请选择 进入手机版 | 继续访问电脑版

上海秋寻实业

 找回密码
 立即注册
查看: 46|回复: 1

SSL VPN

[复制链接]

875

主题

1010

帖子

7245

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
7245
发表于 2018-1-11 23:19:56 | 显示全部楼层 |阅读模式

SSL VPN是解决远程用户访问敏感公司数据最简单最安全的解决技术。

SSL VPN的出现是为了解决IPSec VPN的固有缺点而出现的,SSL VPN继承了IPSec VPN的远程使用与内网使用体验一致、与应用无关的优点,避免了因有客户端而导致的使用维护不便、某些网络条件下无法接通、带来大量病毒和蠕虫的入侵、无法与企业现有认证服务器结合、无法审计等问题,从功能上有网络访问、网上应用程序、Windows文件共享、移动电子邮件、应用程序访问、传统主机、终端服务器等众多功能,可以提供C/S应用和B/S应用访问,并非只能解决web应用。这其中最为重要的是网络访问功能,SSL VPN的网络访问功能避免了IPSec VPN的缺点而又继承了IPSec VPN的优点。

SSL(Secure Sockets Layer)是由Netscape公司开发的一套Internet数据安全协议,当前版本为3.0。它已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。SSL协议可分为两层: SSL记录协议(SSL Record Protocol):它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。 SSL握手协议(SSL Handshake Protocol):它建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。

英文全称是“Virtual Private Network”,翻译过来就是“虚拟专用网络”。顾名思义,虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一,目前在交换机,防火墙设备或WINDOWS2000等软件里也都支持VPN功能,一句话,VPN的核心就是在利用公共网络建立虚拟私有网。
虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业??司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。下面我们结合本站有关思科及微软关于VPN方面的文章为大家介绍这方面的资讯,更多更丰富的相关方面内容我们将在以后日子里进行补充。
针对不同的用户要求,VPN有三种解决方案:远程访问虚拟网(Access VPN)、企业内部虚拟网(Intranet VPN)和企业扩展虚拟网(Extranet VPN),这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet(外部扩展)相对应。
目前很多单位都面临着这样的挑战:分公司、经销商、合作伙伴、客户和外地出差人员要求随时经过公用网访问公司的资源,这些资源包括:公司的内部资料、办公OA、ERP系统、CRM系统、项目管理系统等。现在很多公司通过使用IPSec VPN来保证公司总部和分支机构以及移动工作人员之间安全连接。
对于很多IPSec VPN用户来说,IPSec VPN的解决方案的高成本和复杂的结构是很头疼的。存在如下事实:在部署和使用软硬件客户端的时候,需要大量的评价、部署、培训、升级和支持,对于用户来说,这些无论是在经济上和技术上都是个很大的负担,将远程解决方案和昂贵的内部应用相集成,对任何IT专业人员来说都是严峻的挑战。由于受到以上IPSec VPN的限制,大量的企业都认为IPSec VPN是一个成本高、复杂程度高,甚至是一个无法实施的方案。为了保持竞争力,消除企业内部信息孤岛,很多公司需要在与企业相关的不同的组织和个人之间传递信息,所以很多公司需要找一种实施简便,不需改变现有网络结构,运营成本低的解决方案。

SSL VNP之SSL协议
SSL (Secure Socket Layer)安全套接层协议主要是使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性,它不能保证信息的不可抵赖性,主要适用于点对点之间的信息传输,常用Web Server方式。
安全套接层协议(SSL,Security Socket Layer)是网景(Netscape)公司提出的基于WEB应用的安全协议,它包括:服务器认证、客户认证(可选)、SSL链路上的数据完整性和SSL链路上的数据保密性。对于电子商务应用来说,使用SSL可保证信息的真实性、完整性和保密性。但由于SSL不对应用层的消息进行数字签名,因此不能提供交易的不可否认性,这是SSL在电子商务中使用的最大不足。有鉴于此,网景公司在从Communicator 4.04版开始的所有浏览器中引入了一种被称作"表单签名(Form Signing)"的功能,在电子商务中,可利用这一功能来对包含购买者的订购信息和付款指令的表单进行数字签名,从而保证交易信息的不可否认性。综上所述,在电子商务中采用单一的SSL协议来保证交易的安全是不够的,但采用"SSL+表单签名"模式能够为电子商务提供较好的安全性保证。
SSL VPN安全的协议以及功能
一、安全的协议
1、由于SSL VPN 采用了SSL(Security socket layer)协议,该协议是介于介于HTTP层及TCP层的安全协议。
2、通过SSL VPN是接入企业内部的应用,而不是企业的整个网络。如果是IPSEC的VPN网络,客户通过vpn是联入的整个企业网络。没有控制的联入整个企业的网络是非常危险的。
3、由于采用SSL 安全协议在网络中传输,所以gateway上的防火墙来讲,只需要打开有限的安全端口即可,不需要将所有对应应用的端口开放给公网用户,这样大大降低了整个网络被公网来的攻击的可能性。
4、数据加密的安全性有加密算法来保证,这个各家公司的算法可能都不一样,有标准的算法比如DES,3DES,RSA等等也有自己的加密算法。黑客想要窃听网络中的数据,就要能够解开这些加密算法后的数据包。
5、Session保护功能:现在所有的SSL VPN 基本上都能够做到这个功能,就是在会话停止一段时间以后自动停止会话,如果需要继续访问则要从新登陆,通过对Session的保护来起到数据被窃听后伪装访问的攻击;
二、产品起到的安全功能
1、 首先由于SSLVPN一般在GATEWAY上或者在防火墙后面,把企业内部需要被授权外部访问的内部应用注册到SSL VPN上,这样对于GATEWAY来讲,这需要开通443 这样的端口到SSL VPN即可,而不需要开通所有内部的应用的端口,如果有黑客发起攻击也只能到SSL VPN这里,攻击不到内部的实际应用。
2、 不改变防病毒策略:从另外一个角度来讲,如果您采用了IPSEC VPN的产品,当客户端有一台电脑通过VPN联入网络后,该网络的防病毒的策略将被彻底破坏,应为联入内部网络的电脑并不受原来公司的防病毒策略的保护,而ssl vpn 就没有这个问题,SSL VPN需要访问的数据是事先被允许的;
3、不改变防火墙策略:基本原理同防病毒。还是从IPSEC的角度来讲,如果当客户端有一台电脑通过VPN联入网络后,如果该电脑被黑客攻击安装了木马,这个电脑将成为攻击内部网络的跳板,而ssl vpn就没有这个问题。

企业SSL VPN产品纵览

随着SSL VPN应用的逐渐加温,越来越多的企业开始采纳SSL VPN的网络架构,来解决企业的远程访问需求。SSL VPN技术帮助用户通过标准的Web浏览器就可以访问重要的企业应用。这使得企业员工出差时不必再携带自己的笔记本电脑,仅仅通过一台接入了Internet的计算机就能访问企业资源,这为企业提高了效率也带来了方便。由于SSLVPN不像IPSec VPN那样要购买和维护远程客户端或软件,因而要比后者造价低很多。现在许多企业对于SSL VPN的需求非常强烈,而且未来这种企业网络安全需要还将持续增长。许多国际网络安全厂商正在对SSL VPN这种新型业务形态进行重点投资,取代目前的IPSec系列产品将成为一种趋势。
产品应用
SSL VPN网关位于企业网的边缘,介于企业服务器与远程用户之间,控制二者的通信。SSL VPN采用标准的安全套接层(SSL)对传输中的数据包进行加密,从而在应用层保护了数据的安全性。在不断扩展的互联网Web站点之间、无线热点和客户端间、远程办公室、酒店、传统交易大厅等场所,SSL VPN克服了IPSec VPN的不足,用户可以轻松实现安全易用、无需客户端安装且配置简单的远程访问,从而降低用户的总成本并增加远程用户的工作效率。而同样在这些地方,设置传统的IPSec VPN非常困难,甚至是不可能的,这是由于必须更改网络地址转换(NAT)和防火墙设置。
产品选购
对广大的用户来说要挑选一个明显的SSL VPN产品最爱比较困难,虽然有的SSL VPN产品表现一般,但是,多数SSL VPN产品是各有其优势。有的SSL VPN产品提供了一个成熟的应用层防火墙,有的SSL VPN产品提供了范围最为广泛的应用转换功能。SSL VPN产品是否最终令人满意,还取决于用户对自己需求的了解程度,适合自己的是最好的。
SSL VPN的发展主要是为了迎合用户在远程访问时能实现性价比的高要求。到目前为止,SSL VPN已经应用于各行各业,有企业用户,也有SOHO用户。用户在选购SSL VPN时,应根据自身特点和不同企业的业务规模,选择适合自己的SSL VPN产品。最好的选择,就是适合自己的。
一般,在选购SSL VPN产品时要注意以下几个问题:
具有强力的安全保障:首先是用户端接入的安全;其次是数据传输的安全;再次是内部资源的访问安全。
支持全面应用的连接。
使用操作性强,易于管理和维护。
运行要稳定,无网络中断。
不会因为处理SSL而降低了运行速率。
良好的综合性能和服务。
市面上的SSL VPN精品
目前,国内外的网络设备商都相继推出了自己SSL VPN产品,其中包括Cisco、华为、ArrayNetworks、F5等著名设备供应商。下面,我们罗列了目前市面上的主要的SSL VPN产品。
适用于大中型企业
 
