将远程站点连接的3种模式综述 基于客户端的VPN软件 具有IPSec功能的第三方防火墙/路由器 单一制造商方案 前言 要通过Internet来连接分散的中小型企业,这无疑向企业家及其星罗棋布的办公室提出了独一无二的挑战。本白皮书描述了连接远程工作员工和办公室的3种模式:基于客户端的VPN软件,多个制造商混合的点对点VPN方案,以及使用集成防火墙的单一制造商方案。本文对每种模式的优点和缺点都进行了探讨。 若管理得当,Internet能极大地提高工作效率,使员工能在最便捷的地方工作--不管他们身处世界各地,还是在同一城市。其实,要建立分布式网络有不少方法。而其中最好的方法就是建立一个集成的体系结构,它不仅能实现安全的远程安装、管理和故障诊断,而且能够正确贯彻你的公司安全策略--所有这些能长期帮助你节省时间和金钱,为你带来可观的投资回报。 将远程站点连接的3种模式综述 防火墙的初始概念非常简单--通过限制访问来保护局域网和Internet之间的"边界"。但是,随着人们对Internet的依赖越来越大,与Internet连接的电脑所面临的安全威胁日益严峻。 中小型公司通常不具备实现企业级网络安全性所需的充足资源,所以在这些威胁面前显得尤其脆弱。如果你在网络中增添了远程办公室和远程工作人员工作站,未经许可进入小企业网络的可能性还会显著增加。 为了限制破坏,防火墙的保护范围必须扩展到网络上的所有用户--包括直接受防火墙保护的用户(比如在总部上班的人)以及防火墙外部的用户(远程工作人员)。 "虚拟专用网络"(Virtual private network,VPN)方案尤其引人注目,因为它们能提供一个私有的、像专用租线网络一样的安全性,同时不必支付现实中拥有这种网络所需的价格。 VPN使用加密技术将数据搅乱,使其在通过Internet传输的时候处于不可识别状态,从而在公用网络上提供了保密性。与远程办公室或远程工作人员联网的公司通常都使用VPN来连接多个办公点。 下表展示了连接一个远程站点和公司总部网络的3种模式,并描述了每种模式的主要优点和缺点: 模式 优点 缺点 基于客户端的VPN软件(Mobile User VPN或MUVPN) 价格便宜;可以在允许隧道传输的任何地方使用。 不支持远程管理或日志记录;远程系统必须单独保护。 多个制造商混合的点到点VPN方案(具有IPSec功能的路由器) 初始投入并不多;可以运用“手头上”的任何东西。许多具备IPSec功能的路由器都具备防火墙的部分功能。 配置和管理的成本高;需要手动设置隧道;日志格式并不通用;诊断问题时,需要整合两个不同的数据集。 集成了防火墙的单一制造商方案 管理费用低廉;集成日志记录、报告和故障诊断功能(采用通用日志格式和计时);统一管理界面/模式;通常提供了额外的功能,比如内容过滤。 初始投入较大,制造商的产品也许不是在全世界都买得到。 表1. 连接远程站点和公司总部网络的3种模式 选择一种VPN方案时要注意的问题 为了理解拥有和运行一个VPN端点所涉及的全部成本和各种可能性,你需要认真考虑使用它时的方方面面。如果不这样做,最终可能会导致你投入远超于计划的时间、精力和金钱。在决定选择哪一种VPN方案来连接你的远程办公室和网络前,请回答以下几个问题: 策略控制:谁在隧道的另一端?你放心让他们访问你的整个受托网络吗?还是,你需要限制他们的访问? 故障诊断:如果远程端出现故障,排除故障的难度有多大? 日志记录:终端为防火墙/VPN网关提供了通用日志格式吗?如果没有,那么日志怎么同步? 通信分隔:如果VPN端是在某人家里,那么他们能将公司通信与家庭通信分隔开吗? 身份验证:你怎样知道隧道上传输的数据是来自员工,而不是来自他的黑客朋友呢? 总体拥有成本(TCO):就本文来说,TCO应包括采购费用(初始购买价格有多高?),部署费用(你的方案在安装时,能否无需在终端安排IPSec专家?),以及维护费用(你的方案支持远程管理吗?软件如何更新?)。 1 2 3 4 下一页>>
