经过我们的调查，那些对IPSec VPN跃跃欲试的用户对以下问题仍存有疑虑，如:在2M和ADSL链路上的VPN性能是怎样的，对于分支机构而言，中低端的产品是否可以满足需要?我们企业的分支机构管理能力有限，VPN产品能够做到全网集中管理与维护吗?在短期内不会花巨资租用高带宽出口，狭小的带宽能够保证关键业务的运行吗?随着企业间联系的日益密切，VPN产品如何面对流行的安全隐患?网络环境相对复杂，是否需要因VPN而进行拓扑改动?

　　为了给出答案，《网络世界》评测实验室组织了新一轮的IPSec VPN公开比较测试，测试将分两阶段进行。第一阶段的主题是“用好您的VPN网络”，重点在安全管理、流量管理、集中管理、以及对复杂网络环境的适应性上。第二阶段的主题为“构建复杂、多业务的VPN网络”，强调VPN网络对于业务系统的支持能力，通过搭建包括语音和ERP等多业务系统，得出可触摸、可借鉴的服务质量。

　　为了给用户提供更有针对性的参考，我们在发出测试邀请时模拟了这样的应用场景，即契合目前大、中型VPN企业用户的常见使用情况，要求厂商至少送测两款VPN网关，其中一台为中心网关，另一台部署于分支机构。其中分支VPN网关能够适应用户2M专线和ADSL接入的需求，中心网关能够满足与10个以上分支机构VPN网关互联的需求。

　　我们秉承了一贯坚持的公开免费原则，向如下VPN产品厂商发出了邀请:Amarenten、凹凸科技、Fortinet、港湾网络、国恒联合、华为3Com、i-Security、Juniper、联想网御、Netgear、诺基亚、启明星辰、瑞星、深信服、神州数码、思科、SonicWall、侠诺科技。最终，Fortinet、国恒联合、i-Security、Juniper、深信服和侠诺科技积极地接受挑战，并各自送来了如下的方案(中心网关+分支网关):Fortinet(FortiGate 800F+FortiGate 60)、国恒联合(速通VPN/路由器4000+速通防火墙S50)、i-Security(SP-4060+SP-3040)、Juniper(SSG 550+NetScreen-5GT)、深信服(DLAN M5100+DLAN S5100)、侠诺科技(QVM1000+QVM330)。此外，他们还带来了配套的管理软件。

　　这次测试中，思博伦通信为我们提供了测试仪表，D-LINK向我们提供了三层全千兆交换机用于搭建测试环境，在此一并向他们表示感谢。

　　经测试，深信服以较高的性价比给我们留下了深刻的印象，国恒联合与侠诺科技在满足用户基本需要的基础上拥有最具吸引力的价格。Fortinet、i-Security和Juniper则拿出了全面的表现。最终，凭借在攻击防御、功能与管理等方面的优势，以及良好的性能表现，Juniper的“SSG 550+NetScreen-5GT”组合获得了我们的最高评价，赢得《网络世界》评测实验室编辑选择奖。

　　安全第一

　　VPN的目标之一就是要达到物理专网的相似安全性。VPN的安全性至少包含以下三个含义，即:数据传输的安全性、用户的安全接入、内网资源访问的安全性。给人的印象是，在这几方面，IPSec VPN产品在几年前就已经很成熟了。实际上，随着安全形势的变迁，好的VPN产品不停地在这些内容上进行着改进，在某些方面，比如深度检测和准入控制上，甚至发生了明显的变化。

　　数据加密

　　IPSec VPN产品通过加密来保障数据传输的安全性，VPN网关支持的加密算法与强度存在着一定差别。目前在市场上主要采用的加密算法是3DES和AES-128，后者比3DES具有更高的安全性，由于加密强度(128bit)要低于3DES(192bit)，其性能往往要高于3DES(有关二者的比较可参看性能测试部分)。在参加测试的六个产品组合中，除了深信服外，其他五组产品还支持AES-256。深信服也是参测产品中唯一的不支持标准IPSec的厂商。

