如今，商務(wù)模式的發(fā)展使得越來越多的人采用遠(yuǎn)程辦公的方式。在這種Client-to-Site的接入方式下，SSL VPN以其簡單、便利、安全等因素理所當(dāng)然地成為構(gòu)建新型企業(yè)VPN網(wǎng)絡(luò)的首選。

當(dāng)然，SSL VPN組網(wǎng)技術(shù)在企業(yè)用戶得到大范圍地推廣，除了SSL VPN固有的安全、標(biāo)準(zhǔn)化程度高等特點外，SSL VPN網(wǎng)關(guān)針對用戶的需要，所開發(fā)的各種特性也成為重要的推動力。擁有靈活、安全和高性能的特點，并能適應(yīng)各種應(yīng)用傳輸?shù)男枰悄壳耙粋€高品質(zhì)SSL VPN網(wǎng)關(guān)所具備的特征。

經(jīng)測試，深信服的SINFOR M5900就是這樣一款產(chǎn)品。

全面的應(yīng)用服務(wù)支持

SINFOR M5900通過對Web服務(wù)、APP服務(wù)和IP Tun服務(wù)的支持，可以滿足用戶幾乎所有應(yīng)用軟件的使用需求。

我們搭建了如圖1所示測試拓?fù)?，一臺安裝了Windows 2003操作系統(tǒng)的中興ZXF20 R400雙核雙路服務(wù)器模擬企業(yè)內(nèi)網(wǎng)資源，并配置了Web、FTP、SMTP和POP3服務(wù)。一臺裝有Windows XP的聯(lián)想臺式電腦作為遠(yuǎn)程用戶設(shè)備。一臺D-Link三層全千兆交換機(jī)DGS-3324SR模擬Internet和企業(yè)內(nèi)部網(wǎng)。測試時SINFOR M5900的軟件版本為V2.65。

我們首先對Web服務(wù)進(jìn)行了測試。除了對HTTP的支持外，SINFOR M5900的Web服務(wù)功能還把FTP和Mail等常見應(yīng)用直接轉(zhuǎn)換成Web頁面的形式提供給用戶，這無疑給用戶帶來了方便。

測試中，遠(yuǎn)程用戶在認(rèn)證通過后進(jìn)入VPN，用戶即可發(fā)現(xiàn)自己有權(quán)訪問的企業(yè)資源。經(jīng)過SINFOR M5900的地址轉(zhuǎn)換和協(xié)議轉(zhuǎn)換，測試結(jié)果顯示，用戶登錄SSL VPN后可以直接通過Web頁面訪問Web和FTP服務(wù)器。

SINFOR M5900不僅支持像Web這樣的B/S應(yīng)用，還通過應(yīng)用轉(zhuǎn)換技術(shù)和IP Tunnel技術(shù)，實現(xiàn)了對目前網(wǎng)絡(luò)層以上的各種使用靜態(tài)或動態(tài)端口協(xié)議的支持。我們使用Outlook Express作為客戶端軟件，成功地驗證了系統(tǒng)對SMTP和POP3等協(xié)議的支持。

豐富嚴(yán)密的認(rèn)證和控制

SSL VPN在安全性保障方面可以分為：用戶接入的安全性、數(shù)據(jù)傳輸?shù)陌踩院唾Y源訪問的安全性。SINFOR M5900通過對標(biāo)準(zhǔn)SSL協(xié)議的支持來保障數(shù)據(jù)傳輸?shù)陌踩Ｔ谟脩艚尤肱c資源訪問的安全控制方面，除了支持常見的功能外，深信服產(chǎn)品還有著自己的獨到之處。

SINFOR M5900支持三種基本的認(rèn)證方式：用戶名/密碼、數(shù)字證書和外部認(rèn)證。

與很多類似產(chǎn)品不同的是，SINFOR M5900還支持DKEY、短信認(rèn)證和硬件綁定。它們和上述三種基本認(rèn)證方式組合使用，形成雙因素認(rèn)證，給用戶足夠的空間以適應(yīng)高強(qiáng)度安全性的需求，最大限度地保證了接入用戶的合法性。

