不求最好但求更好 sonicwall vpn详测

    随着移动员工数量的增多，中小型企业越来越需要支持企业员工远程通信的安全解决方案，但是太高端的设备价格太高，不是中小企业所能负担得起的，sonicwall公司有一款针对中小企业的ssl vpn设备╠╠sonicwall ssl vpn 200，今天我们一起来看一下它表现如何。

图1、sonicwall ssl vpn 200

　　测试产品简介

　　产品名称 sonicwall ssl-vpn 200安全设备(以下简称ssl-vpn 200)

　　产品概要 入门级ssl vpn安全网关，支持ssl代理和ipsec隧道连接

　　产品优点

　　同时支持ie和火狐浏览器

　　不按隧道数量收取许可费

　　vpn客户端支持vista

　　产品缺点

 　　不对等的“远程到本地”和“本地到远程”吞吐能力

　　购买90天之后的技术支持要收费

　　ssl-vpn 200是sonicwall公司的入门级ssl安全网关，针对用户数量在50人以下的小型网络设计，不过建议最大并发隧道连接数不要超过10个。它的另外两款设备ssl-vpn 2000和ssl-vpn 4000可以分别支持50和200个最大并发连接数。由于它们不按隧道数量收许可费，你可以尝试使用超过其最大并发数的隧道，不过在你看完本篇评测文章后，你会明白它的建议并发数不是没有根据的，或许是最合理的。

　　ssl-vpn 200通过两种主要机制来实现安全的远程访问：代理机制，用于实现http、https、ftp、ssh(v1或v2)、telnet、rdp(通过activex控件或java applet)、vnc和windows文件共享(windows smb/cifs)等应用。通过代理，用户可以借助于ie或火狐浏览器来访问这些服务。对于其它基于tcp/ip的应用来说，你需要使用它的客户软件netextender。

     外观及功能芯片

　　ssl-vpn 200具有一个银灰色的金属外壳，排风散热口设计在设备两侧。指示灯、电源插口和网络端口如下图所示。

图2、ssl-vpn 200前面板和后面板

　　ssl-vpn 200使用了公司自主开发的专用sonicwall cpu，以及cavium network公司的nitrox安全网络加速卡。从cavium的规格说明表中我们可以看到，这个卡子的ipsec性能高达200mbps，tps(每秒新建用户数)则可达到1750。当然，尽管这个数字听起来不错，不过通过后面的测试，我们会发现它的实际性能似乎并没有这么高。

　　ssl-vpn具有128mb的内存和16mb的闪存，所有五个10/100m以太网口都由micrel ksz8995xa交换芯片处理。从其电路板上我们可以注意到没有散热器，因为它使用了被动冷却技术，这使得该设备几乎没有任何噪音。

图3、ssl-vpn 200内部电路板

　　和路由器具有单独的wan口和lan口不同的是，ssl-vpn 200的进出数据通信通过一个x0端口来实现，你只需要使用一跟网线把它与局域网交换机连接起来即可。四个x1口用处不大，之所以没有去掉它们，是因为sonicwall的tz 150也使用了与它相同的电路板。不过，你也可以使用这四个x1口也可以在ssl-vpn 200后面建立一个单独的子网，当然，这个子网中的客户端只能通过这个设备来访问局域网资源。ssl-vpn 200的默认ip是192.168.200.1，如果你想访问它的内置安全(https)web管理界面的话，先要把计算机的ip地址改成和它一个段。

图4、ssl-vpn 200连接示意图

　　登录后，你首先看到的是系统(system)>状态(status)界面(如图5)。系统菜单的其它选项还包括ntp服务器(time下面)、保存和恢复系统设置和升级固件(settings下面)、登录失败尝试锁定的次数(administration)、生成和管理安全证书(certificates)、以及不同的诊断功能等。

图5、系统状态界面

　　我们首先要做的是从网络(network)下找到网络接口(interfaces)界面，在这儿根据你的局域网配置来修改x0端口的ip地址，如下图所示。

图6、网络接口界面

　　另外，我还在dns界面中输入了我的局域网dns服务器的ip地址;以及在routes界面中输入了网关的ip地址。在网络对象(network objects)界面中，你可以为服务和ip地址进行组合定义，这个功能在你以后配置访问策略的时候非常有用。

　　现在我们开始准备添加用户到ssl-vpn 200中，打开用户(users)>本地用户(local users)界面(如图7)。在这儿有很多选项，可以让你控制用户通过ssl-vpn 200可以进行的操作，以及他们的登录方式等，例如闲置时间，是否具有增加、编辑和删除“书签(bookmarks)”，以及基于用户、ip地址、ip地址范围等的允许/拒绝策略。

　　另外，通过组(groups)你可以为多个用户设置相同的配置选项，而用户和组都具有全局策略。值得注意的是，你可以修改和删除一个策略，但不能临时禁用它。

图7、用户>本地用户界面

　　一旦你完成了添加用户操作后，ssl-vpn 200已经可以使用。但是为了从局域网之外能够访问到它，你需要从路由器上进行设置，将端口443(https)通信转发到你的ssl-vpn 200的ip地址，就如同从互联网上访问任何服务器一样。如果你想将http自动重定向到https，那么你还需要转发80端口(http)。与ssl-vpn 200的管理指南中所描述的相反，在ssl-vpn 200上你不能修改这些端口。

    使用代理模式

　　退出ssl-vpn 200管理界面(比较讨厌的是，这个操作同时也会关闭浏览器)，然后重新使用你创建的用户帐号进行登录。如果一切顺利的话，你会看到一个“虚拟办公室(virtual office)”页面(如图8)。在这个虚拟办公室中，用户可以创建和访问书签，进行文件共享操作，以及下载netextender会话。