　　 接入控制

　　出差员工等移动用户远程接入是大多数VPN都要面对的一个问题。VPN网关的加密算法再先进，一旦有非法用户成功接入VPN，谈论加密算法也都没有什么意义了，企业网已经完全暴露出来。因此，对移动用户的接入控制极为重要。

　　我们搭建了如图1所示的测试拓扑，使用一台WindowsXP笔记本作为移动接入客户端。

　　经验证，所有产品都支持“用户名+密码”的基本认证方式。应该说，这种方式使用简单，但存在较大的安全隐患，非法入侵者会利用使用者的疏忽而较容易地获取认证信息。即便是针对用户名/密码的认证，产品实现的方式也存在差距。除了国恒联合与侠诺科技的参测产品只支持本机认证外，其余四个厂商的产品都支持到RADIUS和LDAP的认证。目前，采用证书交换的方式是更安全的一种做法。

　　在这次测试中，只有侠诺科技的产品针对移动用户的接入不支持证书方式。对于创建Site-to-Site的VPN隧道，它也只支持预共享密钥而不支持证书方式。

　　Fortinet、i-Security和Juniper的产品还提供了接口，允许第三方的认证方式，如令牌等加入到认证过程中来。

　　深信服科技的产品对于移动用户接入的认证非常有特色，它们采用了基于硬件特征的身份认证技术，将接入用户的身份鉴别和计算机的硬件特征进行绑定，由于每台计算机具备唯一的硬件身份(如网卡的MAC地址、硬盘和CPU的特征码等)，因此，即便用户名/密码被泄漏出去，非法用户还是不能接入到VPN中来。

　　测试中，我们通过正确的用户名/密码信息试图连接到总部时，由于没有正确的硬件绑定信息，客户端软件的日志提示:“认证失败，原因:硬件鉴权不通过。”

　　深信服科技的客户端还支持USB key的方式，管理中心可以将客户端的证书和配置信息都存储到U盘中，帮助客户端自动认证并连接到VPN中来。对于深信服的两款产品来说，用户名/密码认证、硬件绑定和USB key三种方式可单独使用，也可以组合使用。

　　资源访问

　　用户在通过认证后，只能按照企业的安全策略，允许其访问某些特定资源，这也应该是VPN网关控制的内容之一。

　　经验证，所有参测产品都能通过用户身份、地址、服务和时间等元素对接入用户进行访问控制。

　　据了解，有的厂商已经把内网安全方案中的安全准入思想迁移到了VPN中来，即在远程客户端上安装插件，对客户端进行安全评估，比如确认其是否更新了病毒库。对于不符合企业安全策略的客户端，将被放到隔离区中去，直到对安全隐患进行了修正才能被允许访问重要的企业网资源。不过，在这次测试中，我们没有遇到此类产品。

　　深度检测

　　从历史上看，深度检测不是VPN网关的职责。但鉴于当前的安全形势和VPN用户的特点，决定了深度检测对于VPN网关来说应该是一个方向。图2是我们针对这个问题在《网络世界》的2006年安全巡展中对近300名与会者进行调查的统计结果。

　　此次测试，我们无意对VPN网关的深度检测与防御功能进行全面的测试，而只是对产品是否支持对应用层攻击的防御进行了验证。

　　我们针对微软操作系统的一个RPC漏洞(CVE编号:CAN-2002-0724)，穿越隧道，使用某攻击工具对一台未打补丁的Windows2000服务器进行攻击。测试拓扑如图3所示。

　　在参加测试的六个厂商的产品中，有一半产品支持深度检测和防御，它们是来自Fortinet、i-Security和Juniper的产品。我们首先关闭该功能，可以发现，攻击工具可以使Windows 2000服务器出现蓝屏并在数秒钟后重启。

　　开启深度检测并阻断攻击流，结果攻击没能成功。上述三个厂商的产品都在阻断恶意数据流的同时准确报警。我们还在此情况下使用网络邻居对正常的网络行为进行尝试，发现可以正常访问。

