VPN技術是指在公共的網絡平臺上傳輸用戶私有的數據，實現方式是在公網
　　如Internet上搭建隧道，從而使得在不安全的互聯網上傳輸私有數據得到保證。這種技
　　術的效果類似于傳統的租用專線聯網方式，但其費用遠比采用專線方式聯網要便宜。
　　
　　　　目前與企業相關的VPN隧道協議分三種：點到點隧道協議PPTP，第二層隧道
　　協議L2TP，網絡層隧道協議IPSec。而VPN在企業中的組網方式分四種：遠程訪問（客戶
　　端到網關），分支機構互連（網關到網關），Extranet VPN（網關到網關，用于合作伙
　　伴/客戶等），Intranet VPN。在各種組網方式下要仔細選用不同的隧道協議。
　　
　　　　支持VPN的產品種類很多，包括路由器，主機網關，撥號接入設備，隧道加
　　密機，隧道交換機等等。但利用防火墻支持VPN越來越流行，因為它既能提供VPN實現網
　　絡互連，又能保護企業內部的資源免受外部網絡的攻擊。因此，帶VPN功能的防火墻可
　　以提供更全面的安全解決方案。
　　
　　　　3Com公司防火墻VPN產品
　　　　目前，3Com公司的防火墻產品包括兩種型號：
　　　　　* SuperStack 3防火墻
　　　　　* OfficeConnect DMZ防火墻
　　
　　　　SuperStack 3防火墻主要用于企業中心以及大型分支辦公室，
　　OfficeConnect DMZ防火墻只要用于小型分支辦公室。
　　
　　　　這兩種VPN防火墻都采用實時操作系統，并經過修剪，專門用于網絡安全功
　　能，徹底避免了傳統軟件防火墻由于依賴UNIX和Windows NT操作系統而帶來的潛在漏
　　洞。同時，采用高性能安全防火墻引擎，提供狀態包檢測保護，屬于專用硬件防火墻，
　　能夠為大中小企業提供高性能價格比的解決方案。
　　
　　　　為了提供高性能，高安全性的VPN，3Com公司防火墻采用專用硬件加速引
　　擎，并采用標準的網絡層IPsec 協議。下面介紹IPsec VPN與其它兩種VPN協議的比較。
　　
　　　　點到點隧道協議-PPTP
　　　　PPTP協議在一個已存在的IP連接上封裝PPP會話，只要網絡層是連通的，就
　　可以運行PPTP協議。PPTP協議將控制包與數據包分開，控制包采用TCP控制，用于嚴格
　　的狀態查詢以及信令信息；數據包部分先封裝在PPP協議中，然后封裝到GRE V2協議中
　　.GRE是通用路由封裝協議，用于在標準IP包中封裝任何形式的數據包，因此PPTP可以支
　　持所有的協議，包括IP，IPX，NetBEUI等等。除了搭建隧道，PPTP本身沒有定義加密機
　　制，但它繼承了PPP的認證和加密機制，包括認證機制PAP/CHAP/MS-CHAP以及加密機制
　　MPPE。
　　
　　　　第二層隧道協議-L2TP
　　　　L2TP是一個國際標準隧道協議，它結合了PPTP協議以及第二層轉發L2F協議
　　的優點。L2TP與PPTP的最大不同在于L2TP將控制包和數據包合二為一，并運行在UDP
　　上，而不是TCP上。UDP省去了TCP中同步、檢錯、重傳等機制，因此L2TP速度很快。與
　　PPTP類似，L2TP也可支持多種協議。L2TP協議本身并沒有提供任何加密功能。
　　
　　　　IPsec協議
　　　　IPsec是標準的第三層安全協議，用于保護IP數據包或上層數據，它可以定
　　義哪些數據流需要保護，怎樣保護以及應該將這些受保護的數據流轉發給誰。由于它工
　　作在網絡層，因此可以用于兩臺主機之間，網絡安全網關之間（如防火墻，路由器），
