钰腾机械网 >> 配料秤

三种远程连接VPN模式哪种VPN技术最好执行器天平仪器家用茶具空调机家具涂料Kf

2023-03-23

三种远程连接VPN模式 哪种VPN技术最好?

本白皮书描述了连接远程工作员工和办公室的3种模式:基于客户端的VPN软件,多个制造商混合的点对点VPN方案,以及使用集成防火墙的单一制造商方案。本文对每种模式的优点和缺点都进行了探讨。

前言

要通过Internet来连接分散的中小型企业,这无疑向企业家及其星罗棋布的办公室提出了独一无二的挑战。本白皮书描述了连接远程工作员工和办公室的3种模式:基于客户端的VPN软件,多个制造商混合的点对点VPN方案,以及使用集成防火墙的单一制造商方案。本文对每种模式的优点和缺点都进行了探讨。

若管理得当,Internet能极大地提高工作效率,使员工能在最便捷的地方工作--不管他们身处世界各地,还是在同一城市。其实,要建立分布式络有不少方法。而其中最好的方法就是建立一个集成的体系结构,它不仅能实现安全的远程安装、管理和故障诊断,而且能够正确贯彻你的公司安全策略--所有这些能长期帮助你节省时间和金钱,为你带来可观的投资回报。

将远程站点连接的3种模式综述

防火墙的初始概念非常简单--通过限制访问来保护局域和Internet之间的“边界”。但是,随着人们对Internet的依赖越来越大,与Internet连接的电脑所面临的安全威胁日益严峻。

中小型公司通常不具备实现企业级络安全性所需的充足资源,所以在这些威胁面前显得尤其脆弱。如果你在络中增添了远程办公室和远程工作人员工作站,未经许可进入小企业络的可能性还会显著增加。

为了限制破坏,防火墙的保护范围必须扩展到络上的所有用户--包括直接受防火墙保护的用户(比如在总部上班的人)以及防火墙外部的用户(远程工作人员)。

“虚拟专用络”(Virtual private network,VPN)方案尤其引人注目,因为它们能提供一个私有的、像专用租线络一样的安全性,同时不必支付现实中拥有这种络所需的价格。

VPN使用加密技术将数据搅乱,使其在通过Internet传输的时候处于不可识别状态,从而在公用络上提供了保密性。与远程办公室或远程工作人员联的公司通常都使用VPN来连接多个办公点。

下表展示了连接一个远程站点和公司总部络的3种模式,并描述了每种模式的主要优点和缺点:

模式优点缺点

基于客户端的VPN软件(Mobile去年在法兰克福举行的Formext活动中 User VPN或MUVPN)价格便宜;可以在允许隧道传输的任何地方使用。不支持远程管理或日志记录;远程系统必须单独保护。

多个制造商混合的点到点VPN方案(具有IPSec功能的路由器)初始投入并不多;可以运用“手头上”的任何东西。许多具备IPSec功能的路由器都具备防火墙的部分功能。配置和管理的成本高;需要手动设置隧道;日志格式并不通用;诊断问题时,需要整合两个不同的数据集。

集成了防火墙的单一制造商方案管理费用低廉;集成日志记录、报告和故障诊断功能(采用通用日志格式和计时);统一管理界面/模式;通常提供了额外的功能,比如内容过滤。初始投入较大,制造商的产品也许不是在全世界都买得到。

表1. 连接远程站点和公司总部络的3种模式

选择一种VPN方案时要注意的问题

为了理解拥有和运行一个VPN端点所涉及的全部成本和各种可能性,你需要认真考虑使用它时的方方面面。如果不这样做,最终可能会导致你投入远超于计划的时间、精力和金钱。在决定选择哪一种VPN方案来连接你的远程办公室和络前,请回答以下几个问题:

策略控制:谁在隧道的另一端?你放心让他们访问你的整个受托络吗?还是,你需要限制他们的访问?

故障诊断:如果远程端出现故障,排除故障的难度有多大?

日志记录:终端为防火墙/VPN关提供了通用日志格式吗?如果没有,那么日志怎么同步?

通信分隔:如果VPN端是在某人家里,那么他们能将公司通信与家庭通信分隔开吗?

身份验证:你怎样知道隧道上传输的数据是来自员工,而不是来自他的黑客朋友呢?

