目前，越來越多的企業(yè)正在尋求靈活安全的廣域通信方式。在Internet連接和基于IP網(wǎng)絡(luò)錯(cuò)綜復(fù)雜的環(huán)境下，這些新的通信需求已經(jīng)超出了傳統(tǒng)網(wǎng)絡(luò)解決方案的處理能力?；贗P的虛擬專用網(wǎng)(VPN)解決方案成為希望在全球連通的公司的自然之選。分析人員預(yù)測，到2003年，商業(yè)客戶每年將在VPN設(shè)備和服務(wù)中支出超過140億美元。 VPN定義為“采用加密和認(rèn)證技術(shù)，在公共網(wǎng)絡(luò)上建立安全專用隧道的網(wǎng)絡(luò)”。隨著IP安全標(biāo)準(zhǔn)的問世和無所不在的IP網(wǎng)，VPN現(xiàn)在已經(jīng)成為大多數(shù)企業(yè)可行的備選方案。
一、VPN實(shí)現(xiàn)方式
VPN有以下幾種實(shí)現(xiàn)方式：
1．自行管理。企業(yè)擁有和全面管理基于Internet的VPN。這種方法為企業(yè)提供了靈活性，使其能夠控制VPN的部署和管理。但是，存在著組網(wǎng)范圍窄、擴(kuò)充能力弱、基礎(chǔ)設(shè)施必須支持全球電子商務(wù)以及需要企業(yè)一周七天、全天24小時(shí)的管理服務(wù)等問題，這些問題通常使企業(yè)不愿意投資采用。
2．全面外包。這是一種可以由一系列合作伙伴實(shí)現(xiàn)的管理服務(wù)，包括Internet服務(wù)供應(yīng)商(ISP)和安全集成合作伙伴。通過這種方式，公司可以迅速部署、簡便實(shí)現(xiàn)全球擴(kuò)充，沒有日常的網(wǎng)絡(luò)管理問題。
3．混合或共享管理方法。合作伙伴負(fù)責(zé)基礎(chǔ)設(shè)施部署和管理的主要部分，而企業(yè)則對策略定義和安全管理的關(guān)鍵方面保持控制能力。
二、VPN的發(fā)展趨勢：外包
隨著VPN市場的加速發(fā)展，一個(gè)重要趨勢是轉(zhuǎn)向外包。部署這些網(wǎng)絡(luò)的公司正選擇把VPN部署和維護(hù)工作外包給Internet服務(wù)供應(yīng)商(ISP)、應(yīng)用服務(wù)供應(yīng)商(ASP)和其他連接供應(yīng)商。外包的動因有：構(gòu)建和運(yùn)行全球網(wǎng)絡(luò)的成本問題、希望把重點(diǎn)放在核心能力上、改善網(wǎng)絡(luò)性能等等。
1．外包給企業(yè)帶來如下好處
（1）靈活性和擴(kuò)充性: 需要在VPN服務(wù)中增加新站點(diǎn)或用戶時(shí)，只需服務(wù)供應(yīng)商安裝一條帶有用戶端設(shè)備(CPE)或安全客戶端軟件的接入鏈路。服務(wù)供應(yīng)商負(fù)責(zé)所需的任何站點(diǎn)和主干級開通工作。最優(yōu)的VPN設(shè)計(jì)只需通過一條連接實(shí)現(xiàn)專用Intranet、半專用Extranet和公共Internet接入。這種整合能力使企業(yè)節(jié)約了成本，同時(shí)也給服務(wù)供應(yīng)商帶來了優(yōu)勢，因?yàn)榉?wù)供應(yīng)商可以在當(dāng)前專用網(wǎng)絡(luò)和公共網(wǎng)絡(luò)邊界的內(nèi)部和之間低成本擴(kuò)大服務(wù)。
（2）迅速部署和觸及全球：VPN 地理覆蓋范圍可以簡便地進(jìn)行擴(kuò)展，連接世界各地的個(gè)人和多用戶辦公室，同時(shí)支持流行的應(yīng)用和協(xié)議。企業(yè)通過利用服務(wù)供應(yīng)商的主干，而不是構(gòu)建自己的主干網(wǎng)，把網(wǎng)絡(luò)擴(kuò)展到內(nèi)部有限資源之外，如Internet上。
（3）降低運(yùn)營成本: 管理型端到端VPN服務(wù)可以提供全面的服務(wù)質(zhì)量(QoS)和服務(wù)水平協(xié)議(SLA)性能，支持要求最苛刻的商業(yè)應(yīng)用。通過利用外包合作伙伴的專業(yè)知識及專用資源，企業(yè)不必再招聘技術(shù)專家。
