專家談：采用UTM實現(xiàn)立體安全的VPN體系

1.為什么用戶需要VPN技術？
    為什么用戶需要VPN技術？要想回答這個問題，讓我們先從一個用戶的實際需求來談起。
    H公司是一家大型汽車制造商，零部件供應商、經(jīng)銷商及生產基地遍布全國各地。為了進一步提升整體競爭力，H公司按照“精細化生產”及“零庫存生產”的要求，建設了一套先進的信息化生產管理系統(tǒng)。這套生產控制系統(tǒng)可以實時分析與生產、銷售有關的所有數(shù)據(jù)，通過對數(shù)據(jù)的分析，給出原材料采購、生產節(jié)奏、生產型號分布等結果，指導企業(yè)進行生產、采購和銷售。為了保證該系統(tǒng)正常運行，必須實時獲取全國各地各級經(jīng)銷商的進、銷、存數(shù)據(jù)及各個分廠、零部件廠的生產、庫存數(shù)據(jù)。
    很明顯，這些進、銷、存數(shù)據(jù)對于任何公司而言都是最核心的財務秘密，那么，如何確保這些數(shù)據(jù)安全的從各級經(jīng)銷商、各分廠和零部件廠傳遞到H公司總部呢？對于這樣的需求，在互聯(lián)網(wǎng)尚未發(fā)展起來之前，用戶只能去找電信運營商租用昂貴的專用鏈路，比如租用64K帶寬的DDN或者2M的SDH傳輸通道，租用成本極高。
    隨著互聯(lián)網(wǎng)的飛速發(fā)展，人們發(fā)現(xiàn)，如果能利用無處不在的互聯(lián)網(wǎng)來傳遞高價值的信息，會大大降低IT系統(tǒng)運營成本。這就是VPN技術最初的用戶需求：在低成本的公眾網(wǎng)絡上加密傳輸高價值的、無法被惡意竊取的信息，從而提高生產效率，降低信息傳遞成本，并最終提升企業(yè)或組織的綜合競爭力。
    2.傳統(tǒng)的VPN解決方案
    在基于互聯(lián)網(wǎng)的VPN系統(tǒng)的應用早期，用戶必須通過部署專門的VPN網(wǎng)關設備來構建企業(yè)VPN體系，以滿足遠端分支機構、漫游用戶及合作伙伴的VPN接入需求。但這種傳統(tǒng)的VPN網(wǎng)關只支持單獨的IPSec VPN功能，且無法支持應用層安全如防病毒、入侵防御等安全功能。
    還是以H公司為例，為了支撐信息化生產管理系統(tǒng)的正常運行，該公司投資數(shù)百萬，為所有分支機構和重點經(jīng)銷商配置了硬件IPSec VPN網(wǎng)關，為中小經(jīng)銷商和經(jīng)常出差的公司員工配發(fā)了VPN軟件客戶端。
    這么看來，H公司的生產管理系統(tǒng)應該發(fā)揮作用了吧？但事實和預期并不太一致。
    在VPN系統(tǒng)開通后，問題接連不斷。H公司IT管理部門為了維護VPN系統(tǒng)的正常運行，不得不申請了額外的IT員工編制以應對出差員工和中小經(jīng)銷商的VPN連接問題。同時，大量蠕蟲和網(wǎng)絡病毒從幾個IT系統(tǒng)管理不嚴格的經(jīng)銷商網(wǎng)絡傳播至總部業(yè)務系統(tǒng)網(wǎng)絡中，并在整個VPN系統(tǒng)內大肆傳播，大大降低了業(yè)務可用性。最嚴重的時候，H公司甚至要斷開很大一部分的VPN連接才能使生產管理系統(tǒng)勉強正常運行。
    3.傳統(tǒng)VPN解決方案存在的問題
    為什么傳統(tǒng)的VPN解決方案沒有達到用戶的預期效果？從H公司的例子我們可以看出，采用傳統(tǒng)的IPSec VPN網(wǎng)關設備來構建企業(yè)的VPN系統(tǒng)有著幾個固有的弱點：
    第一、沒有網(wǎng)關防病毒功能。各類蠕蟲和網(wǎng)絡病毒可以從漫游PC/分支機構/合作伙伴網(wǎng)絡等位置通過VPN隧道傳播至內網(wǎng)。
    第二、沒有入侵防御功能。黑客可從分支機構/合作伙伴網(wǎng)絡中通過VPN隧道發(fā)起攻擊；
    第三、采用IPSec VPN實現(xiàn)漫游用戶接入。IPSec VPN的漫游PC到VPN網(wǎng)關接入采用C/S架構的VPN客戶端，缺乏靈活性；VPN客戶端存在與操作系統(tǒng)或其他應用軟件不兼容的風險；
