思科:VPN硬件客戶端與軟件客戶端優(yōu)劣分析

部屬完成思科的VPN集中器后接下去網(wǎng)絡(luò)管理員需要考慮的內(nèi)容是為遠(yuǎn)程客戶選擇一個(gè)合適的VPN客戶端。遠(yuǎn)程接入客戶端依賴VPN客戶端來建立并維持與VPN集中器之間的連接?，F(xiàn)在思科推出的 客戶端主要有兩種，分別為基于軟件的客戶端和基于硬件客戶端。作為網(wǎng)絡(luò)管理員，有必要了解這兩種客戶端的優(yōu)缺點(diǎn)，并根據(jù)企業(yè)的實(shí)際應(yīng)用情況在部屬VPN應(yīng)用時(shí)為用戶選擇合適的客戶端。
    一、軟件客戶端分析
    思科的VPN客戶端在購(gòu)買集中器的時(shí)候是與此一起交付的。它跟硬件客戶端相比最突出的優(yōu)勢(shì)就在于軟件客戶端往往沒有許可證的限制。注意這是指思科的軟件客戶端。思科的軟件客戶端可以運(yùn)行在多個(gè)系統(tǒng)平臺(tái)上，如微軟的操作系統(tǒng)或者Linux操作系統(tǒng)上。也就是說，它是跨平臺(tái)的。下面筆者以微軟的 VPN客戶端平臺(tái)為例，談?wù)勊奶攸c(diǎn)。
    思科VPN客戶端與其他軟件客戶端相比，最突出的特色就在于客戶端支持防火墻功能。這主要是為了通過提高VPN客戶端的安全性來保障VPN連接的安全。基于微軟客戶端的防火墻主要有三種模式。一是AYT模式，它表示是否需要防火墻是可選的。在客戶端連接VPN集中器之前，網(wǎng)絡(luò)管理員出于安全方面的考慮，可能會(huì)要求遠(yuǎn)程電腦使用防火墻。AYT的功能主要就是驗(yàn)證遠(yuǎn)程客戶端中是否存在防火墻，無論有否客戶端軟件都會(huì)把這個(gè)信息反饋給集中器。然后根據(jù)集中器設(shè)置的安全規(guī)則，來判斷是否允許這個(gè)用戶建立VPN連接。
    第二種是狀態(tài)防火墻。他表示防火墻永遠(yuǎn)開啟。狀態(tài)防火墻模塊只能由遠(yuǎn)程客戶端啟動(dòng)或者關(guān)閉。在狀態(tài)防火墻模式下，防火墻會(huì)使用一種缺省的策略。即將阻止所有與出向會(huì)話無關(guān)的來回會(huì)話。一旦用戶啟動(dòng)防火墻，他將一直處于開啟狀態(tài)，即使關(guān)閉VPN隧道也是如此。可見這個(gè)模式下對(duì)于安全要求比較高。
    第三種模式是集中策略保護(hù)模式。在這種模式下，是否允許遠(yuǎn)程客戶端的流量通過VPN集中器，主要要根據(jù)網(wǎng)絡(luò)管理員設(shè)置的規(guī)則來判斷。在遠(yuǎn)程用戶建立連接之后，集中器會(huì)將網(wǎng)絡(luò)管理員預(yù)先定義的訪問策略傳輸給軟件客戶端。然后VPN客戶端再將這個(gè)策略轉(zhuǎn)交給客戶機(jī)上的防火墻。防火墻就會(huì)根據(jù)定義的策略來判斷是否允許數(shù)據(jù)流通過。可見，集中策略模式在保障VPN連接安全的同時(shí)，也給了網(wǎng)絡(luò)管理員一個(gè)靈活的管理平臺(tái)。
    二、硬件客戶端分析
    網(wǎng)絡(luò)管理員除了可以使用軟件客戶端外，還可以通過硬件客戶端來達(dá)到VPN連接的需求。如果采用硬件客戶端的話，網(wǎng)絡(luò)管理員可以直接把遠(yuǎn)程站點(diǎn)的 PC插入硬件客戶端，而不必在遠(yuǎn)程站點(diǎn)的PC上加載VPN客戶端或者額外的應(yīng)用。因?yàn)樵谒伎铺峁┑挠布蛻舳藘?nèi)本身就帶有VPN軟件客戶端。這個(gè)硬件客戶端就好像是一臺(tái)PC，他直接與VPN集中器相連，建立VPN隧道。然后遠(yuǎn)程用戶就可以通過硬件客戶端使用這個(gè)VPN隧道。
