互聯(lián)網(wǎng)安全技術日益革新，不論是IDS還是IPS都曾經(jīng)紅極一時，但是技術仿佛是永無止境的，安全廠商與網(wǎng)絡入侵者的博弈還在繼續(xù)。繼UTM的概念被提出之后，一種新型的網(wǎng)絡技術VPN又成了網(wǎng)絡安全的寵兒。那么企業(yè)并不是財大氣粗的土財主，在安全產(chǎn)品的更新?lián)Q代上當然也要考慮VPN的優(yōu)勢在哪里，相對于以往的安全產(chǎn)品是不是能夠更好地保障企業(yè)安全？本篇文章就為您簡單的介紹一下八種VPN的優(yōu)勢。

VPN的優(yōu)勢

VPN網(wǎng)絡給用戶所帶來的好處主要表現(xiàn)在以下幾個方面:

(1) 節(jié)約成本

這是VPN網(wǎng)絡技術的最為重要的一個優(yōu)勢，也是它取勝傳統(tǒng)的專線網(wǎng)絡的關鍵所在。據(jù)行業(yè)調(diào)查公司的研究報告顯示擁有VPN的企業(yè)相比起采用傳統(tǒng)租用專線的遠程接入服務器或Modem池和撥號線路的企業(yè)能夠節(jié)省30%到70%的開銷。開銷的降低發(fā)生在4個領域之中:

移動通訊費用的節(jié)省:這主要是針對于有許多職工需要移動辦公的企業(yè)來說的，因為這樣對于出差在外地的移動用戶來說只需要接入本地的ISP就可以與公司內(nèi)部的網(wǎng)絡進行互連，大大減少了長途通信費。企業(yè)可以從他們的移動辦公用戶的電話費用上看到立竿見影的好處。

專線費用的節(jié)省:采用VPN的費用比起租用專線來要低40～60%，而無論是在性能、可管理性和可控性方面兩者都沒有太大的差別。通過向虛擬專線中加入語音或多媒體流量，企業(yè)還可以進一步獲得成本的節(jié)約。這一點對于過去有過租用象DDN之類的專線的企業(yè)用戶就會有更深刻的感受了，租用DDN一個小小的64k就得每月花費幾千上萬元費用，采用VPN后不僅這方面的費用會大大減少(但通常不能全免，因為在企業(yè)與NSP之間這一段還得租用NSP的專用線路，但這已是相當短的了)，而且還可能會在帶寬上有更大的優(yōu)勢，因為現(xiàn)在的VPN技術可以支持寬帶技術了。

設備投資的節(jié)省:VPN允許將一個單一的廣域網(wǎng)接口用作多種用途，從分支機構的互聯(lián)到合作伙伴通過外聯(lián)網(wǎng)(Extranet)的接入。因此，原先需要流經(jīng)不同設備的流量可以統(tǒng)一地流經(jīng)同一設備。由此帶來的好處便是企業(yè)不再像原先那樣需要大量的廣域網(wǎng)接口了，也不必再像以前那樣頻繁地進行周期性的硬件升級了，這樣就可大大減少了企業(yè)固定設備的投資，這對于是、小型企業(yè)來說是非常之重要的。此外，VPN還使企業(yè)得以繼續(xù)對其關鍵業(yè)務型的舊有系統(tǒng)進行有效利用，從而達到保護軟硬件投資的目的。

支持費用的節(jié)省:通過減少Modem池的數(shù)量，企業(yè)自身支持費用可以被降至最低。原先用來對遠程用戶進行支持的、經(jīng)常超負荷工作的企業(yè)支持熱線(通常還需由專人負責)被NSP幫助桌面系統(tǒng)所取代。而且，由于NSP幫助桌面系統(tǒng)可以完全實現(xiàn)從總部中心端進行管理，因此VPN的優(yōu)勢在于可以極大地降低對遠程網(wǎng)絡的安裝和配置成本。在降低費用方面主要表現(xiàn)為:遠程用戶可以只通過向當?shù)氐腎SP申請賬戶登錄到因特網(wǎng)，以因特網(wǎng)作為隧道與遠程企業(yè)內(nèi)部專用網(wǎng)絡相連。這樣采用撥號方式的遠程用戶則不需要采用長途撥號，企業(yè)總部也可只支付ISP本地網(wǎng)絡使用費，在長途通信費用方面就會大幅度降低，據(jù)專業(yè)分析機構調(diào)查顯示，采用VPN與傳統(tǒng)的撥號方式相比可以節(jié)約通訊成本可達50%-80%。與租用專線方式相比更具有明顯的費用優(yōu)勢，一般VPN每條連接的費用成本只相當于租用專線的 40%到 60%;VPN還允許一個單一的WAN接口服務多種用途，因此用戶端只需要極少的 WAN接口和設備。而且由于VPN是可以完全管理，并且能夠從中央網(wǎng)站進行基于策略的控制，因此可以大幅度地減少在安裝配置遠端網(wǎng)絡接口所需的設備上的開銷。另外，由于VPN獨立于初始的協(xié)議，這就使得遠端的接入用戶可以繼續(xù)使用傳統(tǒng)的設備，保護了用戶在現(xiàn)有硬件和軟件系統(tǒng)上的投資。

