一直以来，VPN技术在企业网的发展过程中异常活跃。特别是近些年，随着企业安全意识的不断提高，各种VPN技术层出不穷，在企业信息安全建设中扮演着不可或缺的角色。

　　技术篇——细数VPN脉络

　　VPN技术发展很快，其中各种协议与加密算法种类繁多，对于企业来讲，理清技术脉络，辨明自身需求则更显重要。

　　按照微软公司的定义，虚拟专用网络(VPN)作为专用网络的延伸，它包含了类似Internet 的共享性或公共网络的连接性。VPN通过模拟点对点专用链接的方式，利用共享或公共网络在两台计算机之间发送数据。

　　从企业的角度看，VPN是对企业内部网络的扩展。VPN可以帮助企业的远程用户、公司分支机构、商业伙伴及供应商，同公司的内网建立可信的安全连接，并保证数据的安全传输。特别是近几年随着移动商业环境的发展，VPN可用于不断增长的移动用户的安全网络接入。

　　事实上，以前还专门分析了利用VPN实现ERP远程安全接入的业务，而这也恰恰体现了VPN技术安全且经济的一面。

　　VPN的发展已经不再单单是一个网络安全问题，更多的情况下，它还牵扯到企业的业务问题。正如新华人寿IT经理杜大军所说的，随着企业业务的不断发展，VPN可以使企业将精力集中到自己的业务拓展上，而不是网络上。因为对于金融机构来说，VPN可用于不断增长的移动展业需求，同时也可以满足企业网站之间安全结算的开展。

　　业务类型划分

　　截止到2005年，一些国内外主流研究机构仍习惯于根据VPN作用于业务的不同，将其区分为三大类:即VPDN(虚拟拨号专网)、内网VPN和外网VPN。

　　一般远程用户和企业内网之间的VPN连接，称为VPDN;在企业远程分支机构的局域网和企业总部内网之间的VPN，称为内网VPN;在供应商、合作伙伴的局域网和企业内网之间的VPN连接，称为外网VPN。

　　神州数码网络的安全技术经理王景辉认为，用户无论选择哪种类型，一个标准的VPN技术都必须提供:数据加密功能，确保公网信息传送的安全性;信息认证和身份认证功能，保证信息的完整、合法，并能鉴别使用者身份;访问控制功能，确保实现不同用户的不同访问权限。

　　协议类型划分

　　另外要强调的是，VPN技术主要基于隧道原理，目前在各种隧道加密协议上，出现了大量的分支。业内著名的VPN厂商侠诺科技的张建清博士指出，众多新型协议的“分庭抗礼”，恰恰成为了近几年VPN发展的亮点，这对于用户是件大好事。

　　目前主流的隧道协议包括了在数据链路层的PPTP、L2TP协议;在网络层的IPSec协议;在TCP层的SOCKs v5协议;在会话层的SSL协议。

　　PPTP/L2TP协议是微软公司(后者有Cisco的参与)提出来的，PPTP/L2TP已被嵌入到微软的操作系统中，用于微软的路由和远程访问服务。

　　深信服科技的技术经理叶宜斌认为，PPTP/L2TP目前已经不是主流。因为它们没有提供内在的安全机制，端点用户需要在连接前手工建立加密信道，没有加密和认证支持，稳定性也很差，而且也无法穿越NAT，因此仅仅少部分微软用户还在使用。

　　IPSec是IETF支持的标准之一，它在网络层对数据进行加密。IPSec协议可以设置成在两种模式下运行:一种是隧道模式，一种是传输模式。IPSec可以对终端站点间所有的传输数据进行保护，而不管是哪类网络应用。同时，IPSec能够在不同局域网之间，以及远程客户端与中心节点之间，建立安全的传输通道，因此应用较广。

　　而神州数码网络的技术经理杨燕群强调，由于VPN环境中用户数据在被加密后仍然在公网上传输，因此加密技术非常重要，它直接影响到用户数据的安全。而IPSec在这方面是做的比较好的一种技术。IPSec VPN的主要缺点在于配置复杂，客户端需要安装复杂的软件，而且当用户数量增加时，IPSec VPN的管理难度将呈几何级数增长。因此，IPSec最适合可信的LAN到LAN之间的内部VPN使用。

　　SOCKs v5是建立在TCP层上的安全协议，其本身工作在OSI模型的会话层上，本身较为安全，但其要制定比低层协议更为复杂的安全管理策略。而随着SSL技术的兴起，目前SOCKs v5基本上趋于淘汰。

