VPN安全協(xié)議,VPN安全協(xié)議是什么意思

VPN安全協(xié)議,VPN安全協(xié)議是什么意思

PTP－Point to Point Tunnel Protocal點對點隧道協(xié)議

這是一個最流行的Internet協(xié)議，它提供PPTP客戶機與PPTP服務器之間的加密通信，它允許公司使用專用的“隧道”，通過公共Internet來擴展公司的網(wǎng)絡。通過Internet的數(shù)據(jù)通信，需要對數(shù)據(jù)流進行封裝和加密，PPTP就可以實現(xiàn)這兩個功能，從而可以通過Internet實現(xiàn)多功能通信。這就是說，通過PPTP的封裝或“隧道”服務，使非IP網(wǎng)絡可以獲得進行Internet通信的優(yōu)點。但是PPTP會話不可通過代理器進行，PPTP是Microsoft和其它廠家支持的標準，它是PPTP協(xié)議的擴展，它可以通過Internet建立多協(xié)議VPN。

L2TP－Layer2 Tunneling Protocol第二層隧道協(xié)議

除Microsft外，另有一些廠家也做了許多開發(fā)工作，PPTP能支持Macintosh和Unix，Cisco的L2F（Layer2 Forwarding）就是又一個隧道協(xié)議。Mi?crosoft、Cisco和其它一些網(wǎng)絡廠商正一起努力使L2F與PPTP融合，產(chǎn)生一個新的L2TP協(xié)議。PPTP和L2TP十分相似，因為L2TP有一部分就是采用PPTP協(xié)議，兩個協(xié)議都允許客戶通過其間的網(wǎng)絡建立隧道，L2TP正在由包括Microsoft在內(nèi)的幾家廠商開發(fā)。L2TP還支持信道認證，但它沒有規(guī)定信道保護的方法。

IPSEC—Internet Portocol Security因特網(wǎng)協(xié)議安全性

該協(xié)議正在IETF（因特網(wǎng)工程任務組）的指導下開發(fā)。開發(fā)這個協(xié)議的目的是要解決當前協(xié)議中存在的一些缺點，這個標準開發(fā)完成最快也要在一年以后。Microsoft承諾支持L2TP和IPSEC。IPSEC是由IETFIP安全性工作組定義的協(xié)議集，它用于確保網(wǎng)絡層之間的安全通信。該協(xié)議草案建議使用IPSEC協(xié)議集保護IP網(wǎng)和非IP網(wǎng)上的L2TP業(yè)務，以及如何將IPSEC和L2FP一起使用，但它并未試圖將端對端的安全性標準化。

SOCKs

SOCKs是一個網(wǎng)絡連接的代理協(xié)議，它使SOCKs一端的主機完全訪問SOCKs；而另一端的主機不要求IP直接可達。SOCKs能將連接請求進行鑒別和授權，并建立代理連接和傳送數(shù)據(jù)。SOCKs通常用作網(wǎng)絡防火墻，它使SOCKs后面的主機能通過Internet取得完全的訪問權，而避免了通過Internet對內(nèi)部主機進行未授權訪問。目前，有SOCKsV4和SOCKsV5二個版本，SOCKsV5可以處理UDP，而SOCKsV4則不能。

PPTP－PointtoPointTunnelProtocal 點對點隧道協(xié)議
這是一個最流行的Internet協(xié)議，它提供PPTP客戶機與PPTP服務器之間的加密通信，它允許公司使用專用的“隧道”，通過公共Internet來擴展公司的網(wǎng)絡。通過Internet的數(shù)據(jù)通信，需要對數(shù)據(jù)流進行封裝和加密，PPTP就可以實現(xiàn)這兩個功能，從而可以通過Internet實現(xiàn)多功能通信。這就是說，通過PPTP的封裝或“隧道”服務，使非IP網(wǎng)絡可以獲得進行Internet通信的優(yōu)點。但是PPTP會話不可通過代理器進行，PPTP是Microsoft和其它廠家支持的標準，它是PPTP協(xié)議的擴展，它可以通過Internet建立多協(xié)議VPN?！　　2TP－Layer2TunnelingProtocol　
