如今，商務模式的發展使得越來越多的人采用遠程辦公的方式。在這種Client-to-Site的接入方式下，SSL VPN以其簡單、便利、安全等因素理所當然地成為構建新型企業VPN網絡的首選。

當然，SSL VPN組網技術在企業用戶得到大范圍地推廣，除了SSL VPN固有的安全、標準化程度高等特點外，SSL VPN網關針對用戶的需要，所開發的各種特性也成為重要的推動力。擁有靈活、安全和高性能的特點，并能適應各種應用傳輸的需要，是目前一個高品質SSL VPN網關所具備的特征。

經測試，深信服的SINFOR M5900就是這樣一款產品。

全面的應用服務支持

SINFOR M5900通過對Web服務、APP服務和IP Tun服務的支持，可以滿足用戶幾乎所有應用軟件的使用需求。

我們搭建了如圖1所示測試拓撲，一臺安裝了Windows 2003操作系統的中興ZXF20 R400雙核雙路服務器模擬企業內網資源，并配置了Web、FTP、SMTP和POP3服務。一臺裝有Windows XP的聯想臺式電腦作為遠程用戶設備。一臺D-Link三層全千兆交換機DGS-3324SR模擬Internet和企業內部網。測試時SINFOR M5900的軟件版本為V2.65。

我們首先對Web服務進行了測試。除了對HTTP的支持外，SINFOR M5900的Web服務功能還把FTP和Mail等常見應用直接轉換成Web頁面的形式提供給用戶，這無疑給用戶帶來了方便。

測試中，遠程用戶在認證通過后進入VPN，用戶即可發現自己有權訪問的企業資源。經過SINFOR M5900的地址轉換和協議轉換，測試結果顯示，用戶登錄SSL VPN后可以直接通過Web頁面訪問Web和FTP服務器。

SINFOR M5900不僅支持像Web這樣的B/S應用，還通過應用轉換技術和IP Tunnel技術，實現了對目前網絡層以上的各種使用靜態或動態端口協議的支持。我們使用Outlook Express作為客戶端軟件，成功地驗證了系統對SMTP和POP3等協議的支持。

豐富嚴密的認證和控制

SSL VPN在安全性保障方面可以分為：用戶接入的安全性、數據傳輸的安全性和資源訪問的安全性。SINFOR M5900通過對標準SSL協議的支持來保障數據傳輸的安全。在用戶接入與資源訪問的安全控制方面，除了支持常見的功能外，深信服產品還有著自己的獨到之處。

SINFOR M5900支持三種基本的認證方式：用戶名/密碼、數字證書和外部認證。

與很多類似產品不同的是，SINFOR M5900還支持DKEY、短信認證和硬件綁定。它們和上述三種基本認證方式組合使用，形成雙因素認證，給用戶足夠的空間以適應高強度安全性的需求，最大限度地保證了接入用戶的合法性。

測試中，我們對基本認證方式和雙因素認證進行了詳細的測試。測試拓撲如圖2所示。

我們首先對“數字證書+DKEY”認證進行了驗證。我們使用SINFOR M5900內置的CA中心為遠程用戶頒發了數字證書。

第一步，我們使用網絡將證書傳至遠程用戶，并成功地完成認證登錄。

第二步，我們將內置CA頒發的客戶端證書存儲在USB DKEY中，由于DKEY中的內容不能拷貝，而且為了防止DKEY丟失被盜用，DKEY還多了一層PIN碼保護，所以它比第一種證書運輸方式更為安全。

之后，將SINFOR M5900內置的CA中心取而代之，改而使用第三方的CA為客戶端頒發證書，并重復了上述測試。我們使用Windows 2003的證書頒發機構完成了此項測試。

我們還對“用戶名/密碼+短信認證”、“RADIUS+硬件特征”等認證方式進行了詳細的驗證。

此外，有的合法用戶的機器存在著安全隱患。可貴的是，SINFOR M5900能夠對客戶端的安全性進行評估，并確定是否允許該用戶接入VPN。我們也成功地驗證了此項功能。

重負突顯高性能

當SSL VPN網絡的規模很大時，會出現大量用戶同時訪問VPN資源的情況，甚至在某些時段，會形成客戶端上線的高峰，對SSL VPN網關處理新建連接的速度提出挑戰。

經我們的測試發現，SINFOR M5900是真正的“大塊頭”產品。它可以在應用請求100%成功響應的條件下，同時為高達8000個用戶提供加密傳輸服務。其新建連接的速度在280個/秒左右，也足以滿足大型VPN網絡的要求了。而且，這是在被測的SINFOR M5900未安裝硬件加密卡的條件下取得的。據深信服的工程師介紹，一旦用戶配置了硬件加密卡選件，SINFOR M5900可支持高達每秒750個新建連接。

測試中，我們使用思博倫通信的應用層性能測試儀Avalanche 2700和Reflector 2700分別模擬遠程用戶和服務器，與SINFOR M5900的兩個千兆端口相連。測試拓撲如圖3所示。

我們配置Avalanche模擬成千上萬個并發用戶，其網頁請求的目的IP地址為SINFOR M5900模擬的虛擬服務器地址。采用RC4-MD5加密算法，使用SSL v3與SINFOR M5900建立SSL連接。每個用戶都要完成如下四筆交易：

1.歡迎及登陸頁面；

2.輸入用戶名/密碼并登陸；

3.訪問一個Payload大小為64字節的網頁；

4.注銷。

經反復嘗試：SINFOR M5900在客戶端發起8000個并發用戶時可以做到100%的頁面響應成功率。

另外，測得SINFOR M5900所支持的新建連接速度為280個用戶/秒。其Goodput為600Mbps，體現出SINFOR M5900所能達到的高應用吞吐量。

【編輯推薦】

1. SSL VPN靈活實現遠程用戶接入
2. SSL VPN：讓遠程訪問更簡單更安全