Quidway SecPath 1000F 防火墙
Quidway SecPath 1000F防火墙是华为3Com公司开发的新一代专业防火墙设备, 支持SSL VPN,同时支持多种VPN业务可以作为大中型企业的内部防火墙设备,也可以作为中小企业的出口防火墙设备。
Quidway SecPath 1000F防火墙支持外部攻击防范、内网安全、流量监控、网页过滤、邮件过滤等功能,能够有效地保证网络的安全;采用aspf状态检测技术,可对连接过程和有害命令进行监测,并协同ACL完成动态包过滤;提供多种智能分析和管理手段,支持邮件告警,支持多种日志,提供网络管理监控,协助网络管理员完成网络的安全管理;支持AAA、NAT等技术,可以确保在开放的Internet上实现安全的、满足可靠质量要求的网络;支持多种VPN业务,如L2TP VPN、IPSec VPN、GRE VPN、华为动态VPN、SSL VPN等等,可以构建Internet、Intranet、Access等多种形式的VPN;提供基本的路由能力,支持RIP/OSPF/BGP/路由策略及策略路由;支持丰富的QoS特性,提供流量监管、流量整形及多种队列调度策略。
Quidway SecPath 1000F防火墙提供两个固定的10/100/1000M自适应GE口,支持光口和电口两种形式。提供一个MIM 扩展槽位,支持多功能接口模块热插拔,目前可选的接口模块有1FE/2FE/4FE/1GE/2GE/HDC六种。提供双电源冗余备份解决方案( AC+AC,DC+DC两种机型),提供机箱内部环境温度检测功能,并支持网管,可满足电信级产品的高可靠性要求。
Array SPX5000
Array SPX5000是全球领先的应用智能安全设备供应商Array Networks推出一款面向大型企业网络核心应用的产品设备:新一代SSL VPN远程安全接入产品。这款新品的推出,不仅标志着Array Networks产品性能的显著提升,更表明了Array Networks进一步巩固了在高端企业市场的领先地位。
Array SPX5000是面向大型企业和电信运营商核心业务/应用的新一代SSL VPN产品。它能保证企业客户在任何时间、任何地方,以任何接入设备,都可以通过Internet安全地访问企业的核心应用。由于其并发用户数达到64000个,250个VLAN(虚拟局域网)和128个虚拟门户;对于大型企业/电信网络来说,无论在安全保密、性能,还是在可扩展性方面,Array SPX5000的表现都非常优秀; Array SPX5000可向各大机构提供最强大的网络安全和Web应用优化功能,包括利用SSL VPN登录访问Web应用和传统应用、身份管理、应用层防火墙,以及基于Web的流量管理等等。值得一提的是Array SPX5000的反应速度要比以往的SSL VPN快近2倍,并且能够保持近千兆的线路速率进行SSL通讯传输。达到如此高的传输指标,对于SSL VPN产品来说还是第一次,这就意味着取代大型企业中以往所应用的IPSec VPN网关的日子不远了。
iGate SSL VPN 4.0
与同类产品相比,iGate4.0是目前市场上惟一一款集成双因素身份认证令牌的SSL VPN设备,iGate Pro集成应用了硬件SSL加速装置。新推出的iGate4.0与原有产品相比,提高了SSL接入能力,完全可以支持全网连接;简化了安装和管理,使原有Web用户界面变得更加简单易用;新增加了对PKI的支持能力和客户端策略检查功能, 具备了更高级别的安全性。此外,iGate4.0还增加了对基于Web的PDA或其他移动设备的支持能力。这次重大升级,使iGate在产品性能、易用性等方面都有了长足进步,并一跃成为目前市场中最具实力的SSL VPN产品。
iGate SSL VPN 4.0是一款基于SSL的移动远程访问设备,它通过Internet在远程访问双方建立安全通道,使移动用户可以轻松访问公司内部资源。适用于大型企业,政府部门 的采用。iGate可以通过多种方式确保信息的安全性,主要包括:
采用专用硬件对Web和非Web应用程序的通讯进行SSL加密。
采用硬件令牌和口令登录相结合的方式确保远程访问的合法性。
通过客户端完整性扫描确定远程访问环境的安全性,并相应调整对内部资源的访问权限。
会话结束后清除客户端临时文件,防止泄漏敏感数据。
集成现有用户数据库,按照角色集中管理和控制访问权限。
iGate作为惟一入口,有效隐藏内部信息,杜绝网络攻击。
丰富的访问控制和日志管理工具;全面支持PKI认证、无线设备和PDA等。
Cisco VPN 3000系列集中器
VPN 3000系列集中器是Cisco公司发布的一款SSL VPN产品,由通用的远程访问虚拟专网(VPN)平台和将高可用性、高性能和可扩展性与当今最先进的加密和认证技术结合在一起的客户机软件组成。利用Cisco VPN 3000集中器系列,客户可以充分发挥最新VPN技术的优势,极大地降低通信费用。特别是,该产品是业界唯一的能够提供现场可更换和客户可升级部件的可扩展平台。这些称为可扩展加密处理(SEP)模块的部件使用户可以轻松地增加容量和吞吐量。
Cisco客户可以在众多的VPN 3000集中器中选择最适合自己需求和应用的具体型号,这些型号支持各种企业客户,包括从只有不到100个远程访问用户的小公司到有多达10000名同时远程用户的大型机构。不论Cisco VPN 3000集中器的哪一种版本,都可以在不增加更多费用的情况下提供Cisco VPN客户机,并给予不受限制的安装许可证。Cisco VPN 3000集中器提供非冗余和冗余两种配置,允许客户构建最稳健、最可靠和经济高效的网络。另外,还提供高级路由功能,如OSPF、RIP和网络地址转换(NAT)。
UU200系列
UU200 iSTAR 系列产品中的发布单元(Publisher),它位于应用服务器子网络中。由于UU200对应用程序是透明的,因此可以将应用服务器所提供的各种服务、文件、甚至于子网络安全的发布出来。通过SSL协议以及end to end加密技术,使用者可以安全的使用Publisher所发布的服务。
UU200 iSTAR 系列产品主要特点:在应用层建立用户访问管理。对应用程序透明,能发布Web, Client/Server应用程序及文件共享。子网络虚拟接入(UURemote、UUSoft)为选项功能。UU200可以选择以Public IP进行连接配置,或是通过UUExchange/UUSwitch连接:此时的UU200可以使用Private IP进行连接配置。使用cluster技术,支持负载均衡。
UU200 iSTAR 系列产品适应有公共静态IP地址和没有公共静态IP地址的企业,后者需要连到UUExchange/UUSwitch。 适合大中型企业建立SSL VPN。

神獒L(SSL)系列VPN产品是北京巨龙数码自主研发的SSL VPN系统,无需安装客户端软件,只需通过浏览器(Browser)便可安全的访问企业内部受控资源,建立安全快速高效的VPN隧道,更好的实现用户端的安全控制及节约整体项目成本。神獒L系列VPN是基于数字证书和SSL技术实现的独立安全系统,无需改变应用系统的网络结构和应用模式,

