铺设企业信息高速铁路——硬件VPN的采购
行业采购
“和谐号”动车组正常运营和“四纵四横”高速客运铁路的开工建设,均预示着中国高速铁路时代的到来,比起公路交通来,快速直达的高速铁路由于更经济、更安全,从而更受长途旅客的欢迎。而对于远出在外的办公人员来说,要连接公司内部局域网办公系统,同样需要一条安全快捷的信息高速铁路。“和谐号”动车组可以运行在现有的经过改造的普通铁轨之上,无需专用路线,可以最大程度地保护原有投资,而运行于公共互联网上的VPN专线也如同动车组一样经济实惠。
哪些企业用户需要VPN
略有规模的大中型企业、经常有员工出差的中小型企业、教学资源宝贵的教育机构、建有内部网络办公系统的行政单位或事业单位都需要VPN。企业分公司、产品经销商、客户或学员、出差人员等要在外地访问企业资源如OA办公系统或ERP信息系统,这样一来,为他们架设一条专线是不切实际的,而将企业内部资源向互联网全面公开也是愚蠢的,公网合法节点要访问企业内网,企业内网又不可向公网开放,这种矛盾该如何解决呢?这时就需要用到VPN技术了。
使用VPN技术可以帮助分公司、远程用户、出差人员与企业内网建立可靠的安全连接,保障传输的数据不被窥视和窜改,有效防止非法用户对企业内网资源的访问。在传统有线互联网上,VPN用于实现企业站点间安全通信,使得远程用户可以经济、安全地连接到公司专用网。随着移动互联网的快速发展,VPN将用于3G移动用户的互联网接入,确保信息安全。
使用VPN(Virtual Private Network,虚拟专用网络)技术可在公共互联网上为企业用户铺设一条虚拟网络专线,VPN技术使用特殊的加密协议,通过互联网将远程用户与公司内网连接,为他们建立专用的通信线路。由于不需要重新铺设物理线路,所以使用VPN技术可极大地节约办公费用。安全问题是VPN的核心问题,VPN主要通过防火墙技术、路由技术同时配以加密协议、隧道技术和安全密钥,来保证企业员工安全地访问公司内部网络。总之,VPN技术就是安全保密地利用公共互联网来为企业建立虚拟私有网。
现在VPN远程接入有两大主流技术:IPSec VPN和SSL VPN,两者的主要区别是:IPSec VPN是提供网络节点到网络节点的连接,该技术需要下载并安装VPN客户端,它可以在互联网上帮用户实现“内网至内网”的通信,缺点是操作繁琐。而SSL VPN不需要软件客户端,任何安装网络浏览器的电脑均可以使用SSL VPN,有效地降低了VPN的部署成本,提高了工作效率,其缺点是只能访问通过网络浏览器连接的资源,在特定情况下无法连接自己需要的网络资源。实践中,这两种技术往往交叉使用,许多硬件VPN产品同时具有IPSec VPN和SSL VPN两大模块,方便企业灵活构建VPN网络。
硬件VPN为何受企业用户欢迎
1.如高速铁路般独立安全
众所周知,客运高速铁路大部分以地面桥梁方式建设,高速铁路往往距离地面3米以上,这样可以排除干扰,从而保障铁路和列车安全。而在互联网上使用VPN技术,相比高速铁路的建设方式,两者有异曲同工之妙,VPN技术采用的高强度加密协议可确保虚拟通道的安全性,从而确保企业信息的安全。VPN有软件VPN和硬件VPN之分,而硬件VPN比软件VPN更安全。
2.如高速铁路般管理方便
同时奔驰在同段高速铁路上的列车往往有许多对,对列车进行有效管理便成为重中之重。为防止运行于VPN虚拟通道上的“数据列车”发生“碰撞”或“出轨”,VPN技术健全成熟的QoS管理机制能有效防止网络堵塞,一个企业分支机构只需一台硬件VPN即可为全部联网计算机建立VPN连接。VPN参数如有变动,只要改动这台硬件VPN的设置,不必对每台电脑的设置进行改动,可大大减少网管的工作量。
3.如“动车组”般配置灵活
动车组可根据客流量变化进行灵活编组,配置灵活。而硬件VPN可以快速方便地增加或删除新节点,能够同时传输语音、图像等数据,既可建立临时性VPN连接,又可建立长时间的VPN连接,同样配置灵活。但软件VPN安装部署比较麻烦,一旦更换电脑则需要重新安装部署。
4.如“动车组”般经济节能
动车组可以运行于现有普通铁路之上,不需要专用线路,这样可以保护原有投资,减少成本投入,产生更高效益。而构建运行于公共互联网上的VPN专线,同样不需重新架设物理线路,就如同动车组一样经济实惠。
值得注意的是,现在许多企业采用硬件VPN与软件VPN相结合的方案组建虚拟专用网络,这些企业为经常出差人员配备了VPN软件客户端,这是考虑到出差者位置不固定的缘故,总不能让出差者背着一台硬件VPN设备满世界跑吧。而对于企业办公室用户来说,因为有固定的位置,所以应该配备功能强大的硬件VPN设备。
硬件VPN产品推荐
一、工作组级硬件VPN推荐(适合电脑数量≤100台的中小型企业)
1.艾泰UTT 3640
参考价格:7200元
