虚拟VPN和虚拟防火墙 ?

    大型企业越来越需要将网络、各种应用程序以及公司数据库扩展至企业雇员、商业合作伙伴以及其它访客用户。这样的需求产生了庞大而又复杂的网络，既难以管理，又无法确保其安全。与此同时，许多管理员开始利用虚拟局域网(VLAN)技术对不同部门和团队的基础架构进行拆分。尽管VLAN技术在按功能划分这些网络方面是卓有成效的，这些公司仍需要在每个网段的前端部署单独的防火墙、VPN 和入侵防御设备才能实现综合的安全防护。这样做的代价是非常昂贵的，大大增加了日常管理工作量和成本。为了满足单个防火墙可以作为多个防火墙来用的需求，防火墙厂家推出了虚拟防火墙产品。虚拟防火墙大量被电信运营商用来提供防火墙功能给宽带企业用户。

    在目前VPN大量使用的情况下，有一些市场需求是希望通过单个VPN就可以实现多个VPN的功能。例如，电信运营商希望部署一台VPN服务器就可以给宽带企业用户分别提供各自的VPN服务。高校的网络中心，通过部署一台VPN服务器，为整个学校的各个教研室和实验室提供各自独立的VPN。在社区医疗，环保监管，易做图行业等，虚拟VPN正在日益得到使用。

    虚拟VPN的实现有两种形式。一种是在一个高端的VPN设备上面，生产多个域。每个域作为一个独立的VPN。属于不同的单位的人，通过使用不同的域用户帐号登录该高端VPN服务器，从而可以保证同一个单位的人可以互相访问，不同单位的人不能互相访问。为了实现支持更多的用户，还可以将多台高端VPN服务器通过路由器策略集成，实现同一个域的用户，即使登录不同的VPN设备，也可以保证互联互通。

    虚拟VPN的另外一种实现方式是采用端点到端点的VPN系统。该系统将用户验证，权限分配等和用户的具体网络连通分开来处理。不同用户在同一台服务器登录，得到互联互通的权限和属于自己的域里面的在线用户。在这个基础上，属于同一个域的用户可以互相访问，属于不同域的用户不能互相访问。该登录服务器可以同时支持几万在线用户，创建任意多的域，实现任意多个VPN。企业可以利用虚拟系统来为不同的业务系统进行划分，既可以通过服务和功能，也可以通过网段来对网络进行划分。因此，管理员可以为不同的网段制定不同的策略，也可以将较大的规则库拆分成多个较小的规则库，从而方便管理和更好地控制网络安全。

    使用以上两种方式实现的虚拟VPN的区别在于用户的网络流量是否经过VPN服务器。前一种方式，所有用户的互相访问的网络流量都要经过VPN服务器。这样，VPN服务器可以同时支持的在线用户数就受到限制。同时，架设该VPN服务器也需要投入大量的资金用于网络带宽的费用。采用第二种方式实现的虚拟VPN，避免了用户的VPN网络流量经过一个VPN服务器的缺陷，为系统的实施，节省了大量的带宽使用费，避免由于VPN服务器带宽的不够影响全部用户的VPN的速度的问题。


    第一种虚拟VPN在市场上的代表是中国电信的VPDN增值服务。第二种虚拟VPN的代表厂家是美国维恩网络公司的VNN-Enterprise。


注：如需了解更多关于该产品的的详细资料，请访问http://www.bizvnn.cn

补充：企业软件 ,  企业信息化