VPN的主要目標是建立一種靈活、低成本、可擴展的網(wǎng)絡(luò)互連手段，以替代傳統(tǒng)的長途專線連接和遠程撥號連接，但同時VPN也是一種實現(xiàn)企業(yè)內(nèi)部網(wǎng)安全隔離的有效方式。VPN技術(shù)需要解決的主要問題概括起來就是：實現(xiàn)低成本的互通和安全。

企業(yè)網(wǎng)絡(luò)互聯(lián)的基本安全要素 

企業(yè)通過公網(wǎng)實現(xiàn)跨地域的系統(tǒng)互聯(lián)必然面臨安全問題。使用公用網(wǎng)絡(luò)會導(dǎo)致機構(gòu)間的傳輸信息容易被竊取，同時攻擊者有可能通過公網(wǎng)對機構(gòu)的內(nèi)部網(wǎng)絡(luò)實施攻擊，因此虛擬專用網(wǎng)的重點在于建立安全的數(shù)據(jù)通道，該通道應(yīng)具備以下的基本安全要素 

保證數(shù)據(jù)的真實性，通信主機必須是經(jīng)過授權(quán)的，要有抵抗地址假冒（IP Spoofing）的能力。 

保證數(shù)據(jù)的完整性，接收到的數(shù)據(jù)必須與發(fā)送時的一致，要有抵抗不法分子纂改數(shù)據(jù)的能力。 

保證通道的機密性，提供強有力的加密手段，必須使偷聽者不能破解攔截到的通道數(shù)據(jù)。 

提供動態(tài)密鑰交換功能和集中安全管理服務(wù)。 

提供安全防護措施和訪問控制，具有抵抗黑客通過VPN通道攻擊企業(yè)網(wǎng)絡(luò)的能力，并且可以對VPN通道進行訪問控制。 

需要強調(diào)指出的是：網(wǎng)絡(luò)信息系統(tǒng)是由人參與的信息系統(tǒng)環(huán)境，建立良好的安全組織和管理是首要的安全需求，也是一切安全技術(shù)手段得以有效發(fā)揮的基礎(chǔ)。企業(yè)需要的是集組織、管理和技術(shù)為一體的完整的安全解決方案。 

VPN技術(shù)基礎(chǔ) 

實現(xiàn)一個完整的VPN的主要基礎(chǔ)技術(shù)包括隧道技術(shù)、密碼技術(shù)和網(wǎng)絡(luò)訪問控制技術(shù)。隧道技術(shù)使得各種內(nèi)部數(shù)據(jù)包可以通過公網(wǎng)進行傳輸；密碼技術(shù)用于加密隱蔽傳輸信息、認證用戶身份、抗否認等，網(wǎng)絡(luò)訪問控制技術(shù)用于對系統(tǒng)進行安全保護，抵抗各種外來攻擊。 

隧道技術(shù) 

由于受到Internet網(wǎng)絡(luò)中IP地址資源短缺的影響，各企業(yè)內(nèi)部網(wǎng)絡(luò)使用的多為私有IP地址，從這些地址發(fā)出的數(shù)據(jù)包是不能直接通過Internet傳輸?shù)模?而必須代之以合法的IP地址。有多種方法可以完成這種地址轉(zhuǎn)換，如靜態(tài)IP地址轉(zhuǎn)換、動態(tài)IP地址轉(zhuǎn)換、端口替換、數(shù)據(jù)包封裝等，對于VPN而言，數(shù)據(jù)包封裝（隧道）是最常用的技術(shù)。數(shù)據(jù)包封裝發(fā)生在VPN的發(fā)送節(jié)點，此時需將原數(shù)據(jù)包打包，添加合法的外層IP包頭，這個包可通過公網(wǎng)被傳送到接收端的VPN節(jié)點，該節(jié)點接收后進行拆包處理，還原出原報文后傳述給目標主機。幾乎所有的VPN技術(shù)均采用了數(shù)據(jù)包封裝技術(shù)。 

密碼技術(shù) 

密碼技術(shù)是實現(xiàn)網(wǎng)絡(luò)安全的最有效的技術(shù)之一，實際上，數(shù)據(jù)加密作為一項基本技術(shù)已經(jīng)成為所有通信數(shù)據(jù)安全的基石。在多數(shù)情況下，數(shù)據(jù)加密是保證信息機密性的唯一方法。一個加密網(wǎng)絡(luò)，不但可以防止非授權(quán)用戶的搭線竊聽和 入網(wǎng)，而且也是對付惡意軟件的有效方法，這使得它能以較小的代價提供很強的安全保護。 

數(shù)據(jù)加密過程是由各種加密算法來具體實施，按照收發(fā)雙方密鑰是否相同來分類，可以將這些加密算法分為對稱密碼算法和非對稱密碼算法（公鑰算法）。 

對稱密鑰密碼算法的收信方和發(fā)信方使用相同的密鑰，即加密密鑰和解密密鑰是相同或等價的。最著名的對稱密碼算法為美國的DES算法及其各種變形。對稱密碼算法的優(yōu)點是有很強的保密強度和較快的運算速度，但其密鑰必須通過安全的途徑傳送。因此，其密鑰管理成為系統(tǒng)安全的重要因素。 

非對稱密鑰（公鑰）密碼算法的收信方和發(fā)信方使用的密鑰互不相同，而且?guī)缀醪豢赡軓募用苊荑€推導(dǎo)出解密密鑰，這些特性使其成為實現(xiàn)數(shù)字簽名的最佳選擇。由于非對稱密碼算法加密速度慢，不適宜直接對實時的和大量的數(shù)據(jù)加密。在IPSec實現(xiàn)中，非對稱算法（證書）用于自動協(xié)商隧道密鑰（對稱密鑰），從而可大大簡化密鑰的管理工作。在IP最著名也是應(yīng)用最為廣泛的公鑰密碼算法是RSA算法。

網(wǎng)絡(luò)訪問控制技術(shù) 

網(wǎng)絡(luò)訪問控制技術(shù)對出入廣域網(wǎng)的數(shù)據(jù)包進行過濾，即傳統(tǒng)的防火墻功能。由于防火墻和VPN均處于公網(wǎng)出口處，在網(wǎng)絡(luò)中的位置基本相同，而其功能具有很強的互補性，因此一個完整的VPN產(chǎn)品應(yīng)同時提供完善的網(wǎng)絡(luò)訪問控制功能，這可以在系統(tǒng)的安全性、性能及統(tǒng)一管理上帶來一系列的好處。

VPN技術(shù)的介紹就為大家介紹到這，企業(yè)中對于VPN的應(yīng)用已經(jīng)很廣泛了，這也證明著VPN對于一個企業(yè)運營的重要性，希望大家多多掌握此方面的知識。更多資源請閱讀：http://www.scjtxx.cn/col/946/

【編輯推薦】

1. VLAN-VPN典型配置
2. 城域VPN融合業(yè)務(wù)平臺
3. 企業(yè)為什么需要SSL VPN
4. 企業(yè)網(wǎng)絡(luò)信息化應(yīng)用的新方向 全方位VPN
5. VPN指南：新手、高手和IT專業(yè)人士，一個都不能少