一方面,vpn能为企业实现跨域沟通提供极大的便利,另一方面,通过不可靠的公用互联网进行传播,使企业对vpn心怀疑虑。如何选择一套好的vpn系统? 随着计算机技术,特别是计算机网络技术迅猛发展,IT技术的应用领域迅速扩大。各种类型企业为适应市场经济的需要,实现自身的经济效益,无不正视网络的巨大潜能,加速实现企业内部的计算机网络建设。同时,在企业规模不断扩大的过程中,分支机构广泛分布,建立局域网甚至广域网的需求日益增加。 吕梁供电分公司所属岚县支公司及各支公司与所属供电所,长期以来并没有建设计算机网络所需的通信网络,而随着电力市场化及电网建设的发展,电力信息化的需求日益增强,各种管理信息如财务、营销、调度等应用系统扮演了愈来愈重要的角色。 在此前提下,吕梁供电分公司已逐步应用了调度自动化系统、营销管理系统、财务管理系统、生产管理系统、输变电可靠性系统、安全评价系统等等应用管理系统。目前,信息化技术的使用步伐还在加快,远程抄表及生产保护系统正在筹备之中。 为了实现公司信息的远程共享,便于管理层及时了解分公司生产经营状况,实时决策指导,同时也便于工作人员日常的管理,吕梁供电分公司引进VPN技术实现异地网络的互连互通,这样也极大降低了使用专线的昂贵成本,为企业实现广域网络提供了契机。 随着公司业务的不断扩大,业务涉及的范围越来越大。员工要想实现建立在具有安全保障之上的信息交流和信息共享,公司内部广域网要覆盖几个省、市;同时,有些要不断出差的公司员工可能会随时随地访问企业内部网络,而那些通过拨号由ISP动态分配的IP地址也无法穿越公司的防火墙及其他安全设备。 解决这些问题的一个办法是公司租用专用线路来连接不同的部门及分公司,这种方式虽然安全性高,也有一定的效率,但成本太高,并且浪费资源。同时,这一方式也无法满足随时随地的接入要求,更重要的是扩展性不好,不方便新用户的接入。 VPN技术利用不可靠的公用互联网络作为信息传输媒介,通过附加的安全隧道、用户认证、访问控制等技术实现与专用网络类似的安全性能,从而实现对重要信息的安全传输。这种方式成本低,并且克服了Internet 不安全的特点。 由于VPN在Internet上构建网络平台,以下几点是用户在选择VPN时必须考虑的问题。 稳定性:综合考虑 VPN是企业的基础网络平台之一,企业的很多应用系统都将在VPN平台上运行。所以,VPN系统的稳定性必须满足企业的业务应用需要,而不能出现经常性的网络中断,导致业务的中断。一般来说,规模越大的企业、对VPN平台的使用越频繁,对稳定性的要求就越高。也有部分中小规模的企业,由于其对系统的依赖性非常强,所以也需要稳定的VPN网络。 不同的VPN产品,其稳定性千差万别。但越稳定的产品、整体的成本肯定会越高,企业在选择时也必须考虑适合自身的稳定级别,例如高端的专用VPN硬件(高端的路由器或VPN服务器),由于其采用高性能的硬件架构、专用的VPN软件,具备非常高的稳定性;而一些低端的VPN产品、本身就采用了廉价的硬件(包括处理器、相关配件等)、往往又集成了除VPN之外的多种业务,难以保障高稳定性的要求,但成本较低。 安全性:多级划分 VPN网络的运行基础是Internet,所有的数据也必须经过Internet进行交换,而这些数据都是企业的私密信息,不允许为无关人员所知,同时VPN网络是在开放的Internet平台之上构建的虚拟网络,也必须保证没有获得授权的用户无法接入VPN网络。所以,综合考虑用户的具体应用和需求,VPN网络的安全性有三层含义:一是数据传输的安全;二是用户接入的安全;三是对内网资源的访问安全。 第一个层次:数据传输的安全。 几乎所有的VPN产品都是通过数据加密的方式来保障安全,这一技术选择已经比较成熟,所以不同产品的区别主要在于其加密的级别和效率。目前应用比较多的加密算法有DES/3DES,DES算法由于加密级别较低(56位加密),已经趋于淘汰;3DES算法加密强度高(168位加密),但对处理性能提出了相对较高的要求,尽管如此,3DES仍然是目前VPN中应用最普遍的加密算法;另外还有一些优秀的加密算法,例如AES(Advanced Encryption Standard)标准、OWFISH/128位加密算法、TWOFISH/128位加密算法等,但目前应用都不是非常普遍。 第二个层次:用户接入的安全。 从VPN实际应用的角度考虑,用户接入的安全是更为重要的。