科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道不求最好但求更好 SonicWALL VPN详测

不求最好但求更好 SonicWALL VPN详测

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

SonicWALL公司有一款针对中小企业的SSL VPN设备——SonicWALL SSL VPN 200,今天我们一起来看一下它表现如何。

作者:饮水思源 来源:IT168 2008年10月20日

关键字: SonicWall 防火墙 硬件防火墙

  • 评论
  • 分享微博
  • 分享邮件

  随着移动员工数量的增多,中小型企业越来越需要支持企业员工远程通信的安全解决方案,但是太高端的设备价格太高,不是中小企业所能负担得起的,SonicWALL公司有一款针对中小企业的SSL VPN设备——SonicWALL SSL VPN 200,今天我们一起来看一下它表现如何。

图1、SonicWALL SSL VPN 200

  测试产品简介

  产品名称 SonicWALL SSL-VPN 200安全设备(以下简称SSL-VPN 200)

  产品概要 入门级SSL VPN安全网关,支持SSL代理和IPsec隧道连接

  产品优点

  ·同时支持IE和火狐浏览器

  ·不按隧道数量收取许可费

  ·VPN客户端支持Vista

  产品缺点

    ·不对等的“远程到本地”和“本地到远程”吞吐能力

  ·购买90天之后的技术支持要收费

  SSL-VPN 200是SonicWALL公司的入门级SSL安全网关,针对用户数量在50人以下的小型网络设计,不过建议最大并发隧道连接数不要超过10个。它的另外两款设备SSL-VPN 2000和SSL-VPN 4000可以分别支持50和200个最大并发连接数。由于它们不按隧道数量收许可费,你可以尝试使用超过其最大并发数的隧道,不过在你看完本篇评测文章后,你会明白它的建议并发数不是没有根据的,或许是最合理的。

  SSL-VPN 200通过两种主要机制来实现安全的远程访问:代理机制,用于实现HTTP、HTTPS、FTP、SSH(v1或v2)、Telnet、RDP(通过ActiveX控件或Java applet)、VNC和Windows文件共享(Windows SMB/CIFS)等应用。通过代理,用户可以借助于IE或火狐浏览器来访问这些服务。对于其它基于TCP/IP的应用来说,你需要使用它的客户软件NetExtender。

  外观及功能芯片

  SSL-VPN 200具有一个银灰色的金属外壳,排风散热口设计在设备两侧。指示灯、电源插口和网络端口如下图所示。

图2、SSL-VPN 200前面板和后面板

  SSL-VPN 200使用了公司自主开发的专用SonicWALL CPU,以及Cavium Network公司的Nitrox安全网络加速卡。从Cavium的规格说明表中我们可以看到,这个卡子的IPsec性能高达200Mbps,TPS(每秒新建用户数)则可达到1750。当然,尽管这个数字听起来不错,不过通过后面的测试,我们会发现它的实际性能似乎并没有这么高。

  SSL-VPN具有128MB的内存和16MB的闪存,所有五个10/100M以太网口都由Micrel KSZ8995XA交换芯片处理。从其电路板上我们可以注意到没有散热器,因为它使用了被动冷却技术,这使得该设备几乎没有任何噪音。

图3、SSL-VPN 200内部电路板

  安装和配置

  和路由器具有单独的WAN口和LAN口不同的是,SSL-VPN 200的进出数据通信通过一个X0端口来实现,你只需要使用一跟网线把它与局域网交换机连接起来即可。四个X1口用处不大,之所以没有去掉它们,是因为SonicWALL的TZ 150也使用了与它相同的电路板。不过,你也可以使用这四个X1口也可以在SSL-VPN 200后面建立一个单独的子网,当然,这个子网中的客户端只能通过这个设备来访问局域网资源。SSL-VPN 200的默认IP是192.168.200.1,如果你想访问它的内置安全(HTTPS)web管理界面的话,先要把计算机的IP地址改成和它一个段。

图4、SSL-VPN 200连接示意图

  登录后,你首先看到的是系统(System)>状态(Status)界面(如图5)。系统菜单的其它选项还包括NTP服务器(Time下面)、保存和恢复系统设置和升级固件(Settings下面)、登录失败尝试锁定的次数(Administration)、生成和管理安全证书(Certificates)、以及不同的诊断功能等。

图5、系统状态界面

  我们首先要做的是从网络(Network)下找到网络接口(Interfaces)界面,在这儿根据你的局域网配置来修改X0端口的IP地址,如下图所示。

图6、网络接口界面

  另外,我还在DNS界面中输入了我的局域网DNS服务器的IP地址;以及在Routes界面中输入了网关的IP地址。在网络对象(Network Objects)界面中,你可以为服务和IP地址进行组合定义,这个功能在你以后配置访问策略的时候非常有用。

  现在我们开始准备添加用户到SSL-VPN 200中,打开用户(Users)>本地用户(Local Users)界面(如图7)。在这儿有很多选项,可以让你控制用户通过SSL-VPN 200可以进行的操作,以及他们的登录方式等,例如闲置时间,是否具有增加、编辑和删除“书签(Bookmarks)”,以及基于用户、IP地址、IP地址范围等的允许/拒绝策略。

