VPN的主要目標(biāo)是建立一種靈活、低成本、可擴(kuò)展的網(wǎng)絡(luò)互連手段，以替代傳統(tǒng)的長(zhǎng)途專線連接和遠(yuǎn)程撥號(hào)連接，但同時(shí)VPN也是一種實(shí)現(xiàn)企業(yè)內(nèi)部網(wǎng)安全隔離的有效方式。VPN技術(shù)需要解決的主要問(wèn)題概括起來(lái)就是：實(shí)現(xiàn)低成本的互通和安全。

企業(yè)網(wǎng)絡(luò)互聯(lián)的基本安全要素 

企業(yè)通過(guò)公網(wǎng)實(shí)現(xiàn)跨地域的系統(tǒng)互聯(lián)必然面臨安全問(wèn)題。使用公用網(wǎng)絡(luò)會(huì)導(dǎo)致機(jī)構(gòu)間的傳輸信息容易被竊取，同時(shí)攻擊者有可能通過(guò)公網(wǎng)對(duì)機(jī)構(gòu)的內(nèi)部網(wǎng)絡(luò)實(shí)施攻擊，因此虛擬專用網(wǎng)的重點(diǎn)在于建立安全的數(shù)據(jù)通道，該通道應(yīng)具備以下的基本安全要素 

保證數(shù)據(jù)的真實(shí)性，通信主機(jī)必須是經(jīng)過(guò)授權(quán)的，要有抵抗地址假冒（IP Spoofing）的能力。 

保證數(shù)據(jù)的完整性，接收到的數(shù)據(jù)必須與發(fā)送時(shí)的一致，要有抵抗不法分子纂改數(shù)據(jù)的能力。 

保證通道的機(jī)密性，提供強(qiáng)有力的加密手段，必須使偷聽(tīng)者不能破解攔截到的通道數(shù)據(jù)。 

提供動(dòng)態(tài)密鑰交換功能和集中安全管理服務(wù)。 

提供安全防護(hù)措施和訪問(wèn)控制，具有抵抗黑客通過(guò)VPN通道攻擊企業(yè)網(wǎng)絡(luò)的能力，并且可以對(duì)VPN通道進(jìn)行訪問(wèn)控制。 

需要強(qiáng)調(diào)指出的是：網(wǎng)絡(luò)信息系統(tǒng)是由人參與的信息系統(tǒng)環(huán)境，建立良好的安全組織和管理是首要的安全需求，也是一切安全技術(shù)手段得以有效發(fā)揮的基礎(chǔ)。企業(yè)需要的是集組織、管理和技術(shù)為一體的完整的安全解決方案。 

VPN技術(shù)基礎(chǔ) 

實(shí)現(xiàn)一個(gè)完整的VPN的主要基礎(chǔ)技術(shù)包括隧道技術(shù)、密碼技術(shù)和網(wǎng)絡(luò)訪問(wèn)控制技術(shù)。隧道技術(shù)使得各種內(nèi)部數(shù)據(jù)包可以通過(guò)公網(wǎng)進(jìn)行傳輸；密碼技術(shù)用于加密隱蔽傳輸信息、認(rèn)證用戶身份、抗否認(rèn)等，網(wǎng)絡(luò)訪問(wèn)控制技術(shù)用于對(duì)系統(tǒng)進(jìn)行安全保護(hù)，抵抗各種外來(lái)攻擊。 

隧道技術(shù) 

由于受到Internet網(wǎng)絡(luò)中IP地址資源短缺的影響，各企業(yè)內(nèi)部網(wǎng)絡(luò)使用的多為私有IP地址，從這些地址發(fā)出的數(shù)據(jù)包是不能直接通過(guò)Internet傳輸?shù)模?而必須代之以合法的IP地址。有多種方法可以完成這種地址轉(zhuǎn)換，如靜態(tài)IP地址轉(zhuǎn)換、動(dòng)態(tài)IP地址轉(zhuǎn)換、端口替換、數(shù)據(jù)包封裝等，對(duì)于VPN而言，數(shù)據(jù)包封裝（隧道）是最常用的技術(shù)。數(shù)據(jù)包封裝發(fā)生在VPN的發(fā)送節(jié)點(diǎn)，此時(shí)需將原數(shù)據(jù)包打包，添加合法的外層IP包頭，這個(gè)包可通過(guò)公網(wǎng)被傳送到接收端的VPN節(jié)點(diǎn)，該節(jié)點(diǎn)接收后進(jìn)行拆包處理，還原出原報(bào)文后傳述給目標(biāo)主機(jī)。幾乎所有的VPN技術(shù)均采用了數(shù)據(jù)包封裝技術(shù)。 

