网络安全等级保护：实施VPN解决方案

实施 VPN 解决方案

无论VPN使用哪种协议，都必须在某些软件/硬件配置中实现选择。许多操作系统都有内置的 VPN 服务器和客户端连接。这些通常适合小型办公室或家庭情况。但是，可能不足以满足多个用户通过 VPN 连接的大规模操作。对于这些情况，可能需要专用的 VPN 解决方案。本节讨论其中一些解决方案。

VPN 集中器用作各种远程 VPN 连接的单点。集中器可以支持站点到站点以及点到站点 VPN。这通常作为网关路由器的一项功能来实现。

思科提供 VPN 解决方案，包括一个可以添加到他们的许多交换机和路由器中以实施 VPN 服务。它还提供客户端硬件，旨在为 VPN 提供易于实施且安全的客户端。

该解决方案的主要优点是它可以与其他思科产品无缝集成。使用思科防火墙或思科路由器的管理员可能会发现此解决方案更可取。但是，此解决方案可能不适合那些不使用其他思科产品以及不了解思科系统的人。然而，该产品的许多有吸引力的规格包括：

·可以使用3DES加密（DES的改进版本）。但 AES 是首选并强烈推荐。

·可以处理大于 500 字节的数据包。

·每秒最多可以创建 60 个新虚拟隧道，如果可能有大量用户登录或注销，这是一个很好的功能。

Cisco 还提供许多包含 VPN 技术的路由器。成本较低的一端是 Cisco 1000 系列集成路由器，其中包括通过 IPsec 实现 50Mbps 的 VPN。更昂贵的产品包括 ASR 9000 系列，支持第 2 层 VPN 和第 3 层 VPN。

与思科一样，瞻博网络也拥有多种网络产品，可满足从小型办公室/家庭办公室 (SOHO) 到大型企业网络的各种需求。对于客户端，有 Juniper Secure Connect，它使用 SSL-VPN。Juniper 的网关路由器均支持 VPN，从支持 1Gbps VPN 性能的 SRX 550 到支持高达 699Gbps VPN 性能的 SRX 580。

华为提供一系列网络产品，包括支持VPN的产品。华为提供客户端解决方案以及要连接的路由器。NetEngine 8000系列路由器专为大型网络而设计，支持二层和三层VPN。

在某些情况下，特别是在大型 WAN VPN 情况下，可能不想投入时间、精力和成本来建立、保护和监控 VPN 连接。您可以将整个过程（设置和管理）承包给 VPN 供应商。国外AT&T 为许多公司提供这项服务。

服务解决方案的优点是内部 IT 部门不需要任何特定的 VPN 技能。缺乏这些特定技能领域但想要实施 VPN 的部门可能会发现使用外部服务是正确的解决方案。

Openswan 产品 ( www.openswan.org/ ) 是一款适用于 Linux 操作系统的开源 VPN 解决方案。作为一个开源产品，最大的优势之一就是免费。Openswan 使用 IPsec，使其成为高度安全的 VPN 解决方案。

Openswan 支持远程用户通过VPN 或站点到站点连接登录。还支持无线连接。但是，不支持 NAT（网络地址转换，代理服务器的新替代方案）。

SoftEther VPN 是一款开源多协议 VPN，由筑波大学的一个项目创建，并在 Apache 开源许可证下发布。该产品可以在Windows、Linux、macOS、FreeBSD 和 Solaris 上运行，旨在成为 OpenVN 和 Microsoft VPN 的替代品。

SoftEther 使用 4096 位 RSA 进行非对称加密，使用 256 位 AES 进行对称密码。支持 NAT 穿越以及远程访问和站点到站点 VPN。此外，一切都可以通过易于使用的 GUI 进行配置。