IPSec VPN 与 SSL VPN 的投资比较_SSL VPN 与 IPSec VPN 的比较

IPSec VPN 与 SSL VPN 的投资比较

         从20世纪90年代中期开始，IPSec VPN逐步受到人们重视。IPSec VPN在远程访问者和企业局域网之间创建加密“隧道”，从而允许使用者就像他们在公司局域网内一样工作，即使他们处在很遥远的地方。为了创建这个加密隧道，需要在VPN的集中器和每一个使用者的笔记本上安装专用软件。虽然和老的拨号接入技术相比，IPSec降低了远程访问的成本。但是，由于要对每一个使用者的电脑进行管理，其建设和维护成本还是很昂贵的。
         最近几年来，出现了一种新的、不用专用客户端软件的远程访问技术——SSL VPN，它能提供更方便地访问企业应用、文件和网络资源的能力，而且重要的是它基于标准的浏览器上，而不是专用的客户端。不过，这种方便是折中的结果，因为SSL VPN（典型的，而不是全部）不支持底层网络层协议。虽然大多数使用者不需要这种能力，但是一些技术人员，像IT部门的支持人员可能需要这种远程的、网络层的访问能力。由于这个原因，一些部署了SSL VPN的企业同时也选择小范围地建设IPSec VPN，以满足那些技术人员的需要。因此，我们将把在整个企业范围内部署IPSec VPN，和在全企业范围内部署SSL VPN，同时还结合小范围建设IPSec VPN的总体拥有成本（TCO）进行比较。
         下面对两种远程访问方式TCO的比较结果表明，选择SSL VPN可以大大节省资金。投资回报（ROI）很可能在几个月内就开始实现，而且随着时间的推移迅速增长。事实上，分析结果清楚地显示，企业内使用者越多，也就越快能实现资金的节约。


图1 一年后运营成本和用户数的关系

          当然，实现这样节省的前提是实施的企业不用购买和维修笔记本就能进行远程访问。如果企业采用了SSL VPN，同时还要保证浏览器端安全，以对付从Internet接入点和借来的电脑等不安全的位置访问敏感系统的威胁时，就不能保证费用上的节约。
          在我们的例子中，该企业共有2000个用户：200个（如10%）是需要使用完全IPSec VPN访问技术的技术人员，剩余的1800人则是普通的使用者，他们可以访问E-mail、日历、企业门户、共享文件，以及其他的核心应用。我们将分别对为2000个用户建设IPSec VPN，和为200个技术人员建设IPSec，同时为全部2000人建设远程访问SSL VPN的投资进行比较。

                                               表1 两种VPN的用户分类情况

	IPSec VPN	IPSce VPN+Aventail SSL VPN
Aventail远程访问SSL VPN用户数	0	2000
IPSec VPN用户数	2000	200

要分析TCO和ROI，必须考虑以下因素：
● 初始投资和人工成本;
● 维护、支持和操作费用;
● 软的开销和收益（分析时暂时不考虑这些因素）。
1．初始投资和人工成本
        在基础设施建设方面，IPSec VPN和Aventail SSL VPN的初始投资和人工成本基本一样。虽然这些成本在数量上可能会随着业务和技术的需求而变化，但是在大多数建设中的基本构成要素我们都考虑到了：
         IPSec VPN的初始成本在局域网建设方面，IPSec VPN需要购买、安装、配置VPN集中器和（或）防火墙。出于TCO分析的原因，我们假定这些已经建设好了，因此，我们在局域网里不需要为部署IPSec VPN而花钱了。同样，我们也假设在公司局域网建设2000人的IPSec VPN和建设200人的IPSec VPN的成本是一样的。和建立IPSec VPN客户端相关的初期投资包括：
► IPSec VPN客户端软件和硬件
► 安全软件（防病毒和个人防火墙）
► 管理软件
► 安装成本
         现在，如果购买了IPSec VPN提供商的VPN服务器软件，部分提供商也提供免费的基本IPSec VPN客户端软件包。但是，要真正建立IPSec VPN，单单有这些最基本的客户端软件是很不够的。如果没有防火墙和其他的安全软件，客户端机器非常容易成为黑客攻击的目标。这些客户端很容易被黑客利用，他们会通过VPN访问企业内部系统。这种黑客行为越来越普遍，而且后果也越来越严重。例如，如果雇员从家里的计算机通过公司VPN访问企业资源，在他创建隧道前后，他十几岁的孩子在这台电脑上下载了一个感染了病毒的游戏，那么，病毒就很有可能经过VPN在企业局域网内传播。另外，如果黑客侵入了这台没有保护的PC，他就获得了经过IPSec VPN隧道访问公司局域网的能力。因此，在建设IPSec VPN时，必须购买适当的安全软件，这个软件的成本必须考虑进去。
         除此以外，除非已经在每一台客户使用的计算机上安装了管理软件，软件补丁的发布和远程电脑的配置升级将是一件十分令人头疼的任务（如果不说不可能的话）。这里，企业可以选择从第三方购买安全和管理软件，也可以直接从IPSec VPN提供商那里购买。目前，Check Point免费提供基本“SecuRmote”VPN客户端给它的VPN-1 网关用户，但包括个人防火墙和各种管理功能的完整“SecureClient”软件，则每一个用户要收费92美元。如果要部署2000个用户的VPN，价格可能会降到每用户40美元。按照每个用户40美元，客户端的软件费用将是8万美元，这里还不包括任何硬件的费用和任何实际安装客户端软件时候所需要的服务费用。
        Aventail远程访问的初始投资 Aventail远程访问SSL VPN要求购买一个AventailVPN产品。对于2000人规模的企业，推荐选择5万美元的一种产品。由于使用标准的Web浏览器访问SSL VPN，根本不需要专用客户端软件。同时，使用Aventail解决方案，由于不需要创建隧道，即使使用者的电脑不安全，企业局域网也仍然是安全的。
         这里有一个特别需要注意的地方，在这个案例中有可能企业会购买笔记本电脑给IPSec VPN用户，如果这样，就需要考虑新电脑的费用。当然，更准确的办法还要考虑笔记本电脑和台式机在价格上的差异（大约500美元）。虽然这里开支可能会很大，但是，我们仍然假设使用者已经有了笔记本电脑，这笔投资可以节省下来。设想一下，三年后这些笔记本电脑需要更新，每一个VPN使用者又要发生大约500美元费用上的差距。事实上，在这三年期间，可能电脑会更换多次，因而500美元的费用差很可能一直在发生——这里我们假设建设IPSec VPN时，所有的笔记本都是新的。

