| 目前,越来越多的企业 错综复杂的环境下,这些新 拟专用网(VPN)解决方案成 商业客户每年将在VPN设备 |
正在寻求灵活安全的广域通信方 的通信需求已经超出了传统网络 为希望在全球连通的公司的自然 和服务中支出超过140亿美元。 |
式。在Internet连接和基于IP网络 解决方案的处理能力。基于IP的虚 之选。分析人员预测,到2003年, |
| VPN定义为“采用加密 全标准的问世和无所不在的 |
和认证技术,在公共网络上建立 IP网,VPN现在已经成为大多数 |
安全专用隧道的网络”。随着IP安 企业可行的备选方案。 |
| 一、VPN实现方式 |
| VPN有以下几种实现方式: |
| 1.自行管理。企业拥 ,使其能够控制VPN的部署 持全球电子商务以及需要企 不愿意投资采用。 |
有和全面管理基于Internet的VP 和管理。但是,存在着组网范围 业一周七天、全天24小时的管理 |
N。这种方法为企业提供了灵活性 窄、扩充能力弱、基础设施必须支 服务等问题,这些问题通常使企业 |
| 2.全面外包。这是一种可以由一系 商(ISP)和安全集成合作伙伴。通过这种 日常的网络管理问题。 |
列合作伙伴实现的管理服务,包括Internet服务供应 方式,公司可以迅速部署、简便实现全球扩充,没有 |
| 3.混合或共享管理方法。合作伙伴 略定义和安全管理的关键方面保持控制能 |
负责基础设施部署和管理的主要部分,而企业则对策 力。 |
| 二、VPN的发展趋势:外包 |
| 随着VPN市场的加速发 部署和维护工作外包给Inte 。外包的动因有:构建和运 能等等。 |
展,一个重要趋势是转向外包。 rnet服务供应商(ISP)、应用服 行全球网络的成本问题、希望把 |
部署这些网络的公司正选择把VPN 务供应商(ASP)和其他连接供应商 重点放在核心能力上、改善网络性 |
| 1.外包给企业带来如下好处 |
| (1)灵活性和扩充性: 需要在VPN服 带有用户端设备(CPE)或安全客户端软件 级开通工作。最优的VPN设计只需通过一 Internet接入。这种整合能力使企业节约 供应商可以在当前专用网络和公共网络边 |
务中增加新站点或用户时,只需服务供应商安装一条 的接入链路。服务供应商负责所需的任何站点和主干 条连接实现专用Intranet、半专用Extranet和公共 了成本,同时也给服务供应商带来了优势,因为服务 界的内部和之间低成本扩大服务。 |
| (2)迅速部署和触及 人和多用户办公室,同时支 建自己的主干网,把网络扩 |
全球:VPN 地理覆盖范围可以简 持流行的应用和协议。企业通过 展到内部有限资源之外,如Inte |
便地进行扩展,连接世界各地的个 利用服务供应商的主干,而不是构 rnet上。 |
| (3)降低运营成本: 协议(SLA)性能,支持要求 ,企业不必再招聘技术专家 |
管理型端到端VPN服务可以提供 最苛刻的商业应用。通过利用外 。 |
全面的服务质量(QoS)和服务水平 包合作伙伴的专业知识及专用资源 |
| 2.外包同样给服务供应商带来许多好处 |
| (1)扩大收入来源:增加了虚拟主机、应用托管和电子商务支持等增值服务。 |
| (2)迅速部署:由于 ,提高市场占有率。 |
不需改变现有的核心网络,因此 |
可以迅速部署新的基于CPE的服务 |
| (3)提供差别化服务:下一代功能 提供竞争优势。 |
如QoS和识别SLA的路由和交换技术,将给服务供应商 |
| (4)调整与客户的战略关系:由于 商和客户将建立起长期的关系。 |
服务供应商提供的是增值服务而不是带宽,服务供应 |
| 三、VPN涵盖的功能和标准 |
| 由于VPN产品把机密的 须像防火墙一样强健。强大 能够保护数据的机密性。VP |
数据和网络资源与不友好的网络 的认证、密码、X.509v3数字证 N安全策略是基于标准的,这些 |
分隔开来,因此它在任何地方都必 书和ICS认证的防火墙功能确保VPN 标准非常强健、稳定。 |
| 1.服务水平协议(SLA) 。SLA提供了具体的性能标 应用提供了宝贵的数据。SL |
。是端到端VPN解决方案的一种 准,确保VPN能够支持可靠的商 A应涵盖各条链路及所有客户站 |
关键功能,它和网络安全一样重要 业服务。同时,为网络性能规划和 点之间的整体性能。 |
| 2.服务质量(QoS)功能。服务质量对 |
企业要求的优先通信和管理接入VPN至关重要。 |
| 四、选用VPN方案时应注意的问题 |
| 选用VPN方案时要注意 括CPE,实现真正的端到端 设备开通,在最后一公里上 |
