Если разработка принципов организации виртуальной частной сети (Virtual Private Network, VPN) для вашей компании показалась вам слишком сложным и утомительным занятием, не отчаивайтесь. Дело в том, что фирмы, специализирующиеся в разных областях информационных технологий, используют термин VPN для обозначения различных понятий, а вы просто не сумели разобраться в этой мешанине.

Традиционные операторы телефонной связи могут предложить вам в качестве VPN сеть frame relay или службу удаленного доступа на базе ТфОП. Другие провайдеры обеспечивают услуги передачи данных по своим частным цифровым сетям (которые раньше было принято называть сетями с дополнительными услугами - value-added networks).

С нашей точки зрения, ни в одном из этих случаев не реализуется главное преимущество виртуальных частных сетей - невысокая стоимость их создания и эксплуатации. А ключевым фактором снижения затрат является совместное использование ресурсов Internet. Кроме того, сами слова "виртуальная частная" означают, что на самом-то деле VPN является частью сети общего пользования. Но каналы frame relay нельзя в полной мере назвать ни частными, ни общедоступными, поскольку к ним, с одной стороны, можно подключиться в любом месте, а с другой, сделать это не так уж просто.

Наиболее корректным нам представляется определение VPN, предложенное исследовательской фирмой IDC (и совсем не потому, что она входит в одну группу компаний с Network World). Согласно IDC, для виртуальной частной сети характерна поддержка передачи частных данных с помощью IP-инфраструктуры общего доступа. Такой IP-инфраструктурой и является Internet - наиболее доступная из информационных сетей.

Каждый из пользователей может получить в свое распоряжение часть общих транспортных ресурсов и передавать с их помощью данные так, как если бы это была его частная сеть. Отсюда и появляется определение "виртуальная". Выделенные информационные "туннели" обеспечивают доступ к корпоративной сети различным категориям удаленных пользователей - находящимся в пути сотрудникам, персоналу филиалов компании и даже ее клиентам и поставщикам.

Конечно, сформировать частные каналы связи в среде Internet совсем не просто. Поставщики предлагают самые разнообразные решения, которые можно разделить на две основные категории: те, которые позволяют компании построить сеть VPN своими силами, и те, которые дают возможность сделать это компании-провайдеру. В каждой из категорий имеется целый ряд вариантов.

Компании, намеренные самостоятельно создать сеть VPN, могут пойти следующими путями:

  • установить аппаратные средства шифрования, образовав защищенные информационные туннели в Internet;
  • использовать существующие маршрутизаторы, поддерживающие ПО защиты и туннелирования данных;
  • воспользоваться брандмауэром, осуществляющим функции управления доступом и туннелирования данных;
  • дополнить имеющееся серверное ПО средствами поддержки сетей VPN.

Решения, предлагаемые телекоммуникационными провайдерами, также основываются на различных сочетаниях перечисленных элементов оборудования и ПО. Однако большинство таких компаний ориентируется на продукты одного-двух поставщиков, поэтому выбор у заказчика оказывается, как правило, весьма узким.

Создаем VPN сами

Аппаратные средства шифрования

Из-за разнообразия способов создания виртуальной частной сети неизбежно возникает вопрос: к кому же следует обратиться в первую очередь? Большинство аналитиков сходятся во мнении, что если наиболее приоритетной задачей является защита трафика в корпоративной сети, то лучше всего иметь дело не с традиционнными поставщиками сетевого и серверного оборудования, а с производителями аппаратных средств шифрования.

Такие устройства располагаются, как правило, за брандмауэром. В их функции входят шифрование исходящего трафика, направляемого через Internet пользователям внутри самой организации и ее партнерам по бизнесу, и дешифрование входящих сообщений. В большинстве случаев брандмауэр остается первой линией обороны, а аппаратные средства становятся вторым мощным уровнем защиты.