　第二層隧道協(xié)議　
　　除Microsft外，另有一些廠家也做了許多開發(fā)工作，PPTP能支持Macintosh和Unix，Cisco的L2F（Layer2Forwarding）就是又一個隧道協(xié)議。Mi?crosoft、Cisco和其它一些網(wǎng)絡廠商正一起努力使L2F與PPTP融合，產(chǎn)生一個新的L2TP協(xié)議。PPTP和L2TP十分相似，因為L2TP有一部分就是采用PPTP協(xié)議，兩個協(xié)議都允許客戶通過其間的網(wǎng)絡建立隧道，L2TP正在由包括Microsoft在內(nèi)的幾家廠商開發(fā)。L2TP還支持信道認證，但它沒有規(guī)定信道保護的方法。
　　IPSEC—InternetPortocolSecurity　因特網(wǎng)協(xié)議安全性　
該協(xié)議正在IETF（因特網(wǎng)工程任務組）的指導下開發(fā)。開發(fā)這個協(xié)議的目的是要解決當前協(xié)議中存在的一些缺點，這個標準開發(fā)完成最快也要在一年以后。Microsoft承諾支持L2TP和IPSEC。IPSEC是由IETFIP安全性工作組定義的協(xié)議集，它用于確保網(wǎng)絡層之間的安全通信。該協(xié)議草案建議使用IPSEC協(xié)議集保護IP網(wǎng)和非IP網(wǎng)上的L2TP業(yè)務，以及如何將IPSEC和L2FP一起使用，但它并未試圖將端對端的安全性標準化。
SOCKs　　　
SOCKs是一個網(wǎng)絡連接的代理協(xié)議，它使SOCKs一端的主機完全訪問SOCKs；而另一端的主機不要求IP直接可達。SOCKs能將連接請求進行鑒別和授權，并建立代理連接和傳送數(shù)據(jù)。SOCKs通常用作網(wǎng)絡防火墻，它使SOCKs后面的主機能通過Internet取得完全的訪問權，而避免了通過Internet對內(nèi)部主機進行未授權訪問。目前，有SOCKsV4和SOCKsV5二個版本，SOCKsV5可以處理UDP，而SOCKsV4則不能。通過高速DSL建立VPN　數(shù)字用戶線路（DSL）服務正作為一種替代建立虛擬專用網(wǎng)（VPN）的T?1線路和幀中繼的技術展現(xiàn)在人們面前，并且顯示出誘人的前景。例如，運行在一條雙絞線上的對稱DSL（SDSL）可以提供與T?1線路相同的帶寬，而價格只有后者的一半。在沒有DSL之前，網(wǎng)絡專業(yè)人員只能通過使用IP隧道的Internet、電信公司的租用線路或幀中繼服務來建立VPN?，F(xiàn)在，有一種新的技術選擇成為了爭論的中心，即DSL上的ATM。ADSL論壇發(fā)表的技術報告TR?002定義了非對稱DSL和ATM的互連。由于ATM對服務質(zhì)量（QoS）的支持，它向用戶提供的安全性以及ATM通過單一DSL線路支持并行會話的功能，ADSL論壇已經(jīng)選擇ATM作為用于ADSL的第二層協(xié)議。DSL上的ATM使用戶可以利用低成本接入技術建立安全、高性能的VPN。ATM支持豐富的QoS特性集和通過DSL提交高質(zhì)量VPN所需的擴展傳輸流管理功能。像峰值信元率、可維持信元率、最小信元率和信元時延變化容錯等用戶可定義參數(shù)使用戶可以為利用基于DSL的VPN傳輸?shù)拿總€應用定義服務質(zhì)量，這就保證了優(yōu)質(zhì)的應用性能。ADSL服務網(wǎng)絡架構組論壇目前正在就用于DSL網(wǎng)絡的端到端第二層架構的兩個選項進行討論：這兩個選項是用于IP與ATM的本機提交的包模式和一般IP提交。