1.為什么用戶需要VPN技術(shù)？

為什么用戶需要VPN技術(shù)？要想回答這個(gè)問(wèn)題，讓我們先從一個(gè)用戶的實(shí)際需求來(lái)談起。

H公司是一家大型汽車(chē)制造商，零部件供應(yīng)商、經(jīng)銷(xiāo)商及生產(chǎn)基地遍布全國(guó)各地。為了進(jìn)一步提升整體競(jìng)爭(zhēng)力，H公司按照“精細(xì)化生產(chǎn)”及“零庫(kù)存生產(chǎn)”的要求，建設(shè)了一套先進(jìn)的信息化生產(chǎn)管理系統(tǒng)。這套生產(chǎn)控制系統(tǒng)可以實(shí)時(shí)分析與生產(chǎn)、銷(xiāo)售有關(guān)的所有數(shù)據(jù)，通過(guò)對(duì)數(shù)據(jù)的分析，給出原材料采購(gòu)、生產(chǎn)節(jié)奏、生產(chǎn)型號(hào)分布等結(jié)果，指導(dǎo)企業(yè)進(jìn)行生產(chǎn)、采購(gòu)和銷(xiāo)售。為了保證該系統(tǒng)正常運(yùn)行，必須實(shí)時(shí)獲取全國(guó)各地各級(jí)經(jīng)銷(xiāo)商的進(jìn)、銷(xiāo)、存數(shù)據(jù)及各個(gè)分廠、零部件廠的生產(chǎn)、庫(kù)存數(shù)據(jù)。

很明顯，這些進(jìn)、銷(xiāo)、存數(shù)據(jù)對(duì)于任何公司而言都是最核心的財(cái)務(wù)秘密，那么，如何確保這些數(shù)據(jù)安全的從各級(jí)經(jīng)銷(xiāo)商、各分廠和零部件廠傳遞到H公司總部呢？對(duì)于這樣的需求，在互聯(lián)網(wǎng)尚未發(fā)展起來(lái)之前，用戶只能去找電信運(yùn)營(yíng)商租用昂貴的專用鏈路，比如租用64K帶寬的DDN或者2M的SDH傳輸通道，租用成本極高。

隨著互聯(lián)網(wǎng)的飛速發(fā)展，人們發(fā)現(xiàn)，如果能利用無(wú)處不在的互聯(lián)網(wǎng)來(lái)傳遞高價(jià)值的信息，會(huì)大大降低IT系統(tǒng)運(yùn)營(yíng)成本。這就是VPN技術(shù)最初的用戶需求：在低成本的公眾網(wǎng)絡(luò)上加密傳輸高價(jià)值的、無(wú)法被惡意竊取的信息，從而提高生產(chǎn)效率，降低信息傳遞成本，并最終提升企業(yè)或組織的綜合競(jìng)爭(zhēng)力。

2.傳統(tǒng)的VPN解決方案

在基于互聯(lián)網(wǎng)的VPN系統(tǒng)的應(yīng)用早期，用戶必須通過(guò)部署專門(mén)的VPN網(wǎng)關(guān)設(shè)備來(lái)構(gòu)建企業(yè)VPN體系，以滿足遠(yuǎn)端分支機(jī)構(gòu)、漫游用戶及合作伙伴的VPN接入需求。但這種傳統(tǒng)的VPN網(wǎng)關(guān)只支持單獨(dú)的IPSec VPN功能，且無(wú)法支持應(yīng)用層安全如防病毒、入侵防御等安全功能。

還是以H公司為例，為了支撐信息化生產(chǎn)管理系統(tǒng)的正常運(yùn)行，該公司投資數(shù)百萬(wàn)，為所有分支機(jī)構(gòu)和重點(diǎn)經(jīng)銷(xiāo)商配置了硬件IPSec VPN網(wǎng)關(guān)，為中小經(jīng)銷(xiāo)商和經(jīng)常出差的公司員工配發(fā)了VPN軟件客戶端。

