2005年度SSL VPN網(wǎng)關(guān)公開比較測試報告

申請免費試用、咨詢電話：400-8352-114

文章來源：泛普軟件

在VPN領域，SSL VPN無疑是個新貴，由于其與生俱來在遠程安全連接方面的優(yōu)勢，近幾年逐漸受到業(yè)界的追捧?？傮w來看，SSL VPN還沒有達到廠商們期望的大規(guī)模應用，然而最近的種種跡象表明，SSL VPN正在進行一場轟轟烈烈的開辟新天地運動。至于具體倚仗哪些優(yōu)勢，在整體性能、功能方面有哪些最新進展，本測試報告向讀者一一道來。

一份最新研究表明近90%的企業(yè)利用VPN進行的內(nèi)部網(wǎng)和外部網(wǎng)的連接都只是用來進行Internet訪問和電子郵件通信，而這些應用都利用了一種更加簡單的VPN技術(shù)——SSL VPN?；赟SL協(xié)議的VPN遠程訪問方案的確更加容易配置和管理，由于不需要客戶端軟件，網(wǎng)絡配置成本比起目前主流的IPSec VPN要低很多，所以許多企業(yè)已經(jīng)開始利用基于SSL加密協(xié)議的遠程訪問技術(shù)來實現(xiàn)VPN通信了。

SSL VPN是最近幾年才逐步發(fā)展成熟的，但是當去年某些機構(gòu)對其進行全面測試時，可以說并沒有滿足用戶對其較高的期望。相反，許多基本的問題還沒有解決好。時間過去一年多，目前該領域發(fā)展到了何種程度？在目前的市場上已經(jīng)出現(xiàn)了一些廠商的產(chǎn)品與解決方案，它們的優(yōu)劣都在哪里？與世界最先進的水平相比，多數(shù)SSL VPN設備的整體水平如何？帶著這些問題，《網(wǎng)絡世界》評測實驗室組織了2005年度SSL VPN網(wǎng)關(guān)公開比較評測。

由于目前市場中的SSL VPN網(wǎng)關(guān)設備并不是特別多，此次評測并沒有對參測設備進行詳細劃分級別。我們向所有主流SSL VPN設備廠商發(fā)出了邀請，最后有三家廠商接受邀請，送來參測設備并且順利完成我們的所有測試內(nèi)容，它們是深信服科技的Sinfor SSL VPN Express、Array Networks的SPX 5000和深圳數(shù)安的RAP 1000-X。其中，Array Networks的SPX 5000為千兆產(chǎn)品，其他兩家產(chǎn)品為百兆設備。

我們還要特別感謝思博倫通信公司提供了Avalanche測試儀，安氏公司提供領信網(wǎng)絡掃描軟件。同時也對這些勇于參加此次SSL VPN網(wǎng)關(guān)公開比較評測的廠商表示贊賞。

● 性能測試——隨著軟硬件技術(shù)的進步，性能有大幅提高，滿足企業(yè)要求綽綽有余；
● 安全測試——盡管在網(wǎng)絡中處于防火墻之后，但是某些設備本身仍存在一定安全風險；
●功能測試——經(jīng)過近一兩年的發(fā)展，功能已經(jīng)獲得巨大突破，可以輕松應對用戶復雜應用。

性能測試 用數(shù)據(jù)說話

性能表現(xiàn)是所有網(wǎng)絡設備極其重要的一個方面，也是我們此次測試的一個重點。SSL VPN網(wǎng)關(guān)設備的性能參數(shù)中，比較重要的幾個是新建用戶速率（setup/teardown速率）、最大并發(fā)用戶數(shù)、郵件系統(tǒng)性能以及設備的實際吞吐量（Goodput）等。

setup/teardown速率

setup/teardown速率反映了設備每秒鐘可以新建的用戶數(shù)目，Array Networks的SPX 5000可以達到982個/秒，從我們以往測試服務器的經(jīng)驗來看，這一結(jié)果完全超過了一臺高端PC Web服務器的極限，只有后臺使用更高端服務器或者服務器集群才能提供如此高的性能；深信服的Sinfor SSL VPN Express結(jié)果為98個/秒，深圳數(shù)安的RAP 1000-X達到138.4個/秒，我們認為該數(shù)值也足以滿足大型企業(yè)級用戶的要求了。

最大并發(fā)用戶數(shù)

最大并發(fā)用戶數(shù)反映設備同時提供服務的最大用戶數(shù)目，讀者需要注意，此數(shù)值并非使用SSL VPN設備的用戶總數(shù)（很顯然，并不是所有需要使用設備的用戶都隨時在線）。據(jù)稱，Array Networks的SPX 5000 的最大并發(fā)用戶數(shù)可以達到64000，我們測試結(jié)果為57063；深信服Sinfor SSL VPN Express為150，深圳數(shù)安RAP 1000-X為249。
OWA性能

