【正文】 建立一個(gè)通向他（或她）的公司網(wǎng)絡(luò)的高速隧道。這意味著咨詢?nèi)藛T可以即刻訪問他自己的 LAN資源，如電子郵件、文件共享、計(jì)時(shí)和記費(fèi)應(yīng)用以及技術(shù)庫——所有這些都保存在遠(yuǎn)程地點(diǎn)。這種連接在整個(gè)合同期間可以一直保持，直到合同結(jié)束，當(dāng)新的任務(wù)開始后，再馬上重建一個(gè)新的連接。VPN技術(shù)概述 今天，市場(chǎng)上已出現(xiàn)了一系列的 VPN產(chǎn)品和服務(wù)。從技術(shù)上說，加密隧道可以對(duì)不同的平臺(tái)進(jìn)行認(rèn)證和端接，包括防火墻、路由器、PC（使用軟件）和特制的 VPN設(shè)備。這些平臺(tái)中的每一個(gè)都與效益和費(fèi)用有關(guān)，取決于您所需要解決的連接挑戰(zhàn)。然而，不管平臺(tái)/設(shè)備如何，保護(hù) VPN隧道安全所需的加密處理是一樣學(xué)院校園網(wǎng)設(shè)計(jì)方案第 36 頁的，而且非常精深?；谟布慕鉀Q方案一般都需要大規(guī)模的硬件配置，專用的、基于客戶現(xiàn)有設(shè)備的 VPN集中器最適合大規(guī)模遠(yuǎn)程訪問應(yīng)用。安裝和管理 VPN集中器可由企業(yè)內(nèi)部 IT人員或有組織的 VPN服務(wù)提供商來完成。有些服務(wù)提供商也正在對(duì)建立在服務(wù)提供商網(wǎng)絡(luò)內(nèi)，并由其進(jìn)行管理的解決方案進(jìn)行評(píng)估。這些有時(shí)也稱為 IPVPN的將來的服務(wù)能夠提供更有吸引力的價(jià)位，主要是因?yàn)樗梢跃奂笈目蛻舳纸⒃谝粋€(gè)公共平臺(tái)上。另外，IPVPN 不需要額外的 CPE（客戶單位設(shè)備） ，因此，減少了安裝費(fèi)用和后續(xù)維護(hù)費(fèi)用。IPVPN的原理性缺點(diǎn)在于：加密隧道只端接到服務(wù)提供商網(wǎng)絡(luò)，但其最后一英里是不安全的。一般地講，企業(yè)寧愿選擇所有到達(dá)物理站點(diǎn)的安全路程。VPN的組成和部署考慮這一部分著重闡述企業(yè)級(jí)遠(yuǎn)程訪問 VPN解決方案的一些關(guān)鍵組成。用戶認(rèn)證在很多情況下，一些正在將其撥號(hào)遠(yuǎn)程訪問基礎(chǔ)設(shè)施移植到 VPN的企業(yè)，需要利用它們已有的認(rèn)證服務(wù)器，如遠(yuǎn)程訪問撥入用戶服務(wù)器（RADIUS） 、NT 域認(rèn)證及基于令牌的安全服務(wù)器。當(dāng)被選的 VPN設(shè)備不支持所選擇的認(rèn)證數(shù)據(jù)庫時(shí),您可以使用 RADIUS代理。認(rèn)證請(qǐng)求將從 VPN設(shè)備發(fā)向 RADIUS服務(wù)器，此服務(wù)器起到一個(gè)網(wǎng)關(guān)或 VPN設(shè)備與實(shí)際認(rèn)證服務(wù)器之間的信息翻譯者的作用。在有些情況下，執(zhí)行的 RADIUS服務(wù)器和認(rèn)證數(shù)據(jù)庫可能屬于同一服務(wù)器。一旦代理服務(wù)被定義，遠(yuǎn)程用戶將覺察不出認(rèn)證過程有任何不同。學(xué)院校園網(wǎng)設(shè)計(jì)方案第 37 頁公鑰基礎(chǔ)結(jié)構(gòu)（PKI）可用來認(rèn)證遠(yuǎn)程訪問用戶和生成 IP安全（IPsec）密鑰（參見下面內(nèi)容） 。 