【51CTO.com 獨(dú)家譯稿】你在互聯(lián)網(wǎng)上時(shí)想做到安全嗎--我是指真正的安全？如果是這樣，那你需要虛擬專(zhuān)用網(wǎng)（VPN）。

VPN可以在你與你的辦公室、VPN提供商或你家之間，跨互聯(lián)網(wǎng)建立一條安全的"隧道"。為什么你需要VPN？因?yàn)橄馞iresheep這些使用方便的程序很容易讓人窺視你在電子郵件中所寫(xiě)的內(nèi)容、發(fā)到Facebook頁(yè)面上的信息以及在網(wǎng)上購(gòu)買(mǎi)的商品。但是借助VPN，你可以通過(guò)那條虛擬隧道安全地上網(wǎng)瀏覽，防止被人窺視，而且你在網(wǎng)上傳送的信息經(jīng)過(guò)了加密。

無(wú)論你只是想在外出時(shí)訪問(wèn)無(wú)線網(wǎng)絡(luò)，又不想讓陌生人知道你的活動(dòng)，還是需要讓一批遠(yuǎn)程員工能夠在網(wǎng)上安全地處理工作，你都能到適合自己要求的VPN。本文為新手、高級(jí)用戶和IT部門(mén)介紹了VPN方面的基本知識(shí)。

新手篇

要獲得VPN服務(wù)，最容易、最省錢(qián)的辦法就是從你所在的公司、學(xué)?；蚪M織獲得一個(gè)VPN。不是經(jīng)常外出？那就聯(lián)系你的IT部門(mén)，看看它是否為所有用戶提供VPN。如果提供，那很方便：只要安裝企業(yè)VPN軟件，設(shè)置好后，就可以使用了。下回你打開(kāi)個(gè)人電腦，運(yùn)行VPN應(yīng)用軟件，就可以開(kāi)始上網(wǎng)沖浪了。

如果你的IT部門(mén)沒(méi)有VPN怎么辦？或者你沒(méi)有IT部門(mén)怎么辦？照樣有辦法。最近，眾多VPN提供商開(kāi)始提供收費(fèi)服務(wù)，通常是每月15美元至20美元，包括Banana VPN、Black Logic、LogMeIn Hamachi和StrongVPN。想了解更多信息，請(qǐng)參閱這三種個(gè)人VPN服務(wù)的比較（http://www.pcworld.com/businesscenter/article/217185/personal_vpns_offer_safer_wifi_three_services_compared.html）。

你該如何著手挑選一種VPN？如果某服務(wù)有網(wǎng)上論壇，上去看看他們的用戶發(fā)布了什么內(nèi)容。可以打電話或發(fā)郵件給對(duì)方，看看有沒(méi)有人回復(fù)。一般來(lái)說(shuō)，公司規(guī)模越大越好。如果對(duì)方是家小公司，那對(duì)于你個(gè)人用戶來(lái)說(shuō)也許可以，但恐怕無(wú)法為你提供小公司所需要的支持。

VPN不僅僅用來(lái)確保隱私性，VPN還具有其他優(yōu)點(diǎn)。比如說(shuō)，如果你在加拿大，那么通常無(wú)法在Hulu網(wǎng)站上收看美國(guó)電視節(jié)目。但如果你使用VPN來(lái)獲得一個(gè)美國(guó)互聯(lián)網(wǎng)協(xié)議（IP）地址，就能收看美國(guó)電視節(jié)目了。

有些VPN提供商提供另一個(gè)好處：匿名上網(wǎng)瀏覽，這樣你在網(wǎng)上瀏覽時(shí)不會(huì)被跟蹤。如果你的互聯(lián)網(wǎng)服務(wù)提供商（IPS）阻止了某些應(yīng)用，比如Skype或其他IP語(yǔ)音傳輸（VoIP）應(yīng)用程序，就可以使用VPN來(lái)規(guī)避這些限制。

這些VPN服務(wù)可能聽(tīng)起來(lái)正是你所需要的。不過(guò)要小心：不是所有服務(wù)都是一樣的。如果某服務(wù)沒(méi)有足夠的VPN服務(wù)器（從技術(shù)上來(lái)講是VPN集中器）來(lái)支持所需數(shù)量的用戶，那么可能會(huì)遇到網(wǎng)速很慢的情況，或者根本連接不上。

