左右为难专家解惑之VPN选型

发表于:2007-06-23来源:作者:点击数: 标签:
◎ 点评人 锐捷网络行业营销经理 田稼源 Juniper网络公司大中华区新兴技术经理 吴若松 新华信正略钧策管理咨询有限公司 顾问 吕谋笃 深信服科技高级产品经理 叶宜斌 ◎ 案例 鹿先生是圣中集团通信中心的主任,最近他所在的集团正在进行VPN的选型,为了这件事

   
  ◎ 点评人
  
  锐捷网络行业营销经理 田稼源
  
  Juniper网络公司大中华区新兴技术经理 吴若松
  
  新华信正略钧策管理咨询有限公司 顾问 吕谋笃
  
  深信服科技高级产品经理 叶宜斌
  

  ◎ 案例
  
  鹿先生是圣中集团通信中心的主任,最近他所在的集团正在进行VPN的选型,为了这件事情,他觉得有些困惑。
  
  前一段时间公司总部上了一套ERP系统,需要下属分公司都能通过这套软件,向总部上报信息和实现各分公司信息共享,这样分公司必须能够访问总公司的数据库,总公司对其进行统一管理。但目前由于下属分公司和总公司之间没有建立内部局域网,为了能访问公司总部的服务器,下属分公司只能通过上网后,在搜索总部在公网上设定的固定IP机器,再通过远程桌面共享的形式进行ERP软件的使用。
  
  在广域网上进行连接,就会涉及到数据保密和病毒入侵的问题。为了解决这些问题,鹿先生看中了VPN(虚拟专用网,Virtual Private Network)。VPN是在公众网络上所建立的企业网络,可以拥有与专用网络相同的安全、管理等功能特点。
  
  结合圣中集团的特点来看,圣中集团是一家集科、工、贸于一体的大型企业,是以环保建材、木制建材、房地产开发为主导产业,以国际贸易为辅的集团公司。集团的网络系统由总部的总公司和下属20余家分公司和组成(其中外地规模较大的分公司就有10余家),在北京、大连、广州、上海和美国、俄罗斯、阿联酋的首都迪拜等都有分公司。目前公司总部与驻外下属分公司没有实现统一的内部局域网,只能通过公网来处理事物。
  
  公司希望通过实施VPN,能够实现下属分公司和移动用户与总公司的办公网互联,形成一个大的内部私有网络,可以达到内部机器互相访问,并且能为以后在网络中建立其他应用系统打下基础。
  
  听人介绍,VPN不仅能实现这些要求,而且相对于广域网在安全方面的欠缺,VPN还能够保障数据传输的安全性和保密性。鹿先生很高兴,看起来建立VPN以后就可以高枕无忧了。可是,新的问题又出现了。
  
  鹿先生原来是学法律出身,来到通信中心也只有一年多的时间。对这些专业技术并不是很在行,现在要研究VPN,却发现VPN原来还有很多种。有IPSEC VPN和SSL VPN,以硬件防火墙为主的VPN和以VPN为主的硬件防火墙,转发形式基于软件上的VPN和基于硬件上的VPN。
  
  看完这些,鹿先生感到很困惑。也有厂商主动提供策划方案,但是不够详细。厂商们都在推销自己的产品,说的都是VPN的优点,缺点提得很少。也看了很多家厂商的推荐,各个厂商之间一些相关的数据也都不太一样,区分也不一样。究竟哪个适合自己的集团,还真不好说。
  
  这样下来鹿先生感到十分迷茫,就像在茫茫的大海里找东西,不知道该从哪里入手了。VPN是不是真的那么好?到底哪种类型的VPN能够解决问题?用什么组网方式最好?哪家的产品更适合自己集团的需要呢?
  
