警惕VPN应用失衡

申请免费试用、咨询电话：400-8352-114

IP VPN技术及构建网络中暗藏的一些问题，极有可能使企业在获得“投资节约”的同时，遭遇其他问题。

尽管利用IP VPN技术，实现广域网（Wide Area Network，WAN）范围的远端访问、构建虚拟专用网的方式，已经广为企业，特别是跨地机构较多的大型企业所接受，并且也确实能够给企业运营带来节约，但同样不可忽视的是，IP VPN技术及构建网络中暗藏的一些问题，极有可能使企业在获得“投资节约”的同时，遭遇其他问题。

IPSec VPN的利与弊

这方面的例证，可以参见2004年底美国方面的一个报道。大致内容是，一家采用了IPSec VPN的公司，在一段时间后彻底放弃了该网络。从技术角度上，IPSec VPN的技术、设备所获得的评价都很好，性能上没有遭到质疑。最大的问题在于，尽管服务提供商做到了能够将分散在各个远程接入点的员工的计算机和他们的家用机器隔离开来，但是最终的结果是，公司发现那些员工的家庭人员仍可直接使用员工的机器登录进公司网络、访问公司内部资源，而这给该公司的业务带来极大的潜在商业危机。

也有类似的情况在欧洲地区发生，而根据我们获得的消息，有些公司通过在远程计算机上安装一些秘钥软件的方式，来保护公司内部网络，同时也使员工可以正常使用IPSec VPN。

从诸多研究机构提供的调查报告，都可以看出，VPN已进入蓬勃发展时期，特别是相对于传统的WAN连接而言，VPN在实现端到端连接上的优势以及节约投资上的优势，相当明显。通常而言，企业用户为使用VPN而付出的价格，只相当于WAN连接专线的五分之一到十分之一。尽管中国电信和中国网通都还没有正式宣布开展IPSec VPN业务，但SSL VPN业务已经展开，而且，一些省级运营商已经开始在小范围市场内推广IPSec VPN。可以说，正是IP VPN业务的迅速增加，将会在未来数年内导致WAN网专线业务直线下降，而同时VPN市场迎接来一个又一个倍数增长。试想，当一个分支机构仅仅通过ADSL就可以直接访问公司的整个网络时，任何试图降低运营成本的公司都会为此动心的。

VPN能够带来节约，这只是目前市场中经常宣传的好的一面而已，企业必须谨记，VPN极有可能不但没有带来节约，反而使开销更大——只有在全面了解了VPN的模式之后，企业应用VPN才是值得考虑的下一步行动。非常典型的例证是，美国一家致力于医疗行业软件的公司，采用了思科系统公司和北电网络提供的相关设备搭建了VPN网络，最后却发现其客户公司在使用VPN业务上完全缺乏经验，甚至完全不会使用该网络，很长的一段时间里，VPN网络被闲置，而业务还是按照旧有途径进行。

除了应用上需要培训和相关经验外，VPN的另一个重头工作便是，企业需要对现有网络进行重新配置，例如防火墙，必须重新设置以便VPN网络能够穿越，这又会使企业在VPN上消耗更多的精力和投资来寻求相关服务。

据报道称，目前该软件公司的技术副总裁相当头疼的事，便是要花费大量的时间和精力来说服其合作伙伴也安装并使用VPN——这说明VPN在单个公司内部署可能极为迅速，而一旦涉及到多方合作和信息资源共享，就显得举步维艰了——首要的问题便是首先在所有的防火墙上采取共同的策略与配置，以便VPN能够真正穿越网络的所有节点（主要是各合作伙伴的内外网边缘）。

同样，将每台终端都配置成可访问VPN的状态，也是需要花费相当多时间和工作量的事，企业极有可能需要为此付出相当一部分资金。

还以这家软件公司为例，即使在说服了上下游合作方都采用了VPN之后，问题仍然大量存在，因为无论是内部员工还是合作方，一旦产生问题之后，都会求救于该公司IT部分，而该公司只得再次向思科技术支持部门寻求帮助，而问题的解决，如此辗转，已经是至少六个小时之后了。

目前该公司已将目标转向SSL VPN，因为SSL VPN对于终端类型和防火墙配置都没有要求，该公司希望这一转变能够帮助它解决问题。

尽管IPSec VPN在市场中已经获得成功，特别是在运营成本上有非常大的优势，但已有相反的声音在警告用户：不要对VPN抱过高的期待。

企业应当在采用IPSec VPN之前尽可能地对其有所了解，例如，企业员工极有可能因为配置问题，而在一些酒店无法使用笔记本访问公司内部网——因为酒店防火墙会将链路阻断。

VPN节约吗？

相对于IPSec VPN来说，SSL VPN的优势更为明显，这也是为什么运营商和大型企业客户都对SLL VPN更为重视的原因，尽管在花费上，SSL VPN要高于IPSec VPN。

SSL VPN的应用几乎可以忽略任何防火墙配置问题，用户可以将更多的精力放在业务进行上，而不需要不断投入精力解决连接问题。一些公司的网络管理员，在采用IPSec VPN之后，抱怨这一技术给他们工作带来的困扰，因为要不断地变更防火墙的配置来配合不同的应用，“甚至连通过Web方式访问公司内部的Outlook都要对原有配置的一些基本设置进行变更，这样的工作量太大。”而采用SSL VPN之后，一切工作相对要容易得多。

而采用SSL VPN（甚至IPSec VPN）之后，企业网管中心需要面对的一个问题就是，需要管理更多的网络设备，VPN背后所需要的安全策略，将迫使企业不断地升级其安全系统、安装新的安全软件，这意味着将要不断地投入资金。而且，VPN也会带来相关的外围投资问题，例如用户远程认证软件的投入、购买数字证书的投入、培训的投入以及相关的时间开销等等，而这一切，也只是为了能够使VPN业务能应用起来，而与企业原本的业务没有太多直接关系。

总体而言，更多借助于安全力量的IPSec VPN，可能在短期要比SSL VPN节约，但从长期来看，SSL VPN的优势要更大一些，因为SSL VPN所需在网络中添置的设备更少（虽然价格也更贵），并且升级上也更为便宜一些，因为涉及的网络节点比较少。但是，由于VPN技术及设备都发展迅速，企业还面临另一个问题：无法确定设备的更新和换代周期。 (CCW)