| 出版日期:2004-11-29 总期号:1368 本年期号:89 |
|
 |
慎用IPsec VPN
朱茜 IPSec VPN是既有效又省钱的远程接入和WAN技术 但部署和实施 IP VPN一定要根据实际情况进行良好的规划 否则有一些表面上看不到的问题,可能会给使用者带来经济上的损失 一家商业顾问公司正准备放弃使用部署在家庭办公室中的 IPSec VPN 设备。尽管这些设备起到了一定的作用,通过利用不同的端口将公司计算机与家庭计算机隔开,但这一安排仍有漏洞,也就是说,公司员工的家庭成员仍然能够使用公司的 VPN。为了避免风险,该公司更改了技术应用方案,在员工的PC上安装了IPSec 客户机软件,只有安装该软件的家庭PC才能使用公司的VPN。从整体看来,采用VPN降低了成本,特别是用站点对站点VPN替代了传统的WAN链接之后更是如此。出现基于Internet的VPN之后,成本更是急剧下降。算起来好像是成本降低了,但要记住的是,VPN也有许多代价高昂的陷阱。 Lancet Technology 是波士顿的一家医疗软件公司,曾经使用IPSec VPN客户端与业务伙伴建立VPN连接。但这些客户端配置起来相当棘手,而业务伙伴则通常没有任何使用经验。而且VPN需要重新配置防火墙以便VPN流量可以通过,所以Lancet公司要花大量的时间对业务伙伴进行电话支援。 这搞得Lancet公司很头痛,首先,他们必须花很多时间来与业务伙伴协商VPN的配置。最大的问题在于,防火墙的重新配置与两个公司的联合策略背道而驰。由于是Lancet公司的提议,所以连接业务伙伴的现有VPN也花费了Lancet的大量宝贵时间,导致公司成本不断上升。希望使用同一客户端的使用者在遇到麻烦时打电话给Lancet,然后Lancet又打电话给VPN厂商的技术支持部门,最后花掉了6个小时才解决问题,时间就这样浪费掉了。最后Lancet转而使用管理良好的SSL VPN远程接入服务,这样既不需要客户端,也不需要重新配置防火墙。 夏威夷的一家度假中心的经理们在旅行时需要远程接入,公司过去使用IPSec VPN来进行远程接入。一开始,检查点的安全远程客户端安装在公司的便携式计算机上,大部分时间工作正常,但在酒店和业务伙伴所在的站点时遇到了无法通过防火墙的问题,于是要打电话请求技术支援。 公司决定尝试使用SSL远程接入,原因是它不需要特殊的防火墙配置。尽管公司购买了VPN设备,但想要配置好这些设备太困难了,软件升级甚至让厂商直接提供配置好的设备都不能解决问题。 在努力了9个月之后,公司放弃了IPSec VPN并转而购买易于设置的SSL网关。虽然它的功能可能没有其它SSL设备的功能全面,但足以满足公司的需要。公司的IT主管表示,IPSec用起来太麻烦了,很多问题都无法解决,一再需要厂商的技术支持。 如果消费者购买了VPN设备,维护工作就会大大增加,他们可能要花费大量的时间来不停地安装更新和补丁,为了保险起见,甚至可能需要先测试这些更新的软件。 IPSec VPN 设备还会产生额外费用。为了保护VPN的安全,可能需要通过数字证书来认证用户,于是又要花时间来培训用户有关数字证书的管理和部署方面的知识。 一家心理保健中心的网络管理员表示,即使IPSec VPN成功运行,仍然不能达到预期的节省成本的目的。他将四个分部与总部之间的 IPSec VPN换成了点对点 T1线路。使用交换机所节省下来的钱完全足够为五个没有互相连接的办公室提供基于ISDN的DSL线路。并且,这种连接方法使得每个办公室有自己的Internet接入服务,这意味着Internet流量不再汇集到主站点的Internet连接。因此设备的下载速度更快,性能更高,利用率也提高了许多。通过使用 768kbps DSL线路,产品价格下降,带宽反而增加到1024kbps。权衡之下,他放弃使用IPSec VPN。这样一来安全性就没有以前高了,但鱼和熊掌有时候需要权衡利弊来进行。 |
||||||||||||||||||||||
