前言
要通過Internet來連接分散的中小型企業,這無疑向企業家及其星羅棋布的辦公室提出了獨一無二的挑戰。本白皮書描述了連接遠程工作員工和辦公室的3種模式:基于客戶端的VPN軟件,多個制造商混合的點對點VPN方案,以及使用集成防火墻的單一制造商方案。本文對每種模式的優點和缺點都進行了探討。
若管理得當,Internet能極大地提高工作效率,使員工能在最便捷的地方工作--不管他們身處世界各地,還是在同一城市。其實,要建立分布式網絡有不少方法。而其中最好的方法就是建立一個集成的體系結構,它不僅能實現安全的遠程安裝、管理和故障診斷,而且能夠正確貫徹你的公司安全策略--所有這些能長期幫助你節省時間和金錢,為你帶來可觀的投資回報。
將遠程站點連接的3種模式綜述
防火墻的初始概念非常簡單--通過限制訪問來保護局域網和Internet之間的"邊界"。但是,隨著人們對Internet的依賴越來越大,與Internet連接的電腦所面臨的安全威脅日益嚴峻。
中小型公司通常不具備實現企業級網絡安全性所需的充足資源,所以在這些威脅面前顯得尤其脆弱。如果你在網絡中增添了遠程辦公室和遠程工作人員工作站,未經許可進入小企業網絡的可能性還會顯著增加。
為了限制破壞,防火墻的保護范圍必須擴展到網絡上的所有用戶--包括直接受防火墻保護的用戶(比如在總部上班的人)以及防火墻外部的用戶(遠程工作人員)。
"虛擬專用網絡"(Virtual private network,VPN)方案尤其引人注目,因為它們能提供一個私有的、像專用租線網絡一樣的安全性,同時不必支付現實中擁有這種網絡所需的價格。
VPN使用加密技術將數據攪亂,使其在通過Internet傳輸的時候處于不可識別狀態,從而在公用網絡上提供了保密性。與遠程辦公室或遠程工作人員聯網的公司通常都使用VPN來連接多個辦公點。
下表展示了連接一個遠程站點和公司總部網絡的3種模式,并描述了每種模式的主要優點和缺點:
|
模式 |
優點 |
缺點 |
|
基于客戶端的VPN軟件(Mobile User VPN或MUVPN) |
價格便宜;可以在允許隧道傳輸的任何地方使用。 |
不支持遠程管理或日志記錄;遠程系統必須單獨保護。 |
|
多個制造商混合的點到點VPN方案(具有IPSec功能的路由器) |
初始投入并不多;可以運用“手頭上”的任何東西。許多具備IPSec功能的路由器都具備防火墻的部分功能。 |
配置和管理的成本高;需要手動設置隧道;日志格式并不通用;診斷問題時,需要整合兩個不同的數據集。 |
|
集成了防火墻的單一制造商方案 |
管理費用低廉;集成日志記錄、報告和故障診斷功能(采用通用日志格式和計時);統一管理界面/模式;通常提供了額外的功能,比如內容過濾。 |
初始投入較大,制造商的產品也許不是在全世界都買得到。 |
表1. 連接遠程站點和公司總部網絡的3種模式
選擇一種VPN方案時要注意的問題
為了理解擁有和運行一個VPN端點所涉及的全部成本和各種可能性,你需要認真考慮使用它時的方方面面。如果不這樣做,最終可能會導致你投入遠超于計劃的時間、精力和金錢。在決定選擇哪一種VPN方案來連接你的遠程辦公室和網絡前,請回答以下幾個問題:
策略控制:誰在隧道的另一端?你放心讓他們訪問你的整個受托網絡嗎?還是,你需要限制他們的訪問?
故障診斷:如果遠程端出現故障,排除故障的難度有多大?
日志記錄:終端為防火墻/VPN網關提供了通用日志格式嗎?如果沒有,那么日志怎么同步?
通信分隔:如果VPN端是在某人家里,那么他們能將公司通信與家庭通信分隔開嗎?
身份驗證:你怎樣知道隧道上傳輸的數據是來自員工,而不是來自他的黑客朋友呢?
