對國內的用戶來說，VPN（虛擬專用网，Virtual Private Network）最大的吸引力在哪里﹖是价格。据估算，如果企業放棄租用專線而采用VPN，其整個网絡的成本可節約21%-45%，至于那些以電話撥號方式連网存取數据的公司，采用VPN則可以節約通訊成本50%-80%。

為什么VPN可以節約這么多的成本﹖這就先要從VPN的概念談起。

認識VPN
現在有很多連接都被稱作VPN，用戶經常分不清楚，那么一般所說的VPN到底是什么呢﹖顧名思義，虛擬專用网不是真的專用网絡，但卻能夠實現專用网絡的功能。虛擬專用网指的是依靠ISP（Internet服務提供商）和其它NSP（网絡服務提供商），在公用网絡中建立專用的數据通信网絡的技術。在虛擬專用网中，任意兩個節點之間的連接并沒有傳統專网所需的端到端的物理鏈路，而是利用某种公眾网的資源動態組成的。IETF草案理解基于IP的VPN為﹕"使用IP机制仿真出一個私有的廣域网"是通過私有的隧道技術在公共數据网絡上仿真一條點到點的專線技術。所謂虛擬，是指用戶不再需要擁有實際的長途數据線路，而是使用Internet公眾數据网絡的長途數据線路。所謂專用网絡，是指用戶可以為自己制定一個最符合自己需求的网絡。

用戶現在在電信部門租用的幀中繼（Frame Relay）与ATM等數据网絡提供固定虛擬線路（PVC-Permanent Virtual Circuit）來連接需要通訊的單位，所有的權限掌握在別人的手中。如果用戶需要一些別的服務，需要填寫許多的單据，再等上相當一段時間，才能享受到新的服務。更為重要的是兩端的終端設備不但价格昂貴，而且管理也需要一定的專業技術人員，無疑增加了成本，而且幀中繼、ATM數据网絡也不會像Internet那樣，可立即与世界上任何一個使用Internet网絡的單位連接。而在Internet上，VPN使用者可以控制自己与其他使用者的聯系，同時支持撥號的用戶。

所以我們說的虛擬專用网一般指的是建筑在Internet上能夠自我管理的專用网絡，而不是Frame Relay或ATM等提供虛擬固定線路（PVC）服務的网絡。以IP為主要通訊協議的VPN，也可稱之為IP-VPN。

由于VPN是在Internet上臨時建立的安全專用虛擬网絡，用戶就節省了租用專線的費用，在運行的資金支出上，除了購買VPN設備，企業所付出的僅僅是向企業所在地的ISP支付一定的上网費用，也節省了長途電話費。這就是VPN价格低廉的原因。

越來越多的用戶認識到，隨著Internet和電子商務的蓬勃發展，經濟全球化的最佳途徑是發展基于Internet的商務應用。隨著商務活動的日益頻繁，各企業開始允許其生意伙伴、供應商也能夠訪問本企業的局域网，從而大大簡化信息交流的途徑，增加信息交換速度。這些合作和聯系是動態的，并依靠网絡來維持和加強，于是各企業發現，這樣的信息交流不但帶來了网絡的复雜性，還帶來了管理和安全性的問題，因為Internet是一個全球性和開放性的、基于TCP/IP 技術的、不可管理的國際互聯网絡，因此，基于Internet的商務活動就面臨非善意的信息威脅和安全隱患。

還有一類用戶，隨著自身的的發展壯大与跨國化，企業的分支机构不僅越來越多，而且相互間的网絡基礎設施互不兼容也更為普遍。因此，用戶的信息技術部門在連接分支机构方面也感到日益棘手。

用戶的需求正是虛擬專用网技術誕生的直接原因。

用戶需要的VPN
一.VPN的特點

在實際應用中，用戶需要的是什么樣的VPN呢﹖一般情況下，一個高效、成功的VPN應具備以下几個特點﹕

1﹒安全保障

雖然實現VPN的技術和方式很多，但所有的VPN均應保証通過公用网絡平台傳輸數据的專用性和安全性。在非面向連接的公用IP网絡上建立一個邏輯的、點對點的連接，稱之為建立一個隧道，可以利用加密技術對經過隧道傳輸的數据進行加密，以保証數据僅被指定的發送者和接收者了解，從而保証了數据的私有性和安全性。在安全性方面，由于VPN直接构建在公用网上，實現簡單、方便、靈活，但同時其安全問題也更為突出。企業必須确保其VPN上傳送的數据不被攻擊者窺視和篡改，并且要防止非法用戶對网絡資源或私有信息的訪問。ExtranetVPN將企業网擴展到合作伙伴和客戶，對安全性提出了更高的要求。

