2005年度SSL VPN網(wǎng)關(guān)公開(kāi)比較測(cè)試報(bào)告

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

文章來(lái)源：泛普軟件

在VPN領(lǐng)域，SSL VPN無(wú)疑是個(gè)新貴，由于其與生俱來(lái)在遠(yuǎn)程安全連接方面的優(yōu)勢(shì)，近幾年逐漸受到業(yè)界的追捧。總體來(lái)看，SSL VPN還沒(méi)有達(dá)到廠商們期望的大規(guī)模應(yīng)用，然而最近的種種跡象表明，SSL VPN正在進(jìn)行一場(chǎng)轟轟烈烈的開(kāi)辟新天地運(yùn)動(dòng)。至于具體倚仗哪些優(yōu)勢(shì)，在整體性能、功能方面有哪些最新進(jìn)展，本測(cè)試報(bào)告向讀者一一道來(lái)。

一份最新研究表明近90%的企業(yè)利用VPN進(jìn)行的內(nèi)部網(wǎng)和外部網(wǎng)的連接都只是用來(lái)進(jìn)行Internet訪問(wèn)和電子郵件通信，而這些應(yīng)用都利用了一種更加簡(jiǎn)單的VPN技術(shù)——SSL VPN?；赟SL協(xié)議的VPN遠(yuǎn)程訪問(wèn)方案的確更加容易配置和管理，由于不需要客戶端軟件，網(wǎng)絡(luò)配置成本比起目前主流的IPSec VPN要低很多，所以許多企業(yè)已經(jīng)開(kāi)始利用基于SSL加密協(xié)議的遠(yuǎn)程訪問(wèn)技術(shù)來(lái)實(shí)現(xiàn)VPN通信了。

SSL VPN是最近幾年才逐步發(fā)展成熟的，但是當(dāng)去年某些機(jī)構(gòu)對(duì)其進(jìn)行全面測(cè)試時(shí)，可以說(shuō)并沒(méi)有滿足用戶對(duì)其較高的期望。相反，許多基本的問(wèn)題還沒(méi)有解決好。時(shí)間過(guò)去一年多，目前該領(lǐng)域發(fā)展到了何種程度？在目前的市場(chǎng)上已經(jīng)出現(xiàn)了一些廠商的產(chǎn)品與解決方案，它們的優(yōu)劣都在哪里？與世界最先進(jìn)的水平相比，多數(shù)SSL VPN設(shè)備的整體水平如何？帶著這些問(wèn)題，《網(wǎng)絡(luò)世界》評(píng)測(cè)實(shí)驗(yàn)室組織了2005年度SSL VPN網(wǎng)關(guān)公開(kāi)比較評(píng)測(cè)。

由于目前市場(chǎng)中的SSL VPN網(wǎng)關(guān)設(shè)備并不是特別多，此次評(píng)測(cè)并沒(méi)有對(duì)參測(cè)設(shè)備進(jìn)行詳細(xì)劃分級(jí)別。我們向所有主流SSL VPN設(shè)備廠商發(fā)出了邀請(qǐng)，最后有三家廠商接受邀請(qǐng)，送來(lái)參測(cè)設(shè)備并且順利完成我們的所有測(cè)試內(nèi)容，它們是深信服科技的Sinfor SSL VPN Express、Array Networks的SPX 5000和深圳數(shù)安的RAP 1000-X。其中，Array Networks的SPX 5000為千兆產(chǎn)品，其他兩家產(chǎn)品為百兆設(shè)備。

我們還要特別感謝思博倫通信公司提供了Avalanche測(cè)試儀，安氏公司提供領(lǐng)信網(wǎng)絡(luò)掃描軟件。同時(shí)也對(duì)這些勇于參加此次SSL VPN網(wǎng)關(guān)公開(kāi)比較評(píng)測(cè)的廠商表示贊賞。

● 性能測(cè)試——隨著軟硬件技術(shù)的進(jìn)步，性能有大幅提高，滿足企業(yè)要求綽綽有余；
● 安全測(cè)試——盡管在網(wǎng)絡(luò)中處于防火墻之后，但是某些設(shè)備本身仍存在一定安全風(fēng)險(xiǎn)；
●功能測(cè)試——經(jīng)過(guò)近一兩年的發(fā)展，功能已經(jīng)獲得巨大突破，可以輕松應(yīng)對(duì)用戶復(fù)雜應(yīng)用。

性能測(cè)試 用數(shù)據(jù)說(shuō)話

性能表現(xiàn)是所有網(wǎng)絡(luò)設(shè)備極其重要的一個(gè)方面，也是我們此次測(cè)試的一個(gè)重點(diǎn)。SSL VPN網(wǎng)關(guān)設(shè)備的性能參數(shù)中，比較重要的幾個(gè)是新建用戶速率（setup/teardown速率）、最大并發(fā)用戶數(shù)、郵件系統(tǒng)性能以及設(shè)備的實(shí)際吞吐量（Goodput）等。

setup/teardown速率

setup/teardown速率反映了設(shè)備每秒鐘可以新建的用戶數(shù)目，Array Networks的SPX 5000可以達(dá)到982個(gè)/秒，從我們以往測(cè)試服務(wù)器的經(jīng)驗(yàn)來(lái)看，這一結(jié)果完全超過(guò)了一臺(tái)高端PC Web服務(wù)器的極限，只有后臺(tái)使用更高端服務(wù)器或者服務(wù)器集群才能提供如此高的性能；深信服的Sinfor SSL VPN Express結(jié)果為98個(gè)/秒，深圳數(shù)安的RAP 1000-X達(dá)到138.4個(gè)/秒，我們認(rèn)為該數(shù)值也足以滿足大型企業(yè)級(jí)用戶的要求了。

最大并發(fā)用戶數(shù)

最大并發(fā)用戶數(shù)反映設(shè)備同時(shí)提供服務(wù)的最大用戶數(shù)目，讀者需要注意，此數(shù)值并非使用SSL VPN設(shè)備的用戶總數(shù)（很顯然，并不是所有需要使用設(shè)備的用戶都隨時(shí)在線）。據(jù)稱，Array Networks的SPX 5000 的最大并發(fā)用戶數(shù)可以達(dá)到64000，我們測(cè)試結(jié)果為57063；深信服Sinfor SSL VPN Express為150，深圳數(shù)安RAP 1000-X為249。
OWA性能

