虛擬私有網絡（VPN）是一種可以利用公共網絡（如互聯網）的私有網絡，它能通過加密和安全過程維持安全性和私有性。VPN的目的在于在分布式企業網絡和企業合伙人之間，以及移動雇員和公司IT資源之間提供安全的通信。許多企業正在其服務器上使用VPN來準許其雇員從家里連接到公司服務器。

為了保障VPN的安全性，企業一般需要安裝某種形式的網關，即一種可以管理VPN連接的網絡設備。網關可以由安裝在服務器上的VPN軟件組成，也可以是一個專門的VPN設備。

VPN的功能也可以嵌入到防火墻內部，一些安全設備（如UTM）也可以提供此功能。這種設備除了提供VPN功能，還可以包括防火墻、入侵檢測系統和入侵防御系統等能力。

企業單位在管理其VPN網關時，可采取兩種思路。一是依靠企業的內部人員管理，二是將管理責任交付一個稱為安全管理服務供應商的第三方。現在有許多第三方安全管理服務供應商能夠管理VPN、防火墻、IDS、IPS等客戶端設備。

簡析VPN的工作方式和技術特征

基本而言，VPN并不使用專用的真實連接（如租用線路），它通過互聯網使用從公司的私有網絡到遠程站點或雇員的可路由的虛擬連接。(圖1)

VPN網絡設計的目的是通過公共網絡建立安全的通信通道。但VPN如何建立這種安全通道卻與所采用的安全協議類型有著極大的關系。

IPsec VPN可以在兩個端點之間創建一個受保護的隧道。這種點到點的VPN能夠將公司總部與子公司連接起來。而且IPsec VPN還可以在遠程訪問中扮演自己的角色，它可以作為遠距離工作人員訪問公司網絡的安全途徑。

IPsec提供了身份驗證和其它的一些安全服務。在涉及到安全產品時，這種安全協議通常與數據加密標準結合使用。

通過IPsec VPN，企業組織必須在需要網絡訪問的設備上安裝客戶端軟件。VPN客戶端允許在遠程計算機和公司網絡之間創建隧道。

雖然IPsec擁有更長的歷史，但基于SSL（安全套接層）協議的VPN在近年來得到了日益廣泛的使用。SSL加密得到廣泛使用，從而可以保障通過互聯網傳輸的數據安全，并減少對客戶端軟件的需要。SSL VPN準許用戶通過任何支持SSL的Web瀏覽器訪問資源。

不需要VPN客戶端能夠減輕管理，因為并不需要加載軟件，并且無需在每個需要訪問網絡的設備上經常更新軟件。也就是說，一些SSL VPN部署可能要求使用客戶端軟件來處理不使用80號端口的應用程序。

SSL VPN主要用于遠程訪問，而IPsec VPN經常在局域網到局域網的鏈接中起作用。

不同VPN的關鍵區別在于其對現有互聯網架構的使用和相關的成本效益上。VPN作為一種保障通信安全的重要方式，已經可以支持移動工作人員和大量的訪問設備。VPN也可以支持操作連續性設計，因為在工作人員的平常工作場所由于某種緊急狀態而關閉時，這項技術準許工作人員從家里或其它位置訪問企業的應用程序。

最佳VPN設計基本標準

VPN方案的成功與否，關鍵在于規劃設計。一個設計出色的VPN應當極大地為公司帶來利益。它應當但不限于：

◆擴展地理上的連接性
◆改進的更高的安全性
◆減少運作成本
◆減少遠程用戶的傳輸時間和傳輸成本
◆簡化網絡拓撲
◆提供全球性的網絡連接機會
◆提供遠距離工作的支持
◆提供寬帶網絡連接的性能
◆提供比傳統的廣域網更加快捷的投資回報
◆高可靠性和可升級性
◆簡易的網絡管理
◆簡易安全的策略管理
◆提高生產力