Однако большинство компаний вынуждено перейти вброд море вариантов, чтобы найти лучший
Кристина Салливан
Рынок виртуальных частных сетей развивается сегодня весьма бурно, предлагая организациям широкий выбор оборудования и ПО для этих сетей - от интегрированных многофункциональных и специализированных устройств до чисто программных продуктов. Так что найти оптимальный вариант непросто. Свое оборудование и ПО для виртуальных частных сетей предлагают сотни производителей, среди которых нет бесспорного лидера.
Интегрированные VPN-решения включают функции брандмауэра, маршрутизации и коммутации в работу. Главное преимущество такого подхода состоит в централизации управления компонентами. Специализированные VPN-системы обеспечивают более высокую производительность, так как шифрование в них осуществляется специализированными микросхемами, но их администрирование представляет отдельную задачу. Чисто программные продукты обеспечивают достаточную для удаленного доступа производительность и также могут быть использованы.
Светлое будущее
Стив Вуд, руководитель исследований и разработок в компании Extended Systems (Боизе, шт. Айдахо), говорит: “Тем, кому не требуется высокая производительность, но необходимо сосредоточить все функции в одном устройстве, вероятно, подойдет интегрированное решение. Но чем больше функций исполняется на одной платформе, тем чаще приходится идти на компромиссы”.
Компания Extended Systems выпускает для малых и средних предприятий специализированное VPN-устройство ExtendedNet ценой $2999.
Многофункциональные VPN-решения также могут обладать функциями интеграции. Франк Фулер, менеджер отделения бизнес-решений для удаленных сетей в корпорации 3Com (Мальборо, шт. Массачусетс), считает: “Брандмауэр, встроенный в сетевое оборудование, позволяет вам расширить VPN до LAN”.
3Com предлагает сетевые устройства, обладающие функциями VPN, среди которых - туннельный коммутатор PathBuilder ценой $15 955 и серия маршрутизаторов SuperStack II NetBuilder SI.
Во многих многофункциональных VPN-продуктах имеются функции, которые облегчают их установку и использование. Например, шлюз LanRover VPN ценой $6200, разработанный отделением Network System Group корпорации Intel (бывшая корпорация Shiva), обладает функциями брандмауэра маршрутизации, однако не требует обязательного их использования.
Маршрутизатор 2212 Access Utility отделения Networking Hardware Division корпорации IBM имеет функцию plug and play для автоматического определения возможностей VPN.
Интегрированная среда
Интеграция компонентов - главный критерий для некоторых организаций при выборе решения. Так, медицинский центр City of Hope National Medical Center (Дуарте, шт. Калифорния) выбрал программное решение Alert VPN компании Axent Technologies (цена $1995) потому, что оно может быть объединено с брандмауэром Raptor этой же компании.
Сагив Орен, отвечающий за безопасность данных в этом медицинском центре, говорит: “Начав искать VPN-решение, мы пришли к выводу, что виртуальная частная сеть, основанная на брандмауэре, предпочтительнее отдельной специализированной системы”.
Традиционные маршрутизаторы, в отличие от устройств со встроенными функциями VPN, не рассчитаны на шифрование больших объемов трафика. Трой Тренчард, занимающийся маркетингом маршрутизатора 1720 VPN Access Router в компании Cisco Systems (Сан-Хосе, шт. Калифорния), сказал: “Шифрование требует интенсивных вычислений. Маршрутизаторы же изначально предназначались для передачи трафика в глобальных сетях или по выделенным линиям. Они не проектировались для поддержки алгоритмов шифрования”.
Тренд добавил, что для преодоления этого недостатка компания Cisco к концу года выпустит модуль аппаратного шифрования Hardware Encription Module для маршрутизатора 1720 VPN Access Router.
Хотя в составе 1720 VPN Access Router и имеется RISC-процессор, новый модуль будет поддерживать стандарт шифрования IP Security Triple Data Encription на скоростях канала T-1.
Недавно компания Lucent Technologies (Плезантон, шт. Калифорния) начала поставки карты IPSec Encription (ценой $1295) со 100 МГц процессором для концентратора удаленного доступа PortMaster 3, обеспечивающей шифрование на скорости канала Т-1.