OWA（Outlook Web Access）性能反映的是設備在承載Outlook Web郵件系統(tǒng)的性能表現(xiàn)，由于郵件系統(tǒng)在SSL VPN的應用中占很大比例，而Outlook郵件系統(tǒng)又具有普遍意義，因此此項結(jié)果在用戶使用郵件系統(tǒng)時有很大參考意義。Array Networks的SPX 5000測試結(jié)果為7237 會話/秒；深信服RAP 1000-X為207 會話/秒，深圳數(shù)安RAP 1000-X為396.45會話/秒。

DDoS攻擊下的OWA性能

DDoS攻擊是網(wǎng)絡中十分普遍的攻擊類型，我們考察了SSL VPN設備在遭受DDoS攻擊下的Web郵件系統(tǒng)應用的性能表現(xiàn)。從我們以往對各類安全設備進行測試經(jīng)驗來看，設備對攻擊的防范能力不容小視，有些防范能力較差的設備在攻擊面前束手無策，很容易造成設備工作不正常。從我們的測試結(jié)果來看，所有參測設備在攻擊下的性能都有小幅下降，Array Networks的SPX 5000測試結(jié)果為7030會話/秒，下降大約2.86％；深信服Sinfor SSL VPN Express為203會話/秒，下降大約1.93％，深圳數(shù)安RAP 1000-X為395.78會話/秒，下降幅度最低，僅為0.17％。

Goodput

按照RFC 2647的定義，我們測試了被測設備最大HTTP實際吞吐量（Goodput)。在我們的測試環(huán)境下的結(jié)果是，作為千兆設備的Array Networks SPX 5000為160.352Mbps，深信服Sinfor SSL VPN Express為34.199Mbps，深圳數(shù)安RAP 1000-X為29.864Mbps。需要說明的是，所有參測設備都沒有提供數(shù)據(jù)壓縮功能。

測試感言：性能已不是問題

從我們的測試結(jié)果來看，性能已經(jīng)可以完全滿足用戶在遠程安全連接方面的需求。據(jù)我們了解，即便是最高端的用戶，也很少會分配高達100Mbps的帶寬給SSL VPN應用，再加上Internet網(wǎng)速受多方面影響，因此，從實際吞吐量角度，100Mbps是實際應用環(huán)境的極限，所有超過100Mbps的設備都無法充分展示拳腳。但是VPN設備可以提供數(shù)據(jù)壓縮能力，即數(shù)據(jù)經(jīng)過壓縮后向外網(wǎng)發(fā)送，這可使用戶更加有效地利用昂貴的帶寬資源。從我們查到的資料來看，有些廠商在這方面的技術(shù)比較先進，數(shù)據(jù)壓縮比例可以達到5:1，遺憾的是此次參測的三款產(chǎn)品都沒有提供該功能，因此我們測試時并沒有考察數(shù)據(jù)壓縮時的性能表現(xiàn)。

 從最大并發(fā)用戶數(shù)角度來看，采取SSL VPN方式，按照慣例一般取1∶10的比例（如果1000個人都可能采取VPN方式，同一時間會有100個人利用VPN隧道），這一點用戶在購買設備時也應該注意——在購買IPSec  VPN時，1000個用戶需要購買1000個客戶端許可證，而如果使用SSL VPN，則可以按照100個并發(fā)用戶數(shù)購買。

用戶在部署SSL VPN之前一定要對設備進行性能測試，一方面能夠?qū)υO備的性能表現(xiàn)有確切掌握，另一方面可以根據(jù)實際網(wǎng)絡應用環(huán)境進行合理購買。

安全測試  安全等級我做主

采用配置“最安全的簡單Web應用”，然后測試VPN設備的安全性能。我們發(fā)現(xiàn)，有的SSL VPN設備在安全性方面不容樂觀。我們使用安氏領信網(wǎng)絡掃描器對參測設備進行了全面的安全掃描，掃描報告中詳細列出設備存在的安全漏洞、安全警告、安全提示以及打開端口信息。漏洞對于安全設備來說，是應該盡量避免的，黑客可以輕松掃描出設備的漏洞，利用漏洞進行攻擊。警告和提示也不容忽視，它可能是不太嚴重的安全威脅，也可能是不易被利用的安全弱點。黑客還可以通過打開端口獲得設備正在提供的服務。
         結(jié)果發(fā)現(xiàn)，Array SPX 5000安全性很高，沒有發(fā)現(xiàn)任何漏洞，但是出現(xiàn)了一些安全警告。
         深信服Sinfor SSL VPN Express在對SSL協(xié)議進行開發(fā)時遺留一個漏洞，該漏洞會導致設備容易受到DoS攻擊，同時還有一些安全警告，但是，上文也提到，該設備本身默認配備了防火墻系統(tǒng)，整體的安全性已經(jīng)比較高。
深圳數(shù)安的設備掃描結(jié)果為28個漏洞，15個安全警告。經(jīng)過廠商工程師的安全配置更改以及漏洞修補工作，漏洞全部消除，剩余5個安全警告。
測試感言：安全產(chǎn)品最不能忽視安全！
        由于SSL VPN在功能方面已經(jīng)十分強大，但是功能多的同時也在安全性方面帶來更多隱患。比如，如果只是提供最基本的Web轉(zhuǎn)換功能，即用戶只通過HTTPS訪問Web服務器內(nèi)容，那么設備只需打開443端口即可，而如果用戶需要文件服務，則必需打開更多端口，端口和服務開啟越多, 安全隱患也就越多。因此，設備的安全性在一定程度上是由設備管理員來決定的，如果應用類型對用戶業(yè)務十分關(guān)鍵，機密性較強，那么則開啟最少的端口和服務，反之，如果應用為一般類型，對業(yè)務并不是十分關(guān)鍵，那么就可以多開啟一些服務，雖然安全性降低一些，但是為遠程用戶帶來多一些的便利。我們測試的是在開啟最簡單功能、最少端口和服務的情況下設備本身的安全性。
         安全性的問題很復雜，它涉及到整個系統(tǒng)的方方面面，從操作系統(tǒng)到開發(fā)平臺，從程序代碼到系統(tǒng)配置，可以說，一個成熟而相對安全的系統(tǒng)需要花費巨大的人力物力，當然還需要在紛繁復雜的不安全環(huán)境下接受各類考驗。
         在性能測試中的DDOS下的性能也反映了產(chǎn)品的安全性，有些設備在正常使用環(huán)境下性能很好，但是對DDOS攻擊幾乎無法進行任何防范。

