互聯(lián)網(wǎng)安全技術(shù)日益革新，不論是IDS還是IPS都曾經(jīng)紅極一時(shí)，但是技術(shù)仿佛是永無(wú)止境的，安全廠商與網(wǎng)絡(luò)入侵者的博弈還在繼續(xù)。繼UTM的概念被提出之后，一種新型的網(wǎng)絡(luò)技術(shù)VPN又成了網(wǎng)絡(luò)安全的寵兒。那么企業(yè)并不是財(cái)大氣粗的土財(cái)主，在安全產(chǎn)品的更新?lián)Q代上當(dāng)然也要考慮VPN的優(yōu)勢(shì)在哪里，相對(duì)于以往的安全產(chǎn)品是不是能夠更好地保障企業(yè)安全？本篇文章就為您簡(jiǎn)單的介紹一下八種VPN的優(yōu)勢(shì)。

VPN的優(yōu)勢(shì)

VPN網(wǎng)絡(luò)給用戶所帶來(lái)的好處主要表現(xiàn)在以下幾個(gè)方面:

(1) 節(jié)約成本

這是VPN網(wǎng)絡(luò)技術(shù)的最為重要的一個(gè)優(yōu)勢(shì)，也是它取勝傳統(tǒng)的專線網(wǎng)絡(luò)的關(guān)鍵所在。據(jù)行業(yè)調(diào)查公司的研究報(bào)告顯示擁有VPN的企業(yè)相比起采用傳統(tǒng)租用專線的遠(yuǎn)程接入服務(wù)器或Modem池和撥號(hào)線路的企業(yè)能夠節(jié)省30%到70%的開(kāi)銷。開(kāi)銷的降低發(fā)生在4個(gè)領(lǐng)域之中:

移動(dòng)通訊費(fèi)用的節(jié)省:這主要是針對(duì)于有許多職工需要移動(dòng)辦公的企業(yè)來(lái)說(shuō)的，因?yàn)檫@樣對(duì)于出差在外地的移動(dòng)用戶來(lái)說(shuō)只需要接入本地的ISP就可以與公司內(nèi)部的網(wǎng)絡(luò)進(jìn)行互連，大大減少了長(zhǎng)途通信費(fèi)。企業(yè)可以從他們的移動(dòng)辦公用戶的電話費(fèi)用上看到立竿見(jiàn)影的好處。

專線費(fèi)用的節(jié)省:采用VPN的費(fèi)用比起租用專線來(lái)要低40～60%，而無(wú)論是在性能、可管理性和可控性方面兩者都沒(méi)有太大的差別。通過(guò)向虛擬專線中加入語(yǔ)音或多媒體流量，企業(yè)還可以進(jìn)一步獲得成本的節(jié)約。這一點(diǎn)對(duì)于過(guò)去有過(guò)租用象DDN之類的專線的企業(yè)用戶就會(huì)有更深刻的感受了，租用DDN一個(gè)小小的64k就得每月花費(fèi)幾千上萬(wàn)元費(fèi)用，采用VPN后不僅這方面的費(fèi)用會(huì)大大減少(但通常不能全免，因?yàn)樵谄髽I(yè)與NSP之間這一段還得租用NSP的專用線路，但這已是相當(dāng)短的了)，而且還可能會(huì)在帶寬上有更大的優(yōu)勢(shì)，因?yàn)楝F(xiàn)在的VPN技術(shù)可以支持寬帶技術(shù)了。

設(shè)備投資的節(jié)省:VPN允許將一個(gè)單一的廣域網(wǎng)接口用作多種用途，從分支機(jī)構(gòu)的互聯(lián)到合作伙伴通過(guò)外聯(lián)網(wǎng)(Extranet)的接入。因此，原先需要流經(jīng)不同設(shè)備的流量可以統(tǒng)一地流經(jīng)同一設(shè)備。由此帶來(lái)的好處便是企業(yè)不再像原先那樣需要大量的廣域網(wǎng)接口了，也不必再像以前那樣頻繁地進(jìn)行周期性的硬件升級(jí)了，這樣就可大大減少了企業(yè)固定設(shè)備的投資，這對(duì)于是、小型企業(yè)來(lái)說(shuō)是非常之重要的。此外，VPN還使企業(yè)得以繼續(xù)對(duì)其關(guān)鍵業(yè)務(wù)型的舊有系統(tǒng)進(jìn)行有效利用，從而達(dá)到保護(hù)軟硬件投資的目的。

