SSL VPN產(chǎn)品測(cè)評(píng)之FirePass 4100
F5 Networks公司的FirePass 4100可以說(shuō)是FirePass 1000的升級(jí)版本,但是和EX-1500之類的同類軟件相比,F(xiàn)irePass 4100擁有一些相對(duì)少見(jiàn)的功能。通過(guò)僅面向TCP的AppTunnels和名為Network Access的第三層連接器,F(xiàn)irePass 4100能提供標(biāo)準(zhǔn)的對(duì)基于門戶的(portal-based)Web應(yīng)用的訪問(wèn)。它也能讓瘦客戶端訪問(wèn)那些運(yùn)行于服務(wù)端的應(yīng)用如Citrix MetaFrame虛擬工作平臺(tái)、微軟的終端服務(wù)和X Windows等,甚至通過(guò)特殊的連接軟件也可以訪問(wèn)老式綠屏終端的應(yīng)用。FirePass 4100的第三層隧道同時(shí)支持全隧道模式和半隧道模式,而且內(nèi)建了對(duì)虛擬局域網(wǎng)的支持。
還有一項(xiàng)值得注意的功能即所謂的“桌面訪問(wèn)”。和enKoo-3000的Beam應(yīng)用類似,桌面訪問(wèn)是一款Windows上的遠(yuǎn)程訪問(wèn)軟件,它以Java applet或者ActiveX控件的方式運(yùn)行于客戶端的瀏覽器內(nèi),在需要的時(shí)候?yàn)g覽器會(huì)自動(dòng)下載并安裝。
FirePass 4100所支持的日志選項(xiàng)就太多了,只要你能想得到的東西它都有相應(yīng)的日志,日志方式包括SNMP和Syslog。而且內(nèi)建有圖形報(bào)表工具,這樣快速監(jiān)測(cè)就容易多了。
FirePass 4100所支持的認(rèn)證服務(wù)包括LDAP、RADIUS、活動(dòng)目錄、Vasco DigiPass、基本HTTP認(rèn)證、客戶證書和本地?cái)?shù)據(jù)庫(kù)。每個(gè)認(rèn)證方式都屬于特定的資源組。Windows資源的單次登陸服務(wù)缺省是打開(kāi)的,并且它通過(guò)了我所有相關(guān)的測(cè)試。
FirePass 4100的集群功能尤其強(qiáng)大,不但同時(shí)支持主主集群和主備集群兩種方式,而且10個(gè)節(jié)點(diǎn)的集群就能支持多達(dá)1萬(wàn)個(gè)并發(fā)用戶。
人機(jī)交互管理界面初看上去感覺(jué)有點(diǎn)"超鏈接泛濫",不過(guò)在這一大堆選項(xiàng)身上花了一段時(shí)間后,我漸漸熟悉了它的布局方式,最后發(fā)現(xiàn)其實(shí)瀏覽起來(lái)其實(shí)還是相當(dāng)容易的。而且還附帶了其他一些很不錯(cuò)的功能,比如,為了防止客戶主機(jī)上被安裝了按鍵記錄軟件,它可以為用戶名和密碼提供圖形化的虛擬鍵盤。
這款產(chǎn)品對(duì)政府部門來(lái)說(shuō)尤其具有吸引力,因?yàn)槠渲杏袀€(gè)版本支持聯(lián)邦信息處理標(biāo)準(zhǔn)(FIPS),F(xiàn)IPS是美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)局制定的關(guān)于加密模塊的安全要求規(guī)范,本文所提到的絕大多數(shù)SSL VPN廠商預(yù)計(jì)將于今年內(nèi)發(fā)布支持該標(biāo)準(zhǔn)的產(chǎn)品,但目前只有F5 Networks公司和Juniper公司已經(jīng)做到這一點(diǎn)。
FirePass 4100唯一還需要下功夫改進(jìn)的方面恐怕就是終端安全管理了。FirePass 4100有自己的主機(jī)檢測(cè)軟件,而不像其他同類產(chǎn)品那樣在這方面一般尋求和第三方軟件商進(jìn)行合作,雖然也有緩存清除選項(xiàng)和名為"受保護(hù)工作區(qū)"的虛擬桌面,但不如Sygate的“按需”策略引擎那么強(qiáng)大,不過(guò)FirePass 4100還是能夠檢查客戶機(jī)所運(yùn)行的程序及注冊(cè)表、操作系統(tǒng)和瀏覽器的補(bǔ)丁包級(jí)別,還有是否安裝了McAfee防病毒軟件等。如果客戶機(jī)沒(méi)能通過(guò)這些安全檢查,它的訪問(wèn)權(quán)將被限制在一個(gè)受隔離的網(wǎng)絡(luò)內(nèi)。可惜的是,主機(jī)檢測(cè)只能發(fā)生在用戶認(rèn)證之后,F(xiàn)5 Networks公司表示認(rèn)證前的主機(jī)檢測(cè)支持還在開(kāi)發(fā)之中,有望在下一次軟件發(fā)布中將其包含在內(nèi)。
【編輯推薦】
