前言
要通過Internet來連接分散的中小型企業，這無疑向企業家及其星羅棋布的辦公室提出了獨一無二的挑戰。本白皮書描述了連接遠程工作員工和辦公室的3種模式：基于客戶端的VPN軟件，多個制造商混合的點對點VPN方案，以及使用集成防火墻的單一制造商方案。本文對每種模式的優點和缺點都進行了探討。
若管理得當，Internet能極大地提高工作效率，使員工能在最便捷的地方工作--不管他們身處世界各地，還是在同一城市。其實，要建立分布式網絡有不少方法。而其中最好的方法就是建立一個集成的體系結構，它不僅能實現安全的遠程安裝、管理和故障診斷，而且能夠正確貫徹你的公司安全策略--所有這些能長期幫助你節省時間和金錢，為你帶來可觀的投資回報。
將遠程站點連接的3種模式綜述
防火墻的初始概念非常簡單--通過限制訪問來保護局域網和Internet之間的"邊界"。但是，隨著人們對Internet的依賴越來越大，與Internet連接的電腦所面臨的安全威脅日益嚴峻。
中小型公司通常不具備實現企業級網絡安全性所需的充足資源，所以在這些威脅面前顯得尤其脆弱。如果你在網絡中增添了遠程辦公室和遠程工作人員工作站，未經許可進入小企業網絡的可能性還會顯著增加。
為了限制破壞，防火墻的保護范圍必須擴展到網絡上的所有用戶--包括直接受防火墻保護的用戶（比如在總部上班的人）以及防火墻外部的用戶（遠程工作人員）。
"虛擬專用網絡"（Virtual private network，VPN）方案尤其引人注目，因為它們能提供一個私有的、像專用租線網絡一樣的安全性，同時不必支付現實中擁有這種網絡所需的價格。
VPN使用加密技術將數據攪亂，使其在通過Internet傳輸的時候處于不可識別狀態，從而在公用網絡上提供了保密性。與遠程辦公室或遠程工作人員聯網的公司通常都使用VPN來連接多個辦公點。
下表展示了連接一個遠程站點和公司總部網絡的3種模式，并描述了每種模式的主要優點和缺點：

選擇一種VPN方案時要注意的問題
為了理解擁有和運行一個VPN端點所涉及的全部成本和各種可能性，你需要認真考慮使用它時的方方面面。如果不這樣做，最終可能會導致你投入遠超于計劃的時間、精力和金錢。在決定選擇哪一種VPN方案來連接你的遠程辦公室和網絡前，請回答以下幾個問題：
策略控制:誰在隧道的另一端？你放心讓他們訪問你的整個受托網絡嗎？還是，你需要限制他們的訪問？
故障診斷:如果遠程端出現故障，排除故障的難度有多大？
日志記錄:終端為防火墻/VPN網關提供了通用日志格式嗎？如果沒有，那么日志怎么同步？
通信分隔:如果VPN端是在某人家里，那么他們能將公司通信與家庭通信分隔開嗎？
身份驗證:你怎樣知道隧道上傳輸的數據是來自員工，而不是來自他的黑客朋友呢？
總體擁有成本（TCO）:就本文來說，TCO應包括采購費用（初始購買價格有多高？），部署費用（你的方案在安裝時，能否無需在終端安排IPSec專家？），以及維護費用（你的方案支持遠程管理嗎？軟件如何更新？）。
實施一種VPN方案
MOBILE USER VPN（移動用戶VPN，MUVPN）客戶端
在上述3種基本選項中，最簡單的就是使用單獨的MUVPN客戶端。它具有最高的靈活性，但在遠程管理和故障診斷方面缺乏效率。采用這個模式，遠程系統上單獨運行的軟件要連接總部VPN網關。對于MUVPN客戶端的用戶來說，需要通過由客戶端維護的隧道來對公司的網絡進行訪問。許多客戶端都可以配置成允許所有通信都經由隧道進行。由于所有遠程網絡通信都返回總部，所以可以將公司安全策略輕松地應用于通信。
策略控制
