如何有效的选择优秀的SSL VPN产品 1.考察SSL的真实性。有些厂商仅仅将TCP数据做了简单的封装,或者把IPSEC VPN做些修改,将数据转发到443端口,便宣称自己是SSL VPN。鉴别这种伪SSL VPN,可以使用标准的HTTP流量测试工具如Loadrunner,Web bench.Avalanche等。如果能进行SSL对接,并进行SSL负载测试的就是真正的SSL VPN6但是普通客户往往没有这个测试条件,因此建议在SSLVPN选型时购买经过第三方评测机构评测过的产品。
2.考察SSL VPN的可用性。SSLVPN的部署要支持客户的实际应用和未来的应用扩展。因此需要考虑选购的SSL VPN是否支持所有的B/S应用,C/s应用,甚至基于UDP,ICMP的IP应用,当然支持得越多越好。SSL VPN要支持各种网络环境,因此要对SSL VPN的穿透性进行考察,检查SSLVPN是否可以在NAT环境,Web代理环境,Socket代理环境下都能工作正常。SSL VPN最好能适应中国的各种跨运营商环境,如果在全国大范围内部署SSL VPN则需要考察SSLVPN是否支持多ISP链路,是否支持选择最快接入线路的功能。 3.考察SSL VPN的易用性。易用性的考察主要依赖于用户体验。除了考察管理员是否易于操作和掌握SSL VPN网关的使用,很重要的需要考察SSLVPN的终端是否易于使用和维护。在登录SSLVPN之前,终端不应该安装独立的客户端。SSLVPN的插件应该做到自动安装自动修复。用户登录SSLVPN不需要培训和指导就能进入应用。对于大规模的SSLVPN用户部署,应该要支持对统一用户认证数据的无缝支持,如域认证,Radius 认证,目录服务认证等,这样可以避免在SSLVPN上维护大量用户。 4.考察SSLvPN的安全性。如果是真实的SSLVPN其安全性在很大程度上得到了SSL协议的保证。更多的安全性主要体现在对多种认证的支持,除了通用的X509.PKI,Radius 等认证外,最好能够提供更安全的USBKEY,动态令牌,一次性短信口令等较难复制盗用的认证方法。还有就是终端安全,主要包括对终端的Cookie清除,客户端安全检查等。 5.考察SSLVPN的性能。SSLVPN的性能一定要满足用户目前的用户容量和未来几年内的用户扩展要求。SSLVPN最主要的性能指标是并发用户数和加密吞吐量。往往采购的SSL VPN的并发用户授权可以远小于真实的使用用户数量,因为大部分情况下,不是所有的用户都同时在使用SSLVPN的,一般而言,需要购买的授权数为实际使用用户1/4-1/3即可。因此,选购SSLVPN并非用户容量越多越好,因为大容量也意味着高价格,不要过于追求性能造成浪费。但也不能过于追求价格而忽视了未来的扩展。比如现在只有几十个并发用户,就暂时购买了最大容量才二十几个用户的设备。但是,一年后业务发展了,就不得不再更换设备,结果还是造成了浪费。 6.考察SSL VPN的性价比。一般而言,同等价格获得越多的功能和性能,则性价比越高。但获得的更多功能和性能都应该是用户目前或未来1-2年内能够使用得到的,否则就无法体现其价值。另外,单一的SSLVPN无法解决所有互联需求和安全需求,比如SSLVPN就不能解决网对网的互联问题。因此需要多种安全和互联需求的用户,如果能在同等价格下,购买集成SSL IPSEC VP和防火墙的一体化设备,将更加划算。 |