越來(lái)越多的用戶認(rèn)識(shí)到,隨著 Internet 和電子商務(wù)的蓬勃發(fā)展,經(jīng)濟(jì)全球化的最佳、最快捷途徑是發(fā)展基于 Internet 的商務(wù)應(yīng)用。隨著商務(wù)活動(dòng)的日益頻繁,各企業(yè)開始允許其生意伙伴、供應(yīng)商、服務(wù)提供商也能夠訪問(wèn)本企業(yè)的局域網(wǎng),從而大大簡(jiǎn)化信息交流的途徑,增加信息交換速度。這些合作和聯(lián)系是動(dòng)態(tài)的,并依靠網(wǎng)絡(luò)來(lái)維持和加強(qiáng),于是各企業(yè)發(fā)現(xiàn),這樣的信息交流不但帶來(lái)了網(wǎng)絡(luò)的復(fù)雜性,還帶來(lái)了管理和安全性的問(wèn)題,因?yàn)?Internet 是一個(gè)全球性和開放性的、基于 TCP/IP 技術(shù)的、不可管理的國(guó)際互聯(lián)網(wǎng)絡(luò),因此,基于 Internet 的電子商務(wù)活動(dòng)面臨著惡意的信息威脅和安全隱患。
還有一類企業(yè)用戶,隨著自身的發(fā)展壯大與跨國(guó)化,企業(yè)的分支機(jī)構(gòu)不僅越來(lái)越多,而且相互間的網(wǎng)絡(luò)基礎(chǔ)設(shè)施互不兼容也更為普遍。因此,用戶的信息技術(shù)部門在連接分支機(jī)構(gòu)方面也感到日益棘手。
用戶的需求正是 VPN 技術(shù)誕生的直接原因。人們?cè)絹?lái)越認(rèn)識(shí)到利用 VPN 技術(shù)能為他們帶來(lái)更多方便、更好的安全。我們以金融行業(yè)的需求作為例子(對(duì)企業(yè)依然適合):
● 企業(yè)網(wǎng)絡(luò)的安全:企業(yè)網(wǎng)絡(luò)連接在 Internet 上,為了防止非法訪問(wèn)或入侵,充分保護(hù)自身網(wǎng)絡(luò)資源的安全變得非常重要。
● 身份認(rèn)證及訪問(wèn)控制:在網(wǎng)上證券交易過(guò)程中,證券經(jīng)紀(jì)與用戶進(jìn)行互相認(rèn)證,交易服務(wù)提供商根據(jù)用戶身份,對(duì)其訪問(wèn)信息進(jìn)行控制。
● 機(jī)密性和完整性:保證網(wǎng)上證券交易中涉及的大量個(gè)人保密信息在公開網(wǎng)絡(luò)的傳輸過(guò)程中不被竊取,并保證沒(méi)有虛假交易。
● 不可抵賴:參與網(wǎng)上證券交易的任何一方都無(wú)法否認(rèn)發(fā)生的交易。證券經(jīng)紀(jì)無(wú)法否認(rèn)在某個(gè)時(shí)間某個(gè)客戶提出了某個(gè)交易委托申請(qǐng),而客戶也不能抵賴他曾經(jīng)提交過(guò)的委托。
● 安全存儲(chǔ)和審計(jì):由于證券交易數(shù)據(jù)對(duì)安全的敏感性,對(duì)交易數(shù)據(jù)需要安全的存儲(chǔ)和審計(jì)設(shè)計(jì),保證在以后可以進(jìn)行檢查。
● 用戶漫游:在完成以上的安全設(shè)計(jì)后,還應(yīng)該保證用戶是可以漫游的,而且漫游用戶也有安全保障。
二、VPN 市場(chǎng)趨勢(shì)