功能測試  應對復雜功能   我能
        在確定測試方案之前我們認為，SSL VPN設備在功能方面的表現(xiàn)可能是制約其獲得大規(guī)模部署的一個重要因素。原因在于，一年以前，國外的測試同行們對多款業(yè)界主流產(chǎn)品進行測試后發(fā)現(xiàn)，多數(shù)產(chǎn)品所能支持的應用轉(zhuǎn)換和代理的數(shù)量非常少，同時，功能方面是SSL VPN設備之間差別最突出，也最影響它們在實際環(huán)境中的部署。帶著這些疑問，我們制定了功能方面的考量內(nèi)容，主要包括支持應用類型、數(shù)據(jù)壓縮功能、安全功能、認證方式以及報告與日志方面。
        如前文所述，數(shù)據(jù)壓縮功能對SSL VPN網(wǎng)關(guān)這種依靠互聯(lián)網(wǎng)帶寬資源的設備來說十分必要。盡管有些設備稱支持該功能，但遺憾的是送測產(chǎn)品都沒有提供該功能。
支持應用類型
        我們認為，SSL VPN網(wǎng)關(guān)對應用的支持大致分為4個層面。第一個層面為Web資源映射。從SSL VPN最初的應用情況來看，主要有Web服務器資源映射，也叫作代理Web頁面。這是SSL VPN最基本的應用支持類型，因此如果用戶希望通過Web資源映射來收發(fā)E-mail，則只能使用Web mail的方式。第二個層面為文件共享等應用。比如非Web頁面的文件共享，必需經(jīng)過轉(zhuǎn)換才能夠發(fā)往客戶端。SSL VPN網(wǎng)關(guān)與企業(yè)網(wǎng)內(nèi)部的微軟CIFS或FTP服務器通信，將這些服務器對客戶端的響應轉(zhuǎn)化為HTTPS協(xié)議和HTML格式發(fā)往客戶端，終端用戶感覺這些應用就是一些基于Web的應用。第三個層面為C/S應用代理，它需要在終端系統(tǒng)上運行一個非常小的Java或ActiveX程序作為端口轉(zhuǎn)發(fā)器，監(jiān)聽某個端口上的連接。當數(shù)據(jù)包進入這個端口時，它們通過SSL連接中的隧道被傳送到SSL VPN網(wǎng)關(guān)中，SSL VPN網(wǎng)關(guān)解開封裝的數(shù)據(jù)包，將它們轉(zhuǎn)發(fā)給目的應用服務器。第四個層面應用為網(wǎng)絡擴展。它將終端用戶系統(tǒng)連接到企業(yè)網(wǎng)上，并根據(jù)網(wǎng)絡層信息（如目的IP地址和端口號）進行接入控制。
        對于用戶來說，第一個層面的應用是必須的（如果設備連此應用都無法滿足，那它也就不能稱為SSL VPN了），而文件共享和C/S應用代理的需要也比較大，因此大多數(shù)用戶會要求SSL VPN能夠支持這兩種應用，至于網(wǎng)絡擴展應用，一般使用較少，而且由于該功能會給整個內(nèi)部網(wǎng)絡帶來更多安全隱患，因此必須使用該功能的用戶也需要謹慎使用。
        Web資源映射功能     Array SPX 5000采用Web資源映射功能（Web Resource Mapping，WRM）來實現(xiàn)，用戶不需要改變內(nèi)網(wǎng)的Web結(jié)構(gòu)，在Array SPX 5000上設置在內(nèi)網(wǎng)訪問的URL即可。深信服公司采用HTML智能重構(gòu)技術(shù)來實現(xiàn)Web映射，把企業(yè)內(nèi)部的Web服務器映射成SSL主機的一個子目錄來訪問（該子目錄是一個無意義的字符串）。
        Sinfor SSL VPN對用戶鏈接做識別，重寫HTML并將其轉(zhuǎn)換成HTTPS的有效鏈接，Sinfor SSL VPN并不重寫所有HTML代碼，而是根據(jù)智能搜索引擎判斷出需要重構(gòu)的網(wǎng)頁再加以修改。Sinfor SSL VPN提供了基于Web方式的郵件收發(fā)系統(tǒng)，方便了沒有郵件客戶端的用戶。深圳數(shù)安RAP服務器上模擬一個Web解析服務器，動態(tài)解析遠程客戶對內(nèi)網(wǎng)Web服務器請求，RAP監(jiān)聽到遠程客戶訪問內(nèi)網(wǎng)Web服務器的URL后，通過RAP向內(nèi)網(wǎng)服務器取動態(tài)請求，內(nèi)網(wǎng)Web服務器就像響應普通內(nèi)網(wǎng)客戶端的請求一樣響應RAP的請求。
        共享文件    Array SPX 5000支持Windows和Unix的文件共享，將內(nèi)網(wǎng)共享文件，通過Web的方式提供給用戶，用戶可以在Web頁面中下載、上傳文件。Sinfor SSL VPN提供了基于Web的FTP系統(tǒng)，用戶可以下載上傳文件。針對標準的TCP協(xié)議，深圳數(shù)安RAP可以實現(xiàn)active模式FTP、passive模式FTP、Telnet等應用的支持。

