【编者按】
某公司总部设在深圳,分别在广州、成都、上海设有分支机构及办事处,每月的DDN租金及电话费是一笔不小的负担,采用sinfor网网通VPN后,公司拆除了昂贵的DDN专线,实现总部与分部的高性价比互联...
公司简介
深信服科技成立于2000年,正值宽带网络、企业信息化高速发展,用户的需求促进了VPN的诞生和高速成长。深信服科技自成立以来,一直专注于开发自主知识产权的“Sinfor网网通”系列VPN产品、并取得了多项发明专利,产品已广泛应用于500多家企事业单位及政府机构,连接着国内外数千个网络。
应用案例
某公司总部设在深圳,分别在广州、成都、上海等地设有分支机构及办事处。因业务需要,深圳与广州两地之间一直采用64kDDN进行一个SQL数据库的共享及文件传输,而其它分支机构只能采用电话、传真或E-mail等方式与总部取得联系,更不用说经常出差在外的各级经理与业务人员了。每月的DDN月租金及电话费是一笔不小的负担,采用了Sinfor网网通VPN之后,公司拆除了昂贵的DDN专线,以极高的性价比实现了各分支机构、移动用户与总部的互联。
下面就以广州、深圳两地的互联为例具体介绍一下Sinfor DLAN软件实施的过程。这两个地方均采用ADSL、服务器代理上网的方式接入Internet。当然,DLAN对于上网方式并不作限制,可以是ADSL、宽带甚至WLAN、GRPS、CDMA等任意接入方式。
Sinfors DLAN主要由MDLAN(总部模块)、SDLAN(分支模块)和PDLAN(移动模块)三个部分组成,其中前两个模块实现的是整个局域网的接入,PDLAN实现的则是单台PC的接入。
安装实施DLAN软件,整个过程只需几分钟时间。
移动用户的接入较为简单,这里就不做阐述了。最终的实现效果图如下所示:
整个方案的实施造价只是Sinfor DLAN的软件费用,而硬件设施则全部采用公司原有PC,另外由于拆除了之前的DDN设施,完全免除了月租费。
产品描述:
信息化的发展正在改变着企业传统的运作方式,越来越多的企业逐步依靠计算机网络、应用系统来开展业务,同时利用Internet来开展更多的商务活动。
稍具规模的企业都不会只有一个办公场所,而是具有总部、分公司、办事处、工厂等多个业务点。既然越来越多的应用了计算机和各类软件系统来处理企业业务,如何将位于不同地点的分支机构网络互联互通,就成了现代的企业必须解决的问题。
根据不同的需求、选择适合自身业务和网络需求的方案,并综合考虑产品的性能、特点和整体投资,是企事业IT人员甚至高层决策的根本出发点。选择VPN产品也存在着不同的层次,有适合大型企业的产品、有适合中等规模网络的产品、也有适用于小企业的产品;不同层次的产品又有不同的性能、技术特点和价格。但无论哪个层次的VPN产品,由于其在Internet上构建网络平台的共同特征,有以下几点是用户在选择VPN时都必须考虑的问题。
1、稳定性:
VPN是企业的基础网络平台,企业的各类应用系统都将在VPN平台上进行。所以,VPN系统的稳定性必须足够满足企业的业务应用需要,而不能出现经常性的网络中断,导致业务的中断。一般来说,规模越大的企业、对VPN平台的使用越频繁,对稳定性的要求就越高。也有部分中小规模的企业,由于其对系统的依赖性非常强,所以也需要稳定的VPN网络。
不同的VPN产品,其稳定性也是千差万别。但越稳定的产品、整体的成本肯定会越高,企业在选择时也必须考虑适合自身的稳定级别。例如高端的专用VPN硬件(高端的路由器或VPN服务器),由于其采用高性能的硬件架构、专用的VPN软件,具备非常高的稳定性;而一些低端的VPN产品、本身就采用了廉价的硬件(包括处理器、相关配件等)、往往又集成了除VPN之外的多种业务,难以保障高稳定性的要求,但成本较低。
深信服科技的Sinfor DLAN VPN采取了软、硬件分离的方案来适应企业对稳定性的要求。Sinfor DLAN VPN是纯软件的平台架构,用户可以根据自身对稳定性的需求、选择适合的硬件设施(如相应稳定级别的PC机或服务器),作为VPN网络的硬件平台。软、硬件分离的方案使得用户可以自主的选择适合自己的环境,整体投资相对于同档次的专用VPN高端硬件极大的降低。和低端的VPN产品相比,又解决了由于硬件档次过低而带来的不稳定因素,专业的VPN软件又带来了更安全、更可靠、性能更出众的VPN应用。
Sinfor DLAN VPN运行于操作系统底层,以服务的方式启动,稳定性和操作系统是同一个级别,经过大规模的用户实际运行,完全可以做到长时间的稳定运行,满足了用户对稳定性要求高、但不希望用过于昂贵的成本购买专用VPN设备的需求。
2、安全性:
