2005年度SSL VPN網關公開比較測試報告

文章來源：泛普軟件

在VPN領域，SSL VPN無疑是個新貴，由于其與生俱來在遠程安全連接方面的優(yōu)勢，近幾年逐漸受到業(yè)界的追捧?？傮w來看，SSL VPN還沒有達到廠商們期望的大規(guī)模應用，然而最近的種種跡象表明，SSL VPN正在進行一場轟轟烈烈的開辟新天地運動。至于具體倚仗哪些優(yōu)勢，在整體性能、功能方面有哪些最新進展，本測試報告向讀者一一道來。

一份最新研究表明近90%的企業(yè)利用VPN進行的內部網和外部網的連接都只是用來進行Internet訪問和電子郵件通信，而這些應用都利用了一種更加簡單的VPN技術——SSL VPN?；赟SL協(xié)議的VPN遠程訪問方案的確更加容易配置和管理，由于不需要客戶端軟件，網絡配置成本比起目前主流的IPSec VPN要低很多，所以許多企業(yè)已經開始利用基于SSL加密協(xié)議的遠程訪問技術來實現VPN通信了。

SSL VPN是最近幾年才逐步發(fā)展成熟的，但是當去年某些機構對其進行全面測試時，可以說并沒有滿足用戶對其較高的期望。相反，許多基本的問題還沒有解決好。時間過去一年多，目前該領域發(fā)展到了何種程度？在目前的市場上已經出現了一些廠商的產品與解決方案，它們的優(yōu)劣都在哪里？與世界最先進的水平相比，多數SSL VPN設備的整體水平如何？帶著這些問題，《網絡世界》評測實驗室組織了2005年度SSL VPN網關公開比較評測。

由于目前市場中的SSL VPN網關設備并不是特別多，此次評測并沒有對參測設備進行詳細劃分級別。我們向所有主流SSL VPN設備廠商發(fā)出了邀請，最后有三家廠商接受邀請，送來參測設備并且順利完成我們的所有測試內容，它們是深信服科技的Sinfor SSL VPN Express、Array Networks的SPX 5000和深圳數安的RAP 1000-X。其中，Array Networks的SPX 5000為千兆產品，其他兩家產品為百兆設備。

我們還要特別感謝思博倫通信公司提供了Avalanche測試儀，安氏公司提供領信網絡掃描軟件。同時也對這些勇于參加此次SSL VPN網關公開比較評測的廠商表示贊賞。

● 性能測試——隨著軟硬件技術的進步，性能有大幅提高，滿足企業(yè)要求綽綽有余；
● 安全測試——盡管在網絡中處于防火墻之后，但是某些設備本身仍存在一定安全風險；
●功能測試——經過近一兩年的發(fā)展，功能已經獲得巨大突破，可以輕松應對用戶復雜應用。

性能測試用數據說話

性能表現是所有網絡設備極其重要的一個方面，也是我們此次測試的一個重點。SSL VPN網關設備的性能參數中，比較重要的幾個是新建用戶速率（setup/teardown速率）、最大并發(fā)用戶數、郵件系統(tǒng)性能以及設備的實際吞吐量（Goodput）等。

setup/teardown速率

setup/teardown速率反映了設備每秒鐘可以新建的用戶數目，Array Networks的SPX 5000可以達到982個/秒，從我們以往測試服務器的經驗來看，這一結果完全超過了一臺高端PC Web服務器的極限，只有后臺使用更高端服務器或者服務器集群才能提供如此高的性能；深信服的Sinfor SSL VPN Express結果為98個/秒，深圳數安的RAP 1000-X達到138.4個/秒，我們認為該數值也足以滿足大型企業(yè)級用戶的要求了。

最大并發(fā)用戶數

最大并發(fā)用戶數反映設備同時提供服務的最大用戶數目，讀者需要注意，此數值并非使用SSL VPN設備的用戶總數（很顯然，并不是所有需要使用設備的用戶都隨時在線）。據稱，Array Networks的SPX 5000 的最大并發(fā)用戶數可以達到64000，我們測試結果為57063；深信服Sinfor SSL VPN Express為150，深圳數安RAP 1000-X為249。
OWA性能

