采用UTM实现立体安全的VPN体系
2008-12-11  作者:IT专家王 陈胜权 

  随着整个信息产业的逐步前进,VPN技术的逐步成熟,VPN模块已经成为各种网关产品的标准配置。UTM产品的VPN功能比传统的IPSecVPN网关、防火墙或路由器有了较大的增强。

  1.为什么用户需要VPN技术?

  为什么用户需要VPN技术?要想回答这个问题,让我们先从一个用户的实际需求来谈起。

  H公司是一家大型汽车制造商,零部件供应商、经销商及生产基地遍布全国各地。为了进一步提升整体竞争力,H公司按照“精细化生产”及“零库存生产”的要求,建设了一套先进的信息化生产管理系统。这套生产控制系统可以实时分析与生产、销售有关的所有数据,通过对数据的分析,给出原材料采购、生产节奏、生产型号分布等结果,指导企业进行生产、采购和销售。为了保证该系统正常运行,必须实时获取全国各地各级经销商的进、销、存数据及各个分厂、零部件厂的生产、库存数据。

  很明显,这些进、销、存数据对于任何公司而言都是最核心的财务秘密,那么,如何确保这些数据安全的从各级经销商、各分厂和零部件厂传递到H公司总部呢?对于这样的需求,在互联网尚未发展起来之前,用户只能去找电信运营商租用昂贵的专用链路,比如租用64K带宽的DDN或者2M的SDH传输通道,租用成本极高。

  随着互联网的飞速发展,人们发现,如果能利用无处不在的互联网来传递高价值的信息,会大大降低IT系统运营成本。这就是VPN技术最初的用户需求:在低成本的公众网络上加密传输高价值的、无法被恶意窃取的信息,从而提高生产效率,降低信息传递成本,并最终提升企业或组织的综合竞争力。

  2.传统的VPN解决方案

  在基于互联网的VPN系统的应用早期,用户必须通过部署专门的VPN网关设备来构建企业VPN体系,以满足远端分支机构、漫游用户及合作伙伴的VPN接入需求。但这种传统的VPN网关只支持单独的IPSecVPN功能,且无法支持应用层安全如防病毒、入侵防御等安全功能。

  还是以H公司为例,为了支撑信息化生产管理系统的正常运行,该公司投资数百万,为所有分支机构和重点经销商配置了硬件IPSecVPN网关,为中小经销商和经常出差的公司员工配发了VPN软件客户端。这么看来,H公司的生产管理系统应该发挥作用了吧?但事实和预期并不太一致。

  在VPN系统开通后,问题接连不断。H公司IT管理部门为了维护VPN系统的正常运行,不得不申请了额外的IT员工编制以应对出差员工和中小经销商的VPN连接问题。同时,大量蠕虫和网络病毒从几个IT系统管理不严格的经销商网络传播至总部业务系统网络中,并在整个VPN系统内大肆传播,大大降低了业务可用性。最严重的时候,H公司甚至要断开很大一部分的VPN连接才能使生产管理系统勉强正常运行。

  3.传统VPN解决方案存在的问题

  为什么传统的VPN解决方案没有达到用户的预期效果?从H公司的例子我们可以看出,采用传统的IPSecVPN网关设备来构建企业的VPN系统有着几个固有的弱点:

  第一,没有网关防病毒功能。各类蠕虫和网络病毒可以从漫游PC/分支机构/合作伙伴网络等位置通过VPN隧道传播至内网。

  第二,没有入侵防御功能。黑客可从分支机构/合作伙伴网络中通过VPN隧道发起攻击;

  第三,采用IPSecVPN实现漫游用户接入。IPSecVPN的漫游PC到VPN网关接入采用C/S架构的VPN客户端,缺乏灵活性;VPN客户端存在与操作系统或其他应用软件不兼容的风险;

  第四,维护成本高。客户端配置相对复杂,随着VPN终端数的增长,运维成本线性递增。

 

  可见,传统的VPN解决方案只满足了用户对于VPN业务的基本需求,也就是解决用户的连通性、数据级别的安全性和认证问题,而对于接入VPN的分支节点/漫游用户在应用级别的安全性上没有考虑。对于需要立体安全的用户来说,单纯的VPN网关是远远不够的。

  但是,如果单纯采用其它设备弥补上述安全缺陷又不是那么容易。VPN隧道中的所有数据本身经过了严格加密,如果直接在VPN传送的路径上部署入侵防御系统、网络防病毒系统等应用层安全设备,由于无法将数据从报文中解密,因此无法起到应有作用。而如果在VPN网关之后叠加部署多个安全设备,会对用户的管理维护带来进一步的压力,同时大大提高整体的建设成本。

  有没有一种VPN方案能够让用户解决上述安全性、维护成本和采购成本方面的问题呢?答案是肯定的,那就是采用统一威胁管理(UTM)设备构建企业的VPN体系。

  4.采用UTM构建VPN

  随着整个信息产业的逐步前进,VPN技术的逐步成熟,VPN模块已经成为各种网关产品的标准配置。作为安全网关功能集大成者的UTM自然也不能例外,作为传统安全网关的终结者,UTM产品的VPN功能比传统的IPSecVPN网关、防火墙或路由器有了较大的增强。采用UTM构建VPN体系的优势主要包括:

  UTM支持对VPN隧道内数据进行病毒过滤及入侵防御

  UTM作为VPN网关,本身就要负责数据的加密/解密工作,因此,如果采用UTM作为VPN网关设备,就可以实现对VPN隧道中数据的应用层扫描,并在这个基础上实现病毒过滤、入侵防御及其它应用层安全功能。

  例如,对于H公司而言,如果采用UTM来构建其VPN体系,那么通过UTM的网管防病毒功能和入侵防御功能,可以大大降低病毒和木马在VPN网络中的传播,并阻断来自分支机构或合作伙伴网络的恶意攻击。

  UTM同时支持IPSecVPN和SSLVPN

  IPSecVPN在使用及部署中存在一些固有的体系问题,比如需要客户端软件、维护压力大、存在穿越NAT/防火墙问题、存在系统兼容性问题等。而这些问题恰好是SSLVPN可以很好解决的问题。

  SSLVPN最开始是作为单独的网关形态出现,但人们很快发现,如果将SSLVPN与UTM设备结合起来,会给用户带来比单纯的SSLVPN网关更大的客户价值(主要体现在应用层安全上)。因此,SSLVPN已成为UTM产品的标准功能模块。

  如果H公司采用UTM设备来构建其VPN体系,那分支机构、合作伙伴、分厂等机构通过IPSecVPN接入到总部,而出差用户则通过SSLVPN接入到总部。两种VPN同时应用,可以取长补短,大幅降低整体的运维成本。

  大幅降低采购成本和维护成本

  采用UTM构建VPN系统,用户不仅立刻节省了原本的防病毒网关、入侵防御系统等采购成本,而且可大大节省设备后期运维成本。IT管理人员无需学习并维护多套不同类型的硬件系统,而只需对一台设备进行操作和配置。

  可见,采用UTM产品构建VPN体系,能够解决传统的VPN解决方案中的不足,在保证用户业务系统的连通性、可用性的前提下,通过入侵防御/防病毒等功能模块进一步提升系统的安全性,使VPN的价值——提高生产效率和竞争力——得以真正体现。