這么看來(lái)，H公司的生產(chǎn)管理系統(tǒng)應(yīng)該發(fā)揮作用了吧？但事實(shí)和預(yù)期并不太一致。

在VPN系統(tǒng)開(kāi)通后，問(wèn)題接連不斷。H公司IT管理部門(mén)為了維護(hù)VPN系統(tǒng)的正常運(yùn)行，不得不申請(qǐng)了額外的IT員工編制以應(yīng)對(duì)出差員工和中小經(jīng)銷(xiāo)商的VPN連接問(wèn)題。同時(shí)，大量蠕蟲(chóng)和網(wǎng)絡(luò)病毒從幾個(gè)IT系統(tǒng)管理不嚴(yán)格的經(jīng)銷(xiāo)商網(wǎng)絡(luò)傳播至總部業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)中，并在整個(gè)VPN系統(tǒng)內(nèi)大肆傳播，大大降低了業(yè)務(wù)可用性。最嚴(yán)重的時(shí)候，H公司甚至要斷開(kāi)很大一部分的VPN連接才能使生產(chǎn)管理系統(tǒng)勉強(qiáng)正常運(yùn)行。

3.傳統(tǒng)VPN解決方案存在的問(wèn)題

為什么傳統(tǒng)的VPN解決方案沒(méi)有達(dá)到用戶的預(yù)期效果？從H公司的例子我們可以看出，采用傳統(tǒng)的IPSec VPN網(wǎng)關(guān)設(shè)備來(lái)構(gòu)建企業(yè)的VPN系統(tǒng)有著幾個(gè)固有的弱點(diǎn)：

第一、沒(méi)有網(wǎng)關(guān)防病毒功能。各類蠕蟲(chóng)和網(wǎng)絡(luò)病毒可以從漫游PC/分支機(jī)構(gòu)/合作伙伴網(wǎng)絡(luò)等位置通過(guò)VPN隧道傳播至內(nèi)網(wǎng)。

第二、沒(méi)有入侵防御功能。黑客可從分支機(jī)構(gòu)/合作伙伴網(wǎng)絡(luò)中通過(guò)VPN隧道發(fā)起攻擊；

第三、采用IPSec VPN實(shí)現(xiàn)漫游用戶接入。IPSec VPN的漫游PC到VPN網(wǎng)關(guān)接入采用C/S架構(gòu)的VPN客戶端，缺乏靈活性；VPN客戶端存在與操作系統(tǒng)或其他應(yīng)用軟件不兼容的風(fēng)險(xiǎn)；

第四、維護(hù)成本高。客戶端配置相對(duì)復(fù)雜，隨著VPN終端數(shù)的增長(zhǎng)，運(yùn)維成本線性遞增。

可見(jiàn)，傳統(tǒng)的VPN解決方案只滿足了用戶對(duì)于VPN業(yè)務(wù)的基本需求，也就是解決用戶的連通性、數(shù)據(jù)級(jí)別的安全性和認(rèn)證問(wèn)題，而對(duì)于接入VPN的分支節(jié)點(diǎn)/漫游用戶在應(yīng)用級(jí)別的安全性上沒(méi)有考慮。對(duì)于需要立體安全的用戶來(lái)說(shuō)，單純的VPN網(wǎng)關(guān)是遠(yuǎn)遠(yuǎn)不夠的。

但是，如果單純采用其它設(shè)備彌補(bǔ)上述安全缺陷又不是那么容易。VPN隧道中的所有數(shù)據(jù)本身經(jīng)過(guò)了嚴(yán)格加密，如果直接在VPN傳送的路徑上部署入侵防御系統(tǒng)、網(wǎng)絡(luò)防病毒系統(tǒng)等應(yīng)用層安全設(shè)備，由于無(wú)法將數(shù)據(jù)從報(bào)文中解密，因此無(wú)法起到應(yīng)有作用。而如果在VPN網(wǎng)關(guān)之后疊加部署多個(gè)安全設(shè)備，會(huì)對(duì)用戶的管理維護(hù)帶來(lái)進(jìn)一步的壓力，同時(shí)大大提高整體的建設(shè)成本。

有沒(méi)有一種VPN方案能夠讓用戶解決上述安全性、維護(hù)成本和采購(gòu)成本方面的問(wèn)題呢？答案是肯定的，那就是采用統(tǒng)一威脅管理（UTM）設(shè)備構(gòu)建企業(yè)的VPN體系。

