打死算了

文：Super Me（2006）编：打死算了（2011 末）

终端安全技术有几种方法来实现，有几家厂商，包括 AEP 和 Array，利用了完全的第三方技术，Sygate（现在已经被 Symantec 收购），提供了一个中央模块来进行安全扫描。这些厂商利用 Sygate 技术的过程是，你可以把 Sygate 用作另外一些目的（例如个人防火墙），然后你可以把它整合进一个现有的系统中。另外的 SSL VPN 厂商，例如 Aventail，也整合进了几个第三方工具，你可以基于你的公司标准进行选择。

厂商进行病毒防护的最后选择就是依靠他们自己。厂商们通常是利用自己的技术和一些 OEM 产品进行结合，例如 Opswat 软件开发工具。Aventail，Caymas，Check point，F5，Fortinet，Juniper，Nokia 和 Nortel 都会设计制造自己的终端安全软件。一些时候，终端安全是作为产品的一部分来进行销售的，有的时候则是作为额外的成本出现的。在这项测试中，我们定义终端安全为两个部分，我们来看连接系统是否满足安全要求；保护服务，例如清除cache和虚拟桌面。基于我们的安全策略，我们将焦点集中于完整性检查方面。

我们的测试分为两个简单的要求：Windows 平台下的 PC 需要载入和运行一个当前的反病毒产品。例如，假如一个用户的电脑安装有反病毒软件，用户才可以得到 Web 服务，但是如果情况相反的话，他们就仅仅能够授权访问某台 Web 服务器上的指定目录。测试结果非常让人失望。一些产品就不能够侦测到我们的反病毒软件。另外一些锁死了系统，不恰当的阻碍了访问或者是弹出一些错误回复。仅仅有少部分的产品可以完成我们所需要的策略。

有两家厂商所使用的方法相当特别。SonicWall 的 SSL-VPN 2000 没有用端点安全检查来回避了所有的问题。Fortinet 的 Fortigate-3600 端点安全检查功能是和它的网络扩展客户端结合起来使用的。你不能应用策略，除非你可以在网络扩展客户端上进行设置。Fortinet 的解决办法并不像听说中的那么陌生。你不用太多地关心终端系统的情况，例如这个终端是一个 Web 站点、运行中的终端服务或者是 Citrix 客户端。Fortinet 用处在网关上的一个功能强大地保护服务套件来完成以上功能，这个套件包括他们自己开发的反病毒软件和入侵检测引擎。当然，你可以有功能强大的端点安全检查和在机（on-device）保护服务，能完成这项功能的还有 Check Point 的 Connectra，它可以提供给你应用层的安全威胁检查。F5 的 Firepass 有防病毒和限制威胁探测功能。

在端点安全方面也有好的消息。假如你可以看到所有用户当前运行的 IE 版本或者操作系统，例如是 Windows 2000 或者 XP，或者是你有 Administrator 权限来管理他们的系统并且希望他们能够执行下载 Java 或者 ActiveX 行为，我估计你看到有这些功能将会非常高兴；仅仅 AEP 的 Netilla Security Platform 和 Fortinet 的产品没有发现我们的反病毒软件。假如你仅仅希望需要解决端点安全的一般目的解决方案，以上两款产品仍然不能满足这个要求。

接下文 ………………………

提示：点击文章标题阅读全文和发表您的反驳评论 …… ……

文：Super Me（2006）编：打死算了（2011 末）

真正地隧道网络扩展，一个全 3 层的隧道，现在这是任何 SSL VPN 产品的核心部分。当忙碌的网络管理者面对需要定义用户所使用的每项 SSL VPN 应用时，他们常常使用这项功能，例如 VoIP，它就不能和端口转发技术一起使用。我们特别测试了 VoIP（使用 SIP 电话）在我们的客户端（Windows 2000，xp 和 Macintosh）笔记本电脑平台上性能如何，通过这项测试我们来看 3 层隧道在 SSL VPN 上运行得怎么样？

我们对此疑问的明确答复是：当你对设置并不精通时，运行效果通常不会很好。假如你在网络扩展模式下，你要让远程用户接入你的网络时，最好在他们的电脑上预先安装好客户端程序或者确定他们对要使用的系统有着良好的控制力。我们发现只有 3 家厂商支持 Macintosh 用户：F5、Juniper 和 Nokia。AEP 许诺他们在下一版本中会加进对 Macintosh 的支持。

我们也在测试中发现了不少惊喜，Fortinet 的客户端运行在 XP 上并支持几种不同应用，但是不支持 SIP，尽管我们的防火墙规则是完全开放的。有很多厂商包括 SonicWall 和 Caymas 并不支持 Firefox 浏览器，他们告诉我们用户必须在客户端使用IE浏览器。我们随后测试了在 SSL VPN 隧道上运行 VoIP 的效果，测试结果证明完全没有问题。

