close
父親節快到了,小女子也在煩惱要送爸爸什麼東西
前陣子在觀望【Jabra】Eclipse輕量時尚無線藍芽耳機(黑-白)但 是價格當時有點下不了手
我也在等說是不是父親節前夕會有特價,果然我的想法沒錯!
【Jabra】Eclipse輕量時尚無線藍芽耳機(黑-白)真的有特價!!!
【Jabra】Eclipse輕量時尚無線藍芽耳機(黑-白)相信應該很多人有聽過不少人買!!
而且認真研究,所以就趕快下訂,真的很怕沒有貨來不及父親節送出去
好險這個網站送貨速度快又有折扣
有時候想買比較昂貴的家電(好比這次的父親節禮物)我都會看看有沒有折價券有時候滿多少折多少真的好優惠
時間 上的考量【Jabra】Eclipse輕量時尚無線藍芽耳機(黑-白)!!!!!我用手刀下定訂!!
↓↓↓限量折扣的優惠按鈕↓↓↓
在購物網購買,除了有詳細的介紹以外,更有保障!!所以我都很安心的在購物網買
【Jabra】Eclipse輕量時尚無線藍芽耳機(黑-白)實體店面跟網路上的價格差好多!!還好逛街的時候沒有傻傻的直接買下去
而且很多時候加入會員以後會不定時送電子折價券,所以其實買到的價格很多時候都比 網站上的標價便宜
商品訊息功能:
商品訊息描述:
商品訊息簡述:
【Jabra】Eclipse輕量時尚無線藍芽耳機(黑-白)
討論,推薦,開箱,CP值,熱賣,團購,便宜,優惠,介紹,排行,精選,特價,周年慶,體驗,限時,父親節禮物推薦開箱文
快按下按鈕,立刻享折扣↓↓↓
另外在推薦我平時會使用的平台可以比較價格找便宜~~
分享新聞新知 :
html模版 橫向比較6款SSL VPN產品[摘要]本文將對目前業界領先的六款SSL VPN產品其各自的特點做橫向比較,同時分析SSL VPN產品相對傳統的IPSec VPN產品來說有哪些突出的優點,希望能讓讀者對目前SSL VPN領域的發展狀況有直觀的認識。
本文將對目前業界領先的六款SSL VPN產品其各自的特點做一次橫向比較,同時分析SSL VPN產品相對傳統的IPSec VPN產品來說有哪些突出的優點,希望能讓讀者對目前SSL VPN領域的發展狀況有一個直觀的認識。
長久以來,企業一般都是通過部署IPSec VPN來為移動用戶和商業合作夥伴提供訪問其後臺服務和資源的遠程接入通道。現在對於站點到站點(Site-to-Site)的通訊,IPSec VPN恐怕仍是唯一的解決方案,但在客戶到企業(Client-to-Enterprise)的連接這方面,IPSec VPN卻面臨著迅速失寵的尷尬局面,原因之一就在於隨著客戶端用戶人數的增長,為他們安裝IPSec VPN客戶端和提供技術支持的工作已經讓眾多網絡管理員不堪重負。另外,IPSec隧道也為攻擊者留下瞭打通企業防火墻並直接威脅中心網絡所可以利用的通道。
考慮到IPSec VPN存在這些基本的問題,也就不難解釋為什麼現在SSL VPN越來越受到IT管理員們的關註。SSL VPN不需要安裝其他的客戶端軟件,隻要有支持SSL的瀏覽器就行,自然也就不需要對客戶端進行什麼維護和支持瞭,這不但節省瞭IT人員大量的時間和精力,同時也意味著遠程用戶在進行遠程訪問時不會再受到地域的限制,不論是在公共網吧或是在商業合作夥伴那裡,甚至是隨手借一臺筆記本,隻要有網絡,遠程訪問就沒問題。
更重要的是,SSL VPN的實現不需要任何連入企業的開放的隧道,SSL VPN會對每個連接執行相應的安全策略,並能依據不同的用戶身份、地域和(或)設備為其分配訪問相應資源的權限,如果再配上良好的安全控制策略,那麼在管理員沒有明確許可的情況下所有資源都將受到保護並被禁止訪問。
下面我們要對六款來自不同廠商的SSL VPN設備進行評測,看看做為產品來說它們到底是否成熟,是否有能力替代現有的企業級IPSec VPN產品,並且看看其中是否有哪一款能夠脫穎而出成為部署SSL VPN的首選。
SSL VPN以特色取勝
隨著產品的不斷發佈與升級,SSL VPN技術也在逐步走向成熟。下面要評測的產品許多已經發展到瞭第三代,從技術上可以說已經相當成熟,主要的區別在於它們實現安全策略和處理遠程接入端的方式,以及對終極用戶來說整體使用體驗的透明感等等。
存取訪問策略的粒度是SSL VPN產品的一大亮點,這裡評測的所有產品均支持讓管理員按照不同的登陸用戶和登陸地點創建並分配相應的訪問權限,另外它們也都支持某種終端安全檢測軟件,隻不過有些比其他做地更好一點。終端安全檢測軟件可以掃描分析一臺客戶端設備並評估該設備的安全級別,再依照預先定義好的 信任域 為其分配相應的訪問權限。舉個例子,檢測軟件可能會發現某臺筆記本上不但運行有防病毒軟件而且還裝瞭個人防火墻,按道理其安全級別應該足夠高,但由於這臺筆記本正在使用 星巴克 提供的無線接入服務進行連接,這時候SSL VPN設備就隻會為其分配代理訪問權,而不象IPSec VPN第三層隧道那樣將整個企業網絡暴露在訪問者面前。目前終端安全控制還沒有一套工業標準,不過一些公司如Cisco和微軟正在開展相關的工作以改變這種局面。
除瞭訪問控制外,所有這些我們評測的產品都提供其他額外的安全控制措施。比如它們都支持 安全瀏覽 客戶端,這些客戶端在SSL會話期間能創建所謂的虛擬沙盒(Virtual Sandbox),當用戶關閉連接後,期間所產生的所有臨時文件和會話信息也將隨之徹底消失。另外這些SSL VPN產品絕大多數都附帶用於客戶機的緩存清除軟件,它們能跟蹤用戶的動作並在會話結束後刪除相應的臨時文件、cookie和其他會話信息,這些措施對於那些使用公共電腦進行連接的用戶來說非常重要,不過相比較而言它不如虛擬沙盒有效,因為被刪除的東西常常有被恢復的可能。
其他一些功能對某些客戶來說也具有相當的吸引力,比如虛擬局域網和集群。虛擬局域網可以在同一物理網絡內對數據流進行隔離,這點對服務提供商和大型企業來說非常有用。而利用集群的自動錯誤恢復和負載平衡機制則能保證SSL VPN服務的高可靠性,並且能很容易地擴展服務所支持的並發在線人數,甚至能達到上千人。由於我們所要評測的產品在性能上基本打成平手,所以對客戶來說其購買天平最終傾向哪款產品常常是由某些額外的特色功能所決定的。
第一款:AEP Networks公司的Netilla安全平臺
以前的Netilla安全平臺(NSP, Netilla Security Platform)還缺少做為一款SSL VPN產品所必需的一些核心功能。不過後來Netilla系統公司和AEP網絡公司合並,成立瞭AEP網絡公司,隨後發佈瞭第五版的Netilla Dynatrust操作系統,新版本增加瞭一些以前缺少的功能,如LDAP支持和終端安全檢測。
在舊版操作系統中,NSP通過所謂的域(reamls)把用戶、認證機制和資源訪問策略組織到可管理的組內,並內建瞭對微軟服務信息塊(SMB)、活動目錄(Active Directory)、SecurID、Kerberos、RADIUS以及本地用戶認證的支持,而且沿用瞭以往的授權作用域(Authentication Scopes)來為用戶傳遞授權證書,從而實現瞭單次登陸(Single Sign-on)功能,這項功能雖然確實可以正常工作,但在建立和管理Web資源鏈接時會在管理上造成不必要的麻煩。
