VPN(虛擬專用網)發展至今已經不在是一個單純的經過加密的訪問隧道了,它已經融合了訪問控制、傳輸管理、加密、路由選擇、可用性管理等多種功能,并在全球的信息安全體系中發揮著重要的作用。未來的VPN技術將如何發展,又將在信息安全事務中承擔起什么樣的角色,是非常值得我們關注的。
技術格局
VPN的核心概念是通過口令等訪問控制手段在非專用線路上建立具有高安全性的專用通信鏈路。目前VPN解決方案中主流的通信隧道協議是IPSec,這是一種用于IP協議族的安全協議。由于在設計TCP/IP協議的時候沒有考慮到安全性問題,使得該協議存在很多內在的安全隱患。為了解決這些安全問題,IETF成立了IP安全協議工作組以開發第三層的IP安全協議,也就是我們所說的IPSec。IPSec是一個提供了維護數據完整性、認證和IP隱私機制的協議族,面向IPv6網絡并可同時應用于IPv4網絡當中。這種協議受到了VPN供應商的高度支持,并成為目前最主流的VPN基礎技術。MPLS VPN是一種基于MPLS(多協議標簽交換)網絡的VPN架構。自2001年IETF公布了MPLS標準之后,該協議被公認為下一代網絡的基礎協議。與基于IPSec的VPN不同,MPLS為VPN提供的通信隧道是通過LSP(標簽交換路徑)實現的。這種方式使路由轉發和數據傳輸分離,實現了靈活的第三層路由功能和高效的第二層數據轉發,也使得MPLS VPN可以提供高質量的傳輸服務。PPTP是由包括微軟和3Com等公司組成的PPTP論壇開發的一種點對點隧道協議,用于應對移動工作者不斷增加的趨勢。由于微軟在服務器和桌面操作系統中提供該協議的支持,使得PPTP成為遠程訪問型VPN連接的最常用協議。最終的情況是微軟自己的PPTP協議版本成為了事實上的標準,但是該協議在非PPP體系之中并沒有獲得太大的發展。近年來在遠程訪問VPN領域又出現了一股新興力量,那就是基于SSL協議的VPN技術。SSL VPN的特點是簡單易用,但是由于作用于應用層,所以并不能象IPSec VPN那樣針對所有應用起效,每個廠商的解決方案支持的應用種類都各不相同。基于SSL的VPN最大的威力來自于對Web應用的支持,事實上這也是一種順應Web應用發展所產生的VPN架構。另外還有基于L2TP協議的VPN解決方案,不過并沒有占據太大的市場份額。L2TP協議是IETF基于L2F(Cisco的第二層轉發協議)開發的PPTP的后續版本。
市場格局
根據Infonetics Research的調查數據,在1997年全球在VPN方面的支出總額約為兩億美元,而2004年該數字已經增長至兩百億美元左右。截止至2004年為止,基于IPSec的VPN解決方案仍是VPN領域的霸主,MPLS VPN占據著第二把交椅,但是與IPSec的差距十分明顯。新興的SSL VPN雖然發展迅猛,但是尚未能撼動兩強的地位。北美地區是VPN應用的熱土,以較大的優勢領先于其它地區,而歐洲和亞洲地區也在全球VPN份額中占據了重要的地位。國內的VPN市場從2000年開始才正式起步,并且與信息產業的其它分支類似,經歷了由金融、政府、通信等行業帶動起步的歷程,呈現出較高的成長速度。在廠商方面,前身是NetScreen的Juniper仍舊延續了VPN領域的領先地位。根據Infonetics Research的數據顯示,在高端VPN市場以及新興的SSL VPN市場,Juniper都占據了百分之四十左右的份額。
發展趨勢
由于中小企業成為IT產業新的消費熱點,而隨著整合安全風潮的盛行,VPN技術的發展速度將得到延續。由于VPN體系的復雜性和融合性,VPN服務的成長速度將超越VPN產品,成為VPN發展的新動力。目前大部分的VPN市場份額仍由VPN產品銷售體現,在未來的若干年里,VPN服務所占的市場份額將超過VPN產品,這也體現了信息安全服務成為競爭焦點的趨勢。隨著整合式安全設備的發展,VPN將被更多的集成在整體式安全體系當中,而各種安全協議和語言的分裂融合將更加激烈。VPN廠商將根據形式轉換角色,可能出現專門進行技術設計、系統制造和增值服務的不同類型的廠商。順應全球的經濟發展趨勢及互聯網用戶的增長態勢,亞洲地區將成為VPN市場的新熱點并有可能成為帶動消費趨勢的市場區域之一。
由于在未來的幾年里網絡應用的Web化趨勢將得到延續,所以SSL VPN的發展勢頭將得到延續。加之移動辦公人員和在家辦公人員的增加,SSL VPN很可能在不久的將來成為和IPSec/MPLS VPN分庭抗禮的VPN架構。
IPSec VPN和MPLS VPN仍將保持穩定的成長率,但是與SSL VPN陣營的差距仍將被不斷縮小。IPSec/MPLS VPN和SSL VPN陣營的技術各有特色,而且所面向的用戶群體有所不同。在短期內這兩者還不會形成互相侵蝕的局面,但是SSL VPN的易用性將吸引很多用戶投向該產品,這必然將引起這兩種VPN架構面對面的競爭。這兩種架構會在互相學習對手優勢的同時不斷的融合其它功能特征,以提供更全面的服務用于吸引用戶。由于承載VPN流量的非專用網絡通常不提供QoS(服務質量)保障,所以VPN解決方案必須整合QoS解決方案才能夠提供具有足夠可用性的目前IETF已經提出了支持QoS(服務質量)的RSVP(帶寬資源預留)協議,而IPv6協議也提供了處理QoS的能力。這為VPN的進一步普及化提供了足夠的保障。隨著IPv6網絡的主流化進程,將會產生更具統治力的VPN架構,VPN技術將向著IP協議這類基礎協議的形式發展。在不久的將來,VPN將可以成為更加基礎的技術被內嵌到各種系統當中,從而實現完全透明化的VPN基礎設施。