Хотя базовыми компонентами средств защиты на основе шифрования являются специализированные устройства, необходимо также клиентское ПО, устанавливаемое на переносных или настольных компьютерах пользователей. С его помощью персонал удаленных филиалов организации и находящиеся в пути сотрудники могут вести обмен данными с корпоративной сетью в защищенном режиме.

По мнению экспертов, аппаратные методы шифрования обеспечивают более высокий уровень безопасности, чем программные, поскольку могут поддерживать ключи большей разрядности без увеличения задержки при передаче данных. Испытания продуктов для сетей VPN, проведенные тестовой лабораторией при редакции еженедельника Network World, выявили трех лидеров. Компании Radguard, RedCreek и TimeStep предложили самые простые в развертывании и эксплуатации и наиболее надежные средства защиты.

Криптографическое устройство cIPro, последняя из разработок фирмы Radguard, поддерживает протокол передачи защищенного IP-трафика (IPSec) и ключи длиной до 128 бит. Такая разрядность обеспечивает очень высокую стойкость шифра. Ключи длиной 56 бит и менее сравнительно легко поддаются "взлому" со стороны хакеров, по мере роста разрядности уровень надежности повышается. В самых мощных на сегодняшний день алгоритмах шифрования используются ключи длиной 164 бит.

Протокол IPSec разработан группой IETF (Internet Engineering Task Force) как стандарт безопасной передачи по Internet коммерческой информации. Хотя процедура его утверждения прошла еще не все положенные стадии, она близка к завершению. Многие поставщики, в том числе RedCreek и TimeStep, заявляют о поддержке в своих продуктах тех спецификаций, которые уже одобрены IETF. Вообще в отрасли наметилось согласие относительно принятия IPSec как стандарта защиты делового трафика в Internet.

IPSec определяет способ шифрования IP-адреса отправителя и информационной части передаваемых IP-пакетов. Протокол оговаривает применение алгоритма шифрования с ключом длиной 164 бит, основанного на стандарте DES (Digital Encryption Standard), и предусматривает специальные меры, препятствующие включению в исходный поток данных "чужеродных" пакетов. Стандарт поддерживает использование цифровых подписей и цифровых сертификатов, выдаваемых в соответствии со стандартом Х.509v3.

Цифровые сертификаты - это уникальные идентификаторы, формируемые на основе открытых ключей и выдаваемые уполномоченными инстанциями. Чтобы получить доступ в защищенную сеть, пользователь предъявляет свой сертификат серверу авторизации (обычно в этом качестве используется сервер LDAP). Последний сравнивает его с хранящимися в базе данных сертификатами пользователей, имеющих разрешение на работу с системой. Если проверка прошла успешно, между пользователем и сетью устанавливается защищенное соединение.

Однако сертификаты стандарта IPSec, выданные различными уполномоченными организациями, не взаимозаменяемы, что вызывает серьезные проблемы обеспечения совместимости. Пользователям приходится получать все сертификаты в одной инстанции, и такое положение дел сохранится до тех пор, пока IETF не разрешит эту проблему.

Маршрутизаторы

В том случае, когда компании необходимо организовать виртуальную частную сеть, но по тем или иным причинам нежелательно менять привычных поставщиков, она может обратиться к своему производителю маршрутизаторов. Практически все разработчики таких устройств - от 3Com до Cisco - предлагают свои решения для создания VPN. Многие из выпускаемых в настоящее время маршрутизаторов поддерживают виртуальные частные сети с помощью установки дополнительных программ либо доработки уже имеющегося ПО.

Например, маршрутизатор NetBuilder компании 3Com способен обеспечить туннеллирование данных между любой парой узлов корпоративной сети через Internet, используя для этого протокол PPTP (Point-to-Point Tunneling Protocol). Одновременно могут быть установлены от 48 до 2500 таких соединений.

