【IT168 专稿】VPN（Virtual Private Network），即虚拟专用网，VPN技术作为一个比较成熟的虚拟技术已经非常广泛的使用在了企业、学校、医院等各行各业，其低廉的组网成本，高效的网络利用，解决了大多数企业的网络成本问题，助长了企业业务的飞速发展，但是VPN的安全问题却不容忽视，反渗入、反攻击、反泄密等，都是VPN安全问题的范畴。

    VPN是一个比较安全的网络技术，其不光自带身份验证，还可通过一些安全协议进行扩展；具有透明配置的功能，在组建过程中不需要修改网络或客户端的配置。这里我们列举几个例子来对VPN进行一个比较形象的了解。例如用户手上有一份急用的资料需要做，但是资料都在总公司网络中，那么通过一个什么样的安全方式来进行数据交换呢？EMAIL、即时通讯软件传输，但是在这些方式都有可能通过第三方的服务器进行交换，如果资料很重要，那么就是风险。通过VPN网络，可以直接连接到自己公司网络，不需要通过第三方网络服务的转发，相对来说少了中转环节，增加了不少安全性。

    VPN环境方式
    如何来构建一个安全的VPN环境呢，我们有两种选择，一是通过软件方式，二是通过硬件方式。软件方式的好处在于成本低廉，可扩充性强；硬件方式的好处在于稳定，配置方便。可以根据资金预算和要达到的技术指标来酌情选择。这里以WINDOWS2003SERVER系统为例。

    WINDOWS2003SERVER为我们提供了丰富的网络连接方式，其中包括了VPN，同时还提供了2种可以选择的方式进行VPN安全连接部署。一是简单的口令校验方式，另一种则是更高级的数字证书校验方式。后者是我们主要讨论的部分，数字证书校验需要一个USB KEY作为身份认证的设备，他可以直接在任意计算机上插拔，不需要担心木马程序记录你的输入信息，少有的加密信息，支持MD5加密等等都是他的优势，但是他需要第三方的颁发CA证书。就从证书颁发机构开始做起。

安装CA证书服务

    系统会根据选择将CA证书服务安装，并设置CA服务如图二

设置CA证书服务

    大家看到了有4个选项，最主要的一个是企业根，一个是独立根，如何来区分呢？简单的说企业根需要Active Directory支持，而独立根本不需要Active Directory支持的，但是独立根是不能添加证书模板的，不支持我们的身份认证卡的，所以这里我们只能选择企业根方式。这里面还有一个从属根的概念，从属就是从另一证书服务上取得证书。接着继续设置CA服务模块，这里我们需要加载智能卡服务模块如图三

加载智能卡证书相关模块

    到这里我们的证书服务器就算是配置完成了，剩下的工作为设置VPN服务和申请证书。

    2003系统下的VPN服务设置非常简单，通过系统自带的“路由/远程访问”进行配置图四

设置VPN服务

    一路“下一步”就能完成整个VPN服务的创建，这里我们要启动更加安全的一些设置来保证我们的VPN服务足够的可靠，开启EAP身份认证方式如图五

开启EAP身份认证

    到这里一个安全的基于智能卡认证的VPN服务就建立完成了。

虚拟专用网络连接

    并输入连接名称，填写要登陆的服务器域名或者IP（任选一项填写），连接虽然创建完成，默认情况下是使用用户口令校验方式，我们需要通过设置改为“智能卡”方式如图七。

选用智能卡验证方式

    这个时候插入智能卡，前面说的USB KEY也是一种，属于较方便的一种，不需要读卡器的一类。就能连接到VPN网络中，这里你就可以和在局域网中一样使用相关的服务了。

    后记：时下非常流行的还有IPSEC VPN、SSL VPN等一系列的安全VPN，在WIN2003系统提供的VPN服务中都能设置并运用，有时间的朋友多摸索以下就能发现很多增强网络安全的属性可以供我们选择应用。如果你认为这种方式相对复杂了，需要更简单的应用，你还可以试试市面上提供的VPN网关设备，支持IPSEC SSL等最新的应用，更有自己开发的安全身份认证方式。