VPN可以擴(kuò)大局域網(wǎng)的覆蓋范圍，而不需要擁有或者租賃專用線路,其成本通常比專線低得多。企業(yè)可以使用VPN讓遠(yuǎn)程用戶和移動(dòng)用戶接入網(wǎng)絡(luò)，把分散在不同地區(qū)的分支機(jī)構(gòu)連入統(tǒng)一網(wǎng)絡(luò)，并且能夠遠(yuǎn)程使用依靠內(nèi)部服務(wù)器的應(yīng)用系統(tǒng)。

VPN可以使用兩種機(jī)制：其一，向可信賴的通信提供商租賃專用線，這種VPN名叫可信VPN（TrustedVPN）；其二，通過公共因特網(wǎng)傳送經(jīng)過加密的流量，名叫安全VPN（SecureVPN）。使用基于可信VPN的安全VPN名為混合VPN（HybridVPN），把兩種安全VPN（譬如IPSec和SSL）結(jié)合到一個(gè)網(wǎng)關(guān)也屬于混合VPN。

可信VPN

這些年來，可信VPN已從向電信供應(yīng)商租賃原始專用線，改為向因特網(wǎng)提供商租賃專用IP網(wǎng)絡(luò)線路。在IP網(wǎng)絡(luò)上實(shí)施可信VPN所用的技術(shù)主要有：異步傳輸方式（ATM）、幀中繼和多協(xié)議標(biāo)記交換（MPLS）。

ATM和幀中繼在數(shù)據(jù)鏈路層工作，數(shù)據(jù)鏈路層是開放系統(tǒng)互連（OSI）模型的第二層，它基于分組交換網(wǎng)絡(luò)，MPLS模擬了線路交換網(wǎng)絡(luò)的一些屬性，它在通常所謂的“第2.5層”工作，這一層介于數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層之間。MPLS正開始取代ATM和幀中繼，實(shí)施面向大型企業(yè)及服務(wù)提供商的可信VPN。

安全VPN

安全VPN可以使用IPSec、第二層隧道協(xié)議（L2TP，Layer2TunnelingProtocol）、安全套接層（SSL，SecuritySocketLayer）3.0、傳輸層安全（TLS，TransportLayerSecurity）、第二層轉(zhuǎn)發(fā)協(xié)議（L2F，Layer2TunnelingProtocol）或者點(diǎn)對(duì)點(diǎn)隧道協(xié)議（PPTP，Point-to-PointTunnelingProtocol）。

IPSec即IP安全，是在網(wǎng)絡(luò)層對(duì)IP數(shù)據(jù)包進(jìn)行加密和驗(yàn)證的一項(xiàng)標(biāo)準(zhǔn)。IPSec有一系列加密協(xié)議，它的兩個(gè)主要用途是：保護(hù)網(wǎng)絡(luò)數(shù)據(jù)包安全和交換加密密鑰。有些安全專家認(rèn)為，自上世紀(jì)90年代末以來，IPSec是VPN的優(yōu)先協(xié)議。支持IPSec的操作系統(tǒng)包括WindowsXP/2000/2003/Vista、Linux2.6及更高版本、MacOSX、NetBSD、FreeBSD、OpenBSD、Solaris、AIX、HP-UX和VxWorks。許多廠商都提供IPSecVPN服務(wù)器和客戶機(jī)軟件。

微軟在Windows95OSR2以后的所有版本里面都添加了PPTP客戶機(jī)軟件，并且在WindowsNT4.0以后的所有服務(wù)器產(chǎn)品中添加了PPTP服務(wù)器軟件。Linux、MacOSX、PalmPDA設(shè)備及WindowMobile2003設(shè)備里都有PPTP客戶端軟件。

PPTP可以通過密碼身份驗(yàn)證協(xié)議（PAP）、可擴(kuò)展身份驗(yàn)證協(xié)議（EAP）等方法增強(qiáng)安全性，可以使遠(yuǎn)程用戶通過撥入ISP直接連接Internet或其他網(wǎng)絡(luò)安全地訪問企業(yè)網(wǎng)。它具有隨處可得、免費(fèi)、易于安裝等優(yōu)點(diǎn)。

Schneier和黑客組織LophtHeavyIndustries的Mudge在前些年發(fā)現(xiàn)并公布了微軟PPTP存在的安全漏洞。微軟利用MS-CHAPv2和微軟點(diǎn)對(duì)點(diǎn)加密（MPPE）協(xié)議迅速解決了這些問題，后來Schneier和Mudge指出：微軟PPTP的安全性仍取決于每個(gè)用戶的密碼有多安全。微軟于是在操作系統(tǒng)中執(zhí)行密碼強(qiáng)度策略，從而解決了這個(gè)問題，但Schneier和Mudge仍建議在構(gòu)建安全VPN時(shí)采用IPSec，而不是采用PPTP，因?yàn)榍罢咛焐踩?/p>

L2F是由思科公司開發(fā)的一種比較舊的協(xié)議。L2TP借鑒了L2F和PPTP的概念，從而成為數(shù)據(jù)鏈路層協(xié)議。L2TP可以提供隧道，但不提供安全或者驗(yàn)證，L2TP可以在隧道里面?zhèn)鬏擯PP會(huì)話。思科將L2TP實(shí)施在路由器中，并且有好幾種采用開放源代碼的L2TP是針對(duì)Linux實(shí)施的。