В продуктах 3Com поддержка цифровых сертификатов пока не реализована (компания ожидает окончательного утверждения протокола IPSec) и для аутентификации пользователей используются секретные пароли. Данная технология защиты основана на применении буквенно-цифровых последовательностей, имеющих заранее согласованные формат, минимальную и максимальную длину. С точки зрения выполняемых функций они аналогичны цифровым сертификатам, но обмен паролями осуществляют сами пользователи, без участия третьей стороны. 3Com предлагает шифрование сообщений по стандарту DES с длиной ключа 56 бит, а с осени 1998 г. - также поддержку аппаратного и программного шифрования с 128-разрядным ключом.

Некоторые эксперты предупреждают, что хотя поставщики межсетевого оборудования и начали активно продвигать на рынке свои разработки для сетей VPN, решения на их основе могут оказаться не очень гибкими, слишком зависящими от пропускной способности маршрутизаторов и числа одновременно поддерживаемых ими туннельных соединений. Грег Ховард, старший аналитик консалтинговой компании Infonetics (Сан-Хосе, шт. Калифорния), отмечает: прежде чем организовывать на предприятии поддержку виртуальной частной сети, следует оценить уровень загрузки маршрутизаторов. В случае, когда он близок к максимальному, маршрутизаторы не сумеют без потери пакетов обеспечивать одновременную работу множества туннелей.

Вполне вероятно, что организация VPN на базе маршрутизаторов окажется еще и не самым дешевым решением. Если ресурсов маршрутизатора недостаточно для одновременной поддержки нескольких сотен туннельных соединений, то придется заменить его на более мощную модель, а переход, например, на модель Cisco 7000 может обойтись в 60 тыс. долл. В то же время для приобретения устройств, выпускаемых компаниями Radguard и RedCreek, понадобятся всего 4-6 тыс. долл.

Если учесть новизну (а соответственно, недостаточное совершенство) технологии VPN, то стремление облегчить свою задачу, делая ставку на традиционного поставщика сетевого оборудования, может оказаться не самым лучшим решением.

Многофункциональные устройства

В последнее время некоторые производители межсетевого оборудования приступили к выпуску многофункциональных устройства для виртуальных частных сетей, которые, как считают эксперты, имеют неплохие перспективы на рынке. Это маршрутизаторы или коммутаторы, оснащенные более совершенными аппаратными средствами защиты и шифрования информации.

Чтобы повысить технологический уровень оборудования, создаваемого для поддержки сетей VPN, целый ряд крупных компаний пошел по пути приобретения специализированных фирм. Например, Bay Networks потратила 156 млн долл. на покупку компании New Oak, одной из первых выпустившей коммутирующее оборудование с шифрованием данных (несколько позже Bay Networks сама была приобретена фирмой Nortel). В прошлом году компания Shiva купила Isolation Systems, специализировавшуюся на аппаратных средствах шифрования, и интегрировала продукцию последней в свои устройства удаленного доступа.

Среди предлагаемых Вау новых продуктов - коммутаторы доступа в экстрасети NOC 2000 и NOC 4000, поддерживающие протоколы туннелирования и защиты Layer 2 Forwarding (L2F), Layer 2 Tunneling, РРТР и IPSec. Пользователи могут выбрать тот вариант, который способен лучше всего решить их конкретные задачи. Коммутаторы серии NOC совместимы с клиентским версиями ОС Micro-soft Windows 95 и Windows NT 4.0.

Более мощную защиту теперь обеспечивает и сервер PIX компании Cisco, выполняющий функции брандмауэра и встроенный в ее маршрутизаторы серий 1600 и 2500. В прошлом году Cisco и RedCreek подписали соглашение, которое предусматривает применение в брандмауэре PIX технологии Ravlin, разработанной RedCreek для аппаратной поддержки протокола IPSec.

