VPN(虚拟专用网)发展至今已经不在是一个单纯的经过加密的访问隧道了,它已经融合了访问控制、传输管理、加密、路由选择、可用性管理等多种功能,并在全球的信息安全体系中发挥着重要的作用。未来的VPN技术将如何发展,又将在信息安全事务中承担起什么样的角色,是非常值得我们关注的。
技术格局
VPN的核心概念是通过口令等访问控制手段在非专用线路上建立具有高安全性的专用通信链路。目前VPN解决方案中主流的通信隧道协议是IPSec,这是一种用于IP协议族的安全协议。由于在设计TCP/IP协议的时候没有考虑到安全性问题,使得该协议存在很多内在的安全隐患。为了解决这些安全问题,IETF成立了IP安全协议工作组以开发第三层的IP安全协议,也就是我们所说的IPSec。IPSec是一个提供了维护数据完整性、认证和IP隐私机制的协议族,面向IPv6网络并可同时应用于IPv4网络当中。这种协议受到了VPN供应商的高度支持,并成为目前最主流的VPN基础技术。MPLS VPN是一种基于MPLS(多协议标签交换)网络的VPN架构。自2001年IETF公布了MPLS标准之后,该协议被公认为下一代网络的基础协议。与基于IPSec的VPN不同,MPLS为VPN提供的通信隧道是通过LSP(标签交换路径)实现的。这种方式使路由转发和数据传输分离,实现了灵活的第三层路由功能和高效的第二层数据转发,也使得MPLS VPN可以提供高质量的传输服务。PPTP是由包括微软和3Com等公司组成的PPTP论坛开发的一种点对点隧道协议,用于应对移动工作者不断增加的趋势。由于微软在服务器和桌面操作系统中提供该协议的支持,使得PPTP成为远程访问型VPN连接的最常用协议。最终的情况是微软自己的PPTP协议版本成为了事实上的标准,但是该协议在非PPP体系之中并没有获得太大的发展。近年来在远程访问VPN领域又出现了一股新兴力量,那就是基于SSL协议的VPN技术。SSL VPN的特点是简单易用,但是由于作用于应用层,所以并不能象IPSec VPN那样针对所有应用起效,每个厂商的解决方案支持的应用种类都各不相同。基于SSL的VPN最大的威力来自于对Web应用的支持,事实上这也是一种顺应Web应用发展所产生的VPN架构。另外还有基于L2TP协议的VPN解决方案,不过并没有占据太大的市场份额。L2TP协议是IETF基于L2F(Cisco的第二层转发协议)开发的PPTP的后续版本。
市场格局
根据Infonetics Research的调查数据,在1997年全球在VPN方面的支出总额约为两亿美元,而2004年该数字已经增长至两百亿美元左右。截止至2004年为止,基于IPSec的VPN解决方案仍是VPN领域的霸主,MPLS VPN占据着第二把交椅,但是与IPSec的差距十分明显。新兴的SSL VPN虽然发展迅猛,但是尚未能撼动两强的地位。北美地区是VPN应用的热土,以较大的优势领先于其它地区,而欧洲和亚洲地区也在全球VPN份额中占据了重要的地位。国内的VPN市场从2000年开始才正式起步,并且与信息产业的其它分支类似,经历了由金融、政府、通信等行业带动起步的历程,呈现出较高的成长速度。在厂商方面,前身是NetScreen的Juniper仍旧延续了VPN领域的领先地位。根据Infonetics Research的数据显示,在高端VPN市场以及新兴的SSL VPN市场,Juniper都占据了百分之四十左右的份额。
发展趋势
由于中小企业成为IT产业新的消费热点,而随着整合安全风潮的盛行,VPN技术的发展速度将得到延续。由于VPN体系的复杂性和融合性,VPN服务的成长速度将超越VPN产品,成为VPN发展的新动力。目前大部分的VPN市场份额仍由VPN产品销售体现,在未来的若干年里,VPN服务所占的市场份额将超过VPN产品,这也体现了信息安全服务成为竞争焦点的趋势。随着整合式安全设备的发展,VPN将被更多的集成在整体式安全体系当中,而各种安全协议和语言的分裂融合将更加激烈。VPN厂商将根据形式转换角色,可能出现专门进行技术设计、系统制造和增值服务的不同类型的厂商。顺应全球的经济发展趋势及互联网用户的增长态势,亚洲地区将成为VPN市场的新热点并有可能成为带动消费趋势的市场区域之一。
由于在未来的几年里网络应用的Web化趋势将得到延续,所以SSL VPN的发展势头将得到延续。加之移动办公人员和在家办公人员的增加,SSL VPN很可能在不久的将来成为和IPSec/MPLS VPN分庭抗礼的VPN架构。
IPSec VPN和MPLS VPN仍将保持稳定的成长率,但是与SSL VPN阵营的差距仍将被不断缩小。IPSec/MPLS VPN和SSL VPN阵营的技术各有特色,而且所面向的用户群体有所不同。在短期内这两者还不会形成互相侵蚀的局面,但是SSL VPN的易用性将吸引很多用户投向该产品,这必然将引起这两种VPN架构面对面的竞争。这两种架构会在互相学习对手优势的同时不断的融合其它功能特征,以提供更全面的服务用于吸引用户。由于承载VPN流量的非专用网络通常不提供QoS(服务质量)保障,所以VPN解决方案必须整合QoS解决方案才能够提供具有足够可用性的目前IETF已经提出了支持QoS(服务质量)的RSVP(带宽资源预留)协议,而IPv6协议也提供了处理QoS的能力。这为VPN的进一步普及化提供了足够的保障。随着IPv6网络的主流化进程,将会产生更具统治力的VPN架构,VPN技术将向着IP协议这类基础协议的形式发展。在不久的将来,VPN将可以成为更加基础的技术被内嵌到各种系统当中,从而实现完全透明化的VPN基础设施。