SSL VPN產品測評之Netilla安全平臺
SSL VPN作為不需要借助客戶端的VPN系統,越來越受到網絡管理員的歡迎。其方便快捷的功能和遠程連接的安全性是的企業廣泛使用。本篇文章就將對AEP Networks公司的Netilla安全平臺進行測評。
在舊版操作系統中,Netilla安全平臺通過所謂的域(reamls)把用戶、認證機制和資源訪問策略組織到可管理的組內,并內建了對微軟服務信息塊(SMB)、活動目錄(Active Directory)、SecurID、Kerberos、RADIUS以及本地用戶認證的支持,而且沿用了以往的授權作用域(Authentication Scopes)來為用戶傳遞授權證書,從而實現了單次登陸(Single Sign-on)功能,這項功能雖然確實可以正常工作,但在建立和管理Web資源鏈接時會在管理上造成不必要的麻煩。
和本次評測的其他產品一樣,Netilla安全平臺同樣為客戶提供對基于Web和基于服務器的應用的訪問。Netilla安全平臺也提供類似IPSec的第三層隧道,這樣TCP和UDP數據報就可以直接進入企業網絡。它能同時支持全隧道(full tunnel)和半隧道(split tunnel)模式,全隧道模式指的是客戶端的所有網絡數據,不管是本地的還是非本地的,全部經由隧道到達服務端并在服務端被路由和轉發,而在半隧道模式下,和企業相關的數據流經由隧道到達服務端,其他數據流則由客戶端的缺省路由來轉發,到底選擇哪種方式是由客戶端安全策略的嚴格性來決定的。
Netilla安全平臺的第三層隧道通過ActiveX控件來安裝部署,因此客戶端只有安裝的是Windows操作系統才能使用它的第三層隧道,不過Netilla安全平臺在處理瘦客戶端(如老式的綠屏終端)的連接時采用了與其他同類產品不同的方式,所以這個缺點也就不怎么顯眼了。瘦客戶端使用Java和一種專用協議首先連接到Netilla安全平臺內建的由Tarantella公司開發的代理服務器,再由該代理服務器把訪問請求導向到相應的受保護資源,不管采用哪種數據傳輸方式,客戶端和服務器中間所附加的這一層代理了所有需要進入企業的數據流。
新版操作系統中還增加了支持Sygate的“按需”(On-Demand)執行端點安全策略的管理軟件,不過這項功能需要額外付費購買。客戶端的安全完備性檢查可以在認證之前進行也可以在認證之后進行,而每個域都可以有自己特定的安全策略。只有Windows客戶端才能使用更高級的Sygate功能,不過能刪除臨時文件和其他會話信息的緩存清除組建則對所有兼容Java的瀏覽器都有效。
與其他同類產品相比,Netilla安全平臺的人機界面顯得相當簡單樸素,容易操作也算容易,創建域和用戶認證及定義應用時步驟有點繁瑣,但還不算太糟。雖然Netilla安全平臺的策略粒度不如其他同類產品好,不過一旦在我熟悉了人機界面的組織方式后,添加或修改域和應用時也沒遇到什么困難。
【編輯推薦】