  另外,通过组(Groups)你可以为多个用户设置相同的配置选项,而用户和组都具有全局策略。值得注意的是,你可以修改和删除一个策略,但不能临时禁用它。

图7、用户>本地用户界面

  一旦你完成了添加用户操作后,SSL-VPN 200已经可以使用。但是为了从局域网之外能够访问到它,你需要从路由器上进行设置,将端口443(HTTPS)通信转发到你的SSL-VPN 200的IP地址,就如同从互联网上访问任何服务器一样。如果你想将HTTP自动重定向到HTTPs,那么你还需要转发80端口(HTTP)。与SSL-VPN 200的管理指南中所描述的相反,在SSL-VPN 200上你不能修改这些端口。

  使用代理模式

  退出SSL-VPN 200管理界面(比较讨厌的是,这个操作同时也会关闭浏览器),然后重新使用你创建的用户帐号进行登录。如果一切顺利的话,你会看到一个“虚拟办公室(Virtual Office)”页面(如图8)。在这个虚拟办公室中,用户可以创建和访问书签,进行文件共享操作,以及下载NetExtender会话。

图8、虚拟办公室页面

  无论是登录页面,还是虚拟办公室登录页面,都可以被定制化,你可以上传自己公司的logo或选择显示什么文字内容。你还可以控制在虚拟办公室页面上显示什么信息,例如文件共享代理、书签和NetExtender链接等。

  多数代理服务是通过管理员或具有权限的用户所创建的“书签”来进行访问。图8中所示的“putti”书签包含了我的局域网系统中的一个IP地址和一个文件共享(SMB/CIFS)服务代理。点击它,会打开图9所示的屏幕,在这儿会显示该计算机所共享的所有内容。

图9、虚拟办公室的‘putti’书签

  如果你想查看关于书签的更强大和详细的示例,你可以访问SonicWALL SSL-VPN的演示站点(https://sslvpn.demo.sonicwall.com/cgi-bin/welcome),如图10所示。加载某些书签的时候可能时间要长一些,所以请耐心等待一下。幸运的是我使用IE浏览器来访问的这个演示站点,据说使用火狐浏览器在加载许多书签的时候存在问题。还有一点需要注意,在SSL-VPN 200上没有Citrix选项。

图10、演示站点

  NetExtender和其它功能

  如果代理模式不能满足你的安全远程访问需要,而且你的操作系统是Windows 2000专业版以上的系统(包括Vista),你可以使用NetExtender客户软件功能。

图11、NetExtender客户端

  一旦你通过NetExtender连接到SSL-VPN 200上后,根据你在SSL-VPN 200上输入的信息,你的客户端会被分配一个IP地址和路由信息。这样,远程客户端就可以安全的连接到SSL-VPN 200的局域网中,从而使用任何基于TCP/IP的应用或服务,只是它们都是通过普通的IPsec或PPTP隧道访问的。注意,你可以从SSL-VPN 200的NetExtender>Status界面上查看活跃的NetExtender会话,但是你不能够手动去中止这些会话。

  由于SonicWALL非常强调它的SSL-VPN 200支持“动态口令,也就是一次性口令”功能,可以提高用户密码安全性,我想应该去验证一下。不过,在输入我的SMTP服务器信息的时候,我感到非常失望,因为我必须输入服务器的IP地址,而不能用服务器名称代替。但是真正让我放弃这个功能的是它的缺乏任何验证功能。因为现在的多数电子邮件服务器都要求某些认证机制,所以这是一个很大的缺憾。另外,我希望在它上面看到其它设备中都具有的“测试电子邮件”功能。

  除此之外,我没有使用的功能还有日志功能和在线帮助功能。日志信息非常有限,无非就是些用户登录、退出和代理的创建、删除之类的记录,你可以将日志发送给一个日志信息服务器或者通过电子邮件将其发送到邮件中。

  性能和测试总结

  我使用IxChariot来测量了SSL-VPN 200的吞吐率。不过由于IxChariot不能支持SSL-VPN 200的代理模式,我只能使用NetExtender客户端方式进行测试。测试网络结构是SSL-VPN 200的X0端口连接到局域网交换机上,然后一个客户端通过NetExtender连接到它。

  由于NetExtender客户端得到的IP地址与普通的局域网地址不相同,因此我可以确信我测试的是进出SSL-VPN 200的吞吐量,而不是端到端的直连吞吐量。图12显示了并发的本地到远程和远程到本地的吞吐测试。

图12、SSL-VPN 200吞吐率—NetExtender

  在测试中我使用了IxChariot的throughput.scr脚本进行TCP/IP测试,默认文件大小是100000Byte。从上图的测试结果可以看出,从远端到本地和从本地到远端,两者的吞吐能力差别很大。我还分别对它们进行了单向的测试,得到同样的结果。对于不同方向之间的吞吐能力表现 差距如此大,我感到有些奇怪。

  总体来说,SSL-VPN 200同时支持代理和类似VPN的安全远程连接,而且SSL-VPN 200的NetExtender可以通过火狐、Opera、Safari和IE等众多浏览器下载,而且支持微软的最新操作系统Vista。但是它的缺点是,不均衡的吞吐能力,以及购买90天之后需要付费才能得到技术支持。

  没有哪一个设备是具有全部优点的,因此你需要根据你的实际情况来选择最适合你的设备。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章