　　SSL VPN是目前较新的技术，而且随着B/S结构的流行，其发展大有赶超前者的意味。SSL对应OSI模型的会话层协议，这也注定了其与电子商务的关系最为密切。相对而言，SSL更加关注应用，其优势主要集中在VPN客户端的部署和管理上。因为它无须安装客户端，浏览器内嵌了SSL协议，在处理基于B/S结构的业务时，可以直接使用浏览器完成SSL VPN的建立。但对于非Web页面的文件访问，往往要借助于应用转换。

　　目前，有些SSL VPN产品所能支持的应用转换器和代理的数量非常少。但令人高兴的是，以神州数据网络、深信服科技为代表的本土厂商已经可以很好地支持FTP、网络文件系统和微软文件服务器的应用转换。但SSL VPN并不能真正形成LAN对LAN的应用，其重心在于帮助企业进行应用层面的安全防护。

结构篇——IPSec对比SSL

　　作为目前最主流的两种VPN协议，IPSec与SSL的争论久矣，各自优劣与企业的需求相关联，用户不得不注意。

　　IPSec VPN占据主流

　　从目前的发展情况来看，IPSec VPN和SSL VPN势头较好。事实上，企业在采购和使用过程中，基于上述两种隧道协议的产品也是应用较多的。

　　从体系结构上分析，IPSec VPN通过选择特定的安全协议，在IP层提供安全服务，同时协议会确定服务所用的算法，为提供所需的业务增加加密密钥。IPSec能够在一对主机、一对安全网关或主机和安全网关之间保护一条或多条隧道。

　　本质上IPSec是为提供两个设备间的安全IP 通路而指定的一系列协议。因此王景辉的看法是，IPSec VPN是基于设备的，而不是基于网络的，企业用户无须对路由器进行额外的配置。IPSec VPN可以在主机或站点之间通过安全网关实现。

　　IPSec提供了两种不同的模式来传输加密数据:传输模式和隧道模式。一般传输模式只用于两台主机之间的安全通信。

　　相对而言，杨燕群认为隧道模式更适合企业使用。因为隧道模式用在网关到网关的会话或主机到网关的会话之中。它为会话提供唯一的加密通道，为整个IP包提供保护。IPSec整个协议在IP层上实现，上层应用可不必进行任何修改，并且由于IPSec在实现安全策略上的灵活性，使得对安全网络系统的管理变得简便灵活。然而，如果要一个大的点对点的企业网远程接入VPN，则其中的主机都必须被单独配置，这对企业应用VPN带来了巨大的压力，并且VPN的配置是相当复杂的，牵一发而动全身，小的失误也可能带来严重的后果。

　　企业用户需要注意的是，IPSec的安全性更多体现在原理本身。换句话说，相对于加密技术，攻击者可能更热衷于在用户和用户之间的VPN两端建立站点。另外，如何杜绝病毒在IPSec VPN内部跨网传播始终是一个挥之不去的问题。对此侠诺科技公司的技术总监张桢岩表示，IPSec接通的局域网就像是不同局域网一样，因此病毒的确有可能通过广播传送到跨网上。若要杜绝此类问题，只能有赖于防毒机制的设计了。

　　SSL VPN正值壮年

　　相对而言，SSL是对计算机之间整个会话进行加密的协议。SSL VPN采用当前广泛使用的工业级安全套接层协议SSL，无须安装客户端软件，授权用户能够从任何标准的Web浏览器和互联网连接安全地接入网络资源，包括PC、笔记本电脑和移动设备，从而安全可靠地获取信息。王景辉表示，由于安全与历史的原因，SSL在Internet上广泛用于处理ERP等较为敏感的信息。

　　在SSL中，采用了公开密钥和专有密钥两种加密模式。在建立连接过程中采用公开密钥，在会话过程中使用专有密钥。加密的类型和强度则在两端之间建立连接的过程中判断决定。通常服务器来完成对客户机的身份验证。

　　在每个SSL会话中，会要求服务器完成一次使用服务器专用密钥的操作和一次使用客户机公开密钥的操作。由于大部分系统都使用RSA加密法，每次操作都需要完成模数算法下的指数运算。通常选择的公开指数为小数，以减少要做的工作。因此，一次SSL会话只要一次加密运算即可。

　　对企业来说，将SSL技术与标准的VPN结合起来，可以让企业员工或者外部合作伙伴使用浏览器访问支持Web的数据。杨燕群指出，企业将SSL VPN作为一种服务对外提供，既不需要在服务器上安装SSL安全装置，也不用买SSL软件。 因此，企业可以利用SSL VPN降低成本，特别是其大规模部署很便宜。

