顶级SSL VPN产品对比
专家Karen Scarfone研究了当前可用的顶级SSL VPN产品,帮助企业确定哪种选项最适合他们的需求。
安全套接层(SSL)虚拟专用网络(VPN)产品,即SSL VPN,提供加密隧道来保护通过它们的网络流量。SSL VPN支持通信的机密性和完整性。它们最常用于为终端用户设备(包括台式机、笔记本电脑、智能手机和平板电脑)实现安全的远程访问。对各种用户而言,对选定组织资源的安全远程访问可能至关重要,这些用户包括组织员工(使用组织发放或个人拥有的设备,即自带设备BYOD)、承包商、业务合作伙伴和供应商。
有几种获取SSL VPN产品的方式。组织可以购买仅用于SSL VPN的独立设备,或购买执行多种功能的捆绑设备——例如下一代防火墙(NGFW)或统一威胁管理(UTM)产品——其中SSL VPN功能只是其中之一。对于一些组织来说,另一个选择是购买虚拟设备形式的SSL VPN。无论SSL VPN功能以何种形式出现,其功能和其他主要特性基本相同。
本文重点评估专用的SSL VPN产品:独立设备和虚拟设备。这并不意味着它们优于捆绑产品。每种产品,无论其形式如何,都需要根据其自身优点进行评估。如果组织没有充分的理由做出这一决定,仅仅为了拥有专用的SSL VPN产品而忽略现有的捆绑SSL VPN功能是愚蠢的。话虽如此,专用的SSL VPN产品通常与捆绑在其他产品中的产品相同,因此本文提出的评估也可能与寻求捆绑产品的组织相关。
本文涵盖以下商业SSL VPN产品:Barracuda SSL VPN、Check Point Mobile Access Software Blade、Cisco IOS SSL VPN、Dell SonicWall Secure Remote Access (SRA)、Juniper Networks SA Series(现为Pulse Connect Secure)和OpenVPN Access Server。
这些产品中的每一个都根据一套四项标准进行了评估:VPN客户端软件选项;操作系统(OS)支持;并发用户支持和网络访问控制。考虑采购SSL VPN产品的组织应将这些标准作为其整体产品评估过程的一部分。这是因为每个组织都有需要考虑的独特特征,因此本文的研究结果不应被视为全面或详尽无遗——它们只是更大拼图的一部分。
标准一:VPN客户端软件选项
SSL VPN客户端软件有四种方法:
- 无客户端(仅依赖Web浏览器,无需安装软件)
- 浏览器插件(在浏览器内运行的Java小程序、ActiveX控件)
- 用于台式机和笔记本电脑操作系统的独立可执行文件
- 用于智能手机和平板电脑的移动应用程序
下表显示了这四种方法在相对客户端部署工作量、资源访问、客户端设备支持和网络访问控制支持方面的主要差异。这些表明没有"最佳"的客户端方法;事实上,每种方法都有显著的权衡。例如,无客户端方法不涉及部署工作,但它也只能访问最少的资源。再比如,浏览器插件和独立可执行文件方法不适用于移动设备。并且并非所有方法都提供网络访问控制功能。
表1:SSL VPN客户端软件的四种方法
| 无客户端 | 浏览器插件 | 独立可执行文件 | 移动应用程序 | |
|---|---|---|---|---|
| 客户端部署工作量 | 无 | 轻微 | 重大 | 重大 |
| 资源访问 | 网站和基于Web的应用程序 | 几乎所有 | 几乎所有 | 几乎所有 |
| 客户端设备支持 | 全部 | 大多数台式机和笔记本电脑(需要支持的浏览器) | 主要的台式机和笔记本电脑操作系统 | 主要的移动操作系统 |
| 网络访问控制 | 否 | 是(可能有限) | 是 | 是 |
因此,最终,大多数组织应该寻找的是满足其全部要求的方法或方法组合。所有产品都支持多种方法,如下表所示;但是,请注意,单个组织不太可能需要支持所有四种方法。
表2:顶级SSL VPN产品支持的客户端方法
| 无客户端 | 浏览器插件 | 独立可执行文件 | 移动应用程序 | |
|---|---|---|---|---|
| Barracuda SSL VPN | 是 | 是 | 否 | 否 |
| Check Point Mobile Access Software Blade | 是 | 是 | 否 | 是 |
| Cisco IOS SSL VPN | 否 | 是 | 是 | 否 |
| Dell SonicWall Secure Remote Access (SRA) | 是 | 是 | 是 | 是 |
| Jupiter Networks SA Series | 是 | 是 | 否 | 否 |
| OpenVPN Access Server | 否 | 否 | 是 | 是 |
标准二:VPN客户端操作系统支持
上面讨论的第三和第四种SSL VPN客户端方法——独立可执行文件和移动应用程序——可以被称为"重型"客户端,因为它们需要安装成熟的软件(与轻量级浏览器插件相对)。这种软件必然是特定于操作系统的,因此组织需要仔细考虑他们需要SSL VPN客户端支持哪些操作系统。请记住,无客户端和基于浏览器插件的方法无论操作系统如何都能工作。除了开源的OpenVPN Access Server,本文涵盖的每种产品都支持无客户端或浏览器插件方法。
因此,在评估SSL VPN产品时,不要只是自动查看其客户端软件可能支持的特定操作系统。可能有可用的"轻量级"选项(无客户端或浏览器插件)真正支持几乎所有操作系统。然而,这些轻量级产品也可能减少对资源的访问——尤其是无客户端产品——并且一些产品缺乏网络访问控制,增加了配置错误、受损或其他不良设备能够连接到组织资源的可能性。
假设组织希望使用基于"重型"客户端的方法,评估的第一个明显步骤是列出需要支持的台式机/笔记本电脑操作系统和移动操作系统。这可能很困难,特别是如果组织允许使用BYOD,或者如果组织允许承包商、业务合作伙伴、供应商和组织外部的其他人使用远程访问。
