专家谈：采用UTM实现立体安全的VPN体系

1.用户为什么需要VPN技术？
用户为什么需要VPN技术？要回答这个问题，我们先从一个用户的实际需求说起。
H公司是一家大型汽车制造企业，零部件供应商、经销商和生产基地遍布全国。为了进一步提升整体竞争力，H公司按照“精细化生产”和“零库存生产”的要求，构建了先进的信息化生产管理系统。这个生产控制系统可以实时分析所有与生产和销售相关的数据。通过分析数据，可以给出原材料采购、生产节奏、生产模式分布等结果。，并指导企业生产、采购和销售。为了保证系统的正常运行，需要实时获取全国各级经销商的进货、销售、库存数据，以及各分厂、配件厂的生产、库存数据。
显然，这些进销存的数据是任何公司的核心财务机密。那么，如何保证这些数据从各级经销商、分公司、零部件厂安全地传输到H公司总部呢？对于这样的需求，在互联网发展之前，用户只能去电信运营商租用昂贵的专用链路，比如64K带宽的DDN或者2M SDH传输通道，价格极其昂贵。
随着互联网的快速发展，人们发现如果能够利用无处不在的互联网来传输高价值的信息，那么it系统的运营成本将会大大降低。这就是VPN技术最初的用户需求:在低成本的公共网络上加密传输无法被恶意窃取的高价值信息，从而提高生产效率，降低信息传输成本，最终提升企业或组织的综合竞争力。
2。传统VPN解决方案
在基于互联网的VPN系统应用初期，用户不得不部署专用的VPN网关设备来构建企业VPN系统，以满足远程分支机构、漫游用户和合作伙伴的VPN接入需求。但是这种传统的VPN网关只支持单一的IPSec VPN功能，无法支持防病毒、防入侵等应用层安全功能。
以H公司为例。为了支持信息化生产管理系统的正常运行，公司投资数百万，为所有分公司和重点经销商配置了硬件IPSec VPN网关，为中小型经销商和经常出差的公司员工分发了VPN软件客户端。
那么，H公司的生产管理系统应该发挥作用了吧？但是事实和预期不太相符。
VPN系统开通后，问题不断。为了维持VPN系统的正常运行，公司的IT管理部门不得不申请额外的IT人员来处理商务旅行者和中小经销商的VPN连接问题。同时，大量的蠕虫和网络病毒从IT系统管理不严的几个经销商网络传播到总部业务系统网络，在整个VPN系统中疯狂传播，大大降低了业务可用性。最坏的情况下，H公司甚至要断开很大一部分VPN连接，才能让生产管理系统勉强正常运行。
3。传统VPN解决方案的问题
为什么传统VPN解决方案达不到用户的预期效果？从H公司的例子可以看出，使用传统的IPSec VPN网关设备构建企业VPN系统存在几个固有的弱点:
一是没有网关防病毒功能。各种蠕虫和网络病毒可以通过VPN隧道从漫游的PC/分公司/合作伙伴网络传播到内网。
第二，没有入侵防御功能。黑客可以从分支/合作伙伴网络通过VPN隧道发起攻击；
第三，采用IPSec VPN实现漫游用户接入。IPSec的漫游PC连接VPN网关到C/S架构的VPN客户端，缺乏灵活性；VPN客户端存在与操作系统或其他应用软件不兼容的风险；
第四，维护成本高。客户端配置相对复杂，随着VPN终端的增加，运维成本直线上升。
由此可见，传统的VPN解决方案只满足了用户对VPN服务的基本需求，即解决用户的连通性、数据级安全和认证问题，而没有考虑访问VPN的分支节点/漫游用户的应用层安全。对于需要立体安全的用户来说，简单的VPN网关远远不够。
但是，单纯用其他设备来弥补上述安全缺陷，并不是那么容易的。VPN本身的所有数据都是严格加密的。如果直接在VPN传输路径上部署入侵防御系统、网络反病毒系统等应用层安全设备，无法从报文中解密数据，无法发挥应有的作用。但如果在VPN网关后面堆叠多个安全设备，会给用户的管理和维护带来进一步的压力，同时也会大大增加整体建设成本。【/br/】有没有一个VPN方案可以让用户在安全性、维护成本、购买成本等方面解决上述问题？答案是肯定的，那就是使用UTM设备来构建企业VPN系统。
4。利用UTM搭建VPN
随着整个信息产业的逐步进步和VPN技术的逐渐成熟，VPN模块已经成为各种网关产品的标准配置。作为安全职能的大师，UTM也不例外。作为传统安全功能的终结者，UTM产品的VPN功能相比传统的IPSec VPN网关、防火墙或路由器有了很大的增强。使用UTM搭建VPN系统的优势主要有:
UTM支持VPN隧道中数据的病毒过滤和入侵防御
作为VPN网关，UTM负责数据的加密/解密。因此，如果将UTM作为VPN网关设备，可以实现对VPN隧道中数据的应用层扫描，并在此基础上实现病毒过滤、入侵防御等应用层安全功能。
例如，对于H公司来说，如果采用UTM来搭建其VPN系统，那么通过UTM的反病毒功能和入侵防御功能，可以大大减少VPN网络中的病毒和木马，阻挡来自分支机构或合作伙伴网络的恶意攻击。
UTM同时支持IPSec VPN和SSL VPN。
IPSec VPN的使用和部署存在一些固有的系统问题，如需要客户端软件、维护压力大、NAT/防火墙穿越、系统兼容性等。而这些问题恰好是SSL VPN可以很好解决的。
SSL VPN最早是作为一种独立的网关形式出现的，但人们很快发现，如果SSL VPN与UTM设备结合，会比单纯的SSL VPN网关给用户带来更大的客户价值(主要体现在应用层安全上)。因此，SSL VPN已经成为UTM产品的标准功能模块。
如果H公司使用UTM设备搭建其VPN系统，分公司、合作伙伴、分厂等机构将通过IPSec VPN访问总部，而业务用户将通过SSL VPN访问总部。两个VPN同时应用，可以优势互补，大大降低整体运维成本。
大幅降低采购成本和维护成本
利用UTM搭建VPN系统，用户不仅可以立即节省防病毒网关和入侵防御系统的原始采购成本，还可以大大节省设备的后期运维成本。IT管理人员不需要学习和维护多套不同类型的硬件系统，只需要操作和配置一台设备。
由此可见，使用UTM产品构建VPN系统可以解决传统VPN解决方案的不足。在保证用户业务系统的连通性和可用性的前提下，通过入侵防御/反病毒等功能模块进一步提高系统的安全性，使VPN的价值得到真正的体现。