和本次評測的其他產品一樣,NSP同樣為客戶提供對基於Web和基於服務器的應用的訪問。NSP也提供類似IPSec的第三層隧道,這樣TCP和UDP數據報就可以直接進入企業網絡。它能同時支持全隧道(full tunnel)和半隧道(split tunnel)模式,全隧道模式指的是客戶端的所有網絡數據,不管是本地的還是非本地的,全部經由隧道到達服務端並在服務端被路由和轉發,而在半隧道模式下,和企業相關的數據流經由隧道到達服務端,其他數據流則由客戶端的缺省路由來轉發,到底選擇哪種方式是由客戶端安全策略的嚴格性來決定的。
NSP的第三層隧道通過ActiveX控件來安裝部署,因此客戶端隻有安裝的是Windows操作系統才能使用它的第三層隧道,不過NSP在處理瘦客戶端(如老式的綠屏終端)的連接時采用瞭與其他同類產品不同的方式,所以這個缺點也就不怎麼顯眼瞭。瘦客戶端使用Java和一種專用協議首先連接到NSP內建的由Tarantella公司開發的代理服務器,再由該代理服務器把訪問請求導向到相應的受保護資源,不管采用哪種數據傳輸方式,客戶端和服務器中間所附加的這一層代理瞭所有需要進入企業的數據流。
新版操作系統中還增加瞭支持Sygate的 按需 (On-Demand)執行端點安全策略的管理軟件,不過這項功能需要額外付費購買。客戶端的安全完備性檢查可以在認證之前進行也可以在認證之後進行,而每個域都可以有自己特定的安全策略。隻有Windows客戶端才能使用更高級的Sygate功能,不過能刪除臨時文件和其他會話信息的緩存清除組建則對所有兼容Java的瀏覽器都有效。
與其他同類產品相比,NSP的人機界面顯得相當簡單樸素,容易操作也算容易,創建域和用戶認證及定義應用時步驟有點繁瑣,但還不算太糟。雖然NSP的策略粒度不如其他同類產品好,不過一旦在我熟悉瞭人機界面的組織方式後,添加或修改域和應用時也沒遇到什麼困難。
NSP也有不錯的內部日志和報表功能,但相比較而言它還不是最好的。和其他同類產品一樣,NSP同時支持SNMP和Syslog日志。另外NSP還提供內部生成的HTML格式的基本系統統計圖。
一套基本的NSP產品缺省支包括兩個節點的集群,雖然集群隻支持一個熱待機(Hot-Standby)配置,但不需要額外硬件的支持,這也為NSP產品添色不少。
第二款:Array Networks公司的SPX3000
SPX3000能提供任何一種網絡管理員想要的SSL VPN網關訪問模式。安全策略執行控制也很強大,不過其粒度還是不如競爭對手F5 FirePass 4100或Juniper NetScreen-SA 5000做地那麼細。和其他同類產品一樣,SPX3000的Web資源映射服務能把原先僅在企業內部可見的資源URL轉換成外部可見的地址,但與眾不同的是,該服務不僅能支持HTML,還支持JavaScript、 層疊樣式表CSS和cookie,甚至包括Flash。
通過其基於Web的網關,訪問Windows或網絡文件系統(NFS)服務器上的共享文件變得非常簡單。對於客戶端/服務器資源,SPX3000提供兩種訪問方式,應用管理器(Application Manager)通過使用Java applet把基於TCP的應用和後臺服務如終端服務器連接起來,另一方面,Windows重定向器(Windows Redirector)作為一個獨立的應用則為某些特定資源的訪問提供更強有力的控制,不過這項功能隻有在運行Internet Explorer的Windows系統上才能使用。
新版產品還支持完整的雙向第三層隧道,而且管理員可以為每個虛擬站點配置不同的隧道定義,每個都可以有自己特有的設置,比如某個設置要求使用全隧道模式,而同時另一個可以要求使用半隧道模式,並且兩者都可以從完全不同的DHCP池中分發IP地址。
目前SPX3000的許多高級SSL VPN功能是以犧牲跨平臺性為代價的,客戶端隻有是Windows系統才能使用它的第三層隧道功能,不過Array公司表示支持Mac和Linux的版本也正在開發當中。
該產品的終端安全策略處理,包括主機安全檢測和緩存清除是通過Sygate的 按需 策略和安全桌面來實現的。雖然終端安全策略組件是緊密集成在產品之中的,但卻必須另外購買。還有,主機安全檢測必須安排在認證之前進行。
對於大型企業和服務提供商,SPX3000除瞭虛擬站點之外還支持虛擬局域網,管理員在一臺設備上能配置多個子站點,每個子站點都可以有自己的認證方式。另外,SPX3000還支持多達32個節點的主主(Active-Active)負載平衡和主備(Active-Standby)多機熱備集群。
SPX3000的人機界面和以前的產品比起來沒有什麼太大的不同,雖然操作起來還是有點不太順手,但也算改進瞭不少,類似的菜單被組織到各自的菜單組中以簡化操作流程。每個虛擬站點的操作都是獨立的,委托管理(Delegated Administration)也支持地很好,這樣管理員可以指定不同的人管理不同的虛擬站點,而被指定的人可以也隻能管理到相應的虛擬站點。總之,可以說Array公司所做的工作沒有白費,SPX3000有能力與目前市場上任何一款同類產品相競爭。
第三款:Aventail公司的EX-1500
在遠程安全訪問領域EX-1500是一款優秀的全能產品。Aventail的統一策略引擎極大地解放瞭VPN管理員的工作。由於將資源和用戶緊密地聯系在一起,策略的定義因此很類似於建立防火墻規則的過程。你也用不著在人機界面的菜單上轉來轉去,所有東西都很簡潔地嵌套在一起,而且隨時還有一個很方便的 快速開始 菜單可以指導操作者。實際上,我僅用瞭一頁管理菜單就可以創建一套完整的包括資源和用戶的訪問規則,這也許看起來不是什麼瞭不起的東西,但對於工作繁忙的IT管理員來說是非常有幫助的。
每個域都可以有自己的訪問方式和安全區域定義。兼容的認證方式包括LDAP、RADIUS、活動目錄、SecurID和本地用戶數據庫。缺省支持兩個節點的主主(Active-Active)集群,而負載平衡和自動錯誤恢復則內建在產品中,不需要額外的硬件支持。
在本次評測的所有產品裡,EX-1500的終端控制系統2.0版也許具有最好的終端安全控制機制。當用戶連接到設備時,終端控制系統將根據連上來的設備情況將其放入特定的安全區域中,這裡的區域指的是具有不同策略細節的分組,比如是否在客戶的瀏覽器上應用緩存清除器或是否接受遠程接入(全部拒絕或全部接受)等,這個系統使得管理員能更容易地創建和維護隨不同地域變化而變化的安全策略。
終端控制系統依賴由WholeSecurity或Zone Labs公司開發的客戶端軟件來執行用戶認證前的終端掃描,而這樣的客戶端軟件必須另外購買,如果沒有這些附加軟件,終端控制系統仍然可以檢測出客戶端是從哪裡連進來的,但沒辦法知道客戶端正在運行哪些程序等細節信息。如果還想要更強的安全保護,EX-1500同樣支持緩存清除、安全桌面和需要另外購買的Sygate 按需 策略控制。
EX-1500能極為出色地支持Web應用。它能即時重寫HTML,而且缺省就包含一些Web應用的配置用以支持那些常見的Web應用如Outlook的Web訪問等。
瘦客戶端的支持則屬於Aventail的OnDemand軟件的任務。不要把它和Sygate的 按需 (On-Demand)策略混起來,Aventail的OnDemand軟件是一個Java應用,在瀏覽器需要的時候會自動下載並由它提供對TCP應用的支持。
