【IT168 报道】如今，VPN已经有专业VPN（如IPSec VPN、SSL VPN等）、windows自带的软件VPN、VPN路由器、VPN防火墙、VPN服务器等各种类型。对于不同的用户，所需要的VPN种类也可能不一样，用户应该如何选择？

    一、VPN产品的族谱

    在常见的VPN产品中大概可以分为专业VPN（如IPSec VPN、SSL VPN等）、windows自带的软件VPN、VPN路由器、VPN防火墙、VPN服务器等几大类。在VPN领域里，windows自带的软件VPN（如WINDOWS2000等软件里就有支持VPN功能），这些软件VPN产品从功能设计上可以作为VPN网关使用；而VPN技术原是路由器的重要技术之一，企业级VPN产品则是从防火墙产品发展而来，防火墙的功能特性己经成为它的基本功能集中的一部分……

    可见，从广义上看，支持VPN的路由器和防火墙等设备都可以算作VPN网关，而作为独立的产品的时候，两者之间就是独立的，甚至是对立的，就拿防火墙来说，VPN与防火墙的协同工作会遇到很多难以解决的问题，有可能不同厂家的防火墙和VPN不能协同工作，防火墙的安全策略无法制定（这是由于VPN把IP数据包加密封装的缘故）或者带来性能的损失，如防火墙无法使用NAT功能等等。

    二、按需选购：VPN需求各不一样

    VPN产品像其他网络产品一样，也存在着不同的层次分级，有适合大型企业的产品、有适合中型网络使用的产品、也有适用于小企业用户使用的产品，而不同层次的产品又有着不同的性能、技术特点，价格差异也比较大。产品的多样化与使用需求的多元化，让人们在选购VPN产品的时候绞尽脑汁，根据不同的使用需求，并综合考虑产品的性能、特点，从而选择适合自身业务和网络需求的产品方案，这是人们在选购时都应当遵循的理性原则。

    1.技术上的选择

    IPSec VPN和SSL VPN是用于企业内部自建VPN的主要有两种技术，IPSec VPN是最典型、也是到目前为止最为安全的协议，与其他隧道和安全技术相比，其优越性在于它的安全性和互操作性，但是成本高，而且管理相对复杂。IPSec VPN技术非常适合于组建远程网络互联VPN，如果需要相对安全、保密的通道，而网络流量有限、对业务实时性要求不高的用户，IPSec VPN应列为首选对象。

    而SSL VPN是一个端到端的协议，无需在通信通路的中间节点（如路由器或防火墙）上实现，也不需要安装客户端软件，仅仅通过浏览器就可以实现VPN的连接，部署相当简单，该技术正在成为远程访问VPN的新宠，如果网络应用逐渐转向Web平台的用户，SSL VPN将会得为你创造更多效益。
 
    还有的就是MPLS VPN技术，MPLS VPN集隧道技术和路由技术于一身，具有极好的灵活性和扩展性，MPLS VPN不仅满足VPN用户对安全性的要求，还减少了网络运营商和用户方的工作量，更是便于实现三网合一，即在同一网络平台上实现基于IP的数据、语音和视频的远程通信。MPLS VPN非常适合对QoS、CoS（服务级别）、网络带宽、可靠性等要求高的VPN业务，适合于远程互联的大中型企业专用网络。

    2.安全性的需求等级

    VPN网络寄生于Internet，所有的数据也必须经过Internet进行交换，而一些属于企业私密信息的数据，用户是绝对不允许将其暴露在网络上，同时VPN网络是在开放的Internet平台之上构建的虚拟网络，也必须保证只有获得授权的用户才能接入VPN网络，因此，安全性是VPN网络构建的关键。根据用户的具体应用和需求，我们把VPN网络的安全性解剖为三层。

    （1）数据传输的安全。数据加密方式是VPN产品比较成熟和公开的技术，几乎所有的VPN产品都是通这种方式来保障数据安全的，不同产品的安全保障程度的区别在于加密的级别和效率。目前应用比较多的加密算法有DES/3DES，DES算法由于加密级别较低（56位加密），已经开始步入淘汰状态；3DES算法的加密强度比较高（168位加密），虽然该算法对处理性能提出了相对较高的要求，但3DES仍然是目前VPN中应用最普遍的加密算法；另外还有其他的一些优秀的加密算法，如AES（Advanced Encryption Standard）标准、OWFISH /128位加密算法、TWOFISH/128位加密算法等，但相对来说应用并不是十分普遍。

（2）用户接入的安全。相对于数据传输安全来说，用户接入安全显得更为重要，因为数据的传输安全即使遭到破坏、也需要较专业的人员才能破译，造成的也只是部分信息的损失，而一旦有非法用户成功接入，那么整个企业网络都将是入侵者的天下，因此，用户对这方面的选择应当更为谨慎。目前市面上的高端VPN产品大部分采用的是证书交换的方式、来确保用户的真实身份；而一些低端的VPN产品由于技术所限、同时又要适应专业性不强的用户使用，所以往往只进行了简单的用户名和密码认证。

（3）内网资源访问的安全。对VPN用户访问权限提供更多严格的设定可以为用户提供更好的资源保密，因为有部分VPN产品在确认了远程用户的合法身份后，用户就可以不受限制的访问全部内网资源，而在实际使用中，大部分企业并不希望远程用户能够不受限制地进行内网资源访问（尤其是当接入的VPN用户并非是企业内部工作人员时），如果可以限制远程用户的访问权限，那就两全其美了。

