您现在的位置是:首页 > IT基础架构 > 网络与安全 >
甲型H1N1流感蔓延 促使企业加快部署VPN
摘要作为基于IP网络办公的企业分支机构以及中小企业,不要等着出了问题或者阻碍了企业的正常办公才去考虑部署企业的远程办公方案,只有主动出击,主动防御这些不速之客的袭来才可以在企业的发展中做到百战不殆。 ...
中国卫生部副部长张茅近日表示,根据国内专家分析判断,全球疫情仍在继续蔓延,但是病例增幅有所减缓。中国内地出现甲型H1N1流感输入病例的风险在不断加大,需要给予高度重视。眼下的境况似乎可以用青黄不接来形容,金融危机的大潮还没有退去,新的一轮更严重的流感狂潮接踵袭来,各个国家与社会团体都贡献着自己的光和热,这其中少不了的是对网络的需求,尤其是远程会议与远程网络控制的需求。作为一名网络工作者,一时间似乎意识到应该贡献我们IT人的一点光和热了,远程访问作为能够提供方便快捷的异地办公的唯一方式。
切勿盲目 企业应该找到适合自己发展的VPN
远程办公,从字面上理解分“远程”和“办公”两部分,是指通过现代互联网技术,实现非本地办公。广义上来说,目前企业中比较流行的通过虚拟专用网(VPN)。
目前,VPN从技术实现角度可分为三大类:一类是基于传统虚电路技术的VPN;另一类是基于IP网络的连接,IP VPN又主要有两种——基于网络的VPN和基于用户设备的VPN;还有一类是基于IE浏览器的 VPN。
一些大型的行业用户如银行、大企业租用帧中断、ATM等虚电路,进行专线组网。这种专线VPN费用高,是点对点的网络互联技术,它要求企业总部的接点路由器必须能承受大容量的数据交换和数据吞吐,因此,企业必须花费巨资,在公司总部配置多台高档路由器,而且每次增加新的接点,都需要购买昂贵的板卡进行全网配置,不便于升级和扩展。专线VPN的优点是信息传输比较稳定,安全性、可靠性都比较好,仍然被银行、证券、保险公司所采用。
基于IP网络的VPN适合于企业分支机构以及中小企业。基于IP网络的VPN是由运营商利用其基于MPLS技术的IP网络而建成的,能提供至关重要的可管理的网络安全和服务等级(QOS),还能提供和传统的帧中断、ATM服务相当水平的安全、性能、和可靠性。而当网络需要延伸到更小的远距办公地点, 基于用户设备的VPN通常更经济。因此,基于用户设备的VPN能轻易延伸或扩展到相对边远的地区,使得商务伙伴或大量的远程拨号用户可以访问外联网。
还有一类是基与IE浏览器的 VPN), VPN主要是针对大量的移动VPN需求的用户(如传媒和保险等行业),它以简单(无须安装任何客户端软件)、任何地点任何方式(只要能上网就能建VPN)、安全(强大的加密和验证保护)、大用户(并发支持大量移动VPN用户)四大特点著称,但它的不足是价格不菲,短期内很难让国内中小企业用户所接受。
企业该如何选择VPN产品
如今随着VPN技术的不断发展, VPN产品所能提供的终端网络功能已经与传统的产品几乎一样强大, VPN接入方式是点对网VPN接入的最佳选择的观点也越来越深入人心。同时随着用户对产品的要求越来越高,软件形式的VPN已经早就逐步的让位于硬件VPN设备。
然而,随着技术与市场的不断成熟,越来越多的用户发现市场上涌现出了众多厂家,各自的产品质量参差不齐,令人眼花缭乱的宣传和吹嘘,使一般的用户难以做出正确的判断,那如何才能选购合适的VPN产品呢?