2．外包同樣給服務(wù)供應(yīng)商帶來許多好處
（1）擴(kuò)大收入來源：增加了虛擬主機(jī)、應(yīng)用托管和電子商務(wù)支持等增值服務(wù)。
（2）迅速部署：由于不需改變現(xiàn)有的核心網(wǎng)絡(luò)，因此可以迅速部署新的基于CPE的服務(wù)，提高市場占有率。
（3）提供差別化服務(wù)：下一代功能如QoS和識別SLA的路由和交換技術(shù)，將給服務(wù)供應(yīng)商提供競爭優(yōu)勢。
（4）調(diào)整與客戶的戰(zhàn)略關(guān)系：由于服務(wù)供應(yīng)商提供的是增值服務(wù)而不是帶寬，服務(wù)供應(yīng)商和客戶將建立起長期的關(guān)系。
三、VPN涵蓋的功能和標(biāo)準(zhǔn)
由于VPN產(chǎn)品把機(jī)密的數(shù)據(jù)和網(wǎng)絡(luò)資源與不友好的網(wǎng)絡(luò)分隔開來，因此它在任何地方都必須像防火墻一樣強(qiáng)健。強(qiáng)大的認(rèn)證、密碼、X.509v3數(shù)字證書和 ICS認(rèn)證的防火墻功能確保VPN能夠保護(hù)數(shù)據(jù)的機(jī)密性。VPN安全策略是基于標(biāo)準(zhǔn)的，這些標(biāo)準(zhǔn)非常強(qiáng)健、穩(wěn)定。
1．服務(wù)水平協(xié)議(SLA)。是端到端VPN解決方案的一種關(guān)鍵功能，它和網(wǎng)絡(luò)安全一樣重要。SLA提供了具體的性能標(biāo)準(zhǔn)，確保VPN能夠支持可靠的商業(yè)服務(wù)。同時(shí)，為網(wǎng)絡(luò)性能規(guī)劃和應(yīng)用提供了寶貴的數(shù)據(jù)。SLA應(yīng)涵蓋各條鏈路及所有客戶站點(diǎn)之間的整體性能。
2．服務(wù)質(zhì)量(QoS)功能。服務(wù)質(zhì)量對企業(yè)要求的優(yōu)先通信和管理接入VPN至關(guān)重要。
四、選用VPN方案時(shí)應(yīng)注意的問題
選用VPN方案時(shí)要注意基于用戶端的VPN服務(wù)和基于網(wǎng)絡(luò)的VPN服務(wù)之間的差別。前者包括CPE，實(shí)現(xiàn)真正的端到端安全和性能管理。后者則主要是使用服務(wù)供應(yīng)商業(yè)務(wù)點(diǎn)(POP)中的設(shè)備開通，在最后一公里上不能提供同樣的保障。
基于用戶端的解決方案應(yīng)注意以下幾個(gè)關(guān)鍵問題：
1．集中化策略管理。這是構(gòu)建大規(guī)模VPN解決方案的關(guān)鍵。通過全面分布VPN配置和安全策略實(shí)現(xiàn)集中控制，策略管理簡化了VPN開通和管理工作。供應(yīng)商網(wǎng)絡(luò)成為一個(gè)一體化系統(tǒng)，而不是不同產(chǎn)品拼湊在一起的集合，它能夠?yàn)榫W(wǎng)絡(luò)上任何地方的任何靈活服務(wù)集中提供支持。
2．強(qiáng)大的安全和認(rèn)證。VPN解決方案與防火墻一樣關(guān)鍵。服務(wù)平臺應(yīng)能夠緊密地與其他企業(yè)防火墻和入侵檢測系統(tǒng)實(shí)現(xiàn)同步管理。平臺中應(yīng)包括一個(gè)緊密集成的經(jīng)過ICSA認(rèn)證的防火墻。為了實(shí)現(xiàn)用戶認(rèn)證功能，平臺應(yīng)支持SecurID令牌或X.509數(shù)字證書。應(yīng)避免采用通用操作系統(tǒng)作為VPN設(shè)備的基礎(chǔ)，因?yàn)檫@些操作系統(tǒng)可能充滿了安全漏洞。
3．全面集成。由于VPN是保證商業(yè)合作伙伴和企業(yè)客戶安全通信的網(wǎng)絡(luò)，因此產(chǎn)品線中必須全面集成和管理一套互補(bǔ)的技術(shù)和設(shè)備。VPN可以使用專用VPN 路由器構(gòu)建，也可以把VPN網(wǎng)關(guān)附加連接在現(xiàn)有的路由器上。下一代VPN路由器將是專用的，提供緊密集成的IP路由、安全、防火墻和帶寬管理功能。 VPN網(wǎng)關(guān)通常是一種低成本設(shè)備，它將在過去安裝的IP網(wǎng)絡(luò)之上，疊加提供隧道加密和防火墻服務(wù)等功能。