OWA（Outlook Web Access）性能反映的是設(shè)備在承載Outlook Web郵件系統(tǒng)的性能表現(xiàn)，由于郵件系統(tǒng)在SSL VPN的應(yīng)用中占很大比例，而Outlook郵件系統(tǒng)又具有普遍意義，因此此項(xiàng)結(jié)果在用戶使用郵件系統(tǒng)時(shí)有很大參考意義。Array Networks的SPX 5000測(cè)試結(jié)果為7237 會(huì)話/秒；深信服RAP 1000-X為207 會(huì)話/秒，深圳數(shù)安RAP 1000-X為396.45會(huì)話/秒。

DDoS攻擊下的OWA性能

DDoS攻擊是網(wǎng)絡(luò)中十分普遍的攻擊類型，我們考察了SSL VPN設(shè)備在遭受DDoS攻擊下的Web郵件系統(tǒng)應(yīng)用的性能表現(xiàn)。從我們以往對(duì)各類安全設(shè)備進(jìn)行測(cè)試經(jīng)驗(yàn)來(lái)看，設(shè)備對(duì)攻擊的防范能力不容小視，有些防范能力較差的設(shè)備在攻擊面前束手無(wú)策，很容易造成設(shè)備工作不正常。從我們的測(cè)試結(jié)果來(lái)看，所有參測(cè)設(shè)備在攻擊下的性能都有小幅下降，Array Networks的SPX 5000測(cè)試結(jié)果為7030會(huì)話/秒，下降大約2.86％；深信服Sinfor SSL VPN Express為203會(huì)話/秒，下降大約1.93％，深圳數(shù)安RAP 1000-X為395.78會(huì)話/秒，下降幅度最低，僅為0.17％。

Goodput

按照RFC 2647的定義，我們測(cè)試了被測(cè)設(shè)備最大HTTP實(shí)際吞吐量（Goodput)。在我們的測(cè)試環(huán)境下的結(jié)果是，作為千兆設(shè)備的Array Networks SPX 5000為160.352Mbps，深信服Sinfor SSL VPN Express為34.199Mbps，深圳數(shù)安RAP 1000-X為29.864Mbps。需要說(shuō)明的是，所有參測(cè)設(shè)備都沒(méi)有提供數(shù)據(jù)壓縮功能。

測(cè)試感言：性能已不是問(wèn)題

從我們的測(cè)試結(jié)果來(lái)看，性能已經(jīng)可以完全滿足用戶在遠(yuǎn)程安全連接方面的需求。據(jù)我們了解，即便是最高端的用戶，也很少會(huì)分配高達(dá)100Mbps的帶寬給SSL VPN應(yīng)用，再加上Internet網(wǎng)速受多方面影響，因此，從實(shí)際吞吐量角度，100Mbps是實(shí)際應(yīng)用環(huán)境的極限，所有超過(guò)100Mbps的設(shè)備都無(wú)法充分展示拳腳。但是VPN設(shè)備可以提供數(shù)據(jù)壓縮能力，即數(shù)據(jù)經(jīng)過(guò)壓縮后向外網(wǎng)發(fā)送，這可使用戶更加有效地利用昂貴的帶寬資源。從我們查到的資料來(lái)看，有些廠商在這方面的技術(shù)比較先進(jìn)，數(shù)據(jù)壓縮比例可以達(dá)到5:1，遺憾的是此次參測(cè)的三款產(chǎn)品都沒(méi)有提供該功能，因此我們測(cè)試時(shí)并沒(méi)有考察數(shù)據(jù)壓縮時(shí)的性能表現(xiàn)。

 從最大并發(fā)用戶數(shù)角度來(lái)看，采取SSL VPN方式，按照慣例一般取1∶10的比例（如果1000個(gè)人都可能采取VPN方式，同一時(shí)間會(huì)有100個(gè)人利用VPN隧道），這一點(diǎn)用戶在購(gòu)買設(shè)備時(shí)也應(yīng)該注意——在購(gòu)買IPSec  VPN時(shí)，1000個(gè)用戶需要購(gòu)買1000個(gè)客戶端許可證，而如果使用SSL VPN，則可以按照100個(gè)并發(fā)用戶數(shù)購(gòu)買。

用戶在部署SSL VPN之前一定要對(duì)設(shè)備進(jìn)行性能測(cè)試，一方面能夠?qū)υO(shè)備的性能表現(xiàn)有確切掌握，另一方面可以根據(jù)實(shí)際網(wǎng)絡(luò)應(yīng)用環(huán)境進(jìn)行合理購(gòu)買。

安全測(cè)試  安全等級(jí)我做主

采用配置“最安全的簡(jiǎn)單Web應(yīng)用”，然后測(cè)試VPN設(shè)備的安全性能。我們發(fā)現(xiàn)，有的SSL VPN設(shè)備在安全性方面不容樂(lè)觀。我們使用安氏領(lǐng)信網(wǎng)絡(luò)掃描器對(duì)參測(cè)設(shè)備進(jìn)行了全面的安全掃描，掃描報(bào)告中詳細(xì)列出設(shè)備存在的安全漏洞、安全警告、安全提示以及打開(kāi)端口信息。漏洞對(duì)于安全設(shè)備來(lái)說(shuō)，是應(yīng)該盡量避免的，黑客可以輕松掃描出設(shè)備的漏洞，利用漏洞進(jìn)行攻擊。警告和提示也不容忽視，它可能是不太嚴(yán)重的安全威脅，也可能是不易被利用的安全弱點(diǎn)。黑客還可以通過(guò)打開(kāi)端口獲得設(shè)備正在提供的服務(wù)。
         結(jié)果發(fā)現(xiàn)，Array SPX 5000安全性很高，沒(méi)有發(fā)現(xiàn)任何漏洞，但是出現(xiàn)了一些安全警告。
         深信服Sinfor SSL VPN Express在對(duì)SSL協(xié)議進(jìn)行開(kāi)發(fā)時(shí)遺留一個(gè)漏洞，該漏洞會(huì)導(dǎo)致設(shè)備容易受到DoS攻擊，同時(shí)還有一些安全警告，但是，上文也提到，該設(shè)備本身默認(rèn)配備了防火墻系統(tǒng)，整體的安全性已經(jīng)比較高。
深圳數(shù)安的設(shè)備掃描結(jié)果為28個(gè)漏洞，15個(gè)安全警告。經(jīng)過(guò)廠商工程師的安全配置更改以及漏洞修補(bǔ)工作，漏洞全部消除，剩余5個(gè)安全警告。
測(cè)試感言：安全產(chǎn)品最不能忽視安全！
        由于SSL VPN在功能方面已經(jīng)十分強(qiáng)大，但是功能多的同時(shí)也在安全性方面帶來(lái)更多隱患。比如，如果只是提供最基本的Web轉(zhuǎn)換功能，即用戶只通過(guò)HTTPS訪問(wèn)Web服務(wù)器內(nèi)容，那么設(shè)備只需打開(kāi)443端口即可，而如果用戶需要文件服務(wù)，則必需打開(kāi)更多端口，端口和服務(wù)開(kāi)啟越多, 安全隱患也就越多。因此，設(shè)備的安全性在一定程度上是由設(shè)備管理員來(lái)決定的，如果應(yīng)用類型對(duì)用戶業(yè)務(wù)十分關(guān)鍵，機(jī)密性較強(qiáng)，那么則開(kāi)啟最少的端口和服務(wù)，反之，如果應(yīng)用為一般類型，對(duì)業(yè)務(wù)并不是十分關(guān)鍵，那么就可以多開(kāi)啟一些服務(wù)，雖然安全性降低一些，但是為遠(yuǎn)程用戶帶來(lái)多一些的便利。我們測(cè)試的是在開(kāi)啟最簡(jiǎn)單功能、最少端口和服務(wù)的情況下設(shè)備本身的安全性。
         安全性的問(wèn)題很復(fù)雜，它涉及到整個(gè)系統(tǒng)的方方面面，從操作系統(tǒng)到開(kāi)發(fā)平臺(tái)，從程序代碼到系統(tǒng)配置，可以說(shuō)，一個(gè)成熟而相對(duì)安全的系統(tǒng)需要花費(fèi)巨大的人力物力，當(dāng)然還需要在紛繁復(fù)雜的不安全環(huán)境下接受各類考驗(yàn)。
         在性能測(cè)試中的DDOS下的性能也反映了產(chǎn)品的安全性，有些設(shè)備在正常使用環(huán)境下性能很好，但是對(duì)DDOS攻擊幾乎無(wú)法進(jìn)行任何防范。

