用了20年的VPN，竟然不香了！

这两年，为了让大家能够顺畅地远程上班，公司都操碎了心。

用视频会议加强沟通，用SaaS化/云化的应用改变访问习惯，用桌面云把办公电脑“搬回家”，总之你能想到黑科技，都用上了…

可是无论怎么折腾，对绝大多数企业用户来说，远程访问公司内网，都是刚需。

以前，应对这类需求，VPN是最常见的模式。

可是你知道吗，VPN从诞生到现在已经有30多年的历史了，这门技术多年来，基本上没啥大变化，翻来覆去都是那些东西，核心要义就靠隧道和加密。

可是这两年，VPN这个前浪，正在被SDP后浪超越，越来越多的人开始看好基于SDP的零信任模式。

 VPN vs SDP，到底谁更好？

要说SDP后浪推前浪，VPN是不服气的，于是双方决定来个PK，看看到底谁在裸泳。

我们先来看第一轮↓

在VPN的惯性思维里，有个明确的「边界」概念，就像我们长期以来，区分内网、外网、DMZ，或者划分不同级别的安全域，然后在边界上会架设隔离装置、安全网关，比如防火墙。

此时，VPN一般都是通过隧道的模式，与边界网关建立连接，实现从外网到内网的访问。基于“隧道”和“加密”，在不安全的开放网络上，构造一个相对安全的访问路径。

而在SDP的脑海里，并没有“边界”这样的硬框框，非常符合当下企业的IT基础架构形态。

内网有业务、公有云上有业务，还有一大把SaaS化的应用要访问，同时，业务使用者的位置，也是飘忽不定的，今天在家，明天坐班，后天出差…

边界在哪儿？无从定义。

SDP讲究的就是“软件定义边界”，根据实际业务需求来自由划定边界，“处处有边界，处处无边界”。这样，保证有权限的人，在任何位置都可以访问任何业务。

所以，第一轮比下来，SDP更符合新形势下的业务特点，无处不在的访问需求，无所不在的业务位置。而VPN则先输一场。

我们再来看第二轮PK↓

VPN学名“虚拟专用网络”，名字听着很安全，实际上还有些考虑不周。

拿典型的L2TP或者IPsec VPN来说，虽然有隧道、有加密，可以防止敏感数据在公网上被嗅探。

可是VPN用户一旦拨入内网，即便针对VPN地址池做些ACL控制，用户获得的仍然是网络级的粗粒度权限，能搞很多事，一旦账号失陷，就可能对内网造成威胁。

同时，VPN很难做到服务隐藏，容易把关键业务服务器的位置（地址/端口），暴露在攻击者的面前。

SDP架构的安全性就高多了，它采用服务隐身设计，被保护的业务服务只允许被认为合法的报文访问，丢弃“非法”报文。

在具体实现上，它不再沿用传统VPN的CHAP/PAP认证，而是采用了全新的SPA单包认证机制。

SPA单包认证是一种先认证后连接的机制，通常基于UDP来承载，没有监听端口，客户端直接向SDP控制器扔“敲门砖”，这个砖一般是“共享密钥+随机数”。

如果不是正确的砖头，不管你扔多少砖敲门，都不会有人鸟你。

只有敲门敲对了（验签成功），控制器才会通知SDP网关，打开相应的校验端口，接受该用户的终端状态和用户身份校验。

经过SPA、终端状态和用户身份校验，用户才能根据授权，获得指定业务的访问权限。

所以，通过第二轮的比拼，SDP的暴露面更小，对服务的保护更周全，再次碾压VPN。

继续看第三轮，终极PK↓

传统VPN缺乏对用户认证成功后的监测机制，一旦认证成功，就会畅通无阻，万一遇到哪个“失控玩家”，往往搞出大动静。

而SDP基于零信任理念，一般会配合MSG微隔离技术，给予访客最小授权，认证通过获得访问权限以后，想搞出大动静也很难，也不会有什么横移的机会。

同时，SDP还会秉承零信任“永不信任、始终验证”的原则，时刻留意访问者的安全状态。

一旦发现“不正经”行为，就立刻吊销对方的访问权限。

看到这里，你就明白了吧，作为后浪，SDP自带零信任光环，它不是一个人在战斗，充分利用集体的力量，形成一套严密的防控体系。

不错过一个想干正事的人，也不放过一个想干坏事的人。

最终，三轮战罢，SDP完胜，彻底将VPN击倒！

所以，VPN为什么会败？除了协议本身的局限性，更多的是被时代趋势打败了，而SDP把握住了时代密码，成为构建下一代访问管理技术的基石。

既然基于SDP的零信任方案这么好，怎么才能快速升级呢？

零信任是个系统工程，想要推倒重来，对企业来讲，无论资金投入还是部署工作量，都是不小的负担。

如何多快好省建成SDP零信任？

怎么搞最方便？要是能在原有架构上升级，再好不过了。

我这么一查，还真有这样的方案↓

到底有多简单？

只需一台山石网科防火墙，通过其内置零信任控制器，就可极速部署SDP。

已经拥有山石网科防火墙的客户，直接升级软件，瞬间就能搞定。

而且，如果原来客户使用防火墙来做SSL VPN网关，那么SSL VPN客户端可以沿用，自动升级成双模式客户端，支持SSL VPN和SDP接入。

这样，对终端用户来说，可以保持一致性体验，而运维人员也免去了诸多实施麻烦。

什么？你还没有山石的防火墙？

没关系，买买买，一台防火墙，边界防护All in One，超值。

用户可以根据网络规模大小，选上一台山石A系列iNGFW防火墙，安全隔离、路由NAT、访问控制、应用识别、URL过滤、情报联动、入侵防御、病毒检测、VPN加密、SDP零信任接入，一站式搞定！