Создание виртуальных частных сетей с помощью специализированных устройств может оказаться предпочтительным, но существуют и другие варианты, основанные на применении программных средств. Вот лишь некоторые из предлагаемых на рынке продуктов: AltaVista Tunnel 98 (система приобретена Compaq вместе с компанией Digital), F-Secure VPN Plus фирмы Data Fellows, сервер маршрутизации и удаленного доступа NT Routing and Remote Access Server компании Microsoft, VPN Gateway фирмы Aventail.

Как утверждают в Compaq, с момента зарождения идеи использования ПО для организации VPN прошло около трех лет, однако это ничего не говорит о достоинствах данного решения. Во всяком случае, многие эксперты отрасли от него не в восторге.

Те, кто рассчитывают сэкономить средства и облегчить развертывание сети VPN, задействуя уже имеющиеся в организации серверы Windows NT, могут ошибаться. Лицензии на использование этого ПО стоят недешево, а кроме того, при обращении большого числа пользователей к серверу, поддерживающему несколько тысяч одновременных туннельных соединений, неизбежно приходится приобретать дополнительное оборудование. Наконец, разработанный Microsoft протокол туннелирования PPTP обеспечивает не самый высокий уровень защиты.

Помимо более слабой защиты (из-за поддержки алгоритмов шифрования с меньшей разрядностью ключей) у программно реализованных VPN есть еще один минус, связанный с недостаточным уровнем масштабируемости. Пиркка Паломаки из компании Data Fellows отчасти это признает: "Всякий раз при введении средств шифрования производительность сети несколько снижается. Однако мы постоянно работаем над устранением данного недочета, и сейчас наши программные продукты обеспечивают не меньшую скорость шифрования, чем некоторые устройства".

Прекрасно понимая ситуацию, компании, создающие программное обеспечение для виртуальных частных сетей, планируют начать разработку аппаратных средств шифрования - либо собственными силами, либо путем приобретения других фирм или заключения соответствующих партнерских соглашений.

Например, в Compaq ведутся работы над устройством шифрования, которое предполагается интегрировать с ПО AltaVista Tunnel 98. Этот программно-аппаратный продукт ориентирован на крупные предприятия, которым необходима развитая инфраструктура VPN. Более дешевый чисто программный вариант будет предлагаться небольшим и средним по размеру организациям. Следует отметить, что в AltaVista Tunnel 98 используется патентованный протокол компании Digital, поддерживающий шифрование с длиной ключа 128 бит, однако в следующих версиях своих продуктов Compaq собирается ввести поддержку стандарта IPSec.

Брандмауэры

Последняя разновидность виртуальных частных сетей, которые организации могут создавать самостоятельно, связана с применением брандмауэров.

Обычно брандмауэры используются для управления трафиком на основе заранее выбранных стратегий доступа и позволяют сформировать защитный экран между корпоративной сетью и Internet. В большинстве продуктов этой категории предусмотрены функции туннелирования, однако все чаще в них встраиваются всевозможные средства повышения безопасности передачи данных, в том числе шифрования.

Например, компания SecureComputing недавно выпустила ПО SecureZone, представляющее собой усовершенствованный вариант более ранней версии сервера защиты BorderWare Firewall Server, который поддерживал только один протокол туннелирования - РРТР. В сервере SecureZone используется протокол IPSec, и он способен работать в различных операционных средах. ПО можно установить и на настольном ПК с процессором Pentium, превратив его в полноценный сервер защиты.

В соответствии с соглашением, которое еще в апреле прошлого года заключили компании SecureComputing и RedCreek, последняя разрабатывает клиентское ПО для брандмауэра SecureZone. Это ПО будет поддерживать надежные алгоритмы шифрования и цифровые сертификаты.

Компания CheckPoint Software Technologies также работает с партнерами для развития возможностей своего защитного ПО Firewall-1. В прошлом году она объявила о заключении соглашения с фирмой Internet Security Systems, в соответствии с которым Firewall-1 будет интегрирован с продуктом Real Secure, предназначенным для борьбы с незаконным подключением к корпоративной сети. На основе анализа структуры отдельных пакетов и трафика в целом Real Secure распознает попытки несанкционированного проникновения и немедленно сообщает об этом сетевому администратору.

