当前位置:首页 > VPN > VPN技术 > 中国IT渠道在线_做中国最有影响力的IT渠道网站_网上神州数码_黑马网上商城电子商务系统_市场推广外包
VPN新闻 VPN技术 VPN方案 行业应用 
构建以业务为中心的VPN网络
http://www.sinait.com.cn 2005-06-13 IT网
  
一、概述
  随着宽带Internet网络的普及,同时信息化的发展正在改变着企业传统的运作方式。越来越多的企业都在逐步依靠计算机网络、应用系统来开展业务,同时利用Internet来开展更多的商务活动。

  稍具规模的企业都不会只有一个办公场所,而是具有总部、分公司、办事处、工厂等多个业务点。既然越来越多的应用了计算机和各类软件系统来处理企业业务,如何将位于不同地点的分支机构网络互联互通,就成了现代的企业必须解决的问题。

  正是用户的需求促进了VPN的诞生和高速发展。传统专用线路(如DDN)的高昂成本和长期的使用费,成为了企业很大的负担,很多企业无法利用这种方式来建立自己的专网,而在Internet发展的早期,窄带线路的通信质量、带宽、以及资费,都无法满足企业长期利用其来构建自身远程私有网络的需要,很多企业只能暂时放弃利用网络来实现更好的信息应用的念头。但到了今天,各种宽带上网方式(如ADSL、城域网等)都在迅速发展,带宽和通信质量已经不在是瓶颈,资费也极大的降低,完全能够高效率、低成本的解决企业网络互联互通的需要。

二、需求推动VPN市场高速发展
  选择更高性价比的方案、降低不必要的高昂成本,是市场经济的基本原则。这就使得VPN的发展成为了一种不可抗拒的趋势。在国外,由于Internet的基础建设更早一步,早从1997年开始已经迅速发展起来,2001年全球VPN市场近13亿美元,预计到2005年将达到29亿美金(Infonetics Research,2002)。

  国内的宽带网络发展从2000年开始,已经得到了极大的发展。企业用户接入Internet逐步都在过渡到ADSL等宽带方式,资费也能够被用户所接受、并有进一步的下降趋势。VPN也从不为人所知、到逐步的被用户了解和认同,并且已经有很多信息化程度领先的企业选用了相关的VPN方案来构建企业远程网络平台。

  市场的高速发展,也推动了相应的VPN产品和技术的发展。目前在国内市场上,已经有多种VPN产品可供客户选择,包括运营商提供的VPN服务、各类档次的VPN路由器和服务器、VPN网关以及VPN软件产品等,形式多样、价格也跨越了几个档次。到底应该选择什么样的VPN产品成为了众多企业IT人员的困扰之一。

三、按需构建VPN网络
  根据不同的需求、选择适合自身业务和网络需求的方案,并综合考虑产品的性能、特点和整体投资,是企事业IT人员甚至高层决策的根本出发点。一些对数据的稳定性和保密性要求特别高的用户,例如银行、证券、重要的政府机关等等,绝对禁止网络接入Internet,当然会优先考虑采用专用线路。即使选择VPN产品也存在着不同的层次,有适合大型企业的产品、有适合中等规模网络的产品、也有适用于小企业的产品;不同层次的产品又有不同的性能、技术特点和价格。但无论哪个层次的VPN产品,由于其在Internet上构建网络平台的共同特征,有以下几点是用户在选择VPN时都必须考虑的问题。

1、稳定性:
  VPN是企业的基础网络平台,企业的各类应用系统都将在VPN平台上进行。所以,VPN系统的稳定性必须足够满足企业的业务应用需要,而不能出现经常性的网络中断,导致业务的中断。一般来说,规模越大的企业、对VPN平台的使用越频繁,对稳定性的要求就越高。也有部分中小规模的企业,由于其对系统的依赖性非常强,所以也需要稳定的VPN网络。

  不同的VPN产品,其稳定性也是千差万别。但越稳定的产品、整体的成本肯定会越高,企业在选择时也必须考虑适合自身的稳定级别。例如高端的专用VPN硬件(高端的路由器或VPN服务器),由于其采用高性能的硬件架构、专用的VPN软件,具备非常高的稳定性;而一些低端的VPN产品、本身就采用了廉价的硬件(包括处理器、相关配件等)、往往又集成了除VPN之外的多种业务,难以保障高稳定性的要求,但成本较低。

  深信服科技的Sinfor DLAN VPN采取了软硬件分离、按需选择的方案来适应企业对稳定性的要求。Sinfor DLAN VPN既有运行于Windows系列操作系统的纯软件的平台架构,也有基于Sinfor-Linux平台的安全网关设备,用户可以根据自身对稳定性的需求、选择适合的设备(如相应稳定级别的PC机、服务器或专用网关),作为VPN网络的硬件平台。这种灵活的选择使得用户可以自主的根据自己环境、选用最适当的VPN产品。整体投资相对于同档次的专用VPN硬件具有极高的性价比,和低端的VPN产品相比,又解决了由于硬件档次过低而带来的不稳定因素。