OWA（Outlook Web Access）性能反映的是設備在承載Outlook Web郵件系統(tǒng)的性能表現，由于郵件系統(tǒng)在SSL VPN的應用中占很大比例，而Outlook郵件系統(tǒng)又具有普遍意義，因此此項結果在用戶使用郵件系統(tǒng)時有很大參考意義。Array Networks的SPX 5000測試結果為7237 會話/秒；深信服RAP 1000-X為207 會話/秒，深圳數安RAP 1000-X為396.45會話/秒。

DDoS攻擊下的OWA性能

DDoS攻擊是網絡中十分普遍的攻擊類型，我們考察了SSL VPN設備在遭受DDoS攻擊下的Web郵件系統(tǒng)應用的性能表現。從我們以往對各類安全設備進行測試經驗來看，設備對攻擊的防范能力不容小視，有些防范能力較差的設備在攻擊面前束手無策，很容易造成設備工作不正常。從我們的測試結果來看，所有參測設備在攻擊下的性能都有小幅下降，Array Networks的SPX 5000測試結果為7030會話/秒，下降大約2.86％；深信服Sinfor SSL VPN Express為203會話/秒，下降大約1.93％，深圳數安RAP 1000-X為395.78會話/秒，下降幅度最低，僅為0.17％。

Goodput

按照RFC 2647的定義，我們測試了被測設備最大HTTP實際吞吐量（Goodput)。在我們的測試環(huán)境下的結果是，作為千兆設備的Array Networks SPX 5000為160.352Mbps，深信服Sinfor SSL VPN Express為34.199Mbps，深圳數安RAP 1000-X為29.864Mbps。需要說明的是，所有參測設備都沒有提供數據壓縮功能。

測試感言：性能已不是問題

從我們的測試結果來看，性能已經可以完全滿足用戶在遠程安全連接方面的需求。據我們了解，即便是最高端的用戶，也很少會分配高達100Mbps的帶寬給SSL VPN應用，再加上Internet網速受多方面影響，因此，從實際吞吐量角度，100Mbps是實際應用環(huán)境的極限，所有超過100Mbps的設備都無法充分展示拳腳。但是VPN設備可以提供數據壓縮能力，即數據經過壓縮后向外網發(fā)送，這可使用戶更加有效地利用昂貴的帶寬資源。從我們查到的資料來看，有些廠商在這方面的技術比較先進，數據壓縮比例可以達到5:1，遺憾的是此次參測的三款產品都沒有提供該功能，因此我們測試時并沒有考察數據壓縮時的性能表現。

從最大并發(fā)用戶數角度來看，采取SSL VPN方式，按照慣例一般取1∶10的比例（如果1000個人都可能采取VPN方式，同一時間會有100個人利用VPN隧道），這一點用戶在購買設備時也應該注意——在購買IPSec VPN時，1000個用戶需要購買1000個客戶端許可證，而如果使用SSL VPN，則可以按照100個并發(fā)用戶數購買。

用戶在部署SSL VPN之前一定要對設備進行性能測試，一方面能夠對設備的性能表現有確切掌握，另一方面可以根據實際網絡應用環(huán)境進行合理購買。

安全測試安全等級我做主

采用配置“最安全的簡單Web應用”，然后測試VPN設備的安全性能。我們發(fā)現，有的SSL VPN設備在安全性方面不容樂觀。我們使用安氏領信網絡掃描器對參測設備進行了全面的安全掃描，掃描報告中詳細列出設備存在的安全漏洞、安全警告、安全提示以及打開端口信息。漏洞對于安全設備來說，是應該盡量避免的，黑客可以輕松掃描出設備的漏洞，利用漏洞進行攻擊。警告和提示也不容忽視，它可能是不太嚴重的安全威脅，也可能是不易被利用的安全弱點。黑客還可以通過打開端口獲得設備正在提供的服務。
         結果發(fā)現，Array SPX 5000安全性很高，沒有發(fā)現任何漏洞，但是出現了一些安全警告。
         深信服Sinfor SSL VPN Express在對SSL協(xié)議進行開發(fā)時遺留一個漏洞，該漏洞會導致設備容易受到DoS攻擊，同時還有一些安全警告，但是，上文也提到，該設備本身默認配備了防火墻系統(tǒng)，整體的安全性已經比較高。
深圳數安的設備掃描結果為28個漏洞，15個安全警告。經過廠商工程師的安全配置更改以及漏洞修補工作，漏洞全部消除，剩余5個安全警告。
測試感言：安全產品最不能忽視安全！
        由于SSL VPN在功能方面已經十分強大，但是功能多的同時也在安全性方面帶來更多隱患。比如，如果只是提供最基本的Web轉換功能，即用戶只通過HTTPS訪問Web服務器內容，那么設備只需打開443端口即可，而如果用戶需要文件服務，則必需打開更多端口，端口和服務開啟越多, 安全隱患也就越多。因此，設備的安全性在一定程度上是由設備管理員來決定的，如果應用類型對用戶業(yè)務十分關鍵，機密性較強，那么則開啟最少的端口和服務，反之，如果應用為一般類型，對業(yè)務并不是十分關鍵，那么就可以多開啟一些服務，雖然安全性降低一些，但是為遠程用戶帶來多一些的便利。我們測試的是在開啟最簡單功能、最少端口和服務的情況下設備本身的安全性。
         安全性的問題很復雜，它涉及到整個系統(tǒng)的方方面面，從操作系統(tǒng)到開發(fā)平臺，從程序代碼到系統(tǒng)配置，可以說，一個成熟而相對安全的系統(tǒng)需要花費巨大的人力物力，當然還需要在紛繁復雜的不安全環(huán)境下接受各類考驗。
         在性能測試中的DDOS下的性能也反映了產品的安全性，有些設備在正常使用環(huán)境下性能很好，但是對DDOS攻擊幾乎無法進行任何防范。

