你在互聯網上時想做到安全嗎--我是指真正的安全?如果是這樣,那你需要虛擬專用網(VPN)。
VPN可以在你與你的辦公室、VPN提供商或你家之間,跨互聯網建立一條安全的"隧道"。為什么你需要VPN?因為像Firesheep這些使用方便的程序很容易讓人窺視你在電子郵件中所寫的內容、發到Facebook頁面上的信息以及在網上購買的商品。但是借助VPN,你可以通過那條虛擬隧道安全地上網瀏覽,防止被人窺視,而且你在網上傳送的信息經過了加密。
無論你只是想在外出時訪問無線網絡,又不想讓陌生人知道你的活動,還是需要讓一批遠程員工能夠在網上安全地處理工作,你都能到適合自己要求的VPN。本文為新手、高級用戶和IT部門介紹了VPN方面的基本知識。
新手篇
要獲得VPN服務,最容易、最省錢的辦法就是從你所在的公司、學校或組織獲得一個VPN。不是經常外出?那就聯系你的IT部門,看看它是否為所有用戶提供VPN。如果提供,那很方便:只要安裝企業VPN軟件,設置好后,就可以使用了。下回你打開個人電腦,運行VPN應用軟件,就可以開始上網沖浪了。
如果你的IT部門沒有VPN怎么辦?或者你沒有IT部門怎么辦?照樣有辦法。最近,眾多VPN提供商開始提供收費服務,通常是每月15美元至20美元,包括Banana VPN、Black Logic、LogMeIn Hamachi和StrongVPN。
你該如何著手挑選一種VPN?如果某服務有網上論壇,上去看看他們的用戶發布了什么內容。可以打電話或發郵件給對方,看看有沒有人回復。一般來說,公司規模越大越好。如果對方是家小公司,那對于你個人用戶來說也許可以,但恐怕無法為你提供小公司所需要的支持。
VPN不僅僅用來確保隱私性,VPN還具有其他優點。比如說,如果你在加拿大,那么通常無法在Hulu網站上收看美國電視節目。但如果你使用VPN來獲得一個美國互聯網協議(IP)地址,就能收看美國電視節目了。
有些VPN提供商提供另一個好處:匿名上網瀏覽,這樣你在網上瀏覽時不會被跟蹤。如果你的互聯網服務提供商(IPS)阻止了某些應用,比如Skype或其他IP語音傳輸(VoIP)應用程序,就可以使用VPN來規避這些限制。
這些VPN服務可能聽起來正是你所需要的。不過要小心:不是所有服務都是一樣的。如果某服務沒有足夠的VPN服務器(從技術上來講是VPN集中器)來支持所需數量的用戶,那么可能會遇到網速很慢的情況,或者根本連接不上。
所以訂購某項VPN服務之前,了解一下用戶是怎么評價的。更妥當的是,如果對方提供免費試用一段時間的服務,就要好好利用起來,免得花錢買來可能不適合要求的服務。
高級用戶篇
你在外出時,是不是想牢牢保護互聯網連接?如果是這樣,最好的辦法當然是使用VPN。如果你所在的公司可以為你提供VPN,那最好不過了。但如果你自己開有小公司或家庭辦公室,也有其他辦法。
你可以找到幾個成本低廉的方法來獲得自己的VPN。除了每月支付15美元至20美元訂購費的VPN服務外,還能夠使用另外的開源路由器固件,如DD-WRT或OpenWRT,把VPN服務器安裝到你的路由器中。這種固件讓你可以把許多(但不是所有)Wi-Fi路由器和接入點用作VPN端點。
路由器上的VPN
用任何另外的固件來刷新Wi-Fi硬件之前,確保硬件得到支持。你最不希望看到的一幕是,僅僅為了建立一個小型VPN,結果"搞壞"了自己的無線設備,致使它無法使用。一定要查詢DD-WRT支持設備列表或OpenWRT支持設備列表。由于這些列表都在不斷更新,所以如果你購買全新的路由器或接入點,就要查看一下是否得到支持。
