【网络基础架构安全】虚拟专用网VPN

虚拟专用网VPN概述

一个技术的出现都是由于某种需求触发的。那么为什么会出现VPN技术呢？VPN技术解决了什么问题呢？

在没有VPN之前，企业的总部和分部之间的互通都是采用运营商的internet进行通信，那么Internet中往往是不安全的，通信的内容可能被窃取、修改等，从而造成安全事件。

那么有没有一种技术既能实现总部和分部间的互通，也能够保证数据传输的安全性呢？

答案是当然有。一开始大家想到的是专线，在总部和分部拉条专线，只传输自己的业务，但是这个专线的费用确不是一般公司能够承受的。而且维护也很困难。

那么有没有成本也比较低的方案呢？

有，那就是VPN。VPN通过在现有的Internet网中构建专用的虚拟网络，实现企业总部和分部的通信，解决了互通、安全、成本的问题。

那么什么是VPN技术吗？

VPN的英文全称是“Virtual Private Network”，翻译过来就是“虚拟专用网络”。虚拟专用网络(VPN)的主要功能是：在公用网络上建立专用网络，进行加密通讯。

用户在此虚拟网络中传输流量，从而在Internet网络中实现安全、可靠的连接。

（1）专用：

VPN虚拟网络是专门给VPN用户使用的网络，对于用户而言，使用VPN和Internet，用户是不感知的，是由VPN虚拟网络提供安全保证。

（2）虚拟：

相对于公有网络而言，VPN网络是虚拟的，是逻辑意义上的一个专网。

虚拟专用网VPN重要性

VPN的基本定义是在公共网络上传送秘密数据的技术。这个定义突出说明了避免数据损失和被窃的重要性。

在网络中即便没有什么东西需要隐瞒，也没有人喜欢被人监视或被跟踪。这就是为什么您需要加强隐私保护的原因。当您通过VPN进行浏览，您的流量将会被加密，因此没有人能窥探到您的在线活动。

VPN可用于保护您在公共Wi-Fi上的连接，让您能够完全私密地进行浏览。黑客可以通过很多方法在公共热点上窃取您的数据，不过，一旦您使用VPN，他们将无法窥探到您的在线流量。

虚拟专用网VPN类型

VPN服务器：通过在网络中心搭建VPN服务器的方法实现VPN。

软件VPN：通过专用的软件实现。

硬件VPN：通过专用的硬件实现。

集成VPN：通过含有VPN功能的网络设备，如：防火墙、路由器实现。

产品功能

保护您的身份 

通过私人服务器加密和隧道传输您的数据，几乎不可能从一开始就将连接追溯到您。这实际上将通过伪装保护您的在线身份，隐藏您的文件和位置。当您输入登录名或银行详细信息时，VPN 是避免网络钓鱼的最佳方式。

避免 ISP 限制   

互联网服务提供商具有控制用户在线行为的已知策略。这可能意味着限制您可以在网上做什么，通常由雇主或政府强加被禁止的 IP 。您可以通过 VPN 找到解决此问题的方法，通过其服务器路由您的连接，以允许访问您想去的任何地方。

让公共 WiFi 更安全 

事实上，当您使用公共 WiFi时，您最容易受到网络攻击。这是因为许多设备的连接方式与您的连接方式相同，恶意尝试可能会被忽视。有时甚至没有密码，只要连接就打开手机或笔记本电脑，这可能是一个严重的威胁。这时候VPN的重要性一点也不亚于酒店里提供给客人的避孕套。

避免带宽限制  

带宽限制并不是什么新鲜事，ISP 通常会使用它来控制网速。这是一种非常有效的方式来调节流量、清除任何拥塞或施加用户特定的使用限制。然而，有报道称限制重度用户和特定网站——这最终将导致人们远离他们。您可以检查您是否受到限制，并使用 VPN 轻松绕过与站点相关的限制。

安全下载  

BT下载将您的端口打开到对等连接，但可能更大的危险是下载（和上传）内容，因为BT下载可通过IP反查你下载的内容。网上盗版资料过去曾多次遭到打击。用户当然可以看到他们的活动受到法律影响，这在某些地方比在其他地方更常见。VPN 会在加密您发送和接收的数据的同时隐藏您的位置，从而在这些情况下保护您的身份。

安全地远程办公和学习

我们中的许多人过去一直连接到大学服务器，并且在过去两年中，远程工作与以往一样重要。这些服务器需要保护，同时提供员工所需的一切，这带来了VPN 的大量使用。加密服务器和对它们的远程访问使许多人能够继续工作，几乎没有健康风险。许多公司在这种不断变化的情况下迅速采取行动，这进一步推动了 VPN 的普及。

远程访问家庭网络   

远程加入家庭网络对您自己的重要性不言而喻。无论您如何设置家庭网络以进行远程访问，通过加密确保数据安全至关重要。如果其他人知道您正在这样做，则尤其如此，因为您在家中访问文件时可能会发现自己成为目标。VPN 可以集成在这样的设置中，以提供强大的保护层，这使得该服务的一个鲜为人知但同样重要的特性成为可能。

部署方式

 网关模式、旁路模式。

产品选型

1.产品定位，首先应考察产品定位问题。像其他网络产品一样，不同的VPN产品有不同的定位，按从高端到低端的顺序，依次为电信级、企业级、中小企业、办公室或SOHO。当然，中小企业只能选择中小企业及以下级别的产品。

2.支持的应用类型，VPN有3种应用类型：LAN到LAN、客户到LAN、客户到客户。这里的客户指的是VPN网络中的移动用户和远程办公用户。目前多数VPN产品都支持LAN到LAN和客户到LAN，而支持客户到客户的产品不多。这一点在有些应用场合很重要，例如企业的远程办公用户之间需要交流保密信息，客户到客户的VPN方案是一种很好的解决手段。  

3.支持的协议，自建VPN应根据需要选择隧道协议，目前PPTP、L2TP和IPSec是比较常用的协议。一般远程访问VPN（即客户到LAN）多选择L2TP协议，为安全起见，还需选择IPSec来提供加密。网络互联（LAN到LAN）和端到端连接多选择IPSec协议。

PPTP由于简单易用，而且支持NAT路由，因此在有些场合下也使用。总之，IPSec是最安全的隧道协议，多数VPN产品都支持该协议。当然越来越多的VPN产品开始支持PPTP和L2TP协议。除隧道协议之外，还要考察VPN可承载协议、NAT（网络地址转换）以及路由协议的支持情况。许多VPN产品的可承载协议除IP协议之外，还支持IPX、NetBIOS等网络协议。对NAT的支持对于一些网络共享的应用非常重要，IPSec本身并不支持NAT，但可在VPN产品中加进这一功能。与IPSec产生直接冲突的是网络地址端口转换（NAPT）和网络地址转换（NAT）。NAT和NAPT在宽带网络中应用很广，许多网络服务供应商都使用这种技术。