功能測試應對復雜功能   我能
        在確定測試方案之前我們認為，SSL VPN設備在功能方面的表現可能是制約其獲得大規(guī)模部署的一個重要因素。原因在于，一年以前，國外的測試同行們對多款業(yè)界主流產品進行測試后發(fā)現，多數產品所能支持的應用轉換和代理的數量非常少，同時，功能方面是SSL VPN設備之間差別最突出，也最影響它們在實際環(huán)境中的部署。帶著這些疑問，我們制定了功能方面的考量內容，主要包括支持應用類型、數據壓縮功能、安全功能、認證方式以及報告與日志方面。
        如前文所述，數據壓縮功能對SSL VPN網關這種依靠互聯網帶寬資源的設備來說十分必要。盡管有些設備稱支持該功能，但遺憾的是送測產品都沒有提供該功能。
支持應用類型
        我們認為，SSL VPN網關對應用的支持大致分為4個層面。第一個層面為Web資源映射。從SSL VPN最初的應用情況來看，主要有Web服務器資源映射，也叫作代理Web頁面。這是SSL VPN最基本的應用支持類型，因此如果用戶希望通過Web資源映射來收發(fā)E-mail，則只能使用Web mail的方式。第二個層面為文件共享等應用。比如非Web頁面的文件共享，必需經過轉換才能夠發(fā)往客戶端。SSL VPN網關與企業(yè)網內部的微軟CIFS或FTP服務器通信，將這些服務器對客戶端的響應轉化為HTTPS協(xié)議和HTML格式發(fā)往客戶端，終端用戶感覺這些應用就是一些基于Web的應用。第三個層面為C/S應用代理，它需要在終端系統(tǒng)上運行一個非常小的Java或ActiveX程序作為端口轉發(fā)器，監(jiān)聽某個端口上的連接。當數據包進入這個端口時，它們通過SSL連接中的隧道被傳送到SSL VPN網關中，SSL VPN網關解開封裝的數據包，將它們轉發(fā)給目的應用服務器。第四個層面應用為網絡擴展。它將終端用戶系統(tǒng)連接到企業(yè)網上，并根據網絡層信息（如目的IP地址和端口號）進行接入控制。
        對于用戶來說，第一個層面的應用是必須的（如果設備連此應用都無法滿足，那它也就不能稱為SSL VPN了），而文件共享和C/S應用代理的需要也比較大，因此大多數用戶會要求SSL VPN能夠支持這兩種應用，至于網絡擴展應用，一般使用較少，而且由于該功能會給整個內部網絡帶來更多安全隱患，因此必須使用該功能的用戶也需要謹慎使用。
        Web資源映射功能     Array SPX 5000采用Web資源映射功能（Web Resource Mapping，WRM）來實現，用戶不需要改變內網的Web結構，在Array SPX 5000上設置在內網訪問的URL即可。深信服公司采用HTML智能重構技術來實現Web映射，把企業(yè)內部的Web服務器映射成SSL主機的一個子目錄來訪問（該子目錄是一個無意義的字符串）。
        Sinfor SSL VPN對用戶鏈接做識別，重寫HTML并將其轉換成HTTPS的有效鏈接，Sinfor SSL VPN并不重寫所有HTML代碼，而是根據智能搜索引擎判斷出需要重構的網頁再加以修改。Sinfor SSL VPN提供了基于Web方式的郵件收發(fā)系統(tǒng)，方便了沒有郵件客戶端的用戶。深圳數安RAP服務器上模擬一個Web解析服務器，動態(tài)解析遠程客戶對內網Web服務器請求，RAP監(jiān)聽到遠程客戶訪問內網Web服務器的URL后，通過RAP向內網服務器取動態(tài)請求，內網Web服務器就像響應普通內網客戶端的請求一樣響應RAP的請求。
        共享文件    Array SPX 5000支持Windows和Unix的文件共享，將內網共享文件，通過Web的方式提供給用戶，用戶可以在Web頁面中下載、上傳文件。Sinfor SSL VPN提供了基于Web的FTP系統(tǒng)，用戶可以下載上傳文件。針對標準的TCP協(xié)議，深圳數安RAP可以實現active模式FTP、passive模式FTP、Telnet等應用的支持。

