如何选购VPN

随着企业组织方式的扁平化发展，企业分布地域日益广泛以及对信息资产安全的日益重视，企业迫切需要一种技术把原有的各个孤立的局域网连为一个整体，以便在全局的网络视图下，构筑一个可靠的、安全的网络信息传输和管理平台。随着骨干网络带宽十倍、百倍地提升，以及ADSL、HFC等宽带接入方式的普及，Internet己经成为各种实时关键性应用的良好数据传输载体，而用户的注意力也由原来的关注网络的稳定性、可用性逐渐集中到联网方案的易用性和安全性上来。VPN技术的发展与成熟，可为企业的商业运作提供一个无处不在的、可靠的、安全的数据传输网络。

一、VPN技术优势

与传统的组网方式相比，采用基于IPSec标准的VPN技术有很大的优势，两种技术的比较见下表。

VPN的技术分为两类，一类是基于MPLS（多协议标记交换）和L2TP（第二层隧道协议）等标准，一般用于ISP部署自己的骨干网络并对外提供VPN服务。它的侧重点在于在Internet上开出类似于专线性能的数据通道，信息安全方面考虑得很少或没有考虑，即使有ISP采用L2TP+IPSec的方案来提升VPN方案的安全性，也只能实现点到点的安全，而且不能提供细粒度的安全服务，不适合企业构造复杂的、安全性要求非常高的商业逻辑和应用。以思科为例，它在大力推动MPLS的VPN解决方案的同时，建议用户部署CPE（客户端设备，采用IPSec协议的VPN设备），以提升方案的安全性和灵活性。

另一种是基于IPSec的VPN技术。它的侧重点在于安全保密，融合了加密、认证、密钥管理等密码技术。目前，企业构建自己的VPN网络时基本都采用这种技术。 在国内，VPN产品的市场己逐步启动，在银行连网、海关连网、信用卡全国支取等关键领域已得到大规模部署，而一些券商、大型企业等也对VPN表示了浓厚的兴趣，打算采用VPN产品构建核心的业务通信网络，以提高商业运作的效率，精简商业流程。

VPN方案和产品不应局限地理解为一个安全产品，它实际上是企业IT投资和E化战略的一部分。它所提供的是一个安全的、可管理的、易用的数据传输平台，支撑着企业正常的商业运作。它不仅是企业安全方案中的一部分，还是企业整体商业流程中不可或缺的一部分。VPN中的很多的特性己经与商业应用紧密地结合在一起，如基于证书的数字签名、不可否认服务，交易数据的保存与审计等等。

正因为如此，在选择VPN产品及方案提供商时，考虑的因素不应该仅仅是产品本身的功能特性，还要考虑厂商的服务和后续研发实力、与应用相关的对VPN产品的特殊功能等等。

二、VPN功能要求

VPN解决方案主要有三种：LAN到LAN、客户到LAN、客户到客户，这里的客户指的是VPN网络中的移动用户和远程办公用户。目前厂商提供的产品大多数都支持LAN到LAN和客户到LAN，而支持客户到客户的产品却不多。如果企业有很多在家办公的职员，而且他们有时要进行个人之间的敏感数据传送（如技术资料、招标文件等），那么，客户到客户的VPN方案是一种很好的解决手段。

VPN产品有三个基本组成部分：VPN网关、VPN客户端和VPN管理中心。VPN网关是实现LAN到LAN的设备，VPN客户端与VPN网关一起可实现客户到LAN的VPN方案，而VPN管理中心则对VPN网关和VPN客户端的安全策略进行配置和远程管理。

VPN产品应有哪些基本功能呢？

1． 它应集成包过滤防火墙和应用代理防火墙的功能。 企业级VPN产品是从防火墙产品发展而来，防火墙的功能特性己经成为它的基本功能集中的一部分。如果是一个独立的产品，VPN与防火墙的协同工作会遇到很多难以解决的问题，有可能不同厂家的防火墙和VPN不能协同工作，防火墙的安全策略无法制定（这是由于VPN把IP数据包加密封装的缘故）或者带来性能的损失，如防火墙无法使用NAT功能等等。而如果采用功能整合的产品，则上述问题不存在或很容易解决。

2． VPN应有一个开放的架构。

VPN部署在企业接入因特网的路由器之后，或者它本身就具有路由器的功能，因此，它己经成为保护企业内部资产安全最重要的门户。阻止黑客入侵、检查病毒、身份认证与权限检查等很多安全功能需要VPN完成或在同VPN与相关产品协同完成。因此，VPN必须按照一个开放的标准，提供与第三方安全产品协同工作的能力。目前，国际上这方面己有相对成熟的标准，即Check Point公司提出的OPSec协议族，包括CVP（内容检查协议）等等。

3． 有完善的认证管理。

一个VPN系统应支持标准的认证方式，如RADIUS认证、基于PKI的证书认证以及逐渐兴起的生物识别技术等等。对于一个大规模的VPN系统，PKI／KMI的密钥管理中心，提供实体（人员、设备、应用）信息的LDAP目录服务及采用标准的强认证技术（令牌、IC卡）是一个VPN系统成功实施和正常运行必不可少的条件。而且，基于PKI的证书识别结合IC卡和生物识别将是未来的认证主流技术。