    第四、維護成本高?？蛻舳伺渲孟鄬碗s，隨著VPN終端數(shù)的增長，運維成本線性遞增。
    可見，傳統(tǒng)的VPN解決方案只滿足了用戶對于VPN業(yè)務的基本需求，也就是解決用戶的連通性、數(shù)據(jù)級別的安全性和認證問題，而對于接入VPN的分支節(jié)點/漫游用戶在應用級別的安全性上沒有考慮。對于需要立體安全的用戶來說，單純的VPN網(wǎng)關是遠遠不夠的。
    但是，如果單純采用其它設備彌補上述安全缺陷又不是那么容易。VPN隧道中的所有數(shù)據(jù)本身經(jīng)過了嚴格加密，如果直接在VPN傳送的路徑上部署入侵防御系統(tǒng)、網(wǎng)絡防病毒系統(tǒng)等應用層安全設備，由于無法將數(shù)據(jù)從報文中解密，因此無法起到應有作用。而如果在VPN網(wǎng)關之后疊加部署多個安全設備，會對用戶的管理維護帶來進一步的壓力，同時大大提高整體的建設成本。
    有沒有一種VPN方案能夠讓用戶解決上述安全性、維護成本和采購成本方面的問題呢？答案是肯定的，那就是采用統(tǒng)一威脅管理（UTM）設備構建企業(yè)的VPN體系。
    4.采用UTM構建VPN
    隨著整個信息產業(yè)的逐步前進，VPN技術的逐步成熟，VPN模塊已經(jīng)成為各種網(wǎng)關產品的標準配置。作為安關功能集大成者的UTM自然也不能例外，作為傳統(tǒng)安關的終結者，UTM產品的VPN功能比傳統(tǒng)的IPSec VPN網(wǎng)關、防火墻或路由器有了較大的增強。采用UTM構建VPN體系的優(yōu)勢主要包括：
    UTM支持對VPN隧道內數(shù)據(jù)進行病毒過濾及入侵防御
    UTM作為VPN網(wǎng)關，本身就要負責數(shù)據(jù)的加密/解密工作，因此，如果采用UTM作為VPN網(wǎng)關設備，就可以實現(xiàn)對VPN隧道中數(shù)據(jù)的應用層掃描，并在這個基礎上實現(xiàn)病毒過濾、入侵防御及其它應用層安全功能。
    例如，對于H公司而言，如果采用UTM來構建其VPN體系，那么通過UTM的網(wǎng)管防病毒功能和入侵防御功能，可以大大降低病毒和木馬在VPN網(wǎng)絡中的傳播，并阻斷來自分支機構或合作伙伴網(wǎng)絡的惡意攻擊。
    UTM同時支持IPSec VPN和SSL VPN
    IPSec VPN在使用及部署中存在一些固有的體系問題，比如需要客戶端軟件、維護壓力大、存在穿越NAT/防火墻問題、存在系統(tǒng)兼容性問題等。而這些問題恰好是SSL VPN可以很好解決的問題。
    SSL VPN最開始是作為單獨的網(wǎng)關形態(tài)出現(xiàn)，但人們很快發(fā)現(xiàn)，如果將SSL VPN與UTM設備結合起來，會給用戶帶來比單純的SSL VPN網(wǎng)關更大的客戶價值（主要體現(xiàn)在應用層安全上）。因此，SSL VPN已成為UTM產品的標準功能模塊。
    如果H公司采用UTM設備來構建其VPN體系，那分支機構、合作伙伴、分廠等機構通過IPSec VPN接入到總部，而出差用戶則通過SSL VPN接入到總部。兩種VPN同時應用，可以取長補短，大幅降低整體的運維成本。
    大幅降低采購成本和維護成本
    采用UTM構建VPN系統(tǒng)，用戶不僅立刻節(jié)省了原本的防病毒網(wǎng)關、入侵防御系統(tǒng)等采購成本，而且可大大節(jié)省設備后期運維成本。IT管理人員無需學習并維護多套不同類型的硬件系統(tǒng)，而只需對一臺設備進行操作和配置。
    可見，采用UTM產品構建VPN體系，能夠解決傳統(tǒng)的VPN解決方案中的不足，在保證用戶業(yè)務系統(tǒng)的連通性、可用性的前提下，通過入侵防御/防病毒等功能模塊進一步提升系統(tǒng)的安全性，使VPN的價值得以真正體現(xiàn)。