SSL VPN设备选购五大注意事项
SSL VPN由于其强大的功能和实施的方便性应用越来越广泛,市场上的SSL VPN品牌也越来越多,如何选择适合自己的产品是需要用户仔细考虑的一个问题,本文从下面几个方面描述如何选择SSL VPN产品:
一 应用需求:
选择VPN是为了支持远程访问内部网络的应用,因此这一点也是最先需要考虑的一点,目前,大多数SSL VPN支持我们日常经常会用到的邮件系统、OA系统、CRM/ERP等等,但并不是所有的应用SSL VPN都能够提供支持,如动态端口的应用就只有部分SSL VPN能够提供支持。因此,在决定使用一款SSL VPN前一定要先确定是否能支持你的应用。
二 安全需求:
要构建一个安全的系统,不仅仅需要传输过程安全,还要提高系统安全性,以下几个方面是缺一不可的:
1 传输过程安全
传输的过程加密强度是确保内部数据不在传输过程中被黑客盗取的关键因素。传输过程加密强度越高,传输安全性就越有保障。目前,拥有128位加密以上的SSL VPN产品是比较适宜的,56位DES加密相对强度低,选择时需要特别注意。
2 用户身份验证
用户名加密码的验证方式安全性相对较低,除了用户名和密码外,能提供其他的双因素验证方式的产品更加具有优势,如支持PKI体系等?
3 客户端设备的安全性:
客户端设备是否安装了个人防火墙、防病毒软件等。如果客户端设备不够安全,比如有木马程序,那么系统依然存在安全隐患。目前部分SSL VPN能够提供客户端环境检测,比如检测客户端是否安装了防火墙和防病毒软件。
4 完成访问后,客户端需要清除客户端机器的缓存
在移动用户完成远程访问后,是否就万事大吉了呢?当然不是,黑客或不法分子可以通过拷贝、复制驻留在客户端缓冲区内数据盗取企业机密。
5 服务端的日志跟踪
SSL VPN服务器应该提供访问统计和跟踪功能,这样管理员能够根据日志随时掌握系统访问情况。
对于以上这些安全特性,SafeNet iGate SSL VPN均能够提供支持。
1.SafeNet iGate 使用高强度的128位加密技术。
2.对于远程移动用户,iGate能够结合PKI体系以及本地活动目录,值得一提的是,SafeNet独有的iKey双因素身份认证USB Key与iGate SSL VPN完美结合,充分实现安全的双因素身份验证功能。
3.SafeNet iGate支持客户端环境检测功能,SafeNet iGate能够设定访问策略,当客户端不符合某个条件时,系统将禁止用户登陆。
4.为此,SafeNet iGate在用户离线后可自动清除用户缓冲区的内容。另外,在拔除iKey后,访问也会自动中断。
5.SafeNet iGate在用户界面上集成了日期查询功能,能够非常方便的进行日志跟踪。
三 易于管理和维护,使用操作性
SSL VPN的突出优势之一就在于移动性强、易用性强。但这些特性往往会增加管理难度。因此用户在选购SSL VPN时要重点考虑产品的管理性能。产品要做到界面简单,使用方便,灵活、细致地设置访问权限,采用基于用户/组/角色的认证机制,每个文件、网址或应用都可进行单独设置,使访问控制更易于管理。
SafeNet iGate 提供两个Web方式的管理UI,一个是Simple-UI,一个是Classic-UI,把常用的设置和不常用的设置分别开来,这样大大降低了管理维护的复杂性。
四 性能
由于是集中系统,SSL加速决定整个网络的吞吐量。如果SSL加速跟不上,远程接入就会比实际的Internet接入带宽低很多。有的SSL VPN产品采用专门的SSL加速硬件,从而提高了VPN的响应速度。另外,通过数据压缩技术,还对所有的传输数据进行压缩后再进行传输,这样就提高了整个网络的运行效率和实用性。
SafeNet iGate配置硬件SSL加速卡,能够大大提高访问速度,另外iGate 还提供数据压缩功能,能够大大增加网络吞吐量。
五 服务
除了上面提到的几点外,具有良好服务也至关重要。SSL VPN还是一个在不断发展的技术,更新的可能会比较快,提供SSL VPN的厂家是否具有良好的产品服务质量、渠道响应速度和本地支持能力也非常重要。比如承诺免费或低费用升级,等等。
结束语
SSL VPN的发展迎合了用户对低成本、高性价比远程访问的需求。现在,它已经广泛应用于各行各业。选购SSL VPN时,用户还要根据自身特点和不同的业务模式,选择适合自己的SSL VPN产品,再次强调,VPN是正在发展的技术,更新换代可能会比较快,因此用户在选购时可以少考虑一些扩展性,多注重产品的实用性。毕竟,只有适合自己的,才是最理想的选择。

SSL VPN 技术现状/SSL VPN 编辑
最近SSL VPN的市场突飞猛进,各种媒体上相关SSL VPN的文章也很多,但是目前存在很多的关于SSL VPN的误区,随便在网上搜索就可以看到很多错误的说法:
1. SSL VPN和IPSec VPN各有优缺点,SSL VPN只能适用于web应用;
2. XX国内厂商推出了廉价集IPSec VPN与SSL VPN于一体的设备,必将大大促进VPN的市场推广;
3. 经过使用Spirent Avalanche测试,XX厂家的SSL VPN产品的TPS(每秒新建用户数)达到了1300, 最大在线用户数可以达到64’000个,完全可以适用大型的商业应用。
这就引入了几个问题:
1. 究竟SSL VPN有哪些功能?是否只能解决web应用?
2. 什么才是一个真正的SSL VPN产品?怎样区别市场上林林总总的号称的SSL VPN产品?
3. 如何衡量SSL VPN产品的性能?
下面逐个回答问题:
1 究竟SSL VPN有哪些功能?是否只能解决web应用?
SSL VPN的出现是为了解决IPSec VPN的固有缺点而出现的,SSL VPN继承了IPSec VPN的远程使用与内网使用体验一致、与应用无关的优点,避免了因有客户端而导致的使用维护不便、某些网络条件下无法接通、带来大量病毒和蠕虫的入侵、无法与企业现有认证服务器结合、无法审计等问题,从功能上有网络访问、网上应用程序、Windows文件共享、移动电子邮件、应用程序访问、传统主机、终端服务器等众多功能,可以提供C/S应用和B/S应用访问,并非只能解决web应用。这其中最为重要的是网络访问功能,SSL VPN的网络访问功能避免了IPSec VPN的缺点而又继承了IPSec VPN的优点。
2 什么才是一个真正的SSL VPN产品?怎样区别市场上林林总总的号称的SSL VPN产品?
现在有很多厂商声称自己的产品是SSL VPN,或者说融合了IPSec VPN和SSL VPN的功能,实际上大部分的厂商只是实现了SSL VPN中的网上应用程序,也就是Web反向代理的功能,某国内厂商大肆宣称的集IPSec VPN与SSL VPN于一体的设备也只是在原有的IPSec VPN的设备上加了一个Web反向代理的功能而已,根本不能称之为真正的SSL VPN产品。那么什么才是一个真正的SSL VPN产品?
前文说到SSL VPN从功能上说有网络访问、网上应用程序、Windows文件共享、移动电子邮件、应用程序访问、传统主机、终端服务器等众多功能,其中网络访问是SSL VPN最为重要和标志性的功能,只有具备了网络访问这个看似IPSec VPN而又从根本上解决了IPSec VPN缺陷的功能才称得上是一款真正的SSL VPN产品。当然为了安全性考虑的终端安全检查和审计、与企业认证服务器的结合等功能也是一款优秀SSL VPN的必备功能。
www.vpnc.org中有通过该组织认证的SSL VPN厂商列表,也可以说,只有在这儿能够查到的SSL VPN厂商的产品,才是真正的SSL VPN产品。
3 如何衡量SSL VPN产品的性能?
谈到SSL VPN产品的性能,首先要区分的是SSL Server和SSL VPN,SSL Server相当于SSL VPN中的反向代理功能,二者的要求是不一样的,SSL Server面对的是业务系统,如电子商务网站、网上银行等等,它强调的是性能,目前国内可见的SSL Server产品性能可达20000TPS和4百万同时在线用户数;而SSL VPN面向的是远程接入即管理系统,它强调的是易于使用和管理、安全性等等,一个SSL VPN用户的登录包括SSL握手、认证、授权、记录日志等过程,其中认证、授权、记录日志所耗费的时间远远高于SSL握手,不可能达到SSL Server那样高的性能,如果需要非常高的性能,要使用多台SSL VPN堆叠来实现。
Spirent Avalanche是一款优秀的基于Web应用的测试仪器,但只适用于测试SSL Server性能,不适用于测试SSL VPN的性能,某厂商的设备集合了SSL Server 和SSL VPN的功能,虽然SSL Server的性能在业界根本不入流,但显然会高于SSL VPN的性能。该厂商利用大家对于SSL Server和SSL VPN之间认识的混淆,到处宣称使用Spirent Avalanche测试证明自己的SSL VPN具有很高的性能,实际上从测试过程可以发现,测试的只是其中SSL Server的性能。
SSL VPN的性能测试,因为涉及建立VPN隧道,非常复杂,只能使用业界某些测试软件如LoadRunner 加上厂家自己的动态库来实现,只能在厂家自己的测试实验室来做,试图用某种测试仪器来统一测试所有厂家的SSL VPN性能是行不通的,所以只能参考各个厂家自己提供的性能,当然,要区分大的上市企业公布的真实的性能指标的和某些小企业不负责任的信口胡言。

