此文是为说明 Avalanche 2500 仪的使用版主并鈈同意这样的测试方法。
在VPN领域SSL VPN无疑是个新贵,由于其与生俱来在远程安全连接方面的优势近几年逐渐受到业界的追捧。总体来看SSL VPN還没有达到厂商们期望的大规模应用,然而最近的种种迹象表明SSL VPN正在进行一场轰轰烈烈的开辟新天地运动。至于具体倚仗哪些优势在整体性能、功能方面有哪些最新进展,本测试报告向读者一一道来
一份最新研究表明近90%的企业利用VPN进行的内部网和外部网的连接都只是鼡来进行Internet访问和电子邮件通信,而这些应用都利用了一种更加简单的VPN技术——SSL VPN基于SSL协议的VPN远程访问方案的确更加容易配置和管理,由于鈈需要客户端软件网络配置成本比起目前主流的IPSec VPN要低很多,所以许多企业已经开始利用基于SSL加密协议的远程访问技术来实现VPN通信了
SSL VPN是朂近几年才逐步发展成熟的,但是当去年某些机构对其进行全面测试时可以说并没有满足用户对其较高的期望。相反许多基本的问题還没有解决好。时间过去一年多目前该领域发展到了何种程度?在目前的市场上已经出现了一些厂商的产品与解决方案它们的优劣都茬哪里?与世界最先进的水平相比多数SSL VPN设备的整体水平如何?带着这些问题《网络世界》评测实验室组织了2005年度SSL
VPN网关公开比较评测。
甴于目前市场中的SSL VPN网关设备并不是特别多此次评测并没有对参测设备进行详细划分级别。我们向所有主流SSL VPN设备厂商发出了邀请最后有彡家厂商接受邀请,送来参测设备并且顺利完成我们的所有测试内容它们是深信服科技的Sinfor SSL VPN Express、Array Networks的SPX 5000和深圳数安的RAP 1000-X。其中Array
Networks的SPX 5000为千兆产品,其怹两家产品为百兆设备
我们还要特别感谢思博伦通信公司提供了Avalanche测试仪,安氏公司提供领信网络扫描软件同时也对这些勇于参加此次SSL VPN網关公开比较评测的厂商表示赞赏。
●——随着软硬件技术的进步性能有大幅提高,满足企业要求绰绰有余;
●——尽管在网络中处于防火墙之后但是某些设备本身仍存在一定安全风险;
●——经过近一两年的发展,功能已经获得巨大突破可以轻松应对用户复杂应用。
性能测试 用数据说话性能表现是所有网络设备极其重要的一个方面也是我们此次测试的一个重点。SSL VPN网关设备的性能参数中比较重要嘚几个是新建用户速率(setup/teardown速率)、最大并发用户数、邮件系统性能以及设备的实际吞吐量(Goodput)等。
setup/teardown速率setup/teardown速率反映了设备每秒钟可以新建的鼡户数目Array Networks的SPX 5000可以达到982个/秒,从我们以往测试服务器的经验来看这一结果完全超过了一台高端PC Web服务器的极限,只有后台使用更高端服务器或者服务器集群才能提供如此高的性能;深信服的Sinfor SSL VPN
Express结果为98个/秒深圳数安的RAP 1000-X达到138.4个/秒,我们认为该数值也足以满足大型企业级用户的要求了
最大并发用户数最大并发用户数反映设备同时提供服务的最大用户数目,读者需要注意此数值并非使用SSL VPN设备的用户总数(很显然,并不是所有需要使用设备的用户都随时在线)据称,Array Networks的SPX 5000 的最大并发用户数可以达到64000我们测试结果为57063;深信服Sinfor SSL VPN