        C/S應用代理      Array SPX 5000采用Application Manager模塊來實現(xiàn)C/S應用代理。多數(shù)C/S結(jié)構(gòu)應用系統(tǒng)的訪問都是通過幾個固定TCP端口，對于這幾個TCP端口，SPX 5000啟動Application Manager功能，客戶端將下載Java Applet作為TCP PROXY運行在客戶端，它偵聽客戶端發(fā)往服務器方的TCP端口的請求，并把請求通過SSL連接發(fā)給SPX 5000，SPX 5000將終結(jié)和SSL的連接并和內(nèi)網(wǎng)應用服務器建立連接，發(fā)送請求。當用戶具有C/S服務的訪問權(quán)限時，瀏覽器會下載一個ActiveX控件。該控件提供基于SSL協(xié)議的C/S訪問服務。
        SinforProxy提供了一種類似于IPSec VPN的數(shù)據(jù)包截取技術(shù)，當網(wǎng)絡連接發(fā)生時，SinforProxy會依據(jù)條件截取該連接并轉(zhuǎn)向到SSL隧道，使后續(xù)數(shù)據(jù)發(fā)送或接收都從SSL隧道傳輸。依賴此技術(shù)，Sinfor SSL VPN可以輕松做到將內(nèi)網(wǎng)的多臺服務器所有端口提供給客戶端。在RAP的服務器上注冊了各種內(nèi)部的C/S應用服務器IP、端口和協(xié)議等信息；當客戶端請求建立某個C/S應用請求時，RAP服務器端會主動PUSH一個Java Applet到客戶端，實時監(jiān)聽客戶端到當前C/S應用的原內(nèi)網(wǎng)地址信息和端口，協(xié)議信息等，客戶端Java Applet把監(jiān)聽到所有信息通過SSL加密后在Internet上傳回到RAP服務器上，RAP服務器解密該數(shù)據(jù)包，把這些原始信息像在內(nèi)網(wǎng)的訪問一樣傳給真正的內(nèi)部C/S服務器，內(nèi)網(wǎng)C/S應用服務器正常響應此請求，像內(nèi)網(wǎng)訪問一樣返回數(shù)據(jù)包到RAP，RAP加密此數(shù)據(jù)包通過Internet傳輸給遠程的客戶端。
        網(wǎng)絡擴展     對于UDP應用，SPX 5000采用三層虛擬通道技術(shù)來實現(xiàn)，此項功能是在客戶端和SPX 5000之間通過SSL連接建立一條虛擬通道，客戶端將會生成一個虛擬網(wǎng)卡，并修改本機的路由表。這樣，客戶端虛擬網(wǎng)卡上就會配備一個和內(nèi)網(wǎng)地址體系一致的網(wǎng)址，并通過這條虛擬通道直連到內(nèi)網(wǎng)，就好像客戶端機器在內(nèi)部一樣。一旦網(wǎng)絡層隧道建立后，所有基于IP的應用都可以實現(xiàn)。可實現(xiàn)包括B/S、C/S架構(gòu)的應用，也可實現(xiàn)TCP的應用。深圳數(shù)安RAP 1000X的實現(xiàn)方式是，當客戶端遠程請求建立SSL通道的時候，客戶端動態(tài)生成RAP虛擬的網(wǎng)絡設備，并且通過RAP動態(tài)獲得內(nèi)網(wǎng)IP地址，此時，客戶端的IP就變成了內(nèi)網(wǎng)IP，只能訪問內(nèi)網(wǎng)指定的服務器或相應服務器的相應的端口。深信服設備沒有提供該類型應用的支持。