　　三组产品在对应用层防御功能上都具有良好的可扩展性，除了不断升级的特征库和协议异常外，它们还都支持用户自定义的特征输入。我们在性能测试中还开启了这三组产品的深度防御系统，发现性能没有明显下降。

　　DoS攻击防御

　　DoS攻击是任何一个网关产品都要直面的问题。我们模拟高强度的DoS攻击，试图发现这些VPN网关在自身遭受攻击的时候是否能够及时报警、继续被管理，VPN隧道是否能够继续工作。

　　我们使用思博伦通信的测试仪SmartBits 6000B模拟针对VPN网关管理地址的SYN_Flood攻击，这些网关默认使用TCP端口号80、443或1000进行管理，我们的攻击就针对这些端口展开。测试拓扑如图4所示。对DoS攻击的防御不仅仅是一个安全特性，它也从一个侧面也反映着产品的性能。

　　我们的攻击强度对分支网关这些“小个子”来说确实大了些，测试仪按照百兆线速发送包长为128字节的攻击包。结果，除了Fortinet外，所有分支网关在遭受这种攻击时与中心网关的隧道都中断了，在攻击停止前也都不能恢复，也无法继续通过Web方式进行管理。不过，尽管攻击强度都超过了网关的处理极限，但来自i-Security、Juniper和深信服的分支网关还是发出了准确的告警。

　　在对中心网关的测试中，百兆线速的攻击强度下，只有i-Security SP-4060和Juniper SSG 550既能准确告警，又能保证隧道不中断。深信服的DLAN M5100仍能准确报警。国恒联合与侠诺科技的产品则在高强度下隧道中断，且不会报警。我们还降低了攻击强度，深信服DLAN M5100可以在90Mbps强度下，国恒联合的速通VPN/路由器4000与侠诺科技的QVM1000能够在50Mbps左右的攻击强度下，仍能保持隧道继续工作并告警。

　　Fortinet的处理方式有些特别，不管我们针对分支还是中心网关的攻击，它都没能告警，据工程师介绍这是因为攻击流量直接针对本地网关，并没有穿越网关而匹配某条策略，恶意流量被网关内核直接丢弃了。事实上，SYN_Flood攻击流对分支和中心网关都没能造成严重的影响，中心网关FortiGate-800F支持千兆接口，我们使用千兆线速的强度对它进行攻击时，它的CPU利用率虽然有明显上升，但穿越隧道的流量几乎不受影响，Ping远程主机的每个报文都成功响应，延迟也都保持在几毫秒之内。

　　但是我们认为，对任何攻击流量的告警都是很有必要的。

　　i-Security和Juniper的中心网关也都支持千兆接口，在千兆线速的SYN_Flood攻击下，二者与分支网关建立的隧道都不会中断，特别是Juniper的SSG 550，穿越SSG 550和NetScreen-5GT之间的隧道Ping远程主机时每个包都能在数毫秒内得到成功响应。而i-Security的SP-4060则只能保证偶尔可以Ping通远端主机。

　　测试表明，在以小包长(128字节)按线速对VPN网关进行SYN_Flood攻击时，的确对很多产品来说是一个严峻的考验。

　　您现在的位置：希赛首页>网络频道>接入-VPN>正文

　　06年度IPSec VPN测试报告[3]

　　http://www.csai.cn　作者：于洋发表评论进入社区

　　性能与QoS

　　性能测试、安全性测试和管理与功能测试都围绕我们开篇提到的应用模型展开。即分支网关通过2M专线或ADSL与中心网关相连，中心网关能够满足与10个以上分支机构VPN网关互联的需求。需要说明的是，由于各个厂商中心网关的性能都远远超过分支网关，因此，在这个模型下测得的性能数据主要受分支网关性能的限制，中心网关单一的性能极限不在本次测试范畴之内。

