VPN安全技术在实际网络中的应用2

VPN安全技术在实际网络中的应用2

客户端到站点VPN

　　当客户端要求从网络的LAN外部访问站点内部数据时，该客户端需要发起一个客户端到站点的VPN连接。这就保证了到站点的LAN的路径的安全。客户端到站点VPN是许多隧道的集合，这些隧道出口是在LAN一侧的通用共享的端点，一个或者多个客户端可以访问VPN服务器发起安全VPN连接，从一个不安全的远程位置并发的对内部数据进行安全访问，客户端从服务器那里获得一个IP地址，这样客户端看起来就好像是服务器所在LAN的成员。

　　有些从客户端到站点VPN解决方案使用客户端的分离隧道，这些隧道具有许多安全分支，远程客户端能够通过分离的数据路径发送数据流，而不必再经过加密的VPN隧道转发，而以明文发送的信息流通过使用过滤器来确定，但是用户需要注意其分离隧道避开了安全VPN的安全性，所以一定要慎用这个功能。

　　例如：许多客户端到站点VPN常常拥有一种机制，可以使得笔记本电脑用户能够安全的与企业办事处建立连接，其中一些VPN不要求用户认证机制，并且仅仅依赖设备认证。所以必须要特别谨慎，确保这些笔记本电脑的无力安全，避免发生任何危及安全的情况发生。

　　企业VPN安全应用

　　要想保证VPN数据流的安全，需要综合使用诸如身份识别、隧道和加密等技术。基于IP的VPN在两个网络设备之间提供了IP隧道，这些隧道要么是站点到站点的，要么是客户端到站点的。在两个设备之间发送的数据是经过加密的，这样就可以在已有的IP网络上建立起安全的网络路径。隧道技术就是一种在因特网上的两个设备之间建立虚拟路径或者点对点连接方式。大多数的VPN的实现都是使用隧道在两个设备之间建立一个私有网络路径。

　　有些VPN业通过使用安全壳隧道、安全套接层/传输层安全或其他安全应用协议展开创建。这些协议为特定应用提供了安全的端到端通信，有时还可以和此处所讨论的隧道协议共同使用。IPSec有两种使用模式：传输模式，保证了一个现有IP报文分组从源到目的地安全;隧道模式，把一个现有IP报文分组放入一个新IP报文中，新IP报文分组以IPSec格式发送到一个隧道端点。传输模式和隧道模式都可以封装在ESP或AH首部中。