務(wù)器或相應(yīng)服務(wù)器的相應(yīng)的端口。深信服設(shè)備沒有提供該類型應(yīng)用的支持。

安全功能
        由于SSL VPN設(shè)備最重要的使用環(huán)境為遠程安全連接，因此，安全是其必不可少的功能。
        URL加密是提高安全性的一個措施，有些設(shè)備也稱之為URL隱藏功能，在IE瀏覽器的URL框中，地址是一串不能讀懂的亂碼，而且每次用戶登錄都會發(fā)生實時改變。這種方式的好處是遠程用戶不能使用Ping命令找到該服務(wù)器的網(wǎng)址，因此可以避免對該服務(wù)器的網(wǎng)絡(luò)攻擊。有些廠商的產(chǎn)品默認為URL隱藏，因此無法進行多項性能測試，進而很遺憾沒有參加我們的測試。有些廠商的設(shè)備沒有此功能。而測試工程師認為，最好像Array的設(shè)備那樣，將此功能設(shè)置為可選，這樣如果用戶需要增加安全性，則開啟此功能，而在調(diào)試、測試階段則可以不必開啟此功能。深信服沒有URL加密功能，而深圳數(shù)安的設(shè)備默認開啟URL加密功能，但是針對我們的測試進行了特定的改進，從而也可以不啟動URL加密功能。
        超時檢測、清除緩存、客戶端安全掃描也是針對用戶遠程連接所設(shè)計的安全功能。超時檢測功能是當(dāng)用戶登錄設(shè)備后而沒有任何動作并超過一定時限后將該用戶自動退出系統(tǒng)?？蛻舳司彌_區(qū)及臨時文件清除功能就是在SSL VPN的遠程訪問結(jié)束后，自動清除留在遠程訪問設(shè)備緩沖區(qū)中的臨時文件和數(shù)據(jù)。清除緩存功能不僅非常必要，而且，不支持這項功能的SSL VPN產(chǎn)品會對企業(yè)信息造成嚴(yán)重危害。IE瀏覽器為了提高速度，常常將訪問的文件和數(shù)據(jù)放在臨時文件中。并且在退出后不會自動刪除。這樣，有經(jīng)驗的客戶可以通過瀏覽器提供的檢查臨時文件的功能，打開殘留在臨時文件目錄中的文檔，從而竊取企業(yè)機密。為了簡化用戶重復(fù)登錄，反復(fù)輸入密碼的麻煩，瀏覽器有的時候會在緩沖區(qū)中記錄用戶口令信息，這樣，在不關(guān)閉瀏覽器的時候，二次訪問需要口令的網(wǎng)址的時候，瀏覽器會自動輸入口令。因為SSL VPN的遠程用戶可能使用公共設(shè)備，如果不清除緩沖區(qū)，如果忘記關(guān)閉瀏覽器而離開，后面的用戶可以會登錄到內(nèi)部系統(tǒng)。所以，必須在會話結(jié)束后清除緩沖區(qū)。參測的三款設(shè)備都支持超時檢測和清除緩存功能。
客戶端掃描對用戶來說也是一個不錯的功能。由于使用SSL VPN以后，用戶可以使用任何設(shè)備訪問內(nèi)部資源，甚至可以使用網(wǎng)吧電腦訪問內(nèi)部系統(tǒng)。如果遠程訪問的系統(tǒng)有病毒或安全漏洞，將危害企業(yè)內(nèi)部的信息安全。客戶端掃描功能可以大大降低病毒和黑客工具對企業(yè)信息的危害。深圳數(shù)安和深信服的設(shè)備不支持該功能，Array設(shè)備支持該功能。Array SPX 5000可以對登錄的客戶端進行檢測，根據(jù)對客戶端特征值的檢測結(jié)果，將客戶端劃分到不同的安全訪問級別，為客戶端提供不同的功能模塊，并且可以自定義什么級別的用戶可以擁有哪些功能模塊。對于接入的客戶端，可針對以下內(nèi)容檢測客戶端的安全級別：客戶端的IP地址、客戶端的SSL證書、客戶端包含的特定文件、客戶端注冊表特定鍵值、客戶端個人防火墻檢查、客戶端防病毒軟件檢查，包括病毒庫的更新時間以及操作系統(tǒng)版本補丁檢查等。

SSL VPN網(wǎng)關(guān)功能評價表
公司名稱		Array etworks 華耀環(huán)宇科技（北京）有限公司	深圳市深信服電子科技有限公司	深圳市數(shù)安信息系統(tǒng)有限公司
產(chǎn)品名稱		SPX 5000	Sinfor SSL VPN Express	RAP 1000-X
