方向選擇:軟件還是硬件�?
在VPN領域里面�����,其實一直以來軟件和硬件都是一個系列產品提供給用戶的����。國外的產品CISCO、NORTEL都是有軟件方式和硬件方式��。軟件主要是提供給移動用戶使用的���。一般在出差的時候�����,通過軟件客戶端臨時接入總部進行遠程辦公����。
VPN技術引入中國之后�,軟件的方式被一些軟件開發商發展為了軟件VPN的產品。從功能設計上可以作為VPN網關使用�。為什么很多專業開發VPN產品的公司不單獨把VPN用全部軟件的方式去實現呢?
以下的比較����,是針對純軟件方式實現VPN和采用硬件設備+移動客戶端的方式來實現VPN的方式的比較。
1.綜合性能
軟件VPN一般都采用Windows操作系統�����,硬件VPN一般采用專用操作系統來實現的����。Windows設計上就是桌面辦公系統,如果采用windows sever系統來說��,需要消耗大量的硬件資源��。
APN系列產品采用linux操作系統開發,針對Linux核心開發運行于自己系統的操作系統APNOS���。在硬件配置相同的情況下�,WINDOWS的性能與穩定性要比LIUNX差很多�����。軟件VPN是安裝在PC或SERVER中的���,所有的信息均存貯在硬盤中,而且受到病毒�����,黑客攻擊的可能性較大。而硬件VPN的系統存貯在Flash中的���,一般很難受外界的影響��,如果運行在RAM中的信息受損���,完全可以通過重新引導就可立即解決這個問題����。
結論:硬件VPN比軟件VPN需要更少的系統資源,為了到達和硬件VPN的性能相對的指標����,軟件VPN需要的計算機配置要數倍于專用硬件VPN。
2.系統的安全
Windows 除內核外還包括用戶界面 (UI) 以及大量的應用軟件�����,這些大量的軟件����、GUI等都會可能導致更多的 Windows 技術漏洞。而Linux的核心很小,開放源碼的設計可以讓網絡應用更加安全可靠�。
目前出現的病毒和攻擊工具,大多數都是針對windows系統的��。幾乎很少有病毒可以感染Linux����,基于這兩個不同的系統做開發出的VPN產品��,從根本上決定了VPN的安全區別�。作為企業內部與Internet之前的橋梁,也作為信息遠程傳輸的設備��,VPN設備的安全性是至關重要的����。此設備主機系統的安全是首要的���,如果此系統不安全�,所有的通訊安全都無從談起���,危害系統主機的非授權對主機的進程�,表現形式為:病毒,木馬�,蠕蟲、后門����、漏洞。以下分析比較主機不安全因素的影響及范圍�。
l 病毒:大多是被對傳染�,此類程序一般都比較小巧,表現為強傳染性���,會傳染它能訪問的文件系統中的文件�。絕大多數計算機病毒發作后會影響系統運行速度�����,有的會惡意的破壞計算機軟件����,甚至于硬件,比如CIH病毒發作后會清BIOS內容�����,使計算機無法啟動�����。美國權威反病毒機構ACSA在2003年第六屆亞洲反病毒協會年會(AVAR2003)上提交了一份病毒疫情調查報告其中指出����,目前世界上共有8萬多種基于windows病毒。由于Linux/UNIX或是專有系統的文件系統權限機制��,及其完全不存在“盜版”的開放源碼形式的軟件發布���。病毒無法在這些系統上傳播��,特別是作為產品的經過精心裁減的開放源碼的嵌入式操作系統���,病毒是不存在的。
l 蠕蟲:是一類利用網絡進行傳播的程序�,此類程序有合法的����,但大多數是非法的��,這類程序利用主機提供的服務的缺陷進行攻擊目標機,目標機一旦感染后��,一般會隨機選擇一段ip地址進行掃描�,找到下一個有缺陷的目標進行攻擊。此類程序對于網絡危害很大���,常常導致國際互聯網大阻塞�,此類型程序最早于UNIX系統上實現�����,在近10年以內有針動UNIX/LINUX和此類程序出現過��,如針動DNS解析的服務程序BIND的Lion蠕蟲��。2000年以后大多數蠕蟲以WI NDOWS為攻擊對象��。有很多的例子�����,如波擊波����,震蕩波等等。