        C/S應用代理      Array SPX 5000采用Application Manager模塊來實現C/S應用代理。多數C/S結構應用系統(tǒng)的訪問都是通過幾個固定TCP端口，對于這幾個TCP端口，SPX 5000啟動Application Manager功能，客戶端將下載Java Applet作為TCP PROXY運行在客戶端，它偵聽客戶端發(fā)往服務器方的TCP端口的請求，并把請求通過SSL連接發(fā)給SPX 5000，SPX 5000將終結和SSL的連接并和內網應用服務器建立連接，發(fā)送請求。當用戶具有C/S服務的訪問權限時，瀏覽器會下載一個ActiveX控件。該控件提供基于SSL協(xié)議的C/S訪問服務。
        SinforProxy提供了一種類似于IPSec VPN的數據包截取技術，當網絡連接發(fā)生時，SinforProxy會依據條件截取該連接并轉向到SSL隧道，使后續(xù)數據發(fā)送或接收都從SSL隧道傳輸。依賴此技術，Sinfor SSL VPN可以輕松做到將內網的多臺服務器所有端口提供給客戶端。在RAP的服務器上注冊了各種內部的C/S應用服務器IP、端口和協(xié)議等信息；當客戶端請求建立某個C/S應用請求時，RAP服務器端會主動PUSH一個Java Applet到客戶端，實時監(jiān)聽客戶端到當前C/S應用的原內網地址信息和端口，協(xié)議信息等，客戶端Java Applet把監(jiān)聽到所有信息通過SSL加密后在Internet上傳回到RAP服務器上，RAP服務器解密該數據包，把這些原始信息像在內網的訪問一樣傳給真正的內部C/S服務器，內網C/S應用服務器正常響應此請求，像內網訪問一樣返回數據包到RAP，RAP加密此數據包通過Internet傳輸給遠程的客戶端。
        網絡擴展     對于UDP應用，SPX 5000采用三層虛擬通道技術來實現，此項功能是在客戶端和SPX 5000之間通過SSL連接建立一條虛擬通道，客戶端將會生成一個虛擬網卡，并修改本機的路由表。這樣，客戶端虛擬網卡上就會配備一個和內網地址體系一致的網址，并通過這條虛擬通道直連到內網，就好像客戶端機器在內部一樣。一旦網絡層隧道建立后，所有基于IP的應用都可以實現。可實現包括B/S、C/S架構的應用，也可實現TCP的應用。深圳數安RAP 1000X的實現方式是，當客戶端遠程請求建立SSL通道的時候，客戶端動態(tài)生成RAP虛擬的網絡設備，并且通過RAP動態(tài)獲得內網IP地址，此時，客戶端的IP就變成了內網IP，只能訪問內網指定的服務器或相應服務器的相應的端口。深信服設備沒有提供該類型應用的支持。

