一、什么是VPN技術?

　　VPN的全稱是Virtual Private Network，翻譯過來稱為虛擬專用網絡。其主要作用就是利用公用網絡(主要是互聯網)將多個私有網絡或網絡節點連接起來。通過公用網絡進行連接可以大大降低通信的成本。

二、VPN技術的特點

　　1)安全保障

　　雖然實現VPN的技術和方式很多，但所有的VPN均應保證通過公用網路平臺傳輸數據的專用性和安全性。在非面向連接的公用IP網絡上建立一個邏輯的、點對點的連接，稱之為建立一個隧道，可以利用加密技術對經過隧道傳輸的數據進行加密，以保證數據僅被指定的發送這和接受者了解，從而保證了數據的私有性和安全性。在安全方面，由于VPN直接構建在公用網上使操作變的簡單、方便與靈活，但同時其安全問題也更為突出。企業必須確保其VPN上傳送的數據不被攻擊者窺視和篡改，并且要防止非法用戶對網絡資源或私有信息的訪問。ExtranetVPN將企業網擴展到合作伙伴和客戶，對安全性提出了更高的要求。

　　2)服務質量保證(Qos)

　　VPN網應當為企業數據提供不同等級的服務質量保證，不同的用戶和業務對服務質量保證的要求差別較大。如移動辦公用戶，提供廣泛地連接和服該行時保證VPN服務一個主要因素;而對于擁有眾多分支機構的專線VPN網絡，交互式的內部企業網應用則要求網絡能提供良好的穩定性;對于其它應用(如視頻等)則對網絡提出了更明確的要求，如網絡時延及誤碼率等，所有以上網絡應用均要求網絡根據需要提供不同等級的服務質量，在網絡優化方面，構建VPN的另一重要需求是充分有效地利用有限的廣域網資源，為重要數據提供可靠的帶寬。廣域網流量的不確定性使其帶寬的利用率很低，在流量高峰時引起網絡阻塞，產生網絡瓶頸，使實時性要求高的數據得不到及時發送;而在流量低谷時又造成大量的網絡帶寬空閑。Qos通過流量預測與流量控制策略，可以按照優先級分配帶寬資源，實現帶寬管理，使得各類數據能夠被合理地先后發送，并預防阻塞的發生。

　　3)可擴充性和靈活性

　　VPN必須能夠支持通過Intranet和Extranet的任何類型的數據流，方便增加新的節點，支持多種類型的傳輸媒介，可以滿足同時傳輸語音、圖像和數據等新應用對高質量傳輸以及帶寬增加的需求。

　　4)可管理性

　　從用戶角度和運營商角度應可方便地進行管理、維護。在VPN管理方面，VPN要求企業將其網絡管理功能從局域網無縫地延伸到公用網，甚至是客戶和合作伙伴。雖然可以將一些次要的網絡管理任務交給服務提供商去完成，企業自己仍需要完成許多網絡管理任務，所以，一個完善的VPN管理系統是必不可少的。VPN管理的目標為：減小網絡危險、具有高擴展性、經濟性、高可靠性等優點。事實上，VPN管理主要包括安全管理、設備管理、配置管理、訪問控制列表管理、Qos管理等內容。

三、VPN安全技術

　　由于傳輸的是私有信息，VPN用戶對數據的安全性都比較關心。

　　目前VPN主要采用四項技術來保證安全，這四項技術分別是：隧道技術(Tunneling)、加解密技術(Encryption&Decryption)、密鑰管理技術(KeyManagement)、使用者與設備身份認證技術(Authentication)。

　　1、隧道技術是VPN的基本技術

　　類似于點對點連接技術，它在公用網建立一條數據通道(隧道)，讓數據包通過這條隧道傳輸。隧道是由隧道協議形成的，分為第二、三層隧道協議。第二層隧道協議是先把各種網絡協議封裝到PPP中，再把整個數據包裝入隧道協議中。這種雙層封裝方法形成的數據包靠第二層協議進行傳輸，第二層隧道協議有L2F、PPTP、L2TP等，L2TP協議是目前IETF的標準，由IETF融合PPTP于L2F而形成。

　　第三層隧道協議是吧各種網絡協議直接裝入隧道協議中，形成的數據包依靠第三層協議進行傳輸。第三層隧道協議有VTP、IPSec等。IPSec(IPSecurity)是由一組RFC文檔組成，定義了一個系統來提供安全協議選擇、安全算法，確定服務所使用密鑰等服務，從而在IP層提供安全保障。

　　2、加解密技術

　　加解密技術是數據通信中一項較成熟的技術，VPN可直接利用現有技術。

　　3、密鑰管理技術

　　密鑰管理技術的主要任務是如何在公用數據網上安全地傳遞密鑰而不被竊取。現行密鑰管理技術又分為SKIP與ISAKMP/OAKLEY兩種：

　　ØSKIP主要是利用DiffieHellman的演算法則，在網絡上傳輸密鑰; Ø在SAKMP中，雙方都有兩把密鑰，分別用于公用、私用

　　4、身份認證技術

　　身份認證技術最常用的是使用者名稱與密碼或卡片式認證等方式。

四、堵住安全漏洞

　　安全問題是VPN的核心問題。目前，VPN的安全保證主要是通過防火墻技術、路由器配以隧道技術、加密協議和安全密鑰來實現的，可以保證企業員工安全地訪問公司網絡。但是，如果一個企業的VPN需要擴展到遠程訪問時，就要注意，這些對公司網直接或始終在線的連接將會是黑客攻擊的主要目標，因為，遠程工作員工通過防火墻之外的個人計算機可以接觸到公司預算、戰略技術以及工程項目等核心內容，這就構成了公司安全防御系統中的弱點。雖然，員工可以雙倍地提高工作效率，并減少在交通上所花費的時間，但同時也為黑客、競爭對手以及商業間諜提供了無數進入公司網絡核心的機會.