在VPN領(lǐng)域，SSL VPN無疑是個新貴，由于其與生俱來在遠(yuǎn)程安全連接方面的優(yōu)勢，近幾年逐漸受到業(yè)界的追捧。總體來看，SSL VPN還沒有達(dá)到廠商們期望的大規(guī)模應(yīng)用，然而最近的種種跡象表明，SSL VPN正在進(jìn)行一場轟轟烈烈的開辟新天地運(yùn)動。至于具體倚仗哪些優(yōu)勢，在整體性能、功能方面有哪些最新進(jìn)展，本測試報告向讀者一一道來。
一份最新研究表明近90%的企業(yè)利用VPN進(jìn)行的內(nèi)部網(wǎng)和外部網(wǎng)的連接都只是用來進(jìn)行Internet訪問和電子郵件通信，而這些應(yīng)用都利用了一種更加簡單的VPN技術(shù)——SSL VPN。基于SSL協(xié)議的VPN遠(yuǎn)程訪問方案的確更加容易配置和管理，由于不需要客戶端軟件，網(wǎng)絡(luò)配置成本比起目前主流的IPSec VPN要低很多，所以許多企業(yè)已經(jīng)開始利用基于SSL加密協(xié)議的遠(yuǎn)程訪問技術(shù)來實(shí)現(xiàn)VPN通信了。
SSL VPN是最近幾年才逐步發(fā)展成熟的，但是當(dāng)去年某些機(jī)構(gòu)對其進(jìn)行全面測試時，可以說并沒有滿足用戶對其較高的期望。相反，許多基本的問題還沒有解決好。時間過去一年多，目前該領(lǐng)域發(fā)展到了何種程度？在目前的市場上已經(jīng)出現(xiàn)了一些廠商的產(chǎn)品與解決方案，它們的優(yōu)劣都在哪里？與世界最先進(jìn)的水平相比，多數(shù)SSL VPN設(shè)備的整體水平如何？帶著這些問題，《網(wǎng)絡(luò)世界》評測實(shí)驗(yàn)室組織了2005年度SSL VPN網(wǎng)關(guān)公開比較評測。
由于目前市場中的SSL VPN網(wǎng)關(guān)設(shè)備并不是特別多，此次評測并沒有對參測設(shè)備進(jìn)行詳細(xì)劃分級別。我們向所有主流SSL VPN設(shè)備廠商發(fā)出了邀請，最后有三家廠商接受邀請，送來參測設(shè)備并且順利完成我們的所有測試內(nèi)容，它們是深信服科技的Sinfor SSL VPN Express、Array Networks的SPX 5000和深圳數(shù)安的RAP 1000-X。其中，Array Networks的SPX 5000為千兆產(chǎn)品，其他兩家產(chǎn)品為百兆設(shè)備。
我們還要特別感謝思博倫通信公司提供了Avalanche測試儀，安氏公司提供領(lǐng)信網(wǎng)絡(luò)掃描軟件。同時也對這些勇于參加此次SSL VPN網(wǎng)關(guān)公開比較評測的廠商表示贊賞。
性能測試——隨著軟硬件技術(shù)的進(jìn)步，性能有大幅提高，滿足企業(yè)要求綽綽有余；
安全測試——盡管在網(wǎng)絡(luò)中處于防火墻之后，但是某些設(shè)備本身仍存在一定安全風(fēng)險；
功能測試——經(jīng)過近一兩年的發(fā)展，功能已經(jīng)獲得巨大突破，可以輕松應(yīng)對用戶復(fù)雜應(yīng)用。

        性能表現(xiàn)是所有網(wǎng)絡(luò)設(shè)備極其重要的一個方面，也是我們此次測試的一個重點(diǎn)。SSL VPN網(wǎng)關(guān)設(shè)備的性能參數(shù)中，比較重要的幾個是新建用戶速率（setup/teardown速率）、最大并發(fā)用戶數(shù)、郵件系統(tǒng)性能以及設(shè)備的實(shí)際吞吐量（Goodput）等。
setup/teardown速率
setup/teardown速率反映了設(shè)備每秒鐘可以新建的用戶數(shù)目，Array Networks的SPX 5000可以達(dá)到982個/秒，從我們以往測試服務(wù)器的經(jīng)驗(yàn)來看，這一結(jié)果完全超過了一臺高端PC Web服務(wù)器的極限，只有后臺使用更高端服務(wù)器或者服務(wù)器集群才能提供如此高的性能；深信服的Sinfor SSL VPN Express結(jié)果為98個/秒，深圳數(shù)安的RAP 1000-X達(dá)到138.4個/秒，我們認(rèn)為該數(shù)值也足以滿足大型企業(yè)級用戶的要求了。
最大并發(fā)用戶數(shù)