Кари Хайвард, менеджер по VPN-продуктам отделения Remote Access компании Lucent, завил: “Одно это устройство позволит маршрутизировать пользовательский трафик, отключать клиентов RAS (Remote Access Server), подключившихся по телефонным линиям, и туннелировать IPsec с узла на узел”.
Автономные сети
Автономные системы, предназначенные специально для выполнения функций VPN, часто располагают более широкими возможностями. Ричард Каган, вице-президент по маркетингу в компании VP-Net Technologies (Сан-Хосе, шт. Калифорния), считает, что поддержка протокола IP и функций, связанных с этим протоколом, таких, как туннелирование, обеспечение безопасности, управление полосой пропускания и аутентификация, также очень важны для VPN-систем.
Высокая производительность - большое преимущество специализированных VPN-устройств. “Объем вычислений, которые необходимо выполнить, обрабатывая пакет VPN, в 50 - 100 раз превышает тот, который требуется для обработки обычного пакета, - говорит Каган. - Если вы хотите своевременно обрабатывать значительное число пакетов VPN-трафика, вам придется использовать специализированную аппаратуру”.
Маршрутизатор Cisco 1720 VPN Access Router (цена $2195) обеспечивает шифрование канала с пропускной способностью 512 кбит/с, а специализированное VPN-устройство VSU-10 $2795 выполняет шифрование потока данных со скоростью 8 Мбит/с.
Считается, что специализированные VPN-устройства обеспечивают более высокий уровень безопасности. Елад Шавив, вице-президент по маркетингу и продажам специализированного VPN-устройства CIPro ($6450) в компании Radguard (Махвах, шт. Нью-Джерси), говорит: “Некоторые атаки хакерам проще осуществить через маршрутизаторы, использующие стандартные протоколы”.
Недостаток автономных решений состоит в том, что их администрирование осуществляется независимо от управления устройствами, реализующими функции брандмауэра, маршрутизатора и др. Тренчард из Cisco считает: “Когда вы развертываете любую масштабную VPN, надо учитывать, что системой из четырех устройств управлять сложнее”.
Системы, реализованные чисто программным способом, могут тем не менее обладать достаточной мощностью для реализации сети VPN. Прикка Паломаки, директор по маркетингу в компании Data Fellows (Сан-Хосе, шт. Калифорния), разрабатывающей программное обеспечение F-Secure VPN+, говорит: “Чисто аппаратные решения не обязательно достигают наивысшей производительности. В случае удаленного доступа требования к полосе пропускания, необходимой для организации удаленного доступа, невелики. При подключении через модем даже у мобильного ПК хватает вычислительной мощности”.
Цена пакета программ F-Secure VPN+ версии 4.0, поставки которого начались в феврале, - $495 за серверную лицензию. В пакет включена программа для централизованного управления, основанного на заранее заданных правилах, предоставляющего возможность дистанционной установки программ.
Однако программно реализованные функции VPN вряд ли способны обеспечить работу на высоких скоростях каналов xDSC и кабельных модемов. По мере того как разработчики продуктов для VPN будут принимать стандарт IPSec и добиваться их совместимости, пользователи смогут соединять друг с другом интегрированные, автономные и программно реализованные VPN-продукты. Клиф Ханнел, вице-президент по разработке продуктов в компании Internet Dynamics (Вестлейк-Вилидж, шт. Калифорния), говорит: “Настоящий конфликт возникает не между интегрированными и самыми лучшими в своем классе продуктами, а между продуктами, основанными на собственных технологиях фирм, и базирующимися на стандартах”. Фирма Internet Dynamics поставляет для VPN ПО Conclave по цене 2490 долл.
Бриан Кохен, исполнительный директор и президент компании Technologic (Норкросс, шт. Джоржия), полагает, что пока “пользователи не должны считать, что им нужны самые быстрые продукты, имеющиеся в продаже. Если в качестве критерия выбрать только максимальную скорость автомобиля - все должны остановиться на Ferrari. На самом деле каждому нужен свой автомобиль”. Компания производит устройство InstaGate Internet Appliance по цене $3995.
Адрес внештатного редактора Кристины Салливан: kristina_sullivan@zd.com.