■ 證書
　　使用對稱加密時，發(fā)送和接收方都使用共享的加密密鑰。必須在進行加密通訊之前，完成密鑰的分布。使用非對稱加密時，發(fā)送方使用一個專用密鑰加密信息或數(shù)字簽名，接收方使用公用密鑰解密信息。公用密鑰可以自由分布給任何需要接收加密信息或數(shù)字簽名信息的一方，發(fā)送方只要保證專用密鑰的安全性即可。
　　為保證公用密鑰的完整性，公用密鑰隨證書一同發(fā)布。證書（或公用密鑰證書）是一種經(jīng)過證書簽發(fā)機構(gòu)（CA）數(shù)字簽名的數(shù)據(jù)結(jié)構(gòu)。CA使用自己的專用密鑰對證書進行數(shù)字簽名。如果接受方知道CA的公用密鑰，就可以證明證書是由CA簽發(fā)，因此包含可靠的信息和有效的公用密鑰。
　　總之，公用密鑰證書為驗證發(fā)送方的身份提供了一種方便，可靠的方法。IPSec可以選擇使用該方式進行端到端的驗證。RAS可以使用公用密鑰證書驗證用戶身份。
　　
　　■ 擴展驗證協(xié)議（EAP）
　　如前文所述，PPP只能提供有限的驗證方式。EAP是由IETF提出的PPP協(xié)議的擴展，允許連接使用任意方式對一條PPP連接的有效性進行驗證。EAP支持在一條連接的客戶和服務(wù)器兩端動態(tài)加入驗證插件模塊。
　　
　　■ 交易層安全協(xié)議（EAP-TLS）
　　EAP-TLS已經(jīng)作為提議草案提交給IETF，用于建立基于公用密鑰證書的強大的驗證方式。使用EAP-TLS，客戶向撥入服務(wù)器發(fā)送一份用戶方證書，同時，服務(wù)器把服務(wù)器證書發(fā)送給客戶。用戶證書向服務(wù)器提供了強大的用戶識別信息；服務(wù)器證書保證用戶已經(jīng)連接到預(yù)期的服務(wù)器。
　　用戶方證書可以被存放在撥號客戶PC中，或存放在外部智能卡。無論那種方式，如果用戶不能提供沒有一定形式的用戶識別信息（PIN號或用戶名和口令），就無法訪問證書。
　　
　　■ IPSEC
　　IPSEC是一種由IETF設(shè)計的端到端的確保基于IP通訊的數(shù)據(jù)安全性的機制。IPSEC支持對數(shù)據(jù)加密，同時確保數(shù)據(jù)的完整性。按照IETF的規(guī)定，不采用數(shù)據(jù)加密時，IPSEC使用驗證包頭（AH）提供驗證來源驗證（source authentication)，確保數(shù)據(jù)的完整性；IPSEC使用封裝安全負載（ESP）與加密一道提供來源驗證，確保數(shù)據(jù)完整性。IPSEC協(xié)議下，只有發(fā)送方和接受方知道秘密密鑰。如果驗證數(shù)據(jù)有效，接受方就可以知道數(shù)據(jù)來自發(fā)送方，并且在傳輸過程中沒有受到破壞。
　　可以把IPSEC想象成是位于TCP/IP協(xié)議棧的下層協(xié)議。該層由每臺機器上的安全策略和發(fā)送、接受方協(xié)商的安全關(guān)聯(lián)（security association)進行控制。安全策略由一套過濾機制和關(guān)聯(lián)的安全行為組成。如果一個數(shù)據(jù)包的IP地址，協(xié)議，和端口號滿足一個過濾機制，那么這個數(shù)據(jù)包將要遵守關(guān)聯(lián)的安全行為。
　　
　　■ 協(xié)商安全關(guān)聯(lián)（NegotiatedSecurityAssociation）
　　上述第一個滿足過濾機制的數(shù)據(jù)包將會引發(fā)發(fā)送和接收方對安全關(guān)聯(lián)進行協(xié)商。ISAKMP/OAKLEY是這種協(xié)商采用的標準協(xié)議。在一個ISAKMP/OAKLEY交換過程中，兩臺機器對驗證和數(shù)據(jù)安全方式達成一致，進行相互驗證，然后生成一個用于隨后的數(shù)據(jù)加密的個共享密鑰。
　　
　　■ 驗證包頭
　　通過一個位于IP包頭和傳輸包頭之間的驗證包頭可以提供IP負載數(shù)據(jù)的完整性和數(shù)據(jù)驗證。驗證包頭包括驗證數(shù)據(jù)和一個序列號，共同用來驗證發(fā)送方身份，確保數(shù)據(jù)在傳輸過程中沒有被改動，防止受到第三方的攻擊。IPSEC驗證包頭不提供數(shù)據(jù)加密；信息將以明文方式發(fā)送。
　　
　　■ 封裝安全包頭
　　為了保證數(shù)據(jù)的保密性并防止數(shù)據(jù)被第3方竊取，封裝安全負載（ESP）提供了一種對IP負載進行加密的機制。另外，ESP還可以提供數(shù)據(jù)驗證和數(shù)據(jù)完整性服務(wù)；因此在IPSEC包中可以用ESP包頭替代AH包頭。
　　
　　■ 用戶管理
