短短兩三年時間，VPN已從初出茅廬的業(yè)界新人迅速竄升為當(dāng)紅小生，除其自然狀態(tài)下的茁壯成長外，市場的需求以及技術(shù)和產(chǎn)品的定向刺激，都使得如今的IT市場上VPN產(chǎn)品真可謂各有來頭、琳瑯滿目。

VPN實(shí)現(xiàn)的是一塊更為廣袤的“私密空間”和一條更為隱秘的“安全通道”。

隨著網(wǎng)絡(luò)應(yīng)用的遍地開花，安全技術(shù)逐漸成為VPN產(chǎn)品的一個拳頭支撐，基于IPSec和SSL協(xié)議的不同VPN產(chǎn)品也正表現(xiàn)著VPN的不同安全特色……

在如今的網(wǎng)絡(luò)時代，信息共享正在被賦予越來越豐富的外延，諸如本地信息的遠(yuǎn)程化、遠(yuǎn)程資源的本地化等，但凡能通過網(wǎng)絡(luò)方式實(shí)現(xiàn)的，人們都樂此不疲地琢磨并嘗試著。

VPN（虛擬專用網(wǎng)絡(luò)）作為一種虛擬通道技術(shù)，其最初的設(shè)想只是為了滿足遠(yuǎn)程訪問的專用接入需求，并且能夠避開IP地址資源有限的尷尬，而最終大量產(chǎn)品的市場需求以及后續(xù)VPN技術(shù)的不斷延伸發(fā)展，也足以說明網(wǎng)絡(luò)信息化對這一專用通道技術(shù)的強(qiáng)烈呼喚。

伴隨著社會本身的進(jìn)步以及信息化進(jìn)程的大副進(jìn)展，各種網(wǎng)絡(luò)應(yīng)用隨即接踵而至，越來越多的安全需求成為VPN技術(shù)的關(guān)鍵。

總覽VPN的安全實(shí)現(xiàn)

在原先維持網(wǎng)絡(luò)更多虛擬空間的前提下，如何保證接入用戶的合法性、保證網(wǎng)絡(luò)訪問的安全性以及系統(tǒng)本身的安全可靠性等等，都成為VPN需要面對的問題。

首先，VPN能保障哪些安全呢？很容易想象，VPN的實(shí)現(xiàn)技術(shù)和方式有很多，但是所有的VPN產(chǎn)品都應(yīng)該保證通過公用網(wǎng)絡(luò)平臺傳輸數(shù)據(jù)的專用性和安全性。如在非面向連接的公用IP網(wǎng)絡(luò)上建立一個隧道，利用加密技術(shù)對經(jīng)過隧道傳輸?shù)臄?shù)據(jù)進(jìn)行加密，以保證數(shù)據(jù)的私有性和安全性。此外，還需要防止非法用戶對網(wǎng)絡(luò)資源或私有信息的訪問。

其次，VPN還應(yīng)當(dāng)為不同網(wǎng)絡(luò)的數(shù)據(jù)提供不同等級的服務(wù)質(zhì)量保證（QoS）。如對移動辦公的用戶，隨意自主的連接性和信號的覆蓋性就是VPN服務(wù)質(zhì)量保證的一個主要因素；而當(dāng)分支機(jī)構(gòu)某用戶通過VPN專有網(wǎng)對總部系統(tǒng)網(wǎng)絡(luò)進(jìn)行訪問的話，整個總部系統(tǒng)的網(wǎng)絡(luò)需要保持良好的穩(wěn)定性。

此外，對于帶寬和流量的控制，則是對網(wǎng)絡(luò)優(yōu)化的一個重要方面。充分有效地利用有限的廣域網(wǎng)資源，保證重要數(shù)據(jù)的有效且可靠的帶寬，將是關(guān)系網(wǎng)絡(luò)整體穩(wěn)定性的一個重要指標(biāo)。通過流量預(yù)測與流量控制策略，可以按照優(yōu)先級實(shí)現(xiàn)帶寬資源的合理配置和管理，從而凈化所處的網(wǎng)絡(luò)。

IPSec VPN：端對端的安全

隧道技術(shù)是最典型、也是應(yīng)用最為廣泛的VPN技術(shù)，通過匹配四層網(wǎng)絡(luò)模型中的不同層協(xié)議，可以生成不同的VPN技術(shù)及產(chǎn)品，如IPSec VPN就是第三層隧道協(xié)議匹配IP層（第三層）的IPSec協(xié)議生成的，而SSL VPN則是第四層隧道協(xié)議匹配應(yīng)用層（第四層）的SSL協(xié)議生成的，這兩種VPN也是當(dāng)前業(yè)內(nèi)最為流行的VPN技術(shù)及產(chǎn)品。

IPSec工作于網(wǎng)絡(luò)層，是一個開放的結(jié)構(gòu)，定義在IP數(shù)據(jù)包格式中，不同的加密算法都可以利用IPSec定義的體系結(jié)構(gòu)在網(wǎng)絡(luò)數(shù)據(jù)傳輸過程中實(shí)施。IPSec協(xié)議可以設(shè)置成在兩種模式下運(yùn)行：一種是隧道（tunnel）模式，一種是（transport）模式。隧道模式下，IPSec把IPv4數(shù)據(jù)包封裝在安全的IP幀中。傳輸模式是為了保護(hù)端到端的安全性，即在這種模式下不會隱藏路由信息。IPSec幾乎可以為所有的應(yīng)用提供訪問，包括客戶端/服務(wù)器模式和某些傳統(tǒng)的應(yīng)用，但是由于基于網(wǎng)絡(luò)層，不能穿越通常的NAT、防火墻。

IPSec為Internet業(yè)務(wù)提供最強(qiáng)的安全功能，與其他隧道和安全技術(shù)相比，其優(yōu)越性在于它的安全性和互操作性，但是管理相對復(fù)雜。IPSec得到各廠商廣泛支持，非常適合于組建遠(yuǎn)程網(wǎng)絡(luò)互聯(lián)VPN。如果需要相對安全、保密的通道、網(wǎng)絡(luò)流量有限、對業(yè)務(wù)實(shí)時性要求不高，應(yīng)首選IPSec建立VPN。

IPSec VPN是基于IPSec協(xié)議的VPN產(chǎn)品，由IPSec協(xié)議提供隧道安全保障。IPSec是一種由IETF設(shè)計的端到端的確保基于IP通訊的數(shù)據(jù)安全性的機(jī)制。IPSec隧道模式具有以下特點(diǎn)：只能支持IP數(shù)據(jù)流；工作在IP棧的底層，因此，應(yīng)用程序和高層協(xié)議可以繼承IPSEC的行為；由一個安全策略（一整套過濾機(jī)制）進(jìn)行控制。安全策略按照優(yōu)先級的先后順序創(chuàng)建可供使用的加密和隧道機(jī)制以及驗(yàn)證方式。當(dāng)需要建立通訊時，雙方機(jī)器執(zhí)行相互驗(yàn)證，然后協(xié)商使用何種加密方式。此后的所有數(shù)據(jù)流都將使用雙方協(xié)商的加密機(jī)制進(jìn)行加密，然后封裝在隧道包頭內(nèi)。

目前防火墻產(chǎn)品中集成的VPN使用較多的是IPSec 協(xié)議，在中國其發(fā)展處于蓬勃狀態(tài)。