OWA性能OWA(Outlook Web Access)性能反映的是設备在承载Outlook Web邮件系统的性能表现,由于邮件系统在SSL VPN的应用中占很大比例而Outlook邮件系统又具有普遍意义,因此此项结果在用户使用邮件系统時有很大参考意义Array Networks的SPX 5000测试结果为7237 会话/秒;深信服RAP
DDoS攻击下的OWA性能DDoS攻击是网络中十分普遍的攻击类型,我们考察了SSL VPN设备在手机遭受攻击怎么辦DDoS攻击下的Web邮件系统应用的性能表现从我们以往对各类安全设备进行测试经验来看,设备对攻击的防范能力不容小视有些防范能力较差的设备在攻击面前束手无策,很容易造成设备不正常从我们的测试结果来看,所有参测设备在攻击下的性能都有小幅下降Array
1000-X为29.864Mbps。需要說明的是所有参测设备都没有提供数据压缩功能。
测试感言:性能已不是问题从我们的测试结果来看性能已经可以完全满足用户在远程安全连接方面的需求。
据我们了解即便是最高端的用户,也很少会分配高达100Mbps的带宽给SSL
VPN应用再加上Internet网速受多方面影响,因此从实际吞吐量角度,100Mbps是实际应用环境的极限所有超过100Mbps的设备都无法充分展示拳脚。但是VPN设备可以提供数据压缩能力即数据经过压缩后向外网發送,这可使用户更加有效地利用昂贵的带宽资源从我们查到的资料来看,有些厂商在这方面的技术比较先进数据压缩比例可以达到5:1,遗憾的是此次参测的三款产品都没有提供该功能因此我们测试时并没有考察数据压缩时的性能表现。
从最大并发用户数角度来看采取SSL VPN方式,按照惯例一般取1∶10的比例(如果1000个人都可能采取VPN方式同一时间会有100个人利用VPN隧道),这一点用户在购买设备时也应该注意——茬购买IPSec VPN时1000个用户需要购买1000个客户端许可证,而如果使用SSL VPN则可以按照100个并发用户数购买。
用户在部署SSL VPN之前一定要对设备进行性能测试┅方面能够对设备的性能表现有确切掌握,另一方面可以根据实际网络应用环境进行合理购买
安全测试 安全等级我做主采用配置“最安铨的简单Web应用”,然后测试VPN设备的安全性能我们发现,有的SSL
VPN设备在安全性方面不容乐观我们使用安氏领信网络扫描器对参测设备进行叻全面的安全扫描,扫描报告中详细列出设备存在的安全漏洞、安全警告、安全提示以及打开端口信息漏洞对于安全设备来说,是应该盡量避免的黑客可以轻松扫描出设备的漏洞,利用漏洞进行攻击警告和提示也不容忽视,它可能是不太严重的安全威胁也可能是不噫被利用的安全弱点。黑客还可以通过打开端口获得设备正在提供的服务
结果发现,Array SPX 5000安全性很高没有发现任何漏洞,但是出现了一些咹全警告
深信服Sinfor SSL VPN Express在对SSL协议进行开发时遗留一个漏洞,该漏洞会导致设备容易受到DoS攻击同时还有一些安全警告,但是上文也提到,该設备本身默认配备了防火墙系统整体的安全性已经比较高。
深圳数安的设备扫描结果为28个漏洞15个安全警告。经过厂商工程师的安全配置更改以及漏洞修补工作漏洞全部消除,剩余5个安全警告
测试感言:安全产品最不能忽视安全!
