◎ 案例
鹿先生是圣中集團通信中心的主任,最近他所在的集團正在進行VPN的選型,為了這件事情,他覺得有些困惑。
前一段時間公司總部上了一套ERP系統,需要下屬分公司都能通過這套軟件,向總部上報信息和實現各分公司信息共享,這樣分公司必須能夠訪問總公司的數據庫,總公司對其進行統一管理。但目前由于下屬分公司和總公司之間沒有建立內部局域網,為了能訪問公司總部的服務器,下屬分公司只能通過上網后,在搜索總部在公網上設定的固定IP機器,再通過遠程桌面共享的形式進行ERP軟件的使用。
在廣域網上進行連接,就會涉及到數據保密和病毒入侵的問題。為了解決這些問題,鹿先生看中了VPN(虛擬專用網,Virtual Private Network)。VPN是在公眾網絡上所建立的企業網絡,可以擁有與專用網絡相同的安全、管理等功能特點。
結合圣中集團的特點來看,圣中集團是一家集科、工、貿于一體的大型企業,是以環保建材、木制建材、房地產開發為主導產業,以國際貿易為輔的集團公司。集團的網絡系統由總部的總公司和下屬20余家分公司和組成(其中外地規模較大的分公司就有10余家),在北京、大連、廣州、上海和美國、俄羅斯、阿聯酋的首都迪拜等都有分公司。目前公司總部與駐外下屬分公司沒有實現統一的內部局域網,只能通過公網來處理事物。
公司希望通過實施VPN,能夠實現下屬分公司和移動用戶與總公司的辦公網互聯,形成一個大的內部私有網絡,可以達到內部機器互相訪問,并且能為以后在網絡中建立其他應用系統打下基礎。
聽人介紹,VPN不僅能實現這些要求,而且相對于廣域網在安全方面的欠缺,VPN還能夠保障數據傳輸的安全性和保密性。鹿先生很高興,看起來建立VPN以后就可以高枕無憂了。可是,新的問題又出現了。
鹿先生原來是學法律出身,來到通信中心也只有一年多的時間。對這些專業技術并不是很在行,現在要研究VPN,卻發現VPN原來還有很多種。有IPSEC VPN和SSL VPN,以硬件防火墻為主的VPN和以VPN為主的硬件防火墻,轉發形式基于軟件上的VPN和基于硬件上的VPN。
看完這些,鹿先生感到很困惑。也有廠商主動提供策劃方案,但是不夠詳細。廠商們都在推銷自己的產品,說的都是VPN的優點,缺點提得很少。也看了很多家廠商的推薦,各個廠商之間一些相關的數據也都不太一樣,區分也不一樣。究竟哪個適合自己的集團,還真不好說。
這樣下來鹿先生感到十分迷茫,就像在茫茫的大海里找東西,不知道該從哪里入手了。VPN是不是真的那么好?到底哪種類型的VPN能夠解決問題?用什么組網方式最好?哪家的產品更適合自己集團的需要呢?
觀點一:總部安裝VPN網關加防火墻,小型分支機構只安裝網關,做到安全與投資最大性價比。
需求決定應用平臺
銳捷網絡行業營銷經理 田稼源
如何解決企業與分支機構安全地進行資源共享的問題,現在看來,采用VPN是最合適的方法。
從現在的需求情況來看,圣中集團在國內外都有較多的分支機構。目前的問題是公司總部與駐外下屬分公司沒有實現統一的內部局域網,辦公軟件、進銷存軟件等,ERP系統、財務軟件都運行在公網上,安全得不到保障。選用專線第一存在跨區域部署困難的問題,第二是費用非常昂貴,第三是專線并不等于安全。那么如何解決企業與分支機構安全地進行資源共享的問題,現在看來,采用VPN是最合適的方法。
基于這樣的需求和目標,我們來看一下現在常見VPN技術的優缺點:
PPTP和L2TP
PPTP協議是微軟公司提出來的,PPTP已被嵌入到NT4操作系統中,并被用于Microsoft的路由和遠程訪問服務,它是數據鏈路層上的協議。
L2TP協議是PPTP協議和Cisco公司的L2F組合而成,可用于基于Internet的遠程撥號方式訪問。它有能力為使用PPP協議的客戶端建立撥號方式的VPN連接。
