虚拟世界的专属通道—VPN

　　VPN这个词，大家或许经常听说，但恐怕真正了解的并不多，而实际上，在网络界它的名声远扬并已广泛应用于企业、政府、金融等各个行业。

　　VPN的英文全称是“Virtual Private Network”，即虚拟专用网络，顾名思义，我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密通讯协议，在连接于Internet上的位于不同地方的两个或多个企业内部网之间建立一条专用的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正地去铺设光缆之类的物理线路（图1）。而且相对Internet这个全球性和开放性的、不可管理的国际互联网络，VPN最大的优势在于企业用户拥有高度控制性，尤其是基于安全基础上的控制。一个内部VPN能使企业对所有的安全认证、网络系统以及网络访问情况进行控制，建立端到端的安全架构，集成和协调现有的内部安全技术。

    
    根据不同技术协议标准和应用范围，VPN分为MPLS VPN、VPDN、IPsec VPN、SSL VPN等几种类型。目前比较常见的VPN应用形式包括有企业内部网的连接、企业外部网的连接以及移动工作者到企业的连接，企业实施加密的VPN接入主要采用后两种方式，即 IPSec VPN和SSL VPN（图2）。

    
    IPSec VPN和SSL VPN在不同领域各有优势，在实施固定点到点的VPN和复杂应用的移动用户接入VPN 时，一般采用IPSec VPN技术，而在实施普通应用的移动用户接入VPN 时，通常采用SSL VPN技术。单就技术角度而论，IPSec VPN的安全性要高于SSL VPN。在具有较多连接的IPSec VPN系统中，如果存在着安全性较低的传输端点，那么整个VPN系统的安全性都要受到威胁。例如，一个企业的子公司网络被攻击者渗透之后，通向总公司的VPN连接就为攻击者提供了一条访问路径，而且该路径可以直接穿透总公司的防火墙等安全设施。

　　要指出的是，无论采用哪种技术方式，都可以满足企业的需要，这不仅能为企业的员工、合作伙伴等提供对内网资源的安全远程访问，同时也可以消除因为远程用户客户端的维护等带来的诸多不便。目前，国内外的网络设备商都相继推出了自己的VPN产品，其中包括思科（CISCO）、华为、ArrayNetworks、F5、天融信等著名设备供应商，产品的形式有的是单独的VPN网关，有的是和其它安全产品整合在一起的，如和防火墙集成在一起。