顶级SSL VPN产品全面对比
专家Karen Scarfone对当前主流SSL VPN产品进行技术评估,帮助企业确定最适合自身需求的选择。
技术概述
安全套接层(SSL)虚拟专用网络(VPN)产品通过加密隧道保护传输的网络流量,确保通信的机密性和完整性。这些产品主要用于为终端设备(包括台式机、笔记本电脑、智能手机和平板电脑)提供安全远程访问。各类用户(包括企业员工、承包商、业务伙伴和供应商)都可能需要安全访问特定组织资源。
产品获取方式
企业可通过三种方式获取SSL VPN产品:
- 独立设备:专用于SSL VPN功能的独立硬件设备
- 捆绑设备:集成在下一代防火墙(NGFW)或统一威胁管理(UTM)等多功能设备中
- 虚拟设备:以虚拟化形式部署的SSL VPN解决方案
评估标准
本文重点评估以下六款商业SSL VPN产品:
- Barracuda SSL VPN
- Check Point Mobile Access Software Blade
- Cisco IOS SSL VPN
- Dell SonicWall Secure Remote Access (SRA)
- Juniper Networks SA系列(现更名为Pulse Connect Secure)
- OpenVPN Access Server
评估基于四个关键技术标准:VPN客户端软件选项、操作系统支持、并发用户支持和网络访问控制。
标准一:VPN客户端软件选项
SSL VPN客户端软件分为四种技术实现方式:
| 特性 | 无客户端 | 浏览器插件 | 独立可执行程序 | 移动应用 |
|---|---|---|---|---|
| 部署工作量 | 无 | 较小 | 较大 | 较大 |
| 资源访问 | 网站和Web应用 | 几乎所有资源 | 几乎所有资源 | 几乎所有资源 |
| 设备支持 | 所有设备 | 多数桌面/笔记本设备 | 主流桌面/笔记本系统 | 主流移动系统 |
| 网络访问控制 | 不支持 | 支持(可能有限制) | 支持 | 支持 |
各产品支持情况对比:
| 产品 | 无客户端 | 浏览器插件 | 独立可执行程序 | 移动应用 |
|---|---|---|---|---|
| Barracuda SSL VPN | 是 | 是 | 否 | 否 |
| Check Point Mobile Access | 是 | 是 | 否 | 是 |
| Cisco IOS SSL VPN | 否 | 是 | 是 | 否 |
| Dell SonicWall SRA | 是 | 是 | 是 | 是 |
| Juniper SA系列 | 是 | 是 | 否 | 否 |
| OpenVPN Access Server | 否 | 否 | 是 | 是 |
标准二:VPN客户端操作系统支持
“重量级"客户端(独立可执行程序和移动应用)需要安装完整软件,必须考虑操作系统兼容性:
| 产品 | 独立可执行程序支持 | 移动应用支持 |
|---|---|---|
| Barracuda SSL VPN | 不适用 | 不适用 |
| Check Point Mobile Access | 不适用 | iOS, Android |
| Cisco IOS SSL VPN | Windows | 不适用 |
| Dell SonicWall SRA | Windows, Mac OS X, Linux | iOS, Android, Windows 8.1, Kindle Fire |
| Juniper SA系列 | 不适用 | 不适用 |
| OpenVPN Access Server | Windows, Mac OS X, Linux | iOS, Android |
标准三:并发用户支持
商业SSL VPN产品通常基于并发用户数进行许可授权:
- Barracuda SSL VPN:6款硬件设备型号(支持15-1000并发用户),4款虚拟设备型号(支持15-500并发用户)
- Cisco IOS SSL VPN:面向小型组织,支持10-200并发用户
- Juniper SA系列:3款设备型号(支持最多10,000并发用户),虚拟设备支持无限制用户数
- Dell SonicWall SRA:3款硬件型号(支持25-20,000并发用户),虚拟设备支持最多5,000用户
- OpenVPN Access Server:采用不同许可模式,10用户并发许可年费低于100美元,无最大用户数限制(受硬件性能制约)
部分产品(如Juniper SA系列)提供激增许可,可在紧急情况下临时增加并发用户数。
标准四:网络访问控制
网络访问控制功能检查客户端设备特征以确保符合组织安全策略,包括验证防病毒软件状态和客户端数字证书等。
多数产品都提供某种程度的网络访问控制支持,但实现方式因操作系统而异。Dell SonicWall SRA提供最全面的支持,包括检测越狱/root设备、验证安全控制配置、检查客户端证书等。
技术选型建议
没有单一产品在所有场景中表现最优,选择取决于组织的具体需求:
- 允许BYOD的企业:需要强大的网络访问控制,推荐Dell SonicWall SRA和Juniper SA系列
- 小型企业:所有产品都提供可行方案,Cisco IOS SSL VPN适合已有移动设备安全管理方案的组织
- 大型组织(数千并发用户):优先考虑Dell SonicWall SRA和Juniper SA系列,其次是Check Point和OpenVPN方案
结论
SSL VPN产品选择需要综合考虑客户端软件支持、操作系统兼容性、并发用户许可模式和网络访问控制需求。建议企业在评估过程中首先明确自身的技术要求和用户场景,然后基于这些标准进行产品比较。