|
 |
|
 |
 首页 >> 网络产品 >> 网络技术 |
|
|
| 两种VPN的对垒:IPSec VPN与SSL VPN [网络技术] |
| 计算机世界 |
| 2005-6-2 10:57:00 文/ |
|
坐而论道不如躬亲行事,在VPN的实际部署中,可以发现一些有趣的抗争。
IPSec VPN普遍被认为是一种在部署远程接入和广域网时,能有效节省资金的技术。但实际上用户应该多了解一些VPN安装部署
过程背后人们易犯的错误,从而尽量避免付出不必要的代价。
VPN能节约成本吗?
一个现实的例子是Mercator Partners商业咨询公司,他们最近放弃了原先部署在员工家庭与办公室之间由SonicWall公司所生产的IPSec VPN设备,取而代之的是在员工的电脑上安装IPSec VPN客户端软件。
虽然SonicWall的设备确实能够做到利用不同的通信端口把企业电脑和家庭电脑区分开。但据该公司IT管理员Seth Cordes的说法,这种实现方式还是没能解决家庭其他非授权用户进入企业VPN网络的可能性。
为了不冒这个险,该公司在技术上做了改变,现在家庭电脑只有安装了相关软件才能连接企业VPN网络。
从大的方面看,部署VPN在资金节省方面也是大有可为,尤其是那些用于替代传统广域网连接的点到点VPN。一家名为广域网策略有限公司的VPN服务提供商的负责人John Pouliot说道:“平均来看, VPN网络中在每个站点的设备上每个月大概要花费450美元到1200美元。”
虽然可以节省资金,但企业还是应该意识到实现VPN之路不会是一帆风顺的,会出现各种各样棘手的问题。
Dan King是一家心理健康中心的网络管理员,他认为虽然VPN取得了相当大的成功,但正是这种成功反而会对资金的节省造成一定的反作用。该健康中心原先有四个分支办公点使用点对点的T1线路直接连到主办公点。后来Dan King把这些T1线路换成了SonicWall的IPSec VPN产品,用省下来的钱为原先没有连接的第五个分支办公点配备了一条基于ISDN的DSL线路。但是,原先所有分支办公点和主办公点的通信都是经过独立的线路,现在变成所有的办公点都能直接连到整个因特网。这些新线路也提供更快的下载速度,但使用率高了也就造成带宽的吃紧。有一次运营商提供了两种优惠方案,一种是为现有线路降价,另一种是增加带宽,经过权衡Dan King没有选择更省钱的前者,而是出于带宽的考虑选择了后者。
IPSec可为SSL后援?
McCafferty决定试一下SSL远程接入软件,因为这不需要特殊的防火墙配置。他们购买的是Aventail公司的软件,但没想到要让它正确地跑起来却困难重重,过程非常复杂。
“没想到会碰到这么多问题。” McCafferty说。不管是通过软件升级方式甚至直接让Aventail公司送一套预先配置好的软件过来也解决不了Outlook远程Web访问这个基本问题。
经过长达九个月的尝试,McCafferty决定放弃,转而购买了Enkoo公司开发的易于配置的SSL网关,该网关虽然缺少了其他产品的一些功能,但对Hualalai公司来说已经足够用了。“直到最近我们才彻底抛弃了Check Point的东西,因为Aventail的SSL产品在配置和运行过程中产生的问题太多了,所以我们那时候不得不保留IPSec VPN以备不测。” McCafferty说道。
客户一旦购买了VPN产品基本上也就意味着需要维护更多的网络设备。“一旦买了这些安全设备,你就得经常安装和升级补丁程序,” Forrester研究公司的VPN分析师Robert Whiteley说道,“如果对企业来说这是必需的话,那么首先你就得测试这些升级和补丁程序,这也就意味着时间和精力上的投资。”
VPN产品的安全配置还包括远端用户的数字证书认证,这又是一项时间和培训上的投资。“你得管理这些数字证书并确保它们能正确地安装部署。” Whiteley说道。
国际再保险公司PartnerRe的VPN项目管理员Desmond Lee认为随着技术的发展,企业是免不了要在软硬件升级方面投入更多资金的。
该公司决定不再升级已有的Check Point的IPSec VPN产品,因为对他们来说这意味着同时要在15个站点上做软硬件升级。而后来该公司仅仅购买了三台Juniper网络公司的SSL远程访问网关就解决了整个替换过程。
“SSL远程访问网关不需要那么多设备,而且它能检查远程机器的安全性,如果是Check Point的产品的话要做到这点恐怕又得升级才行。” Lee说道。
·IT产品报价大全 |
|
|
|
|
|
|
 相关文章 |
|
|
|
|
 |
|
 |
|
|
