×××的英文全称是“Virtual Private Network”,翻译过来就是“虚拟专用网络”。顾名思义,虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。
  虚拟专用网(×××)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。
  虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。通过将数据流转移到低成本的压网络上,一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。同时,这将简化网络的设计和管理,加速连接新的用户和网站。另外,虚拟专用网还可以保护现有的网络投资。随着用户的商业服务不断发展,企业的虚拟专用网解决方案可以使用户将精力集中到自己的生意上,而不是网络上。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
  目前很多单位都面临着这样的挑战:分公司、经销商、合作伙伴、客户和外地出差人员要求随时经过公用网访问公司的资源,这些资源包括:公司的内部资料、办公OA、ERP系统、CRM系统、项目管理系统等。安全接入互联网的传统方法是×××。尽管×××的安装和硬件维护成本对SMB(Small and Medium-sized Businesses,中小型企业)是很高的,但是日益增长的远距离工作和远程接入的需求使×××变得十分必要。
  中小企业可以采取有很多方法,实现为远程连接者提供的,价格合理、容易实现的×××接入方式。
  综观现有的×××,有三个同样的适用于购买任何其他网络或连接管理设备的原则:
  1、它是否适合现有的网络结构?
  2、是否容易实现,并且在需要时容易升级?
  3、是否安全?
  常用×××的种类
  最近几年,许多企业都部署的×××解决方案,通常可以分为三类:
  首先是PPTP(Point to Point Tunneling Protocol)点对点隧道协议,是一种支持多协议虚拟专用网络的协议。这类方案采用了一项名为通用路由封装(Generic Routing Encapsulation,GRE)的技术。它是一种因特网协议,可以让发往某个网络的数据包经加密后,一个包接一个包地发送到可信服务器。然后,服务器拆开数据包,重新发送到专用网上。微软推出的PPTP/GRE方案就利用了GRE,并采用微软的算法对数据进行加密。通过该协议,远程用户能够跨越 Microsoft Windows NT工作站、 Windows2000 和 Windows XP 操作系统以及其它点对点激活系统安全访问共同网络,并通过拨号本地互联网服务提供商安全链接它们互联网上的共同网络。优点也是简单易配置,对于初阶应用安全性足以应用。PPTP作为简单的×××方案适合移动的用户(Mobile User)通过PPTP拨号连接到公司网络,比如经常出差的员工,通过×××连接到公司的服务器上收发邮件,存取文档资料等;不适合作为点对点或者点对多点的×××架构(当然一定用PPTP也是可以实现的)。
  另一种是IPSec ×××(IP Security,IP协议安全),它也依靠GRE(IPSec/GRE)以及另一种名为封装安全载荷(Encapsulating Security Payload,ESP)的协议,IP数据包进行封装和加密处理。不过,与PPTP和L2TP相比, IPSec方案更安全、更可靠,这归功于IPSec选择及支持的加密算法。通常采用IPSec的×××方案来解决在多个分公司间构建稳定的×××的需求。
  第三类是SSL ×××,SSL的英文全称是“Secure Sockets Layer”,中文名为“安全套接层协议层”,它是网景(Netscape)公司提出的基于WEB应用的安全协议。SSL协议指定了一种在应用程序协议(如Http、Telenet、NMTP和FTP等)和TCP/IP协议之间提供数据安全性分层的机制,它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户认证。它的特点是无需客户端软件,使用方便,适用于用户安装配置不易或是特定应用情况。(安全套接层协议层)方案,它只允许通过安全的Web浏览器,访问某几种具有Web功能的应用。它只能访问使用标准Web创作工具如HTML和JavaScript的应用。这项技术可以分析每个网页,确保从该网页引出的程序化的导航路径通过安全连接,转发到SSL ×××服务器。
  由于PPTP/L2TP和IPSec两种×××解决方案因彼此相似而常常被归为一类,因为它们都使用客户软件,并依赖GRE,原理极为类似。我们可以把它们都视为IPsec ×××方案。
  IPSec ×××与SSL ×××的区别和对比
  ×××建立了网上安全的加密隧道,还允许网络保密通信。它与任何在网上的监听者都可以读取的明文传送方式不同,×××传输的看起来就像是一批乱码。不同之处就在于如何建立这种隧道。
  到现在为止,安全远程接入方案归结为两种选择: IPSec ×××(第一代)和SSL ×××(第二代),两者各有其优缺点。
  基于IPSec方式的×××就是远程用户拨号接入的一套硬件设备。这与任何网络连接都被接受的一般方式不同。IPsec ×××设备只用来接受远程客户的连接。一个IPSec ×××的操作运行在协议栈的IP层。 IPsec ×××用户需要在客户端(无论是台式机或笔记本)上安装可以连接到×××服务器的软件。
  SSL ×××也是一套进行远程连接的专用设备。但是,它更像一个Web服务器。它在协议栈的应用层(高于IP层),更像是应用程序的执行而非网络设备。SSL ×××用户只需要一个网络浏览器来访问的×××连接。他们会进入到注册了的公司×××网页。SSL ×××主要让远程设备可以访问基于浏览器的应用。不过,通常说来,应用种类越多,SSL ×××的吸引力也就越小。这涉及到IPSec客户软件安全和SSL ×××定制间的取舍。
  一个IPsec ×××把客户的机器连接到公司的网络。一个SSL ×××把一个单独的用户连接到特定的应用程序上。一个通过IPsec ×××进行连接的台式机或笔记本只不过是网络上的另外一台设备。一个SSL ×××是一个网络应用程序。用户通过浏览器访问的是网络上的特定应用程序而不是整个网络。
  所以,IPSec ×××的强项恰恰是SSL ×××的弱项,而SSL ×××的强项恰恰是 IPSec ×××的弱项。
  软件安全方面
  对于IPsec×××和SSL×××来说,尽管公司和用户之间的连接是安全的,但双方都有弱点。
  如果连接到IPsec ×××网络的用户被植入了***程序,他将影响整个网络。比如,如果一个公司的雇员通过她或他家的的没有安装防火墙或者防病毒软件的台式机进行连接,那么×××网络就会变成从没有保护的家用计算机传播病毒、特洛伊程序、间谍软件和***程序的安全渠道。
  SSL ×××s在安全方面有些不同。作为一个Web应用系统,如果没有正确配置,一个SSL ×××是容易受到各种网络***的,如SQL注入,跨站点脚本,弱认证和参数操纵的情况。
  IPsec与SSL谁更适合中小企业?
  对SMB来讲,SSL方式更便宜,更容易维护,需要较少的员工培训。而IPsec方式需要在所有的远程客户端安装×××网关,连接软件并进行相应的配置。它比SSL ×××的成本要高。但是,还应该根据企业的需求来作决策。
  如果远程用户需要访问整个网络,那么IPsec方式是不可避免的。如果用户只需要运行一个很小的应用程序,比如电子邮件、电子表格和演示,并且不需要访问整个网络,那么选择SSL ×××就可以很好的工作。