警惕VPN應(yīng)用失衡

申請免費(fèi)試用、咨詢電話：400-8352-114

IP VPN技術(shù)及構(gòu)建網(wǎng)絡(luò)中暗藏的一些問題，極有可能使企業(yè)在獲得“投資節(jié)約”的同時(shí)，遭遇其他問題。

盡管利用IP VPN技術(shù)，實(shí)現(xiàn)廣域網(wǎng)（Wide Area Network，WAN）范圍的遠(yuǎn)端訪問、構(gòu)建虛擬專用網(wǎng)的方式，已經(jīng)廣為企業(yè)，特別是跨地機(jī)構(gòu)較多的大型企業(yè)所接受，并且也確實(shí)能夠給企業(yè)運(yùn)營帶來節(jié)約，但同樣不可忽視的是，IP VPN技術(shù)及構(gòu)建網(wǎng)絡(luò)中暗藏的一些問題，極有可能使企業(yè)在獲得“投資節(jié)約”的同時(shí)，遭遇其他問題。

IPSec VPN的利與弊

這方面的例證，可以參見2004年底美國方面的一個(gè)報(bào)道。大致內(nèi)容是，一家采用了IPSec VPN的公司，在一段時(shí)間后徹底放棄了該網(wǎng)絡(luò)。從技術(shù)角度上，IPSec VPN的技術(shù)、設(shè)備所獲得的評價(jià)都很好，性能上沒有遭到質(zhì)疑。最大的問題在于，盡管服務(wù)提供商做到了能夠?qū)⒎稚⒃诟鱾€(gè)遠(yuǎn)程接入點(diǎn)的員工的計(jì)算機(jī)和他們的家用機(jī)器隔離開來，但是最終的結(jié)果是，公司發(fā)現(xiàn)那些員工的家庭人員仍可直接使用員工的機(jī)器登錄進(jìn)公司網(wǎng)絡(luò)、訪問公司內(nèi)部資源，而這給該公司的業(yè)務(wù)帶來極大的潛在商業(yè)危機(jī)。

也有類似的情況在歐洲地區(qū)發(fā)生，而根據(jù)我們獲得的消息，有些公司通過在遠(yuǎn)程計(jì)算機(jī)上安裝一些秘鑰軟件的方式，來保護(hù)公司內(nèi)部網(wǎng)絡(luò)，同時(shí)也使員工可以正常使用IPSec VPN。

從諸多研究機(jī)構(gòu)提供的調(diào)查報(bào)告，都可以看出，VPN已進(jìn)入蓬勃發(fā)展時(shí)期，特別是相對于傳統(tǒng)的WAN連接而言，VPN在實(shí)現(xiàn)端到端連接上的優(yōu)勢以及節(jié)約投資上的優(yōu)勢，相當(dāng)明顯。通常而言，企業(yè)用戶為使用VPN而付出的價(jià)格，只相當(dāng)于WAN連接專線的五分之一到十分之一。盡管中國電信和中國網(wǎng)通都還沒有正式宣布開展IPSec VPN業(yè)務(wù)，但SSL VPN業(yè)務(wù)已經(jīng)展開，而且，一些省級運(yùn)營商已經(jīng)開始在小范圍市場內(nèi)推廣IPSec VPN?？梢哉f，正是IP VPN業(yè)務(wù)的迅速增加，將會在未來數(shù)年內(nèi)導(dǎo)致WAN網(wǎng)專線業(yè)務(wù)直線下降，而同時(shí)VPN市場迎接來一個(gè)又一個(gè)倍數(shù)增長。試想，當(dāng)一個(gè)分支機(jī)構(gòu)僅僅通過ADSL就可以直接訪問公司的整個(gè)網(wǎng)絡(luò)時(shí)，任何試圖降低運(yùn)營成本的公司都會為此動心的。

VPN能夠帶來節(jié)約，這只是目前市場中經(jīng)常宣傳的好的一面而已，企業(yè)必須謹(jǐn)記，VPN極有可能不但沒有帶來節(jié)約，反而使開銷更大——只有在全面了解了VPN的模式之后，企業(yè)應(yīng)用VPN才是值得考慮的下一步行動。非常典型的例證是，美國一家致力于醫(yī)療行業(yè)軟件的公司，采用了思科系統(tǒng)公司和北電網(wǎng)絡(luò)提供的相關(guān)設(shè)備搭建了VPN網(wǎng)絡(luò)，最后卻發(fā)現(xiàn)其客戶公司在使用VPN業(yè)務(wù)上完全缺乏經(jīng)驗(yàn)，甚至完全不會使用該網(wǎng)絡(luò)，很長的一段時(shí)間里，VPN網(wǎng)絡(luò)被閑置，而業(yè)務(wù)還是按照舊有途徑進(jìn)行。