SSL VPN的发展前景分析
SSL VPN的出现,使得原来基于IP安全的IPSec VPN厂商不得不重新思考它们的产品方略。我们知道基于IP安全协议的IPSec VPN已经占领了很大一部分市场,成为VPN市场的主流。但是随着SSL VPN技术的出现,基于IP协议的IPSec VPN正经受着一场前所未有的考验。但是不是SSL VPN会取代现有的IPSec VPN成为主流呢?
虽然SSL VPN有许多相对IPSec VPN的优点,但这些对于主流应用VPN的客户--大、中型企业来说这些优点就显得不是很重要了。
据有关网络安全专家认为这就目前的SSL VPN技术来讲是不可能的。主要体现在目前的SSL VPN应用非常有限,仅适用于基于Web的应用。SSL的支持者认为,当企业工作人员需要远程访问Web应用如电子邮件或者接入企业内网的时(因为SSL可以绕过防火墙和代理服务器)才应用,SSL只不过是一种更低廉而且更容易部署的选择而已。况且目前,传统的IPSec VPN厂商为了满足这部分用户的需求,正在匆忙地为其产品增加SSL性能,这样只能单独提供SSL性能的VPN产品就可能大受冷落了。
市场研究家们预计在今后几年中,SSL VPN设备的全球销售将会出现持续增长,但同时也表明IPSec VPN设备不会因SSL VPN设备的增长而受到大的影响,相反也会技术快速增长,因为整个VPN市场将在近几来得到极快的增长。Infonetics研究公司预测,SSL VPN市场将会从2002年的5600万美元增长到2005年的8.4亿美元。IPSec VPN设备也将从2002年的15亿美元增长到2005年的25亿美元。
随着基于Web的应用越来越多,以及远程接入需求的增长,SSL可能会成为一个热门市场,成为传统IPSec VPN设备厂商需要考虑的一个发展方向。 Check Point公司就曾于去年7月发布过一款SSL VPN产品,它认为SSL对于需要通过Extranet与业务合作伙伴交换数据但又不想安装VPN客户端的企业来说非常理想。其他IPSec VPN厂商像北电网络和SonicWall都持此观点。北电网络于去年9月发布了Alteon SSL设备;SonicWall则在两年以前收购Phobos的时候就开始提供SSL产品了。
其他IPSec VPN支持者,如赛门铁克,正在计划如何将SSL安全技术集成进它的产品中。另外一些小厂商,如Aspelle、air gap、Aventail、Neoteris和Whale等通信公司都已经意识到SSL VPN市场需求增长。
有些企业客户认为需要同时拥有SSL和IPSec VPN。他们想为部分数量有限的员工提供IPSec VPN连接(如采用Cisco的VPN设备),因为他们需要访问企业的生产系统和其他非Web应用。但同时,也为大多数员工提供SSL VPN(如使用Whale的e-Gap远程接入产品)的远程接入,可供其接入Intranet和电子邮箱。
Whale公司的SSL产品只需运行在该企业数据中心的一台服务器上。利用这种无客户端接入方式,企业就能够提供安全的连接,而不需要改写上万台最终用户设备上的程序。
如目前纽约的德勤咨询公司就在混合使用SSL和IPSec VPN。该公司的大多数员工都可以通过SSL VPN(Aventail产品)接入企业网络,少数员工则通过IPSec VPN(北电网络产品)接入,因为这些员工需要访问运行在该企业4个数据中心中的应用。 德勤的CIO Larry Quinlan就很喜欢SSL VPN,因为它具有可穿越防火墙而不必重新配置防火墙的性能。他说,“这很重要,因为安全部门不必着急去重新配置防火墙了。” Quinlan认为,SSL的缺陷在于只能访问Web应用。但IPSec也有其缺陷,因为它不容易穿越防火墙,所以当移动工作人员需要在旅店或分支办公地点接入企业网时就难以实现。
因为SSL只能用于Web应用,让一些用户有所退避。芝加哥的一家个人服务公司Divine就主要采用了NetScreen公司的IPSec VPN,因为它的很多远程工作人员都是咨询师,需要访问企业众多的应用程序,不可能只限定在Web应用上。 Divine的网络服务部经理Chuck Horvat说,他们还没有发现需要使用SSL VPN的理由。不过,该公司也有一个Web应用前端和内置的SSL加密。远程工作人员通过身份认证和口令可获得访问公司邮箱和目录的权限。
Horvat说,“对我们来说,拥有IPSec VPN管道是最好的,因为我们的人有很多应用需要访问。他们可以通过SSL获得电子邮件,但大多数人需要的应用都不是电子邮件。虽然有另外一种选择是很不错,但每个人的需求是非常不同的。”
所以,虽然目前有很多人都认为SSL VPN将会取代IPSec VPN,但大多数工业观察家却认为这两种VPN将会共存,因为两者的市场空间都不小,而且可以相互补充。
从以上的分析我们可以看到SSL VPN在未来几年中的发展前景,但是更多的专家们认为,目前处于竞争的IPSec VPN与SSL VPN将很快走向结合。因为它们都有各自的优点,而且各自的缺点又不是能通过自身的技术可以克服的。

您可以转发此内容到以上好友圈中



回复

使用道具 举报

875

主题

1010

帖子

7245

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
7245
 楼主| 发表于 2018-1-11 23:25:10 | 显示全部楼层
定义:吞吐量是指在没有帧丢失的情况下,设备能够接受并转发的最大数据速率。


  相关知识:


  1、吞吐量的大小主要由网络设备的内外网口硬件,及程序算法的效率决定,尤其是程序算法,对于象防火墙系统这样需要进行大量运算的设备来说,算法的低效率会使通信量大打折扣。因此,大多数防火墙虽号称100M防火墙,由于其算法依靠软件实现,通信量远远没有达到100M,实际只有10M-20M。纯硬件防火墙,由于采用硬件进行运算,因此吞吐量可以接近线速,达到90-95M,是真正的100M防火墙。


  2、吞吐量和报文转发率是关系网络设备应用的主要指标,一般采用FDT(Full Duplex Throughput)来衡量,指64字节数据包的全双工吞吐量,该指标既包括吞吐量指标也涵盖了报文转发率指标。


  3、吞吐量的测试方法是:在测试中以一定速率发送一定数量的帧,并计算待测设备传输的帧,如果发送的帧与接收的帧数量相等,那么就将发送速率提高并重新测试;如果接收帧少于发送帧则降低发送速率重新测试,直至得出最终结果。吞吐量测试结果以比特/秒或字节/秒表示。


  概念区别:


  吞吐量与带宽的区分:吞吐量和带宽是很容易搞混的一个词,两者的单位都是Mbps.先让我们来看两者对应的英语,吞吐量:throughput ; 带宽: Max net bitrate 。当我们讨论通信链路的带宽时,一般是指链路上每秒所能传送的比特数,它取决于链路时钟速率和信道编码在计算机网络中又称为线速。我们可以说以太网的带宽是10Mbps。但是,我们需要区分链路上的可用带宽(带宽)与实际链路中每秒所能传送的比特数(吞吐量)。我们倾向于用“吞吐量”一次来表示一个系统的测试性能。这样,因为实现受各种低效率因素的影响,所以由一段带宽为10Mbps的链路连接的一对节点可能只达到2Mbps的吞吐量。这样就意味着,一个主机上的应用能够以2Mbps的速度向另外的一个主机发送数据。






1引言
     随着互联网在人们的生活、学习、工作中的应用越来越广泛,网络安全问题受到大家越来越多的重视,互联网面临的威胁主要来自于黑客攻击、管理欠缺、网络本身固有的缺陷、应用软件的漏洞以及后门等等。在网络中通信的双方通过不安全的媒介进行通信,必须从以下几个方面保证来保证通信的安全。


    (1)秘密性:只有发送者和接收者可以理解所传递的消息的内容。


    (2)身份认证:进行通信的双方——发送者和接收者——都需要确认彼此的身份,也就是确认对方真正是所宣称的那个人。


    (3)消息完整性:发送者和接收者需要同时确信通信的内容在传输过程中没有被恶意或者无意更改。


    实现网络安全的方法有很多,本文主要介绍SSLVPN的相关实现技术及测试方法,重点介绍使用IXIA公司的IXIA400T自动化测试仪表对我们自主研发的SSLVPN安全网关的性能测试。


    2SSLVPN实现技术


    SSLVPN一般的实现方式是在企业的防火墙后面,被保护服务器(服务器群)前面放置一个SSL代理服务器。如果用户希望安全地连接到公司网络上,那么当用户在浏览器上输入一个URL后,连接将被SSL代理服务器取得,并验证该用户的身份,通过身份验证后SSL代理服务器将提供一个远程用户与各种不同的应用服务器之间连接。SSLVPN的主要实现技术有代理、应用转换、端口转发和网络扩展。


    (1)代理Proxying:SSLVPN网关将来自远端浏览器的页面请求(采用HTTPS协议)转发给Web服务器,然后将服务器的响应回传给终端用户。


    (2)应用转换ApplicationTranslation:对于非Web页面的文件访问,往往借助于应用转换。SSLVPN网关与企业网内部的微软CIFS或FTP服务器通信,将这些服务器对客户端的响应转化为HTTPS协议和HTML格式发往客户端。


    (3)端口转发PortForwarding:端口转发用于端口定义明确的应用。它需要在终端系统上运行一个非常小的Java或ActiveX程序作为端口转发器,监听某个端口上的连接。当数据包进入这个端口时,它们通过SSL连接中的隧道被传送到SSLVPN网关,SSLVPN网关解开封装的数据包,将它们转发给目的应用服务器。使用端口转发器,需要终端用户指向他希望运行的本地应用程序,而不必指向真正的应用服务器。


    (4)网络扩展NetworkExtension:SSLVPN网关还可以帮助企业实现网络扩展。它将终端用户连接到企业网,并根据网络层信息(如目的IP地址和端口号)进行接入控制。虽然牺牲了高级别的安全性,却也换来了复杂拓扑结构下网络管理简单的好处。


    3SSLVPN性能测试


    全面考察SSLVPN安全网关需要从产品的功能、易用性、稳定性、安全性以及性能5大方面来进行测试。在对我们的SSLVPN安全网关实施性能测试时,我们选择了IXIA公司的IXIA400T自动化测试仪表,IXIA测试仪表具有综合性强、功能多的特点,接口模块可以根据需要进行自主选择,在SSLVPN安全网关的性能测试中我们选用了应用层负载模块ALM1000T8,ALM1000T8是运行四到七层应用软件的专用接口模块,针对状态基的运行做了优化处理,具有很高的测试性能。在ALM接口模块上,有8个高密度排列的RISC处理器,每个处理器具有独立的操作系统、存储器和网络接口。这种独特的结构,有利于高效灵活地测试负载均衡设备、防火墙、服务器、邮件网关、入侵检测、内容交换机等设备及其网络的安全性能。软件模块选用IxLoad,IxLoad支持丰富的SSL协议功能,运行IxLoad模拟基于Web的业务流,对SSL VPN安全网关的性能进行测试。