EX-1500的日志功能雖然也不錯,但還是不如F5 FirePass 4100或Juniper NetScreen-SA 5000那麼強大。EX-1500支持Syslog、SNMP和內部文本日志,但遺憾的是沒有內建圖形化報表。
和競爭對手比起來,EX-1500的一大弱點就是不支持真正的第三層隧道,不過附帶的Aventail Connect軟件基本上可以彌補這個不足。Aventail Connect是一個Windows應用程序,它安裝在遠端的計算機上並提供對後臺資源的 網絡級 訪問,不過它不算是真正的第三層隧道,因為客戶端雖然可以ping到服務端,但反過來卻不行。不過對於從客戶端進入服務端的數據流來說,它確實能提供完整的TCP和UDP支持。Aventail承諾會在以後的新版中添加完整的雙向第三層隧道支持。
第四款:F5 Networks公司的FirePass 4100
FirePass 4100繼承瞭很多FirePass 1000原有的功能,當然這些功能在FirePass 4100中都經過升級,比原先強大多瞭。FirePass 4100也有一些其他同類產品比較少見的功能,比如內容過濾和防病毒掃描(兩者均使用開源軟件實現),而且甚至能支持站到站的IPSec隧道終結。
通過僅面向TCP的AppTunnels和名為Network Access的第三層連接器,FirePass 4100能提供標準的對基於門戶的(portal-based)Web應用的訪問。它也能讓瘦客戶端訪問那些運行於服務端的應用如Citrix MetaFrame虛擬工作平臺、微軟的終端服務和X Windows等,甚至通過特殊的連接軟件也可以訪問老式綠屏終端的應用。FirePass 4100的第三層隧道同時支持全隧道模式和半隧道模式,而且內建瞭對虛擬局域網的支持。
還有一項值得註意的功能即所謂的 桌面訪問 。和enKoo-3000的Beam應用類似,桌面訪問是一款Windows上的遠程訪問軟件,它以Java applet或者ActiveX控件的方式運行於客戶端的瀏覽器內,在需要的時候瀏覽器會自動下載並安裝。
FirePass 4100所支持的日志選項就太多瞭,隻要你能想得到的東西它都有相應的日志,日志方式包括SNMP和Syslog。而且內建有圖形報表工具,這樣快速監測就容易多瞭。
FirePass 4100所支持的認證服務包括LDAP、RADIUS、活動目錄、Vasco DigiPass、基本HTTP認證、客戶證書和本地數據庫。熱賣每個認證方式都屬於特定的資源組。Windows資源的單次登陸服務缺省是打開的,並且它通過瞭我所有相關的測試。
FirePass 4100的集群功能尤其強大,不但同時支持主主集群和主備集群兩種方式,而且10個節點的集群就能支持多達1萬個並發用戶。
人機交互管理界面初看上去感覺有點 超鏈接泛濫 ,不過在這一大堆選項身上花瞭一段時間後,我漸漸熟悉瞭它的佈局方式,最後發現其實瀏覽起來其實還是相當容易的。而且還附帶瞭其他一些很不錯的功能,比如,為瞭防止客戶主機上被安裝瞭按鍵記錄軟件,它可以為用戶名和密碼提供圖形化的虛擬鍵盤。
這款產品對政府部門來說尤其具有吸引力,因為其中有個版本支持聯邦信息處理標準(FIPS),FIPS是美國國傢標準與技術局制定的關於加密模塊的安全要求規范,本文所提到的絕大多數SSL VPN廠商預計將於今年內發佈支持該標準的產品,但目前隻有F5 Networks公司和Juniper公司已經做到這一點。
FirePass 4100唯一還需要下功夫改進的方面恐怕就是終端安全管理瞭。FirePass 4100有自己的主機檢測軟件,而不像其他同類產品那樣在這方面一般尋求和第三方軟件商進行合作,雖然也有緩存清除選項和名為 受保護工作區 的虛擬桌面,但不如Sygate的 按需 策略引擎那麼強大,不過FirePass 4100還是能夠檢查客戶機所運行的程序及註冊表、操作系統和瀏覽器的補丁包級別,還有是否安裝瞭McAfee防病毒軟件等。如果客戶機沒能通過這些安全檢查,它的訪問權將被限制在一個受隔離的網絡內。可惜的是,主機檢測隻能發生在用戶認證之後,F5 Networks公司表示認證前的主機檢測支持還在開發之中,有望在下一次軟件發佈中將其包含在內。
第五款:Juniper Networks公司的NetScreen-SA 5000
NetScreen-SA 5000的前身是Neoteris公司的Access系列SSL設備,在Juniper收購瞭NetScreen之後,NetScreen-SA 5000做為後續產品其安全引擎自然更加強大,硬件也得到瞭升級。目前該產品的軟件版本為4.2,雖然人機界面還需要組織地更好一些,但總體來看,該產品已經被證明是足夠靈活和安全的。
遠程用戶的認證方式包括活動目錄、LDAP、RADIUS、Netegrity、數字證書和本地數據庫,每個認證域都可以有多個認證服務器。已通過認證的用戶由用戶角色(User role)映射到相應的組裡,這些組不但定義瞭用戶遠程訪問的不同形式,同時還定義瞭與會話相關的具體細節,如發呆超時和會話持續性。舉個例子,管理員可以創建兩個不同的角色,其中一個可以訪問Web、Windows文件共享和終端服務,而另一個角色則隻有Web訪問的權限。
NetScreen-SA 5000支持所有標準的遠程訪問方式,包括Web應用、基於TCP的應用、第三層隧道。對於Web應用,管理員所能定義的訪問策略其粒度之細令人咂舌,各種細節都有相應的設置,從緩存策略到HTML重寫到壓縮等等。雖然看起來好像挺復雜,但實際上定義一個Web策略相當簡單。另外基於Web的Windows和Unix文件共享以及Telnet支持也都包含在內。
對基於TCP的應用的訪問請求會由所謂的安全訪問管理(SAM)軟件來轉發,該軟件有Windows版和Java版,並且能夠根據用戶角色來配置決定是否需要自動啟動。
第三層隧道由名為Network Connect的軟件來處理,該軟件隻有Windows版,在客戶機上安裝後會生成一個虛擬PPP適配器,管理員可以從一個內部DHCP池中為Network Connect客戶分配IP地址。全隧道和半隧道模式同時支持,另外還能自定義DNS設置。對於隧道,NetScreen-SA 5000提供給管理員的訪問控制選項不如其他服務那麼豐富,但相比IPSec VPN肯定還是好多瞭。Juniper表示在下一個軟件主發行版中Network Connect將支持Mac OS X和Linux。
SA-5000的終端安全檢測機制叫做Juniper終端防禦計劃(JEDI),它能支持InfoExpress、McAfee、Sygate、和Zone Labs等客戶端軟件。唯一不足的是JEDI隻有Windows版。
管理界面第一眼看上去有點亂,因為提供的選項實在太多瞭,所以我們也不能要求太多,實際使用中一些上下文相關的鏈接可以幫助使用者很快找到相應功能。SA-5000有一流的日志和報表功能,包括實時使用情況圖表等。
在本次評測的所有產品中,隻有NetScreen-SA 5000和FirePass 4100兩款符合FIPS 140標準,另外NetScreen-SA 5000支持8個節點的集群,以主動/被動(Active-Passive)模式保障服務的高可靠性。目前還不支持虛擬局域網,不過Juniper表示這項功能正在開發之中。
