VPN概述

虛擬專用網(VPN--Virtual Private Network)被定義為通過一個公用網絡(通常是因特網)建立一個臨時的、安全的連接，是一條穿過混亂的公用網絡的安全、穩(wěn)定的隧道。虛擬專用網是對企業(yè)內部網的擴展。VPN發(fā)展至今已經不在是一個單純的經過加密的訪問隧道了，它已經融合了訪問控制、傳輸管理、加密、路由選擇、可用性管理等多種功能，并 在全球的信息安全體系中發(fā)揮著重要的作用。也在網絡上，有關各種VPN協議優(yōu)缺點的比較是仁者見仁，智者見智，很多技術人員由于出于使用目的考慮，包括訪 問控制、安全和用戶簡單易用，靈活擴展等各方面，權衡利弊，難以取舍；尤其在實際的企業(yè)網絡環(huán)境中，網絡安全顯得尤為重要，因此現在越來越多的網關支持 VPN協議。

PPTP

點對點隧道協議 (PPTP) 是由包括微軟和3Com等公司組成的PPTP論壇開發(fā)的一種點對點隧道協，基于撥號使用的PPP協議使用PAP或CHAP之類的加密算法，或者使用 Microsoft的點對點加密算法MPPE。其通過跨越基于 TCP/IP 的數據網絡創(chuàng)建 VPN 實現了從遠程客戶端到專用企業(yè)服務器之間數據的安全傳輸。PPTP 支持通過公共網絡（例如 Internet）建立按需的、多協議的、虛擬專用網絡。PPTP 允許加密 IP 通訊，然后在要跨越公司 IP 網絡或公共 IP 網絡（如 Internet）發(fā)送的 IP 頭中對其進行封裝。

L2TP

第2 層隧道協議 (L2TP) 是IETF基于L2F （Cisco的第二層轉發(fā)協議）開發(fā)的PPTP的后續(xù)版本。是一種工業(yè)標準 Internet 隧道協議，其可以為跨越面向數據包的媒體發(fā)送點到點協議 (PPP) 框架提供封裝。PPTP和L2TP都使用PPP協議對數據進行封裝，然后添加附加包頭用于數據在互聯網絡上的傳輸。PPTP只能在兩端點間建立單一隧道。 L2TP支持在兩端點間使用多隧道。使用L2TP，用戶可以針對不同的服務質量創(chuàng)建不同的隧道。

IPSec 隧道模式

隧道是封裝、路由與解封裝的整個過程。隧道將原始數據包隱藏（或封裝）在新的數據包內部。該新的數據包可能會有新的尋址與路由信息，從而使其能夠通 過網絡傳輸。隧道與數據保密性結合使用時，在網絡上竊聽通訊的人將無法獲取原始數據包數據（以及原始的源和目標）。封裝的數據包到達目的地后，會刪除封 裝，原始數據包頭用于將數據包路由到最終目的地。

隧道本身是封裝數據經過的邏輯數據路徑。對原始的源和目的端，隧道是不可見的，而只能看到網絡路徑中的點對點連接。連接雙方并不關心隧道起點和終點之間的任何路由器、交換機、代理服務器或其他安全網關。將隧道和數據保密性結合使用時，可用于提供 VPN。

封裝的數據包在網絡中的隧道內部傳輸。在此示例中，該網絡是 Internet。網關可以是外部 Internet 與專用網絡間的周界網關。周界網關可以是路由器、防火墻、代理服務器或其他安全網關。另外，在專用網絡內部可使用兩個網關來保護網絡中不信任的通訊。

當以隧道模式使用 IPSec 時，其只為 IP 通訊提供封裝。使用 IPSec 隧道模式主要是為了與其他不支持 IPSec 上的 L2TP 或 PPTP VPN 隧道技術的路由器、網關或終端系統(tǒng)相互操作。

SSL VPN

SSL VPN, SSL協議提供了數據私密性、端點驗證、信息完整性等特性。SSL協議由 許多子協議組成，其中兩個主要的子協議是握手協議和記錄協議。握手協議允許服務器和客戶端"在應用協議傳輸第一個數據字節(jié)以前，彼此確認，協商一種加密算 法和密碼鑰匙"。在數據傳輸期間，記錄協議利用握手協議生成的密鑰加密和解密后來交換的數據。

SSL獨立于應用，因此任何一個應用程序都可以享受它的安全性而不必理會執(zhí)行細節(jié)。SSL置身于網絡結構體系的 傳輸層和應用層之間。此外，SSL本身就被幾乎所有的Web瀏覽器支持。這意味著客戶端不需要為了支持SSL連接安裝額外的軟件。這兩個特征就是SSL能 應用于VPN的關鍵點。