    根据目前业界比较认可的SSLVPN性能指标并结合自身产品的特点,我们选取5项性能指标进行测试,即新建连接速率、最大并发连接数、加密吞吐量、网络延迟和双机切换效率。在测试中每个项目至少进行3次测试,计算出平均值作为最后结果。


    3.1性能测试拓扑图




     3.2性能指标及实战


    (1)新建连接速率


    ●指标含义:新建连接速率是指SSLVPN每秒可以新建立的用户连接数目,也称会话速率,即每秒可以建立和终止的SSL会话数目(会话可以理解为客户端到网关的一次连接,即浏览器的一次Web页面访问)。该参数主要考察被测设备单位时间内的处理会话能力。


    ●测试过程:IXIA400T模拟客户端和服务器,将被测设备设置为中间设备。模拟的客户端和服务器建立TCP连接,在此连接上进行SSL会话协商,建立SSL会话后,客户端通过被测设备从服务器下载1024bit/s的页面(注意页面大小可以灵活设置,但必须以不会因为数据量过大而造成系统I/O过载为前提条件,因此应该尽量采用小页面),当成功接收完数据之后,关闭SSL会话,关闭TCP连接。此会话过程包含了SSL协议中的非对称加密过程(协商)和对称加密过程(传输数据)。我们取被测设备负载稳定期的平均新建用户率作为测试结果。


    ●影响因素:影响此项值的因素有很多,例如是否有SSL硬件加速卡,是否控制速率上限以确保CPU资源有盈余、加密算法实现所用的语言、算法模块调度等。


    ●实战:Ixload为我们提供了很多有用的测试案例,我们可以从中选择比较适合自己的,再根据自身需要调整相应的参数。我们可以根据需要采用接口模块的多个端口进行组合,以提高模拟客户端和服务器的性能。


    a.测试时使用512bit/s或者1024bit/s的证书,请注意证书的长度将直接影响SSL的加解密速度,对产品性能的测试结果会产生较大的影响。


    b.加密算法:RC4-MD5。


    c.负载模式:Connections/Second。


    d.协议:Http1.0。


    e.页面大小:1024bit/s(或者64bit/s)。


    f.客户端网络:模拟地址范围。


    g.服务器网络:模拟地址。


    h.负载压力:由于IxLoad自动化测试工具具有自动加压、自动保持连接等特点,即它会自动调整负载压力值测得被测设备的性能,同时不用配置服务器的响应Latency或客户端的ThinkTime,这些特点使得性能测试简单、有效。在测试中我们采用逐步加压的方式进行,在20s内将压力从0上升到最高值,并在最高值维持180s,然后再用20s的时间将压力减为0。


    i.数据获取:在维持180s的中间60s,我们计算该时间段内的平均速率,作为新建连接速率。


    ●结果分析


    a.在客户端状态中观察到新建连接速率值达不到预期值,并且在想办法提高硬件配置的情况下也始终维持在一个较小的恒定值。这种情况有可能是软件设计者出于对产品提供稳定性能的考量,对用户数目做出了限制,只能达到某个设定值。


    b.在客户端状态中观察到HTTP、TCP的速率始终非常低。这种情况下先检查CPU和MEM的消耗情况,如果是系统本身的进程消耗较大,则有可能是系统硬件配置造成的瓶颈,需要加大CPU和MEM;如果是产品本身的软件进程造成的消耗过大,则需要软件设计者改进设计,提高代码质量,以提高连接速率和连接质量,以确保更多的用户能够同时使用高质量的SSLVPN服务。


    c.在客户端状态中观察到HTTP、TCP的速率在达到一个较高值后突然急剧下降至0。出现这种情况首先考虑系统是否崩溃;如果不是则查看系统的CPU和MEM的消耗是否过大;还有一种情况就是由于数据量大,连接跟踪表被写满,网络通道被堵死,导致数据包被大量丢弃。


    (2)最大并发连接数


    ●指标含义:最大并发连接数是指同时通过SSLVPN来访问内部网的最大连接数目。该参数主要考察被测设备的会话处理容量,即在同一时间所能保持的会话连接数目,这个数值通常是几百到几千,不过同时在线的用户数越多,每位用户所感受到的速度就会越慢。


    ●测试过程:IXIA400T模拟客户端,与被测设备建立SSL会话。在此惟一的会话上,发送多条通过被测设备从IXIA400T模拟的服务器下载1024bit/s大小页面的指令。我们取负载稳定期的平均并发连接数作为测试结果。


    ●影响因素:影响此项值最关键因素是会话队列存储空间的大小,即内存的大小,还有是否开辟缓冲空间做预处理(即保持连接状态,但是其请求暂时不作处理),其他影响因素有下载的页面大小,SSLVPN使用的证书位数等。


    ●实战


    a.测试时使用512bit/s或者1024bit/s的证书。


    b.加密算法:RC4-MD5。


    c.负载模式:ConcurrentConnection。


    d.协议:Http1.0。


    e.页面大小:1024bit/s(或者64bit/s)。


    f.客户端网络:模拟地址范围。


    g.服务器网络:模拟地址。


    h.负载压力:在测试中我们采用逐步加压的方式进行,在20s内将压力从0上升到最高值,并在最高值维持180s,然后再用20s的时间将压力减为0。


    i.数据获取:从测试结果中找到ConcurrentConnection的最大稳定值,作为最大并发连接数。


    ●结果分析


    a.重复同样的测试3次,发现客户端成功请求的次数在不断降低。这种情况需要检查连接跟踪表是否已经被写满,造成网络堵塞;或者内存和CPU消耗多大,造成产品性能下降。


    b.尝试增加内存数量,修改连接跟踪表的最大限制值,检测最大并发连接数是否会有相应的增加。


    (3)加密吞吐量


    ●指标含义:此项指标主要评估SSLVPN在应用层的吞吐量,此项值越大,表示该设备在单位时间内的数据转发能力越强。


    ●测试过程:IXIA400T模拟客户端行为,首先与被测设备建立SSL会话。在此惟一的会话上,从IXIA400T模拟的服务器上下载1024kbit/s的页面,我们取IXIA400T模拟的服务器端发送数据的平均速率作为测试结果。


    ●影响因素:影响此项值的一个很大因素是对称加密算法实现的效率,如果实际传输的数据仅仅是HTTP的大数据报内容,那么吞吐量应该能接近100%,由于有加密运算,所以实际吞吐量值会受到很大的影响。


    ●实战:


    a.测试时使用512bit/s或者1024bit/s的证书,请注意证书的长度将直接影响SSL的加解密速度,对产品性能的测试结果会产生较大的影响。


    b.加密算法:RC4-MD5。


    c.负载模式:Throughput(MBps),请注意这里的单位为MBps,换算成Mbps需要将测试结果乘以8。


    d.协议:Http1.0。


    e.页面大小:1024kbit/s。


    f.客户端网络:模拟地址范围。


    g.服务器网络:模拟地址。


    h.负载压力:在测试中我们采用逐步加压的方式进行,在20s内将压力从0上升到最高值,并在最高值维持180s,然后再用20s的时间将压力减为0。


    i.数据获取:从测试结果的Excel中找到在维持180s阶段的中间60s双向的数据量平均值之和,将此值作为设备的实际吞吐量。


    ●结果分析


    a.尝试使用不同的加密算法进行测试,检测不同的加密算法对吞吐量的影响力。


    b.测试过程中检查CPU的使用情况,检测是否因为SSL加解密,对CPU消耗过大(CPU使用率超过70%以上)造成产品性能受到很大影响。


    (4)网络延迟


    指标含义:网络延迟是指从用户向SSLVPN发起访问请求开始,到成功从后台服务器拿到第一位数据的时间间隔。由于在不同负载下其数值会发生变化,所以我们取最大新建连接速率测试中的平均网络延迟作为测试结果。


    (5)双机切换效率


    指标含义:双机切换效率是指当主SSLVPN设备发生故障到从SSLVPN设备发现主设备故障并接管其服务的时间间隔。在主从SSLVPN设备上设置定时工作表——可导致设备切换工作状态,计算切换时间的平均值作为测试结果。


    SSLVPN产品的性能测试指标并不仅仅只有以上五种,测试人员可以根据实际需要对测试项目进行适当的调整,以协助软件开发人员找出系统瓶颈,进一步提升产品性能。


    4结束语


    SSLVPN产品作为一个新技术产品,其发展和成熟仍在不断进行之中,也许在不久的将来也会形成如同IPSec一般成熟的安全技术,我们在SSLVPN产品方面的测试技术也必将与时俱进,发展得更加成熟和完善。














最大连接数:
 和吞吐量一样,数字越大越好。但是最大连接数更贴近实际网络情况,网络中大多数连接是指所建立的一个虚拟通道。防火墙对每个连接的处理也好耗费资源,因此最大连接数成为考验防火墙这方面能力的指标。


  要分几种情况:(以100M空间50人在线为例)


  1、用户单点下载你的文件,结束后正常断开,这些连接是按照瞬间计算的,就是说你50人的网站瞬间可以接受同时50个点下载


  2、用户打开你的页面,就算停留在页面没有对服务器发出任何请求,那么在用户打开一面以后的15分钟内也都要算一个在线,就是说你50人的网站15分钟内可以接受不同用户打开50个页面


