方向選擇:軟件還是硬件����?
在VPN領(lǐng)域里面,其實(shí)一直以來(lái)軟件和硬件都是一個(gè)系列產(chǎn)品提供給用戶的����。國(guó)外的產(chǎn)品CISCO����、NORTEL都是有軟件方式和硬件方式。軟件主要是提供給移動(dòng)用戶使用的����。一般在出差的時(shí)候,通過(guò)軟件客戶端臨時(shí)接入總部進(jìn)行遠(yuǎn)程辦公����。
VPN技術(shù)引入中國(guó)之后����,軟件的方式被一些軟件開(kāi)發(fā)商發(fā)展為了軟件VPN的產(chǎn)品。從功能設(shè)計(jì)上可以作為VPN網(wǎng)關(guān)使用����。為什么很多專業(yè)開(kāi)發(fā)VPN產(chǎn)品的公司不單獨(dú)把VPN用全部軟件的方式去實(shí)現(xiàn)呢?
以下的比較����,是針對(duì)純軟件方式實(shí)現(xiàn)VPN和采用硬件設(shè)備+移動(dòng)客戶端的方式來(lái)實(shí)現(xiàn)VPN的方式的比較。
1.綜合性能
軟件VPN一般都采用Windows操作系統(tǒng)����,硬件VPN一般采用專用操作系統(tǒng)來(lái)實(shí)現(xiàn)的。Windows設(shè)計(jì)上就是桌面辦公系統(tǒng)����,如果采用windows sever系統(tǒng)來(lái)說(shuō)����,需要消耗大量的硬件資源。
APN系列產(chǎn)品采用linux操作系統(tǒng)開(kāi)發(fā)����,針對(duì)Linux核心開(kāi)發(fā)運(yùn)行于自己系統(tǒng)的操作系統(tǒng)APNOS����。在硬件配置相同的情況下,WINDOWS的性能與穩(wěn)定性要比LIUNX差很多����。軟件VPN是安裝在PC或SERVER中的,所有的信息均存貯在硬盤中����,而且受到病毒����,黑客攻擊的可能性較大����。而硬件VPN的系統(tǒng)存貯在Flash中的,一般很難受外界的影響����,如果運(yùn)行在RAM中的信息受損����,完全可以通過(guò)重新引導(dǎo)就可立即解決這個(gè)問(wèn)題。
結(jié)論:硬件VPN比軟件VPN需要更少的系統(tǒng)資源����,為了到達(dá)和硬件VPN的性能相對(duì)的指標(biāo)����,軟件VPN需要的計(jì)算機(jī)配置要數(shù)倍于專用硬件VPN。
2.系統(tǒng)的安全
Windows 除內(nèi)核外還包括用戶界面 (UI) 以及大量的應(yīng)用軟件����,這些大量的軟件、GUI等都會(huì)可能導(dǎo)致更多的 Windows 技術(shù)漏洞����。而Linux的核心很小,開(kāi)放源碼的設(shè)計(jì)可以讓網(wǎng)絡(luò)應(yīng)用更加安全可靠����。
目前出現(xiàn)的病毒和攻擊工具����,大多數(shù)都是針對(duì)windows系統(tǒng)的。幾乎很少有病毒可以感染Linux����,基于這兩個(gè)不同的系統(tǒng)做開(kāi)發(fā)出的VPN產(chǎn)品����,從根本上決定了VPN的安全區(qū)別。作為企業(yè)內(nèi)部與Internet之前的橋梁����,也作為信息遠(yuǎn)程傳輸?shù)脑O(shè)備,VPN設(shè)備的安全性是至關(guān)重要的����。此設(shè)備主機(jī)系統(tǒng)的安全是首要的,如果此系統(tǒng)不安全����,所有的通訊安全都無(wú)從談起,危害系統(tǒng)主機(jī)的非授權(quán)對(duì)主機(jī)的進(jìn)程����,表現(xiàn)形式為:病毒,木馬����,蠕蟲(chóng)����、后門、漏洞����。以下分析比較主機(jī)不安全因素的影響及范圍。
l 病毒:大多是被對(duì)傳染����,此類程序一般都比較小巧����,表現(xiàn)為強(qiáng)傳染性,會(huì)傳染它能訪問(wèn)的文件系統(tǒng)中的文件����。絕大多數(shù)計(jì)算機(jī)病毒發(fā)作后會(huì)影響系統(tǒng)運(yùn)行速度,有的會(huì)惡意的破壞計(jì)算機(jī)軟件����,甚至于硬件����,比如CIH病毒發(fā)作后會(huì)清BIOS內(nèi)容,使計(jì)算機(jī)無(wú)法啟動(dòng)����。美國(guó)權(quán)威反病毒機(jī)構(gòu)ACSA在2003年第六屆亞洲反病毒協(xié)會(huì)年會(huì)(AVAR2003)上提交了一份病毒疫情調(diào)查報(bào)告其中指出,目前世界上共有8萬(wàn)多種基于windows病毒����。由于Linux/UNIX或是專有系統(tǒng)的文件系統(tǒng)權(quán)限機(jī)制,及其完全不存在“盜版”的開(kāi)放源碼形式的軟件發(fā)布����。病毒無(wú)法在這些系統(tǒng)上傳播����,特別是作為產(chǎn)品的經(jīng)過(guò)精心裁減的開(kāi)放源碼的嵌入式操作系統(tǒng),病毒是不存在的����。