艾泰UTT 3640是面向中小型企业、中小型社区等用户设计的多WAN口VPN网关设备,它配备了多达4个广域网接口,提供多WAN接入及负载均衡功能,通过线路冗余为用户提供了低成本扩容上网的途径。在VPN接入方面,艾泰UTT 3640支持IPSec、L2TP以及PPTP三种VPN协议,最多可配置50条VPN隧道,同时并发VPN连接可达30条,用于连接远端总部或分支机构网络,也可用于移动办公用户远程接入公司网络,能够满足一般中小企业用户的需要。
值得一提的是,艾泰UTT 3640的网络行为管理功能十分强劲,能够有效抑制BT、迅雷、QQ直播等P2P软件对带宽的滥用,对于用户较多的学校来说非常适合。
2.Vigor 3330
参考价格:3200元
Vigor3330是一款采用Intel网络处理器的3 WAN口VPN网关设备,它可以自动负载平衡,根据数据流向自动选择速度较快的线路, 自行设计网络流向。它拥有200条VPN通道, 硬件级加密支持保障VPN转发速度。它具有基于对象的防火墙设置功能,网管功能比较强大,只需要轻点鼠标即可实现对 P2P应用如迅雷、BT下载等软件的管理,针对网吧、教育机构等特殊单位,它还提供端口镜像功能。端口镜像不但可以帮助网管进行网络诊断和监控,同时对企业信息安全、公司机密保护、揪抓“内鬼”等有重要意义。
二、部门级硬件VPN推荐(适合电脑数量≤200台的中小型企业)
1.H3C Quidway SecPath 1000
参考价格:8300元
H3C Quidway SecPath 1000 是华三公司专门为中小型企业用户开发的新一代专业安全网关设备,为中小型企业或其分支机构的网络汇聚接入提供VPN服务。它支持多种VPN服务协议,除了支持常用的IPSec VPN、SSL VPN服务协议外,还支持L2TP VPN、GRE VPN、华为动态VPN等服务协议。它适合多种网络接入环境,无论用户是采用电话线拨号上网、ADSL宽带上网还是采用光纤接入方式,H3C Quidway SecPath 1000均可为用户提供有效服务,为用户构建安全的Internet、Intranet、Access等多种形式的VPN。当然防火墙、NAT、QoS等常见网关技术一个也没少,H3C Quidway SecPath 1000可以确保在开放的Internet上为中小型企业构建安全可靠的私有网络,“平易近人”的价格使得中小企业对它青睐有加。
2. NETGEAR FVX538
参考价格:6000元
NETGEAR(网件)FVX538 VPN网关为成长型中小型企业提供了一种完整的VPN安全解决方案。它采用机架式设计,可支持最多连接200路VPN隧道的网络环境。它具有8个自适应的10/100 Mbps 局域网端口,1个千兆局域网端口和2个10/100 Mbps 广域网端口,多种互联网接入方式确保企业VPN随时在线。NETGEAR FVX538内建DHCP 服务器,支持简单网络管理协议(SNMP),服务质量传输优先级、硬件 DMZ、高达256位高级加密标准、AES和SPI 防火墙等,所有这一切使得网件FVX538 VPN能真正成为你的企业网络安全卫士。
三、企业级硬件VPN推荐(适合电脑数量≤500台的大中型企业)
1.侠诺QVM750
参考价格:12500元
侠诺QVM750是针对需要多点安全VPN联机的大中型企业设计的,它采用高效的Intel IXP处理器、64MB内存,内建4个广域网络WAN连接端口,支持多线路带宽汇聚、负载平衡,双向转发率200Mbps,带机量可达500台电脑。如果这些电脑需要建立IPSec VPN,那么最大可支持300个VPN隧道并发联机,同时它还可合并使用IPSec、PPTP、侠诺QVM SmartLink等多种VPN协议,并支持QnoKey VPN用户端联机,方便企业灵活部署。
2.Cisco ASA 5500(SSL/IPsec VPN版)
参考价格:23500元
Cisco ASA 5500网关(SSL/IPsec VPN版)可无缝集成到企业多样化的网络环境中,Cisco ASA 5500网关(SSL/IPsec VPN版)将SSL VPN和IPsec VPN服务与网络威胁防御技术有机地结合在一起,既可以使用从Cisco ASA 5500中自动下载的IPsec VPN客户端如Cisco AnyConnect VPN Client、Cisco IPsec VPN Client等进行连接,也可以抛弃VPN客户端,仅使用浏览器SSL 加密进行VPN连接,方便企业将它部署在任意网络环境下。Cisco ASA5500支持QoS及负载均衡功能,保证数据传输流畅安全。每台Cisco ASA5500设备最多同时允许5000对用户会话,比起普通VPN产品来说,其特色是支持VLAN、IPv6等高级网络应用,技术更先进,性能更稳定,完全可以满足绝大多数企业用户的VPN应用。