　　传输性能

　　我们使用测试仪模拟应用数据流，穿越VPN隧道进行传输。经测试发现:这些产品在性能极限上存在较为明显的差异，不过在2Mbps专线接入的前提下差距不大，只有TCP连接的建立时间有一些区别，应用层的传输能力几乎没有差异，但各路产品在QoS的支持能力上各有不同。

　　测试中，我们搭建了如图5所示拓扑，中心网关和分支网关通过一台D-Link三层全千兆交换机DGS-3324SR相连，中心网关和分支网关的WAN口在同一网段，两个网关之间创建IPSec隧道，分两次进行测试，以期发现目前两种流行的加密算法——3DES和AES-128对性能的影响。两次隧道(包括Phase-1和Phase-2)的算法组合分别为采用DH-2/3DES/SHA1和DH-2/AES-128/SHA1。

　　GS-3324SR支持细粒度的端口限速，我们将分支网关与之相连的接口带宽限制在2Mbps，以此来模拟测试模型中的2M专线。应用层测试仪Avalanche和Reflector分别位于分支网关和中心网关的内网口，Reflector充当FTP服务器，Avalanche模拟10个并发客户端，不断地从服务器下载大小为1M字节(1字节=8比特)的文件。测试持续时间为120秒。

　　结果，在2M限速条件下，产品之间FTP下载的速度几乎没有差别，加密算法采用3DES或是AES-128对隧道的传输性能也几乎没有影响。比如在算法组合DH-2/AES-128/SHA1的条件下，FTP下载的平均值都在0.167~0.175个文件/秒范围之内，TCP连接平均建立时间各个产品组合有所不同。如表一所示。通过Avalanche的实时流量监控，发现客户端的流量稳定地接近2Mbps，即VPN隧道的物理带宽限制。这至少说明，这些参测产品，尽管多数分支机构网关的“个头”很小，但它们的加密性能满足2M专线接入的需求是不成问题的。

　　这其中有个“异类”，即深信服的VPN组合，其FTP下载速度达到了1.558个文件/秒，可以计算，其FTP应用净荷的下载速度就已经超过了12Mbps，远远高于2Mbps的物理带宽限制。这是因为深信服的VPN网关会自动进行数据压缩，以实现在低带宽条件下的高负载传输，一个非常好的特性!

　　尽管已经超出了我们的测试模型范畴之外，我们还是测试了取消带宽限制条件下的VPN隧道传输性能，从而清晰地了解每款“小个头”分支网关的加密性能极限(分支网关中只有i-Security的SP-3040体积算不上“小个头”，它的外表有点象1U的刀片服务器。其余的分支网关体积都很小，最小的如Fortinet的FortiGate 60和Juniper的NetScreen-5GT都只有Modem那样大)。

　　我们以DH-2/AES-128/SHA1算法组合为例，测得这些“小个头”们最少的加密传输性能也超过了12Mbps的FTP净荷。i-Security的组合测得的吞吐性能最高，FTP下载1M字节文件的速度达到了10.383个/秒。Fortinet的组合其TCP连接平均建立时间最小，仅为4.898毫秒，FTP文件下载速度也高达7.792个/秒。我们还发现，在分支网关接入不限速的情况下，各个组合的TCP连接建立时间都有了明显的改善，而且采用AES-128进行加密，半数以上的产品都较3DES加密有了性能上的改善，改进最大的i-Security的组合，增幅接近60%。由于我们的测试初衷是给以2M专线或ADSL接入的用户提供参考，故不做带宽限制的测试数据仅供大家借鉴，没有列入总评之列。这些“小个头”在实际环境中往往会受到带宽的限制而没有机会发挥出其全部潜能。但从另一个角度来看，即便将来用户将自己的广域网出口带宽扩展到10M，“瓶颈”依然在专线出口一方，参加此次测试的“小个头”们完全胜任。

