SSL VPN产品测评之NetScreen-SA 5000

在前一篇文章中我们测试了F5 Networks公司的FirePass 4100，Juniper Networks公司的NetScreen-SA 5000作为本篇文章测试的对象，目前该产品的软件版本为4.2，虽然人机界面还需要组织地更好一些，但总体来看，该产品已经被证明是足够灵活和安全的。

远程用户的认证方式包括活动目录、LDAP、RADIUS、Netegrity、数字证书和本地数据库，每个认证域都可以有多个认证服务器。已通过认证的用户由用户角色(User role)映射到相应的组里，这些组不但定义了用户远程访问的不同形式，同时还定义了与会话相关的具体细节，如发呆超时和会话持续性。举个例子，管理员可以创建两个不同的角色，其中一个可以访问Web、Windows文件共享和终端服务，而另一个角色则只有Web访问的权限。

NetScreen-SA 5000支持所有标准的远程访问方式，包括Web应用、基于TCP的应用、第三层隧道。对于Web应用，管理员所能定义的访问策略其粒度之细令人咂舌，各种细节都有相应的设置，从缓存策略到HTML重写到压缩等等。虽然看起来好像挺复杂，但实际上定义一个Web策略相当简单。另外基于Web的Windows和Unix文件共享以及Telnet支持也都包含在内。

对基于TCP的应用的访问请求会由所谓的安全访问管理(SAM)软件来转发，该软件有Windows版和Java版，并且能够根据用户角色来配置决定是否需要自动启动。

第三层隧道由名为Network Connect的软件来处理，该软件只有Windows版，在客户机上安装后会生成一个虚拟PPP适配器，管理员可以从一个内部DHCP池中为Network Connect客户分配IP地址。全隧道和半隧道模式同时支持，另外还能自定义DNS设置。对于隧道，NetScreen-SA 5000提供给管理员的访问控制选项不如其他服务那么丰富，但相比IPSec VPN肯定还是好多了。Juniper表示在下一个软件主发行版中Network Connect将支持Mac OS X和Linux。

SA-5000的终端安全检测机制叫做Juniper终端防御计划(JEDI)，它能支持InfoExpress、McAfee、Sygate、和Zone Labs等客户端软件。唯一不足的是JEDI只有Windows版。

管理界面第一眼看上去有点乱，因为提供的选项实在太多了，所以我们也不能要求太多，实际使用中一些上下文相关的链接可以帮助使用者很快找到相应功能。SA-5000有一流的日志和报表功能，包括实时使用情况图表等。

在本次评测的所有产品中，只有NetScreen-SA 5000和FirePass 4100两款符合FIPS 140标准，另外NetScreen-SA 5000支持8个节点的集群，以主动/被动(Active-Passive)模式保障服务的高可靠性。目前还不支持虚拟局域网，不过Juniper表示这项功能正在开发之中。