各种规模大小的公司都可能面临着需要为他们的系统提供远程访问。很多公司也需要面临员工在家里工作的局面，如何能够提高这样工作模式的效率，平衡这种新的工作方式？

还有的问题就是如何处理出外工作的员工，或者其他一些可以信任的区域，比如供应商或者大客户，对公司内部网络进行电子访问的问题。

很多公司通常都会设置几台专用的服务器来为在外部工作的员工提供远程访问，但是这些远程访问通常是通过拨号或者专线连接，这两种方式都很昂贵，不灵活，而且速度会比较慢。

一种更为灵活、价格低廉，也更加时髦的选择是虚拟专网（VPN），这一是种把企业局域网边缘同远程用户安全连接起来的方法，它使用开放的网络，比如互联网和便宜的、不安全的接入方式，比如宽带或者无线热点（wireless Lan hotspots）。

“经济的压力迫使企业寻求费用更加低廉的方案来提供对服务器的远程访问，大范围的服务，比如租用线路，而且他们需要网络有更大的灵活性和安全性，尤其是安全性，目前更是所有企业都关心的头等大事。” Sarah Daniels表示，他是SSL VPN厂商Aventail的市场副总裁。

专用的租用线路每年要花费数千英镑，但好处是在各个点之间有专用的带宽和专用的连接。

可是，只要每个月花费30英镑购买DSL服务，再加上一系列通过互联网的VPN接入，你就可以得到同样的效果。

“VPN很可能是诸如GPRS数据存取之类应用的潜在‘终结者’，因为它能够在公司办公室以外的地方连接到公司的网络，像平时在办公室一样地进行工作，而不是仅仅能够通过网页浏览或者电子邮件来进行工作。” Simon Hodge表示，他是IP VPN 厂商BCW Advanced Technologies的市场总监。

网络安全性一直是远程访问和户外工作的一个障碍。让员工能够通过网络远程访问使用公司内部系统经常会使公司的IT设备上的网络端口大开，从而暴露在社会公众面前，这样做非常容易遭到黑客的攻击，同时也容易成为恶意代码编写者攻击的靶子。

但是为了保护这些服务，你把它们关闭掉，而只对物理上来自企业内部网络的访问开放。

这就让企业面临一个很棘手的问题：如何在为可能不安全的连接提供接入的同时又保护系统的安全性？

“因为现在IT人员不仅仅是要向他们能够信任的网络提供服务了，还要向他们管理的其他一些为公司提供服务的机器提供连接。” Daniels表示。

“如果你是CIO的话，你就面临着一个很大的问题：如何管理更多的用户和地点以及更多的网络的远程访问。”

什么是VPN？

VPN允许用户通过开放的网络，比如互联网进行安全的连接访问，因此通过VPN传送的数据不会被中途截取、阅读或者被篡改。

它工作的方式非常类似于你通过直接电缆连接把你的桌面电脑连接到网络上，这里仅仅是少了线缆。所有的信息都经过严格的加密和高级数据打包处理。

现在有两种类型的VPN被使用。最常见的是IP VPN，它同我们日常使用的是同样的互联网协议。另一种是SSL VPN，它经常被用于大型、高端的系统之中，而且需要专用的硬件VPN系统。

两种方式的共同特点是对数据的保护，通过VPN连接的远程用户不会对你的网络造成安全威胁，这不同于简单地允许通过不安全的网络直接进行的远程连接。

但是，同大多数安全技术一样，人们太容易想当然地认为自己已经安全了，因为自己使用的是VPN，但是很少有人会认真考虑：我真的正确使用它了吗？

“VPN有时候会给人带来一种虚假的安全感觉，这是很危险的。” Tim Pickard表示，他是RSA Security的策划行销总监。

“通过为数据通信加密，他们能够保护信息。但是他们并不能够确认访问网络用户的身份。”

“真正安全的VPN需要的更多，它应该包括用户认证（一种比密码更有效的认证方法），使你能够知道到底是谁在访问你的网络。”

RSA是众多提供高级安全工具的厂商之一，这些工具保护远程访问和登陆，比如保护VPN免受合法用户名和密码泄露后所带来的安全威胁。

不仅仅是安全

有很多针对VPN的软件，但是科技能够做的，远远不止于此。

除了能够在企业局域网和远程用户之间或者网站之间建立连接，VPN还有很多别的用途。

它还能够为企业局域网内的其他资源提供访问，比如打印机，磁盘共享，后台数据库和直接访问邮件服务器，这都不仅仅是基于网络的访问。今天，很多公司都不允许在局域网之外对服务器进行开放式访问。

“VPN对于远程访问来说非常重要，特别是昂贵的无线接入。” Hodge表示。

“使用VPN能够帮助公司为很多设备提供接入，而且接入的方式，采用的是曾经被认为不实际或是安全的互联网，用户可以通过它访问打印机或者其他系统。”

“想想看，如果户外工作的员工能够直接远程使用办公室里的打印机，或者不用去办公室访问后台系统就能够上载命令，那么工作效率会得到多大的提高！”

所以总结上面的论述，VPN不仅仅提供了更好的安全性，还极大地拓展了企业的商业能力。

建设VPN五步法

每次有新版本或者新的产品出现，VPN就变得更加容易配置、使用和理解。以前因为要配置防火墙，使用VPN需要非常专业的知识和经验，还需要对于企业局域网的深刻理解。

在这个例子中，我们使用的是BCW的Secure Planet，不过这个过程同绝大部分基于软件的VPN非常相似，所以很具有代表性。

1. VPN包含两部分：一个客户端和一个网关。网关应该安装在处于你网络边缘的机器上，这样方便内部和外部的通信。

设置网关同安装软件一样简单，你需要定义一组可以使用VPN接入的IP地址，增加一些诸如公司名称，创始地，IT部门联系方式以及你所选择的加密算法等信息。

2. 接下来你需要输入你的许可证号。绝大部分VPN产品都是按照并发用户数来计算许可证数目的，所以确认使用VPN接入的人数是非常重要的，这样你就可以选择购买合适的许可证。

3. 接下来你需要对防火墙进行调整以保证VPN通信能够通过。用户数据包协议（UDP）所需要的500端口需要开放。

UDP是一种通信协议，当信息在IP网络内交换时，需要使用到它。UDP是传输控制协议的一种，同IP协议一起，可以被称作UDP/IP。

你可能还必须打开互联网控制信息协议通信，这是个在主机服务器和网关之间的信息控制和错误报告协议。

4. 客户端的安装过程仅仅是把客户端软件安装在使用者的PC或者笔记本电脑上，然后VPN网关软件会向它们发送一个欢迎邮件，在这封邮件里会说明所有需要进行配置的信息。

一旦收到这封邮件并按照上面的指示完成了配置，客户端就被“注册”为一个可以信任的用户。他们会拥有一个独立的用户名和密码。

5.当一个用户通过VPN连接到网络，他们需要运行这个客户端登陆并等待连接。接下来用户会被安全地连接到企业的网络中来，他就可以开始使用网络驱动器和数据库，内部邮件服务器和打印机等等内部资源。

转载地址：http://www.netsp.com.cn/Article/netsafe/VPN/200609/20060913210701.html