虛擬專用網(wǎng)(VPN)被定義為通過一個(gè)公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立一個(gè)臨時(shí)的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。

　　有關(guān)VPN客戶機(jī)的一個(gè)常見的錯(cuò)覺是認(rèn)為它們是在VPN網(wǎng)絡(luò)上連接到企業(yè)網(wǎng)絡(luò)的工作站。這種工作站肯定是一種VPN客戶機(jī)，但是，它并不是惟一的一種VPN客戶機(jī)。VPN客戶機(jī)可以是一臺(tái)計(jì)算機(jī)，還可以是一臺(tái)路由器。你的網(wǎng)絡(luò)需要使用什么類型的VPN客戶機(jī)確實(shí)取決于你的公司的具體需求。

　　例如，如果你碰巧有一個(gè)缺少與公司辦公室直接連接的一個(gè)分支辦公室，使用一臺(tái)路由器作為VPN客戶機(jī)對(duì)你來說可能是一個(gè)很好的選擇。通過這樣做，你可以利用一個(gè)單個(gè)的連接把整個(gè)分支辦公室與公司辦公室連接起來。不需要每一臺(tái)PC都單獨(dú)建立一個(gè)連接。

　　另一方面，如果你擁有一些經(jīng)常出差的雇員，這些雇員需要在旅行中訪問公司的網(wǎng)絡(luò)，你把這些雇員的筆記本電腦設(shè)置為VPN的客戶機(jī)可能會(huì)有好處。

　　從技術(shù)上說，只要支持PPTP、L2TP或者IPSec協(xié)議，任何操作系統(tǒng)都可以作為一臺(tái)VPN客戶機(jī)。就微軟而言，這意味著你可以使用Windows NT 4.0、9X、ME、2000和XP操作系統(tǒng)。雖然所有這些操作系統(tǒng)從技術(shù)上說都可以作為客戶機(jī)，我建議你堅(jiān)持使用Windows 2000或者Windows XP操作系統(tǒng)，因?yàn)檫@些操作系統(tǒng)能夠支持L2TP和PSec協(xié)議。

　　VPN服務(wù)器

　　VPN服務(wù)器可以當(dāng)作VPN客戶機(jī)的一個(gè)連接點(diǎn)。從技術(shù)上說，你可以使用Windows NT Server 4.0、Windows 2000 Server或者Windows Server 2003等操作系統(tǒng)作為一臺(tái)VPN服務(wù)器。不過，為了保證安全，我認(rèn)為你應(yīng)該使用Windows Server 2003操作系統(tǒng)。

　　有關(guān)VPN服務(wù)器的最大的誤解之一是VPN服務(wù)器所有的工作都是自己完成的。我的朋友無數(shù)次地對(duì)我說，他們要購(gòu)買一臺(tái)VPN服務(wù)器。他們沒有認(rèn)識(shí)到VPN服務(wù)器只是必要的組件之一。

　　VPN服務(wù)器本身是非常簡(jiǎn)單的。VPN服務(wù)器不過是執(zhí)行路由和遠(yuǎn)程訪問服務(wù)任務(wù)的一個(gè)增強(qiáng)的‘Windows 2003 Server’服務(wù)器。一旦一個(gè)進(jìn)入VPN網(wǎng)絡(luò)的請(qǐng)求被批準(zhǔn)，這個(gè)VPN服務(wù)器就簡(jiǎn)單地充當(dāng)一臺(tái)路由器向這個(gè)VPN客戶機(jī)提供專用網(wǎng)絡(luò)的接入。

　　ISA服務(wù)器

　　VPN服務(wù)器的額外要求之一是你要有一臺(tái)RADIUS(遠(yuǎn)程認(rèn)證撥入用戶服務(wù))服務(wù)器。遠(yuǎn)程認(rèn)證撥入用戶服務(wù)是互聯(lián)網(wǎng)服務(wù)提供商在用戶試圖建立互聯(lián)網(wǎng)連接的時(shí)候?qū)τ脩暨M(jìn)行身份識(shí)別的一種機(jī)制。

