一、 剖析VPN原理

虛擬專用網(wǎng)(VPN)是專用網(wǎng)絡(luò)的延伸，它包含了類似Internet的共享或公共網(wǎng)絡(luò)鏈接。通過(guò)VPN可以以模擬點(diǎn)對(duì)點(diǎn)專用鏈接的方式通過(guò)共享或公共網(wǎng)絡(luò)在兩臺(tái)計(jì)算機(jī)之間發(fā)送數(shù)據(jù)。虛擬專用聯(lián)網(wǎng)是創(chuàng)建和配置虛擬專用網(wǎng)的行為。

利用IP網(wǎng)絡(luò)構(gòu)建VPN，其實(shí)質(zhì)是通過(guò)公用網(wǎng)在各個(gè)路由器之間建立VPN安全隧道以傳輸用戶的私有網(wǎng)絡(luò)數(shù)據(jù)。用于構(gòu)建這種VPN連接的隧道技術(shù)有IPSec， GRE等。結(jié)合服務(wù)商提供的QoS機(jī)制，可以有效而且可靠地使用網(wǎng)絡(luò)資源，保證網(wǎng)絡(luò)質(zhì)量。基于ATM或幀中繼的虛電路技術(shù)構(gòu)建的VPN也可實(shí)現(xiàn)可靠的網(wǎng)絡(luò)質(zhì)量，但其不足之處是互聯(lián)區(qū)域有較大的局限性。另一方面，基于Internet構(gòu)建VPN是最為經(jīng)濟(jì)的方式，然而服務(wù)質(zhì)量難以保證。企業(yè)在規(guī)劃VPN建設(shè)時(shí)應(yīng)根據(jù)自身的需求對(duì)以上的各種公用網(wǎng)絡(luò)方案進(jìn)行權(quán)衡。

利用公用網(wǎng)絡(luò)構(gòu)建VPN是新型的網(wǎng)絡(luò)概念，它給服務(wù)提供商(ISP)和VPN用戶(企業(yè))都將帶來(lái)不少的益處。對(duì)于服務(wù)提供商來(lái)說(shuō)，通過(guò)向企業(yè)提供VPN這種增值服務(wù)，服務(wù)提供商可以與企業(yè)建立更加緊密的長(zhǎng)期合作關(guān)系，同時(shí)充分利用現(xiàn)有網(wǎng)絡(luò)資源，提高業(yè)務(wù)量；而對(duì)于企業(yè)而言，利用Internet組建私有網(wǎng)，將大筆的專線費(fèi)用縮減為少量的市話費(fèi)用和Internet費(fèi)用，節(jié)省了開支，提高了經(jīng)濟(jì)效益。在家里或者旅途中工作的用戶可以使用VPN建立到組織服務(wù)器的遠(yuǎn)程訪問(wèn)連接，方法是使用公共網(wǎng)絡(luò)(例如 Internet)提供的基礎(chǔ)結(jié)構(gòu)。從用戶的角度來(lái)講，VPN是一種在計(jì)算機(jī)(VPN客戶端)與團(tuán)體服務(wù)器(VPN服務(wù)器)之間的點(diǎn)對(duì)點(diǎn)連接。VPN與共享或公用網(wǎng)絡(luò)的具體基礎(chǔ)結(jié)構(gòu)無(wú)關(guān)，因?yàn)樵谶壿嬌蠑?shù)據(jù)就如同通過(guò)專用的私有鏈接發(fā)送的。單位也能夠使用VPN連接來(lái)為地理位置分開的辦公室建立路由連接，或者在保持安全通信的同時(shí)通過(guò)公共網(wǎng)絡(luò)，例如Internet，連接到其他單位。通過(guò)Internet的VPN連接邏輯上作為專用的WAN鏈接來(lái)操作。通過(guò)遠(yuǎn)程訪問(wèn)和路由連接，可以使用VPN連接將長(zhǎng)途撥號(hào)或租用線路換成本地?fù)芴?hào)，這無(wú)疑將節(jié)約大量的通信成本。

498)this.style.width=498;" border=1>

顯示VPN連接的邏輯等價(jià)關(guān)系

VPN的設(shè)計(jì)包含以下原則：安全性、網(wǎng)絡(luò)優(yōu)化、VPN管理。VPN直接構(gòu)建在公用網(wǎng)上，實(shí)現(xiàn)簡(jiǎn)單、方便、靈活，但同時(shí)其安全問(wèn)題也更為突出。企業(yè)用戶必需確保其VPN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改，并且要防止非法用戶對(duì)網(wǎng)絡(luò)資源或私有信息的訪問(wèn)。Extranet VPN將企業(yè)網(wǎng)擴(kuò)展到合作伙伴和客戶，對(duì)安全性提出了更高的要求。

VPN的安全性包含以下特征：

a)隧道與加密：隧道能實(shí)現(xiàn)多協(xié)議封裝，增加VPN應(yīng)用的靈活性，可以在無(wú)連接的IP網(wǎng)上提供點(diǎn)到點(diǎn)的邏輯通道。在安全性要求更高的場(chǎng)合應(yīng)用加密隧道則進(jìn)一步保護(hù)了數(shù)據(jù)的私有性，使數(shù)據(jù)在網(wǎng)上傳送而不被非法窺視與篡改。

b)數(shù)據(jù)驗(yàn)證：在不安全的網(wǎng)絡(luò)上，特別是構(gòu)建VPN的公用網(wǎng)上，數(shù)據(jù)包有可能被非法截獲，篡改后重新發(fā)送，接收方將會(huì)接收到錯(cuò)誤的數(shù)據(jù)。數(shù)據(jù)驗(yàn)證使接收方可識(shí)別這種篡改，保證了數(shù)據(jù)的完整性。

c)用戶驗(yàn)證：VPN可使合法用戶訪問(wèn)他們所需的企業(yè)資源，同時(shí)還要禁止未授權(quán)用戶的非法訪問(wèn)。通過(guò)AAA，路由器可以提供用戶鑒別、訪問(wèn)級(jí)別以及必要的訪問(wèn)記錄等功能。這一點(diǎn)對(duì)于Access VPN和Extranet VPN具有尤為重要的意義。

d)防火墻與攻擊檢測(cè)：防火墻用于過(guò)濾數(shù)據(jù)包，防止非法訪問(wèn)，而攻擊檢測(cè)則更進(jìn)一步分析數(shù)據(jù)包的內(nèi)容，確定其合法性，并可實(shí)時(shí)應(yīng)用安全策略，斷開包含非法訪問(wèn)內(nèi)容的會(huì)話鏈接，并產(chǎn)生非法訪問(wèn)記錄。要模擬點(diǎn)對(duì)點(diǎn)鏈路，應(yīng)壓縮或包裝數(shù)據(jù)，并加上一個(gè)提供路由信息的報(bào)頭，該報(bào)頭使數(shù)據(jù)能夠通過(guò)共享或公用網(wǎng)絡(luò)到達(dá)其終點(diǎn)。若要模擬專用鏈接，數(shù)據(jù)應(yīng)加密以進(jìn)行保密。如果沒(méi)有加密密鑰，在共享或公用網(wǎng)絡(luò)上截取的數(shù)據(jù)包是無(wú)法破譯的。