VPN有許多類型，部署范圍非常廣泛：包括服務(wù)提供商為用戶提供的可管理的VPN服務(wù)，及企業(yè)自己建立并管理自己的VPN。目前，VPN應(yīng)用主要有3種類型：遠(yuǎn)程接入VPN、內(nèi)聯(lián)網(wǎng)VPN和外聯(lián)網(wǎng)VPN。
——遠(yuǎn)程接入VPN。遠(yuǎn)程接入VPN最為普遍，因?yàn)樗�能夠大幅度地降低撥號線路和專用線路的月收費(fèi)。它的設(shè)計(jì)理念很簡單：用戶把呼叫發(fā)送到本地POP點(diǎn)，然后在互聯(lián)網(wǎng)上通過隧道傳輸呼叫，從而節(jié)約長途電話費(fèi)。然后，呼叫在企業(yè)VPN網(wǎng)關(guān)設(shè)備上終結(jié)，并把數(shù)據(jù)饋送到企業(yè)網(wǎng)絡(luò)中。這一優(yōu)勢非常明顯，但是使用公共互聯(lián)網(wǎng)作為骨干網(wǎng)絡(luò)來傳輸敏感的企業(yè)數(shù)據(jù)潛在著巨大的威脅——因此安全機(jī)制成為這種技術(shù)的關(guān)鍵成功因素。
——內(nèi)聯(lián)網(wǎng)VPN。采用集中式信息訪問的企業(yè)通常使用專線或幀中繼連接遠(yuǎn)程站點(diǎn)。這些專用線路會產(chǎn)生大幅開支，而且這種開支會因站點(diǎn)之間帶寬的增加和距離的延長而增加，因此這些連接成為WAN維護(hù)中一項(xiàng)最大的開支。要使站點(diǎn)到站點(diǎn)VPN的方式降低這方面的成本，公司可以通過互聯(lián)網(wǎng)建立費(fèi)用較低的連接來代替昂貴的專用鏈路，大大降低租用鏈路的費(fèi)用——因?yàn)榛ヂ?lián)網(wǎng)連接對距離是不敏感的。
——外聯(lián)網(wǎng)VPN。外聯(lián)網(wǎng)指的是提供從一個(gè)公司網(wǎng)絡(luò)到另一個(gè)公司網(wǎng)絡(luò)的安全接入網(wǎng)絡(luò)，它可實(shí)現(xiàn)安全的商業(yè)通信。外聯(lián)網(wǎng)VPN與站點(diǎn)到站點(diǎn)VPN類似，只是外聯(lián)網(wǎng)VPN要求更多地考慮安全問題。當(dāng)兩家公司或更多公司決定進(jìn)行合作、允許對方訪問自己的網(wǎng)絡(luò)時(shí)，必須認(rèn)真考慮，以保證公司的每個(gè)合作伙伴都可以輕松地獲得適當(dāng)?shù)男畔�，同時(shí)使敏感的信息受到嚴(yán)密保護(hù)，防止未授權(quán)用戶的訪問。在外聯(lián)網(wǎng)中，通過防火墻進(jìn)行接入控制非常關(guān)鍵。用戶鑒權(quán)也很重要，因?yàn)樗�可以保證只有經(jīng)授權(quán)的用戶才允許訪問網(wǎng)絡(luò)資源。部署完畢后，安全性應(yīng)盡量在后臺實(shí)現(xiàn)，對用戶盡可能透明。
　　無論是企業(yè)選擇使用哪一種或全部三種類型的VPN，都必須采取特殊的保護(hù)措施，以保證重要信息在公共互聯(lián)網(wǎng)上傳輸時(shí)不會泄露。這主要包括保密性、完整性、鑒權(quán)和可查性。
　　最簡單也是最常用的信息保密方法是采用加密技術(shù)擾亂數(shù)據(jù)，這樣，未經(jīng)授權(quán)的用戶就無法譯解數(shù)據(jù)。加密依靠復(fù)雜的數(shù)學(xué)算法來擾亂數(shù)據(jù)，然后允許合法的用戶將信息解碼，恢復(fù)最初的狀態(tài)。完整性可以驗(yàn)證接收到的數(shù)據(jù)確實(shí)就是發(fā)送的數(shù)據(jù)。與保密性一樣，完整性是使用數(shù)學(xué)算法來保證的；在這里，使用的是散列算法。鑒權(quán)和可查性是同一事物的兩個(gè)方面。與任何一方通信時(shí)，重要的是要毫無疑問地證明網(wǎng)絡(luò)另一端的人確實(shí)是他們聲稱的人。這被稱為鑒權(quán)用戶。