產(chǎn)品類型（軟件、硬件）		單獨硬件	單獨硬件	單獨硬件
產(chǎn)品定位		大中型企業(yè)/電信/移動用戶	中小型企業(yè)遠程接入和辦公	中小型企業(yè)遠程接入和辦公
配置	硬盤	40G	CF 128M	40G
	CPU	AMD opteron 2.8G	P3  1G	P4 2.0G
	內(nèi)存	4G	256M	1G
	是否采用硬件加密	是	是	否
	是否有加速卡	是	否	是
	設(shè)備操作系統(tǒng)類型	ArrayOS	Linux	Linux
	支持操作系統(tǒng)類型	Windows、Linux、Unix、Macintosh、Palm OS	Windows	Windows，Linux 、Wince、Smart Phone
	提供網(wǎng)絡(luò)接口類型	10/100/1000 RJ-45、GE光口	百兆以太網(wǎng)端口、百兆管理端口	百兆以太網(wǎng)端口、百兆管理端口
	冗余部件	無	無	無
功能	HTTP壓縮	不支持	不支持（C/S應(yīng)用支持）	不支持
	超時檢測	支持	支持	支持
	清除緩存記錄	支持	支持	支持
	自動升級	不支持	支持	支持
	雙機備份	支持	不支持	不支持
安全	客戶端安全掃描	支持	不支持	不支持
	身份認證方式	LocalDB/AD/LDAP/RADIUS/SecurID/證書特殊字段檢測	用戶名密碼、USBKey、LDAP（ActiveDirectory）、RADIUS	Active Directory、LDAP、 RADIUS、USB-KEY、LOCAL DATABASE、Secur ID,手機短信認證
	用戶權(quán)限管理	支持	支持	支持
	數(shù)字證書認證	支持	支持	支持
	是否支持現(xiàn)有用戶數(shù)據(jù)庫	是	是	是
管理	集中管理	支持	支持	支持
	管理平臺	Win98/NT/2000；工具（ SSH、WebUI、Console）	Win 98/NT/2000/XP	Win 98/NT/2000/XP
	遠端管理	支持	支持	支持
	分層管理	支持	支持	不支持
	實時統(tǒng)計信息	支持	不支持	不支持
價格		210000人民幣/1000用戶	24570人民幣	Win 98/NT/2000/XP

認證方式
         識別用戶并把它們歸到某個組里是部署SSL VPN至關(guān)重要的一部分。RADIUS服務(wù)器應(yīng)用非常普遍。有的產(chǎn)品可以極為靈活地從RADIUS服務(wù)器里獲得組信息。在其他產(chǎn)品里，RADIUS用戶不得不通過一些手段鏡像到組里去。對于多數(shù)廠商而言，LDAP的支持與Active Directory的支持是同義的。SSL通常都是建立在證書基礎(chǔ)之上的，因此，大家希望這些產(chǎn)品在其對公共密鑰基礎(chǔ)設(shè)施（PKI）的支持方面能夠表現(xiàn)優(yōu)異。
上述的認證方式參測的三款產(chǎn)品都支持，值得指出的是，深信服與深圳數(shù)安的設(shè)備還支持USB Key硬件認證方式，Array SPX 5000 5000支持 RSA SecurID。
報告與日志功能
作為安全設(shè)備，人們還希望SSL網(wǎng)關(guān)具有很強大的審計、日志和報告功能。希望看到有關(guān)每次修改配置的記錄，希望看到會話數(shù)據(jù)，以顯示用戶何時登錄、何時退出的，以及用戶消耗了多少資源。也希望看到交易統(tǒng)計數(shù)據(jù)。參測設(shè)備都對用戶各類信息做了詳細日志。Sinfor SSL VPN提供了調(diào)試、信息、告警、錯誤的4個級別運行日志，幫助管理診斷系統(tǒng)。
3款產(chǎn)品除了擁有需要的記錄之外，還可以使用FTP、SMTP或者安全拷貝自動把其記錄上傳至服務(wù)器的某個地方。還可以選擇某些特殊的用戶和應(yīng)用，并提供日志水平。不論用戶是出于調(diào)試目的，還僅僅是為了更密切地觀察系統(tǒng)的某個部分，這都是一項很好的企業(yè)級特性。