  观点一:
  
  总部安装VPN网关加防火墙,小型分支机构只安装网关,做到安全与投资最大性价比。
  
  需求决定应用平台
  
  锐捷网络行业营销经理 田稼源
  
  如何解决企业与分支机构安全地进行资源共享的问题,现在看来,采用VPN是最合适的方法。
  
  从现在的需求情况来看,圣中集团在国内外都有较多的分支机构。目前的问题是公司总部与驻外下属分公司没有实现统一的内部局域网,办公软件、进销存软件等,ERP系统、财务软件都运行在公网上,安全得不到保障。选用专线第一存在跨区域部署困难的问题,第二是费用非常昂贵,第三是专线并不等于安全。那么如何解决企业与分支机构安全地进行资源共享的问题,现在看来,采用VPN是最合适的方法。
  
  基于这样的需求和目标,我们来看一下现在常见VPN技术的优缺点:
  
  PPTP和L2TP
  
  PPTP协议是微软公司提出来的,PPTP已被嵌入到NT4操作系统中,并被用于Microsoft的路由和远程访问服务,它是数据链路层上的协议。
  
  L2TP协议是PPTP协议和Cisco公司的L2F组合而成,可用于基于Inte.net的远程拨号方式访问。它有能力为使用PPP协议的客户端建立拨号方式的VPN连接。
  
  PPTP/L2TP并不能解决形成大的内部私网的问题,同时由于其用户数受限,也不能适应企业发展,因此,这种模式是不适合的。
  
  SSL VPN
  
  安全套接字层(Secure Socket Layer,SSL)属于高层安全机制,广泛应用于Web浏览程序和Web服务器程序。在SSL中,身份认证是基于证书的。
  
  优点:SSL VPN技术帮助用户通过标准的Web浏览器就可以访问重要的企业应用。这使得企业员工出差时不必再携带自己的笔记本电脑,仅仅通过一台接入了Internet的计算机就能访问企业资源,这为企业提高了效率也带来了方便。
  
  缺点:对于非web页面的文件访问,往往要借助于应用转换。有的SSL VPN产品所能支持的应用转换器和代理的数量非常少,有的能很好地支持了FTP、网络文件系统和微软文件服务器的应用转换。 但是并不能真正形成局域网对局域网的应用,形成一个大的私有网络。
  
  从上面的分析来看,SSL VPN的部署和应用会非常方便。但是如果考虑到企业今后的应用,比如说一些网络协同开发软件的使用,一些局域网内部非基于web页面的应用,IP语音的安全应用等,则SSL VPN则可能达不到很好的支撑。
  
  IPSec VPN
  
  IPSec是IETF支持的标准之一,它是第三层即IP层的加密。 IPSec不是某种特殊的加密算法或认证算法,也没有在它的数据结构中指定某种特殊的加密算法或认证算法,它只是一个开放的结构,定义在IP数据包格式中,不同的加密算法都可以利用IPSec定义的体系结构在网络数据传输过程中实施。
  
  信息产业部电信研究院通信标准研究所的专家何宝宏曾经指出,IPSec是到目前为止最为安全的协议。同时IPSec VPN能够真正解决局域网之间的互联,形成一个真正的私有网络。另外,从发展的角度来看,IPSec VPN也能够为将来的应用发展提供良好的支撑,不局限于应用的形势是基于web还是其他环境。
  
  在上述讨论后,我们建议方案拓扑图如下:
  
  总部和大型分支机构安装IPSec VPN网关,同时加装防火墙,确保核心业务正常运行,同时保护内网不受攻击;小型分支机构仅安装IPSec VPN网关,做到安全与投资的最大性价比。IP语音在VPN网的基础上实现整网规划、整网实施,实现新的语音网建设的同时,融合原有的PSTN网,降低企业经营费用,提升企业在市场中的竞争力。
  
  观点二:
  
  多种VPN技术相结合,同时还要注意安全保障
  
  具体情况具体分析
  
  Juniper网络公司大中华区新兴技术经理 吴若松
  
  圣中集团拥有一个典型的树型跨区域网络架构,使用VPN技术实现各地网络经济安全的互连,应该是一个很好的选择。
  
  VPN技术,也就是虚拟专网技术,是指在公共的互连网络中建立私有专用网络,数据通过安全的“加密管道”在公共网络中传播。企业只需要租用本地的数据专线,连接上本地的公众信息网,各地的机构以及各地员工就可以互相传递信息,安全地连接到企业网当中。使用VPN技术,可以有效的节省成本、避免了专线的昂贵费用,同时又可以提供远程的访问、持续的扩展和安全的访问控制等好处,是目前和今后企业网络发展的一个趋势。而圣中集团拥有一个典型的树型跨区域网络架构,使用VPN技术实现各地网络经济安全的互连,应该是一个很好的选择。
  