2﹒服務質量保証（QoS）

VPN网應當為企業數据提供不同等級的服務質量保証。不同的用戶和業務對服務質量保証的要求差別較大。如移動辦公用戶，提供廣泛的連接和覆蓋性是保証VPN服務的一個主要因素﹔而對于擁有眾多分支机构的專線VPN网絡，交互式的內部企業网應用則要求网絡能提供良好的穩定性﹔對于其它應用（如視頻等）則對网絡提出了更明确的要求，如网絡時延及誤碼率等。所有以上网絡應用均要求网絡根据需要提供不同等級的服務質量。在网絡优化方面，构建VPN的另一重要需求是充分有效地利用有限的廣域网資源，為重要數据提供可靠的帶寬。廣域网流量的不确定性使其帶寬的利用率很低，在流量高峰時引起网絡阻塞，產生网絡瓶頸，使實時性要求高的數据得不到及時發送﹔而在流量低谷時又造成大量的网絡帶寬空閑。QoS通過流量預測与流量控制策略，可以按照优先級分配帶寬資源，實現帶寬管理，使得各類數据能夠被合理地先后發送，并預防阻塞的發生。

3﹒可擴充性和靈活性

VPN必須能夠支持通過Intranet和Extranet的任何類型的數据流，方便增加新的節點，支持多种類型的傳輸媒介，可以滿足同時傳輸語音、圖像和數据等新應用對高質量傳輸以及帶寬增加的需求。

4﹒可管理性

從用戶角度和運營商角度應可方便地進行管理、維護。在VPN管理方面，VPN要求企業將其网絡管理功能從局域网無縫地延伸到公用网，甚至是客戶和合作伙伴。雖然可以將一些次要的网絡管理任務交給服務提供商去完成，企業自己仍需要完成許多网絡管理任務。所以，一個完善的VPN管理系統是必不可少的。VPN管理的目標為﹕減小网絡風險、具有高擴展性、經濟性、高可靠性等优點。事實上，VPN管理主要包括安全管理、設備管理、配置管理、訪問控制列表管理、QoS管理等內容。

二.自建還是外包

由于VPN低廉的使用成本和良好的安全性，許多大型企業及其分布在各地的辦事處或分支机构成了VPN順理成章的用戶群。對于那些最需要VPN業務的中小企業來說，一樣有适合的VPN策略。當然，不論何种VPN策略，它們都有一個基本目標﹕在提供与現有專用网絡基礎設施相當或更高的可管理性、可擴展性以及簡單性的基礎之上，進一步擴展公司的网絡連接。

1﹒大型企業自建VPN

大型企業用戶由于有雄厚的資金投入做保証，可以自己建立VPN，將VPN設備安裝在其總部和分支机构中，將各個机构低成本且安全地連接在一起。企業建立自己的VPN，最大的优勢在于高控制性，尤其是基于安全基礎之上的控制。一個內部VPN能使企業對所有的安全認証、网絡系統以及网絡訪問情況進行控制，建立端到端的安全結构，集成和協調現有的內部安全技術。

企業還可以确保得到業內最好的技術以滿足自身的特殊需要，這要优于ISP所提供的普通服務。而且，建立內部VPN能使企業有效節省VPN的運作費用。企業可以節省用于外包管理設備的額外費用，并且能將現有的遠程訪問和端到端的网絡集成起來，以獲取最佳性价比的VPN。

雖然VPN外包能避免技術過時，但并不意味著企業可以節省開支。因為，企業最終還要為高額產品支付費用，以作為使用新技術的代价。雖然VPN外包可以簡化企業网絡部署，但這同樣降低了企業對公司网的控制等級。网絡越大，企業就越依賴于外包VPN供應商。因此，自建VPN是大型企業的最好選擇。

2﹒中小型企業外包VPN

雖然每個中小型企業都是相對集中和固定的，但是部門与部門之間、企業与其業務相關企業之間的聯系依然需要廉价而安全的信息溝通，在這种情況下就用得上VPN。電信企業、IDC目前提供的VPN服務，更多的是面向中小企業，因為可以整合現有資源，包括网絡优勢、托管和技術力量來為中小企業提供整体的服務。中小型企業如果自己購買VPN設備，則財務成本較高，而且一般中小型企業的IT人員短缺、技能水平不足、資金能力有限，不足以支持VPN，所以，外包VPN是較好的選擇。

* 外包VPN比企業自己動手建立VPN要快得多，也更為容易。

* 外包VPN的可擴展性很強，易于企業管理。有統計表明，使用外包VPN方式的企業，可以支持多于2300名用戶，而內部VPN平均只能支持大約150名用戶。而且，隨著用戶數目的增長，對用于監控、管理、提供IT資源和人力資源的要求也將呈指數增長。

* 企業VPN必須將安全和性能結合在一起，然而，實際情況中兩者不能兼顧。例如，對安全加密級別的配置經常降低VPN的整体性能。而通過提供VPN外包業務的專業ISP的統一管理，可大大提高VPN的性能和安全。ISP的VPN專家還可幫助企業進行VPN決策。

* 對服務水平協議（SLA）的改進和服務質量（QoS）保証，為企業外包VPN方式提供了進一步的保証。

三.VPN安全技術

由于傳輸的是私有信息，VPN用戶對數据的安全性都比較關心。

目前VPN主要采用四項技術來保証安全，這四項技術分別是隧道技術（Tunneling）、加解密技術（Encryption & Decryption）、密鑰管理技術（Key Management）、使用者与設備身份認証技術（Authentication）。

