越来越多的用户认识到,随着 Internet 和电子商务的蓬勃发展,经济全球化的最佳、最快捷途径是发展基于 Internet 的商务应用。随着商务活动的日益频繁,各企业开始允许其生意伙伴、供应商、服务提供商也能够访问本企业的局域网,从而大大简化信息交流的途径,增加信息交换速度。这些合作和联系是动态的,并依靠网络来维持和加强,于是各企业发现,这样的信息交流不但带来了网络的复杂性,还带来了管理和安全性的问题,因为 Internet 是一个全球性和开放性的、基于 TCP/IP 技术的、不可管理的国际互联网络,因此,基于 Internet 的电子商务活动面临着恶意的信息威胁和安全隐患。
还有一类企业用户,随着自身的发展壮大与跨国化,企业的分支机构不仅越来越多,而且相互间的网络基础设施互不兼容也更为普遍。因此,用户的信息技术部门在连接分支机构方面也感到日益棘手。
用户的需求正是 VPN 技术诞生的直接原因。人们越来越认识到利用 VPN 技术能为他们带来更多方便、更好的安全。我们以金融行业的需求作为例子(对企业依然适合):
● 企业网络的安全:企业网络连接在 Internet 上,为了防止非法访问或入侵,充分保护自身网络资源的安全变得非常重要。
● 身份认证及访问控制:在网上证券交易过程中,证券经纪与用户进行互相认证,交易服务提供商根据用户身份,对其访问信息进行控制。
● 机密性和完整性:保证网上证券交易中涉及的大量个人保密信息在公开网络的传输过程中不被窃取,并保证没有虚假交易。
● 不可抵赖:参与网上证券交易的任何一方都无法否认发生的交易。证券经纪无法否认在某个时间某个客户提出了某个交易委托申请,而客户也不能抵赖他曾经提交过的委托。
● 安全存储和审计:由于证券交易数据对安全的敏感性,对交易数据需要安全的存储和审计设计,保证在以后可以进行检查。
● 用户漫游:在完成以上的安全设计后,还应该保证用户是可以漫游的,而且漫游用户也有安全保障。
二、VPN 市场趋势
在国外,VPN 早从 1997 年开始已经迅速发展起来,2001 年全球 VPN 市场近 13 亿美元,预计到 2005 年将达到 29 亿美金(Infonetics Research,2002)。在中国,虽然人们对 VPN 的定义还有些模糊不清,对 VPN 的安全性、服务质量(QoS)等方面存有疑虑,但互联网和电子商务的快速发展使我们有理由相信,中国的 VPN 市场将逐渐热起来。
Gartner Group 曾预言到 2002 年 90% 的企业将利用 VPN 来联结远程分支机构和移动用户;Infonetics Research 曾调查得出:到 2002 年全球企业将会有 67% 计划实施端到端的 VPN;73% 计划实施远程访问 VPN;27% 计划实施 Extranet VPN。同时 Infonetics Research 根据调查,到 2002 年根据企业规模大小实施 VPN 技术的比例将达到:57% 的大型企业;55% 的中型企业;51% 的小型企业。
三、当前国内现状及安全隐患
当前国内大多数企业用户均采用租用线路方式实现企业内部之间通信,形成整个跨区域企业内部网络基础架构。针对企业的移动用户或远程访问的请求,通常的做法是在企业内部创建庞大的 Modem Pool,远程访问用户需要在外地长途拨号到企业总部来实现资源共享。
企业现在在电信部门租用的帧中继(Frame Relay)与 ATM 等数据网络提供固定虚拟线路(PVC-Permanent Virtual Circuit)或采用 DDN 方式来连接需要通信的部门和分支机构,用户当前对所谓的“专线”方式的安全性没有太大质疑,因此在这些线路中传递信息时没有考虑任何数据安全。但我们应该清楚认识到,所有这些基础架构的权限掌握在别人的手中。如果企业用户需要一些特殊的网络服务,需要填写许多的单据,再等上相当一段时间,才能享受到新的服务。更为重要的是两端的终端设备不但价格昂贵,而且管理也需要一定的专业技术人员,无疑增加了企业运营成本,而且 DDN、帧中继、ATM 数据网络也不会像 Internet 那样,可立即与世界上任何一个使用 Internet 网络的单位连接。虽然是“专线”,但是我们依然应保持时刻的安全警惕,尤其是来自物理层的安全隐患:
● 搭线窃听:
企业租用的专线通常情况经过了大厦的布线机房到达就近的电话局然后经由电信部门实现网络出口。犯罪分子为了获取所需的情报,可能会搭线监听通信线路,非法接收信息。
● 电磁泄露:
网络端口、传输线路和处理机都可能因屏蔽不严或未屏蔽而造成电磁泄露。通过侦截辐射的方法可以轻易得到许多重要的信息。
四、VPN 将取代专线通信
