在《如何避免VPN安全漏洞（一）》中介绍了四种VPN攻击方式和黑客，本文将继续为你介绍MPLS VPN的安全性；企业应当如何建设合适的VPN来保障信息安全以及企业应当如何平衡VPN的易用性和安全性等内容。

MPLS VPN可以被攻破吗？

Enders: MPLS VPN是一种不错的VPN技术。当然，针对VPN的那些常见攻击方式对于MPLS VPN同样可以构成威胁，比如借助社会工程学的攻击与内部攻击等。

企业应当如何建设合适的VPN来保障信息安全？

 对广域网的远程用户而言，虚拟专网（VPN）应该是安全的连接，但是因为许多明显的漏洞，致使许多企业质疑VPN的安全性。Rainer Enders是NCP engineering在美洲地区负责VPN安全的CTO，在本篇对他的采访报道中，大家将会了解到VPN安全漏洞是如何产生的，如何消除这种风险。

VPN安全漏洞通常如何产生？

Rainer Enders:尽管VPN号称是一种安全的技术，但是我认为许多方法会破坏其安全性。

一种常见的方式是中间人攻击，主要发生在人们访问无线或有线局域网（或广域网）的时候。黑客可以通过内部访问来窥探连接、收集该连接的信息。同时，如果他能够获得许可证书的话，他还可以利用它发起攻击。

 下一代防火墙自出现以来，和UTM的对比之声就不绝于耳。在用户方面，往往还有很存在很多迷惑的地方。针对UTM与下一代防火墙的未来，所有的受访对象都一致认为，下一代防火墙在未来将来会取代现在的UTM设备。因为，从产品结构、功能、性能等方面来看，下一代防火墙都比UTM要领先一步。

相较于传统防火墙，UTM提供了更多的安全功能，但UTM的致命缺陷就是采用串行扫描方式，处理效率低下，尤其在激活了多种扫描过滤功能之后，整体的性能会使企业的网络受到极大的影响。王帆则表示，UTM只是将防火墙、IPS、AV进行简单的功能堆砌，功能全部开放时的效率非常低下，另外，UTM在防护方面也不完善，例如Web应用方面的防护就有缺失。

而另一种观点认为UTM到NGFW是安全产品的进一步演化，相较于备受中小企业的UTM设备，下一代防火墙面对的用户范围更加广泛，NGFW的发展是需求推动。从技术方面，UTM和NGFW有一些区别。下一代防火墙产品之所以能够达到比UTM更高的性能和实现更多的功能，是因为其产品架构之间的根本区别。NGFW产品自设计之初，就采用了一体化的引擎，而UTM只是把多种安全引擎叠加在了一起，这种做法会使数据流在每个安全引擎分别执行解码、状态复原等操作，导致大量的资源消耗。而NGFW则不同，它会一次性的对数据流完成识别、扫描，因而可以达到更高的性能。吴亚彪表示，UTM开始的设计就是针对中小企业网络的，性能受到了很大的局限。UTM的理念是不需要用户开启全部功能。NGFW拥有灵活的架构与扩充性，这主要得益于NGFW支持虚拟化，使得NGFW能够更灵活的架构。除了定制化能力外，还有一点很重要的就是硬件资源可以通过虚拟化技术进行分配的。举例来说，NGFW很有可能有能力多台防火墙串连虚拟为单一的防火墙设备，或是将单台防火墙虚拟为多台小型防火墙，达到分开处理流量的效果。

虽然NGFW产品与UTM相比具有了先天性的优越性，但对于追求高性价比的中小企业用户来说，UTM在最近的几年中无疑还有巨大的市场潜力。作为非下一代防火墙厂商，H3C安全产品部总工李彦宾提出了比较中立的观点，他认为短期来看，下一代防火墙产品比UTM有一定的优势。但从技术的演进来看，受中小企业客户的强烈需求推动和UTM厂商自身软硬件能力的提升，或许UTM会具备一些新的功能。吴亚彪也认为，NGFW虽然有可能会取代之前的网络防火墙、IPS、UTM等产品，但这取决于用户的根据自身需求和投入来选择，无论UTM还是NGFW可能在未来一段时间内会并存下去。