仍在開發(fā)QoS功能（如IETF建議的差別服務）的IP目前看起來不能成為實現(xiàn)QoS的可行選擇。盡管IP可以執(zhí)行某些基于類型的QoS（它可以將多個傳輸流映射到某些服務類中），但IP不支持用于像語音和視頻這類特殊應用的可定制、用戶可定義的QoS。在使用IP時，用戶不能修改服務類型（CoS）來適應應用獨特的性能特征。ATM為連接到VPN上每個位置的多條虛擬電路提供QoS的能力，保證了利用同時傳輸數(shù)據(jù)流的DSL鏈路傳輸時延敏感的應用（如語音和視頻）。配置有DSL接口的集成訪問設備（IAD）可以將語音和數(shù)據(jù)傳輸流多路復用到ATM虛擬電路中，通過一條DSL線路進行傳輸。要保證一條DSL本地環(huán)路上的多條虛擬電路的QoS就要求中心交換局DSL訪問系統(tǒng)和IAD支持持續(xù)比特率（CBR）和可變比特率（VBR）ATM服務類型。盡管多數(shù)DSL調(diào)制解調(diào)器支持這些服務類型，但是，中心交換局中的許多DSL接入多路復用器只支持不定比特率（UBR）服務類型。URB連接只接受非承諾服務，缺少控制傳輸特性（信元丟棄）的QoS保證。如果沒有可供傳輸UBR信元的帶寬的話，信元將被丟棄。在建立DSLVPN之前，用戶必須證實他們的DSL服務提供商是否支持DSL本地環(huán)路上的多虛擬電路，是否支持多服務類型：CBR、VBR以及UBR。在可以使用多服務類型的情況下，語音虛擬電路可以被配置為CBR或VBR實時連接，這兩類連接具有有限的信元丟棄和時延，從而保證了語音質(zhì)量。數(shù)據(jù)虛擬電路可以根據(jù)服務水平的要求被設置為CBR、VBR或UBR連接，并可以與語音呼叫共享同一條DSL線路。由于傳輸語音呼叫的虛擬電路被分配給更高的帶寬優(yōu)先級，因此，同一條線路上的數(shù)據(jù)連接不會影響語音質(zhì)量。網(wǎng)絡專業(yè)人員可以利用ATM上的PPP對在家辦公者提供服務。IETF建議RFC2364描述了如何利用ATM適配層Layer5傳輸PPP封裝包。ATM上的PPP正成為通過DSL實現(xiàn)遠程接入的最常見的服務，并且正作為衡量廠商互操作性的標準。全面認識VPN(一)在國外，VPN已經(jīng)迅速發(fā)展起來，2001年全球VPN市場將達到120億美元。在中國，雖然人們對VPN的定義還有些模糊不清，對VPN的安全性、服務質(zhì)量（QoS）等方面存有疑慮，但互聯(lián)網(wǎng)和電子商務的快速發(fā)展使我們有理由相信，中國的VPN市場將逐漸熱起來。對國內(nèi)的用戶來說，VPN（虛擬專用網(wǎng)，VirtualPrivateNetwork）最大的吸引力在哪里？是價格。據(jù)估算，如果企業(yè)放棄租用專線而采用VPN，其整個網(wǎng)絡的成本可節(jié)約21%-45%，至于那些以電話撥號方式連網(wǎng)存取數(shù)據(jù)的公司，采用VPN則可以節(jié)約通訊成本50%-80%。為什么VPN可以節(jié)約這么多的成本？這就先要從VPN的概念談起。認識VPN現(xiàn)在有很多連接都被稱作VPN，用戶經(jīng)常分不清楚，那么一般所說的VPN到底是什么呢？顧名思義，虛擬專用網(wǎng)不是真的專用網(wǎng)絡，但卻能夠?qū)崿F(xiàn)專用網(wǎng)絡的功能。虛擬專用網(wǎng)指的是依靠ISP（Internet服務提供商）和其它NSP（網(wǎng)絡服務提供商），在公用網(wǎng)絡中建立專用的數(shù)據(jù)通信網(wǎng)絡的技術。在虛擬專用網(wǎng)中，任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資源動態(tài)組成的。