【正文】 建立一個通向他（或她）的公司網(wǎng)絡的高速隧道。這意味著咨詢人員可以即刻訪問他自己的 LAN資源，如電子郵件、文件共享、計時和記費應用以及技術庫——所有這些都保存在遠程地點。這種連接在整個合同期間可以一直保持，直到合同結束，當新的任務開始后，再馬上重建一個新的連接。VPN技術概述 今天，市場上已出現(xiàn)了一系列的 VPN產品和服務。從技術上說，加密隧道可以對不同的平臺進行認證和端接，包括防火墻、路由器、PC（使用軟件）和特制的 VPN設備。這些平臺中的每一個都與效益和費用有關，取決于您所需要解決的連接挑戰(zhàn)。然而，不管平臺/設備如何，保護 VPN隧道安全所需的加密處理是一樣學院校園網(wǎng)設計方案第 36 頁的，而且非常精深?；谟布慕鉀Q方案一般都需要大規(guī)模的硬件配置，專用的、基于客戶現(xiàn)有設備的 VPN集中器最適合大規(guī)模遠程訪問應用。安裝和管理 VPN集中器可由企業(yè)內部 IT人員或有組織的 VPN服務提供商來完成。有些服務提供商也正在對建立在服務提供商網(wǎng)絡內，并由其進行管理的解決方案進行評估。這些有時也稱為 IPVPN的將來的服務能夠提供更有吸引力的價位，主要是因為它可以聚集大批的客戶而又建立在一個公共平臺上。另外，IPVPN 不需要額外的 CPE（客戶單位設備） ，因此，減少了安裝費用和后續(xù)維護費用。IPVPN的原理性缺點在于：加密隧道只端接到服務提供商網(wǎng)絡，但其最后一英里是不安全的。一般地講，企業(yè)寧愿選擇所有到達物理站點的安全路程。VPN的組成和部署考慮這一部分著重闡述企業(yè)級遠程訪問 VPN解決方案的一些關鍵組成。用戶認證在很多情況下，一些正在將其撥號遠程訪問基礎設施移植到 VPN的企業(yè)，需要利用它們已有的認證服務器，如遠程訪問撥入用戶服務器（RADIUS） 、NT 域認證及基于令牌的安全服務器。當被選的 VPN設備不支持所選擇的認證數(shù)據(jù)庫時,您可以使用 RADIUS代理。認證請求將從 VPN設備發(fā)向 RADIUS服務器，此服務器起到一個網(wǎng)關或 VPN設備與實際認證服務器之間的信息翻譯者的作用。在有些情況下，執(zhí)行的 RADIUS服務器和認證數(shù)據(jù)庫可能屬于同一服務器。一旦代理服務被定義，遠程用戶將覺察不出認證過程有任何不同。學院校園網(wǎng)設計方案第 37 頁公鑰基礎結構（PKI）可用來認證遠程訪問用戶和生成 IP安全（IPsec）密鑰（參見下面內容） 。 數(shù)字證書被用來交換每一遠程訪問用戶的密鑰信息。而PKI則提供一整套用于數(shù)字證書的分配、管理及廢止的安全服務。一個認證中心將對每一份證書進行數(shù)字簽署并確認其完整性。VPN安全性IPsecVPN的目標是通過一個共享媒介來提供專網(wǎng)服務。一旦認證和網(wǎng)絡訪問已被授權給遠程用戶，安全協(xié)議必須保證數(shù)據(jù)傳輸是保密的。盡管已經(jīng)發(fā)展和形成了了一系列的保密算法和公認的標準，仍要求有專門的隧道協(xié)議和加密服務。假設 TCP/IP是用于企業(yè)網(wǎng)絡計算的底層協(xié)議，這樣 VPN解決方案就有義務利用 IP來提供保密的遠程訪問服務。如果沒有具體的安全措施，標準的 IP包就容易受到大量安全破壞因素的影響。例如，單個數(shù)據(jù)包或數(shù)據(jù)包流可能會在傳輸過程中被不了解用戶或應用的第三者截取和修改，數(shù)據(jù)包的目錄亦可能被檢查和修改，而且源地址和目標地址可能會被改變，而 TCP/IP不能對這些數(shù)據(jù)流提供任何安全措施。由 IPsec工作組（Inter 工程任務組〔IETF〕 ）提出的這種框架結構提供了數(shù)據(jù)完整性檢查功能，可以對分組數(shù)據(jù)和數(shù)據(jù)路徑進行篡改檢測、源地址驗證和數(shù)據(jù)保密性檢查等。