对比顶尖SSL VPN产品
作者:Karen Scarfone, Scarfone Cybersecurity
发布日期:2015年4月28日
安全套接层(SSL)虚拟专用网络(VPN)产品,或称SSL VPN,提供加密隧道以保护流经它们的网络流量。SSL VPN保障通信的机密性和完整性。它们最常用于为终端用户设备(包括台式机、笔记本电脑、智能手机和平板电脑)启用安全的远程访问。对各种用户而言,安全远程访问特定的组织资源可能是一项关键需求,这些用户包括组织员工(使用组织发放或个人拥有的设备,即自带设备(BYOD))、承包商、业务合作伙伴和供应商。
获取SSL VPN产品有几种方式。组织可以购买专用于SSL VPN的独立设备,也可以购买执行多种功能的捆绑设备——例如下一代防火墙(NGFW)或统一威胁管理(UTM)产品——其中SSL VPN功能只是其中之一。对于一些组织来说,另一种选择是将SSL VPN作为虚拟设备购买。无论SSL VPN功能以何种形式提供,其功能和其他主要特性基本相同。
本文重点评估专用的SSL VPN产品:独立设备和虚拟设备。这并不意味着这些产品优于捆绑产品。每种产品,无论其形式如何,都需要根据其自身优点进行评估。如果组织没有充分的理由做出这一决定,仅仅为了拥有专用的SSL VPN产品就简单地忽略现有的捆绑SSL VPN功能是愚蠢的。话虽如此,专用的SSL VPN产品通常与捆绑产品中的相同,因此本文提供的评估也可能与寻求捆绑产品的组织相关。
本文涵盖以下商业SSL VPN产品:Barracuda SSL VPN、Check Point Mobile Access Software Blade、Cisco IOS SSL VPN、Dell SonicWall Secure Remote Access (SRA)、Juniper Networks SA Series(现为Pulse Connect Secure)和OpenVPN Access Server。
这些产品中的每一款都根据以下四个标准进行了评估:VPN客户端软件选项;操作系统(OS)支持;并发用户支持和网络访问控制。考虑采购SSL VPN产品的组织应将此标准作为其整体产品评估过程的一部分。这是因为每个组织都有需要考虑的独特特征,因此本文的发现不应被视为全面或详尽无遗的——它们是一个更大拼图的一部分。
一些商业SSL VPN产品只支持固定数量的用户,而其他产品具有支持更多用户的硬件容量,但允许组织购买数量较少的并发用户许可证。
标准一:VPN客户端软件选项
SSL VPN客户端软件有四种方式:
- 无客户端(仅依赖Web浏览器,无需安装软件)
- 浏览器插件(在浏览器内运行的Java小程序、ActiveX控件)
- 用于桌面和笔记本电脑操作系统的独立可执行文件
- 用于智能手机和平板电脑的移动应用
下表显示了这四种方法在相对客户端部署工作量、资源访问、客户端设备支持和网络访问控制支持方面的主要区别。这些表明没有"最佳"的客户端方法;事实上,每种方法都有显著的权衡。例如,无客户端方法不涉及部署工作,但它也提供最少的资源访问。又如,浏览器插件和独立可执行文件方法不适用于移动设备。并且并非所有方法都提供网络访问控制功能。
表1:四种SSL VPN客户端软件方法
| 无客户端 | 浏览器插件 | 独立可执行文件 | 移动应用 | |
|---|---|---|---|---|
| 客户端部署工作量 | 无 | 较小 | 较大 | 较大 |
| 资源访问 | 网站和基于Web的应用程序 | 几乎所有 | 几乎所有 | 几乎所有 |
| 客户端设备支持 | 所有 | 大多数台式机和笔记本电脑(需要支持的浏览器) | 主要桌面和笔记本电脑操作系统 | 主要移动操作系统 |
| 网络访问控制 | 否 | 是(可能有限) | 是 | 是 |
因此,最终,大多数组织应该寻找的是满足其全部要求的方法或方法组合。所有产品都支持多种方法,如下表所示;但是,请注意,单个组织不太可能需要支持所有四种方法。
表2:顶尖SSL VPN产品支持的客户端方法
| 无客户端 | 浏览器插件 | 独立可执行文件 | 移动应用 | |
