VPN应用方案

　　早期，许多公司只是利用Internet 宣传其形象和产品，提供WWW 访问，现在可利用Internet 实现网络银行、电子购物、电子商务等。随着企业和公司组织的发展，往往需要将分布于各地的分支机构联成网络，并需要方便的与出差在外员工保持联系，最好与其它合作公司、供应商、销售商、等建立紧密的高效的联系，建立起Internet 或Extranet。而以往的办法无非是：专用WAN、拨号网络以及直接利用Internet 构筑起本公司的Internet或Extranet。我们先看一下传统的解决办法：

　　1、专用WAN

　　通过专用（如FR 或ATM 连接）永久的保持多个站点的连接，通过路由器或交换器连接专用设备，无疑代价和复杂度都非常可观。

　　2、拨号上网

　　通过PSTN 或ISDN 按需要建立与私有网络的连接，通常采用NAS（Network Access Servers）分布在一个或多个中心节点，用户拨号到NAS，由其进行Authentication, Authentication 和Accounting（AAA），效率、速度等往往很难令人满意。

　　3、直接利用Internet 构筑起本公司的Intranet 或Extranet

　　Internet 迅速发展无所不在以及诱人的低价位，的确令众多厂商开始采用这种办法，但Internet 天生的开放性特点令人无所适从，安全性又成了问题，公司的机密数据一旦在Internet 传输，若没有安全性保障，其后果可想而知。

　　在这种情况下，要实现这些新功能必采用安全技术，虚拟专用网（VPN）技术便是重要手段之一。

　　VPN 网络安全应用方案

　　VPN（Virtual Private Network 虚拟专用网）是通过在两台计算机之间建立一条专用连接从而达到在共享或者公共网络（一般是指Internet）上传输私有数据的目的，即所谓的“化公为私”的这样一种技术。之所以称为虚拟网主要是因为整个VPN 网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台（Internet、ATM、Frame Relay 等）之上的逻辑网络，用户数据在逻辑链路中传输。通过采用相应的加密和认证技术来保证用内部网络数据在公网上安全传输，从而真正实现网络数据的专用性。这样，各个组织可以通在Internet 上建立私有的WAN，来和自己的分支组织以及远程用户通信，从而进一步拓展了业务。它的吸引人之处在于它基于分布广泛、全球化的Internet，并提供了一种快速、安全、廉价的建立通信链接的办法。

　　路由模式：诺基亚IP350安全设备支持静态路由和包括 RIPv1/v2、OSPF、BGP4、IGRP在内的动态路由协议，可以非常容易的部署在复杂路由网络中。

　　透明模式（桥接模式）：采用透明模式部署防火墙，可以保持现有的网络结构，无须任何改动，是最简单快速的防火墙部署方式。

　　混合模式（透明和路由模式混用）：混合模式可以同时在一台防火墙设备上同时采用透明模式和路由模式，具有最大的防火墙部署灵活性。

　　NAT模式：可以隐藏内部网络结构和节约合法IP地址资源，可以同路由模式同时使用。