今天，IPsec 做為一種保護 IP傳輸?shù)膱怨獭踩姆椒ǘ粡V泛接受。在遵循 IPsec的各種實施方案中采用了各種服務，其中包括密鑰管理、數(shù)據(jù)加密和數(shù)據(jù)認證。學院校園網(wǎng)設計方案第 38 頁加密加密是一個通過一個算法對數(shù)據(jù)進行編碼的過程。如果不能對數(shù)據(jù)包進行有效解密，則不能閱讀合成的數(shù)據(jù)報（加密數(shù)據(jù)流） 。數(shù)據(jù)加密算法一般是可配置的。今天，3DES 或三重 DES（數(shù)據(jù)加密標準）加密被廣泛使用，而且被認為對于企業(yè)的部署以及敏感數(shù)據(jù)的應用來說是足夠安全的。國家標準和技術研究所從 1975年起已認可了 3DES。另外，數(shù)據(jù)認證協(xié)議也是可配置的，今天最流行的是安全混編算法 1（SHA1）和信息摘要 5（MD5） 。密鑰交換可用來識別遠程訪問對話中的每一方。一個流行的密鑰交換自動方法被稱為 IKE或者互聯(lián)網(wǎng)密鑰交換（亦即以前的 ISAKMP/Oakley） 。有關 IPsec更進一步的信息，請參見 IPsec體系結構文檔RFC2401。隧道隧道是一項將一種協(xié)議的數(shù)據(jù)包用另一種協(xié)議來進行封裝的技術，它可以被用于不同協(xié)議網(wǎng)絡之間數(shù)據(jù)包的傳送或路由。在 VPN的環(huán)境中，它被用來封裝保密信息，而且加密算法也被應用于有效負載。已經(jīng)發(fā)展了幾種不同的隧道協(xié)議，且每一種都基于一種第二層（第二層隧道）或第三層（第三層隧道）隧道協(xié)議。IPsec包（第三層）可能以自然形式或與其它隧道協(xié)議如第二層隧道協(xié)議(L2TP)嵌套使用。例如,Windows 2022就包含了一個本地 VPN桌面客戶機程序，它采用 IPsec上的 L2TP作為傳輸協(xié)議。這種組合將 L2TP的路由優(yōu)勢與 IPsec的安全優(yōu)勢結合在一起。VPN隧道終端設備學院校園網(wǎng)設計方案第 39 頁隧道終端設備位于企業(yè)網(wǎng)絡的物理和邏輯接入點。它通過查找內部或外部的數(shù)據(jù)庫來認證用戶，然后對單獨的數(shù)據(jù)流進行解密。這種設備一般有兩個物理接口：一個是用來對從服務提供商網(wǎng)絡輸入的數(shù)據(jù)流進行加密的公共接口（以太網(wǎng)或 T1/E1） ，另一個則是用來對輸入和輸出的 LAN數(shù)據(jù)流進行解密的專用接口。專用設備的有關情況目前市場上有各種不同的 VPN產品。對于高可用性的企業(yè)應用而言，最好是挑出一個專為匯聚大量同時對話而設計的專用 VPN集中器平臺。在評估集中器設備的能力時，應該先回答下列問題：? 它是一個專用通信平臺嗎？—許多廠商試圖以通用 PC建造他們的 VPN設備來進入市場。 但這一途徑需忍受商用級 PC技術的低平均無故障時間（MTBF） 、易出故障的如磁盤、驅動器等機械部件以及缺乏用來處理性能需求的升級能力。就象路由器和交換機一樣，VPN 設備是通信基礎設施的一部分，應該由一個特制的通信平臺來實現(xiàn)。有物理冗余設計嗎？— 一個高可用性的平臺應能提供完全冗余的電源、多風扇及現(xiàn)場可更換部件，同時可以方便地對故障單元進行更換。應該找到這樣一種設備，它能夠進行機柜安裝，在發(fā)生故障時能夠熱插拔更換部件，同時其外形尺寸和重量還能連夜裝運替換部件。? 產品使用的是否是經(jīng)驗證過的軟件操作系統(tǒng)？—即使硬件采用了堅固的容錯設計，系統(tǒng)的正常工作仍然可能受到那種使用專用、未經(jīng)驗證的操作系統(tǒng)的軟件體系結構的影響。理想情況下，軟件平臺應該基于一種在嵌入系統(tǒng)產品中經(jīng)過有效現(xiàn)場驗證的行業(yè)標準操作系統(tǒng)。學院校園網(wǎng)設計方案第 40 頁? 