打死算了

文：Super Me（2006）编：打死算了（2011 末）

在入口控制级别方面，相比其他厂商的产品来说 F5，Juniper 和 Nokia 之所以表现不同，是因为他们各自的管理界面。假如入口自定义对于你的部署来说不是那么重要，你就不必关注这三家产品的优势了。在每个 SSL VPN 设备中，资源（例如是 Web 页面）和入口链接的意义有些不同。资源被定义为一系列的主机和 URL 路径，同时也可能包含许多不同的 Web 服务器，以上所有这些工作在一起保证了终端用户对于 Web 应用的安全访问。

入口链接的意义可以简单地被理解为：用户接触到 Web 应用的最后底线。假如一个链接被定义了，那么它对于被允许访问的用户是可以显示的。资源链接和入口链接的分离对于 SSL VPN 设备来说非常必要。例如，Juniper 的管理界面长期以来是一个非常大的弱点，因为它不认为一个资源是一个原子性的对象，这就意味着管理任何 Web 应用的访问控制和入口呈现也许要求额外的定义和许多的手工控制。

Juniper 对于链接资源和入口的控制方法和 Aventail 和 Nokia 非常相似：对于入口来说，当一个资源被管理时，一个复选框会被加到链接的旁边。 其他的厂商，例如 AEP，Caymas，Check Point 和 F5，他们将入口和资源定义连接的非常紧密。Array 和 Nortel 的处理手法非常危险，入口和访问控制是完全分离的。对于很多静态 SSL VPN 的部署来说，根本就没有什么不同点，但是假如你计划要频繁地更换 SSL VPN，你就不要定义每个事物两次（在 Array 例子中，我们意识到入口和资源定义是大小写敏感的）。

接下文 ………………………

提示：点击文章标题阅读全文和发表您的反驳评论 …… ……

文：Super Me（2006）编：打死算了（2011 末）

Aventail 和 F5 的管理系统也有警报功能。这两款产品都设计良好，但其易于使用却非常虚伪，除非你把安全功能配置刨除出去。这是因为安全功能的配置非常难于使用，使用 Aventail 的产品，你会发现你就从来不知道一些人是怎么访问资源的，我们必须面对很大的精力和麻烦处理安全策略来匹配我们的要求，不知道当一个终端用户面对这些问题时该怎么办。F5 的 GUI 面对了相似的问题：界面漂亮并且易于使用，但是如果你花费时间配置入口规则或者困难的配置精细的访问控制时，你就不会这么认为了。

每台 SSL VPN 设备的核心是一个 Web 服务器，每位用户在使用 VPN 时，都会和这个 Web 服务器不期而遇。大多数网络管理员都可以忍受交换机、路由器或者是防火墙上笨拙的、不加美化地 Web 界面，然而这种情况对于SSL VPN设备来说就不大相同了，终端用户对于应用界面的美观程度是不会宽宏大量的，他们所看见的 SSL VPN Web 页面，统称为 SSL VPN 入口（Portal），入口设计对于 SSL VPN 的成功部署是至关重要的。SSL VPN 厂商已经慢慢地明白了这个道理，所以 SSL VPN 设备已经开始有了用户定制技术。我们看了每家厂商产品的说明文件，都支持对终端用户所看见的入口页面外形进行定制。

当你决定使用 SSL VPN 时，大部分 SSL VPN 设备都可以运行用户自定义的Web 服务器，大部分设备的磁盘上也有相应的驱动文件。发现磁盘上正确的驻留位置，就可以随心所欲编辑或置换这些文件，你会惊奇地发现，可以自定义所想要看见的 SSL VPN 入口页面。当然，每家厂商的专业服务都会乐于帮助你自定义你所需要的外观。当我们实际测试用户自定义入口界面功能时，在所有产品之中，F5 Networks、Juniper 和 Nokia 的表现，是相当不错的。这三家产品都有相似的能力来定义入口的颜色、图标和布局。F5的FirePass 4160和Juniper的SA-6000，这两家的产品能力更强一些，因为他们可以基于每个组定义入口布局。而 Nokia 的 Secure Access System 500s 只能基于全局系统进行定义。

在某些能力的测试结果中，F5 的 FirePass 4160 则因为支持 WAP 电话和 PDA 能力而微微胜出对手，“初学者”和“高级者”入口可以适用于不同级别的用户，甚至是在同一个组中，可以个别控制 25 个入口元素。F5 还展示了其他的一些小功能。例如，假如你的电脑不能通过端点安全扫描，你被限制访问一些资源，F5 的 VPN 设备则会生成一个系统警告来告知原因。另外一些小功能可以让用户控制他们自己的入口布局，网络管理者可以向用户展示入口技术的美妙而不用管理者有多么精深的相关技术背景。