蔓延不止的因特网病毒如蠕虫、特洛伊木马令人头疼不止。为了保护网络，安全专家们已经把目光投向了客户端接入网络前的终端病毒检查。在局域网的舞台上，从思科到微软的每家厂商都开始了终端安全结构的研究。因为 SSL VPN 用户是从远程接入到网络中，所以现在针对这种问题的讨论越来越热烈了，一个远程用户很有可能是不友好的或者是不可控的网络环境，因此，极为需要对远程接入的用户进行评估。

SSL VPN 提供了他们自己先天的保护机制来将病毒和恶意软件阻挡其外。当 SSL VPN 设备被当作 Web 代理来使用时，终端用户是不会直接访问到网络的，因此最恶意的威胁也不会伤害到网络。然而这只是一个很好的梦想，因为我们的测试显示 SSL VPN 的端点安全是具有缺陷地设计，并且安全工具也只能工作在某种强制模式下。

接下文 ………………………

提示：点击文章标题阅读全文和发表您的反驳评论 …… ……

文：Super Me（2006）编：打死算了（2011 末）

文件服务方面 SSL VPN 部署的共同要求是可以浏览存储在服务器上的文件。每一家 SSL VPN 设备都可以做基本的协议转换工作，文件服务在一端，而 Web 页面在另一端。SSL VPN设备可以与你的文件服务器直接进行“交谈”，终端用户仅仅需要以 Web 浏览器的方式来观看目录和处理文件。我们的测试任务就是检查 SSL VPN 是否和 SMB 和 FTP 服务器进行交互。SMB 测试目标非常简单，大部分的产品都可以很好地完成这项任务。Fortinet 和 SonicWall 的产品却产生了意外。SonicWall 的工程师解释说是遇到了很大的 bug，Fortinet 技术支持则把我们遇到的问题报告给了他们的技术团队。

Array 和 Nortel 都在这项测试中丢了分，因为他们的产品不能和 Mac 客户端兼容，所以造成我们不能登陆到这个假定测试场景中。我们也对 Check Point 的 Connectra 非常失望。在 Windows 里，运行 IE，可以看到 Connectra 有一个文件浏览器，看起来非常像是 Windows 的文件浏览器，它可以进行难以置信的规划工作，它比在 SSL VPN 上进行驱动程序管理简单。但我们非常失望的是，Check Point 不能回滚：假如你不在 IE 上，你不仅得不到很好的管理界面，而且你还得不到任何地回滚界面。

我们的 FTP 互操作性测试结果非常不好。大部分厂商选择了不支持 FTP。仅仅 Nokia、Nortel 和 SonicWall 提供了这项功能。在互操作性测试中，Nokia 微微胜出 Juniper 的原因仅仅是 Nokia 支持 FTP。在 Web 浏览器和扩展网络客户端之间的路程是端口转发和应用重定向的黑暗世界。端口转发和应用重定向两项技术是利用以 C/S 结构为基础的应用，数据流是以 TCP 封包的。同样，这两项技术并不需要在 SSL VPN 进行全部的网络访问，但是在使用连接前必须指明这项应用的隧道设置。

从安全的角度来看，端口转发和应用重定向是一项很不错的技术，因为，作为网络管理者来说，你可以确保人们通过 SSL VPN 运行多个种类的应用，但却不用给这些应用全部的网络访问权限。假如可在端口 1494 监听一个应用，隧道仅仅是对于某个特定主机的某个端口和特别的数据流是适用的，在这种要求下，如果存在网络危害是不可能的。所以，你在服务器上对某位 SSL VPN 用户打开某种服务是非常安全的。

端口转发是一项非常难以使用的技术，通常是浏览器所下载的 Java applet 所处理。SSL VPN 厂商已经学习到如何更好的与 Windows 互动，他们尽可能的做到无缝结合。在一些案例中，SSL VPN 管理人员可以指定一些应用下载到用户本地硬件驱动中。当一个应用被启动时，某个隧道就会为这个应用所专用。

我们测试了产品最常用的 4 种 C/S 模式应用，并把这个测试当作了 SSL VPN 部署的一部分。这 4 种应用是 Windows 终端服务、Citrix Presentation Server、Telnet 和 SSH。厂商已经拿出了很多的解决方案针对这些应用，我们会让每家厂商叙述我们如何使用这项应用而不是再坚持让厂商动手做端口转发设置，从而让我们亲手完成这项测试。让我们混合了厂商提供的 Java applet，特别是 Citrix 和终端服务客户端，这并没有费了对大的劲儿。

在这项测试中的赢家是 AEP 的 Netilla Security Platform，得了 24 分，紧随其后的是 Nokia 的 Secure Access System（23），Juniper 的 SA SSL VPN（22）和 Check Point Connectra（20）。在一些特别的例子中，我们选择的应用是非常偶然的，这是因为可以显示产品的优越之处。在这项测试中，Fortinet 的 Fortigate-3600 和 SonicWall 的 SSL-VPN-2000 表现较差。我们从这部分的测试中看到标准的“端口转发”术语在对于一些高端产品来说是用词不当的。每家产品都有一个独特地解决方案，但是这些解决方案却都有很严重的平台依赖性。

