VPN之争：6款SSL VPN产品横向比较

network

长久以来，企业一般都是通过部署IPSec VPN来为移动用户和商业合作伙伴提供访问其后台服务和资源的远程接入通道。现在对于站点到站点(Site-to-Site)的通讯，IPSec VPN恐怕仍是唯一的解决方案，但在客户到企业(Client-to-Enterprise)的连接这方面，IPSec VPN却面临着迅速失宠的尴尬局面，原因之一就在于随着客户端用户人数的增长，为他们安装IPSec VPN客户端和提供技术支持的工作已经让众多网络管理员不堪重负。另外，IPSec隧道也为攻击者留下了打通企业防火墙并直接威胁中心网络所可以利用的通道。　　考虑到IPSec VPN存在这些基本的问题，也就不难解释为什么现在SSL VPN越来越受到IT管理员们的关注。SSL VPN不需要安装其他的客户端软件，只要有支持SSL的浏览器就行，自然也就不需要对客户端进行什么维护和支持了，这不但节省了IT人员大量的时间和精力，同时也意味着远程用户在进行远程访问时不会再受到地域的限制，不论是在公共网吧或是在商业合作伙伴那里，甚至是随手借一台笔记本，只要有网络，远程访问就没问题。
　　更重要的是，SSL VPN的实现不需要任何连入企业的开放的隧道，SSL VPN会对每个连接执行相应的安全策略，并能依据不同的用户身份、地域和(或)设备为其分配访问相应资源的权限，如果再配上良好的安全控制策略，那么在管理员没有明确许可的情况下所有资源都将受到保护并被禁止访问。
　　下面我们要对六款来自不同厂商的SSL VPN设备进行评测，看看做为产品来说它们到底是否成熟，是否有能力替代现有的企业级IPSec VPN产品，并且看看其中是否有哪一款能够脱颖而出成为部署SSL VPN的首选。

      SSL VPN以特色取胜
　　随着产品的不断发布与升级，SSL VPN技术也在逐步走向成熟。下面要评测的产品许多已经发展到了第三代，从技术上可以说已经相当成熟，主要的区别在于它们实现安全策略和处理远程接入端的方式，以及对终极用户来说整体使用体验的透明感等等。
　　存取访问策略的粒度是SSL VPN产品的一大亮点，这里评测的所有产品均支持让管理员按照不同的登陆用户和登陆地点创建并分配相应的访问权限，另外它们也都支持某种终端安全检测软件，只不过有些比其他做地更好一点。终端安全检测软件可以扫描分析一台客户端设备并评估该设备的安全级别，再依照预先定义好的“信任域”为其分配相应的访问权限。举个例子，检测软件可能会发现某台笔记本上不但运行有防病毒软件而且还装了个人防火墙，按道理其安全级别应该足够高，但由于这台笔记本正在使用“星巴克”提供的无线接入服务进行连接，这时候SSL VPN设备就只会为其分配代理访问权，而不象IPSec VPN第三层隧道那样将整个企业网络暴露在访问者面前。目前终端安全控制还没有一套工业标准，不过一些公司如Cisco和微软正在开展相关的工作以改变这种局面。
　　除了访问控制外，所有这些我们评测的产品都提供其他额外的安全控制措施。比如它们都支持“安全浏览”客户端，这些客户端在SSL会话期间能创建所谓的虚拟沙盒(Virtual Sandbox)，当用户关闭连接后，期间所产生的所有临时文件和会话信息也将随之彻底消失。另外这些SSL VPN产品绝大多数都附带用于客户机的缓存清除软件，它们能跟踪用户的动作并在会话结束后删除相应的临时文件、cookie和其他会话信息，这些措施对于那些使用公共电脑进行连接的用户来说非常重要，不过相比较而言它不如虚拟沙盒有效，因为被删除的东西常常有被恢复的可能。
　　其他一些功能对某些客户来说也具有相当的吸引力，比如虚拟局域网和集群。虚拟局域网可以在同一物理网络内对数据流进行隔离，这点对服务提供商和大型企业来说非常有用。而利用集群的自动错误恢复和负载平衡机制则能保证SSL VPN服务的高可靠性，并且能很容易地扩展服务所支持的并发在线人数，甚至能达到上千人。由于我们所要评测的产品在性能上基本打成平手，所以对客户来说其购买天平最终倾向哪款产品常常是由某些额外的特色功能所决定的。

