打死算了

文：Super Me（2006）编：打死算了（2011 末）

如果发生了失败的情况，移动一个虚拟的IP从一个节点到另外一个节点是非常基本行为，配置共享应该在主设备和从设备之间移动，这个行为非常需要可靠性地工作。对于要成功实现终端用户失败情况下的无缝切换，什么是最困难的？在一些高可用性的场景中，如果发生设备失败的情况，问题存在于如何维持终端用户的进程状态。对于 SSL VPN 设备，主要有两种类型的进程，以 Web 为基础的 SSL VPN 和网络扩展/端口转发 SSL VPN 这被认为是不同高可用性话题所应该思考的。

通过 SSL VPN 隧道，以 Web 为基础的应用，有两种类型的状态对于高可用性非常重要。所有的 SSL VPN 设备都会生成一个用密码写的 Cookie 通常称作进程 ID 或者进程 Cookie 这个用来再次鉴别用户的浏览器，这个行为每时每刻都在进行。如果没有以上的进程信息，SSL VPN 设备就不会有一个安全的办法来清楚地了解用户，这就是为什么跨站点的脚本攻击对 SSL VPN 设备危害非常巨大，假如有人偷取你的进程 Cookie，他就可以假冒你，除非你的进程结束。

第二种类型的状态信息就是 Cookie 了（例如一个 Amazon.com 的购物行为或者是一个 Outlook Web 访问进程），Cookie 是用户进程的一部分。Web 站点通常会做某种类型的面向连接的应用（例如以 Web 为基础的 E-mail 进程），面向连接的应用会利用 Cookie 来使传送的数据保持良好状态。例如，当你使用 Web 访问 Outlook 时，一个称作“sessionid”的 Cookie 会保存在你的浏览器中，所以你才能从一页浏览到下一页，因为 Outlook Web Access 服务器知道你是谁和你在做什么。安全的 SSL VPN 产品并不会直接通过用户里的 Cookie 来进行运作，因为用户有可能会离开使用的电脑，使用这台电脑的下一个用户则可能会滥用 Cookie。Cookie 会在 SSL VPN 设备里进行维护。并不是所有的 SSL VPN 设备都会这样做，但是大部分安全的 SSL VPN 设备会使用这项技术。

当高可用性事件发生时（例如无意的电源中断），用户加过密的 Cookie 行为已经在备份 SSL VPN 设备上了以保证工作的平滑进行。在我们的测试中，Aventail、Caymas、Fortinet、Juniper 和 Nokia 都可以正确处理以上情况。当高可用性情况发生时，AEP、Array 和 Nortel 的用户必须重新到 SSL VPN 上进行验证。（Nortel 解释说在他们发布的 5.5 版本中，他们会解决这个问题）。

我们并没有提及 TCP 连接的稳定性，这是因为在以 Web 为基础的 SSL VPN 中，它并不是非常重要的因素。在 Web 页中，每一个 Web 页中的每一个图形，都是一个分离单独的 TCP 连接，通常都非常短小。假如当一个 Web 页正在下载时，一个高可用性事件发生了，TCP 连接并没有通过设备进行保存，这是用户就会看到一个 Web 页要求重新载入或者是一个图像并没有显示出来，这种现象对于我们每个人来说是司空见惯的，这是因为 Internet 发生了反常。

接下文 ………………………

提示：点击文章标题阅读全文和发表您的反驳评论 …… ……

文：Super Me（2006）编：打死算了（2011 末）

关于管理混乱，在 SSL VPN 产品在可以做什么和我们需要他们做什么之间有着很大的空白。例如你可以利用 F5 产品生成恰当和精确的安全控制配置，但是你却从来不用 F5 提供给你的这个工具，因为 GUI 工具并不是用来做精细访问控制设置的。我们发现 F5 的 FirePass 特别具有欺骗性，因为它看上去像是可以定义访问资源。然而，当你深入看下去时，你会发现你所定义的是放置在入口处的。我们在应用策略时，发现了同样的问题在 Aventail EX-1500 身上。它的访问控制设置太复杂了。