有的產(chǎn)品不僅能顯示誰登錄了，還能顯示系統(tǒng)本身是如何運行的?？梢燥@示多個圖表，網(wǎng)管能夠清楚地知道CPU、內(nèi)存和I/O負載情況。Array SPX 5000在這方面就表現(xiàn)不錯，前面板的實時統(tǒng)計信息使管理員對系統(tǒng)運行情況一目了然，通過圖形化的界面顯示系統(tǒng)實時的各種參數(shù)，包括CPU利用率、端口流量、SSL連接數(shù)、登錄/退出數(shù)量、并發(fā)用戶連接情況等各項信息。實現(xiàn)對系統(tǒng)的實時監(jiān)控。其他兩款產(chǎn)品則沒有實時統(tǒng)計信息。

測試感言：功能最影響用戶選擇
         功能是SSL VPN設(shè)備的一個基礎(chǔ)，由于經(jīng)過多年的網(wǎng)絡(luò)建設(shè)，用戶在網(wǎng)絡(luò)構(gòu)建時，無論是物理層面還是應(yīng)用層面，都形成一個相對復(fù)雜而獨具特點的環(huán)境，因此，設(shè)備性能再好，安全性再高，如果對用戶的應(yīng)用系統(tǒng)無法進行正常轉(zhuǎn)換，那么根本談不上部署。比如，某用戶在前幾年習(xí)慣了Java平臺的應(yīng)用（包括中間件的使用），當(dāng)希望部署某國外品牌時，該應(yīng)用無法通過SSL VPN設(shè)備進行正常連接；另一用戶的業(yè)務(wù)系統(tǒng)必須通過ActiveX實現(xiàn)，在部署某款SSL VPN時同樣無法達到正常工作的目的。
        通過功能的測試，我們感覺到，SSL VPN在功能方面已經(jīng)不存在任何應(yīng)用障礙了。當(dāng)去年國外同行進行SSL VPN測試的時候，他們還感覺到許多應(yīng)用類型無法支持。如今當(dāng)時的困難都被很好解決。
        因此，目前來講，SSL VPN網(wǎng)關(guān)只剩下一個障礙，那就是子網(wǎng)對子網(wǎng)的安全連接問題。在邏輯上分析，我們認為遠程連接領(lǐng)域SSL VPN優(yōu)勢十分明顯，但是某些用戶如果同時需要遠程連接和子網(wǎng)對子網(wǎng)的安全連接，那么IPSec VPN就會體現(xiàn)出優(yōu)勢。因此，一些廠商認識到這種問題后，推出集成IPSec與SSL VPN于一體的設(shè)備，如果用戶需要同時采用兩種類型VPN，這種一體化設(shè)備是一種不錯的選擇。
        關(guān)于URL加密的功能成為我們此次測試的一個問題，如果設(shè)備默認支持此功能而且無法將它取消，那么就無法進行我們的測試，因此對此功能最好能夠提供可選的“按鈕”，當(dāng)正常使用時開啟該功能以提高安全性，而在設(shè)備部署、調(diào)試、測試階段則關(guān)閉該功能以完成測試工作。
        對用戶來說要挑選一個明顯的最愛比較困難，有的提供了一個成熟的應(yīng)用層防火墻，有的提供了范圍廣泛的應(yīng)用轉(zhuǎn)換功能。產(chǎn)品是否最終令人滿意，還取決于用戶對自己應(yīng)用需求的了解程度，用戶需要記住：“適合自己的才是最好的?！?BR>

測試方法         由于SSL VPN最近幾年才逐漸成熟，因此對其進行測試時業(yè)界還沒有形成一個十分成熟完善的測試方案，我們參照國際上較為認可的方法并結(jié)合目前SSL VPN的發(fā)展情況，制定出如下測試方法。其中主要包括性能測試、安全測試以及功能測試三個方面。 性能測試         在性能測試方面，我們使用思博倫通信公司的兩臺Avalanche 2500進行測試，所有結(jié)果均用樸實的數(shù)字說話。在所有5個測試項目中，每款設(shè)備均測試3遍，結(jié)果取其平均值。         