4.采用UTM構(gòu)建VPN

隨著整個(gè)信息產(chǎn)業(yè)的逐步前進(jìn)，VPN技術(shù)的逐步成熟，VPN模塊已經(jīng)成為各種網(wǎng)關(guān)產(chǎn)品的標(biāo)準(zhǔn)配置。作為安全網(wǎng)關(guān)功能集大成者的UTM自然也不能例外，作為傳統(tǒng)安全網(wǎng)關(guān)的終結(jié)者，UTM產(chǎn)品的VPN功能比傳統(tǒng)的IPSec VPN網(wǎng)關(guān)、防火墻或路由器有了較大的增強(qiáng)。采用UTM構(gòu)建VPN體系的優(yōu)勢(shì)主要包括：

UTM支持對(duì)VPN隧道內(nèi)數(shù)據(jù)進(jìn)行病毒過(guò)濾及入侵防御

UTM作為VPN網(wǎng)關(guān)，本身就要負(fù)責(zé)數(shù)據(jù)的加密/解密工作，因此，如果采用UTM作為VPN網(wǎng)關(guān)設(shè)備，就可以實(shí)現(xiàn)對(duì)VPN隧道中數(shù)據(jù)的應(yīng)用層掃描，并在這個(gè)基礎(chǔ)上實(shí)現(xiàn)病毒過(guò)濾、入侵防御及其它應(yīng)用層安全功能。

例如，對(duì)于H公司而言，如果采用UTM來(lái)構(gòu)建其VPN體系，那么通過(guò)UTM的網(wǎng)管防病毒功能和入侵防御功能，可以大大降低病毒和木馬在VPN網(wǎng)絡(luò)中的傳播，并阻斷來(lái)自分支機(jī)構(gòu)或合作伙伴網(wǎng)絡(luò)的惡意攻擊。

UTM同時(shí)支持IPSec VPN和SSL VPN

IPSec VPN在使用及部署中存在一些固有的體系問(wèn)題，比如需要客戶端軟件、維護(hù)壓力大、存在穿越NAT/防火墻問(wèn)題、存在系統(tǒng)兼容性問(wèn)題等。而這些問(wèn)題恰好是SSL VPN可以很好解決的問(wèn)題。

SSL VPN最開(kāi)始是作為單獨(dú)的網(wǎng)關(guān)形態(tài)出現(xiàn)，但人們很快發(fā)現(xiàn)，如果將SSL VPN與UTM設(shè)備結(jié)合起來(lái)，會(huì)給用戶帶來(lái)比單純的SSL VPN網(wǎng)關(guān)更大的客戶價(jià)值（主要體現(xiàn)在應(yīng)用層安全上）。因此，SSL VPN已成為UTM產(chǎn)品的標(biāo)準(zhǔn)功能模塊。

如果H公司采用UTM設(shè)備來(lái)構(gòu)建其VPN體系，那分支機(jī)構(gòu)、合作伙伴、分廠等機(jī)構(gòu)通過(guò)IPSec VPN接入到總部，而出差用戶則通過(guò)SSL VPN接入到總部。兩種VPN同時(shí)應(yīng)用，可以取長(zhǎng)補(bǔ)短，大幅降低整體的運(yùn)維成本。

大幅降低采購(gòu)成本和維護(hù)成本

采用UTM構(gòu)建VPN系統(tǒng)，用戶不僅立刻節(jié)省了原本的防病毒網(wǎng)關(guān)、入侵防御系統(tǒng)等采購(gòu)成本，而且可大大節(jié)省設(shè)備后期運(yùn)維成本。IT管理人員無(wú)需學(xué)習(xí)并維護(hù)多套不同類型的硬件系統(tǒng)，而只需對(duì)一臺(tái)設(shè)備進(jìn)行操作和配置。

可見(jiàn)，采用UTM產(chǎn)品構(gòu)建VPN體系，能夠解決傳統(tǒng)的VPN解決方案中的不足，在保證用戶業(yè)務(wù)系統(tǒng)的連通性、可用性的前提下，通過(guò)入侵防御/防病毒等功能模塊進(jìn)一步提升系統(tǒng)的安全性，使VPN的價(jià)值——

提高生產(chǎn)效率和競(jìng)爭(zhēng)力——得以真正體現(xiàn)。

(注：作者“陳勝權(quán)”現(xiàn)任職于啟明星辰公司。)