  结合到圣中网络的实际情况,其实我们可以采用多种VPN技术相结合的解决方案。因为每一种VPN的技术都有它最适合的环境和应用,比如IPSec VPN,最适合用于企业的各个分公司之间实现网络的虚拟互连。各个分公司网络对于圣中集团来讲,都可以看作是可信的网络,各个分公司内的主机,都是可信的主机,因此我们完全可以通过IPSec VPN这种网络层的连接,将大家的网络虚拟地连接在一起,进而实现了更加方面的使用和管理,比如我们可以统一地规划IP地址,统一地安全策略下发等等;而SSL VPN,最适合于在家办公的员工、移动办公员工、甚至合作伙伴和最终用户使用,这些用户的主机基本上都是不可信的动态变化的主机,而SSL VPN这样应用层的连接就可以进行很好的细粒度的控制。
  
  一、对于圣中集团网络中各分支机构的网络与总部网络之间的互联,建议使用IPSec VPN的解决方案。利用现成的Internet资源构建安全稳定的虚拟专网,提供专线级别的稳定性和安全性。它的优点在于:
  
  实施简单:只需为总部和每个分支机构部署一台VPN网关,即可以实现各机构网络之间的安全互联,高强度的加密隧道和完整性校验,保证在Internet上经过的数据不会被泄露(保证机密性)和篡改(保证完整性)。
  
  安全和增值服务:这里建议采用防火墙和VPN集成的安全网关,防火墙、VPN、抗拒绝服务攻击等众多安全技术的集成,在为集团各分支机构实现网络互联的同时,提供更全面的安全增值功能,实现最大化用户的投资效益。
  
  扩展性好:集团公司可以非常轻松地扩展新网点,当发展了新的分支机构后,只需在新网点部署一台安全网关设备即可将其接入现有网络。无论是建设周期还是实施复杂度、投资费用都比专线要划算得多。
  
  二、为圣中集团网络的移动用户部署SSL VPN的方案。对于圣中集团的移动业务人员,重要的是可以随时随地、快捷、方便并且安全地访问公司内部网络,及时获取他们所需的信息;而那些原先不具备互联条件的小型营业点也能经济、快捷地接入整个公司网络。另外,利用通过SSL VPN, 集团公司的业务伙伴和关键客户也能通过Internet方便安全地访问集团公司对他们开放的信息资源,也可以实现安全有效的电子商务。它的优点在于:
  
  实施简单,只需要在公司总部部署一台SSL VPN设备即可利用Internet实现全国移动群体的安全接入,而不需要再安装其它任何设备或客户端软件,而且不要改动内网服务器的任何配置。
  
  使用方便,接入的客户端不需要安装任何客户端软件,不需要掌握任何VPN知识,不需要任何复杂操作过程,就跟在公司内部本地使用局域网资源一样简单。
  
  随时随地的接入,远程用户可以在咖啡厅、机场、酒吧等任何可以上网的地方,在任何时间任何地点使用任何的电脑(不管是自己的笔记本还是公共场所的电脑)甚至是手机、 PDA掌上电脑,及时安全地接入公司网络。
  
  成本低且扩展性好: 当增添了新的移动业务人员或拓展了新营业点、办公室后,不用再添置任何设备或再安装任何软件。真正做到新开辟的业务点只要能接入Internet,就能即时与公司网络安全连通。
  
  安全,SSL VPN的安全性级别很高,全面的客户端主机安全检查,可以保证只有符合集团安全策略的主机才可以接入;细粒度的访问控制,保证只有得到授权的用户,才能访问相应的资源。
  
  VPN系统的采用,可以有效地解决远程访问的问题,从安全性上讲,VPN主要实现了在不可信网络上的数据安全传输。但是,VPN实现互连的同时,也会带来相应的安全隐患,如各地分公司网络的接入,来自于网络内部的安全威胁也相应的增加了。
  
  因此,建议圣中集团同时采用相应的身份认证机制和安全访问控制机制,利用身份认证和授权,有效的区分不同用户的访问权限,并利用其与VPN系统或者访问控制系统的结合,保证只有授权的用户可以访问指定的资源;也可以利用其他的安全手段,如入侵防护系统等,进行应用访问的威胁控制,通过安全策略制度的制定和培训,提高员工的安全意识。在保证公司网络扩展性和可用性的同时,最大限度地保证网络的安全性。
  
  观点三:
  
  IPSEC VPN和SSL VPN结合同时解决网间互联和移动办公需求
  
  适合自己的,才是最好的!
  