PPTP/L2TP并不能解決形成大的內部私網的問題,同時由于其用戶數受限,也不能適應企業發展,因此,這種模式是不適合的。
SSL VPN
安全套接字層(Secure Socket Layer,SSL)屬于高層安全機制,廣泛應用于Web瀏覽程序和Web服務器程序。在SSL中,身份認證是基于證書的。
優點:SSL VPN技術幫助用戶通過標準的Web瀏覽器就可以訪問重要的企業應用。這使得企業員工出差時不必再攜帶自己的筆記本電腦,僅僅通過一臺接入了Internet的計算機就能訪問企業資源,這為企業提高了效率也帶來了方便。
缺點:對于非web頁面的文件訪問,往往要借助于應用轉換。有的SSL VPN產品所能支持的應用轉換器和代理的數量非常少,有的能很好地支持了FTP、網絡文件系統和微軟文件服務器的應用轉換。 但是并不能真正形成局域網對局域網的應用,形成一個大的私有網絡。
從上面的分析來看,SSL VPN的部署和應用會非常方便。但是如果考慮到企業今后的應用,比如說一些網絡協同開發軟件的使用,一些局域網內部非基于web頁面的應用,IP語音的安全應用等,則SSL VPN則可能達不到很好的支撐。
IPSec VPN
IPSec是IETF支持的標準之一,它是第三層即IP層的加密。 IPSec不是某種特殊的加密算法或認證算法,也沒有在它的數據結構中指定某種特殊的加密算法或認證算法,它只是一個開放的結構,定義在IP數據包格式中,不同的加密算法都可以利用IPSec定義的體系結構在網絡數據傳輸過程中實施。
信息產業部電信研究院通信標準研究所的專家何寶宏曾經指出,IPSec是到目前為止最為安全的協議。同時IPSec VPN能夠真正解決局域網之間的互聯,形成一個真正的私有網絡。另外,從發展的角度來看,IPSec VPN也能夠為將來的應用發展提供良好的支撐,不局限于應用的形勢是基于web還是其他環境。
在上述討論后,我們建議方案如下:
總部和大型分支機構安裝IPSec VPN網關,同時加裝防火墻,確保核心業務正常運行,同時保護內網不受攻擊;小型分支機構僅安裝IPSec VPN網關,做到安全與投資的最大性價比。IP語音在VPN網的基礎上實現整網規劃、整網實施,實現新的語音網建設的同時,融合原有的PSTN網,降低企業經營費用,提升企業在市場中的競爭力。
觀點二:多種VPN技術相結合,同時還要注意安全保障
具體情況具體分析
Juniper網絡公司大中華區新興技術經理 吳若松
圣中集團擁有一個典型的樹型跨區域網絡架構,使用VPN技術實現各地網絡經濟安全的互連,應該是一個很好的選擇。
VPN技術,也就是虛擬專網技術,是指在公共的互連網絡中建立私有專用網絡,數據通過安全的“加密管道”在公共網絡中傳播。企業只需要租用本地的數據專線,連接上本地的公眾信息網,各地的機構以及各地員工就可以互相傳遞信息,安全地連接到企業網當中。使用VPN技術,可以有效的節省成本、避免了專線的昂貴費用,同時又可以提供遠程的訪問、持續的擴展和安全的訪問控制等好處,是目前和今后企業網絡發展的一個趨勢。而圣中集團擁有一個典型的樹型跨區域網絡架構,使用VPN技術實現各地網絡經濟安全的互連,應該是一個很好的選擇。
結合到圣中網絡的實際情況,其實我們可以采用多種VPN技術相結合的解決方案。因為每一種VPN的技術都有它最適合的環境和應用,比如IPSec VPN,最適合用于企業的各個分公司之間實現網絡的虛擬互連。各個分公司網絡對于圣中集團來講,都可以看作是可信的網絡,各個分公司內的主機,都是可信的主機,因此我們完全可以通過IPSec VPN這種網絡層的連接,將大家的網絡虛擬地連接在一起,進而實現了更加方面的使用和管理,比如我們可以統一地規劃IP地址,統一地安全策略下發等等;而SSL VPN,最適合于在家辦公的員工、移動辦公員工、甚至合作伙伴和最終用戶使用,這些用戶的主機基本上都是不可信的動態變化的主機,而SSL VPN這樣應用層的連接就可以進行很好的細粒度的控制。