如果你不愿硬件搞砸在自己的手里,一些路由器隨帶已經安裝的DD-WRT,比如巴比祿科技公司的WZR-HP- G300NH AirStation Nfiniti Wireless-N High Power Router。
VPN服務器軟件
一些桌面操作系統包括了VPN服務器軟件,包括Windows(從XP到Windows 7)和Mac OS X。誠然,這些VPN是很簡單的VPN,但它們可能正是你需要的。當然,Windows Server系列隨帶比較復雜的VPN。如果你運行的全是Windows 7客戶機和Windows Server 2008 R2,可能還想考慮使用DirectAccess,這種先進的IPSec VPN在基于IPv4的普通局域網和以太網上通過IPv6來運行。
如果你決定不用DirectAccess,而是選擇微軟比較舊的VPN技術,Windows Server 2008 R2有一項有所幫助的新功能:VPN重新連接(VPN Reconnect)。顧名思義,如果受到了互聯網連接中斷的干擾,VPN Reconnect會自動試圖連接VPN會話。這項功能對于Wi-Fi連接時好時壞的用戶來說很方便,因為他們在重新建立網絡連接后,不需要手動重新連接VPN。
Linksys的WRT160NL等大多數流行的路由器讓VPN連接很容易透過防火墻來工作。
為你的小型網絡添加VPN的另一個方法就是自行安裝VPN服務器軟件。其中最有名的是OpenVPN,這是開源軟件。它有多種版本,適用于幾乎所有流行的桌面操作系統,包括Linux、Mac OS X和Windows。
要是設置本地OpenVPN對你或你的員工來說起來有點過于復雜,可以把它作為VMware或Windows虛擬磁盤OpenVPN虛擬設備來運行。若采用這種方法,可以在幾分鐘內讓一個基本的VPN運行起來。
但OpenVPN絕不是可供使用的唯一VPN軟件。值得考慮的其他軟件還有NeoRouter和Tinc。如果你需要的不僅僅是VPN服務,還需要功能全面的網絡服務軟件包,強烈推薦開源Vyatta Core 6.1。Vyatta包括了 OpenVPN。
VPN設備
不過,如果你打算讓不止十幾個的用戶同時使用VPN,就需要使用價格低廉的VPN硬件設備,如瞻博網絡SA700 SSL VPN Appliance、SonicWall Secure Remote Access Series或Vyatta 514。
不管你使用哪種VPN,都要設置防火墻,以便允許VPN流量。在許多路由器和防火墻上,這項工作就如同設置VPN穿透功能(VPN passthrough)、允許VPN流量一樣簡單。你的選擇通常有PPTP(點對點隧道協議)、L2TP(第二層隧道協議)或SSL(安全套接字層)。只允許你要使用的那些VPN協議--畢竟,防火墻方面有問題時,禁止協議比允許協議來得安全。
查閱VPN的說明文檔,看看要開啟哪些端口。至于SSL VPN,它們通常使用端口443,這是受SSL保護的Web服務器通常使用的端口,所以該端口應該已經開啟。
當然,不管你在運行什么VPN,也不管你的網絡架構如何,小企業中的VPN可能會限制用戶的速度。比如在我自己的家庭辦公室,我的Charter線纜互聯網連接提供25 mbps的下行速度和3 mbps的上行速度。這意味著,不管我的遠程網絡連接速度有多快,當我連接到OpenVPN服務器時,最高速度只有3 mbps。
我常常看到小企業受慢速VPN連接的困擾。那通常是由于,用戶和內部的IT員工(常常是同一個人)都沒有認識到,涉及互聯網連接時,VPN路線上速度最慢的鏈接將取決VPN的最大速度。如果你想要真正快速的VPN,就要咬咬牙,向ISP購買高端互聯網連接。
