什么是虚拟专用网
VPN这个词,大家或许经常听说,但恐怕真正了解的并不多,而实际上,在网络界它的名声远扬并已广泛应用于企业、政府、金融等各个行业。
VPN的英文全称是“Virtual Private Network”,即虚拟专用网络,顾名思义,我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密通讯协议,在连接于Internet上的位于不同地方的两个或多个企业内部网之间建立一条专用的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正地去铺设光缆之类的物理线路(图1)。而且相对Internet这个全球性和开放性的、不可管理的国际互联网络,VPN最大的优势在于企业用户拥有高度控制性,尤其是基于安全基础上的控制。一个内部VPN能使企业对所有的安全认证、网络系统以及网络访问情况进行控制,建立端到端的安全架构,集成和协调现有的内部安全技术。
根据不同技术协议标准和应用范围,VPN分为MPLS VPN、VPDN、IPsec VPN、SSL VPN等几种类型。目前比较常见的VPN应用形式包括有企业内部网的连接、企业外部网的连接以及移动工作者到企业的连接,企业实施加密的VPN接入主要采用后两种方式,即 IPSec VPN和SSL VPN(图2)。
IPSec VPN和SSL VPN在不同领域各有优势,在实施固定点到点的VPN和复杂应用的移动用户接入VPN 时,一般采用IPSec VPN技术,而在实施普通应用的移动用户接入VPN 时,通常采用SSL VPN技术。单就技术角度而论,IPSec VPN的安全性要高于SSL VPN。在具有较多连接的IPSec VPN系统中,如果存在着安全性较低的传输端点,那么整个VPN系统的安全性都要受到威胁。例如,一个企业的子公司网络被攻击者渗透之后,通向总公司的VPN连接就为攻击者提供了一条访问路径,而且该路径可以直接穿透总公司的防火墙等安全设施。
要指出的是,无论采用哪种技术方式,都可以满足企业的需要,这不仅能为企业的员工、合作伙伴等提供对内网资源的安全远程访问,同时也可以消除因为远程用户客户端的维护等带来的诸多不便。目前,国内外的网络设备商都相继推出了自己的VPN产品,其中包括思科(Cisco)、华为、ArrayNetworks、F5、天融信等著名设备供应商,产品的形式有的是单独的VPN网关,有的是和其它安全产品整合在一起的,如和防火墙集成在一起。
VPN的软硬之争
在VPN领域,一直存在软件和硬件的口水战。硬件VPN的支持者批评软件产品在安全性方面存在问题,而软件VPN的支持者认为硬件产品在使用和升级上不方便。
与防火墙产品类似,硬件VPN设备能够提供较好的性能表现,适用于性能要求较高的场合,尤其在远程维护方面,大多数硬件VPN产品都可以通过Telnet或Web方式远程登录并进行控制。不过这种硬件方案非常贵,价格从几万元到10多万元不等。而软件VPN方案最大的优势是建立成本相对要低,而且拥有极高的灵活性,缺点是软件VPN维护起来相当麻烦,网络管理员不但要维护VPN软件,还要考虑病毒、恶意攻击及相关设备的软、硬件冲突导致系统平台不稳定的因素出现,同时软件VPN的性能在很大程度上取决于所应用的硬件平台。
因此在较大规模的应用环境中,更适合采用基于硬件的VPN解决方案。如果网络规模不大,选择面向中小企业或小型办公室的软件VPN产品比较合适,这种VPN软件多集成于防火墙或路由器中,性价比非常高,且支持多种宽带接入方式,还提供了方便的管理工具,支持主流的VPN协议,如NETGEAR FVL328、NetScreen-50、Vigor 2300等。
当然,最终如何选择企业要根据自身的情况而定。在很多情况下软硬件结合的VPN方案能更好地满足用户的要求,以现有网络设备为基础,再配以适当的VPN 软件来实现VPN功能。下面我们以世界文字运算编码(中国)有限公司的VPN方案为例进行分析,或许能对大家有所启示。
VPN典型应用案例分析
世界文字运算编码(中国)有限公司的总公司设在北京,分公司在香港、上海、广州、深圳、南宁、苏州、重庆。目前公司总部通过100Mbps 宽带接入方式接入Internet,各地分公司通过ADSL拨号方式或者宽带接入Internet,分公司要实时将信息传送到公司总部,总部也要将反馈的信息实时向分公司下发。现在公司的情况是:总部通过光纤接入互联网,内部实现办公自动化和Web、E-Mail 等服务,其它各分公司与总部的信息交流主要是通过邮件来实现,现在无法实现办公自动化、Web 等服务。为实现办公自动化、内部Web和E_Mail服务,能实时地与各地分公司互联,因此公司高层提出网络互联及网络安全的需求,希望在总公司与分公司之间建立VPN连接,以达到以下目的:
●总公司与分公司之间能以安全、稳定、成本低廉的VPN连接;
●1个中心节点与30个分节点进行安全互联,加密要求:商业机密,处理速度:10Mbps 以上,要求支持动态IP 地址;
●通过VPN传输实现语音传输,不受网络营运商对VoIP服务的限制;
●总部的网络联机必须支持多个WAN,以同时满足VPN及内部上网带宽的需求;
●VPN设定容易,可由分公司人员自行设置。
基于以上这些需求,总公司要求使用一条10MB光纤,配合两条ADSL电话线联机,而分公司以一条ADSL电话线作为联机的基础。在设备上,总公司使用QVM1000产品,可支持3个WAN口和13个LAN口,连接一条10MB光纤和两条ADSL线缆,使用两条ADSL联机是为方便选择不同的网络营运商服务,以避免单一营运商掉线的风险。未来连接WAN的数量还可根据带宽需要,增加光纤或ADSL联机。
分公司则采用QVM330 VPN路由器,具有两个网络接口,一个用于内网,一个通过ADSL线缆对外连接使用,各地分公司选择不同的网络营运商的线路,VPN联机采用IPSec协议,以保证联机的安全性(图3)。总公司与各分公司的VPN设定,通过侠诺专有的SmartLink功能进行,网管人员只要将设备寄到分公司,并提供总公司的VPN闸道IP、用户名及密码,即可由具有一般计算机操作能力的用户完成设定。在外出差或想要连接总公司或分公司内部网的用户,可使用操作系统内建的PPTP或IPSec应用软件,由网管人员代为设定,即可在出差时利用互联网与公司内部网联接。同时,为了确保VoIP及视频会议的服务水准,还可使用QVM系列产品中的QoS(服务品质)功能,限制上网或下载文件占用的带宽,提供比稳定的语音及影像传输服务。
本应用案例其实就是目前国内较为典型的VPN网络连接架构,总公司具有固定真实的IP,各地分公司采用多种接入方式接入Internet,通过VPN网关在Internet 上构建起了企业内部虚拟专用网络。
总结:VPN之所以受到欢迎,主要原因是采用这种网络连接方式后,企业用户可以节省长话费、网络设备运行和维护费,而且具有连接快速、WAN连接管理方便的优势,这样企业用户就不必花较多的精力关注网络运行和维护了,可以更多地致力于企业商业目标的实现。
【编辑推荐】