SSL VPN产品概述
安全套接层(SSL)虚拟专用网络(VPN)产品,即SSL VPN,提供加密隧道保护传输的网络流量。SSL VPN保障通信的机密性和完整性,最常用于为终端用户设备(包括台式机、笔记本电脑、智能手机和平板电脑)提供安全远程访问。对各种用户而言,安全远程访问选定组织资源可能是关键需求,包括组织员工(使用组织配发或个人拥有的设备,即自带设备BYOD)、承包商、业务合作伙伴和供应商。
产品部署形式
获取SSL VPN产品有多种方式:组织可购买专用于SSL VPN的独立设备,或购买执行多种功能的捆绑设备——如下一代防火墙(NGFW)或统一威胁管理(UTM)产品——其中SSL VPN功能仅是其中之一。对某些组织而言,另一个选择是购买虚拟设备的SSL VPN。无论SSL VPN功能以何种形式出现,其功能和其他主要特性基本相同。
本文重点评估专用SSL VPN产品:独立设备和虚拟设备。这并不意味着它们优于捆绑产品。每种产品,无论其形式如何,都需要根据其自身优点进行评估。组织若仅仅为了拥有专用SSL VPN产品而忽略现有的捆绑SSL VPN功能,而没有充分的理由做出此决定,将是愚蠢的。话虽如此,专用SSL VPN产品通常与捆绑产品相同,因此本文中的评估也可能与寻求捆绑产品的组织相关。
本文涵盖以下商业SSL VPN产品:Barracuda SSL VPN、Check Point Mobile Access Software Blade、Cisco IOS SSL VPN、Dell SonicWall Secure Remote Access (SRA)、Juniper Networks SA Series(现为Pulse Connect Secure)和OpenVPN Access Server。
评估标准
每款产品均根据以下四个标准进行评估:
- VPN客户端软件选项
- 操作系统(OS)支持
- 并发用户支持
- 网络访问控制
考虑采购SSL VPN产品的组织应将这些标准作为其整体产品评估过程的一部分。这是因为每个组织都有需要考量的独特特征,因此本文的发现不应被视为全面或详尽——它们只是更大拼图的一部分。
标准一:VPN客户端软件选项
SSL VPN客户端软件有四种方法:
- 无客户端(仅依赖Web浏览器,无需安装软件)
- 浏览器插件(在浏览器内运行的Java小程序、ActiveX控件)
- 独立可执行文件(用于台式机和笔记本电脑操作系统)
- 移动应用(用于智能手机和平板电脑)
表1显示了这四种方法在相对客户端部署工作量、资源访问、客户端设备支持和网络访问控制支持方面的主要差异。这些表明没有“最佳”客户端方法;事实上,每种方法都有显著的权衡。例如,无客户端方法无需部署工作,但它也只能访问最少的资源。再如,浏览器插件和独立可执行文件方法不适用于移动设备。并非所有方法都提供网络访问控制功能。
表1:SSL VPN客户端软件的四种方法
| 无客户端 | 浏览器插件 | 独立可执行文件 | 移动应用 | |
|---|---|---|---|---|
| 客户端部署工作量 | 无 | 轻微 | 重大 | 重大 |
| 资源访问 | 网站和基于Web的应用程序 | 几乎所有 | 几乎所有 | 几乎所有 |
| 客户端设备支持 | 全部 | 大多数台式机和笔记本电脑(需要受支持的浏览器) | 主要台式机和笔记本电脑操作系统 | 主要移动操作系统 |
| 网络访问控制 | 否 | 是(可能有限) | 是 | 是 |
因此,最终大多数组织应寻找的是满足其全部要求的方法或方法组合。所有产品都支持多种方法,如下表所示;但请注意,单个组织不太可能需要支持所有四种方法。
表2:顶级SSL VPN产品支持的客户端方法
| 无客户端 | 浏览器插件 | 独立可执行文件 | 移动应用 | |
|---|---|---|---|---|
| Barracuda SSL VPN | 是 | 是 | 否 | 否 |
| Check Point Mobile Access Software Blade | 是 | 是 | 否 | 是 |
| Cisco IOS SSL VPN | 否 | 是 | 是 | 否 |
| Dell SonicWall Secure Remote Access (SRA) | 是 | 是 | 是 | 是 |
| Juniper Networks SA Series | 是 | 是 | 否 | 否 |
| OpenVPN Access Server | 否 | 否 | 是 | 是 |
标准二:VPN客户端操作系统支持
上面讨论的第三和第四种SSL VPN客户端方法——独立可执行文件和移动应用——可称为“重型”客户端,因为它们需要安装成熟的软件(与轻量级浏览器插件相对)。该软件必然是特定于操作系统的,因此组织需要仔细考虑需要SSL VPN客户端支持哪些操作系统。请记住,无客户端和基于浏览器插件的方法无论操作系统如何都能工作。除了开源的OpenVPN Access Server外,本文涵盖的每款产品都支持无客户端或浏览器插件方法。
因此,在评估SSL VPN产品时,不要仅仅自动查看其客户端软件可能支持的特定操作系统。可能有可用的“轻型”选项(无客户端或浏览器插件)真正支持几乎所有操作系统。然而,这些轻型产品也可能减少对资源的访问——尤其是无客户端产品——并且有些缺乏网络访问控制,增加了配置错误、受损或其他不良设备能够连接到组织资源的可能性。
假设组织希望使用基于“重型”客户端的方法,评估的第一个明显步骤是编录需要支持哪些台式机/笔记本电脑操作系统和移动操作系统。这可能很困难,特别是如果组织允许使用BYOD,或者如果组织允许承包商、业务合作伙伴、供应商和组织外部的其他人员使用远程访问。