總體擁有成本(TCO):就本文來說,TCO應包括采購費用(初始購買價格有多高?),部署費用(你的方案在安裝時,能否無需在終端安排IPSec專家?),以及維護費用(你的方案支持遠程管理嗎?軟件如何更新?)。
實施一種VPN方案
MOBILE USER VPN(移動用戶VPN,MUVPN)客戶端
在上述3種基本選項中,最簡單的就是使用單獨的MUVPN客戶端。它具有最高的靈活性,但在遠程管理和故障診斷方面缺乏效率。采用這個模式,遠程系統上單獨運行的軟件要連接總部VPN網關。對于MUVPN客戶端的用戶來說,需要通過由客戶端維護的隧道來對公司的網絡進行訪問。許多客戶端都可以配置成允許所有通信都經由隧道進行。由于所有遠程網絡通信都返回總部,所以可以將公司安全策略輕松地應用于通信。
策略控制
MUVPN通常要么允許,要么禁止:遠程站點用戶要么能訪問你的整個網絡,要么就一點都不能訪問。盡管一般情況下可以在客戶端上配置更嚴格的規則來限制通信,但假如這樣做,經常性地維護那些規則是相當復雜的事情,而且會增大維護成本。如果需要限制通過隧道進行的通信類型,則應考慮其他方案。
故障診斷
MUVPN客戶端必須讓非技術出身的用戶也能操作。所以,你必須考慮到當它出問題的時候,IT員工如何去解決它。客戶端本身不具備遠程故障診斷或者管理功能。為了解決問題,你必須使用第三方的遠程管理軟件。
日志記錄
VPN網關和大多數MUVPN客戶端都能記錄連接信息,這是進行故障診斷的關鍵。確保兩個系統都能接收來自同一個來源的時間同步指令,而且不同的日志格式能夠相互轉換或兼容。
通信分隔
在大多數部署中,MUVPN客戶端都能方便地隔離公司通信和非公司通信。所有公司通信都進行加密,并傳送到公司網絡;非公司通信則不然。除此之外,和另外兩種方案不同,MUVPN客戶端幾乎可以在任何能夠上網的地方使用,比如酒店房間、網吧以及只能撥號上網的場所。
身份驗證
大多數MUVPN客戶端都為所有連接提供了強驗證功能。
總體擁有成本(TCO)
MUVPN客戶端價格便宜。你的防火墻一般已經附帶了幾份MUVPN客戶端許可證。附加的客戶端許可證一般只需花費20美元/每客戶端。
初始部署所發生的費用取決于方案的復雜性。你應該預留一周的時間去適應配置及故障診斷過程。另外,計劃每個客戶端系統花30~60分鐘的時間來完成實際的安裝。
MUVPN客戶端本身不需要進行例行維護。但要記住,MUVPN客戶端保護的只是隧道中的通信。在最低限度上,客戶機需要安裝病毒防護軟件以及個人防火墻。長時間更新其中的任何一個程序,都可能會影響MUVPN客戶端的性能,因為它們使用的是同一系列的系統資源。正是考慮到這種相互依賴的特點,所以你應該盡量避免將MUVPN作為一種永久性的方案來解決遠程辦公室的連接問題。
小結
如果只有少數人需要在外面辦公,或者確實需要從任意地點連接的能力,那么少數幾個MUVPN也許是一種合適的方案。
具有IPSec功能的第三方防火墻/路由器
互聯網的主流應用有大量廉價的、功能較好的防火墻/路由器。這些入門級設備的定價一般低于100美元,它們提供了IPSec和防火墻的基本功能,但缺點是不方便進行遠程管理、故障診斷、日志記錄和內容管理。便宜的初始采購費用非常吸引人,而且在某些情況下,還會產生較低的總體擁有成本。在一個典型的網絡架構中,人們會選擇使用一個便宜的防火墻/路由器,通過一個手工配置的IPSec隧道來連接主VPN網關。
策略控制
不同的路由器具有不同的能力,這具體取決于IPSec和防火墻軟件的集成度有多高。通常,策略控制要在主VPN端點應用,以減小總體部署的復雜性。從VPN端點到防火墻的所有隧道通信都應該在防火墻處被截止(即使隧道本身是開放的),除非專門設置了某個服務,對那種類型的通信放行。
故障診斷
假如遠程設備能夠從公司總部安全地管理,那么IT部門必須準備兩個不同的管理界面,以便顯示兩種不同的格式的調試信息。要想對兩者進行準確的解釋,可能并不容易。要想取得成功,必須花費大量時間和精力來進行學習,了解路由器的特點,以及它如何與主網關進行交互。
