大多數企業都需要保護互聯網通信。對于很多企業來說，保護通信最簡單的方法是利用虛擬專用網絡(VPN)在需要通信的系統之間創建加密通道。 

[[109573]]

VPN最常見的用例包括連接遠程工作人員到中央數據中心，讓他們安全訪問其工作所需的內部資源，在物理分離的位置之間創建永久連接，并保護內部系統或網絡區域之間的連接。

雖然有很多變型，但絕大多數VPN主要分為兩種技術類型。第一種利用安全套接字層(SSL)技術，通過SSL或可信層安全(TLS)證書來加強連接。第二種是基于互聯網協議安全(IPSec)的VPN來提供更高級的安全選項。

SSL VPN

在大多數情況下，SSL VPN主要為需要安全訪問應用和系統的員工提供連接。很多SSL VPN提供商提供本地集成和配置選項來處理常見應用，這些常見應用包括電子郵件、辦公工具、文件共享以及通常通過瀏覽為訪問的web應用。這些VPN的優勢是它們不需要在連接端點安裝任何客戶端，并且，當訪問常見應用時，安裝和配置非常簡單。

IPSec VPN

對于非web應用和更復雜的安全需求，IPSec VPN可能是更好的選擇。雖然有其他遠程訪問VPN協議，例如點對點通道協議和2層網絡通道協議，但不同的是，IPSec完全封裝了端點和安全網關之間(或兩個安全網關之間)所有IP協議流量，并提供更強的加密選項。IPSec是一組更復雜的協議，它為企業提供了更靈活的方法來在網關和系統之間建立專用通道，以處理大多數類型的通信。大多數企業級VPN都被作為硬件設備部署，但其實，較小型企業可以選擇在傳統服務器硬件上安裝VPN軟件。

架構不同，但都依賴于防火墻背后的服務器

我們有幾種類型的架構可用于部署VPN平臺。用于遠程訪問的最常見架構涉及在隔離區(DMZ)的外圍防火墻背后建立VPN服務器，允許特定端口或網址通過防火墻訪問服務器。DMZ可以設置在兩個不同防火墻之間(或者在連接到一個防火墻的單個網段上)，VPN服務器則位于該子網內。客戶端連接到VPN服務器，然后VPN服務器根據用戶的角色和身份驗證憑據來將用戶連接到內部應用和服務。在某些部署中，VPN和防火墻可能是相同的設備，只要同時連接的數量可以得到管理，而不會對性能帶來顯著影響。

這種架構已經經受住了時間的考驗，現在大多數部署方案涉及“VPN+防火墻”或“DMZ中VPN”模式。這種模式的主要缺點是需要信任來自VPN平臺的流量，在很多情況下這些流量沒有進行內部加密。不過，傳統網絡監控工具(入侵檢測系統)可以監控這種流量。

第二種VPN架構是兩個物理位置之間的站點到站點連接，這通常配置在外圍網關設備(通常是路由器)之間。對于這種架構，最關鍵的安全問題是遠程VPN平臺和網絡的可信度。這是因為，這種連接通常是永久性的。

最后，還有一個所謂的內部VPN，這是在更先進的安全架構中最常見的架構。在這種方法中，VPN服務器作為通往關鍵網絡區域及系統的網關。建立內部網關來控制對敏感數據和資源的訪問可以幫助企業滿足合規要求，并可以監控特權用戶行為。

良好VPN設計的共同屬性

不管部署哪種架構，我們有很多配置選項可用于鎖定VPN平臺及其提供的功能。所有VPN部署應該具備下面這些特性：

身份驗證和訪問控制：SSL VPN使用SSL/TLS證書來對端點進行身份驗證，以創建一個加密通道，然后通常還會提供一個web界面，支持密碼或多因素方法(令牌、客戶端證書或一次性密碼或代碼)的傳統身份驗證。IPSec VPN通常預配置了網關和客戶端之間的身份驗證選項，遠程用戶可以提供用戶名和密碼、令牌代碼等來驗證身份。

驗證終端設備安全和可信度：在過去幾年，VPN產品逐漸增加了終端設備安全評估功能。很多VPN現在可以確定終端設備的操作系統、補丁修復水平、瀏覽器版本和安全設置，以及是否安裝了反惡意軟件(還有部署了什么簽名版本)。

機密性和完整性：SSL VPN支持分組密碼和流加密算法，包括3DES、RC4、IDEA和AES等。IPSec VPN只支持分組密碼進行加密。這兩種類型的VPN都支持哈希密碼進行完整性驗證，并且都有不同的方法來檢測數據包篡改和重放攻擊—通過序列號和哈?；蛳⑸矸蒡炞C。