警惕VPN應(yīng)用失衡

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

IP VPN技術(shù)及構(gòu)建網(wǎng)絡(luò)中暗藏的一些問(wèn)題，極有可能使企業(yè)在獲得“投資節(jié)約”的同時(shí)，遭遇其他問(wèn)題。

盡管利用IP VPN技術(shù)，實(shí)現(xiàn)廣域網(wǎng)（Wide Area Network，WAN）范圍的遠(yuǎn)端訪問(wèn)、構(gòu)建虛擬專用網(wǎng)的方式，已經(jīng)廣為企業(yè)，特別是跨地機(jī)構(gòu)較多的大型企業(yè)所接受，并且也確實(shí)能夠給企業(yè)運(yùn)營(yíng)帶來(lái)節(jié)約，但同樣不可忽視的是，IP VPN技術(shù)及構(gòu)建網(wǎng)絡(luò)中暗藏的一些問(wèn)題，極有可能使企業(yè)在獲得“投資節(jié)約”的同時(shí)，遭遇其他問(wèn)題。

IPSec VPN的利與弊

這方面的例證，可以參見(jiàn)2004年底美國(guó)方面的一個(gè)報(bào)道。大致內(nèi)容是，一家采用了IPSec VPN的公司，在一段時(shí)間后徹底放棄了該網(wǎng)絡(luò)。從技術(shù)角度上，IPSec VPN的技術(shù)、設(shè)備所獲得的評(píng)價(jià)都很好，性能上沒(méi)有遭到質(zhì)疑。最大的問(wèn)題在于，盡管服務(wù)提供商做到了能夠?qū)⒎稚⒃诟鱾€(gè)遠(yuǎn)程接入點(diǎn)的員工的計(jì)算機(jī)和他們的家用機(jī)器隔離開(kāi)來(lái)，但是最終的結(jié)果是，公司發(fā)現(xiàn)那些員工的家庭人員仍可直接使用員工的機(jī)器登錄進(jìn)公司網(wǎng)絡(luò)、訪問(wèn)公司內(nèi)部資源，而這給該公司的業(yè)務(wù)帶來(lái)極大的潛在商業(yè)危機(jī)。

也有類似的情況在歐洲地區(qū)發(fā)生，而根據(jù)我們獲得的消息，有些公司通過(guò)在遠(yuǎn)程計(jì)算機(jī)上安裝一些秘鑰軟件的方式，來(lái)保護(hù)公司內(nèi)部網(wǎng)絡(luò)，同時(shí)也使員工可以正常使用IPSec VPN。

從諸多研究機(jī)構(gòu)提供的調(diào)查報(bào)告，都可以看出，VPN已進(jìn)入蓬勃發(fā)展時(shí)期，特別是相對(duì)于傳統(tǒng)的WAN連接而言，VPN在實(shí)現(xiàn)端到端連接上的優(yōu)勢(shì)以及節(jié)約投資上的優(yōu)勢(shì)，相當(dāng)明顯。通常而言，企業(yè)用戶為使用VPN而付出的價(jià)格，只相當(dāng)于WAN連接專線的五分之一到十分之一。盡管中國(guó)電信和中國(guó)網(wǎng)通都還沒(méi)有正式宣布開(kāi)展IPSec VPN業(yè)務(wù)，但SSL VPN業(yè)務(wù)已經(jīng)展開(kāi)，而且，一些省級(jí)運(yùn)營(yíng)商已經(jīng)開(kāi)始在小范圍市場(chǎng)內(nèi)推廣IPSec VPN?？梢哉f(shuō)，正是IP VPN業(yè)務(wù)的迅速增加，將會(huì)在未來(lái)數(shù)年內(nèi)導(dǎo)致WAN網(wǎng)專線業(yè)務(wù)直線下降，而同時(shí)VPN市場(chǎng)迎接來(lái)一個(gè)又一個(gè)倍數(shù)增長(zhǎng)。試想，當(dāng)一個(gè)分支機(jī)構(gòu)僅僅通過(guò)ADSL就可以直接訪問(wèn)公司的整個(gè)網(wǎng)絡(luò)時(shí)，任何試圖降低運(yùn)營(yíng)成本的公司都會(huì)為此動(dòng)心的。

VPN能夠帶來(lái)節(jié)約，這只是目前市場(chǎng)中經(jīng)常宣傳的好的一面而已，企業(yè)必須謹(jǐn)記，VPN極有可能不但沒(méi)有帶來(lái)節(jié)約，反而使開(kāi)銷更大——只有在全面了解了VPN的模式之后，企業(yè)應(yīng)用VPN才是值得考慮的下一步行動(dòng)。非常典型的例證是，美國(guó)一家致力于醫(yī)療行業(yè)軟件的公司，采用了思科系統(tǒng)公司和北電網(wǎng)絡(luò)提供的相關(guān)設(shè)備搭建了VPN網(wǎng)絡(luò)，最后卻發(fā)現(xiàn)其客戶公司在使用VPN業(yè)務(wù)上完全缺乏經(jīng)驗(yàn)，甚至完全不會(huì)使用該網(wǎng)絡(luò)，很長(zhǎng)的一段時(shí)間里，VPN網(wǎng)絡(luò)被閑置，而業(yè)務(wù)還是按照舊有途徑進(jìn)行。