數(shù)字證書被用來交換每一遠(yuǎn)程訪問用戶的密鑰信息。而PKI則提供一整套用于數(shù)字證書的分配、管理及廢止的安全服務(wù)。一個(gè)認(rèn)證中心將對(duì)每一份證書進(jìn)行數(shù)字簽署并確認(rèn)其完整性。VPN安全性IPsecVPN的目標(biāo)是通過一個(gè)共享媒介來提供專網(wǎng)服務(wù)。一旦認(rèn)證和網(wǎng)絡(luò)訪問已被授權(quán)給遠(yuǎn)程用戶，安全協(xié)議必須保證數(shù)據(jù)傳輸是保密的。盡管已經(jīng)發(fā)展和形成了了一系列的保密算法和公認(rèn)的標(biāo)準(zhǔn)，仍要求有專門的隧道協(xié)議和加密服務(wù)。假設(shè) TCP/IP是用于企業(yè)網(wǎng)絡(luò)計(jì)算的底層協(xié)議，這樣 VPN解決方案就有義務(wù)利用 IP來提供保密的遠(yuǎn)程訪問服務(wù)。如果沒有具體的安全措施，標(biāo)準(zhǔn)的 IP包就容易受到大量安全破壞因素的影響。例如，單個(gè)數(shù)據(jù)包或數(shù)據(jù)包流可能會(huì)在傳輸過程中被不了解用戶或應(yīng)用的第三者截取和修改，數(shù)據(jù)包的目錄亦可能被檢查和修改，而且源地址和目標(biāo)地址可能會(huì)被改變，而 TCP/IP不能對(duì)這些數(shù)據(jù)流提供任何安全措施。由 IPsec工作組（Inter 工程任務(wù)組〔IETF〕 ）提出的這種框架結(jié)構(gòu)提供了數(shù)據(jù)完整性檢查功能，可以對(duì)分組數(shù)據(jù)和數(shù)據(jù)路徑進(jìn)行篡改檢測(cè)、源地址驗(yàn)證和數(shù)據(jù)保密性檢查等。今天，IPsec 做為一種保護(hù) IP傳輸?shù)膱?jiān)固、安全的方法而被廣泛接受。在遵循 IPsec的各種實(shí)施方案中采用了各種服務(wù)，其中包括密鑰管理、數(shù)據(jù)加密和數(shù)據(jù)認(rèn)證。學(xué)院校園網(wǎng)設(shè)計(jì)方案第 38 頁加密加密是一個(gè)通過一個(gè)算法對(duì)數(shù)據(jù)進(jìn)行編碼的過程。如果不能對(duì)數(shù)據(jù)包進(jìn)行有效解密，則不能閱讀合成的數(shù)據(jù)報(bào)（加密數(shù)據(jù)流） 。數(shù)據(jù)加密算法一般是可配置的。今天，3DES 或三重 DES（數(shù)據(jù)加密標(biāo)準(zhǔn)）加密被廣泛使用，而且被認(rèn)為對(duì)于企業(yè)的部署以及敏感數(shù)據(jù)的應(yīng)用來說是足夠安全的。國家標(biāo)準(zhǔn)和技術(shù)研究所從 1975年起已認(rèn)可了 3DES。另外，數(shù)據(jù)認(rèn)證協(xié)議也是可配置的，今天最流行的是安全混編算法 1（SHA1）和信息摘要 5（MD5） 。密鑰交換可用來識(shí)別遠(yuǎn)程訪問對(duì)話中的每一方。一個(gè)流行的密鑰交換自動(dòng)方法被稱為 IKE或者互聯(lián)網(wǎng)密鑰交換（亦即以前的 ISAKMP/Oakley） 。有關(guān) IPsec更進(jìn)一步的信息，請(qǐng)參見 IPsec體系結(jié)構(gòu)文檔RFC2401。