软件vpn与硬件的优势对比

　　在VPN领域里面，其实一直以来软件和硬件都是一个系列产品提供给用户的。国外的产品CISCO、NORTEL都是有软件方式和硬件方式。软件主要是提供给移动用户使用的。一般在出差的时候，通过软件客户端临时接入总部进行远程办公。

　　VPN技术引入中国之后，软件的方式被一些软件开发商发展为了软件VPN的产品。从功能设计上可以作为VPN网关使用。为什么很多专业开发VPN产品的公司不单独把VPN用全部软件的方式去实现呢？

　　以下的比较，是针对纯软件方式实现VPN和采用硬件设备＋移动客户端的方式来实现VPN的方式的比较。

　　1．综合性能

　　软件VPN一般都采用通用操作系统，硬件VPN一般采用专用操作系统来实现的。Windows设计上就是桌面办公系统，如果采用windows sever系统来说，需要消耗大量的硬件资源。

　　在硬件配置相同的情况下，通用操作系统的性能与稳定性要专用操作系统要差很多。软件VPN是安装在PC或SERVER中的，所有的信息均存贮在硬盘中，而且受到病毒，黑客攻击的可能性较大。而硬件VPN的系统存贮在Flash中的，一般很难受外界的影响，如果运行在RAM中的信息受损，完全可以通过重新引导就可立即解决这个问题。

　　(结论：硬件VPN比软件VPN需要更少的系统资源，为了到达和硬件VPN的性能相对的指标，软件VPN需要的计算机配置要数倍于专用硬件VPN。)

　　2．系统的安全

　　通用操作系统除内核外还包括用户界面 (UI) 以及大量的应用软件，这些大量的软件、GUI等都会可能导致更多的通用系统的Windows(Linux)技术漏洞。而专用系统的核心很小，可以让网络应用更加安全可靠。目前出现的病毒和攻击工具，大多数都是针对通用操作系统的。目前几乎很少有病毒可以感染专用系统，基于这两个不同的系统做开发出的VPN 产品，从根本上决定了VPN的安全区别。作为企业内部与Internet之前的桥梁，也作为信息远程传输的设备，VPN设备的安全性是至关重要的。此设备主机系统的安全是首要的，如果此系统不安全，所有的通讯安全都无从谈起，危害系统主机的非授权对主机的进程，表现形式为：病毒，木马，蠕虫、后门、漏洞。以下分析比较主机不安全因素的影响及范围。

　　病毒：大多是被对传染，此类程序一般都比较小巧，表现为强传染性，会传染它能访问的文件系统中的文件。绝大多数计算机病毒发作后会影响系统运行速度，有的会恶意的破坏计算机软件，甚至于硬件，比如CIH病毒发作后会清BIOS内容，使计算机无法启动。美国权威反病毒机构ACSA在2003年第六届亚洲反病毒协会年会（AVAR2003）上提交了一份病毒疫情调查报告其中指出，目前世界上共有8万多种基于windows病毒。

　　蠕虫：是一类利用网络进行传播的程序，此类程序有合法的，但大多数是非法的，这类程序利用主机提供的服务的缺陷进行攻击目标机，目标机一旦感染后，一般会随机选择一段IP地址进行扫描，找到下一个有缺陷的目标进行攻击。此类程序对于网络危害很大，常常导致国际互联网大阻塞，此类型程序最早于 UNIX系统上实现，在近10年以内有针动UNIX/LINUX和此类程序出现过，如针动DNS解析的服务程序BIND的Lion蠕虫。2000年以后大多数蠕虫以WI NDOWS为攻击对象。有很多的例子，如波击波，震荡波等等。

　　木马：是网络程序攻击成功后有意放置的程序，用于与外面的攻击程序接口，以非法访问被攻击主机为目的。这也是绝大多数基于windows系统的。

　　后门：是写系统或网络服务程序的公司或是个人放置于系统之上，以进行非法访问为目的的代码。

　　漏洞：由于程序编写过程中的失误，导致系统被非法访问。而通用操作系统用的人多研究的人也多，漏洞相对就多多了。

　　通过以上几个方面的论述，虽然通用操作系统作为桌面办公系统十分普及，但是如果作为网络通讯的网关设备的承载系统，其安全性明显要低于专用的操作系统。

　　(注:据我了解奥联APNGW是基于Linux系统核心2.4开发，安达通ADT是基于Vxworks的,华盾应是Linux或UnixWare的)

