中国电子政务网--公共安全--网络安全--“混合VPN”进行时

“混合VPN”进行时

来源:中国电子政务网更新时间:2007-07-05

　　相对传统的单一VPN技术，2007年已经成为了混合VPN的时代：融合了IPSec和SSL两种VPN的精髓，同时配合完善的安全管理平台，混合VPN技术已经在越来越多的行业用户中得到了青睐。

　　高性价比之路

　　说起流行的混合VPN技术，其实从2006年下半年就已经有了苗头：不少用户喜欢IPSec VPN的稳定可靠，但又发愁用户数量的限制与接入的不便，因此才有了IPSec+SSL的期待。当然，两种技术的结合对于管理的复杂度有着不小的提升。不过借助于各种管理平台的发展，混合VPN人就前途看好。和很多新兴技术应用于高校一样，混合VPN也在大学中找到了市场。福建医科大学信息中心主任任凤君老师在接受采访时透露，“混合VPN技术结合了两种技术的优点，其部署本身就是效益的体现。”事实上，对福建医科大学而言，2007年是学校信息化丰收的一年：凭借对混合VPN技术的应用，该校已经完成了对下属四所附属医院的安全接入，并获得了良好的管理效益。任凤君老师表示，将IPSec和SSL两种VPN混合应用，同时配合强的管理平台支持，不仅给学校节省了大笔经费，同时也为安全接入与管理指明了方向----“信息中心五个老师，已经足够完成一切工作了。”任凤君说：“高校的价值在于庞大的文献技术资料，对医学院而言，大量的外文资料数据库是学校师生和附属医院医生的知识宝库，他们需要频繁对这些资源进行访问。不过问题是，仅仅依靠1000个IPSec VPN的用户数来完成高校与四所附属医院的连接，远远不能满足需求。事实上，这正是我们部署SSL VPN的原因----让学校师生在家通过IPSec VPN连接数据库，附属医院医生通过SSL VPN连接数据库，从而构成双方良性的应用配置。”

　　当然，这样做的性价比也非常突出。“如果采用学校自己铺设光纤与租用电信光缆结合的方式(有些附属医院不在本地)，每家附属医院至少要支出9万元的基础费用，这还不包括后续的租赁与服务费用。但采用SSL VPN，每家医院只需要3.9万元就可以了。”

　　作为该项目的设备供应商，深信服科技的安全产品经理邬迪认为，VPN技术本身就具备性价比优势，而将两种VPN混用，则可以进一步节约成本，特别是对于License敏感的用户，可以利用SSL实现效益平衡。据悉，他们已经将旗下的M5400和M5100 VPN在福建医科大学进行了应用。事实上，北京宅急送的IT工程师王文辉对此也持相同看法。他说：“相比传统的光纤模式，VPN可以节约40%--60%的成本。当然，这还仅仅是一个方面。如果能够配合VPN建设企业自己的安全管理平台，就可以以最小的人力支出，完成对各个分支机构的VPN管理，这无疑也是巨大的费用节约。”

　　管理中现成本效益

　　无疑，像宅急送这种分支机构广泛的企业，对VPN技术青睐有佳。但王文辉和任凤君的共同点是，他们都提出了利用混合VPN来缩减人力开支，结果他们都做到了。对此，邬迪说：“管理平台与两种VPN处在交相辉映的位置，对于技术力量一般，维护管理人员有限的企业，管理平台确实可以大大简化配置与管理VPN的复杂度。”

　　南车集团北方区信息安全专家刘洋对此颇有心得，他认为很多IT项目，都是“三分建，七分管”，VPN自然也是一样。他说：“没有强大的管理手段支持，很多IT人员就会像救火队员一样疲于奔命，因为很难界定与落实需要关注的安全点在哪里。”他表示，从应用的经验看，VPN系统一旦出现问题，企业总部的信息中心是很难判定的，这就更谈不上及时采取措施了。对此，企业需要把握一点：在应用越来越庞大的VPN系统之后，必须建设专门的(或者集成的)VPN管理平台。任凤君的看法是，他们在去年12月份已经采用了深信服提供的VPN安全管理中心SC系统，她可以从学校的中心机房管理到四所附属医院的所有设备，对于所有的登录情况、流量情况，都可以做到一目了然。她说：“目前这个管理平台在界面上还有待改进，不过从功能上已经可以满足需要，至少我们五个管理老师已经不会被VPN所牵扯太多精力了。”

　　如果说统一的管理平台在教育用户中减少的是工作量，那么对汽车行业来说，就是金钱的巨大节约。东风日产的安全专家张伟说：“东风日产很早就开始VPN技术的使用，我们每天所有的销售工作，都需要和遍布全国的4S店进行统计、汇总，而针对统一管理平台的建设，我们确实做到了远程操控一切的初衷，这将我们的维护费用节约了至少80%。因为所有4S店的客户端配置与调试工作，都可以从总部来完成，各地的工程师数量则大幅度减少。”

　　大规模部署

　　从混合VPN的特点不难看出，其部署精髓在于规模。国家环境监测总站的IT工程师李俊在接受采访时表示，对于上了规模，但内部网络并不完善或者移动在外的员工很多的企业，采用混合VPN技术非常有效，特别是通过利用管理平台，可以将各地部门统一管理，这一点对于企业今后的发展是有利的。

　　他同时说：“很多企业随着自身的发展，可能会面临部署全网的安全管理平台，比如SOC或者SRM，如果VPN的管理平台已经建成，特别是可以做到单一平台控制的时候，则可以很好地与企业未来的系统相整合，这对于IT部门是有利的。”当然，大规模部署混合VPN也并非一蹴而就，至少要满足两个条件：第一，带宽保证;第二，安全认证。对此，任凤君介绍说，学校为了保证混合VPN的成功，专门预留了10M电信带宽，附属四所医院与学校的IPSec VPN连接，以及所有医生的SSL VPN连接，都从这10M中划分，因此保证了接入的速度。

　　不过，她也承认，目前第二个条件并没有具备。她说：“前期深信服赠送了我们50个SSL VPN账户，我们也在开始逐步试用。目前的难点在于，没有专门的认证设备保证这些试用用户的身份合法性。当前我们只能要求所有医生都在医院内使用SSL VPN，对于家中的应用，需要等待适合的身份认证机制来配合。”另外，她也透露说，对于混合VPN的大规模部署，有时候需要考虑或者平衡到各个分支机构的需求。“我们在部署VPN的时候，发现并非所有的医院都愿意把出口直接指向学校的VPN网关。事实上有医院的IT人员认为，这样做并不安全。他们的看法是，这样做的结果是医院内网完全开放给学校了，但医院涉及到患者的很多东西是需要保密的，一旦出现问题责任无法落实。最后，我们不得不做出平衡，将某些医院的VPN作为旁路的出口，医院内部员工谁需要用VPN都需要申请，并非所有人都可以直接使用。”最后，北京医药集团的IT工程师李杰向记者表示，混合VPN技术的发展时间不长，但速度很快。这既要求企业在考虑VPN的同时，不能放松对网络安全的控制。他说：“VPN看上去更像一个与时俱进的问题。如果企业开展的应用较多，相应的安全级别就会要求的更高，随之而来的就是身份认证等技术的加入，这是无法回避的问题。”