MUVPN通常要么允許，要么禁止：遠程站點用戶要么能訪問你的整個網絡，要么就一點都不能訪問。盡管一般情況下可以在客戶端上配置更嚴格的規則來限制通信，但假如這樣做，經常性地維護那些規則是相當復雜的事情，而且會增大維護成本。如果需要限制通過隧道進行的通信類型，則應考慮其他方案。
故障診斷
MUVPN客戶端必須讓非技術出身的用戶也能操作。所以，你必須考慮到當它出問題的時候，IT員工如何去解決它。客戶端本身不具備遠程故障診斷或者管理功能。為了解決問題，你必須使用第三方的遠程管理軟件。
日志記錄
VPN網關和大多數MUVPN客戶端都能記錄連接信息，這是進行故障診斷的關鍵。確保兩個系統都能接收來自同一個來源的時間同步指令，而且不同的日志格式能夠相互轉換或兼容。
通信分隔
在大多數部署中，MUVPN客戶端都能方便地隔離公司通信和非公司通信。所有公司通信都進行加密，并傳送到公司網絡；非公司通信則不然。除此之外，和另外兩種方案不同，MUVPN客戶端幾乎可以在任何能夠上網的地方使用，比如酒店房間、網吧以及只能撥號上網的場所。
身份驗證
大多數MUVPN客戶端都為所有連接提供了強驗證功能。
總體擁有成本（TCO）
MUVPN客戶端價格便宜。你的防火墻一般已經附帶了幾份MUVPN客戶端許可證。附加的客戶端許可證一般只需花費20美元/每客戶端。
初始部署所發生的費用取決于方案的復雜性。你應該預留一周的時間去適應配置及故障診斷過程。另外，計劃每個客戶端系統花30～60分鐘的時間來完成實際的安裝。
MUVPN客戶端本身不需要進行例行維護。但要記住，MUVPN客戶端保護的只是隧道中的通信。在最低限度上，客戶機需要安裝病毒防護軟件以及個人防火墻。長時間更新其中的任何一個程序，都可能會影響MUVPN客戶端的性能，因為它們使用的是同一系列的系統資源。正是考慮到這種相互依賴的特點，所以你應該盡量避免將MUVPN作為一種永久性的方案來解決遠程辦公室的連接問題。
小結
如果只有少數人需要在外面辦公，或者確實需要從任意地點連接的能力，那么少數幾個MUVPN也許是一種合適的方案。
具有IPSec功能的第三方防火墻/路由器
互聯網的主流應用有大量廉價的、功能較好的防火墻/路由器。這些入門級設備的定價一般低于100美元，它們提供了IPSec和防火墻的基本功能，但缺點是不方便進行遠程管理、故障診斷、日志記錄和內容管理。便宜的初始采購費用非常吸引人，而且在某些情況下，還會產生較低的總體擁有成本。在一個典型的網絡架構中，人們會選擇使用一個便宜的防火墻/路由器，通過一個手工配置的IPSec隧道來連接主VPN網關。
策略控制
不同的路由器具有不同的能力，這具體取決于IPSec和防火墻軟件的集成度有多高。通常，策略控制要在主VPN端點應用，以減小總體部署的復雜性。從VPN端點到防火墻的所有隧道通信都應該在防火墻處被截止（即使隧道本身是開放的），除非專門設置了某個服務，對那種類型的通信放行。
故障診斷
假如遠程設備能夠從公司總部安全地管理，那么IT部門必須準備兩個不同的管理界面，以便顯示兩種不同的格式的調試信息。要想對兩者進行準確的解釋，可能并不容易。要想取得成功，必須花費大量時間和精力來進行學習，了解路由器的特點，以及它如何與主網關進行交互。
日志記錄
具有IPSec功能的路由器可能支持、也可能不支持傳輸日志，而且可能無法提供"調試"級的日志。如果它們支持日志功能，你的員工仍然需要集成來自兩套日志的信息。由于時間同步是調試IPSec問題的關鍵，所以請確保系統能從同一個來源獲取時間信息。 許多設備會將信息記錄到syslog（系統日志）中，這是UNIX?采用的常規格式。雖然syslog既不安全，也不可靠，但你可以用它來實現跨平臺的日志合并。假如設備不支持syslog，那么IT人員必須使用兩種報告機制，對兩種格式的日志數據進行人工同步處理。