提示：点击文章标题阅读全文和发表您的反驳评论 …… ……

文：Super Me（2006）编：打死算了（2011 末）

我们要求在互操作性测试中适当地运行了一些安全策略。我们并没有试图绕开由于变化安全策略或者关掉产品某些功能特点所引起的问题，这并不是说所有的产品都在改写过程中没有更多的按钮用来调节行为。大部分产品的功能标签含糊不清和没有说明文件，但是当一个特殊应用不能运行时，技术支持应该很好地为我们解决这些问题。

互操作性问题总是由 SSL VPN 重写器缺陷所引起的，重写器有些时候也称作 Munger 可以修改 HTML、Java、JavaScript 或者 Flash 数据流以便进入浏览器。重写器可以变化 Web 应用内容从而使网页上的元素（如图像，链接，Applets 等等）可以被送入 SSL VPN 设备进行安全加密。建造一个重写器与模拟一个 Web 浏览器非常相似，需要修改的东西包括 JavaScript，Java 或者其他一些可以解码和修改的行为。这是一个非常艰难的任务，它常常有一些错误。

在测试过程中我们做了两个动作。第一个是安装了最新版的 Lotus Notes，Domino Version 7。第二是安装了 Avocent KVM-over-IP 应用，Domino 的测试结果非常非常不好。大部分 SSL VPN 厂商对于简单地重写不能工作的问题都可以解决。一个共同的解决办法是加载一个小型应用到本地系统中并且使本地Web浏览器当作一个代理服务器点来退回这个小型应用。然后应用会隧道化数据流并退回到 SSL VPN 网关处而不用要求重写。能够很好处理微软和 Citrix 终端服务的设备，大部分都应用到了这个解决方案。

第二个解决重写问题的方法很简单，就是通过在本地系统上安装一个网络扩展客户端来建立一个3层隧道从而到达 SSL VPN 设备，从而完成全部的网络访问。这个方法可能比较多的出现在雇员远程访问网络的案例中，但是这有另外一项成本开销，那就是必须检查端点安全，此外，减少了客户平台的性能和互操作性。两家厂商的产品（Citrix 和 Permo）我们没有测试，他们完全避免了重写。假如你要是连接这两家公司的 SSL VPN 设备应用，你就必须使用一个客户端程序。

提示：点击文章标题阅读全文和发表您的反驳评论 …… ……

文：Super Me（2006）编：打死算了（2011 末）

我们测试了 7 个关键特点，分别是应用互操作性，端点安全支持，细化地安全控制，高可用性、管理易用性、入口控制和虚拟化、认证。在我们最后的测试中，Juniper 由于大量的企业功能特点而走在了其他厂商前面。在每个测试项目中，包括端点安全，细化地访问控制和互操作性测试中，Juniper 也都 是带头领飞的大雁。

尽管通过这次测试我们看出 Juniper 的表现极佳，但是我们发现在每个测试项目中，竞争仍然非常激烈。我们看到 Aventail 在易用性、高可用性测试中表现不错，Check Point 在消除病毒威胁领域一展身手，F5 在入口控制和用户认证互操作性测试方面大展宏图，Nokia 在互操作性和高可用性测试中也露了一手。

我们欣喜地看到AEP特别在互操作性测试方面有很高的分数，Caymas 在访问控制方面的分数也非常骄人。测试前，我们对这两家厂商并没有表示出太高的期望。每种应用和客户端的互操作性是 SSL VPN 部署所面临的最为困难的一个问题，基于我们收集来的超过 1400 个测试案例数据来看，可以得出结论：在厂商输出的应用类型所支持的远程客户端连接种类问题上已经取得了很大进展。

SSL VPN 技术是以 Web 为基础的应用，用户利用 Web 浏览器进行各种操作。基于这个应用原理，我们测试了每款产品与 9 种以 Web 为基础的应用的互操作性，这个测试项目可以确定产品是否能和应用进行较佳地结合。从应用测试结果来看，Juniper 的 SA SSL VPN 得了 50 分，紧随其后的是 Nokia 的 Secure Access System（46），AEP 的 Netilla Security Platform（45），Aventail 的 EX-1500（44）和 F5 的 Firepass（42）。 在这项测试中表现最差的是 Array 的 SPX 系列（23），SonicWall 的 SSL-VPN 2000（20）和 Fortinet 的 Fortigate-360。Fortigate-360 不能通过一个单项测试，尽管他们的技术支持团队做出了英雄般的努力。

提示：点击文章标题阅读全文和发表您的反驳评论 …… ……