  深信服科技高级产品经理 叶宜斌
  
  不同规模的企业、不同的业务模式,相应的对VPN产品的要求也不尽相同。只有适合自身业务需求和未来发展的专业VPN产品,并且整体投资适度、性价比高,才是最好的产品。
  
  到底如何选择一款好的VPN产品?对于企业用户来说,根据不同的需求、选择适合自身业务和网络需求的方案,并综合考虑产品的性能、特点和整体投资,是企事业IT人员甚至高层决策的根本出发点。
  
  不同规模的企业、不同的业务模式,相应的对VPN产品的要求也不尽相同。只有适合自身业务需求和未来发展的专业VPN产品,并且整体投资适度、性价比高,才是最好的产品。
  
  目前稍具规模的企业,都不仅只有一个办公场所,而是拥有众多的分公司、办事处、工厂等。随着企业信息化的发展,越来越多的应用系统开始用来处理企业的各项业务,如何将公司总部的各项应用系统推广到各个分支机构、办事处,实现应用系统的实时、统一的管理,就成为当前众多企业所面临的问题。正如点评话题中所提到的圣中集团,如何安全、高效地使用ERP软件将各地的数据集中上传、统一管理,以及实现集团内部的信息共享等问题,成为困扰众多CIO的一个难题。
  
  国内的宽带网络发展从2000年开始,已经得到了极大的发展。企业用户接入Internet逐步过渡到ADSL等宽带方式,资费也能够被用户所接受、并有进一步下降的趋势。VPN从不为人所知、到逐步地被用户了解和认同,并且已经有很多信息化程度领先的企业选用了相关的VPN方案来构建企业远程网络平台。因此,点评话题中所提到的圣中集团,完全适合使用VPN的解决方式来解决其上述问题。
  
  目前主流的VPN产品大部分是通过隧道技术来保证其数据的安全性。隧道技术有两种:一种是工作于TCP/IP协议中网络层的IPSec 协议,另一种是工作于应用层的SSL协议,两者都有很好的保密性和安全性。IPSec VPN主要是用于异地网络的远程互连,两个网络之间需要安装IPSec VPN的客户端并需要进行复杂的配置。而SSL VPN最大的优势就是无需客户端,只需要标准的IE浏览器就能够通过SSL协议连接到总部网络。
  
  当前IPSec VPN已经能够较好地解决企业网间互连方面的问题,由于工作在网络层,采用安全的IPSec协议和PKI密钥分发体系,IPSec VPN能够安全地保证重要数据在公网上的传输。但是在易用性方面,IPSec VPN就显的有些力不从心。随着“移动办公”的需求逐渐升温,传统的IPSec VPN在易用性方面已经无法满足新的需求(IPSec VPN需要安装IPSec 客户端,进行复杂的配置等),众多企业迫切需要通过一种新的技术来实现便捷的移动办公。
  
  因而SSL VPN孕育而生。移动办公人员可以通过浏览器利用无处不在的网络使用SSL VPN安全访问企业的内部资源。但是由于SSL VPN是工作在应用层上的,在解决企业网间互连方面就不如IPSec VPN。因而,若能在一台设备内同时提供IPSec和SSL 两套VPN技术,同时解决网间互连和移动办公的需求,将能解决绝大部分企业用户的需求。深信服科技就推出了IPSec和SSL一体化的安全网关,实现了一套设备内同时支持IPSec和SSL 两种协议,对于用户来说,将是一个不错的选择。
  
  观点四:
  
  专用网络还是VPN,还要仔细斟酌
  
  专用网络还是VPN?
  
  新华信正略钧策管理咨询有限公司顾问 吕谋笃
  
  如果仅考虑ERP应用,VPN应该是一个不错的选择,但考虑到信息化建设的持续性,那么决策过程要复杂的多。
  
  点评话题中提到的圣中集团通信中心面临的困难实际上是广域网链路选择问题,这一问题在企业信息化建设中具有一定的普遍性。企业应该如何面向未来进行企业的网络基础建设?在众多的网络互联方式中,哪一种最适合企业?选择的依据又是什么?选择的链路其安全性、稳定性是不是能够满足业务的要求?这些问题均在不同程度上困绕着企业。就目前圣中集团的信息化应用水平来说,我认为如果仅考虑ERP应用,VPN应该是一个不错的选择,但考虑到信息化建设的持续性,那么决策过程要复杂得多,下面我们围绕这个问题进行简单的讨论。
  