而市面上优秀VPN产品可以为用户提供对内网访问权限的细致设定，可以对不同的用户分配不同的权限规则，当合法的VPN用户接入企业内部网后，能够把来访者对总部资源的访问权限能够被限定在某个特定范围内，例如一般的企业员工只能访问内网多个应用系统的其中一个子系统，如OA、财务、HR、CRM等其中的一个，而高层管理人员则可以总览全网等，这样就极大的方便了IT安全部门的管理工作。

    3.其他应用需求

    （1）性能：VPN产品的性能将会影响VPN所能容纳的计算机和网络容量，如同时建立VPN隧道数量、同时接入VPN用户数量等等。当VPN网络成为企业的基础网络平台之一，企业的很多应用系统都将在VPN平台上进行，如果VPN系统的稳定性满足不了企业的业务应用时，就会出现经常性的网络中断，导致业务中断，造成不可估量的损失；而如果采用过于高端的VPN产品，则会造成资源的浪费。

    一般来说，规模越大的企业对VPN平台的使用越频繁，对产品稳定性的要求也就越高，而部分对系统依赖性非常强的中小规模的企业，对网络的稳定性要求也相当高，但越稳定的产品，整体的成本肯定会越高，企业在选择时也必须结合自身网络的稳定级别来选购。高端的专用VPN硬件（高端的路由器或VPN服务器），由于其采用高性能的硬件架构、专用的VPN软件，具备非常高的稳定性，但价格比较昂贵；而一些低端的VPN产品、本身就采用了廉价的硬件（包括处理器、相关配件等），往往又集成了除VPN之外的多种业务，难以保障高稳定性的要求，而成本却比较低。

    （2）服务质量保证：企业对互联网的使用越来越多样化，各种各样的应用（如网页浏览、收发邮件、语音视频、远程网络打印、数据库远程访问等）都会占用有限的带宽，所以对于企业来说，如何保障重要业务应用不受影响就显得至关重要——当线路空闲时，各种应用都可以自由的传输；一旦线路繁忙或出现拥塞的时候，系统则首先确保优先级别高的应用不受干扰，保正了企业重要业务的正常运作。 因此，在相同的物理线路上，能否优先保障重要的服务质量，也成为选购VPN产品的重要元素。

（3）可管理性：鉴于VPN产品固有特性——用于解决异地网络的互联互通，所以VPN产品可能会分布于不同的地域，那么如何对整个VPN网络进行有效的管理、维护和监控，是用户丝毫不得忽略的事情。 目前大部分VPN产品往往集成了对整个VPN网络的管理和维护的功能，以便于企业的IT管理人员能够在公司总部、对遍布各地的VPN网络进行相应的监控和维护。

（4）扩展性：由于IT技术的发展日新月异、技术换代速度非常快，所以用户就不得不考虑系统的扩展性问题，以保证投资的有效价值。

（5）对移动用户的支持：随着“移动办公”的工作方式越来越受青睐，如何将越来越多的移动用户纳入公司整体网络，保证移动用户安全、方便的访问公司资源，逐渐成为VPN网络的发展方向之一。由于移动用户不可能带着硬件设备来接入VPN网络，所以需要提供别样的接入设备，有些低端的VPN产品解决移动用户的方式是直接调用操作系统自带的VPN功能，采用PPTP虚拟拨号的方式接入总部，但该种方式只使用基本的用户名密码验证，安全级别非常低，而且也不能同时访问内网和因特网，使用很不方便，而独立的VPN客户端产品还尚在完善中。

   三、VPN产品推荐
 
    支持VPN的产品种类有很多，包括防火墙，路由器，主机网关，拨号接入设备，隧道加密机，隧道交换机等等，其中，带VPN功能的防火墙产品最为常见，因为它既能提供VPN实现网络互连，又能保护企业内部的资源免受外部网络的攻击，因此，也能提供更全面的安全解决方案，如3Com旗下的主要用于企业中心以及大型分支办公室的SuperStack 3防火墙和只适用于小型分支办公室的OfficeConnect DMZ防火墙就是很好的例子；同时，带VPN功能宽带路由也并不少见，由于这类路由大部分针对的是企业级用户或者有特殊用途的个人用户，所以价格也比较高，侠诺门下的很多路由器都是专业的VPN路由产品。

    另外，安软公司的EverLink SRAC VPN网关是一款典型的SSL VPN产品；而深信服的SINFOR M5100 VPN网关则属于IPSec VPN的行列，还有一些是集合IPSec VPN和SSL VPN功能的网关设备，这样的整合设备，可以实现在不同的应用环境下，用户自由切换使用不同的VPN技术，而Juniper公司就有这类型的产品。

    还有的就是，VPN融合产品的代表——Adtran的Total Access 9000，该设备能够支持IPSecVPN网关、MPLS网关、传统语音交换机、VoIP语音网关，配有12、16或24个模拟电话接口，特别适合小企业或大企业的分支机构使用。而在软件VPN方面，目前内置了微软PPTP VPN服务器的网络设备中，分支机构或外出的移动PC可以通过Microsoft操作系统自带的VPN拨号适配器，与总部的VPN建立起安全的连接，客户无须购买昂贵的IPSEC客户端软件就可以实现VPN连接，一方面可以为用户节省投资，而且对于企业用户来说，还可以通过PPTP VPN实现远程移动办公，确实是经济之选。

    四、小结

    VPN的发展迎合了企业用户对更低成本、更高性价比的追求，勿庸置疑，在公共信息基础平台上发展专有网络已是大势所趋，而产品的选择也成为了关键，不同规模的企业、不同模式的业务，对VPN产品的要求也不尽相同，但不管怎样，只有适合自身业务需求和未来发展的产品，并且结合整体投资效益，选择最合适的，最具性价比的产品，才是理智的选择。