通信分隔
對于廉價的、具有IPSec功能的路由器來說，極少產品允許在內部分開連接兩個獨立的物理網絡。所以，沒有簡單的方法確保隧道上進行的只是公司內部通信。
身份驗證
如果遠程辦公室就是一個遠程工作人員的家，那么必須保證遠程員工只通過隧道訪問公司總部的網絡。大多數廉價的、具有IPSec功能的路由器都是直接授予隧道訪問權限，不支持在此之前的身份驗證功能。
總體擁有成本
大多數零售電腦商店都以約100美元的價格出售具有IPSec功能的路由器。這種設備的初始部署比較費時間。但是，一旦隧道兩端的員工都充分理解了IPSec，那么使用起來就會比較順利。否則，你應該確保提供可靠的遠程管理和故障診斷能力（這不能依賴于路由器本身）。如果允許的話，最好先將第三方設備配置好，再把它拿到遠程地點使用。
在多種品牌的產品混合使用的網絡中，與使用單一制造商和管理系統的網絡相比，前者通常要產生更大的維護成本。對某個設備進行的每一次軟件更新都會造成改變，要求重新建立和測試隧道設置--假如沒有方便的遠程管理，這就是一個十分繁瑣的任務。
在某些受到控制的情況下，以隧道兩端都配備了有經驗的管理員為前提，使用具有IPSec功能的防火墻/路由器來搭建一個IPSec VPN網絡并不是不可行的。但是，你要做好產生更大的管理開銷以及支付更多的支持費用的心理準備。
單一制造商方案
對于遠程辦公室和分支機構來說，單一制造商和多制造商這兩種方案的區別反映在管理能力上。來自單一制造商的產品通常能有效地協作，采用通用的日志格式，進行了更緊密的IPSec集成，使用了特殊的隧道管理工具，而且能產生較低的維護成本（因為采用通用的或者類似的管理界面）。
策略控制
單一制造商防火墻/VPN網絡通常能緊密地協作。從特殊設計的全局管理軟件與VPN配置工具上，即可看出這一點。和具有IPSec功能的路由器一樣，從隧道傳出的通信通常由總部的VPN網關進行管理，并在那里集中控制，以簡化管理。
故障診斷
單一制造商的設備通常使用一套通用的管理軟件、術語、日志格式等等。這種強烈的家族共性有助于快速診斷出不可避免發生的問題。
日志記錄
如果制造商實現了一種定制的日志格式，以解決syslog缺乏可靠性和保密性的問題，那么兩邊的設備通常都支持這種定制的日志格式，從而有助于故障診斷。
通信分隔
一些較高級的遠程辦公室設備為家庭和辦公室網絡進行了物理劃分。如果遠程辦公室就是員工的家，那么家庭網絡通信將保持在一個網段上，另一個網段則只用于公司通信。所以，家庭系統上的病毒無法通過隧道感染辦公室。
身份驗證
一些較高級的遠程辦公室設備允許先對用戶進行身份驗證，再決定是否允許他們訪問Internet或隧道。對于不受信任的無線網絡來說，這是尤其有用的一個功能。由于許多無線網絡都很容易被破解，所以必須對請求通信的用戶進行身份驗證。
總體擁有成本
相比購買廉價設備，單一制造商方案的初始投入通常都比較大。但在大多數情況下，這個方案能確保以后產生較少的維護、部署和管理成本。
如果你部署單一制造商網絡，管理員就可以充分利用專用工具和特殊功能，以加快網絡部署和增強網絡的可靠性。為了簡化維護，一些較高級的設備通常支持安全的遠程管理功能，允許遠程安裝新軟件，并允許遠程日志記錄。
小結
雖然初始投入較大，但集成式單一制造商方案通常能提供更好的可靠性、管理能力以及最低的TCO（總體擁有成本）。更好的、更高級的產品則提供了更豐富的特性，使其更好用，而且通常能進一步降低以后的配置、管理及支持成本。