06年度IPSec VPN测试报告

　　 压缩作用大

　　此次测试，深信服科技的产品组合支持自动压缩，该功能默认打开。也是唯一一家支持压缩的产品。数据流被压缩后传输的效率有了大幅提升。我们在限速2Mbps的线路上，创建分支到中心网关的隧道，在分支从中心FTP服务器处下载1M字节的文件，结果发现，关闭压缩功能时FTP的下载速度是0.183个文件/秒，开启压缩后的速度是1.558个文件/秒，是压缩前速度的8.5倍，性能远远超过了物理带宽的限制。当然，不同类型的文件有着不同的压缩比。不过我们发现，即便数据流中的应用层净荷是不可压缩的数据，深信服的VPN网关仍可通过对包头的压缩来提高传输的性能。

　　功能不容忽视

　　适应环境

　　我们首先进行了基本的适应环境测试，即NAT穿越和动态IP地址接入。然后，我们请厂商的工程师对其产品在这方面的其他能力进行补充。

　　作为在市场上广泛使用的VPN产品，这些参测产品都可以实现NAT穿越和对动态IP地址接入环境的适应。

　　随后，我们也发现为了适应某些特殊场合，这些产品炼就的特殊本领。

　　i-Security的“Visitor Mode”功能可以将IPSec封装到任意一个TCP协议中。比如，有的上网环境只允许80和21端口和邮件系统的数据出入，而封掉其他所有通信端口。这时，i-Security的IPSec客户端软件可以将IPSec数据封装到80或21端口中去，在实现正常通信的同时而不必改动现有的防火墙控制规则。i-Security的产品组合还支持SSL接入，用户使用浏览器即可享受高安全性的接入。

　　Juniper实现了基于策略的双向流量控制和路由。用户有时希望关键业务运行在稳定可靠的WAN链路，当WAN出现故障后，通路能立即自动切换到VPN上。值得一提的是，Juniper的SSG 550还是参测产品中唯一支持E1、同步串口的产品，这意味着用户无需路由器，通过把SSG 550直接接到WAN链路上就可实现VPN组网，这在参测产品中是绝无仅有的。而且，SSG 550拥有参测产品中最高密度的端口，配合虚拟域等功能，使企业总部局域网不仅接入到VPN中，还能让更多局域网网段享受SSG 550的安全服务。

　　深信服的产品可以穿过Socks代理接入VPN，这个功能在使用代理服务器的环境中非常必要。深信服的参测产品还支持单臂，在一些已经部署了防火墙的场合，且防火墙只有一个内网接口提供给VPN网关，深信服的网关可以通过一个内网口与防火墙相连，就可以创建到分支机构的VPN隧道而无须改变拓扑。

　　日志与审计

　　这也是过去几年来IPSec VPN的软肋之一，除了少数厂商外，多数产品缺少强大的配套审计工具来帮助用户洞察VPN中发生的一切，使用户感觉虽然使用VPN提升了安全性，但自己也变成了“瞎子”。

　　我们高兴地看到，来自i-Security和Juniper的产品都具有强大的审计功能，它们的集中管理软件都支持详细的统计图表，可以依据主机、协议、攻击事件、过载信息和时间等元素对日志进行统计分析，用户可以按照自己的意愿进行某类信息的追踪。

　　对于i-Security的产品来说，使用配套软件CheckPoint SmartView Tracker通过管理服务器可以对VPN网络中的一切明察秋毫，除了常见的VPN隧道细节，还提供其他很多有价值的信息，如:SmartDefense板块中包括攻击的历史纪录，如攻击的名称、时间和攻击源的地址和端口。其VoIP板块则记录了每一个通话的源和目的电话号码以及采用的协议等。

　　和i-Security的管理软件相类似，通过Juniper的NSM(NetSreen-Secuirty Manager)，不仅可以实现VPN网关的大规模部署，还实现了进行管理，全面监控与设备故障报警。它进行日志采集，集中日志分析和统计报告，而且粒度相当细致，图形化的交叉分析报告是管理员的最好帮手。它们都提供接口供用户自定义报告哪些行为。

　　Fortinet的FortiMannager也支持这些功能，它作为一个单独的硬件对整个网络进行管理和监控，很遗憾这次测试我们没有拿到这款产品。此外，深信服的图形化管理软件也很实用，但对流量统计、分析的细致程度还较上面的产品有一定差距。