除了應(yīng)用上需要培訓(xùn)和相關(guān)經(jīng)驗(yàn)外，VPN的另一個(gè)重頭工作便是，企業(yè)需要對(duì)現(xiàn)有網(wǎng)絡(luò)進(jìn)行重新配置，例如防火墻，必須重新設(shè)置以便VPN網(wǎng)絡(luò)能夠穿越，這又會(huì)使企業(yè)在VPN上消耗更多的精力和投資來(lái)尋求相關(guān)服務(wù)。

據(jù)報(bào)道稱，目前該軟件公司的技術(shù)副總裁相當(dāng)頭疼的事，便是要花費(fèi)大量的時(shí)間和精力來(lái)說(shuō)服其合作伙伴也安裝并使用VPN——這說(shuō)明VPN在單個(gè)公司內(nèi)部署可能極為迅速，而一旦涉及到多方合作和信息資源共享，就顯得舉步維艱了——首要的問(wèn)題便是首先在所有的防火墻上采取共同的策略與配置，以便VPN能夠真正穿越網(wǎng)絡(luò)的所有節(jié)點(diǎn)（主要是各合作伙伴的內(nèi)外網(wǎng)邊緣）。

同樣，將每臺(tái)終端都配置成可訪問(wèn)VPN的狀態(tài)，也是需要花費(fèi)相當(dāng)多時(shí)間和工作量的事，企業(yè)極有可能需要為此付出相當(dāng)一部分資金。

還以這家軟件公司為例，即使在說(shuō)服了上下游合作方都采用了VPN之后，問(wèn)題仍然大量存在，因?yàn)闊o(wú)論是內(nèi)部員工還是合作方，一旦產(chǎn)生問(wèn)題之后，都會(huì)求救于該公司IT部分，而該公司只得再次向思科技術(shù)支持部門(mén)尋求幫助，而問(wèn)題的解決，如此輾轉(zhuǎn)，已經(jīng)是至少六個(gè)小時(shí)之后了。

目前該公司已將目標(biāo)轉(zhuǎn)向SSL VPN，因?yàn)镾SL VPN對(duì)于終端類型和防火墻配置都沒(méi)有要求，該公司希望這一轉(zhuǎn)變能夠幫助它解決問(wèn)題。

盡管IPSec VPN在市場(chǎng)中已經(jīng)獲得成功，特別是在運(yùn)營(yíng)成本上有非常大的優(yōu)勢(shì)，但已有相反的聲音在警告用戶：不要對(duì)VPN抱過(guò)高的期待。

企業(yè)應(yīng)當(dāng)在采用IPSec VPN之前盡可能地對(duì)其有所了解，例如，企業(yè)員工極有可能因?yàn)榕渲脝?wèn)題，而在一些酒店無(wú)法使用筆記本訪問(wèn)公司內(nèi)部網(wǎng)——因?yàn)榫频攴阑饓?huì)將鏈路阻斷。

VPN節(jié)約嗎？

相對(duì)于IPSec VPN來(lái)說(shuō)，SSL VPN的優(yōu)勢(shì)更為明顯，這也是為什么運(yùn)營(yíng)商和大型企業(yè)客戶都對(duì)SLL VPN更為重視的原因，盡管在花費(fèi)上，SSL VPN要高于IPSec VPN。

SSL VPN的應(yīng)用幾乎可以忽略任何防火墻配置問(wèn)題，用戶可以將更多的精力放在業(yè)務(wù)進(jìn)行上，而不需要不斷投入精力解決連接問(wèn)題。一些公司的網(wǎng)絡(luò)管理員，在采用IPSec VPN之后，抱怨這一技術(shù)給他們工作帶來(lái)的困擾，因?yàn)橐粩嗟刈兏阑饓Φ呐渲脕?lái)配合不同的應(yīng)用，“甚至連通過(guò)Web方式訪問(wèn)公司內(nèi)部的Outlook都要對(duì)原有配置的一些基本設(shè)置進(jìn)行變更，這樣的工作量太大?！倍捎肧SL VPN之后，一切工作相對(duì)要容易得多。

而采用SSL VPN（甚至IPSec VPN）之后，企業(yè)網(wǎng)管中心需要面對(duì)的一個(gè)問(wèn)題就是，需要管理更多的網(wǎng)絡(luò)設(shè)備，VPN背后所需要的安全策略，將迫使企業(yè)不斷地升級(jí)其安全系統(tǒng)、安裝新的安全軟件，這意味著將要不斷地投入資金。而且，VPN也會(huì)帶來(lái)相關(guān)的外圍投資問(wèn)題，例如用戶遠(yuǎn)程認(rèn)證軟件的投入、購(gòu)買(mǎi)數(shù)字證書(shū)的投入、培訓(xùn)的投入以及相關(guān)的時(shí)間開(kāi)銷等等，而這一切，也只是為了能夠使VPN業(yè)務(wù)能應(yīng)用起來(lái)，而與企業(yè)原本的業(yè)務(wù)沒(méi)有太多直接關(guān)系。

總體而言，更多借助于安全力量的IPSec VPN，可能在短期要比SSL VPN節(jié)約，但從長(zhǎng)期來(lái)看，SSL VPN的優(yōu)勢(shì)要更大一些，因?yàn)镾SL VPN所需在網(wǎng)絡(luò)中添置的設(shè)備更少（雖然價(jià)格也更貴），并且升級(jí)上也更為便宜一些，因?yàn)樯婕暗木W(wǎng)絡(luò)節(jié)點(diǎn)比較少。但是，由于VPN技術(shù)及設(shè)備都發(fā)展迅速，企業(yè)還面臨另一個(gè)問(wèn)題：無(wú)法確定設(shè)備的更新和換代周期。 (CCW)