潘成文：Sinfor物流行业VPN解决方案的特点和缺陷

一、虚拟专用网络的基本概念和主要功能

虚拟专用网络VPN（Virtual Private Network）是建立在公共网络上的一种功能性逻辑网络。它是专用网络的一种组网方式。它所组成的网络是逻辑上的专用网络，而非独立的物理上的专用网络，即在VPN中，任意两个端到端的链接并没有物理网络中的物理链路，而是利用公共网络资源，采用虚拟连接技术建立的逻辑链路。但是，它向用户提供与物理专用网络相同的网络功能。VPN使用的物理信道是公共的、不安全的网络（如：X.25、DDN、帧中继、IP、ATM、Internet等），但构建了具有安全性、独占性、可管理性和自成一体的专用网络。判断一个VPN系统解决方案的优劣除了判断VPN的关键设备—VPN网关所实现的功能外，还要从系统的角度来衡量其安全性、服务质量保证（QoS）、可扩充性和可管理性等。

归纳起来，判断VPN系统解决方案的优劣主要依据一下几点：

1)       VPN通道建立功能的强弱(能否支持Access VPN、Intranet VPN和Extranet VPN)。

2)        VPN的吞吐速率能否满足企业当前和今后一段时间内，业务发展的需要。

3)       IPSec通道数能否满足企业的需要。

4)       多协议支持能力(能否支持网络协议：TCP/IP、UDP、ICMP、DHCP、HTTP、ARP、RADIUS；能否支持认证协议：MD5、SHA-1、RADIUS、Secure ID、 LDAP 、动态口令认证；能否支持VPN协议：IPSec、L2TP等）。

5)       加密算法与密钥管理能力（能否支持DES、3 DES、AES等国际通用加密算法；能否支持国家批准的加密算法；能否支持人工或自动的IKE/ISAKMP密钥管理）。

6)       流量控制功能的强弱（用户最少用量带宽保障、用户最大用量带宽限制、用户优先级设置、应用和时间管理等）。

7)       负载平衡功能；

8)       设备配置及管理功能的强弱（用Web浏览器方式对设备进行配置；提供命令行接口（CLI）脚本；Telnet和基于Modem的管理；通过集中管理终端对多台设备进行分组与配置管理、安全管理、性能与状态监视、设备安全状态报告、响应与控制等）。

9)       日志与监控功能的强弱（系统日志、日志自动下载与分析、E—mail系统事件报警）。

10)    可靠性、可用性与可扩性功能的强弱。

11)    接口功能。

二、Sinfor物流行业VPN解决方案的特点

深信服电子科技有限公司针对物流行业的业务特点，开发了一套基于IPSec协议的VPN软件，包括企业总目的MDLAN、分支机构的SDLAN、移动用户或个人固定用户的PDLAN。用这套软件来构建物流行业的VPN系统。据我了解，Sinfor物流行业VPN解决方案运行在Windows平台上，即在企业总部的防火墙之后，应配置一台PC机，并加载MDLAN软件；在企业分支机构的局域网边界设置一台PC机，并加载SDLAN软件；在移动用户或固定的个人用户的PC机上加载PDLAN软件。PC机与相关软件构成了VPN的核心—VPN网关。该解决方案的特点是：

1)       由PC和VPN软件构成的网关在技术实现上比较容易，也是可行的。

2)       VPN软件执行了IPSec协议，并对IPSec协议进行了必要的简化。

3)       采用了USB－KEY硬件方式实现接入VPN网络的设备认证和密码接入鉴权，给每个远程用户接入VPN网络后所能访问的系统或资源进行权限分配，具有较高的安全强度。

4)       采用了128 位的AES加密算法，对传输数据进行加密，具有一定的安全强度。

5)       具有一定的服务质量保证（QoS）功能。

由上可见，深信服电子科技有限公司推出的物流行业VPN解决方案，是一个简单的解决方案，对中小企业来说是一个经济的解决方案。

三、Sinfor物流行业VPN解决方案的缺陷

就深信服电子科技有限公司所提供的解决方案本身而言，方案存在一下缺陷，影响客户的采购决策：

1)       多协议支持能力上未说清楚。由于本方案软件是基于IPSec开发的，并对IPSec协议进行了必要的简化和改造，应说明本方案执行IPSec的能力。另外，本方案支持哪些通信协议，哪些认证协议，哪些加密算法等，都应加以说明。

2)       本方案具有一定的服务质量保证（QoS）功能，但缺乏具体的描述。

3)       本方案是否具有日志功能，是否具有远程配置与管理功能，是否能加载国家商密办批准的加密算法等都未做说明。

4)       本方案在技术上属于专用VPN网关的解决方案。VPN软件运行在Wingdows平台上，其安全级别不高。我们知道， VPN直接构建在公用网上，具有实现简单、使用方便、网络拓扑变更灵活等特点，但VPN系统的安全非常重要，必须认真加以解决。VPN系统的核心技术之一是信息安全技术，本方案虽然也做了不少工作，包括使用USB－KEY捆绑接入设备的认证方式。但是，Wingdows平台存在许多安全漏洞，直接影响到网关自身的安全性。建议深信服电子科技有限公司在VPN网关的硬件化过程中，重视操作系统的选型和安全性改造，为VPN系统运行提供安全的基础平台。