VPN的发展与现状简析

网络经济的发展使企业的客户资源、合作伙伴的数量急剧增加，带来了效益的大幅度提升;另一方面，传统企业网的缺陷也制约了业务的发展：专线基于固定物理地点的连接方式，已无法适应现代企业对网络部署效率的要求。于是，企业对网络组建的要求上升到了一个新的层次，主要表现在网络的灵活性、安全性、经济性和扩展性等方面。在这样的背景下，VPN应运而生。

　　VPN是Virtual Private Network的简称。虚拟专用网不是SDH、ATM等真的专用网络，却能够实现专用网络的功能。虚拟专用网依靠ISP(Internet Service Provider因特网服务提供商)和其它NSP(Network Service Provider网络服务提供商)，在公用网络中建立加密的专用数据通信网络。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的固定物理链路，而是利用公众网的物理链路资源动态组成的。

　　IETF 组织对基于IP 的VPN 解释为：通过专门的隧道加密技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟，是指用户不再需要拥有实际的长途数据线路，而是使用Internet公众数据网络的长途数据线路。所谓专用网络，是指用户可以为自己制定一个最符合自己需求的网络。早期的虚拟专用网一般指的是电信运营商提供的Frame Relay或ATM 等虚拟固定线路(PVC)服务的网络，或通过运营商的DDN 专线网络构建用户自己虚拟专用网。

　　现在的VPN 是在Internet 上建立的，用户不仅节省了租用专线的费用，同时除了购买VPN 设备或VPN软件产品外，企业所付出的仅仅是向企业所在地的ISP 支付一定的上网费用，对于不同地区的客户联系也节省了长途电话费。这就是VPN 性价比高的原因。

　　两种常用的VPN技术

　　VPN在经历了大规模商用后，其技术和应用方式也发生了很大发展。其中，有两种主流的VPN技术的应用最为广泛。第一种是基于IP 网络层的IPSec VPN,另一种是基于应用层的SSL VPN技术。

　　一： IPSec VPN

　　IPSec的英文全名为“Internet Protocol Security”，中文名为“因特网安全协议”,这个安全协议是VPN的基本加密协议，它为数据在通过公用网络(如因特网)在网络层进行传输时提供安全保障。通信双方在建立IPSec通道前，首先要协商具体的方式来建立通信连接。因为IPSec协议支持多种操作模式，所以通信双方要确定所要采用的安全策略和使用模式，这包括加密运算法则和身份验证方法类型等。在IPSec协议中，一旦IPSec通道建立，所有在网络层之上的协议在通信双方都经过加密，如TCP、UDP 、SNMP、HTTP、POP3等，而不管这些通道构建时所采用的安全和加密方法如何。

　　IPSec VPN在应用方面具有以下特点：

　　适用于网对网连接方案;

　　需要安装客户端软件，安装和维护成本相对高;

　　存在系统兼容性的问题。

　　在IPSec VPN之后，又一种VPN技术逐渐成为了主流，即基于应用层的SSL VPN技术。

　　二： SSL VPN

　　近年来，移动办公已成为趋势，移动用户接入公司内部专网的需求不断增加，使得IPSec VPN的使用也逐渐增加。但由于IPSec VPN的维护困难，造成企业IT成本过高;另一方面，企业对于内网资源的保护的要求也不断提高，IPSec VPN由于开放了整网的资源给接入用户，企业内网安全方面的问题逐渐暴露。

　　鉴于IPSec VPN应用中存在的不足，基于应用层的SSL VPN开始迅速兴起。SSL的英文全称是“Secure Sockets Layer”，中文名为“安全套接层协议层”，它是网景(Netscape)公司提出的基于WEB应用的安全协议。是一种基于应用层的虚拟专网技术，它利用SSL技术和代理技术，向终端用户提供安全访问HTTP资源、C/S资源，以及文件共享资源等的功能，同时可以实现不同方式的用户认证，以及细粒度的访问控制。通过该技术的应用，我们可真正实现 “在任何时候、任何地点、通过任何设备安全地接入公司内部网”的目标。

　　SSL VPN技术应用具有以下优势和特点：

　　通过点到应用的保护，对每一个应用都可以设定安全策略;

　　无需手动安装任何VPN客户端软件 ;

　　兼容性好，支持各种操作系统和终端(如PDA、SmartPhone等)

　　在远程访问领域，SSL VPN正逐步取代IPSec VPN。但是，作为传统的站点到站点安全联接的主流技术，IPSec VPN仍然是不可取代的。当前，VPN领域的共识是：IPSec VPN更适合于站点到站点安全联接，SSL VPN是实现安全远程访问的最佳技术。

　　就目前的技术而言，VPN的发展到现在没有所谓最佳选择，到底选择那种VPN必须根据远程访问的需求与目标而定。当企业需要安全的点对点连接时，IPSec可能是最适合的解决方案，即IPSec更加适合用来解决网到网的互联问题。