所以訂購(gòu)某項(xiàng)VPN服務(wù)之前，了解一下用戶是怎么評(píng)價(jià)的。更妥當(dāng)?shù)氖牵绻麑?duì)方提供免費(fèi)試用一段時(shí)間的服務(wù)，就要好好利用起來(lái)，免得花錢(qián)買(mǎi)來(lái)可能不適合要求的服務(wù)。

高級(jí)用戶篇

你在外出時(shí)，是不是想牢牢保護(hù)互聯(lián)網(wǎng)連接？如果是這樣，最好的辦法當(dāng)然是使用VPN。如果你所在的公司可以為你提供VPN，那最好不過(guò)了。但如果你自己開(kāi)有小公司或家庭辦公室，也有其他辦法。

你可以找到幾個(gè)成本低廉的方法來(lái)獲得自己的VPN。除了每月支付15美元至20美元訂購(gòu)費(fèi)的VPN服務(wù)外，還能夠使用另外的開(kāi)源路由器固件，如DD-WRT（http://www.dd-wrt.com/site/index）或OpenWRT，把VPN服務(wù)器安裝到你的路由器中。這種固件讓你可以把許多（但不是所有）Wi-Fi路由器和接入點(diǎn)用作VPN端點(diǎn)。

路由器上的VPN

用任何另外的固件來(lái)刷新Wi-Fi硬件之前，確保硬件得到支持。你最不希望看到的一幕是，僅僅為了建立一個(gè)小型VPN，結(jié)果"搞壞"了自己的無(wú)線設(shè)備，致使它無(wú)法使用。一定要查詢DD-WRT支持設(shè)備列表（http://www.dd-wrt.com/wiki/index.php/Supported_Devices）或OpenWRT支持設(shè)備列表。由于這些列表都在不斷更新，所以如果你購(gòu)買(mǎi)全新的路由器或接入點(diǎn)，就要查看一下是否得到支持。

如果你不愿硬件搞砸在自己的手里，一些路由器隨帶已經(jīng)安裝的DD-WRT，比如巴比祿科技公司的WZR-HP- G300NH AirStation Nfiniti Wireless-N High Power Router。

VPN服務(wù)器軟件

一些桌面操作系統(tǒng)包括了VPN服務(wù)器軟件，包括Windows（從XP到Windows 7）和Mac OS X。誠(chéng)然，這些VPN是很簡(jiǎn)單的VPN，但它們可能正是你需要的。當(dāng)然，Windows Server系列隨帶比較復(fù)雜的VPN。如果你運(yùn)行的全是Windows 7客戶機(jī)和Windows Server 2008 R2，可能還想考慮使用DirectAccess，這種先進(jìn)的IPSec VPN在基于IPv4的普通局域網(wǎng)和以太網(wǎng)上通過(guò)IPv6來(lái)運(yùn)行。

如果你決定不用DirectAccess，而是選擇微軟比較舊的VPN技術(shù)，Windows Server 2008 R2有一項(xiàng)有所幫助的新功能：VPN重新連接（VPN Reconnect）。顧名思義，如果受到了互聯(lián)網(wǎng)連接中斷的干擾，VPN Reconnect會(huì)自動(dòng)試圖連接VPN會(huì)話。這項(xiàng)功能對(duì)于Wi-Fi連接時(shí)好時(shí)壞的用戶來(lái)說(shuō)很方便，因?yàn)樗麄冊(cè)谥匦陆⒕W(wǎng)絡(luò)連接后，不需要手動(dòng)重新連接VPN。

Linksys的WRT160NL等大多數(shù)流行的路由器讓VPN連接很容易透過(guò)防火墻來(lái)工作。

為你的小型網(wǎng)絡(luò)添加VPN的另一個(gè)方法就是自行安裝VPN服務(wù)器軟件。其中最有名的是OpenVPN，這是開(kāi)源軟件。它有多種版本，適用于幾乎所有流行的桌面操作系統(tǒng)，包括Linux、Mac OS X和Windows。#p#

要是設(shè)置本地OpenVPN對(duì)你或你的員工來(lái)說(shuō)起來(lái)有點(diǎn)過(guò)于復(fù)雜，可以把它作為VMware或Windows虛擬磁盤(pán)OpenVPN虛擬設(shè)備來(lái)運(yùn)行。若采用這種方法，可以在幾分鐘內(nèi)讓一個(gè)基本的VPN運(yùn)行起來(lái)。