首先,虽然用户购买VPN产品的需求出发点各不相同,但归根结底可以整合为一点:为外网移动办公的用户提供一条连接到内网资源快速、安全、稳定的通道。那建立起的这个通道是否能满足快速、安全、稳定这三个基本要求呢?这就完全取决于用户所选择的VPN产品如何了:
速度是考验VPN产品的关键
众所周知,VPN的意义不仅仅是建立连接,如果VPN接入的速度跟不上应用要求,造成应用系统频繁超时甚至操作失败,又或者一小文件的传输就耗费掉了用户大量的时间,那建立起的VPN连接又有多少意义呢?所以用户对速度性的要求是首当其冲的。VPN的接入速度很大程度依赖于两方面的环境:
(1)设备部署地的网络接入状况;
(2)移动用户接入处的网络状况;
设备部署地的网络接入状况是用户可控制的,现在改善用户网络接入环境的方式主要为使用多家运营商的线路,这就决定了VPN产品必须要支持多条网络线路复用的功能,最好支持接入用户的智能选路,从而使接入用户选择最快线路接入,少走冤枉路。但移动用户接入的网络状况则是不可控的,即使设备部署地的网络出口状况再好,那也不可能达到预期的接入速度体验。事实上,如何来克服移动接入处网络状况差的问题从一开始就是业内最大的难题。所以选用的VPN产品必须能通过自身的技术优势对各种各样的用户接入环境进行优化,如利用全流量数据的压缩技术以达到同等网络带宽下传输更多数据、针对跨运营商丢包比较严重的网络进行协议优化的技术等,通过这些手段最终实现在同等网络情况下获得更快的VPN访问速度。在这方面,建议客户在测试的时候可以针对跨运营商的网络情况进行测试,例如电信线路到网通线路,这样保障了对用户接入环境的最大兼容性。
安全 安全 还是安全
用户接入内网都是访问内网资源,内网资源中不乏各单位内部机密,包括ERP、OA等应用中传输的数据也是单位内部业务数据,一旦被第三方截取并破解,其后果不堪设想。因此一款好的VPN产品应该是真正基于工业标准协议,并且随着国家信息安全建设步伐的加快,政府、教育、电力等大型行业用户选择支持国密办加密算法VPN产品无疑是最保险的选择,这样避免了后续国家强制要求出台后全线产品必须更换,从而造成大量IT投入浪费的风险。
但这仅仅保证的是数据通道传输的安全,一款好的VPN产品还应该关注用户端接入安全、接入后权限控制这两方面问题,因为普通的内网安全防护设备并不能对VPN方式接进内网的人员提供病毒安全防护,所以通过客户端安全检查、VPN专线等方式,确保建立起的VPN通道不变成病毒、木马专用通道是VPN产品必须保证的。同时,对接入人员的身份认证无疑也是安全的一个考察点,在提供了基本的认证方式如用户名密码认证、短信认证、USBKEY认证、动态令牌认证、硬件特征码认证等方式后,与客户网络内部已有的第三方服务器认证、域认证或者CA认证能无缝结合进行身份认证也逐渐成为了VPN认证体系评价的标准之一。而对于接入人员细致的权限控制也是VPN产品必备的特性之一,如果一个普通权限员工接入内网后可以随意访问财务服务器,这肯定是存在安全隐患的,一般现有的权限控制都基于角色和资源的关联并搭配以用户门户之类的技术来实现。
稳定
随着信息化程度的提高,越来越多的单位具体业务与VPN进行了结合, VPN线路的稳定性无疑是这类用户最关注的问题。由于线路故障、设备故障等原因引起VPN线路长时间中断的情况都是不能出现的。因此,一款PN产品在稳定性方面的技术保障是必不可少的,如多线路互为备份、双机热备、VPN隧道自愈功能等方式。
在完全满足了以上这三点后,这款VPN产品就是一款令人满意的VPN产品了么?显然不是这么简单,后续还必须跟进考察的还有以下几点:
性能
性能是不是越高越好呢?盲目的追求高性能设备只会造成用户IT投入的无谓浪费,选择合适应用规模的VPN设备才是正确的。那高端客户怎样才能确保厂商宣称的自己产品的高性能是真实的?当然,实地进行大并发的测试是最令人放心的方法,但一般用户没有这样的条件来进行测试,那么第三方测评机构的测评报告或厂家具有的权威思博伦、IXIA测试性能证明就可以用作参考,再结合真实可靠的产品大规模应用实际案例来佐证,就万无一失了;
性价比
只买最好,不买最贵,这个观点相信大家是公认的,同等价格获得越多的功能和性能,是所有采购行为追求的目标。但更多的功能和性能应该是近几年自身发展能用到的,否则就无法体现出相应的价值。并且性价比很多时候还体现在后续的平滑升级方面,这一点一直是高端用户所关注的。现在很多客户在第一采购设备后的两到三年内应用规模逐步扩大,原有的硬件设备已经不能满足要求,如果因此而必须要更换更高端的设备,造成已有设备的投入浪费,明显是难以让用户接受的。相比较而言,基于已有的高端设备搭配一个较低端的设备集群混合使用,则是一个较为容易能让用户接受的升级方式;
技术支持及售后服务
现在流行的观点是买产品更是买服务,其中有一定的可取之处。当一个设备部署后,真正的使用期才拉开序幕,如果没有良好的技术支持及售后服务来做支撑,相信其产品的使用效果也会大打折扣。所有的用户买了设备都起码要求使用起来,那生产厂商的这两点服务能力就当时是必须考虑的重中之重了。
产品市场地位的考察
在激烈的市场竞争中占据市场前列位置的产品必然有其突出的优势,在判断产品市场地位方面,业内的口碑以及第三方市场调查机构的客观调查报告则是最值得参考的两点,明确了这一点后,用户所做的工作只是从好产品里来选出适合自己的,可谓事半功倍。
作为基于IP网络办公的企业分支机构以及中小企业,不要等着出了问题或者阻碍了企业的正常办公才去考虑部署企业的远程办公方案,只有主动出击,主动防御这些不速之客的袭来才可以在企业的发展中做到百战不殆。
(本文不涉密)
责任编辑:
上一篇:忽左忽右的流控产品再次暗流汹涌