　　一般来说，SSL VPN的使用者基本上不需要IT部门过多地支持，只要从其PC机上的浏览器向公司内网注册即可。而SSL连接本身也较IPSec更加稳定，不容易中断。

　　另外，张桢岩也认为，SSL VPN可依不同软件应用，帮助企业用户进行权限控管，因此只要配置适宜，企业内网的资源是可以得到更高程度的保护的。特别是目前的SSL VPN大多支持多重身份认证技术。对于用户而言，一种方式是只要单一身份签入，即可访问内部不同资源，VPN服务器可以负责解决权限的问题;另一种方式是不同资源必须要有不同身份认证，企业网管有很大的空间可以调适。这两种情况都会发生，以适应不同的用户需要。对于企业而言，SSL VPN先天具有的弹性，的确安全方便。

解惑篇——破解SSL VPN迷雾

　　SSL VPN作为一项近两年发展起来的新技术，具备无须安装客户端的便捷性和低管理成本的经济性，理应获得迅速发展。不过国内的现实是，SSL VPN仍然被三大误区所困扰。

　　迷雾一:安全性

　　令记者惊讶的是，目前企业用户对于SSL VPN不仅存在疑问，而且首当其冲就体现在SSL VPN的安全性上。

　　IPSec VPN的每个客户端都必须安装IPSec客户端软件，并有多种身份认证和数据加密方式，其自身技术成熟且安全性得到了实际应用的证明。而SSL VPN首先就打破了安装专用客户端的传统，倡导的是“随时随地移动接入”的新概念，甚至在公共场合(如网吧)、都能够利用SSL VPN访问内网资源。这些现象给国内用户带来了一定的困扰:SSL VPN足够安全吗?

　　叶宜斌向记者透露，传统上VPN系统的安全性主要包括三个层面:数据传输的安全、身份认证的安全、内网应用的安全。如前所述，SSL VPN采用标准的安全套接层协议对传输中的数据包进行加密。SSL协议则是浏览器自带的，加密强度一般为128位，从应用的实际情况看，完全能够满足数据传输层的安全需求。

　　在身份认证的安全上，SSL VPN也日趋成熟。目前像Cisco、神州数码网络、深信服科技、侠诺科技都推出了采用多重身份认证机制的产品，像用户名密码的校验、支持第三方PKI体系且能与CA中心集成的数字证书、USB KEY认证、动态短信发送密钥，都已经开始了产品化应用。

　　而对于内网应用的安全，其实SSL VPN更胜于IPSec VPN。对标准的IPSec VPN而言，并没有在内网安全上做进一步的要求，它只是打开了从分支到总部的通路、对于里面传什么数据是没有有效保证的。因此也造成了病毒在IPSec VPN内部跨网传播等一系列安全隐患。而SSL VPN则不同，它本来就是基于应用层的VPN。只有开放了的应用才允许使用、并没有给接入的用户不受限制的访问权限。因此，从安全性角度来分析，SSL VPN完全能够满足移动用户的接入安全需求。

　　张桢岩也指出，目前的SSL VPN均拥有相当的保密设计，对于一般的应用绝对没有问题了。SSL在应用上要注重的反而是软件应用的支持，由于SSL限制在TCP/IP的通讯上，而且需要针对应用作开发，所以对于产品开发是较大的挑战。

　　迷雾二:应用支持与设备部署

　　在这一点上，很多企业用户受到了误导。在网络上、甚至是一些专业媒体上有关SSL VPN的介绍文章中，到处充斥着“SSL VPN只支持Web应用”的字眼。这其实是混淆了SSL协议和SSL VPN的概念。

　　SSL VPN之所以不需要安装任何客户端，就是因为用户终端中只要有浏览器、就一定会有SSL协议。SSL VPN就是用到了系统已有的SSL协议来构建安全的通道，但并不等于SSL VPN只支持Web应用。

　　王景辉表示，SSL VPN除了支持Web应用之外，还能支持任何基于TCP的应用(如C/S应用)、支持Windows网上邻居、FTP等多种应用。因为从技术上说，只要将所有其他非Web的应用进行重定向，在客户端将所有数据转入SSL协议通道传输，在中心端进行恢复和还原就可以实现。

　　因此，虽然SSL主要在TCP/IP通讯上运作，但其支持的应用也是多样性的。不过张桢岩也承认，虽然厂商可以针对不同应用加以开发，但是此类产品的价格较高。另外，他认为相关支持的操作系统也是一个问题，最常支持的是Windows平台，其次为MAC及Linux，其它的就较少了。因此除了Web以外的应用，企业在部署SSL VPN时要同时考虑到操作系统及厂商开发时是否有针对性。

　　另外，像神州数码网络、上海冰峰网络、深信服科技等本土厂商，都开发了专有的“隧道SSL VPN”技术或IPTUNNEL协议，以便在SSL VPN设备上运行一些类似IPSec VPN的功能。以IPTUNNEL协议为例，该协议支持UDP应用，支持PING通，从而实现对视频等更复杂应用的透明支持。对客户端来说，仍然不需安装任何客户端软件，只需在SSL用户登录时自动下载部分插件，从而保证了SSL VPN天然的易用性。

