公司新闻=> 深圳市深信服电子科技有限公司vpn银牌代理

发布日期：[2005-9-21]    共阅[]次

     构建以业务为中心的vpn网络 ╠╠深信服sinfor vpn，高性价比的基础网络平台 一、概述 　　随着宽带internet网络的普及，同时信息化的发展正在改变着企业传统的运作方式。越来越多的企业都在逐步依靠计算机网络、应用系统来开展业务，同时利用internet来开展更多的商务活动。 　　稍具规模的企业都不会只有一个办公场所，而是具有总部、分公司、办事处、工厂等多个业务点。既然越来越多的应用了计算机和各类软件系统来处理企业业务，如何将位于不同地点的分支机构网络互联互通，就成了现代的企业必须解决的问题。 　　正是用户的需求促进了vpn的诞生和高速发展。传统专用线路（如ddn）的高昂成本和长期的使用费，成为了企业很大的负担，很多企业无法利用这种方式来建立自己的专网，而在internet发展的早期，窄带线路的通信质量、带宽、以及资费，都无法满足企业长期利用其来构建自身远程私有网络的需要，很多企业只能暂时放弃利用网络来实现更好的信息应用的念头。但到了今天，各种宽带上网方式（如adsl、城域网等）都在迅速发展，带宽和通信质量已经不在是瓶颈，资费也极大的降低，完全能够高效率、低成本的解决企业网络互联互通的需要。 二、需求推动vpn市场高速发展 　　选择更高性价比的方案、降低不必要的高昂成本，是市场经济的基本原则。这就使得vpn的发展成为了一种不可抗拒的趋势。在国外，由于internet的基础建设更早一步，早从1997年开始已经迅速发展起来，2001年全球vpn市场近13亿美元，预计到2005年将达到29亿美金（infonetics research，2002）。 　　国内的宽带网络发展从2000年开始，已经得到了极大的发展。企业用户接入internet逐步都在过渡到adsl等宽带方式，资费也能够被用户所接受、并有进一步的下降趋势。vpn也从不为人所知、到逐步的被用户了解和认同，并且已经有很多信息化程度领先的企业选用了相关的vpn方案来构建企业远程网络平台。 　　市场的高速发展，也推动了相应的vpn产品和技术的发展。目前在国内市场上，已经有多种vpn产品可供客户选择，包括运营商提供的vpn服务、各类档次的vpn路由器和服务器、vpn网关以及vpn软件产品等，形式多样、价格也跨越了几个档次。到底应该选择什么样的vpn产品成为了众多企业it人员的困扰之一。 三、按需构建vpn网络 　　根据不同的需求、选择适合自身业务和网络需求的方案，并综合考虑产品的性能、特点和整体投资，是企事业it人员甚至高层决策的根本出发点。一些对数据的稳定性和保密性要求特别高的用户，例如银行、证券、重要的政府机关等等，绝对禁止网络接入internet，当然会优先考虑采用专用线路。即使选择vpn产品也存在着不同的层次，有适合大型企业的产品、有适合中等规模网络的产品、也有适用于小企业的产品；不同层次的产品又有不同的性能、技术特点和价格。但无论哪个层次的vpn产品，由于其在internet上构建网络平台的共同特征，有以下几点是用户在选择vpn时都必须考虑的问题。 1、稳定性： 　　vpn是企业的基础网络平台，企业的各类应用系统都将在vpn平台上进行。所以，vpn系统的稳定性必须足够满足企业的业务应用需要，而不能出现经常性的网络中断，导致业务的中断。一般来说，规模越大的企业、对vpn平台的使用越频繁，对稳定性的要求就越高。也有部分中小规模的企业，由于其对系统的依赖性非常强，所以也需要稳定的vpn网络。 　　不同的vpn产品，其稳定性也是千差万别。但越稳定的产品、整体的成本肯定会越高，企业在选择时也必须考虑适合自身的稳定级别。例如高端的专用vpn硬件（高端的路由器或vpn服务器），由于其采用高性能的硬件架构、专用的vpn软件，具备非常高的稳定性；而一些低端的vpn产品、本身就采用了廉价的硬件（包括处理器、相关配件等）、往往又集成了除vpn之外的多种业务，难以保障高稳定性的要求，但成本较低。 　　深信服科技的sinfor dlan vpn采取了软硬件分离、按需选择的方案来适应企业对稳定性的要求。sinfor dlan vpn既有运行于windows系列操作系统的纯软件的平台架构，也有基于sinfor-linux平台的安全网关设备，用户可以根据自身对稳定性的需求、选择适合的设备（如相应稳定级别的pc机、服务器或专用网关），作为vpn网络的硬件平台。