第六款:Nokia公司的安全訪問系統(Secure Access System)3.0版
Nokia的安全訪問系統(NSAS)不需要繁雜的管理界面操作就能提供所有你想要的遠程安全接入服務。它支持Web門戶、文件共享、TCP應用和第三層隧道。對Web應用訪問的支持其水準堪稱一流,創建和維護起來非常容易,在NSAS中添加一個Web資源隻需要輕點幾下鼠標而已,這在其他同類產品中是絕對不可能的。
另一個與眾不同的地方是雖然NSAS支持多種認證方式,包括LDAP、活動目錄、NT局域網管理器NTLM、RADIUS、PKI證書和本地數據庫,但它的認證方式是全局性的,不同的虛擬站點不能有各自不同的認證方式。在服務可靠性方面,NSAS在沒有額外硬件的情況下能支持兩個節點的集群。
通過一個Java幫助程序NSAS能支持基於TCP的應用,但整個操作過程需要大幅改進才行,因為針對每個客戶程序,使用者都得告訴服務端該連到客戶端的哪個回路(loopback)地址才行。在這一過程對用戶的透明度上,所有我們評測過的其他產品都要比NSAS做地好的多。
NSAS內建的用於取代IPSec的技術被稱為安全連接器(Secure Connector),它支持全隧道模式和半隧道模式。和Juniper NetScreen-SA 5000類似,安全連接器允許管理員為遠程用戶創建一個內部IP地址池,而隧道的訪問控制的定義則采用類似防火墻風格的允許/拒絕規則集,另外管理員可以指定對特定資源進行訪問時所使用的地址范圍、端口和協議,甚至對於那些不符合防病毒要求的客戶端可以直接將其拒絕在外。不過安全連接器隻有運行IE的Windows客戶機才能使用。
Nokia的虛擬沙盒叫做 安全工作區 (Secure Workspace),同樣,它也隻提供給運行IE的Windows系統。和Sygate的安全桌面類似,安全工作區在客戶會話結束後會把期間產生的所有臨時文件、瀏覽器記錄和會話信息全部刪除。一個浮動的工具欄可以讓用戶在本地桌面和安全桌面之間切換。
Nokia的客戶安全掃描可以在認證之前或者認證之後檢查遠程主機的安全狀態,管理員通過使用一種腳本語言來自定義掃描規則,這樣有利於管理員按照自己特定的要求建立相應的掃描規則,不過這應該是比較耗時的一項工作。
NSAS的人機界面使用起來還是相當順手的。日志和監測信息則有點過於詳細瞭,當然如果搭配過濾器使用的話還是屬於可管理范圍的。
可惜的是,NSAS並不支持第三方軟件廠商如Sygate或WholeSecurity開發的主機掃描軟件。NSAS如果想要在未來的競爭中不落下風,必須得在後續產品中添加對第三方軟件的支持以便更容易地集成現有的客戶安全檢測軟件和提供額外的客戶端管理功能。
準備好擁抱SSL VPN瞭嗎?
公平地講,企業沒有必要現在就立即拋棄所有IPSec VPN設備而以SSL VPN全部替換之,不過現在開始部署SSL VPN並把用戶朝這方面遷移還是很有意義的。IPSec VPN和SSL VPN完全可以共存並在功能上互補,這樣從一個平臺遷移到另一個平臺的過程就可以更平穩一些。
就算對那些已經在IPSec VPN上投入大量資金的企業來說,往SSL VPN上遷移也是有充分理由的,因為對於IPSec VPN來說,在每個客戶身上所花的技術支持費用要遠遠超過SSL VPN,而在這方面上節省的資金就足夠抵消用於購買新設備的開支瞭。由於SSL VPN所有的東西都集中在一起,長遠來看管理起來更加容易。而且SSL VPN基於客戶的瀏覽器,一旦有策略方面的變動時,客戶的下一次連接就能自動適應相應的變動。
還有,在安全性上SSL VPN要勝過IPSec。所有SSL 推薦VPN的連接,甚至包括類似IPSec風格的第三層隧道,都要受到相應的訪問控制策略的限制,這樣管理員就可以限制對某些特定資源的訪問,而不像IPSec那樣,一旦用戶連入後整個網絡都暴露在他面前。
以上所評測的所有產品都提供瞭極為豐富和強大的功能,足以與任何一款IPSec產品相競爭。以上所列的每一款產品都是個不錯的選擇。隨著市場的逐步成熟,我們有越來越多的理由期待SSL VPN成為自己的首選VPN設備。
數據對比
這款產品的認證功能得到瞭大幅增強,另外還增加瞭基於Sygate的終端安全檢測。在處理基於TCP的瘦客戶端應用時采用瞭與眾不同的方式,即通過Tarantella開發的服務器代理軟件來中轉訪問請求。雖然總體上NSP相當不錯,但策略控制的粒度還有待改善。
Array在該產品中加入瞭完整的第三層隧道和基於Sygate的終端安全檢測支持。而它的一大亮點是有能支持高級內容包括Flash的Web代理,這是其他產品所沒有的。也支持虛擬局域網,另外在同一設備上能配置多個虛擬站點。不過人機界面不太容易使用。
這款產品在安全遠程訪問方面可謂相當全能,不過遺憾的是隻支持單向TCP和UDP連接,也就是不支持真正的第三層隧道。管理界面很容易操作。另外它的終端安全管理機制在和由WholeSecurity或Zone Labs開發的客戶端軟件配合使用時是極佳的選擇。
在Web應用、瘦客戶端應用和第三層隧道領域FirePass 4100是最強大的一個平臺。它支持IPSec終結並內建瞭不太常見的基於瀏覽器的遠程桌面訪問應用,不過遺憾的是它的終端安全檢測不支持與第三方檢測軟件的集成。
沒有什麼是NetScreen-SA 5000做不到的。功能極其豐富並且相應的配置選項極為細致。支持所有標準的訪問模式,認證服務也做的很好。而且可以和很多第三方主機檢測軟件配合。可能該產品最大的不足就在於人機界面提供瞭太多的管理菜單和選項瞭。
可以很快速地將NSAS配置並運行起來,不過其他操作界面還需要改進。雖然對基於Web的應用的訪問支持地不錯,但卻不能很好地支持基於TCP/IP的瘦客戶端應用。有些管理員會覺得編寫終端安全檢測腳本很麻煩。終端安全檢測不支持與第三方檢測軟件的集成是很大的缺點。
父親節禮物推薦#GOODS_NAME#父親節禮物介紹【Jabra】Eclipse輕量時尚無線藍芽耳機(黑-白)父親節送什麼【Jabra】Eclipse輕量時尚無線藍芽耳機(黑-白)父親節禮物開箱文【Jabra】Eclipse輕量時尚無線藍芽耳機(黑-白)父親節要買什麼好?【Jabra】Eclipse輕量時尚無線藍芽耳機(黑-白)父親節推薦#GOODS_NAME#送爸爸送什麼好?【Jabra】Eclipse輕量時尚無線藍芽耳機(黑-白)不知道買什麼給爸爸#GOODS_NAME#
您或許有興趣的商品:
前陣子在觀望【Jabra】Eclipse輕量時尚無線藍芽耳機(黑-白)但 是價格當時有點下不了手
我也在等說是不是父親節前夕會有特價,果然我的想法沒錯!
【Jabra】Eclipse輕量時尚無線藍芽耳機(黑-白)真的有特價!!!
【Jabra】Eclipse輕量時尚無線藍芽耳機(黑-白)相信應該很多人有聽過不少人買!!
而且認真研究,所以就趕快下訂,真的很怕沒有貨來不及父親節送出去
好險這個網站送貨速度快又有折扣
有時候想買比較昂貴的家電(好比這次的父親節禮物)我都會看看有沒有折價券有時候滿多少折多少真的好優惠
時間 上的考量【Jabra】Eclipse輕量時尚無線藍芽耳機(黑-白)!!!!!我用手刀下定訂!!