L2TP/IPSec結(jié)合了L2TP的隧道和IPSec的安全通道功能，這樣一來，安全的因特網(wǎng)密鑰交換（IKE）比純粹的IPSec更容易實(shí)現(xiàn)。自2002年以來，微軟為Windows98/ME/NT提供了免費(fèi)的L2TP/IPSecVPN客戶機(jī)軟件，并且隨同WindowsXP/2000/2003/Vista交付L2TP/IPSecVPN客戶機(jī)軟件，WindowsServer2003和Windows2000Server都包括L2TP/IPSec服務(wù)器軟件。

SSL和TLS都是在OSI模型的第4層保護(hù)數(shù)據(jù)流安全的協(xié)議。SSL3.0及其后續(xù)版本TLS1.0通常都與能夠?qū)崿F(xiàn)安全Web瀏覽的HTTP（名為HTTPS）一起使用。不過，SSL/TLS也可以用來創(chuàng)建VPN隧道。譬如，OpenVP就是一款采用開放源代碼的VPN軟件包，適用于Linux、xBSD、MacOSX、PocketPC和Windows2000/XP/2003/Vista。OpenVP使用SSL來提供對(duì)數(shù)據(jù)通道和控制通道進(jìn)行加密的功能。

VPN的安全風(fēng)險(xiǎn)

在某些時(shí)候，使用VPN會(huì)讓公司面臨潛在的安全風(fēng)險(xiǎn)。雖然如今使用的VPN大多數(shù)就其本身而言相當(dāng)安全，但VPN加大了合理保護(hù)網(wǎng)絡(luò)邊界安全的難度，網(wǎng)絡(luò)管理員必須對(duì)通過VPN連接到網(wǎng)絡(luò)的計(jì)算機(jī)和直接連接到LAN的計(jì)算機(jī)實(shí)行同樣的安全標(biāo)準(zhǔn)。

結(jié)合使用兩個(gè)VPN可能會(huì)把一家公司的網(wǎng)絡(luò)暴露在另一家公司的網(wǎng)絡(luò)面前。此外，如果PCAnywhere、GoToMyPC或者VNC等遠(yuǎn)程控制軟件與VPN一起使用，公司的網(wǎng)絡(luò)可能會(huì)暴露在駐留本身并沒有連接到VPN的遠(yuǎn)程計(jì)算機(jī)上的惡意軟件面前。

建造功能均衡的VPN

因?yàn)榘踩玍PN依靠加密來保證性能，而一些加密功能屬于計(jì)算密集型，所以使用頻繁的VPN可能會(huì)讓服務(wù)器不堪重負(fù)。管理員通?？梢园淹瑫r(shí)連接的數(shù)量限制在服務(wù)器能夠處理的水平，從而管理服務(wù)器的負(fù)載。

如果試圖連接到VPN的用戶數(shù)量突然達(dá)到高峰，譬如在導(dǎo)致交通中斷的暴風(fēng)雨期間，員工可能會(huì)發(fā)現(xiàn)自己無法連接上VPN，因?yàn)樗蠽PN端口都處于忙碌狀態(tài)。管理員應(yīng)確保不需要VPN的關(guān)鍵應(yīng)用系統(tǒng)正常運(yùn)行，例如設(shè)置代理服務(wù)器或者因特網(wǎng)消息訪問協(xié)議（IMAP）服務(wù)器，讓員工可以在家里或者在路上使用電子郵件。

就特定的情形而言，決定使用IPSec還是SSL/TLS可能很難。要考慮的一個(gè)因素就是，SSL/TLS能夠透過基于網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）的防火墻工作，IPSec卻不能，不過這兩種協(xié)議都可以透過并不轉(zhuǎn)換地址的防火墻工作。

IPSec可以對(duì)兩臺(tái)計(jì)算機(jī)之間傳輸?shù)乃蠭P流量進(jìn)行加密，而SSL/TLS只針對(duì)某種應(yīng)用進(jìn)行加密。SSL/TLS使用成本高昂的異步加密功能來建立連接，并使用更有效的同步加密功能來保護(hù)通路的安全。

在遠(yuǎn)程應(yīng)用中，管理員可能會(huì)混合搭配各種協(xié)議，以求VPN在性能和安全之間獲得最佳平衡。例如，客戶機(jī)使用由SSL/TLS保護(hù)的瀏覽器，通過防火墻連接到基于Web的前端程序；Web服務(wù)器使用IPSec連接到應(yīng)用服務(wù)器;而應(yīng)用服務(wù)器可能使用SSL，跨另一個(gè)防火墻連接到數(shù)據(jù)庫服務(wù)器。另外，使用專門的服務(wù)器硬件有時(shí)可以增強(qiáng)VPN的擴(kuò)展性。

【編輯推薦】

1. 站點(diǎn)到站點(diǎn)的SSL VPN：只有當(dāng)IPsec VPN不可用時(shí)
2. MPLS VPN 技術(shù)中的CE、PE、P的含義
3. VPN技術(shù)與DDNS專線比較的優(yōu)勢
4. IPSec VPN和SSL VPN：對(duì)比兩種VPN的安全風(fēng)險(xiǎn)