有完善的认证管理。
一个VPN系统应支持标准的认证方式,如RADIUS(Remote Authentication Dial In User Service,远程认证拨号用户服务)认证、基于PKI(Public Key Infrastructure,公钥基础设施)的证书认证以及逐渐兴起的生物识别技术等等。对于一个大规模的VPN系统,PKI/KMI的密钥管理中心,提供实体(人员、设备、应用)信息的LDAP目录服务及采用标准的强认证技术(令牌、IC卡)是一个VPN系统成功实施和正常运行必不可少的条件。
VPN应提供第三方产品的接口。
当用户部署了客户到LAN的VPN方案时,VPN产品应提供标准的特性或公开的API(应用程序编程接口),可以从公司数据库中直接输入用户信息。否则,对于一个有数千甚至上万的SOHO人员和移动办公人员的企业来说,单独地创建和管理用户的权限是不可想像的。
VPN网关应拥有IP过滤语言,并可以根据数据包的性质进行包过滤。
数据包的性质有目标和源IP地址、协议类型、源和目的TCP/UDP端口、TCP包的ACK位、出栈和入栈网络接口等。
一个完整的VPN系统一般包括以下几个单元:
VPN服务器:一台计算机或设备用来接收和验证VPN连接的请求,处理数据打包和解包工作。
VPN客户端:一台计算机或设备用来发起VPN连接的请求,也处理数据的打包和解包工作。
VPN数据通道:一条建立在公用网络上的数据连接。
注意所谓的服务器和客户端在VPN连接建立之后在通信中的角色是相同的,它们的区别只在于连接是由谁发起的而已。
VPN可以实现哪些功能?
第一,DDN技术虽然可以实现企业间互连,但租金昂贵;ADSL宽带虽然价格低廉,但其只能应用于企业接入Internet ,不能实现企业之间的互联。VPN可以帮助实现既经济又安全的企业间互联,即企业可以通过无处不在的因特网来实现方便快捷的互访。
第二,虽然INTERNET为企业实现数据访问提供了方便,但其高度开放性和松散管理结构也使得企业面临严重的网络安全问题。用户可以利用加密技术对经过 VPN 隧道传输的数据进行加密,以保证数据仅被指定的发送者和接收者了解,从而保证了数据的私有性和安全性。
VPN的使用限制
第一,如果是在公司内部局域网与外部网络之间搭建VPN,必须保证服务器和互联网连接的网卡获得的是一个公网地址,不是使用地址转换技术。
第二,在安装VPN服务器的一端必须要有固定IP地址,客户端要事先知道服务器端的IP地址才能发起连接。而大多数用户宽带上网的IP地址都是变化的,所以必须把动态IP地址转换成静态。
使用动态IP的用户,可以把动态域名解析服务和VPN方案相结合使用,把动态IP解析成静态。