一、對于圣中集團網絡中各分支機構的網絡與總部網絡之間的互聯,建議使用IPSec VPN的解決方案。利用現成的Internet資源構建安全穩定的虛擬專網,提供專線級別的穩定性和安全性。它的優點在于:
實施簡單:只需為總部和每個分支機構部署一臺VPN網關,即可以實現各機構網絡之間的安全互聯,高強度的加密隧道和完整性校驗,保證在Internet上經過的數據不會被泄露(保證機密性)和篡改(保證完整性)。
安全和增值服務:這里建議采用防火墻和VPN集成的安全網關,防火墻、VPN、抗拒絕服務攻擊等眾多安全技術的集成,在為集團各分支機構實現網絡互聯的同時,提供更全面的安全增值功能,實現最大化用戶的投資效益。
擴展性好:集團公司可以非常輕松地擴展新網點,當發展了新的分支機構后,只需在新網點部署一臺安全網關設備即可將其接入現有網絡。無論是建設周期還是實施復雜度、投資費用都比專線要劃算得多。
二、為圣中集團網絡的移動用戶部署SSL VPN的方案。對于圣中集團的移動業務人員,重要的是可以隨時隨地、快捷、方便并且安全地訪問公司內部網絡,及時獲取他們所需的信息;而那些原先不具備互聯條件的小型營業點也能經濟、快捷地接入整個公司網絡。另外,利用通過SSL VPN, 集團公司的業務伙伴和關鍵客戶也能通過Internet方便安全地訪問集團公司對他們開放的信息資源,也可以實現安全有效的電子商務。它的優點在于:
實施簡單,只需要在公司總部部署一臺SSL VPN設備即可利用Internet實現全國移動群體的安全接入,而不需要再安裝其它任何設備或客戶端軟件,而且不要改動內網服務器的任何配置。
使用方便,接入的客戶端不需要安裝任何客戶端軟件,不需要掌握任何VPN知識,不需要任何復雜操作過程,就跟在公司內部本地使用局域網資源一樣簡單。
隨時隨地的接入,遠程用戶可以在咖啡廳、機場、酒吧等任何可以上網的地方,在任何時間任何地點使用任何的電腦(不管是自己的筆記本還是公共場所的電腦)甚至是手機、 PDA掌上電腦,及時安全地接入公司網絡。
成本低且擴展性好: 當增添了新的移動業務人員或拓展了新營業點、辦公室后,不用再添置任何設備或再安裝任何軟件。真正做到新開辟的業務點只要能接入Internet,就能即時與公司網絡安全連通。
安全,SSL VPN的安全性級別很高,全面的客戶端主機安全檢查,可以保證只有符合集團安全策略的主機才可以接入;細粒度的訪問控制,保證只有得到授權的用戶,才能訪問相應的資源。
VPN系統的采用,可以有效地解決遠程訪問的問題,從安全性上講,VPN主要實現了在不可信網絡上的數據安全傳輸。但是,VPN實現互連的同時,也會帶來相應的安全隱患,如各地分公司網絡的接入,來自于網絡內部的安全威脅也相應的增加了。
因此,建議圣中集團同時采用相應的身份認證機制和安全訪問控制機制,利用身份認證和授權,有效的區分不同用戶的訪問權限,并利用其與VPN系統或者訪問控制系統的結合,保證只有授權的用戶可以訪問指定的資源;也可以利用其他的安全手段,如入侵防護系統等,進行應用訪問的威脅控制,通過安全策略制度的制定和培訓,提高員工的安全意識。在保證公司網絡擴展性和可用性的同時,最大限度地保證網絡的安全性。
觀點三:IPSEC VPN和SSL VPN結合同時解決網間互聯和移動辦公需求
適合自己的,才是最好的!