  3、上面的情况用户继续打开同一个网站的其他页面,那么在线人数按照用户最后一次点击(发出请求)以后的15分钟计算,在这个15分钟内不管用户怎么点击(包括新窗口打开)都还是一人在线。


  4、当你的页面内存在框架(Iframe),那么每多一个框架就要多一倍的在线!因为这相当于用户同一时间向服务器请求了多个页面。


  5、当用户打开页面然后正常关闭浏览器,用户的在线人数也会马上清除






主要参考以下3种性能指标:
1.整机吞吐量:指防火墙在状态检测机制下能够处理一定包长数据的最大转发能力,业界默认一般都采用大包衡量防火墙对报文的处理能力。
2.最大并发连接数:由于防火墙是针对连接进行处理报文的,并发连接数目是指的防火墙可以同时容纳的最大的连接数目,一个连接就是一个TCP/UDP的访问。
3.每秒新建连接数:指每秒钟可以通过防火墙建立起来的完整TCP/UDP连接。该指标主要用来衡量防火墙在处理过程中对报文连接的处理速度,如果该指标低会造成用户明显感觉上网速度慢,在用户量较大的情况下容易造成防火墙处理能力急剧下降,并且会造成防火墙对网络攻击防范能力差。


性能测试用数据说话
性能表现是所有网络设备极其重要的一个方面,也是我们此次测试的一个重点。SSLVPN网关设备的性能参数中,比较重要的几个是新建用户速率(setup/teardown速率)、最大并发用户数、邮件系统性能以及设备的实际吞吐量(Goodput)等。
setup/teardown速率
setup/teardown速率反映了设备每秒钟可以新建的用户数目,ArrayNetworks的SPX5000可以达到982个/秒,从我们以往测试服务器的经验来看,这一结果完全超过了一台高端PCWeb服务器的极限,只有后台使用更高端服务器或者服务器集群才能提供如此高的性能;深信服的SinforSSLVPNExpress结果为98个/秒,深圳数安的RAP1000-X达到138.4个/秒,我们认为该数值也足以满足大型企业级用户的要求了。
最大并发用户数
最 大并发用户数反映设备同时提供服务的最大用户数目,读者需要注意,此数值并非使用SSLVPN设备的用户总数(很显然,并不是所有需要使用设备的用户都随 时在线)。据称,ArrayNetworks的SPX5000的最大并发用户数可以达到64000,我们测试结果为57063;深信服 SinforSSLVPNExpress为150,深圳数安RAP1000-X为249。
OWA性能
OWA(OutlookWebAccess) 性能反映的是设备在承载OutlookWeb邮件系统的性能表现,由于邮件系统在SSLVPN的应用中占很大比例,而Outlook邮件系统又具有普遍意 义,因此此项结果在用户使用邮件系统时有很大参考意义。ArrayNetworks的SPX5000测试结果为7237会话/秒;深信服RAP1000- X为207会话/秒,深圳数安RAP1000-X为396.45会话/秒。
DDoS攻击下的OWA性能
DDoS攻击是网络中十分普遍的攻击类型,我们考察了SSLVPN设备在遭受DDoS攻击下的Web邮件系统应用的性能表现。从我们以往对各类安全设备进行测试经验来看,设备对攻击的防范能 力不容小视,有些防范能力较差的设备在攻击面前束手无策,很容易造成设备工作不正常。从我们的测试结果来看,所有参测设备在攻击下的性能都有小幅下 降,ArrayNetworks的SPX5000测试结果为7030会话/秒,下降大约2.86%;深信服SinforSSLVPNExpress为 203会话/秒,下降大约1.93%,深圳数安RAP1000-X为395.78会话/秒,下降幅度最低,仅为0.17%。
Goodput
按 照RFC2647的定义,我们测试了被测设备最大HTTP实际吞吐量(Goodput)。在我们的测试环境下的结果是,作为千兆设备的 ArrayNetworksSPX5000为160.352Mbps,深信服SinforSSLVPNExpress为34.199Mbps,深圳数安 RAP1000-X为29.864Mbps。需要说明的是,所有参测设备都没有提供数据压缩功能。
测试感言:性能已不是问题
从我们的测试结果来看,性能已经可以完全满足用户在远程安全连接方面的需求。
据 我们了解,即便是最高端的用户,也很少会分配高达100Mbps的带宽给SSLVPN应用,再加上Internet网速受多方面影响,因此,从实际吞吐量 角度,100Mbps是实际应用环境的极限,所有超过100Mbps的设备都无法充分展示拳脚。但是VPN设备可以提供数据压缩能力,即数据经过压缩后向 外网发送,这可使用户更加有效地利用昂贵的带宽资源。从我们查到的资料来看,有些厂商在这方面的技术比较先进,数据压缩比例可以达到5:1,遗憾的是此次 参测的三款产品都没有提供该功能,因此我们测试时并没有考察数据压缩时的性能表现。
从最大并发用户数角度来看,采取SSLVPN方式,按照惯例一 般取1∶10的比例(如果1000个人都可能采取VPN方式,同一时间会有100个人利用VPN隧道),这一点用户在购买设备时也应该注意——在购买 IPSecVPN时,1000个用户需要购买1000个客户端许可证,而如果使用SSLVPN,则可以按照100个并发用户数购买。
用户在部署SSLVPN之前一定要对设备进行性能测试,一方面能够对设备的性能表现有确切掌握,另一方面可以根据实际网络应用环境进行合理购买。






评测SSL VPN我们曾经在以前的文章中,从功能测试的角度去进行。我们知道,性能是衡量一个设备的重要标准,我们在进行SSL VPN评测时当然也不会忽略性能的测试。在性能测试方面,一般大中型项目中都会采用思博伦通信公司的Avalanche 进行测试。只有通过专业性能测试仪器的考验,才能让不同的SSL VPN设备现出它的原形!


  下面我们介绍一下在项目测试中最常遇到的最大并发数和实际吞吐量这两个参数的测试方法,在每项性能指标测试中,都模拟了真实环境中的一系列用户动作,即从用户登录SSL VPN网关到执行各类请求,再到退出,涵括了所有的过程。


  评测SSL VPN指标1:最大并发用户数


  a.指标含义:设备可以同时支持的最大用户连接数,也即同时通过SSL VPN 来访问内部网的最大用户数目。


  b.测试步骤:第一步,32秒内压力从0 Simusers/秒上升到新建速率的80%;第二步,维持第一步的最高压力300秒;第三步,20秒内将压力降为0,测试结束。


  c.用户动作:测试仪模拟的用户,在登录以后取一个1024Byte的文件,该文件的延迟(文件的延迟时间为用户从发起请求到测试仪器响应用户的时间)为0秒,之后重复取一个延迟为60秒的文件10次,即一个用户至少10分钟后才会退出。


  d.结果衡量:把用户成功取得没有延迟的文件数目作为最大并发用户数(因为每个成功登录的用户都会取得该文件,并且在测试时间内不会退出而形成与所有其他用户的并发)。


  测试结果表明,Array SSL VPN最高并发数达到64,000,遥遥领先于市场上其它SSL VPN产品。


  评测SSL VPN指标2:实际吞吐量(Goodput)


  a.指标含义:实际吞吐量也称为设备转发速率,它指的是SSL VPN网关最快可以在每秒钟内转发多少数据流量。


  b.测试步骤:第一步,在32秒内压力从0 Simusers上升到N Simusers;第二步,维持第一步的最高压力120秒;第三步,20秒内将压力降为0,测试结束。


  c.用户动作:测试仪模拟的用户,在登录以后从一个模拟的Web服务器取一个1MByte的文件,然后从另外一个Web服务器取一个1Mbyte的文件,交替此过程10遍,一共从服务器取20Mbyte数据,然后退出。


  d.结果衡量:在第二步维持120秒的后60秒,将用户从测试仪模拟的Web服务器取得的数据流量进行平均,得出设备的实际吞吐量。


  测试结果表明,Array SSL VPN近1G线速的SSL吞吐量,令其他竞争对手望尘莫及。


  除了功能领先、性能优越外,Array SSL VPN安全网关在稳定性和安全性方面也是其它SSL VPN产品难以比拟的。比如,Array SSL VPN修改配置后即可即时生效,而有些中低端厂商的产品还停留在需要再次重启设备的阶段;再比如Array Networks独有的连接维持技术,即使客户端从有线网络切换到无限网络,客户的连接也不会中断,而这对其它一些厂商来讲无疑是天方夜谭