　　对于VPN这种跨越地域进行连接的组网形式，监控和诊断对于管理维护来说是很必要的。否则，工程师在遇到网络中断时将难于处理。通过测试发现，除了上面提到的产品外，国恒联合与侠诺科技的产品也都提供了相应的手段来跟踪隧道建立的过程，并在日志中将问题体现出来，比如隧道Phase-1的协商不通过，可能的原因是什么。

　　产品点评

　　Fortinet

　　Fortinet的UTM一如既往地在我们的测试中有良好表现。简洁的维护界面、优秀的VPN加密性能、丰富的安全特性，它给用户极大的选择余地。

　　即便是初次接触Fortinet的产品，你也可以很快上手完成相关配置。在面对攻击时，它准确阻断并告警，并提供漏洞的链接供你参考。FortiGate 60是一款值得推荐的产品，它融VPN网关、防火墙、IPS、反病毒、反垃圾邮件功能于一身，它的加密性能也很高，绝对高过你对它的期望。测试时我们还打开了深度检测与防御功能，性能没有什么变化。在对其QoS的测试中，高低优先级也泾渭分明。属于“小个头”有大力量。

　　Fortinet在大型VPN网络中的管理也是其推荐特性之一，但是这次没有看到其强力的管理工具FortiManager的出现，希望下次能测到。

　　国恒联合

　　这是一个在进步中的组合。它中规中举，从NAT穿越到网络层蠕虫阻断，基本的功能它都具备。而且，它有最具吸引力的价格。

　　这是致力于标准IPSec的组合，AES-256、证书认证等内容它都支持，并给用户充分的余地，可以多种流行算法间进行选择，并且有和其他厂商IPSec VPN网关互通的经验。这个组合隧道下FTP传输性能达28Mbps应用层净荷，性能有保障。

　　它在日志与审计方面尚有明显差距，其命令行接口提供了空间用于故障排除和协议分析，但对于普通用户来说还不够直接，也缺少交叉分析，在全网监控方面也有待加强。

　　目前， 送测组合还不具备应用层蠕虫的防御能力。不过，它可以对P2P通信进行限制。

　　i-Security

　　坦白地说，这不是一个很契合我们测试模型的组合。SP-3040对于我们所指的分支机构来说大了些，也贵了些。但是，i-Security送测的产品是好产品!

　　伴以CheckPoint经典的VPN防火墙软件，这两款产品可以给用户带来的就是收益!功能极为丰富，性能堪当骨干。从SmartDefense到对语音的支持，从IPSec到SSL，再到细得不能再细的日志与审计系统，只要用户能想得到，它一定会成为你执行企业安全策略的好帮手。

　　这次测试印象最深的是它引入了SSL VPN接入，也许这昭示着一个方向，即IPSec与SSL的融合。

　　Juniper

　　Juniper带来了经典的“大块头”+“小鬼”的组合，“大块头”足够的强大，强大到把多个设备融于一身。“小鬼”也足够的精明，用户的要求应对自如。

　　说是VPN防火墙，它带给用户的岂止这些，反病毒、反垃圾邮件、防键盘侧录软件、防网络钓鱼，再加上VPN的认证与加密和签名，这是地道的高品质选择。而一贯以来，性能都是Juniper或老NetScreen赖以成名的要素之一。

　　从个头上看，NetScreen-5GT甚至比FortiGate 60还要小，是笔者见过的最小的VPN网关，但它的性能不容小觑，功能更堪称用户的好伙伴。可谓“小鬼”有大智慧。

　　深信服

　　这是一个让你喜欢又让你矛盾的组合。它一旦放到实际环境，比如2M专线接入，它有一股“魔力”，性能无人能及。

　　深信服产品的压缩功能效率之高让人瞠目，即便压缩比不高的业务交易，它针对包头的压缩还是能见到效果。

　　深信服产品支持图形化的全网监控、升级的统一管理、配置的离线下载、穿越代理，这些在同级别价格的产品中是见不到的。另外，深信服申请专利的硬件绑定技术，增加了VPN网络的安全性，同时也降低了操作的复杂性。感觉他们也在某个领域引领潮流。

　　性价比很高!这就是我们的评价。瑕疵就是它尚不是标准IPSec产品。

　　侠诺科技

　　QVM1000是这次参测产品中仅次于SSG 550端口密度第二高的中心网关。这意味着它可以保护更多的内网网段，也可以在有多WAN口接入时能游刃有余。它具备常见的安全特性，但它并不先进。

　　它实现了DoS侦测，能防止ARP病毒，能方便地部署安全策略。中心与分支之间的隧道传输性能也有数十兆之多。

　　侠诺科技的产品有一个很长的列表，都是与其他VPN产品互通的经历，说明这是一款标准化做的很好的产品。但中心与分支机构间IPSec隧道的创建目前还不支持证书的认证方式。它支持QoS，纯路由方式下有效，但要流经隧道的数据不能区别对待

