在前一篇文章中我們測試了F5 Networks公司的FirePass 4100，Juniper Networks公司的NetScreen-SA 5000作為本篇文章測試的對象，目前該產(chǎn)品的軟件版本為4.2，雖然人機界面還需要組織地更好一些，但總體來看，該產(chǎn)品已經(jīng)被證明是足夠靈活和安全的。

遠程用戶的認(rèn)證方式包括活動目錄、LDAP、RADIUS、Netegrity、數(shù)字證書和本地數(shù)據(jù)庫，每個認(rèn)證域都可以有多個認(rèn)證服務(wù)器。已通過認(rèn)證的用戶由用戶角色(User role)映射到相應(yīng)的組里，這些組不但定義了用戶遠程訪問的不同形式，同時還定義了與會話相關(guān)的具體細節(jié)，如發(fā)呆超時和會話持續(xù)性。舉個例子，管理員可以創(chuàng)建兩個不同的角色，其中一個可以訪問Web、Windows文件共享和終端服務(wù)，而另一個角色則只有Web訪問的權(quán)限。

NetScreen-SA 5000支持所有標(biāo)準(zhǔn)的遠程訪問方式，包括Web應(yīng)用、基于TCP的應(yīng)用、第三層隧道。對于Web應(yīng)用，管理員所能定義的訪問策略其粒度之細令人咂舌，各種細節(jié)都有相應(yīng)的設(shè)置，從緩存策略到HTML重寫到壓縮等等。雖然看起來好像挺復(fù)雜，但實際上定義一個Web策略相當(dāng)簡單。另外基于Web的Windows和Unix文件共享以及Telnet支持也都包含在內(nèi)。

對基于TCP的應(yīng)用的訪問請求會由所謂的安全訪問管理(SAM)軟件來轉(zhuǎn)發(fā)，該軟件有Windows版和Java版，并且能夠根據(jù)用戶角色來配置決定是否需要自動啟動。

第三層隧道由名為Network Connect的軟件來處理，該軟件只有Windows版，在客戶機上安裝后會生成一個虛擬PPP適配器，管理員可以從一個內(nèi)部DHCP池中為Network Connect客戶分配IP地址。全隧道和半隧道模式同時支持，另外還能自定義DNS設(shè)置。對于隧道，NetScreen-SA 5000提供給管理員的訪問控制選項不如其他服務(wù)那么豐富，但相比IPSec VPN肯定還是好多了。Juniper表示在下一個軟件主發(fā)行版中Network Connect將支持Mac OS X和Linux。

SA-5000的終端安全檢測機制叫做Juniper終端防御計劃(JEDI)，它能支持InfoExpress、McAfee、Sygate、和Zone Labs等客戶端軟件。唯一不足的是JEDI只有Windows版。

管理界面第一眼看上去有點亂，因為提供的選項實在太多了，所以我們也不能要求太多，實際使用中一些上下文相關(guān)的鏈接可以幫助使用者很快找到相應(yīng)功能。SA-5000有一流的日志和報表功能，包括實時使用情況圖表等。

在本次評測的所有產(chǎn)品中，只有NetScreen-SA 5000和FirePass 4100兩款符合FIPS 140標(biāo)準(zhǔn)，另外NetScreen-SA 5000支持8個節(jié)點的集群，以主動/被動(Active-Passive)模式保障服務(wù)的高可靠性。目前還不支持虛擬局域網(wǎng)，不過Juniper表示這項功能正在開發(fā)之中。
 

【編輯推薦】

1. 企業(yè)VPN應(yīng)用簡單概要
2. 簡析三種VPN服務(wù)類型
3. 簡析三種VPN部署模式
4. 八種企業(yè)使用VPN的優(yōu)勢
5. 哪些用戶適合采用VPN進行網(wǎng)絡(luò)連接