“混合VPN”进行时
来源:中国电子政务网 更新时间:2007-07-05

  相对传统的单一VPN技术,2007年已经成为了混合VPN的时代:融合了IPSec和SSL两种VPN的精髓,同时配合完善的安全管理平台,混合VPN技术已经在越来越多的行业用户中得到了青睐。

  高性价比之路

  说起流行的混合VPN技术,其实从2006年下半年就已经有了苗头:不少用户喜欢IPSec VPN的稳定可靠,但又发愁用户数量的限制与接入的不便,因此才有了IPSec+SSL的期待。当然,两种技术的结合对于管理的复杂度有着不小的提升。不过借助于各种管理平台的发展,混合VPN人就前途看好。和很多新兴技术应用于高校一样,混合VPN也在大学中找到了市场。福建医科大学信息中心主任任凤君老师在接受采访时透露,“混合VPN技术结合了两种技术的优点,其部署本身就是效益的体现。”事实上,对福建医科大学而言,2007年是学校信息化丰收的一年:凭借对混合VPN技术的应用,该校已经完成了对下属四所附属医院的安全接入,并获得了良好的管理效益。任凤君老师表示,将IPSec和SSL两种VPN混合应用,同时配合强的管理平台支持,不仅给学校节省了大笔经费,同时也为安全接入与管理指明了方向----“信息中心五个老师,已经足够完成一切工作了。”任凤君说:“高校的价值在于庞大的文献技术资料,对医学院而言,大量的外文资料数据库是学校师生和附属医院医生的知识宝库,他们需要频繁对这些资源进行访问。不过问题是,仅仅依靠1000个IPSec VPN的用户数来完成高校与四所附属医院的连接,远远不能满足需求。事实上,这正是我们部署SSL VPN的原因----让学校师生在家通过IPSec VPN连接数据库,附属医院医生通过SSL VPN连接数据库,从而构成双方良性的应用配置。”

  当然,这样做的性价比也非常突出。“如果采用学校自己铺设光纤与租用电信光缆结合的方式(有些附属医院不在本地),每家附属医院至少要支出9万元的基础费用,这还不包括后续的租赁与服务费用。但采用SSL VPN,每家医院只需要3.9万元就可以了。”

  作为该项目的设备供应商,深信服科技的安全产品经理邬迪认为,VPN技术本身就具备性价比优势,而将两种VPN混用,则可以进一步节约成本,特别是对于License敏感的用户,可以利用SSL实现效益平衡。据悉,他们已经将旗下的M5400和M5100 VPN在福建医科大学进行了应用。事实上,北京宅急送的IT工程师王文辉对此也持相同看法。他说:“相比传统的光纤模式,VPN可以节约40%--60%的成本。当然,这还仅仅是一个方面。如果能够配合VPN建设企业自己的安全管理平台,就可以以最小的人力支出,完成对各个分支机构的VPN管理,这无疑也是巨大的费用节约。”

  管理中现成本效益

  无疑,像宅急送这种分支机构广泛的企业,对VPN技术青睐有佳。但王文辉和任凤君的共同点是,他们都提出了利用混合VPN来缩减人力开支,结果他们都做到了。对此,邬迪说:“管理平台与两种VPN处在交相辉映的位置,对于技术力量一般,维护管理人员有限的企业,管理平台确实可以大大简化配置与管理VPN的复杂度。”

  南车集团北方区信息安全专家刘洋对此颇有心得,他认为很多IT项目,都是“三分建,七分管”,VPN自然也是一样。他说:“没有强大的管理手段支持,很多IT人员就会像救火队员一样疲于奔命,因为很难界定与落实需要关注的安全点在哪里。”他表示,从应用的经验看,VPN系统一旦出现问题,企业总部的信息中心是很难判定的,这就更谈不上及时采取措施了。对此,企业需要把握一点:在应用越来越庞大的VPN系统之后,必须建设专门的(或者集成的)VPN管理平台。任凤君的看法是,他们在去年12月份已经采用了深信服提供的VPN安全管理中心SC系统,她可以从学校的中心机房管理到四所附属医院的所有设备,对于所有的登录情况、流量情况,都可以做到一目了然。她说:“目前这个管理平台在界面上还有待改进,不过从功能上已经可以满足需要,至少我们五个管理老师已经不会被VPN所牵扯太多精力了。”

  如果说统一的管理平台在教育用户中减少的是工作量,那么对汽车行业来说,就是金钱的巨大节约。东风日产的安全专家张伟说:“东风日产很早就开始VPN技术的使用,我们每天所有的销售工作,都需要和遍布全国的4S店进行统计、汇总,而针对统一管理平台的建设,我们确实做到了远程操控一切的初衷,这将我们的维护费用节约了至少80%。因为所有4S店的客户端配置与调试工作,都可以从总部来完成,各地的工程师数量则大幅度减少。”

  大规模部署

  从混合VPN的特点不难看出,其部署精髓在于规模。国家环境监测总站的IT工程师李俊在接受采访时表示,对于上了规模,但内部网络并不完善或者移动在外的员工很多的企业,采用混合VPN技术非常有效,特别是通过利用管理平台,可以将各地部门统一管理,这一点对于企业今后的发展是有利的。

  他同时说:“很多企业随着自身的发展,可能会面临部署全网的安全管理平台,比如SOC或者SRM,如果VPN的管理平台已经建成,特别是可以做到单一平台控制的时候,则可以很好地与企业未来的系统相整合,这对于IT部门是有利的。”当然,大规模部署混合VPN也并非一蹴而就,至少要满足两个条件:第一,带宽保证;第二,安全认证。对此,任凤君介绍说,学校为了保证混合VPN的成功,专门预留了10M电信带宽,附属四所医院与学校的IPSec VPN连接,以及所有医生的SSL VPN连接,都从这10M中划分,因此保证了接入的速度。

  不过,她也承认,目前第二个条件并没有具备。她说:“前期深信服赠送了我们50个SSL VPN账户,我们也在开始逐步试用。目前的难点在于,没有专门的认证设备保证这些试用用户的身份合法性。当前我们只能要求所有医生都在医院内使用SSL VPN,对于家中的应用,需要等待适合的身份认证机制来配合。”另外,她也透露说,对于混合VPN的大规模部署,有时候需要考虑或者平衡到各个分支机构的需求。“我们在部署VPN的时候,发现并非所有的医院都愿意把出口直接指向学校的VPN网关。事实上有医院的IT人员认为,这样做并不安全。他们的看法是,这样做的结果是医院内网完全开放给学校了,但医院涉及到患者的很多东西是需要保密的,一旦出现问题责任无法落实。最后,我们不得不做出平衡,将某些医院的VPN作为旁路的出口,医院内部员工谁需要用VPN都需要申请,并非所有人都可以直接使用。”最后,北京医药集团的IT工程师李杰向记者表示,混合VPN技术的发展时间不长,但速度很快。这既要求企业在考虑VPN的同时,不能放松对网络安全的控制。他说:“VPN看上去更像一个与时俱进的问题。如果企业开展的应用较多,相应的安全级别就会要求的更高,随之而来的就是身份认证等技术的加入,这是无法回避的问题。”