　　3．可靠性

　　软件VPN采用通用操作系统作为系统的根基，其可靠性取决于安装这个软件的PC机。这在一定程度上说明了软件VPN的可靠性是不可控制的。而且依赖于操作系统，系统其他的软件导致的冲突或者资源占用的情况也会对VPN的可靠性带来影响。

　　硬件VPN一般都采用专用的硬件，在可靠性方面可以得到良好的控制。一般采用工业主板，其平均无故障时间明显多于PC机。

　　(结论：硬件VPN的可靠性是专用硬件来保障的，而软件VPN可靠性存在不确定因素。)

　　4．安装维护

　　软件VPN看起来安装比硬件VPN似乎要简单，因为软件可以直接在电脑上安装，而硬件VPN需要连接线路，网线等等。但是整个VPN系统的实施需要安装和调试两个部分组成，所以不能简单比较安装过程。

　　而在系统维护方面，软件VPN明显的不如硬件VPN。因为软件维护的不光是VPN软件，还需要维护整个PC系统，任何导致PC的操作系统的不稳定因素例如病毒、攻击、硬件的兼容性、软件的兼容性甚至某一项设备的驱动都可能导致软件VPN的故障；而硬件VPN一般采用专用硬件，维护量很少。在远程维护方面，象ADT，APN产品可以通过管理平台远程登陆（有权限才行），而软件VPN就难以提供这样的功能。ADT在设计上还独创了智能向导功能，可以智能指导用户维护，同时，明确的系统指示灯可以很直观的反映设备运行状态。

　　(结论：在安装方面的比较需要视不同的VPN产品而定；但是维护方面明显的硬件要优于软件。)

　　5．稳定性

　　VPN产品由于需要长期运行，稳定性显得十分重要。为了让设备可以24×7运行；需要考虑很多方面的因素。例如是否有病毒干扰、硬件是否稳定、系统设计是否智能等等因素。

　　从软件VPN和硬件VPN的核心上考虑，基于通用操作系统的软件在稳定性方面上肯定是不能和专用系统相比较的。

　　从硬件的稳定性上讲，基于软件的VPN产品主要依赖于PC的稳定性，而硬件VPN产品是靠专用硬件来完成的。

　　从系统设计上来说，基于通用操作系统的软件VPN产品对底层的控制非常有限，例如要做QOS，mac地址绑定等等，功能十分有限；而专业系统设计初衷就是为了网络服务，可以很好的结合内核程序，解决以上类似问题。

　　(结论：稳定性涉及多方因素，软件VPN产品由于依赖于其他硬件和系统，某些方面无法控制，所以和硬件VPN相比，稳定性难以保证。)

　　6．成本

　　采用纯软件的VPN，可以节约成本吗？一般从表面看来，软件产品由于没有要求客户有额外的硬件投入，所以市场价格往往很低。但是综合考虑，VPN的成本主要包含那些呢？

　　VPN网络的成本可以简单归纳为产品成本和维护成本。如果选择软件产品，需要额外的投入一台电脑，这包含了硬件PC的成本和操作系统的成本。

　　如果用户已经有了一套PC，使用软件VPN是否就可以认为是比较便宜了呢？试想，如果客户的整个局域网都需要一个PC作为VPN的网关，连接远程的桥梁，一定是需要这个PC是十分稳定，7×24小时高效运行，能够让它在完成加密、解密的关键义务的过程中，还能处理word文档，excel表格吗？

　　而维护成本方面，维护软件的VPN需要考虑PC器的稳定，需要时刻注意系统的漏洞，防止病毒，防止软件之间的冲突等等，额外的维护量是额外的高额成本之一；而硬件VPN就可以很少考虑这方面的因素。

　　硬件VPN采用性能价比很高的硬件设计，为客户提供VPN功能的同时，对产品的稳定性、可靠性、智能性做了很多方面的细节设计，最小程度的减少客户的维护成本。

　　(结论：综合考虑，软件VPN的成本并不低，因为VPN的成本需要整体考虑，不能简单看到产品的市场价格。)

　　7．总体结论

　　如果客户对一般软件使用和windows系统十分熟悉，建设的网络结构比较简单，对网络性能、QOS无十分严格的要求，正好又有闲置的、高配置的、装有正版通用系统的机器，软件产品可以在一定程度上体现价格优势。

　　如果建立的VPN网络，考虑系统安全、长期稳定运行、维护成本、良好的综合性能等等因素，硬件VPN产品具有软件产品不可比拟的优势。