科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道按需构建VPN网络

按需构建VPN网络

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

随着宽带Internet网络的普及,同时信息化的发展正在改变着企业传统的运作方式。VPN由于对数据进行了安全性的封装,同时进行了加密处理,从原理上说、就会比实际的Internet接入带宽要低。

作者:中国IT实验室 2007年9月14日

关键字: VPN 虚拟专用网 SSL VPN IPSecVPN

  • 评论
  • 分享微博
  • 分享邮件

一、概述

随着宽带Internet网络的普及,同时信息化的发展正在改变着企业传统的运作方式。越来越多的企业都在逐步依靠计算机网络、应用系统来开展业务,同时也利用Internet来开展更多的商务活动。

稍具规模的企业都不会只有一个办公场所,而是具有总部、分公司、办事处、工厂等多个业务点。既然越来越多的应用了计算机和各类软件系统来处理企业业务,如何将位于不同地点的分支机构网络互联互通,就成了现代的企业必须解决的问题。

经过多年的发展,“电子商务”也从一个概念逐步走向了实际的应用。随着商务活动的日益频繁,各企业开始允许其生意伙伴、供应商、服务提供商和客户也能够按相应要求来访问本企业的局域网,从而大大简化信息交流的途径,增加信息交换速度。这些合作和联系是不断变化和发展的,并依靠网络来维持和加强。

正是用户的需求促进了VPN的诞生和高速发展。传统专用线路(如DDN)的高昂成本和长期的使用费,成为了企业很大的负担,很多企业无法利用这种方式来建立自己的专网,而在Internet发展的早期,窄带线路的通信质量、带宽、以及资费,都无法满足企业长期利用其来构建自身远程私有网络的需要,很多企业只能暂时放弃利用网络来实现更好的信息应用的念头。但到了今天,各种宽带上网方式(如ADSL、城域网等)都在迅速发展,带宽和通信质量已经不在是瓶颈,资费也极大的降低,完全能够高效率、低成本的解决企业网络互联互通的需要。

二、需求推动VPN市场高速发展

选择更高性价比的方案、降低不必要的高昂成本,是市场经济的基本原则。这就使得VPN的发展成为了一种不可抗拒的趋势。在国外,由于Internet的基础建设更早一步,早从1997年开始已经迅速发展起来,2001年全球VPN市场近13亿美元,预计到2005年将达到29亿美金(Infonetics Research,2002)。

国内的宽带网络发展从2000年开始,已经得到了极大的发展。企业用户接入Internet逐步都在过渡到ADSL等宽带方式,资费也能够被用户所接受、并有进一步的下降趋势。VPN也从不为人所知、到逐步的被用户了解和认同,并且已经有很多信息化程度领先的企业选用了相关的VPN方案来构建企业远程网络平台。

市场的高速发展,也推动了相应的VPN产品和技术的发展。目前在国内市场上,已经有多种VPN产品可供客户选择,包括运营商提供的VPN服务、各类档次的VPN路由器和服务器、VPN网关以及VPN软件产品等,形式多样、价格也跨越了几个档次。到底应该选择什么样的VPN产品成为了众多企业IT人员的困扰之一。

三、按需构建VPN网络

根据不同的需求、选择适合自身业务和网络需求的方案,并综合考虑产品的性能、特点和整体投资,是企事业IT人员甚至高层决策的根本出发点。一些对数据的稳定性和保密性要求特别高的用户,例如银行、证券、重要的政府机关等等,绝对禁止网络接入Internet,当然会优先考虑采用专用线路。即使选择VPN产品也存在着不同的层次,有适合大型企业的产品、有适合中等规模网络的产品、也有适用于小企业的产品;不同层次的产品又有不同的性能、技术特点和价格。但无论哪个层次的VPN产品,由于其在Internet上构建网络平台的共同特征,有以下几点是用户在选择VPN时都必须考虑的问题。

1、稳定性:

VPN是企业的基础网络平台之一,企业的很多应用系统都将在VPN平台上进行。所以,VPN系统的稳定性必须满足企业的业务应用需要,而不能出现经常性的网络中断,导致业务的中断。一般来说,规模越大的企业、对VPN平台的使用越频繁,对稳定性的要求就越高。也有部分中小规模的企业,由于其对系统的依赖性非常强,所以也需要稳定的VPN网络。

不同的VPN产品,其稳定性也是千差万别。但越稳定的产品、整体的成本肯定会越高,企业在选择时也必须考虑适合自身的稳定级别。例如高端的专用VPN硬件(高端的路由器或VPN服务器),由于其采用高性能的硬件架构、专用的VPN软件,具备非常高的稳定性;而一些低端的VPN产品、本身就采用了廉价的硬件(包括处理器、相关配件等)、往往又集成了除VPN之外的多种业务,难以保障高稳定性的要求,但成本较低。

2、安全性:

VPN网络的运行基础是Internet,所有的数据也必须经过Internet进行交换,而这些数据都是企业的私密信息、不允许为无关人员所知,同时VPN网络是在开放的Internet平台之上构建的虚拟网络,也必须保证没有获得授权的用户无法接入VPN网络。