設備是否能進行主動管理來達到高可用性？—VPN 設計應包括用于監(jiān)視關鍵部件以及在潛在故障條件之前告警的工具。它應能對電源、風扇速度以及內部溫度的狀態(tài)進行監(jiān)視。隨著時間的推移，由這些部件而引起的系統(tǒng)故障將會逐步發(fā)生。另外，一旦系統(tǒng)“崩潰” ， 系統(tǒng)軟件應能進行自動恢復。為了保證高可用性，各單元應能在沒有外部干預的情況下，從軟件故障中恢復。 性能第一代遠程訪問 VPN設備當時設計時是假定采納者相對較少，并且首先支持通過撥號連接的低帶寬電子郵件。隨著遠程訪問 VPN的成熟，需求繼續(xù)迅速增長并包含了大型遠程用戶團體，他們可能正運行著各種密集實時數(shù)據(jù)（甚至多媒體）應用，不僅通過撥號及綜合數(shù)字業(yè)務網(wǎng)（ISDN）線路，而且也通過高速寬帶（有線，DSL 和無線）連接上網(wǎng)。隨著用戶人口及應用需求的增加，需要提供一致的性能，而 VPN集中器必須一致地將可用的高性能交付給處于可能的最寬范圍工作條件下的所有用戶。這些性能應由以下三條標準來評價：? 加密吞吐量—堅固的加密是保證 VPN上數(shù)據(jù)保密的關鍵。盡管存在很多算法，但功能最強的可用標準加密算法是 3DES，它使用了 168位的有效密鑰長度。這種加密一般來說不可能由于粗暴的強力處理而被破解，并且，它需要使用很多的處理資源。因此，高吞吐量的關鍵是產品處理高速度 3DES加密的能力。不幸的是，各廠商給出的夸張的、令人誤解的聲明已使得對 VPN產品吞吐量進行完全的對比變得非常困難。因此，最好的方法（除非給出獨立第三方的測試結果）是詢問各廠商幾個關于他們的吞吐量數(shù)字是從何而來的“嚴肅問題” 。這些問題包括：學院校園網(wǎng)設計方案第 41 頁? 加密是否工作？考慮到 VPN的安全性需求，在加密沒有工作時得出的吞吐量數(shù)據(jù)基本上沒有什么實際意義?？紤]到加密的處理密集特性，在其沒有工作時得出的吞吐量結果一般都是虛假、夸大其詞的數(shù)字，特別是那些沒有硬件加密輔助的純軟件產品。? 采用了什么加密方法？吞吐量與加密算法的復雜程度密切相關。要確認廠商是否提供了在使用最安全、同時也是處理密集程度最高的 3DES時的吞吐量數(shù)字。另外，還要確認 3DES的實施方案是否使用了完全的 168位密鑰長度。? 是否包含認證？高級安全協(xié)議如 IPsec都提供數(shù)據(jù)保密（加密）和數(shù)據(jù)認證功能。認證部分一般是使用混編算法如 MD5或 SHA1實現(xiàn)，從而保護數(shù)據(jù)包不被篡改或遭受安全攻擊。但是，認證需要很大的處理開銷，因此，要確認廠商所提供的性能數(shù)據(jù)不僅僅是在 3DES加密情況下得到，而且要考慮到數(shù)據(jù)認證部分。? 數(shù)據(jù)包的大小如何？隨著平均數(shù)據(jù)包容量的加大，吞吐量增加。因此，很多廠商使用最大的 1500字節(jié)數(shù)據(jù)包來美化自己的吞吐量數(shù)字。不過，最小的 64字節(jié)的數(shù)據(jù)包是最富挑戰(zhàn)性的負載，但不幸的是，它又是正常工作情況下經(jīng)常用到的。因此，在進行 IP網(wǎng)絡吞吐量測試時，比較合理的“平均”數(shù)據(jù)包容量應該為 512字節(jié)。? 提供的數(shù)字是否全雙工情況下給出？一些常見并且容易產生誤導的做法是單獨計算輸入、輸出的數(shù)據(jù)率，然后將它們加在一起，給出吞吐量數(shù)據(jù)，這種方法將產品的實際數(shù)據(jù)率提高了一倍。而實際的吞吐量應該是通過網(wǎng)絡單元的數(shù)據(jù)率，也就是說，一個接口接收數(shù)據(jù)，進行處理，然后再發(fā)送出去的數(shù)據(jù)速率。學院校園網(wǎng)設計方案第 42 頁? 在所聲明的吞吐量下能夠支持多少同時連接？