隧道隧道是一項(xiàng)將一種協(xié)議的數(shù)據(jù)包用另一種協(xié)議來進(jìn)行封裝的技術(shù)，它可以被用于不同協(xié)議網(wǎng)絡(luò)之間數(shù)據(jù)包的傳送或路由。在 VPN的環(huán)境中，它被用來封裝保密信息，而且加密算法也被應(yīng)用于有效負(fù)載。已經(jīng)發(fā)展了幾種不同的隧道協(xié)議，且每一種都基于一種第二層（第二層隧道）或第三層（第三層隧道）隧道協(xié)議。IPsec包（第三層）可能以自然形式或與其它隧道協(xié)議如第二層隧道協(xié)議(L2TP)嵌套使用。例如,Windows 2022就包含了一個(gè)本地 VPN桌面客戶機(jī)程序，它采用 IPsec上的 L2TP作為傳輸協(xié)議。這種組合將 L2TP的路由優(yōu)勢(shì)與 IPsec的安全優(yōu)勢(shì)結(jié)合在一起。VPN隧道終端設(shè)備學(xué)院校園網(wǎng)設(shè)計(jì)方案第 39 頁隧道終端設(shè)備位于企業(yè)網(wǎng)絡(luò)的物理和邏輯接入點(diǎn)。它通過查找內(nèi)部或外部的數(shù)據(jù)庫來認(rèn)證用戶，然后對(duì)單獨(dú)的數(shù)據(jù)流進(jìn)行解密。這種設(shè)備一般有兩個(gè)物理接口：一個(gè)是用來對(duì)從服務(wù)提供商網(wǎng)絡(luò)輸入的數(shù)據(jù)流進(jìn)行加密的公共接口（以太網(wǎng)或 T1/E1） ，另一個(gè)則是用來對(duì)輸入和輸出的 LAN數(shù)據(jù)流進(jìn)行解密的專用接口。專用設(shè)備的有關(guān)情況目前市場(chǎng)上有各種不同的 VPN產(chǎn)品。對(duì)于高可用性的企業(yè)應(yīng)用而言，最好是挑出一個(gè)專為匯聚大量同時(shí)對(duì)話而設(shè)計(jì)的專用 VPN集中器平臺(tái)。在評(píng)估集中器設(shè)備的能力時(shí)，應(yīng)該先回答下列問題：? 它是一個(gè)專用通信平臺(tái)嗎？—許多廠商試圖以通用 PC建造他們的 VPN設(shè)備來進(jìn)入市場(chǎng)。 但這一途徑需忍受商用級(jí) PC技術(shù)的低平均無故障時(shí)間（MTBF） 、易出故障的如磁盤、驅(qū)動(dòng)器等機(jī)械部件以及缺乏用來處理性能需求的升級(jí)能力。就象路由器和交換機(jī)一樣，VPN 設(shè)備是通信基礎(chǔ)設(shè)施的一部分，應(yīng)該由一個(gè)特制的通信平臺(tái)來實(shí)現(xiàn)。有物理冗余設(shè)計(jì)嗎？— 一個(gè)高可用性的平臺(tái)應(yīng)能提供完全冗余的電源、多風(fēng)扇及現(xiàn)場(chǎng)可更換部件，同時(shí)可以方便地對(duì)故障單元進(jìn)行更換。應(yīng)該找到這樣一種設(shè)備，它能夠進(jìn)行機(jī)柜安裝，在發(fā)生故障時(shí)能夠熱插拔更換部件，同時(shí)其外形尺寸和重量還能連夜裝運(yùn)替換部件。? 產(chǎn)品使用的是否是經(jīng)驗(yàn)證過的軟件操作系統(tǒng)？—即使硬件采用了堅(jiān)固的容錯(cuò)設(shè)計(jì)，系統(tǒng)的正常工作仍然可能受到那種使用專用、未經(jīng)驗(yàn)證的操作系統(tǒng)的軟件體系結(jié)構(gòu)的影響。