将远程站点连接的3种模式综述 基于客户端的VPN软件 具有IPSec功能的第三方防火墙/路由器 单一制造商方案 前言 要通过Internet来连接分散的中小型企业,这无疑向企业家及其星罗棋布的办公室提出了独一无二的挑战。本白皮书描述了连接远程工作员工和办公室的3种模式:基于客户端的VPN软件,多个制造商混合的点对点VPN方案,以及使用集成防火墙的单一制造商方案。本文对每种模式的优点和缺点都进行了探讨。 若管理得当,Internet能极大地提高工作效率,使员工能在最便捷的地方工作--不管他们身处世界各地,还是在同一城市。其实,要建立分布式网络有不少方法。而其中最好的方法就是建立一个集成的体系结构,它不仅能实现安全的远程安装、管理和故障诊断,而且能够正确贯彻你的公司安全策略--所有这些能长期帮助你节省时间和金钱,为你带来可观的投资回报。 将远程站点连接的3种模式综述 防火墙的初始概念非常简单--通过限制访问来保护局域网和Internet之间的"边界"。但是,随着人们对Internet的依赖越来越大,与Internet连接的电脑所面临的安全威胁日益严峻。 中小型公司通常不具备实现企业级网络安全性所需的充足资源,所以在这些威胁面前显得尤其脆弱。如果你在网络中增添了远程办公室和远程工作人员工作站,未经许可进入小企业网络的可能性还会显著增加。 为了限制破坏,防火墙的保护范围必须扩展到网络上的所有用户--包括直接受防火墙保护的用户(比如在总部上班的人)以及防火墙外部的用户(远程工作人员)。 "虚拟专用网络"(Virtual private network,VPN)方案尤其引人注目,因为它们能提供一个私有的、像专用租线网络一样的安全性,同时不必支付现实中拥有这种网络所需的价格。 VPN使用加密技术将数据搅乱,使其在通过Internet传输的时候处于不可识别状态,从而在公用网络上提供了保密性。与远程办公室或远程工作人员联网的公司通常都使用VPN来连接多个办公点。 下表展示了连接一个远程站点和公司总部网络的3种模式,并描述了每种模式的主要优点和缺点: 模式 优点 缺点 基于客户端的VPN软件(Mobile User VPN或MUVPN) 价格便宜;可以在允许隧道传输的任何地方使用。 不支持远程管理或日志记录;远程系统必须单独保护。 多个制造商混合的点到点VPN方案(具有IPSec功能的路由器) 初始投入并不多;可以运用“手头上”的任何东西。许多具备IPSec功能的路由器都具备防火墙的部分功能。 配置和管理的成本高;需要手动设置隧道;日志格式并不通用;诊断问题时,需要整合两个不同的数据集。 集成了防火墙的单一制造商方案 管理费用低廉;集成日志记录、报告和故障诊断功能(采用通用日志格式和计时);统一管理界面/模式;通常提供了额外的功能,比如内容过滤。 初始投入较大,制造商的产品也许不是在全世界都买得到。 表1. 连接远程站点和公司总部网络的3种模式 选择一种VPN方案时要注意的问题 为了理解拥有和运行一个VPN端点所涉及的全部成本和各种可能性,你需要认真考虑使用它时的方方面面。如果不这样做,最终可能会导致你投入远超于计划的时间、精力和金钱。在决定选择哪一种VPN方案来连接你的远程办公室和网络前,请回答以下几个问题: 策略控制:谁在隧道的另一端?你放心让他们访问你的整个受托网络吗?还是,你需要限制他们的访问? 故障诊断:如果远程端出现故障,排除故障的难度有多大? 日志记录:终端为防火墙/VPN网关提供了通用日志格式吗?如果没有,那么日志怎么同步? 通信分隔:如果VPN端是在某人家里,那么他们能将公司通信与家庭通信分隔开吗? 身份验证:你怎样知道隧道上传输的数据是来自员工,而不是来自他的黑客朋友呢? 总体拥有成本(TCO):就本文来说,TCO应包括采购费用(初始购买价格有多高?),部署费用(你的方案在安装时,能否无需在终端安排IPSec专家?),以及维护费用(你的方案支持远程管理吗?软件如何更新?)。
模式
优点
缺点
基于客户端的VPN软件(Mobile User VPN或MUVPN)
价格便宜;可以在允许隧道传输的任何地方使用。
不支持远程管理或日志记录;远程系统必须单独保护。
多个制造商混合的点到点VPN方案(具有IPSec功能的路由器)
初始投入并不多;可以运用“手头上”的任何东西。许多具备IPSec功能的路由器都具备防火墙的部分功能。
配置和管理的成本高;需要手动设置隧道;日志格式并不通用;诊断问题时,需要整合两个不同的数据集。
集成了防火墙的单一制造商方案
管理费用低廉;集成日志记录、报告和故障诊断功能(采用通用日志格式和计时);统一管理界面/模式;通常提供了额外的功能,比如内容过滤。
初始投入较大,制造商的产品也许不是在全世界都买得到。
1 2 3 4 下一页>>
阿拉木斯:互联网进入木马经济 挑战网络法制
游云庭:法网恢恢 熊猫烧香案暴露的法律漏洞