network

第一款：AEP Networks公司的Netilla安全平台

      以前的Netilla安全平台(NSP, Netilla Security Platform)还缺少做为一款SSL VPN产品所必需的一些核心功能。不过后来Netilla系统公司和AEP网络公司合并，成立了AEP网络公司，随后发布了第五版的Netilla Dynatrust操作系统，新版本增加了一些以前缺少的功能，如LDAP支持和终端安全检测。　　在旧版操作系统中，NSP通过所谓的域(reamls)把用户、认证机制和资源访问策略组织到可管理的组内，并内建了对微软服务信息块(SMB)、活动目录(Active Directory)、SecurID、Kerberos、RADIUS以及本地用户认证的支持，而且沿用了以往的授权作用域(Authentication Scopes)来为用户传递授权证书，从而实现了单次登陆(Single Sign-on)功能,这项功能虽然确实可以正常工作，但在建立和管理Web资源链接时会在管理上造成不必要的麻烦。
　　和本次评测的其他产品一样，NSP同样为客户提供对基于Web和基于服务器的应用的访问。NSP也提供类似IPSec的第三层隧道，这样TCP和UDP数据报就可以直接进入企业网络。它能同时支持全隧道(full tunnel)和半隧道(split tunnel)模式，全隧道模式指的是客户端的所有网络数据，不管是本地的还是非本地的，全部经由隧道到达服务端并在服务端被路由和转发，而在半隧道模式下，和企业相关的数据流经由隧道到达服务端，其他数据流则由客户端的缺省路由来转发，到底选择哪种方式是由客户端安全策略的严格性来决定的。
　　NSP的第三层隧道通过ActiveX控件来安装部署，因此客户端只有安装的是Windows操作系统才能使用它的第三层隧道，不过NSP在处理瘦客户端(如老式的绿屏终端)的连接时采用了与其他同类产品不同的方式，所以这个缺点也就不怎么显眼了。瘦客户端使用Java和一种专用协议首先连接到NSP内建的由Tarantella公司开发的代理服务器，再由该代理服务器把访问请求导向到相应的受保护资源，不管采用哪种数据传输方式，客户端和服务器中间所附加的这一层代理了所有需要进入企业的数据流。
　　新版操作系统中还增加了支持Sygate的“按需”(On-Demand)执行端点安全策略的管理软件，不过这项功能需要额外付费购买。客户端的安全完备性检查可以在认证之前进行也可以在认证之后进行，而每个域都可以有自己特定的安全策略。只有Windows客户端才能使用更高级的Sygate功能，不过能删除临时文件和其他会话信息的缓存清除组建则对所有兼容Java的浏览器都有效。
　　与其他同类产品相比，NSP的人机界面显得相当简单朴素，容易操作也算容易，创建域和用户认证及定义应用时步骤有点繁琐，但还不算太糟。虽然NSP的策略粒度不如其他同类产品好，不过一旦在我熟悉了人机界面的组织方式后，添加或修改域和应用时也没遇到什么困难。
　　NSP也有不错的内部日志和报表功能，但相比较而言它还不是最好的。和其他同类产品一样，NSP同时支持SNMP和Syslog日志。另外NSP还提供内部生成的HTML格式的基本系统统计图。
　　一套基本的NSP产品缺省支包括两个节点的集群，虽然集群只支持一个热待机(Hot-Standby)配置，但不需要额外硬件的支持，这也为NSP产品添色不少。