　　QoS效果不一

　　随着企业将更多的业务转移到VPN中来，在拥挤的带宽上，企业的关键业务应该优先得到保障，此时VPN网关的QoS功能就显得更为重要。常见的QoS手段包括:带宽分配、优先级划分和Diffserv。我们对带宽分配的准确性和优先级划分的效果进行了验证。

　　带宽限制

　　我们首先在中心和分支网关之间创建隧道，所有参测产品都支持带宽分配，我们在VPN网关上进行配置，将来自192.168.1.0/24网段的流量带宽限制在1Mbps。我们使用SmartBits 6000B和SmartFlow测试软件对带宽分配的准确性进行了验证。

　　结果，来自Fortinet、i-Security、Juniper和深信服的产品都能实现准确地控制，国恒联合与侠诺科技的产品只是在某种特定包长的条件下限流准确，在其他包长存在着一定的出入。

　　优先级划分

　　优先级划分配置简单，在实际应用中较Diffserv更容易得到用户的青睐。国恒联合的产品组合不支持优先级划分，侠诺科技的组合仅在纯路由方式下支持优先级划分，在IPSec隧道方式下不支持该功能。其他四款产品组合都能实现不同应用的不同优先级对待，我们使用SmartBits 6000B和SmartFlow测试软件模拟了三种UDP应用，DNS(端口号=53，低优先级)、RADIUS(端口号=1812，中优先级)、SNMP(端口号=161，高优先级)，三种流量在同一物理端口内按等量带宽进行传输，测试拓扑如图6所示。我们要求产品在发生拥塞的条件下，高优先级的数据流能得到优先对待，丢包率更低。

　　我们请厂商的工程师对设备进行了QoS配置。由于来自不同厂商的产品组合发生拥塞的负载极限差异较大，故我们的采样点有所不同，结果如表2所示，我们认为，这几种产品组合都达到了我们的要求。

　　随着用户把新的业务，如语音和ERP等应用也转移到VPN网络中来，VPN网关的QoS的地位也会变得更加突出，要想实现真正的QoS，比如，不仅保证语音数据流的低平均时延，还要保证很小的时延抖动。可以说，到那时，Diffserv是必然的选择。参测产品中，来自Fortinet、i-Security和Juniper的产品支持Diffserv，我们会在IPSec VPN的第二阶段测试中对其效果进行评估。

　　 压缩作用大

　　此次测试，深信服科技的产品组合支持自动压缩，该功能默认打开。也是唯一一家支持压缩的产品。数据流被压缩后传输的效率有了大幅提升。我们在限速2Mbps的线路上，创建分支到中心网关的隧道，在分支从中心FTP服务器处下载1M字节的文件，结果发现，关闭压缩功能时FTP的下载速度是0.183个文件/秒，开启压缩后的速度是1.558个文件/秒，是压缩前速度的8.5倍，性能远远超过了物理带宽的限制。当然，不同类型的文件有着不同的压缩比。不过我们发现，即便数据流中的应用层净荷是不可压缩的数据，深信服的VPN网关仍可通过对包头的压缩来提高传输的性能。

　　功能不容忽视

　　适应环境

　　我们首先进行了基本的适应环境测试，即NAT穿越和动态IP地址接入。然后，我们请厂商的工程师对其产品在这方面的其他能力进行补充。

　　作为在市场上广泛使用的VPN产品，这些参测产品都可以实现NAT穿越和对动态IP地址接入环境的适应。

　　随后，我们也发现为了适应某些特殊场合，这些产品炼就的特殊本领。

　　i-Security的“Visitor Mode”功能可以将IPSec封装到任意一个TCP协议中。比如，有的上网环境只允许80和21端口和邮件系统的数据出入，而封掉其他所有通信端口。这时，i-Security的IPSec客户端软件可以将IPSec数据封装到80或21端口中去，在实现正常通信的同时而不必改动现有的防火墙控制规则。i-Security的产品组合还支持SSL接入，用户使用浏览器即可享受高安全性的接入。

