认识VPN

现在有很多连接都被称作VPN，用户经常分不清楚，那么一般所说的VPN到底是什么呢？顾名思义，虚拟专用网不是真的专用网络，但却能够实现专用网络的功能。虚拟专用网指的是依靠ISP（Internet服务提供商）和其它NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。IETF草案理解基于IP的VPN为："使用IP机制仿真出一个私有的广域网"是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟，是指用户不再需要拥有实际的长途数据线路，而是使用Internet公众数据网络的长途数据线路。所谓专用网络，是指用户可以为自己制定一个最符合自己需求的网络。

用户现在在电信部门租用的帧中继（Frame Relay）与ATM等数据网络提供固定虚拟线路（PVC-Permanent Virtual Circuit）来连接需要通讯的单位，所有的权限掌握在别人的手中。如果用户需要一些别的服务，需要填写许多的单据，再等上相当一段时间，才能享受到新的服务。更为重要的是两端的终端设备不但价格昂贵，而且管理也需要一定的专业技术人员，无疑增加了成本，而且帧中继、ATM数据网络也不会像Internet那样，可立即与世界上任何一个使用Internet网络的单位连接。而在Internet上，VPN使用者可以控制自己与其他使用者的联系，同时支持拨号的用户。

所以我们说的虚拟专用网一般指的是建筑在Internet上能够自我管理的专用网络，而不是Frame Relay或ATM等提供虚拟固定线路（PVC）服务的网络。以IP为主要通讯协议的VPN，也可称之为IP-VPN。

由于VPN是在Internet上临时建立的安全专用虚拟网络，用户就节省了租用专线的费用，在运行的资金支出上，除了购买VPN设备，企业所付出的仅仅是向企业所在地的ISP支付一定的上网费用，也节省了长途电话费。这就是VPN价格低廉的原因。

越来越多的用户认识到，随着Internet和电子商务的蓬勃发展，经济全球化的最佳途径是发展基于Internet的商务应用。随着商务活动的日益频繁，各企业开始允许其生意伙伴、供应商也能够访问本企业的局域网，从而大大简化信息交流的途径，增加信息交换速度。这些合作和联系是动态的，并依靠网络来维持和加强，于是各企业发现，这样的信息交流不但带来了网络的复杂性，还带来了管理和安全性的问题，因为Internet是一个全球性和开放性的、基于TCP/IP 技术的、不可管理的国际互联网络，因此，基于Internet的商务活动就面临非善意的信息威胁和安全隐患。

还有一类用户，随着自身的的发展壮大与跨国化，企业的分支机构不仅越来越多，而且相互间的网络基础设施互不兼容也更为普遍。因此，用户的信息技术部门在连接分支机构方面也感到日益棘手。

用户的需求正是虚拟专用网技术诞生的直接原因。

用户需要的VPN

back to top

-----------------------------------------------------------------------------------------

SSL VPN 解决方案

SSL VPN能够为希望将安全接入功能扩展到网络资源的客户提供全面的企业级可扩展性、高可用性和安全功能，因此一直在市场上独领风骚。现在，新客户可以从SSL VPN闻名全球"无处不在"的特性中受益，并利用这一功能来从一个平台上为远程/移动员工、商业合作伙伴和客户提供安全的远程接入、外联网和内联网接入服务。

back to top

-----------------------------------------------------------------------------------------

SSL VPN - 特性和优点

强劲的安全体系结构

·强化的安全层可控制对所有资源的接入

·接入权限管理允许实施强大而灵活的认证和授权策略而不需要部署任何软件

·端点客户端、设备、数据和服务器分层安全控制

·可以根据用户组、角色、网络、设备及会话属性来确定需验证用户身份的接入

·精细的审计和日志记录

·安全性已通过众多第三方的验证

节约总拥有成本(TCO)

·从一台设备上提供安全的远程接入、合作伙伴外联网和内联网接入

·在客户端或服务器这方面仅需增加少量，甚至根本无需增加硬件、软件或前期购置成本

·不需要软件部署、集成和定制

·大幅度降低计算机技术支持的开销

更高的企业生产效率和灵活性(用户和管理员)

·随时随地接入关键商业信息

·根据角色分配管理任务

·Central Manager可简化管理工作

·单一平台可支持3种接入选项(Web内容、客户端/服务器以及全面的网络层接入)

back to top

-------------------------------------------------------------------------------------------

基本和高级版本特性集

随着企业用户日益要求通过任意设备和网络来实现无处不在的接入功能，企业安全部门必须确保在综合考虑企业策略和各种用户、设备、网络和会话属性的基础上为用户分配适当的信息访问权限。安全接入基本和高级特性集可以满足这些需求，并使企业可以创建最适合他们具体需求的理想解决方案：从中小型远程员工接入部署直到最大规模的全球企业外联网。基本版本的产品可以提供企业部署安全的远程接入、基本的客户/合作伙伴外联网或内联网所需的功能。高级版本带有更多先进功能，可以满足更复杂的部署需求来支持不同用户群和使用模式。这两种版本的产品都可以提供远程接入、外联网和内联网安全保护功能，而且很少需要甚至不需要客户端软件、服务器修改、DMZ部署或软件代理程序部署。

基本版本产品特性集

通过接入权限管理实现差分接入

·动态认证策略

·角色定义和映射规则

·基于角色和基于资源的授权规则

·应用程序事件审计和日志记录

灵活的策略模式

·基于角色/资源的混合策略模式

·可重新使用、可延续的"拷贝-粘贴-编辑"策略模式

·与现有目录集成，以实现认证和授权

·集中安全性基础设施

全面的端到端分层安全性

·强有力的认证/强劲的AAA

·端点安全性：主机检查系统（Host Checker）/高速缓存器清理软件（Cache Cleaner）、数据和服务器安全性

高级版本产品特性集(除基本版本的特性以外)

·使用Boolean表达式来结合不同属性，实现灵活的动态"每会话"策略

·利用先进的角色定义和映射规则来结合那些使用Boolean表达式的不同属性

·利用先进的资源授权策略来结合那些使用Boolean表达式的不同属性

用户自助服务

·密码管理集成

·Web单一登录

·支持多个主机名

·可定制的用户界面

·机遇角色的任务分配

·灵活的角色定义

·精细的任务分配

back to top