network

第二款：Array Networks公司的SPX3000　　SPX3000能提供任何一种网络管理员想要的SSL VPN网关访问模式。安全策略执行控制也很强大，不过其粒度还是不如竞争对手F5 FirePass 4100或Juniper NetScreen-SA 5000做地那么细。和其他同类产品一样，SPX3000的Web资源映射服务能把原先仅在企业内部可见的资源URL转换成外部可见的地址，但与众不同的是，该服务不仅能支持HTML，还支持JavaScript、 层叠样式表CSS和cookie，甚至包括Flash。
　　通过其基于Web的网关，访问Windows或网络文件系统(NFS)服务器上的共享文件变得非常简单。对于客户端/服务器资源，SPX3000提供两种访问方式，应用管理器(Application Manager)通过使用Java applet把基于TCP的应用和后台服务如终端服务器连接起来，另一方面，Windows重定向器(Windows Redirector)作为一个独立的应用则为某些特定资源的访问提供更强有力的控制，不过这项功能只有在运行Internet Explorer的Windows系统上才能使用。
　　新版产品还支持完整的双向第三层隧道，而且管理员可以为每个虚拟站点配置不同的隧道定义，每个都可以有自己特有的设置，比如某个设置要求使用全隧道模式，而同时另一个可以要求使用半隧道模式，并且两者都可以从完全不同的DHCP池中分发IP地址。
　　目前SPX3000的许多高级SSL VPN功能是以牺牲跨平台性为代价的，客户端只有是Windows系统才能使用它的第三层隧道功能，不过Array公司表示支持Mac和Linux的版本也正在开发当中。
　　该产品的终端安全策略处理，包括主机安全检测和缓存清除是通过Sygate的"按需"策略和安全桌面来实现的。虽然终端安全策略组件是紧密集成在产品之中的，但却必须另外购买。还有，主机安全检测必须安排在认证之前进行。
　　对于大型企业和服务提供商，SPX3000除了虚拟站点之外还支持虚拟局域网，管理员在一台设备上能配置多个子站点，每个子站点都可以有自己的认证方式。另外，SPX3000还支持多达32个节点的主主(Active-Active)负载平衡和主备(Active-Standby)多机热备集群。
　　SPX3000的人机界面和以前的产品比起来没有什么太大的不同，虽然操作起来还是有点不太顺手，但也算改进了不少，类似的菜单被组织到各自的菜单组中以简化操作流程。每个虚拟站点的操作都是独立的，委托管理(Delegated Administration)也支持地很好，这样管理员可以指定不同的人管理不同的虚拟站点，而被指定的人可以也只能管理到相应的虚拟站点。总之，可以说Array公司所做的工作没有白费，SPX3000有能力与目前市场上任何一款同类产品相竞争。

network

第三款：Aventail公司的EX-1500　　在远程安全访问领域EX-1500是一款优秀的全能产品。Aventail的统一策略引擎极大地解放了VPN管理员的工作。由于将资源和用户紧密地联系在一起，策略的定义因此很类似于建立防火墙规则的过程。你也用不着在人机界面的菜单上转来转去，所有东西都很简洁地嵌套在一起，而且随时还有一个很方便的"快速开始"菜单可以指导操作者。实际上，我仅用了一页管理菜单就可以创建一套完整的包括资源和用户的访问规则，这也许看起来不是什么了不起的东西，但对于工作繁忙的IT管理员来说是非常有帮助的。
　　每个域都可以有自己的访问方式和安全区域定义。兼容的认证方式包括LDAP、RADIUS、活动目录、SecurID和本地用户数据库。缺省支持两个节点的主主(Active-Active)集群，而负载平衡和自动错误恢复则内建在产品中，不需要额外的硬件支持。
　　在本次评测的所有产品里，EX-1500的终端控制系统2.0版也许具有最好的终端安全控制机制。当用户连接到设备时，终端控制系统将根据连上来的设备情况将其放入特定的安全区域中，这里的区域指的是具有不同策略细节的分组，比如是否在客户的浏览器上应用缓存清除器或是否接受远程接入(全部拒绝或全部接受)等，这个系统使得管理员能更容易地创建和维护随不同地域变化而变化的安全策略。
　　终端控制系统依赖由WholeSecurity或Zone Labs公司开发的客户端软件来执行用户认证前的终端扫描，而这样的客户端软件必须另外购买，如果没有这些附加软件，终端控制系统仍然可以检测出客户端是从哪里连进来的，但没办法知道客户端正在运行哪些程序等细节信息。如果还想要更强的安全保护，EX-1500同样支持缓存清除、安全桌面和需要另外购买的Sygate "按需"策略控制。
　　EX-1500能极为出色地支持Web应用。它能即时重写HTML，而且缺省就包含一些Web应用的配置用以支持那些常见的Web应用如Outlook的Web访问等。
　　瘦客户端的支持则属于Aventail的OnDemand软件的任务。不要把它和Sygate的"按需"(On-Demand)策略混起来，Aventail的OnDemand软件是一个Java应用，在浏览器需要的时候会自动下载并由它提供对TCP应用的支持。
　　EX-1500的日志功能虽然也不错，但还是不如F5 FirePass 4100或Juniper NetScreen-SA 5000那么强大。EX-1500支持Syslog、SNMP和内部文本日志，但遗憾的是没有内建图形化报表。
　　和竞争对手比起来，EX-1500的一大弱点就是不支持真正的第三层隧道，不过附带的Aventail Connect软件基本上可以弥补这个不足。Aventail Connect是一个Windows应用程序，它安装在远端的计算机上并提供对后台资源的"网络级"访问，不过它不算是真正的第三层隧道，因为客户端虽然可以ping到服务端，但反过来却不行。不过对于从客户端进入服务端的数据流来说，它确实能提供完整的TCP和UDP支持。Aventail承诺会在以后的新版中添加完整的双向第三层隧道支持。