　　编看编想——独舞还是共舞

　　以较低的成本获得较高的安全性，VPN的组网方式在近两年终于大面积地得到了中国用户的青睐。据我们了解，IPSec VPN产品是当然的主力军。不过，尽管IPSec VPN技术成熟，但在目前市场上，基于不同的理解，此类产品仍五彩斑斓:有VPN路由器、VPN防火墙，也有融合了VPN功能的UTM。有的甚至将IPSec与SSL合二为一。

　　来自厂商同仁们的声音和产品相对应，也是公婆各自有理。有人认为单一功能的VPN网关还将在未来几年内一直存在，有的人则认为UTM能给用户带来最大的收益，纯粹的VPN产品很快将失宠于市场。还有人仍在坚持非标准IPSec的路线，认为兼容性不会成为VPN组网的障碍，他们觉得用户全网采用同一厂家的产品会给用户带来管理与维护上的便利。

　　事实上，不同产品能否存在取决于用户的不同需求。就像我们对上千名用户进行的调查那样，十有八九的用户希望VPN网关能对来自隧道另一端的数据流进行深度检测。 由于VPN网络在空间上延展了企业网，既然如今内网攻击已经成为安全的最大隐患，那么大家也没有理由无条件地信任仅仅通过身份认证的隧道对等体发过来的流量。

　　除了上面“十有八九”的用户之外，那些“十之一二”的用户怎么想呢?他们认为，不同的工作可以由不同的设备来实现，他们认为有必要也有足够的资金来购买单独的IPS和VPN路由器或VPN防火墙串联起来。

　　但多数用户的声音代表着潮流。想想看，VPN诞生的初衷，其虚拟专网的“虚”字，表达了人们渴望利用互联网资源，以一种廉价的方式取代“奢侈”的物理专网的愿望，而又不失其“专网”的安全性特点。那么，随着安全模型的变化，当仅通过身份认证的人不再可靠时，VPN仍然需要延续她“勤俭持家”的特点，将众多设备串联起来的方案无疑是昂贵的，这不符合多数VPN用户的行为方式。

　　从厂商的动作也可以发现与这一趋势的惊人吻合之处。Fortinet等厂商一开始就打的是“UTM”牌，并在中国市场不断地扩大自己的规模。作为一支有着重要影响力的国内VPN品牌，深信服也已经推出了自己的UTM产品。虽然使用CheckPoint软件的I-Security产品仍被称为VPN防火墙，但在过去的一段时间，它已经加入了非常多的“应用智能”。如今，CheckPoint网关中的“SmartDefense”功能模块已经完全配得上一个IPS的称号。据说，参加测试的两个重量级厂商将要对他们的VPN防火墙进行更名，UTM阵营中又将增加强悍的成员。

　　我们认为，更多的用户采用UTM构建自己的VPN网络应该是一个必然的趋势。

　　再来看看IPSec VPN与SSL VPN融合的问题。

　　目前，IPSec与SSL VPN作为企业网中VPN技术的两股力量，分别有着自己的用户群。它们应该是对立还是互补?参加此次测试的I-Security的产品，使用CheckPoint的软件，它已经在传统IPSec VPN的基础上，加入了对SSL VPN的支持。使用它，企业网中Client-to-Site的连接就多了一种选择，使用IE浏览器就可以接入到企业的VPN中来。据了解，深信服科技也有此类“合二为一”的VPN产品。

　　相信IPSec和SSL的互补与融合会是未来几年的主旋律。从另一个角度看，多数VPN厂商都是由IPSec起家，他们不会抛弃经过市场检验且技术成熟的IPSec，在现有的产品中加入SSL VPN的优点应该是更好的选择。

　　最后看看IPSec VPN网关的兼容性。

　　IPSec VPN产品难以兼容由来已久。尽管多数用户都不会遇到这个问题，毕竟，使用来自同一厂商的产品会实现一些独特的功能，在性能、管理和维护上可以最大程度地挖掘产品的潜能。但是，随着企业之间密切的合作关系体现在“网络化生存”上，比如连锁超市与供货商的VPN互联，就很可能遇到VPN网关不兼容的困扰。据悉，产品很有特色且市场规模不断扩大的某国内VPN厂商已经计划推出基于标准IPSec 的VPN产品。而这，也是国有品牌做大做强后，试图进军国际市场所必需迈过的一道坎。