这种灵活的选择使得用户可以自主的根据自己环境、选用最适当的vpn产品。整体投资相对于同档次的专用vpn硬件具有极高的性价比，和低端的vpn产品相比，又解决了由于硬件档次过低而带来的不稳定因素。 　　sinfor dlan vpn运行于操作系统底层，以服务的方式启动，稳定性和操作系统是同一个级别。产品发布三年来，已经大规模的应用于数千家用户、连接着国内外上万的网络，其中包括众多的知名企业以及电信、民航、证券等重要网络。经过长期实际运行，完全可以满足了用户对稳定性要求高、但不希望用过于昂贵的成本购买专用vpn设备的需求。 2、安全性： 　　vpn网络的运行基础是internet，所有的数据也必须经过internet进行交换，而这些数据都是企业的私密信息、不允许为无关人员所知，同时vpn网络是在开放的internet平台之上构建的虚拟网络，也必须保证没有获得授权的用户无法接入vpn网络。 　　所以，综合考虑用户的具体应用和需求，vpn网络的安全性有三层含义：一是数据传输的安全；二是用户接入的安全；三是对内网资源的访问安全。 　　第一个层次：数据传输的安全，几乎所有的vpn产品都通过数据加密的方式来保障，这个技术已经比较成熟和公开，区别在于加密的级别和效率。目前应用比较多的加密算法都对处理性能提出了较高的要求，导致处理性能较弱的低端vpn产品难以真正支持。 　　sinfor dlan vpn支持用户选用第三方的加密卡，如中兴通讯的sjw29加密卡、包含了多种常用的加密算法可供使用。另外系统也内置了aes 128加密算法，具有比当前 3des 更好的安全性和更快的速率，aes 128 的性能大约是 3des 的3倍左右，已经为众多国际领先的vpn厂商采用，因此，sinfor dlan vpn能够在保证数据安全的同时提供了更好的性能。 　　从vpn实际应用的角度考虑，第二个层次也就是用户接入的安全是更为重要的。因为数据的传输安全即使出现隐患、也需要较专业的人员才能破译，造成的也仅仅是部分信息的损失。而一旦有非法用户成功接入，那整个企业网络都将暴露给入侵者。现有的高端vpn产品大部分采用的是证书交换的方式、来确保用户的真实身份，但操作较烦琐、需要专业的人员来实施；而低端的vpn产品由于技术所限、同时又要适应专业性不强的用户使用，往往只进行了简单的用户名和密码认证，这就留下了极大的安全隐患。 　　sinfor dlan vpn采用了深信服科技的发明专利技术（基于硬件特征的身份认证技术）来解决用户的接入认证问题。该技术将接入用户的身份鉴别与计算机的硬件特性进行绑定，由于每台计算机具备唯一的硬件身份（如网卡的mac地址、硬盘和cpu的特征码等），而且具有不可伪造的特性，dlan vpn在用户接入之前、会自动对该请求接入的计算机进行硬件特性的比对。这就保障了只有指定的计算机设备才能接入企业vpn网络，只需在首次接入前完成人工认证，以后接入时的认证过程全部由系统自动完成，无须人工干预。通过这种技术的采用，即便接入的用户名、密码等账号信息泄露也不会造成非法用户的接入，无需使用人员有很高的计算机安全知识就能确保vpn系统的安全，大大降低用户使用vpn的技术门槛。 　　sinfor dlan vpn对移动用户还提供了usb key的方式进行身份认证。并且在key中集成了用户的基本配置信息，实现了即插即用的vpn、随身携带的vpn。 　　最后，sinfor dlan vpn还增强了对内网的安全设置，保障了第三个层次╠╠内网资源访问的安全。大部分vpn产品是一旦确认了远程用户的合法身份，用户就可以不受限制的访问全部内网资源。而实际上，大部分企业并不希望远程用户能不受限制的进行访问，而是有条件的进行访问，尤其是接入的vpn用户并非是企业内部工作人员（如供应商、客户、合作伙伴等）时，对vpn用户访问权限需要更严格的设定。sinfor dlan vpn提供了对内网访问权限的细致设定，可以对不同的用户分配不同的权限规则，避免内部出现的安全隐患，一个合法的vpn用户接入总部后，他对总部资源的访问权限能够被限定在一个很小的范围内，例如总部有多个应用系统（如oa、财务、hr、crm等等），一个普通的业务人员在联入vpn后只能访问oa或crm，而公司领导则可以同时访问所有的应用系统，所有的这些权限都可以通过简单的配置迅速完成，极大的方便了it安全部门的管理工作。 