network

第四款：F5 Networks公司的FirePass 4100　　FirePass 4100继承了很多FirePass 1000原有的功能，当然这些功能在FirePass 4100中都经过升级，比原先强大多了。FirePass 4100也有一些其他同类产品比较少见的功能，比如内容过滤和防病毒扫描(两者均使用开源软件实现)，而且甚至能支持站到站的IPSec隧道终结。
　　通过仅面向TCP的AppTunnels和名为Network Access的第三层连接器，FirePass 4100能提供标准的对基于门户的(portal-based)Web应用的访问。它也能让瘦客户端访问那些运行于服务端的应用如Citrix MetaFrame虚拟工作平台、微软的终端服务和X Windows等，甚至通过特殊的连接软件也可以访问老式绿屏终端的应用。FirePass 4100的第三层隧道同时支持全隧道模式和半隧道模式，而且内建了对虚拟局域网的支持。
　　还有一项值得注意的功能即所谓的“桌面访问”。和enKoo-3000的Beam应用类似，桌面访问是一款Windows上的远程访问软件，它以Java applet或者ActiveX控件的方式运行于客户端的浏览器内，在需要的时候浏览器会自动下载并安装。
　　FirePass 4100所支持的日志选项就太多了，只要你能想得到的东西它都有相应的日志，日志方式包括SNMP和Syslog。而且内建有图形报表工具，这样快速监测就容易多了。
　　FirePass 4100所支持的认证服务包括LDAP、RADIUS、活动目录、Vasco DigiPass、基本HTTP认证、客户证书和本地数据库。每个认证方式都属于特定的资源组。Windows资源的单次登陆服务缺省是打开的，并且它通过了我所有相关的测试。
　　FirePass 4100的集群功能尤其强大，不但同时支持主主集群和主备集群两种方式，而且10个节点的集群就能支持多达1万个并发用户。
　　人机交互管理界面初看上去感觉有点"超链接泛滥"，不过在这一大堆选项身上花了一段时间后，我渐渐熟悉了它的布局方式，最后发现其实浏览起来其实还是相当容易的。而且还附带了其他一些很不错的功能，比如，为了防止客户主机上被安装了按键记录软件，它可以为用户名和密码提供图形化的虚拟键盘。
　　这款产品对政府部门来说尤其具有吸引力，因为其中有个版本支持联邦信息处理标准(FIPS)，FIPS是美国国家标准与技术局制定的关于加密模块的安全要求规范，本文所提到的绝大多数SSL VPN厂商预计将于今年内发布支持该标准的产品，但目前只有F5 Networks公司和Juniper公司已经做到这一点。
　　FirePass 4100唯一还需要下功夫改进的方面恐怕就是终端安全管理了。FirePass 4100有自己的主机检测软件，而不像其他同类产品那样在这方面一般寻求和第三方软件商进行合作，虽然也有缓存清除选项和名为"受保护工作区"的虚拟桌面，但不如Sygate的“按需”策略引擎那么强大，不过FirePass 4100还是能够检查客户机所运行的程序及注册表、操作系统和浏览器的补丁包级别，还有是否安装了McAfee防病毒软件等。如果客户机没能通过这些安全检查，它的访问权将被限制在一个受隔离的网络内。可惜的是，主机检测只能发生在用户认证之后，F5 Networks公司表示认证前的主机检测支持还在开发之中，有望在下一次软件发布中将其包含在内。