安全功能
        由于SSL VPN設備最重要的使用環(huán)境為遠程安全連接，因此，安全是其必不可少的功能。
        URL加密是提高安全性的一個措施，有些設備也稱之為URL隱藏功能，在IE瀏覽器的URL框中，地址是一串不能讀懂的亂碼，而且每次用戶登錄都會發(fā)生實時改變。這種方式的好處是遠程用戶不能使用Ping命令找到該服務器的網址，因此可以避免對該服務器的網絡攻擊。有些廠商的產品默認為URL隱藏，因此無法進行多項性能測試，進而很遺憾沒有參加我們的測試。有些廠商的設備沒有此功能。而測試工程師認為，最好像Array的設備那樣，將此功能設置為可選，這樣如果用戶需要增加安全性，則開啟此功能，而在調試、測試階段則可以不必開啟此功能。深信服沒有URL加密功能，而深圳數安的設備默認開啟URL加密功能，但是針對我們的測試進行了特定的改進，從而也可以不啟動URL加密功能。
        超時檢測、清除緩存、客戶端安全掃描也是針對用戶遠程連接所設計的安全功能。超時檢測功能是當用戶登錄設備后而沒有任何動作并超過一定時限后將該用戶自動退出系統(tǒng)?？蛻舳司彌_區(qū)及臨時文件清除功能就是在SSL VPN的遠程訪問結束后，自動清除留在遠程訪問設備緩沖區(qū)中的臨時文件和數據。清除緩存功能不僅非常必要，而且，不支持這項功能的SSL VPN產品會對企業(yè)信息造成嚴重危害。IE瀏覽器為了提高速度，常常將訪問的文件和數據放在臨時文件中。并且在退出后不會自動刪除。這樣，有經驗的客戶可以通過瀏覽器提供的檢查臨時文件的功能，打開殘留在臨時文件目錄中的文檔，從而竊取企業(yè)機密。為了簡化用戶重復登錄，反復輸入密碼的麻煩，瀏覽器有的時候會在緩沖區(qū)中記錄用戶口令信息，這樣，在不關閉瀏覽器的時候，二次訪問需要口令的網址的時候，瀏覽器會自動輸入口令。因為SSL VPN的遠程用戶可能使用公共設備，如果不清除緩沖區(qū)，如果忘記關閉瀏覽器而離開，后面的用戶可以會登錄到內部系統(tǒng)。所以，必須在會話結束后清除緩沖區(qū)。參測的三款設備都支持超時檢測和清除緩存功能。
客戶端掃描對用戶來說也是一個不錯的功能。由于使用SSL VPN以后，用戶可以使用任何設備訪問內部資源，甚至可以使用網吧電腦訪問內部系統(tǒng)。如果遠程訪問的系統(tǒng)有病毒或安全漏洞，將危害企業(yè)內部的信息安全?？蛻舳藪呙韫δ芸梢源蟠蠼档筒《竞秃诳凸ぞ邔ζ髽I(yè)信息的危害。深圳數安和深信服的設備不支持該功能，Array設備支持該功能。Array SPX 5000可以對登錄的客戶端進行檢測，根據對客戶端特征值的檢測結果，將客戶端劃分到不同的安全訪問級別，為客戶端提供不同的功能模塊，并且可以自定義什么級別的用戶可以擁有哪些功能模塊。對于接入的客戶端，可針對以下內容檢測客戶端的安全級別：客戶端的IP地址、客戶端的SSL證書、客戶端包含的特定文件、客戶端注冊表特定鍵值、客戶端個人防火墻檢查、客戶端防病毒軟件檢查，包括病毒庫的更新時間以及操作系統(tǒng)版本補丁檢查等。

