本文首先介紹加密傳輸?shù)腣PN的各種類型，然后再按照復(fù)雜性的順序提出需要考慮的加密類型。加密傳輸中的信息的兩種最常用的技術(shù)是SSL（安全套接層）和IPsec（IP網(wǎng)絡(luò)安全協(xié)議）。
作為一個(gè)分析師，我收到了越來越多的詢問有關(guān)網(wǎng)絡(luò)加密、加密的傳輸或者虛擬專用網(wǎng)安全的問題。也許那是因?yàn)閾?dān)心遭到TJ Maxx的母公司TJX、Marshalls和HomeGoods商店等公司曾經(jīng)歷過的安全突破。當(dāng)一個(gè)黑客利用明尼蘇達(dá)州圣保羅附近的 Marshalls服裝商店的Wi-Fi網(wǎng)絡(luò)的漏洞的時(shí)候（點(diǎn)擊查看此事件），數(shù)百萬信用卡受到了損害。

遭遇安全突破的并不僅僅是TJX公司。還有一些引人注目的個(gè)人數(shù)據(jù)被突破的事件，包括美國(guó)政府內(nèi)部80%的現(xiàn)役軍人的名字的個(gè)人數(shù)據(jù)被突破。這些事件促使美國(guó)政府下達(dá)一個(gè)行政命令，要求對(duì)傳送和保存的個(gè)人身份識(shí)別數(shù)據(jù)采取加密措施。

我經(jīng)常同網(wǎng)絡(luò)工程師談?wù)撚嘘P(guān)加密傳輸中的數(shù)據(jù)的問題。在這里，我首先介紹加密傳輸?shù)腣PN的各種類型，然后再按照復(fù)雜性的順序提出需要考慮的加密類型。加密傳輸中的信息的兩種最常用的技術(shù)是SSL（安全套接層）和IPsec（IP網(wǎng)絡(luò)安全協(xié)議）。

網(wǎng)絡(luò)加密的四種類型

1、無客戶端SSL：SSL的原始應(yīng)用。在這種應(yīng)用中，一臺(tái)主機(jī)計(jì)算機(jī)在加密的鏈路上直接連接到一個(gè)來源（如Web服務(wù)器、郵件服務(wù)器、目錄等）。

2、配置VPN設(shè)備的無客戶端SSL：這種使用SSL的方法對(duì)于主機(jī)來說與第一種類似。但是，加密通訊的工作是由VPN設(shè)備完成的，而不是由在線資源完成的（如Web或者郵件服務(wù)器）。

3、主機(jī)至網(wǎng)絡(luò)：在上述兩個(gè)方案中，主機(jī)在一個(gè)加密的頻道直接連接到一個(gè)資源。在這種方式中，主機(jī)運(yùn)行客戶端軟件（SSL或者IPsec客戶端軟件）連接到一臺(tái)VPN設(shè)備并且成為包含這個(gè)主機(jī)目標(biāo)資源的那個(gè)網(wǎng)絡(luò)的一部分。

SSL：由于設(shè)置簡(jiǎn)單，SSL已經(jīng)成為這種類型的VPN的事實(shí)上的選擇。客戶端軟件通常是很小的基于Java的程序。用戶甚至可能都注意不到。

IPsec：在SSL成為創(chuàng)建主機(jī)至網(wǎng)絡(luò)的流行方式之前，要使用IPsec客戶端軟件。IPsec仍在使用，但是，它向用戶提供了許多設(shè)置選擇，容易造成混淆。

4、網(wǎng)絡(luò)至網(wǎng)絡(luò)：有許多方法能夠創(chuàng)建這種類型加密的隧道VPN.但是，要使用的技術(shù)幾乎總是IPsec.
在網(wǎng)絡(luò)至網(wǎng)絡(luò)的VPN的情況下，我們?cè)谟懻搹囊粋€(gè)網(wǎng)絡(luò)設(shè)備到另一個(gè)網(wǎng)絡(luò)設(shè)備的加密問題。由于我們期待目前的網(wǎng)絡(luò)設(shè)備要做的事情，在這個(gè)討論中會(huì)出現(xiàn)一些其它難題：

與其它技術(shù)的相互作用：廣域網(wǎng)經(jīng)常使用服務(wù)質(zhì)量、深度包檢測(cè)或者廣域網(wǎng)加速。如果在部署的時(shí)候沒有考慮這些服務(wù)，加密就會(huì)使這些服務(wù)失效。網(wǎng)絡(luò)地址解析是另一個(gè)需要克服的障礙，因?yàn)樗紫葧?huì)干擾建立一個(gè)加密的連接的能力。

疊加網(wǎng)絡(luò)：加密隧道VPN是通過在現(xiàn)有的網(wǎng)絡(luò)上創(chuàng)建一個(gè)疊加的加密連接發(fā)揮作用的。加密的連接存在于這個(gè)網(wǎng)絡(luò)上的兩個(gè)具體接口之間。從源頭上看，如果要加密的網(wǎng)絡(luò)通訊被重新路由或者傳送到不同的接口，它就不會(huì)被加密。如果這個(gè)通訊在加密之后被重新路由并且被發(fā)送到指定接口以外的其它接口，它就不能被解碼或者被拋棄。
在一個(gè)加密的VPN中，DNS、IP地址和路由都需要特別注意。一些安全VPN技術(shù)與專用地址領(lǐng)域工作得非常好。有些安全 VPN技術(shù)甚至在網(wǎng)絡(luò)端點(diǎn)采用動(dòng)態(tài)地址的情況下也能很好工作。在某些情況下，企業(yè)喜歡把所有的互聯(lián)網(wǎng)通訊路由到一個(gè)中心的位置。在其它情況下，采用拆分隧道方法，分支地點(diǎn)有單獨(dú)的互聯(lián)網(wǎng)網(wǎng)關(guān)。

帶寬：網(wǎng)絡(luò)工程師不停地解決帶寬問題一邊為其用戶提供盡可能最好的體驗(yàn)。但是，在一個(gè)加密的VPN的情況下，他們必須要考慮加密帶寬或者加密和解密大型數(shù)據(jù)流的能力。
無論是什么動(dòng)機(jī)，探索這個(gè)技術(shù)正是時(shí)候。加密技術(shù)是比以前更便宜和產(chǎn)品更多的技術(shù)（這種技術(shù)嵌入在防火墻、路由器和廣域網(wǎng)加速器）。但是，對(duì)于大多數(shù)網(wǎng)絡(luò)工程師和設(shè)計(jì)師來說，這個(gè)技術(shù)需要不同的思路：按照復(fù)雜程度的順序進(jìn)行思考以便在這種技術(shù)中進(jìn)行選擇； 努力地最大限度地減少網(wǎng)絡(luò)和網(wǎng)絡(luò)用戶的負(fù)擔(dān)； 等等。通過遵守一些基本的原則，你可以確保加密技術(shù)成為保證你的網(wǎng)絡(luò)安全的一種非常有用的、甚至是至關(guān)重要的工具。