測試指標(biāo)1：新建用戶速率（setup/teardown rate）         在每項性能指標(biāo)測試中， 我們都模擬了真實環(huán)境中的一系列用戶動作，即從用戶登錄SSL VPN網(wǎng)關(guān)到執(zhí)行各類請求，再到退出。我們把用戶動作描述出來，希望讀者對我們的測試細節(jié)都能夠了解得更加清晰。         指標(biāo)含義：新建用戶速率是指設(shè)備每秒鐘可以新建立的用戶連接數(shù)目，也稱為會話速率，即每秒鐘可以建立和終止的SSL會話數(shù)目（會話可以理解為客戶端到網(wǎng)關(guān)的一次連接，即瀏覽器的一次Web 頁面訪問）。這個參數(shù)很大程度上決定了用戶能夠體驗到的連接速度。通常，達到100左右數(shù)值的會話速率，一般可以滿足大部分用戶的應(yīng)用需求。         測試步驟：第一步，在32秒（一般為30秒，由于結(jié)果文件中每4秒統(tǒng)計數(shù)值，為了便于記錄結(jié)果我們將第一步設(shè)為32秒）內(nèi)壓力從0 Simusers（Simusers為Avalanche 2500中模擬的用戶單位，一個Simuser為一個模擬用戶）上升到N Simusers，N為預(yù)計的最大速率；第二步，維持第一步的最高壓力120秒；第三步，20秒內(nèi)將壓力降為0，測試結(jié)束。         用戶動作：測試儀器模擬的用戶，在登錄后取一個1024Byte的文件后退出。 結(jié)果衡量：在第二步維持120秒的后60秒，我們計算該時間段內(nèi)的平均速率（將成功建立的用戶連接數(shù)除以60）。         測試指標(biāo)2：最大并發(fā)用戶數(shù)         指標(biāo)含義：設(shè)備同時可以支持的用戶連接數(shù)。         最大并發(fā)用戶數(shù)指同時通過SSL VPN 來訪問內(nèi)部網(wǎng)的用戶數(shù)目。同時在線用戶數(shù)也是一個非常重要的參數(shù)，即同一時間 SSL VPN 所能保持的會話數(shù)目，它通常在幾百到幾千之間，同時在線用戶越多，每位用戶所感受到的速度越慢。         測試步驟：第一步，32秒內(nèi)壓力從0 Simusers/秒上升到新建速率的80％；第二步，維持第一步的最高壓力300秒；第三步，20秒內(nèi)將壓力降為0，測試結(jié)束。 用戶動作：測試儀模擬的用戶，在登錄以后取一個1024Byte的文件，該文件的延遲（文件的延遲時間為用戶從發(fā)起請求到測試儀器響應(yīng)用戶的時間）為0秒，之后重復(fù)取一個延遲為60秒的文件10次，即一個用戶至少10分鐘后才會退出。 結(jié)果衡量：我們把用戶成功取得沒有延遲的文件數(shù)目作為最大并發(fā)用戶數(shù)（因為每個成功登錄的用戶都會取得該文件，并且在我們的測試時間內(nèi)不會退出而形成與所有其他用戶的并發(fā)）。                  測試指標(biāo)3：OWA性能         指標(biāo)含義：設(shè)備每秒鐘可以完成的郵件系統(tǒng)操作。         測試步驟：第一步，在32秒內(nèi)壓力從0 Simusers上升到N Simusers；第二步，維持第一步的最高壓力120秒；第三步，20秒內(nèi)將壓力降為0，測試結(jié)束。         用戶動作：測試儀模擬的用戶，在登錄以后發(fā)出大量的郵件系統(tǒng)請求（測試儀為用戶模擬了Outlook的收件箱），請求數(shù)量為79個，然后退出。         結(jié)果衡量：在第二步維持120秒的后60秒，我們計算該時間段內(nèi)的平均速率（將成功建立的用戶連接數(shù)除以60）。                 測試指標(biāo)4: DDoS攻擊下的OWA性能         指標(biāo)含義：設(shè)備在DDoS攻擊下每秒鐘可以完成的郵件系統(tǒng)操作。         測試步驟：測試步驟同OWA性能測試，只是在測試過程中同時對SSL VPN網(wǎng)關(guān)設(shè)備進行DDoS攻擊。