         最大并發(fā)用戶數(shù)反映設(shè)備同時提供服務(wù)的最大用戶數(shù)目，讀者需要注意，此數(shù)值并非使用SSL VPN設(shè)備的用戶總數(shù)（很顯然，并不是所有需要使用設(shè)備的用戶都隨時在線）。據(jù)稱，Array Networks的SPX 5000 的最大并發(fā)用戶數(shù)可以達(dá)到64000，我們測試結(jié)果為57063；深信服Sinfor SSL VPN Express為150，深圳數(shù)安RAP 1000-X為249。
OWA性能
        OWA（Outlook Web Access）性能反映的是設(shè)備在承載Outlook Web郵件系統(tǒng)的性能表現(xiàn)，由于郵件系統(tǒng)在SSL VPN的應(yīng)用中占很大比例，而Outlook郵件系統(tǒng)又具有普遍意義，因此此項(xiàng)結(jié)果在用戶使用郵件系統(tǒng)時有很大參考意義。Array Networks的SPX 5000測試結(jié)果為7237 會話/秒；深信服RAP 1000-X為207 會話/秒，深圳數(shù)安RAP 1000-X為396.45會話/秒。
DDoS攻擊下的OWA性能
        DDoS攻擊是網(wǎng)絡(luò)中十分普遍的攻擊類型，我們考察了SSL VPN設(shè)備在遭受DDoS攻擊下的Web郵件系統(tǒng)應(yīng)用的性能表現(xiàn)。從我們以往對各類安全設(shè)備進(jìn)行測試經(jīng)驗(yàn)來看，設(shè)備對攻擊的防范能力不容小視，有些防范能力較差的設(shè)備在攻擊面前束手無策，很容易造成設(shè)備工作不正常。從我們的測試結(jié)果來看，所有參測設(shè)備在攻擊下的性能都有小幅下降，Array Networks的SPX 5000測試結(jié)果為7030會話/秒，下降大約2.86％；深信服Sinfor SSL VPN Express為203會話/秒，下降大約1.93％，深圳數(shù)安RAP 1000-X為395.78會話/秒，下降幅度最低，僅為0.17％。
Goodput
         按照RFC 2647的定義，我們測試了被測設(shè)備最大HTTP實(shí)際吞吐量（Goodput)。在我們的測試環(huán)境下的結(jié)果是，作為千兆設(shè)備的Array Networks SPX 5000為160.352Mbps，深信服Sinfor SSL VPN Express為34.199Mbps，深圳數(shù)安RAP 1000-X為29.864Mbps。需要說明的是，所有參測設(shè)備都沒有提供數(shù)據(jù)壓縮功能。
測試感言：性能已不是問題
從我們的測試結(jié)果來看，性能已經(jīng)可以完全滿足用戶在遠(yuǎn)程安全連接方面的需求。
據(jù)我們了解，即便是最高端的用戶，也很少會分配高達(dá)100Mbps的帶寬給SSL VPN應(yīng)用，再加上Internet網(wǎng)速受多方面影響，因此，從實(shí)際吞吐量角度，100Mbps是實(shí)際應(yīng)用環(huán)境的極限，所有超過100Mbps的設(shè)備都無法充分展示拳腳。但是VPN設(shè)備可以提供數(shù)據(jù)壓縮能力，即數(shù)據(jù)經(jīng)過壓縮后向外網(wǎng)發(fā)送，這可使用戶更加有效地利用昂貴的帶寬資源。從我們查到的資料來看，有些廠商在這方面的技術(shù)比較先進(jìn)，數(shù)據(jù)壓縮比例可以達(dá)到5:1，遺憾的是此次參測的三款產(chǎn)品都沒有提供該功能，因此我們測試時并沒有考察數(shù)據(jù)壓縮時的性能表現(xiàn)。
從最大并發(fā)用戶數(shù)角度來看，采取SSL VPN方式，按照慣例一般取1∶10的比例（如果1000個人都可能采取VPN方式，同一時間會有100個人利用VPN隧道），這一點(diǎn)用戶在購買設(shè)備時也應(yīng)該注意——在購買IPSec  VPN時，1000個用戶需要購買1000個客戶端許可證，而如果使用SSL VPN，則可以按照100個并發(fā)用戶數(shù)購買。
用戶在部署SSL VPN之前一定要對設(shè)備進(jìn)行性能測試，一方面能夠?qū)υO(shè)備的性能表現(xiàn)有確切掌握，另一方面可以根據(jù)實(shí)際網(wǎng)絡(luò)應(yīng)用環(huán)境進(jìn)行合理購買。