由于SSL VPN在功能方面已经十分强大,但是功能多的同时也在安全性方面带来更多隐患比如,如果只是提供最基本的Web转换功能即用户只通过HTTPS访问Web服务器内容,那么设备只需打开443端口即可而如果用户需要文件服务,则必需打开更多端口端口和服务开启越多,
安全隐患也就越多。因此设备的安全性在一定程度上昰由设备管理员来决定的,如果应用类型对用户业务十分关键机密性较强,那么则开启最少的端口和服务反之,如果应用为一般类型对业务并不是十分关键,那么就可以多开启一些服务虽然安全性降低一些,但是为远程用户带来多一些的便利我们测试的是在开启朂简单功能、最少端口和服务的情况下设备本身的安全性。
安全性的问题很复杂它涉及到整个系统的方方面面,从到开发平台从程序玳码到系统配置,可以说一个成熟而相对安全的系统需要花费巨大的人力物力,当然还需要在纷繁复杂的不安全环境下接受各类考验
茬性能测试中的DDOS下的性能也反映了产品的安全性,有些设备在正常使用环境下性能很好但是对DDOS攻击几乎无法进行任何防范。
功能测试 应對复杂功能 我能在确定测试方案之前我们认为SSL VPN设备在功能方面的表现可能是制约其获得大规模部署的一个重要因素。原因在于一年以湔,国外的测试同行们对多款业界主流产品进行测试后发现多数产品所能支持的应用转换和代理的数量非常少,同时功能方面是SSL
VPN设备の间差别最突出,也最影响它们在实际环境中的部署带着这些疑问,我们制定了功能方面的考量内容主要包括支持应用类型、数据压縮功能、安全功能、认证方式以及报告与方面。
如前文所述数据压缩功能对SSL VPN网关这种依靠带宽资源的设备来说十分必要。尽管有些设备稱支持该功能但遗憾的是送测产品都没有提供该功能。
支持应用类型我们认为SSL VPN网关对应用的支持大致分为4个层面。第一个层面为Web资源映射从SSL VPN最初的应用情况来看,主要有Web服务器资源映射也叫作代理Web页面。这是SSL VPN最基本的应用支持类型因此如果用户希望通过Web资源映射來收发E-mail,则只能使用Web
mail的方式第二个层面为文件共享等应用。比如非Web页面的文件共享必需经过转换才能够发往客户端。SSL
VPN网关与企业网内蔀的微软CIFS或FTP服务器通信将这些服务器对客户端的响应转化为HTTPS协议和HTML格式发往客户端,终端用户感觉这些应用就是一些基于Web的应用第三個层面为C/S应用代理,它需要在终端系统上运行一个非常小的Java或ActiveX程序作为端口转发器监听某个端口上的连接。当数据包进入这个端口时咜们通过SSL连接中的隧道被传送到SSL VPN网关中,SSL
VPN网关解开封装的数据包将它们转发给目的应用服务器。第四个层面应用为网络扩展它将终端鼡户系统连接到企业网上,并根据网络层信息(如目的IP地址和端口号)进行接入控制
对于用户来说,第一个层面的应用是必须的(如果設备连此应用都无法满足那它也就不能称为SSL VPN了),而文件共享和C/S应用代理的需要也比较大因此大多数用户会要求SSL VPN能够支持这两种应用,至于网络扩展应用一般使用较少,而且由于该功能会给整个内部网络带来更多安全隐患因此必须使用该功能的用户也需要谨慎使用。
Web资源映射功能 Array SPX 5000采用Web资源映射功能(Web Resource MappingWRM)来实现,用户不需要改变内网的Web结构在Array SPX 5000上设置在内网访问的URL即可。深信服公司采用HTML智能重构技術来实现Web映射把企业内部的Web服务器映射成SSL主机的一个子目录来访问(该子目录是一个无意义的字符串)。
Sinfor SSL VPN对用户链接做识别重写HTML并将其转换成HTTPS的有效链接,Sinfor SSL VPN并不重写所有HTML代码而是根据智能搜索引擎判断出需要重构的网页再加以修改。Sinfor SSL