l 蠕蟲(chóng):是一類利用網(wǎng)絡(luò)進(jìn)行傳播的程序����,此類程序有合法的,但大多數(shù)是非法的����,這類程序利用主機(jī)提供的服務(wù)的缺陷進(jìn)行攻擊目標(biāo)機(jī),目標(biāo)機(jī)一旦感染后����,一般會(huì)隨機(jī)選擇一段ip地址進(jìn)行掃描����,找到下一個(gè)有缺陷的目標(biāo)進(jìn)行攻擊����。此類程序?qū)τ诰W(wǎng)絡(luò)危害很大,常常導(dǎo)致國(guó)際互聯(lián)網(wǎng)大阻塞����,此類型程序最早于UNIX系統(tǒng)上實(shí)現(xiàn),在近10年以內(nèi)有針動(dòng)UNIX/LINUX和此類程序出現(xiàn)過(guò)����,如針動(dòng)DNS解析的服務(wù)程序BIND的Lion蠕蟲(chóng)。2000年以后大多數(shù)蠕蟲(chóng)以WI NDOWS為攻擊對(duì)象����。有很多的例子����,如波擊波����,震蕩波等等����。
l 木馬:是網(wǎng)絡(luò)程序攻擊成功后有意放置的程序,用于與外面的攻擊程序接口����,以非法訪問(wèn)被攻擊主機(jī)為目的。這也是絕大多數(shù)基于windows系統(tǒng)的����。
l 后門:是寫系統(tǒng)或網(wǎng)絡(luò)服務(wù)程序的公司或是個(gè)人放置于系統(tǒng)之上,以進(jìn)行非法訪問(wèn)為目的的代碼����。此類程序只存在于不開(kāi)放源碼的操作系統(tǒng)之中。
l 漏洞:由于程序編寫過(guò)程中的失誤,導(dǎo)致系統(tǒng)被非法訪問(wèn)����。在有很大數(shù)量用戶進(jìn)行代碼分析����、測(cè)試的開(kāi)放源碼系統(tǒng)中����,漏洞會(huì)很少����。
通過(guò)以上幾個(gè)方面的論述����,雖然windows作為桌面辦公系統(tǒng)十分普及����,但是如果作為網(wǎng)絡(luò)通訊的網(wǎng)關(guān)設(shè)備的承載系統(tǒng),其安全性明顯要低于基于Linux開(kāi)放源碼設(shè)計(jì)的系統(tǒng)����。
APNGW基于Linux系統(tǒng)核心2.4開(kāi)發(fā),經(jīng)過(guò)優(yōu)化和裁減,全部系統(tǒng)才不到4M大小����。
結(jié)論:基于Linux開(kāi)發(fā)的VPN系統(tǒng),明顯在防病毒攻擊����、安全漏洞上要遠(yuǎn)遠(yuǎn)高于基于Windows系統(tǒng)的軟件VPN����。
3.可靠性
軟件VPN采用Windows系統(tǒng)作為系統(tǒng)的根基����,其可靠性取決于安裝這個(gè)軟件的PC機(jī)����。這在一定程度上說(shuō)明了軟件VPN的可靠性是不可控制的。而且依賴于Windows系統(tǒng)����,系統(tǒng)其他的軟件導(dǎo)致的沖突或者資源占用的情況也會(huì)對(duì)VPN的可靠性帶來(lái)影響����。
硬件VPN一般都采用專用的硬件����,在可靠性方面可以得到良好的控制����。一般采用工業(yè)主板����,其平均無(wú)故障時(shí)間明顯多于PC機(jī)。
APNGW采用我公司獨(dú)立開(kāi)發(fā)的硬件����,基于0.18微米CMOS的RISC架構(gòu)的高速低功耗CPU,具有完整的MMU功能����,哈佛總線結(jié)構(gòu)����,集成了8K/16K指令高速緩存和8K/16K數(shù)據(jù)高速緩存����;內(nèi)置貼片RAM����、DOC(Disk on Chip)����;低功耗設(shè)計(jì),為長(zhǎng)期穩(wěn)定的工作充分考慮����。由于整個(gè)產(chǎn)品采用低功耗、嵌入式設(shè)計(jì)����,無(wú)需風(fēng)扇,可以勝任惡劣的環(huán)境����,能夠長(zhǎng)期穩(wěn)定可靠的工作。
