VPN网关是实现局域网（LAN）到局域网连接的设备。从字面上我们就能够知道它可以实现两大功能：VPN和网关。广义上讲，支持VPN（虚拟专用网）的路由器和防火墙等设备都可以算作VPN网关。目前常见的VPN网关产品可以包括单纯的VPN网关、VPN路由器、VPN防火墙、VPN服务器等产品。

    典型的VPN网关产品应该具有以下性能：

     它应集成包过滤防火墙和应用代理防火墙的功能。
    企业级VPN产品是从防火墙产品发展而来，防火墙的功能特性己经成为它的基本功能集中的一部分。如果是一个独立的产品，VPN与防火墙的协同工作会遇到很多难以解决的问题，有可能不同厂家的防火墙和VPN不能协同工作，防火墙的安全策略无法制定（这是由于VPN把IP数据包加密封装的缘故）或者带来性能的损失，如防火墙无法使用NAT功能等等。而如果采用功能整合的产品，则上述问题不存在或很容易解决。
    VPN应有一个开放的架构。
    VPN部署在企业接入因特网的路由器之后，或者它本身就具有路由器的功能，因此，它己经成为保护企业内部资产安全最重要的门户。阻止黑客入侵、检查病毒、身份认证与权限检查等很多安全功能需要VPN完成或在同VPN与相关产品协同完成。因此，VPN必须按照一个开放的标准，提供与第三方安全产品协同工作的能力。
    有完善的认证管理。
    一个VPN系统应支持标准的认证方式，如RADIUS(Remote
Authentication Dial In User Service，远程认证拨号用户服务)认证、基于PKI（Public Key Infrastructure，公钥基础设施）的证书认证以及逐渐兴起的生物识别技术等等。对于一个大规模的VPN系统，PKI／KMI的密钥管理中心，提供实体（人员、设备、应用）信息的LDAP目录服务及采用标准的强认证技术（令牌、IC卡）是一个VPN系统成功实施和正常运行必不可少的条件。
    VPN应提供第三方产品的接口。
    当用户部署了客户到LAN的VPN方案时，VPN产品应提供标准的特性或公开的API（应用程序编程接口），可以从公司数据库中直接输入用户信息。否则，对于一个有数千甚至上万的SOHO人员和移动办公人员的企业来说，单独地创建和管理用户的权限是不可想像的。
    VPN网关应拥有IP过滤语言，并可以根据数据包的性质进行包过滤。
    数据包的性质有目标和源IP地址、协议类型、源和目的TCP/UDP端口、TCP包的ACK位、出栈和入栈网络接口等。

    VPN（Virtual Private Net，虚拟专用网）可以实现不同网络的组件和资源之间的互连。VPN并非单一产品技术，其技术非常复杂，它涉及到网络技术，通信技术，密码技术和认证技术，是一项交叉科学课题。VPN的发展大体经过了四代，即第一代以链路加密为主的VPN，第二代以PPTP/L2TP为主的VPN，第三代以IPSEC/MPLS为主的VPN和第四代即新一代以SSL技术为主的VPN。

    IPSEC（Internet Protocol Security，因特网安全协议）在IPSEC VPN里，通信双方首先要采用一定的方式建立连接，确定所要采用的安全策略和使用模式，包括加密运算法则和身份验证方法类型等。一旦IPSEC通道建立，所有其上层协议数据都被进行加密，而不管这些通道构建时所采用的安全和加密方法如何。

    SSL（Secure Sockets Layer，安全套接层协议层）它是Netscape公司提出的基于WEB应用的安全协议。SSL协议指定了一种在应用程序协议(如Http，Telenet，Nmtp，Ftp)和TCP/IP协议之间提供数据安全性分层的机制，它为TCP/IP连接提供数据加密，服务器认证，消息完整性以及可选的客户机认证。

    IPSec VPN 和SSL VPN这两种VPN架构产品，从整体的安全等级来看都能够提供安全的远程登入存取联机，但SSL VPN在其易于使用性及安全层级都比IPSec VPN高。SSL VPN采用标准的安全套接层（SSL）对传输中的数据包进行加密，从而在应用层保护了数据的安全性。SSL VPN克服了IPSec VPN的不足，用户可以轻松实现安全易用、无需客户端安装且配置简单的远程访问，从而降低用户的总成本并增加远程用户的工作效率。而同样在这些地方，设置传统的IPSec VPN非常困难，甚至是不可能的，这是由于必须更改网络地址转换（NAT）和防火墙设置。IPSec的VPN处在网络第二层，它只是打开了从分支到总部的通路，对于里面数据的安全性能没有办法保证。IPSec VPN最大的缺点在于客户端需要安装复杂的软件，而且当用户的VPN策略稍微有所改变时，VPN的管理难度将呈几何级数增长。SSL VPN则正好相反，客户端不需要安装任何软件或硬件，使用标准的浏览器，就可通过简单的SSL安全加密协议，安全地访问网络中的信息。SSL VPN是基于应用层的VPN，这就意味着在安全性上已经不仅局限在可以让数据安全过来，而且还关注这过来的数据究竟是什么内容。

标签：