　　Juniper实现了基于策略的双向流量控制和路由。用户有时希望关键业务运行在稳定可靠的WAN链路，当WAN出现故障后，通路能立即自动切换到VPN上。值得一提的是，Juniper的SSG 550还是参测产品中唯一支持E1、同步串口的产品，这意味着用户无需路由器，通过把SSG 550直接接到WAN链路上就可实现VPN组网，这在参测产品中是绝无仅有的。而且，SSG 550拥有参测产品中最高密度的端口，配合虚拟域等功能，使企业总部局域网不仅接入到VPN中，还能让更多局域网网段享受SSG 550的安全服务。

　　深信服的产品可以穿过Socks代理接入VPN，这个功能在使用代理服务器的环境中非常必要。深信服的参测产品还支持单臂，在一些已经部署了防火墙的场合，且防火墙只有一个内网接口提供给VPN网关，深信服的网关可以通过一个内网口与防火墙相连，就可以创建到分支机构的VPN隧道而无须改变拓扑。

　　日志与审计

　　这也是过去几年来IPSec VPN的软肋之一，除了少数厂商外，多数产品缺少强大的配套审计工具来帮助用户洞察VPN中发生的一切，使用户感觉虽然使用VPN提升了安全性，但自己也变成了“瞎子”。

　　我们高兴地看到，来自i-Security和Juniper的产品都具有强大的审计功能，它们的集中管理软件都支持详细的统计图表，可以依据主机、协议、攻击事件、过载信息和时间等元素对日志进行统计分析，用户可以按照自己的意愿进行某类信息的追踪。

　　对于i-Security的产品来说，使用配套软件CheckPoint SmartView Tracker通过管理服务器可以对VPN网络中的一切明察秋毫，除了常见的VPN隧道细节，还提供其他很多有价值的信息，如:SmartDefense板块中包括攻击的历史纪录，如攻击的名称、时间和攻击源的地址和端口。其VoIP板块则记录了每一个通话的源和目的电话号码以及采用的协议等。

　　和i-Security的管理软件相类似，通过Juniper的NSM(NetSreen-Secuirty Manager)，不仅可以实现VPN网关的大规模部署，还实现了进行管理，全面监控与设备故障报警。它进行日志采集，集中日志分析和统计报告，而且粒度相当细致，图形化的交叉分析报告是管理员的最好帮手。它们都提供接口供用户自定义报告哪些行为。

　　Fortinet的FortiMannager也支持这些功能，它作为一个单独的硬件对整个网络进行管理和监控，很遗憾这次测试我们没有拿到这款产品。此外，深信服的图形化管理软件也很实用，但对流量统计、分析的细致程度还较上面的产品有一定差距。

　　对于VPN这种跨越地域进行连接的组网形式，监控和诊断对于管理维护来说是很必要的。否则，工程师在遇到网络中断时将难于处理。通过测试发现，除了上面提到的产品外，国恒联合与侠诺科技的产品也都提供了相应的手段来跟踪隧道建立的过程，并在日志中将问题体现出来，比如隧道Phase-1的协商不通过，可能的原因是什么。

　　产品点评

　　Fortinet

　　Fortinet的UTM一如既往地在我们的测试中有良好表现。简洁的维护界面、优秀的VPN加密性能、丰富的安全特性，它给用户极大的选择余地。

　　即便是初次接触Fortinet的产品，你也可以很快上手完成相关配置。在面对攻击时，它准确阻断并告警，并提供漏洞的链接供你参考。FortiGate 60是一款值得推荐的产品，它融VPN网关、防火墙、IPS、反病毒、反垃圾邮件功能于一身，它的加密性能也很高，绝对高过你对它的期望。测试时我们还打开了深度检测与防御功能，性能没有什么变化。在对其QoS的测试中，高低优先级也泾渭分明。属于“小个头”有大力量。