                                                             表2 初始投资小结

	IPSec VPN	IPSce VPN+Aventail SSL VPN
VPN 集中器/防火墙	- -	- -
nternet连接	一样	一样
Aventail 设备	0	5万美元
VPN 客户端&安全软件	8万美元	8千美元
初始培训	同样	同样

2．维护、支持和操作
       不管是Aventail SSL VPN还是IPSec VPN，在维护方面都包括以下内容：销售商的支持合同、帮助座席开销、服务器和客户端软件升级和维护，以及软件补丁等。销售商建设的费用对于大范围的IPSec VPN和很多人使用的Aventail SSL VPN来说基本是一样。但是，支持开支却有很大的区别。
         IPSec VPN的正常运营费用 IPSec VPN需要对远程客户机进行维护和提供支持，因此，运营费用直接和客户机的数量相关。调查表明，管理IPSec VPN的费用（包括帮助座席、补丁、总体维护等）每一个用户每月大约在5～30美元之间（这个数据来自于实际统计）。出于分析的目的，我们将分别针对这个范围的两端进行TCO分析。在实际运行中，一个企业的开支很可能在这个范围波动。
         Aventail 远程访问软件的正常运营费用由于Aventail 远程访问不需要专用的客户端软件，因此在客户端也就不需要运营费用。另外，由于它可以和认证技术和应用无缝集成，所以Aventail 远程访问在服务器端的管理工作量也很小。Aventail 远程访问使用标准的Web界面，用户甚至根本不会觉察到Aventail 远程访问的存在，所以也就不会为公司的帮助座席增加工作量。其最终结果是，公司的帮助座席根本就不会为不知道怎么连接和不知道这种应用如何工作的雇员所累，运营费用也就和使用者多少没有直接联系。但是尽管如此，我们还是假设每一个月有一天会维护Aventail 远程访问应用，开销大约1000美元。
                                    表3 运营费用小结（5美元/月。每IPSec VPN用户）

IPSec VPN	IPSce VPN+Aventail SSL VPN
运营管理费用10000美元/月	2000美元/月（*）

*其中1000美元用来维护IPSec VPN,1000美元用来维护Aventail SSL VPN

表4 运营费用小结（30美元/月.每IPSec VPN用户）

IPSec VPN	IPSce VPN+Aventail SSL VPN
运营管理费用60000美元/月	7000美元/月（*）

* 其中6000美元用来维护IPSec VPN,1000美元用来维护Aventail SSL VPN

Internet连接出于本文的目的，我们假设Internet 连接在两种VPN方式中开销是一样的，虽然事实上在IPSec VPN解决方案中，Internet 连接更贵些。目前，尽管还有一些公司按照公司雇员家里有电话这样的条件建立VPN，但是已经有些公司将VPN建立在雇员已经有Internet接入的基础上。对于后者来说，和IPSec VPN相比较而言，Aventail 远程访问可以更节省。

结论
从这个案例中我们可以推断，Aventail远程访问结合小范围的IPSec VPN这种综合方案比单独采用IPSec VPN这种方案更节省，而且使用时间越长，公司规模越大，这种差距越大。附图2、3揭示了时间与投资节省的关系。
附图2、3揭示了时间与投资节省的关系。


图2 2000个用户远程访问解决方案成本比较（每用户每月5美元）

         有一点我们应该认识到，那就是IPSec VPN的总体拥有成本和客户端机器的数量直接相关，相应地Aventail解决方案节约的开销也随用户数的增加而增加。表5分别列出了部署不同规模的VPN时的投资节约情况，是按每个月、每个用户5美元这样最保守的运行成本来估算的。
        从经济学的角度考虑，建设Aventail远程访问VPN以提供普通使用者远程访问关键商务系统，而公司技术人员技术采用IPSec VPN，这种综合方案最经济。对于已经建设好PSec VPN的公司，甚至可以考虑让大多数用户转向使用Aventail SSL VPN，因为运营成本的降低将足以证明这种转变是值得的。

                                                    表5 投资规模与用户数的关系

	IPSec VPN	Aventail SSL VPN
1000个用户（100个技术员）	10万美元	7.6 万美元
2000个用户（200个技术员）	20万美元	8.2 万美元
5000个用户（500个技术员）	47.5万美元	11.2 万美元
10000个用户(1000个技术员)	95万美元	15.7 万美元


图3 2000个用户远程访问解决方案成本比较（每用户每月30美元）