4． VPN应提供第三方产品的接口。

当用户部署了客户到LAN的VPN方案时，VPN产品应提供标准的特性或公开的API，可以从公司数据库中直接输入用户信息。否则，对于一个有数千甚至上万的SOHO人员和移动办公人员的企业来说，单独地创建和管理用户的权限是不可想像的。

5． VPN应拥有IP过滤语言，并可以根据数据包的性质进行包过滤。

数据包的性质有目标和源IP地址、协议类型、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站网络接口等。

6． 支持常见的应用。

对很多标准的应用，如NNTP（网络消息传输协议）、XWindow、Http和Gopher等服务，VPN中的防火墙模块应该包含相应的代理服务程序。VPN对于一些标准的协议，如多播、VLAN等应是透明的。

（1）审计应用。目前企业和组织对安全审计特别是内部网络的审计日益重视起来，因为分析表明，80%以上的网络攻击和对信息资产的非法访问与窃取来自内部。这样，VPN应提供很强的审计功能，包括网络访问的审计、网络流量的监控、远程用户与移动用户访问的审计。

（2）VPN的管理中心应是一个基于GUI技术的图形界面，加密通道、流量信息、接入用户、网络访问及入侵与报警（与IDS协同工作）等应一目了然。因为VPN是一个庞大的整体网络的概念，当出现单点故障或发生意外时，应以直观的方式在管理中心显示并报警，并自动启动备份的设备或线路，重构VPN网络通路（隧道），使系统有非常好的冗余度。除此而外，系统在设计时就应考虑配置的方便性，提供基于安全域和用户角色进行安全策略和安全规则制定的方式。因为传统的基于IP地址和用户身份来制定安全策略的方式，当在一个VPN网络中应用时，会极为繁杂，甚至无法操作，而基于安全域和用户角色的安全策略制定方式可以用逻辑的方式表达系统的安全要求，极大地简化了管理，减轻了系统管理员的负担，并极大地保证系统整体策略的一致性，减少了制定安全策略和规则时出现错误的可能性。

（3）VPN厂商应提供可适应性和多平台的VPN。随着网络安全技术的不断发展，VPN产品的结构和功能也应能够快速调整。在这方面，安全策略的表达技术是非常重要的一环。如果VPN产品制定安全策略时，只是基于IP包的地址、端口、协议号，那么有很多的安全要求就无法满足。因此，VPN产品除传统的基于数据包结构的安全策略制定的方式外，还必须提供类似自然语言或基于逻辑的安全策略的制定方式，以适应特定的、复杂的安全要求。而要实现主机到客户（端到端）的加密与安全，VPN产品提供商必须提供多平台的VPN产品才能充分满足客户需求。

（4）可扩展性好，支持VPN设备的堆叠，实现负载均衡，以适应企业规模的快速扩张。 三、考察厂商的能力 企业IT投资是一个渐进的过程，VPN作为其中的一部分，厂商必须有持续升级的能力。而且企业需要的是一个整体的解决方案，而任何一个厂商都不可能独自提供企业需要的所有产品，这样，VPN解决方案提供商就应该在安全产品线上有广泛的联盟，并与合作伙伴有良好的关系，以便为客户实施一套完整的解决方案并提供售后支持和快速的产品升级服务，以适应网络安全技术的最新发展和基于因特网的商业应用对安全产品在功能和安全性方面不断提升的要求。厂商应提供完善的售前技术咨询、需求分析、方案设计、方案选择、第三方产品集成、安装调试与试用、方案实施、7×24小时应急响应与维护、产品升级、代理商的培训、本地化或区域化的技术支持等等。只有这样，才能充分保证客户的VPN网络及商业运作的正常进行，最大限度地发挥IT产品的应用价值。

四、支持国际标准

随着中国加入WTO，未来的安全产品、特别是像VPN、CA这样的产品，一定要符合国际的标准和规范。以ANX为例，它是一个由三大汽车交易商（通用汽车、福特和克莱斯勒）倡导的建立在IPSec标准基础上的外联网，它把三大汽车制造商的8000个供应商连接起来，其最终目标是连接20000个交易商。ANX己在1998年的第一季度投入使用。而如果想要加入这个网络，前提条件是产品符合IPSec标准并通过ICSA的兼容性测试。正如EDI一样，如果一个产品不能严格地遵守国际标准开发，那么这样的产品随着企业国际化进程的加快，很快就会被淘汰。

目前，VPN产品中应采用的国际标准包括：

RFC 2401 因特网安全体系结构；

RFC 2402 IP认证头标准；

RFC 2406 IP封装安全载荷协议；

RFC 2407 ISAKMP 解释域（DOI）；

RFC 2408 因特网安全联盟与密钥管理协议 （ISAKMP）；

RFC 2409 因特网密钥交换（IKE）协议。

其他的相关标准包括X509v3、SNMP v2，v3、 PKCS及ECC等系列标准。

方案，与CA、Baltimore