↓↓↓限量折扣的優惠按鈕↓↓↓
在購物網購買,除了有詳細的介紹以外,更有保障!!所以我都很安心的在購物網買
【Jabra】Eclipse輕量時尚無線藍芽耳機(黑-白)實體店面跟網路上的價格差好多!!還好逛街的時候沒有傻傻的直接買下去
而且很多時候加入會員以後會不定時送電子折價券,所以其實買到的價格很多時候都比 網站上的標價便宜
商品訊息功能:
- 品號:3635285
- 卓越的音采級揚聲效果
- 時尚輕巧5.5g 史上最輕
- 在口袋裡即可充電
商品訊息描述:
商品訊息簡述:
品牌名稱 | |
---|---|
傳輸模式 |
|
商品組合:無
配件:Jabra Eclipse耳機*1、Jabra Eclipse座充*1、USB充電線*1、3組不同尺寸耳勾、使用說明手冊及相關文件
型號:Jabra Eclipse Wireless
"規格:作業系統Android
藍牙版本:v4.1/耳機孔規格:3.5mm/重量:5.5g/顏色:黑/通話時間:長達10小時的通話時間
(耳機部分3小時 + 充電底座7小時)*保固年限:先創國際公司貨享有12個月保固。
《原廠服務專線 (02)8792-8855》
產地:中國
其他:若於momo平台購買仍適用該品牌促銷活動,建議可連結該品牌官網,便於客戶查詢。
審閱說明:
特價
保固期 | 1年保固期先創國際公司貨享有12個月保固。《原廠服務專線 (02)8792-8855》 |
---|
【Jabra】Eclipse輕量時尚無線藍芽耳機(黑-白)
討論,推薦,開箱,CP值,熱賣,團購,便宜,優惠,介紹,排行,精選,特價,周年慶,體驗,限時,父親節禮物推薦開箱文
快按下按鈕,立刻享折扣↓↓↓
另外在推薦我平時會使用的平台可以比較價格找便宜~~
寶貝用品購物網推薦 | ||
專門賣寶寶天然的清潔用品~~ | ||
適合給新手爸媽的嬰兒購物網,一應俱全! | ||
各大購物網快速連結 | ||
東森購物網 | 性質大多相同 建議每一家搜尋要購買的品項後 比對出能折價卷能扣最多的一家來消費 保養品、化妝品我比較常在momo購物網買,切記是"購物網"才有正品保障!! | |
森森購物網 | ||
udn買東西 | ||
MOMO購物網 | ||
瘋狂麥克 | 有時候新鮮貨我都在瘋狂麥克找,基本上想找的,瘋狂賣客都會賣~ | |
本文將對目前業界領先的六款SSL VPN產品其各自的特點做一次橫向比較,同時分析SSL VPN產品相對傳統的IPSec VPN產品來說有哪些突出的優點,希望能讓讀者對目前SSL VPN領域的發展狀況有一個直觀的認識。
長久以來,企業一般都是通過部署IPSec VPN來為移動用戶和商業合作夥伴提供訪問其後臺服務和資源的遠程接入通道。現在對於站點到站點(Site-to-Site)的通訊,IPSec VPN恐怕仍是唯一的解決方案,但在客戶到企業(Client-to-Enterprise)的連接這方面,IPSec VPN卻面臨著迅速失寵的尷尬局面,原因之一就在於隨著客戶端用戶人數的增長,為他們安裝IPSec VPN客戶端和提供技術支持的工作已經讓眾多網絡管理員不堪重負。另外,IPSec隧道也為攻擊者留下瞭打通企業防火墻並直接威脅中心網絡所可以利用的通道。
考慮到IPSec VPN存在這些基本的問題,也就不難解釋為什麼現在SSL VPN越來越受到IT管理員們的關註。SSL VPN不需要安裝其他的客戶端軟件,隻要有支持SSL的瀏覽器就行,自然也就不需要對客戶端進行什麼維護和支持瞭,這不但節省瞭IT人員大量的時間和精力,同時也意味著遠程用戶在進行遠程訪問時不會再受到地域的限制,不論是在公共網吧或是在商業合作夥伴那裡,甚至是隨手借一臺筆記本,隻要有網絡,遠程訪問就沒問題。
更重要的是,SSL VPN的實現不需要任何連入企業的開放的隧道,SSL VPN會對每個連接執行相應的安全策略,並能依據不同的用戶身份、地域和(或)設備為其分配訪問相應資源的權限,如果再配上良好的安全控制策略,那麼在管理員沒有明確許可的情況下所有資源都將受到保護並被禁止訪問。
下面我們要對六款來自不同廠商的SSL VPN設備進行評測,看看做為產品來說它們到底是否成熟,是否有能力替代現有的企業級IPSec VPN產品,並且看看其中是否有哪一款能夠脫穎而出成為部署SSL VPN的首選。
SSL VPN以特色取勝
隨著產品的不斷發佈與升級,SSL VPN技術也在逐步走向成熟。下面要評測的產品許多已經發展到瞭第三代,從技術上可以說已經相當成熟,主要的區別在於它們實現安全策略和處理遠程接入端的方式,以及對終極用戶來說整體使用體驗的透明感等等。
存取訪問策略的粒度是SSL VPN產品的一大亮點,這裡評測的所有產品均支持讓管理員按照不同的登陸用戶和登陸地點創建並分配相應的訪問權限,另外它們也都支持某種終端安全檢測軟件,隻不過有些比其他做地更好一點。終端安全檢測軟件可以掃描分析一臺客戶端設備並評估該設備的安全級別,再依照預先定義好的 信任域 為其分配相應的訪問權限。舉個例子,檢測軟件可能會發現某臺筆記本上不但運行有防病毒軟件而且還裝瞭個人防火墻,按道理其安全級別應該足夠高,但由於這臺筆記本正在使用 星巴克 提供的無線接入服務進行連接,這時候SSL VPN設備就隻會為其分配代理訪問權,而不象IPSec VPN第三層隧道那樣將整個企業網絡暴露在訪問者面前。目前終端安全控制還沒有一套工業標準,不過一些公司如Cisco和微軟正在開展相關的工作以改變這種局面。
除瞭訪問控制外,所有這些我們評測的產品都提供其他額外的安全控制措施。比如它們都支持 安全瀏覽 客戶端,這些客戶端在SSL會話期間能創建所謂的虛擬沙盒(Virtual Sandbox),當用戶關閉連接後,期間所產生的所有臨時文件和會話信息也將隨之徹底消失。另外這些SSL VPN產品絕大多數都附帶用於客戶機的緩存清除軟件,它們能跟蹤用戶的動作並在會話結束後刪除相應的臨時文件、cookie和其他會話信息,這些措施對於那些使用公共電腦進行連接的用戶來說非常重要,不過相比較而言它不如虛擬沙盒有效,因為被刪除的東西常常有被恢復的可能。
其他一些功能對某些客戶來說也具有相當的吸引力,比如虛擬局域網和集群。虛擬局域網可以在同一物理網絡內對數據流進行隔離,這點對服務提供商和大型企業來說非常有用。而利用集群的自動錯誤恢復和負載平衡機制則能保證SSL VPN服務的高可靠性,並且能很容易地擴展服務所支持的並發在線人數,甚至能達到上千人。由於我們所要評測的產品在性能上基本打成平手,所以對客戶來說其購買天平最終傾向哪款產品常常是由某些額外的特色功能所決定的。
第一款:AEP Networks公司的Netilla安全平臺
以前的Netilla安全平臺(NSP, Netilla Security Platform)還缺少做為一款SSL VPN產品所必需的一些核心功能。不過後來Netilla系統公司和AEP網絡公司合並,成立瞭AEP網絡公司,隨後發佈瞭第五版的Netilla Dynatrust操作系統,新版本增加瞭一些以前缺少的功能,如LDAP支持和終端安全檢測。