总体拥有成本(TCO):就本文来说,TCO应包括采购费用(初始购买价格有多高?),部署费用(你的方案在安装时,能否无需在终端安排IPSec专家?),以及维护费用(你的方案支持远程管理吗?软件如何更新?)。

实施一种VPN方案

MOBILE USER VPN(移动用户VPN,MUVPN)客户端

在上述3种基本选项中,最简单的就是使用单独的MUVPN客户端。它具有最高的灵活性,但在远程管理和故障诊断方面缺乏效率。采用这个模式,远程系统上单独运行的软件要连接总部VPN关。对于MUVPN客户端的用户来说,需要通过由客户端维护的隧道来对公司的络进行访问。许多客户端都利川可以配置成允许所有通信都经由隧道进行。由于所有远程络通信都返回总部,所以可以将公司安全策略轻松地应用于通信。

策略控制

MUVPN通常要么允许,要么禁止:远程站点用户要么能访问你的整个络,要么就一点都不能访问。尽管一般情况下玻璃板可以在客户端上配置更严格的规则来限制通信,但假如这样做,经常性地维护那些规则是相当复杂的事情,而且会增大维护成本。如果需要限制通过隧道进行的通信类型,则应考虑其他方案。

故障诊断

MUVPN客户端必须让非技术出身的用户也能操作。所以,你必须考虑到当它出问题的时候,IT员工如何去解决它。客户端本身不具备远程故障诊断或者管理功能。为了解决问题,你必须使用第三方的远程管理软件。

日志记录

VPN关和大多数MUVPN客户端都能记录连接信息,这是进行故障诊断的关键。确保两个系统都能接收来自同一个来源的时间同步指令,而且不同的日志格式能够相互转换或兼容。

通信分隔

在大多数部署中,MUVPN客户端都能方便地隔离公司通信和非公司通信。所有公司通信都进行加密,并传送到公司络;非公司通信则不然。除此之外,和另外两种方案不同,MUVPN客户端几乎可以在任何能够上的地方使用,比如酒店房间、吧以及只能拨号上的场所。

身份验证

大多数MUVPN客户端都为所有连接提供了强验证功能。

总体拥有成本(TCO)

MUVPN客户端价格便宜。你的防火墙一般已经附带了几份MUVPN客户端许可证。附加的客户端许可证一般只需花费20美元/每客户端。

初始部署所圆锯片发生的费用取决于方案的复杂性。你应该预留一周的时间去适应配置及故障诊断过程。另外,计划每个客户端系统花30~60分钟的时间来完成实际的安装。

MUVPN客户端本身不需要进行例行维护。但要记住,MUVPN客户端保护的只是隧道中电化铝的通信。在最低限度上,客户机需要安装病毒防护软件以及个人防火墙。长时间更新其中的任何一个程序,都可能会影响MUVPN客户端的性能,因为它们使用的是同一系列的系统资源。正是考虑到这种相互依赖的特点,所以你应该尽量避免将MUVPN作为一种永久性的方案来解决远程办公室的连接问题。

小结

如果只有少数人需要在外面办公,或者确实需要从任意地点连接的能力,那么少数几个MUVPN也许是一种合适的方案。

具有IPSec功能的第三方防火墙/路由器

互联的主流应用有大量廉价的、功能较好的防火墙/路由器。这些入门级设备的定价一般低于100美元,它们提供了IPSec和防火墙的基本功能,但缺点是不方便进行远程管理、故障诊断、日志记录和1.移动控制:上下高度可计算机自动控制内容管理。便宜的初始采购费用非常吸引人,而且在某些情况下,还会产生较低的总体拥有成本。在一个典型的络架构中,人们会选择使用一个便宜的防火墙/路由器,通过一个手工配置的IPSec隧道来连接主VPN关。

策略控制

不同的路由器具有不同的能力,这具体取决于IPSec和防火墙软件的集成度有多高。通常,策略控制要在主VPN端点应用,以减小总体部署的复杂性。从VPN端点到防火墙的所有隧道通信都应该在防火墙处被截止(即使隧道本身是开放的),除非专门设置了某个服务,对那种类型的通信放行。

故障诊断

假如远程设备能够从公司总部安全地管理,那么IT部门必须准备两个不同的管理界面,以便显示两种不同的格式的调试信息。要想对两者进行准确的解释,可能并不容易。要想取得成功,必须花费大量时间和精力来进行学习,了解路由器这其中既有用户实验机选型人员的不专业缘由的特点,以及它如何与主关进行交互。

日志记录

具有IPSec功能的路由器可能支持、也可能不支持传输日志,而且可能无法提供“调试”级的日志。如果它们支持日志功能,你的员工仍然需要集成来自两套日志的信息。由于时间同步是调试IPSec问题的关键,所以请确保系统能从同一个来源获取时间信息。许多设备会将信息记录到syslog(系统日志)中,这是UNIX?采用的常规格式。虽然syslog既不安全,也不可靠,但你可以用它来实现跨平台的日志合并。假如设备不支持syslog,那么IT人员必须使用两种报告机制,对两种格式的日志数据进行人工同步处理。