接下文 ………………………

提示：点击文章标题阅读全文和发表您的反驳评论 …… ……

文：Super Me（2006）编：打死算了（2011 末）

按照产品测试的逐项要求，依我们标准总体来看，F5 和 Juniper 提供了最好的管理能力，紧随其后的是 Aventail，Caymas 和 Nokia。AEP、Check Point、Nortel 和 SonicWall 产品没有一些应该具有的重要管理功能或者是其工作工具非常差劲。GUI 界面是设备管理的核心。一家产品的 GUI 非常吸引我们的眼球，那是因为它几乎不能做任何工作，Array 的 SPX-5000。除了很差地设计以外，连在一些基本的功能领域中，还存在有多个 BUG，当我们想要进行应用配置时，其 GUI 界面几乎就是没用的。Array 的目标在于提供服务，但是其所提供的服务却不能使用 GUI 来配置。对于基本的监测和连续的管理操作，其以 Web 为基础的 GUI 到还非常不错。然而，当我们要在 Array 的设备上配置安全策略时，我们就必须使用命令行界面了（CLI）。

Nortel VPN 网关 3070 的 GUI 管理界面水平也就仅仅在 Array 之上，我们必须多次求助于 CLI 界面才得以使系统工作起来，但是其 CLI 界面却非常清楚明了，并且是使工作快速进行的有效途径。Nortel 产品的 GUI 界面缺点和 Array 相似，都是在配置方面。监控和基本的操作都是可接受的，然而它的扩展 SNMP 支持却不尽如人意，如果你想让它做工作就必须使用一个分离的以 SNMP 为基础的管理工作站来进行处理。我们另外一个需要注意的是 Caymas 525 的系统管理界面，不像其他的 SSL VPN 设备，Caymas 利用了一个以 Java 为基础的应用来管理设备功能。当一个应用非常精细时，问题就出现了，它会花 4~5 分钟来使全部的 GUI 运行起来。

Caymas 还有另外的界面缺点，那就是它有数千个 IDS 签名塞进了 Caymas 525 中，你必须带着签名到任何一个服务中。然而 Java 界面的设计太差了，同时它还要处理大量的 IDS 签名以至于我们惊讶的看到处理其他应用的时候时间非常长。从大范围来看，其他产品都有相当类似的管理系统。在 GUI 中最大的不同就是产品的复杂度。Check Point 的 Connectra GUI 易于使用，可凭直觉进行管理，不用很多的培训或文档。然而，Check Point 的产品并没有令人惊异的与众不同的功能特点。Check Point 产品管理中最为复杂的部分在于保护服务，命名为 Check Point 的SmarDefense，SmarDefense 运行在 Connectra 设备上，它的管理不如普通的 IDS 复杂。

Juniper 的 SA-6000 GUI 因为其复杂度而受到了广泛的批评。Juniper 本可以做的更好。它本可以使网络管理者配置 SA-6000 系统的生活变得简单起来。仅仅学习一次就可以搞明白哪部分参数可以忽略是不可能的。例如当你设置访问控制规则时，对于缓存、Java、重写、单点认证、SAML、Web 代理、JSAM 和压缩部分来说都是不常用到的。

在易用性的其他方面，Juniper 是应该受到一些尊敬的。例如，当我们在做高可用性测试时，我们必须绑定第二个 Juniper SA-6000 到现存的 Juniper 同型号 VPN 上来进行测试。我们用一根串口电缆连接到串口上来，我们给了新 VPN 发现现存集群所需要的最少信息。这个新 VPN 发现了存在的 VPN，并且探测到了软件版本，并从现存的 VPN 设备上自动下载了程序包，自己升级并形成了一个集群。一些人在 Juniper 上花费了很多时间和精力，但是这些努力是值得的，一旦精通之后会发现 VPN 非常易于使用，即使是你不经常使用的事物。对于 Aventail，Fortinet 和 Nortel 的使用来说，他们的 VPN 进行集群操作，也非常简单。相对比 AEP，Array 和 Caymas 的集群测试来说，他们的产品需要呼叫技术支持并伴随数个小时才能完成。