同时，山石网科这种极致的“All in One”设计，有助于打造更安全的SDP：终端用户匹配零信任策略后，还要经受IPS/AV/URL等应用层安全考验。

只有如此，零信任的核心理念“永不信任，持续验证”，才不会仅仅成为噱头。

不过，听说有这么多功能All in One，很多人也吓到了。

毕竟大家当年都吃过某些UTM的亏，觉得这类所谓全能型产品“样样通”，必然“样样松”，流量一大，用户一多，肯定趴窝。

这种担心大可不必，与那些用x86工控机造墙的同行不一样，山石历来有自研安全硬件的传统，这次更是秘密研发了一款代号为「HillStone Mars」的“硬件加速引擎”。

“Mars”专注于流量卸载，把CPU解放出来处理综合安全业务。有了它的加持，山石防火墙1U的小小身板，就释放出大能量！

以山石A7600型号为例，集成20个万兆+4个100G，小包性能高达140Gbps，大包性能320Gbps，秒杀业内所有1U设备，妥妥性能天花板。

依靠超强的处理能力打底，山石防火墙就有实力交付更多功能。这一次，它又成为了构建零信任架构的基石。

那么，有了这个“基石”，具体怎么部署呢？

山石SDP零信任部署实战

在实战中，主要需要三个组件：零信任网关、零信任控制器、零信任客户端。

就像前面所说，已有山石防火墙的，可以瞬间平滑升级，没有的，只需加购一台即可让网络焕然一新。

具体实现流程也很简单，一起来看看吧↓

那么，山石网科这套用防火墙构建的零信任方案，有啥独特之处呢？

除了我们前面所讲的“SDPvsVPN”的PK优势，山石还藏了不少新亮点。

首先，零信任讲究“永不信任，持续验证”，对每个访问者进行“头发丝”般的细粒度管控，这依赖于丰富详尽的终端标签，进行全面的身份和终端状态识别。

这些标签，再配合五元组、应用ID、状态、时间等等，会在防火墙上生成独立的动态零信任策略。

所有策略可以提供以应用为单位的最小授权，并在用户退出、超时或者状态异常时，按需动态调整。

如此复杂精细的策略，如果企业用户量很大，一人一组策略，会不会把防火墙撑爆了？

没问题，山石防火墙支持百万级的策略容量，满足海量用户、海量业务的精准控制，动态规则自动添加。

同时，山石还提供策略管理平台，对规则进行分析、检查、审计，规则再多也不慌。

如果遇到更大规模的“全域”零信任访问需求，山石还提供分布式部署和统一编排，一个SMP管理平台，纳管多台零信任网关。

这种架构，不仅接入规模更大，冗余性更强，终端用户还可以根据链路质量，灵活选路，自动寻找最佳接入点，提升访问体验。

针对更复杂的混合接入场景，则可以按需部署不同规格、形态的山石防火墙作为零信任网关。

金融政府有国产化要求的边界，部署K系列国产化防火墙；大型数据中心、大集团边界，则可使用X系列高性能防火墙；中小园区、分支，选用A系列作为网关；而在云计算、虚拟化场景下，可以直接使用云·界vFW。

为何选择山石网科？

有人也许会问，市面上推零信任、ZTNA之类方案的很多，基于SDP搞东搞西的也不少，为啥偏偏要选山石？

这是个好问题，让我禁不住想起了一个情结：这么多年在我眼里，国内安全圈，山石防火墙就是YYDS。

山石这套零信任解决方案，就是以其招牌产品防火墙为底座来构建的，山石墙在业内以“能打”著称，无论是超大规模的园区网/企业网出口，还是大型数据中心“南北”、“东西”流量防控，都有它战斗的身影。

这次华丽升级，对大量山石老客户来说，堪称福利，轻松实现产品「物尽其用」，而对志在重构零信任体系的新客户来讲，山石防火墙的All in One能力，同样可以成为最好的基石。

再往深里说，山石网科其实是在下一盘边界安全的大棋，SDP零信任只是棋局中的一步。

山石网科的目标，是在没有“传统边界”的新IT架构上，筑起无处不在、随需而动的新防线。

而山石的底气，来自于四个方面：➊硬核技术底座➋HCMA安全理念➌边界安全产品矩阵➍边界安全场景化解决方案。

传统物理环境、云环境、工业环境、国产化环境…，敢犯我边界者，虽远必诛！

从底座到理念，再到产品和方案，山石网科将边界安全从单点防御进化到全面协同、全域适应时代。

所以，你还怀念故纸堆里的VPN吗？携手山石网科，迈向零信任架构，重新定义边界安全吧