安全的思考：小李的再次抉择 防火墙、VPN一样都不能少？
　　
　　如果一个ERP网络系统解决了数据传输、网络连接问题，那下一步，就是安全问题了，如何实现成本低、但又安全的网络ERP系统呢？
　　
　　在张总经理的支持下，ERP部署工作逐步往前走，当小李看到市场上琳琅满目的VPN设备时，差点没晕过去。“到底该选什么样的设备呀？”小李在最初的困惑之后开始潜心研究VPN相关技术和设备，经过一番学习对各种设备的特点和问题都已烂熟于心“哦，原来如此！现在国内外虽然可选择的VPN产品很多，但基本上可分成三大类：硬件VPN产品、硬件防火墙/VPN产品、独立的软件VPN产品。而且这里面大部分产品对LAN到LAN及远程拨号连接都能支持。”小李现在讲到这些设备的分类时俨然一个专家的样子。
　　
　　“第一类是硬件VPN产品，是专用设备,由于它们采用专有系统，在设备的芯片中存储了加密密钥，因此，较之基于通用系统的软件VPN产品更家稳定可靠。另外，相比于软件VPN产品，硬件VPN产品加密速度更快。”
　　
　　“第二类是基于软件的VPN产品可能提供更多的灵活性。而且价格更低，在一般情况下，如通过拨号链路连接的移动办公用户，软件结构也许是非常好的的选择。软件系统的问题在于难于管理，它要求使用者熟悉主机操作系统、应用程序本身以及相应的安全机制，甚至一些软件包需要对路由表和网络地址方案进行改动。”
　　
　　“那第三类产品呢？”小李故意清了清嗓子，“你别急吗，听我慢慢说。如果是以前，购买了以上任意一种VPN产品，在通常情况下，企业往往需要在购置一台VPN网关或服务器的同时，处于对企业网络安全防护的考虑，还需要再购置一台防火墙设备，这种组网模式给公司带来的不仅是高投入，而且由于VPN设备和防火墙设备在配合上有很大的麻烦，这给网络管理和网络配置带来极高的难度，经常出现的尴尬情况不是经过VPN隧道的用户在防火墙中被阻拦，就是通过防火墙后，又无法创建VPN。这种设备的冗余和配合的不协调性给企业的正常安全运营和网络管理带来了极大的麻烦，同时也在安全上引入了无数个漏洞。而且除了防火墙和VPN，在一般企业的出口中，往往可能有若干种网络及安全设备陈列：路由器、IPS、防病毒等。这些设备一方面增加了企业进行网络设计的重复投资，另一方面这些设备之间经常出现配合不协调的状况，造成了安全设备本身就不“安全”，经常出现系统故障，甚至出现网络瘫痪，给企业进行正常的网络通讯带来损失。所以将安全的概念统一集成到一款设备中，简化企业网络的安全接入和安全保护，实现一体化的安全解决方案是目前企业VPN网络的发展趋势。目前常见的做法是通过网络技术和软硬件技术的结合，将防火墙组件和VPN组件有机结合，协调统一地集成在一款设备中，可以在保证VPN安全接入的同时，又为企业网络安装了一套安全防护的外套，可以充分保证企业网络的安全可靠的运行，彻底实现安全接入和安全保护的网络解决方案。这种产品的特点就是具有传统硬件VPN产品的所有特点之外还可以提供增强型状态安全过滤功能，可以对网络访问流量进行筛选。此外，它们还可以防止网络中个别店面终端感染蠕虫病毒的扩散，支持后续的语音业务，提供丰富的日志功能和实时报警功能，并具备简单易用的WEB管理能力。而且价格与硬件VPN产品相当，因此，提供额外的安全防护是这种硬件防火墙/VPN产品的一大优势。”
　　
　　说到这里，小李笑了笑：“不用我说，你也知道我的选择是什么了吧！”