厦门电信SSLVPN产品评测方案.docVIP

ArrayNetworks 2007年9月  目 录 1、前言 3 2、评测对象 4 3、测试方案简介 5 4、功能测试 7 4.1测试网络连通性 8 4.2测试双向证书验证能力 9 4.3测试多个SSL VPN门户的支持能力 10 4.4测试多种认证方式的支持能力 11 4.5测试group mapping的支持能力 12 4.6测试B/S和C/S应用的支持能力 13 4.7测试telnet、FTP网络应用支持能力 14 4.8测试L3vpn隧道的支持能力 14 4.9测试Web访问的防护能力 15 4.10测试mail应用的支持能力 16 4.11测试访问控制的支持能力 17 4.12测试虚拟站点的支持能力 17 4.13测试虚拟站点多个VLAN支持能力 18 4.14测试文件传输应用的支持能力 20 4.15测试VPN设备的客户化支持能力 20 4.16测试VPN设备的网络隧道模式下安全控制能力 21 4.17测试VPN设备的会话控制功能 22 4.18检查VPN设备的加密算法的支持情况 23 5、管理性测试 24 5.1测试设备的管理和维护方式 24 5.2测试设备的日志和审计能力 25 5.3测试VPN门户的管理和维护方式 26 1、前言 鉴于安全因素，现在各大企业都在考虑部署VPN，已经部署VPN的企业也在考虑如何使VPN更加适合自己的企业，同时基于成本因素，很多企业甚至在考虑VPN的升级换代。传统电信运营商在数据业务方面以提供基础接入为主，面对日益激烈的市场竞争，运营商增值业务基础业务结合，互相推动通过提供新的服务产品，满足企业用户的切身需求来提高自身的竞争力SSL VPN被认为是实现远程安全访问的最佳手段。会大大减少网的建设和运行维修费用，而且增强了可靠性和安全性。采用SSL VPN的第一项好处就是降低成本。虽然购买软件或硬件的费用不一定便宜，但部署SSL VPN很便宜。安装了这类软件或硬件，使用者基本上就不需要IT部门的支持了，只要从其PC机上的浏览器向公司网注册即可。访问SSL更容易满足大多数员工对移动连接的需求。用户通过与因特网连接的任务设备实现连接，并借助于SSL隧道获得安全访问。这需要在企业防火墙后面增添硬件，但企业只要管理一种设备，不必维护、升级及配置客户软件。VPN建在互联网的公共网络架构上，通过“隧道”协议，在发端加密数据、在收端解密数据，以保证数据的私密性。SSL VPN作为系统通过一个门户（portal）页面将业务系统以及以后更多的业务系统的对外接口纳入统一管理。对外通过Internet并且利用SSL加密技术安全的向公众开放统一的门户界面，对内通过厦门电信公司的专线连接到用户的Web服务器。对用户访问的后台的应用是完全透明的。在用户与后台WEB服务器和应用服务器之间起到了一个加密隧道的服务形式。所有的数据流通过SSL加密技术在SSL VPN上进行中转，用户与后台之间的数据交流完全保密。 2、评测对象 本次测试对SSL VPN 网关 SSL VPN产品进行下面两方面测试内容： 功能测试 管理性测试 ArrayNetworks SSL VPN 网关参测产品1台，具体配置如下： 产品型号 Array SSL VPN 网关SPX3000（支持最多2,500以上并发用户） 系统软件版本 ArrayOS CPU Intel Pentium4 2.8G 系统内存 4G 系统硬盘 20G 尺寸 17 W X 15 D X 1.75 H or 1U 电源 100-240VAC, 6 A, 50-60Hz, Auto-ranging, Redundant, Hot Swappable 网络接口 2 * 10/ 100/1000 Base-TX, 3.测试方案简介 本次测试我们主要利用厦门电信现有的一些环境对SSL VPN网关产品进行主要功能项目的测试，并且针对厦门电信应用特点进行。我们根据实际情况和条件可以测试两大部分：功能部分、管理部分。对于功能部分选取了一些主要的功能，如客户端和SSL VPN网关的Virtulization运营测试、双向证书认证、WEB应用以及CS结构的应用支持等进行测试。 拓扑结构图如下： 如图所示，测试系统需要如下硬、软件环境： 1台SSL VPN 网关 1台二层交换机，为测试划分内、外VLAN。内网VLAN可以利用厦门电信已有的内网，可以测试多个VLAN的支持能力，外网可以在交换机上划分出一个VLAN来模拟，也可以利用厦门电信的外网资源。其中IP地址体系采用厦门电信的内外地址体系，外网IP地址采用公网或一段测试用的地址。 2台内网应用服务器，分别安装B/S和C/S结构的应用，我们以WEB系统和Email系统（Telnet）为例来进行演示。可以利用厦门电信已有