    到目前為止，思科提供的硬件客戶端包括兩個(gè)版本，分別為3002版本與3002-8E版本。這兩個(gè)版本主要的不同在于接口。3002版本中只包含一個(gè)專用接口與一個(gè)公用接口。而在3002-8E版本中，則提供了一個(gè)公用接口、八個(gè)專用接口與AUTOMDIS接口。專用接口是一個(gè)內(nèi)置的八端口，通常情況下這個(gè)專用接口時(shí)被鎖住的，而且無法進(jìn)行配置。而AUTOMDIS接口可以方便網(wǎng)絡(luò)管理員的管理，因?yàn)橛辛怂拇嬖冢W(wǎng)絡(luò)管理員可以避免使用交叉線。另外如果網(wǎng)絡(luò)管理員采用硬件客戶端的話，則需要對(duì)其進(jìn)行配置。為了VPN連接的安全，在對(duì)VPN硬件客戶端進(jìn)行配置的時(shí)候，可以利用IPSec加密技術(shù)或者安全外殼(SSH，而不是安全性相對(duì)較差的Telnet)來管理配置。
    三、硬件客戶端與軟件客戶端的選擇
    無論是硬件客戶端還是軟件客戶端，都可以幫助用戶建立與VPN集中器的連接。那么網(wǎng)絡(luò)管理員怎么知道哪個(gè)客戶端好一點(diǎn)呢?其實(shí)兩個(gè)客戶端各有千秋，如果要說那個(gè)好，筆者也說不上來。筆者認(rèn)為這兩個(gè)客戶端沒有好壞之分。只有結(jié)合企業(yè)的實(shí)際應(yīng)用場(chǎng)景，才能夠判斷出哪種類型的客戶端更加適合企業(yè)。
    那么網(wǎng)絡(luò)管理員在做出選擇的時(shí)候，該從哪幾個(gè)方面入手呢?筆者認(rèn)為，管理員出要從幾下幾個(gè)方面出發(fā)，判斷到底哪個(gè)更加適合企業(yè)。
    一是從遠(yuǎn)程用戶的移動(dòng)性考慮。如果遠(yuǎn)程用戶的位置是經(jīng)常移動(dòng)的，如一些出差的員工他們需要遠(yuǎn)程訪問時(shí)位置并不固定。有時(shí)候可能是在網(wǎng)吧，有時(shí)候又在賓館。在這種情況下，往往還是采用軟件客戶端好。如果采用硬件客戶端的話，難道還讓員工背著個(gè)硬件滿世界跑?這顯然不現(xiàn)實(shí)。而且到出差的員工比較多，則網(wǎng)絡(luò)管理員還要給他們每人配一個(gè)硬件客戶端?這企業(yè)不是當(dāng)了冤大頭了嗎。反之，如果遠(yuǎn)程訪問用戶的位置比較固定，如是通過異地辦事機(jī)構(gòu)連入VPN等等。此時(shí)，采用硬件客戶端可能比較有利。
    二是要考慮遠(yuǎn)程用戶的數(shù)量。如果采用軟件客戶端的話，VPN對(duì)于遠(yuǎn)程用戶來說就不是透明的。這會(huì)增加網(wǎng)絡(luò)管理員工作的壓力。若采用軟件客戶端的話，如果用戶要連接VPN，網(wǎng)絡(luò)管理員必須在每個(gè)需要遠(yuǎn)程訪問的用戶PC上安裝VPN客戶端軟件。而遠(yuǎn)程用戶每次在需要遠(yuǎn)程訪問時(shí)必須要手工啟動(dòng)軟件客戶端，并輸入訪問帳戶與密碼。另外網(wǎng)絡(luò)管理員還需要負(fù)責(zé)客戶端的日常維護(hù)與版本更新。對(duì)每個(gè)單獨(dú)的軟件客戶端進(jìn)行這些維護(hù)工作量將會(huì)很大。