功能測(cè)試  應(yīng)對(duì)復(fù)雜功能   我能
        在確定測(cè)試方案之前我們認(rèn)為，SSL VPN設(shè)備在功能方面的表現(xiàn)可能是制約其獲得大規(guī)模部署的一個(gè)重要因素。原因在于，一年以前，國(guó)外的測(cè)試同行們對(duì)多款業(yè)界主流產(chǎn)品進(jìn)行測(cè)試后發(fā)現(xiàn)，多數(shù)產(chǎn)品所能支持的應(yīng)用轉(zhuǎn)換和代理的數(shù)量非常少，同時(shí)，功能方面是SSL VPN設(shè)備之間差別最突出，也最影響它們?cè)趯?shí)際環(huán)境中的部署。帶著這些疑問(wèn)，我們制定了功能方面的考量?jī)?nèi)容，主要包括支持應(yīng)用類型、數(shù)據(jù)壓縮功能、安全功能、認(rèn)證方式以及報(bào)告與日志方面。
        如前文所述，數(shù)據(jù)壓縮功能對(duì)SSL VPN網(wǎng)關(guān)這種依靠互聯(lián)網(wǎng)帶寬資源的設(shè)備來(lái)說(shuō)十分必要。盡管有些設(shè)備稱支持該功能，但遺憾的是送測(cè)產(chǎn)品都沒(méi)有提供該功能。
支持應(yīng)用類型
        我們認(rèn)為，SSL VPN網(wǎng)關(guān)對(duì)應(yīng)用的支持大致分為4個(gè)層面。第一個(gè)層面為Web資源映射。從SSL VPN最初的應(yīng)用情況來(lái)看，主要有Web服務(wù)器資源映射，也叫作代理Web頁(yè)面。這是SSL VPN最基本的應(yīng)用支持類型，因此如果用戶希望通過(guò)Web資源映射來(lái)收發(fā)E-mail，則只能使用Web mail的方式。第二個(gè)層面為文件共享等應(yīng)用。比如非Web頁(yè)面的文件共享，必需經(jīng)過(guò)轉(zhuǎn)換才能夠發(fā)往客戶端。SSL VPN網(wǎng)關(guān)與企業(yè)網(wǎng)內(nèi)部的微軟CIFS或FTP服務(wù)器通信，將這些服務(wù)器對(duì)客戶端的響應(yīng)轉(zhuǎn)化為HTTPS協(xié)議和HTML格式發(fā)往客戶端，終端用戶感覺(jué)這些應(yīng)用就是一些基于Web的應(yīng)用。第三個(gè)層面為C/S應(yīng)用代理，它需要在終端系統(tǒng)上運(yùn)行一個(gè)非常小的Java或ActiveX程序作為端口轉(zhuǎn)發(fā)器，監(jiān)聽(tīng)某個(gè)端口上的連接。當(dāng)數(shù)據(jù)包進(jìn)入這個(gè)端口時(shí)，它們通過(guò)SSL連接中的隧道被傳送到SSL VPN網(wǎng)關(guān)中，SSL VPN網(wǎng)關(guān)解開(kāi)封裝的數(shù)據(jù)包，將它們轉(zhuǎn)發(fā)給目的應(yīng)用服務(wù)器。第四個(gè)層面應(yīng)用為網(wǎng)絡(luò)擴(kuò)展。它將終端用戶系統(tǒng)連接到企業(yè)網(wǎng)上，并根據(jù)網(wǎng)絡(luò)層信息（如目的IP地址和端口號(hào)）進(jìn)行接入控制。
        對(duì)于用戶來(lái)說(shuō)，第一個(gè)層面的應(yīng)用是必須的（如果設(shè)備連此應(yīng)用都無(wú)法滿足，那它也就不能稱為SSL VPN了），而文件共享和C/S應(yīng)用代理的需要也比較大，因此大多數(shù)用戶會(huì)要求SSL VPN能夠支持這兩種應(yīng)用，至于網(wǎng)絡(luò)擴(kuò)展應(yīng)用，一般使用較少，而且由于該功能會(huì)給整個(gè)內(nèi)部網(wǎng)絡(luò)帶來(lái)更多安全隱患，因此必須使用該功能的用戶也需要謹(jǐn)慎使用。
        Web資源映射功能     Array SPX 5000采用Web資源映射功能（Web Resource Mapping，WRM）來(lái)實(shí)現(xiàn)，用戶不需要改變內(nèi)網(wǎng)的Web結(jié)構(gòu)，在Array SPX 5000上設(shè)置在內(nèi)網(wǎng)訪問(wèn)的URL即可。深信服公司采用HTML智能重構(gòu)技術(shù)來(lái)實(shí)現(xiàn)Web映射，把企業(yè)內(nèi)部的Web服務(wù)器映射成SSL主機(jī)的一個(gè)子目錄來(lái)訪問(wèn)（該子目錄是一個(gè)無(wú)意義的字符串）。
        Sinfor SSL VPN對(duì)用戶鏈接做識(shí)別，重寫HTML并將其轉(zhuǎn)換成HTTPS的有效鏈接，Sinfor SSL VPN并不重寫所有HTML代碼，而是根據(jù)智能搜索引擎判斷出需要重構(gòu)的網(wǎng)頁(yè)再加以修改。Sinfor SSL VPN提供了基于Web方式的郵件收發(fā)系統(tǒng)，方便了沒(méi)有郵件客戶端的用戶。深圳數(shù)安RAP服務(wù)器上模擬一個(gè)Web解析服務(wù)器，動(dòng)態(tài)解析遠(yuǎn)程客戶對(duì)內(nèi)網(wǎng)Web服務(wù)器請(qǐng)求，RAP監(jiān)聽(tīng)到遠(yuǎn)程客戶訪問(wèn)內(nèi)網(wǎng)Web服務(wù)器的URL后，通過(guò)RAP向內(nèi)網(wǎng)服務(wù)器取動(dòng)態(tài)請(qǐng)求，內(nèi)網(wǎng)Web服務(wù)器就像響應(yīng)普通內(nèi)網(wǎng)客戶端的請(qǐng)求一樣響應(yīng)RAP的請(qǐng)求。
        共享文件    Array SPX 5000支持Windows和Unix的文件共享，將內(nèi)網(wǎng)共享文件，通過(guò)Web的方式提供給用戶，用戶可以在Web頁(yè)面中下載、上傳文件。Sinfor SSL VPN提供了基于Web的FTP系統(tǒng)，用戶可以下載上傳文件。針對(duì)標(biāo)準(zhǔn)的TCP協(xié)議，深圳數(shù)安RAP可以實(shí)現(xiàn)active模式FTP、passive模式FTP、Telnet等應(yīng)用的支持。