　　Fortinet在大型VPN网络中的管理也是其推荐特性之一，但是这次没有看到其强力的管理工具FortiManager的出现，希望下次能测到。

　　国恒联合

　　这是一个在进步中的组合。它中规中举，从NAT穿越到网络层蠕虫阻断，基本的功能它都具备。而且，它有最具吸引力的价格。

　　这是致力于标准IPSec的组合，AES-256、证书认证等内容它都支持，并给用户充分的余地，可以多种流行算法间进行选择，并且有和其他厂商IPSec VPN网关互通的经验。这个组合隧道下FTP传输性能达28Mbps应用层净荷，性能有保障。

　　它在日志与审计方面尚有明显差距，其命令行接口提供了空间用于故障排除和协议分析，但对于普通用户来说还不够直接，也缺少交叉分析，在全网监控方面也有待加强。

　　目前， 送测组合还不具备应用层蠕虫的防御能力。不过，它可以对P2P通信进行限制。

　　i-Security

　　坦白地说，这不是一个很契合我们测试模型的组合。SP-3040对于我们所指的分支机构来说大了些，也贵了些。但是，i-Security送测的产品是好产品!

　　伴以CheckPoint经典的VPN防火墙软件，这两款产品可以给用户带来的就是收益!功能极为丰富，性能堪当骨干。从SmartDefense到对语音的支持，从IPSec到SSL，再到细得不能再细的日志与审计系统，只要用户能想得到，它一定会成为你执行企业安全策略的好帮手。

　　这次测试印象最深的是它引入了SSL VPN接入，也许这昭示着一个方向，即IPSec与SSL的融合。

　　Juniper

　　Juniper带来了经典的“大块头”+“小鬼”的组合，“大块头”足够的强大，强大到把多个设备融于一身。“小鬼”也足够的精明，用户的要求应对自如。

　　说是VPN防火墙，它带给用户的岂止这些，反病毒、反垃圾邮件、防键盘侧录软件、防网络钓鱼，再加上VPN的认证与加密和签名，这是地道的高品质选择。而一贯以来，性能都是Juniper或老NetScreen赖以成名的要素之一。

　　从个头上看，NetScreen-5GT甚至比FortiGate 60还要小，是笔者见过的最小的VPN网关，但它的性能不容小觑，功能更堪称用户的好伙伴。可谓“小鬼”有大智慧。

　　深信服

　　这是一个让你喜欢又让你矛盾的组合。它一旦放到实际环境，比如2M专线接入，它有一股“魔力”，性能无人能及。

　　深信服产品的压缩功能效率之高让人瞠目，即便压缩比不高的业务交易，它针对包头的压缩还是能见到效果。

　　深信服产品支持图形化的全网监控、升级的统一管理、配置的离线下载、穿越代理，这些在同级别价格的产品中是见不到的。另外，深信服申请专利的硬件绑定技术，增加了VPN网络的安全性，同时也降低了操作的复杂性。感觉他们也在某个领域引领潮流。

　　性价比很高!这就是我们的评价。瑕疵就是它尚不是标准IPSec产品。

　　侠诺科技

　　QVM1000是这次参测产品中仅次于SSG 550端口密度第二高的中心网关。这意味着它可以保护更多的内网网段，也可以在有多WAN口接入时能游刃有余。它具备常见的安全特性，但它并不先进。

　　它实现了DoS侦测，能防止ARP病毒，能方便地部署安全策略。中心与分支之间的隧道传输性能也有数十兆之多。

　　侠诺科技的产品有一个很长的列表，都是与其他VPN产品互通的经历，说明这是一款标准化做的很好的产品。但中心与分支机构间IPSec隧道的创建目前还不支持证书的认证方式。它支持QoS，纯路由方式下有效，但要流经隧道的数据不能区别对待

　　编看编想——独舞还是共舞

　　以较低的成本获得较高的安全性，VPN的组网方式在近两年终于大面积地得到了中国用户的青睐。据我们了解，IPSec VPN产品是当然的主力军。不过，尽管IPSec VPN技术成熟，但在目前市场上，基于不同的理解，此类产品仍五彩斑斓:有VPN路由器、VPN防火墙，也有融合了VPN功能的UTM。有的甚至将IPSec与SSL合二为一。

