Skip navigation
IDG.bg PC World Computerworld CIO CFO Networkworld Business How Кариерна зона
вход регистрация бюлетини

Нови перспективи с VPN

Networkworld България - брой 5, 2000 г. / Съдържание
1656 прочитания, 0

Нуждаете се от сигурен и надежден начин за връзка с отдалечени офиси и бизнес партньори. В състояние ли сте обаче да плащате месечните такси за наети линии? Защо не се възползвате от Интернет? Развитието на бизнеса е свързано с нови инвестиции. Да вземем за пример компания, която иска да открие нови офиси в страната или да осигури достъп на партньорите си до част от своята корпоративна мрежа. При тази ситуация много фирми решават да свържат всяка отдалечена точка с наета линия, което струва хиляди долари месечно. В случай, че се нуждаете от по-широка честотна лента или искате да установите връзка с други международни офиси, това допълнително ще увеличи разходите ви. Базираните на Интернет виртуални частни мрежи (Virtual Private Network) са по-добра алтернатива в тази ситуация. Днес VPN технологиите са в състояние да осигурят достатъчно висока сигурност и надеждност, както и гъвкавост при бъдещо разширяване на мрежата. В сравнение с изграждането на собствени глобални връзки (WAN), VPN предлага значително понижаване на разходите. Използването на виртуални частни мрежи обаче може да означава по-слаба производителност и големи инсталационни такси. Използване на Интернет инфраструктурата Едно от основните предимства на Интернет е нейната широка достъпност. Тя може да разпростре пипалата си почти до всяка точка на света, свързана с телефонна линия. Това, което ни предлага Web е неограничен капацитет, бърза реакция към постоянно нарастващия трафик и поддръжка на бизнес приложения посредством браузър. Освен това Интернет разполага с достатъчно вграден излишък, за да осигури стабилна преносна среда. Така например, ако един сегмент отпадне по някаква причина, пакетите ще бъдат насочени по друг маршрут. Напоследък все повече фирми заменят наетите линии, свързващи отдалечените им офиси, с локални връзки към Web. По този начин обменът на информация между отделните клонове преминава изцяло през Интернет, а намаляването на разходите е повече от очевидно. Докато за една наета линия, свързваща две достатъчно отдалечени места, трябва да платите над хиляда долара месечно, при използване на локални връзки към Интернет ще ви струва само неколкостотин долара. Комуникациите, базирани на Интернет, разбира се, имат и своите недостатъци. Те ви излагат на потенциална опасност от пробив в поверителността и сигурността на предаваната информация. Когато използвате Интернет като разширение на корпоративната си мрежа, данните се пренасят по общодостъпни пътища. Всеки, който разполага с подходящи средства, би могъл да се свърже към трасето и лесно да прихване данните ви. Именно тук виртуалните частни мрежи доказват своите възможности. Те гарантират Web трафик, толкова защитен, колкото този по локална мрежа. Как работи VPN? Във всеки край на връзката между вътрешната мрежа и Интернет се намира VPN устройство (box). За предаването на информация виртуалните частни мрежи използват процес, наречен "тунелиране". При този метод през Интернет се създава логически канал, който свързва двете крайни точки. В предаващата страна изпращаните данни се "скриват" за останалите потребители в Интернет и са видими само за приемащата страна. За постигането на допълнителна защита на данните, преди пренасянето им през тунела, те се криптират. Протоколите за криптиране се различават в зависимост от това какви тунелни протоколи се поддържат от съответното VPN решение. IPsec предлага най-широк набор от стандарти за криптиране на данни, като DES (Data Encryption Standard) и triple DES. Друга важна характеристика на VPN решенията е наборът от протоколи за автентификация, които те поддържат. Повечето продукти използват стандарти за публични ключове като X.509 и Certificate Authorities. Това означава, че може да изберете подходящия за вашата организация метод на автентификация, който да гарантира достъп до тунела само на онези потребители, които имат това право. Защитни стени Една често срещана практика за повишаване на сигурността е съвместяването на VPN със защитна стена (firewall). Това се налага, тъй като виртуалната частна мрежа се грижи само да защити данните при предаването им през Интернет, но не може да предпази локалната мрежа от неправомерен външен достъп. Първоначално защитните стени представляваха софтуерни програми, инсталирани върху конвенционални Intel или Solaris системи на Sun Microsystems. Този подход обаче създаде големи главоболия на администраторите, които трябваше да откриват и да се борят с пропуски в сигурността на базовата операционна система. Впоследствие производителите разработиха специални устройства, които функционират само като защитни стени. Обикновено те работят върху Linux ядро с повишени защитни функции или използват собствена ОС, разработка на производителя. С това отпада необходимостта