l 木馬:是網絡程序攻擊成功后有意放置的程序���,用于與外面的攻擊程序接口�,以非法訪問被攻擊主機為目的����。這也是絕大多數基于windows系統的。
l 后門:是寫系統或網絡服務程序的公司或是個人放置于系統之上����,以進行非法訪問為目的的代碼。此類程序只存在于不開放源碼的操作系統之中����。
l 漏洞:由于程序編寫過程中的失誤,導致系統被非法訪問����。在有很大數量用戶進行代碼分析�����、測試的開放源碼系統中����,漏洞會很少。
通過以上幾個方面的論述��,雖然windows作為桌面辦公系統十分普及�,但是如果作為網絡通訊的網關設備的承載系統,其安全性明顯要低于基于Linux開放源碼設計的系統�����。
APNGW基于Linux系統核心2.4開發����,經過優化和裁減,全部系統才不到4M大小���。
結論:基于Linux開發的VPN系統�,明顯在防病毒攻擊����、安全漏洞上要遠遠高于基于Windows系統的軟件VPN。
3.可靠性
軟件VPN采用Windows系統作為系統的根基�,其可靠性取決于安裝這個軟件的PC機���。這在一定程度上說明了軟件VPN的可靠性是不可控制的�����。而且依賴于Windows系統��,系統其他的軟件導致的沖突或者資源占用的情況也會對VPN的可靠性帶來影響���。
硬件VPN一般都采用專用的硬件,在可靠性方面可以得到良好的控制�。一般采用工業主板,其平均無故障時間明顯多于PC機��。
APNGW采用我公司獨立開發的硬件���,基于0.18微米CMOS的RISC架構的高速低功耗CPU��,具有完整的MMU功能,哈佛總線結構��,集成了8K/16K指令高速緩存和8K/16K數據高速緩存����;內置貼片RAM�����、DOC(Disk on Chip);低功耗設計����,為長期穩定的工作充分考慮。由于整個產品采用低功耗����、嵌入式設計,無需風扇����,可以勝任惡劣的環境,能夠長期穩定可靠的工作���。
結論:硬件VPN的可靠性是專用硬件來保障的�,而軟件VPN可靠性存在不確定因素�。
4.安裝維護
軟件VPN看起來安裝比硬件VPN似乎要簡單���,因為軟件可以直接在電腦上安裝����,而硬件VPN需要連接線路,網線等等���。但是整個VPN系統的實施需要安裝和調試兩個部分組成�,所以不能簡單比較安裝過程��。
APNGW產品才有獨特的License管理機制���,讓VPN通訊的調試過程變得非常輕松����。
而在系統維護方面�����,軟件VPN明顯的不如硬件VPN��。因為軟件維護的不光是VPN軟件����,還需要維護整個PC系統,任何導致PC的windows系統的不穩定因素例如病毒��、攻擊�、硬件的兼容性、軟件的兼容性甚至某一項設備的驅動都可能導致軟件VPN的故障��;而硬件VPN一般采用專用硬件�����,維護量很少����。在遠程維護方面�����,APN產品可以通過telnet或者WEB方式遠程登陸��,而基于windows的軟件VPN就難以提供這樣的功能���。APN在設計上還獨創了智能向導功能,可以智能指導用戶維護����,同時�,明確的系統指示燈和獨創的動態DPIO指示燈可以很直觀的反映設備運行狀態���。
結論:在安裝方面的比較需要視不同的VPN產品而定�����;但是維護方面明顯的硬件要優于軟件�����。
5.穩定性