  首先,我认为一个企业广域网的链路选择,必须建立在IT规划基础之上。通过对企业未来5~10年的战略剖析、业务流程梳理、信息化现状以及信息技术发展趋势的分析,明确企业未来信息化需求以及信息化的建设步骤。只有在确定信息化需求及建设内容之后,才能够准确计算企业网络通信量及理清网络要求,才能在一定时期内保证网络基础平台的高效性、先进性,最大程度的保护投资,避免重复建设。
  
  一般来说,企业的远程接入方式主要由以下几个方面决定:
  
  1、企业应用的网络流量
  
  如何估算企业未来信息化应用的带宽需求,是建设经济型网络的理论依据。我们认为,计算网络带宽应该综合考虑数据及文件传输、各应用系统传输以及音频视频传输三方面因素。
  
  ◆ 数据传输及文件下载
  
  带宽估算的简单公式如下:
  
  带宽=F×O×8÷R
  
  F是待传输的大批量数据的大小,O是协议开销因子,R是所需的终端用户传输时间。开销因子表明了每个TCP段必须的TCP/IP和链路层开销。对于一个1024字节的段来说,协议开销因子约为[(1024+48)÷1024]-1=0.05,即大约为5%。用户可以容忍的最大传输时间通常为3~5s(包括所有的延时)。
  
  ◆ 应用系统
  
  目前企业级的应用系统(如OA、ERP、EIP、BI等)大部分以三层架构为基础,在客户端提供网页支持,客户在访问系统时均需要耗用一定的通信资源。
  
  因此,要提出准确所需要的带宽是很困难的。一般情况下,我们仅按照基本的网络带宽(即并发用户数每屏2K)进行测算。
  
  ◆ 视频会议
  
  企业视频会议是建设基础网络必须要考虑的一个方面。使用基于最坏情况下的带宽需求经验公式,可以将现有的企业内部语音话务量及视频数据作为基础数据,来进行对网络带宽的估测。
  
  音频:传统语音网络上使用的G.711编解码算法(64kbit/s)是最耗带宽,但是能够提供最好的语音质量。如果按照多数语音网关的设置,每20毫秒的语音数据打成IP包,语音包在打成IP包时按IP/UDP/RTP顺序封装,考虑每个IP包要加入40字节的IP包头的原因,每个会话的带宽需求是80kbit/s。
  
  视频:根据视频会议系统要求,用户提供384 kbit/s以上的带宽保证,则能提供每秒20帧以上的CIF格式的视频效果,在该效果下,视频较果较为流畅。
  
  以上计算的带宽仅是理论值,考虑到编码的效率,帧间隙,数据包头等因素,网络的实际传输能力,从应用层来看最多有 70%~80%,通过公式折算,我们就会得出网络流量的测算值,以此来判断企业的带宽需求,进而判断适合企业的网络接入方式。
  
  2、网络应用的安全性要求
  
  专用网络在通信中的安全性,是通过物理传输介质隔离来实现的,其传输安全性得到了最大程度的保障。
  
  VPN是基于公用网络实现对企业内部专用网络进行远程访问的连接方式,其安全性取决于隧道技术(Tunneling)、加解密技术(Encryption & Decryption)、密钥管理技术(Key Management)、身份认证技术(Authentication)。这些技术的成熟度决定了VPN方式的安全性。
  
  当然,VPN的安全性也取决于隧道协议,目前主要隧道协议有四种:PPTP、L2TP、IPSec和SSL,PPTP和L2TP协议是工作在OSI/RM开放模型中的第二层,较少用到,IPSec为第三层隧道协议,应用较广,SSL是近年来发展起来的协议,为应用层协议,其安全性要比IPsec差,但由于易用性等原因在近几年有较大发展。
  
  3、网络应用的稳定性要求
  
  在稳定性方面,由于采用运营商提供的专有网络通道,专用网络带宽能够得到保障,稳定性也是最好的。
  
  VPN虽然在理论上能够提供足够的带宽,但由于受到各地ISP本身带宽的制约,受到网络流量波峰波谷的影响,VPN的稳定性要逊于专用网络。
  
  总之,考虑企业广域网的接入方式,必须充分考虑未来信息化需求以及通信安全性稳定性要求,然后对比各种接入方式的特点,才能选择适合企业的广域网接入方式。

原文转自:http://www.ltesting.net