　　而张桢岩也表示，由于SSL VPN与IPSec VPN均有不可取代的应用情况，因此很多新产品都包括了不同的协议，让用户依自行应用决定如何配置。这在许多厂商的产品规划上，事实上已成为主流了。

　　在设备部署上，SSL VPN最大的便利在于不需安装任何客户端，这也使得它在一些特殊终端(如支持浏览器的PDA)、特殊场合(如不是使用自己电脑时、临时需要接入总部)具有不可比拟的优势。

　　叶宜斌同时表示，利用DKEY的即插即用技术可以将SSL VPN做到零配置。同时，对于用户来说，往往不仅需要移动用户接入，而且还需要站点间的互联互通。因此，如果用户必须部署两套设备(IPSec和SSL各一套)，则无疑增加了成本和管理的复杂性。因此，现在流行的“IPSec/SSL二合一”的技术，可以在同一台设备中同时支持两种协议，以便用户规划全网的VPN。

　　迷雾三:价格与接受程度

　　SSL VPN和大多数IT新技术一样，是从国外流传到中国的新技术。目前SSL VPN的产品仍然以国外厂商为主，国内自主研发的SSL VPN产品屈指可数、并且在技术上还没有形成普遍的突破。这是导致SSL VPN价格高昂的主要原因。而IPSec VPN由于技术成熟、普及时间长，国内厂商的进步等等，由市场将价格拉到了合适的水平。

　　不过可喜的是，很多本土厂商已经奋起直追，除了在技术上赶超国外品牌，同时加入更多的技术优势确保性价比，如本土厂商中的多线路自动选路、短信认证等专利，以及客户化定制页面、单点登录等功能，都出现了挑战国外SSL VPN产品的局面。

　　据悉，北京朝阳区政府、石景山区政府、上海嘉定区政府已经明确表示支持SSL VPN的建设，而华南师范大学、浙江林学院等高校用户已经开始了相关产品的技术测试。可以说，国内目前对于SSL VPN的接受程度在不断提高。

　　为了进一步推动SSL VPN应用普及，像神州数码网络、深信服科技等厂商已经在VPN产品中缺省配置SSL VPN模块，届时用户只需以购买IPSec VPN相同的价格，就可以同时拥有支持两种协议的VPN产品。有分析人士表示，在未来国内市场中，SSL VPN有望成为企业用户买得起、用得好的安全基础设施。

另类与前瞻

　　也许读者会问，目前主流VPN协议是否还少了一个，不错，说到VPN中的另类，MPLS VPN确实有必要分析一下。

　　MPLS VPN的特点是其提供了服务等级协议SLA。但要注意的是，MPLS VPN不提供加密、认证等安全服务。因为MPLS VPN主要是用于建设全网状结构的数据专线，提供局域网互联的QoS保证。

　　一般来说，企业采用IPSec技术建立VPN，当企业对网络带宽、QoS有更高要求时，可以进一步布署MPLS VPN。但是MPLS VPN需要企业能够配置OSPF或BGP，以便在VPN中传递路由信息，这对企业的技术力量要求较高。

　　另外Cisco的专家预测，下一代VPN可能会配置目录服务器，主要用于存放用户的信息和网络配置数据，在提供更好的控制能力基础上，也会进一步模糊内网与虚拟专网之间的界限。

　　同时，王景辉认为在IPv6的条件下，VPN需要对其信息包与信息流进行更好地服务控制。此外，利用CA认证的方式进一步确保VPN的安全性也在研究之中。

　　除了技术上的发展，VPN的整合也在逐渐浮出水面。特别是随着UTM的出现，将VPN更好地与UTM融合，甚至实现多功能和全功能的VPN网关都有可能。有人认为这种趋势体现了后网关时代的来临，即要求硬件网关多功能一体化。

　　不过张桢岩表示，利用UTM整合VPN技术难度较高，若要每个功能都做好，是有相当难度的。另外，他也觉得随着VPN越来越普及，产品要能支持的用户也在增加，这对于核心处理器的负担也越来越大，所以这类产品的核心处理器面临很大的挑战，尤其是要以UTM的方式发展产品。而对于SSL VPN，必须针对不同的平台及应用开发，对于厂商而言是很沉重的负担，除非能得到资金有效回收，否则一般的产品支持应用有限，这是开发SSL VPN厂商的困境。最后是加解密技术的效能，随着加解密技术的进度，需要更大的运算能力，这部分单靠软件是解决不了的。