一套VPN产品通常由三个部分组成,即①VPN网关:用来实现LAN到LAN,②VPN客户端:与VPN网关共同实现客户到LAN的VPN方案。③VPN管理中心:配置与远程管理VPN网关与VPN客户端的安全策略。
在选择VPN产品时,可从这些方面考虑。
1.产品定位
首先应考察产品定位问题。与其他网络产品一致,不一样的VPN产品有不一样的定位,按从高端到低端依次为电信级、企业级、中小企业、办公室或SOHO。当然,中小企业只可选取中小企业及以下的产品。
2.支持的应用类型
VPN有LAN到LAN、客户到LAN、客户到客户三种的应用类型。这里的客户是VPN网络中的移动用户与远程用户。如今多数VPN产品都满足LAN到LAN与客户到LAN,而客户到客户的少。这点在有些环境非常重要,如企业的远程办公用户间要沟通保密信息。客户到客户的VPN方案是特别不错的解决手段。
3.支持的协议
自建VPN应根据要选择隧道协议,目前PPTP、L2TP和IPSec是较常用的协议。通常远程访问VPN选择L2TP协议居多。为了保障安全,还需选择IPSec来加密。网络互联与端到端连接选择IPSec协议较多。PPTP因其简单易用且支持NAT路由,因此在有些环境下也用。总之,IPSec是最安全的隧道协议,很多VPN产品都支持。当然更多的VPN产品开始满足PPTP与L2TP协议。
除隧道协议外,还要看VPN可承载协议、NAT及路由协议的支持情况。很多VPN产品的可承载协议除IP协议外,还满足IPX、NetBIOS等网络协议。支持NAT对一些网络共享的应用很重要,IPSec并不支持NAT,但能在VPN产品中加入这个功能。与IPSec直接冲突的是网络地址端口转换和网络地址转换。
在宽带网络中NAT与NAPT应用普遍,很多网络服务供应商都用。IPSec VPN方案若不支持NAPT,在这些环境就无意义。
4.是否集成防火墙功能
VPN加密封装IP数据包,通常会影响防火墙的性能,甚至是安全策略的定义。一般情况下,独立的VPN产品与防火墙很难协同工作,尤其是来自不同厂家的产品。选择集成防火墙功能的VPN产品最好不过。
5.产品的基本配置
VPN的基本配置参数如下:①就算是小型网络,最大连接数也不能低于100。高端产品可支持数万个。②VPN实现机制。有纯软件、纯硬件、软硬结合及专用设备等方式。③可提供的网络接口。常见的有以太网口及E1、T1等接口。④操作系统平台指VPN产品本身用的操作系统,很多产品都用专有的操作系统。
6.VPN的管理性
提供专用的VPN管理软件或平台对复杂的VPN网络很重要,可简化管理,降低了系统管理员的压力。
7.VPN的开放性和扩展性
VPN产品应有与第三方安全产品协同工作的能力,可适合多种平台。方便扩展来满足VPN网络的扩展与升级。
8.产品的其他功能
其他功能含硬件加速功能(纯硬件处理、加密卡、加速卡)、流量均衡、安全策略(安全网关、防火墙、集中管理、日志、加密)、安全机制(包过滤、加密认证、日志、审核等)、认证机制(RADIUS、数字证书)和密钥管理等。
另外,选择VPN方案与产品时,不要只从组网与安全的技术考虑,还得考虑VPN的具体用途和成本。对中小型VPN网络,实惠才是最重要的。