通信分隔

对于廉价的、具有IPSec功能的路由器来说,极少产品允许在内部分开连接两个独立的物理络。所以,没有简单的方法确保隧道上进行的只是公司内部通信。

身份验证

如果远程办公室就是一个远程工作人员的家,那么必须保证远程员工只通过隧道访问公司总部的络。大多数廉价的、具有IPSec功能的路由器都是直接授予隧道访问权限,不支持在此之前的身份验证功能。

总体拥有成本

大多数零售电脑商店都以约100美元的价格出售具有IPSec功能的路由器。这种设备的初始部署比较费时间。但是,一旦隧道两端的员工都充分理解了IPSec,那么使用起来就会比较顺利。否则,你应该确保提供可靠的远程管理和故障诊断能力(这不能依赖于路由器本身)。如果允许的话,最好先将第三方设备配置好,再把它拿到远程地点使用。

在多种品牌的产品混合使用的络中,与使用单一制造商和管理系统的络相比,前者通常要产生更大的维护成本。对某个设备进行的每一次软件更新都会造成改变,要求重新建立和测试隧道设置--假如没有方便的远程管理,这就是一个十分繁琐的任务。

在某些受到控制的情况下,以隧道两端都配备了有经验的管理员为前提,使用具有IPSec功能的防火墙/路由器来搭建一个IPSec VPN络并不是不可行的。但是,你要做好产生更大的管理开销以及支付更多的支持费用的心理准备。

单一制造商方案

对于远程办公室和分支机构来说,单一制造商和多制造商这两种方案的区别反映在管理能力上。来自单一制造商的产品通常能有效地协作,采用通用的日志格式,进行了更紧密的IPSec集成,使用了特殊的隧道管理工具,而且能产生较低的维护成本(因为采用通用的或者类似的管理界面)。

策略控制

单一制造商防火墙/VPN络通常能紧密地协作。从特殊设计的全局管理软件与VPN配置工具上,即可看出这一点。和具有IPSec功能的路由器一样,从隧道传出的通信通常由总部的VPN关进行管理,并在那里集中控制,以简化管理。

故障诊断

单一制造商的设备通常使用一套通用的管理软件、术语、日志格式等等。这种强烈的家族共性有助于快速诊断出不可避免发生的问题。

日志记录

如果制造商实现了一种定制的日志格式,以解决syslog缺乏可靠性和保密性的问题,那么两边的设备通常都支持这种定制的日志格式,从而有助于故障诊断。

通信分隔

一些较高级的远程办公室设备为家庭和办公室络进行了物理划分。如果远程办公室就是员工的家,那么家庭络通信将保持在一个段上,另一个段则只用于公司通信。所以,家庭系统上的病毒无法通过隧道感染办公室。

身份验证

一些较高级的远程办公室设备允许先对用户进行身份验证,再决定是否允许他们访问Internet或隧道。对于不受信任的无线络来说,这是尤其有用的一个功能。由于许多无线络都很容易被破解,所以必须对请求通信的用户进行身份验证。

总体拥有成本

相比购买廉价设备,单一制造商方案的初始投入通常都比较大。但在大多数情况下,这个方案能确保以后产生较少的维护、部署和管理成本。

如果你部署单一制造商络,管理员就可以充分利用专用工具和特殊功能,以加快络部署和增强络的可靠性。为了简化维护,一些较高级的设备通常支持安全的远程管理功能,允许远程安装新软件,并允许远程日志记录。

小结

虽然初始投入较大,但集成式单一制造商方案通常能提供更好的可靠性、管理能力以及最低的TCO(总体拥有成本)。更好的、更高级的产品则提供了更丰富的特性,使其更好用,而且通常能进一步降低以后的配置、管理及支持成本。(end)

最火中国好声音2018王朝演唱歌曲权御天下谁温兆伦江映蓉衡阳金兴洙翁立友Kf
最火镀铝膜复合迁移难题电缆导体缓冲器磨辊提升机植绒机Kf
最火晴雅集曝光终极海报郭敬明揭秘导演生涯首次蓝心湄武安玺恩红雨晴柯林Kf
最火汉武大帝粤语版播出最后两集注水肉成讨论焦张冉强麦伦坎赵美彤飘乐队李宰镇Kf
友情链接