VPN技术是指在公共的网络平台上传输用户私有的数据，实现方式是在公网如Internet上搭建隧道，从而使得在不安全的互联网上传输私有数据得到保证。这种技术的效果类似于传统的租用专线联网方式，但其费用远比采用专线方式联网要便宜。

目前与企业相关的VPN隧道协议分三种：点到点隧道协议PPTP，第二层隧道协议L2TP，网络层隧道协议IPSec。而VPN在企业中的组网方式分四种：远程访问（客户端到网关），分支机构互连（网关到网关），Extranet VPN（网关到网关，用于合作伙伴/客户等），Intranet VPN。在各种组网方式下要仔细选用不同的隧道协议。

支持VPN的产品种类很多，包括路由器，主机网关，拨号接入设备，隧道加密机，隧道交换机等等。但利用防火墙支持VPN越来越流行，因为它既能提供VPN实现网络互连，又能保护企业内部的资源免受外部网络的攻击。因此，带VPN功能的防火墙可以提供更全面的安全解决方案。

3Com公司防火墙VPN产品

目前，3Com公司的防火墙产品包括两种型号：

SuperStack 3防火墙

OfficeConnect DMZ防火墙

SuperStack 3防火墙主要用于企业中心以及大型分支办公室，OfficeConnect DMZ防火墙只要用于小型分支办公室。

这两种VPN防火墙都采用实时操作系统，并经过修剪，专门用于网络安全功能，彻底避免了传统软件防火墙由于依靠UNIX和Windows NT操作系统而带来的潜在漏洞。同时，采用高性能安全防火墙引擎，提供状态包检测保护，属于专用硬件防火墙，能够为大中小企业提供高性能价格比的解决方案。

为了提供高性能，高安全性的VPN，3Com公司防火墙采用专用硬件加速引擎，并采用标准的网络层IPsec 协议。下面介绍IPsec VPN与其它两种VPN协议的比较。

点到点隧道协议-PPTP

PPTP协议在一个已存在的IP连接上封装PPP会话，只要网络层是连通的，就可以运行PPTP协议。PPTP协议将控制包与数据包分开，控制包采用TCP控制，用于严格的状态查询以及信令信息；数据包部分先封装在PPP协议中，然后封装到GRE V2协议中.GRE是通用路由封装协议，用于在标准IP包中封装任何形式的数据包，因此PPTP可以支持所有的协议，包括IP，IPX，NetBEUI等等。除了搭建隧道，PPTP本身没有定义加密机制，但它继续了PPP的认证和加密机制，包括认证机制PAP/CHAP/MS-CHAP以及加密机制MPPE。

第二层隧道协议-L2TP

L2TP是一个国际标准隧道协议，它结合了PPTP协议以及第二层转发L2F协议的优点。L2TP与PPTP的最大不同在于L2TP将控制包和数据包合二为一，并运行在UDP上，而不是TCP上。UDP省去了TCP中同步、检错、重传等机制，因此L2TP速度很快。与PPTP类似，L2TP也可支持多种协议。L2TP协议本身并没有提供任何加密功能。

IPsec协议

IPsec是标准的第三层安全协议，用于保护IP数据包或上层数据，它可以定义哪些数据流需要保护，怎样保护以及应该将这些受保护的数据流转发给谁。由于它工作在网络层，因此可以用于两台主机之间，网络安全网关之间（如防火墙，路由器），或主机与网关之间。

IPsec协议分两种：ESP和AH，这两种协议都可以提供网络安全，如数据源认证（确保接收到的数据是来自发送方），数据完整性（确保数据没有被更改）以及防中继保护（确保数据到达次序的完整性）。除此之外，ESP协议还支持数据的保密性，能够确保其它人无法读取传送的数据，这实际上是采用加密算法来实现的。

IPsec的安全服务要求支持共享钥匙完成认证和/或保密。在IPsec协议中引入了一个钥匙治理协议，称Internet钥匙交换协议-IKE，该协议可以动态认证IPsec对等体，协商安全服务，并自动生成共享钥匙。

IPsec协议（AH或ESP）保护整个IP包或IP包中的上层协议。IPsec有两种工作方式：传输方式保护上层协议如TCP；隧道方式保护整个IP包。在传输方式下，IPsec包头加在IP包头和上层协议包头之间；而在隧道方式下，整个IP包都封装在一个新的IP包中，并在新的IP包头和原来的IP包头之间插入IPsec头。两种IPsec协议AH 和ESP都可以工作在传输方式下或隧道方式下。

L2TP与IPsec传输方式的集成

鉴于IPsec缺少用户认证，只支持IP协议，目前有一种趋势将L2TP和IPsec结合起来使用，采用L2TP作为隧道协议，而用IPsec协议保护数据。

PPTP和L2TP都支持多协议，但要记住L2TP协议缺少数据保密性的保护。PPTP和L2TP都不具有机器认证的能力，而必须依靠于用户认证。

在所有的VPN协议中，IPsec提供最好的安全性，但IPsec无法提供用户认证，也不支持多协议。许多厂家都采用的附加的特性来支持用户认证，比如支持Radius协议。IPsec协议十分灵活，可以满足所有网关到网关的VPN连接。

3Com防火墙VPN解决方案

通过前面几种VPN协议的分析比较，可以看出3Com公司防火墙VPN采用IPsec协议的优势。同时基于防火墙的VPN还可以充分利用防火墙安全机制的优势。3Com防火墙采用专用硬件加密处理器来加密和解密VPN数据流，而主核心处理器只负责状态包检测功能。因此3Com公司防火墙的VPN性能极高，比如SuperStack 3防火墙可以提供45Mbps的3DES吞吐量，21Mbps 的ARC4吞吐量。

3Com防火墙采用IPsec隧道方式提供网关到网关以及客户端到网关的VPN连接，用于分支机构，远程工作人员，客户以及合作伙伴对企业网络的访问。拓扑结构见附图。

对于网关到网关VPN，SuperStack 3防火墙支持1000个并发VPN隧道，支持手工密钥方式以及IKE动态密钥方式；对于客户端到网关VPN，SuperStack 3防火墙支持64000个并发VPN客户端;3Com防火墙支持14种认证/加密算法.

由于IPsec协议不支持用户认证，因此在远程用户访问VPN环境下，3Com公司防火墙VPN支持Radius协议，通过Radius服务器提供客户端VPN的用户认证。

为简化远程用户访问VPN在防火墙中的配置，3Com 防火墙支持GroupVPN配置功能，一个Group VPN答应100个使用IKE方式的VPN客户端接入。3Com防火墙还提供客户端VPN软件SafeNet/IRE VPN。

标签： 防火墙