支持費(fèi)用的節(jié)省:通過(guò)減少M(fèi)odem池的數(shù)量，企業(yè)自身支持費(fèi)用可以被降至最低。原先用來(lái)對(duì)遠(yuǎn)程用戶進(jìn)行支持的、經(jīng)常超負(fù)荷工作的企業(yè)支持熱線(通常還需由專人負(fù)責(zé))被NSP幫助桌面系統(tǒng)所取代。而且，由于NSP幫助桌面系統(tǒng)可以完全實(shí)現(xiàn)從總部中心端進(jìn)行管理，因此VPN的優(yōu)勢(shì)在于可以極大地降低對(duì)遠(yuǎn)程網(wǎng)絡(luò)的安裝和配置成本。在降低費(fèi)用方面主要表現(xiàn)為:遠(yuǎn)程用戶可以只通過(guò)向當(dāng)?shù)氐腎SP申請(qǐng)賬戶登錄到因特網(wǎng)，以因特網(wǎng)作為隧道與遠(yuǎn)程企業(yè)內(nèi)部專用網(wǎng)絡(luò)相連。這樣采用撥號(hào)方式的遠(yuǎn)程用戶則不需要采用長(zhǎng)途撥號(hào)，企業(yè)總部也可只支付ISP本地網(wǎng)絡(luò)使用費(fèi)，在長(zhǎng)途通信費(fèi)用方面就會(huì)大幅度降低，據(jù)專業(yè)分析機(jī)構(gòu)調(diào)查顯示，采用VPN與傳統(tǒng)的撥號(hào)方式相比可以節(jié)約通訊成本可達(dá)50%-80%。與租用專線方式相比更具有明顯的費(fèi)用優(yōu)勢(shì)，一般VPN每條連接的費(fèi)用成本只相當(dāng)于租用專線的 40%到 60%;VPN還允許一個(gè)單一的WAN接口服務(wù)多種用途，因此用戶端只需要極少的 WAN接口和設(shè)備。而且由于VPN是可以完全管理，并且能夠從中央網(wǎng)站進(jìn)行基于策略的控制，因此可以大幅度地減少在安裝配置遠(yuǎn)端網(wǎng)絡(luò)接口所需的設(shè)備上的開(kāi)銷。另外，由于VPN獨(dú)立于初始的協(xié)議，這就使得遠(yuǎn)端的接入用戶可以繼續(xù)使用傳統(tǒng)的設(shè)備，保護(hù)了用戶在現(xiàn)有硬件和軟件系統(tǒng)上的投資。

(2) 增強(qiáng)的安全性

目前VPN主要采用四項(xiàng)技術(shù)來(lái)保證數(shù)據(jù)通信安全，這四項(xiàng)技術(shù)分別是隧道技術(shù)(Tunneling)、加解密技術(shù)(Encryption & Decryption)、密鑰管理技術(shù)(Key Management)、身份認(rèn)證技術(shù)(Authentication)。

在用戶身份驗(yàn)證安全技術(shù)方面，VPN的優(yōu)勢(shì)在于通過(guò)使用點(diǎn)到點(diǎn)協(xié)議(PPP)用戶級(jí)身份驗(yàn)證的方法來(lái)進(jìn)行驗(yàn)證，這些驗(yàn)證方法包括:密碼身份驗(yàn)證協(xié)議 (PAP)、質(zhì)詢握手身份驗(yàn)證協(xié)議 (CHAP)、Shiva 密碼身份驗(yàn)證協(xié)議 (SPAP)、Microsoft 質(zhì)詢握手身份驗(yàn)證協(xié)議 (MS-CHAP) 和可選的可擴(kuò)展身份驗(yàn)證協(xié)議 (EAP);

在數(shù)據(jù)加密和密鑰管理方面VPN采用微軟的點(diǎn)對(duì)點(diǎn)加密算法(MPPE)和網(wǎng)際協(xié)議安全(IPSec)機(jī)制對(duì)數(shù)據(jù)進(jìn)行加密，并采用公、私密鑰對(duì)的方法對(duì)密鑰進(jìn)行管理。MPPE使 Windows 95、98和 NT 4.0終端可以從全球任何地方進(jìn)行安全的通信。MPPE加密確保了數(shù)據(jù)的安全傳輸，并具有最小的公共密鑰開(kāi)銷。以上的身份驗(yàn)證和加密手段由遠(yuǎn)程VPN服務(wù)器強(qiáng)制執(zhí)行。對(duì)于采用撥號(hào)方式建立VPN連接的情況下，VPN連接可以實(shí)現(xiàn)雙重?cái)?shù)據(jù)加密，使網(wǎng)絡(luò)數(shù)據(jù)傳輸更安全。