　　你需要使用RADIUS服務(wù)器的原因是你需要一些身份識(shí)別機(jī)制對(duì)通過VPN連接進(jìn)入你的網(wǎng)絡(luò)的用戶進(jìn)行身份識(shí)別。你的域名控制器不能完成這個(gè)任務(wù)。即使你的域名控制器能夠勝任這個(gè)任務(wù)，把域名控制器暴露給外部世界也不是一個(gè)好主意。

　　現(xiàn)在的問題是你從什么地方獲得這個(gè)RADIUS服務(wù)器?微軟有自己版本的RADIUS，名為“互聯(lián)網(wǎng)身份識(shí)別服務(wù)”，英文縮寫字是IAS。Windows Server 2003操作系統(tǒng)包含IAS功能。這是一個(gè)好消息。壞消息是由于安全的原因不能在同一臺(tái)計(jì)算機(jī)中把ISA當(dāng)作路由和遠(yuǎn)程訪問服務(wù)(RRAS)來運(yùn)行。即使可以這樣做，我也不能肯定在虛擬服務(wù)器設(shè)置之外是否有這個(gè)可能。

　　防火墻

　　你的VPN需要的其它組件是一個(gè)良好的防火墻。的確。你的VPN服務(wù)器接受來自外部世界的連接，但是，這并不意味著外部世界需要完全訪問的VPN服務(wù)器。你必須使用防火墻封鎖任何沒有使用的端口。

　　建立VPN連接的基本要求是，VPN服務(wù)器的IP地址必須能過通過互聯(lián)網(wǎng)訪問，VPN通信必須能夠通過你的防火墻進(jìn)入VPN服務(wù)器。然而，還有一項(xiàng)可選擇的組件。你可以使用這個(gè)組件讓你的VPN服務(wù)器更安全。

　　如果你非常重視安全問題(而且你有這筆預(yù)算)，你可以在ISA服務(wù)器和你的周邊防火墻和VPN服務(wù)器之間放置一個(gè)ISA服務(wù)器。這個(gè)想法是，你可以設(shè)置防火墻把所有的與VPN有關(guān)的通信都指向那個(gè)ISA服務(wù)器，而不是指向VPN服務(wù)器。然后，ISA服務(wù)器將充當(dāng)一個(gè)VPN代理服務(wù)器。VPN客戶機(jī)和VPN服務(wù)器僅與ISA服務(wù)器進(jìn)行通信。它們相互之間從來不直接通信。這就意味著ISA服務(wù)器在保護(hù)VPN服務(wù)器，不允許直接訪問VPN服務(wù)器，從而為VPN服務(wù)器增加了一個(gè)保護(hù)層。

　　選擇一個(gè)隧道協(xié)議

　　當(dāng)VPN客戶機(jī)訪問一臺(tái)VPN服務(wù)器的時(shí)候，它們是通過一個(gè)虛擬的隧道進(jìn)行訪問的。一個(gè)隧道實(shí)際上就是通過一個(gè)不安全的媒介(通常是互聯(lián)網(wǎng))的安全通道。然而，隧道并不是用魔術(shù)變出來的。隧道需要使用一個(gè)隧道協(xié)議。我以前曾講過老式的Windows客戶機(jī)能夠通過PPTP(點(diǎn)對(duì)點(diǎn)隧道協(xié)議)協(xié)議連接到一個(gè)VPN網(wǎng)絡(luò)。但是，我建議使用比較新的客戶端軟件，如Windows 2000和Windows XP，因?yàn)樗鼈冎С諰2TP(2層隧道協(xié)議)。事實(shí)是這兩個(gè)協(xié)議中的任何一個(gè)協(xié)議都可以工作，而且客戶機(jī)都支持這些協(xié)議。然而，每一個(gè)協(xié)議都有其優(yōu)點(diǎn)和缺點(diǎn)。選擇一個(gè)適合你的機(jī)構(gòu)的隧道協(xié)議是你規(guī)劃VPN網(wǎng)絡(luò)時(shí)應(yīng)做出的最重要的決策之一。

　　同PPTP協(xié)議相比，L2TP協(xié)議最大的優(yōu)勢(shì)在于它依賴IPSec。IPSec加密數(shù)據(jù)，也提供數(shù)據(jù)身份識(shí)別。這意味著IPSec證明這個(gè)數(shù)據(jù)確實(shí)是由發(fā)送者發(fā)送的并且在傳輸?shù)倪^程中沒有被修改。而且IPSec可以防止重播攻擊。重播攻擊指的是黑客捕捉身份識(shí)別數(shù)據(jù)包，然后在晚些時(shí)候重新發(fā)送這個(gè)數(shù)據(jù)包以便獲得這個(gè)系統(tǒng)的訪問權(quán)限。