4．符合標(biāo)準(zhǔn)。安全VPN采用的標(biāo)準(zhǔn)是網(wǎng)際安全協(xié)議(IPSec)，這是一項(xiàng)Internet工程任務(wù)小組(IETF)標(biāo)準(zhǔn)，并不是所有供應(yīng)商都部署了帶有128位IPSec加密技術(shù)的管理型VPN服務(wù)。
5．多個(gè)認(rèn)證中心(CA)支持。企業(yè)不應(yīng)局限于專有的認(rèn)證中心(CA)或認(rèn)證注冊協(xié)議，通過支持多個(gè)CA，如Entrust和VeriSign，網(wǎng)絡(luò)管理員可以選擇最優(yōu)秀的公共密鑰基礎(chǔ)設(shè)施(PKI)技術(shù)。
6．硬件加速加密。執(zhí)行加密和解密要求密集型處理能力，特別是在執(zhí)行自動密鑰交換時(shí)。對T-3之類的高速應(yīng)用，服務(wù)平臺應(yīng)具有硬件加速加密功能。低速應(yīng)用可以運(yùn)行基于軟件的加密功能。
7．?dāng)U充能力。大多數(shù)企業(yè)面臨著不斷變化的網(wǎng)絡(luò)需求，包括更快速的連接和越來越多的連接位置。實(shí)現(xiàn)VPN解決方案后，不必更換所有硬件和軟件。VPN體系結(jié)構(gòu)至少應(yīng)支持?jǐn)?shù)十臺VPN網(wǎng)關(guān)和數(shù)千個(gè)VPN客戶端。
五、構(gòu)建端到端安全VPN
朗訊的安全VPN系列包括下述組成部分：
1. 策略管理。安全管理服務(wù)器(LSMS)和QVPN Builder是一種集成化集中式的VPN策略管理軟件，也是朗訊安全VPN系列的核心。LSMS為遠(yuǎn)程接入應(yīng)用而優(yōu)化，可以處理公共密鑰基礎(chǔ)設(shè)施、接合 RADIUS和SecurID用戶認(rèn)證服務(wù)器、管理VPN配置文件、防火墻規(guī)則和QoS策略定義。LSMS和QVPN Builder相集成，可以管理數(shù)百個(gè)VPN網(wǎng)關(guān)、Access Point、Pipeline和SuperPipe VPN路由器及數(shù)千個(gè)IPSec Client，它一次可以管理最多2.4萬條VPN隧道。
2．VPN防火墻。這為IP網(wǎng)絡(luò)提供了一種經(jīng)濟(jì)的VPN重疊方法，包括防火墻和硬件加密服務(wù)。VPN防火墻模塊提供了專用的平臺，它采用硬件加密技術(shù)，可以保持75Mbps的3DES吞吐量，支持最多2000條同步隧道，它還支持高度機(jī)密的企業(yè)內(nèi)部網(wǎng)使用的高級安全特性，包括ICSA認(rèn)證和NSA認(rèn)證的防火墻及強(qiáng)大的認(rèn)證和接入控制功能。
3．VPN客戶端。朗訊IPSec客戶端軟件支持RADIUS或SecurID基于一次性令牌的認(rèn)證系統(tǒng)。在IPSec客戶端連接到安全VPN系列中的任何網(wǎng)關(guān)時(shí)，它自動透明地認(rèn)證用戶身份，執(zhí)行安全策略?？梢约泄芾砼渲?，確保通過LSMS嚴(yán)格地實(shí)施接入權(quán)限。
4．VPN路由器。Access Point和Pipeline/SuperPipe路由器把路由、帶寬管理、 VPN和防火墻功能融合在一個(gè)綜合服務(wù)平臺中。這些平臺可以部署在用戶端，也可以部署在服務(wù)供應(yīng)商的業(yè)務(wù)點(diǎn)，同時(shí)為任何規(guī)模的站點(diǎn)間應(yīng)用和遠(yuǎn)程接入應(yīng)用提供路由器和網(wǎng)關(guān)功能。
六、結(jié)語
從根本上看，管理型VPN服務(wù)擴(kuò)大了企業(yè)控制的范圍。在混合VPN配置中，部署和管理VPN策略定義對公司過于復(fù)雜，公司不能有效地內(nèi)部處理這些問題，因此外包是許多企業(yè)最好的選擇。