如今,商务模式的发展使得越来越多的人采用远程办公的方式。在这种Client-to-Site的接入方式下,SSL VPN以其简单、便利、安全等因素理所当然地成为构建新型企业VPN网络的首选。
当然,SSL VPN组网技术在企业用户得到大范围地推广,除了SSL VPN固有的安全、标准化程度高等特点外,SSL VPN网关针对用户的需要,所开发的各种特性也成为重要的推动力。拥有灵活、安全和高性能的特点,并能适应各种应用传输的需要,是目前一个高品质SSL VPN网关所具备的特征。
经测试,深信服的SINFOR M5900就是这样一款产品。
全面的应用服务支持
SINFOR M5900通过对Web服务、APP服务和IP Tun服务的支持,可以满足用户几乎所有应用软件的使用需求。
我们搭建了如图1所示测试拓扑,一台安装了Windows 2003操作系统的中兴ZXF20 R400双核双路服务器模拟企业内网资源,并配置了Web、FTP、SMTP和POP3服务。一台装有Windows XP的联想台式电脑作为远程用户设备。一台D-Link三层全千兆交换机DGS-3324SR模拟Internet和企业内部网。测试时SINFOR M5900的软件版本为V2.65。
我们首先对Web服务进行了测试。除了对HTTP的支持外,SINFOR M5900的Web服务功能还把FTP和Mail等常见应用直接转换成Web页面的形式提供给用户,这无疑给用户带来了方便。
测试中,远程用户在认证通过后进入VPN,用户即可发现自己有权访问的企业资源。经过SINFOR M5900的地址转换和协议转换,测试结果显示,用户登录SSL VPN后可以直接通过Web页面访问Web和FTP服务器。
SINFOR M5900不仅支持像Web这样的B/S应用,还通过应用转换技术和IP Tunnel技术,实现了对目前网络层以上的各种使用静态或动态端口协议的支持。我们使用Outlook Express作为客户端软件,成功地验证了系统对SMTP和POP3等协议的支持。
丰富严密的认证和控制
SSL VPN在安全性保障方面可以分为:用户接入的安全性、数据传输的安全性和资源访问的安全性。SINFOR M5900通过对标准SSL协议的支持来保障数据传输的安全。在用户接入与资源访问的安全控制方面,除了支持常见的功能外,深信服产品还有着自己的独到之处。
SINFOR M5900支持三种基本的认证方式:用户名/密码、数字证书和外部认证。
与很多类似产品不同的是,SINFOR M5900还支持DKEY、短信认证和硬件绑定。它们和上述三种基本认证方式组合使用,形成双因素认证,给用户足够的空间以适应高强度安全性的需求,最大限度地保证了接入用户的合法性。
测试中,我们对基本认证方式和双因素认证进行了详细的测试。测试拓扑如图2所示。
我们首先对“数字证书+DKEY”认证进行了验证。我们使用SINFOR M5900内置的CA中心为远程用户颁发了数字证书。
第一步,我们使用网络将证书传至远程用户,并成功地完成认证登录。
第二步,我们将内置CA颁发的客户端证书存储在USB DKEY中,由于DKEY中的内容不能拷贝,而且为了防止DKEY丢失被盗用,DKEY还多了一层PIN码保护,所以它比第一种证书运输方式更为安全。
之后,将SINFOR M5900内置的CA中心取而代之,改而使用第三方的CA为客户端颁发证书,并重复了上述测试。我们使用Windows 2003的证书颁发机构完成了此项测试。
我们还对“用户名/密码+短信认证”、“RADIUS+硬件特征”等认证方式进行了详细的验证。
此外,有的合法用户的机器存在着安全隐患。可贵的是,SINFOR M5900能够对客户端的安全性进行评估,并确定是否允许该用户接入VPN。我们也成功地验证了此项功能。
重负突显高性能
当SSL VPN网络的规模很大时,会出现大量用户同时访问VPN资源的情况,甚至在某些时段,会形成客户端上线的高峰,对SSL VPN网关处理新建连接的速度提出挑战。
经我们的测试发现,SINFOR M5900是真正的“大块头”产品。它可以在应用请求100%成功响应的条件下,同时为高达8000个用户提供加密传输服务。其新建连接的速度在280个/秒左右,也足以满足大型VPN网络的要求了。而且,这是在被测的SINFOR M5900未安装硬件加密卡的条件下取得的。据深信服的工程师介绍,一旦用户配置了硬件加密卡选件,SINFOR M5900可支持高达每秒750个新建连接。
测试中,我们使用思博伦通信的应用层性能测试仪Avalanche 2700和Reflector 2700分别模拟远程用户和服务器,与SINFOR M5900的两个千兆端口相连。测试拓扑如图3所示。
我们配置Avalanche模拟成千上万个并发用户,其网页请求的目的IP地址为SINFOR M5900模拟的虚拟服务器地址。采用RC4-MD5加密算法,使用SSL v3与SINFOR M5900建立SSL连接。每个用户都要完成如下四笔交易:
1.欢迎及登陆页面;
2.输入用户名/密码并登陆;
3.访问一个Payload大小为64字节的网页;
4.注销。
经反复尝试:SINFOR M5900在客户端发起8000个并发用户时可以做到100%的页面响应成功率。
另外,测得SINFOR M5900所支持的新建连接速度为280个用户/秒。其Goodput为600Mbps,体现出SINFOR M5900所能达到的高应用吞吐量。
【编辑推荐】