  Sinfor DLAN VPN运行于操作系统底层,以服务的方式启动,稳定性和操作系统是同一个级别。产品发布三年来,已经大规模的应用于数千家用户、连接着国内外上万的网络,其中包括众多的知名企业以及电信、民航、证券等重要网络。经过长期实际运行,完全可以满足了用户对稳定性要求高、但不希望用过于昂贵的成本购买专用VPN设备的需求。

2、安全性:
  VPN网络的运行基础是Internet,所有的数据也必须经过Internet进行交换,而这些数据都是企业的私密信息、不允许为无关人员所知,同时VPN网络是在开放的Internet平台之上构建的虚拟网络,也必须保证没有获得授权的用户无法接入VPN网络。

  所以,综合考虑用户的具体应用和需求,VPN网络的安全性有三层含义:一是数据传输的安全;二是用户接入的安全;三是对内网资源的访问安全。

  第一个层次:数据传输的安全,几乎所有的VPN产品都通过数据加密的方式来保障,这个技术已经比较成熟和公开,区别在于加密的级别和效率。目前应用比较多的加密算法都对处理性能提出了较高的要求,导致处理性能较弱的低端VPN产品难以真正支持。

  Sinfor DLAN VPN支持用户选用第三方的加密卡,如中兴通讯的SJW29加密卡、包含了多种常用的加密算法可供使用。另外系统也内置了AES 128加密算法,具有比当前 3DES 更好的安全性和更快的速率,AES 128 的性能大约是 3DES 的3倍左右,已经为众多国际领先的VPN厂商采用,因此,Sinfor DLAN VPN能够在保证数据安全的同时提供了更好的性能。

  从VPN实际应用的角度考虑,第二个层次也就是用户接入的安全是更为重要的。因为数据的传输安全即使出现隐患、也需要较专业的人员才能破译,造成的也仅仅是部分信息的损失。而一旦有非法用户成功接入,那整个企业网络都将暴露给入侵者。现有的高端VPN产品大部分采用的是证书交换的方式、来确保用户的真实身份,但操作较烦琐、需要专业的人员来实施;而低端的VPN产品由于技术所限、同时又要适应专业性不强的用户使用,往往只进行了简单的用户名和密码认证,这就留下了极大的安全隐患。

  Sinfor DLAN VPN采用了深信服科技的发明专利技术(基于硬件特征的身份认证技术)来解决用户的接入认证问题。该技术将接入用户的身份鉴别与计算机的硬件特性进行绑定,由于每台计算机具备唯一的硬件身份(如网卡的MAC地址、硬盘和CPU的特征码等),而且具有不可伪造的特性,DLAN VPN在用户接入之前、会自动对该请求接入的计算机进行硬件特性的比对。这就保障了只有指定的计算机设备才能接入企业VPN网络,只需在首次接入前完成人工认证,以后接入时的认证过程全部由系统自动完成,无须人工干预。通过这种技术的采用,即便接入的用户名、密码等账号信息泄露也不会造成非法用户的接入,无需使用人员有很高的计算机安全知识就能确保VPN系统的安全,大大降低用户使用VPN的技术门槛。

  Sinfor DLAN VPN对移动用户还提供了USB KEY的方式进行身份认证。并且在KEY中集成了用户的基本配置信息,实现了即插即用的VPN、随身携带的VPN。

  最后,Sinfor DLAN VPN还增强了对内网的安全设置,保障了第三个层次――内网资源访问的安全。大部分VPN产品是一旦确认了远程用户的合法身份,用户就可以不受限制的访问全部内网资源。而实际上,大部分企业并不希望远程用户能不受限制的进行访问,而是有条件的进行访问,尤其是接入的VPN用户并非是企业内部工作人员(如供应商、客户、合作伙伴等)时,对VPN用户访问权限需要更严格的设定。Sinfor DLAN VPN提供了对内网访问权限的细致设定,可以对不同的用户分配不同的权限规则,避免内部出现的安全隐患,一个合法的VPN用户接入总部后,他对总部资源的访问权限能够被限定在一个很小的范围内,例如总部有多个应用系统(如OA、财务、HR、CRM等等),一个普通的业务人员在联入VPN后只能访问OA或CRM,而公司领导则可以同时访问所有的应用系统,所有的这些权限都可以通过简单的配置迅速完成,极大的方便了IT安全部门的管理工作。