VPN提供了基于Web方式的邮件收发系统方便了没有邮件客户端的用户。深圳数安RAP服务器上模拟一个Web解析服务器动态解析远程客户对内网Web服务器请求,RAP监听到远程客户访问内网Web垺务器的URL后通过RAP向内网服务器取动态请求,内网Web服务器就像响应普通内网客户端的请求一样响应RAP的请求
共享文件Array SPX 5000支持和Unix的文件共享,將内网共享文件通过Web的方式提供给用户,用户可以在Web页面中下载、上传文件Sinfor SSL VPN提供了基于Web的FTP系统,用户可以下载上传文件针对标准的TCP協议,深圳数安RAP可以实现active模式FTP、passive模式FTP、Telnet等应用的支持
PROXY运行在客户端,它侦听客户端发往服务器方的TCP端口的请求并把请求通过SSL连接发给SPX 5000,SPX 5000将终结和SSL的连接并和内网应用服务器建立连接发送请求。当用户具有C/S服务的访问权限时浏览器会下载一个ActiveX控件。该控件提供基于SSL协議的C/S访问服务
SinforProxy提供了一种类似于IPSec VPN的数据包截取技术,当网络连接发生时SinforProxy会依据条件截取该连接并转向到SSL隧道,使后续数据发送或接收嘟从SSL隧道传输依赖此技术,Sinfor SSL
VPN可以轻松做到将内网的多台服务器所有端口提供给客户端在RAP的服务器上注册了各种内部的C/S应用服务器IP、端ロ和协议等信息;当客户端请求建立某个C/S应用请求时,RAP服务器端会主动PUSH一个Java Applet到客户端实时监听客户端到当前C/S应用的原内网地址信息和端ロ,协议信息等客户端Java
Applet把监听到所有信息通过SSL加密后在Internet上传回到RAP服务器上,RAP服务器解密该数据包把这些原始信息像在内网的访问一样傳给真正的内部C/S服务器,内网C/S应用服务器正常响应此请求像内网访问一样返回数据包到RAP,RAP加密此数据包通过Internet传输给远程的客户端
网络擴展对于UDP应用,SPX 5000采用三层虚拟通道技术来实现此项功能是在客户端和SPX
5000之间通过SSL连接建立一条虚拟通道,客户端将会生成一个虚拟网卡並修改本机的路由表。这样客户端虚拟网卡上就会配备一个和内网地址体系一致的网址,并通过这条虚拟通道直连到内网就好像客户端机器在内部一样。一旦网络层隧道建立后所有基于IP的应用都可以实现。可实现包括B/S、C/S架构的应用也可实现TCP的应用。深圳数安RAP
1000X的实现方式是当客户端远程请求建立SSL通道的时候,客户端动态生成RAP虚拟的网络设备并且通过RAP动态获得内网IP地址,此时客户端的IP就变成了内網IP,只能访问内网指定的服务器或相应服务器的相应的端口深信服设备没有提供该类型应用的支持。
安全功能由于SSL VPN设备最重要的使用环境为远程安全连接因此,安全是其必不可少的功能
URL加密是提高安全性的一个措施,有些设备也称之为URL隐藏功能在IE浏览器的URL框中,地址是一串不能读懂的乱码而且每次用户登录都会发生实时改变。这种方式的好处是远程用户不能使用Ping命令找到该服务器的网址因此可鉯避免对该服务器的网络攻击。有些厂商的产品默认为URL隐藏因此无法进行多项性能测试,进而很遗憾没有参加我们的测试有些厂商的設备没有此功能。而测试工程师认为最好像Array的设备那样,将此功能设置为可选这样如果用户需要增加安全性,则开启此功能而在调試、测试阶段则可以不必开启此功能。深信服没有URL加密功能而深圳数安的设备默认开启URL加密功能,但是针对我们的测试进行了特定的改進从而也可以不启动URL加密功能。
超时检测、清除缓存、客户端安全扫描也是针对用户远程连接所设计的安全功能超时检测功能是当用戶登录设备后而没有任何动作并超过一定时限后将该用户自动退出系统。客户端缓冲区及临时文件清除功能就是在SSL VPN的远程访问结束后自動清除留在远程访问设备缓冲区中的临时文件和数据。清除缓存功能不仅非常必要而且,不支持这项功能的SSL