IETF草案理解基于IP的VPN為："使用IP機制仿真出一個私有的廣域網(wǎng)"是通過私有的隧道技術在公共數(shù)據(jù)網(wǎng)絡上仿真一條點到點的專線技術。所謂虛擬，是指用戶不再需要擁有實際的長途數(shù)據(jù)線路，而是使用Internet公眾數(shù)據(jù)網(wǎng)絡的長途數(shù)據(jù)線路。所謂專用網(wǎng)絡，是指用戶可以為自己制定一個最符合自己需求的網(wǎng)絡。用戶現(xiàn)在在電信部門租用的幀中繼（FrameRelay）與ATM等數(shù)據(jù)網(wǎng)絡提供固定虛擬線路（PVC-PermanentVirtualCircuit）來連接需要通訊的單位，所有的權限掌握在別人的手中。如果用戶需要一些別的服務，需要填寫許多的單據(jù)，再等上相當一段時間，才能享受到新的服務。更為重要的是兩端的終端設備不但價格昂貴，而且管理也需要一定的專業(yè)技術人員，無疑增加了成本，而且?guī)欣^、ATM數(shù)據(jù)網(wǎng)絡也不會像Internet那樣，可立即與世界上任何一個使用Internet網(wǎng)絡的單位連接。而在Internet上，VPN使用者可以控制自己與其他使用者的聯(lián)系，同時支持撥號的用戶。所以我們說的虛擬專用網(wǎng)一般指的是建筑在Internet上能夠自我管理的專用網(wǎng)絡，而不是FrameRelay或ATM等提供虛擬固定線路（PVC）服務的網(wǎng)絡。以IP為主要通訊協(xié)議的VPN，也可稱之為IP-VPN。由于VPN是在Internet上臨時建立的安全專用虛擬網(wǎng)絡，用戶就節(jié)省了租用專線的費用，在運行的資金支出上，除了購買VPN設備，企業(yè)所付出的僅僅是向企業(yè)所在地的ISP支付一定的上網(wǎng)費用，也節(jié)省了長途電話費。這就是VPN價格低廉的原因。越來越多的用戶認識到，隨著Internet和電子商務的蓬勃發(fā)展，經(jīng)濟全球化的最佳途徑是發(fā)展基于Internet的商務應用。隨著商務活動的日益頻繁，各企業(yè)開始允許其生意伙伴、供應商也能夠訪問本企業(yè)的局域網(wǎng)，從而大大簡化信息交流的途徑，增加信息交換速度。這些合作和聯(lián)系是動態(tài)的，并依靠網(wǎng)絡來維持和加強，于是各企業(yè)發(fā)現(xiàn)，這樣的信息交流不但帶來了網(wǎng)絡的復雜性，還帶來了管理和安全性的問題，因為Internet是一個全球性和開放性的、基于TCP/IP技術的、不可管理的國際互聯(lián)網(wǎng)絡，因此，基于Internet的商務活動就面臨非善意的信息威脅和安全隱患。還有一類用戶，隨著自身的的發(fā)展壯大與跨國化，企業(yè)的分支機構不僅越來越多，而且相互間的網(wǎng)絡基礎設施互不兼容也更為普遍。因此，用戶的信息技術部門在連接分支機構方面也感到日益棘手。用戶的需求正是虛擬專用網(wǎng)技術誕生的直接原因。用戶需要的VPN

VPN的特點在實際應用中，用戶需要的是什么樣的VPN呢？一般情況下，一個高效、成功的VPN應具備以下幾個特點：
1．安全保障雖然實現(xiàn)VPN的技術和方式很多，但所有的VPN均應保證通過公用網(wǎng)絡平臺傳輸數(shù)據(jù)的專用性和安全性。在非面向連接的公用IP網(wǎng)絡上建立一個邏輯的、點對點的連接，稱之為建立一個隧道，可以利用加密技術對經(jīng)過隧道傳輸?shù)臄?shù)據(jù)進行加密，以保證數(shù)據(jù)僅被指定的發(fā)送者和接收者了解，從而保證了數(shù)據(jù)的私有性和安全性。在安全性方面，由于VPN直接構建在公用網(wǎng)上，實現(xiàn)簡單、方便、靈活，但同時其安全問題也更為突出。企業(yè)必須確保其VPN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改，并且要防止非法用戶對網(wǎng)絡資源或私有信息的訪問。ExtranetVPN將企業(yè)網(wǎng)擴展到合作伙伴和客戶，對安全性提出了更高的要求。