與需要管理多個對話的關系型交換開銷相比，使用一個單獨的連接可以很容易地實現(xiàn)非常高的吞吐量。而在實際使用過程中，在大量同時連接上提供一致性能的能力至關重要。? 測試中使用的是什么樣的數(shù)據(jù)流？使用高重復性的非應用數(shù)據(jù)，并且使用一些如壓縮或高速緩存技術可以明顯提高表面上的數(shù)據(jù)率，從而導致欺騙性的性能結果。因此，測試時應該使用真實的混合數(shù)據(jù)，并且使用正常的網(wǎng)絡協(xié)議進行傳輸。? 哪些內容被統(tǒng)計成“數(shù)據(jù)”？當對吞吐量進行測量時，協(xié)議的頭部信息都是正常開銷，而不是數(shù)據(jù)。最有意義的性能結果是僅考慮用戶凈負載數(shù)據(jù)部分。因此，在進行性能數(shù)據(jù)的完全比較時，要比較一下數(shù)據(jù)的統(tǒng)計方法。? 響應時間。確保產品的低延遲時間也是提供一致的高性能的關鍵。這一點會影響到吞吐量的測試，因為隨著負載的增加，內部的排隊會增加，因而吞吐量提高，但延遲時間加大。一般來說，專用平臺的性能要大大超過基于 PC的產品，因為，它們專為數(shù)據(jù)密集通信應用而進行過特殊設計。對于高速寬帶用戶而言，響應時間成為越來越重要的關鍵考慮因素。因為其數(shù)據(jù)率比一般的 Modem連接快 50倍，這些寬帶用戶越來越對 VPN引入的延遲敏感。? 每秒的數(shù)據(jù)包。加密吞吐量是最好的系統(tǒng)整體性能衡量標準，但每秒的數(shù)據(jù)包傳輸數(shù)量也是一個能夠幫助消除與加密有關的誤導聲明的一個實用衡量指標。該數(shù)字能夠衡量 VPN產品在公網(wǎng)和專網(wǎng)接口之間路由數(shù)據(jù)包的能力。學院校園網(wǎng)設計方案第 43 頁集成路由的有關說明VPN設備中的路由功能極大地提高了這些設備的靈活性。在很多情況下，企業(yè)將選擇使用基于遠程訪問的 VPN來連接一或多個遠程站點。路由功能使中心站點的 VPN設備在初始安裝期間有效地了解遠程網(wǎng)絡，并在以后的實際工作中動態(tài)地更新連接。這樣，極大地減少了安裝時間和維護靜態(tài)路由表的管理開銷。防火墻功能VPN集中器的一個主要目的是通過共享的介質或公網(wǎng)實現(xiàn)對專網(wǎng)的安全訪問。授權用戶能夠建立到設備的隧道，然后按照用戶數(shù)據(jù)庫的內容進行認證。若該用戶是合法用戶，VPN 集中器將提供到本地局域網(wǎng)的連接，并為數(shù)據(jù)流提供加密和解密服務。防火墻的功能就是限制從共享介質或公網(wǎng)（通常是 Inter）到專網(wǎng)的訪問。雖然這兩種服務之間有很大程度的重復，但在考慮為企業(yè)部署合適的集成解決方案之前，需要對各種服務的優(yōu)缺點進行認真考慮。以下讓我們考慮三種類型的防火墻：? 包過濾防火墻 – 這是復雜程度最低同時資源需求最小的防火墻。包過濾防火墻可用于簡單的網(wǎng)絡邏輯，如接受/拒絕源或目標地址或某種應用類型。? 代理防火墻 – 代理防火墻可以作為源和目標主機之間的網(wǎng)關。代理防火墻的主要優(yōu)勢在于所有出站的傳輸都是從代理地址發(fā)出，而不是本地安全局域網(wǎng)中的實際主機地址。這實現(xiàn)了 Inter通信的分離，從而提高了安全性。另外，代理防火墻還能夠提供詳細使用情況跟蹤、報告和訪問控制功能。學院校園網(wǎng)設計方案第 44 頁? 靜態(tài)監(jiān)視防火墻 – 靜態(tài)監(jiān)視防火墻是最復雜的一種防火墻，但其提供了豐富的傳輸審計、管理和安全政策管理能力。流過防火墻的每一個數(shù)據(jù)包都得到有效分析。包過濾防火墻適合于僅進行 VPN訪問的 VPN集中器。事實上，大多數(shù)企業(yè)喜歡的部署拓撲結構是 VPN集中器配合安裝靜態(tài)監(jiān)視防火墻（用于常用的 Inter傳輸） 。在這種