3、速度:
  虽然说现有的宽带已经远远好于过去的窄带网络(如MODEM),但用户对带宽的要求是无止境的。另外,由于VPN网络承载的是企业的内部应用,如文件共享、拷贝等,习惯了局域网内10M/100M速度的用户,对速度的要求也非常高,应用的速度也会极大的影响企业的运作效率。

  VPN由于对数据进行了安全性的封装,同时进行了加密处理,从原理上说、就会比实际的Internet接入带宽要低。高端的VPN处理速度快,而低端的设备由于处理器性能较差极大的影响了VPN速度。

  Sinfor DLAN VPN通过两种方式,进一步提高了VPN的速度。首先是数据流压缩技术,Sinfor DLAN VPN内置了数据压缩算法,对所有的传输数据进行压缩之后、再传输,这就在无形中极大的提高了带宽,经实际测试、很多应用情况下甚至比直接连接还要快。以下是Sinfor DLAN VPN在两端通过ADSL连接时,进行文件拷贝和SQL数据库查询时的性能比较:

文件拷贝(用FTP传输)-单位:秒

解决方案 Word文档(8.4M)
Bmp图片(18.7M)
Winzip压缩文件(9.8M)

直接连接
150
330
175

通过DLAN VPN
73
50
134


数据库查询(SQL SERVER 2000,表中有记录9000多条)-单位:秒

解决方案 查询所需时间

直接连接
48

通过DLAN VPN
30


  另外,由于部分用户对速度的要求非常高,而Internet带宽的发展毕竟有个时间。Sinfor DLAN VPN为满足这些用户的需求,特别增加了多线路捆绑的功能。用户可以申请多条Internet线路,然后将多条线路的带宽进行绑定、并发使用,使得带宽成倍增加,并可实现在此基础上的QOS管理。

4、性能和服务质量保证:
  VPN产品的性能将会影响VPN所能容纳的计算机和网络容量,如最多支持的局域网内计算机数量、能同时建立的VPN隧道数量、能同时接入的VPN用户数量等等。如果VPN产品不能满足企业所需要的系统性能,则难以承载企业的业务运作;而如果采用过高的投资选择的VPN产品性能过高,也是一种资源的浪费。

  Sinfor DLAN VPN的高性价比也在系统的性能特征上得到了体现。首先,DLAN VPN能支持局域网内多达5000台计算机并发上网或建立远程VPN连接;其次,DLAN VPN支持同时建立2000条VPN隧道、并能同时接入1024个远端VPN节点。上述系统性能基本能够满足大部分企业的需要。

  服务质量保证也是VPN系统应该具备的功能之一。企业利用Internet不仅仅是内部网络的互联,最基本的应用例如浏览网页、收发邮件等,都会通过Internet出口来进行。而且,随着企业应用的日趋复杂,内部的应用也越来越多样化,如文件的共享、远程网络打印、数据库远程访问,甚至语音视频通信等等。这些应用都会占用有限的带宽。而对企业来说,最根本的还是要保障重要的业务应用能不受干扰,所以,如何在相同的物理线路上,优先保障重要的服务质量,成为了VPN产品面临的新问题。

  Sinfor DLAN VPN集成了服务质量保证(QOS)功能,用户可根据自身需要,为不同优先级别的应用分配不同比例的带宽,并且具备了带宽智能分配的功能。当线路空闲时,各种应用都可以自由的传输;一旦出现线路繁忙或拥塞,系统则首先确保优先级别高的应用不受干扰,保障了企业重要业务的正常开展。

5、可管理性:
  VPN产品不同于普通的IT设施,由于VPN的用处就是解决异地网络的互联互通、所以VPN产品一定会分布于不同的地域。如何对整个VPN网络进行有效的管理、维护和监控,并能自主的管理至关重要的基础网络平台,也是企业IT人员非常重视的问题。

  高端的VPN产品往往集成了对整个VPN网络的管理和维护的功能,以便于企业的IT管理人员能够在公司总部、对遍布各地的VPN网络进行相应的监控和维护。由于很多企业都是在总部才配备了专业的网络管理人员,这个功能就尤其重要。

  Sinfor DLAN VPN提供了整网管理和维护的工具。首先,在总部能够实时监控各分支机构的接入状况和当前状态;同时能在总部对各分支节点进行远程的配置、备份和恢复;另外还可以直接操作远程节点的计算机,实时的管理和控制。Sinfor DLAN VPN还具有可独立部署的日志系统,完备的记录所有的操作使用信息,便于故障的诊断和管理。