還有，對(duì)于敏感的數(shù)據(jù)，可以使用VPN連接通過(guò)VPN服務(wù)器將高度敏感的數(shù)據(jù)服務(wù)器物理地進(jìn)行分隔，只有企業(yè)Intranet上擁有適當(dāng)權(quán)限的用戶才能通過(guò)遠(yuǎn)程訪問(wèn)建立與VPN服務(wù)器的VPN連接，并且可以訪問(wèn)敏感部門網(wǎng)絡(luò)中受到保護(hù)的資源。

(3) 網(wǎng)絡(luò)協(xié)議支持

VPN支持最常用的網(wǎng)絡(luò)協(xié)議，這樣基于IP、IPX和NetBEUI協(xié)議網(wǎng)絡(luò)中的客戶機(jī)都可以很容易地使用VPN。這意味著通過(guò)VPN連接可以遠(yuǎn)程運(yùn)行依賴于特殊網(wǎng)絡(luò)協(xié)議的應(yīng)用程序。新的VPN技術(shù)可以全面支持如AppleTalk、DECNet、SNA等幾乎所有的局域網(wǎng)協(xié)議，應(yīng)用更加全面。

(4) 容易擴(kuò)展

如果企業(yè)想擴(kuò)大VPN的容量和覆蓋范圍，企業(yè)需做的事情很少，而且能及時(shí)實(shí)現(xiàn)，因?yàn)檫@些工作都可以交由專業(yè)的NSP來(lái)負(fù)責(zé)，從而可以保證工程的質(zhì)量，更可以省去一大堆麻煩。企業(yè)只需與新的NSP簽約，建立賬戶;或者與原有的NSP重簽合約，擴(kuò)大服務(wù)范圍。VPN路由器還能對(duì)工作站自動(dòng)進(jìn)行配置。

(5) 可隨意與合作伙伴聯(lián)網(wǎng)

在過(guò)去，企業(yè)如果想與合作伙伴連網(wǎng)，雙方的信息技術(shù)部門就必須協(xié)商如何在雙方之間建立租用線路或幀中繼線路。這樣相當(dāng)麻煩，不便于企業(yè)自身的發(fā)展，也就是租用的專線在靈活性方面是非常不夠。有了VPN之后，這種協(xié)商也毫無(wú)必要，真正達(dá)到了要連就連，要斷就斷，可以實(shí)現(xiàn)靈活自如的擴(kuò)展和延伸。

(6) 完全控制主動(dòng)權(quán)

借助VPN，企業(yè)可以利用ISP的設(shè)施和服務(wù)，同時(shí)又完全掌握著自己網(wǎng)絡(luò)的控制權(quán)。比方說(shuō)，企業(yè)可以把撥號(hào)訪問(wèn)交給ISP去做，由自己負(fù)責(zé)用戶的查驗(yàn)、訪問(wèn)權(quán)、網(wǎng)絡(luò)地址、安全性和網(wǎng)絡(luò)變化管理等重要工作。

(7) 安全的IP地址

因?yàn)閂PN是加密的，VPN數(shù)據(jù)包在因特網(wǎng)中傳輸時(shí)，因特網(wǎng)上的用戶只看到公用的IP地址，看不到數(shù)據(jù)包內(nèi)包含的專有網(wǎng)絡(luò)地址。因此遠(yuǎn)程專用網(wǎng)絡(luò)上指定的地址是受到保護(hù)的。IP地址的不安全性也是在早期的VPN沒(méi)有被充分重視的根本原因之一。

(8) 支持新興應(yīng)用

許多專用網(wǎng)對(duì)許多新興應(yīng)用準(zhǔn)備不足，如那些要求高帶寬的多媒體和協(xié)作交互式應(yīng)用。VPN的優(yōu)勢(shì)則可以支持各種高級(jí)的應(yīng)用，如IP語(yǔ)音，IP傳真，還有各種協(xié)議，如RSIP、IPv6、MPLS、SNMPv3等，而且隨著網(wǎng)絡(luò)接入技術(shù)的發(fā)展，新型的VPN技術(shù)可以支持諸如ADSL、Cable Modem之類的寬帶技術(shù)。

【編輯推薦】

1. 中小企業(yè)VPN組網(wǎng)設(shè)置
2. 中小企業(yè)局域網(wǎng)VPN接入組網(wǎng)
3. VPN的安全和管理真的夠好嗎？
4. 如何運(yùn)用VPN路由表建立網(wǎng)通電信
5. 結(jié)合VPN與無(wú)線AP增強(qiáng)無(wú)線網(wǎng)絡(luò)安全