在國(guó)外,VPN 早從 1997 年開始已經(jīng)迅速發(fā)展起來(lái),2001 年全球 VPN 市場(chǎng)近 13 億美元,預(yù)計(jì)到 2005 年將達(dá)到 29 億美金(Infonetics Research,2002)。在中國(guó),雖然人們對(duì) VPN 的定義還有些模糊不清,對(duì) VPN 的安全性、服務(wù)質(zhì)量(QoS)等方面存有疑慮,但互聯(lián)網(wǎng)和電子商務(wù)的快速發(fā)展使我們有理由相信,中國(guó)的 VPN 市場(chǎng)將逐漸熱起來(lái)。
Gartner Group 曾預(yù)言到 2002 年 90% 的企業(yè)將利用 VPN 來(lái)聯(lián)結(jié)遠(yuǎn)程分支機(jī)構(gòu)和移動(dòng)用戶;Infonetics Research 曾調(diào)查得出:到 2002 年全球企業(yè)將會(huì)有 67% 計(jì)劃實(shí)施端到端的 VPN;73% 計(jì)劃實(shí)施遠(yuǎn)程訪問(wèn) VPN;27% 計(jì)劃實(shí)施 Extranet VPN。同時(shí) Infonetics Research 根據(jù)調(diào)查,到 2002 年根據(jù)企業(yè)規(guī)模大小實(shí)施 VPN 技術(shù)的比例將達(dá)到:57% 的大型企業(yè);55% 的中型企業(yè);51% 的小型企業(yè)。
三、當(dāng)前國(guó)內(nèi)現(xiàn)狀及安全隱患
當(dāng)前國(guó)內(nèi)大多數(shù)企業(yè)用戶均采用租用線路方式實(shí)現(xiàn)企業(yè)內(nèi)部之間通信,形成整個(gè)跨區(qū)域企業(yè)內(nèi)部網(wǎng)絡(luò)基礎(chǔ)架構(gòu)。針對(duì)企業(yè)的移動(dòng)用戶或遠(yuǎn)程訪問(wèn)的請(qǐng)求,通常的做法是在企業(yè)內(nèi)部創(chuàng)建龐大的 Modem Pool,遠(yuǎn)程訪問(wèn)用戶需要在外地長(zhǎng)途撥號(hào)到企業(yè)總部來(lái)實(shí)現(xiàn)資源共享。
企業(yè)現(xiàn)在在電信部門租用的幀中繼(Frame Relay)與 ATM 等數(shù)據(jù)網(wǎng)絡(luò)提供固定虛擬線路(PVC-Permanent Virtual Circuit)或采用 DDN 方式來(lái)連接需要通信的部門和分支機(jī)構(gòu),用戶當(dāng)前對(duì)所謂的“專線”方式的安全性沒(méi)有太大質(zhì)疑,因此在這些線路中傳遞信息時(shí)沒(méi)有考慮任何數(shù)據(jù)安全。但我們應(yīng)該清楚認(rèn)識(shí)到,所有這些基礎(chǔ)架構(gòu)的權(quán)限掌握在別人的手中。如果企業(yè)用戶需要一些特殊的網(wǎng)絡(luò)服務(wù),需要填寫許多的單據(jù),再等上相當(dāng)一段時(shí)間,才能享受到新的服務(wù)。更為重要的是兩端的終端設(shè)備不但價(jià)格昂貴,而且管理也需要一定的專業(yè)技術(shù)人員,無(wú)疑增加了企業(yè)運(yùn)營(yíng)成本,而且 DDN、幀中繼、ATM 數(shù)據(jù)網(wǎng)絡(luò)也不會(huì)像 Internet 那樣,可立即與世界上任何一個(gè)使用 Internet 網(wǎng)絡(luò)的單位連接。雖然是“專線”,但是我們依然應(yīng)保持時(shí)刻的安全警惕,尤其是來(lái)自物理層的安全隱患:
● 搭線竊聽:
企業(yè)租用的專線通常情況經(jīng)過(guò)了大廈的布線機(jī)房到達(dá)就近的電話局然后經(jīng)由電信部門實(shí)現(xiàn)網(wǎng)絡(luò)出口。犯罪分子為了獲取所需的情報(bào),可能會(huì)搭線監(jiān)聽通信線路,非法接收信息。
