侠诺科技：中小企业安全路由器手册（8）

对于中小企业，VPN 相对于专线，在成本效益上的优点适合作为远程接入或是多个公司间联机的基础。企业信息化的风潮，包括ERP、财务软件、CRM、CAD/CAM的引入，更让不同的企业都感受到VPN的必要。对于略具规模的中小企业，利用现有的宽带接入，建置一个安全的远程或特定点之间的联机，显然很有必要。

VPN极大地降低了用户的费用，而且提供了比传统方法更强的安全性和可靠性。但是对于初次接触的中小企业，或是有特殊需求的网管，仍时常发生有所不足的问题。以下就Qno侠诺接触中小企业的经验，针对不同问题，加以说明如下：

以下一一介绍相关功能

一、IPSec、PPTP、SmartLink、SSL VPN协定

选定适合的VPN协调是一个规划VPN网管会碰到的问题。以下先介绍一个可用于规划VPN所使用的流程

1. 依VPN应用及宽带接入决定总需要带宽，再决定总部线路及分支点线路，以及采用路由器WAN口数。

2. 如分支点散布在不同ISP区域，需作跨网VPN规划，总部需申请不同ISP线路。

3. 依应用需要决定VPN协议，常见的情况是混用不同的协议。网对网互联用IPSec或SmartLink（侠诺科技特有的基于IPSec协议的简化的VPN连接方式）。简化管理可用SmartLink。单一用户或行动用户可用PPTP或IPSec，并决定适用VPN客户端软件。

4. 建立管理政策，列出优先保留带宽的应用，及需加以管理排除的应用。

5. 依需要WAN口及运算能力进行选型，决定总部及分支点产品。

6. 进行网络拓朴规划及各接入点功能规划

7. 加入网络安全及防护相关功能考虑

在以上的流程中，VPN协议是一个需要决定的重大问题，必须根据远程访问的需求与目标而定。Qno侠诺的VPN提供不同的协议，可应用于不同的情况，主要支持的协议包括IPSec, PPTP, SmartLink, SSL。以下分别介绍：

1. IP_SECURITY协议(IPSec):是互联网工程任务组(IETF)为IP安全推荐的一个协议。通过相应的通道技术，可实现VPN、IPSec有两种模式：通道模式和传输模式。IPSec协议包括ESP（Encapsulating Security Payload）封装安全负载、AH（Authentication Header）报头验证协议及IKE密钥管理协议等，可以用在公共IP网络上确保数据通信的可靠性和完整性，能够保障数据安全穿越公网而没有被侦听。它的特点是安全性极高，适用于点对点的VPN配置。Qno侠诺科技IPSec通过国际VPNC认证，可以完成与其它VPN厂商的VPN设备相连接。

2. SSL的英文全称是“Secure Sockets Layer”，中文名为“安全套接层协议层”，它是网景（Netscape）公司提出的基于WEB应用的安全协议。SSL协议指定了一种在应用程序协议（如Http、Telenet、NMTP和FTP等）和TCP/IP协议之间提供数据安全性分层的机制，它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户认证。它的特点是无需客户端软件，使用方便，适用于用户安装配置不易或是特定应用情况。

3. PPTP（Point to Point Tunneling Protocol）点对点隧道协议:是一种支持多协议虚拟专用网络的协议。通过该协议，远程用户能够跨越 Microsoft Windows NT工作站、 Windows2000 和 Windows XP 操作系统以及其它点对点激活系统安全访问共同网络，并通过拨号本地互联网服务提供商安全链接它们互联网上的共同网络。优点也是简单易配置，对于初阶应用安全性足以因应。

4. SmartLink VPN协议：这是Qno基于IPSec协议，所发展出特有SmartLink VPN功能，强调简易的配置及管理。Qno侠诺QVM路由器的功能里通过设置确认联机后，路由器将大部份的设定参数交由VPN网关自动完成，只要进行简单的总部服务器IP、用户名、及密码输入就能建立IPSec设定，也能轻易穿透不同的IP环境，建立方便、快捷的VPN连接。有着PPTP简易配置的优点，又有IPSec的高度安全性，适用于点对点的联机。

当前企业需要安全的点对点连接，或用单一装置进行远程访问，并且让企业拥有管理所有远程访问使用能力，应视使用的情况决定采用的技术为宜。IPSec可以保护任何IP流量，而SSL专注于应用层流量。IPSec适合长期的连接，即宽带、持续和网络层连接要求。SSL 仅适合于个别的，对应用层和资源的连接，而且支持的应用没有IPSec 多。实现外出出差员工通过PPTP拨号或VPN软件连接等方式连接公司网络完成相关工作。

二、行动用户VPN软件

对于在外的行动用户而言，除了SSL以外，往往都需要使用客户端软件才能建立VPN。由于用户对配置了解程度不够，因此移动用户的客户端VPN软件，对网管造成相当的支持负担。Qno侠诺VPN支持不同的客户端软件，包括常见的窗口操作系统的IPSec/PPTP客户端、TauVPN、Greenbow VPN、Symantec VPN、Fortinet、SoftRemote、SSH都支持。

对于注重成本的用户，可以选择窗口操作系统内建的客户端软件或是免费的CVP客户端软件，例如TauVPN或是SSH。其它的用户则可采用付费的商用软件，可得到对应的技术支持服务。