network

第五款：Juniper Networks公司的NetScreen-SA 5000　　NetScreen-SA 5000的前身是Neoteris公司的Access系列SSL设备，在Juniper收购了NetScreen之后，NetScreen-SA 5000做为后续产品其安全引擎自然更加强大，硬件也得到了升级。目前该产品的软件版本为4.2，虽然人机界面还需要组织地更好一些，但总体来看，该产品已经被证明是足够灵活和安全的。
　　远程用户的认证方式包括活动目录、LDAP、RADIUS、Netegrity、数字证书和本地数据库，每个认证域都可以有多个认证服务器。已通过认证的用户由用户角色(User role)映射到相应的组里，这些组不但定义了用户远程访问的不同形式，同时还定义了与会话相关的具体细节，如发呆超时和会话持续性。举个例子，管理员可以创建两个不同的角色，其中一个可以访问Web、Windows文件共享和终端服务，而另一个角色则只有Web访问的权限。
　　NetScreen-SA 5000支持所有标准的远程访问方式，包括Web应用、基于TCP的应用、第三层隧道。对于Web应用，管理员所能定义的访问策略其粒度之细令人咂舌，各种细节都有相应的设置，从缓存策略到HTML重写到压缩等等。虽然看起来好像挺复杂，但实际上定义一个Web策略相当简单。另外基于Web的Windows和Unix文件共享以及Telnet支持也都包含在内。
　　对基于TCP的应用的访问请求会由所谓的安全访问管理(SAM)软件来转发，该软件有Windows版和Java版，并且能够根据用户角色来配置决定是否需要自动启动。
　　第三层隧道由名为Network Connect的软件来处理，该软件只有Windows版，在客户机上安装后会生成一个虚拟PPP适配器，管理员可以从一个内部DHCP池中为Network Connect客户分配IP地址。全隧道和半隧道模式同时支持，另外还能自定义DNS设置。对于隧道，NetScreen-SA 5000提供给管理员的访问控制选项不如其他服务那么丰富，但相比IPSec VPN肯定还是好多了。Juniper表示在下一个软件主发行版中Network Connect将支持Mac OS X和Linux。
　　SA-5000的终端安全检测机制叫做Juniper终端防御计划(JEDI)，它能支持InfoExpress、McAfee、Sygate、和Zone Labs等客户端软件。唯一不足的是JEDI只有Windows版。
　　管理界面第一眼看上去有点乱，因为提供的选项实在太多了，所以我们也不能要求太多，实际使用中一些上下文相关的链接可以帮助使用者很快找到相应功能。SA-5000有一流的日志和报表功能，包括实时使用情况图表等。
　　在本次评测的所有产品中，只有NetScreen-SA 5000和FirePass 4100两款符合FIPS 140标准，另外NetScreen-SA 5000支持8个节点的集群，以主动/被动(Active-Passive)模式保障服务的高可靠性。目前还不支持虚拟局域网，不过Juniper表示这项功能正在开发之中。

network

　第六款：Nokia公司的安全访问系统(Secure Access System)3.0版　　Nokia的安全访问系统(NSAS)不需要繁杂的管理界面操作就能提供所有你想要的远程安全接入服务。它支持Web门户、文件共享、TCP应用和第三层隧道。对Web应用访问的支持其水准堪称一流，创建和维护起来非常容易，在NSAS中添加一个Web资源只需要轻点几下鼠标而已，这在其他同类产品中是绝对不可能的。
　　另一个与众不同的地方是虽然NSAS支持多种认证方式，包括LDAP、活动目录、NT局域网管理器NTLM、RADIUS、PKI证书和本地数据库，但它的认证方式是全局性的，不同的虚拟站点不能有各自不同的认证方式。在服务可靠性方面，NSAS在没有额外硬件的情况下能支持两个节点的集群。
　　通过一个Java帮助程序NSAS能支持基于TCP的应用，但整个操作过程需要大幅改进才行，因为针对每个客户程序，使用者都得告诉服务端该连到客户端的哪个回路(loopback)地址才行。在这一过程对用户的透明度上，所有我们评测过的其他产品都要比NSAS做地好的多。
　　NSAS内建的用于取代IPSec的技术被称为安全连接器(Secure Connector)，它支持全隧道模式和半隧道模式。和Juniper NetScreen-SA 5000类似，安全连接器允许管理员为远程用户创建一个内部IP地址池，而隧道的访问控制的定义则采用类似防火墙风格的允许/拒绝规则集，另外管理员可以指定对特定资源进行访问时所使用的地址范围、端口和协议，甚至对于那些不符合防病毒要求的客户端可以直接将其拒绝在外。不过安全连接器只有运行IE的Windows客户机才能使用。
　　Nokia的虚拟沙盒叫做"安全工作区"(Secure Workspace)，同样，它也只提供给运行IE的Windows系统。和Sygate的安全桌面类似，安全工作区在客户会话结束后会把期间产生的所有临时文件、浏览器记录和会话信息全部删除。一个浮动的工具栏可以让用户在本地桌面和安全桌面之间切换。
　　Nokia的客户安全扫描可以在认证之前或者认证之后检查远程主机的安全状态，管理员通过使用一种脚本语言来自定义扫描规则，这样有利于管理员按照自己特定的要求建立相应的扫描规则，不过这应该是比较耗时的一项工作。
　　NSAS的人机界面使用起来还是相当顺手的。日志和监测信息则有点过于详细了，当然如果搭配过滤器使用的话还是属于可管理范围的。
　　可惜的是，NSAS并不支持第三方软件厂商如Sygate或WholeSecurity开发的主机扫描软件。NSAS如果想要在未来的竞争中不落下风，必须得在后续产品中添加对第三方软件的支持以便更容易地集成现有的客户安全检测软件和提供额外的客户端管理功能。

