SSL VPN产品,即安全套接层虚拟专用网络,为流经其中的网络流量提供加密隧道保护。SSL VPN保障通信的机密性和完整性,最常用于为终端用户设备(包括台式机、笔记本电脑、智能手机和平板电脑)提供安全的远程访问。对各种用户(包括企业员工、承包商、业务伙伴和供应商)而言,安全地远程访问特定的组织资源可能是关键需求。
SSL VPN产品有几种获取方式。组织可以购买功能单一的独立SSL VPN设备,也可以购买捆绑设备(如下一代防火墙或统一威胁管理产品),这些设备执行多种功能,SSL VPN能力只是其中之一。对于某些组织,另一种选择是购买虚拟设备形式的SSL VPN。无论SSL VPN能力以何种形式存在,其功能和其他主要特征基本相同。
本文重点评估专用SSL VPN产品:独立设备和虚拟设备。这并不意味着它们优于捆绑产品。每种产品,无论其形式如何,都需要根据其自身优点进行评估。组织如果没有充分的理由做出此决定,仅仅为了拥有专用SSL VPN产品而忽略现有的捆绑SSL VPN能力是愚蠢的。尽管如此,专用SSL VPN产品通常与捆绑产品中的相同,因此本文提供的评估也可能与寻求捆绑产品的组织相关。
本文涵盖以下商业SSL VPN产品:Barracuda SSL VPN、Check Point Mobile Access Software Blade、Cisco IOS SSL VPN、Dell SonicWall Secure Remote Access、Juniper Networks SA Series 以及 OpenVPN Access Server。
其中每一项都根据以下四个标准进行了评估:VPN客户端软件选项、操作系统支持、并发用户支持和网络访问控制。考虑采购SSL VPN产品的组织应将这些标准作为其整体产品评估过程的一部分。这是因为每个组织都有需要考虑的独特特征,因此本文的发现不应被认为是全面或详尽的——它们只是更大拼图的一部分。
标准一:VPN客户端软件选项 SSL VPN客户端软件有四种方法:
- 客户端无代理(完全依赖Web浏览器,无需安装软件)
- 浏览器插件(在浏览器内运行的Java小程序、ActiveX控件)
- 适用于桌面和笔记本电脑操作系统的独立可执行程序
- 适用于智能手机和平板电脑的移动应用
表1:SSL VPN客户端软件四种方法对比
| 特性 | 客户端无代理 | 浏览器插件 | 独立可执行程序 | 移动应用 |
|---|---|---|---|---|
| 客户端部署工作量 | 无 | 较少 | 较多 | 较多 |
| 资源访问 | 网站和基于Web的应用程序 | 几乎所有 | 几乎所有 | 几乎所有 |
| 客户端设备支持 | 所有 | 大多数台式机和笔记本电脑(需要受支持的浏览器) | 主流桌面和笔记本电脑操作系统 | 主流移动操作系统 |
| 网络访问控制 | 否 | 是(可能有限) | 是 | 是 |
最终,大多数组织应该寻找的是能满足其全部需求的一种或多种方法组合。所有产品都支持多种方法,如下表所示;但请注意,单个组织不太可能需要支持所有四种方法。
表2:主流SSL VPN产品支持的客户端方法
| 产品 | 客户端无代理 | 浏览器插件 | 独立可执行程序 | 移动应用 |
|---|---|---|---|---|
| Barracuda SSL VPN | 是 | 是 | 否 | 否 |
| Check Point Mobile Access Software Blade | 是 | 是 | 否 | 是 |
| Cisco IOS SSL VPN | 否 | 是 | 是 | 否 |
| Dell SonicWall Secure Remote Access | 是 | 是 | 是 | 是 |
| Juniper Networks SA Series | 是 | 是 | 否 | 否 |
| OpenVPN Access Server | 否 | 否 | 是 | 是 |
标准二:VPN客户端操作系统支持 上述第三和第四种SSL VPN客户端方法(独立可执行程序和移动应用)可称为"重型"客户端,因为它们需要安装成熟的软件。该软件必然是操作系统特定的,因此组织需要仔细考虑需要SSL VPN客户端支持哪些操作系统。请记住,客户端无代理和基于浏览器插件的方法不受操作系统影响。除了开源的OpenVPN Access Server,本文涵盖的每种产品都支持客户端无代理或浏览器插件方法。
因此,在评估SSL VPN产品时,不要只是自动查看其客户端软件可能支持的具体操作系统。可能会有可用的"轻型"选项,这些选项确实支持几乎所有操作系统。但是,这些轻型产品也可能减少对资源的访问(尤其是客户端无代理产品),并且有些缺乏网络访问控制,增加了错误配置、受损或其他不良设备能够连接到组织资源的可能性。
假设组织希望使用基于"重型"客户端的方法,评估的第一步显然是记录需要支持哪些桌面/笔记本电脑操作系统和移动操作系统。这可能很困难,特别是如果组织允许使用BYOD,或者允许组织外部的承包商、业务伙伴、供应商等使用远程访问。
下表显示了重型客户端提供的操作系统支持。在支持重型客户端的产品中,Dell SonicWall SRA和OpenVPN Access Server产品支持的操作系统种类最多。然而,最终任何产品提供的重型客户端都无法支持可能使用的每种操作系统的每个版本。因此,请仔细考虑对最常见版本使用重型客户端,对不太常见的操作系统使用轻型客户端。
表3:主流SSL VPN"重型"客户端的操作系统支持
