方向选择:软件还是硬件? 在VPN领域里面,其实一直以来软件和硬件都是一个系列产品提供给用户的。国外的产品CISCO、NORTEL都是有软件方式和硬件方式。软件主要是提供给移动用户使用的。一般在出差的时候,通过软件客户端临时接入总部进行远程办公。 VPN技术引入中国之后,软件的方式被一些软件开发商发展为了软件VPN的产品。从功能设计上可以作为VPN网关使用。为什么很多专业开发VPN产品的公司不单独把VPN用全部软件的方式去实现呢? 以下的比较,是针对纯软件方式实现VPN和采用硬件设备+移动客户端的方式来实现VPN的方式的比较。 1.综合性能 软件VPN一般都采用Windows操作系统,硬件VPN一般采用专用操作系统来实现的。Windows设计上就是桌面办公系统,如果采用windows sever系统来说,需要消耗大量的硬件资源。 APN系列产品采用Linux操作系统开发,针对Linux核心开发运行于自己系统的操作系统APNOS。在硬件配置相同的情况下,WINDOWS的性能与稳定性要比LIUNX差很多。软件VPN是安装在PC或SERVER中的,所有的信息均存贮在硬盘中,而且受到病毒,黑客攻击的可能性较大。而硬件VPN的系统存贮在Flash中的,一般很难受外界的影响,如果运行在RAM中的信息受损,完全可以通过重新引导就可立即解决这个问题。 结论:硬件VPN比软件VPN需要更少的系统资源,为了到达和硬件VPN的性能相对的指标,软件VPN需要的计算机配置要数倍于专用硬件VPN。 2.系统的安全 Windows 除内核外还包括用户界面 (UI) 以及大量的应用软件,这些大量的软件、GUI等都会可能导致更多的 Windows 技术漏洞。而Linux的核心很小,开放源码的设计可以让网络应用更加安全可靠。 目前出现的病毒和攻击工具,大多数都是针对windows系统的。几乎很少有病毒可以感染Linux,基于这两个不同的系统做开发出的VPN产品,从根本上决定了VPN的安全区别。作为企业内部与Inte.net之前的桥梁,也作为信息远程传输的设备,VPN设备的安全性是至关重要的。此设备主机系统的安全是首要的,如果此系统不安全,所有的通讯安全都无从谈起,危害系统主机的非授权对主机的进程,表现形式为:病毒,木马,蠕虫、后门、漏洞。以下分析比较主机不安全因素的影响及范围。 l 病毒:大多是被对传染,此类程序一般都比较小巧,表现为强传染性,会传染它能访问的文件系统中的文件。绝大多数计算机病毒发作后会影响系统运行速度,有的会恶意的破坏计算机软件,甚至于硬件,比如CIH病毒发作后会清BIOS内容,使计算机无法启动。美国权威反病毒机构ACSA在2003年第六届亚洲反病毒协会年会(AVAR2003)上提交了一份病毒疫情调查报告其中指出,目前世界上共有8万多种基于windows病毒。由于Linux/UNIX或是专有系统的文件系统权限机制,及其完全不存在“盗版”的开放源码形式的软件发布。病毒无法在这些系统上传播,特别是作为产品的经过精心裁减的开放源码的嵌入式操作系统,病毒是不存在的。 l 蠕虫:是一类利用网络进行传播的程序,此类程序有合法的,但大多数是非法的,这类程序利用主机提供的服务的缺陷进行攻击目标机,目标机一旦感染后,一般会随机选择一段IP地址进行扫描,找到下一个有缺陷的目标进行攻击。此类程序对于网络危害很大,常常导致国际互联网大阻塞,此类型程序最早于UNIX系统上实现,在近10年以内有针动UNIX/LINUX和此类程序出现过,如针动DNS解析的服务程序BIND的Lion蠕虫。2000年以后大多数蠕虫以WI NDOWS为攻击对象。有很多的例子,如波击波,震荡波等等。 l 木马:是网络程序攻击成功后有意放置的程序,用于与外面的攻击程序接口,以非法访问被攻击主机为目的。这也是绝大多数基于windows系统的。 l 后门:是写系统或网络服务程序的公司或是个人放置于系统之上,以进行非法访问为目的的代码。此类程序只存在于不开放源码的操作系统之中。 l 漏洞:由于程序编写过程中的失误,导致系统被非法访问。在有很大数量用户进行代码分析、测试的开放源码系统中,漏洞会很少。 通过以上几个方面的论述,虽然windows作为桌面办公系统十分普及,但是如果作为网络通讯的网关设备的承载系统,其安全性明显要低于基于Linux开放源码设计的系统。 APNGW基于Linux系统核心2.4开发,经过优化和裁减,全部系统才不到4M大小。 结论:基于Linux开发的VPN系统,明显在防病毒攻击、安全漏洞上要远远高于基于Windows系统的软件VPN。 3.可靠性 软件VPN采用Windows系统作为系统的根基,其可靠性取决于安装这个软件的PC机。这在一定程度上说明了软件VPN的可靠性是不可控制的。而且依赖于Windows系统,系统其他的软件导致的冲突或者资源占用的情况也会对VPN的可靠性带来影响。 硬件VPN一般都采用专用的硬件,在可靠性方面可以得到良好的控制。一般采用工业主板,其平均无故障时间明显多于PC机。 