【賽迪網-IT技術報道】
1.為什麼用戶需要VPN技術?
為什麼用戶需要VPN技術?要想回答這個問題,讓我們先從一個用戶的實際需求來談起。
H公司是一家大型汽車製造商,零部件供應商、經銷商及生產基地遍佈全國各地。為了進一步提升整體競爭力,H公司按照「精細化生產」及「零庫存生產」的要求,建設了一套先進的信息化生產管理系統。這套生產控制系統可以實時分析與生產、銷售有關的所有資料,通過對資料的分析,給出原材料採購、生產節奏、生產型號分佈等結果,指導企業進行生產、採購和銷售。為了保證該系統正常運行,必須實時獲取全國各地各級經銷商的進、銷、存資料及各個分廠、零部件廠的生產、庫存資料。
很明顯,這些進、銷、存資料對於任何公司而言都是最核心的財務秘密,那麼,如何確保這些資料安全的從各級經銷商、各分廠和零部件廠傳遞到H公司總部呢?對於這樣的需求,在互聯網尚未發展起來之前,用戶只能去找電信運營商租用昂貴的專用鏈路,比如租用64K帶寬的DDN或者2M的SDH傳輸通道,租用成本極高。
隨著互聯網的飛速發展,人們發現,如果能利用無處不在的互聯網來傳遞高價值的信息,會大大降低IT系統運營成本。這就是VPN技術最初的用戶需求:在低成本的公眾網絡上加密傳輸高價值的、無法被惡意竊取的信息,從而提高生產效率,降低信息傳遞成本,並最終提升企業或組織的綜合競爭力。
2.傳統的VPN解決方案
在基於互聯網的VPN系統的應用早期,用戶必須通過部署專門的VPN網關設備來構建企業VPN體系,以滿足遠端分支機構、漫遊用戶及合作夥伴的VPN接入需求。但這種傳統的VPN網關只支持單獨的IPSec VPN功能,且無法支持應用層安全如防病毒、入侵防禦等安全功能。
還是以H公司為例,為了支撐信息化生產管理系統的正常運行,該公司投資數百萬,為所有分支機構和重點經銷商配置了硬體IPSec VPN網關,為中小經銷商和經常出差的公司員工配發了VPN軟體客戶端。
這麼看來,H公司的生產管理系統應該發揮作用了吧?但事實和預期並不太一致。
在VPN系統開通後,問題接連不斷。H公司IT管理部門為了維護VPN系統的正常運行,不得不申請了額外的IT員工編制以應對出差員工和中小經銷商的VPN連接問題。同時,大量蠕蟲和網絡病毒從幾個IT系統管理不嚴格的經銷商網絡傳播至總部業務系統網絡中,並在整個VPN系統內大肆傳播,大大降低了業務可用性。最嚴重的時候,H公司甚至要斷開很大一部分的VPN連接才能使生產管理系統勉強正常運行。
3.傳統VPN解決方案存在的問題
為什麼傳統的VPN解決方案沒有達到用戶的預期效果?從H公司的例子我們可以看出,採用傳統的IPSec VPN網關設備來構建企業的VPN系統有著幾個固有的弱點:
第一、沒有網關防病毒功能。各類蠕蟲和網絡病毒可以從漫遊PC/分支機構/合作夥伴網絡等位置通過VPN隧道傳播至內網。
第二、沒有入侵防禦功能。黑客可從分支機構/合作夥伴網絡中通過VPN隧道發起攻擊;
第三、採用IPSec VPN實現漫遊用戶接入。IPSec VPN的漫遊PC到VPN網關接入採用C/S架構的VPN客戶端,缺乏靈活性;VPN客戶端存在與操作系統或其他應用軟體不兼容的風險;
第四、維護成本高。客戶端配置相對複雜,隨著VPN終端數的增長,運維成本線性遞增。
可見,傳統的VPN解決方案只滿足了用戶對於VPN業務的基本需求,也就是解決用戶的連通性、資料級別的安全性和認證問題,而對於接入VPN的分支節點/漫遊用戶在應用級別的安全性上沒有考慮。對於需要立體安全的用戶來說,單純的VPN網關是遠遠不夠的。
但是,如果單純採用其它設備彌補上述安全缺陷又不是那麼容易。VPN隧道中的所有資料本身經過了嚴格加密,如果直接在VPN傳送的路徑上部署入侵防禦系統、網絡防病毒系統等應用層安全設備,由於無法將資料從報文中解密,因此無法起到應有作用。而如果在VPN網關之後疊加部署多個安全設備,會對用戶的管理維護帶來進一步的壓力,同時大大提高整體的建設成本。
有沒有一種VPN方案能夠讓用戶解決上述安全性、維護成本和採購成本方面的問題呢?答案是肯定的,那就是採用統一威脅管理(UTM)設備構建企業的VPN體系。
4.採用UTM構建VPN
隨著整個信息產業的逐步前進,VPN技術的逐步成熟,VPN模塊已經成為各種網關產品的標準配置。作為安全網關功能集大成者的UTM自然也不能例外,作為傳統安全網關的終結者,UTM產品的VPN功能比傳統的IPSec VPN網關、防火牆或路由器有了較大的增強。採用UTM構建VPN體系的優勢主要包括:
UTM支持對VPN隧道內資料進行病毒過濾及入侵防禦
UTM作為VPN網關,本身就要負責資料的加密/解密工作,因此,如果採用UTM作為VPN網關設備,就可以實現對VPN隧道中資料的應用層掃瞄,並在這個基礎上實現病毒過濾、入侵防禦及其它應用層安全功能。
例如,對於H公司而言,如果採用UTM來構建其VPN體系,那麼通過UTM的網管防病毒功能和入侵防禦功能,可以大大降低病毒和木馬在VPN網絡中的傳播,並阻斷來自分支機構或合作夥伴網絡的惡意攻擊。
UTM同時支持IPSec VPN和SSL VPN
IPSec VPN在使用及部署中存在一些固有的體系問題,比如需要客戶端軟體、維護壓力大、存在穿越NAT/防火牆問題、存在系統兼容性問題等。而這些問題恰好是SSL VPN可以很好解決的問題。
SSL VPN最開始是作為單獨的網關形態出現,但人們很快發現,如果將SSL VPN與UTM設備結合起來,會給用戶帶來比單純的SSL VPN網關更大的客戶價值(主要體現在應用層安全上)。因此,SSL VPN已成為UTM產品的標準功能模塊。
如果H公司採用UTM設備來構建其VPN體系,那分支機構、合作夥伴、分廠等機構通過IPSec VPN接入到總部,而出差用戶則通過SSL VPN接入到總部。兩種VPN同時應用,可以取長補短,大幅降低整體的運維成本。
大幅降低採購成本和維護成本
採用UTM構建VPN系統,用戶不僅立刻節省了原本的防病毒網關、入侵防禦系統等採購成本,而且可大大節省設備後期運維成本。IT管理人員無需學習並維護多套不同類型的硬體系統,而只需對一台設備進行操作和配置。
可見,採用UTM產品構建VPN體系,能夠解決傳統的VPN解決方案中的不足,在保證用戶業務系統的連通性、可用性的前提下,通過入侵防禦/防病毒等功能模塊進一步提升系統的安全性,使VPN的價值--
提高生產效率和競爭力--得以真正體現。
(註:作者「陳勝權」現任職於啟明星辰公司。)
(