network

准备好拥抱SSL VPN了吗？　　公平地讲，企业没有必要现在就立即抛弃所有IPSec VPN设备而以SSL VPN全部替换之，不过现在开始部署SSL VPN并把用户朝这方面迁移还是很有意义的。IPSec VPN和SSL VPN完全可以共存并在功能上互补，这样从一个平台迁移到另一个平台的过程就可以更平稳一些。
　　就算对那些已经在IPSec VPN上投入大量资金的企业来说，往SSL VPN上迁移也是有充分理由的，因为对于IPSec VPN来说，在每个客户身上所花的技术支持费用要远远超过SSL VPN，而在这方面上节省的资金就足够抵消用于购买新设备的开支了。由于SSL VPN所有的东西都集中在一起，长远来看管理起来更加容易。而且SSL VPN基于客户的浏览器，一旦有策略方面的变动时，客户的下一次连接就能自动适应相应的变动。
　　还有，在安全性上SSL VPN要胜过IPSec。所有SSL VPN的连接，甚至包括类似IPSec风格的第三层隧道，都要受到相应的访问控制策略的限制，这样管理员就可以限制对某些特定资源的访问，而不像IPSec那样，一旦用户连入后整个网络都暴露在他面前。
　　以上所评测的所有产品都提供了极为丰富和强大的功能，足以与任何一款IPSec产品相竞争。以上所列的每一款产品都是个不错的选择。随着市场的逐步成熟，我们有越来越多的理由期待SSL VPN成为自己的首选VPN设备。
数据对比

产品	AEP Networks Netilla 安全平台	Array Networks SPX3000	Aventail EX-1500	F5 Networks FirePass 4100	Juniper Networks NetScreen-SA 5000	Nokia Secure Access System 3.0
安全性(权重35%)	9	9	8	9	9	8
软硬件的兼容性和标准支持的程度(权重25%)	7	8	9	9	9	8
可扩展性(权重20%)	8	9	8	9	9	8
操作性(权重10%)	8	7	9	7	8	7
整体功能和价值(权重10%)	7	8	8	9	9	8
总分	8.0	8.5	8.4	8.8	8.9	7.9
价格(每100个用户/美元)	$34300	$25000	$28095	$24990	$33995	$27995
简评	这款产品的认证功能得到了大幅增强，另外还增加了基于Sygate的终端安全检测。在处理基于TCP的瘦客户端应用时采用了与众不同的方式，即通过Tarantella开发的服务器代理软件来中转访问请求。虽然总体上NSP相当不错，但策略控制的粒度还有待改善。	Array在该产品中加入了完整的第三层隧道和基于Sygate的终端安全检测支持。而它的一大亮点是有能支持高级内容包括Flash的Web代理，这是其他产品所没有的。也支持虚拟局域网，另外在同一设备上能配置多个虚拟站点。不过人机界面不太容易使用。	这款产品在安全远程访问方面可谓相当全能，不过遗憾的是只支持单向TCP和UDP连接，也就是不支持真正的第三层隧道。管理界面很容易操作。另外它的终端安全管理机制在和由WholeSecurity或Zone Labs开发的客户端软件配合使用时是极佳的选择。	在Web应用、瘦客户端应用和第三层隧道领域FirePass 4100是最强大的一个平台。它支持IPSec终结并内建了不太常见的基于浏览器的远程桌面访问应用，不过遗憾的是它的终端安全检测不支持与第三方检测软件的集成。	没有什么是NetScreen-SA 5000做不到的。功能极其丰富并且相应的配置选项极为细致。支持所有标准的访问模式，认证服务也做的很好。而且可以和很多第三方主机检测软件配合。可能该产品最大的不足就在于人机界面提供了太多的管理菜单和选项了。	可以很快速地将NSAS配置并运行起来，不过其他操作界面还需要改进。虽然对基于Web的应用的访问支持地不错，但却不能很好地支持基于TCP/IP的瘦客户端应用。有些管理员会觉得编写终端安全检测脚本很麻烦。终端安全检测不支持与第三方检测软件的集成是很大的缺点。

tuifeile

了解一下，支持一下啦。