3、速度： 　　虽然说现有的宽带已经远远好于过去的窄带网络（如modem），但用户对带宽的要求是无止境的。另外，由于vpn网络承载的是企业的内部应用，如文件共享、拷贝等，习惯了局域网内10m/100m速度的用户，对速度的要求也非常高，应用的速度也会极大的影响企业的运作效率。 　　vpn由于对数据进行了安全性的封装，同时进行了加密处理，从原理上说、就会比实际的internet接入带宽要低。高端的vpn处理速度快，而低端的设备由于处理器性能较差极大的影响了vpn速度。 　　sinfor dlan vpn通过两种方式，进一步提高了vpn的速度。首先是数据流压缩技术，sinfor dlan vpn内置了数据压缩算法，对所有的传输数据进行压缩之后、再传输，这就在无形中极大的提高了带宽，经实际测试、很多应用情况下甚至比直接连接还要快。以下是sinfor dlan vpn在两端通过adsl连接时，进行文件拷贝和sql数据库查询时的性能比较： 文件拷贝（用ftp传输）－单位：秒 解决方案 word文档（8.4m） bmp图片（18.7m） winzip压缩文件（9.8m） 直接连接 150 330 175 通过dlan vpn 73 50 134 数据库查询（sql server 2000，表中有记录9000多条）－单位：秒 解决方案 查询所需时间 直接连接 48 通过dlan vpn 30 　　另外，由于部分用户对速度的要求非常高，而internet带宽的发展毕竟有个时间。sinfor dlan vpn为满足这些用户的需求，特别增加了多线路捆绑的功能。用户可以申请多条internet线路，然后将多条线路的带宽进行绑定、并发使用，使得带宽成倍增加，并可实现在此基础上的qos管理。 4、性能和服务质量保证： 　　vpn产品的性能将会影响vpn所能容纳的计算机和网络容量，如最多支持的局域网内计算机数量、能同时建立的vpn隧道数量、能同时接入的vpn用户数量等等。如果vpn产品不能满足企业所需要的系统性能，则难以承载企业的业务运作；而如果采用过高的投资选择的vpn产品性能过高，也是一种资源的浪费。 　　sinfor dlan vpn的高性价比也在系统的性能特征上得到了体现。首先，dlan vpn能支持局域网内多达5000台计算机并发上网或建立远程vpn连接；其次，dlan vpn支持同时建立2000条vpn隧道、并能同时接入1024个远端vpn节点。上述系统性能基本能够满足大部分企业的需要。 　　服务质量保证也是vpn系统应该具备的功能之一。企业利用internet不仅仅是内部网络的互联，最基本的应用例如浏览网页、收发邮件等，都会通过internet出口来进行。而且，随着企业应用的日趋复杂，内部的应用也越来越多样化，如文件的共享、远程网络打印、数据库远程访问，甚至语音视频通信等等。这些应用都会占用有限的带宽。而对企业来说，最根本的还是要保障重要的业务应用能不受干扰，所以，如何在相同的物理线路上，优先保障重要的服务质量，成为了vpn产品面临的新问题。 　　sinfor dlan vpn集成了服务质量保证（qos）功能，用户可根据自身需要，为不同优先级别的应用分配不同比例的带宽，并且具备了带宽智能分配的功能。当线路空闲时，各种应用都可以自由的传输；一旦出现线路繁忙或拥塞，系统则首先确保优先级别高的应用不受干扰，保障了企业重要业务的正常开展。 5、可管理性： 　　vpn产品不同于普通的it设施，由于vpn的用处就是解决异地网络的互联互通、所以vpn产品一定会分布于不同的地域。如何对整个vpn网络进行有效的管理、维护和监控，并能自主的管理至关重要的基础网络平台，也是企业it人员非常重视的问题。 　　高端的vpn产品往往集成了对整个vpn网络的管理和维护的功能，以便于企业的it管理人员能够在公司总部、对遍布各地的vpn网络进行相应的监控和维护。由于很多企业都是在总部才配备了专业的网络管理人员，这个功能就尤其重要。 　　sinfor dlan vpn提供了整网管理和维护的工具。首先，在总部能够实时监控各分支机构的接入状况和当前状态；同时能在总部对各分支节点进行远程的配置、备份和恢复；另外还可以直接操作远程节点的计算机，实时的管理和控制。sinfor dlan vpn还具有可独立部署的日志系统，完备的记录所有的操作使用信息，便于故障的诊断和管理。 　　vpn网络作为企业的基础平台设施，是企业信息流的命脉。