大容量SSL VPN制造者

安全
SSL VPN网关针对用户的需要,所开发的各种特性也成为重要的推动力。拥有灵活、安全和高性能的特点,并能适应各种应用传输的需要,是目前一个高品质SSL VPN网关所具备的特征。

如今,商务模式的发展使得越来越多的人采用远程办公的方式。在这种Client-to-Site的接入方式下,SSL VPN以其简单、便利、安全等因素理所当然地成为构建新型企业VPN网络的首选。

当然,SSL VPN组网技术在企业用户得到大范围地推广,除了SSL VPN固有的安全、标准化程度高等特点外,SSL VPN网关针对用户的需要,所开发的各种特性也成为重要的推动力。拥有灵活、安全和高性能的特点,并能适应各种应用传输的需要,是目前一个高品质SSL VPN网关所具备的特征。

经测试,深信服的SINFOR M5900就是这样一款产品。

全面的应用服务支持

SINFOR M5900通过对Web服务、APP服务和IP Tun服务的支持,可以满足用户几乎所有应用软件的使用需求。

我们搭建了如图1所示测试拓扑,一台安装了Windows 2003操作系统的中兴ZXF20 R400双核双路服务器模拟企业内网资源,并配置了Web、FTP、SMTP和POP3服务。一台装有Windows XP的联想台式电脑作为远程用户设备。一台D-Link三层全千兆交换机DGS-3324SR模拟Internet和企业内部网。测试时SINFOR M5900的软件版本为V2.65。

1

我们首先对Web服务进行了测试。除了对HTTP的支持外,SINFOR M5900的Web服务功能还把FTP和Mail等常见应用直接转换成Web页面的形式提供给用户,这无疑给用户带来了方便。

测试中,远程用户在认证通过后进入VPN,用户即可发现自己有权访问的企业资源。经过SINFOR M5900的地址转换和协议转换,测试结果显示,用户登录SSL VPN后可以直接通过Web页面访问Web和FTP服务器。

SINFOR M5900不仅支持像Web这样的B/S应用,还通过应用转换技术和IP Tunnel技术,实现了对目前网络层以上的各种使用静态或动态端口协议的支持。我们使用Outlook Express作为客户端软件,成功地验证了系统对SMTP和POP3等协议的支持。

丰富严密的认证和控制

SSL VPN在安全性保障方面可以分为:用户接入的安全性、数据传输的安全性和资源访问的安全性。SINFOR M5900通过对标准SSL协议的支持来保障数据传输的安全。在用户接入与资源访问的安全控制方面,除了支持常见的功能外,深信服产品还有着自己的独到之处。

SINFOR M5900支持三种基本的认证方式:用户名/密码、数字证书和外部认证。

与很多类似产品不同的是,SINFOR M5900还支持DKEY、短信认证和硬件绑定。它们和上述三种基本认证方式组合使用,形成双因素认证,给用户足够的空间以适应高强度安全性的需求,最大限度地保证了接入用户的合法性。

测试中,我们对基本认证方式和双因素认证进行了详细的测试。测试拓扑如图2所示。

2

我们首先对“数字证书+DKEY”认证进行了验证。我们使用SINFOR M5900内置的CA中心为远程用户颁发了数字证书。

第一步,我们使用网络将证书传至远程用户,并成功地完成认证登录。

第二步,我们将内置CA颁发的客户端证书存储在USB DKEY中,由于DKEY中的内容不能拷贝,而且为了防止DKEY丢失被盗用,DKEY还多了一层PIN码保护,所以它比第一种证书运输方式更为安全。

之后,将SINFOR M5900内置的CA中心取而代之,改而使用第三方的CA为客户端颁发证书,并重复了上述测试。我们使用Windows 2003的证书颁发机构完成了此项测试。

我们还对“用户名/密码+短信认证”、“RADIUS+硬件特征”等认证方式进行了详细的验证。

此外,有的合法用户的机器存在着安全隐患。可贵的是,SINFOR M5900能够对客户端的安全性进行评估,并确定是否允许该用户接入VPN。我们也成功地验证了此项功能。

重负突显高性能

当SSL VPN网络的规模很大时,会出现大量用户同时访问VPN资源的情况,甚至在某些时段,会形成客户端上线的高峰,对SSL VPN网关处理新建连接的速度提出挑战。

经我们的测试发现,SINFOR M5900是真正的“大块头”产品。它可以在应用请求100%成功响应的条件下,同时为高达8000个用户提供加密传输服务。其新建连接的速度在280个/秒左右,也足以满足大型VPN网络的要求了。而且,这是在被测的SINFOR M5900未安装硬件加密卡的条件下取得的。据深信服的工程师介绍,一旦用户配置了硬件加密卡选件,SINFOR M5900可支持高达每秒750个新建连接。

测试中,我们使用思博伦通信的应用层性能测试仪Avalanche 2700和Reflector 2700分别模拟远程用户和服务器,与SINFOR M5900的两个千兆端口相连。测试拓扑如图3所示。

3

我们配置Avalanche模拟成千上万个并发用户,其网页请求的目的IP地址为SINFOR M5900模拟的虚拟服务器地址。采用RC4-MD5加密算法,使用SSL v3与SINFOR M5900建立SSL连接。每个用户都要完成如下四笔交易:

1.欢迎及登陆页面;

2.输入用户名/密码并登陆;

3.访问一个Payload大小为64字节的网页;

4.注销。

经反复尝试:SINFOR M5900在客户端发起8000个并发用户时可以做到100%的页面响应成功率。

另外,测得SINFOR M5900所支持的新建连接速度为280个用户/秒。其Goodput为600Mbps,体现出SINFOR M5900所能达到的高应用吞吐量。

【编辑推荐】

  1. SSL VPN灵活实现远程用户接入
  2. SSL VPN:让远程访问更简单更安全
责任编辑:许凤丽 来源: 网界网
相关推荐

2018-03-26 09:56:06

区块链加密数字货币互联网

2009-02-24 09:23:00

2011-06-22 14:23:27

2011-08-01 14:25:03

2021-07-27 22:31:59

网络安全工具黑客

2014-11-18 19:28:19

2013-12-06 14:21:49

2009-12-30 09:31:03

2009-11-07 20:59:11

垃圾邮件网络安全赛门铁克

2011-03-08 08:50:05

2009-12-25 09:26:34

2012-09-26 09:49:44

2009-10-16 10:58:48

2015-07-02 14:40:34

2012-09-27 10:21:00

2010-06-13 10:03:49

2012-09-27 09:51:00

2010-06-10 23:53:24

SSL VPN深信服科技

2009-07-08 15:22:54

2012-01-12 10:18:29

F5SSL VPN魔力象限
点赞
收藏

51CTO技术栈公众号