日志記錄
具有IPSec功能的路由器可能支持、也可能不支持傳輸日志,而且可能無法提供"調試"級的日志。如果它們支持日志功能,你的員工仍然需要集成來自兩套日志的信息。由于時間同步是調試IPSec問題的關鍵,所以請確保系統能從同一個來源獲取時間信息。 許多設備會將信息記錄到syslog(系統日志)中,這是UNIX?采用的常規格式。雖然syslog既不安全,也不可靠,但你可以用它來實現跨平臺的日志合并。假如設備不支持syslog,那么IT人員必須使用兩種報告機制,對兩種格式的日志數據進行人工同步處理。
通信分隔
對于廉價的、具有IPSec功能的路由器來說,極少產品允許在內部分開連接兩個獨立的物理網絡。所以,沒有簡單的方法確保隧道上進行的只是公司內部通信。
身份驗證
如果遠程辦公室就是一個遠程工作人員的家,那么必須保證遠程員工只通過隧道訪問公司總部的網絡。大多數廉價的、具有IPSec功能的路由器都是直接授予隧道訪問權限,不支持在此之前的身份驗證功能。
總體擁有成本
大多數零售電腦商店都以約100美元的價格出售具有IPSec功能的路由器。這種設備的初始部署比較費時間。但是,一旦隧道兩端的員工都充分理解了IPSec,那么使用起來就會比較順利。否則,你應該確保提供可靠的遠程管理和故障診斷能力(這不能依賴于路由器本身)。如果允許的話,最好先將第三方設備配置好,再把它拿到遠程地點使用。
在多種品牌的產品混合使用的網絡中,與使用單一制造商和管理系統的網絡相比,前者通常要產生更大的維護成本。對某個設備進行的每一次軟件更新都會造成改變,要求重新建立和測試隧道設置--假如沒有方便的遠程管理,這就是一個十分繁瑣的任務。
在某些受到控制的情況下,以隧道兩端都配備了有經驗的管理員為前提,使用具有IPSec功能的防火墻/路由器來搭建一個IPSec VPN網絡并不是不可行的。但是,你要做好產生更大的管理開銷以及支付更多的支持費用的心理準備。
單一制造商方案
對于遠程辦公室和分支機構來說,單一制造商和多制造商這兩種方案的區別反映在管理能力上。來自單一制造商的產品通常能有效地協作,采用通用的日志格式,進行了更緊密的IPSec集成,使用了特殊的隧道管理工具,而且能產生較低的維護成本(因為采用通用的或者類似的管理界面)。
策略控制
單一制造商防火墻/VPN網絡通常能緊密地協作。從特殊設計的全局管理軟件與VPN配置工具上,即可看出這一點。和具有IPSec功能的路由器一樣,從隧道傳出的通信通常由總部的VPN網關進行管理,并在那里集中控制,以簡化管理。
故障診斷
單一制造商的設備通常使用一套通用的管理軟件、術語、日志格式等等。這種強烈的家族共性有助于快速診斷出不可避免發生的問題。
日志記錄
如果制造商實現了一種定制的日志格式,以解決syslog缺乏可靠性和保密性的問題,那么兩邊的設備通常都支持這種定制的日志格式,從而有助于故障診斷。
通信分隔
一些較高級的遠程辦公室設備為家庭和辦公室網絡進行了物理劃分。如果遠程辦公室就是員工的家,那么家庭網絡通信將保持在一個網段上,另一個網段則只用于公司通信。所以,家庭系統上的病毒無法通過隧道感染辦公室。
身份驗證
一些較高級的遠程辦公室設備允許先對用戶進行身份驗證,再決定是否允許他們訪問Internet或隧道。對于不受信任的無線網絡來說,這是尤其有用的一個功能。由于許多無線網絡都很容易被破解,所以必須對請求通信的用戶進行身份驗證。
總體擁有成本
相比購買廉價設備,單一制造商方案的初始投入通常都比較大。但在大多數情況下,這個方案能確保以后產生較少的維護、部署和管理成本。
如果你部署單一制造商網絡,管理員就可以充分利用專用工具和特殊功能,以加快網絡部署和增強網絡的可靠性。為了簡化維護,一些較高級的設備通常支持安全的遠程管理功能,允許遠程安裝新軟件,并允許遠程日志記錄。
小結
雖然初始投入較大,但集成式單一制造商方案通常能提供更好的可靠性、管理能力以及最低的TCO(總體擁有成本)。更好的、更高級的產品則提供了更豐富的特性,使其更好用,而且通常能進一步降低以后的配置、管理及支持成本。
