SSL VPN產品測評之NetScreen-SA 5000
在前一篇文章中我們測試了F5 Networks公司的FirePass 4100,Juniper Networks公司的NetScreen-SA 5000作為本篇文章測試的對象,目前該產品的軟件版本為4.2,雖然人機界面還需要組織地更好一些,但總體來看,該產品已經被證明是足夠靈活和安全的。
遠程用戶的認證方式包括活動目錄、LDAP、RADIUS、Netegrity、數字證書和本地數據庫,每個認證域都可以有多個認證服務器。已通過認證的用戶由用戶角色(User role)映射到相應的組里,這些組不但定義了用戶遠程訪問的不同形式,同時還定義了與會話相關的具體細節,如發呆超時和會話持續性。舉個例子,管理員可以創建兩個不同的角色,其中一個可以訪問Web、Windows文件共享和終端服務,而另一個角色則只有Web訪問的權限。
NetScreen-SA 5000支持所有標準的遠程訪問方式,包括Web應用、基于TCP的應用、第三層隧道。對于Web應用,管理員所能定義的訪問策略其粒度之細令人咂舌,各種細節都有相應的設置,從緩存策略到HTML重寫到壓縮等等。雖然看起來好像挺復雜,但實際上定義一個Web策略相當簡單。另外基于Web的Windows和Unix文件共享以及Telnet支持也都包含在內。
對基于TCP的應用的訪問請求會由所謂的安全訪問管理(SAM)軟件來轉發,該軟件有Windows版和Java版,并且能夠根據用戶角色來配置決定是否需要自動啟動。
第三層隧道由名為Network Connect的軟件來處理,該軟件只有Windows版,在客戶機上安裝后會生成一個虛擬PPP適配器,管理員可以從一個內部DHCP池中為Network Connect客戶分配IP地址。全隧道和半隧道模式同時支持,另外還能自定義DNS設置。對于隧道,NetScreen-SA 5000提供給管理員的訪問控制選項不如其他服務那么豐富,但相比IPSec VPN肯定還是好多了。Juniper表示在下一個軟件主發行版中Network Connect將支持Mac OS X和Linux。
SA-5000的終端安全檢測機制叫做Juniper終端防御計劃(JEDI),它能支持InfoExpress、McAfee、Sygate、和Zone Labs等客戶端軟件。唯一不足的是JEDI只有Windows版。
管理界面第一眼看上去有點亂,因為提供的選項實在太多了,所以我們也不能要求太多,實際使用中一些上下文相關的鏈接可以幫助使用者很快找到相應功能。SA-5000有一流的日志和報表功能,包括實時使用情況圖表等。
在本次評測的所有產品中,只有NetScreen-SA 5000和FirePass 4100兩款符合FIPS 140標準,另外NetScreen-SA 5000支持8個節點的集群,以主動/被動(Active-Passive)模式保障服務的高可靠性。目前還不支持虛擬局域網,不過Juniper表示這項功能正在開發之中。
【編輯推薦】
