VPN技术精要指南

　　为了保障VPN的安全性，企业一般需要安装某种形式的网关，即一种可以管理VPN连接的网络设备。网关可以由安装在服务器上的VPN软件组成，也可以是一个专门的VPN设备。

　　VPN的功能也可以嵌入到防火墙内部，一些安全设备(如UTM)也可以提供此功能。这种设备除了提供VPN功能，还可以包括防火墙、入侵检测系统和入侵防御系统等能力。

　　企业单位在管理其VPN网关时，可采取两种思路。一是依靠企业的内部人员管理，二是将管理责任交付一个称为安全管理服务供应商的第三方。现在有许多第三方安全管理服务供应商能够管理VPN、防火墙、IDS、IPS等客户端设备。

　　简析VPN的工作方式和技术特征

　　基本而言，VPN并不使用专用的真实连接(如租用线路)，它通过互联网使用从公司的私有网络到远程站点或雇员的可路由的虚拟连接。(图1)

　　VPN网络设计的目的是通过公共网络建立安全的通信通道。但VPN如何建立这种安全通道却与所采用的安全协议类型有着极大的关系。

　　IPsec VPN可以在两个端点之间创建一个受保护的隧道。这种点到点的VPN能够将公司总部与子公司连接起来。而且IPsec VPN还可以在远程访问中扮演自己的角色，它可以作为远距离工作人员访问公司网络的安全途径。

　　IPsec提供了身份验证和其它的一些安全服务。在涉及到安全产品时，这种安全协议通常与数据加密标准结合使用。

　　通过IPsec VPN，企业组织必须在需要网络访问的设备上安装客户端软件。VPN客户端允许在远程计算机和公司网络之间创建隧道。

　　虽然IPsec拥有更长的历史，但基于SSL(安全套接层)协议的VPN在近年来得到了日益广泛的使用。SSL加密得到广泛使用，从而可以保障通过互联网传输的数据安全，并减少对客户端软件的需要。SSL VPN准许用户通过任何支持SSL的Web浏览器访问资源。

　　不需要VPN客户端能够减轻管理，因为并不需要加载软件，并且无需在每个需要访问网络的设备上经常更新软件。也就是说，一些SSL VPN部署可能要求使用客户端软件来处理不使用80号端口的应用程序。

　　SSL VPN主要用于远程访问，而IPsec VPN经常在局域网到局域网的链接中起作用。

　　不同VPN的关键区别在于其对现有互联网架构的使用和相关的成本效益上。VPN作为一种保障通信安全的重要方式，已经可以支持移动工作人员和大量的访问设备。VPN也可以支持操作连续性设计，因为在工作人员的平常工作场所由于某种紧急状态而关闭时，这项技术准许工作人员从家里或其它位置访问企业的应用程序。

　　最佳VPN设计基本标准

　　VPN方案的成功与否，关键在于规划设计。一个设计出色的VPN应当极大地为公司带来利益。它应当但不限于：

　　◆扩展地理上的连接性

　　◆改进的更高的安全性

　　◆减少运作成本

　　◆减少远程用户的传输时间和传输成本

　　◆简化网络拓扑

　　◆提供全球性的网络连接机会

　　◆提供远距离工作的支持

　　◆提供宽带网络连接的性能

　　◆提供比传统的广域网更加快捷的投资回报

　　◆高可靠性和可升级性

　　◆简易的网络管理

　　◆简易安全的策略管理

　　◆提高生产力