一、概述：
　　
　　越來越多的用戶認識到，隨著 Internet 和電子商務的蓬勃發展，經濟全球化的最佳、最快捷途徑是發展基于 Internet 的商務應用。隨著商務活動的日益頻繁，各企業開始允許其生意伙伴、供應商、服務提供商也能夠訪問本企業的局域網，從而大大簡化信息交流的途徑，增加信息交換速度。這些合作和聯系是動態的，并依靠網絡來維持和加強，于是各企業發現，這樣的信息交流不但帶來了網絡的復雜性，還帶來了管理和安全性的問題，因為 Internet 是一個全球性和開放性的、基于 TCP/IP 技術的、不可管理的國際互聯網絡，因此，基于 Internet 的電子商務活動面臨著惡意的信息威脅和安全隱患。
　　
　　還有一類企業用戶，隨著自身的發展壯大與跨國化，企業的分支機構不僅越來越多，而且相互間的網絡基礎設施互不兼容也更為普遍。因此，用戶的信息技術部門在連接分支機構方面也感到日益棘手。
　　
　　用戶的需求正是 VPN 技術誕生的直接原因。人們越來越認識到利用 VPN 技術能為他們帶來更多方便、更好的安全。我們以金融行業的需求作為例子（對企業依然適合）：
　　
　　● 企業網絡的安全：企業網絡連接在 Internet 上，為了防止非法訪問或入侵，充分保護自身網絡資源的安全變得非常重要。
　　
　　● 身份認證及訪問控制：在網上證券交易過程中，證券經紀與用戶進行互相認證，交易服務提供商根據用戶身份，對其訪問信息進行控制。
　　
　　● 機密性和完整性：保證網上證券交易中涉及的大量個人保密信息在公開網絡的傳輸過程中不被竊取，并保證沒有虛假交易。
　　
　　● 不可抵賴：參與網上證券交易的任何一方都無法否認發生的交易。證券經紀無法否認在某個時間某個客戶提出了某個交易委托申請，而客戶也不能抵賴他曾經提交過的委托。
　　
　　● 安全存儲和審計：由于證券交易數據對安全的敏感性，對交易數據需要安全的存儲和審計設計，保證在以后可以進行檢查。
　　
　　● 用戶漫游：在完成以上的安全設計后，還應該保證用戶是可以漫游的，而且漫游用戶也有安全保障。
　　
　　二、VPN 市場趨勢
　　
　　在國外，VPN 早從 1997 年開始已經迅速發展起來，2001 年全球 VPN 市場近 13 億美元，預計到 2005 年將達到 29 億美金（Infonetics Research，2002）。在中國，雖然人們對 VPN 的定義還有些模糊不清，對 VPN 的安全性、服務質量（QoS）等方面存有疑慮，但互聯網和電子商務的快速發展使我們有理由相信，中國的 VPN 市場將逐漸熱起來。
　　
　　Gartner Group 曾預言到 2002 年 90% 的企業將利用 VPN 來聯結遠程分支機構和移動用戶；Infonetics Research 曾調查得出：到 2002 年全球企業將會有 67% 計劃實施端到端的 VPN；73% 計劃實施遠程訪問 VPN；27% 計劃實施 Extranet VPN。同時 Infonetics Research 根據調查，到 2002 年根據企業規模大小實施 VPN 技術的比例將達到：57% 的大型企業；55% 的中型企業；51% 的小型企業。
　　
　　三、當前國內現狀及安全隱患
　　
　　當前國內大多數企業用戶均采用租用線路方式實現企業內部之間通信，形成整個跨區域企業內部網絡基礎架構。針對企業的移動用戶或遠程訪問的請求，通常的做法是在企業內部創建龐大的 Modem Pool，遠程訪問用戶需要在外地長途撥號到企業總部來實現資源共享。
　　
　　企業現在在電信部門租用的幀中繼（Frame Relay）與 ATM 等數據網絡提供固定虛擬線路（PVC-Permanent Virtual Circuit）或采用 DDN 方式來連接需要通信的部門和分支機構，用戶當前對所謂的“專線”方式的安全性沒有太大質疑，因此在這些線路中傳遞信息時沒有考慮任何數據安全。但我們應該清楚認識到，所有這些基礎架構的權限掌握在別人的手中。如果企業用戶需要一些特殊的網絡服務，需要填寫許多的單據，再等上相當一段時間，才能享受到新的服務。更為重要的是兩端的終端設備不但價格昂貴，而且管理也需要一定的專業技術人員，無疑增加了企業運營成本，而且 DDN、幀中繼、ATM 數據網絡也不會像 Internet 那樣，可立即與世界上任何一個使用 Internet 網絡的單位連接。雖然是“專線”，但是我們依然應保持時刻的安全警惕，尤其是來自物理層的安全隱患：
　　
　　● 搭線竊聽：
　　企業租用的專線通常情況經過了大廈的布線機房到達就近的電話局然后經由電信部門實現網絡出口。犯罪分子為了獲取所需的情報，可能會搭線監聽通信線路，非法接收信息。
　　
　　● 電磁泄露：
　　網絡端口、傳輸線路和處理機都可能因屏蔽不嚴或未屏蔽而造成電磁泄露。通過偵截輻射的方法可以輕易得到許多重要的信息。
　　
　　四、VPN 將取代專線通信
　　