結(jié)論:硬件VPN的可靠性是專用硬件來(lái)保障的����,而軟件VPN可靠性存在不確定因素����。
4.安裝維護(hù)
軟件VPN看起來(lái)安裝比硬件VPN似乎要簡(jiǎn)單,因?yàn)檐浖梢灾苯釉陔娔X上安裝����,而硬件VPN需要連接線路����,網(wǎng)線等等。但是整個(gè)VPN系統(tǒng)的實(shí)施需要安裝和調(diào)試兩個(gè)部分組成����,所以不能簡(jiǎn)單比較安裝過(guò)程。
APNGW產(chǎn)品才有獨(dú)特的License管理機(jī)制����,讓VPN通訊的調(diào)試過(guò)程變得非常輕松����。
而在系統(tǒng)維護(hù)方面,軟件VPN明顯的不如硬件VPN����。因?yàn)檐浖S護(hù)的不光是VPN軟件,還需要維護(hù)整個(gè)PC系統(tǒng)����,任何導(dǎo)致PC的windows系統(tǒng)的不穩(wěn)定因素例如病毒����、攻擊、硬件的兼容性����、軟件的兼容性甚至某一項(xiàng)設(shè)備的驅(qū)動(dòng)都可能導(dǎo)致軟件VPN的故障����;而硬件VPN一般采用專用硬件,維護(hù)量很少����。在遠(yuǎn)程維護(hù)方面����,APN產(chǎn)品可以通過(guò)telnet或者WEB方式遠(yuǎn)程登陸����,而基于windows的軟件VPN就難以提供這樣的功能����。APN在設(shè)計(jì)上還獨(dú)創(chuàng)了智能向?qū)Чδ?���,可以智能指?dǎo)用戶維護(hù),同時(shí)����,明確的系統(tǒng)指示燈和獨(dú)創(chuàng)的動(dòng)態(tài)DPIO指示燈可以很直觀的反映設(shè)備運(yùn)行狀態(tài)����。
結(jié)論:在安裝方面的比較需要視不同的VPN產(chǎn)品而定����;但是維護(hù)方面明顯的硬件要優(yōu)于軟件����。
5.穩(wěn)定性
VPN產(chǎn)品由于需要長(zhǎng)期運(yùn)行����,穩(wěn)定性顯得十分重要。為了讓設(shè)備可以24×7運(yùn)行����;需要考慮很多方面的因素。例如是否有病毒干擾����、硬件是否穩(wěn)定、系統(tǒng)設(shè)計(jì)是否智能等等因素����。
從軟件VPN和硬件VPN的核心上考慮����,基于Windows系統(tǒng)的軟件在穩(wěn)定性方面上肯定是不能和基于Linux核心的專用系統(tǒng)相比較的。
從硬件的穩(wěn)定性上講����,基于軟件的VPN產(chǎn)品主要依賴于PC的穩(wěn)定性,而硬件VPN產(chǎn)品是靠專用硬件來(lái)完成的����。
從系統(tǒng)設(shè)計(jì)上來(lái)說(shuō),基于windows的軟件VPN產(chǎn)品對(duì)底層的控制非常有限����,例如要完成PPPOE撥號(hào)是否成功的檢測(cè),要啟動(dòng)一個(gè)DHCP服務(wù)����,要做QOS,等等����,一般都是通過(guò)調(diào)用windows的API函數(shù)來(lái)完成����,功能十分有限����;而Linux的設(shè)計(jì)初衷就是為了網(wǎng)絡(luò)服務(wù)����,可以很好的結(jié)合內(nèi)核程序����,解決以上類似問(wèn)題����。
APN產(chǎn)品的設(shè)計(jì)充分考慮了以上環(huán)節(jié)����,產(chǎn)品設(shè)計(jì)上充分智能化。例如可以智能檢測(cè)隧道信息是否暢通和自動(dòng)恢復(fù)����;可以智能判斷是否廣域網(wǎng)絡(luò)故障;可以智能指導(dǎo)用戶查詢故障原因等����。
結(jié)論:穩(wěn)定性涉及多方因素����,軟件VPN產(chǎn)品由于依賴于其他硬件和系統(tǒng),某些方面無(wú)法控制����,所以和硬件VPN相比,穩(wěn)定性難以保證����。
6.成本
采用純軟件的VPN,可以節(jié)約成本嗎����?一般從表面看來(lái),軟件產(chǎn)品由于沒(méi)有要求客戶有額外的硬件投入����,所以市場(chǎng)價(jià)格往往很低����。但是綜合考慮����,VPN的成本主要包含那些呢?