от гарантиране сигурността на базовата операционна система. Този тип решения се наричат защитни стени от второ поколение. Друг подход при изграждането на защитни стени са хардуерните решения на базата на ASIC, известни като защитни стени от трето поколение. ASIC (Application Specific Integrated Circuit) е чип, който е специално проектиран и оптимизиран за изпълнението на определена задача. При това решение криптирането и прилагането на политиката за сигурност са поверени на едан интегрална схема. В резултат на нарастване популярността на виртуалните частни мрежи, напоследък производителите предлагат цялостни решения, съчетаващи в едно защитна стена и VPN продукт. С добавянето на VPN компонент се увеличава натоварването на системата поради криптиране на данните. Това води до намаляване на производителността, а оттам и до забавяне на Web трафика. В този смисъл комбинираните устройства невинаги са най-доброто решение за някои специфични среди. Например за фирми, разчитащи основно на приходи от Web трафик и същевременно използващи VPN за връзка с отдалечените си клонове. VPN решения Съществуват два основни типа VPN решения - софтуерни и хардуерни. Софтуерната виртуална мрежа по същество представлява надстройка на операционната система - shrink-wrapped приложение, което се инсталира върху машина от мрежата. От гледна точка на сигурността и производителността се препоръчва във всеки край на връзката да се задели по една машина, чието предназначение е да работи само като VPN устройство. Понастоящем фирми като Axent Technologies, Check Point Software Technologies и NetGuard предлагат VPN пакети. Тези продукти лесно се съвместяват със софтуерни защитни стени и поддържат Windows NT/2000, Solaris и Linux платформи. Базираните на софтуер виртуални мрежи по принцип са по-трудни за изпълнение от хардуерните решения, тъй като при тях трябва да изградите свое собствено VPN устройство. Това означава да конфигурирате операционната система на сървъра, VPN продукта, всички мрежови и криптиращи карти. Това е задача, която би затруднила дори и по-опитните специалисти от вашата фирма. От друга страна обаче, тези решения са сравнително по-евтини. В зависимост от размерите на вашата мрежа изграждането на софтуерен VPN струва от $2000 до $25 хил., без да се включва цената на необходимото хардуерно оборудване и времето за конфигуриране и поддръжка на тази мрежа. За разлика от софтуерните, хардуерните решения включват всичко необходимо за цялостното изграждане на връзката - компютър, собствена ОС и VPN софтуер. Фирми като Cisco Systems, NetScreen и Sonic предлагат широк набор продукти, които посрещнат различни изисквания по отношение броя на връзките и очаквания трафик. Хардуерните решения обикновено са по-лесни за инсталация. Това са цялостно завършени продукти, отговарящи на специфични изисквания, което означава, че те могат да бъдат инсталирани за сравнително кратко време. Другото им съществено предимство е производителността. Това се дължи на факта, че при тези системи се използват схемни решения и ОС, специално оптимизирани за изпълнението на тази задача. Те не разполагат с излишни компоненти, характерни за система с общо предназначение. Недостатък на хардуерните решения е тяхната сравнително висока стойност. Цените започват от $10 000 за връзка с едно отдалечено място и достигат до стотици хиляди долари за корпоративен VPN концентратор. Кое решение е подходящо за вашия бизнес? Изборът зависи от три основни фактора - размерът на мрежата, техническите умения на ИТ служителите и очакваният мрежов трафик. Криптирането на данни е операция, натоварваща интензивно процесора, което може да доведе до пълно заемане на системните ресурси при няколко едновременни VPN връзки. В такъв случай трябва да помислите за добавяне на хардуерни ускорители, за да намалите натоварването при криптиране. На който и вариант да се спрете, ще се сблъскате с въпроса за управлението на VPN устройствата, както и с поддръжката на защитни стени и VPN във вашата фирма. Тук успехът се дължи преди всичко на възможностите и уменията на ИТ служителите ви. Ако не разполагате с такива хора, може да се обърнете към доставчиците, предлагащи VPN като услуга. Те ще анализират специфичните ви изисквания, ще ви помогнат при избора на подходяща конфигурация и ще осигурят поддръжка на мрежата. За всичко това, разбира се, ще трябва да платите инсталационни, както и месечни такси за поддръжка, но за сметка на това ще си спестите доста главоболия. Интернет е не само място за търговия - той има редица други приложения, като същевременно предлага евтина среда за пренос на информация. Внедряването на VPN технологиите открива нови възможности за разширяване на бизнеса. Това е един икономически изгоден начин за връзка с международни партньори. Networkworld

(26.10.2000)

КОМЕНТАРИ

Трябва да сте регистриран потребител, за да коментирате статията
"Нови перспективи с VPN "



    

© Ай Си Ти Медиа ЕООД 1997 - 2012 съгласно общи условия за ползване