Сеть VPN на заказ

Если руководство организации уверено, что виртуальная частная сеть поможет сэкономить средства и улучшить качество связи между ее филиалами, но не имеет специалистов для выполнения этой работы (или им не хватает опыта), то имеет смысл обратиться к поставщику услуг Internet. Проблема состоит лишь в выборе наиболее подходящего.

Специалисты рекомендуют обращаться к провайдеру, в активе которого - различные аппаратно-программные средства для построения VPN. Например, известные в США компании TCG CerfNet, @Work и Epoch Networks предлагают использовать для данной цели устройства Ravlin фирмы RedCreek и несколько вариантов брандмауэров. Однако наиболее широкий выбор решений, по-видимому, способна обеспечить фирма WorldCom Advanced Networks, которая в течение последних нескольких лет целенаправленно приобретала компании, разработавшие интересные технологии в этой области. Теперь WorldCom оказывает по меньшей мере пять видов услуг по организации виртуальных частных сетей (WorldVPN, SafeReach IP, Virtual Private Data Network (VPDN), Extralink и Extralink Remote), хотя и не все они удовлетворяют данному в начале этой статьи определению.

Технология WorldVPN основана на использовании серверов Firewall-1 компании CheckPoint, а также разработанных фирмой Security Dynamics серверов защиты удаленного доступа по коммутируемым линиям ACE Server с идентификационными карточками SecurID. Кроме того, система поддерживает доступ по выделенным каналам.

Служба SafeReach IP применяет протокол туннелирования L2F компании Cisco, но функционирует только в частной сети CompuServe и не имеет выхода в Internet.

VPDN, первоначально разработанная компанией ANS Communications, представляет собой VPN на выделенных линиях, позволяющую создать комбинированный proxy-сервер/брандмауэр.

Extralink - это служба UUNET/ WorldCom, специально предназначенная для поддержки экстрасетей и VPN. С ее помощью можно открыть доступ в корпоративную сеть деловым партнерам и клиентам. В ней также используются серверы Firewall-1 компании CheckPoint.

Наконец, служба Extralink Remote, которую намечено объединить с WorldVPN, обеспечивает доступ по коммутируемым линиям во внутреннюю IP-сеть компании WorldCom.

Компании AT&T WorldNet, IBM Global Services, PSINet и Concentric Network, подобно многим другим провайдерам, предоставляют услуги по организации VPN только на базе собственных магистральных линий связи, входящих в инфраструктуру Internet. Это, в частности, означает, что при доступе в корпоративную сеть по коммутируемым линиям другого провайдера необходимый уровень обслуживания не гарантируется. "Мы не можем надежно обеспечить требуемую скорость передачи данных по Internet, поэтому решили вложить средства в развитие услуг VPN, повышая их качество и добиваясь строгого соблюдения предусмотренного в соглашениях с заказчиками уровня обслуживания",- говорит Боб Шредер, специалист по IP-службам в компании AT&T WorldNet.

Хотя виртуальные частные сети, использующие Internet, дешевле сетей VPN, основанных на каналах frame relay, некоторых пользователей отпугивает мысль о том, что трафик их корпоративной сети будет передаваться по открытым линиям. Однако не следует заблуждаться: сети frame relay также являются общедоступными. Единственным вариантом построения "настоящей" частной сети является аренда выделенных линий, однако обойдется она дороже, чем организация VPN на базе Internet. Кроме того, обеспечение доступа к корпоративной сети через Internet позволяет сразу распространить зону действия этой VPN на весь Земной шар. Каналы frame relay такой возможности не дают.

