SonicWALL VPN详测.doc

SonicWALL?VPN详测 随着移动员工数量的增多，中小型企业越来越需要支持企业员工远程通信的安全解决方案，但是太高端的设备价格太高，不是中小企业所能负担得起的，SonicWALL公司有一款针对中小企业的SSL VPN设备——SonicWALL SSL VPN 200，今天我们一起来看一下它表现如何。 图1、SonicWALL SSL VPN 200 　　测试产品简介 　　产品名称 SonicWALL SSL-VPN 200安全设备(以下简称SSL-VPN 200) 　　产品概要 入门级SSL VPN安全网关，支持SSL代理和IPsec隧道连接 　　产品优点 　　·同时支持IE和火狐浏览器 　　·不按隧道数量收取许可费 　　·VPN客户端支持Vista 　　产品缺点 ?　　·不对等的“远程到本地”和“本地到远程”吞吐能力 　　·购买90天之后的技术支持要收费 　　SSL-VPN 200是SonicWALL公司的入门级SSL安全网关，针对用户数量在50人以下的小型网络设计，不过建议最大并发隧道连接数不要超过10个。它的另外两款设备SSL-VPN 2000和SSL-VPN 4000可以分别支持50和200个最大并发连接数。由于它们不按隧道数量收许可费，你可以尝试使用超过其最大并发数的隧道，不过在你看完本篇评测文章后，你会明白它的建议并发数不是没有根据的，或许是最合理的。 　　SSL-VPN 200通过两种主要机制来实现安全的远程访问：代理机制，用于实现HTTP、HTTPS、FTP、SSH(v1或v2)、Telnet、RDP(通过ActiveX控件或Java applet)、VNC和Windows文件共享(Windows SMB/CIFS)等应用。通过代理，用户可以借助于IE或火狐浏览器来访问这些服务。对于其它基于TCP/IP的应用来说，你需要使用它的客户软件NetExtender。 外观及功能芯片 　　SSL-VPN 200具有一个银灰色的金属外壳，排风散热口设计在设备两侧。指示灯、电源插口和网络端口如下图所示。 图2、SSL-VPN 200前面板和后面板 　　SSL-VPN 200使用了公司自主开发的专用SonicWALL CPU，以及Cavium Network公司的Nitrox安全网络加速卡。从Cavium的规格说明表中我们可以看到，这个卡子的IPsec性能高达200Mbps，TPS(每秒新建用户数)则可达到1750。当然，尽管这个数字听起来不错，不过通过后面的测试，我们会发现它的实际性能似乎并没有这么高。 　　SSL-VPN具有128MB的内存和16MB的闪存，所有五个10/100M以太网口都由Micrel KSZ8995XA交换芯片处理。从其电路板上我们可以注意到没有散热器，因为它使用了被动冷却技术，这使得该设备几乎没有任何噪音。 图3、SSL-VPN 200内部电路板 ? 安装和配置 　　和路由器具有单独的WAN口和LAN口不同的是，SSL-VPN 200的进出数据通信通过一个X0端口来实现，你只需要使用一跟网线把它与局域网交换机连接起来即可。四个X1口用处不大，之所以没有去掉它们，是因为SonicWALL的TZ 150也使用了与它相同的电路板。不过，你也可以使用这四个X1口也可以在SSL-VPN 200后面建立一个单独的子网，当然，这个子网中的客户端只能通过这个设备来访问局域网资源。SSL-VPN 200的默认IP是，如果你想访问它的内置安全(HTTPS)web管理界面的话，先要把计算机的IP地址改成和它一个段。 图4、SSL-VPN 200连接示意图 　　登录后，你首先看到的是系统(System)状态(Status)界面(如图5)。系统菜单的其它选项还包括NTP服务器(Time下面)、保存和恢复系统设置和升级固件(Settings下面)、登录失败尝试锁定的次数(Administration)、生成和管理安全证书(Certificates)、以及不同的诊断功能等。 图5、系统状态界面 　　我们首先要做的是从网络(Network)下找到网络接口(Interfaces)界面，在这儿根据你的局域网配置来修改X0端口的IP地址，如下图所示。 图6、网络接口界面 　　另外，我还在DNS界面中输入了我的局域网DNS服务器的IP地址;以及在Routes界面中输入了网关的IP地址。在网络对象(Network Objects)界面中，你可以为服务和IP地址进行组合定义，这个功能在你以后配置访问策略的时候非常有用。 　　现在我们开始准备添加用户到SSL-VPN 200中，打开用户(Users)本地用户(Local Users)界面(如图7)。在这儿有很多选项，可以让你控制用户通过SSL-VPN 200可以进行的操作，以及他们的