VPN技术
如今随着SSL VPN技术的发展,SSL VPN产品所能提供的终端网络功能已经与传统的IPSec VPN产品几乎一样强大,SSL VPN接入方式是点对网VPN接入的最佳选择的观点也越来越深入人心。并且随着用户对产品的要求越来越高,软件形式的VPN已经早就逐步的让位于硬件VPN设备。然而,随着技术与市场的不断成熟,越来越多的用户发现市场上涌现出了众多厂家,各自的产品质量参差不齐,令人眼花缭乱的宣传和吹嘘,使一般的用户难以做出正确的判断,那如何才能选购合适的SSL VPN产品呢?本文就以客户需求的角度来与大家探讨下这个问题。
首先,虽然用户购买SSL VPN产品的需求出发点各不相同,但归根结底可以整合为一点:为外网移动办公的用户提供一条连接到内网资源快速、安全、稳定的通道。那建立起的这个通道是否能满足快速、安全、稳定这几个基本要求呢?这就完全取决于用户所选择的SSL VPN产品如何了:
1、快速性:众所周知,SSL VPN的接入速度很大程度依赖于两方面的环境:(1)设备部署地的网络接入状况;(2)移动用户接入处的网络状况;设备部署地的网络接入状况是用户可控制的,现在改善用户网络接入环境的方式主要为使用多家运营商的线路,这就决定了SSL VPN产品必须要支持多条网络线路复用的功能,最好支持接入用户的智能选路,从而使接入用户选择最快线路接入,少走冤枉路。但移动用户接入的网络状况则是不可控的,所以选用的SSL VPN产品必须能通过自身的技术优势对各种各样的用户接入环境进行优化,如对全流量数据的压缩技术、针对跨运营商丢包比较严重的网络进行优化的技术等,建议客户在测试的时候可以针对跨运营商的网络情况进行测试,如电信网络到网通网络,这样保障了对用户接入环境的最大兼容性。
2、安全性:用户接入内网都是访问内网资源,内网资源中不乏各单位内部机密,包括ERP、OA等应用中传输的数据也是单位内部业务数据,一旦被第三方截取并破解,其后果不堪设想。因此一款好的SSL VPN产品应该是真正基于工业标准SSL协议的,至少拥有DES、3DES、AES、MD5、RC4、RSA等基本算法,如果产品能支持符合国密办等相关政府保密部门的算法标准则更能保证安全性。
但这仅仅保证的是数据通道传输的安全,一款好的SSL VPN产品还应该关注用户端接入安全、接入后权限控制这两方面问题,因为普通的内网安全防护设备并不能对SSL VPN方式接进内网的人员进行病毒防护,所以通过客户端安全检查、VPN专线等方式,确保建立起的SSL VPN通道不变成病毒、木马专用通道是SSL VPN产品必须保证的,同时,对接入人员的身份认证无疑也是安全的一个考察点,在提供了基本的认证方式如用户名\密码认证、短信认证、USBKEY认证、动态令牌认证、硬件特征码认证等方式后,与客户网络内部已有的第三方服务器认证、域认证或者CA认证能无缝结合进行身份认证也逐渐成为了SSL VPN认证体系评价的标准之一。而对于接入人员细致的权限控制也是SSL VPN产品必备的特性之一,如一个普通权限员工接入内网后可以随意访问财务服务器的话那肯定是存在安全隐患的,一般现有的权限控制都基于角色和资源的关联并搭配以用户门户之类的技术。
3、稳定性:随着信息化程度的提高,越来越多的单位具体业务与SSL VPN进行了结合,SSL VPN线路的稳定性无疑是这类用户最关注的问题。由于线路故障、设备故障等原因引起的SSL VPN线路长时间中断的情况都是不能出现的。因此,一款SSL VPN产品在稳定性方面的技术保障是必不可少的,如多线路互为备份、双机热备、VPN隧道自愈功能等方式。
在完全满足了以上这三点后,这款VPN产品就是一款令人满意的SSL VPN产品了么?显然不是这么简单,后续必须考察的还有以下几点:
1、性能方面:性能方面是不是越高越好呢?盲目的追求高性能设备只会无谓的浪费用户的IT投入,选择合适应用规模的SSL VPN设备才是正确的。那高端客户怎样才能确保厂商宣称的自己产品的高性能是真实的,当然进行大并发的测试是最令人安心的方法,但一般用户没有这样的条件来进行测试,那么第三方测评机构的证明文件就可以用来参考,再结合真实可靠的产品大规模应用实际案例来佐证,就可以万无一失了;
2、性价比方面:只买最好,不买最贵,这个观点相信大家是公认的,同等价格获得越多的功能和性能,是所有采购行为追求的目标。但更多的功能和性能应该是近几年自身发展能用到的,否则就无法体现出更多的价值。并且性价比在很多时候还体现在后续应用规模增长时的方案支持上,在后续的应用规模扩张后是否支持平滑的设备升级是用户所关注的,例如高性能设备搭配一个较低端的设备成为集群使用则是一个较为容易能让人接受的升级方式;
3、技术支持及售后服务:现在流行的观点是,买产品更是买服务,其中有一定的可取之处。当一个设备部署后,真正的使用期才拉开序幕,如果没有良好的技术支持及售后服务来做支撑,相信其产品的使用效果也会大打折扣。所有的用户买了设备都起码要求使用起来,那生产厂商的这两点服务能力就当时是必须考虑的重中之重了,一般认为全国各省份的直属技术支持人员常驻和800服务系统等方面是基本条件。
学习了 <p> 懂一些了,谢谢</p> 还是SSL VPN比较安全 <font face="Verdana"><a href="http://www.scanywhere.com/product/product_sslvpn.htm">http://www.scanywhere.com/product/product_sslvpn.htm</a> </font>
[此贴子已经被作者于2010-7-15 11:54:05编辑过]
xiexie <p>希望多多发布VPN的资料</p>
<p> </p> 学习了 <p>学习----</p> 学习了 <p>学习一下,另外,大家可以参考使用TMG(前身是ISA),个人觉得很方便,其中可以实现SSL vpn!!</p> <p>学习了</p> <p>学习了</p>
<p> </p> <p>呵呵</p>
<p> </p>
页:
[1]