SSL VPN網關功能評價表
公司名稱		Array etworks 華耀環(huán)宇科技（北京）有限公司	深圳市深信服電子科技有限公司	深圳市數安信息系統(tǒng)有限公司
產品名稱		SPX 5000	Sinfor SSL VPN Express	RAP 1000-X
產品類型（軟件、硬件）		單獨硬件	單獨硬件	單獨硬件
產品定位		大中型企業(yè)/電信/移動用戶	中小型企業(yè)遠程接入和辦公	中小型企業(yè)遠程接入和辦公
配置	硬盤	40G	CF 128M	40G
	CPU	AMD opteron 2.8G	P3 1G	P4 2.0G
	內存	4G	256M	1G
	是否采用硬件加密	是	是	否
	是否有加速卡	是	否	是
	設備操作系統(tǒng)類型	ArrayOS	Linux	Linux
	支持操作系統(tǒng)類型	Windows、Linux、Unix、Macintosh、Palm OS	Windows	Windows，Linux 、Wince、Smart Phone
	提供網絡接口類型	10/100/1000 RJ-45、GE光口	百兆以太網端口、百兆管理端口	百兆以太網端口、百兆管理端口
	冗余部件	無	無	無
功能	HTTP壓縮	不支持	不支持（C/S應用支持）	不支持
	超時檢測	支持	支持	支持
	清除緩存記錄	支持	支持	支持
	自動升級	不支持	支持	支持
	雙機備份	支持	不支持	不支持
安全	客戶端安全掃描	支持	不支持	不支持
	身份認證方式	LocalDB/AD/LDAP/RADIUS/SecurID/證書特殊字段檢測	用戶名密碼、USBKey、LDAP（ActiveDirectory）、RADIUS	Active Directory、LDAP、 RADIUS、USB-KEY、LOCAL DATABASE、Secur ID,手機短信認證
	用戶權限管理	支持	支持	支持
	數字證書認證	支持	支持	支持
	是否支持現有用戶數據庫	是	是	是
管理	集中管理	支持	支持	支持
	管理平臺	Win98/NT/2000；工具（ SSH、WebUI、Console）	Win 98/NT/2000/XP	Win 98/NT/2000/XP
	遠端管理	支持	支持	支持
	分層管理	支持	支持	不支持
	實時統(tǒng)計信息	支持	不支持	不支持
價格		210000人民幣/1000用戶	24570人民幣	Win 98/NT/2000/XP

認證方式
         識別用戶并把它們歸到某個組里是部署SSL VPN至關重要的一部分。RADIUS服務器應用非常普遍。有的產品可以極為靈活地從RADIUS服務器里獲得組信息。在其他產品里，RADIUS用戶不得不通過一些手段鏡像到組里去。對于多數廠商而言，LDAP的支持與Active Directory的支持是同義的。SSL通常都是建立在證書基礎之上的，因此，大家希望這些產品在其對公共密鑰基礎設施（PKI）的支持方面能夠表現優(yōu)異。
上述的認證方式參測的三款產品都支持，值得指出的是，深信服與深圳數安的設備還支持USB Key硬件認證方式，Array SPX 5000 5000支持 RSA SecurID。
報告與日志功能
作為安全設備，人們還希望SSL網關具有很強大的審計、日志和報告功能。希望看到有關每次修改配置的記錄，希望看到會話數據，以顯示用戶何時登錄、何時退出的，以及用戶消耗了多少資源。也希望看到交易統(tǒng)計數據。參測設備都對用戶各類信息做了詳細日志。Sinfor SSL VPN提供了調試、信息、告警、錯誤的4個級別運行日志，幫助管理診斷系統(tǒng)。
3款產品除了擁有需要的記錄之外，還可以使用FTP、SMTP或者安全拷貝自動把其記錄上傳至服務器的某個地方。還可以選擇某些特殊的用戶和應用，并提供日志水平。不論用戶是出于調試目的，還僅僅是為了更密切地觀察系統(tǒng)的某個部分，這都是一項很好的企業(yè)級特性。
有的產品不僅能顯示誰登錄了，還能顯示系統(tǒng)本身是如何運行的?？梢燥@示多個圖表，網管能夠清楚地知道CPU、內存和I/O負載情況。Array SPX 5000在這方面就表現不錯，前面板的實時統(tǒng)計信息使管理員對系統(tǒng)運行情況一目了然，通過圖形化的界面顯示系統(tǒng)實時的各種參數，包括CPU利用率、端口流量、SSL連接數、登錄/退出數量、并發(fā)用戶連接情況等各項信息。實現對系統(tǒng)的實時監(jiān)控。其他兩款產品則沒有實時統(tǒng)計信息。