密碼技術(shù) 

密碼技術(shù)是實(shí)現(xiàn)網(wǎng)絡(luò)安全的最有效的技術(shù)之一，實(shí)際上，數(shù)據(jù)加密作為一項(xiàng)基本技術(shù)已經(jīng)成為所有通信數(shù)據(jù)安全的基石。在多數(shù)情況下，數(shù)據(jù)加密是保證信息機(jī)密性的唯一方法。一個(gè)加密網(wǎng)絡(luò)，不但可以防止非授權(quán)用戶的搭線竊聽(tīng)和 入網(wǎng)，而且也是對(duì)付惡意軟件的有效方法，這使得它能以較小的代價(jià)提供很強(qiáng)的安全保護(hù)。 

數(shù)據(jù)加密過(guò)程是由各種加密算法來(lái)具體實(shí)施，按照收發(fā)雙方密鑰是否相同來(lái)分類，可以將這些加密算法分為對(duì)稱密碼算法和非對(duì)稱密碼算法（公鑰算法）。 

對(duì)稱密鑰密碼算法的收信方和發(fā)信方使用相同的密鑰，即加密密鑰和解密密鑰是相同或等價(jià)的。最著名的對(duì)稱密碼算法為美國(guó)的DES算法及其各種變形。對(duì)稱密碼算法的優(yōu)點(diǎn)是有很強(qiáng)的保密強(qiáng)度和較快的運(yùn)算速度，但其密鑰必須通過(guò)安全的途徑傳送。因此，其密鑰管理成為系統(tǒng)安全的重要因素。 

非對(duì)稱密鑰（公鑰）密碼算法的收信方和發(fā)信方使用的密鑰互不相同，而且?guī)缀醪豢赡軓募用苊荑€推導(dǎo)出解密密鑰，這些特性使其成為實(shí)現(xiàn)數(shù)字簽名的最佳選擇。由于非對(duì)稱密碼算法加密速度慢，不適宜直接對(duì)實(shí)時(shí)的和大量的數(shù)據(jù)加密。在IPSec實(shí)現(xiàn)中，非對(duì)稱算法（證書(shū)）用于自動(dòng)協(xié)商隧道密鑰（對(duì)稱密鑰），從而可大大簡(jiǎn)化密鑰的管理工作。在IP最著名也是應(yīng)用最為廣泛的公鑰密碼算法是RSA算法。

網(wǎng)絡(luò)訪問(wèn)控制技術(shù) 

網(wǎng)絡(luò)訪問(wèn)控制技術(shù)對(duì)出入廣域網(wǎng)的數(shù)據(jù)包進(jìn)行過(guò)濾，即傳統(tǒng)的防火墻功能。由于防火墻和VPN均處于公網(wǎng)出口處，在網(wǎng)絡(luò)中的位置基本相同，而其功能具有很強(qiáng)的互補(bǔ)性，因此一個(gè)完整的VPN產(chǎn)品應(yīng)同時(shí)提供完善的網(wǎng)絡(luò)訪問(wèn)控制功能，這可以在系統(tǒng)的安全性、性能及統(tǒng)一管理上帶來(lái)一系列的好處。

VPN技術(shù)的介紹就為大家介紹到這，企業(yè)中對(duì)于VPN的應(yīng)用已經(jīng)很廣泛了，這也證明著VPN對(duì)于一個(gè)企業(yè)運(yùn)營(yíng)的重要性，希望大家多多掌握此方面的知識(shí)。更多資源請(qǐng)閱讀：http://www.szyisi.cn/col/946/

【編輯推薦】

1. VLAN-VPN典型配置
2. 城域VPN融合業(yè)務(wù)平臺(tái)
3. 企業(yè)為什么需要SSL VPN
4. 企業(yè)網(wǎng)絡(luò)信息化應(yīng)用的新方向 全方位VPN
5. VPN指南：新手、高手和IT專業(yè)人士，一個(gè)都不能少