　　L2TP還可以提供比PPTP更強(qiáng)大的身份識(shí)別功能。L2TP能夠?qū)τ脩艉陀?jì)算機(jī)都進(jìn)行身份識(shí)別。而且在用戶級(jí)身份識(shí)別期間交換的數(shù)據(jù)包總是被加密的。

　　雖然表面上看L2TP也許是隧道協(xié)議的選擇，但是，PPTP也有一些超過L2TP的優(yōu)點(diǎn)。我已經(jīng)談到過這些優(yōu)點(diǎn)之一，就是兼容性。PPTP比L2TP兼容更多的Windows系統(tǒng)。如果你有一些仍在使用版本比較老的Windows操作系統(tǒng)的VPN用戶，那么，除了使用PPTP之外，你沒有別的選擇。

　　PPTP優(yōu)于L2TP的另一個(gè)優(yōu)勢(shì)是L2TP是以IPSec為基礎(chǔ)的。在L2TP的優(yōu)點(diǎn)這一節(jié)，我談到IPSec喜歡L2TP是一件好事，而且事情確實(shí)如此。然而，使用IPSec有一個(gè)重大缺陷。IPSec要求你的網(wǎng)絡(luò)具有認(rèn)證中心。

　　這個(gè)好消息是Windows Server 2003有自己的認(rèn)證中心。認(rèn)證中心的設(shè)置是相對(duì)簡(jiǎn)單的。壞消息是，從安全的觀點(diǎn)看，認(rèn)證中心不是你要處理的事情。保持認(rèn)證中心完整性的惟一方法是在一臺(tái)安全保護(hù)增強(qiáng)到最大限度的專用服務(wù)器上運(yùn)行認(rèn)證中心。這就意味著必須要額外投資購(gòu)買一臺(tái)服務(wù)器、額外的Windows服務(wù)器軟件許可證、以及增加與你的網(wǎng)絡(luò)增加一臺(tái)服務(wù)器有關(guān)的額外管理負(fù)擔(dān)。不過，按照我的意見，額外的成本和管理負(fù)擔(dān)是值得的。L2TP能夠?yàn)槟闾峁┍萈PTP更好的安全性。此外，你還可以利用認(rèn)證中心做其它的事情，如通過IPSec加密本地通信等。

　　身份識(shí)別協(xié)議

　　在我談?wù)搮f(xié)議話題的時(shí)候，我要用一些時(shí)間談一談身份識(shí)別協(xié)議的問題。在設(shè)置VPN的過程中，系統(tǒng)將要求你選擇一個(gè)身份識(shí)別協(xié)議。大多數(shù)人會(huì)選擇MS-CHAP v2選項(xiàng)。MS-CHAP是一個(gè)相對(duì)安全的選項(xiàng)，它兼容運(yùn)行在過去的10年里制作的任何版本的Windows操作系統(tǒng)的VPN客戶機(jī)。MS-CHAP最大的優(yōu)點(diǎn)是容易設(shè)置。

　　如果你計(jì)劃使用L2TP并且要更好的安全性，你應(yīng)該選擇EAP-TLS作為你的身份識(shí)別協(xié)議。只有運(yùn)行Windows 2003或者Windows XP操作系統(tǒng)的客戶機(jī)才能支持EAP-TLS協(xié)議。而且，必須設(shè)置VPN服務(wù)器之后認(rèn)證中心才能辦法用戶認(rèn)證。EAP-TLS協(xié)議的設(shè)置比較復(fù)雜，如果最終用戶已經(jīng)獲得了智能卡，這個(gè)協(xié)議會(huì)工作得更好。但是，EAP-TLS協(xié)議確實(shí)能夠?yàn)槟闾峁┳罴训陌踩�。�?jiǎn)單地說，MS-CHAP是基于口令的協(xié)議。EAP-TLS是基于證書的協(xié)議。

   關(guān)鍵字：VPN、服務(wù)器、協(xié)議