我們選擇了較為常見的Synflood攻擊。         用戶動作：測試儀模擬的用戶，在登錄以后發(fā)出大量的郵件系統(tǒng)請求，請求數(shù)量為79個，然后退出。此過程同OWA性能測試，只是在測試過程中測試儀同時向被測設(shè)備發(fā)送Synflood攻擊數(shù)據(jù)包。         結(jié)果衡量：在第二步維持120的后60秒，我們計算該時間段內(nèi)的平均速率。         測試指標(biāo)5：實際吞吐量（Goodput）         指標(biāo)含義：實際吞吐量也稱為設(shè)備轉(zhuǎn)發(fā)速率，它指的是SSL VPN網(wǎng)關(guān)最快可以在每秒鐘內(nèi)轉(zhuǎn)發(fā)多少數(shù)據(jù)流量。         測試步驟：第一步，在32秒內(nèi)壓力從0 Simusers上升到N Simusers；第二步，維持第一步的最高壓力120秒；第三步，20秒內(nèi)將壓力降為0，測試結(jié)束。         用戶動作：測試儀模擬的用戶，在登錄以后從一個模擬的Web服務(wù)器取一個1MByte的文件，然后從另外一個Web服務(wù)器取一個1Mbyte的文件，交替此過程10遍，一共從服務(wù)器取20Mbyte數(shù)據(jù)，然后退出。         結(jié)果衡量：在第二步維持120秒的后60秒，我們將用戶從測試儀模擬的Web服務(wù)器取得的數(shù)據(jù)流量進行平均，得出設(shè)備的實際吞吐量。 安全測試         我們認為，安全產(chǎn)品最不能忽視其安全性。         在安全性測試中，我們使用商業(yè)掃描器（Scanner）產(chǎn)品——安氏領(lǐng)信網(wǎng)絡(luò)掃描器（LinkTrust Network Scanner）對被測設(shè)備進行安全測試。測試時只針對一種VPN配置進行，即僅提供最基本的Web應(yīng)用的情況。         掃描器會對設(shè)備開放端口、警告以及漏洞信息給出詳細報告，具體分析每種情況的危害程度以及防范補救措施等。 功能測試         在功能測試方面我們主要進行了兩部分測試。一部分測試設(shè)備對應(yīng)用類型的支持能力，被測設(shè)備廠商工程師向我們演示了盡量多的應(yīng)用類型，包括FTP、網(wǎng)絡(luò)文件系統(tǒng)、文件服務(wù)器、P2P等。另一部分測試設(shè)備本身在管理使用方面的功能特性，主要涉及訪問控制、認證集成、報告與日志以及配置、安裝和易用性等管理特性。 編輯推薦獎：Array SPX 5000         此次測試，我們主要關(guān)注四個方面：性能、安全、功能和價格，在進行整體考核時的權(quán)重為：性能占40%，功能占30％，安全占20％，價格占10％。         參測三款SSL VPN網(wǎng)關(guān)全部順利完成我們各項測試，其中，深信服Sinfor SSL VPN Express 雖然在性能、功能各方面表現(xiàn)不很突出，但是價格非常便宜，且集成了防火墻，對于其“中小企業(yè)”定位用戶來說是個不錯的選擇。深圳數(shù)安RAP 1000-X在功能方面已經(jīng)十分豐富，對于使用百兆環(huán)境的用戶來說，已基本可以滿足需求。         Array Networks SPX－5000表現(xiàn)出眾，該產(chǎn)品性能優(yōu)異——無論是最大并發(fā)連接數(shù)還是新建連接速率以及實際吞吐量都可輕松滿足高端企業(yè)級應(yīng)用；功能全面——對各種類型應(yīng)用做到很好支持；安全性能較高—我們嚴(yán)格的網(wǎng)絡(luò)掃描測試中沒有出現(xiàn)任何漏洞，技術(shù)工程師也給我們的測試充分的支持。綜合各項測試內(nèi)容，Array Networks的SPX 5000成績最為優(yōu)秀。 來源：CCW