　　在任何VPN部署中，防火墻都是一個(gè)關(guān)鍵部件。盡管IPsec擁有許多內(nèi)置鑒權(quán)功能，但是防火墻仍然是企業(yè)網(wǎng)絡(luò)的第一道屏障。在任何VPN方案中都需要認(rèn)真考慮防火墻的位置。防火墻應(yīng)該放在安全網(wǎng)關(guān)的里面還是外面，一直都是爭論的焦點(diǎn)。最好的方案是把防火墻集成到VPN網(wǎng)關(guān)內(nèi)（如北電網(wǎng)絡(luò)的Contivity安全I(xiàn)P網(wǎng)關(guān)），另一種方案是把VPN網(wǎng)關(guān)設(shè)立在防火墻的非軍事區(qū)（DMZ）中，以確保整體網(wǎng)絡(luò)的安全。
　　在VPN整體解決方案中，入侵檢測變得越來越重要。它查詢不同的主機(jī)和管理數(shù)據(jù)庫，尋找是否有未經(jīng)授權(quán)的用戶正在登錄網(wǎng)絡(luò)或者曾登錄網(wǎng)絡(luò)的跡象。例如，越來越多的攻擊是由網(wǎng)絡(luò)內(nèi)部的用戶發(fā)起的。因此，重要的是要知道哪些用戶正在未經(jīng)授權(quán)的情況下訪問網(wǎng)絡(luò)的資源。
　　入侵檢測軟件就提供了這種保證措施。北電網(wǎng)絡(luò)與入侵檢測軟件領(lǐng)域的領(lǐng)導(dǎo)者———InternetSecuritySystems合作，提供了VPN解決方案中的入侵檢測部件。
　　在北電網(wǎng)絡(luò)企業(yè)VPN解決方案中，Contivity網(wǎng)關(guān)提供VPN連接企業(yè)網(wǎng)絡(luò)中所有其它站點(diǎn)的功能。Contivity對流經(jīng)公網(wǎng)的數(shù)據(jù)進(jìn)行加解密。VPN技術(shù)在企業(yè)網(wǎng)絡(luò)中的應(yīng)用是一種關(guān)鍵因素，這使需要融合話音和數(shù)據(jù)業(yè)務(wù)的客戶仍能夠利用VPN的優(yōu)勢。隨著時(shí)間的推移，企業(yè)越來越多的供應(yīng)商和客戶將希望通過外聯(lián)網(wǎng)連接起來，這種Contivity的解決方案可以擴(kuò)展以滿足這些越來越高的要求。
　　ContivityVPN設(shè)備的管理可使用北電網(wǎng)絡(luò)的Contivity配置管理器（CCM）進(jìn)行。CCM能夠在一個(gè)管理界面上進(jìn)行大量配置，并能夠管理大量VPN設(shè)備并生成報(bào)告。
　　北電網(wǎng)絡(luò)提供眾多產(chǎn)品，能夠用來建立企業(yè)VPN。市場領(lǐng)先的Contivity安全I(xiàn)P業(yè)務(wù)網(wǎng)關(guān)（VPN、防火墻、安全路由）和北電網(wǎng)絡(luò)的企業(yè)路由器是構(gòu)建遠(yuǎn)程接入VPN、站點(diǎn)到站點(diǎn)內(nèi)聯(lián)網(wǎng)VPN和外聯(lián)網(wǎng)VPN的必需設(shè)備。
　　隨著數(shù)據(jù)和話音網(wǎng)絡(luò)統(tǒng)一的逐步實(shí)現(xiàn)，北電網(wǎng)絡(luò)是唯一能夠提供完整的多業(yè)務(wù)解決方案的廠商，這些多業(yè)務(wù)VPN是未來網(wǎng)絡(luò)的先驅(qū)———在互聯(lián)網(wǎng)上融合話音和數(shù)據(jù)業(yè)務(wù)。
　　北電網(wǎng)絡(luò)的解決方案將在支持VPN特性的同時(shí)，以非常高的速度集合話音、視頻和數(shù)據(jù)支持功能而不影響性能。隨著北電網(wǎng)絡(luò)堅(jiān)持不懈地開發(fā)這些強(qiáng)大的企業(yè)解決方案，VPN技術(shù)將被應(yīng)用到所有產(chǎn)品系列中，使企業(yè)能夠構(gòu)建更多類型的安全I(xiàn)P業(yè)務(wù)網(wǎng)絡(luò)。

中國信息產(chǎn)業(yè)網(wǎng)(www.cnii.com.cn)