理想情況下，軟件平臺(tái)應(yīng)該基于一種在嵌入系統(tǒng)產(chǎn)品中經(jīng)過有效現(xiàn)場(chǎng)驗(yàn)證的行業(yè)標(biāo)準(zhǔn)操作系統(tǒng)。學(xué)院校園網(wǎng)設(shè)計(jì)方案第 40 頁? 設(shè)備是否能進(jìn)行主動(dòng)管理來達(dá)到高可用性？—VPN 設(shè)計(jì)應(yīng)包括用于監(jiān)視關(guān)鍵部件以及在潛在故障條件之前告警的工具。它應(yīng)能對(duì)電源、風(fēng)扇速度以及內(nèi)部溫度的狀態(tài)進(jìn)行監(jiān)視。隨著時(shí)間的推移，由這些部件而引起的系統(tǒng)故障將會(huì)逐步發(fā)生。另外，一旦系統(tǒng)“崩潰” ， 系統(tǒng)軟件應(yīng)能進(jìn)行自動(dòng)恢復(fù)。為了保證高可用性，各單元應(yīng)能在沒有外部干預(yù)的情況下，從軟件故障中恢復(fù)。 性能第一代遠(yuǎn)程訪問 VPN設(shè)備當(dāng)時(shí)設(shè)計(jì)時(shí)是假定采納者相對(duì)較少，并且首先支持通過撥號(hào)連接的低帶寬電子郵件。隨著遠(yuǎn)程訪問 VPN的成熟，需求繼續(xù)迅速增長(zhǎng)并包含了大型遠(yuǎn)程用戶團(tuán)體，他們可能正運(yùn)行著各種密集實(shí)時(shí)數(shù)據(jù)（甚至多媒體）應(yīng)用，不僅通過撥號(hào)及綜合數(shù)字業(yè)務(wù)網(wǎng)（ISDN）線路，而且也通過高速寬帶（有線，DSL 和無線）連接上網(wǎng)。隨著用戶人口及應(yīng)用需求的增加，需要提供一致的性能，而 VPN集中器必須一致地將可用的高性能交付給處于可能的最寬范圍工作條件下的所有用戶。這些性能應(yīng)由以下三條標(biāo)準(zhǔn)來評(píng)價(jià)：? 加密吞吐量—堅(jiān)固的加密是保證 VPN上數(shù)據(jù)保密的關(guān)鍵。盡管存在很多算法，但功能最強(qiáng)的可用標(biāo)準(zhǔn)加密算法是 3DES，它使用了 168位的有效密鑰長(zhǎng)度。這種加密一般來說不可能由于粗暴的強(qiáng)力處理而被破解，并且，它需要使用很多的處理資源。因此，高吞吐量的關(guān)鍵是產(chǎn)品處理高速度 3DES加密的能力。不幸的是，各廠商給出的夸張的、令人誤解的聲明已使得對(duì) VPN產(chǎn)品吞吐量進(jìn)行完全的對(duì)比變得非常困難。因此，最好的方法（除非給出獨(dú)立第三方的測(cè)試結(jié)果）是詢問各廠商幾個(gè)關(guān)于他們的吞吐量數(shù)字是從何而來的“嚴(yán)肅問題” 。這些問題包括：學(xué)院校園網(wǎng)設(shè)計(jì)方案第 41 頁? 加密是否工作？考慮到 VPN的安全性需求，在加密沒有工作時(shí)得出的吞吐量數(shù)據(jù)基本上沒有什么實(shí)際意義?？紤]到加密的處理密集特性，在其沒有工作時(shí)得出的吞吐量結(jié)果一般都是虛假、夸大其詞的數(shù)字，特別是那些沒有硬件加密輔助的純軟件產(chǎn)品。? 采用了什么加密方法？吞吐量與加密算法的復(fù)雜程度密切相關(guān)。要確認(rèn)廠商是否提供了在使用最安全、同時(shí)也是處理密集程度最高的 3DES時(shí)的吞吐量數(shù)字。另外，還要確認(rèn) 3DES的實(shí)施方案是否使用了完全的 168位密鑰長(zhǎng)度。? 是否包含認(rèn)證？