|---|---|---|---|---|
| Barracuda SSL VPN | 是 | 是 | 否 | 否 |
| Check Point Mobile Access Software Blade | 是 | 是 | 否 | 是 |
| Cisco IOS SSL VPN | 否 | 是 | 是 | 否 |
| Dell SonicWall Secure Remote Access (SRA) | 是 | 是 | 是 | 是 |
| Jupiter Networks SA Series | 是 | 是 | 否 | 否 |
| OpenVPN Access Server | 否 | 否 | 是 | 是 |
标准二:VPN客户端操作系统支持
上面讨论的第三和第四种SSL VPN客户端方法——独立可执行文件和移动应用——可以被称为"重型"客户端,因为它们需要安装成熟的软件(相对于轻量级浏览器插件)。该软件必然是特定于操作系统的,因此组织需要仔细考虑他们需要SSL VPN客户端支持哪些操作系统。请记住,无客户端和基于浏览器插件的方法将无论操作系统如何都能工作。除了开源的OpenVPN Access Server外,本文涵盖的每种产品都支持无客户端或浏览器插件方法。
因此,在评估SSL VPN产品时,不要只是自动地查看其客户端软件可能支持的特定操作系统。可能有一些真正支持几乎所有操作系统的"轻型"选项(无客户端或浏览器插件)可用。然而,这些轻型产品也可能减少对资源的访问——尤其是无客户端产品——并且有些缺乏网络访问控制,增加了配置错误、受损或其他不合需要的设备能够连接到组织资源的可能性。
假设组织希望使用基于"重型"客户端的方法,评估中第一个也是显而易见的步骤是列出需要支持哪些桌面/笔记本电脑操作系统和移动操作系统。这可能很困难,特别是如果组织允许使用BYOD,或者如果组织允许承包商、业务合作伙伴、供应商和组织外部的其他人使用远程访问。
下表显示了重型客户端提供的操作系统支持。在支持重型客户端的产品中,Dell SonicWall SRA和OpenVPN Access Server产品支持的操作系统种类最多。然而,最终,任何产品提供的重型客户端都无法支持可能使用的每个操作系统的每个版本。因此,请仔细考虑对最常见的操作系统版本使用重型客户端,对不太常见的操作系统使用轻型客户端。
表3:顶尖SSL VPN产品"重型"客户端的操作系统支持
| 独立可执行文件 | 移动应用 | |
|---|---|---|
| Barracuda SSL VPN | 不适用 | 不适用 |
| Check Point Mobile Access Software Blade | 不适用 | iOS, Android |
| Cisco IOS SSL VPN | Windows | 不适用 |
| Dell SonicWall Secure Remote Access (SRA) | Windows, Mac OS X, Linux | iOS, Android, Windows 8.1, Kindle Fire |
| Jupiter Networks SA Series | 不适用 | 不适用 |
| OpenVPN Access Server | Windows, Mac OS X, Linux | iOS, Android |
标准三:并发用户支持
商业SSL VPN产品的许可通常基于VPN的并发用户数量。也有例外,例如可能提供无限可扩展性的虚拟设备,但通常情况如此。一些商业产品只支持固定数量的用户,而另一些则具有支持更多用户的硬件容量,但允许组织购买数量较少的并发用户许可证。
一些供应商提供多种型号的SSL VPN设备。例如,Barracuda SSL VPN有六种硬件设备型号,支持15到1000个并发用户,以及四种虚拟设备型号,支持15到500个并发用户。同样,面向小型组织的Cisco IOS SSL VPN在多种硬件平台上提供10到200个并发用户的支持。