| 产品 | 独立可执行程序 | 移动应用 |
|---|---|---|
| Barracuda SSL VPN | 不适用 | 不适用 |
| Check Point Mobile Access Software Blade | 不适用 | iOS、Android |
| Cisco IOS SSL VPN | Windows | 不适用 |
| Dell SonicWall Secure Remote Access | Windows、Mac OS X、Linux | iOS、Android、Windows 8.1、Kindle Fire |
| Juniper Networks SA Series | 不适用 | 不适用 |
| OpenVPN Access Server | Windows、Mac OS X、Linux | iOS、Android |
标准三:并发用户支持 商业SSL VPN产品的许可通常基于VPN的并发用户数量。虽然存在例外(例如可能提供无限可扩展性的虚拟设备),但通常情况如此。一些商业产品仅支持固定数量的用户,而另一些产品具有支持更多用户的硬件容量,但允许组织购买较少数量的并发用户许可证。
一些供应商提供多种型号的SSL VPN设备。例如,Barracuda SSL VPN有六种硬件设备型号,支持15到1000个并发用户,以及四种虚拟设备型号,支持15到500个并发用户。同样,面向小型组织的Cisco IOS SSL VPN在各种硬件平台上提供10到200个并发用户的支持。
对于中型到大型组织,Juniper Network SA Series(现已分拆为Pulse Secure并更名为Pulse Connect Secure)提供三种设备型号,最多可处理10,000个并发用户,以及一个可以支持无限数量的虚拟设备。Dell SonicWall SRA有三种硬件设备型号,支持25到20,000个并发用户,以及一个最多可支持5,000个的虚拟设备。
除了这些许可方案外,一些产品还提供激增许可,这意味着在紧急情况下可以临时增加并发用户数量;例如,在自然灾害期间的一周内。激增许可通常也可以购买并立即配置,这使其成为灾难恢复和应急计划的理想帮助——前提是SSL VPN硬件足够强大,能够支持那么多并发用户。
OpenVPN Access Server遵循与此处其他产品显著不同的许可模式。没有可用的硬件设备;所有OpenVPN Access Server服务器都是虚拟的。此虚拟服务器组件可以免费下载,但拥有至少10个用户的组织必须为每个并发用户支付年度许可费。截至撰写本文时,可以以每年不到100美元的价格购买10个用户并发许可。另一方面,并发用户似乎没有上限,尽管显然,部署服务器的硬件将在某个点有效限制同时使用。
总的来说,对于特定的组织,哪种许可模式最好没有正确答案。较小的组织可能对几乎任何产品都感兴趣,而较大的组织可能倾向于支持大型企业的产品,例如Dell SonicWall SRA、Juniper Network SA Series 和 OpenVPN Access Server。
标准四:网络访问控制 SSL VPN产品评估的最后一个标准是网络访问控制支持。这涉及检查客户端设备特征以确认其是否符合组织安全策略的各种功能。示例包括验证是否存在当前的防病毒软件以及验证客户端数字证书。
大多数产品(即使是那些只有轻型客户端的产品,例如Barracuda SSL VPN)都至少提供某种程度的网络访问控制支持。供应商通常不愿详细说明其网络访问控制产品的工作原理;其中许多可能在不同操作系统上的工作方式有很大不同。因此建议,作为任何评估的一部分,首先识别相关的桌面/笔记本电脑和移动操作系统版本,然后咨询供应商,了解产品在每个平台上支持哪些网络访问控制功能。
一个网络访问控制支持强大的例子是Dell SonicWall SRA产品。它可以验证移动设备是否已被越狱或获取Root权限;检查各种安全控制是否已正确安装和配置;并检查客户端证书和标识符以确保设备本身被授权用于企业远程访问。其他宣传支持网络访问控制的产品包括Cisco IOS SSL VPN 和 Juniper Networks SA Series。
结论 本文涵盖的SSL VPN中没有明显的领先者。这在很大程度上取决于单个实体在客户端软件支持、操作系统支持、并发用户许可和网络访问控制方面的需求。
例如,允许BYOD的企业可能会确定其绝对需要网络访问控制,以确保其远程访问客户端具有某种程度的安全性。在这种情况下,它可能倾向于提供特别严格网络访问控制的产品,例如Dell SonicWall SRA和Juniper Networks SA Series。同时,不允许BYOD的组织可能会发现网络访问控制对于这些设备是多余的。
对于较小的公司,所有这些产品都提供了某种可接受的解决方案。Cisco IOS SSL VPN最适合已经为其移动设备部署了其他安全产品的组织;例如,移动设备管理系统。Check Point Mobile Access Software Blade适合那些已经部署了Check Point安全产品的组织。其他产品因其授予的资源访问权限、支持的客户端设备范围以及提供网络访问功能的能力,非常适合各种中小型组织。
对于大型实体,请务必考虑Dell SonicWall SRA和Juniper Networks SA Series,其次是Check Point Mobile Access Software Blade和OpenVPN Access Server。