高級(jí)安全協(xié)議如 IPsec都提供數(shù)據(jù)保密（加密）和數(shù)據(jù)認(rèn)證功能。認(rèn)證部分一般是使用混編算法如 MD5或 SHA1實(shí)現(xiàn)，從而保護(hù)數(shù)據(jù)包不被篡改或遭受安全攻擊。但是，認(rèn)證需要很大的處理開銷，因此，要確認(rèn)廠商所提供的性能數(shù)據(jù)不僅僅是在 3DES加密情況下得到，而且要考慮到數(shù)據(jù)認(rèn)證部分。? 數(shù)據(jù)包的大小如何？隨著平均數(shù)據(jù)包容量的加大，吞吐量增加。因此，很多廠商使用最大的 1500字節(jié)數(shù)據(jù)包來美化自己的吞吐量數(shù)字。不過，最小的 64字節(jié)的數(shù)據(jù)包是最富挑戰(zhàn)性的負(fù)載，但不幸的是，它又是正常工作情況下經(jīng)常用到的。因此，在進(jìn)行 IP網(wǎng)絡(luò)吞吐量測(cè)試時(shí)，比較合理的“平均”數(shù)據(jù)包容量應(yīng)該為 512字節(jié)。? 提供的數(shù)字是否全雙工情況下給出？一些常見并且容易產(chǎn)生誤導(dǎo)的做法是單獨(dú)計(jì)算輸入、輸出的數(shù)據(jù)率，然后將它們加在一起，給出吞吐量數(shù)據(jù)，這種方法將產(chǎn)品的實(shí)際數(shù)據(jù)率提高了一倍。而實(shí)際的吞吐量應(yīng)該是通過網(wǎng)絡(luò)單元的數(shù)據(jù)率，也就是說，一個(gè)接口接收數(shù)據(jù)，進(jìn)行處理，然后再發(fā)送出去的數(shù)據(jù)速率。學(xué)院校園網(wǎng)設(shè)計(jì)方案第 42 頁? 在所聲明的吞吐量下能夠支持多少同時(shí)連接？與需要管理多個(gè)對(duì)話的關(guān)系型交換開銷相比，使用一個(gè)單獨(dú)的連接可以很容易地實(shí)現(xiàn)非常高的吞吐量。而在實(shí)際使用過程中，在大量同時(shí)連接上提供一致性能的能力至關(guān)重要。? 測(cè)試中使用的是什么樣的數(shù)據(jù)流？使用高重復(fù)性的非應(yīng)用數(shù)據(jù)，并且使用一些如壓縮或高速緩存技術(shù)可以明顯提高表面上的數(shù)據(jù)率，從而導(dǎo)致欺騙性的性能結(jié)果。因此，測(cè)試時(shí)應(yīng)該使用真實(shí)的混合數(shù)據(jù)，并且使用正常的網(wǎng)絡(luò)協(xié)議進(jìn)行傳輸。? 哪些內(nèi)容被統(tǒng)計(jì)成“數(shù)據(jù)”？當(dāng)對(duì)吞吐量進(jìn)行測(cè)量時(shí)，協(xié)議的頭部信息都是正常開銷，而不是數(shù)據(jù)。最有意義的性能結(jié)果是僅考慮用戶凈負(fù)載數(shù)據(jù)部分。因此，在進(jìn)行性能數(shù)據(jù)的完全比較時(shí)，要比較一下數(shù)據(jù)的統(tǒng)計(jì)方法。? 響應(yīng)時(shí)間。確保產(chǎn)品的低延遲時(shí)間也是提供一致的高性能的關(guān)鍵。這一點(diǎn)會(huì)影響到吞吐量的測(cè)試，因?yàn)殡S著負(fù)載的增加，內(nèi)部的排隊(duì)會(huì)增加，因而吞吐量提高，但延遲時(shí)間加大。一般來說，專用平臺(tái)的性能要大大超過基于 PC的產(chǎn)品，因?yàn)?，它們專為?shù)據(jù)密集通信應(yīng)用而進(jìn)行過特殊設(shè)計(jì)。