        C/S應(yīng)用代理      Array SPX 5000采用Application Manager模塊來(lái)實(shí)現(xiàn)C/S應(yīng)用代理。多數(shù)C/S結(jié)構(gòu)應(yīng)用系統(tǒng)的訪問(wèn)都是通過(guò)幾個(gè)固定TCP端口，對(duì)于這幾個(gè)TCP端口，SPX 5000啟動(dòng)Application Manager功能，客戶端將下載Java Applet作為TCP PROXY運(yùn)行在客戶端，它偵聽(tīng)客戶端發(fā)往服務(wù)器方的TCP端口的請(qǐng)求，并把請(qǐng)求通過(guò)SSL連接發(fā)給SPX 5000，SPX 5000將終結(jié)和SSL的連接并和內(nèi)網(wǎng)應(yīng)用服務(wù)器建立連接，發(fā)送請(qǐng)求。當(dāng)用戶具有C/S服務(wù)的訪問(wèn)權(quán)限時(shí)，瀏覽器會(huì)下載一個(gè)ActiveX控件。該控件提供基于SSL協(xié)議的C/S訪問(wèn)服務(wù)。
        SinforProxy提供了一種類似于IPSec VPN的數(shù)據(jù)包截取技術(shù)，當(dāng)網(wǎng)絡(luò)連接發(fā)生時(shí)，SinforProxy會(huì)依據(jù)條件截取該連接并轉(zhuǎn)向到SSL隧道，使后續(xù)數(shù)據(jù)發(fā)送或接收都從SSL隧道傳輸。依賴此技術(shù)，Sinfor SSL VPN可以輕松做到將內(nèi)網(wǎng)的多臺(tái)服務(wù)器所有端口提供給客戶端。在RAP的服務(wù)器上注冊(cè)了各種內(nèi)部的C/S應(yīng)用服務(wù)器IP、端口和協(xié)議等信息；當(dāng)客戶端請(qǐng)求建立某個(gè)C/S應(yīng)用請(qǐng)求時(shí)，RAP服務(wù)器端會(huì)主動(dòng)PUSH一個(gè)Java Applet到客戶端，實(shí)時(shí)監(jiān)聽(tīng)客戶端到當(dāng)前C/S應(yīng)用的原內(nèi)網(wǎng)地址信息和端口，協(xié)議信息等，客戶端Java Applet把監(jiān)聽(tīng)到所有信息通過(guò)SSL加密后在Internet上傳回到RAP服務(wù)器上，RAP服務(wù)器解密該數(shù)據(jù)包，把這些原始信息像在內(nèi)網(wǎng)的訪問(wèn)一樣傳給真正的內(nèi)部C/S服務(wù)器，內(nèi)網(wǎng)C/S應(yīng)用服務(wù)器正常響應(yīng)此請(qǐng)求，像內(nèi)網(wǎng)訪問(wèn)一樣返回?cái)?shù)據(jù)包到RAP，RAP加密此數(shù)據(jù)包通過(guò)Internet傳輸給遠(yuǎn)程的客戶端。
        網(wǎng)絡(luò)擴(kuò)展     對(duì)于UDP應(yīng)用，SPX 5000采用三層虛擬通道技術(shù)來(lái)實(shí)現(xiàn)，此項(xiàng)功能是在客戶端和SPX 5000之間通過(guò)SSL連接建立一條虛擬通道，客戶端將會(huì)生成一個(gè)虛擬網(wǎng)卡，并修改本機(jī)的路由表。這樣，客戶端虛擬網(wǎng)卡上就會(huì)配備一個(gè)和內(nèi)網(wǎng)地址體系一致的網(wǎng)址，并通過(guò)這條虛擬通道直連到內(nèi)網(wǎng)，就好像客戶端機(jī)器在內(nèi)部一樣。一旦網(wǎng)絡(luò)層隧道建立后，所有基于IP的應(yīng)用都可以實(shí)現(xiàn)。可實(shí)現(xiàn)包括B/S、C/S架構(gòu)的應(yīng)用，也可實(shí)現(xiàn)TCP的應(yīng)用。深圳數(shù)安RAP 1000X的實(shí)現(xiàn)方式是，當(dāng)客戶端遠(yuǎn)程請(qǐng)求建立SSL通道的時(shí)候，客戶端動(dòng)態(tài)生成RAP虛擬的網(wǎng)絡(luò)設(shè)備，并且通過(guò)RAP動(dòng)態(tài)獲得內(nèi)網(wǎng)IP地址，此時(shí)，客戶端的IP就變成了內(nèi)網(wǎng)IP，只能訪問(wèn)內(nèi)網(wǎng)指定的服務(wù)器或相應(yīng)服務(wù)器的相應(yīng)的端口。深信服設(shè)備沒(méi)有提供該類型應(yīng)用的支持。