因为数据的传输安全即使出现隐患、也需要较为专业的人员才能破译,造成的也仅仅是部分信息的损失。而一旦有非法用户成功接入,那整个企业网络都将暴露给入侵者。现有的高端VPN产品大部分采用的是证书交换的方式、来确保用户的真实身份;低端的VPN产品由于技术所限、同时又要适应专业性不强的用户使用,往往只进行了简单的用户名和密码认证。 第三个层次:内网资源访问的安全。 部分VPN产品是一旦确认了远程用户的合法身份,用户就可以不受限制地访问全部内网资源。而实际上,大部分企业并不希望远程用户能不受限制地进行访问,而是有条件地进行访问,尤其是接入的VPN用户并非是企业内部工作人员(如供应商、客户、合作伙伴等)时,对VPN用户访问权限需要更严格的设定。 一个好的VPN产品应该可以提供对内网访问权限的细致设定,可以对不同的用户分配不同的权限规则,避免出现内部安全隐患。一个合法的VPN用户接入总部后,它对总部资源的访问权限能够被限定在一定范围内,例如总部有多个应用系统(如OA、财务、生产等等),一个普通的业务人员在联入VPN后只能访问OA,而公司领导则可以同时访问所有的应用系统,所有的这些权限都应该可以通过配置产品或相关设备来完成,这样就极大地方便了信息部门的管理工作。 速度:两面入手 虽然说现有宽带接入已经远胜于过去的窄带接入方式,但用户对带宽的要求是无止境的。另外,由于VPN网络承载的是企业的内部应用,如文件共享、拷贝等,习惯了局域网内10M/100M速度的用户,对速度的要求也非常高,应用的速度也会极大地影响企业的运作效率。 VPN由于对数据进行了安全性的封装,同时进行了加密处理,从原理上说、就会比实际的Internet接入带宽要低。高端的VPN处理速度快,而低端的设备由于处理器性能较差极大地影响了VPN速度。如何解决传输速度的问题各个厂家也都提供了不同的方案,下面简要介绍两种较常见的方案。 采用数据流压缩技术。 VPN设备内置了数据压缩算法,采用硬件或软件对所有的传输数据进行压缩之后再传输,这就在无形中极大地提高了带宽利用率,经实际测试效果较明显。 [...]
Wednesday, June 22, 2011
如何选择VPN?
一方面,vpn能为企业实现跨域沟通提供极大的便利,另一方面,通过不可靠的公用互联网进行传播,使企业对vpn心怀疑虑。如何选择一套好的vpn系统? 随着计算机技术,特别是计算机网络技术迅猛发展,IT技术的应用领域迅速扩大。各种类型企业为适应市场经济的需要,实现自身的经济效益,无不正视网络的巨大潜能,加速实现企业内部的计算机网络建设。同时,在企业规模不断扩大的过程中,分支机构广泛分布,建立局域网甚至广域网的需求日益增加。 吕梁供电分公司所属岚县支公司及各支公司与所属供电所,长期以来并没有建设计算机网络所需的通信网络,而随着电力市场化及电网建设的发展,电力信息化的需求日益增强,各种管理信息如财务、营销、调度等应用系统扮演了愈来愈重要的角色。 在此前提下,吕梁供电分公司已逐步应用了调度自动化系统、营销管理系统、财务管理系统、生产管理系统、输变电可靠性系统、安全评价系统等等应用管理系统。目前,信息化技术的使用步伐还在加快,远程抄表及生产保护系统正在筹备之中。 为了实现公司信息的远程共享,便于管理层及时了解分公司生产经营状况,实时决策指导,同时也便于工作人员日常的管理,吕梁供电分公司引进VPN技术实现异地网络的互连互通,这样也极大降低了使用专线的昂贵成本,为企业实现广域网络提供了契机。 随着公司业务的不断扩大,业务涉及的范围越来越大。员工要想实现建立在具有安全保障之上的信息交流和信息共享,公司内部广域网要覆盖几个省、市;同时,有些要不断出差的公司员工可能会随时随地访问企业内部网络,而那些通过拨号由ISP动态分配的IP地址也无法穿越公司的防火墙及其他安全设备。 解决这些问题的一个办法是公司租用专用线路来连接不同的部门及分公司,这种方式虽然安全性高,也有一定的效率,但成本太高,并且浪费资源。同时,这一方式也无法满足随时随地的接入要求,更重要的是扩展性不好,不方便新用户的接入。 VPN技术利用不可靠的公用互联网络作为信息传输媒介,通过附加的安全隧道、用户认证、访问控制等技术实现与专用网络类似的安全性能,从而实现对重要信息的安全传输。这种方式成本低,并且克服了Internet 不安全的特点。 由于VPN在Internet上构建网络平台,以下几点是用户在选择VPN时必须考虑的问题。 