对于中型到大型组织,Juniper Network SA Series(已分拆给Pulse Secure并更名为Pulse Connect Secure)提供三种设备型号,最多可处理10,000个并发用户,以及一个可以支持无限数量的虚拟设备。Dell SonicWall SRA有三种硬件设备型号,支持25到20,000个并发用户,以及一个可以支持多达5,000个并发用户的虚拟设备。
除了这些许可方案,一些产品(如Juniper Networks SA Series)还提供激增许可,这意味着并发用户数量可以在紧急情况下暂时增加;例如,在自然灾害期间的一周内。激增许可也可以正常购买并立即配置,这使其成为灾难恢复和应急计划的理想辅助——前提是SSL VPN硬件足够强大,能够支持那么多并发用户。
OpenVPN Access Server遵循与本文中其他产品显著不同的许可模式。没有可用的硬件设备;所有OpenVPN Access Server服务器都是虚拟的。这个虚拟服务器组件可以免费下载,但拥有至少10个用户的组织必须为每个并发用户支付年度许可费。截至本文撰写时,可以以每年不到100美元的价格购买一个10用户并发许可证。另一方面,并发用户似乎没有最大限制,尽管——显然——服务器部署到的硬件将在某个点有效限制并发使用。
总的来说,对于特定组织来说,哪种许可模式最好没有正确答案。较小的组织可能对几乎任何产品都感兴趣,而较大的组织可能会倾向于支持大规模企业的产品,例如Dell SonicWall SRA、Juniper Network SA Series和OpenVPN Access Server。
标准四:网络访问控制
SSL VPN产品评估的最后一个标准是对网络访问控制的支持。这指的是涉及检查客户端设备特征以确认其符合组织安全策略的各种功能。示例包括验证当前防病毒软件的存在以及验证客户端数字证书。
大多数产品——即使是那些只有轻型客户端的产品,例如Barracuda SSL VPN——确实至少提供了一些网络访问控制支持。供应商通常不愿详细说明其网络访问控制产品的工作原理;其中许多产品在不同操作系统上的工作方式可能有很大不同。因此,建议作为任何评估的一部分,首先识别相关的桌面/笔记本电脑和移动操作系统版本,然后咨询供应商,了解产品在每个平台上支持哪些网络访问控制功能——系统健康检查。
一个强大的网络访问控制支持的例子是Dell SonicWall SRA产品。它可以验证移动设备是否已被越狱或Root;检查各种安全控制是否已正确安装和配置;并检查客户端证书和标识符以确保设备本身被授权用于企业远程访问。其他宣传支持网络访问控制的产品包括Cisco IOS SSL VPN和Juniper Networks SA Series。
结论
本文涵盖的SSL VPN中没有明显的领先者。在很大程度上取决于个体实体在客户端软件支持和操作系统支持、并发用户许可以及网络访问控制方面的需求。
例如,允许BYOD的企业可能确定绝对需要网络访问控制,以确保其远程访问客户端具备一定程度的安全性。在这种情况下,它可能倾向于选择提供特别严格的网络访问控制的产品,例如Dell SonicWall SRA和Juniper Networks SA Series。同时,不允许BYOD的组织可能会发现网络访问控制对于这些设备来说是多余的。
对于较小的公司,所有这些产品都提供了某种可接受的解决方案。Cisco IOS SSL VPN最适合那些已经为其移动设备配备了其他安全产品的组织;例如,移动设备管理系统。Check Point Mobile Access Software Blade适合那些已经部署了Check Point安全产品的组织。其他产品因其提供的资源访问、支持的客户端设备范围以及提供网络访问功能的能力,非常适合各种中小型组织。
对于大型实体(数千个并发用户),一定要考虑Dell SonicWall SRA和Juniper Networks SA Series,Check Point Mobile Access Software Blade和OpenVPN Access Server紧随其后。
后续步骤
- 了解如何缓解云中的VPN安全问题。
- 学习如何为移动员工预防VPN安全风险。