2．服務質(zhì)量保證（QoS）VPN網(wǎng)應當為企業(yè)數(shù)據(jù)提供不同等級的服務質(zhì)量保證。不同的用戶和業(yè)務對服務質(zhì)量保證的要求差別較大。如移動辦公用戶，提供廣泛的連接和覆蓋性是保證VPN服務的一個主要因素；而對于擁有眾多分支機構的專線VPN網(wǎng)絡，交互式的內(nèi)部企業(yè)網(wǎng)應用則要求網(wǎng)絡能提供良好的穩(wěn)定性；對于其它應用（如視頻等）則對網(wǎng)絡提出了更明確的要求，如網(wǎng)絡時延及誤碼率等。所有以上網(wǎng)絡應用均要求網(wǎng)絡根據(jù)需要提供不同等級的服務質(zhì)量。在網(wǎng)絡優(yōu)化方面，構建VPN的另一重要需求是充分有效地利用有限的廣域網(wǎng)資源，為重要數(shù)據(jù)提供可靠的帶寬。廣域網(wǎng)流量的不確定性使其帶寬的利用率很低，在流量高峰時引起網(wǎng)絡阻塞，產(chǎn)生網(wǎng)絡瓶頸，使實時性要求高的數(shù)據(jù)得不到及時發(fā)送；而在流量低谷時又造成大量的網(wǎng)絡帶寬空閑。QoS通過流量預測與流量控制策略，可以按照優(yōu)先級分配帶寬資源，實現(xiàn)帶寬管理，使得各類數(shù)據(jù)能夠被合理地先后發(fā)送，并預防阻塞的發(fā)生。
3．可擴充性和靈活性VPN必須能夠支持通過Intranet和Extranet的任何類型的數(shù)據(jù)流，方便增加新的節(jié)點，支持多種類型的傳輸媒介，可以滿足同時傳輸語音、圖像和數(shù)據(jù)等新應用對高質(zhì)量傳輸以及帶寬增加的需求。
4．可管理性從用戶角度和運營商角度應可方便地進行管理、維護。在VPN管理方面，VPN要求企業(yè)將其網(wǎng)絡管理功能從局域網(wǎng)無縫地延伸到公用網(wǎng)，甚至是客戶和合作伙伴。雖然可以將一些次要的網(wǎng)絡管理任務交給服務提供商去完成，企業(yè)自己仍需要完成許多網(wǎng)絡管理任務。所以，一個完善的VPN管理系統(tǒng)是必不可少的。VPN管理的目標為：減小網(wǎng)絡風險、具有高擴展性、經(jīng)濟性、高可靠性等優(yōu)點。事實上，VPN管理主要包括安全管理、設備管理、配置管理、訪問控制列表管理、QoS管理等內(nèi)容。
二.自建還是外包由于VPN低廉的使用成本和良好的安全性，許多大型企業(yè)及其分布在各地的辦事處或分支機構成了VPN順理成章的用戶群。對于那些最需要VPN業(yè)務的中小企業(yè)來說，一樣有適合的VPN策略。當然，不論何種VPN策略，它們都有一個基本目標：在提供與現(xiàn)有專用網(wǎng)絡基礎設施相當或更高的可管理性、可擴展性以及簡單性的基礎之上，進一步擴展公司的網(wǎng)絡連接。
1．大型企業(yè)自建VPN大型企業(yè)用戶由于有雄厚的資金投入做保證，可以自己建立VPN，將VPN設備安裝在其總部和分支機構中，將各個機構低成本且安全地連接在一起。企業(yè)建立自己的VPN，最大的優(yōu)勢在于高控制性，尤其是基于安全基礎之上的控制。一個內(nèi)部VPN能使企業(yè)對所有的安全認證、網(wǎng)絡系統(tǒng)以及網(wǎng)絡訪問情況進行控制，建立端到端的安全結構，集成和協(xié)調(diào)現(xiàn)有的內(nèi)部安全技術。企業(yè)還可以確保得到業(yè)內(nèi)最好的技術以滿足自身的特殊需要，這要優(yōu)于ISP所提供的普通服務。