F5 Networks公司的FirePass 4100可以说是FirePass 1000的升级版本,但是和EX-1500之类的同类软件相比,FirePass 4100拥有一些相对少见的功能。通过仅面向TCP的AppTunnels和名为Network Access的第三层连接器,FirePass 4100能提供标准的对基于门户的(portal-based)Web应用的访问。它也能让瘦客户端访问那些运行于服务端的应用如Citrix MetaFrame虚拟工作平台、微软的终端服务和X Windows等,甚至通过特殊的连接软件也可以访问老式绿屏终端的应用。FirePass 4100的第三层隧道同时支持全隧道模式和半隧道模式,而且内建了对虚拟局域网的支持。
还有一项值得注意的功能即所谓的“桌面访问”。和enKoo-3000的Beam应用类似,桌面访问是一款Windows上的远程访问软件,它以Java applet或者ActiveX控件的方式运行于客户端的浏览器内,在需要的时候浏览器会自动下载并安装。
FirePass 4100所支持的日志选项就太多了,只要你能想得到的东西它都有相应的日志,日志方式包括SNMP和Syslog。而且内建有图形报表工具,这样快速监测就容易多了。
FirePass 4100所支持的认证服务包括LDAP、RADIUS、活动目录、Vasco DigiPass、基本HTTP认证、客户证书和本地数据库。每个认证方式都属于特定的资源组。Windows资源的单次登陆服务缺省是打开的,并且它通过了我所有相关的测试。
FirePass 4100的集群功能尤其强大,不但同时支持主主集群和主备集群两种方式,而且10个节点的集群就能支持多达1万个并发用户。
人机交互管理界面初看上去感觉有点"超链接泛滥",不过在这一大堆选项身上花了一段时间后,我渐渐熟悉了它的布局方式,最后发现其实浏览起来其实还是相当容易的。而且还附带了其他一些很不错的功能,比如,为了防止客户主机上被安装了按键记录软件,它可以为用户名和密码提供图形化的虚拟键盘。
这款产品对政府部门来说尤其具有吸引力,因为其中有个版本支持联邦信息处理标准(FIPS),FIPS是美国国家标准与技术局制定的关于加密模块的安全要求规范,本文所提到的绝大多数SSL VPN厂商预计将于今年内发布支持该标准的产品,但目前只有F5 Networks公司和Juniper公司已经做到这一点。
FirePass 4100唯一还需要下功夫改进的方面恐怕就是终端安全管理了。FirePass 4100有自己的主机检测软件,而不像其他同类产品那样在这方面一般寻求和第三方软件商进行合作,虽然也有缓存清除选项和名为"受保护工作区"的虚拟桌面,但不如Sygate的“按需”策略引擎那么强大,不过FirePass 4100还是能够检查客户机所运行的程序及注册表、操作系统和浏览器的补丁包级别,还有是否安装了McAfee防病毒软件等。如果客户机没能通过这些安全检查,它的访问权将被限制在一个受隔离的网络内。可惜的是,主机检测只能发生在用户认证之后,F5 Networks公司表示认证前的主机检测支持还在开发之中,有望在下一次软件发布中将其包含在内。
【编辑推荐】