全面认识VPN(三)
VPN发展趋势
在国外,Internet已成为全社会的信息基础设施,企业端应用也大都基于IP,在Internet上构筑应用系统已成为必然趋势,因此基于IP的VPN业务获得了极大的增长空间。Infornetics Research公司预言,在2001年,全球VPN市场将达到120亿美元。据预测,到2004年,北美的VPN业务收入将增至88亿美元。
在中国,制约VPN的发展、普及的因素大致可分为客观因素和主观因素两方面。
1.客观因素包括因特网带宽和服务质量QoS问题。
在过去无论因特网的远程接入还是专线接入,以及骨干传输的带宽都很小,QoS更是无法保障,造成企业用户宁愿花费大量的金钱去投资自己的专线网络或是宁愿花费巨额的长途话费来提供远程接入。现在随着ADSL、DWDM、MPLS等新技术的大规模应用和推广,上述问题将得到根本改善和解决。譬如,过去专线接入速率最高才2Mbps,而从今年开始,中国的企业用户可以享受到10Mbps,乃至100Mbps的Internet专线接入,而骨干网现在最高已达到40Gbps,并且今后几年内将发展到上百乃至上千个Gbps,这已不是技术问题而是时间问题。随着互联网技术的发展,可以说VPN在未来几年内将会得到迅猛发展。
2.主观因素之一是用户总害怕自己内部的数据在Internet上传输不安全。
其实前面介绍的VPN技术已经能够提供足够安全的保障,可以使用户数据不被查看、修改。主观因素之二,也是VPN应用最大的障碍,是客户自身的应用跟不上,只有企业将自己的业务完全和网络联系上,VPN才会有了真正的用武之地。
可以想象,当我们消除了所有这些障碍因素后,VPN将会成为我们网络生活的主要组成部分。在不远的将来,VPN技术将成为广域网建设的最佳解决方案,它不仅会大大节省广域网的建设和运行维护费用,而且增强了网络的可靠性和安全性。同时,VPN会加快企业网的建设步伐,使得集团公司不仅仅只是建设内部局域网,而且能够很快地把全国各地分公司的局域网连起来,从而真正发挥整个网络的作用。VPN对推动整个电子商务、电子贸易将起到不可低估的作用。
VPN解决方案
1.Cisco的VPN解决方案
Cisco公司与路由器集成的VPN解决方案是一种较为常见的基于硬件的构建策略。各种用户,从电信运营商、小型分支机构到家庭和小型办公环境,都可以找到适合自己需求的解决方案。其中7100系列VPN路由器是一款集成了高性能路由和VPN服务功能的产品,其硬件配置特别针对VPN应用及拓扑结构作了全面优化,内置有适应不同连接要求的多种网络端口,并具有VPN隧道交换、数据加密、安全服务、防火墙、带宽管理等多种功能和服务。利用7100系列VPN路由器,用户能够将VPN服务扩展至远程访问、远程办公、Extranet连接及公共数据服务网络。借助7100的VPN解决方案的周边安全机制、侵入检测及先进的带宽管理和服务身份确认等功能,还有先进的带宽管理性能,可以保证用户的实时交易数据等高优先级数据流优先通过,满足了电子商务等活动的需要。对于用户要求的安全性能,7100系列VPN路由器则提供了身份验证、完整性检验及实时检测等多种防护措施;对远程访问用户,也可以实行身份验证、授权访问资源及账号等"aaa"(authentication、authorization及accounting)控制。
2.华为的VPN解决方案
华为的VPN解决方案包括AccessVPN、IntranetVPN、ExtranetVPN及结合防火墙的VPN解决方案。各方案中,Quidway系列路由器具有VPN网关功能,是组建VPN的重要设备。因为Quidway系列路由器支持各种VPN技术,包括隧道技术、IPsec、密钥交换技术、防火墙技术、QoS与配置管理等,并可继续发展,支持越来越多的先进技术,所以为用户提供了很好的选择和性价比。
3.网际先进(Internet Appliance)公司的VPN解决方案
利用网际先进公司的VPN产品,用户能够自己建立和发起VPN,其灵活性和安全性完全由用户自己掌握。因为网际先进的VPN产品是CPE端设备,也就是说不依赖于ISP提供VPN服务。这些产品可以提供目前国际上加密位数最高的三重DES(168位)加密算法,其动态变换会话密钥的功能允许管理者定义多长时间必须修改一次会话密钥(session key),完全保证了用户的数据的安全性。
网际先进目前提供三种VPN应用解决方案,分别是远程访问VPN、Intranet VPN和Extranet VPN。
川大能士的VPN解决方案
作为国家的要害部门,国家部委、金融、证券等单位通常使用专线而不是通过互联网和下属单位或分支机构进行连接并传输数据。之所以采用这样的连接方式,是因为互联网安全性不高,即使加密之后,受攻击的机会仍然高。使用专线之后,受攻击的机会大大减少。使用专线,价格虽然很贵,但能够保证安全性,用户以高成本获得了高安全性。
这样的连接不是IP-VPN,但它仍然可以算是VPN的一种。VPN的概念介乎专用网和公用网之间,比起专用网,VPN中使用了部分公用网做承载;比起公用网,VPN有专用网安全、专用和服务有保证的特点。VPN并不是Internet上的新概念,因为无论是在电话网上,还是在x.25、帧中继或ATM网上,都可以构建VPN。
针对国家部委、金融、证券单位对安全的特殊需求和网络连接情况,四川川大能士公司提出了安全VPN(SVPN-Security VPN)的概念,以区别于其他的VPN。SVPN构建在x.25、帧中继或ATM网上,它更强调VPN的安全性,对安全要求更高。SVPN和IP-VPN面对的是不同的客户。能士公司的李焱先生认为,SVPN应该包含以下的特性:
1)连接的真实性,即用户身份的鉴别;
2)连接的边界安全,即合法用户的授权问题。边界数据的安全性,即数据的保护。边界的可用性;
3)连接的完整性,连接本身的完整性以及在连接中传输的数据的完整性;
4)连接机密性,过程和存在都不让外人知道。即使知道了,也无法破戒其中的数据;
5)报警功能;
6)整体的概念,要实现集中管理,也就是可控性,才能保证实现用户需要;
7)安全设备自身的安全性,如防撬、抗高温等,操作平台的安全,没有体系结构漏洞。
使用能士公司的SVPN产品,用户可以自主地管理VPN,从设备管理、安全策略到配置,都能够自己控制。
发布人:Crystal 来自:赛迪网