深信服科技高級產品經理 葉宜斌
不同規模的企業、不同的業務模式,相應的對VPN產品的要求也不盡相同。只有適合自身業務需求和未來發展的專業VPN產品,并且整體投資適度、性價比高,才是最好的產品。
到底如何選擇一款好的VPN產品?對于企業用戶來說,根據不同的需求、選擇適合自身業務和網絡需求的方案,并綜合考慮產品的性能、特點和整體投資,是企事業IT人員甚至高層決策的根本出發點。
不同規模的企業、不同的業務模式,相應的對VPN產品的要求也不盡相同。只有適合自身業務需求和未來發展的專業VPN產品,并且整體投資適度、性價比高,才是最好的產品。
目前稍具規模的企業,都不僅只有一個辦公場所,而是擁有眾多的分公司、辦事處、工廠等。隨著企業信息化的發展,越來越多的應用系統開始用來處理企業的各項業務,如何將公司總部的各項應用系統推廣到各個分支機構、辦事處,實現應用系統的實時、統一的管理,就成為當前眾多企業所面臨的問題。正如點評話題中所提到的圣中集團,如何安全、高效地使用ERP軟件將各地的數據集中上傳、統一管理,以及實現集團內部的信息共享等問題,成為困擾眾多CIO的一個難題。
國內的寬帶網絡發展從2000年開始,已經得到了極大的發展。企業用戶接入Internet逐步過渡到ADSL等寬帶方式,資費也能夠被用戶所接受、并有進一步下降的趨勢。VPN從不為人所知、到逐步地被用戶了解和認同,并且已經有很多信息化程度領先的企業選用了相關的VPN方案來構建企業遠程網絡平臺。因此,點評話題中所提到的圣中集團,完全適合使用VPN的解決方式來解決其上述問題。
目前主流的VPN產品大部分是通過隧道技術來保證其數據的安全性。隧道技術有兩種:一種是工作于TCP/IP協議中網絡層的IPSec 協議,另一種是工作于應用層的SSL協議,兩者都有很好的保密性和安全性。IPSec VPN主要是用于異地網絡的遠程互連,兩個網絡之間需要安裝IPSec VPN的客戶端并需要進行復雜的配置。而SSL VPN最大的優勢就是無需客戶端,只需要標準的IE瀏覽器就能夠通過SSL協議連接到總部網絡。
當前IPSec VPN已經能夠較好地解決企業網間互連方面的問題,由于工作在網絡層,采用安全的IPSec協議和PKI密鑰分發體系,IPSec VPN能夠安全地保證重要數據在公網上的傳輸。但是在易用性方面,IPSec VPN就顯的有些力不從心。隨著“移動辦公”的需求逐漸升溫,傳統的IPSec VPN在易用性方面已經無法滿足新的需求(IPSec VPN需要安裝IPSec 客戶端,進行復雜的配置等),眾多企業迫切需要通過一種新的技術來實現便捷的移動辦公。
因而SSL VPN孕育而生。移動辦公人員可以通過瀏覽器利用無處不在的網絡使用SSL VPN安全訪問企業的內部資源。但是由于SSL VPN是工作在應用層上的,在解決企業網間互連方面就不如IPSec VPN。因而,若能在一臺設備內同時提供IPSec和SSL 兩套VPN技術,同時解決網間互連和移動辦公的需求,將能解決絕大部分企業用戶的需求。深信服科技就推出了IPSec和SSL一體化的安全網關,實現了一套設備內同時支持IPSec和SSL 兩種協議,對于用戶來說,將是一個不錯的選擇。
觀點四:專用網絡還是VPN,還要仔細斟酌
專用網絡還是VPN?
