准备好拥抱SSL VPN了吗?
公平地讲,企业没有必要现在就立即抛弃所有IPSec VPN设备而以SSL VPN全部替换之,不过现在开始部署SSL VPN并把用户朝这方面迁移还是很有意义的。IPSec VPN和SSL VPN完全可以共存并在功能上互补,这样从一个平台迁移到另一个平台的过程就可以更平稳一些。
就算对那些已经在IPSec VPN上投入大量资金的企业来说,往SSL VPN上迁移也是有充分理由的,因为对于IPSec VPN来说,在每个客户身上所花的技术支持费用要远远超过SSL VPN,而在这方面上节省的资金就足够抵消用于购买新设备的开支了。由于SSL VPN所有的东西都集中在一起,长远来看管理起来更加容易。而且SSL VPN基于客户的浏览器,一旦有策略方面的变动时,客户的下一次连接就能自动适应相应的变动。
还有,在安全性上SSL VPN要胜过IPSec。所有SSL VPN的连接,甚至包括类似IPSec风格的第三层隧道,都要受到相应的访问控制策略的限制,这样管理员就可以限制对某些特定资源的访问,而不像IPSec那样,一旦用户连入后整个网络都暴露在他面前。
以上所评测的所有产品都提供了极为丰富和强大的功能,足以与任何一款IPSec产品相竞争。以上所列的每一款产品都是个不错的选择。随着市场的逐步成熟,我们有越来越多的理由期待SSL VPN成为自己的首选VPN设备。
数据对比
|
产品 |
AEP Networks Netilla 安全平台 |
Array Networks SPX3000 |
Aventail EX-1500 |
F5 Networks FirePass 4100 |
Juniper Networks NetScreen-SA 5000 |
Nokia Secure Access System 3.0 |
|
安全性(权重35%) |
9 |
9 |
8 |
9 |
9 |
8 |
|
软硬件的兼容性和标准支持的程度(权重25%) |
7 |
8 |
9 |
9 |
9 |
8 |
|
可扩展性(权重20%) |
8 |
9 |
8 |
9 |
9 |
8 |
|
操作性(权重10%) |
8 |
7 |
9 |
7 |
8 |
7 |
|
整体功能和价值(权重10%) |
7 |
8 |
8 |
9 |
9 |
8 |
|
总分 |
8.0 |
8.5 |
8.4 |
8.8 |
8.9 |
7.9 |
|
价格(每100个用户/美元) |
$34300 |
$25000 |
$28095 |
$24990 |
$33995 |
$27995 |
|
简评 |
这款产品的认证功能得到了大幅增强,另外还增加了基于Sygate的终端安全检测。在处理基于TCP的瘦客户端应用时采用了与众不同的方式,即通过Tarantella开发的服务器代理软件来中转访问请求。虽然总体上NSP相当不错,但策略控制的粒度还有待改善。 |
Array在该产品中加入了完整的第三层隧道和基于Sygate的终端安全检测支持。而它的一大亮点是有能支持高级内容包括Flash的Web代理,这是其他产品所没有的。也支持虚拟局域网,另外在同一设备上能配置多个虚拟站点。不过人机界面不太容易使用。 |
这款产品在安全远程访问方面可谓相当全能,不过遗憾的是只支持单向TCP和UDP连接,也就是不支持真正的第三层隧道。管理界面很容易操作。另外它的终端安全管理机制在和由WholeSecurity或Zone Labs开发的客户端软件配合使用时是较好的选择。 |
在Web应用、瘦客户端应用和第三层隧道领域FirePass 4100是最强大的一个平台。它支持IPSec终结并内建了不太常见的基于浏览器的远程桌面访问应用,不过遗憾的是它的终端安全检测不支持与第三方检测软件的集成。 |
没有什么是NetScreen-SA 5000做不到的。功能极其丰富并且相应的配置选项极为细致。支持所有标准的访问模式,认证服务也做的很好。而且可以和很多第三方主机检测软件配合。可能该产品最大的不足就在于人机界面提供了太多的管理菜单和选项了。 |
可以很快速地将NSAS配置并运行起来,不过其他操作界面还需要改进。虽然对基于Web的应用的访问支持地不错,但却不能很好地支持基于TCP/IP的瘦客户端应用。有些管理员会觉得编写终端安全检测脚本很麻烦。终端安全检测不支持与第三方检测软件的集成是很大的缺点。 |
