專家談：採用UTM實現立體安全的VPN體系

【賽迪網-IT技術報道】

1.為什麼用戶需要VPN技術？

為什麼用戶需要VPN技術？要想回答這個問題，讓我們先從一個用戶的實際需求來談起。

H公司是一家大型汽車製造商，零部件供應商、經銷商及生產基地遍佈全國各地。為了進一步提升整體競爭力，H公司按照「精細化生產」及「零庫存生產」的要求，建設了一套先進的信息化生產管理系統。這套生產控制系統可以實時分析與生產、銷售有關的所有資料，通過對資料的分析，給出原材料採購、生產節奏、生產型號分佈等結果，指導企業進行生產、採購和銷售。為了保證該系統正常運行，必須實時獲取全國各地各級經銷商的進、銷、存資料及各個分廠、零部件廠的生產、庫存資料。

很明顯，這些進、銷、存資料對於任何公司而言都是最核心的財務秘密，那麼，如何確保這些資料安全的從各級經銷商、各分廠和零部件廠傳遞到H公司總部呢？對於這樣的需求，在互聯網尚未發展起來之前，用戶只能去找電信運營商租用昂貴的專用鏈路，比如租用64K帶寬的DDN或者2M的SDH傳輸通道，租用成本極高。

隨著互聯網的飛速發展，人們發現，如果能利用無處不在的互聯網來傳遞高價值的信息，會大大降低IT系統運營成本。這就是VPN技術最初的用戶需求：在低成本的公眾網絡上加密傳輸高價值的、無法被惡意竊取的信息，從而提高生產效率，降低信息傳遞成本，並最終提升企業或組織的綜合競爭力。

2.傳統的VPN解決方案

在基於互聯網的VPN系統的應用早期，用戶必須通過部署專門的VPN網關設備來構建企業VPN體系，以滿足遠端分支機構、漫遊用戶及合作夥伴的VPN接入需求。但這種傳統的VPN網關只支持單獨的IPSec VPN功能，且無法支持應用層安全如防病毒、入侵防禦等安全功能。

還是以H公司為例，為了支撐信息化生產管理系統的正常運行，該公司投資數百萬，為所有分支機構和重點經銷商配置了硬體IPSec VPN網關，為中小經銷商和經常出差的公司員工配發了VPN軟體客戶端。

這麼看來，H公司的生產管理系統應該發揮作用了吧？但事實和預期並不太一致。

在VPN系統開通後，問題接連不斷。H公司IT管理部門為了維護VPN系統的正常運行，不得不申請了額外的IT員工編制以應對出差員工和中小經銷商的VPN連接問題。同時，大量蠕蟲和網絡病毒從幾個IT系統管理不嚴格的經銷商網絡傳播至總部業務系統網絡中，並在整個VPN系統內大肆傳播，大大降低了業務可用性。最嚴重的時候，H公司甚至要斷開很大一部分的VPN連接才能使生產管理系統勉強正常運行。

3.傳統VPN解決方案存在的問題

為什麼傳統的VPN解決方案沒有達到用戶的預期效果？從H公司的例子我們可以看出，採用傳統的IPSec VPN網關設備來構建企業的VPN系統有著幾個固有的弱點：

第一、沒有網關防病毒功能。各類蠕蟲和網絡病毒可以從漫遊PC/分支機構/合作夥伴網絡等位置通過VPN隧道傳播至內網。

第二、沒有入侵防禦功能。黑客可從分支機構/合作夥伴網絡中通過VPN隧道發起攻擊；

第三、採用IPSec VPN實現漫遊用戶接入。IPSec VPN的漫遊PC到VPN網關接入採用C/S架構的VPN客戶端，缺乏靈活性；VPN客戶端存在與操作系統或其他應用軟體不兼容的風險；

第四、維護成本高。客戶端配置相對複雜，隨著VPN終端數的增長，運維成本線性遞增。

可見，傳統的VPN解決方案只滿足了用戶對於VPN業務的基本需求，也就是解決用戶的連通性、資料級別的安全性和認證問題，而對於接入VPN的分支節點/漫遊用戶在應用級別的安全性上沒有考慮。對於需要立體安全的用戶來說，單純的VPN網關是遠遠不夠的。

但是，如果單純採用其它設備彌補上述安全缺陷又不是那麼容易。VPN隧道中的所有資料本身經過了嚴格加密，如果直接在VPN傳送的路徑上部署入侵防禦系統、網絡防病毒系統等應用層安全設備，由於無法將資料從報文中解密，因此無法起到應有作用。而如果在VPN網關之後疊加部署多個安全設備，會對用戶的管理維護帶來進一步的壓力，同時大大提高整體的建設成本。

有沒有一種VPN方案能夠讓用戶解決上述安全性、維護成本和採購成本方面的問題呢？答案是肯定的，那就是採用統一威脅管理（UTM）設備構建企業的VPN體系。

4.採用UTM構建VPN

隨著整個信息產業的逐步前進，VPN技術的逐步成熟，VPN模塊已經成為各種網關產品的標準配置。作為安全網關功能集大成者的UTM自然也不能例外，作為傳統安全網關的終結者，UTM產品的VPN功能比傳統的IPSec VPN網關、防火牆或路由器有了較大的增強。採用UTM構建VPN體系的優勢主要包括：

UTM支持對VPN隧道內資料進行病毒過濾及入侵防禦

UTM作為VPN網關，本身就要負責資料的加密/解密工作，因此，如果採用UTM作為VPN網關設備，就可以實現對VPN隧道中資料的應用層掃瞄，並在這個基礎上實現病毒過濾、入侵防禦及其它應用層安全功能。

例如，對於H公司而言，如果採用UTM來構建其VPN體系，那麼通過UTM的網管防病毒功能和入侵防禦功能，可以大大降低病毒和木馬在VPN網絡中的傳播，並阻斷來自分支機構或合作夥伴網絡的惡意攻擊。

UTM同時支持IPSec VPN和SSL VPN

IPSec VPN在使用及部署中存在一些固有的體系問題，比如需要客戶端軟體、維護壓力大、存在穿越NAT/防火牆問題、存在系統兼容性問題等。而這些問題恰好是SSL VPN可以很好解決的問題。

SSL VPN最開始是作為單獨的網關形態出現，但人們很快發現，如果將SSL VPN與UTM設備結合起來，會給用戶帶來比單純的SSL VPN網關更大的客戶價值（主要體現在應用層安全上）。因此，SSL VPN已成為UTM產品的標準功能模塊。

如果H公司採用UTM設備來構建其VPN體系，那分支機構、合作夥伴、分廠等機構通過IPSec VPN接入到總部，而出差用戶則通過SSL VPN接入到總部。兩種VPN同時應用，可以取長補短，大幅降低整體的運維成本。

大幅降低採購成本和維護成本

採用UTM構建VPN系統，用戶不僅立刻節省了原本的防病毒網關、入侵防禦系統等採購成本，而且可大大節省設備後期運維成本。IT管理人員無需學習並維護多套不同類型的硬體系統，而只需對一台設備進行操作和配置。

可見，採用UTM產品構建VPN體系，能夠解決傳統的VPN解決方案中的不足，在保證用戶業務系統的連通性、可用性的前提下，通過入侵防禦/防病毒等功能模塊進一步提升系統的安全性，使VPN的價值－－

提高生產效率和競爭力－－得以真正體現。

(註：作者「陳勝權」現任職於啟明星辰公司。)

(