安全功能
        由于SSL VPN設備最重要的使用環(huán)境為遠程安全連接，因此，安全是其必不可少的功能。
        URL加密是提高安全性的一個措施，有些設備也稱之為URL隱藏功能，在IE瀏覽器的URL框中，地址是一串不能讀懂的亂碼，而且每次用戶登錄都會發(fā)生實時改變。這種方式的好處是遠程用戶不能使用Ping命令找到該服務器的網(wǎng)址，因此可以避免對該服務器的網(wǎng)絡攻擊。有些廠商的產(chǎn)品默認為URL隱藏，因此無法進行多項性能測試，進而很遺憾沒有參加我們的測試。有些廠商的設備沒有此功能。而測試工程師認為，最好像Array的設備那樣，將此功能設置為可選，這樣如果用戶需要增加安全性，則開啟此功能，而在調(diào)試、測試階段則可以不必開啟此功能。深信服沒有URL加密功能，而深圳數(shù)安的設備默認開啟URL加密功能，但是針對我們的測試進行了特定的改進，從而也可以不啟動URL加密功能。
        超時檢測、清除緩存、客戶端安全掃描也是針對用戶遠程連接所設計的安全功能。超時檢測功能是當用戶登錄設備后而沒有任何動作并超過一定時限后將該用戶自動退出系統(tǒng)?？蛻舳司彌_區(qū)及臨時文件清除功能就是在SSL VPN的遠程訪問結(jié)束后，自動清除留在遠程訪問設備緩沖區(qū)中的臨時文件和數(shù)據(jù)。清除緩存功能不僅非常必要，而且，不支持這項功能的SSL VPN產(chǎn)品會對企業(yè)信息造成嚴重危害。IE瀏覽器為了提高速度，常常將訪問的文件和數(shù)據(jù)放在臨時文件中。并且在退出后不會自動刪除。這樣，有經(jīng)驗的客戶可以通過瀏覽器提供的檢查臨時文件的功能，打開殘留在臨時文件目錄中的文檔，從而竊取企業(yè)機密。為了簡化用戶重復登錄，反復輸入密碼的麻煩，瀏覽器有的時候會在緩沖區(qū)中記錄用戶口令信息，這樣，在不關(guān)閉瀏覽器的時候，二次訪問需要口令的網(wǎng)址的時候，瀏覽器會自動輸入口令。因為SSL VPN的遠程用戶可能使用公共設備，如果不清除緩沖區(qū)，如果忘記關(guān)閉瀏覽器而離開，后面的用戶可以會登錄到內(nèi)部系統(tǒng)。所以，必須在會話結(jié)束后清除緩沖區(qū)。參測的三款設備都支持超時檢測和清除緩存功能。
客戶端掃描對用戶來說也是一個不錯的功能。由于使用SSL VPN以后，用戶可以使用任何設備訪問內(nèi)部資源，甚至可以使用網(wǎng)吧電腦訪問內(nèi)部系統(tǒng)。如果遠程訪問的系統(tǒng)有病毒或安全漏洞，將危害企業(yè)內(nèi)部的信息安全?？蛻舳藪呙韫δ芸梢源蟠蠼档筒《竞秃诳凸ぞ邔ζ髽I(yè)信息的危害。深圳數(shù)安和深信服的設備不支持該功能，Array設備支持該功能。Array SPX 5000可以對登錄的客戶端進行檢測，根據(jù)對客戶端特征值的檢測結(jié)果，將客戶端劃分到不同的安全訪問級別，為客戶端提供不同的功能模塊，并且可以自定義什么級別的用戶可以擁有哪些功能模塊。對于接入的客戶端，可針對以下內(nèi)容檢測客戶端的安全級別：客戶端的IP地址、客戶端的SSL證書、客戶端包含的特定文件、客戶端注冊表特定鍵值、客戶端個人防火墻檢查、客戶端防病毒軟件檢查，包括病毒庫的更新時間以及操作系統(tǒng)版本補丁檢查等。