隨著用戶的增加這個(gè)工作會(huì)成倍增加。故所有的這些都會(huì)增加網(wǎng)絡(luò)管理員的工作量。但是硬件客戶端比軟件客戶端來說，有一個(gè)很優(yōu)越的地方，就是硬件客戶端對(duì)于遠(yuǎn)程用戶來說是透明的。即遠(yuǎn)程用戶需要建立VPN連接時(shí)，不需要專門去啟動(dòng)VPN客戶端軟件。因?yàn)檫@個(gè)連接硬件客戶端已經(jīng)幫助遠(yuǎn)程用戶完成了。而且采用硬件客戶端的話，其數(shù)據(jù)的處理效率更高。遠(yuǎn)程用戶可以利用現(xiàn)成的連接來進(jìn)行遠(yuǎn)程訪問。而且網(wǎng)絡(luò)管理員不用維護(hù)員工電腦上的軟件客戶端。故當(dāng)用戶比較多時(shí)硬件客戶端可能更加有吸引力。雖然軟件客戶端沒有許可證的限制，但是當(dāng)用戶比較多時(shí)，這個(gè)相比其維護(hù)的工作量來說，反而是小兒科了。不過，筆者覺得這仍然受到遠(yuǎn)程用戶移動(dòng)性的限制。也就是說，如果企業(yè)的遠(yuǎn)程訪問用戶再多，如果位置都是移動(dòng)的，那么也只能夠使用軟件客戶端，而不適合采用硬件客戶端。也就是說，員工數(shù)量這個(gè)判斷條件，是以用戶的移動(dòng)性條件為前提的。
    筆者現(xiàn)在采用的客戶端是硬件客戶端與軟件客戶端結(jié)合的方式。如筆者企業(yè)現(xiàn)在全球都有分支機(jī)構(gòu)與辦事處。他們平時(shí)都需要通過VPN連接到企業(yè)總部的網(wǎng)絡(luò)。為此，筆者對(duì)于這些有固定位置的分支機(jī)構(gòu)或者辦事處，就讓他們通過硬件客戶端來接入到企業(yè)的內(nèi)部網(wǎng)絡(luò)。由于部署了硬件客戶端，筆者就一一維護(hù)這些員工PC的軟件客戶端。而只需要維護(hù)他們的一臺(tái)硬件客戶端即可。這可以大大的減少筆者的工作量。同時(shí)硬件客戶端相對(duì)軟件客戶端來說，具有更高的安全性。
    而對(duì)于平時(shí)需要出差的一些員工，他們需要遠(yuǎn)程訪問的需求時(shí)，則是通過軟件客戶端來實(shí)現(xiàn)的。因?yàn)樗麄兊奈恢貌还潭?，而且也不可能給他們一臺(tái)硬件客戶端讓他們帶著滿世界跑，所以他們主要是通過采用VPN軟件客戶端來進(jìn)行遠(yuǎn)程訪問。筆者企業(yè)需要出差的員工比較多，再加上有些員工需要在家里辦公也要進(jìn)行 VPN遠(yuǎn)程連接，筆者粗略統(tǒng)計(jì)了一下有差不多100人左右需要這個(gè)VPN遠(yuǎn)程訪問的需求。還好他們大部分時(shí)間都是錯(cuò)開訪問，故并不會(huì)對(duì)VPN集中器造成太大的壓力。而且VPN軟件客戶端是不用另外購(gòu)買的，是跟著VPN集中器一起交付的;同時(shí)其又沒有許可證的限制。所以在軟件客戶端上的投資，基本上不用。除了要付出一點(diǎn)時(shí)間維護(hù)這些客戶端。
    故對(duì)于是否是采用軟件客戶端還是硬件客戶端，筆者的建議是根據(jù)遠(yuǎn)程用戶的移動(dòng)性與用戶數(shù)量來考慮。如果遠(yuǎn)程用戶在進(jìn)行VPN連接時(shí)都沒有固定的場(chǎng)所，那么采用軟件客戶端。如果遠(yuǎn)程用戶有固定的位置辦公，同時(shí)遠(yuǎn)程訪問用戶的數(shù)量又比較多，那么采用硬件客戶端。雖然硬件客戶端的初始投資要大一點(diǎn)，但是長(zhǎng)久以往這個(gè)投資還是值得的。