作為一種成熟有效的低成本廣域網(wǎng)互聯(lián)解決方案，通過VPN技術(shù)實現(xiàn)遠程安全接入已經(jīng)得到了普遍的接受和廣泛的應用。通過VPN，可以讓遠程的分支機構(gòu)、移動辦公用戶乃至于合作伙伴在一個類似于局域網(wǎng)的環(huán)境下協(xié)同工作。

在所有VPN技術(shù)中，IPSec VPN是公認的最佳的網(wǎng)絡到網(wǎng)絡VPN解決方案，廣泛應用于總部和分支機構(gòu)之間的互聯(lián)。IPSec是標準的網(wǎng)絡安全協(xié)議，它可以提供透明的IP層加密通訊服務，加密強度根據(jù)選擇的加密算法不同而有所區(qū)別。由于是基于IP層進行加密，所以與上層協(xié)議與應用無關(guān)，對各種應用的支持較好。

但是IPSec VPN不支持路由協(xié)議的透傳，因此在進行需要透傳路由協(xié)議的相對復雜組網(wǎng)的時候會遇到困難。為了解決這一難題，業(yè)內(nèi)也開發(fā)了很多解決方案，其中最佳的就是利用GRE隧道技術(shù)與IPSec技術(shù)相結(jié)合的組網(wǎng)方式。

在移動用戶接入時，相對于IPSec VPN需要額外安裝客戶端以及需要對客戶端進行比較復雜的配置的缺點，SSL VPN提供了更加簡便的無客戶端的移動用戶接入解決方案。SSL VPN使用了面向HTTP應用的SSL協(xié)議對TCP協(xié)議進行加密。由于SSL協(xié)議得到了瀏覽器的廣泛支持，因此在使用SSL VPN的時候不需要安裝客戶端和進行復雜的配置，只需要使用瀏覽器即可。同時結(jié)合ActiveX控件，SSL VPN可以實現(xiàn)對非HTTP應用的支持，以及VPN客戶端接入時的安全校驗等功能。

在進行VPN設計時應當考慮以下問題：

■ 分析業(yè)務的實際需求，綜合采用多種VPN技術(shù)，靈活網(wǎng)絡設計。一般說來，網(wǎng)絡到網(wǎng)絡比較適合接入采用IPSec VPN，遠程辦公用戶接入比較適合采用SSL VPN，而在需要透傳路由協(xié)議的情況下，則需要使用GRE VPN承載IPSec VPN的方法。

■ 考慮到不同的遠程接入網(wǎng)絡/遠程接入用戶的業(yè)務需求不同，應用采用分域的方法進行VPN設計。比如分支機構(gòu)與合作伙伴通過VPN接入的時候就應該接入不同的域。

■ 與通過專線進行廣域網(wǎng)設計類似，在設計時要考慮對蠕蟲病毒等惡意流量的防護問題。

■ 在多數(shù)情況下，用于VPN連接的互聯(lián)網(wǎng)鏈路往往同時也是訪問互聯(lián)網(wǎng)的鏈路，因此在進行設計時，要考慮與邊界防護設計的融合問題。

■ 充分考慮統(tǒng)一安全策略部署，與統(tǒng)一配置管理問題。

典型組網(wǎng)

DPtech遠程安全接入解決方案綜合應用IPSec VPN、SSL VPN、GRE VPN、L2TP VPN等多種VPN技術(shù)，為用戶提供多樣的、高可靠性的遠程安全接入解決方案，實現(xiàn)分支機構(gòu)、合作伙伴、移動用戶的一體化遠程安全接入。同時根據(jù)實際情況，應用杭州迪普科技有限公司的防火墻、UTM和IPS產(chǎn)品，提供了全面的L2～7層安全防護，統(tǒng)一的安全策略部署與配置管理能力，以及與邊界防護解決方案的融合能力。

功能與優(yōu)勢

■ 網(wǎng)絡級的性能

迪普相關(guān)產(chǎn)品基于APP-X硬件平臺，可以在吞吐量、并發(fā)、新建連接、延時等方面提供網(wǎng)絡級的性能。不會因為增加了新的設備而使得應用的性能出現(xiàn)下降。

■ 網(wǎng)絡適應性

迪普相關(guān)產(chǎn)品基于Conplat軟件平臺，提供了豐富的網(wǎng)絡適應性，可以在IPv6、MPLS等復雜網(wǎng)絡環(huán)境下良好的工作。設備部署的時候，可不受網(wǎng)絡環(huán)境的限制，也不需要大面積調(diào)整網(wǎng)絡結(jié)構(gòu)。

■ 豐富的VPN組網(wǎng)能力

綜合應用IPSec VPN、SSL VPN、GRE VPN、L2TP VPN等多種VPN技術(shù)，提供了豐富的VPN接入手段和組網(wǎng)方法。

■ 完善的L2～7安全保護

通過DPtech防火墻、UTM和IPS產(chǎn)批為核心，提供了完善的L2～7層安全保護能力?？捎行У钟鵙PN內(nèi)的病毒傳播，以及抵御來自于互聯(lián)網(wǎng)的攻擊。

■ 虛擬化安全服務

所有產(chǎn)品都支持虛擬化功能，可以虛擬成為多個獨立設備使用。這在分域設計以及多種安全策略并存的環(huán)境下，可以有效的降低安全策略設計的復雜性。

■ 快速部署及排錯

所有設備都支持統(tǒng)一管理，能對所有設備進行統(tǒng)一系統(tǒng)軟件升級、策略集中下發(fā)，提供了快速部署及排錯能力。

■ 完善的高可靠性保障

根據(jù)組網(wǎng)方式的不同，可支持鏈路備份、VRRP、路由備份等多種高可靠性設計，提供微秒級的故障切換能力。