网络技术改变了当代社会的形态,这已经成为一个广为接受的事实。随着信息访问节点分布式程度的不断提高,固守堡垒式的安全防御对组织的经营无疑式一种限制。为了保护大量的远程访问行为,***(虚拟专用网)已经成为了信息安全技术的中坚力量。***使用互联网等公共媒介,应用多种技术提供访问控制和加密保护等服务,从而提供高度安全的网络应用环境。对于那些想成功应用***的企业而言,是否能够对***的业务要求和技术内容有透彻的理解是极其重要的。下面我们将重点讨论应用***时应重点考察的问题,并提供尽可能多的参考信息。
安全性
***的最主要用途就是保障网络通信的安全性,所以一个***解决方案是否有足够安全是我们考虑的首要问题。目前比较常见的***应用形式包括有企业内部网的连接、企业外部网的连接以及移动工作者到企业的连接。基于IPSec的***是一种基础设施性质的解决方案,可以向基于IP技术的网络提供高质量的安全保护,是最主流的***模式。而近年来随着Web应用技术的持续升温,另一种基于SSL的***模式开始呈现出与IPSec ***分庭抗礼之势。单就技术角度而论,IPSec ***的安全性要高于SSL ***。由于IPSec作用于ISO模型的第三层即网络层,所以可以对所有应用执行保护。另外,由于基于IPSec的***解决方案要求对访问设备和客户端软件进行全面的配置,用户可以制订极为完善的安全策略体系。尽管在传输链路方面IPsec ***非常安全,但是在传输两端的隐患还是会威胁到***系统的安全性。在具有较多连接的IPSec ***系统中,如果存在着安全性较低的传输端点,那么整个***系统的安全性都要受到威胁。例如,一个企业的子公司网络被***者***之后,通向总公司的***连接就为***者提供了一条访问路径,而且该路径可以直接穿透总公司的防火墙等安全设施。另外考虑到IPSec ***系统在部署和管理方面的复杂性,与SSL ***系统相比IPSec ***的安全性优势并非一种绝对优势。在企业应用中根据自己的需要选择适合的***技术才是最重要的。IPSec着力于保护点对点通信,而SSL ***更侧重于保护网络应用。相对来说IPSec ***更适合应用类型较多、系统较为复杂的环境,SSL ***在远程用户较多以及基于Web的应用领域能够更好的发挥本领。
可用性
***解决方案是否能够成功,其可用性也相当关键。***系统的用户应该可以无缝地访问各种服务和应用,除了发起请求之外,其它访问过程应该对用户保持透明。如果在使用一个***系统时必须进行很多额外的操作,那么其部署和应用很可能会以失败而告终。我们上面说过IPSec ***的复杂性要高于SSL ***,通常情况下使用SSL ***是相当便利的。实施***系统的时候,基于IPSec的解决方案要付出很多的努力。既使是部署完成之后,一旦需要进行调整,IPSec ***系统都要进行大量的工作,特别是针对较大规模的计算环境而言。尽管现在很多IPSec ***系统的供应商都在不断改进产品的易用性,但是相对于SSL ***系统来说,IPSec ***用户的负担仍然较重。由于SSL ***所依赖的SSL技术已经内置在所有的主流网络浏览器软件之中,在很多情况下可以实现“零客户端”的部署方式。而且SSL ***可以不必考虑操作系统等环境因素,实施工作量大大低于IPSec ***,在应用过程中的变更和调整也可以更容易的完成。***系统可用性的另一个问题就是系统的可靠性。通常在大规模的系统中对可靠性要求也较高,一些企业需要自己的系统全天候不间断的运行。对于自行建立系统的厂商来说,适当的应用QoS(服务质量)等措施可以顺利的获得高可用性服务。而对于通过相对不可靠的互联网做为传输环境以及依赖很多租用服务的企业来说,就应该在实施***之前获得这些供应商的SLA(服务级别协议),以确认是否能够通过这些资源建立满足可用性的***系统。
性能
选择任何信息产品的时候都不能忽视性能。一个***解决方案通常需要完成加密、解密、传输、控制等大量的工作,性能是否充足是一个相当重要的参考因素。与防火墙产品类似,硬件***设备能够提供较好的性能表现,适用于性能要求较高的场合。而软件产品的性能则很大程度上取决于所应用的硬件平台。在较大规模的应用环境中,更适合采用基于硬件的解决方案。而对于中小企业用户来说,成本更低的软件***解决方案更加能够被接受。不过需要注意,软件解决方案在灵活性上更加出众,所以这种选择方式并不能应用在所有场合。在很多情况下软硬件结合的***方案才能最好的满足用户的要求。
可扩展性
可扩展性是选择***解决方案时容易被忽略的一个问题。由于***系统必须适应带宽和应用等诸多方面的变化,所以在选择系统的时候必须考虑到未来的规划。应该尽量选择模块化的产品,以满足日益增加的用户带来的更高的服务要求。一个扩展能力较差的系统无法应对企业的业务变化,在出现新的需求之时难免要对起进行更换和升级。这时企业要付出的成本通常会大大高于购买低扩展能力系统时节省的成本。用户应该特别注重***系统进行认证和加密时所采用的方式,应该尽量选择通用的技术以保证将来的扩展和应用兼容性。
总结
目前市场上的***产品还是相当多的,大多数的产品质量也非常令人满意。***产品是一个多种技术的融合体,基于每个厂商对技术和市场的理解不同,每种产品都有其独特的构建方式。我们不应去寻求一个决定领先的解决方案,而是应该根据自己的应用环境和需求类型,选择适合自己的解决方案。
4万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
