常用VPN的种类

常用VPN的种类最近几年，许多企业都部署的VPN解决方案，通常可以分为三类：首先是PPTP（PointtoPointTunnelingProtocol）点对点隧道协议，是一种支持多协议虚拟专用网络的协议。这类方案采用了一项名为通用路由封装（GenericRoutingEncapsulation，GRE）的技术。它是一种因特网协议，可以让发往某个网络的数据包经加密后，一个包接一个包地发送到可信服务器。然后，服务器拆开数据包，重新发送到专用网上。微软推出的PPTP/GRE方案就利用了GRE，并采用微软的算法对数据进行加密。通过该协议，远程用户能够跨越MicrosoftWindowsNT工作站、Windows2000和WindowsXP操作系统以及其它点对点激活系统安全访问共同网络，并通过拨号本地互联网服务提供商安全链接它们互联网上的共同网络。优点也是简单易配置，对于初阶应用安全性足以应用。PPTP作为简单的VPN方案适合移动的用户(MobileUser)通过PPTP拨号连接到公司网络，比如经常出差的员工，通过VPN连接到公司的服务器上收发邮件，存取文档资料等；不适合作为点对点或者点对多点的VPN架构(当然一定用PPTP也是可以实现的)。另一种是IPSecVPN(IPSecurity，IP协议安全)，它也依靠GRE（IPSec/GRE）以及另一种名为封装安全载荷（EncapsulatingSecurityPayload，ESP）的协议，IP数据包进行封装和加密处理。不过，与PPTP和L2TP相比，IPSec方案更安全、更可靠，这归功于IPSec选择及支持的加密算法。通常采用IPSec的VPN方案来解决在多个分公司间构建稳定的VPN的需求。第三类是SSLVPN，SSL的英文全称是“SecureSocketsLayer”，中文名为“安全套接层协议层”，它是网景（Netscape）公司提出的基于WEB应用的安全协议。SSL协议指定了一种在应用程序协议（如Http、Telenet、NMTP和FTP等）和TCP/IP协议之间提供数据安全性分层的机制，它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户认证。它的特点是无需客户端软件，使用方便，适用于用户安装配置不易或是特定应用情况。(安全套接层协议层)方案，它只允许通过安全的Web浏览器，访问某几种具有Web功能的应用。它只能访问使用标准Web创作工具如HTML和JavaScript的应用。这项技术可以分析每个网页，确保从该网页引出的程序化的导航路径通过安全连接，转发到SSLVPN服务器。由于PPTP/L2TP和IPSec两种VPN解决方案因彼此相似而常常被归为一类，因为它们都使用客户软件，并依赖GRE，原理极为类似。我们可以把它们都视为IPsecVPN方案。IPSecVPN与SSLVPN的区别和对比VPN建立了网上安全的加密隧道，还允许网络保密通信。它与任何在网上的监听者都可以读取的明文传送方式不同，VPN传输的看起来就像是一批乱码。不同之处就在于如何建立这种隧道。到现在为止，安全远程接入方案归结为两种选择：IPSecVPN（第一代）和SSLVPN（第二代），两者各有其优缺点。基于IPSec方式的VPN就是远程用户拨号接入的一套硬件设备。这与任何网络连接都被接受的一般方式不同。IPsecVPN设备只用来接受远程客户的连接。一个IPSecVPN的操作运行在协议栈的IP层。IPsecVPN用户需要在客户端(无论是台式机或笔记本)上安装可以连接到VPN服务器的软件。SSLVPN也是一套进行远程连接的专用设备。但是，它更像一个Web服务器。它在协议栈的应用层(高于IP层)，更像是应用程序的执行而非网络设备。SSLVPN用户只需要一个网络浏览器来访问的VPN连接。他们会进入到注册了的公司VPN网页。SSLVPN主要让远程设备可以访问基于浏览器的应用。不过，通常说来，应用种类越多，SSLVPN的吸引力也就越小。这涉及到IPSec客户软件安全和SSLVPN定制间的取舍。一个IPsecVPN把客户的机器连接到公司的网络。一个SSLVPN把一个单独的用户连接到特定的应用程序上。一个通过IPsecVPN进行连接的台式机或笔记本只不过是网络上的另外一台设备。一个SSLVPN是一个网络应用程序。用户通过浏览器访问的是网络上的特定应用程序而不是整个网络。所以，IPSecVPN的强项恰恰是SSLVPN的弱项，而SSLVPN的强项恰恰是IPSecVPN的弱项。软件安全方面对于IPsecVPN和SSLVPN来说，尽管公司和用户之间的连接是安全的，但双方都有弱点。如果连接到IPsecVPN网络的用户被植入了木马程序，他将影响整个网络。比如，如果一个公司的雇员通过她或他家的的没有安装防火墙或者防病毒软件的台式机进行连接，那么VPN网络就会变成从没有保护的家用计算机传播病毒、特洛伊程序、间谍软件和木马程序的安全渠道。SSLVPNs在安全方面有些不同。作为一个Web应用系统，如果没有正确配置，一个SSLVPN是容易受到各种网络攻击的，如SQL注入，跨站点脚本，弱认证和参数操纵的情况。IPsec与SSL谁更适合中小企业？对SMB来讲，SSL方式更便宜，更容易维护，需要较少的员工培训。而IPsec方式需要在所有的远程客户端安装VPN网关，连接软件并进行相应的配置。它比SSLVPN的成本要高。但是，还应该根据企业的需求来作决策。如果远程用户需要访问整个网络，那么IPsec方式是不可避免的。如果用户只需要运行一个很小的应用程序，比如电子邮件、电子表格和演示，并且不需要访问整个网络，那么选择SSLVPN就可以很好的工作。