新華信正略鈞策管理咨詢有限公司顧問 呂謀篤
如果僅考慮ERP應用,VPN應該是一個不錯的選擇,但考慮到信息化建設的持續性,那么決策過程要復雜的多。
點評話題中提到的圣中集團通信中心面臨的困難實際上是廣域網鏈路選擇問題,這一問題在企業信息化建設中具有一定的普遍性。企業應該如何面向未來進行企業的網絡基礎建設?在眾多的網絡互聯方式中,哪一種最適合企業?選擇的依據又是什么?選擇的鏈路其安全性、穩定性是不是能夠滿足業務的要求?這些問題均在不同程度上困繞著企業。就目前圣中集團的信息化應用水平來說,我認為如果僅考慮ERP應用,VPN應該是一個不錯的選擇,但考慮到信息化建設的持續性,那么決策過程要復雜得多,下面我們圍繞這個問題進行簡單的討論。
首先,我認為一個企業廣域網的鏈路選擇,必須建立在IT規劃基礎之上。通過對企業未來5~10年的戰略剖析、業務流程梳理、信息化現狀以及信息技術發展趨勢的分析,明確企業未來信息化需求以及信息化的建設步驟。只有在確定信息化需求及建設內容之后,才能夠準確計算企業網絡通信量及理清網絡要求,才能在一定時期內保證網絡基礎平臺的高效性、先進性,最大程度的保護投資,避免重復建設。
一般來說,企業的遠程接入方式主要由以下幾個方面決定:
1、企業應用的網絡流量
如何估算企業未來信息化應用的帶寬需求,是建設經濟型網絡的理論依據。我們認為,計算網絡帶寬應該綜合考慮數據及文件傳輸、各應用系統傳輸以及音頻視頻傳輸三方面因素。
◆ 數據傳輸及文件下載
帶寬估算的簡單公式如下:
帶寬=F×O×8÷R
F是待傳輸的大批量數據的大小,O是協議開銷因子,R是所需的終端用戶傳輸時間。開銷因子表明了每個TCP段必須的TCP/IP和鏈路層開銷。對于一個1024字節的段來說,協議開銷因子約為[(1024+48)÷1024]-1=0.05,即大約為5%。用戶可以容忍的最大傳輸時間通常為3~5s(包括所有的延時)。
◆ 應用系統
目前企業級的應用系統(如OA、ERP、EIP、BI等)大部分以三層架構為基礎,在客戶端提供網頁支持,客戶在訪問系統時均需要耗用一定的通信資源。
因此,要提出準確所需要的帶寬是很困難的。一般情況下,我們僅按照基本的網絡帶寬(即并發用戶數每屏2K)進行測算。
◆ 視頻會議
企業視頻會議是建設基礎網絡必須要考慮的一個方面。使用基于最壞情況下的帶寬需求經驗公式,可以將現有的企業內部語音話務量及視頻數據作為基礎數據,來進行對網絡帶寬的估測。
音頻:傳統語音網絡上使用的G.711編解碼算法(64kbit/s)是最耗帶寬,但是能夠提供最好的語音質量。如果按照多數語音網關的設置,每20毫秒的語音數據打成IP包,語音包在打成IP包時按IP/UDP/RTP順序封裝,考慮每個IP包要加入40字節的IP包頭的原因,每個會話的帶寬需求是80kbit/s。
視頻:根據視頻會議系統要求,用戶提供384 kbit/s以上的帶寬保證,則能提供每秒20幀以上的CIF格式的視頻效果,在該效果下,視頻較果較為流暢。
以上計算的帶寬僅是理論值,考慮到編碼的效率,幀間隙,數據包頭等因素,網絡的實際傳輸能力,從應用層來看最多有 70%~80%,通過公式折算,我們就會得出網絡流量的測算值,以此來判斷企業的帶寬需求,進而判斷適合企業的網絡接入方式。
2、網絡應用的安全性要求
專用網絡在通信中的安全性,是通過物理傳輸介質隔離來實現的,其傳輸安全性得到了最大程度的保障。
VPN是基于公用網絡實現對企業內部專用網絡進行遠程訪問的連接方式,其安全性取決于隧道技術(Tunneling)、加解密技術(Encryption & Decryption)、密鑰管理技術(Key Management)、身份認證技術(Authentication)。這些技術的成熟度決定了VPN方式的安全性。
當然,VPN的安全性也取決于隧道協議,目前主要隧道協議有四種:PPTP、L2TP、IPSec和SSL,PPTP和L2TP協議是工作在OSI/RM開放模型中的第二層,較少用到,IPSec為第三層隧道協議,應用較廣,SSL是近年來發展起來的協議,為應用層協議,其安全性要比IPsec差,但由于易用性等原因在近幾年有較大發展。
3、網絡應用的穩定性要求
在穩定性方面,由于采用運營商提供的專有網絡通道,專用網絡帶寬能夠得到保障,穩定性也是最好的。
VPN雖然在理論上能夠提供足夠的帶寬,但由于受到各地ISP本身帶寬的制約,受到網絡流量波峰波谷的影響,VPN的穩定性要遜于專用網絡。
總之,考慮企業廣域網的接入方式,必須充分考慮未來信息化需求以及通信安全性穩定性要求,然后對比各種接入方式的特點,才能選擇適合企業的廣域網接入方式。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:如何解讀VPN選型之困
本文網址:http://www.guhuozai8.cn/html/consultation/1082011876.html
相關文章