但OpenVPN絕不是可供使用的唯一VPN軟件。值得考慮的其他軟件還有NeoRouter和Tinc。如果你需要的不僅僅是VPN服務(wù)，還需要功能全面的網(wǎng)絡(luò)服務(wù)軟件包，強(qiáng)烈推薦開(kāi)源Vyatta Core 6.1。Vyatta包括了 OpenVPN。

VPN設(shè)備

不過(guò)，如果你打算讓不止十幾個(gè)的用戶同時(shí)使用VPN，就需要使用價(jià)格低廉的VPN硬件設(shè)備，如瞻博網(wǎng)絡(luò)SA700 SSL VPN Appliance、SonicWall Secure Remote Access Series或Vyatta 514。

不管你使用哪種VPN，都要設(shè)置防火墻，以便允許VPN流量。在許多路由器和防火墻上，這項(xiàng)工作就如同設(shè)置VPN穿透功能（VPN passthrough）、允許VPN流量一樣簡(jiǎn)單。你的選擇通常有PPTP（點(diǎn)對(duì)點(diǎn)隧道協(xié)議）、L2TP（第二層隧道協(xié)議）或SSL（安全套接字層）。只允許你要使用的那些VPN協(xié)議--畢竟，防火墻方面有問(wèn)題時(shí)，禁止協(xié)議比允許協(xié)議來(lái)得安全。

查閱VPN的說(shuō)明文檔，看看要開(kāi)啟哪些端口。至于SSL VPN，它們通常使用端口443，這是受SSL保護(hù)的Web服務(wù)器通常使用的端口，所以該端口應(yīng)該已經(jīng)開(kāi)啟。

當(dāng)然，不管你在運(yùn)行什么VPN，也不管你的網(wǎng)絡(luò)架構(gòu)如何，小企業(yè)中的VPN可能會(huì)限制用戶的速度。比如在我自己的家庭辦公室，我的Charter線纜互聯(lián)網(wǎng)連接提供25 mbps的下行速度和3 mbps的上行速度。這意味著，不管我的遠(yuǎn)程網(wǎng)絡(luò)連接速度有多快，當(dāng)我連接到OpenVPN服務(wù)器時(shí)，最高速度只有3 mbps。

我常?？吹叫∑髽I(yè)受慢速VPN連接的困擾。那通常是由于，用戶和內(nèi)部的IT員工（常常是同一個(gè)人）都沒(méi)有認(rèn)識(shí)到，涉及互聯(lián)網(wǎng)連接時(shí)，VPN路線上速度最慢的鏈接將取決VPN的最大速度。如果你想要真正快速的VPN，就要咬咬牙，向ISP購(gòu)買(mǎi)高端互聯(lián)網(wǎng)連接。

IT部門(mén)篇

如果你在運(yùn)行一個(gè)專(zhuān)業(yè)的企業(yè)VPN，你已經(jīng)知道最終用戶的VPN服務(wù)或基于軟件的VPN服務(wù)都勝任不了。當(dāng)然，你可以安裝幾十個(gè)OpenVPN或Windows Server 2008 R2設(shè)備來(lái)解決這個(gè)問(wèn)題，但是除了速度不夠快外，它們管理起來(lái)也很棘手。當(dāng)貴公司需要同時(shí)使用幾百條乃至1萬(wàn)多條活躍的VPN隧道時(shí)，只能借助于最先進(jìn)的VPN硬件或全國(guó)性的VPN服務(wù)商。這通常意味著思科、F5 Networks、瞻博網(wǎng)絡(luò)以及另外幾家頂級(jí)網(wǎng)絡(luò)公司。

這時(shí)候，你可能要考慮第二種VPN；這種情況下，你使用VPN把不同的辦事處和分支機(jī)構(gòu)通過(guò)互聯(lián)網(wǎng)安全地連起來(lái)。這方面可以使用MPLS（多協(xié)議標(biāo)簽交換）、VPLS（虛擬專(zhuān)用局域網(wǎng)服務(wù)）和L2VPN（第二層虛擬專(zhuān)用網(wǎng)）等技術(shù)，把數(shù)據(jù)中心、集中辦事處和分支辦事處連接成一個(gè)虛擬整體。