測試中，我們對基本認(rèn)證方式和雙因素認(rèn)證進(jìn)行了詳細(xì)的測試。測試拓?fù)淙鐖D2所示。

我們首先對“數(shù)字證書+DKEY”認(rèn)證進(jìn)行了驗證。我們使用SINFOR M5900內(nèi)置的CA中心為遠(yuǎn)程用戶頒發(fā)了數(shù)字證書。

第一步，我們使用網(wǎng)絡(luò)將證書傳至遠(yuǎn)程用戶，并成功地完成認(rèn)證登錄。

第二步，我們將內(nèi)置CA頒發(fā)的客戶端證書存儲在USB DKEY中，由于DKEY中的內(nèi)容不能拷貝，而且為了防止DKEY丟失被盜用，DKEY還多了一層PIN碼保護(hù)，所以它比第一種證書運輸方式更為安全。

之后，將SINFOR M5900內(nèi)置的CA中心取而代之，改而使用第三方的CA為客戶端頒發(fā)證書，并重復(fù)了上述測試。我們使用Windows 2003的證書頒發(fā)機(jī)構(gòu)完成了此項測試。

我們還對“用戶名/密碼+短信認(rèn)證”、“RADIUS+硬件特征”等認(rèn)證方式進(jìn)行了詳細(xì)的驗證。

此外，有的合法用戶的機(jī)器存在著安全隱患?？少F的是，SINFOR M5900能夠?qū)蛻舳说陌踩赃M(jìn)行評估，并確定是否允許該用戶接入VPN。我們也成功地驗證了此項功能。

重負(fù)突顯高性能

當(dāng)SSL VPN網(wǎng)絡(luò)的規(guī)模很大時，會出現(xiàn)大量用戶同時訪問VPN資源的情況，甚至在某些時段，會形成客戶端上線的高峰，對SSL VPN網(wǎng)關(guān)處理新建連接的速度提出挑戰(zhàn)。

經(jīng)我們的測試發(fā)現(xiàn)，SINFOR M5900是真正的“大塊頭”產(chǎn)品。它可以在應(yīng)用請求100%成功響應(yīng)的條件下，同時為高達(dá)8000個用戶提供加密傳輸服務(wù)。其新建連接的速度在280個/秒左右，也足以滿足大型VPN網(wǎng)絡(luò)的要求了。而且，這是在被測的SINFOR M5900未安裝硬件加密卡的條件下取得的。據(jù)深信服的工程師介紹，一旦用戶配置了硬件加密卡選件，SINFOR M5900可支持高達(dá)每秒750個新建連接。

測試中，我們使用思博倫通信的應(yīng)用層性能測試儀Avalanche 2700和Reflector 2700分別模擬遠(yuǎn)程用戶和服務(wù)器，與SINFOR M5900的兩個千兆端口相連。測試拓?fù)淙鐖D3所示。

我們配置Avalanche模擬成千上萬個并發(fā)用戶，其網(wǎng)頁請求的目的IP地址為SINFOR M5900模擬的虛擬服務(wù)器地址。采用RC4-MD5加密算法，使用SSL v3與SINFOR M5900建立SSL連接。每個用戶都要完成如下四筆交易：

1.歡迎及登陸頁面；

2.輸入用戶名/密碼并登陸；

3.訪問一個Payload大小為64字節(jié)的網(wǎng)頁；

4.注銷。

經(jīng)反復(fù)嘗試：SINFOR M5900在客戶端發(fā)起8000個并發(fā)用戶時可以做到100%的頁面響應(yīng)成功率。

另外，測得SINFOR M5900所支持的新建連接速度為280個用戶/秒。其Goodput為600Mbps，體現(xiàn)出SINFOR M5900所能達(dá)到的高應(yīng)用吞吐量。

【編輯推薦】

1. SSL VPN靈活實現(xiàn)遠(yuǎn)程用戶接入
2. SSL VPN：讓遠(yuǎn)程訪問更簡單更安全