APNGW采用我公司独立开发的硬件,基于0.18微米CMOS的RISC架构的高速低功耗CPU,具有完整的MMU功能,哈佛总线结构,集成了8K/16K指令高速缓存和8K/16K数据高速缓存;内置贴片RAM、DOC(Disk on Chip);低功耗设计,为长期稳定的工作充分考虑。由于整个产品采用低功耗、嵌入式设计,无需风扇,可以胜任恶劣的环境,能够长期稳定可靠的工作。 结论:硬件VPN的可靠性是专用硬件来保障的,而软件VPN可靠性存在不确定因素。 4.安装维护 软件VPN看起来安装比硬件VPN似乎要简单,因为软件可以直接在电脑上安装,而硬件VPN需要连接线路,网线等等。但是整个VPN系统的实施需要安装和调试两个部分组成,所以不能简单比较安装过程。 APNGW产品才有独特的License管理机制,让VPN通讯的调试过程变得非常轻松。 而在系统维护方面,软件VPN明显的不如硬件VPN。因为软件维护的不光是VPN软件,还需要维护整个PC系统,任何导致PC的windows系统的不稳定因素例如病毒、攻击、硬件的兼容性、软件的兼容性甚至某一项设备的驱动都可能导致软件VPN的故障;而硬件VPN一般采用专用硬件,维护量很少。在远程维护方面,APN产品可以通过telnet或者WEB方式远程登陆,而基于windows的软件VPN就难以提供这样的功能。APN在设计上还独创了智能向导功能,可以智能指导用户维护,同时,明确的系统指示灯和独创的动态DPIO指示灯可以很直观的反映设备运行状态。 结论:在安装方面的比较需要视不同的VPN产品而定;但是维护方面明显的硬件要优于软件。 5.稳定性 VPN产品由于需要长期运行,稳定性显得十分重要。为了让设备可以24×7运行;需要考虑很多方面的因素。例如是否有病毒干扰、硬件是否稳定、系统设计是否智能等等因素。 从软件VPN和硬件VPN的核心上考虑,基于Windows系统的软件在稳定性方面上肯定是不能和基于Linux核心的专用系统相比较的。 从硬件的稳定性上讲,基于软件的VPN产品主要依赖于PC的稳定性,而硬件VPN产品是靠专用硬件来完成的。 从系统设计上来说,基于windows的软件VPN产品对底层的控制非常有限,例如要完成PPPOE拨号是否成功的检测,要启动一个DHCP服务,要做QOS,等等,一般都是通过调用windows的API函数来完成,功能十分有限;而Linux的设计初衷就是为了网络服务,可以很好的结合内核程序,解决以上类似问题。 APN产品的设计充分考虑了以上环节,产品设计上充分智能化。例如可以智能检测隧道信息是否畅通和自动恢复;可以智能判断是否广域网络故障;可以智能指导用户查询故障原因等。 结论:稳定性涉及多方因素,软件VPN产品由于依赖于其他硬件和系统,某些方面无法控制,所以和硬件VPN相比,稳定性难以保证。 6.成本 采用纯软件的VPN,可以节约成本吗?一般从表面看来,软件产品由于没有要求客户有额外的硬件投入,所以市场价格往往很低。但是综合考虑,VPN的成本主要包含那些呢? VPN网络的成本可以简单归纳为产品成本和维护成本。 如果选择软件产品,需要额外的投入一台电脑,这包含了硬件PC的成本和windows操作系统的成本。 使用 Windows XP 的用户相信对此尤有切身体会。每张 Windows XP 光盘只能安装在一台电脑上,不仅如此,重装操作系统或更换一定数量的硬件都会导致 Windows 反盗版机制的干预,使得用户必须向 Microsoft 索要新的序列号。相比较之下 Linux 不仅可以免费下载,而且可以安装在任意数目的机器上。基于Linux开发的硬件VPN这个优势是不言而喻。 如果用户已经有了一套PC,使用软件VPN是否就可以认为是比较便宜了呢?试想,如果客户的整个局域网都需要一个PC作为VPN的网关,连接远程的桥梁,一定是需要这个PC是十分稳定,7×24小时高效运行,能够让它在完成加密、解密的关键义务的过程中,还要处理word文档,excel表格吗? 而维护成本方面,维护软件的VPN需要考虑PC器的稳定,需要时刻注意windows系统的漏洞,防止病毒,防止软件之间的冲突等等,额外的维护量是额外的高额成本之一;而硬件VPN就可以很少考虑这方面的因素。 APN产品在设计上为用户充分考虑,采用性能价比很高的硬件设计,为客户提供VPN功能的同时,对产品的稳定性、可靠性、智能性做了很多方面的细节设计,最小程度的减少客户的维护成本。 结论:综合考虑,软件VPN的成本并不低,因为VPN的成本需要整体考虑,不能简单看到产品的市场价格。 7.总体结论 如果客户对一般软件使用和windows系统十分熟悉,建设的网络结构比较简单,对网络性能、QOS无十分严格的要求,正好又有闲置的、高配置的、装有正版windows系统的机器,软件产品可以在一定程度上体现价格优势。 如果建立的VPN网络,考虑系统安全、长期稳定运行、维护成本、良好的综合性能等等因素,硬件VPN产品具有软件产品不可比拟的优势。