我们对 Array 的 SPX-5000 和 Nortel 的 VPN Gateway 3070 的管理系统也非常失望。这两款产品都有一些级别的访问控制，但是他们管理系统的设计非常差劲，以至于我们对于想利用此方式进行精细的控制设置非常泄气。在设置上的复杂性和控制方面妥协非常好的产品是 Caymas 和 Nokia。这两款产品都易于看到和新建访问控制。Nokia 可以在“简单”和“高级”的访问控制列表之间做出从容不迫的选择。

Juniper 对于访问控制的管理系统可能会让你从爱转向恨，然后再从恨转向爱。Juniper 分享了 Nokia 的简单 vs 高级访问控制管理理念。（Juniper 称作一般和详细的），有额外的 20 个屏幕来定义最好的策略和控制，而这些行为你可以通过 Web 界面来完成。学习 Juniper 的用户界面，你就会有更重要的发现什么参数设置是可以忽略不管的，而什么参数是应该得到重视的。

任何一个网络架构师都希望所提供的 SSL VPN 服务要尽可能的可靠和具有可伸缩性。我们通过对 11 款产品的高可靠性和可伸缩性进行了测试，我们希望通过此项测试得出一个较为宽广的选择。因为一些后勤的问题，F5 的产品不能参加这项测试。SonicWall 和 Check Point 因为没有内置的高可用性功能，所以也不能参加这项测试。然而，我们还是评估了这部分测试中所要求的功能特点。 在测试中，我们发现了几种类型的高可用性和伸缩性特点。高可靠性包括了主动的/被动和主动的/主动的支持。为了支持可伸缩性，有很多产品支持内部的负载均衡技术，但是大部分要求外部的负载均衡支持。

高可用性是一个简单的理念：当一些组件停止服务时，从用户角度来看，所提供的服务应该是不间断的，SSL VPN 网关就是一个典型的例子。但是对于 SSL VPN 的部署来说，衡量高可用性的手段却非常复杂。这并不是一门突然就引人注目的科学，它并不容易做对，或者是正如我们测试所展示的。在高可用性中（也在高伸缩性中），需要解决的一个问题是配置共享，确定一个设备的任何变化都可以传播到所有的设备中，以至于配置是永远一致的。

高可用性通常要接触到虚拟IP地址概念，这代表了高可用性服务。常常是一对 SSL VPN 设备共享虚拟 IP 地址；这两个设备中有一个是主设备（master），所有的流量都会流经这个地址，另外一个是从设备（slave），从设备不断地和活动设备进行通信并且在主设备运行失败的情况下，接管虚拟 IP 地址。在单数据中心的情况下，高可用性将注意力集中于一个单设备运行失败的情况下或者连接到这个设备失败情况下的情况。你应该确定，当出现问题时，移动虚拟IP地址可从一个系统到另一个系统上。

接下文 ………………………

提示：点击文章标题阅读全文和发表您的反驳评论 …… ……

文：Super Me（2006）编：打死算了（2011 末）

大部分的 SSL VPN 厂商都在他们的产品中加进了端点安全功能，而集成他们自己的访问控制机制经常是笨拙和难以管理的。例如，Nortel 的 VPN Gateway 3070，在它的产品中包含了一组的访问控制，然而这些访问控制却不能和端点安全进行良好的结合，使用界面虽然包含了端点安全手段，但却难于使用。同样的问题也发生在了 Aventail 的 EX-1500 管理系统的身上，尽管你可以表达相当复杂的策略，但是却非常难以预测 EX-1500 会在何种情况下做些什么，因为你所控制的程度依赖于访问方法。

有些产品集成的端点安全策略非常简洁明了，AEP 和 Array 的产品就是指定了进或不让进的策略，虽然策略不是很有力，但是却非常易于理解和使用。Caymas 525、Check Point 的产品将端点安全信息链接到了一个指定的资源上。它不关心你是谁，假如你的端点安全不能达到要求，你就不能进行访问。这种方法的缺点是安全管理者们不能够做出弹性的决策。我们的安全策略测试要求是有些用户组可以绕过端点安全限制（IT 紧急支持团队），两款产品没有通过此项测试。无论使用何种方法，定义策略都必须清晰明了，假如你非常喜欢弹性的定义方法或者管理界面并不混乱，将会非常乐意定义端点安全。