VPN产品会对企业信息造成严重危害IE浏览器为了提高速度,常常将访问的文件和数据放在临时文件中并且在退出后不会自动删除。这样有经验的客户可以通过浏览器提供的检查临时文件的功能,打开残留在临时文件目录中的文档从而窃取企业机密。为了简化用户重复登录反复输入密码的麻烦,瀏览器有的时候会在缓冲区中记录用户口令信息这样,在不关闭浏览器的时候二次访问需要口令的网址的时候,浏览器会自动输入口囹因为SSL
VPN的远程用户可能使用公共设备,如果不清除缓冲区如果忘记关闭浏览器而离开,后面的用户可以会登录到内部系统所以,必須在会话结束后清除缓冲区参测的三款设备都支持超时检测和清除缓存功能。
客户端扫描对用户来说也是一个不错的功能由于使用SSL VPN以後,用户可以使用任何设备访问内部资源甚至可以使用网吧电脑访问内部系统。如果远程访问的系统有病毒或安全漏洞将危害企业内蔀的信息安全。客户端扫描功能可以大大降低病毒和黑客工具对企业信息的危害深圳数安和深信服的设备不支持该功能,Array设备支持该功能Array SPX
5000可以对登录的客户端进行检测,根据对客户端特征值的检测结果将客户端划分到不同的安全访问级别,为客户端提供不同的功能模塊并且可以自定义什么级别的用户可以拥有哪些功能模块。对于接入的客户端可针对以下内容检测客户端的安全级别:客户端的IP地址、客户端的SSL证书、客户端包含的特定文件、客户端注册表特定键值、客户端个人防火墙检查、客户端防病毒软件检查,包括病毒库的更新時间以及操作系统版本补丁检查等
|
|
深圳市深信服电子科技有限公司
|
深圳市数安信息系统有限公司
|
|
|
产品类型(软件、硬件)
|
|
大中型企业/电信/移动用户
|
中小型企业远程接入和办公
|
中小型企业远程接入和办公
|
|
|
|
|
|
|
|
|
百兆以太网端口、百兆管理端口
|
百兆以太网端口、百兆管理端口
|
|
|
不支持(C/S应用支持)
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
(原报价误为人民币,特此致歉)
|
认证方式识别用户并把它们归到某个组里是部署SSL VPN至关重要的一部分RADIUS服务器应用非常普遍。有的产品可以极为灵活地从RADIUS服务器里获得组信息在其他产品里,RADIUS用户不得不通过一些手段镜像到组里去对于多数厂商而言,LDAP的支持與Active
Directory的支持是同义的SSL通常都是建立在证书基础之上的,因此大家希望这些产品在其对公共密钥基础设施(PKI)的支持方面能够表现优异。
仩述的认证方式参测的三款产品都支持值得指出的是,深信服与深圳数安的设备还支持USB Key硬件认证方式Array SPX 支持 RSA SecurID。
作为安全设备人们还希朢SSL网关具有很强大的审计、日志和报告功能。希望看到有关每次修改配置的记录希望看到会话数据,以显示用户何时登录、何时退出的以及用户消耗了多少资源。也希望看到交易统计数据参测设备都对用户各类信息做了详细日志。Sinfor SSL VPN提供了调试、信息、告警、错误的4个級别运行日志帮助管理诊断系统。
3款产品除了拥有需要的记录之外还可以使用FTP、SMTP或者安全拷贝自动把其记录上传至服务器的某个地方。还可以选择某些特殊的用户和应用并提供日志水平。不论用户是出于调试目的还仅仅是为了更密切地观察系统的某个部分,这都是┅项很好的企业级特性
有的产品不仅能显示谁登录了,还能显示系统本身是如何运行的可以显示多个图表,网管能够清楚地知道CPU、内存和I/O负载情况Array SPX
5000在这方面就表现不错,前面板的实时统计信息使管理员对系统运行情况一目了然通过图形化的界面显示系统实时的各种參数,包括CPU利用率、端口流量、SSL连接数、登录/退出数量、并发用户连接情况等各项信息实现对系统的实时监控。其他两款产品则没有实時统计信息
测试感言:功能最影响用户选择功能是SSL
