Microsoft提供功能丰富的SSL-VPN
Forefront统一访问网关是企业级的,基于软件的远程访问工具
我们在2003年进行测试Whale通信SSL VPN背部和产品没有经历非常好。微软收购鲸在2006年,抛弃一些产品的怪idiosyncracies,极大地简化了管理,并随后集成几个Vista和Windows 7的技术。
我们测试了Whale通信SSL VPN在2003年,产品的表现并不好。微软买了鲸鱼2006年,他抛弃了该产品的一些奇怪特性,极大地简化了管理,并随后集成了几项Vista和Windows 7技术。
该产品的最新版本,现在被称为Forefront统一访问网关2010,提供了一个很好的SSL VPN功能集,特别是当集成到现有的Microsoft Windows网络,并用于为员工提供访问企业应用程序时。
有一些弱点,如用于非Windows平台和外部网的支持。但产品的优势,包括配置,易于使用和单一的应用程序发布,把它带到SSL VPN市场的最前沿。
最前沿UAG,前身为智能应用网关(IAG),是安全工具微软的Forefront产品线的一部分。最前沿UAG不同于其他大多数SSL VPN产品中脱颖而出三种方式。首先,它是行货在每个用户的基础上一个纯软件解决方案。虽然底层的Windows和UAG服务器许可不便宜,UAG不会共享给其他应用程序的服务器,是纯软件许可250个以上并发用户时,使它成为一个经济的解决方案,特别是在具有音量许可协议组织Windows服务器上。
其次,UAG提供了一些应用层防火墙功能。大多数其它SSL VPN提供的内容仅最小的应用层检测,着眼于正确地重写URL而不是阻止有潜在危险的网址。UAG超出了通过提供一些URL语法检查,它可以防止某些类型的攻击,如SQL注入。
第三,UAG包括微软的新的DirectAccess技术,基于IPv6的功能,可以通过减少对VPN网关的需要,缓解远程接入VPN的跨Windows域部署简化端至端的VPN。
包括在最前沿UAG是Forefront威胁管理网关(TMG),最近重新命名为微软ISA防火墙产品的大块。然而,TMG在UAG主要目的是UAG服务器的保护,而微软放在什么,不与TMG允许的严格限制。
换句话说,如果你希望一个完整的纯微软的防火墙和SSL VPN解决方案在单一系统中,这是不是。最前沿UAG还需要Windows 2008服务器R2(仅64位版本的Windows)。
授权焦虑
SSL VPN的通过认证的用户,所以我们测试的第一次启动。大多数部署可能会使用内置的活动目录链接,这是一件好事,因为我们很难使任何其他身份验证选项工作。
在官方上,UAG提供了各种其他身份验证源,包括RADIUS、几个LDAP目录以及一些比较晦涩的方法。我们测试了那些我们认为最有用的,包括Active Directory、LDAP、RADIUS和SecurID。
好消息是,我们能够作出的认证工作,所有来源,只有轻微的限制。LDAP身份验证,始终是最大的bugaboos之一,在UAG通过创建模板,一些常见的LDAP服务器的帮助。但是,如果您选择把这些服务器的架构进行任何调整,你将无法与UAG使用它们。由于我们的服务器看上去大多喜欢一个标准的Netscape LDAP服务器(选择之一),我们能够成功进行身份验证。
当我们遇到的问题是房子的授权方。在SSL VPN的,授权是一个重要的功能,它可以让您建立安全策略为不同的用户不同的组。大多数SSL VPN的,UAG包括,使用“组”的概念,提供访问控制。
我们想看看我们如何能得到组信息我们的认证服务器到UAG的。我们发现,UAG不会与任何我们尽力了,每次不同的原因服务器的正常工作。
对于LDAP,由于我们的服务器与UAG内置的模式不完全匹配,因此我们的组层次结构不可用,而UAG无法看到它。使用RADIUS, UAG自定义组信息提取的选项变成了灰色,更重要的是,我们不能将这些组添加到访问控制列表中。使用SecurID,我们希望从Active Directory中获取组信息——这是大多数使用SecurID的企业的常见方法——但即使有微软大师在场的帮助,也无法实现这一点。
如果您计划UAG专门围绕一个相当标准的Active Directory建的,如果你不打算使用外部资源进行授权(例如,如果所有授权用户获得相同的服务),然后UAG的认证功能将快速使用方便。但是,如果你想你的SSL VPN在其他目录服务整合,除了Active Directory中,UAG可能无法满足您的需要。
端点安全:在Windows上工作正常
端点安全性是SSL VPN的一个常用的功能,因为它可以让让连接到VPN远程系统之前,网络管理员检查合规性。反映其预微软的遗产中,Forefront UAG提供了一种处理端点安全两个独立的方法:一个全面和广泛的一套基于UAG特定主机上的政策搭积木的检查软件,或者选择简单地延迟到微软自己的NAC技术内置到新Windows分发,网络访问保护(NAP)。如果你愿意,你也可以同时使用。
我们最深的鸽子进入内置的政策工具,并发现我们能够创建一个使用一个精心设计的管理系统中等复杂的访问控制策略。
UAG提供了对主流操作系统,在Windows,Mac OS X和Linux的定义不同策略的能力。每个策略都可以有它自己的一套规则,采用典型的布尔逻辑定义。我们的示例策略让他们是否有安装了Sophos反病毒软件的用户,运行和及时更新,与沿任在Sophos或Microsoft个人防火墙安装和运行。我们测试,以确保各种“错误配置”将阻止我们出去,UAG工作非常出色这里。
