远程安全走了多远?——2005年度SSL VPN网关公开比较测试报告(1)

来源：网络世界 作者：评测实验室 张峰 出处：Vlan9.com 2007-06-12 进入论坛

• 关 键 词：
• ipsec
• http
• 性能测试

下一页 1 2 3 

在VPN领域，SSL VPN无疑是个新贵，由于其与生俱来在远程安全连接方面的优势，近几年逐渐受到业界的追捧。总体来看，SSL VPN还没有达到厂商们期望的大规模应用，然而最近的种种迹象表明，SSL VPN正在进行一场轰轰烈烈的开辟新天地运动。

至于具体倚仗哪些优势，在整体性能、功能方面有哪些最新进展，本测试报告向读者一一道来。

一份最新研究表明近90%的企业利用VPN进行的内部网和外部网的连接都只是用来进行Internet访问和电子邮件通信，而这些应用都利用了一种更加简单的VPN技术——SSL VPN。基于SSL协议的VPN远程访问方案的确更加容易配置和管理，由于不需要客户端软件，网络配置成本比起目前主流的IPSec VPN要低很多，所以许多企业已经开始利用基于SSL加密协议的远程访问技术来实现VPN通信了。

SSL VPN是最近几年才逐步发展成熟的，但是当去年某些机构对其进行全面测试时，可以说并没有满足用户对其较高的期望。相反，许多基本的问题还没有解决好。时间过去一年多，目前该领域发展到了何种程度？在目前的市场上已经出现了一些厂商的产品与解决方案，它们的优劣都在哪里？与世界最先进的水平相比，多数SSL VPN设备的整体水平如何？带着这些问题，《网络世界》评测实验室组织了2005年度SSL VPN网关公开比较评测。

由于目前市场中的SSL VPN网关设备并不是特别多，此次评测并没有对参测设备进行详细划分级别。我们向所有主流SSL VPN设备厂商发出了邀请，最后有三家厂商接受邀请，送来参测设备并且顺利完成我们的所有测试内容，它们是深信服科技的Sinfor SSL VPN Express、Array Networks的SPX 5000和深圳数安的RAP 1000-X。其中，Array Networks的SPX 5000为千兆产品，其他两家产品为百兆设备。

我们还要特别感谢思博伦通信公司提供了Avalanche测试仪，安氏公司提供领信网络扫描软件。同时也对这些勇于参加此次SSL VPN网关公开比较评测的厂商表示赞赏。

● 性能测试——随着软硬件技术的进步，性能有大幅提高，满足企业要求绰绰有余；

● 安全测试——尽管在网络中处于防火墙之后，但是某些设备本身仍存在一定安全风险；

●功能测试——经过近一两年的发展，功能已经获得巨大突破，可以轻松应对用户复杂应用。

性能测试 用数据说话

        性能表现是所有网络设备极其重要的一个方面，也是我们此次测试的一个重点。SSL VPN网关设备的性能参数中，比较重要的几个是新建用户速率（setup/teardown速率）、最大并发用户数、邮件系统性能以及设备的实际吞吐量（Goodput）等。

setup/teardown速率

setup/teardown速率反映了设备每秒钟可以新建的用户数目，Array Networks的SPX 5000可以达到982个/秒，从我们以往测试服务器的经验来看，这一结果完全超过了一台高端PC Web服务器的极限，只有后台使用更高端服务器或者服务器集群才能提供如此高的性能；深信服的Sinfor SSL VPN Express结果为98个/秒，深圳数安的RAP 1000-X达到138.4个/秒，我们认为该数值也足以满足大型企业级用户的要求了。

最大并发用户数

         最大并发用户数反映设备同时提供服务的最大用户数目，读者需要注意，此数值并非使用SSL VPN设备的用户总数（很显然，并不是所有需要使用设备的用户都随时在线）。据称，Array Networks的SPX 5000 的最大并发用户数可以达到64000，我们测试结果为57063；深信服Sinfor SSL VPN Express为150，深圳数安RAP 1000-X为249。

OWA性能

        OWA（Outlook Web Access）性能反映的是设备在承载Outlook Web邮件系统的性能表现，由于邮件系统在SSL VPN的应用中占很大比例，而Outlook邮件系统又具有普遍意义，因此此项结果在用户使用邮件系统时有很大参考意义。Array Networks的SPX 5000测试结果为7237 会话/秒；深信服RAP 1000-X为207 会话/秒，深圳数安RAP 1000-X为396.45会话/秒。

DDoS攻击下的OWA性能

        DDoS攻击是网络中十分普遍的攻击类型，我们考察了SSL VPN设备在遭受DDoS攻击下的Web邮件系统应用的性能表现。从我们以往对各类安全设备进行测试经验来看，设备对攻击的防范能力不容小视，有些防范能力较差的设备在攻击面前束手无策，很容易造成设备工作不正常。从我们的测试结果来看，所有参测设备在攻击下的性能都有小幅下降，Array Networks的SPX 5000测试结果为7030会话/秒，下降大约2.86％；深信服Sinfor SSL VPN Express为203会话/秒，下降大约1.93％，深圳数安RAP 1000-X为395.78会话/秒，下降幅度最低，仅为0.17％。

Goodput

         按照RFC 2647的定义，我们测试了被测设备最大HTTP实际吞吐量（Goodput)。在我们的测试环境下的结果是，作为千兆设备的Array Networks SPX 5000为160.352Mbps，深信服Sinfor SSL VPN Express为34.199Mbps，深圳数安RAP 1000-X为29.864Mbps。需要说明的是，所有参测设备都没有提供数据压缩功能。

测试感言：性能已不是问题

从我们的测试结果来看，性能已经可以完全满足用户在远程安全连接方面的需求。

据我们了解，即便是最高端的用户，也很少会分配高达100Mbps的带宽给SSL VPN应用，再加上Internet网速受多方面影响，因此，从实际吞吐量角度，100Mbps是实际应用环境的极限，所有超过100Mbps的设备都无法充分展示拳脚。但是VPN设备可以提供数据压缩能力，即数据经过压缩后向外网发送，这可使用户更加有效地利用昂贵的带宽资源。从我们查到的资料来看，有些厂商在这方面的技术比较先进，数据压缩比例可以达到5:1，遗憾的是此次参测的三款产品都没有提供该功能，因此我们测试时并没有考察数据压缩时的性能表现。

从最大并发用户数角度来看，采取SSL VPN方式，按照惯例一般取1∶10的比例（如果1000个人都可能采取VPN方式，同一时间会有100个人利用VPN隧道），这一点用户在购买设备时也应该注意——在购买IPSec  VPN时，1000个用户需要购买1000个客户端许可证，而如果使用SSL VPN，则可以按照100个并发用户数购买。

用户在部署SSL VPN之前一定要对设备进行性能测试，一方面能够对设备的性能表现有确切掌握，另一方面可以根据实际网络应用环境进行合理购买。 更多请看Cisco与华为技术网（Vlan9.com）VPN技术、路由安全配置、SSL技术专题专题，或进入论坛讨论。