bizvnn
新新人类
帖子
3
精华
0
无忧币 22
积分 12
阅读权限 20
|
发表于:2008-6-6 14:01
标题:虚拟VPN和虚拟防火墙
<上一帖 |
下一帖>
大型企业越来越需要将网络、各种应用程序以及公司数据库扩展至企业雇员、商业合作伙伴以及其它访客用户。这样的需求产生了庞大而又复杂的网络,既难以管理,又无法确保其安全。与此同时,许多管理员开始利用虚拟局域网(VLAN)技术对不同部门和团队的基础架构进行拆分。尽管VLAN技术在按功能划分这些网络方面是卓有成效的,这些公司仍需要在每个网段的前端部署单独的防火墙、VPN 和入侵防御设备才能实现综合的安全防护。这样做的代价是非常昂贵的,大大增加了日常管理工作量和成本。为了满足单个防火墙可以作为多个防火墙来用的需求,防火墙厂家推出了虚拟防火墙产品。虚拟防火墙大量被电信运营商用来提供防火墙功能给宽带企业用户。
在目前VPN大量使用的情况下,有一些市场需求是希望通过单个VPN就可以实现多个VPN的功能。例如,电信运营商希望部署一台VPN服务器就可以给宽带企业用户分别提供各自的VPN服务。高校的网络中心,通过部署一台VPN服务器,为整个学校的各个教研室和实验室提供各自独立的VPN。在社区医疗,环保监管,加盟连锁行业等,虚拟VPN正在日益得到使用。
虚拟VPN的实现有两种形式。一种是在一个高端的VPN设备上面,生产多个域。每个域作为一个独立的VPN。属于不同的单位的人,通过使用不同的域用户帐号登录该高端VPN服务器,从而可以保证同一个单位的人可以互相访问,不同单位的人不能互相访问。为了实现支持更多的用户,还可以将多台高端VPN服务器通过路由器策略集成,实现同一个域的用户,即使登录不同的VPN设备,也可以保证互联互通。
虚拟VPN的另外一种实现方式是采用端点到端点的VPN系统。该系统将用户验证,权限分配等和用户的具体网络连通分开来处理。不同用户在同一台服务器登录,得到互联互通的权限和属于自己的域里面的在线用户。在这个基础上,属于同一个域的用户可以互相访问,属于不同域的用户不能互相访问。该登录服务器可以同时支持几万在线用户,创建任意多的域,实现任意多个VPN。企业可以利用虚拟系统来为不同的业务系统进行划分,既可以通过服务和功能,也可以通过网段来对网络进行划分。因此,管理员可以为不同的网段制定不同的策略,也可以将较大的规则库拆分成多个较小的规则库,从而方便管理和更好地控制网络安全。
使用以上两种方式实现的虚拟VPN的区别在于用户的网络流量是否经过VPN服务器。前一种方式,所有用户的互相访问的网络流量都要经过VPN服务器。这样,VPN服务器可以同时支持的在线用户数就受到限制。同时,架设该VPN服务器也需要投入大量的资金用于网络带宽的费用。采用第二种方式实现的虚拟VPN,避免了用户的VPN网络流量经过一个VPN服务器的缺陷,为系统的实施,节省了大量的带宽使用费,避免由于VPN服务器带宽的不够影响全部用户的VPN的速度的问题。
第一种虚拟VPN在市场上的代表是中国电信的VPDN增值服务。第二种虚拟VPN的代表厂家是美国维恩网络公司的VNN-Enterprise。
[ 本帖最后由 特爱蚂蚁 于 2008-7-29 16:26 编辑 ]
|
网络虽虚拟,技术无边界,来看看大家“真面目”! |
|
| 诚征版主 | 版主堂 | 意见建议 | 大史记 | 论坛地图