接下文 ………………………

提示：点击文章标题阅读全文和发表您的反驳评论 …… ……

文：Super Me（2006）编：打死算了（2011 末）

所有 SSL VPN 产品都有一个客观的测试结果，但是我们也必须做出某种艰难的主观测试，产品管理界面测试。在大部分案例中，设备都会提供界面相似的管理系统，但是我们也可以找出不同的部分，而这不同的部分值得您作为购买决策的一部分。管理易用性，不仅仅是管理界面的难看与丑陋。我们评估了管理性的 8 个方面，范围从 GUI 外观到在线帮助再到 SNMP 支持、状态报告和审计特点等。我们并没有简单的检查了功能特点是否存在，我们更宁愿评估他们运行得怎么样。例如，除 SonicWall 厂商之外，所有厂商都提供了 SNMP 管理，Array、Aventail、Caymas、F5 Networks、Juniper 和 Nortel 设备的收集数据和警报功能也给我们留下了极深的印象。

企业所共同的一个要求是可以隔离网络或者委托管理。Array SPX-5000，Caymas 525 和 F5 FirePass 4160 的管理界面非常清洁明了，它可以让设备管理涉及到 SSL VPN 部署的方方面面并且可以给与人们完全的控制能力。我们所测试的设备大部分都在 6 万美金左右，对于网管来说，购买产品的主要诱惑是产品可以进行统一管理、具有高可用性集群并且是可共享的特征。Fortinet 的 Fortigate-3600 和 Juniper 的 SA-6000 提供了可隔离网络和委托管理的特性，这些特点对于企业部署非常合适。配置管理是 SSL VPN 设备非常重要的一部分，我们对于配置界面的测试非常详细。一旦某种设备已经成型，那么其操作管理界面是非常重要的。诸如看谁登陆了或者是结束一个进程（Check Point、Fortinet 和 Nortel 的 VPN 都不具备这项功能）之类的管理界面是非常重要的。

在 SSL VPN 领域，厂商通常都不会提供很全面的日志和审计功能。企业应该在考虑到资金的问题下，有选择地得到扩展日志功能，更好的设备应该有注册管理工具，例如会有自动翻转和输出注册文件到一个存档服务器的功能。在高端设备上，我们期望设备可以提供特别地 debug 日志功能（例如追踪单个用户进程的能力）和以 RADIUS 为基础的帐户管理。Caymas 525、F5 的 FirePass，Juniper 的 SA-6000 和 Nokia 的 Secure Access System 500s 的得分很高，这些产品都包含了以上大部分功能，AEP 的 Netilla Security Platform 和 SonicWall 的 SSL-VPN 2000 管理界面都没有更多地弹性和控制日志功能。

在我们的测试中发现了一些具有非常好和非常不好审计能力的产品。Caymas、Juniper和Nortel非常认真地考虑了审计功能，令我们印象深刻。假如你使用了审计功能，你可以得到足够的数据来知晓谁在管理 SSL VPN 设备和干了些什么。Fortinet 的 Fortigate-3600，Array 的 SPX-5000，SonicWall 的 SSL-VPN 2000 和 AEP 的 Netilla Security Platform 都不能分离使用中的日志和永久存储的审计信息。假如你有特别的审计要求，你应该仔细考虑产品是否能够满足你的需要。

我们以下所关注的焦点实话来说并不是产品所应该特别加强的。一般来说，我们期望设备的实际使用报告应该由外部的 Web 日志分析工具所处理，本机所生成的报告应该有有限的容量规划能力。F5 和 Juniper 可以生成有用的图形来帮助容量规划，其他大部分的设备也有一些这方面的能力。我们发现 Check Point 的 Connectra 和 Notel 的 VPN Gateway 3070 都没有图形能力。最后作为我们评估易用性的一部分，我们看了一下打印的和在线文档。Array、Check Point、Fortinet 和 Nortel 都不能满足文档的基本标准，其中 Array 和 Nortel 的文档介绍连产品管理的基本需求都不能满足。我们对 AEP、Array、Caymas、Juniper、Nokia 和 SonicWall 的表现也非常失望，他们弄不明白怎样可以让使用说明书上下文相关，从而帮助管理 GUI。确实，做到这些要求有些困难，但是这总不会比在 SSL VPN 设备上写软件更困难吧？