安全功能
        由于SSL VPN設(shè)備最重要的使用環(huán)境為遠(yuǎn)程安全連接，因此，安全是其必不可少的功能。
        URL加密是提高安全性的一個(gè)措施，有些設(shè)備也稱之為URL隱藏功能，在IE瀏覽器的URL框中，地址是一串不能讀懂的亂碼，而且每次用戶登錄都會(huì)發(fā)生實(shí)時(shí)改變。這種方式的好處是遠(yuǎn)程用戶不能使用Ping命令找到該服務(wù)器的網(wǎng)址，因此可以避免對(duì)該服務(wù)器的網(wǎng)絡(luò)攻擊。有些廠商的產(chǎn)品默認(rèn)為URL隱藏，因此無(wú)法進(jìn)行多項(xiàng)性能測(cè)試，進(jìn)而很遺憾沒(méi)有參加我們的測(cè)試。有些廠商的設(shè)備沒(méi)有此功能。而測(cè)試工程師認(rèn)為，最好像Array的設(shè)備那樣，將此功能設(shè)置為可選，這樣如果用戶需要增加安全性，則開(kāi)啟此功能，而在調(diào)試、測(cè)試階段則可以不必開(kāi)啟此功能。深信服沒(méi)有URL加密功能，而深圳數(shù)安的設(shè)備默認(rèn)開(kāi)啟URL加密功能，但是針對(duì)我們的測(cè)試進(jìn)行了特定的改進(jìn)，從而也可以不啟動(dòng)URL加密功能。
        超時(shí)檢測(cè)、清除緩存、客戶端安全掃描也是針對(duì)用戶遠(yuǎn)程連接所設(shè)計(jì)的安全功能。超時(shí)檢測(cè)功能是當(dāng)用戶登錄設(shè)備后而沒(méi)有任何動(dòng)作并超過(guò)一定時(shí)限后將該用戶自動(dòng)退出系統(tǒng)?？蛻舳司彌_區(qū)及臨時(shí)文件清除功能就是在SSL VPN的遠(yuǎn)程訪問(wèn)結(jié)束后，自動(dòng)清除留在遠(yuǎn)程訪問(wèn)設(shè)備緩沖區(qū)中的臨時(shí)文件和數(shù)據(jù)。清除緩存功能不僅非常必要，而且，不支持這項(xiàng)功能的SSL VPN產(chǎn)品會(huì)對(duì)企業(yè)信息造成嚴(yán)重危害。IE瀏覽器為了提高速度，常常將訪問(wèn)的文件和數(shù)據(jù)放在臨時(shí)文件中。并且在退出后不會(huì)自動(dòng)刪除。這樣，有經(jīng)驗(yàn)的客戶可以通過(guò)瀏覽器提供的檢查臨時(shí)文件的功能，打開(kāi)殘留在臨時(shí)文件目錄中的文檔，從而竊取企業(yè)機(jī)密。為了簡(jiǎn)化用戶重復(fù)登錄，反復(fù)輸入密碼的麻煩，瀏覽器有的時(shí)候會(huì)在緩沖區(qū)中記錄用戶口令信息，這樣，在不關(guān)閉瀏覽器的時(shí)候，二次訪問(wèn)需要口令的網(wǎng)址的時(shí)候，瀏覽器會(huì)自動(dòng)輸入口令。因?yàn)镾SL VPN的遠(yuǎn)程用戶可能使用公共設(shè)備，如果不清除緩沖區(qū)，如果忘記關(guān)閉瀏覽器而離開(kāi)，后面的用戶可以會(huì)登錄到內(nèi)部系統(tǒng)。所以，必須在會(huì)話結(jié)束后清除緩沖區(qū)。參測(cè)的三款設(shè)備都支持超時(shí)檢測(cè)和清除緩存功能。
客戶端掃描對(duì)用戶來(lái)說(shuō)也是一個(gè)不錯(cuò)的功能。由于使用SSL VPN以后，用戶可以使用任何設(shè)備訪問(wèn)內(nèi)部資源，甚至可以使用網(wǎng)吧電腦訪問(wèn)內(nèi)部系統(tǒng)。如果遠(yuǎn)程訪問(wèn)的系統(tǒng)有病毒或安全漏洞，將危害企業(yè)內(nèi)部的信息安全。客戶端掃描功能可以大大降低病毒和黑客工具對(duì)企業(yè)信息的危害。深圳數(shù)安和深信服的設(shè)備不支持該功能，Array設(shè)備支持該功能。Array SPX 5000可以對(duì)登錄的客戶端進(jìn)行檢測(cè)，根據(jù)對(duì)客戶端特征值的檢測(cè)結(jié)果，將客戶端劃分到不同的安全訪問(wèn)級(jí)別，為客戶端提供不同的功能模塊，并且可以自定義什么級(jí)別的用戶可以擁有哪些功能模塊。對(duì)于接入的客戶端，可針對(duì)以下內(nèi)容檢測(cè)客戶端的安全級(jí)別：客戶端的IP地址、客戶端的SSL證書、客戶端包含的特定文件、客戶端注冊(cè)表特定鍵值、客戶端個(gè)人防火墻檢查、客戶端防病毒軟件檢查，包括病毒庫(kù)的更新時(shí)間以及操作系統(tǒng)版本補(bǔ)丁檢查等。