● 電磁泄露:
網(wǎng)絡(luò)端口、傳輸線路和處理機(jī)都可能因屏蔽不嚴(yán)或未屏蔽而造成電磁泄露。通過(guò)偵截輻射的方法可以輕易得到許多重要的信息。
四、VPN 將取代專線通信
對(duì)于企業(yè)用戶來(lái)說(shuō),VPN 提供了安全、可靠的 Internet 訪問(wèn)通道,為企業(yè)進(jìn)一步發(fā)展提供了可靠的技術(shù)保障。而且 VPN 能提供專用線路類型服務(wù),是方便快捷的企業(yè)私有網(wǎng)絡(luò)。企業(yè)甚至可以不必建立自己的廣域網(wǎng)維護(hù)系統(tǒng),而將這一繁重的任務(wù)交由專業(yè)的 ISP 來(lái)完成。由于 VPN 的出現(xiàn),用戶可以從以下幾方面獲益:
1)VPN 最大優(yōu)勢(shì) —— 降低成本,投資回報(bào)
VPN 可以立即且顯著地降低成本。當(dāng)使用 Internet 時(shí),實(shí)際上只需付本地電話費(fèi),卻收到了長(zhǎng)途通信的效果。因此,借助 ISP 來(lái)建立 VPN,就可以節(jié)省大量的通信費(fèi)用。此外,VPN 還使企業(yè)不必投入大量的人力和物力去安裝和維護(hù)昂貴的 WAN 設(shè)備和遠(yuǎn)程訪問(wèn)設(shè)備,這些工作都可以交給 ISP。VPN 使用戶降低以下的成本:
● 移動(dòng)用戶的通信成本。VPN 可以通過(guò)減少長(zhǎng)途費(fèi)或 800 費(fèi)用來(lái)節(jié)省移動(dòng)用戶的花費(fèi)。
● 租用線路成本。VPN 可以以每條連接的 40% 到 60% 的成本對(duì)租用線路進(jìn)行控制和管理。對(duì)于租用國(guó)際線路的企業(yè)來(lái)說(shuō),這種節(jié)約是更為顯著。對(duì)于話音數(shù)據(jù),節(jié)約金額會(huì)進(jìn)一步增加。對(duì)國(guó)內(nèi)的用戶來(lái)說(shuō),VPN 最大的吸引力在哪里?是價(jià)格。據(jù)估算,如果企業(yè)放棄租用專線而采用 VPN,其整個(gè)網(wǎng)絡(luò)的成本可節(jié)約 21%-45%,至于那些以電話撥號(hào)方式聯(lián)網(wǎng)存取數(shù)據(jù)的公司,采用 VPN 則可以節(jié)約通訊成本 50%-80%。
● 主要設(shè)備成本。VPN 通過(guò)支持撥號(hào)訪問(wèn)資源,使企業(yè)可以減少不斷增長(zhǎng)的調(diào)制解調(diào)器費(fèi)用。另外,用戶可以在單一的 WAN 接口中實(shí)現(xiàn)多種服務(wù),從分支機(jī)構(gòu)網(wǎng)絡(luò)互聯(lián)、商業(yè)伙伴的外聯(lián)網(wǎng)終端,本地提供高帶寬的線路連接到訪問(wèn)服務(wù)提供者,因此,只需要極少的 WAN 接口和設(shè)備。由于 VPN 可以實(shí)現(xiàn)完全管理,并且能夠從中央進(jìn)行基于策略的控制,因此可以大幅度地減少在安裝配置遠(yuǎn)端網(wǎng)絡(luò)接口所需設(shè)備上的開銷。另外,由于 VPN 獨(dú)立于初始協(xié)議,這就使得遠(yuǎn)程的接入用戶可以繼續(xù)使用原有設(shè)備,保護(hù)了用戶在現(xiàn)有硬件和軟件系統(tǒng)上的投資。
我們把專線方式與其它接入方式作個(gè)比較,看看哪種更適合?