　　或主機與網關之間。
　　
　　　　IPsec協議分兩種：ESP和AH，這兩種協議都可以提供網絡安全，如數據源認
　　證（確保接收到的數據是來自發送方），數據完整性（確保數據沒有被更改）以及防中
　　繼保護（確保數據到達次序的完整性）。除此之外，ESP協議還支持數據的保密性，能
　　夠確保其它人無法讀取傳送的數據，這實際上是采用加密算法來實現的。
　　
　　　　IPsec的安全服務要求支持共享鑰匙完成認證和/或保密。在IPsec協議中引
　　入了一個鑰匙管理協議，稱Internet鑰匙交換協議-IKE，該協議可以動態認證IPsec對
　　等體，協商安全服務，并自動生成共享鑰匙。
　　
　　　　IPsec協議（AH或ESP）保護整個IP包或IP包中的上層協議。IPsec有兩種工
　　作方式：傳輸方式保護上層協議如TCP；隧道方式保護整個IP包。在傳輸方式下，IPsec
　　包頭加在IP包頭和上層協議包頭之間；而在隧道方式下，整個IP包都封裝在一個新的IP
　　包中，并在新的IP包頭和原來的IP包頭之間插入IPsec頭。兩種IPsec協議AH 和ESP都可
　　以工作在傳輸方式下或隧道方式下。
　　
　　　　L2TP與IPsec傳輸方式的集成
　　　　鑒于IPsec缺少用戶認證，只支持IP協議，目前有一種趨勢將L2TP和IPsec結
　　合起來使用，采用L2TP作為隧道協議，而用IPsec協議保護數據。
　　
　　　　PPTP和L2TP都支持多協議，但要記住L2TP協議缺少數據保密性的保護。PPTP
　　和L2TP都不具有機器認證的能力，而必須依賴于用戶認證。
　　
　　　　在所有的VPN協議中，IPsec提供最好的安全性，但IPsec無法提供用戶認
　　證，也不支持多協議。許多廠家都采用的附加的特性來支持用戶認證，比如支持Radius
　　協議。IPsec協議十分靈活，可以滿足所有網關到網關的VPN連接。
　　
　　　　3Com防火墻VPN解決方案
　　　　通過前面幾種VPN協議的分析比較，可以看出3Com公司防火墻VPN采用IPsec
　　協議的優勢。同時基于防火墻的VPN還可以充分利用防火墻安全機制的優勢。3Com防火
　　墻采用專用硬件加密處理器來加密和解密VPN數據流，而主核心處理器只負責狀態包檢
　　測功能。因此3Com公司防火墻的VPN性能極高，比如SuperStack 3防火墻可以提供
　　45Mbps的3DES吞吐量，21Mbps 的ARC4吞吐量。
　　
　　　　3Com防火墻采用IPsec隧道方式提供網關到網關以及客戶端到網關的VPN連
　　接，用于分支機構，遠程工作人員，客戶以及合作伙伴對企業網絡的訪問。拓撲結構見
　　附圖。
　　
　　　　對于網關到網關VPN，SuperStack 3防火墻支持1000個并發VPN隧道，支持手
　　工密鑰方式以及IKE動態密鑰方式；對于客戶端到網關VPN，SuperStack 3防火墻支持
　　64000個并發VPN客戶端;3Com防火墻支持14種認證/加密算法.
　　
　　　　由于IPsec協議不支持用戶認證，因此在遠程用戶訪問VPN環境下，3Com公司
　　防火墻VPN支持Radius協議，通過Radius服務器提供客戶端VPN的用戶認證。
　　
　　　　為簡化遠程用戶訪問VPN在防火墻中的配置，3Com 防火墻支持GroupVPN配置
　　功能，一個Group VPN允許100個使用IKE方式的VPN客戶端接入。3Com防火墻還免費提供
　　客戶端VPN軟件SafeNet/IRE VPN。