IT部門篇
如果你在運行一個專業的企業VPN,你已經知道最終用戶的VPN服務或基于軟件的VPN服務都勝任不了。當然,你可以安裝幾十個OpenVPN或Windows Server 2008 R2設備來解決這個問題,但是除了速度不夠快外,它們管理起來也很棘手。當貴公司需要同時使用幾百條乃至1萬多條活躍的VPN隧道時,只能借助于最先進的VPN硬件或全國性的VPN服務商。這通常意味著思科、F5 Networks、瞻博網絡以及另外幾家頂級網絡公司。
這時候,你可能要考慮第二種VPN;這種情況下,你使用VPN把不同的辦事處和分支機構通過互聯網安全地連起來。這方面可以使用MPLS(多協議標簽交換)、VPLS(虛擬專用局域網服務)和L2VPN(第二層虛擬專用網)等技術,把數據中心、集中辦事處和分支辦事處連接成一個虛擬整體。
在正常情況下,你會希望把防火墻放在VPN服務器與互聯網之間。
如果你要開始考慮使用那種VPN,別信我這種水平的人。你要找個頂級的網絡工程師--更妥當的是,找個合格的網絡架構師來正確設置你的虛擬廣域網。這里要是犯錯誤,不是貴公司會蒙受巨額損失,就是當你最不希望廣域網出故障時,偏偏出問題。我想你可能不想向首席執行官解釋為什么全公司的視頻廣播消失得無影無蹤了。
即便是大規模的企業遠程訪問VPN所用的技術也與小規模的VPN一樣。區別完全在于規模上。
如果你想管理自己的企業級VPN,就要用思科或瞻博等公司價格不菲(至少是五位數)的VPN設備和服務器來搭建VPN。
傳統觀念認為,你只能使用價格高昂的知名品牌的VPN集中器,但其他廠商(尤其是Vyatta)不這么認為。Vyatta擁有入門級Vyatta 3500系列路由器和防火墻(2009年底推出),提供萬兆路由功能,而價格只是同類思科產品的零頭而已。
比如說到VPN,Vyatta 3500能夠以高達900 mbps的速度,同時處理多達8000條IPSec VPN隧道,費用只需要約6000美元,而同類的思科ASR 1006設備價格超過10萬美元。Vyatta產品真的一樣好?我本人還沒有試用過,但知道有些公司在用它,而且很滿意。既然價格這么便宜,何不至少試用一下?雖然目前出現了經濟好轉的勢頭,但還沒有好到首席財務官和首席信息官欣然批準購買價格高達六位數的硬件這個光景。
當然,你可能想要考慮通過外包來滿足自己的VPN要求。過去這么做往往要冒一定的險;但近些年來,AT&T和Verizon等幾家知名電信公司已開始提供國內和國際VPN服務。這類服務的費用不便宜,但是你自行維護企業級VPN也不便宜。處處精打細算的網絡設計人員會認真考慮VPN外包這種選擇。
VPN協議指南
VPN使用眾多協議,建立起透過互聯網的一條安全"隧道"。
PPTP(點對點隧道協議):這種協議最初用在Windows中,但它不隨帶任何內置的安全性。它通常與MPPE(微軟點對點加密)協議一起建立安全的VPN。我說的"安全"其實不安全,因為PPTP(即PP2P)長期以來安全性欠佳。幸好,PPTP慢慢告別了歷史舞臺,被更安全的協議所取代。
L2TP(第二層隧道協議):微軟聯合思科,第二回做得更好了。L2TP結合IPSec安全性,要安全得多,它用在所有現代版本的Windows中。L2TP在Mac OS X和Linux上還得到支持,可結合Openswan等程序使用。
SSL VPN(安全套接層VPN):在過去的幾年間,主要是由于OpenVPN越來越受歡迎,SSL VPN才變得越來越普遍。你可以找到適用于各大操作系統的SSL VPN客戶端軟件。
