如何在VPN中使用网络加密

　　作为一个分析师，我收到了越来越多的询问有关网络加密、加密的传输或者虚拟专用网安全的问题。也许那是因为担心遭到TJ Maxx的母公司TJX、Marshalls和HomeGoods商店等公司曾经历过的安全突破。当一个黑客利用明尼苏达州圣保罗附近的 Marshalls服装商店的Wi-Fi网络的漏洞的时候(点击查看此事件)，数百万信用卡受到了损害。

　　遭遇安全突破的并不仅仅是TJX公司。还有一些引人注目的个人数据被突破的事件，包括美国政府内部80%的现役军人的名字的个人数据被突破。这些事件促使美国政府下达一个行政命令，要求对传送和保存的个人身份识别数据采取加密措施。

　　我经常同网络工程师谈论有关加密传输中的数据的问题。在这里，我首先介绍加密传输的VPN的各种类型，然后再按照复杂性的顺序提出需要考虑的加密类型。加密传输中的信息的两种最常用的技术是SSL(安全套接层)和IPsec(IP网络安全协议)。

　　网络加密的四种类型

　　1、无客户端SSL：SSL的原始应用。在这种应用中，一台主机计算机在加密的链路上直接连接到一个来源(如Web服务器、邮件服务器、目录等)。

　　2、配置VPN设备的无客户端SSL：这种使用SSL的方法对于主机来说与第一种类似。但是，加密通讯的工作是由VPN设备完成的，而不是由在线资源完成的(如Web或者邮件服务器)。

　　3、主机至网络：在上述两个方案中，主机在一个加密的频道直接连接到一个资源。在这种方式中，主机运行客户端软件(SSL或者IPsec客户端软件)连接到一台VPN设备并且成为包含这个主机目标资源的那个网络的一部分。

　　SSL：由于设置简单，SSL已经成为这种类型的VPN的事实上的选择。客户端软件通常是很小的基于Java的程序。用户甚至可能都注意不到。

　　IPsec：在SSL成为创建主机至网络的流行方式之前，要使用IPsec客户端软件。IPsec仍在使用，但是，它向用户提供了许多设置选择，容易造成混淆。

　　4、网络至网络：有许多方法能够创建这种类型加密的隧道VPN.但是，要使用的技术几乎总是IPsec.

　　在网络至网络的VPN的情况下，我们在讨论从一个网络设备到另一个网络设备的加密问题。由于我们期待目前的网络设备要做的事情，在这个讨论中会出现一些其它难题：

　　与其它技术的相互作用：广域网经常使用服务质量、深度包检测或者广域网加速。如果在部署的时候没有考虑这些服务，加密就会使这些服务失效。网络地址解析是另一个需要克服的障碍，因为它首先会干扰建立一个加密的连接的能力。

　　叠加网络：加密隧道VPN是通过在现有的网络上创建一个叠加的加密连接发挥作用的。加密的连接存在于这个网络上的两个具体接口之间。从源头上看，如果要加密的网络通讯被重新路由或者传送到不同的接口，它就不会被加密。如果这个通讯在加密之后被重新路由并且被发送到指定接口以外的其它接口，它就不能被解码或者被抛弃。

　　在一个加密的VPN中，DNS、IP地址和路由都需要特别注意。一些安全VPN技术与专用地址领域工作得非常好。有些安全 VPN技术甚至在网络端点采用动态地址的情况下也能很好工作。在某些情况下，企业喜欢把所有的互联网通讯路由到一个中心的位置。在其它情况下，采用拆分隧道方法，分支地点有单独的互联网网关。

　　带宽：网络工程师不停地解决带宽问题一边为其用户提供尽可能最好的体验。但是，在一个加密的VPN的情况下，他们必须要考虑加密带宽或者加密和解密大型数据流的能力。

　　无论是什么动机，探索这个技术正是时候。加密技术是比以前更便宜和产品更多的技术(这种技术嵌入在防火墙、路由器和广域网加速器)。但是，对于大多数网络工程师和设计师来说，这个技术需要不同的思路：按照复杂程度的顺序进行思考以便在这种技术中进行选择; 努力地最大限度地减少网络和网络用户的负担; 等等。通过遵守一些基本的原则，你可以确保加密技术成为保证你的网络安全的一种非常有用的、甚至是至关重要的工具。