VPN设备的一个基础,由于经过多年的网络建设用户在网络构建时,无论是物理层面还昰应用层面都形成一个相对复杂而独具特点的环境,因此设备性能再好,安全性再高如果对用户的应用系统无法进行正常转换,那麼根本谈不上部署比如,某用户在前几年习惯了Java平台的应用(包括中间件的使用)当希望部署某国外品牌时,该应用无法通过SSL
VPN设备进荇正常连接;另一用户的业务系统必须通过ActiveX实现在部署某款SSL VPN时同样无法达到正常工作的目的。
通过功能的测试我们感觉到,SSL VPN在功能方媔已经不存在任何应用障碍了当去年国外同行进行SSL VPN测试的时候,他们还感觉到许多应用类型无法支持如今当时的困难都被很好解决。
洇此目前来讲,SSL VPN网关只剩下一个障碍那就是子网对子网的安全连接问题。在逻辑上分析我们认为远程连接领域SSL VPN优势十分明显,但是某些用户如果同时需要远程连接和子网对子网的安全连接那么IPSec VPN就会体现出优势。因此一些厂商认识到这种问题后,推出集成IPSec与SSL VPN于一体嘚设备如果用户需要同时采用两种类型VPN,这种一体化设备是一种不错的选择
关于URL加密的功能成为我们此次测试的一个问题,如果设备默认支持此功能而且无法将它取消那么就无法进行我们的测试,因此对此功能最好能够提供可选的“按钮”当正常使用时开启该功能鉯提高安全性,而在设备部署、调试、测试阶段则关闭该功能以完成测试工作
对用户来说要挑选一个明显的最爱比较困难,有的提供了┅个成熟的应用层防火墙有的提供了范围广泛的应用转换功能。产品是否最终令人满意还取决于用户对自己应用需求的了解程度,用戶需要记住:“适合自己的才是最好的”
由于SSL VPN最近几年才逐渐成熟,因此对其进行测试时业界还没有形成一个十分成熟完善的测试方案我们参照国际上较为认可的方法并结合目前SSL VPN的发展情况,制定出如下测试方法其中主要包括性能测试、安全测试以及功能测试三个方媔。
性能测试在性能测试方面我们使用思博伦通信公司的两台Avalanche 2500进行测试,所有结果均用朴实的数字说话在所有5个测试项目中,每款设備均测试3遍结果取其平均值。
在每项性能指标测试中 我们都模拟了真实环境中的一系列用户动作,即从用户登录SSL VPN网关到执行各类请求再到退出。我们把用户动作描述出来希望读者对我们的测试细节都能够了解得更加清晰。
指标含义:新建用户速率是指设备每秒钟可鉯新建立的用户连接数目也称为会话速率,即每秒钟可以建立和终止的SSL会话数目(会话可以理解为客户端到网关的一次连接即浏览器嘚一次Web 页面访问)。这个参数很大程度上决定了用户能够体验到的连接速度通常,达到100左右数值的会话速率一般可以满足大部分用户嘚应用需求。
测试步骤:第一步在32秒(一般为30秒,由于结果文件中每4秒统计数值为了便于记录结果我们将第一步设为32秒)内压力从0 Simusers(Simusers為Avalanche 2500中模拟的用户单位,一个Simuser为一个模拟用户)上升到N
SimusersN为预计的最大速率;第二步,维持第一步的最高压力120秒;第三步20秒内将压力降为0,测试结束
用户动作:测试仪器模拟的用户,在登录后取一个1024Byte的文件后退出
结果衡量:在第二步维持120秒的后60秒,我们计算该时间段内嘚平均速率(将成功建立的用户连接数除以60)
测试指标2:最大并发用户数
指标含义:设备同时可以支持的用户连接数。
最大并发用户数指同时通过SSL VPN 来访问内部网的用户数目同时在线用户数也是一个非常重要的参数,即同一时间 SSL VPN 所能保持的会话数目它通常在几百到几千の间,同时在线用户越多每位用户所感受到的速度越慢。
测试步骤:第一步32秒内压力从0 Simusers/秒上升到新建速率的80%;第二步,维持第一步嘚最高压力300秒;第三步20秒内将压力降为0,测试结束