所以,综合考虑用户的具体应用和需求,VPN网络的安全性有三层含义:一是数据传输的安全;二是用户接入的安全;三是对内网资源的访问安全。

第一个层次:数据传输的安全。

几乎所有的VPN产品都通过数据加密的方式来保障,这个技术已经比较成熟和公开,区别在于加密的级别和效率。目前应用比较多的加密算法有DES/3DES,DES算法由于加密级别较低(56位加密),已经趋于淘汰;3DES算法加密强度高(168位加密),但对处理性能提出了相对较高的要求。尽管如此,3DES仍然是目前VPN中应用最普遍的加密算法;另外还有一些优秀的加密算法,例如AES(Advanced Encryption Standard)标准、OWFISH/128位加密算法、TWOFISH/128位加密算法等,但目前应用都不是非常普遍。

第二个层次:用户接入的安全

从VPN实际应用的角度考虑,用户接入的安全是更为重要的。因为数据的传输安全即使出现隐患、也需要较专业的人员才能破译,造成的也仅仅是部分信息的损失。而一旦有非法用户成功接入,那整个企业网络都将暴露给入侵者。现有的高端VPN产品大部分采用的是证书交换的方式、来确保用户的真实身份;低端的VPN产品由于技术所限、同时又要适应专业性不强的用户使用,往往只进行了简单的用户名和密码认证。

第三个层次:内网资源访问的安全

部分VPN产品是一旦确认了远程用户的合法身份,用户就可以不受限制的访问全部内网资源。而实际上,大部分企业并不希望远程用户能不受限制的进行访问,而是有条件的进行访问,尤其是接入的VPN用户并非是企业内部工作人员(如供应商、客户、合作伙伴等)时,对VPN用户访问权限需要更严格的设定。一个好的VPN产品应该可以提供对内网访问权限的细致设定,可以对不同的用户分配不同的权限规则,避免内部出现的安全隐患。一个合法的VPN用户接入总部后,它对总部资源的访问权限能够被限定在一个很小的范围内,例如总部有多个应用系统(如OA、财务、HR、CRM等等),一个普通的业务人员在联入VPN后只能访问OA或CRM,而公司领导则可以同时访问所有的应用系统,所有的这些权限都应该可以通过配置产品或相关设备来完成,这样就极大的方便了IT安全部门的管理工作。

3、速度:

虽然说现有的宽带已经远远好于过去的窄带网络(如MODEM),但用户对带宽的要求是无止境的。另外,由于VPN网络承载的是企业的内部应用,如文件共享、拷贝等,习惯了局域网内10M/100M速度的用户,对速度的要求也非常高,应用的速度也会极大的影响企业的运作效率。

VPN由于对数据进行了安全性的封装,同时进行了加密处理,从原理上说、就会比实际的Internet接入带宽要低。高端的VPN处理速度快,而低端的设备由于处理器性能较差极大的影响了VPN速度。

如何解决传输速度的问题各个厂家也都提供了不同的方案,下面简要介绍两种较常见的方案。

首先是数据流压缩技术,VPN设备内置了数据压缩算法,采用硬件或软件对所有的传输数据进行压缩之后再传输。这就在无形中极大的提高了带宽利用率,经实际测试效果较明显。

另外,由于部分用户对速度的要求非常高,而Internet带宽的发展毕竟有个时间,所以部分厂商也提供了多线路捆绑的解决方案。根据该方案,用户可以申请多条Internet线路,然后将多条线路的带宽进行绑定、并发使用,使得带宽成倍增加,并可实现在此基础上的QOS管理。

4、性能和服务质量保证:

VPN产品的性能将会影响VPN所能容纳的计算机和网络容量,如同时建立VPN隧道数量、同时接入VPN用户数量等等。如果VPN产品不能满足企业所需要的系统性能,则难以承载企业的业务运作;而如果采用过于高端的VPN产品,也是一种资源的浪费。所以在性能选择上应根据实际情况对各厂商产品进行按需比较。

服务质量保证也是VPN系统应该具备的功能之一。企业利用Internet不仅仅是内部网络的互联,最基本的应用例如浏览网页、收发邮件等,都会通过Internet出口来进行。而且,随着企业应用的日趋复杂,内部的应用也越来越多样化,如文件的共享、远程网络打印、数据库远程访问,甚至语音视频通信等等。这些应用都会占用有限的带宽。而对企业来说,最根本的还是要保障重要的业务应用能不受干扰。所以,如何在相同的物理线路上,优先保障重要的服务质量,成为了VPN产品选型时的新因素。

好的VPN产品应该能使用户根据自身需要,为不同优先级别的应用分配不同比例的带宽。同时带宽智能分配的功能得好坏也逐渐成为了各厂商互相竞争的一项新技术——当线路空闲时,各种应用都可以自由的传输;一旦出现线路繁忙或拥塞,系统则首先确保优先级别高的应用不受干扰,保障了企业重要业务的正常开展。

5、可管理性:

VPN产品不同于普通的IT设施,由于VP

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章