而且，建立內(nèi)部VPN能使企業(yè)有效節(jié)省VPN的運作費用。企業(yè)可以節(jié)省用于外包管理設備的額外費用，并且能將現(xiàn)有的遠程訪問和端到端的網(wǎng)絡集成起來，以獲取最佳性價比的VPN。雖然VPN外包能避免技術過時，但并不意味著企業(yè)可以節(jié)省開支。因為，企業(yè)最終還要為高額產(chǎn)品支付費用，以作為使用新技術的代價。雖然VPN外包可以簡化企業(yè)網(wǎng)絡部署，但這同樣降低了企業(yè)對公司網(wǎng)的控制等級。網(wǎng)絡越大，企業(yè)就越依賴于外包VPN供應商。因此，自建VPN是大型企業(yè)的最好選擇。
2．中小型企業(yè)外包VPN雖然每個中小型企業(yè)都是相對集中和固定的，但是部門與部門之間、企業(yè)與其業(yè)務相關企業(yè)之間的聯(lián)系依然需要廉價而安全的信息溝通，在這種情況下就用得上VPN。電信企業(yè)、IDC目前提供的VPN服務，更多的是面向中小企業(yè)，因為可以整合現(xiàn)有資源，包括網(wǎng)絡優(yōu)勢、托管和技術力量來為中小企業(yè)提供整體的服務。中小型企業(yè)如果自己購買VPN設備，則財務成本較高，而且一般中小型企業(yè)的IT人員短缺、技能水平不足、資金能力有限，不足以支持VPN，所以，外包VPN是較好的選擇。*外包VPN比企業(yè)自己動手建立VPN要快得多，也更為容易。*外包VPN的可擴展性很強，易于企業(yè)管理。有統(tǒng)計表明，使用外包VPN方式的企業(yè)，可以支持多于2300名用戶，而內(nèi)部VPN平均只能支持大約150名用戶。而且，隨著用戶數(shù)目的增長，對用于監(jiān)控、管理、提供IT資源和人力資源的要求也將呈指數(shù)增長。*企業(yè)VPN必須將安全和性能結合在一起，然而，實際情況中兩者不能兼顧。例如，對安全加密級別的配置經(jīng)常降低VPN的整體性能。而通過提供VPN外包業(yè)務的專業(yè)ISP的統(tǒng)一管理，可大大提高VPN的性能和安全。ISP的VPN專家還可幫助企業(yè)進行VPN決策。*對服務水平協(xié)議（SLA）的改進和服務質(zhì)量（QoS）保證，為企業(yè)外包VPN方式提供了進一步的保證。
三.VPN安全技術由于傳輸?shù)氖撬接行畔ⅲ琕PN用戶對數(shù)據(jù)的安全性都比較關心。目前VPN主要采用四項技術來保證安全，這四項技術分別是隧道技術（Tunneling）、加解密技術（Encryption&Decryption）、密鑰管理技術（KeyManagement）、使用者與設備身份認證技術（Authentication）。
1.隧道技術是VPN的基本技術，類似于點對點連接技術，它在公用網(wǎng)建立一條數(shù)據(jù)通道（隧道），讓數(shù)據(jù)包通過這條隧道傳輸。隧道是由隧道協(xié)議形成的，分為第二、三層隧道協(xié)議。第二層隧道協(xié)議是先把各種網(wǎng)絡協(xié)議封裝到PPP中，再把整個數(shù)據(jù)包裝入隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進行傳輸。第二層隧道協(xié)議有L2F、PPTP、L2TP等。L2TP協(xié)議是目前IETF的標準，由IETF融合PPTP與L2F而形成。第三層隧道協(xié)議是把各種網(wǎng)絡協(xié)議直接裝入隧道協(xié)議中，形成的數(shù)據(jù)包依靠第三層協(xié)議進行傳輸。第三層隧道協(xié)議有VTP、IPSec等。IPSec（IPSecurity）是由一組RFC文檔組成，定義了一個系統(tǒng)來提供安全協(xié)議選擇、安全算法，確定服務所使用密鑰等服務，從而在IP層提供安全保障。
