VPN安全解决方案

应用需求

    对部分中小企业而言，希望能够在核心网络和分支机构之间有一种经济有效的远程接入方式，避免长途专线带来的高额成本，同时期望获得比拨号连接更快捷的访问速度；此外，对于移动办公或在家办公的企业内部用户，也存在着类似的连接要求。在这种情况下，VPN成为他们的理想选择。

    VPN全称虚拟专网（Virtual Private Network），是在公共网络（一般为Internet）中架设点到点的专有连接的一种技术。希望作远程连接的两端用户只需要将自己的网络经本地ISP连接到Internet，即可实现相互的访问；当然，如何保证经公共网络传输的数据的安全性、服务质量和可管理性，将是客户十分关心的问题，这些问题都将通过VPN固有的隧道和加密技术得到考虑和解决。

解决方案
 

    方案中显示了两类VPN应用：LAN-to-LAN VPN和个人远程访问VPN，黄色虚线表示虚拟专网连接。对核心网络，可采用统一的VPN设备来实现两类应用，这里我们选择了作Internet接入的防火墙，在其上集成VPN功能，这样既可以作为Internet访问的安全隔离设备，也作为VPN隧道的终止点。

    LAN-to-LAN VPN的对端是企业的分支办公室，它拥有相对简单的网络架构（如可能缺少冗余性考虑），但对VPN的实现方式和核心网络是基本一致的，也推荐采用防火墙集成VPN功能。

    个人远程访问VPN面向的是移动办公和在家办公的企业内部用户，它只为单一节点服务，其使用者可能只对电脑略知一二，故对该应用的最大要求是方便、易用。为此一般采用安装于电脑上的客户端软件来实现VPN连接，并且预设好各项默认设置，对用户而言只需“运行”－“输入个人身份”－“连接”即可方便地架设起VPN获得数据访问。

关键点描述

    目前支持VPN技术的设备包括：路由器、防火墙或专用的VPN设备。在我们设计的安全架构中，一般推荐采用防火墙集成的VPN功能――这样既能通过防火墙来保证VPN接入的安全性，同时避免添加专用设备导致的结构复杂化和性能的下降。在小型分支机构条件受限的情况下，可以考虑采用路由器替代防火墙实现VPN功能。

    远程接入VPN可使用多种不同隧道和安全协议，由这些协议决定了VPN所采用的数据封装和加密方式，其中比较流行的有IPSec，PPTP和L2TP，这些协议被大多数运行VPN的设备所支持，最为广泛采用的是IPSec VPN。隧道两端必须采用相同的VPN技术才能建立连接。

• ·IP VPN技术及其应用[组图]
• ·轻松实现移动安全办公——EETRUST SecureVPN
• ·医疗卫生行业异地互连VPN应用
• ·华为民航信息化网络解决方案[组图]
• ·华为小型机构VPN安全互联方案

• ·宽兆科技VPN/数据无线传输解决方案[图]
• ·NEC大客户城域网VPN的VoIP解决方案[图]
• ·中国联通虚拟专网VPN/VPDN专线系统[图]
• ·中联科技银行储蓄所GPRS联网解决方案[图]
• ·北京四达时代MPLS VPN的网络安全[组图]