SSL VPN作为不需要借助客户端的VPN系统,越来越受到网络管理员的欢迎。其方便快捷的功能和远程连接的安全性是的企业广泛使用。本篇文章就将对AEP Networks公司的Netilla安全平台进行测评。
在旧版操作系统中,Netilla安全平台通过所谓的域(reamls)把用户、认证机制和资源访问策略组织到可管理的组内,并内建了对微软服务信息块(SMB)、活动目录(Active Directory)、SecurID、Kerberos、RADIUS以及本地用户认证的支持,而且沿用了以往的授权作用域(Authentication Scopes)来为用户传递授权证书,从而实现了单次登陆(Single Sign-on)功能,这项功能虽然确实可以正常工作,但在建立和管理Web资源链接时会在管理上造成不必要的麻烦。
和本次评测的其他产品一样,Netilla安全平台同样为客户提供对基于Web和基于服务器的应用的访问。Netilla安全平台也提供类似IPSec的第三层隧道,这样TCP和UDP数据报就可以直接进入企业网络。它能同时支持全隧道(full tunnel)和半隧道(split tunnel)模式,全隧道模式指的是客户端的所有网络数据,不管是本地的还是非本地的,全部经由隧道到达服务端并在服务端被路由和转发,而在半隧道模式下,和企业相关的数据流经由隧道到达服务端,其他数据流则由客户端的缺省路由来转发,到底选择哪种方式是由客户端安全策略的严格性来决定的。
Netilla安全平台的第三层隧道通过ActiveX控件来安装部署,因此客户端只有安装的是Windows操作系统才能使用它的第三层隧道,不过Netilla安全平台在处理瘦客户端(如老式的绿屏终端)的连接时采用了与其他同类产品不同的方式,所以这个缺点也就不怎么显眼了。瘦客户端使用Java和一种专用协议首先连接到Netilla安全平台内建的由Tarantella公司开发的代理服务器,再由该代理服务器把访问请求导向到相应的受保护资源,不管采用哪种数据传输方式,客户端和服务器中间所附加的这一层代理了所有需要进入企业的数据流。
新版操作系统中还增加了支持Sygate的“按需”(On-Demand)执行端点安全策略的管理软件,不过这项功能需要额外付费购买。客户端的安全完备性检查可以在认证之前进行也可以在认证之后进行,而每个域都可以有自己特定的安全策略。只有Windows客户端才能使用更高级的Sygate功能,不过能删除临时文件和其他会话信息的缓存清除组建则对所有兼容Java的浏览器都有效。
与其他同类产品相比,Netilla安全平台的人机界面显得相当简单朴素,容易操作也算容易,创建域和用户认证及定义应用时步骤有点繁琐,但还不算太糟。虽然Netilla安全平台的策略粒度不如其他同类产品好,不过一旦在我熟悉了人机界面的组织方式后,添加或修改域和应用时也没遇到什么困难。
【编辑推荐】