SSL VPN網(wǎng)關(guān)功能評(píng)價(jià)表
公司名稱		Array etworks 華耀環(huán)宇科技（北京）有限公司	深圳市深信服電子科技有限公司	深圳市數(shù)安信息系統(tǒng)有限公司
產(chǎn)品名稱		SPX 5000	Sinfor SSL VPN Express	RAP 1000-X
產(chǎn)品類型（軟件、硬件）		單獨(dú)硬件	單獨(dú)硬件	單獨(dú)硬件
產(chǎn)品定位		大中型企業(yè)/電信/移動(dòng)用戶	中小型企業(yè)遠(yuǎn)程接入和辦公	中小型企業(yè)遠(yuǎn)程接入和辦公
配置	硬盤	40G	CF 128M	40G
	CPU	AMD opteron 2.8G	P3  1G	P4 2.0G
	內(nèi)存	4G	256M	1G
	是否采用硬件加密	是	是	否
	是否有加速卡	是	否	是
	設(shè)備操作系統(tǒng)類型	ArrayOS	Linux	Linux
	支持操作系統(tǒng)類型	Windows、Linux、Unix、Macintosh、Palm OS	Windows	Windows，Linux 、Wince、Smart Phone
	提供網(wǎng)絡(luò)接口類型	10/100/1000 RJ-45、GE光口	百兆以太網(wǎng)端口、百兆管理端口	百兆以太網(wǎng)端口、百兆管理端口
	冗余部件	無(wú)	無(wú)	無(wú)
功能	HTTP壓縮	不支持	不支持（C/S應(yīng)用支持）	不支持
	超時(shí)檢測(cè)	支持	支持	支持
	清除緩存記錄	支持	支持	支持
	自動(dòng)升級(jí)	不支持	支持	支持
	雙機(jī)備份	支持	不支持	不支持
安全	客戶端安全掃描	支持	不支持	不支持
	身份認(rèn)證方式	LocalDB/AD/LDAP/RADIUS/SecurID/證書特殊字段檢測(cè)	用戶名密碼、USBKey、LDAP（ActiveDirectory）、RADIUS	Active Directory、LDAP、 RADIUS、USB-KEY、LOCAL DATABASE、Secur ID,手機(jī)短信認(rèn)證
	用戶權(quán)限管理	支持	支持	支持
	數(shù)字證書認(rèn)證	支持	支持	支持
	是否支持現(xiàn)有用戶數(shù)據(jù)庫(kù)	是	是	是
管理	集中管理	支持	支持	支持
	管理平臺(tái)	Win98/NT/2000；工具（ SSH、WebUI、Console）	Win 98/NT/2000/XP	Win 98/NT/2000/XP
	遠(yuǎn)端管理	支持	支持	支持
	分層管理	支持	支持	不支持
	實(shí)時(shí)統(tǒng)計(jì)信息	支持	不支持	不支持
價(jià)格		210000人民幣/1000用戶	24570人民幣	Win 98/NT/2000/XP

認(rèn)證方式
         識(shí)別用戶并把它們歸到某個(gè)組里是部署SSL VPN至關(guān)重要的一部分。RADIUS服務(wù)器應(yīng)用非常普遍。有的產(chǎn)品可以極為靈活地從RADIUS服務(wù)器里獲得組信息。在其他產(chǎn)品里，RADIUS用戶不得不通過(guò)一些手段鏡像到組里去。對(duì)于多數(shù)廠商而言，LDAP的支持與Active Directory的支持是同義的。SSL通常都是建立在證書基礎(chǔ)之上的，因此，大家希望這些產(chǎn)品在其對(duì)公共密鑰基礎(chǔ)設(shè)施（PKI）的支持方面能夠表現(xiàn)優(yōu)異。
上述的認(rèn)證方式參測(cè)的三款產(chǎn)品都支持，值得指出的是，深信服與深圳數(shù)安的設(shè)備還支持USB Key硬件認(rèn)證方式，Array SPX 5000 5000支持 RSA SecurID。
報(bào)告與日志功能
作為安全設(shè)備，人們還希望SSL網(wǎng)關(guān)具有很強(qiáng)大的審計(jì)、日志和報(bào)告功能。希望看到有關(guān)每次修改配置的記錄，希望看到會(huì)話數(shù)據(jù)，以顯示用戶何時(shí)登錄、何時(shí)退出的，以及用戶消耗了多少資源。也希望看到交易統(tǒng)計(jì)數(shù)據(jù)。參測(cè)設(shè)備都對(duì)用戶各類信息做了詳細(xì)日志。Sinfor SSL VPN提供了調(diào)試、信息、告警、錯(cuò)誤的4個(gè)級(jí)別運(yùn)行日志，幫助管理診斷系統(tǒng)。
3款產(chǎn)品除了擁有需要的記錄之外，還可以使用FTP、SMTP或者安全拷貝自動(dòng)把其記錄上傳至服務(wù)器的某個(gè)地方。還可以選擇某些特殊的用戶和應(yīng)用，并提供日志水平。不論用戶是出于調(diào)試目的，還僅僅是為了更密切地觀察系統(tǒng)的某個(gè)部分，這都是一項(xiàng)很好的企業(yè)級(jí)特性。
有的產(chǎn)品不僅能顯示誰(shuí)登錄了，還能顯示系統(tǒng)本身是如何運(yùn)行的?？梢燥@示多個(gè)圖表，網(wǎng)管能夠清楚地知道CPU、內(nèi)存和I/O負(fù)載情況。Array SPX 5000在這方面就表現(xiàn)不錯(cuò)，前面板的實(shí)時(shí)統(tǒng)計(jì)信息使管理員對(duì)系統(tǒng)運(yùn)行情況一目了然，通過(guò)圖形化的界面顯示系統(tǒng)實(shí)時(shí)的各種參數(shù)，包括CPU利用率、端口流量、SSL連接數(shù)、登錄/退出數(shù)量、并發(fā)用戶連接情況等各項(xiàng)信息。實(shí)現(xiàn)對(duì)系統(tǒng)的實(shí)時(shí)監(jiān)控。其他兩款產(chǎn)品則沒(méi)有實(shí)時(shí)統(tǒng)計(jì)信息。