測試感言：功能最影響用戶選擇
         功能是SSL VPN設備的一個基礎，由于經過多年的網絡建設，用戶在網絡構建時，無論是物理層面還是應用層面，都形成一個相對復雜而獨具特點的環(huán)境，因此，設備性能再好，安全性再高，如果對用戶的應用系統(tǒng)無法進行正常轉換，那么根本談不上部署。比如，某用戶在前幾年習慣了Java平臺的應用（包括中間件的使用），當希望部署某國外品牌時，該應用無法通過SSL VPN設備進行正常連接；另一用戶的業(yè)務系統(tǒng)必須通過ActiveX實現，在部署某款SSL VPN時同樣無法達到正常工作的目的。
        通過功能的測試，我們感覺到，SSL VPN在功能方面已經不存在任何應用障礙了。當去年國外同行進行SSL VPN測試的時候，他們還感覺到許多應用類型無法支持。如今當時的困難都被很好解決。
        因此，目前來講，SSL VPN網關只剩下一個障礙，那就是子網對子網的安全連接問題。在邏輯上分析，我們認為遠程連接領域SSL VPN優(yōu)勢十分明顯，但是某些用戶如果同時需要遠程連接和子網對子網的安全連接，那么IPSec VPN就會體現出優(yōu)勢。因此，一些廠商認識到這種問題后，推出集成IPSec與SSL VPN于一體的設備，如果用戶需要同時采用兩種類型VPN，這種一體化設備是一種不錯的選擇。
        關于URL加密的功能成為我們此次測試的一個問題，如果設備默認支持此功能而且無法將它取消，那么就無法進行我們的測試，因此對此功能最好能夠提供可選的“按鈕”，當正常使用時開啟該功能以提高安全性，而在設備部署、調試、測試階段則關閉該功能以完成測試工作。
        對用戶來說要挑選一個明顯的最愛比較困難，有的提供了一個成熟的應用層防火墻，有的提供了范圍廣泛的應用轉換功能。產品是否最終令人滿意，還取決于用戶對自己應用需求的了解程度，用戶需要記?。骸斑m合自己的才是最好的。”

測試方法
        由于SSL VPN最近幾年才逐漸成熟，因此對其進行測試時業(yè)界還沒有形成一個十分成熟完善的測試方案，我們參照國際上較為認可的方法并結合目前SSL VPN的發(fā)展情況，制定出如下測試方法。其中主要包括性能測試、安全測試以及功能測試三個方面。

性能測試
        在性能測試方面，我們使用思博倫通信公司的兩臺Avalanche 2500進行測試，所有結果均用樸實的數字說話。在所有5個測試項目中，每款設備均測試3遍，結果取其平均值。
        測試指標1：新建用戶速率（setup/teardown rate）
        在每項性能指標測試中，我們都模擬了真實環(huán)境中的一系列用戶動作，即從用戶登錄SSL VPN網關到執(zhí)行各類請求，再到退出。我們把用戶動作描述出來，希望讀者對我們的測試細節(jié)都能夠了解得更加清晰。
        指標含義：新建用戶速率是指設備每秒鐘可以新建立的用戶連接數目，也稱為會話速率，即每秒鐘可以建立和終止的SSL會話數目（會話可以理解為客戶端到網關的一次連接，即瀏覽器的一次Web 頁面訪問）。這個參數很大程度上決定了用戶能夠體驗到的連接速度。通常，達到100左右數值的會話速率，一般可以滿足大部分用戶的應用需求。
        測試步驟：第一步，在32秒（一般為30秒，由于結果文件中每4秒統(tǒng)計數值，為了便于記錄結果我們將第一步設為32秒）內壓力從0 Simusers（Simusers為Avalanche 2500中模擬的用戶單位，一個Simuser為一個模擬用戶）上升到N Simusers，N為預計的最大速率；第二步，維持第一步的最高壓力120秒；第三步，20秒內將壓力降為0，測試結束。
        用戶動作：測試儀器模擬的用戶，在登錄后取一個1024Byte的文件后退出。
結果衡量：在第二步維持120秒的后60秒，我們計算該時間段內的平均速率（將成功建立的用戶連接數除以60）。

        測試指標2：最大并發(fā)用戶數
        指標含義：設備同時可以支持的用戶連接數。
        最大并發(fā)用戶數指同時通過SSL VPN 來訪問內部網的用戶數目。同時在線用戶數也是一個非常重要的參數，即同一時間 SSL VPN 所能保持的會話數目，它通常在幾百到幾千之間，同時在線用戶越多，每位用戶所感受到的速度越慢。
        測試步驟：第一步，32秒內壓力從0 Simusers/秒上升到新建速率的80％；第二步，維持第一步的最高壓力300秒；第三步，20秒內將壓力降為0，測試結束。
用戶動作：測試儀模擬的用戶，在登錄以后取一個1024Byte的文件，該文件的延遲（文件的延遲時間為用戶從發(fā)起請求到測試儀器響應用戶的時間）為0秒，之后重復取一個延遲為60秒的文件10次，即一個用戶至少10分鐘后才會退出。

