VPN

　　现在很多连接都被称作VPN，CFCA也能够发放VPN证书。那么，一般所说的VPN到底是什么呢？

认识VPN
　　VPN（Virtual Private Ntwork）的中文名字叫做虚拟专用网，它指的是依靠ISP（Internet服务提供商）和其它NSP（网络服务提供商），在公用网络（包括互联网、帧中继网、ATM网等）中建立专用的数据通信网络的技术。在虚拟专用网中，任意两个节点之间的连接，并没有传统专用网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。
　　对于VPN的定义有很多说法，但是都基于这样一种思想：VPN利用公共网络基础设施，通过一定的技术手段，达到类似私有专网的数据安全传输。从定义上看，VPN首先是虚拟的，也就是说VPN并不是某个公司专有的封闭线路或者是租用某个网络服务商提供的封闭线路。但是，VPN同时又具有专线的数据传输功能，因为VPN 能够像专线一样在公共网络上处理自己公司的信息。
　　VPN在类型与应用方式上有访问虚拟专网（Access VPN）、企业内部虚拟专网（Intranet VPN）和企业外部虚拟专网（Extranet VPN）之分。

VPN技术比较
　　从总体来说，VPN技术非常复杂，它涉及到通信技术、密码技术和现代认证技术，是一项交叉科学。目前，VPN主要包含隧道技术与安全技术。

*** 隧道技术 ***
?隧道技术对于构建 VPN 来说，是一个关键性技术。它的基本过程是在源局域网与公网的接口处，将数据作为负载封装在一种可以在公网上传输的数据格式的包中，这个包被传送到目的地后，在目的局域网与公网的接口处将数据解封装，取出负载。这样，被封装的数据包在互联网上传递时所经过的逻辑路径被称为“隧道”。隧道技术是指包括数据封装、传输和解包在内的全过程。有的文献中也把隧道技术称为隧道封装技术，这是抓住了这项技术的本质。
组成一个隧道的基本部件为：一个隧道启动器（TI）、一个路由网络、一个可选的隧道交换机、一个或多个隧道终结器（TT）。
　　隧道的启动和终止可由许多网络设备和软件来实现。例如，一个隧道可由一台位于 ISP服务点的适用于VPN的接入集中器建立，也可由一台位于办公局域网中的适用于VPN的访问路由器来建立，还可由一台带有模拟的PC调制解调卡和装有适用于VPN的拨号软件的便携机来建立。一个隧道可由ISP或NSP的网络接入路由器的VPN网关终止，也可由隧道终结器或企业的交换机终止。
　　此外，通常还要有一台或多台安全服务器。VPN除了具有常规的防火墙和地址转换功能，还具有数据加密、认证和授权功能，隧道设备通过与安全服务器进行通信来实现这些功能。安全服务器通常也提供带宽和隧道终结节点信息，在某些情况下还可以提供网络规则信息和服务等级信息。

目前VPN隧道协议有四种。
　　点对点隧道协议PPTP （Point to Point Tunneling Protocol）目前，PPTP协议基本已被淘汰，不再使用在VPN产品中。
　　第二层隧道协议L2TP（Layer 2 Tunneling Protocol） 该协议是国际标准隧道协议。它结合了PPTP协议以及第二层转发L2F（Layer 2 Forwarding，二层转发协议）协议的优点，能以隧道方式使PPP包通过各种网络协议，包括ATM、SONET和帧中继。但是，L2TP没有任何加密措施，更多的是和IPSec协议结合使用，提供隧道验证。
　　IPSec协议 （IPSecurity）该协议不是一个单独的协议，它给出了应用于IP层上网络数据安全的一整套体系结构。它包括网络安全协议、AH (Authentication Header)协议和ESP (Encapsulating Security Payload)协议、密钥管理协议IKE (Internet Key Exchange)协议和用于网络验证及加密的一些算法等。IPSec 规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换，向上提供了访问控制、数据源验证、数据加密等网络安全服务。
现在一种发展趋势，是将L2TP和IPSec结合起来，即用L2TP作为隧道协议，用IPSec协议保护数据。目前，市场上大部分VPN都采用这类技术。
　　SOCKS v5协议 该协议工作在OSI（Open System Internet）模型中的第五层——会话层，可作为建立高度安全的VPN基础。SOCKS v5协议的优势在于访问控制，因此适用于安全性较高的VPN。 SOCKS v5现在被IETF（互联网工程任务组），建议作为建立VPN的标准。

*** 安全技术 ***
VPN常常需要在不安全的互联网中通信，通信的内容可能涉及企业的机密数据，因此其安全性非常重要。VPN中的安全技术通常由加密、认证和密钥交换与管理技术组成。
　　认证技术 认证技术包括数据完整性验证和数据源身份认证。在IPSec中，数据完整性通过Hash函数产生的校验来保证。数据源身份认证通过在计算验证时加入一个共享密钥来实现。也可以用其他常用的数据源身份认证技术，如：简单口令（包括PAP方式和CHAP方式等）、动态口令和数字证书等。
　　加密技术 IPSec通过ISAKMP/IKE/Oakley 协商确定几种可选的数据加密算法，如DES（Data Encryption Stamdard）、3DES等。DES密钥长度为56位，容易被破译，3DES使用三重加密增加了安全性。
　　密钥交换与管理 VPN中密钥的分发与管理非常重要。密钥的分发有两种方法：一种是通过手工配置；另一种采用密钥交换协议动态分发。手工配置的方法由于密钥更新困难，只适合于简单网络的情况；密钥交换协议采用软件方式动态生成密钥，适合于复杂网络的情况且密钥可快速更新，可以显著提高VPN的安全性。目前主要的密钥交换与管理标准有IKE（互联网密钥交换）、SKIP（互联网简单密钥管理）和Oakley。

VPN应用实例
　　北京有一家电力建设公司共有30多家分公司，700多台计算机。公司原有的网络系统比较复杂，总公司与分支机构、甲方、监理之间是通过拨号方式连接，每月费用在2万元以上；而受上网速度的限制，公司内部的文件处理速度特别慢，导致公司的办公业务也受到影响，同时还会造成公司数据不能共享。另外，网络安全也得不到有效地保证。为此，该公司决定对原有网络进行改造，选择了一套基于ADSL的VPN解决方案。由此，该公司实现了各个节点之间的VPN互联；同时，实现了总部与10个分支机构，共500多台计算机的互联。试运行结果表明，每月费用从原来的2万多元下降至3500元。与此同时，公司办公可以做到及时发布信息，实现数据共享，还可以方便地进行网络维护。