Microsoft提供功能丰富的SSL-VPN
Forefront统一访问网关是企业级、基于软件的远程访问工具
早在2003年,我们就测试了Whale Communications的SSL VPN,但该产品的性能并不理想。微软在2006年收购了Whale,抛弃了该产品的一些奇怪特性,大大简化了管理,随后集成了几种Vista和Windows7技术。
我们测试了鲸鱼的通讯能力sslvpn2003年,该产品表现不佳。微软收购鲸鱼2006年,该公司抛弃了该产品的一些奇怪特性,大大简化了管理,并随后集成了多种Vista和Windows7技术。
该产品的最新版本(现在称为Forefront Unified Access Gateway 2010)提供了强大的SSL VPN功能集,尤其是在集成到现有Microsoft Windows网络中以及用于向员工提供企业应用程序访问权限时。
存在一些弱点,例如对非Windows平台的支持和对extranet的支持。但该产品的优势,包括配置、易用性和单一应用程序发布,使其成为SSL VPN市场的前沿。
Forefront UAG,以前称为智能应用程序网关(IAG),是微软前沿安全工具系列的一部分。Forefront UAG在三个方面区别于大多数其他SSL VPN产品。首先,它是基于每个用户许可的纯软件解决方案。尽管基础Windows和UAG服务器许可证并不便宜,UAG也不会与其他应用程序共享服务器,但作为软件,只有在许可250个或更多同时使用的用户时,它才是一个价格合理的解决方案,特别是在有Windows server批量许可协议的组织中。
其次,UAG提供了一些应用层防火墙功能。大多数其他SSL VPN只提供最低限度的应用层内容检查,重点是正确重写URL,而不是阻止潜在危险的URL。UAG提供了一些URL语法检查,可以防止某些类型的攻击,例如SQL注入,从而超越了这一点。
第三,UAG包括微软新的DirectAccess技术,这是一种基于IPv6的功能,可以通过减少对VPN网关的需求和简化跨Windows域远程访问VPN的部署来简化端到端VPN。
Forefront UAG中包含大量Forefront Threat Management Gateway(TMG),这是最近重新命名的Microsoft ISA防火墙产品。然而,TMG在UAG中的主要目的是保护UAG服务器,微软对TMG允许和不允许的内容进行了严格限制。
换句话说,如果您希望在单个系统中实现一个完整的纯Microsoft防火墙和SSL VPN解决方案,那就不是这样了。Forefront UAG还需要Windows 2008 Server R2(仅64位版本的Windows)。
授权焦虑
SSL VPN从验证用户开始,所以我们首先测试了它。大多数部署可能会使用内置的活动目录链接,这是一件好事,因为我们很难让任何其他身份验证选项起作用。
官方上,UAG提供了各种各样的其他身份验证源,包括RADIUS、几个LDAP目录,以及更晦涩的方法。我们测试了我们认为最有用的工具,包括Active Directory、LDAP、RADIUS和SecurID。
好消息是,我们能够使用所有来源进行身份验证,只需稍加限制。LDAP身份验证一直是最大的麻烦之一,在UAG中通过为一些常见LDAP服务器创建模板来帮助实现。但是,如果您选择对这些服务器的模式进行任何调整,您将无法将它们与UAG一起使用。由于我们的服务器看起来很像标准的Netscape LDAP服务器(选择之一),因此我们能够成功地进行身份验证。
我们遇到问题的地方是房子的授权区。在SSL VPN中,授权是一项关键功能,它允许您为不同的用户组构建不同的安全策略。包括UAG在内的大多数SSL VPN都使用“组”的概念来提供访问控制。
我们想看看我们可以如何将组信息从身份验证服务器传输到UAG。我们发现UAG无法与我们尝试的任何服务器正常工作,每次都是因为不同的原因。
对于LDAP,由于我们的服务器与UAG内置的模式不完全匹配,所以我们的组层次结构不可用,UAG也看不到它。使用RADIUS,UAG自定义组信息提取的选项变灰,更重要的是,我们无法将这些组添加到访问控制列表中。有了SecurID,我们希望从Active Directory中获取组信息—这是大多数使用SecurID的企业的常用方法—但也无法实现这一点,即使有Microsoft专家在场提供帮助。
如果您的UAG计划专门围绕一个相当标准的Active Directory构建,并且如果您不打算使用外部资源进行授权(例如,如果所有经过身份验证的用户都获得相同的服务),那么UAG的身份验证功能将快速且易于使用。但是,如果您想跨Active directory之外的其他目录服务集成SSL VPN,UAG可能不适合您。
端点安全性:在Windows上运行良好
端点安全性是SSL VPN中常用的功能,因为它允许网络管理员在让远程系统连接到VPN之前检查合规性。Forefront UAG提供了两种不同的处理端点安全的方法:基于UAG特定主机检查软件的一套全面而广泛的策略构建块,或者只需遵循Microsoft自己的NAC技术(内置于较新的Windows发行版中),即网络访问保护(NAP). 如果您愿意,也可以同时使用这两种方法。
我们深入研究了内置的策略工具,发现我们能够使用设计良好的管理系统创建适度复杂的访问控制策略。