在舊版操作系統中,NSP通過所謂的域(reamls)把用戶、認證機制和資源訪問策略組織到可管理的組內,並內建瞭對微軟服務信息塊(SMB)、活動目錄(Active Directory)、SecurID、Kerberos、RADIUS以及本地用戶認證的支持,而且沿用瞭以往的授權作用域(Authentication Scopes)來為用戶傳遞授權證書,從而實現瞭單次登陸(Single Sign-on)功能,這項功能雖然確實可以正常工作,但在建立和管理Web資源鏈接時會在管理上造成不必要的麻煩。
和本次評測的其他產品一樣,NSP同樣為客戶提供對基於Web和基於服務器的應用的訪問。NSP也提供類似IPSec的第三層隧道,這樣TCP和UDP數據報就可以直接進入企業網絡。它能同時支持全隧道(full tunnel)和半隧道(split tunnel)模式,全隧道模式指的是客戶端的所有網絡數據,不管是本地的還是非本地的,全部經由隧道到達服務端並在服務端被路由和轉發,而在半隧道模式下,和企業相關的數據流經由隧道到達服務端,其他數據流則由客戶端的缺省路由來轉發,到底選擇哪種方式是由客戶端安全策略的嚴格性來決定的。
NSP的第三層隧道通過ActiveX控件來安裝部署,因此客戶端隻有安裝的是Windows操作系統才能使用它的第三層隧道,不過NSP在處理瘦客戶端(如老式的綠屏終端)的連接時采用瞭與其他同類產品不同的方式,所以這個缺點也就不怎麼顯眼瞭。瘦客戶端使用Java和一種專用協議首先連接到NSP內建的由Tarantella公司開發的代理服務器,再由該代理服務器把訪問請求導向到相應的受保護資源,不管采用哪種數據傳輸方式,客戶端和服務器中間所附加的這一層代理瞭所有需要進入企業的數據流。
新版操作系統中還增加瞭支持Sygate的 按需 (On-Demand)執行端點安全策略的管理軟件,不過這項功能需要額外付費購買。客戶端的安全完備性檢查可以在認證之前進行也可以在認證之後進行,而每個域都可以有自己特定的安全策略。隻有Windows客戶端才能使用更高級的Sygate功能,不過能刪除臨時文件和其他會話信息的緩存清除組建則對所有兼容Java的瀏覽器都有效。
與其他同類產品相比,NSP的人機界面顯得相當簡單樸素,容易操作也算容易,創建域和用戶認證及定義應用時步驟有點繁瑣,但還不算太糟。雖然NSP的策略粒度不如其他同類產品好,不過一旦在我熟悉瞭人機界面的組織方式後,添加或修改域和應用時也沒遇到什麼困難。
NSP也有不錯的內部日志和報表功能,但相比較而言它還不是最好的。和其他同類產品一樣,NSP同時支持SNMP和Syslog日志。另外NSP還提供內部生成的HTML格式的基本系統統計圖。
一套基本的NSP產品缺省支包括兩個節點的集群,雖然集群隻支持一個熱待機(Hot-Standby)配置,但不需要額外硬件的支持,這也為NSP產品添色不少。
第二款:Array Networks公司的SPX3000
SPX3000能提供任何一種網絡管理員想要的SSL VPN網關訪問模式。安全策略執行控制也很強大,不過其粒度還是不如競爭對手F5 FirePass 4100或Juniper NetScreen-SA 5000做地那麼細。和其他同類產品一樣,SPX3000的Web資源映射服務能把原先僅在企業內部可見的資源URL轉換成外部可見的地址,但與眾不同的是,該服務不僅能支持HTML,還支持JavaScript、 層疊樣式表CSS和cookie,甚至包括Flash。
通過其基於Web的網關,訪問Windows或網絡文件系統(NFS)服務器上的共享文件變得非常簡單。對於客戶端/服務器資源,SPX3000提供兩種訪問方式,應用管理器(Application Manager)通過使用Java applet把基於TCP的應用和後臺服務如終端服務器連接起來,另一方面,Windows重定向器(Windows Redirector)作為一個獨立的應用則為某些特定資源的訪問提供更強有力的控制,不過這項功能隻有在運行Internet Explorer的Windows系統上才能使用。
新版產品還支持完整的雙向第三層隧道,而且管理員可以為每個虛擬站點配置不同的隧道定義,每個都可以有自己特有的設置,比如某個設置要求使用全隧道模式,而同時另一個可以要求使用半隧道模式,並且兩者都可以從完全不同的DHCP池中分發IP地址。
目前SPX3000的許多高級SSL VPN功能是以犧牲跨平臺性為代價的,客戶端隻有是Windows系統才能使用它的第三層隧道功能,不過Array公司表示支持Mac和Linux的版本也正在開發當中。
該產品的終端安全策略處理,包括主機安全檢測和緩存清除是通過Sygate的 按需 策略和安全桌面來實現的。雖然終端安全策略組件是緊密集成在產品之中的,但卻必須另外購買。還有,主機安全檢測必須安排在認證之前進行。
對於大型企業和服務提供商,SPX3000除瞭虛擬站點之外還支持虛擬局域網,管理員在一臺設備上能配置多個子站點,每個子站點都可以有自己的認證方式。另外,SPX3000還支持多達32個節點的主主(Active-Active)負載平衡和主備(Active-Standby)多機熱備集群。
SPX3000的人機界面和以前的產品比起來沒有什麼太大的不同,雖然操作起來還是有點不太順手,但也算改進瞭不少,類似的菜單被組織到各自的菜單組中以簡化操作流程。每個虛擬站點的操作都是獨立的,委托管理(Delegated Administration)也支持地很好,這樣管理員可以指定不同的人管理不同的虛擬站點,而被指定的人可以也隻能管理到相應的虛擬站點。總之,可以說Array公司所做的工作沒有白費,SPX3000有能力與目前市場上任何一款同類產品相競爭。
第三款:Aventail公司的EX-1500
在遠程安全訪問領域EX-1500是一款優秀的全能產品。Aventail的統一策略引擎極大地解放瞭VPN管理員的工作。由於將資源和用戶緊密地聯系在一起,策略的定義因此很類似於建立防火墻規則的過程。你也用不著在人機界面的菜單上轉來轉去,所有東西都很簡潔地嵌套在一起,而且隨時還有一個很方便的 快速開始 菜單可以指導操作者。實際上,我僅用瞭一頁管理菜單就可以創建一套完整的包括資源和用戶的訪問規則,這也許看起來不是什麼瞭不起的東西,但對於工作繁忙的IT管理員來說是非常有幫助的。
每個域都可以有自己的訪問方式和安全區域定義。兼容的認證方式包括LDAP、RADIUS、活動目錄、SecurID和本地用戶數據庫。缺省支持兩個節點的主主(Active-Active)集群,而負載平衡和自動錯誤恢復則內建在產品中,不需要額外的硬件支持。
在本次評測的所有產品裡,EX-1500的終端控制系統2.0版也許具有最好的終端安全控制機制。當用戶連接到設備時,終端控制系統將根據連上來的設備情況將其放入特定的安全區域中,這裡的區域指的是具有不同策略細節的分組,比如是否在客戶的瀏覽器上應用緩存清除器或是否接受遠程接入(全部拒絕或全部接受)等,這個系統使得管理員能更容易地創建和維護隨不同地域變化而變化的安全策略。
終端控制系統依賴由WholeSecurity或Zone Labs公司開發的客戶端軟件來執行用戶認證前的終端掃描,而這樣的客戶端軟件必須另外購買,如果沒有這些附加軟件,終端控制系統仍然可以檢測出客戶端是從哪裡連進來的,但沒辦法知道客戶端正在運行哪些程序等細節信息。如果還想要更強的安全保護,EX-1500同樣支持緩存清除、安全桌面和需要另外購買的Sygate 按需 策略控制。