我们所测试的 Aventail、F5、Juniper、Nokia 和 Nortel 产品则将端点安全功能应用带到了下一个高度，当你设置端点安全时，这些产品可以让你同时考虑资源和用户组的搭配。假如你正在寻找使用集成的工具，你可以把注意力转到 Juniper 的 SA-6000 身上。Juniper 可让你运行端点安全扫描，无论是身份验证过程中还是身份验证以后，它依据安全情况决定许可还是阻碍用户的访问、依据安全情况修改组用户的加入、作为访问控制的一部分，它还可让你评估安全状况从而决定下放到单独的URL级别。

Nokia 也有弱点：与其他资源相比，端点安全和它的网络扩展客户端的链接非常不同，所以对于访问方法你缺乏弹性和丰富地安全模式。F5 和 Nortel 的产品如果要把端点安全要求包含在复杂地访问控制列表中，确实是非常困难。例如，F5 的管理系统，你要同时对每一单个的组复制所有资源定义到不同的端点安全策略。但是假如你要对应端点安全到资源上，你就必须还要定义策略一次。假如分发资源是访问控制问题的一部分，那么处理组的问题就是另外一部分。为了使访问控制易于管理，每一个用户就必须被指定到一个组中。当想方便的对各个用户设置有效的安全参数，最好的办法就是对组级别进行策略控制。

大部分的产品都可以按照目录的形式拖动组信息，特别是你在使用 LDAP 和 RADIUS 来进行授权认证时。从我们的测试来看，Aventail、Caymas 和 Juniper 都可以深入到 LDAP 目录，发现存在的组并且很轻松的将这些组匹配到访问控制列表和策略中。SonicWall 的 SSL-VPN 2000 对于我们的组指派测试，没有成功进行，因为一个用户仅仅只能是一个组的成员。我们在适当的地方有一个相当简单的 LDAP 服务器来进行认证授权和组指派操作。假如你有更复杂的目录，或者你想依据其他属性（例如进入到一个不同的目录）来匹配组，你一定在评测产品前仔细地进行定义要求。你可能很容易完成这项操作，当我们用 Chech Point 的 LDAP 查找进行工作时。我们不用看更多的 Check Point 目录，就可以运行起来，但是对于 SSL VPN 设备来说，并不是所有的目录都有用。

接下文 ………………………

提示：点击文章标题阅读全文和发表您的反驳评论 …… ……

文：Super Me（2006）编：打死算了（2011 末）

访问控制测试结果的一个极端是，SonicWall 的 SSL-VPN 2000 对于整个系统的默认选项是“allow”策略，这意味着所有用户都可以得到授权成功地访问任何他想要访问的资源。这个策略对于一家想要用 SSL VPN 代替 IPSec 的小公司来说，也许是一个非常不错的初始化设置。 然而，一个主流的论断是认为 SSL VPN 应该有一个良好的访问控制，应让很多的人接入网络。我们所谈到的案例比较符合这种论断，这种看法通常是称作外联网（Extranet），通常来说不仅仅让你的雇员访问网络，而且也让审计员、商业合作伙伴、顾问、承包人和顾客访问网络，这种情形通常在 IPSec VPN 中看得比较多。在外联网的使用中，访问控制是非常关键的。

在访问控制测试结果的另一个极端是，Juniper 的 SSL VPN Secure Access（SA）6000 访问控制之王。假如你需要控制运行 Netscape 的 AOL 用户在星期四的下午 5 点以后才可以进行写访问到一个指定的文件中，那么 Juniper 的产品将是一个绝佳地选择，另外的产品测试都落在了这两个极端点之内。发现一款对于你的应用比较适合的 SSL VPN 产品，实际是就是在思考 4 个访问控制方面：粒度、终端安全、组工具和易管理性。粒度概念非常容易思考。就是你的访问控制有多么细化？在我们的安全策略测试中，我们需要定义在一个服务器里所提供的不同服务的不同访问权限。例如，我要控制访问到指定的 Web 服务、我要定义某些以文件为基础的服务为只读控制，例如 Windows 的文件服务。仅仅是 Caymas 525，Juniper 的 SA-6000 和 Nokia 的 Secure Access System 可以泰然地处理所有要求。