接下文 ………………………

提示：点击文章标题阅读全文和发表您的反驳评论 …… ……

文：Super Me（2006）编：打死算了（2011 末）

关于网络扩展的高可用性，然而 TCP 连接稳定性是非常重要的对于 SSL VPN 操作中的网络扩展和端口转发来说。这里没有 Cookie 的问题需要担心，但是却有上层应用的问题。例如，假如用户通过 SSL VPN 网络扩展来运行一个终端服务进程，网络扩展连接并不能简单的理解为“断开”，因为它会对终端服务进程的影响非常巨大。SSL VPN 厂商有两个策略来处理这个问题。一个是纯粹的 TCP 状态共享，网络扩展客户端所使用的实际 TCP 连接会通过多个设备进行共享。我们所测试的设备原理上都是这种方法。这是一种花费非常昂贵的方法，带宽和处理能力都要进行同步连接，因为这意味着在每时每刻，一个出入客户端的数据包的状态信息必须在两个设备之间进行通过。

第二个策略就是透明的再连接了，这利用了一个事实，既在IP的基础上运行 TCP。因为 IP 协议被认识是不可靠的，通常来说，在 IP 协议之上，TCP 连接会有一个握手的过程，所以我们将看到包的延迟和丢失。透明再连接说的是，当 SSL VPN 设备发生故障时，客户端会试图再次连接而不让上层协议知道有一些错误发生了。实际上这些动作做起来也很困难。例如，当你再次连接时，你最好确定是同一个 IP 地址。在我们的测试中，当发生高可靠性事件时，只有 Aventail 和 Juniper 的设备通过使用透明再连接技术确保了数据不间断的传输。

在高可靠性测试中，我们也发现了一些不正常的现象。Array 的设备要求我们通过集群手工复制变化，Caymas 要求定时的复制升级变化，对此我们非常失望。这么差的设备动摇了我们的自信心，当高可靠性事件来临时，厂商知道他们该做些什么吗？假如系统不能够自动复制配置，我们怎么能够相信他们会复制用户状态信息？AEP 有着更多不平常处理高可用性的方法。在 AEP 高可用性配置中，你可以看见主设备一个电源出口，这个电源出口是由从设备控制的。这个原理是当从设备和主设备失去联系时，从设备会循环加电（关电源后再开电源）到（从前的）主设备上。这是一个非常有趣的办法。很不幸，设备不能自动“后退”，所以 AEP 的高可用性测试失败了。这意味着假如主设备只是简单的因为一个崩溃而重起了，（从前的）从设备接管了业务，这样做是对的，但是（从前的）从设备就永远变成了主设备，以前的主设备不会变为从设备。因此，你就不能有很好的高可靠性除非你手工进行转换。

关于可伸缩性问题，可伸缩性的重要性和高可靠性平起平坐。可伸缩性包括使 SSL VPN 提供更多服务给用户和并发进程和单个设备所能处理能力相比。厂商会提供你主/从高可用性，但却不会自动给你可伸缩性。一些厂商称呼积极地/被动地高可靠性，为了取得伸缩性，产品是不应该让它空闲的。为了处理伸缩性，一个新的功能需要被引进到服务其中：负载均衡技术。F5、Nokia 和 Aventail 已经把负载均衡技术集成进他们的 SSL VPN 设备之中。在这项特别测试中，所有被测设备都要求有一个外部均衡器来将流量分流接到不同的 SSL VPN 设备中。

Aventail 的可伸缩性解决方案是非常有限的，但却是非常雅致的。最多两个节点可以结合并提供一个高伸缩性和高可用性的服务。对于许多 SSL VPN 部署来说，这是一个非常好的解决方案，因为它并不要求额外的设备，它全部集成到了产品之中。F5 的单个设备利用了一个不同的方法是实现了负载均衡器（这台设备可以用两个节点实现主/从高可用性），这个负载均衡器可以让进程改道到其他的设备中。Nokia 的解决方案和 F5 非常类似。Nokia 和 F5 都可以提供很好的伸缩性相比 Aventail 来说，因为他们的伸缩性可以在两个以上的设备上实现。

厂商所要求的外部负载均衡器配置落入了两个阵营：一些是共享配置，一些不是。通过 AEP、Caymas、Check Point、Fortinet和SonicWall的设备，你可以建造弹性的 SSL VPN ，但是在你的弹性解决方案中，你有 10 个元素，你就需要做同样的 10 次变化在每个产品上。这明显是不合需要的，尤其是在一个受限制的环境中。Array、F5、Juniper、Nokia 和 Nortel 可让你建造一个可以共享配置的大规模系统集群。Array、Juniper 和 Nortel 的设备需要你自己处理负载均衡，但至少你只需要做一次变化。

接下文 ………………………

提示：点击文章标题阅读全文和发表您的反驳评论 …… ……