所以，企业必须能够完全掌控自身的vpn网络。而事实上，目前的部分vpn产品留下了一些隐患。最突出的就是对动态ip地址的支持方式。由于国内ip地址资源的匮乏，导致很多企业难以申请静态的internet ip。很多vpn产品为解决该问题，也纷纷推出了相应的解决方案。但很多解决方案的动态寻址解析都是由厂商封闭提供，没有向客户开放；也有些是依赖于其他的动态寻址方式，企业未能自己来监控和管理。如果寻址服务是由专业的运营商来提供，风险还不大，但事实上并非如此，这就使得一旦提供寻址服务的机构出现任何问题，就会使得用户的整个vpn网络瘫痪。 　　sinfor dlan vpn采用了webagent发明专利技术解决动态ip寻址问题。该技术的最大特点就是完全向客户开放，寻址模块独立运行、用户只需有自己的网站（包括虚拟主机），都可以自己提供寻址服务。为了保证稳定性，还支持以主、备双机的方式运行，实时动态切换，既解决了静态ip地址的高成本问题，也避免了寻址不透明给客户带来的风险。 6、扩展性： 　　由于it技术的发展日新月异、技术更新非常快，这就使得用户在投资任何it系统时都会考虑系统的扩展性问题。如果购买了一个趋于淘汰的系统，肯定是极大的投资失败；如果系统仅仅能满足现阶段的需求、而不能适应未来的发展，也不是一个成功的选择。 　　举个简单的例子，vpn对各种新型的internet接入方式能否同步支持，就是关系到企业vpn网络扩展的重要问题。internet的发展正在改变着所有人的生活和工作模式，当然internet自身也在不断的发展。从最早期的电话拨号（modem）、到isdn一线通；从adsl、小区宽带、到已经初步应用的xdsl；以及迅速发展的各种无线接入方式如gprs、cdma1x、wlan等等。马上又要诞生并一定会迅速发展的还有3g、ngn网络。如果vpn网络不能跟上internet的发展，很快就会使得企业的网络受到相应的限制。 　　sinfor dlan vpn是目前极少能全面支持各种internet接入方式的vpn产品，产品的体系架构设计就做到了与接入方式的全面兼容。平台的灵活性也充分得到了体现，不需要考虑新型上网方式的特殊接口。无论是基于windows平台的dlan vpn软件、还是基于sinfor-linux平台的dlan vpn一体化设备，都能方便的升级扩展，保证用户的长期投资。 7、对移动用户的支持： 　　从近期的统计数据可以看到，笔记本电脑的销售量已经超过了传统的台式电脑，这直接反映了越来越多的人开始青睐于“移动办公”的工作和生活方式。非典期间，众多的企业也采用了工作人员在家办公的方式，渡过那段非常时期。如何将越来越多的移动用户纳入公司整体网络，帮助移动用户安全、方便的访问公司资源，也是vpn网络需要解决的问题。 　　移动用户不可能带着硬件设备来接入公司vpn网络，有些低端的vpn产品解决移动用户的方式是直接调用操作系统自带的vpn功能，采用pptp虚拟拨号的方式接入总部，只有基本的用户名密码验证，安全级别非常低；另外不能同时访问内网和internet，也造成了极大的不便。好一点的vpn产品都有独立的vpn客户端软件，解决上述缺陷。 　　sinfor dlan vpn对移动用户也提供了强大的支持，并且支持“移动ip”。移动用户不但能够接入企业vpn网络，而且能够获取与在局域网内时相同的内网ip地址，并能够通过该ip地址与内部网络相互通信。这就使得移动用户不但可以访问企业网络，同时在外出时、也能够被局域网所找到，完全象在同一个局域网内一样。 　　针对移动用户的特点，sinfor dlan vpn还专门提供了usb key的身份认证方式和配置集成功能（深信服科技发明专利）。移动用户可选配dkey，作为身份认证的标识之一。需要接入总部网络时，将dkey插入计算机的usb接口之中即可。并且dkey能够携带必要的配置信息（如网络设置、用户权限等），实现了vpn的即插即用、随身携带，特别适用于公司管理层等非专业的it人员。 　　vpn的发展迎合了用户对更低成本、更高性价比的追求，已经在各行各业开始出现广泛的应用。不同规模的企业、不同的业务模式，相应的对vpn产品的要求也不尽相同。但上述几点，是用户在选择vpn产品时基本都会面临的主要问题，只有适合自身业务需求和未来发展的产品，并且整体投资适度、性价比高，才是最好的产品。 咨询电话：2811665 2812599 2835900转技术服务部