SPX3000之后,本篇文章对Aventail公司的EX-1500这款产品进行测试。EX-1500的功能强大但是操作简单,不仅从策略定义来说类似于建立防火墙规则,贴近了系统管理员。你也用不着在人机界面的菜单上转来转去,所有东西都很简洁地嵌套在一起,而且随时还有一个很方便的"快速开始"菜单可以指导操作者。实际上,我仅用了一页管理菜单就可以创建一套完整的包括资源和用户的访问规则,这也许看起来不是什么了不起的东西,但对于工作繁忙的IT管理员来说是非常有帮助的。
每个域都可以有自己的访问方式和安全区域定义。兼容的认证方式包括LDAP、RADIUS、活动目录、SecurID和本地用户数据库。缺省支持两个节点的主主(Active-Active)集群,而负载平衡和自动错误恢复则内建在产品中,不需要额外的硬件支持。
在本次评测的所有产品里,EX-1500的终端控制系统2.0版也许具有最好的终端安全控制机制。当用户连接到设备时,终端控制系统将根据连上来的设备情况将其放入特定的安全区域中,这里的区域指的是具有不同策略细节的分组,比如是否在客户的浏览器上应用缓存清除器或是否接受远程接入(全部拒绝或全部接受)等,这个系统使得管理员能更容易地创建和维护随不同地域变化而变化的安全策略。
终端控制系统依赖由WholeSecurity或Zone Labs公司开发的客户端软件来执行用户认证前的终端扫描,而这样的客户端软件必须另外购买,如果没有这些附加软件,终端控制系统仍然可以检测出客户端是从哪里连进来的,但没办法知道客户端正在运行哪些程序等细节信息。如果还想要更强的安全保护,EX-1500同样支持缓存清除、安全桌面和需要另外购买的Sygate "按需"策略控制。
EX-1500能极为出色地支持Web应用。它能即时重写HTML,而且缺省就包含一些Web应用的配置用以支持那些常见的Web应用如Outlook的Web访问等。
瘦客户端的支持则属于Aventail的OnDemand软件的任务。不要把它和Sygate的"按需"(On-Demand)策略混起来,Aventail的OnDemand软件是一个Java应用,在浏览器需要的时候会自动下载并由它提供对TCP应用的支持。
EX-1500的日志功能虽然也不错,但还是不如F5 FirePass 4100或Juniper NetScreen-SA 5000那么强大。EX-1500支持Syslog、SNMP和内部文本日志,但遗憾的是没有内建图形化报表。
和竞争对手比起来,EX-1500的一大弱点就是不支持真正的第三层隧道,不过附带的Aventail Connect软件基本上可以弥补这个不足。Aventail Connect是一个Windows应用程序,它安装在远端的计算机上并提供对后台资源的"网络级"访问,不过它不算是真正的第三层隧道,因为客户端虽然可以ping到服务端,但反过来却不行。不过对于从客户端进入服务端的数据流来说,它确实能提供完整的TCP和UDP支持。Aventail承诺会在以后的新版中添加完整的双向第三层隧道支持。
【编辑推荐】