SSL VPN網(wǎng)關(guān)功能評價表
公司名稱		Array etworks 華耀環(huán)宇科技（北京）有限公司	深圳市深信服電子科技有限公司	深圳市數(shù)安信息系統(tǒng)有限公司
產(chǎn)品名稱		SPX 5000	Sinfor SSL VPN Express	RAP 1000-X
產(chǎn)品類型（軟件、硬件）		單獨硬件	單獨硬件	單獨硬件
產(chǎn)品定位		大中型企業(yè)/電信/移動用戶	中小型企業(yè)遠程接入和辦公	中小型企業(yè)遠程接入和辦公
配置	硬盤	40G	CF 128M	40G
	CPU	AMD opteron 2.8G	P3  1G	P4 2.0G
	內(nèi)存	4G	256M	1G
	是否采用硬件加密	是	是	否
	是否有加速卡	是	否	是
	設備操作系統(tǒng)類型	ArrayOS	Linux	Linux
	支持操作系統(tǒng)類型	Windows、Linux、Unix、Macintosh、Palm OS	Windows	Windows，Linux 、Wince、Smart Phone
	提供網(wǎng)絡接口類型	10/100/1000 RJ-45、GE光口	百兆以太網(wǎng)端口、百兆管理端口	百兆以太網(wǎng)端口、百兆管理端口
	冗余部件	無	無	無
功能	HTTP壓縮	不支持	不支持（C/S應用支持）	不支持
	超時檢測	支持	支持	支持
	清除緩存記錄	支持	支持	支持
	自動升級	不支持	支持	支持
	雙機備份	支持	不支持	不支持
安全	客戶端安全掃描	支持	不支持	不支持
	身份認證方式	LocalDB/AD/LDAP/RADIUS/SecurID/證書特殊字段檢測	用戶名密碼、USBKey、LDAP（ActiveDirectory）、RADIUS	Active Directory、LDAP、 RADIUS、USB-KEY、LOCAL DATABASE、Secur ID,手機短信認證
	用戶權(quán)限管理	支持	支持	支持
	數(shù)字證書認證	支持	支持	支持
	是否支持現(xiàn)有用戶數(shù)據(jù)庫	是	是	是
管理	集中管理	支持	支持	支持
	管理平臺	Win98/NT/2000；工具（ SSH、WebUI、Console）	Win 98/NT/2000/XP	Win 98/NT/2000/XP
	遠端管理	支持	支持	支持
	分層管理	支持	支持	不支持
	實時統(tǒng)計信息	支持	不支持	不支持
價格		210000人民幣/1000用戶	24570人民幣	Win 98/NT/2000/XP

認證方式
         識別用戶并把它們歸到某個組里是部署SSL VPN至關(guān)重要的一部分。RADIUS服務器應用非常普遍。有的產(chǎn)品可以極為靈活地從RADIUS服務器里獲得組信息。在其他產(chǎn)品里，RADIUS用戶不得不通過一些手段鏡像到組里去。對于多數(shù)廠商而言，LDAP的支持與Active Directory的支持是同義的。SSL通常都是建立在證書基礎之上的，因此，大家希望這些產(chǎn)品在其對公共密鑰基礎設施（PKI）的支持方面能夠表現(xiàn)優(yōu)異。
上述的認證方式參測的三款產(chǎn)品都支持，值得指出的是，深信服與深圳數(shù)安的設備還支持USB Key硬件認證方式，Array SPX 5000 5000支持 RSA SecurID。
報告與日志功能
作為安全設備，人們還希望SSL網(wǎng)關(guān)具有很強大的審計、日志和報告功能。希望看到有關(guān)每次修改配置的記錄，希望看到會話數(shù)據(jù)，以顯示用戶何時登錄、何時退出的，以及用戶消耗了多少資源。也希望看到交易統(tǒng)計數(shù)據(jù)。參測設備都對用戶各類信息做了詳細日志。Sinfor SSL VPN提供了調(diào)試、信息、告警、錯誤的4個級別運行日志，幫助管理診斷系統(tǒng)。
3款產(chǎn)品除了擁有需要的記錄之外，還可以使用FTP、SMTP或者安全拷貝自動把其記錄上傳至服務器的某個地方。還可以選擇某些特殊的用戶和應用，并提供日志水平。不論用戶是出于調(diào)試目的，還僅僅是為了更密切地觀察系統(tǒng)的某個部分，這都是一項很好的企業(yè)級特性。
有的產(chǎn)品不僅能顯示誰登錄了，還能顯示系統(tǒng)本身是如何運行的?？梢燥@示多個圖表，網(wǎng)管能夠清楚地知道CPU、內(nèi)存和I/O負載情況。Array SPX 5000在這方面就表現(xiàn)不錯，前面板的實時統(tǒng)計信息使管理員對系統(tǒng)運行情況一目了然，通過圖形化的界面顯示系統(tǒng)實時的各種參數(shù)，包括CPU利用率、端口流量、SSL連接數(shù)、登錄/退出數(shù)量、并發(fā)用戶連接情況等各項信息。實現(xiàn)對系統(tǒng)的實時監(jiān)控。其他兩款產(chǎn)品則沒有實時統(tǒng)計信息。