对于企业用户来说,VPN 提供了安全、可靠的 Internet 访问通道,为企业进一步发展提供了可靠的技术保障。而且 VPN 能提供专用线路类型服务,是方便快捷的企业私有网络。企业甚至可以不必建立自己的广域网维护系统,而将这一繁重的任务交由专业的 ISP 来完成。由于 VPN 的出现,用户可以从以下几方面获益:
1)VPN 最大优势 —— 降低成本,投资回报
VPN 可以立即且显著地降低成本。当使用 Internet 时,实际上只需付本地电话费,却收到了长途通信的效果。因此,借助 ISP 来建立 VPN,就可以节省大量的通信费用。此外,VPN 还使企业不必投入大量的人力和物力去安装和维护昂贵的 WAN 设备和远程访问设备,这些工作都可以交给 ISP。VPN 使用户降低以下的成本:
● 移动用户的通信成本。VPN 可以通过减少长途费或 800 费用来节省移动用户的花费。
● 租用线路成本。VPN 可以以每条连接的 40% 到 60% 的成本对租用线路进行控制和管理。对于租用国际线路的企业来说,这种节约是更为显著。对于话音数据,节约金额会进一步增加。对国内的用户来说,VPN 最大的吸引力在哪里?是价格。据估算,如果企业放弃租用专线而采用 VPN,其整个网络的成本可节约 21%-45%,至于那些以电话拨号方式联网存取数据的公司,采用 VPN 则可以节约通讯成本 50%-80%。
● 主要设备成本。VPN 通过支持拨号访问资源,使企业可以减少不断增长的调制解调器费用。另外,用户可以在单一的 WAN 接口中实现多种服务,从分支机构网络互联、商业伙伴的外联网终端,本地提供高带宽的线路连接到访问服务提供者,因此,只需要极少的 WAN 接口和设备。由于 VPN 可以实现完全管理,并且能够从中央进行基于策略的控制,因此可以大幅度地减少在安装配置远端网络接口所需设备上的开销。另外,由于 VPN 独立于初始协议,这就使得远程的接入用户可以继续使用原有设备,保护了用户在现有硬件和软件系统上的投资。
我们把专线方式与其它接入方式作个比较,看看哪种更适合?
当前国内专线费用表如下:
从上面两个表比较,显然采用宽带接入方式不仅灵活方便,而且费用低廉。中国自从加入 WTO 后,电信数据服务已经面临许多来自国内的竞争对手,今后还会有国外运营商踏上中国土地,对最终用户来说,接入费用将越来越便宜;随着 IT 技术飞速发展,宽带接入技术也将不断提高,相信不远的将来百兆、千兆入户将不再是梦想。而专线的地位将岌岌可危。
2)实现网络通信安全
具有高度的安全性,对于现在的网络是极其重要的。新的服务如在线银行、在线交易都需要绝对的安全,而 VPN 以多种方式增强了网络的智能和安全性。首先,它在隧道的起点,在权威的认证服务器上,提供对分布用户的身份认证。另外,VPN 支持安全和加密协议,如 IPsec。
3)怎样实现端到端的 QoS
使用 VPN,用户会担心其应用的 QoS,其实大可不必。相反,通过成熟的技术来对带宽进行管理,会让用户感觉到事半功倍的效果。
● 首先,利用宽带接入,从传输率上来讲本身就比租用线路要快。目前国内以太网接入的速率能够达到10兆;ADSL 的速率能够达到1兆。
● 实现端到端的 QoS 控制:Check Point FloodGate-1 集成的区分服务(DiffServ)支持功能使服务提供商可以在 IP WAN 上为 VPN 和未加密的业务通信提供端到端的 QoS。用户按照 DiffServ 标准来设定业务通信的优先级,FloodGate-1 使用户 QoS 需求扩展到 WAN 上。“DiffServ”能够被几乎所有网络设备厂商支持,当 VPN 流量在 Internet 上通过 ISP 时,用户可以向该 ISP 申请该服务。这样,当有不同“DiffServ”标记的流量在 Internet 上传输时,ISP 会自动根据“Diffserv”所设置的不同优先级进行处理,以保证重要的业务(例如:VPN 流量)其 QoS。
● IPSEC、MPLS 与“Diffserv”的集成:当前有些用户在实现端到端的 QoS 的时候采用 MPLS 技术。MPLS 是网络第二层的 QoS 实现技术,通常用于骨干网上的流量控制和 QoS 实现。被打了“DiffServ”标记的流量同样可以在骨干网上基于 MPLS 技术来传输(如下图)。这样的集成同样实现了端到端的 QoS 保证。
● Check Point 还支持 LLQ(Low Latency Queuing)技术:当在 VPN 网络中传递基于对 QoS 要求更高的多媒体流量时,通过 LLQ 技术可以对每个包进行配置来保证其带宽需求,这些配置参数包括:连续的比特率(CBR)和最大延时等。通过 LLQ 的配置可以对这些流量设置成为优先级最高的级别,充分保证端到端的 QoS。
