VPN:高性價比實現分部與總部互聯

領測軟件測試網

　　 
　　【編者按】
　　某公司總部設在深圳，分別在廣州、成都、上海設有分支機構及辦事處，每月的DDN租金及電話費是一筆不小的負擔，采用sinfor網網通VPN后，公司拆除了昂貴的DDN專線，實現總部與分部的高性價比互聯...
　　
　　公司簡介

　　深信服科技成立于2000年，正值寬帶網絡、企業信息化高速發展，用戶的需求促進了VPN的誕生和高速成長。深信服科技自成立以來，一直專注于開發自主知識產權的“Sinfor網網通”系列VPN產品、并取得了多項發明專利，產品已廣泛應用于500多家企事業單位及政府機構，連接著國內外數千個網絡。
　　
　　應用案例
　　某公司總部設在深圳，分別在廣州、成都、上海等地設有分支機構及辦事處。因業務需要，深圳與廣州兩地之間一直采用64kDDN進行一個SQL數據庫的共享及文件傳輸，而其它分支機構只能采用電話、傳真或E-mail等方式與總部取得聯系，更不用說經常出差在外的各級經理與業務人員了。每月的DDN月租金及電話費是一筆不小的負擔，采用了Sinfor網網通VPN之后，公司拆除了昂貴的DDN專線，以極高的性價比實現了各分支機構、移動用戶與總部的互聯。
　　　
　　下面就以廣州、深圳兩地的互聯為例具體介紹一下Sinfor DLAN軟件實施的過程。這兩個地方均采用ADSL、服務器代理上網的方式接入Internet。當然，DLAN對于上網方式并不作限制，可以是ADSL、寬帶甚至WLAN、GRPS、CDMA等任意接入方式。
　　　
　　Sinfors DLAN主要由MDLAN（總部模塊）、SDLAN（分支模塊）和PDLAN（移動模塊）三個部分組成，其中前兩個模塊實現的是整個局域網的接入，PDLAN實現的則是單臺PC的接入。
　　　
　　安裝實施DLAN軟件，整個過程只需幾分鐘時間。
　　
　　移動用戶的接入較為簡單，這里就不做闡述了。最終的實現效果圖如下所示：
　　　
　　整個方案的實施造價只是Sinfor DLAN的軟件費用，而硬件設施則全部采用公司原有PC，另外由于拆除了之前的DDN設施，完全免除了月租費。
　　
　　產品描述：
　　信息化的發展正在改變著企業傳統的運作方式，越來越多的企業逐步依靠計算機網絡、應用系統來開展業務，同時利用Internet來開展更多的商務活動。
　　
　　稍具規模的企業都不會只有一個辦公場所，而是具有總部、分公司、辦事處、工廠等多個業務點。既然越來越多的應用了計算機和各類軟件系統來處理企業業務，如何將位于不同地點的分支機構網絡互聯互通，就成了現代的企業必須解決的問題。
　　
　　根據不同的需求、選擇適合自身業務和網絡需求的方案，并綜合考慮產品的性能、特點和整體投資，是企事業IT人員甚至高層決策的根本出發點。選擇VPN產品也存在著不同的層次，有適合大型企業的產品、有適合中等規模網絡的產品、也有適用于小企業的產品；不同層次的產品又有不同的性能、技術特點和價格。但無論哪個層次的VPN產品，由于其在Internet上構建網絡平臺的共同特征，有以下幾點是用戶在選擇VPN時都必須考慮的問題。
　　
　　1、穩定性：
　　
　　VPN是企業的基礎網絡平臺，企業的各類應用系統都將在VPN平臺上進行。所以，VPN系統的穩定性必須足夠滿足企業的業務應用需要，而不能出現經常性的網絡中斷，導致業務的中斷。一般來說，規模越大的企業、對VPN平臺的使用越頻繁，對穩定性的要求就越高。也有部分中小規模的企業，由于其對系統的依賴性非常強，所以也需要穩定的VPN網絡。
　　
　　不同的VPN產品，其穩定性也是千差萬別。但越穩定的產品、整體的成本肯定會越高，企業在選擇時也必須考慮適合自身的穩定級別。例如高端的專用VPN硬件（高端的路由器或VPN服務器），由于其采用高性能的硬件架構、專用的VPN軟件，具備非常高的穩定性；而一些低端的VPN產品、本身就采用了廉價的硬件（包括處理器、相關配件等）、往往又集成了除VPN之外的多種業務，難以保障高穩定性的要求，但成本較低。
　　
　　深信服科技的Sinfor DLAN VPN采取了軟、硬件分離的方案來適應企業對穩定性的要求。Sinfor DLAN VPN是純軟件的平臺架構，用戶可以根據自身對穩定性的需求、選擇適合的硬件設施（如相應穩定級別的PC機或服務器），作為VPN網絡的硬件平臺。軟、硬件分離的方案使得用戶可以自主的選擇適合自己的環境，整體投資相對于同檔次的專用VPN高端硬件極大的降低。和低端的VPN產品相比，又解決了由于硬件檔次過低而帶來的不穩定因素，專業的VPN軟件又帶來了更安全、更可靠、性能更出眾的VPN應用。
　　
　　Sinfor DLAN VPN運行于操作系統底層，以服務的方式啟動，穩定性和操作系統是同一個級別，經過大規模的用戶實際運行，完全可以做到長時間的穩定運行，滿足了用戶對穩定性要求高、但不希望用過于昂貴的成本購買專用VPN設備的需求。
　　