下表显示了重型客户端提供的操作系统支持。在支持重型客户端的产品中,Dell SonicWall SRA和OpenVPN Access Server产品支持最多种类的操作系统。然而,最终,任何产品提供的重型客户端都无法支持可能使用的每个操作系统的每个版本。因此,请仔细考虑对最常用的版本使用重型客户端,对不太常用的操作系统使用轻型客户端。
表3:顶级SSL VPN“重型”客户端的操作系统支持
| 独立可执行文件 | 移动应用 | |
|---|---|---|
| Barracuda SSL VPN | 不适用 | 不适用 |
| Check Point Mobile Access Software Blade | 不适用 | iOS, Android |
| Cisco IOS SSL VPN | Windows | 不适用 |
| Dell SonicWall Secure Remote Access (SRA) | Windows, Mac OS X, Linux | iOS, Android, Windows 8.1, Kindle Fire |
| Juniper Networks SA Series | 不适用 | 不适用 |
| OpenVPN Access Server | Windows, Mac OS X, Linux | iOS, Android |
标准三:并发用户支持
商业SSL VPN产品的许可通常基于VPN的并发用户数量。也有例外,例如可能提供无限可扩展性的虚拟设备,但通常如此。一些商业产品仅支持固定数量的用户,而其他产品具有支持更多用户的硬件容量,但允许组织购买较少数量的并发用户许可。
一些供应商提供多种型号的SSL VPN设备。例如,Barracuda SSL VPN有六种硬件设备型号,支持15到1000个并发用户,以及四种虚拟设备型号,支持15到500个并发用户。同样,面向小型组织的Cisco IOS SSL VPN在各种硬件平台上支持10到200个并发用户。
对于中型到大型组织,Juniper Network SA Series(已分拆给Pulse Secure并更名为Pulse Connect Secure)提供三种处理高达10,000个并发用户的设备型号,以及一个可以支持无限数量的虚拟设备。Dell SonicWall SRA有三种硬件设备型号,支持25到20,000个并发用户,以及一个可以支持高达5,000个的虚拟设备。
除了这些许可方案外,一些产品(如Juniper Networks SA Series)提供激增许可,意味着在紧急条件下可以临时增加并发用户数量;例如,在自然灾害期间的一周。激增许可通常也可以购买并立即配置,这使其成为灾难恢复和应急计划的理想辅助——假设SSL VPN硬件足够强大以支持那么多并发用户。
OpenVPN Access Server遵循与本文中其他产品显著不同的许可模型。没有可用的硬件设备;所有OpenVPN Access Server服务器都是虚拟的。此虚拟服务器组件可以免费下载,但拥有至少10个用户的组织必须为每个并发用户支付年度许可费。截至本文撰写时,可以以每年低于100美元的价格购买10用户并发许可。另一方面,并发用户似乎没有最大限制,尽管——显然——服务器部署到的硬件将在某个点有效限制同时使用。
总的来说,对于特定组织而言,这些许可模型中哪一种最好没有正确答案。较小的组织可能对几乎任何产品都感兴趣,而较大的组织可能倾向于支持大型企业的产品,如Dell SonicWall SRA、Juniper Network SA Series和OpenVPN Access Server。
标准四:网络访问控制
SSL VPN产品评估的最后一个标准是对网络访问控制的支持。这指的是涉及检查客户端设备特征以确认符合组织安全策略的各种功能。示例包括验证当前防病毒软件的存在和验证客户端数字证书。
大多数产品——即使是那些只有轻型客户端的产品,如Barracuda SSL VPN——确实提供至少一些网络访问控制支持。供应商通常不愿详细说明其网络访问控制产品的工作原理;其中许多可能在不同操作系统上运行方式显著不同。因此,建议作为任何评估的一部分,首先识别相关的台式机/笔记本电脑和移动操作系统版本,然后与供应商协商,查看产品在每个平台上支持哪些网络访问控制功能——系统健康检查。
强大网络访问控制支持的一个例子涉及Dell SonicWall SRA产品。它可以验证移动设备是否已被越狱或Root;检查各种安全控制是否已正确安装和配置,并检查客户端证书和标识符以确保设备本身被授权用于企业远程访问。其他宣传网络访问控制支持的产品包括Cisco IOS SSL VPN和Juniper Networks SA Series。
结论
本文涵盖的SSL VPN中没有明确的领先者。很大程度上取决于个体实体在客户端软件支持和操作系统支持、并发用户许可和网络访问控制方面的需求。
例如,允许BYOD的企业可能确定它绝对需要网络访问控制,以确保其远程访问客户端具有一定程度的安全性。在这种情况下,它可能偏爱提供特别严格网络访问控制的产品,如Dell SonicWall SRA和Juniper Networks SA Series。同时,不允许BYOD的组织可能发现网络访问控制对这些设备是多余的。
对于较小的公司,所有这些产品都提供某种可接受的解决方案。Cisco IOS SSL VPN最适合已经为其移动设备部署了其他安全产品的组织;例如,移动设备管理系统。Check Point Mobile Access Software Blade适合那些已经部署了Check Point安全产品的组织。其他产品由于其授予的资源访问权限、支持的客户端设备范围以及提供网络访问功能的能力,非常适合更广泛的中小型组织。
对于较大的实体(数千个并发用户),一定要考虑Dell SonicWall SRA和Juniper Networks SA Series,Check Point Mobile Access Software Blade和OpenVPN Access Server紧随其后。