一直以来，VPN技术在企业网的发展过程中异常活跃。特别是近些年，随着企业安全意识的不断提高，各种VPN技术层出不穷，在企业信息安全建设中扮演着不可或缺的角色。

技术篇——细数VPN脉络

　　VPN技术发展很快，其中各种协议与加密算法种类繁多，对于企业来讲，理清技术脉络，辨明自身需求则更显重要。

　　按照微软公司的定义，虚拟专用网络(VPN)作为专用网络的延伸，它包含了类似Internet 的共享性或公共网络的连接性。VPN通过模拟点对点专用链接的方式，利用共享或公共网络在两台计算机之间发送数据。

　　从企业的角度看，VPN是对企业内部网络的扩展。VPN可以帮助企业的远程用户、公司分支机构、商业伙伴及供应商，同公司的内网建立可信的安全连接，并保证数据的安全传输。特别是近几年随着移动商业环境的发展，VPN可用于不断增长的移动用户的安全网络接入。

　　事实上，以前还专门分析了利用VPN实现ERP远程安全接入的业务，而这也恰恰体现了VPN技术安全且经济的一面。

　　VPN的发展已经不再单单是一个网络安全问题，更多的情况下，它还牵扯到企业的业务问题。正如新华人寿IT经理杜大军所说的，随着企业业务的不断发展，VPN可以使企业将精力集中到自己的业务拓展上，而不是网络上。因为对于金融机构来说，VPN可用于不断增长的移动展业需求，同时也可以满足企业网站之间安全结算的开展。

　　业务类型划分

　　截止到2005年，一些国内外主流研究机构仍习惯于根据VPN作用于业务的不同，将其区分为三大类:即VPDN(虚拟拨号专网)、内网VPN和外网VPN。

　　一般远程用户和企业内网之间的VPN连接，称为VPDN;在企业远程分支机构的局域网和企业总部内网之间的VPN，称为内网VPN;在供应商、合作伙伴的局域网和企业内网之间的VPN连接，称为外网VPN。

　　神州数码网络的安全技术经理王景辉认为，用户无论选择哪种类型，一个标准的VPN技术都必须提供:数据加密功能，确保公网信息传送的安全性;信息认证和身份认证功能，保证信息的完整、合法，并能鉴别使用者身份;访问控制功能，确保实现不同用户的不同访问权限。

　　协议类型划分

　　另外要强调的是，VPN技术主要基于隧道原理，目前在各种隧道加密协议上，出现了大量的分支。业内著名的VPN厂商侠诺科技的张建清博士指出，众多新型协议的“分庭抗礼”，恰恰成为了近几年VPN发展的亮点，这对于用户是件大好事。

　　目前主流的隧道协议包括了在数据链路层的PPTP、L2TP协议;在网络层的IPSec协议;在TCP层的SOCKs v5协议;在会话层的SSL协议。

　　PPTP/L2TP协议是微软公司(后者有Cisco的参与)提出来的，PPTP/L2TP已被嵌入到微软的操作系统中，用于微软的路由和远程访问服务。

　　深信服科技的技术经理叶宜斌认为，PPTP/L2TP目前已经不是主流。因为它们没有提供内在的安全机制，端点用户需要在连接前手工建立加密信道，没有加密和认证支持，稳定性也很差，而且也无法穿越NAT，因此仅仅少部分微软用户还在使用。

　　IPSec是IETF支持的标准之一，它在网络层对数据进行加密。IPSec协议可以设置成在两种模式下运行:一种是隧道模式，一种是传输模式。IPSec可以对终端站点间所有的传输数据进行保护，而不管是哪类网络应用。同时，IPSec能够在不同局域网之间，以及远程客户端与中心节点之间，建立安全的传输通道，因此应用较广。

　　而神州数码网络的技术经理杨燕群强调，由于VPN环境中用户数据在被加密后仍然在公网上传输，因此加密技术非常重要，它直接影响到用户数据的安全。而IPSec在这方面是做的比较好的一种技术。IPSec VPN的主要缺点在于配置复杂，客户端需要安装复杂的软件，而且当用户数量增加时，IPSec VPN的管理难度将呈几何级数增长。因此，IPSec最适合可信的LAN到LAN之间的内部VPN使用。

　　SOCKs v5是建立在TCP层上的安全协议，其本身工作在OSI模型的会话层上，本身较为安全，但其要制定比低层协议更为复杂的安全管理策略。而随着SSL技术的兴起，目前SOCKs v5基本上趋于淘汰。

　　SSL VPN是目前较新的技术，而且随着B/S结构的流行，其发展大有赶超前者的意味。SSL对应OSI模型的会话层协议，这也注定了其与电子商务的关系最为密切。相对而言，SSL更加关注应用，其优势主要集中在VPN客户端的部署和管理上。因为它无须安装客户端，浏览器内嵌了SSL协议，在处理基于B/S结构的业务时，可以直接使用浏览器完成SSL VPN的建立。但对于非Web页面的文件访问，往往要借助于应用转换。

　　目前，有些SSL VPN产品所能支持的应用转换器和代理的数量非常少。但令人高兴的是，以神州数据网络、深信服科技为代表的本土厂商已经可以很好地支持FTP、网络文件系统和微软文件服务器的应用转换。但SSL VPN并不能真正形成LAN对LAN的应用，其重心在于帮助企业进行应用层面的安全防护。

结构篇——IPSec对比SSL

　　作为目前最主流的两种VPN协议，IPSec与SSL的争论久矣，各自优劣与企业的需求相关联，用户不得不注意。