當(dāng)前國(guó)內(nèi)專線費(fèi)用表如下:
從上面兩個(gè)表比較,顯然采用寬帶接入方式不僅靈活方便,而且費(fèi)用低廉。中國(guó)自從加入 WTO 后,電信數(shù)據(jù)服務(wù)已經(jīng)面臨許多來(lái)自國(guó)內(nèi)的競(jìng)爭(zhēng)對(duì)手,今后還會(huì)有國(guó)外運(yùn)營(yíng)商踏上中國(guó)土地,對(duì)最終用戶來(lái)說(shuō),接入費(fèi)用將越來(lái)越便宜;隨著 IT 技術(shù)飛速發(fā)展,寬帶接入技術(shù)也將不斷提高,相信不遠(yuǎn)的將來(lái)百兆、千兆入戶將不再是夢(mèng)想。而專線的地位將岌岌可危。
2)實(shí)現(xiàn)網(wǎng)絡(luò)通信安全
具有高度的安全性,對(duì)于現(xiàn)在的網(wǎng)絡(luò)是極其重要的。新的服務(wù)如在線銀行、在線交易都需要絕對(duì)的安全,而 VPN 以多種方式增強(qiáng)了網(wǎng)絡(luò)的智能和安全性。首先,它在隧道的起點(diǎn),在權(quán)威的認(rèn)證服務(wù)器上,提供對(duì)分布用戶的身份認(rèn)證。另外,VPN 支持安全和加密協(xié)議,如 IPsec。
3)怎樣實(shí)現(xiàn)端到端的 QoS
使用 VPN,用戶會(huì)擔(dān)心其應(yīng)用的 QoS,其實(shí)大可不必。相反,通過(guò)成熟的技術(shù)來(lái)對(duì)帶寬進(jìn)行管理,會(huì)讓用戶感覺到事半功倍的效果。
● 首先,利用寬帶接入,從傳輸率上來(lái)講本身就比租用線路要快。目前國(guó)內(nèi)以太網(wǎng)接入的速率能夠達(dá)到10兆;ADSL 的速率能夠達(dá)到1兆。
● 實(shí)現(xiàn)端到端的 QoS 控制:Check Point FloodGate-1 集成的區(qū)分服務(wù)(DiffServ)支持功能使服務(wù)提供商可以在 IP WAN 上為 VPN 和未加密的業(yè)務(wù)通信提供端到端的 QoS。用戶按照 DiffServ 標(biāo)準(zhǔn)來(lái)設(shè)定業(yè)務(wù)通信的優(yōu)先級(jí),F(xiàn)loodGate-1 使用戶 QoS 需求擴(kuò)展到 WAN 上。“DiffServ”能夠被幾乎所有網(wǎng)絡(luò)設(shè)備廠商支持,當(dāng) VPN 流量在 Internet 上通過(guò) ISP 時(shí),用戶可以向該 ISP 申請(qǐng)?jiān)摲?wù)。這樣,當(dāng)有不同“DiffServ”標(biāo)記的流量在 Internet 上傳輸時(shí),ISP 會(huì)自動(dòng)根據(jù)“Diffserv”所設(shè)置的不同優(yōu)先級(jí)進(jìn)行處理,以保證重要的業(yè)務(wù)(例如:VPN 流量)其 QoS。
● IPSEC、MPLS 與“Diffserv”的集成:當(dāng)前有些用戶在實(shí)現(xiàn)端到端的 QoS 的時(shí)候采用 MPLS 技術(shù)。MPLS 是網(wǎng)絡(luò)第二層的 QoS 實(shí)現(xiàn)技術(shù),通常用于骨干網(wǎng)上的流量控制和 QoS 實(shí)現(xiàn)。被打了“DiffServ”標(biāo)記的流量同樣可以在骨干網(wǎng)上基于 MPLS 技術(shù)來(lái)傳輸(如下圖)。這樣的集成同樣實(shí)現(xiàn)了端到端的 QoS 保證。
● Check Point 還支持 LLQ(Low Latency Queuing)技術(shù):當(dāng)在 VPN 網(wǎng)絡(luò)中傳遞基于對(duì) QoS 要求更高的多媒體流量時(shí),通過(guò) LLQ 技術(shù)可以對(duì)每個(gè)包進(jìn)行配置來(lái)保證其帶寬需求,這些配置參數(shù)包括:連續(xù)的比特率(CBR)和最大延時(shí)等。通過(guò) LLQ 的配置可以對(duì)這些流量設(shè)置成為優(yōu)先級(jí)最高的級(jí)別,充分保證端到端的 QoS。