  VPN网络作为企业的基础平台设施,是企业信息流的命脉。所以,企业必须能够完全掌控自身的VPN网络。而事实上,目前的部分VPN产品留下了一些隐患。最突出的就是对动态IP地址的支持方式。由于国内IP地址资源的匮乏,导致很多企业难以申请静态的Internet IP。很多VPN产品为解决该问题,也纷纷推出了相应的解决方案。但很多解决方案的动态寻址解析都是由厂商封闭提供,没有向客户开放;也有些是依赖于其他的动态寻址方式,企业未能自己来监控和管理。如果寻址服务是由专业的运营商来提供,风险还不大,但事实上并非如此,这就使得一旦提供寻址服务的机构出现任何问题,就会使得用户的整个VPN网络瘫痪。

  Sinfor DLAN VPN采用了WebAgent发明专利技术解决动态IP寻址问题。该技术的最大特点就是完全向客户开放,寻址模块独立运行、用户只需有自己的网站(包括虚拟主机),都可以自己提供寻址服务。为了保证稳定性,还支持以主、备双机的方式运行,实时动态切换,既解决了静态IP地址的高成本问题,也避免了寻址不透明给客户带来的风险。

6、扩展性:
  由于IT技术的发展日新月异、技术更新非常快,这就使得用户在投资任何IT系统时都会考虑系统的扩展性问题。如果购买了一个趋于淘汰的系统,肯定是极大的投资失败;如果系统仅仅能满足现阶段的需求、而不能适应未来的发展,也不是一个成功的选择。

  举个简单的例子,VPN对各种新型的Internet接入方式能否同步支持,就是关系到企业VPN网络扩展的重要问题。Internet的发展正在改变着所有人的生活和工作模式,当然Internet自身也在不断的发展。从最早期的电话拨号(Modem)、到ISDN一线通;从ADSL、小区宽带、到已经初步应用的xDSL;以及迅速发展的各种无线接入方式如GPRS、CDMA1X、WLAN等等。马上又要诞生并一定会迅速发展的还有3G、NGN网络。如果VPN网络不能跟上Internet的发展,很快就会使得企业的网络受到相应的限制。

  Sinfor DLAN VPN是目前极少能全面支持各种Internet接入方式的VPN产品,产品的体系架构设计就做到了与接入方式的全面兼容。平台的灵活性也充分得到了体现,不需要考虑新型上网方式的特殊接口。无论是基于Windows平台的DLAN VPN软件、还是基于Sinfor-Linux平台的DLAN VPN一体化设备,都能方便的升级扩展,保证用户的长期投资。

7、对移动用户的支持:
  从近期的统计数据可以看到,笔记本电脑的销售量已经超过了传统的台式电脑,这直接反映了越来越多的人开始青睐于“移动办公”的工作和生活方式。非典期间,众多的企业也采用了工作人员在家办公的方式,渡过那段非常时期。如何将越来越多的移动用户纳入公司整体网络,帮助移动用户安全、方便的访问公司资源,也是VPN网络需要解决的问题。

  移动用户不可能带着硬件设备来接入公司VPN网络,有些低端的VPN产品解决移动用户的方式是直接调用操作系统自带的VPN功能,采用PPTP虚拟拨号的方式接入总部,只有基本的用户名密码验证,安全级别非常低;另外不能同时访问内网和Internet,也造成了极大的不便。好一点的VPN产品都有独立的VPN客户端软件,解决上述缺陷。

  Sinfor DLAN VPN对移动用户也提供了强大的支持,并且支持“移动IP”。移动用户不但能够接入企业VPN网络,而且能够获取与在局域网内时相同的内网IP地址,并能够通过该IP地址与内部网络相互通信。这就使得移动用户不但可以访问企业网络,同时在外出时、也能够被局域网所找到,完全象在同一个局域网内一样。

  针对移动用户的特点,Sinfor DLAN VPN还专门提供了USB KEY的身份认证方式和配置集成功能(深信服科技发明专利)。移动用户可选配DKEY,作为身份认证的标识之一。需要接入总部网络时,将DKEY插入计算机的USB接口之中即可。并且DKEY能够携带必要的配置信息(如网络设置、用户权限等),实现了VPN的即插即用、随身携带,特别适用于公司管理层等非专业的IT人员。

  VPN的发展迎合了用户对更低成本、更高性价比的追求,已经在各行各业开始出现广泛的应用。不同规模的企业、不同的业务模式,相应的对VPN产品的要求也不尽相同。但上述几点,是用户在选择VPN产品时基本都会面临的主要问题,只有适合自身业务需求和未来发展的产品,并且整体投资适度、性价比高,才是最好的产品。


评论】【大 中 小】【打印】【关闭
在线咨询(电话:010-68863636 68870104;QQ:5525993 邮箱:webmaster@sinait.com.cn)

姓名:   职务: 工作单位:  联系电话: 邮箱:   在线咨询属于: 采购  交流  想得到更详细资料

问题内容:
   
相关链接
 金牌经销商推荐