EX-1500能極為出色地支持Web應用。它能即時重寫HTML,而且缺省就包含一些Web應用的配置用以支持那些常見的Web應用如Outlook的Web訪問等。
瘦客戶端的支持則屬於Aventail的OnDemand軟件的任務。不要把它和Sygate的 按需 (On-Demand)策略混起來,Aventail的OnDemand軟件是一個Java應用,在瀏覽器需要的時候會自動下載並由它提供對TCP應用的支持。
EX-1500的日志功能雖然也不錯,但還是不如F5 FirePass 4100或Juniper NetScreen-SA 5000那麼強大。EX-1500支持Syslog、SNMP和內部文本日志,但遺憾的是沒有內建圖形化報表。
和競爭對手比起來,EX-1500的一大弱點就是不支持真正的第三層隧道,不過附帶的Aventail Connect軟件基本上可以彌補這個不足。Aventail Connect是一個Windows應用程序,它安裝在遠端的計算機上並提供對後臺資源的 網絡級 訪問,不過它不算是真正的第三層隧道,因為客戶端雖然可以ping到服務端,但反過來卻不行。不過對於從客戶端進入服務端的數據流來說,它確實能提供完整的TCP和UDP支持。Aventail承諾會在以後的新版中添加完整的雙向第三層隧道支持。
第四款:F5 Networks公司的FirePass 4100
FirePass 4100繼承瞭很多FirePass 1000原有的功能,當然這些功能在FirePass 4100中都經過升級,比原先強大多瞭。FirePass 4100也有一些其他同類產品比較少見的功能,比如內容過濾和防病毒掃描(兩者均使用開源軟件實現),而且甚至能支持站到站的IPSec隧道終結。
通過僅面向TCP的AppTunnels和名為Network Access的第三層連接器,FirePass 4100能提供標準的對基於門戶的(portal-based)Web應用的訪問。它也能讓瘦客戶端訪問那些運行於服務端的應用如Citrix MetaFrame虛擬工作平臺、微軟的終端服務和X Windows等,甚至通過特殊的連接軟件也可以訪問老式綠屏終端的應用。FirePass 4100的第三層隧道同時支持全隧道模式和半隧道模式,而且內建瞭對虛擬局域網的支持。
還有一項值得註意的功能即所謂的 桌面訪問 。和enKoo-3000的Beam應用類似,桌面訪問是一款Windows上的遠程訪問軟件,它以Java applet或者ActiveX控件的方式運行於客戶端的瀏覽器內,在需要的時候瀏覽器會自動下載並安裝。
FirePass 4100所支持的日志選項就太多瞭,隻要你能想得到的東西它都有相應的日志,日志方式包括SNMP和Syslog。而且內建有圖形報表工具,這樣快速監測就容易多瞭。
FirePass 4100所支持的認證服務包括LDAP、RADIUS、活動目錄、Vasco DigiPass、基本HTTP認證、客戶證書和本地數據庫。熱賣每個認證方式都屬於特定的資源組。Windows資源的單次登陸服務缺省是打開的,並且它通過瞭我所有相關的測試。
FirePass 4100的集群功能尤其強大,不但同時支持主主集群和主備集群兩種方式,而且10個節點的集群就能支持多達1萬個並發用戶。
人機交互管理界面初看上去感覺有點 超鏈接泛濫 ,不過在這一大堆選項身上花瞭一段時間後,我漸漸熟悉瞭它的佈局方式,最後發現其實瀏覽起來其實還是相當容易的。而且還附帶瞭其他一些很不錯的功能,比如,為瞭防止客戶主機上被安裝瞭按鍵記錄軟件,它可以為用戶名和密碼提供圖形化的虛擬鍵盤。
這款產品對政府部門來說尤其具有吸引力,因為其中有個版本支持聯邦信息處理標準(FIPS),FIPS是美國國傢標準與技術局制定的關於加密模塊的安全要求規范,本文所提到的絕大多數SSL VPN廠商預計將於今年內發佈支持該標準的產品,但目前隻有F5 Networks公司和Juniper公司已經做到這一點。
FirePass 4100唯一還需要下功夫改進的方面恐怕就是終端安全管理瞭。FirePass 4100有自己的主機檢測軟件,而不像其他同類產品那樣在這方面一般尋求和第三方軟件商進行合作,雖然也有緩存清除選項和名為 受保護工作區 的虛擬桌面,但不如Sygate的 按需 策略引擎那麼強大,不過FirePass 4100還是能夠檢查客戶機所運行的程序及註冊表、操作系統和瀏覽器的補丁包級別,還有是否安裝瞭McAfee防病毒軟件等。如果客戶機沒能通過這些安全檢查,它的訪問權將被限制在一個受隔離的網絡內。可惜的是,主機檢測隻能發生在用戶認證之後,F5 Networks公司表示認證前的主機檢測支持還在開發之中,有望在下一次軟件發佈中將其包含在內。
第五款:Juniper Networks公司的NetScreen-SA 5000
NetScreen-SA 5000的前身是Neoteris公司的Access系列SSL設備,在Juniper收購瞭NetScreen之後,NetScreen-SA 5000做為後續產品其安全引擎自然更加強大,硬件也得到瞭升級。目前該產品的軟件版本為4.2,雖然人機界面還需要組織地更好一些,但總體來看,該產品已經被證明是足夠靈活和安全的。
遠程用戶的認證方式包括活動目錄、LDAP、RADIUS、Netegrity、數字證書和本地數據庫,每個認證域都可以有多個認證服務器。已通過認證的用戶由用戶角色(User role)映射到相應的組裡,這些組不但定義瞭用戶遠程訪問的不同形式,同時還定義瞭與會話相關的具體細節,如發呆超時和會話持續性。舉個例子,管理員可以創建兩個不同的角色,其中一個可以訪問Web、Windows文件共享和終端服務,而另一個角色則隻有Web訪問的權限。
NetScreen-SA 5000支持所有標準的遠程訪問方式,包括Web應用、基於TCP的應用、第三層隧道。對於Web應用,管理員所能定義的訪問策略其粒度之細令人咂舌,各種細節都有相應的設置,從緩存策略到HTML重寫到壓縮等等。雖然看起來好像挺復雜,但實際上定義一個Web策略相當簡單。另外基於Web的Windows和Unix文件共享以及Telnet支持也都包含在內。
對基於TCP的應用的訪問請求會由所謂的安全訪問管理(SAM)軟件來轉發,該軟件有Windows版和Java版,並且能夠根據用戶角色來配置決定是否需要自動啟動。
第三層隧道由名為Network Connect的軟件來處理,該軟件隻有Windows版,在客戶機上安裝後會生成一個虛擬PPP適配器,管理員可以從一個內部DHCP池中為Network Connect客戶分配IP地址。全隧道和半隧道模式同時支持,另外還能自定義DNS設置。對於隧道,NetScreen-SA 5000提供給管理員的訪問控制選項不如其他服務那麼豐富,但相比IPSec VPN肯定還是好多瞭。Juniper表示在下一個軟件主發行版中Network Connect將支持Mac OS X和Linux。