　　對于企業用戶來說，VPN 提供了安全、可靠的 Internet 訪問通道，為企業進一步發展提供了可靠的技術保障。而且 VPN 能提供專用線路類型服務，是方便快捷的企業私有網絡。企業甚至可以不必建立自己的廣域網維護系統，而將這一繁重的任務交由專業的 ISP 來完成。由于 VPN 的出現，用戶可以從以下幾方面獲益：
　　
　　1）VPN 最大優勢 —— 降低成本，投資回報
　　
　　VPN 可以立即且顯著地降低成本。當使用 Internet 時，實際上只需付本地電話費，卻收到了長途通信的效果。因此，借助 ISP 來建立 VPN，就可以節省大量的通信費用。此外，VPN 還使企業不必投入大量的人力和物力去安裝和維護昂貴的 WAN 設備和遠程訪問設備，這些工作都可以交給 ISP。VPN 使用戶降低以下的成本：
　　
　　● 移動用戶的通信成本。VPN 可以通過減少長途費或 800 費用來節省移動用戶的花費。
　　
　　● 租用線路成本。VPN 可以以每條連接的 40% 到 60% 的成本對租用線路進行控制和管理。對于租用國際線路的企業來說，這種節約是更為顯著。對于話音數據，節約金額會進一步增加。對國內的用戶來說，VPN 最大的吸引力在哪里？是價格。據估算，如果企業放棄租用專線而采用 VPN，其整個網絡的成本可節約 21%-45%，至于那些以電話撥號方式聯網存取數據的公司，采用 VPN 則可以節約通訊成本 50%-80%。
　　
　　● 主要設備成本。VPN 通過支持撥號訪問資源，使企業可以減少不斷增長的調制解調器費用。另外，用戶可以在單一的 WAN 接口中實現多種服務，從分支機構網絡互聯、商業伙伴的外聯網終端，本地提供高帶寬的線路連接到訪問服務提供者，因此，只需要極少的 WAN 接口和設備。由于 VPN 可以實現完全管理，并且能夠從中央進行基于策略的控制，因此可以大幅度地減少在安裝配置遠端網絡接口所需設備上的開銷。另外，由于 VPN 獨立于初始協議，這就使得遠程的接入用戶可以繼續使用原有設備，保護了用戶在現有硬件和軟件系統上的投資。
　　
　　我們把專線方式與其它接入方式作個比較，看看哪種更適合？
　　
　　當前國內專線費用表如下：
　　　
　　從上面兩個表比較，顯然采用寬帶接入方式不僅靈活方便，而且費用低廉。中國自從加入 WTO 后，電信數據服務已經面臨許多來自國內的競爭對手，今后還會有國外運營商踏上中國土地，對最終用戶來說，接入費用將越來越便宜；隨著 IT 技術飛速發展，寬帶接入技術也將不斷提高，相信不遠的將來百兆、千兆入戶將不再是夢想。而專線的地位將岌岌可危。
　　
　　2）實現網絡通信安全
　　
　　具有高度的安全性，對于現在的網絡是極其重要的。新的服務如在線銀行、在線交易都需要絕對的安全，而 VPN 以多種方式增強了網絡的智能和安全性。首先，它在隧道的起點，在權威的認證服務器上，提供對分布用戶的身份認證。另外，VPN 支持安全和加密協議，如 IPsec。
　　
　　3）怎樣實現端到端的 QoS
　　
　　使用 VPN，用戶會擔心其應用的 QoS，其實大可不必。相反，通過成熟的技術來對帶寬進行管理，會讓用戶感覺到事半功倍的效果。
　　
　　● 首先，利用寬帶接入，從傳輸率上來講本身就比租用線路要快。目前國內以太網接入的速率能夠達到10兆；ADSL 的速率能夠達到1兆。
　　
　　● 實現端到端的 QoS 控制：Check Point FloodGate-1 集成的區分服務（DiffServ）支持功能使服務提供商可以在 IP WAN 上為 VPN 和未加密的業務通信提供端到端的 QoS。用戶按照 DiffServ 標準來設定業務通信的優先級，FloodGate-1 使用戶 QoS 需求擴展到 WAN 上。“DiffServ”能夠被幾乎所有網絡設備廠商支持，當 VPN 流量在 Internet 上通過 ISP 時，用戶可以向該 ISP 申請該服務。這樣，當有不同“DiffServ”標記的流量在 Internet 上傳輸時，ISP 會自動根據“Diffserv”所設置的不同優先級進行處理，以保證重要的業務（例如：VPN 流量）其 QoS。
　　　
　　● IPSEC、MPLS 與“Diffserv”的集成：當前有些用戶在實現端到端的 QoS 的時候采用 MPLS 技術。MPLS 是網絡第二層的 QoS 實現技術，通常用于骨干網上的流量控制和 QoS 實現。被打了“DiffServ”標記的流量同樣可以在骨干網上基于 MPLS 技術來傳輸（如下圖）。這樣的集成同樣實現了端到端的 QoS 保證。
　　　
　　● Check Point 還支持 LLQ（Low Latency Queuing）技術：當在 VPN 網絡中傳遞基于對 QoS 要求更高的多媒體流量時，通過 LLQ 技術可以對每個包進行配置來保證其帶寬需求，這些配置參數包括：連續的比特率（CBR）和最大延時等。通過 LLQ 的配置可以對這些流量設置成為優先級最高的級別，充分保證端到端的 QoS。