在正常情況下，你會(huì)希望把防火墻放在VPN服務(wù)器與互聯(lián)網(wǎng)之間。

如果你要開(kāi)始考慮使用那種VPN，別信我這種水平的人。你要找個(gè)頂級(jí)的網(wǎng)絡(luò)工程師--更妥當(dāng)?shù)氖?，找個(gè)合格的網(wǎng)絡(luò)架構(gòu)師來(lái)正確設(shè)置你的虛擬廣域網(wǎng)。這里要是犯錯(cuò)誤，不是貴公司會(huì)蒙受巨額損失，就是當(dāng)你最不希望廣域網(wǎng)出故障時(shí)，偏偏出問(wèn)題。我想你可能不想向首席執(zhí)行官解釋為什么全公司的視頻廣播消失得無(wú)影無(wú)蹤了。

即便是大規(guī)模的企業(yè)遠(yuǎn)程訪問(wèn)VPN所用的技術(shù)也與小規(guī)模的VPN一樣。區(qū)別完全在于規(guī)模上。

如果你想管理自己的企業(yè)級(jí)VPN，就要用思科或瞻博等公司價(jià)格不菲（至少是五位數(shù)）的VPN設(shè)備和服務(wù)器來(lái)搭建VPN。

傳統(tǒng)觀念認(rèn)為，你只能使用價(jià)格高昂的知名品牌的VPN集中器，但其他廠商（尤其是Vyatta）不這么認(rèn)為。Vyatta擁有入門(mén)級(jí)Vyatta 3500系列路由器和防火墻（2009年底推出），提供萬(wàn)兆路由功能，而價(jià)格只是同類(lèi)思科產(chǎn)品的零頭而已。

比如說(shuō)到VPN，Vyatta 3500能夠以高達(dá)900 mbps的速度，同時(shí)處理多達(dá)8000條IPSec VPN隧道，費(fèi)用只需要約6000美元，而同類(lèi)的思科ASR 1006設(shè)備價(jià)格超過(guò)10萬(wàn)美元。Vyatta產(chǎn)品真的一樣好？我本人還沒(méi)有試用過(guò)，但知道有些公司在用它，而且很滿意。既然價(jià)格這么便宜，何不至少試用一下？雖然目前出現(xiàn)了經(jīng)濟(jì)好轉(zhuǎn)的勢(shì)頭，但還沒(méi)有好到首席財(cái)務(wù)官和首席信息官欣然批準(zhǔn)購(gòu)買(mǎi)價(jià)格高達(dá)六位數(shù)的硬件這個(gè)光景。

當(dāng)然，你可能想要考慮通過(guò)外包來(lái)滿足自己的VPN要求。過(guò)去這么做往往要冒一定的險(xiǎn)；但近些年來(lái)，AT&T和Verizon等幾家知名電信公司已開(kāi)始提供國(guó)內(nèi)和國(guó)際VPN服務(wù)。這類(lèi)服務(wù)的費(fèi)用不便宜，但是你自行維護(hù)企業(yè)級(jí)VPN也不便宜。處處精打細(xì)算的網(wǎng)絡(luò)設(shè)計(jì)人員會(huì)認(rèn)真考慮VPN外包這種選擇。

VPN協(xié)議指南

VPN使用眾多協(xié)議，建立起透過(guò)互聯(lián)網(wǎng)的一條安全"隧道"。

PPTP（點(diǎn)對(duì)點(diǎn)隧道協(xié)議）：這種協(xié)議最初用在Windows中，但它不隨帶任何內(nèi)置的安全性。它通常與MPPE（微軟點(diǎn)對(duì)點(diǎn)加密）協(xié)議一起建立安全的VPN。我說(shuō)的"安全"其實(shí)不安全，因?yàn)镻PTP（即PP2P）長(zhǎng)期以來(lái)安全性欠佳。幸好，PPTP慢慢告別了歷史舞臺(tái)，被更安全的協(xié)議所取代。

L2TP（第二層隧道協(xié)議）：微軟聯(lián)合思科，第二回做得更好了。L2TP結(jié)合IPSec安全性，要安全得多，它用在所有現(xiàn)代版本的Windows中。L2TP在Mac OS X和Linux上還得到支持，可結(jié)合Openswan等程序使用。

SSL VPN（安全套接層VPN）：在過(guò)去的幾年間，主要是由于OpenVPN越來(lái)越受歡迎，SSL VPN才變得越來(lái)越普遍。你可以找到適用于各大操作系統(tǒng)的SSL VPN客戶端軟件。

原文鏈接：http://www.pcworld.com/businesscenter/article/223044-1/get_started_with_a_vpn_for_beginners_power_users_and_it_pros.html