VPN（Virtual Private Network）虛擬專用網(wǎng)，指在公共網(wǎng)絡(luò)（如Internet）上構(gòu)建臨時(shí)的、安全的邏輯網(wǎng)絡(luò)的技術(shù)。機(jī)構(gòu)遍布各地的公司，尤其跨越國(guó)家的公司，可以通過(guò)VPN接入總部網(wǎng)絡(luò)。VPN利用了現(xiàn)有的公共網(wǎng)絡(luò)資源，從而節(jié)省了公司租用運(yùn)營(yíng)商跨省、跨海專線的費(fèi)用。分支機(jī)構(gòu)網(wǎng)絡(luò)通過(guò)VPN接入總部后，就好比與總部網(wǎng)絡(luò)接入同一個(gè)局域網(wǎng)，可訪問(wèn)總部網(wǎng)絡(luò)能訪問(wèn)的各項(xiàng)資源。另外，為保證數(shù)據(jù)不在網(wǎng)絡(luò)（尤其是公共網(wǎng)絡(luò)）上被竊取，通過(guò)VPN技術(shù)實(shí)現(xiàn)數(shù)據(jù)加密傳送。需要澄清的一點(diǎn)是，VPN技術(shù)有多種，并非所有的VPN標(biāo)準(zhǔn)均具有高安全性。

主流開源VPN技術(shù)：

IPSec VPN

IPSec (IP SECURITY)是為實(shí)現(xiàn)VPN 功能而最普遍使用的協(xié)議。通過(guò)相應(yīng)的隧道技術(shù)，可實(shí)現(xiàn)VPN。IPSec有兩種模式：隧道模式和傳輸模式。IPSec 不是一個(gè)單獨(dú)的協(xié)議，它給出了應(yīng)用于IP 層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體系結(jié)構(gòu)。該體系結(jié)構(gòu)包括認(rèn)證頭協(xié)議（Authentication Header，簡(jiǎn)稱為AH）、封裝安全負(fù)載協(xié)議（EncapsulatingSecurity Payload，簡(jiǎn)稱為ESP）、密鑰管理協(xié)議（Internet Key Exchange，簡(jiǎn)稱為IKE）和用于網(wǎng)絡(luò)認(rèn)證及加密的一些算法等。IPSec 規(guī)定了如何在對(duì)等體之間選擇安全協(xié)議、確定安全算法和密鑰交換，向上提供了訪問(wèn)控制、數(shù)據(jù)源認(rèn)證、數(shù)據(jù)加密等網(wǎng)絡(luò)安全服務(wù)。

在具體的使用中，Linux實(shí)現(xiàn)使用IPSec的軟件是：Free S/WAN http://www.freeswan.org/ 。FreeS/WAN不支持NAT（Network Address Translation，網(wǎng)絡(luò)地址翻譯）和IP地址偽裝用于加密通道通信。

SSL VPN

IPSec VPN和SSL VPN是兩種不同的VPN架構(gòu)，IPSec VPN是工作在網(wǎng)絡(luò)層的，提供所有在網(wǎng)絡(luò)層上的數(shù)據(jù)保護(hù)和透明的安全通信，而SSL VPN是工作在應(yīng)用層(基于HTTP協(xié)議)和TCP層之間的，從整體的安全等級(jí)來(lái)看，兩者都能夠提供安全的遠(yuǎn)程接入。但是，IPSec VPN技術(shù)是被設(shè)計(jì)用于連接和保護(hù)在信任網(wǎng)絡(luò)中的數(shù)據(jù)流，因此更適合為不同的網(wǎng)絡(luò)提供通信安全保障，而SSL VPN則更適合應(yīng)用于遠(yuǎn)程分散移動(dòng)用戶的安全接入。

一般說(shuō)來(lái)，SSL VPN相對(duì)于后者部署和實(shí)施成本低。在設(shè)計(jì)上，IPSec VPN是一種基礎(chǔ)設(shè)施性質(zhì)的安全技術(shù)。這類VPN的真正價(jià)值在于，它們盡量提高IP環(huán)境的安全性。可問(wèn)題在于，部署IPSec需要對(duì)基礎(chǔ)設(shè)施進(jìn)行重大改造，以便遠(yuǎn)程訪問(wèn)。好處就擺在那里，但管理成本很高。IPSec安全協(xié)議方案需要大量的IT技術(shù)支持，包括在運(yùn)行和長(zhǎng)期維護(hù)兩個(gè)方面。在大的企業(yè)通常有幾個(gè)專門的員工為通過(guò)IPSec安全協(xié)議進(jìn)行的VPN遠(yuǎn)程訪問(wèn)提供服務(wù)。IPSec VPN最大的難點(diǎn)在于客戶端需要安裝復(fù)雜的軟件，而且當(dāng)用戶的VPN策略稍微有所改變時(shí)，VPN的管理難度將呈幾何級(jí)數(shù)增長(zhǎng)。SSL VPN則正好相反，客戶端不需要安裝任何軟件或硬件，使用標(biāo)準(zhǔn)的瀏覽器，就可通過(guò)簡(jiǎn)單的SSL安全加密協(xié)議，安全地訪問(wèn)網(wǎng)絡(luò)中的信息。SSL VPN避開了部署及管理必要客戶軟件的復(fù)雜性和人力需求;SSL在Web的易用性和安全性方面架起了一座橋梁，目前對(duì)SSL VPN公認(rèn)的好處是:

簡(jiǎn)單。它不需要配置，可以立即安裝、立即生效。客戶端不需要麻煩的安裝，直接利用瀏覽器中內(nèi)嵌的SSL協(xié)議就行;

兼容性。傳統(tǒng)的IPSec VPN對(duì)客戶端采用的操作系統(tǒng)版本具有很高的要求，不同的終端操作系統(tǒng)需要不同的客戶端軟件，而SSL VPN則完全沒(méi)有這樣的麻煩。

因此，SSL VPN強(qiáng)調(diào)的優(yōu)勢(shì)其實(shí)主要集中在VPN客戶端的部署和管理上，我們知道SSL VPN一再?gòu)?qiáng)調(diào)無(wú)需安裝客戶端，主要是由于瀏覽器內(nèi)嵌了SSL協(xié)議，也就是說(shuō)是基于B/S結(jié)構(gòu)的業(yè)務(wù)時(shí)，可以直接使用瀏覽器完成SSL的VPN建立。

OpenVPN 是一個(gè)基于 OpenSSL 庫(kù)的應(yīng)用層 VPN 實(shí)現(xiàn)。OpenVPN的優(yōu)點(diǎn)是支持多種常用應(yīng)用系統(tǒng)。目前版本支持Linux。 Windows 2000/XP and higher。 OpenBSD。 FreeBSD。 NetBSD。 Mac OS X。 and Solaris。支持多種客戶端連接模式?？梢酝ㄟ^(guò)GUI 便捷的操作OpenVPN 工作在OSI layer 2 或 3 使用標(biāo)準(zhǔn)的 SSL/TLS 協(xié)議。 可以通過(guò)certificates 或smart cards 認(rèn)證。加密強(qiáng)度較高，不易在傳輸通路上被人劫持破解信息資訊。OpenVPN的缺點(diǎn)是使用SSL應(yīng)用層加密，傳輸效率要低于IPSec傳輸?shù)腣PN軟件。