在VPN领域,SSLVPN无疑是个新贵,由于其与生俱来在远程安全连接方面的优势,近几年逐渐受到业界的追捧。总体来看,SSLVPN还没有达到厂商们期望的大规模应用,然而最近的种种迹象表明,SSLVPN正在进行一场轰轰烈烈的开辟新天地运动。至于具体倚仗哪些优势,在整体性能、功能方面有哪些最新进展,本测试报告向读者一一道来。
一份最新研究表明近90的企业利用VPN进行的内部网和外部网的连接都只是用来进行Internet访问和电子邮件通信,而这些应用都利用了一种更加简单的VPN技术——SSLVPN。基于SSL协议的VPN远程访问方案的确更加容易配置和管理,由于不需要客户端软件,网络配置成本比起目前主流的IPSecVPN要低很多,所以许多企业已经开始利用基于SSL加密协议的远程访问技术来实现VPN通信了。
SSLVPN是最近几年才逐步发展成熟的,但是当去年某些机构对其进行全面测试时,可以说并没有满足用户对其较高的期望。相反,许多基本的问题还没有解决好。时间过去一年多,目前该领域发展到了何种程度?在目前的市场上已经出现了一些厂商的产品与解决方案,它们的优劣都在哪里?与世界最先进的水平相比,多数SSLVPN设备的整体水平如何?带着这些问题,《网络世界》评测实验室组织了2005年度SSLVPN网关公开比较评测。
由 于目前市场中的SSLVPN网关设备并不是特别多,此次评测并没有对参测设备进行详细划分级别。我们向所有主流SSLVPN设备厂商发出了邀请,最后有三 家厂商接受邀请,送来参测设备并且顺利完成我们的所有测试内容,它们是深信服科技的SinforSSLVPNExpress、ArrayNetworks 的SPX5000和深圳数安的RAP1000-X。其中,ArrayNetworks的SPX5000为千兆产品,其他两家产品为百兆设备。
我们还要特别感谢思博伦通信公司提供了Avalanche测试仪,安氏公司提供领信网络扫描软件。同时也对这些勇于参加此次SSLVPN网关公开比较评测的厂商表示赞赏。
●性能测试——随着软硬件技术的进步,性能有大幅提高,满足企业要求绰绰有余;
●安全测试——尽管在网络中处于防火墙之后,但是某些设备本身仍存在一定安全风险;
●功能测试——经过近一两年的发展,功能已经获得巨大突破,可以轻松应对用户复杂应用。


性能测试用数据说话
性能表现是所有网络设备极其重要的一个方面,也是我们此次测试的一个重点。SSLVPN网关设备的性能参数中,比较重要的几个是新建用户速率(setup/teardown速率)、最大并发用户数、邮件系统性能以及设备的实际吞吐量(Goodput)等。
setup/teardown速率
setup/teardown速率反映了设备每秒钟可以新建的用户数目,ArrayNetworks的SPX5000可以达到982个/秒,从我们以往测试服务器的经验来看,这一结果完全超过了一台高端PCWeb服务器的极限,只有后台使用更高端服务器或者服务器集群才能提供如此高的性能;深信服的SinforSSLVPNExpress结果为98个/秒,深圳数安的RAP1000-X达到138.4个/秒,我们认为该数值也足以满足大型企业级用户的要求了。
最大并发用户数
最 大并发用户数反映设备同时提供服务的最大用户数目,读者需要注意,此数值并非使用SSLVPN设备的用户总数(很显然,并不是所有需要使用设备的用户都随 时在线)。据称,ArrayNetworks的SPX5000的最大并发用户数可以达到64000,我们测试结果为57063;深信服 SinforSSLVPNExpress为150,深圳数安RAP1000-X为249。
OWA性能
OWA(OutlookWebAccess) 性能反映的是设备在承载OutlookWeb邮件系统的性能表现,由于邮件系统在SSLVPN的应用中占很大比例,而Outlook邮件系统又具有普遍意 义,因此此项结果在用户使用邮件系统时有很大参考意义。ArrayNetworks的SPX5000测试结果为7237会话/秒;深信服RAP1000- X为207会话/秒,深圳数安RAP1000-X为396.45会话/秒。
DDoS攻击下的OWA性能
DDoS攻击是网络中十分普遍的攻击类型,我们考察了SSLVPN设备在遭受DDoS攻击下的Web邮件系统应用的性能表现。从我们以往对各类安全设备进行测试经验来看,设备对攻击的防范能 力不容小视,有些防范能力较差的设备在攻击面前束手无策,很容易造成设备工作不正常。从我们的测试结果来看,所有参测设备在攻击下的性能都有小幅下 降,ArrayNetworks的SPX5000测试结果为7030会话/秒,下降大约2.86%;深信服SinforSSLVPNExpress为 203会话/秒,下降大约1.93%,深圳数安RAP1000-X为395.78会话/秒,下降幅度最低,仅为0.17%。
Goodput
按 照RFC2647的定义,我们测试了被测设备最大HTTP实际吞吐量(Goodput)。在我们的测试环境下的结果是,作为千兆设备的 ArrayNetworksSPX5000为160.352Mbps,深信服SinforSSLVPNExpress为34.199Mbps,深圳数安 RAP1000-X为29.864Mbps。需要说明的是,所有参测设备都没有提供数据压缩功能。
测试感言:性能已不是问题
从我们的测试结果来看,性能已经可以完全满足用户在远程安全连接方面的需求。
据 我们了解,即便是最高端的用户,也很少会分配高达100Mbps的带宽给SSLVPN应用,再加上Internet网速受多方面影响,因此,从实际吞吐量 角度,100Mbps是实际应用环境的极限,所有超过100Mbps的设备都无法充分展示拳脚。但是VPN设备可以提供数据压缩能力,即数据经过压缩后向 外网发送,这可使用户更加有效地利用昂贵的带宽资源。从我们查到的资料来看,有些厂商在这方面的技术比较先进,数据压缩比例可以达到5:1,遗憾的是此次 参测的三款产品都没有提供该功能,因此我们测试时并没有考察数据压缩时的性能表现。
从最大并发用户数角度来看,采取SSLVPN方式,按照惯例一 般取1∶10的比例(如果1000个人都可能采取VPN方式,同一时间会有100个人利用VPN隧道),这一点用户在购买设备时也应该注意——在购买 IPSecVPN时,1000个用户需要购买1000个客户端许可证,而如果使用SSLVPN,则可以按照100个并发用户数购买。
用户在部署SSLVPN之前一定要对设备进行性能测试,一方面能够对设备的性能表现有确切掌握,另一方面可以根据实际网络应用环境进行合理购买。




安全测试安全等级我做主
采 用配置“最安全的简单Web应用”,然后测试VPN设备的安全性能。我们发现,有的SSLVPN设备在安全性方面不容乐观。我们使用安氏领信网络扫描器对 参测设备进行了全面的安全扫描,扫描报告中详细列出设备存在的安全漏洞、安全警告、安全提示以及打开端口信息。漏洞对于安全设备来说,是应该尽量避免的,黑客可以轻松扫描出设备的漏洞,利用漏洞进行攻击。警告和提示也不容忽视,它可能是不太严重的安全威胁,也可能是不易被利用的安全弱点。黑客还可以通过打开端口获得设备正在提供的服务。
结果发现,ArraySPX5000安全性很高,没有发现任何漏洞,但是出现了一些安全警告。
深信服SinforSSLVPNExpress在对SSL协议进行开发时遗留一个漏洞,该漏洞会导致设备容易受到DoS攻击,同时还有一些安全警告,但是,上文也提到,该设备本身默认配备了防火墙系统,整体的安全性已经比较高。
深圳数安的设备扫描结果为28个漏洞,15个安全警告。经过厂商工程师的安全配置更改以及漏洞修补工作,漏洞全部消除,剩余5个安全警告。
测试感言:安全产品最不能忽视安全!
由 于SSLVPN在功能方面已经十分强大,但是功能多的同时也在安全性方面带来更多隐患。比如,如果只是提供最基本的Web转换功能,即用户只通过 HTTPS访问Web服务器内容,那么设备只需打开443端口即可,而如果用户需要文件服务,则必需打开更多端口,端口和服务开启越多,安全隐患也就越 多。因此,设备的安全性在一定程度上是由设备管理员 来决定的,如果应用类型对用户业务十分关键,机密性较强,那么则开启最少的端口和服务,反之,如果应用为一般类型,对业务并不是十分关键,那么就可以多开 启一些服务,虽然安全性降低一些,但是为远程用户带来多一些的便利。我们测试的是在开启最简单功能、最少端口和服务的情况下设备本身的安全性。
安全性的问题很复杂,它涉及到整个系统的方方面面,从操作系统到开发平台,从程序代码到系统配置,可以说,一个成熟而相对安全的系统需要花费巨大的人力物力,当然还需要在纷繁复杂的不安全环境下接受各类考验。
在性能测试中的DDOS下的性能也反映了产品的安全性,有些设备在正常使用环境下性能很好,但是对DDOS攻击几乎无法进行任何防范。