對(duì)于高速寬帶用戶而言，響應(yīng)時(shí)間成為越來越重要的關(guān)鍵考慮因素。因?yàn)槠鋽?shù)據(jù)率比一般的 Modem連接快 50倍，這些寬帶用戶越來越對(duì) VPN引入的延遲敏感。? 每秒的數(shù)據(jù)包。加密吞吐量是最好的系統(tǒng)整體性能衡量標(biāo)準(zhǔn)，但每秒的數(shù)據(jù)包傳輸數(shù)量也是一個(gè)能夠幫助消除與加密有關(guān)的誤導(dǎo)聲明的一個(gè)實(shí)用衡量指標(biāo)。該數(shù)字能夠衡量 VPN產(chǎn)品在公網(wǎng)和專網(wǎng)接口之間路由數(shù)據(jù)包的能力。學(xué)院校園網(wǎng)設(shè)計(jì)方案第 43 頁集成路由的有關(guān)說明VPN設(shè)備中的路由功能極大地提高了這些設(shè)備的靈活性。在很多情況下，企業(yè)將選擇使用基于遠(yuǎn)程訪問的 VPN來連接一或多個(gè)遠(yuǎn)程站點(diǎn)。路由功能使中心站點(diǎn)的 VPN設(shè)備在初始安裝期間有效地了解遠(yuǎn)程網(wǎng)絡(luò)，并在以后的實(shí)際工作中動(dòng)態(tài)地更新連接。這樣，極大地減少了安裝時(shí)間和維護(hù)靜態(tài)路由表的管理開銷。防火墻功能VPN集中器的一個(gè)主要目的是通過共享的介質(zhì)或公網(wǎng)實(shí)現(xiàn)對(duì)專網(wǎng)的安全訪問。授權(quán)用戶能夠建立到設(shè)備的隧道，然后按照用戶數(shù)據(jù)庫的內(nèi)容進(jìn)行認(rèn)證。若該用戶是合法用戶，VPN 集中器將提供到本地局域網(wǎng)的連接，并為數(shù)據(jù)流提供加密和解密服務(wù)。防火墻的功能就是限制從共享介質(zhì)或公網(wǎng)（通常是 Inter）到專網(wǎng)的訪問。雖然這兩種服務(wù)之間有很大程度的重復(fù)，但在考慮為企業(yè)部署合適的集成解決方案之前，需要對(duì)各種服務(wù)的優(yōu)缺點(diǎn)進(jìn)行認(rèn)真考慮。以下讓我們考慮三種類型的防火墻：? 包過濾防火墻 – 這是復(fù)雜程度最低同時(shí)資源需求最小的防火墻。包過濾防火墻可用于簡(jiǎn)單的網(wǎng)絡(luò)邏輯，如接受/拒絕源或目標(biāo)地址或某種應(yīng)用類型。? 代理防火墻 – 代理防火墻可以作為源和目標(biāo)主機(jī)之間的網(wǎng)關(guān)。代理防火墻的主要優(yōu)勢(shì)在于所有出站的傳輸都是從代理地址發(fā)出，而不是本地安全局域網(wǎng)中的實(shí)際主機(jī)地址。這實(shí)現(xiàn)了 Inter通信的分離，從而提高了安全性。另外，代理防火墻還能夠提供詳細(xì)使用情況跟蹤、報(bào)告和訪問控制功能。學(xué)院校園網(wǎng)設(shè)計(jì)方案第 44 頁? 靜態(tài)監(jiān)視防火墻 – 靜態(tài)監(jiān)視防火墻是最復(fù)雜的一種防火墻，但其提供了豐富的傳輸審計(jì)、管理和安全政策管理能力。流過防火墻的每一個(gè)數(shù)據(jù)包都得到有效分析。包過濾防火墻適合于僅進(jìn)行 VPN訪問的 VPN集中器。事實(shí)上，大多數(shù)企業(yè)喜歡的部署拓?fù)浣Y(jié)構(gòu)是 VPN集中器配合安裝靜態(tài)監(jiān)視防火墻（用于常用的 Inter傳輸） 。在這種