基于用户端的VPN服务和基于网 安全和性能管理。后者则主要是 不能提供同样的保障。 |
络的VPN服务之间的差别。前者包 使用服务供应商业务点(POP)中的 |
| 基于用户端的解决方案应注意以下几个关键问题: |
| 1.集中化策略管理。 全策略实现集中控制,策略 ,而不是不同产品拼凑在一 。 |
这是构建大规模VPN解决方案的 管理简化了VPN开通和管理工作 起的集合,它能够为网络上任何 |
关键。通过全面分布VPN配置和安 。供应商网络成为一个一体化系统 地方的任何灵活服务集中提供支持 |
| 2.强大的安全和认证。VPN解决方案 业防火墙和入侵检测系统实现同步管理。 。为了实现用户认证功能,平台应支持Se 统作为VPN设备的基础,因为这些操作系 |
与防火墙一样关键。服务平台应能够紧密地与其他企 平台中应包括一个紧密集成的经过ICSA认证的防火墙 curID令牌或X.509数字证书。应避免采用通用操作系 统可能充满了安全漏洞。 |
| 3.全面集成。由于VPN 须全面集成和管理一套互补 关附加连接在现有的路由器 、防火墙和带宽管理功能。 |
是保证商业合作伙伴和企业客户 的技术和设备。VPN可以使用专 上。下一代VPN路由器将是专用 |
安全通信的网络,因此产品线中必 用VPN路由器构建,也可以把VPN网 的,提供紧密集成的IP路由、安全 |
| VPN网关通常是一种低成本设备,它 火墙服务等功能。 |
将在过去安装的IP网络之上,叠加提供隧道加密和防 |
| 4.符合标准。安全VPN 小组(IETF)标准,并不是所 |
采用的标准是网际安全协议(IPS 有供应商都部署了带有128位IPS |
ec),这是一项Internet工程任务 ec加密技术的管理型VPN服务。 |
| 5.多个认证中心(CA) 支持多个CA,如Entrust和V 技术。 |
支持。企业不应局限于专有的认 eriSign,网络管理员可以选择 |
证中心(CA)或认证注册协议,通过 最优秀的公共密钥基础设施(PKI) |
| 6.硬件加速加密。执行加密和解密 。对T-3之类的高速应用,服务平台应具 加密功能。 |
要求密集型处理能力,特别是在执行自动密钥交换时 有硬件加速加密功能。低速应用可以运行基于软件的 |
| 7.扩充能力。大多数 连接位置。实现VPN解决方 VPN网关和数千个VPN客户端 |
企业面临着不断变化的网络需求 案后,不必更换所有硬件和软件 。 |
,包括更快速的连接和越来越多的 。VPN体系结构至少应支持数十台 |
| 五、构建端到端安全VPN |
| 朗讯的安全VPN系列包括下述组成部分: |
| 1. 策略管理。安全管理服务器(LSMS 软件,也是朗讯安全VPN系列的核心。LSM 施、接合RADIUS和SecurID用户认证服务 LSMS和QVPN Builder相集成,可以管理数 SuperPipe VPN路由器及数千个IPSec Cli |
)和QVPN Builder是一种集成化集中式的VPN策略管理 S为远程接入应用而优化,可以处理公共密钥基础设 器、管理VPN配置文件、防火墙规则和QoS策略定义。 百个VPN网关、Access Point、Pipeline和 ent,它一次可以管理最多2.4万条VPN隧道。 |
| 2.VPN防火墙。这为IP网络提供了一 。VPN防火墙模块提供了专用的平台,它 支持最多2000条同步隧道,它还支持高度 证和NSA认证的防火墙及强大的认证和接 |
种经济的VPN重叠方法,包括防火墙和硬件加密服务 采用硬件加密技术,可以保持75Mbps的3DES吞吐量, 机密的企业内部网使用的高级安全特性,包括ICSA认 入控制功能。 |
| 3.VPN客户端。朗讯IP 在IPSec客户端连接到安全V 略。可以集中管理配置,确 |
Sec客户端软件支持RADIUS或Sec PN系列中的任何网关时,它自动 保通过LSMS严格地实施接入权限 |
urID基于一次性令牌的认证系统。 透明地认证用户身份,执行安全策 。 |
| 4.VPN路由器。Access 火墙功能融合在一个综合服 的业务点,同时为任何规模 |
Point和Pipeline/SuperPipe路 务平台中。这些平台可以部署在 的站点间应用和远程接入应用提 |
由器把路由、带宽管理、 VPN和防 用户端,也可以部署在服务供应商 供路由器和网关功能。 |
| 六、结语 |
| 从根本上看,管理型VPN服务扩大了 策略定义对公司过于复杂,公司不能有效 择。 |
企业控制的范围。在混合VPN配置中,部署和管理VPN 地内部处理这些问题,因此外包是许多企业最好的选 |