Провайдеры активно занимаются поиском решений, сочетающих в себе высокие параметры сетевых соединений и надежную защиту, которые смогут полностью удовлетворить потребности заказчиков в услугах VPN. Если ваша организация не испытывает острой необходимости в немедленном создании такой сети, имеет смысл немного подождать - в течение года на рынке должны появиться более совершенные продукты и услуги.

Независимо от способа построения виртуальной частной сети (на основе аппаратных или программных средств, на базе брандмауэра, с помощью провайдера или самостоятельно) использование Internet позволит повысить ее гибкость и сэкономить деньги. Что же касается скрытых во Всемирной сети опасностей, применение надлежащих мер защиты способно свести их к приемлемо низкому уровню.


Aristocrat делает ставку на брандмауэр



Саймон Эггингтон организовал для компании Aristocrat, разрабатывающей компьютерные игры, виртуальную частную сеть, которая связывает ее подразделения на разных континентах

Вряд ли вам понравится, если во время азартной игры кто-то будет заглядывать в ваши карты. Вот и в компании Aristocrat не хотят, чтобы посторонние получали доступ в ее корпоративную сеть, используемую для разработки новых программ. Поэтому известный производитель компьютерных игр из Сиднея (Австралия) организовал между шестью своими подразделениями виртуальную частную сеть (VPN) на базе аппаратного брандмауэра CryptoWall фирмы RadGuard и выделенных линий, предоставляемых компанией AT&T WorldNet для доступа в Internet.

Как отмечает Саймон Эггингтон, специалист по информационным технологиям компании Aristocrat, при создании этой сети в первую очередь учитывались задачи обеспечения безопасности информации. "Производство компьютерных игр - отрасль, где конкуренция очень сильна, и ставки здесь чрезвычайно высоки,- говорит он.- Нам требовалось комплексное решение, которое объединяло бы брандмауэр и виртуальную частную сеть".

Проблема обеспечения безопасности в этом случае имела действительно глобальный характер. Разработку программ компания ведет в Сиднее, тестовые испытания - в США, а перед официальным выпуском на рынок ПО опять передается в Австралию. И весь этот обмен происходит по Internet! "Нам приходится защищаться от промышленного шпионажа,- говорит Эггингтон.- К тому же мы должны быть уверены, что наши программы не попадут в руки тех, кто может ими воспользоваться в своих целях".

Компания намерена расширить возможности своей виртуальной частной сети, добавив к ней поддержку доступа по коммутируемым каналам, когда появится клиентское ПО, разрабатываемое RadGuard. В результате до 25 удаленных пользователей смогут одновременно подключаться к сети по телефонным каналам.

Раньше коммутацию соединений между узлами в Aristocrat обеспечивал сервер удаленного доступа, однако фирме понадобилось решение, поддерживающее обмен данными в режиме реального времени. К тому же использование системы RRAS обходилось весьма недешево из-за необходимости оплаты службы бесплатных телефонных соединений по коду 800. Реализовав прямой доступ через Internet, компания снизила издержки и значительно повысила производительность своей сети.

Эггингтон намерен еще больше сократить расходы компании, переведя весь внутрикорпоративный голосовой трафик в сеть VPN. Для этой цели предполагается использовать устройства VIP компании Micom. Выбор определяется главным образом тем, что в Aristocrat применяется телефонное оборудование фирмы Nortel, которая в 1997 г. приобрела Micom. Тем не менее окончательное решение пока не принято. "Когда мы перенесем переговоры внутри компании в сеть VPN, затраты на телефонную связь должны будут сократиться на 50-75%",- считает Эггингтон.


Протоколы туннелирования

РРТР (Point-to-Point Tunneling Protocol) поддерживает управление трафиком и многопротокольное туннелирование по линиям IP "от узла к узлу". Разработан совместно компаниями Microsoft, 3Com и ECI Telematics International.

L2F (Layer 2 Forwarding protocol, протокол передачи данных второго уровня) - проект стандарта, разрабатываемого группой IETF. Также поддерживает многопротокольное туннелирование. Главное его достоинство заключается в возможности организовывать туннельную передачу данных сразу на несколько узлов. Предложен компаниями Cisco, Nortel и Shiva.