稳定性:综合考虑 VPN是企业的基础网络平台之一,企业的很多应用系统都将在VPN平台上运行。所以,VPN系统的稳定性必须满足企业的业务应用需要,而不能出现经常性的网络中断,导致业务的中断。一般来说,规模越大的企业、对VPN平台的使用越频繁,对稳定性的要求就越高。也有部分中小规模的企业,由于其对系统的依赖性非常强,所以也需要稳定的VPN网络。 不同的VPN产品,其稳定性千差万别。但越稳定的产品、整体的成本肯定会越高,企业在选择时也必须考虑适合自身的稳定级别,例如高端的专用VPN硬件(高端的路由器或VPN服务器),由于其采用高性能的硬件架构、专用的VPN软件,具备非常高的稳定性;而一些低端的VPN产品、本身就采用了廉价的硬件(包括处理器、相关配件等)、往往又集成了除VPN之外的多种业务,难以保障高稳定性的要求,但成本较低。 安全性:多级划分 VPN网络的运行基础是Internet,所有的数据也必须经过Internet进行交换,而这些数据都是企业的私密信息,不允许为无关人员所知,同时VPN网络是在开放的Internet平台之上构建的虚拟网络,也必须保证没有获得授权的用户无法接入VPN网络。所以,综合考虑用户的具体应用和需求,VPN网络的安全性有三层含义:一是数据传输的安全;二是用户接入的安全;三是对内网资源的访问安全。 第一个层次:数据传输的安全。 几乎所有的VPN产品都是通过数据加密的方式来保障安全,这一技术选择已经比较成熟,所以不同产品的区别主要在于其加密的级别和效率。目前应用比较多的加密算法有DES/3DES,DES算法由于加密级别较低(56位加密),已经趋于淘汰;3DES算法加密强度高(168位加密),但对处理性能提出了相对较高的要求,尽管如此,3DES仍然是目前VPN中应用最普遍的加密算法;另外还有一些优秀的加密算法,例如AES(Advanced Encryption Standard)标准、OWFISH/128位加密算法、TWOFISH/128位加密算法等,但目前应用都不是非常普遍。 第二个层次:用户接入的安全。 从VPN实际应用的角度考虑,用户接入的安全是更为重要的。因为数据的传输安全即使出现隐患、也需要较为专业的人员才能破译,造成的也仅仅是部分信息的损失。而一旦有非法用户成功接入,那整个企业网络都将暴露给入侵者。现有的高端VPN产品大部分采用的是证书交换的方式、来确保用户的真实身份;低端的VPN产品由于技术所限、同时又要适应专业性不强的用户使用,往往只进行了简单的用户名和密码认证。 第三个层次:内网资源访问的安全。 部分VPN产品是一旦确认了远程用户的合法身份,用户就可以不受限制地访问全部内网资源。而实际上,大部分企业并不希望远程用户能不受限制地进行访问,而是有条件地进行访问,尤其是接入的VPN用户并非是企业内部工作人员(如供应商、客户、合作伙伴等)时,对VPN用户访问权限需要更严格的设定。 一个好的VPN产品应该可以提供对内网访问权限的细致设定,可以对不同的用户分配不同的权限规则,避免出现内部安全隐患。一个合法的VPN用户接入总部后,它对总部资源的访问权限能够被限定在一定范围内,例如总部有多个应用系统(如OA、财务、生产等等),一个普通的业务人员在联入VPN后只能访问OA,而公司领导则可以同时访问所有的应用系统,所有的这些权限都应该可以通过配置产品或相关设备来完成,这样就极大地方便了信息部门的管理工作。 速度:两面入手 虽然说现有宽带接入已经远胜于过去的窄带接入方式,但用户对带宽的要求是无止境的。另外,由于VPN网络承载的是企业的内部应用,如文件共享、拷贝等,习惯了局域网内10M/100M速度的用户,对速度的要求也非常高,应用的速度也会极大地影响企业的运作效率。 VPN由于对数据进行了安全性的封装,同时进行了加密处理,从原理上说、就会比实际的Internet接入带宽要低。高端的VPN处理速度快,而低端的设备由于处理器性能较差极大地影响了VPN速度。如何解决传输速度的问题各个厂家也都提供了不同的方案,下面简要介绍两种较常见的方案。 采用数据流压缩技术。 VPN设备内置了数据压缩算法,采用硬件或软件对所有的传输数据进行压缩之后再传输,这就在无形中极大地提高了带宽利用率,经实际测试效果较明显。 [...]
Subscribe to:
Post Comments (Atom)
No comments:
Post a Comment