　　2、安全性：
　　
　　VPN網絡的運行基礎是Internet，所有的數據也必須經過Internet進行交換，而這些數據都是企業的私密信息、不允許為無關人員所知，同時VPN網絡是在開放的Internet平臺之上構建的虛擬網絡，也必須保證沒有獲得授權的用戶無法接入VPN網絡。
　　
　　所以，綜合考慮用戶的具體應用和需求，VPN網絡的安全性有三層含義：一是數據傳輸的安全；二是用戶接入的安全；三是對內網資源的訪問安全。
　　
　　第一個層次：數據傳輸的安全，幾乎所有的VPN產品都通過數據加密的方式來保障，這個技術已經比較成熟和公開，區別在于加密的級別和效率。目前應用比較多的加密算法有DES/3DES，DES算法由于加密級別較低、已經趨于淘汰，3DES算法加密強度高、但又對處理性能提出了較高的要求，導致處理性能較弱的低端VPN產品難以真正支持。
　　
　　Sinfor DLAN VPN采用了AES 128加密算法，具有比當前 3DES 更好的安全性和更快的速率，AES 128 的性能大約是 3DES 的3倍左右，已經為眾多國際領先的VPN廠商采用，因此，Sinfor DLAN VPN能夠在保證數據安全的同時提供了更好的性能。
　　
　　從VPN實際應用的角度考慮，第二個層次也就是用戶接入的安全是更為重要的。因為數據的傳輸安全即使出現隱患、也需要較專業的人員才能破譯，造成的也僅僅是部分信息的損失。而一旦有非法用戶成功接入，那整個企業網絡都將暴露給入侵者�，F有的高端VPN產品大部分采用的是證書交換的方式、來確保用戶的真實身份，但操作較煩瑣、需要專業的人員來實施；而低端的VPN產品由于技術所限、同時又要適應專業性不強的用戶使用，往往只進行了簡單的用戶名和密碼認證，這就留下了極大的安全隱患。
　　
　　Sinfor DLAN VPN采用了深信服科技的發明專利技術（基于硬件特征的身份認證技術）來解決用戶的接入認證問題。該技術將接入用戶的身份鑒別與計算機的硬件特性進行綁定，由于每臺計算機具備唯一的硬件身份（如網卡的MAC地址、硬盤和CPU的特征碼等），而且具有不可偽造的特性，DLAN VPN在用戶接入之前、會自動對該請求接入的計算機進行硬件特性的比對。這就保障了只有指定的計算機設備才能接入企業VPN網絡，只需在首次接入前完成人工認證，以后接入時的認證過程全部由系統自動完成，無須人工干預。通過這種技術的采用，即便接入的用戶名、密碼等賬號信息泄露也不會造成非法用戶的接入，無需使用人員有很高的計算機安全知識就能確保VPN系統的安全，大大降低用戶使用VPN的技術門檻。
　　
　　另外，Sinfor DLAN VPN還增強了對內網的安全設置，保障了第三個層次 D D內網資源訪問的安全。大部分VPN產品是一旦確認了遠程用戶的合法身份，用戶就可以不受限制的訪問全部內網資源。而實際上，大部分企業并不希望遠程用戶能不受限制的進行訪問，而是有條件的進行訪問，尤其是接入的VPN用戶并非是企業內部工作人員（如供應商、客戶、合作伙伴等）時，對VPN用戶訪問權限需要更嚴格的設定。Sinfor DLAN VPN提供了對內網訪問權限的細致設定，可以對不同的用戶分配不同的權限規則，避免內部出現的安全隱患，一個合法的VPN用戶接入總部后，他對總部資源的訪問權限能夠被限定在一個很小的范圍內，例如總部有多個應用系統（如OA、財務、HR、CRM等等），一個普通的業務人員在聯入VPN后只能訪問OA或CRM，而公司領導則可以同時訪問所有的應用系統，所有的這些權限都可以通過簡單的配置迅速完成，極大的方便了IT安全部門的管理工作。
　　
　　3、速度：
　　
　　雖然說現有的寬帶已經遠遠好于過去的窄帶網絡（如MODEM），但用戶對帶寬的要求是無止境的。另外，由于VPN網絡承載的是企業的內部應用，如文件共享、拷貝等，習慣了局域網內10M/100M速度的用戶，對速度的要求也非常高，應用的速度也會極大的影響企業的運作效率。
　　
　　VPN由于對數據進行了安全性的封裝，同時進行了加密處理，從原理上說、就會比實際的Internet接入帶寬要低。高端的VPN處理速度快，而低端的設備由于處理器性能較差極大的影響了VPN速度。
　　
　　Sinfor DLAN VPN通過兩種方式，進一步提高了VPN的速度。首先是數據流壓縮技術，Sinfor DLAN VPN內置了數據壓縮算法，對所有的傳輸數據進行壓縮之后、再傳輸，這就在無形中極大的提高了帶寬，經實際測試、很多應用情況下甚至比直接連接還要快。以下是Sinfor DLAN VPN在兩端通過ADSL連接時，進行文件拷貝和SQL數據庫查詢時的性能比較：
　　
　　另外，由于部分用戶對速度的要求非常高，而Internet帶寬的發展畢竟有個時間。Sinfor DLAN VPN為滿足這些用戶的需求，特別增加了多線路捆綁的功能。用戶可以申請

文章來源于領測軟件測試網 http://www.kjueaiud.com/