专家谈：采用UTM实现立体安全的VPN体系2

专家谈：采用UTM实现立体安全的VPN体系2

还是以H公司为例，为了支撑信息化生产管理系统的正常运行，该公司投资数百万，为所有分支机构和重点经销商配置了硬件IPSec VPN网关，为中小经销商和经常出差的公司员工配发了VPN软件客户端。

　　这么看来，H公司的生产管理系统应该发挥作用了吧？但事实和预期并不太一致。

　　在VPN系统开通后，问题接连不断。H公司IT管理部门为了维护VPN系统的正常运行，不得不申请了额外的IT员工编制以应对出差员工和中小经销商的VPN连接问题。同时，大量蠕虫和网络病毒从几个IT系统管理不严格的经销商网络传播至总部业务系统网络中，并在整个VPN系统内大肆传播，大大降低了业务可用性。最严重的时候，H公司甚至要断开很大一部分的VPN连接才能使生产管理系统勉强正常运行。

　　3.传统VPN解决方案存在的问题

　　为什么传统的VPN解决方案没有达到用户的预期效果？从H公司的例子我们可以看出，采用传统的IPSec VPN网关设备来构建企业的VPN系统有着几个固有的弱点：

　　第一、没有网关防病毒功能。各类蠕虫和网络病毒可以从漫游PC/分支机构/合作伙伴网络等位置通过VPN隧道传播至内网。

　　第二、没有入侵防御功能。黑客可从分支机构/合作伙伴网络中通过VPN隧道发起攻击；

　　第三、采用IPSec VPN实现漫游用户接入。IPSec VPN的漫游PC到VPN网关接入采用C/S架构的VPN客户端，缺乏灵活性；VPN客户端存在与操作系统或其他应用软件不兼容的风险；

　　第四、维护成本高。客户端配置相对复杂，随着VPN终端数的增长，运维成本线性递增。

　　可见，传统的VPN解决方案只满足了用户对于VPN业务的基本需求，也就是解决用户的连通性、数据级别的安全性和认证问题，而对于接入VPN的分支节点/漫游用户在应用级别的安全性上没有考虑。对于需要立体安全的用户来说，单纯的VPN网关是远远不够的。