全面认识VPN(一)

　　由于 VPN 低廉的使用成本和良好的安全性，许多大型企业及其分布在各地的办事处或分支机构成了 VPN 顺理成章的用户群。对于那些最需要 VPN 业务的中小企业来说，一样有适合的 VPN 策略。当然，不论何种 VPN 策略，它们都有一个基本目标：在提供与现有专用网络基础设施相当或更高的可管理性、可扩展性以及简单性的基础之上，进一步扩展公司的网络连接。

　　1 .大型企业自建 VPN

　　大型企业用户由于有雄厚的资金投入做保证，可以自己建立 VPN ，将 VPN 设备安装在其总部和分支机构中，将各个机构低成本且安全地连接在一起。企业建立自己的 VPN ，最大优势在于高控制性，尤其是基于安全基础之上的控制。一个内部 VPN 能使企业对所有的安全认证、网络系统以及网络访问情况进行控制，建立端到端的安全结构，集成和协调现有的内部安全技术。

　　企业还可以确保得到业内最好的技术以满足自身的特殊需要，这要优于 ISP 所提供的普通服务。而且，建立内部 VPN 能使企业有效节省 VPN 的运作费用。企业可以节省用于外包管理设备的额外费用，并且能将现有的远程访问和端到端的网络集成起来，以获取最佳性价比的 VPN .

　　虽然 VPN 外包能避免技术过时，但并不意味着企业可以节省开支。因为，企业最终还要为高额产品支付费用，以作为使用新技术的代价。虽然 VPN 外包可以简化企业网络部署，但这同样降低了企业对公司网的控制等级。网络越大，企业就越依赖于外包 VPN 供应商。因此，自建 VPN 是大型企业的最好选择。

　　2 .中小型企业外包 VPN

　　虽然每个中小型企业都是相对集中和固定的，但是部门与部门之间、企业与其业务相关企业之间的联系依然需要廉价而安全的信息沟通，在这种情况下就用得上 VPN .电信企业、 IDC 目前提供的 VPN 服务，更多的是面向中小企业，因为可以整合现有资源，包括网络优势、托管和技术力量来为中小企业提供整体的服务。中小型企业如果自己购买 VPN 设备，则财务成本较高，而且一般中小型企业的 IT 人员短缺、技能水平不足、资金能力有限，不足以支持 VPN ，所以，外包 VPN 是较好的选择。

　　* 外包 VPN 比企业自己动手建立 VPN 要快得多，也更为容易。

　　* 外包 VPN 的可扩展性很强，易于企业管理。有统计表明，使用外包 VPN 方式的企业，可以支持多于 2300 名用户，而内部 VPN 平均只能支持大约 150 名用户。而且，随着用户数目的增长，对用于监控、管理、提供 IT 资源和人力资源的要求也将呈指数增长。

　　* 企业 VPN 必须将安全和性能结合在一起，然而，实际情况中两者不能兼顾。例如，对安全加密级别的配置经常降低 VPN 的整体性能。而通过提供 VPN 外包业务的专业 ISP 的统一管理，可大大提高 VPN 的性能和安全。 ISP 的 VPN 专家还可帮助企业进行 VPN 决策。

　　* 对服务水平协议（ SLA ）的改进和服务质量（ QoS ）保证，为企业外包 VPN 方式提供了进一步的保证。

　　三 .VPN 安全技术

　　由于传输的是私有信息， VPN 用户对数据的安全性都比较关心。目前 VPN 主要采用四项技术来保证安全，这四项技术分别是隧道技术（ Tunneling ）、加解密技术（ Encryption &Decryption ）、密钥管理技术（ Key Management ）、使用者与设备身份认证技术（ Authentication ）。

　　1. 隧道技术是 VPN 的基本技术，类似于点对点连接技术，它在公用网建立一条数据通道（隧道），让数据包通过这条隧道传输。隧道是由隧道协议形成的，分为第二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到 PPP 中，再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议有 L2F 、 PPTP 、 L2TP 等。 L2TP 协议是目前 IETF 的标准，由 IETF 融合 PPTP 与 L2F 而形成。第三层隧道协议是把各种网络协议直接装入隧道协议中，形成的数据包依靠第三层协议进行传输。第三层隧道协议有 VTP 、 IPSec 等。 IPSec （ IP Security ）是由一组 RFC 文档组成，定义了一个系统来提供安全协议选择、安全算法，确定服务所使用密钥等服务，从而在 IP 层提供安全保障。