VPN產品由于需要長期運行��,穩定性顯得十分重要�����。為了讓設備可以24×7運行;需要考慮很多方面的因素���。例如是否有病毒干擾��、硬件是否穩定�����、系統設計是否智能等等因素�����。
從軟件VPN和硬件VPN的核心上考慮��,基于Windows系統的軟件在穩定性方面上肯定是不能和基于Linux核心的專用系統相比較的�����。
從硬件的穩定性上講,基于軟件的VPN產品主要依賴于PC的穩定性����,而硬件VPN產品是靠專用硬件來完成的。
從系統設計上來說���,基于windows的軟件VPN產品對底層的控制非常有限�����,例如要完成PPPOE撥號是否成功的檢測����,要啟動一個DHCP服務,要做QOS����,等等,一般都是通過調用windows的API函數來完成�����,功能十分有限�����;而Linux的設計初衷就是為了網絡服務����,可以很好的結合內核程序���,解決以上類似問題�。
APN產品的設計充分考慮了以上環節��,產品設計上充分智能化����。例如可以智能檢測隧道信息是否暢通和自動恢復;可以智能判斷是否廣域網絡故障�����;可以智能指導用戶查詢故障原因等��。
結論:穩定性涉及多方因素�,軟件VPN產品由于依賴于其他硬件和系統���,某些方面無法控制���,所以和硬件VPN相比����,穩定性難以保證�。
6.成本
采用純軟件的VPN,可以節約成本嗎�����?一般從表面看來,軟件產品由于沒有要求客戶有額外的硬件投入�����,所以市場價格往往很低�。但是綜合考慮,VPN的成本主要包含那些呢�?
VPN網絡的成本可以簡單歸納為產品成本和維護成本����。
如果選擇軟件產品,需要額外的投入一臺電腦����,這包含了硬件PC的成本和windows操作系統的成本。
使用 Windows xp 的用戶相信對此尤有切身體會�。每張 Windows XP 光盤只能安裝在一臺電腦上,不僅如此���,重裝操作系統或更換一定數量的硬件都會導致 Windows 反盜版機制的干預���,使得用戶必須向 Microsoft 索要新的序列號。相比較之下 Linux 不僅可以免費下載���,而且可以安裝在任意數目的機器上��?��;贚inux開發的硬件VPN這個優勢是不言而喻��。
如果用戶已經有了一套PC�,使用軟件VPN是否就可以認為是比較便宜了呢����?試想����,如果客戶的整個局域網都需要一個PC作為VPN的網關,連接遠程的橋梁���,一定是需要這個PC是十分穩定��,7×24小時高效運行,能夠讓它在完成加密���、解密的關鍵義務的過程中�,還要處理Word文檔,Excel表格嗎����?
而維護成本方面,維護軟件的VPN需要考慮PC器的穩定��,需要時刻注意windows系統的漏洞����,防止病毒�,防止軟件之間的沖突等等,額外的維護量是額外的高額成本之一�;而硬件VPN就可以很少考慮這方面的因素。
APN產品在設計上為用戶充分考慮�����,采用性能價比很高的硬件設計�����,為客戶提供VPN功能的同時����,對產品的穩定性�、可靠性���、智能性做了很多方面的細節設計��,最小程度的減少客戶的維護成本����。
結論:綜合考慮��,軟件VPN的成本并不低��,因為VPN的成本需要整體考慮��,不能簡單看到產品的市場價格�����。
7.總體結論
如果客戶對一般軟件使用和windows系統十分熟悉,建設的網絡結構比較簡單�����,對網絡性能����、QOS無十分嚴格的要求,正好又有閑置的���、高配置的���、裝有正版windows系統的機器,軟件產品可以在一定程度上體現價格優勢�����。
如果建立的VPN網絡����,考慮系統安全、長期穩定運行����、維護成本、良好的綜合性能等等因素����,硬件VPN產品具有軟件產品不可比擬的優勢。
