【IT168 专稿】虚拟专用网技术（vpn，virtual private network）是指在公共网络中建立专用网络，数据通过安全的“加密通道”在公共网络中传播。企业只需要租用本地的数据专线，连接上本地的公众信息网，那么各地的机构就可以互相传递信息。

    使用vpn有节约成本、扩展性强、便于管理和实现全面控制等好处。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的，是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟，是指用户不再需要拥有实际的长途数据线路，而是使用internet公众数据网络的长途数据线路。所谓专用网络，是指用户可以为自己制定一个最符合自己需求的网络。而在internet上，vpn使用者可以控制自己与其他使用者的联系，同时支持拨号的用户。

    8000-FG-NP防火墙目前vpn主要采用四项技术来保证安全，这四项技术分别是隧道技术（tunneling）、加解密技术（encryption & decryption）、密钥管理技术（key management）、使用者与设备身份认证技术（authentication）。

    防火墙的虚拟专用网（vpn）中这几种技术都使用了，包括软件加密和硬件加密，例如：使用ipsec技术进行隧道通讯，使用3des技术等进行加解密，使用ike进行密钥管理，使用x.509进行身份认证等。

    8000-FG-NP防火墙支持两种用户模式：远程访问虚拟网（accessvpn）和企业内部虚拟网（intranetvpn）。

    如果企业的内部人员有移动或远程办公的需要，或者商家要提供b2c的安全访问服务，就可以考虑使用远程访问虚拟网，防火墙的远程访问模式使用ipsec技术进行隧道通讯，为远程访问用户提供了安全证书管理，用户在异地安装安全证书后，通过internet公众网可对公司内部网络进行访问。

    越来越多的企业需要在全国乃至世界范围内建立各种办事机构、分公司、研究所等，各个分公司之间传统的网络连接方式一般是租用专线。显然，在分公司增多、业务开展越来越广泛时，网络结构趋于复杂，费用昂贵。利用vpn特性可以在internet上组建世界范围内的企业内部虚拟网。防火墙的企业内部虚拟网采用网关-网关的加密通道模式，用户可灵活设置软、硬件加密算法的优先顺序。

    例如：某公司的总部与分公司的远程办公网络通过internet进行联系，在公司的两台防火墙之间由于建立了企业内部虚拟网络，使两个公司之间的通讯就象在一个内部网中通讯一样。公司外的员工也可以通过互联网使用远程访问的方式安全的访问公司内部的数据。如图所示：

    对于在内部网中使用nat的用户，防火墙还率先突破了vpn不能和nat同时使用的传统限制，支持nat模式下的vpn应用。