SA-5000的終端安全檢測機制叫做Juniper終端防禦計劃(JEDI),它能支持InfoExpress、McAfee、Sygate、和Zone Labs等客戶端軟件。唯一不足的是JEDI隻有Windows版。
管理界面第一眼看上去有點亂,因為提供的選項實在太多瞭,所以我們也不能要求太多,實際使用中一些上下文相關的鏈接可以幫助使用者很快找到相應功能。SA-5000有一流的日志和報表功能,包括實時使用情況圖表等。
在本次評測的所有產品中,隻有NetScreen-SA 5000和FirePass 4100兩款符合FIPS 140標準,另外NetScreen-SA 5000支持8個節點的集群,以主動/被動(Active-Passive)模式保障服務的高可靠性。目前還不支持虛擬局域網,不過Juniper表示這項功能正在開發之中。
第六款:Nokia公司的安全訪問系統(Secure Access System)3.0版
Nokia的安全訪問系統(NSAS)不需要繁雜的管理界面操作就能提供所有你想要的遠程安全接入服務。它支持Web門戶、文件共享、TCP應用和第三層隧道。對Web應用訪問的支持其水準堪稱一流,創建和維護起來非常容易,在NSAS中添加一個Web資源隻需要輕點幾下鼠標而已,這在其他同類產品中是絕對不可能的。
另一個與眾不同的地方是雖然NSAS支持多種認證方式,包括LDAP、活動目錄、NT局域網管理器NTLM、RADIUS、PKI證書和本地數據庫,但它的認證方式是全局性的,不同的虛擬站點不能有各自不同的認證方式。在服務可靠性方面,NSAS在沒有額外硬件的情況下能支持兩個節點的集群。
通過一個Java幫助程序NSAS能支持基於TCP的應用,但整個操作過程需要大幅改進才行,因為針對每個客戶程序,使用者都得告訴服務端該連到客戶端的哪個回路(loopback)地址才行。在這一過程對用戶的透明度上,所有我們評測過的其他產品都要比NSAS做地好的多。
NSAS內建的用於取代IPSec的技術被稱為安全連接器(Secure Connector),它支持全隧道模式和半隧道模式。和Juniper NetScreen-SA 5000類似,安全連接器允許管理員為遠程用戶創建一個內部IP地址池,而隧道的訪問控制的定義則采用類似防火墻風格的允許/拒絕規則集,另外管理員可以指定對特定資源進行訪問時所使用的地址范圍、端口和協議,甚至對於那些不符合防病毒要求的客戶端可以直接將其拒絕在外。不過安全連接器隻有運行IE的Windows客戶機才能使用。
Nokia的虛擬沙盒叫做 安全工作區 (Secure Workspace),同樣,它也隻提供給運行IE的Windows系統。和Sygate的安全桌面類似,安全工作區在客戶會話結束後會把期間產生的所有臨時文件、瀏覽器記錄和會話信息全部刪除。一個浮動的工具欄可以讓用戶在本地桌面和安全桌面之間切換。
Nokia的客戶安全掃描可以在認證之前或者認證之後檢查遠程主機的安全狀態,管理員通過使用一種腳本語言來自定義掃描規則,這樣有利於管理員按照自己特定的要求建立相應的掃描規則,不過這應該是比較耗時的一項工作。
NSAS的人機界面使用起來還是相當順手的。日志和監測信息則有點過於詳細瞭,當然如果搭配過濾器使用的話還是屬於可管理范圍的。
可惜的是,NSAS並不支持第三方軟件廠商如Sygate或WholeSecurity開發的主機掃描軟件。NSAS如果想要在未來的競爭中不落下風,必須得在後續產品中添加對第三方軟件的支持以便更容易地集成現有的客戶安全檢測軟件和提供額外的客戶端管理功能。
準備好擁抱SSL VPN瞭嗎?
公平地講,企業沒有必要現在就立即拋棄所有IPSec VPN設備而以SSL VPN全部替換之,不過現在開始部署SSL VPN並把用戶朝這方面遷移還是很有意義的。IPSec VPN和SSL VPN完全可以共存並在功能上互補,這樣從一個平臺遷移到另一個平臺的過程就可以更平穩一些。
就算對那些已經在IPSec VPN上投入大量資金的企業來說,往SSL VPN上遷移也是有充分理由的,因為對於IPSec VPN來說,在每個客戶身上所花的技術支持費用要遠遠超過SSL VPN,而在這方面上節省的資金就足夠抵消用於購買新設備的開支瞭。由於SSL VPN所有的東西都集中在一起,長遠來看管理起來更加容易。而且SSL VPN基於客戶的瀏覽器,一旦有策略方面的變動時,客戶的下一次連接就能自動適應相應的變動。
還有,在安全性上SSL VPN要勝過IPSec。所有SSL 推薦VPN的連接,甚至包括類似IPSec風格的第三層隧道,都要受到相應的訪問控制策略的限制,這樣管理員就可以限制對某些特定資源的訪問,而不像IPSec那樣,一旦用戶連入後整個網絡都暴露在他面前。
以上所評測的所有產品都提供瞭極為豐富和強大的功能,足以與任何一款IPSec產品相競爭。以上所列的每一款產品都是個不錯的選擇。隨著市場的逐步成熟,我們有越來越多的理由期待SSL VPN成為自己的首選VPN設備。
數據對比
這款產品的認證功能得到瞭大幅增強,另外還增加瞭基於Sygate的終端安全檢測。在處理基於TCP的瘦客戶端應用時采用瞭與眾不同的方式,即通過Tarantella開發的服務器代理軟件來中轉訪問請求。雖然總體上NSP相當不錯,但策略控制的粒度還有待改善。
Array在該產品中加入瞭完整的第三層隧道和基於Sygate的終端安全檢測支持。而它的一大亮點是有能支持高級內容包括Flash的Web代理,這是其他產品所沒有的。也支持虛擬局域網,另外在同一設備上能配置多個虛擬站點。不過人機界面不太容易使用。
這款產品在安全遠程訪問方面可謂相當全能,不過遺憾的是隻支持單向TCP和UDP連接,也就是不支持真正的第三層隧道。管理界面很容易操作。另外它的終端安全管理機制在和由WholeSecurity或Zone Labs開發的客戶端軟件配合使用時是極佳的選擇。
在Web應用、瘦客戶端應用和第三層隧道領域FirePass 4100是最強大的一個平臺。它支持IPSec終結並內建瞭不太常見的基於瀏覽器的遠程桌面訪問應用,不過遺憾的是它的終端安全檢測不支持與第三方檢測軟件的集成。
沒有什麼是NetScreen-SA 5000做不到的。功能極其豐富並且相應的配置選項極為細致。支持所有標準的訪問模式,認證服務也做的很好。而且可以和很多第三方主機檢測軟件配合。可能該產品最大的不足就在於人機界面提供瞭太多的管理菜單和選項瞭。
可以很快速地將NSAS配置並運行起來,不過其他操作界面還需要改進。雖然對基於Web的應用的訪問支持地不錯,但卻不能很好地支持基於TCP/IP的瘦客戶端應用。有些管理員會覺得編寫終端安全檢測腳本很麻煩。終端安全檢測不支持與第三方檢測軟件的集成是很大的缺點。
父親節禮物推薦#GOODS_NAME#父親節禮物介紹【Jabra】Eclipse輕量時尚無線藍芽耳機(黑-白)父親節送什麼【Jabra】Eclipse輕量時尚無線藍芽耳機(黑-白)父親節禮物開箱文【Jabra】Eclipse輕量時尚無線藍芽耳機(黑-白)父親節要買什麼好?【Jabra】Eclipse輕量時尚無線藍芽耳機(黑-白)父親節推薦#GOODS_NAME#送爸爸送什麼好?【Jabra】Eclipse輕量時尚無線藍芽耳機(黑-白)不知道買什麼給爸爸#GOODS_NAME#
您或許有興趣的商品:
全站熱搜
留言列表