作為一種成熟有效的低成本廣域網互聯解決方案，通過VPN技術實現遠程安全接入已經得到了普遍的接受和廣泛的應用。通過VPN，可以讓遠程的分支機構、移動辦公用戶乃至于合作伙伴在一個類似于局域網的環境下協同工作。

在所有VPN技術中，IPSec VPN是公認的最佳的網絡到網絡VPN解決方案，廣泛應用于總部和分支機構之間的互聯。IPSec是標準的網絡安全協議，它可以提供透明的IP層加密通訊服務，加密強度根據選擇的加密算法不同而有所區別。由于是基于IP層進行加密，所以與上層協議與應用無關，對各種應用的支持較好。

但是IPSec VPN不支持路由協議的透傳，因此在進行需要透傳路由協議的相對復雜組網的時候會遇到困難。為了解決這一難題，業內也開發了很多解決方案，其中最佳的就是利用GRE隧道技術與IPSec技術相結合的組網方式。

在移動用戶接入時，相對于IPSec VPN需要額外安裝客戶端以及需要對客戶端進行比較復雜的配置的缺點，SSL VPN提供了更加簡便的無客戶端的移動用戶接入解決方案。SSL VPN使用了面向HTTP應用的SSL協議對TCP協議進行加密。由于SSL協議得到了瀏覽器的廣泛支持，因此在使用SSL VPN的時候不需要安裝客戶端和進行復雜的配置，只需要使用瀏覽器即可。同時結合ActiveX控件，SSL VPN可以實現對非HTTP應用的支持，以及VPN客戶端接入時的安全校驗等功能。

在進行VPN設計時應當考慮以下問題：

■ 分析業務的實際需求，綜合采用多種VPN技術，靈活網絡設計。一般說來，網絡到網絡比較適合接入采用IPSec VPN，遠程辦公用戶接入比較適合采用SSL VPN，而在需要透傳路由協議的情況下，則需要使用GRE VPN承載IPSec VPN的方法。

■ 考慮到不同的遠程接入網絡/遠程接入用戶的業務需求不同，應用采用分域的方法進行VPN設計。比如分支機構與合作伙伴通過VPN接入的時候就應該接入不同的域。

■ 與通過專線進行廣域網設計類似，在設計時要考慮對蠕蟲病毒等惡意流量的防護問題。

■ 在多數情況下，用于VPN連接的互聯網鏈路往往同時也是訪問互聯網的鏈路，因此在進行設計時，要考慮與邊界防護設計的融合問題。

■ 充分考慮統一安全策略部署，與統一配置管理問題。

典型組網

DPtech遠程安全接入解決方案綜合應用IPSec VPN、SSL VPN、GRE VPN、L2TP VPN等多種VPN技術，為用戶提供多樣的、高可靠性的遠程安全接入解決方案，實現分支機構、合作伙伴、移動用戶的一體化遠程安全接入。同時根據實際情況，應用杭州迪普科技有限公司的防火墻、UTM和IPS產品，提供了全面的L2～7層安全防護，統一的安全策略部署與配置管理能力，以及與邊界防護解決方案的融合能力。

功能與優勢

■ 網絡級的性能

迪普相關產品基于APP-X硬件平臺，可以在吞吐量、并發、新建連接、延時等方面提供網絡級的性能。不會因為增加了新的設備而使得應用的性能出現下降。

■ 網絡適應性

迪普相關產品基于Conplat軟件平臺，提供了豐富的網絡適應性，可以在IPv6、MPLS等復雜網絡環境下良好的工作。設備部署的時候，可不受網絡環境的限制，也不需要大面積調整網絡結構。

■ 豐富的VPN組網能力

綜合應用IPSec VPN、SSL VPN、GRE VPN、L2TP VPN等多種VPN技術，提供了豐富的VPN接入手段和組網方法。

■ 完善的L2～7安全保護

通過DPtech防火墻、UTM和IPS產批為核心，提供了完善的L2～7層安全保護能力。可有效抵御VPN內的病毒傳播，以及抵御來自于互聯網的攻擊。

■ 虛擬化安全服務

所有產品都支持虛擬化功能，可以虛擬成為多個獨立設備使用。這在分域設計以及多種安全策略并存的環境下，可以有效的降低安全策略設計的復雜性。

■ 快速部署及排錯

所有設備都支持統一管理，能對所有設備進行統一系統軟件升級、策略集中下發，提供了快速部署及排錯能力。

■ 完善的高可靠性保障

根據組網方式的不同，可支持鏈路備份、VRRP、路由備份等多種高可靠性設計，提供微秒級的故障切換能力。