測試感言：功能最影響用戶選擇
         功能是SSL VPN設備的一個基礎，由于經(jīng)過多年的網(wǎng)絡建設，用戶在網(wǎng)絡構(gòu)建時，無論是物理層面還是應用層面，都形成一個相對復雜而獨具特點的環(huán)境，因此，設備性能再好，安全性再高，如果對用戶的應用系統(tǒng)無法進行正常轉(zhuǎn)換，那么根本談不上部署。比如，某用戶在前幾年習慣了Java平臺的應用（包括中間件的使用），當希望部署某國外品牌時，該應用無法通過SSL VPN設備進行正常連接；另一用戶的業(yè)務系統(tǒng)必須通過ActiveX實現(xiàn)，在部署某款SSL VPN時同樣無法達到正常工作的目的。
        通過功能的測試，我們感覺到，SSL VPN在功能方面已經(jīng)不存在任何應用障礙了。當去年國外同行進行SSL VPN測試的時候，他們還感覺到許多應用類型無法支持。如今當時的困難都被很好解決。
        因此，目前來講，SSL VPN網(wǎng)關(guān)只剩下一個障礙，那就是子網(wǎng)對子網(wǎng)的安全連接問題。在邏輯上分析，我們認為遠程連接領域SSL VPN優(yōu)勢十分明顯，但是某些用戶如果同時需要遠程連接和子網(wǎng)對子網(wǎng)的安全連接，那么IPSec VPN就會體現(xiàn)出優(yōu)勢。因此，一些廠商認識到這種問題后，推出集成IPSec與SSL VPN于一體的設備，如果用戶需要同時采用兩種類型VPN，這種一體化設備是一種不錯的選擇。
        關(guān)于URL加密的功能成為我們此次測試的一個問題，如果設備默認支持此功能而且無法將它取消，那么就無法進行我們的測試，因此對此功能最好能夠提供可選的“按鈕”，當正常使用時開啟該功能以提高安全性，而在設備部署、調(diào)試、測試階段則關(guān)閉該功能以完成測試工作。
        對用戶來說要挑選一個明顯的最愛比較困難，有的提供了一個成熟的應用層防火墻，有的提供了范圍廣泛的應用轉(zhuǎn)換功能。產(chǎn)品是否最終令人滿意，還取決于用戶對自己應用需求的了解程度，用戶需要記?。骸斑m合自己的才是最好的?！?BR>