(2) 增強的安全性

目前VPN主要采用四項技術來保證數(shù)據(jù)通信安全，這四項技術分別是隧道技術(Tunneling)、加解密技術(Encryption & Decryption)、密鑰管理技術(Key Management)、身份認證技術(Authentication)。

在用戶身份驗證安全技術方面，VPN的優(yōu)勢在于通過使用點到點協(xié)議(PPP)用戶級身份驗證的方法來進行驗證，這些驗證方法包括:密碼身份驗證協(xié)議 (PAP)、質(zhì)詢握手身份驗證協(xié)議 (CHAP)、Shiva 密碼身份驗證協(xié)議 (SPAP)、Microsoft 質(zhì)詢握手身份驗證協(xié)議 (MS-CHAP) 和可選的可擴展身份驗證協(xié)議 (EAP);

在數(shù)據(jù)加密和密鑰管理方面VPN采用微軟的點對點加密算法(MPPE)和網(wǎng)際協(xié)議安全(IPSec)機制對數(shù)據(jù)進行加密，并采用公、私密鑰對的方法對密鑰進行管理。MPPE使 Windows 95、98和 NT 4.0終端可以從全球任何地方進行安全的通信。MPPE加密確保了數(shù)據(jù)的安全傳輸，并具有最小的公共密鑰開銷。以上的身份驗證和加密手段由遠程VPN服務器強制執(zhí)行。對于采用撥號方式建立VPN連接的情況下，VPN連接可以實現(xiàn)雙重數(shù)據(jù)加密，使網(wǎng)絡數(shù)據(jù)傳輸更安全。

還有，對于敏感的數(shù)據(jù)，可以使用VPN連接通過VPN服務器將高度敏感的數(shù)據(jù)服務器物理地進行分隔，只有企業(yè)Intranet上擁有適當權限的用戶才能通過遠程訪問建立與VPN服務器的VPN連接，并且可以訪問敏感部門網(wǎng)絡中受到保護的資源。

(3) 網(wǎng)絡協(xié)議支持

VPN支持最常用的網(wǎng)絡協(xié)議，這樣基于IP、IPX和NetBEUI協(xié)議網(wǎng)絡中的客戶機都可以很容易地使用VPN。這意味著通過VPN連接可以遠程運行依賴于特殊網(wǎng)絡協(xié)議的應用程序。新的VPN技術可以全面支持如AppleTalk、DECNet、SNA等幾乎所有的局域網(wǎng)協(xié)議，應用更加全面。

(4) 容易擴展

如果企業(yè)想擴大VPN的容量和覆蓋范圍，企業(yè)需做的事情很少，而且能及時實現(xiàn)，因為這些工作都可以交由專業(yè)的NSP來負責，從而可以保證工程的質(zhì)量，更可以省去一大堆麻煩。企業(yè)只需與新的NSP簽約，建立賬戶;或者與原有的NSP重簽合約，擴大服務范圍。VPN路由器還能對工作站自動進行配置。

(5) 可隨意與合作伙伴聯(lián)網(wǎng)

在過去，企業(yè)如果想與合作伙伴連網(wǎng)，雙方的信息技術部門就必須協(xié)商如何在雙方之間建立租用線路或幀中繼線路。這樣相當麻煩，不便于企業(yè)自身的發(fā)展，也就是租用的專線在靈活性方面是非常不夠。有了VPN之后，這種協(xié)商也毫無必要，真正達到了要連就連，要斷就斷，可以實現(xiàn)靈活自如的擴展和延伸。

(6) 完全控制主動權

借助VPN，企業(yè)可以利用ISP的設施和服務，同時又完全掌握著自己網(wǎng)絡的控制權。比方說，企業(yè)可以把撥號訪問交給ISP去做，由自己負責用戶的查驗、訪問權、網(wǎng)絡地址、安全性和網(wǎng)絡變化管理等重要工作。

(7) 安全的IP地址

因為VPN是加密的，VPN數(shù)據(jù)包在因特網(wǎng)中傳輸時，因特網(wǎng)上的用戶只看到公用的IP地址，看不到數(shù)據(jù)包內(nèi)包含的專有網(wǎng)絡地址。因此遠程專用網(wǎng)絡上指定的地址是受到保護的。IP地址的不安全性也是在早期的VPN沒有被充分重視的根本原因之一。

(8) 支持新興應用

許多專用網(wǎng)對許多新興應用準備不足，如那些要求高帶寬的多媒體和協(xié)作交互式應用。VPN的優(yōu)勢則可以支持各種高級的應用，如IP語音，IP傳真，還有各種協(xié)議，如RSIP、IPv6、MPLS、SNMPv3等，而且隨著網(wǎng)絡接入技術的發(fā)展，新型的VPN技術可以支持諸如ADSL、Cable Modem之類的寬帶技術。

【編輯推薦】

1. 中小企業(yè)VPN組網(wǎng)設置
2. 中小企業(yè)局域網(wǎng)VPN接入組網(wǎng)
3. VPN的安全和管理真的夠好嗎？
4. 如何運用VPN路由表建立網(wǎng)通電信
5. 結合VPN與無線AP增強無線網(wǎng)絡安全