专家谈：采用UTM实现立体安全的VPN体系3

专家谈：采用UTM实现立体安全的VPN体系3

但是，如果单纯采用其它设备弥补上述安全缺陷又不是那么容易。VPN隧道中的所有数据本身经过了严格加密，如果直接在VPN传送的路径上部署入侵防御系统、网络防病毒系统等应用层安全设备，由于无法将数据从报文中解密，因此无法起到应有作用。而如果在VPN网关之后叠加部署多个安全设备，会对用户的管理维护带来进一步的压力，同时大大提高整体的建设成本。

　　有没有一种VPN方案能够让用户解决上述安全性、维护成本和采购成本方面的问题呢？答案是肯定的，那就是采用统一威胁管理（UTM）设备构建企业的VPN体系。

　　4.采用UTM构建VPN

　　随着整个信息产业的逐步前进，VPN技术的逐步成熟，VPN模块已经成为各种网关产品的标准配置。作为安全网关功能集大成者的UTM自然也不能例外，作为传统安全网关的终结者，UTM产品的VPN功能比传统的IPSec VPN网关、防火墙或路由器有了较大的增强。采用UTM构建VPN体系的优势主要包括：

　　UTM支持对VPN隧道内数据进行病毒过滤及入侵防御

　　UTM作为VPN网关，本身就要负责数据的加密/解密工作，因此，如果采用UTM作为VPN网关设备，就可以实现对VPN隧道中数据的应用层扫描，并在这个基础上实现病毒过滤、入侵防御及其它应用层安全功能。

　　例如，对于H公司而言，如果采用UTM来构建其VPN体系，那么通过UTM的网管防病毒功能和入侵防御功能，可以大大降低病毒和木马在VPN网络中的传播，并阻断来自分支机构或合作伙伴网络的恶意攻击。

　　UTM同时支持IPSec VPN和SSL VPN

　　IPSec VPN在使用及部署中存在一些固有的体系问题，比如需要客户端软件、维护压力大、存在穿越NAT/防火墙问题、存在系统兼容性问题等。而这些问题恰好是SSL VPN可以很好解决的问题。

　　SSL VPN最开始是作为单独的网关形态出现，但人们很快发现，如果将SSL VPN与UTM设备结合起来，会给用户带来比单纯的SSL VPN网关更大的客户价值（主要体现在应用层安全上）。因此，SSL VPN已成为UTM产品的标准功能模块。

　　如果H公司采用UTM设备来构建其VPN体系，那分支机构、合作伙伴、分厂等机构通过IPSec VPN接入到总部，而出差用户则通过SSL VPN接入到总部。两种VPN同时应用，可以取长补短，大幅降低整体的运维成本。

　　大幅降低采购成本和维护成本

　　采用UTM构建VPN系统，用户不仅立刻节省了原本的防病毒网关、入侵防御系统等采购成本，而且可大大节省设备后期运维成本。IT管理人员无需学习并维护多套不同类型的硬件系统，而只需对一台设备进行操作和配置。

　　可见，采用UTM产品构建VPN体系，能够解决传统的VPN解决方案中的不足，在保证用户业务系统的连通性、可用性的前提下，通过入侵防御/防病毒等功能模块进一步提升系统的安全性，使VPN的价值得以真正体现。