虚拟专网VPN类型与交换机产品选购指南(二)

日期: 2007-12-19 作者:佚名 来源:TechTarget中国

  二、如何选择VPN产品
  如果单位自建VPN需要选购相关的产品。 一套完整的VPN产品一般包括3个部分即① VPN网关:用于实现LAN到LAN。② VPN客户端:与VPN网关一起可实现客户到LAN的VPN方案。③ VPN管理中心:对VPN网关和VPN客户端的安全策略进行配置和远程管理。 在选择VPN产品时,我们可从以下几个方面来考虑:
  1、产品定位
  首先应考察产品定位问题。像其他网络产品一样,不同的VPN产品有不同的定位,按从高端到低端的顺序,依次为电信级、企业级、中小企业、办公室或SOHO。当然,中小企业只能选择中小企业及以下级别的产品。
  2、支持的应用类型
  VPN有3种应用类型:LAN到LAN、客户到LAN、客户到客户。这里的客户指的是VPN网络中的移动用户和远程办公用户。目前多数VPN产品都支持LAN到LAN和客户到LAN,而支持客户到客户的产品不多。这一点在有些应用场合很重要,例如企业的远程办公用户之间需要交流保密信息,客户到客户的VPN方案是一种很好的解决手段。
  3、支持的协议
  自建VPN应根据需要选择隧道协议,目前PPTP、L2TP和IPSec是比较常用的协议。一般远程访问VPN(即客户到LAN)多选择L2TP协议,为安全起见,还需选择IPSec来提供加密。网络互联(LAN到LAN)和端到端连接多选择IPSec协议。PPTP由于简单易用,而且支持NAT路由,因此在有些场合下也使用。总之,IPSec是最安全的隧道协议,多数VPN产品都支持该协议。当然越来越多的VPN产品开始支持PPTP和L2TP协议。
  除隧道协议之外,还要考察VPN可承载协议、NAT(网络地址转换)以及路由协议的支持情况。许多VPN产品的可承载协议除IP协议之外,还支持IPX、NetBIOS等网络协议。对NAT的支持对于一些网络共享的应用非常重要,IPSec本身并不支持NAT,但可在VPN产品中加进这一功能。与IPSec产生直接冲突的是网络地址端口转换(NAPT)和网络地址转换(NAT)。
  NAT和NAPT在宽带网络中应用很广,许多网络服务供应商都使用这种技术。IPSec VPN方案如果不支持NAPT,在这些场合就没有意义了。
  4、是否集成防火墙功能
  VPN将IP数据包加密封装,往往会影响防火墙的性能,甚至影响安全策略的定义。一般来说,独立的VPN产品与防火墙难以协同工作,特别是来自不同厂家的产品。最好选择集成防火墙功能的VPN产品。
  5、产品的基本配置
  VPN的基本配置参数如下:
  ① 可支持的最大连接数。即使是小型网络,最少应不低于100,高端产品能支持数万个连接。
  ② VPN实现机制。有纯软件、纯硬件、软硬结合以及专用设备等方式。
  ③ 可提供的网络接口。常见的是以太网口,还有E1、T1等接口。
  ④ 操作系统平台,指VPN产品本身所采用的操作系统,许多产品都采用专有的操作系统。
  6、VPN的管理性
  提供专用的VPN管理软件或平台对于一个复杂的VPN网络很重要,可简化管理,减轻了系统管理员的负担。
  7、VPN的开放性和扩展性
  VPN产品应提供与第三方安全产品协同工作的能力,应适应多种平台。便于扩展,以适应VPN网络的扩展和升级。
  8、产品的其他功能
  其他功能包括硬件加速功能(纯硬件处理、加密卡、加速卡)、流量均衡、安全策略(安全网关、防火墙、集中管理、日志、加密)、安全机制(包过滤、加密、认证、日志、审核等)、认证机制(RADIUS、数字证书)和密钥管理等。
  另外,在选择VPN方案和产品的时候,不要单纯从组网和安全的技术角度考虑,还要考虑VPN的具体用途和所需成本。对于中小型VPN网络来说,经济实用才是最重要的。

相关链接:虚拟专网VPN类型与交换机产品选购指南(一)     虚拟专网VPN类型与交换机产品选购指南(二)

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者

佚名
佚名

相关推荐