UAG提供了为主要操作系统、Windows、Mac OS X和Linux定义单独策略的能力。每个策略都可以有自己的规则集,使用典型的布尔逻辑定义。我们的示例策略允许用户在安装、运行Sophos Anti-Virus和更新Sophos或Microsoft个人防火墙的情况下进入。我们进行了测试,以确保各种“错误配置”会将我们排除在外,而UAG在这里工作得非常好。
UAG在Mac和Linux上的功能并没有很好地发挥作用,尽管这并不是因为缺乏尝试。UAG为这两种操作系统都提供了策略定义语言。例如,我们可以检查是否存在10种不同的Mac OS X个人防火墙。在我们的政策中,这是我们选择的。有了苹果的Safari和谷歌的Chrome浏览器,UAG甚至拒绝开始端点合规性检查。对于Firefox,我们得到了一个端点合规性检查,但是一个假阳性:即使苹果的防火墙打开了,我们也无法进入。
有可能——甚至有可能——只要在UAG和我们的Mac客户机的深处有足够的基础,我们就可以让它工作,但我们的测试非常清楚地表明,在这些操作系统上,它不能很好地开箱即用。最好不要指望在非Windows操作系统上进行EPS检查。
幸运的是,UAG提供了一种细粒度的方法来控制端点安全性如何影响访问。您可以要求端点安全性在允许用户登录之前“通过”。而且,您可以对通过SSL VPN提供的每个资源应用单独的(和不同的)策略。这可能比大多数网络管理者想要的控制更多,但您拥有这种灵活性很好。
应用层的访问控制
SSL VPN的关键特性之一是更加关注谁在连接。这使SSL VPN管理器能够强制实施以用户为中心的访问控制,而不是简单地允许每个连接的人在网络中到处走动。UAG为管理员提供了对每个资源单独定义访问控制的选项,以及创建具有独立资源集、门户配置和访问控制的虚拟系统(UAG称之为“中继”)的选项。
对于基于用户的控制,网络管理器可以在用户ID或组级别(或两者)阻止或允许逐个应用程序的访问。此外,UAG还区分了“上传”和“下载”类型的活动。这些不是在用户/组级别完成的,而是在应用程序级别完成的。例如,这意味着您可以禁止所有经过身份验证的用户将.MP3文件上载到Exchange Webmail服务器,但允许他们下载。
第三种访问控制是能够广泛控制通过UAG网关提供的每个基于Web的应用程序的允许和不允许的URL。这种特定于URL的应用程序控制是UAG SSL VPN中的优秀知识产权之一,在大多数其他SSL VPN中找不到。
UAG不一定是一个成熟的应用层防火墙,但它在通过VPN的Web流量可接受的方面有相当多的智能。这有助于降低通过身份验证的用户试图破解内部应用程序的可能性,因为UAG不允许特定应用程序不允许的URL。
当然,如果不做一些工作,就无法让UAG了解每个应用程序的合法性和不合法性。UAG内置了微软所有主要企业应用程序的配置知识,包括Exchange服务器,Office通讯器和SharePoint. (这是对UAG早期版本的更改,UAG也支持非Microsoft应用程序。)如果您自己的应用程序不包括在内,您可以使用UAG的GUI编写规则,将其添加到配置中,或者您可以简单地让默认值生效。
UAG的访问控制真正不合格的地方是提供远程网络访问(通常称为网络扩展)。通过网络扩展,SSL VPN变成了更传统的VPN集中器,为安装了(仅限Windows)客户端软件的用户提供了广泛的网络访问。
然而,访问控制并不真正适用于UAG。相反,您可以使用底层防火墙保护UAG服务器(Microsoft的Forefront Threat Management Gateway),以提供基础广泛的访问控制,但您不能通过UAG对每个用户或每个组应用这些控制。微软新的基于IPv6的VPN技术DirectAccess包含在UAG中,但也没有任何类型的细粒度访问控制。
管理层:混合袋
通过基于Windows的应用程序处理管理。该管理工具可以控制单个UAG网关,或作为单个网关的一组服务器,但不能控制多个独立网关。一般来说,UAG管理做得很好,并且易于使用。在测试期间,我们接受了来自微软的半天培训,很快就对应用程序管理感到满意。虽然UAG位于Windows 2008 R2和Forefront Threat Management Gateway firewall之上,但您不必经常深入研究这两种产品。
配置工具还包括上下文相关的帮助,这在大多数情况下都做得很好。在许多重要领域,术语没有定义,缺少必要的细节,因此需要额外的工作,但总的来说,当你需要帮助时,帮助就在那里——这是一个没有手册的产品的重要特性。
UAG使用提交模型进行配置更改,尽管没有版本控制或回滚功能。但是,当您提交更改(UAG中的“激活”)时,网关管理界面会处理对底层TMG配置的任何更改。在我们的测试过程中,提交步骤实际上很烦人,因为每个更改测试周期都需要大约2分钟的延迟(在一个非常轻松的多核HyperV服务器上)才能激活,这大大降低了周期。
监测和测井工具在我们的测试中显示了好坏参半的结果。UAG包括一个基于Web的监控工具,可以显示整个UAG网关的状态,包括相关事件日志消息。在正常运行期间,这可能就足够了。但是,调试和故障排除工具处理得很差。当我们尝试各种测试时,我们总是不知道为什么以及如何出现问题。当UAG工作正常时,你不在乎;当它无法正常工作时,您几乎无法了解发生了什么或为什么会出现问题。
我们在产品中发现了许多未完成的优势,例如门户定制和网络扩展管理,但遵循80/20规则,大多数网络经理会发现他们的配置和日常管理经验是直接和高效的。
令人印象深刻的互操作性
SSL VPN最重要的部分之一是通过VPN将网页从原始服务器代理到最终用户的浏览器。网站上有大量的技术,包括Flash和Javascript,还有AJAX等技术,这一点每年都变得越来越困难。