VPN网络的运行基础是Internet,所有的数据也必须经过Internet进行交换,而这些数据都是企业的私密信息、不允许为无关人员所知,同时VPN网络是在开放的Internet平台之上构建的虚拟网络,也必须保证没有获得授权的用户无法接入VPN网络。
所以,综合考虑用户的具体应用和需求,VPN网络的安全性有三层含义:一是数据传输的安全;二是用户接入的安全;三是对内网资源的访问安全。
第一个层次:数据传输的安全,几乎所有的VPN产品都通过数据加密的方式来保障,这个技术已经比较成熟和公开,区别在于加密的级别和效率。目前应用比较多的加密算法有DES/3DES,DES算法由于加密级别较低、已经趋于淘汰,3DES算法加密强度高、但又对处理性能提出了较高的要求,导致处理性能较弱的低端VPN产品难以真正支持。
Sinfor DLAN VPN采用了AES 128加密算法,具有比当前 3DES 更好的安全性和更快的速率,AES 128 的性能大约是 3DES 的3倍左右,已经为众多国际领先的VPN厂商采用,因此,Sinfor DLAN VPN能够在保证数据安全的同时提供了更好的性能。
从VPN实际应用的角度考虑,第二个层次也就是用户接入的安全是更为重要的。因为数据的传输安全即使出现隐患、也需要较专业的人员才能破译,造成的也仅仅是部分信息的损失。而一旦有非法用户成功接入,那整个企业网络都将暴露给入侵者。现有的高端VPN产品大部分采用的是证书交换的方式、来确保用户的真实身份,但操作较烦琐、需要专业的人员来实施;而低端的VPN产品由于技术所限、同时又要适应专业性不强的用户使用,往往只进行了简单的用户名和密码认证,这就留下了极大的安全隐患。
Sinfor DLAN VPN采用了深信服科技的发明专利技术(基于硬件特征的身份认证技术)来解决用户的接入认证问题。该技术将接入用户的身份鉴别与计算机的硬件特性进行绑定,由于每台计算机具备唯一的硬件身份(如网卡的MAC地址、硬盘和CPU的特征码等),而且具有不可伪造的特性,DLAN VPN在用户接入之前、会自动对该请求接入的计算机进行硬件特性的比对。这就保障了只有指定的计算机设备才能接入企业VPN网络,只需在首次接入前完成人工认证,以后接入时的认证过程全部由系统自动完成,无须人工干预。通过这种技术的采用,即便接入的用户名、密码等账号信息泄露也不会造成非法用户的接入,无需使用人员有很高的计算机安全知识就能确保VPN系统的安全,大大降低用户使用VPN的技术门槛。
另外,Sinfor DLAN VPN还增强了对内网的安全设置,保障了第三个层次 D D内网资源访问的安全。大部分VPN产品是一旦确认了远程用户的合法身份,用户就可以不受限制的访问全部内网资源。而实际上,大部分企业并不希望远程用户能不受限制的进行访问,而是有条件的进行访问,尤其是接入的VPN用户并非是企业内部工作人员(如供应商、客户、合作伙伴等)时,对VPN用户访问权限需要更严格的设定。Sinfor DLAN VPN提供了对内网访问权限的细致设定,可以对不同的用户分配不同的权限规则,避免内部出现的安全隐患,一个合法的VPN用户接入总部后,他对总部资源的访问权限能够被限定在一个很小的范围内,例如总部有多个应用系统(如OA、财务、HR、CRM等等),一个普通的业务人员在联入VPN后只能访问OA或CRM,而公司领导则可以同时访问所有的应用系统,所有的这些权限都可以通过简单的配置迅速完成,极大的方便了IT安全部门的管理工作。
3、速度:
虽然说现有的宽带已经远远好于过去的窄带网络(如MODEM),但用户对带宽的要求是无止境的。另外,由于VPN网络承载的是企业的内部应用,如文件共享、拷贝等,习惯了局域网内10M/100M速度的用户,对速度的要求也非常高,应用的速度也会极大的影响企业的运作效率。
VPN由于对数据进行了安全性的封装,同时进行了加密处理,从原理上说、就会比实际的Internet接入带宽要低。高端的VPN处理速度快,而低端的设备由于处理器性能较差极大的影响了VPN速度。
Sinfor DLAN VPN通过两种方式,进一步提高了VPN的速度。首先是数据流压缩技术,Sinfor DLAN VPN内置了数据压缩算法,对所有的传输数据进行压缩之后、再传输,这就在无形中极大的提高了带宽,经实际测试、很多应用情况下甚至比直接连接还要快。以下是Sinfor DLAN VPN在两端通过ADSL连接时,进行文件拷贝和SQL数据库查询时的性能比较:
另外,由于部分用户对速度的要求非常高,而Internet带宽的发展毕竟有个时间。Sinfor DLAN VPN为满足这些用户的需求,特别增加了多线路捆绑的功能。用户可以申请