下表显示了重型客户端提供的操作系统支持。在支持重型客户端的产品中,Dell SonicWall SRA和OpenVPN Access Server产品支持最多样化的操作系统。然而,最终,任何产品提供的重型客户端都无法支持可能使用的每个操作系统的每个版本。因此,请仔细考虑对最常见的版本使用重型客户端,对不太常见的操作系统使用轻量级客户端。
表3:顶级SSL VPN"重型"客户端的操作系统支持
| 独立可执行文件 | 移动应用程序 | |
|---|---|---|
| Barracuda SSL VPN | 不适用 | 不适用 |
| Check Point Mobile Access Software Blade | 不适用 | iOS, Android |
| Cisco IOS SSL VPN | Windows | 不适用 |
| Dell SonicWall Secure Remote Access (SRA) | Windows, Mac OS X, Linux | iOS, Android, Windows 8.1, Kindle Fire |
| Jupiter Networks SA Series | 不适用 | 不适用 |
| OpenVPN Access Server | Windows, Mac OS X, Linux | iOS, Android |
标准三:并发用户支持
商业SSL VPN产品的许可通常基于VPN的并发用户数量。也有例外,例如可能提供无限可扩展性的虚拟设备,但通常情况如此。一些商业产品仅支持固定数量的用户,而其他产品具有支持更多用户的硬件容量,但允许组织购买较少数量的并发用户许可证。
一些供应商提供多种型号的SSL VPN设备。例如,Barracuda SSL VPN有六种硬件设备型号,支持15到1000个并发用户,以及四种虚拟设备型号,支持15到500个并发用户。同样,面向小型组织的Cisco IOS SSL VPN在各种硬件平台上提供10到200个并发用户的支持。
对于中型到大型组织,Juniper Network SA Series(已分拆给Pulse Secure并更名为Pulse Connect Secure)提供三种处理高达10,000个并发用户的设备型号,以及一个可以支持无限数量的虚拟设备。Dell SonicWall SRA有三种硬件设备型号,支持25到20,000个并发用户,以及一个可以支持高达5,000个用户的虚拟设备。
除了这些许可方案外,一些产品,如Juniper Networks SA Series,提供激增许可,这意味着在紧急情况下可以暂时增加并发用户的数量;例如,在自然灾害期间持续一周。激增许可通常也可以购买并立即配置,这使其成为灾难恢复和应急计划的理想辅助——假设SSL VPN硬件足够强大以支持那么多并发用户。
OpenVPN Access Server遵循与本文中其他产品显著不同的许可模式。没有可用的硬件设备;所有OpenVPN Access Server服务器都是虚拟的。这个虚拟服务器组件可以免费下载,但拥有至少10个用户的组织必须为每个并发用户支付年度许可费。截至本文撰写时,可以以每年低于100美元的价格购买10个用户的并发许可。另一方面,并发用户似乎没有最大限制,尽管——显然——服务器部署到的硬件将在某个点有效限制并发使用。
总的来说,对于特定组织来说,哪种许可模式最好没有正确答案。较小的组织可能对几乎任何产品都感兴趣,而较大的组织可能倾向于支持大型企业的产品,如Dell SonicWall SRA、Juniper Network SA Series和OpenVPN Access Server。
标准四:网络访问控制
SSL VPN产品评估的最后一个标准是对网络访问控制的支持。这指的是涉及检查客户端设备特性以确认符合组织安全策略的各种功能。示例包括验证当前防病毒软件的存在和验证客户端数字证书。
大多数产品——即使是那些只有轻量级客户端的产品,如Barracuda SSL VPN——确实至少提供了一些对网络访问控制的支持。供应商通常不愿详细说明其网络访问控制产品的工作原理;其中许多可能在不同操作系统上的工作方式显著不同。因此,建议作为任何评估的一部分,首先确定相关的台式机/笔记本电脑和移动操作系统版本,然后与供应商协商,了解产品在每个平台上支持哪些网络访问控制功能——系统健康检查。
一个强大的网络访问控制支持的例子涉及Dell SonicWall SRA产品。它可以验证移动设备是否已被越狱或Root;检查各种安全控制是否已安装并正确配置,并检查客户端证书和标识符以确保设备本身被授权用于企业远程访问。其他宣传支持网络访问控制的产品包括Cisco IOS SSL VPN和Juniper Networks SA Series。
结论
在本文涵盖的SSL VPN中,没有明显的领先者。很大程度上取决于个体实体在客户端软件支持和操作系统支持、并发用户许可以及网络访问控制方面的需求。
例如,允许BYOD的企业可能确定它绝对需要网络访问控制,以确保其远程访问客户端具有一定程度的安全性。在这种情况下,它可能倾向于提供特别严格的网络访问控制的产品,如Dell SonicWall SRA和Juniper Networks SA Series。同时,不允许BYOD的组织可能会发现网络访问控制对这些设备来说是多余的。
对于较小的公司,所有这些产品都提供了某种可接受的解决方案。Cisco IOS SSL VPN最适合那些已经为其移动设备配备了另一种安全产品的组织;例如,移动设备管理系统。Check Point Mobile Access Software Blade适合那些已经部署了Check Point安全产品的组织。其他产品由于其授予的资源访问权限、支持的客户端设备范围以及提供网络访问功能的能力,非常适合更广泛的中小型组织。
对于较大的实体(数千个并发用户),一定要考虑Dell SonicWall SRA和Juniper Networks SA Series,其次是Check Point Mobile Access Software Blade和OpenVPN Access Server。
后续步骤
了解如何缓解云中的VPN安全问题 了解如何为移动员工预防VPN安全风险