　　来自厂商同仁们的声音和产品相对应，也是公婆各自有理。有人认为单一功能的VPN网关还将在未来几年内一直存在，有的人则认为UTM能给用户带来最大的收益，纯粹的VPN产品很快将失宠于市场。还有人仍在坚持非标准IPSec的路线，认为兼容性不会成为VPN组网的障碍，他们觉得用户全网采用同一厂家的产品会给用户带来管理与维护上的便利。

　　事实上，不同产品能否存在取决于用户的不同需求。就像我们对上千名用户进行的调查那样，十有八九的用户希望VPN网关能对来自隧道另一端的数据流进行深度检测。 由于VPN网络在空间上延展了企业网，既然如今内网攻击已经成为安全的最大隐患，那么大家也没有理由无条件地信任仅仅通过身份认证的隧道对等体发过来的流量。

　　除了上面“十有八九”的用户之外，那些“十之一二”的用户怎么想呢?他们认为，不同的工作可以由不同的设备来实现，他们认为有必要也有足够的资金来购买单独的IPS和VPN路由器或VPN防火墙串联起来。

　　但多数用户的声音代表着潮流。想想看，VPN诞生的初衷，其虚拟专网的“虚”字，表达了人们渴望利用互联网资源，以一种廉价的方式取代“奢侈”的物理专网的愿望，而又不失其“专网”的安全性特点。那么，随着安全模型的变化，当仅通过身份认证的人不再可靠时，VPN仍然需要延续她“勤俭持家”的特点，将众多设备串联起来的方案无疑是昂贵的，这不符合多数VPN用户的行为方式。

　　从厂商的动作也可以发现与这一趋势的惊人吻合之处。Fortinet等厂商一开始就打的是“UTM”牌，并在中国市场不断地扩大自己的规模。作为一支有着重要影响力的国内VPN品牌，深信服也已经推出了自己的UTM产品。虽然使用CheckPoint软件的I-Security产品仍被称为VPN防火墙，但在过去的一段时间，它已经加入了非常多的“应用智能”。如今，CheckPoint网关中的“SmartDefense”功能模块已经完全配得上一个IPS的称号。据说，参加测试的两个重量级厂商将要对他们的VPN防火墙进行更名，UTM阵营中又将增加强悍的成员。

　　我们认为，更多的用户采用UTM构建自己的VPN网络应该是一个必然的趋势。

　　再来看看IPSec VPN与SSL VPN融合的问题。

　　目前，IPSec与SSL VPN作为企业网中VPN技术的两股力量，分别有着自己的用户群。它们应该是对立还是互补?参加此次测试的I-Security的产品，使用CheckPoint的软件，它已经在传统IPSec VPN的基础上，加入了对SSL VPN的支持。使用它，企业网中Client-to-Site的连接就多了一种选择，使用IE浏览器就可以接入到企业的VPN中来。据了解，深信服科技也有此类“合二为一”的VPN产品。

　　相信IPSec和SSL的互补与融合会是未来几年的主旋律。从另一个角度看，多数VPN厂商都是由IPSec起家，他们不会抛弃经过市场检验且技术成熟的IPSec，在现有的产品中加入SSL VPN的优点应该是更好的选择。

　　最后看看IPSec VPN网关的兼容性。

　　IPSec VPN产品难以兼容由来已久。尽管多数用户都不会遇到这个问题，毕竟，使用来自同一厂商的产品会实现一些独特的功能，在性能、管理和维护上可以最大程度地挖掘产品的潜能。但是，随着企业之间密切的合作关系体现在“网络化生存”上，比如连锁超市与供货商的VPN互联，就很可能遇到VPN网关不兼容的困扰。据悉，产品很有特色且市场规模不断扩大的某国内VPN厂商已经计划推出基于标准IPSec 的VPN产品。而这，也是国有品牌做大做强后，试图进军国际市场所必需迈过的一道坎。