測試方法         由于SSL VPN最近幾年才逐漸成熟，因此對其進行測試時業(yè)界還沒有形成一個十分成熟完善的測試方案，我們參照國際上較為認可的方法并結(jié)合目前SSL VPN的發(fā)展情況，制定出如下測試方法。其中主要包括性能測試、安全測試以及功能測試三個方面。 性能測試         在性能測試方面，我們使用思博倫通信公司的兩臺Avalanche 2500進行測試，所有結(jié)果均用樸實的數(shù)字說話。在所有5個測試項目中，每款設備均測試3遍，結(jié)果取其平均值。         測試指標1：新建用戶速率（setup/teardown rate）         在每項性能指標測試中， 我們都模擬了真實環(huán)境中的一系列用戶動作，即從用戶登錄SSL VPN網(wǎng)關(guān)到執(zhí)行各類請求，再到退出。我們把用戶動作描述出來，希望讀者對我們的測試細節(jié)都能夠了解得更加清晰。         指標含義：新建用戶速率是指設備每秒鐘可以新建立的用戶連接數(shù)目，也稱為會話速率，即每秒鐘可以建立和終止的SSL會話數(shù)目（會話可以理解為客戶端到網(wǎng)關(guān)的一次連接，即瀏覽器的一次Web 頁面訪問）。這個參數(shù)很大程度上決定了用戶能夠體驗到的連接速度。通常，達到100左右數(shù)值的會話速率，一般可以滿足大部分用戶的應用需求。         測試步驟：第一步，在32秒（一般為30秒，由于結(jié)果文件中每4秒統(tǒng)計數(shù)值，為了便于記錄結(jié)果我們將第一步設為32秒）內(nèi)壓力從0 Simusers（Simusers為Avalanche 2500中模擬的用戶單位，一個Simuser為一個模擬用戶）上升到N Simusers，N為預計的最大速率；第二步，維持第一步的最高壓力120秒；第三步，20秒內(nèi)將壓力降為0，測試結(jié)束。         用戶動作：測試儀器模擬的用戶，在登錄后取一個1024Byte的文件后退出。 結(jié)果衡量：在第二步維持120秒的后60秒，我們計算該時間段內(nèi)的平均速率（將成功建立的用戶連接數(shù)除以60）。         測試指標2：最大并發(fā)用戶數(shù)         指標含義：設備同時可以支持的用戶連接數(shù)。         最大并發(fā)用戶數(shù)指同時通過SSL VPN 來訪問內(nèi)部網(wǎng)的用戶數(shù)目。同時在線用戶數(shù)也是一個非常重要的參數(shù)，即同一時間 SSL VPN 所能保持的會話數(shù)目，它通常在幾百到幾千之間，同時在線用戶越多，每位用戶所感受到的速度越慢。         測試步驟：第一步，32秒內(nèi)壓力從0 Simusers/秒上升到新建速率的80％；第二步，維持第一步的最高壓力300秒；第三步，20秒內(nèi)將壓力降為0，測試結(jié)束。 用戶動作：測試儀模擬的用戶，在登錄以后取一個1024Byte的文件，該文件的延遲（文件的延遲時間為用戶從發(fā)起請求到測試儀器響應用戶的時間）為0秒，之后重復取一個延遲為60秒的文件10次，即一個用戶至少10分鐘后才會退出。 結(jié)果衡量：我們把用戶成功取得沒有延遲的文件數(shù)目作為最大并發(fā)用戶數(shù)（因為每個成功登錄的用戶都會取得該文件，并且在我們的測試時間內(nèi)不會退出而形成與所有其他用戶的并發(fā)）。                  測試指標3：OWA性能         指標含義：設備每秒鐘可以完成的郵件系統(tǒng)操作。         測試步驟：第一步，在32秒內(nèi)壓力從0 Simusers上升到N Simusers；第二步，維持第一步的最高壓力120秒；第三步，20秒內(nèi)將壓力降為0，測試結(jié)束。         用戶動作：測試儀模擬的用戶，在登錄以后發(fā)出大量的郵件系統(tǒng)請求（測試儀為用戶模擬了Outlook的收件箱），請求數(shù)量為79個，然后退出。         結(jié)果衡量：在第二步維持120秒的后60秒，我們計算該時間段內(nèi)的平均速率（將成功建立的用戶連接數(shù)除以60）。                 測試指標4: DDoS攻擊下的OWA性能         指標含義：設備在DDoS攻擊下每秒鐘可以完成的郵件系統(tǒng)操作。         測試步驟：測試步驟同OWA性能測試，只是在測試過程中同時對SSL VPN網(wǎng)關(guān)設備進行DDoS攻擊。我們選擇了較為常見的Synflood攻擊。         用戶動作：測試儀模擬的用戶，在登錄以后發(fā)出大量的郵件系統(tǒng)請求，請求數(shù)量為79個，然后退出。此過程同OWA性能測試，只是在測試過程中測試儀同時向被測設備發(fā)送Synflood攻擊數(shù)據(jù)包。         結(jié)果衡量：在第二步維持120的后60秒，我們計算該時間段內(nèi)的平均速率。         測試指標5：實際吞吐量（Goodput）         指標含義：實際吞吐量也稱為設備轉(zhuǎn)發(fā)速率，它指的是SSL VPN網(wǎng)關(guān)最快可以在每秒鐘內(nèi)轉(zhuǎn)發(fā)多少數(shù)據(jù)流量。         測試步驟：第一步，在32秒內(nèi)壓力從0 Simusers上升到N Simusers；第二步，維持第一步的最高壓力120秒；第三步，20秒內(nèi)將壓力降為0，測試結(jié)束。         用戶動作：測試儀模擬的用戶，在登錄以后從一個模擬的Web服務器取一個1MByte的文件，然后從另外一個Web服務器取一個1Mbyte的文件，交替此過程10遍，一共從服務器取20Mbyte數(shù)據(jù)，然后退出。         結(jié)果衡量：在第二步維持120秒的后60秒，我們將用戶從測試儀模擬的Web服務器取得的數(shù)據(jù)流量進行平均，得出設備的實際吞吐量。 安全測試         我們認為，安全產(chǎn)品最不能忽視其安全性。         在安全性測試中，我們使用商業(yè)掃描器（Scanner）產(chǎn)品——安氏領信網(wǎng)絡掃描器（LinkTrust Network Scanner）對被測設備進行安全測試。測試時只針對一種VPN配置進行，即僅提供最基本的Web應用的情況。         掃描器會對設備開放端口、警告以及漏洞信息給出詳細報告，具體分析每種情況的危害程度以及防范補救措施等。 功能測試         在功能測試方面我們主要進行了兩部分測試。一部分測試設備對應用類型的支持能力，被測設備廠商工程師向我們演示了盡量多的應用類型，包括FTP、網(wǎng)絡文件系統(tǒng)、文件服務器、P2P等。另一部分測試設備本身在管理使用方面的功能特性，主要涉及訪問控制、認證集成、報告與日志以及配置、安裝和易用性等管理特性。 編輯推薦獎：Array SPX 5000         此次測試，我們主要關(guān)注四個方面：性能、安全、功能和價格，在進行整體考核時的權(quán)重為：性能占40%，功能占30％，安全占20％，價格占10％。         參測三款SSL VPN網(wǎng)關(guān)全部順利完成我們各項測試，其中，深信服Sinfor SSL VPN Express 雖然在性能、功能各方面表現(xiàn)不很突出，但是價格非常便宜，且集成了防火墻，對于其“中小企業(yè)”定位用戶來說是個不錯的選擇。深圳數(shù)安RAP 1000-X在功能方面已經(jīng)十分豐富，對于使用百兆環(huán)境的用戶來說，已基本可以滿足需求。         Array Networks SPX－5000表現(xiàn)出眾，該產(chǎn)品性能優(yōu)異——無論是最大并發(fā)連接數(shù)還是新建連接速率以及實際吞吐量都可輕松滿足高端企業(yè)級應用；功能全面——對各種類型應用做到很好支持；安全性能較高—我們嚴格的網(wǎng)絡掃描測試中沒有出現(xiàn)任何漏洞，技術(shù)工程師也給我們的測試充分的支持。綜合各項測試內(nèi)容，Array Networks的SPX 5000成績最為優(yōu)秀。 來源：CCW