力量三:与ERP做整合
无论是内网还是远端,VPN技术的发展一直面向企业应用,而由此也引发了VPN与ERP系统的整合。
据记者调查,VPN的整合化趋势早在三年前就已经开始,只不过当时的技术与部署条件还不完美。从目前的趋势看,VPN与ERP的整合已经在不少大型企业和政府机构得以实现,甚至在此基础上,还出现了VPN与路由器的整合苗头。
深信服的安全产品经理邬迪建议,企业的IT人员应该关注一下VPN与ERP的整合过程。因为一直以来,ERP都是企业解决业务扩展与分支机构增多的工具,包括渠道、合作伙伴、远程或移动办公种种需求,都属于ERP管理的范畴(或者说是业务系统的一部分)。ERP的核心是与企业业务整合,而一套先进的VPN系统,同样要与业务整合,由此不免引发了一场新的关于“整合”的技术革命。
从技术上分析,ERP的远程管理模块与VPN整合,可以实现基于业务的远程安全访问。据王景辉介绍,无论是B/S模式还是C/S模式的系统,都可以利用SSL VPN或者IPSec VPN进行整合。不过要注意的是,在C/S模式下客户端和服务器之间不一定使用TCP/IP协议,链路所需带宽通常在100K-500Kbps范围,C/S架构往往从局域网角度开发实际上若没作优化,所需带宽可能大到3-5Mbps。因此,在这种情况下,对于VPN的吞吐能力有较高要求。
另外,在对企业应用的支持上,王景辉认为IPSec和SSL对ERP的支持有所不同,有些时候甚至大相径庭。首先,当用户们试图在饭店里或者其他类似所在地建立VPN连接ERP系统时,常常会碰到的一个问题是一些网络或者防火墙的管理员关闭了VPN协议所使用的端口。不过,由于绝大多数网络都会允许进行安全HTTPS通信,所以这种情况下SSL VPN依旧能够正常工作,而其他的VPN协议就无能为力了。但另一方面,他也强调,使用SSL VPN,自然也就无法获得使用其他传统VPN技术所能获得的相应存取级别权限。
另外,根据经验,IPSec在IP层对数据进行加密,因此它可以对终端站点间所有的传输数据进行保护,而不管是哪类业务应用。换句话说,不论是企业分支机构还是上下游供应链,利用IPSec都能够在不同局域网之间以及远程客户端与中心节点之间建立安全的传输通道,因此对于传统上的ERP支持较广。
需要强调的是,由于ERP环境中用户数据在被加密后仍然在公网上传输,因此加密技术非常重要,它直接影响到用户数据的安全。而IPSec是在这方面作的比较好的一种技术。
相对而言,SSL属于应用层协议,它的优势主要集中在VPN客户端的部署和管理上,基本无需安装客户端。这样做的好处是,如果企业开展了基于B/S结构的ERP应用,用户可以直接使用浏览器完成SSL的VPN建立。
不过这种模式也有局限性。因为对于非Web页面的业务访问,SSL往往要借助于应用转换。特别是有些SSL VPN产品所能支持的应用转换器和代理的数量非常少,而有些连基本的FTP和微软文件服务器的应用转换都不支持。这个特点决定了基于SSL VPN开展ERP应用,无法形成局域网对局域网的应用,因此在企业上下游供应链的整合上存在挑战。
在ERP与VPN的部署上,江苏省粮食局的应用最有代表性。该局领导在接受采访时表示,粮食局在当初建立ERP系统的时候就发现,由于自身下辖粮库分散在全省各地,信息的收集相对繁琐。而基于信息安全考虑,最初的想法就是将ERP的信息采集与VPN相结合。据悉,粮食局IT负责人表示,江苏省粮食局下辖几十个地方粮库和多个地市分局,利用统一的IPSec VPN网络,成功实现了与ERP局端的安全对接与数据采集。
对此,王景辉表示,很多企业都希望能够借助安全服务提升效率与竞争力。类似粮食局这种具备“分散型高安全业务”特点的企业,都应该利用VPN技术建立了一个防护----检测----响应体系,可以涵盖内部的业务系统甚至是后期的内网安全。
【相关文章】
【责任编辑:
安妮 TEL:(010)68476606】
相关文章