　　2. 加解密技术是数据通信中一项较成熟的技术， VPN 可直接利用现有技术。

　　3. 密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为 SKIP 与 ISAKMP/OAKLEY 两种。 SKIP 主要是利用 Diffie-Hellman 的演算法则，在网络上传输密钥；在 ISAKMP 中，双方都有两把密钥，分别用于公用、私用。

　　4. 身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。

　　四 . 堵住安全漏洞

　　安全问题是 VPN 的核心问题。目前， VPN 的安全保证主要是通过防火墙技术、路由器配以隧道技术、加密协议和安全密钥来实现的，可以保证企业员工安全地访问公司网络。但是，如果一个企业的 VPN 需要扩展到远程访问时，就要注意，这些对公司网直接或始终在线的连接将会是黑客攻击的主要目标。因为，远程工作员工通过防火墙之外的个人计算机可以接触到公司预算、战略计划以及工程项目等核心内容，这就构成了公司安全防御系统中的弱点。虽然，员工可以双倍地提高工作效率，并减少在交通上所花费的时间，但同时也为黑客、竞争对手以及商业间谍提供了无数进入公司网络核心的机会。但是，企业并没有对远距离工作的安全性予以足够的重视。大多数公司认为，公司网络处于一道网络防火墙之后是安全的，员工可以拨号进入系统，而防火墙会将一切非法请求拒之其外；还有一些网络管理员认为，为网络建立防火墙并为员工提供 VPN ，使他们可以通过一个加密的隧道拨号进入公司网络就是安全的。这些看法都是不对的。

　　在家办公是不错，但从安全的观点来看，它是一种极大的威胁，因为，公司使用的大多数安全软件并没有为家用计算机提供保护。一些员工所做的仅仅是进入一台家用计算机，跟随它通过一条授权的连接进入公司网络系统。虽然，公司的防火墙可以将侵入者隔离在外，并保证主要办公室和家庭办公室之间 VPN 的信息安全。但问题在于，侵入者可以通过一个被信任的用户进入网络。因此，加密的隧道是安全的，连接也是正确的，但这并不意味着家庭计算机是安全的。

　　黑客为了侵入员工的家用计算机，需要探测 IP 地址。有统计表明，使用拨号连接的 IP 地址几乎每天都受到黑客的扫描。因此，如果在家办公人员具有一条诸如 DSL 的不间断连接链路（通常这种连接具有一个固定的 IP 地址），会使黑客的入侵更为容易。因为，拨号连接在每次接入时都被分配不同的 IP 地址，虽然它也能被侵入，但相对要困难一些。一旦黑客侵入了家庭计算机，他便能够远程运行员工的 VPN 客户端软件。因此，必须有相应的解决方案堵住远程访问 VPN 的安全漏洞，使员工与网络的连接既能充分体现 VPN 的优点，又不会成为安全的威胁。在个人计算机上安装个人防火墙是极为有效的解决方法，它可以使非法侵入者不能进入公司网络。当然，还有一些提供给远程工作人员的实际解决方法：

　　* 所有远程工作人员必须被批准使用 VPN ；

　　* 所有远程工作人员需要有个人防火墙，它不仅防止计算机被侵入，还能记录连接被扫描了多少次；

　　* 所有的远程工作人员应具有入侵检测系统，提供对黑客攻击信息的记录；

　　* 监控安装在远端系统中的软件，并将其限制只能在工作中使用；

　　* IT 人员需要对这些系统进行与办公室系统同样的定期性预定检查；

　　* 外出工作人员应对敏感文件进行加密；

　　* 安装要求输入密码的访问控制程序，如果输入密码错误，则通过 Modem 向系统管理员发出警报

　　* 当选择 DSL 供应商时，应选择能够提供安全防护功能的供应商。