除了應(yīng)用上需要培訓(xùn)和相關(guān)經(jīng)驗(yàn)外，VPN的另一個(gè)重頭工作便是，企業(yè)需要對現(xiàn)有網(wǎng)絡(luò)進(jìn)行重新配置，例如防火墻，必須重新設(shè)置以便VPN網(wǎng)絡(luò)能夠穿越，這又會使企業(yè)在VPN上消耗更多的精力和投資來尋求相關(guān)服務(wù)。

據(jù)報(bào)道稱，目前該軟件公司的技術(shù)副總裁相當(dāng)頭疼的事，便是要花費(fèi)大量的時(shí)間和精力來說服其合作伙伴也安裝并使用VPN——這說明VPN在單個(gè)公司內(nèi)部署可能極為迅速，而一旦涉及到多方合作和信息資源共享，就顯得舉步維艱了——首要的問題便是首先在所有的防火墻上采取共同的策略與配置，以便VPN能夠真正穿越網(wǎng)絡(luò)的所有節(jié)點(diǎn)（主要是各合作伙伴的內(nèi)外網(wǎng)邊緣）。

同樣，將每臺終端都配置成可訪問VPN的狀態(tài)，也是需要花費(fèi)相當(dāng)多時(shí)間和工作量的事，企業(yè)極有可能需要為此付出相當(dāng)一部分資金。

還以這家軟件公司為例，即使在說服了上下游合作方都采用了VPN之后，問題仍然大量存在，因?yàn)闊o論是內(nèi)部員工還是合作方，一旦產(chǎn)生問題之后，都會求救于該公司IT部分，而該公司只得再次向思科技術(shù)支持部門尋求幫助，而問題的解決，如此輾轉(zhuǎn)，已經(jīng)是至少六個(gè)小時(shí)之后了。

目前該公司已將目標(biāo)轉(zhuǎn)向SSL VPN，因?yàn)镾SL VPN對于終端類型和防火墻配置都沒有要求，該公司希望這一轉(zhuǎn)變能夠幫助它解決問題。

盡管IPSec VPN在市場中已經(jīng)獲得成功，特別是在運(yùn)營成本上有非常大的優(yōu)勢，但已有相反的聲音在警告用戶：不要對VPN抱過高的期待。

企業(yè)應(yīng)當(dāng)在采用IPSec VPN之前盡可能地對其有所了解，例如，企業(yè)員工極有可能因?yàn)榕渲脝栴}，而在一些酒店無法使用筆記本訪問公司內(nèi)部網(wǎng)——因?yàn)榫频攴阑饓㈡溌纷钄唷?

VPN節(jié)約嗎？

相對于IPSec VPN來說，SSL VPN的優(yōu)勢更為明顯，這也是為什么運(yùn)營商和大型企業(yè)客戶都對SLL VPN更為重視的原因，盡管在花費(fèi)上，SSL VPN要高于IPSec VPN。

SSL VPN的應(yīng)用幾乎可以忽略任何防火墻配置問題，用戶可以將更多的精力放在業(yè)務(wù)進(jìn)行上，而不需要不斷投入精力解決連接問題。一些公司的網(wǎng)絡(luò)管理員，在采用IPSec VPN之后，抱怨這一技術(shù)給他們工作帶來的困擾，因?yàn)橐粩嗟刈兏阑饓Φ呐渲脕砼浜喜煌膽?yīng)用，“甚至連通過Web方式訪問公司內(nèi)部的Outlook都要對原有配置的一些基本設(shè)置進(jìn)行變更，這樣的工作量太大?！倍捎肧SL VPN之后，一切工作相對要容易得多。

而采用SSL VPN（甚至IPSec VPN）之后，企業(yè)網(wǎng)管中心需要面對的一個(gè)問題就是，需要管理更多的網(wǎng)絡(luò)設(shè)備，VPN背后所需要的安全策略，將迫使企業(yè)不斷地升級其安全系統(tǒng)、安裝新的安全軟件，這意味著將要不斷地投入資金。而且，VPN也會帶來相關(guān)的外圍投資問題，例如用戶遠(yuǎn)程認(rèn)證軟件的投入、購買數(shù)字證書的投入、培訓(xùn)的投入以及相關(guān)的時(shí)間開銷等等，而這一切，也只是為了能夠使VPN業(yè)務(wù)能應(yīng)用起來，而與企業(yè)原本的業(yè)務(wù)沒有太多直接關(guān)系。

總體而言，更多借助于安全力量的IPSec VPN，可能在短期要比SSL VPN節(jié)約，但從長期來看，SSL VPN的優(yōu)勢要更大一些，因?yàn)镾SL VPN所需在網(wǎng)絡(luò)中添置的設(shè)備更少（雖然價(jià)格也更貴），并且升級上也更為便宜一些，因?yàn)樯婕暗木W(wǎng)絡(luò)節(jié)點(diǎn)比較少。但是，由于VPN技術(shù)及設(shè)備都發(fā)展迅速，企業(yè)還面臨另一個(gè)問題：無法確定設(shè)備的更新和換代周期。 (CCW)