測(cè)試感言：功能最影響用戶選擇
         功能是SSL VPN設(shè)備的一個(gè)基礎(chǔ)，由于經(jīng)過(guò)多年的網(wǎng)絡(luò)建設(shè)，用戶在網(wǎng)絡(luò)構(gòu)建時(shí)，無(wú)論是物理層面還是應(yīng)用層面，都形成一個(gè)相對(duì)復(fù)雜而獨(dú)具特點(diǎn)的環(huán)境，因此，設(shè)備性能再好，安全性再高，如果對(duì)用戶的應(yīng)用系統(tǒng)無(wú)法進(jìn)行正常轉(zhuǎn)換，那么根本談不上部署。比如，某用戶在前幾年習(xí)慣了Java平臺(tái)的應(yīng)用（包括中間件的使用），當(dāng)希望部署某國(guó)外品牌時(shí)，該應(yīng)用無(wú)法通過(guò)SSL VPN設(shè)備進(jìn)行正常連接；另一用戶的業(yè)務(wù)系統(tǒng)必須通過(guò)ActiveX實(shí)現(xiàn)，在部署某款SSL VPN時(shí)同樣無(wú)法達(dá)到正常工作的目的。
        通過(guò)功能的測(cè)試，我們感覺(jué)到，SSL VPN在功能方面已經(jīng)不存在任何應(yīng)用障礙了。當(dāng)去年國(guó)外同行進(jìn)行SSL VPN測(cè)試的時(shí)候，他們還感覺(jué)到許多應(yīng)用類型無(wú)法支持。如今當(dāng)時(shí)的困難都被很好解決。
        因此，目前來(lái)講，SSL VPN網(wǎng)關(guān)只剩下一個(gè)障礙，那就是子網(wǎng)對(duì)子網(wǎng)的安全連接問(wèn)題。在邏輯上分析，我們認(rèn)為遠(yuǎn)程連接領(lǐng)域SSL VPN優(yōu)勢(shì)十分明顯，但是某些用戶如果同時(shí)需要遠(yuǎn)程連接和子網(wǎng)對(duì)子網(wǎng)的安全連接，那么IPSec VPN就會(huì)體現(xiàn)出優(yōu)勢(shì)。因此，一些廠商認(rèn)識(shí)到這種問(wèn)題后，推出集成IPSec與SSL VPN于一體的設(shè)備，如果用戶需要同時(shí)采用兩種類型VPN，這種一體化設(shè)備是一種不錯(cuò)的選擇。
        關(guān)于URL加密的功能成為我們此次測(cè)試的一個(gè)問(wèn)題，如果設(shè)備默認(rèn)支持此功能而且無(wú)法將它取消，那么就無(wú)法進(jìn)行我們的測(cè)試，因此對(duì)此功能最好能夠提供可選的“按鈕”，當(dāng)正常使用時(shí)開(kāi)啟該功能以提高安全性，而在設(shè)備部署、調(diào)試、測(cè)試階段則關(guān)閉該功能以完成測(cè)試工作。
        對(duì)用戶來(lái)說(shuō)要挑選一個(gè)明顯的最愛(ài)比較困難，有的提供了一個(gè)成熟的應(yīng)用層防火墻，有的提供了范圍廣泛的應(yīng)用轉(zhuǎn)換功能。產(chǎn)品是否最終令人滿意，還取決于用戶對(duì)自己應(yīng)用需求的了解程度，用戶需要記?。骸斑m合自己的才是最好的?！?BR>