　　SSL VPN则更适合下述情况：移动用户通过互联网来访问企业内部获取广泛而全面性的信息，管理员希望精确的了解接入用户的访问情况，SSL VPN在这方面更胜一筹。

　　如果一个企业会同时存在网间互联和点到网的互联需求，所以我们需要的是一台设备同时支持这两种VPN技术，在需要网到网互联的时候使用IPSec、在需要点到网互联的时候使用SSL，用最合适的技术来满足用户的需求。

　　VPN发展到现在，出现了很多的产品。用户在选择一款VPN的时候应该注重那些技术呢?什么样的产品才算的上是一款理想的VPN呢?

　　如何选择VPN?

　　上面我们也讨论到用户根据自身得需要选择适合自身的需求选择适合自己的VPN,当需要网对网互连的用户在选择IPsec VPN的时候应该注意以下几点 :

　　一、稳定性。

　　VPN上传输的应用往往是企业的业务数据，其稳定性相当重要。VPN的

　　稳定性分为设备的稳定性和线路的稳定性两个方面。设备稳定性包括：支持硬件设备冗余技术，支持设备的关键部件(硬盘、电源、风扇)热插拔功能，避免主机宕机带来的业务中断;线路稳定性主要包括线路的冗余和自愈功能，即可通过多条线路进行备份,主线路故障后，可以自动启用备份线路。当线路故障修复后，可以在几秒内迅速恢复连接。

　　二、速度。

　　国内的用户往往需要面临“南北电信”互访的速度问题。由于时延大、丢包率高，南北方的网络互通时速度很慢。针对这种现象，主要有2种解决方法。第一种是通过申请多条线路，设置策略路由或通过负载均衡类的技术来实现;第二种是采用Flash-Link技术，优化高丢包环境下的数据传输。两者相比，后者由于不需要申请额外的线路，更符合企业的实际情况。

　　三、安全。

　　IPSec VPN的安全性集中在接入、传输和访问控制。接入安全包括可提供多种认证手段，包括硬件身份认证、SecureID等;传输安全主要是采用高强度的加密算法，目前通用算法的类型较多，我们需要选择可提供多种算法的产品;另外，访问控制也是IPSec VPN安全性种比较重要的方面，由于IPSec VPN是双向访问的，而且初始化时，对端的网络资源完全透明。优秀的IPSec VPN可以对双向的互访进行访问控制，对不同的用户开放不同的内网资源。

　　值得一提的是，IPSec VPN的国家标准即将出台，考察产品是否符合此标准，能够最大程度上避免采购风险，特别对于政府、教育等行业的用户。

　　而在选择SSL VPN应注意以下几点：

　　一、速度。

　　由于SSL VPN是为移动办公而生的，而移动用户“行踪不定”的性质，

　　导致各种有线、无线、跨运营商的接入方式存在。所以，SSL VPN的速度快慢也直接决定了用户的访问感受。 和IPSec VPN一样，用户也可以考虑支持线路负载均衡以及Flash-Link技术的SSL VPN，而支持对HTTP数据进行压缩、对无线通讯协议进行优化的SSL VPN，自然是更进一步的选择。

　　二、易用性。

　　易用性的考察主要依赖于用户体验。除了考察管理员是否易于操作和掌握SSL VPN网关的使用，很重要的需要考察SSL VPN的终端是否易于使用和维护。在登录SSL VPN之前，终端不应该安装独立的客户端。SSL VPN的插件应该做到自动安装自动修复。用户登录SSL VPN不需要培训和指导就能进入应用。对于大规模的SSL VPN用户部署，应该要支持对统一用户认证数据的无缝支持，如域认证，Radius认证，目录服务认证等，这样可以避免在SSL VPN上维护大量用户。

　　三、安全性。

　　SSL VPN种，我们拿常见的网上银行举例，其安全性的隐患往往出现在认证手段的疏漏，导致帐户被盗用。SSL VPN的安全性也主要体现在对多种认证的支持，除了通用的X509,PKI,Radius等认证外，最好能够提供更安全的USB KEY，动态令牌，一次性短信口令、硬件特征码等较难复制盗用的认证方法。

　　另外，如果用户既有网对网的需求又有移动访问的需求，那么单一的SSL VPN无法解决所有互联需求和安全需求，比如SSL VPN就不能解决网对网的互联问题。因此需要多种安全和互联需求的用户，如果能在同等价格下，购买集成SSL ,IPSec VPN的一体化设备将更加划算。一台设备结合IPSec和SSL 两套主流的VPN技术，利用两者的优势进行互补，避免了单一VPN设备存在的不足。最大限度地发挥了IPSec /SSL VPN给企业带来的效益，真正做到一台设备的投资，两种设备的功能。