　　在選擇VPN技術(shù)時，一定要考慮到管理上的要求。一些大型網(wǎng)絡(luò)都需要把每個用戶的目錄信息存放在一臺中央數(shù)據(jù)存儲設(shè)備中（目錄服務(wù)）便于管理人員和應(yīng)用程序?qū)π畔⑦M行添加，修改和查詢。每一臺接入或隧道服務(wù)器都應(yīng)當能夠維護自己的內(nèi)部數(shù)據(jù)庫，存儲每一名用戶的信息，包括用戶名，口令，以及撥號接入的屬性等。但是，這種由多臺服務(wù)器維護多個用戶帳號的作法難以實現(xiàn)及時的更新，給管理帶來很大的困難。因此，大多數(shù)的管理人員采用在目錄服務(wù)器，主域控制器或RADIUS服務(wù)器上建立一個主帳號數(shù)據(jù)庫的方法，進行有效管理。
　　
　　■ RAS支持
　　微軟的遠程接入服務(wù)器（RAS）使用域控制器或RADIUS服務(wù)器存儲每名用戶的信息。因為管理員可以在單獨的數(shù)據(jù)庫中管理用戶信息中的撥號許可信息，所以使用一臺域控制器能夠簡化系統(tǒng)管理。
　　微軟的RAS最初被用作撥號用戶的接入服務(wù)器。現(xiàn)在，RAS可以作為PPTP和L2TP協(xié)議的隧道服務(wù)器（NT5將支持L2TP）。這些第2層的VPN方案繼承了已有的撥號網(wǎng)絡(luò)全部的管理基礎(chǔ)。
　　
　　■ 擴展性
　　通過使用循環(huán)DNS在同屬一個安全地帶（securityperimeter）的VPN隧道服務(wù)器之間進行請求分配，可以實現(xiàn)容余和負荷平衡。一個安全地帶只具有一個對外域名，但擁有多個IP地址，負荷可以在所有的IP地址之間進行任意的分配。所有的服務(wù)器可以使用一個共享數(shù)據(jù)庫，如NT域控制器驗證訪問請求。
　　
　　■ RADIUS
　　遠程驗證用戶撥入服務(wù)（RADIUS）協(xié)議是管理遠程用戶驗證和授權(quán)的常用方法。RADIUS是一種基于UDP協(xié)議的超輕便（lightweight）協(xié)議。RADIUS服務(wù)器可以被放置在Internet網(wǎng)絡(luò)的任何地方為客戶NAS提供驗證（包括PPP PAP，CHAP，MSCHAP和EAP）。另外，RADIUS服務(wù)器可以提供代理服務(wù)將驗證請求轉(zhuǎn)發(fā)到遠端的RADIUS服務(wù)器。例如，ISP之間相互合作，通過使用RADIUS代理服務(wù)實現(xiàn)漫游用戶在世界各地使用本地ISP提供的撥號服務(wù)連接Internet和VPN。如果ISP發(fā)現(xiàn)用戶名不是本地注冊用戶，就會使用RADIUS代理將接入請求轉(zhuǎn)發(fā)給用戶的注冊網(wǎng)絡(luò)。這樣企業(yè)在掌握授權(quán)權(quán)利的前提下，有效的使用ISP的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，使企業(yè)的網(wǎng)絡(luò)費用開支實現(xiàn)最小化。
　　
　　■ 記費，審計和報警
　　為有效的管理VPN系統(tǒng)，網(wǎng)絡(luò)管理人員應(yīng)當能夠隨時跟蹤和掌握以下情況：系統(tǒng)的使用者，連接數(shù)目，異常活動，出錯情況，以及其它可能預(yù)示出現(xiàn)設(shè)備故障或網(wǎng)絡(luò)受到攻擊的現(xiàn)象。日志記錄和實時信息對記費，審計和報警或其它錯誤提示具有很大幫助。例如，網(wǎng)絡(luò)管理人員為了編制帳單數(shù)據(jù)需要知道何人在使用系統(tǒng)以及使用了多長時間。異常活動可能預(yù)示著存在對系統(tǒng)的不正確使用或系統(tǒng)資源出現(xiàn)不足。對設(shè)備進行實時的監(jiān)測可以在系統(tǒng)出現(xiàn)問題時及時向管理員發(fā)出警告。一臺隧道服務(wù)器應(yīng)當能夠提供以上所有信息以及對數(shù)據(jù)進行正確處理所需要的事件日志，報告和數(shù)據(jù)存儲設(shè)備。
　　NT4.0在RAS中提供了對記費，審計和報警的支持。RADIUS協(xié)議對呼叫-記費請求（call-accountingrequest)進行了規(guī)定。當RAS向RADIUS發(fā)送呼叫-記費請求后由后者建立記費記錄分別記錄呼叫開始，結(jié)束以及預(yù)定中斷的情況。
　　
　　■ 結(jié)論
　　如本文所述，Windows系統(tǒng)自帶的VPN服務(wù)允許用戶或企業(yè)通過公共或?qū)Ｓ镁W(wǎng)絡(luò)與遠端服務(wù)器，分支機構(gòu)，或其他公司建立安全和可靠的連接。雖然上述通訊過程發(fā)生公共互聯(lián)網(wǎng)絡(luò)上，但是用戶端如同使用專用網(wǎng)絡(luò)進行通訊一樣建立起安全的連接。使用Windows系統(tǒng)的VPN技術(shù)可以解決在當今遠程通訊量日益增大，企業(yè)全球運作分布廣泛的情況下，員工需要訪問中央資源，企業(yè)相互之間必須能夠進行及時和有效的通訊的問題。