結果衡量：我們把用戶成功取得沒有延遲的文件數目作為最大并發(fā)用戶數（因為每個成功登錄的用戶都會取得該文件，并且在我們的測試時間內不會退出而形成與所有其他用戶的并發(fā)）。

        測試指標3：OWA性能
        指標含義：設備每秒鐘可以完成的郵件系統(tǒng)操作。
        測試步驟：第一步，在32秒內壓力從0 Simusers上升到N Simusers；第二步，維持第一步的最高壓力120秒；第三步，20秒內將壓力降為0，測試結束。
        用戶動作：測試儀模擬的用戶，在登錄以后發(fā)出大量的郵件系統(tǒng)請求（測試儀為用戶模擬了Outlook的收件箱），請求數量為79個，然后退出。
        結果衡量：在第二步維持120秒的后60秒，我們計算該時間段內的平均速率（將成功建立的用戶連接數除以60）。

        測試指標4: DDoS攻擊下的OWA性能
        指標含義：設備在DDoS攻擊下每秒鐘可以完成的郵件系統(tǒng)操作。
        測試步驟：測試步驟同OWA性能測試，只是在測試過程中同時對SSL VPN網關設備進行DDoS攻擊。我們選擇了較為常見的Synflood攻擊。
        用戶動作：測試儀模擬的用戶，在登錄以后發(fā)出大量的郵件系統(tǒng)請求，請求數量為79個，然后退出。此過程同OWA性能測試，只是在測試過程中測試儀同時向被測設備發(fā)送Synflood攻擊數據包。
        結果衡量：在第二步維持120的后60秒，我們計算該時間段內的平均速率。

        測試指標5：實際吞吐量（Goodput）
        指標含義：實際吞吐量也稱為設備轉發(fā)速率，它指的是SSL VPN網關最快可以在每秒鐘內轉發(fā)多少數據流量。
        測試步驟：第一步，在32秒內壓力從0 Simusers上升到N Simusers；第二步，維持第一步的最高壓力120秒；第三步，20秒內將壓力降為0，測試結束。
        用戶動作：測試儀模擬的用戶，在登錄以后從一個模擬的Web服務器取一個1MByte的文件，然后從另外一個Web服務器取一個1Mbyte的文件，交替此過程10遍，一共從服務器取20Mbyte數據，然后退出。
        結果衡量：在第二步維持120秒的后60秒，我們將用戶從測試儀模擬的Web服務器取得的數據流量進行平均，得出設備的實際吞吐量。

安全測試
        我們認為，安全產品最不能忽視其安全性。
        在安全性測試中，我們使用商業(yè)掃描器（Scanner）產品——安氏領信網絡掃描器（LinkTrust Network Scanner）對被測設備進行安全測試。測試時只針對一種VPN配置進行，即僅提供最基本的Web應用的情況。
        掃描器會對設備開放端口、警告以及漏洞信息給出詳細報告，具體分析每種情況的危害程度以及防范補救措施等。

功能測試
        在功能測試方面我們主要進行了兩部分測試。一部分測試設備對應用類型的支持能力，被測設備廠商工程師向我們演示了盡量多的應用類型，包括FTP、網絡文件系統(tǒng)、文件服務器、P2P等。另一部分測試設備本身在管理使用方面的功能特性，主要涉及訪問控制、認證集成、報告與日志以及配置、安裝和易用性等管理特性。

編輯推薦獎：Array SPX 5000
        此次測試，我們主要關注四個方面：性能、安全、功能和價格，在進行整體考核時的權重為：性能占40%，功能占30％，安全占20％，價格占10％。
        參測三款SSL VPN網關全部順利完成我們各項測試，其中，深信服Sinfor SSL VPN Express 雖然在性能、功能各方面表現不很突出，但是價格非常便宜，且集成了防火墻，對于其“中小企業(yè)”定位用戶來說是個不錯的選擇。深圳數安RAP 1000-X在功能方面已經十分豐富，對于使用百兆環(huán)境的用戶來說，已基本可以滿足需求。
        Array Networks SPX－5000表現出眾，該產品性能優(yōu)異——無論是最大并發(fā)連接數還是新建連接速率以及實際吞吐量都可輕松滿足高端企業(yè)級應用；功能全面——對各種類型應用做到很好支持；安全性能較高—我們嚴格的網絡掃描測試中沒有出現任何漏洞，技術工程師也給我們的測試充分的支持。綜合各項測試內容，Array Networks的SPX 5000成績最為優(yōu)秀。