L2TP (Layer 2 Tunneling Protocol, протокол туннелирования второго уровня) объединяет в себе возможности протоколов РРТР и L2F, устраняя проблему несовместимости между ними.


Виртуальная частная сеть: аппаратное решение



Виртуальная частная сеть, созданная Льюисом Гэри для компании Hamilton Beach/Proctor-Silex, должна окупиться за полтора года

Наверное, не так уж много людей стремятся оградить свои утюги, тостеры и прочую домашнюю технику от постороннего взгляда. Однако в компании Hamilton Beach/Proctor-Silex считают, что лучше всего поступать именно так. Производитель малогабаритных электротоваров для кухни поставил перед собой задачу обеспечить своим торговым подразделениям и агентам экономичный и безопасный доступ в корпоративную сеть.

Как рассказывает руководитель сетевых проектов компании Льюис Гэри, было решено обратиться к продуктам компании RedCreek и воспользоваться преимуществами Internet. Гэри отказался от дальнейшего применения установленных в организации модемных пулов и телефонной службы 800, заменив их на устройство Ravlin и прямой доступ к Internet по выделенным линиям с пропускной способностью 256 кбит/с, которые предоставил провайдер DigitalNation.

По мнению Гэри, уже благодаря отказу от услуг службы 800 виртуальная частная сеть компании окупится за полтора года. Кроме того, средства шифрования с ключом длиной 128 бит значительно повысят безопасность передачи данных.

Сотрудники торговых подразделений смогут подключаться по коммутируемым линиям через VPN к FTP-серверу компании, ее Web-узлу и компьютерной системе AS/400, в которой содержатся все сведения о поставках продукции. Виртуальная частная сеть повысит производительность системы, поскольку теперь передаваемая информация не будет направляться через внутреннюю АТС компании, имеющую низкую пропускную способность.

Каждому из удаленных пользователей предоставлена возможность самому выбрать подходящего местного Intrnet-провайдера, однако Гэри рекомендовал им начать с того, кто предлагает наиболее дешевые услуги, и не переходить к другому, пока не выяснится, сколько часов в месяц потребуется работать в Internet". Связь через провайдера не только обеспечит доступ к VPN, но и позволит сотрудникам Hamilton Beach просматривать Web-страницы других компаний, чтобы быть в курсе дел своих клиентов и конкурирующих фирм.


Согласно данным компании IDC, общая стоимость предоставленных в 1998 г. услуг по организации сетей VPN оценивается более чем в 300 млн долл.


Кто был первым?

Операторы телефонной связи уже более десятка лет используют термин VPN (а также SDN - Software Defined Network), обозначая им свои услуги по предоставлению виртуальных частных телефонных линий. Теперь трудно сказать, кто именно первым "позаимствовал" этот термин, применив его для сетей передачи данных, однако, смахнув пыль со старых пресс-релизов, мы отдаем пальму первенства компании CheckPoint Software Technologies. Надо сказать, она и сегодня остается одним из ведущих производителей ПО брандмауэров.


Варианты создания сети VPN собственными силами
Способ организации сети VPNДостоинстваНедостатки
На основе ПОНиже стоимость в расчете на 1 пользователя (используются уже имеющиеся серверы)При использовании сложных алгоритмов шифрования снижается производительность
На основе маршрутизатораНередко хватает уже установленного оборудованияМожет возникнуть необходимость в более мощном маршрутизаторе, потребуются дополнительные расходы
На базе аппаратных средств шифрованияОбеспечивают наилучшую криптографическую защиту без снижения производительности сетиСерьезных недостатков нет
На основе брандмауэраОбычно используется уже установленное оборудованиеНе самый гибкий и надежный метод защиты, особенно если брандмауэр ориентирован на определенную операционную среду