UAG的能力,适用于Mac和Linux没有工作,以及,虽然它不是缺乏尝试。UAG有这两种操作系统的策略定义语言。例如,我们可以检查任何的10个不同的Mac OS X的个人防火墙的存在。在我们的政策,这就是我们选择。随着苹果的Safari和谷歌的Chrome浏览器,UAG干脆拒绝甚至开始它的端点合规性检查。与Firefox,我们得到了一个端点合规性检查,但误报:即使与苹果公司的防火墙开启,我们不能进去。
这是可能的 - 甚至可能 - 以足够生根在UAG和我们的Mac客户端深处各地,我们可以使这项工作,但我们的测试显示非常清楚,它不超出现成这些操作系统上很好地工作。最好的办法是不要在EPS检查在非Windows操作系统上工作数。
幸运的是,UAG提供了一种细粒度的方法来控制端点安全性如何影响访问。在开始让用户登录之前,您可以要求端点安全性“通过”。而且,您可以对通过SSL VPN提供的每个资源应用单独的(和不同的)策略。这可能比大多数网络管理器想要的控制更多,但是您有这样的灵活性是很好的。
在应用层的访问控制
其中的SSL VPN的主要特点是更加重视谁是连接。这让SSL VPN管理员强制用户为中心的访问控制,而不是简单地让大家谁连接到任何地方去的网络。UAG使管理员可以定义访问控制每个单独的资源,以及创建虚拟系统(UAG称他们为“树干”)有资源,门户网站配置和访问控制的单独设置的选项。
对于基于用户的控件,网络管理器可以在用户ID或组级别(或两者)上逐个应用程序阻塞或允许访问。此外,UAG还对“上传”和“下载”类型的活动进行了区分。这些不是在用户/组级别上完成的,而是在应用程序级别上完成的。例如,这意味着您可以禁止所有经过身份验证的用户向您的Exchange Webmail服务器上传. mp3文件,但允许他们下载这些文件。
第三种类型的访问控制是广泛控制通过UAG网关可用的每个基于web的应用程序允许和不允许的url的能力。这个特定于url的应用程序控件是UAG SSL VPN中很好的知识产权之一,这在大多数其他SSL VPN中是找不到的。
UAG不一定是一个成熟的应用程序层防火墙,但是它对于通过VPN的Web通信可以接受的内容具有相当多的智能。这有助于减少通过身份验证的用户试图破解内部应用程序的可能性,因为UAG不允许url,而该特定应用程序不允许url。
当然,给UAG的能力,了解是什么,是不合法的每个应用程序而无需一些工作不会发生的。UAG已经内置在微软所有的大型企业应用其配置的知识,包括Exchange服务器,Office Communicator的和的SharePoint。(这是从早期版本的UAG,这也对非Microsoft应用程序的支持。的变化),如果不包括你自己的应用程序,你可以写使用UAG的GUI将其添加到配置的规则,或者你可以简单地让默认值生效。
UAG的访问控制真正没有达到标准的一个地方是提供远程网络访问(通常称为网络扩展)。通过network extension, SSL VPN变成了一个更传统的VPN集中器,为安装了(仅Windows)客户端软件的用户提供了广泛的网络访问。
然而,在UAG中并没有真正应用访问控制。相反,您使用保护UAG服务器的底层防火墙(微软的前沿威胁管理网关)来提供基础广泛的访问控制,但您不能通过UAG在每个用户或每个组基础上应用它们。微软基于ipv6的VPN新技术DirectAccess包含在UAG中,但也没有任何类型的粒度访问控制。
管理:喜忧参半
管理是通过基于windows的应用程序来处理的。该管理工具可以控制单个UAG网关,或一组服务器作为单个网关,但不能控制多个独立网关。一般来说,UAG管理做得很好,易于使用。在测试期间,我们接受了微软半天的培训,很快就适应了应用程序管理。虽然UAG位于Windows 2008 R2和前沿威胁管理网关防火墙之上,但你不需要经常钻研其中任何一个产品。
配置工具还包括上下文敏感帮助,这在很大程度上做得很好。在许多重要的领域中,术语没有定义,必要的细节也没有,所以需要额外的工作,但总的来说,当你需要帮助时,帮助就在那里——这是一个重要的产品特性,没有手册。
UAG使用提交配置更改机型,虽然没有版本或回滚能力。但是,当你提交修改(UAG中“激活”),网关管理界面发生的任何变化的根本TMG配置护理。提交步骤实际上得到了我们的测试过程中恼人的,因为每一个变化,试验周期大约需要2分钟的延迟(一个非常牵累多核心的Hyper-V服务器上)来激活,这将会减慢显着的周期。
在我们的测试中,监测和测井工具显示出混杂的结果。UAG包括一个基于web的监视工具,可以显示整个UAG网关的状态,包括相关的事件日志消息。在正常操作期间,这可能就足够了。但是,调试和故障排除工具处理得很差。当我们尝试各种各样的测试时,我们总是不知道为什么和怎么有东西不工作。当UAG工作正常时,你并不关心;当它不能正常工作时,你几乎没有办法知道发生了什么或者为什么会有问题。
我们发现了大量的产品,未完成的边缘,如门户网站定制和扩展的网络管理,但下面的80/20法则,大多数网络管理员会发现它们的配置和日常的日常管理经验,是直接和有效。
令人印象深刻的互操作性
SSL VPN最重要的部分之一是将Web页面从原始服务器通过VPN传输到最终用户的浏览器。随着Web站点上大量的技术,包括Flash和Javascript,以及AJAX等技术的出现,这一年比一年难。