然而，我们发现对访问控制功能所期望的和实际展现的还是有一定距离的。产品并没有给我们所期望的最低限度地访问控制要求，设置太基本了，他们也就仅仅可以给与同一个 Web Server 的不同服务以不同的控制权限，这些厂商的产品包括 Array、Fortinet 和 SonicWall。假如你的 SSL VPN 应用负载不太重，例如员工只是利用它来进行远程访问，或者只有单个的应用需要在 Internet 上进行，这些设备都可为你工作。但是如果 SSL VPN 承载的业务量比较大，这些产品就要退避三舍了。

你所应该做的第二个关键决策是：应该解决把粒度整合进端点安全控制的问题。我们所测试的产品除了 SonicWall 和 Fortinet 之外，都可以让你检查 SSL VPN 客户端的情况。问题是：他们应该对这些信息做什么？假如你安装 SSL VPN 是想让公司管理电脑的访问，你有一个非常简单的安全要求，就是“让访问要求进或者不进”，其原理就是你的电脑是否通过了安全扫描，假如你没有通过端点安全扫描，你就不能访问任何资源。我们所测试的产品都可以满足这个要求（除了 SonicWall 和 Fortinet）。

接下文 ………………………

提示：点击文章标题阅读全文和发表您的反驳评论 …… ……

文：Super Me（2006）编：打死算了（2011 末）

为了理解端点安全的繁多问题，你可以把它分解成许多小的问题，例如从策略定义开始。所有产品都是从描述策略开始，什么是你想要的端点安全检查。在最好的情况下，在注册过程前，就应该运行端点安全检查，因为你要可以发现恶意软件，例如键盘敲击记录软件。AEP，Array，Aventail，Check Point，F5，Juniper 和 Nokia 都可以提供这个选项。

你所需要的端点安全策略最起码应该包括检查操作系统，反病毒和个人防火墙情况，或者是一些文件信息，注册码和运行过程。对于我们来说，我们并不需要以上所有功能。我们仅仅需要确定 Windows 反病毒软件是在运行中的，这个测试非常简单。Aventail，F5，Juniper 和 Nokia 的产品可以支持非 Windows 平台的扫描，例如我们的 Macintosh 测试平台。

甚至是在 Windows 的世界里，Aventail，Caymas，Fortinet，Nokia 和 Nortel 的产品都没有检测到 Sophos 防病毒软件。AEP 的 Netilla Security Platform 和 Fortinet 的 Fortigate-3600 不能探测到我们的防病毒软件，甚至是我们以 Administrator 身份登陆到 XP 上运行。一些另外的产品（AEP，Array，Caymas，Check Point，F5，Fortinet，Juniper 和 Nortel）当我们以非特权用户运行在 XP 上时，不能探测到我们的防病毒软件。还有另外一些产品 Aventail，Caymas，Nokia 和 Nortel 会提示我们有 Sophos 软件，但是却没有办法验证我们的病毒特征库是否到期。Array 和 Aventail 则不让我们访问网络，因为我们是 Firefox 浏览器。

Nokia 对于它的端点安全系统来说，应该受到特别地批评，因为它提供了两个不同的策略来体现了不同的工作能力。一个是网络扩展模式下的场景，另外一个是处理所有用户的，例如 Web 代理和端口转发。Aventail 提供了我们两种选择，第三方工具和它自己本身的能力。我们仅仅测试了 Aventail 自己的产品。

即使产品充满了阴暗的负面消息，但是我们也注意到了另外一些产品的测试亮点。F5 开发终端安全策略的 GUI 十分不错，它有一个简单的流图表（在 Web 浏览器中显示）。精美的 GUI 可以激发你要利用终端安全的兴趣，但是你要非常小心：F5 的 checker 会阻碍 Windows 下的 Firefox 用户，检测失败在 Windows 下运行的 Sophos 和误把我们的 Treo 当作了 Windows 系统。

我们的测试表明，在 SSL VPN 世界里终端安全是一个非常值得注意的问题。假如您公司的目标是想验证公司所管理的运行 Windows 平台和 IE 的 PC 是否和你的安全策略是否一致，那么我们所测试的一些产品在此功能上会有很大的弹性。然而，你却不能得到可靠的服务在一个混合 Windows、Mac、笔记本电脑、PDA 和移动电话的网络世界里。当我们来到访问控制的世界，我们发现所测试的产品之间的差别有如冰火两重天。

接下文 ………………………

提示：点击文章标题阅读全文和发表您的反驳评论 …… ……