VPN網(wǎng)絡(luò)的成本可以簡(jiǎn)單歸納為產(chǎn)品成本和維護(hù)成本����。
如果選擇軟件產(chǎn)品����,需要額外的投入一臺(tái)電腦,這包含了硬件PC的成本和windows操作系統(tǒng)的成本����。
使用 Windows xp 的用戶相信對(duì)此尤有切身體會(huì)。每張 Windows XP 光盤只能安裝在一臺(tái)電腦上����,不僅如此,重裝操作系統(tǒng)或更換一定數(shù)量的硬件都會(huì)導(dǎo)致 Windows 反盜版機(jī)制的干預(yù)����,使得用戶必須向 Microsoft 索要新的序列號(hào)����。相比較之下 Linux 不僅可以免費(fèi)下載,而且可以安裝在任意數(shù)目的機(jī)器上����?���;贚inux開(kāi)發(fā)的硬件VPN這個(gè)優(yōu)勢(shì)是不言而喻����。
如果用戶已經(jīng)有了一套PC,使用軟件VPN是否就可以認(rèn)為是比較便宜了呢����?試想,如果客戶的整個(gè)局域網(wǎng)都需要一個(gè)PC作為VPN的網(wǎng)關(guān)����,連接遠(yuǎn)程的橋梁,一定是需要這個(gè)PC是十分穩(wěn)定����,7×24小時(shí)高效運(yùn)行,能夠讓它在完成加密����、解密的關(guān)鍵義務(wù)的過(guò)程中,還要處理Word文檔����,Excel表格嗎?
而維護(hù)成本方面����,維護(hù)軟件的VPN需要考慮PC器的穩(wěn)定����,需要時(shí)刻注意windows系統(tǒng)的漏洞����,防止病毒����,防止軟件之間的沖突等等,額外的維護(hù)量是額外的高額成本之一����;而硬件VPN就可以很少考慮這方面的因素。
APN產(chǎn)品在設(shè)計(jì)上為用戶充分考慮����,采用性能價(jià)比很高的硬件設(shè)計(jì)����,為客戶提供VPN功能的同時(shí)����,對(duì)產(chǎn)品的穩(wěn)定性����、可靠性����、智能性做了很多方面的細(xì)節(jié)設(shè)計(jì),最小程度的減少客戶的維護(hù)成本����。
結(jié)論:綜合考慮,軟件VPN的成本并不低,因?yàn)閂PN的成本需要整體考慮����,不能簡(jiǎn)單看到產(chǎn)品的市場(chǎng)價(jià)格。
7.總體結(jié)論
如果客戶對(duì)一般軟件使用和windows系統(tǒng)十分熟悉����,建設(shè)的網(wǎng)絡(luò)結(jié)構(gòu)比較簡(jiǎn)單,對(duì)網(wǎng)絡(luò)性能����、QOS無(wú)十分嚴(yán)格的要求����,正好又有閑置的����、高配置的、裝有正版windows系統(tǒng)的機(jī)器����,軟件產(chǎn)品可以在一定程度上體現(xiàn)價(jià)格優(yōu)勢(shì)。
如果建立的VPN網(wǎng)絡(luò)����,考慮系統(tǒng)安全、長(zhǎng)期穩(wěn)定運(yùn)行����、維護(hù)成本、良好的綜合性能等等因素����,硬件VPN產(chǎn)品具有軟件產(chǎn)品不可比擬的優(yōu)勢(shì)����。