2.加解密技術是數(shù)據(jù)通信中一項較成熟的技術，VPN可直接利用現(xiàn)有技術。
3.密鑰管理技術的主要任務是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取。現(xiàn)行密鑰管理技術又分為SKIP與ISAKMP/OAKLEY兩種。SKIP主要是利用Diffie-Hellman的演算法則，在網(wǎng)絡上傳輸密鑰；在ISAKMP中，雙方都有兩把密鑰，分別用于公用、私用。
4.身份認證技術最常用的是使用者名稱與密碼或卡片式認證等方式。四.堵住安全漏洞安全問題是VPN的核心問題。目前，VPN的安全保證主要是通過防火墻技術、路由器配以隧道技術、加密協(xié)議和安全密鑰來實現(xiàn)的，可以保證企業(yè)員工安全地訪問公司網(wǎng)絡。但是，如果一個企業(yè)的VPN需要擴展到遠程訪問時，就要注意，這些對公司網(wǎng)直接或始終在線的連接將會是黑客攻擊的主要目標。因為，遠程工作員工通過防火墻之外的個人計算機可以接觸到公司預算、戰(zhàn)略計劃以及工程項目等核心內(nèi)容，這就構成了公司安全防御系統(tǒng)中的弱點。雖然，員工可以雙倍地提高工作效率，并減少在交通上所花費的時間，但同時也為黑客、競爭對手以及商業(yè)間諜提供了無數(shù)進入公司網(wǎng)絡核心的機會。但是，企業(yè)并沒有對遠距離工作的安全性予以足夠的重視。大多數(shù)公司認為，公司網(wǎng)絡處于一道網(wǎng)絡防火墻之后是安全的，員工可以撥號進入系統(tǒng)，而防火墻會將一切非法請求拒之其外；還有一些網(wǎng)絡管理員認為，為網(wǎng)絡建立防火墻并為員工提供VPN，使他們可以通過一個加密的隧道撥號進入公司網(wǎng)絡就是安全的。這些看法都是不對的。在家辦公是不錯，但從安全的觀點來看，它是一種極大的威脅，因為，公司使用的大多數(shù)安全軟件并沒有為家用計算機提供保護。一些員工所做的僅僅是進入一臺家用計算機，跟隨它通過一條授權的連接進入公司網(wǎng)絡系統(tǒng)。雖然，公司的防火墻可以將侵入者隔離在外，并保證主要辦公室和家庭辦公室之間VPN的信息安全。但問題在于，侵入者可以通過一個被信任的用戶進入網(wǎng)絡。因此，加密的隧道是安全的，連接也是正確的，但這并不意味著家庭計算機是安全的。黑客為了侵入員工的家用計算機，需要探測IP地址。有統(tǒng)計表明，使用撥號連接的IP地址幾乎每天都受到黑客的掃描。因此，如果在家辦公人員具有一條諸如DSL的不間斷連接鏈路（通常這種連接具有一個固定的IP地址），會使黑客的入侵更為容易。因為，撥號連接在每次接入時都被分配不同的IP地址，雖然它也能被侵入，但相對要困難一些。一旦黑客侵入了家庭計算機，他便能夠遠程運行員工的VPN客戶端軟件。因此，必須有相應的解決方案堵住遠程訪問VPN的安全漏洞，使員工與網(wǎng)絡的連接既能充分體現(xiàn)VPN的優(yōu)點，又不會成為安全的威脅。在個人計算機上安裝個人防火墻是極為有效的解決方法，它可以使非法侵入者不能進入公司網(wǎng)絡。當然，還有一些提供給遠程工作人員的實際解決方法：*所有遠程工作人員必須被批準使用VPN；*所有遠程工作人員需要有個人防火墻，它不僅防止計算機被侵入，還能記錄連接被掃描了多少次；*所有的遠程工作人員應具有入侵檢測系統(tǒng)，提供對黑客攻擊信息的記錄；*監(jiān)控安裝在遠端系統(tǒng)中的軟件，并將其限制只能在工作中使用；*IT人員需要對這些系統(tǒng)進行與辦公室系統(tǒng)同樣的定期性預定檢查；*外出工作人員應對敏感文件進行加密；*安裝要求輸入密碼的訪問控制程序，如果輸入密碼錯誤，則通過Modem向系統(tǒng)管理員發(fā)出警報；*當選擇DSL供應商時，應選擇能夠提供安全防護功能的供應商。