教你如何评测SSL VPN 选择高性价产品

SSL VPN产品的诞生主要是为了满足企业远程接入的需求,经过数年的快速发展,现在SSL VPN产品已经在各行各业中得到了越来越多的应用。

与传统VPN的实现方式不同,SSL VPN是基于应用层的VPN技术,较之前辈IPSec VPN、PPTP VPN等有着部署简单、应用方便、更安全、控制性更强、扩展性更灵活、性价比更高、维护成本更低等诸多天然的优势,因此也快速的成为了市场的主导。

良好的行业前景也吸引了众多的厂商参与竞争,面对品类众多、型号各异的产品,用户应该如何挑选,才能选中适合自己的高性价产品呢?

一般来说,考察一款SSL VPN产品需要从产品的功能、性能、稳定性以及安全性等几个方面来进行测试。

功能测试–细节决定成败

1、是否有七层页面改写技术

七层页面改写技术(WRM)是一项新技术,旨在把Web应用生成的几乎所有URL都统一成指向一个安全入口点的URL。这样就实现了Web资源在应用层上的网络地址转换,使得多个应用服务器被保护在一个统一的安全网络入口点。Web内容被动态地映射成安全URL后,就可以很安全的被用户从远程访问。只有通过Web资源映射技术,SSL VPN才能发挥其无客户端,真正的实现在任何设备、任何地点、任何时间安全接入的最大优势。

在SSL VPN领域专注多年的Array Networks就在这方面有着前沿的研究与探索,但对于一般SSL VPN厂商来说WRM确是一个巨大的技术挑战,因为Web技术日新月异,必须要求SSL VPN厂商有足够的研发实力和对Web技术多年的沉淀,而这对于从网络层IPsec VPN转型为应用层SSL VPN的厂商来说更是一个难以逾越的技术鸿沟。因此这也成为了区分SSL VPN厂商实力的一个分水岭。

2、L3接入功能的兼容性如何

对于SSL VPN中相对简单的三层(L3)接入功能来说,目前市场上很多中低端厂商只能支持传统的Windows操作系统和IE浏览器,而Array Networks却早早的就完全支持了Linux、MacOS、Windows Mobile/CE等操作系统,而且也是业界第一个支持最近刚刚上市的Windows 7操作系统的SSL VPN厂商,在浏览器方面,则支持IE、火狐等几乎所有市场上主流的浏览器。

3、虚拟站点功能是否完善

Array SSL VPN安全网关通过一个或多个虚拟站点实现对内部资源的安全访问。一个虚拟站点对应于一个访问接口。每个站点都与一个域名相关联并且绑定在一个IP和端口上。客户端的请求会被发到虚拟站点上,而不是直接发到内部服务器上,从而有效的保护了内部网络。每个虚拟站点都可以有自己单独的配置,包括SSL配置, Desktop Direct配置以及用户会话管理。这样,就为不同等级的用户访问提供了不同的Access Portal,具有极大的灵活性。

4、是否有权威国际认证

是否具有权威性和公信力的国际认证是一款SSL VPN产品质量优秀与否的有力证明。Array SSL VPN卓越的品质在赢取良好市场业绩的同时,也得到了国际权威机构的认可,是首批获得ICSA Labs 3.0新标准认证的产品之一ICSA 它的前身是国际计算机安全联盟(International Computer Security Association,ICSA),目前是TruSecure公司的独立下属单位。

ICSA实验室的SSL-TLS VPN认证是一种独立而全面的认证程序,对厂商SSL-TLS VPN产品在一种模拟的真实环境中进行严格的测试、评估和验证。新的3.0标准对产品功能、安全性和加密要求做出了严格的调整,而用户在购买这种通过新认证的产品后,就可充分利用新增的安全增强性能。

Array SSL VPN获得ICSA Labs 3.0新标准的认证,这充分证明了Array Networks在安全访问技术领域的领先地位,产品完全能够提供高端安全访问保证。

性能测试–用数据说话

性能表现是所有网络设备极其重要的一个方面,SSL VPN安全网关的性能参数中,以最大并发用户数和设备的实际吞吐量(Goodput)最为重要。

在性能测试方面,一般大中型项目中都会采用思博伦通信公司的Avalanche 进行测试。只有通过专业性能测试仪器的考验,才能让不同的SSL VPN设备现出它的原形!

下面我们介绍一下在项目测试中最常遇到的最大并发数和实际吞吐量这两个参数的测试方法,在每项性能指标测试中,都模拟了真实环境中的一系列用户动作,即从用户登录SSL VPN网关到执行各类请求,再到退出,涵括了所有的过程。

测试指标1:最大并发用户数

a.指标含义:设备可以同时支持的最大用户连接数,也即同时通过SSL VPN 来访问内部网的最大用户数目。
b.测试步骤:第一步,32秒内压力从0 Simusers/秒上升到新建速率的80%;第二步,维持第一步的最高压力300秒;第三步,20秒内将压力降为0,测试结束。
c.用户动作:测试仪模拟的用户,在登录以后取一个1024Byte的文件,该文件的延迟(文件的延迟时间为用户从发起请求到测试仪器响应用户的时间)为0秒,之后重复取一个延迟为60秒的文件10次,即一个用户至少10分钟后才会退出。
d.结果衡量:把用户成功取得没有延迟的文件数目作为最大并发用户数(因为每个成功登录的用户都会取得该文件,并且在测试时间内不会退出而形成与所有其他用户的并发)。
测试结果表明,Array SSL VPN最高并发数达到64,000,遥遥领先于市场上其它SSL VPN产品。

测试指标2:实际吞吐量(Goodput)
a.指标含义:实际吞吐量也称为设备转发速率,它指的是SSL VPN网关最快可以在每秒钟内转发多少数据流量。
b.测试步骤:第一步,在32秒内压力从0 Simusers上升到N Simusers;第二步,维持第一步的最高压力120秒;第三步,20秒内将压力降为0,测试结束。
c.用户动作:测试仪模拟的用户,在登录以后从一个模拟的Web服务器取一个1MByte的文件,然后从另外一个Web服务器取一个1Mbyte的文件,交替此过程10遍,一共从服务器取20Mbyte数据,然后退出。
d.结果衡量:在第二步维持120秒的后60秒,将用户从测试仪模拟的Web服务器取得的数据流量进行平均,得出设备的实际吞吐量。

测试结果表明,Array SSL VPN近1G线速的SSL吞吐量,令其他竞争对手望尘莫及。

除了功能领先、性能优越外,Array SSL VPN安全网关在稳定性和安全性方面也是其它SSL VPN产品难以比拟的。比如,Array SSL VPN修改配置后即可即时生效,而有些中低端厂商的产品还停留在需要再次重启设备的阶段;再比如Array Networks独有的连接维持技术,即使客户端从有线网络切换到无限网络,客户的连接也不会中断,而这对其它一些厂商来讲无疑是天方夜谭。

总之,现在的SSL VPN市场,产品种类繁多,质量鱼龙混杂,用户在购买之前一定要详细的进行了解、评测和对比,才能挑选到功能领先、性能优越、稳定性强、高性价比的产品。也只有做到先评先看后选,才能真正做到"明智之选"。