警惕VPN應用失衡

申請免費試用、咨詢電話：400-8352-114

IP VPN技術及構建網絡中暗藏的一些問題，極有可能使企業(yè)在獲得“投資節(jié)約”的同時，遭遇其他問題。

盡管利用IP VPN技術，實現(xiàn)廣域網（Wide Area Network，WAN）范圍的遠端訪問、構建虛擬專用網的方式，已經廣為企業(yè)，特別是跨地機構較多的大型企業(yè)所接受，并且也確實能夠給企業(yè)運營帶來節(jié)約，但同樣不可忽視的是，IP VPN技術及構建網絡中暗藏的一些問題，極有可能使企業(yè)在獲得“投資節(jié)約”的同時，遭遇其他問題。

IPSec VPN的利與弊

這方面的例證，可以參見2004年底美國方面的一個報道。大致內容是，一家采用了IPSec VPN的公司，在一段時間后徹底放棄了該網絡。從技術角度上，IPSec VPN的技術、設備所獲得的評價都很好，性能上沒有遭到質疑。最大的問題在于，盡管服務提供商做到了能夠將分散在各個遠程接入點的員工的計算機和他們的家用機器隔離開來，但是最終的結果是，公司發(fā)現(xiàn)那些員工的家庭人員仍可直接使用員工的機器登錄進公司網絡、訪問公司內部資源，而這給該公司的業(yè)務帶來極大的潛在商業(yè)危機。

也有類似的情況在歐洲地區(qū)發(fā)生，而根據(jù)我們獲得的消息，有些公司通過在遠程計算機上安裝一些秘鑰軟件的方式，來保護公司內部網絡，同時也使員工可以正常使用IPSec VPN。

從諸多研究機構提供的調查報告，都可以看出，VPN已進入蓬勃發(fā)展時期，特別是相對于傳統(tǒng)的WAN連接而言，VPN在實現(xiàn)端到端連接上的優(yōu)勢以及節(jié)約投資上的優(yōu)勢，相當明顯。通常而言，企業(yè)用戶為使用VPN而付出的價格，只相當于WAN連接專線的五分之一到十分之一。盡管中國電信和中國網通都還沒有正式宣布開展IPSec VPN業(yè)務，但SSL VPN業(yè)務已經展開，而且，一些省級運營商已經開始在小范圍市場內推廣IPSec VPN?？梢哉f，正是IP VPN業(yè)務的迅速增加，將會在未來數(shù)年內導致WAN網專線業(yè)務直線下降，而同時VPN市場迎接來一個又一個倍數(shù)增長。試想，當一個分支機構僅僅通過ADSL就可以直接訪問公司的整個網絡時，任何試圖降低運營成本的公司都會為此動心的。

VPN能夠帶來節(jié)約，這只是目前市場中經常宣傳的好的一面而已，企業(yè)必須謹記，VPN極有可能不但沒有帶來節(jié)約，反而使開銷更大——只有在全面了解了VPN的模式之后，企業(yè)應用VPN才是值得考慮的下一步行動。非常典型的例證是，美國一家致力于醫(yī)療行業(yè)軟件的公司，采用了思科系統(tǒng)公司和北電網絡提供的相關設備搭建了VPN網絡，最后卻發(fā)現(xiàn)其客戶公司在使用VPN業(yè)務上完全缺乏經驗，甚至完全不會使用該網絡，很長的一段時間里，VPN網絡被閑置，而業(yè)務還是按照舊有途徑進行。

除了應用上需要培訓和相關經驗外，VPN的另一個重頭工作便是，企業(yè)需要對現(xiàn)有網絡進行重新配置，例如防火墻，必須重新設置以便VPN網絡能夠穿越，這又會使企業(yè)在VPN上消耗更多的精力和投資來尋求相關服務。

據(jù)報道稱，目前該軟件公司的技術副總裁相當頭疼的事，便是要花費大量的時間和精力來說服其合作伙伴也安裝并使用VPN——這說明VPN在單個公司內部署可能極為迅速，而一旦涉及到多方合作和信息資源共享，就顯得舉步維艱了——首要的問題便是首先在所有的防火墻上采取共同的策略與配置，以便VPN能夠真正穿越網絡的所有節(jié)點（主要是各合作伙伴的內外網邊緣）。

同樣，將每臺終端都配置成可訪問VPN的狀態(tài)，也是需要花費相當多時間和工作量的事，企業(yè)極有可能需要為此付出相當一部分資金。

還以這家軟件公司為例，即使在說服了上下游合作方都采用了VPN之后，問題仍然大量存在，因為無論是內部員工還是合作方，一旦產生問題之后，都會求救于該公司IT部分，而該公司只得再次向思科技術支持部門尋求幫助，而問題的解決，如此輾轉，已經是至少六個小時之后了。

目前該公司已將目標轉向SSL VPN，因為SSL VPN對于終端類型和防火墻配置都沒有要求，該公司希望這一轉變能夠幫助它解決問題。

盡管IPSec VPN在市場中已經獲得成功，特別是在運營成本上有非常大的優(yōu)勢，但已有相反的聲音在警告用戶：不要對VPN抱過高的期待。

企業(yè)應當在采用IPSec VPN之前盡可能地對其有所了解，例如，企業(yè)員工極有可能因為配置問題，而在一些酒店無法使用筆記本訪問公司內部網——因為酒店防火墻會將鏈路阻斷。

VPN節(jié)約嗎？

相對于IPSec VPN來說，SSL VPN的優(yōu)勢更為明顯，這也是為什么運營商和大型企業(yè)客戶都對SLL VPN更為重視的原因，盡管在花費上，SSL VPN要高于IPSec VPN。

SSL VPN的應用幾乎可以忽略任何防火墻配置問題，用戶可以將更多的精力放在業(yè)務進行上，而不需要不斷投入精力解決連接問題。一些公司的網絡管理員，在采用IPSec VPN之后，抱怨這一技術給他們工作帶來的困擾，因為要不斷地變更防火墻的配置來配合不同的應用，“甚至連通過Web方式訪問公司內部的Outlook都要對原有配置的一些基本設置進行變更，這樣的工作量太大。”而采用SSL VPN之后，一切工作相對要容易得多。

而采用SSL VPN（甚至IPSec VPN）之后，企業(yè)網管中心需要面對的一個問題就是，需要管理更多的網絡設備，VPN背后所需要的安全策略，將迫使企業(yè)不斷地升級其安全系統(tǒng)、安裝新的安全軟件，這意味著將要不斷地投入資金。而且，VPN也會帶來相關的外圍投資問題，例如用戶遠程認證軟件的投入、購買數(shù)字證書的投入、培訓的投入以及相關的時間開銷等等，而這一切，也只是為了能夠使VPN業(yè)務能應用起來，而與企業(yè)原本的業(yè)務沒有太多直接關系。

總體而言，更多借助于安全力量的IPSec VPN，可能在短期要比SSL VPN節(jié)約，但從長期來看，SSL VPN的優(yōu)勢要更大一些，因為SSL VPN所需在網絡中添置的設備更少（雖然價格也更貴），并且升級上也更為便宜一些，因為涉及的網絡節(jié)點比較少。但是，由于VPN技術及設備都發(fā)展迅速，企業(yè)還面臨另一個問題：無法確定設備的更新和換代周期。 (CCW)