功能测试应对复杂功能我能
在 确定测试方案之前我们认为,SSLVPN设备在功能方面的表现可能是制约其获得大规模部署的一个重要因素。原因在于,一年以前,国外的测试同行们对多款业 界主流产品进行测试后发现,多数产品所能支持的应用转换和代理的数量非常少,同时,功能方面是SSLVPN设备之间差别最突出,也最影响它们在实际环境中 的部署。带着这些疑问,我们制定了功能方面的考量内容,主要包括支持应用类型、数据压缩功能、安全功能、认证方式以及报告与日志方面。
如前文所述,数据压缩功能对SSLVPN网关这种依靠互联网带宽资源的设备来说十分必要。尽管有些设备称支持该功能,但遗憾的是送测产品都没有提供该功能。
支持应用类型
我 们认为,SSLVPN网关对应用的支持大致分为4个层面。第一个层面为Web资源映射。从SSLVPN最初的应用情况来看,主要有Web服务器资源映射, 也叫作代理Web页面。这是SSLVPN最基本的应用支持类型,因此如果用户希望通过Web资源映射来收发E-mail,则只能使用Webmail的方 式。第二个层面为文件共享等应用。比如非Web页面的文件共享,必需经过转换才能够发往客户端。SSLVPN网关与企业网内部的微软CIFS或FTP服务 器通信,将这些服务器对客户端的响应转化为HTTPS协议和HTML格式发往客户端,终端用户感觉这些应用就是一些基于Web的应用。第三个层面为C/S 应用代理,它需要在终端系统上运行一个非常小的Java或ActiveX程序作为端口转发器,监听某个端口上的连接。当数据包进入这个端口时,它们通过 SSL连接中的隧道被传送到SSLVPN网关中,SSLVPN网关解开封装的数据包,将它们转发给目的应用服务器。第四个层面应用为网络扩展。它将终端用 户系统连接到企业网上,并根据网络层信息(如目的IP地址和端口号)进行接入控制。
对于用户来说,第一个层面的应用是必须的(如果设备连此应用都 无法满足,那它也就不能称为SSLVPN了),而文件共享和C/S应用代理的需要也比较大,因此大多数用户会要求SSLVPN能够支持这两种应用,至于网 络扩展应用,一般使用较少,而且由于该功能会给整个内部网络带来更多安全隐患,因此必须使用该功能的用户也需要谨慎使用。
Web资源映射功能 ArraySPX5000采用Web资源映射功能(WebResourceMapping,WRM)来实现,用户不需要改变内网的Web结构,在 ArraySPX5000上设置在内网访问的URL即可。深信服公司采用HTML智能重构技术来实现Web映射,把企业内部的Web服务器映射成SSL主 机的一个子目录来访问(该子目录是一个无意义的字符串)。
SinforSSLVPN对用户链接做识别,重写HTML并将其转换成HTTPS的有效 链接,SinforSSLVPN并不重写所有HTML代码,而是根据智能搜索引擎判断出需要重构的网页再加以修改。SinforSSLVPN提供了基于 Web方式的邮件收发系统,方便了没有邮件客户端的用户。深圳数安RAP服务器上模拟一个Web解析服务器,动态解析远程客户对内网Web服务器请 求,RAP监听到远程客户访问内网Web服务器的URL后,通过RAP向内网服务器取动态请求,内网Web服务器就像响应普通内网客户端的请求一样响应 RAP的请求。
共享文件ArraySPX5000支持Windows和Unix的文件共享,将内网共享文件,通过Web的方式提供 给用户,用户可以在Web页面中下载、上传文件。SinforSSLVPN提供了基于Web的FTP系统,用户可以下载上传文件。针对标准的TCP协议, 深圳数安RAP可以实现active模式FTP、passive模式FTP、Telnet等应用的支持。


路由表。 这样,客户端虚拟网卡上就会配备一个和内网地址体系一致的网址,并通过这条虚拟通道直连到内网,就好像客户端机器在内部一样。一旦网络层隧道建立后,所有 基于IP的应用都可以实现。可实现包括B/S、C/S架构的应用,也可实现TCP的应用。深圳数安RAP1000X的实现方式是,当客户端远程请求建立 SSL通道的时候,客户端动态生成RAP虚拟的网络设备,并且通过RAP动态获得内网IP地址,此时,客户端的IP就变成了内网IP,只能访问内网指定的 服务器或相应服务器的相应的端口。深信服设备没有提供该类型应用的支持。
安全功能
由于SSLVPN设备最重要的使用环境为远程安全连接,因此,安全是其必不可少的功能。
URL 加密是提高安全性的一个措施,有些设备也称之为URL隐藏功能,在IE浏览器的URL框中,地址是一串不能读懂的乱码,而且每次用户登录都会发生实时改 变。这种方式的好处是远程用户不能使用Ping命令找到该服务器的网址,因此可以避免对该服务器的网络攻击。有些厂商的产品默认为URL隐藏,因此无法进 行多项性能测试,进而很遗憾没有参加我们的测试。有些厂商的设备没有此功能。而测试工程师认为,最好像Array的设备那样,将此功能设置为可选,这样如 果用户需要增加安全性,则开启此功能,而在调试、测试阶段则可以不必开启此功能。深信服没有URL加密功能,而深圳数安的设备默认开启URL加密功能,但 是针对我们的测试进行了特定的改进,从而也可以不启动URL加密功能。
超时检测、清除缓存、客户端安全扫描也是针对用户远程连接所设计的安全功 能。超时检测功能是当用户登录设备后而没有任何动作并超过一定时限后将该用户自动退出系统。客户端缓冲区及临时文件清除功能就是在SSLVPN的远程访问 结束后,自动清除留在远程访问设备缓冲区中的临时文件和数据。清除缓存功能不仅非常必要,而且,不支持这项功能的SSLVPN产品会对企业信息造成严重危 害。IE浏览器为了提高速度,常常将访问的文件和数据放在临时文件中。并且在退出后不会自动删除。这样,有经验的客户可以通过浏览器提供的检查临时文件的 功能,打开残留在临时文件目录中的文档,从而窃取企业机密。为了简化用户重复登录,反复输入密码的麻烦,浏览器有的时候会在缓冲区中记录用户口令信息,这 样,在不关闭浏览器的时候,二次访问需要口令的网址的时候,浏览器会自动输入口令。因为SSLVPN的远程用户可能使用公共设备,如果不清除缓冲区,如果 忘记关闭浏览器而离开,后面的用户可以会登录到内部系统。所以,必须在会话结束后清除缓冲区。参测的三款设备都支持超时检测和清除缓存功能。
客户 端扫描对用户来说也是一个不错的功能。由于使用SSLVPN以后,用户可以使用任何设备访问内部资源,甚至可以使用网吧电脑访问内部系统。如果远程访问的 系统有病毒或安全漏洞,将危害企业内部的信息安全。客户端扫描功能可以大大降低病毒和黑客工具对企业信息的危害。深圳数安和深信服的设备不支持该功 能,Array设备支持该功能。ArraySPX5000可以对登录的客户端进行检测,根据对客户端特征值的检测结果,将客户端划分到不同的安全访问级 别,为客户端提供不同的功能模块,并且可以自定义什么级别的用户可以拥有哪些功能模块。对于接入的客户端,可针对以下内容检测客户端的安全级别:客户端的 IP地址、客户端的SSL证书、客户端包含的特定文件、客户端注册表特定键值、客户端个人防火墙检查、客户端防病毒软件检查,包括病毒库的更新时间以及操 作系统版本补丁检查等。
SSLVPN网关功能评价表




测试方法
由于SSLVPN最近几年才逐渐成熟,因此对其进行测试时业界还没有形成一个十分成熟完善的测试方案,我们参照国际上较为认可的方法并结合目前SSLVPN的发展情况,制定出如下测试方法。其中主要包括性能测试、安全测试以及功能测试三个方面。
性能测试
在性能测试方面,我们使用思博伦通信公司的两台Avalanche2500进行测试,所有结果均用朴实的数字说话。在所有5个测试项目中,每款设备均测试3遍,结果取其平均值。
测试指标1:新建用户速率(setup/teardownrate)
在每项性能指标测试中,我们都模拟了真实环境中的一系列用户动作,即从用户登录SSLVPN网关到执行各类请求,再到退出。我们把用户动作描述出来,希望读者对我们的测试细节都能够了解得更加清晰。
指标含义:新 建用户速率是指设备每秒钟可以新建立的用户连接数目,也称为会话速率,即每秒钟可以建立和终止的SSL会话数目(会话可以理解为客户端到网关的一次连接, 即浏览器的一次Web页面访问)。这个参数很大程度上决定了用户能够体验到的连接速度。通常,达到100左右数值的会话速率,一般可以满足大部分用户的应 用需求。
测试步骤:第一步,在32秒(一般为30秒,由于结果文件中每4秒统计数值,为了便于记录结果我们将第一步设为32秒)内 压力从0Simusers(Simusers为Avalanche2500中模拟的用户单位,一个Simuser为一个模拟用户)上升到 NSimusers,N为预计的最大速率;第二步,维持第一步的最高压力120秒;第三步,20秒内将压力降为0,测试结束。
用户动作:测试仪器模拟的用户,在登录后取一个1024Byte的文件后退出。
结果衡量:在第二步维持120秒的后60秒,我们计算该时间段内的平均速率(将成功建立的用户连接数除以60)。
测试指标2:最大并发用户数
指标含义:设备同时可以支持的用户连接数。
最大并发用户数指同时通过SSLVPN来访问内部网的用户数目。同时在线用户数也是一个非常重要的参数,即同一时间SSLVPN所能保持的会话数目,它通常在几百到几千之间,同时在线用户越多,每位用户所感受到的速度越慢。
测试步骤:第一步,32秒内压力从0Simusers/秒上升到新建速率的80%;第二步,维持第一步的最高压力300秒;第三步,20秒内将压力降为0,测试结束。
用户动作:测试仪模拟的用户,在登录以后取一个1024Byte的文件,该文件的延迟(文件的延迟时间为用户从发起请求到测试仪器响应用户的时间)为0秒,之后重复取一个延迟为60秒的文件10次,即一个用户至少10分钟后才会退出。
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|小黑屋|上海秋寻实业

GMT+8, 2018-5-21 09:38 , Processed in 0.407815 second(s), 23 queries .

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表