1.隧道技術是VPN的基本技術，類似于點對點連接技術，它在公用网建立一條數据通道（隧道），讓數据包通過這條隧道傳輸。隧道是由隧道協議形成的，分為第二、三層隧道協議。第二層隧道協議是先把各种网絡協議封裝到PPP中，再把整個數据包裝入隧道協議中。這种雙層封裝方法形成的數据包靠第二層協議進行傳輸。第二層隧道協議有L2F、PPTP、L2TP等。L2TP協議是目前IETF的標准，由IETF融合PPTP与L2F而形成。

第三層隧道協議是把各种网絡協議直接裝入隧道協議中，形成的數据包依靠第三層協議進行傳輸。第三層隧道協議有VTP、IPSec等。IPSec（IP Security）是由一組RFC文檔組成，定義了一個系統來提供安全協議選擇、安全算法，确定服務所使用密鑰等服務，從而在IP層提供安全保障。

2.加解密技術是數据通信中一項較成熟的技術，VPN可直接利用現有技術。

3.密鑰管理技術的主要任務是如何在公用數据网上安全地傳遞密鑰而不被竊取。現行密鑰管理技術又分為SKIP与ISAKMP/OAKLEY兩种。SKIP主要是利用Diffie-Hellman的演算法則，在网絡上傳輸密鑰﹔在ISAKMP中，雙方都有兩把密鑰，分別用于公用、私用。

4.身份認証技術最常用的是使用者名稱与密碼或卡片式認証等方式。

四.堵住安全漏洞

安全問題是VPN的核心問題。目前，VPN的安全保証主要是通過防火牆技術、路由器配以隧道技術、加密協議和安全密鑰來實現的，可以保証企業員工安全地訪問公司网絡。

但是，如果一個企業的VPN需要擴展到遠程訪問時，就要注意，這些對公司网直接或始終在線的連接將會是黑客攻擊的主要目標。因為，遠程工作員工通過防火牆之外的個人計算机可以接触到公司預算、戰略計划以及工程項目等核心內容，這就构成了公司安全防御系統中的弱點。雖然，員工可以雙倍地提高工作效率，并減少在交通上所花費的時間，但同時也為黑客、競爭對手以及商業間諜提供了無數進入公司网絡核心的机會。

但是，企業并沒有對遠距离工作的安全性予以足夠的重視。大多數公司認為，公司网絡處于一道网絡防火牆之后是安全的，員工可以撥號進入系統，而防火牆會將一切非法請求拒之其外﹔還有一些网絡管理員認為，為网絡建立防火牆并為員工提供VPN，使他們可以通過一個加密的隧道撥號進入公司网絡就是安全的。這些看法都是不對的。

在家辦公是不錯，但從安全的觀點來看，它是一种极大的威脅，因為，公司使用的大多數安全軟件并沒有為家用計算机提供保護。一些員工所做的僅僅是進入一台家用計算机，跟隨它通過一條授權的連接進入公司网絡系統。雖然，公司的防火牆可以將侵入者隔离在外，并保証主要辦公室和家庭辦公室之間VPN的信息安全。但問題在于，侵入者可以通過一個被信任的用戶進入网絡。因此，加密的隧道是安全的，連接也是正确的，但這并不意味著家庭計算机是安全的。

黑客為了侵入員工的家用計算机，需要探測IP地址。有統計表明，使用撥號連接的IP地址几乎每天都受到黑客的掃描。因此，如果在家辦公人員具有一條諸如DSL的不間斷連接鏈路（通常這种連接具有一個固定的IP地址），會使黑客的入侵更為容易。因為，撥號連接在每次接入時都被分配不同的IP地址，雖然它也能被侵入，但相對要困難一些。一旦黑客侵入了家庭計算机，他便能夠遠程運行員工的VPN客戶端軟件。因此，必須有相應的解決方案堵住遠程訪問VPN的安全漏洞，使員工与网絡的連接既能充分体現VPN的优點，又不會成為安全的威脅。在個人計算机上安裝個人防火牆是极為有效的解決方法，它可以使非法侵入者不能進入公司网絡。當然，還有一些提供給遠程工作人員的實際解決方法﹕

* 所有遠程工作人員必須被批准使用VPN﹔

* 所有遠程工作人員需要有個人防火牆，它不僅防止計算机被侵入，還能記錄連接被掃描了多少次﹔

* 所有的遠程工作人員應具有入侵檢測系統，提供對黑客攻擊信息的記錄﹔

* 監控安裝在遠端系統中的軟件，并將其限制只能在工作中使用﹔

* IT人員需要對這些系統進行与辦公室系統同樣的定期性預定檢查﹔

* 外出工作人員應對敏感文件進行加密﹔

* 安裝要求輸入密碼的訪問控制程序，如果輸入密碼錯誤，則通過Modem向系統管理員發出警報﹔

* 當選擇DSL供應商時，應選擇能夠提供安全防護功能的供應商。

(end)