測(cè)試方法         由于SSL VPN最近幾年才逐漸成熟，因此對(duì)其進(jìn)行測(cè)試時(shí)業(yè)界還沒(méi)有形成一個(gè)十分成熟完善的測(cè)試方案，我們參照國(guó)際上較為認(rèn)可的方法并結(jié)合目前SSL VPN的發(fā)展情況，制定出如下測(cè)試方法。其中主要包括性能測(cè)試、安全測(cè)試以及功能測(cè)試三個(gè)方面。 性能測(cè)試         在性能測(cè)試方面，我們使用思博倫通信公司的兩臺(tái)Avalanche 2500進(jìn)行測(cè)試，所有結(jié)果均用樸實(shí)的數(shù)字說(shuō)話。在所有5個(gè)測(cè)試項(xiàng)目中，每款設(shè)備均測(cè)試3遍，結(jié)果取其平均值。         測(cè)試指標(biāo)1：新建用戶速率（setup/teardown rate）         在每項(xiàng)性能指標(biāo)測(cè)試中， 我們都模擬了真實(shí)環(huán)境中的一系列用戶動(dòng)作，即從用戶登錄SSL VPN網(wǎng)關(guān)到執(zhí)行各類請(qǐng)求，再到退出。我們把用戶動(dòng)作描述出來(lái)，希望讀者對(duì)我們的測(cè)試細(xì)節(jié)都能夠了解得更加清晰。         指標(biāo)含義：新建用戶速率是指設(shè)備每秒鐘可以新建立的用戶連接數(shù)目，也稱為會(huì)話速率，即每秒鐘可以建立和終止的SSL會(huì)話數(shù)目（會(huì)話可以理解為客戶端到網(wǎng)關(guān)的一次連接，即瀏覽器的一次Web 頁(yè)面訪問(wèn)）。這個(gè)參數(shù)很大程度上決定了用戶能夠體驗(yàn)到的連接速度。通常，達(dá)到100左右數(shù)值的會(huì)話速率，一般可以滿足大部分用戶的應(yīng)用需求。         測(cè)試步驟：第一步，在32秒（一般為30秒，由于結(jié)果文件中每4秒統(tǒng)計(jì)數(shù)值，為了便于記錄結(jié)果我們將第一步設(shè)為32秒）內(nèi)壓力從0 Simusers（Simusers為Avalanche 2500中模擬的用戶單位，一個(gè)Simuser為一個(gè)模擬用戶）上升到N Simusers，N為預(yù)計(jì)的最大速率；第二步，維持第一步的最高壓力120秒；第三步，20秒內(nèi)將壓力降為0，測(cè)試結(jié)束。         用戶動(dòng)作：測(cè)試儀器模擬的用戶，在登錄后取一個(gè)1024Byte的文件后退出。 結(jié)果衡量：在第二步維持120秒的后60秒，我們計(jì)算該時(shí)間段內(nèi)的平均速率（將成功建立的用戶連接數(shù)除以60）。         測(cè)試指標(biāo)2：最大并發(fā)用戶數(shù)         指標(biāo)含義：設(shè)備同時(shí)可以支持的用戶連接數(shù)。         最大并發(fā)用戶數(shù)指同時(shí)通過(guò)SSL VPN 來(lái)訪問(wèn)內(nèi)部網(wǎng)的用戶數(shù)目。同時(shí)在線用戶數(shù)也是一個(gè)非常重要的參數(shù)，即同一時(shí)間 SSL VPN 所能保持的會(huì)話數(shù)目，它通常在幾百到幾千之間，同時(shí)在線用戶越多，每位用戶所感受到的速度越慢。         測(cè)試步驟：第一步，32秒內(nèi)壓力從0 Simusers/秒上升到新建速率的80％；第二步，維持第一步的最高壓力300秒；第三步，20秒內(nèi)將壓力降為0，測(cè)試結(jié)束。 用戶動(dòng)作：測(cè)試儀模擬的用戶，在登錄以后取一個(gè)1024Byte的文件，該文件的延遲（文件的延遲時(shí)間為用戶從發(fā)起請(qǐng)求到測(cè)試儀器響應(yīng)用戶的時(shí)間）為0秒，之后重復(fù)取一個(gè)延遲為60秒的文件10次，即一個(gè)用戶至少10分鐘后才會(huì)退出。 結(jié)果衡量：我們把用戶成功取得沒(méi)有延遲的文件數(shù)目作為最大并發(fā)用戶數(shù)（因?yàn)槊總€(gè)成功登錄的用戶都會(huì)取得該文件，并且在我們的測(cè)試時(shí)間內(nèi)不會(huì)退出而形成與所有其他用戶的并發(fā)）。                  測(cè)試指標(biāo)3：OWA性能         指標(biāo)含義：設(shè)備每秒鐘可以完成的郵件系統(tǒng)操作。         測(cè)試步驟：第一步，在32秒內(nèi)壓力從0 Simusers上升到N Simusers；第二步，維持第一步的最高壓力120秒；第三步，20秒內(nèi)將壓力降為0，測(cè)試結(jié)束。         用戶動(dòng)作：測(cè)試儀模擬的用戶，在登錄以后發(fā)出大量的郵件系統(tǒng)請(qǐng)求（測(cè)試儀為用戶模擬了Outlook的收件箱），請(qǐng)求數(shù)量為79個(gè)，然后退出。         結(jié)果衡量：在第二步維持120秒的后60秒，我們計(jì)算該時(shí)間段內(nèi)的平均速率（將成功建立的用戶連接數(shù)除以60）。                 測(cè)試指標(biāo)4: DDoS攻擊下的OWA性能         指標(biāo)含義：設(shè)備在DDoS攻擊下每秒鐘可以完成的郵件系統(tǒng)操作。         測(cè)試步驟：測(cè)試步驟同OWA性能測(cè)試，只是在測(cè)試過(guò)程中同時(shí)對(duì)SSL VPN網(wǎng)關(guān)設(shè)備進(jìn)行DDoS攻擊。我們選擇了較為常見(jiàn)的Synflood攻擊。         用戶動(dòng)作：測(cè)試儀模擬的用戶，在登錄以后發(fā)出大量的郵件系統(tǒng)請(qǐng)求，請(qǐng)求數(shù)量為79個(gè)，然后退出。此過(guò)程同OWA性能測(cè)試，只是在測(cè)試過(guò)程中測(cè)試儀同時(shí)向被測(cè)設(shè)備發(fā)送Synflood攻擊數(shù)據(jù)包。         結(jié)果衡量：在第二步維持120的后60秒，我們計(jì)算該時(shí)間段內(nèi)的平均速率。         測(cè)試指標(biāo)5：實(shí)際吞吐量（Goodput）         指標(biāo)含義：實(shí)際吞吐量也稱為設(shè)備轉(zhuǎn)發(fā)速率，它指的是SSL VPN網(wǎng)關(guān)最快可以在每秒鐘內(nèi)轉(zhuǎn)發(fā)多少數(shù)據(jù)流量。         測(cè)試步驟：第一步，在32秒內(nèi)壓力從0 Simusers上升到N Simusers；第二步，維持第一步的最高壓力120秒；第三步，20秒內(nèi)將壓力降為0，測(cè)試結(jié)束。         用戶動(dòng)作：測(cè)試儀模擬的用戶，在登錄以后從一個(gè)模擬的Web服務(wù)器取一個(gè)1MByte的文件，然后從另外一個(gè)Web服務(wù)器取一個(gè)1Mbyte的文件，交替此過(guò)程10遍，一共從服務(wù)器取20Mbyte數(shù)據(jù)，然后退出。         結(jié)果衡量：在第二步維持120秒的后60秒，我們將用戶從測(cè)試儀模擬的Web服務(wù)器取得的數(shù)據(jù)流量進(jìn)行平均，得出設(shè)備的實(shí)際吞吐量。 安全測(cè)試         我們認(rèn)為，安全產(chǎn)品最不能忽視其安全性。         在安全性測(cè)試中，我們使用商業(yè)掃描器（Scanner）產(chǎn)品——安氏領(lǐng)信網(wǎng)絡(luò)掃描器（LinkTrust Network Scanner）對(duì)被測(cè)設(shè)備進(jìn)行安全測(cè)試。測(cè)試時(shí)只針對(duì)一種VPN配置進(jìn)行，即僅提供最基本的Web應(yīng)用的情況。         掃描器會(huì)對(duì)設(shè)備開(kāi)放端口、警告以及漏洞信息給出詳細(xì)報(bào)告，具體分析每種情況的危害程度以及防范補(bǔ)救措施等。 功能測(cè)試         在功能測(cè)試方面我們主要進(jìn)行了兩部分測(cè)試。一部分測(cè)試設(shè)備對(duì)應(yīng)用類型的支持能力，被測(cè)設(shè)備廠商工程師向我們演示了盡量多的應(yīng)用類型，包括FTP、網(wǎng)絡(luò)文件系統(tǒng)、文件服務(wù)器、P2P等。另一部分測(cè)試設(shè)備本身在管理使用方面的功能特性，主要涉及訪問(wèn)控制、認(rèn)證集成、報(bào)告與日志以及配置、安裝和易用性等管理特性。 編輯推薦獎(jiǎng)：Array SPX 5000         此次測(cè)試，我們主要關(guān)注四個(gè)方面：性能、安全、功能和價(jià)格，在進(jìn)行整體考核時(shí)的權(quán)重為：性能占40%，功能占30％，安全占20％，價(jià)格占10％。         參測(cè)三款SSL VPN網(wǎng)關(guān)全部順利完成我們各項(xiàng)測(cè)試，其中，深信服Sinfor SSL VPN Express 雖然在性能、功能各方面表現(xiàn)不很突出，但是價(jià)格非常便宜，且集成了防火墻，對(duì)于其“中小企業(yè)”定位用戶來(lái)說(shuō)是個(gè)不錯(cuò)的選擇。深圳數(shù)安RAP 1000-X在功能方面已經(jīng)十分豐富，對(duì)于使用百兆環(huán)境的用戶來(lái)說(shuō)，已基本可以滿足需求。         Array Networks SPX－5000表現(xiàn)出眾，該產(chǎn)品性能優(yōu)異——無(wú)論是最大并發(fā)連接數(shù)還是新建連接速率以及實(shí)際吞吐量都可輕松滿足高端企業(yè)級(jí)應(yīng)用；功能全面——對(duì)各種類型應(yīng)用做到很好支持；安全性能較高—我們嚴(yán)格的網(wǎng)絡(luò)掃描測(cè)試中沒(méi)有出現(xiàn)任何漏洞，技術(shù)工程師也給我們的測(cè)試充分的支持。綜合各項(xiàng)測(cè)試內(nèi)容，Array Networks的SPX 5000成績(jī)最為優(yōu)秀。 來(lái)源：CCW