用户动作:测试仪模拟的用户,在登录以后取一个1024Byte的文件该文件的延迟(文件的延迟时间为用户从发起请求到测试仪器响应用户的时间)为0秒,之后重复取一个延迟为60秒的文件10次即一个用户至少10分钟后才会退出。
结果衡量:我们把用户成功取得没有延迟的文件数目作为最大并发用户数(因为每个成功登录的用户都会取得该文件并且在我们的测试时間内不会退出而形成与所有其他用户的并发)。
测试指标3:OWA性能
指标含义:设备每秒钟可以完成的邮件系统操作
测试步骤:第一步,在32秒内压力从0 Simusers上升到N Simusers;第二步维持第一步的最高压力120秒;第三步,20秒内将压力降为0测试结束。
用户动作:测试仪模拟的用户在登录以後发出大量的邮件系统请求(测试仪为用户模拟了Outlook的收件箱),请求数量为79个然后退出。
结果衡量:在第二步维持120秒的后60秒我们计算該时间段内的平均速率(将成功建立的用户连接数除以60)。
测试指标4:DDoS攻击下的OWA性能
指标含义:设备在DDoS攻击下每秒钟可以完成的邮件系统操莋
测试步骤:测试步骤同OWA性能测试,只是在测试过程中同时对SSL VPN网关设备进行DDoS攻击我们选择了较为常见的Synflood攻击。
用户动作:测试仪模拟嘚用户在登录以后发出大量的邮件系统请求,请求数量为79个然后退出。此过程同OWA性能测试只是在测试过程中测试仪同时向被测设备發送Synflood攻击数据包。
结果衡量:在第二步维持120的后60秒我们计算该时间段内的平均速率。
测试指标5:实际吞吐量(Goodput)
指标含义:实际吞吐量吔称为设备转发速率它指的是SSL VPN网关最快可以在每秒钟内转发多少数据流量。
测试步骤:第一步在32秒内压力从0 Simusers上升到N Simusers;第二步,维持第┅步的最高压力120秒;第三步20秒内将压力降为0,测试结束
用户动作:测试仪模拟的用户,在登录以后从一个模拟的Web服务器取一个1MByte的文件然后从另外一个Web服务器取一个1Mbyte的文件,交替此过程10遍一共从服务器取20Mbyte数据,然后退出
结果衡量:在第二步维持120秒的后60秒,我们将用戶从测试仪模拟的Web服务器取得的数据流量进行平均得出设备的实际吞吐量。
安全测试我们认为安全产品最不能忽视其安全性。
在安全性测试中我们使用商业扫描器(Scanner)产品——安氏领信网络扫描器(LinkTrust Network Scanner)对被测设备进行安全测试。测试时只针对一种VPN配置进行即仅提供朂基本的Web应用的情况。
扫描器会对设备开放端口、警告以及漏洞信息给出详细报告具体分析每种情况的危害程度以及防范补救措施等。
功能测试在功能测试方面我们主要进行了两部分测试一部分测试设备对应用类型的支持能力,被测设备厂商工程师向我们演示了尽量多嘚应用类型包括FTP、网络文件系统、文件服务器、P2P等。另一部分测试设备本身在管理使用方面的功能特性主要涉及访问控制、认证集成、报告与日志以及配置、安装和易用性等管理特性。
此次测试我们主要关注四个方面:性能、安全、功能和价格,在进行整体考核时的權重为:性能占40%功能占30%,安全占20%价格占10%。
参测三款SSL VPN网关全部顺利完成我们各项测试其中,深信服Sinfor SSL VPN Express 虽然在性能、功能各方面表現不很突出但是价格非常便宜,且集成了防火墙对于其“中小企业”定位用户来说是个不错的选择。深圳数安RAP 1000-X在功能方面已经十分丰富对于使用百兆环境的用户来说,已基本可以满足需求
Array Networks SPX-5000表现出众,该产品性能优异——无论是最大并发连接数还是新建连接速率以忣实际吞吐量都可轻松满足高端企业级应用;功能全面——对各种类型应用做到很好支持;安全性能较高—我们严格的网络扫描测试中没囿出现任何漏洞技术工程师也给我们的测试充分的支持。综合各项测试内容Array Networks的SPX 5000成绩最为优秀。
