3.传统VPN解决方案存在的问题

　　为什么传统的VPN解决方案没有达到用户的预期效果?从H公司的例子我们可以看出，采用传统的IPSec VPN网关设备来构建企业的VPN系统有着几个固有的弱点：

　　第一、没有网关防病毒功能。各类蠕虫和网络病毒可以从漫游PC/分支机构/合作伙伴网络等位置通过VPN隧道传播至内网。

　　第二、没有入侵防御功能。黑客可从分支机构/合作伙伴网络中通过VPN隧道发起攻击;

　　第三、采用IPSec VPN实现漫游用户接入。IPSec VPN的漫游PC到VPN网关接入采用C/S架构的VPN客户端，缺乏灵活性;VPN客户端存在与操作系统或其他应用软件不兼容的风险;

　　第四、维护成本高。客户端配置相对复杂，随着VPN终端数的增长，运维成本线性递增。

　　可见，传统的VPN解决方案只满足了用户对于VPN业务的基本需求，也就是解决用户的连通性、数据级别的安全性和认证问题，而对于接入VPN的分支节点/漫游用户在应用级别的安全性上没有考虑。对于需要立体安全的用户来说，单纯的VPN网关是远远不够的。

　　但是，如果单纯采用其它设备弥补上述安全缺陷又不是那么容易。VPN隧道中的所有数据本身经过了严格加密，如果直接在VPN传送的路径上部署入侵防御系统、网络防病毒系统等应用层安全设备，由于无法将数据从报文中解密，因此无法起到应有作用。而如果在VPN网关之后叠加部署多个安全设备，会对用户的管理维护带来进一步的压力，同时大大提高整体的建设成本。

　　有没有一种VPN方案能够让用户解决上述安全性、维护成本和采购成本方面的问题呢?答案是肯定的，那就是采用统一威胁管理(UTM)设备构建企业的VPN体系。