短短兩三年時間，VPN已從初出茅廬的業(yè)界新人迅速竄升為當紅小生，除其自然狀態(tài)下的茁壯成長外，市場的需求以及技術和產(chǎn)品的定向刺激，都使得如今的IT市場上VPN產(chǎn)品真可謂各有來頭、琳瑯滿目。

VPN實現(xiàn)的是一塊更為廣袤的“私密空間”和一條更為隱秘的“安全通道”。

隨著網(wǎng)絡應用的遍地開花，安全技術逐漸成為VPN產(chǎn)品的一個拳頭支撐，基于IPSec和SSL協(xié)議的不同VPN產(chǎn)品也正表現(xiàn)著VPN的不同安全特色……

在如今的網(wǎng)絡時代，信息共享正在被賦予越來越豐富的外延，諸如本地信息的遠程化、遠程資源的本地化等，但凡能通過網(wǎng)絡方式實現(xiàn)的，人們都樂此不疲地琢磨并嘗試著。

VPN（虛擬專用網(wǎng)絡）作為一種虛擬通道技術，其最初的設想只是為了滿足遠程訪問的專用接入需求，并且能夠避開IP地址資源有限的尷尬，而最終大量產(chǎn)品的市場需求以及后續(xù)VPN技術的不斷延伸發(fā)展，也足以說明網(wǎng)絡信息化對這一專用通道技術的強烈呼喚。

伴隨著社會本身的進步以及信息化進程的大副進展，各種網(wǎng)絡應用隨即接踵而至，越來越多的安全需求成為VPN技術的關鍵。

總覽VPN的安全實現(xiàn)

在原先維持網(wǎng)絡更多虛擬空間的前提下，如何保證接入用戶的合法性、保證網(wǎng)絡訪問的安全性以及系統(tǒng)本身的安全可靠性等等，都成為VPN需要面對的問題。

首先，VPN能保障哪些安全呢？很容易想象，VPN的實現(xiàn)技術和方式有很多，但是所有的VPN產(chǎn)品都應該保證通過公用網(wǎng)絡平臺傳輸數(shù)據(jù)的專用性和安全性。如在非面向連接的公用IP網(wǎng)絡上建立一個隧道，利用加密技術對經(jīng)過隧道傳輸?shù)臄?shù)據(jù)進行加密，以保證數(shù)據(jù)的私有性和安全性。此外，還需要防止非法用戶對網(wǎng)絡資源或私有信息的訪問。

其次，VPN還應當為不同網(wǎng)絡的數(shù)據(jù)提供不同等級的服務質(zhì)量保證（QoS）。如對移動辦公的用戶，隨意自主的連接性和信號的覆蓋性就是VPN服務質(zhì)量保證的一個主要因素；而當分支機構某用戶通過VPN專有網(wǎng)對總部系統(tǒng)網(wǎng)絡進行訪問的話，整個總部系統(tǒng)的網(wǎng)絡需要保持良好的穩(wěn)定性。

此外，對于帶寬和流量的控制，則是對網(wǎng)絡優(yōu)化的一個重要方面。充分有效地利用有限的廣域網(wǎng)資源，保證重要數(shù)據(jù)的有效且可靠的帶寬，將是關系網(wǎng)絡整體穩(wěn)定性的一個重要指標。通過流量預測與流量控制策略，可以按照優(yōu)先級實現(xiàn)帶寬資源的合理配置和管理，從而凈化所處的網(wǎng)絡。

IPSec VPN：端對端的安全

隧道技術是最典型、也是應用最為廣泛的VPN技術，通過匹配四層網(wǎng)絡模型中的不同層協(xié)議，可以生成不同的VPN技術及產(chǎn)品，如IPSec VPN就是第三層隧道協(xié)議匹配IP層（第三層）的IPSec協(xié)議生成的，而SSL VPN則是第四層隧道協(xié)議匹配應用層（第四層）的SSL協(xié)議生成的，這兩種VPN也是當前業(yè)內(nèi)最為流行的VPN技術及產(chǎn)品。

IPSec工作于網(wǎng)絡層，是一個開放的結(jié)構，定義在IP數(shù)據(jù)包格式中，不同的加密算法都可以利用IPSec定義的體系結(jié)構在網(wǎng)絡數(shù)據(jù)傳輸過程中實施。IPSec協(xié)議可以設置成在兩種模式下運行：一種是隧道（tunnel）模式，一種是（transport）模式。隧道模式下，IPSec把IPv4數(shù)據(jù)包封裝在安全的IP幀中。傳輸模式是為了保護端到端的安全性，即在這種模式下不會隱藏路由信息。IPSec幾乎可以為所有的應用提供訪問，包括客戶端/服務器模式和某些傳統(tǒng)的應用，但是由于基于網(wǎng)絡層，不能穿越通常的NAT、防火墻。

IPSec為Internet業(yè)務提供最強的安全功能，與其他隧道和安全技術相比，其優(yōu)越性在于它的安全性和互操作性，但是管理相對復雜。IPSec得到各廠商廣泛支持，非常適合于組建遠程網(wǎng)絡互聯(lián)VPN。如果需要相對安全、保密的通道、網(wǎng)絡流量有限、對業(yè)務實時性要求不高，應首選IPSec建立VPN。

IPSec VPN是基于IPSec協(xié)議的VPN產(chǎn)品，由IPSec協(xié)議提供隧道安全保障。IPSec是一種由IETF設計的端到端的確保基于IP通訊的數(shù)據(jù)安全性的機制。IPSec隧道模式具有以下特點：只能支持IP數(shù)據(jù)流；工作在IP棧的底層，因此，應用程序和高層協(xié)議可以繼承IPSEC的行為；由一個安全策略（一整套過濾機制）進行控制。安全策略按照優(yōu)先級的先后順序創(chuàng)建可供使用的加密和隧道機制以及驗證方式。當需要建立通訊時，雙方機器執(zhí)行相互驗證，然后協(xié)商使用何種加密方式。此后的所有數(shù)據(jù)流都將使用雙方協(xié)商的加密機制進行加密，然后封裝在隧道包頭內(nèi)。

目前防火墻產(chǎn)品中集成的VPN使用較多的是IPSec 協(xié)議，在中國其發(fā)展處于蓬勃狀態(tài)。