现代的虚拟专用网络安全

虚拟专用网络是一种信息保护技术，加密操作通常发生在网络层（开放式通信系统互联参考模型的第三层），支持的技术包括因特网协议安全协议IPSec、点对点隧道协议PPTP和第二层隧道协议L2TP。最近的虚拟专用网络实现为了便于防火墙、网络地址转换和代理浏览已经通过安全套接层协议层SSL通道将加密操作移动到演示层（开放式通信系统互联参考模型的第六层）。需要注意的是，大部分的虚拟专用网络决方案第二层的封装是通过第二层与第三层的因特网协议安全协议IPSec或第六层的安全套接层协议层SSL实现的。第二层仿真允许虚拟专用网络客户端有一个虚拟的IP地址以便对网络进行控制。一些支持SSL隧道的虚拟专用网络（请不要和应用层的SSL虚拟专用网络混淆）的供应商，如思科，利用了ActiveX/或Java技术以便通过网络迅速地部署客户端。微软将很快开始把一个新的SSL隧道技术，所谓的安全套接字隧道协议SSTP，加入到目前仅支持点对点隧道协议PPTP和第二层隧道协议L2TP的Windows内置虚拟专用网络客户端中。

虚拟专用网络中加密和验证的使用要根据实际的使用环境进行分析和确定。象支持点对点隧道协议PPTP的虚拟专用网络就可以使用RC4算法的40位、56位和128位加密，支持IPSEC和第二层隧道协议L2TP还可以有更广泛的选择，DES（56位）、3DES（168位）和高级加密标准AES（128、192、256位）都被包含在内。虚拟专用网络的认证机制可能并不强大，象点对点隧道协议PPTP是通过散列传递密码，或者采用公钥基础设施技术类型的实现，类似第二层隧道协议L2TP，可以使用服务器和客户端的数字证书。一些支持因特网协议安全协议IPSec解决方案将可以选择使用预共享密钥或基于公钥基础设施技术PKI的数字证书。如果这看起来象无线网络安全技术的情况，而不是你想象的情况，原因很简单，密码学是相通的。

虚拟专用网络和无线网络安全技术适用于什么环境

在网络安全方面，虚拟专用网络和无线网络安全技术各有所长。虚拟专用网络可以让你安全地连接任何网络（包括互联网），不论使用的是调制解调器或无线网络热点的连接。这就是虚拟专用网络的工作，在世界任何地方提供互联网接入。无线网络安全技术，只是在移动设备和无线接入点之间的数据链路层提供安全保护，这也就意味着它只能工作在当地的一个局域网环境中。但无线网络安全技术可以提供更快的速度，更低的费用和简单的操作。同样情况下，无线网络安全技术可以提供等同甚至好于有线连接的安全性。

当你使用虚拟专用网络连接到局域网的时间，局域网到因特网的连接不会被启动，直到登陆虚拟专用网络客户端手动启开为止。而使用无线网络安全技术的时间，即使用户并没有登陆，机器也可以自动登陆到网络上。这就意味着，在Windows update、企业管理工具、组策略更新之前、当中登陆，换用新用户登陆，都是可行的。当用户激活，并进入到一台笔记本电脑中时，它可以自动进入无线局域网中。对无线网络客户端进行集中管理和分配，让无线网络安全技术对企业来说显得非常有吸引力。对于虚拟专用网络来说，也存在一些完全无法使用的环境。例如，很多嵌入式设备，象采用无线网络技术的VoIP电话、标签打印机、条码扫描器，不能支持虚拟专用网络，但可以支持无线网络保护访问或者无线网络保护访问2安全模式。

虚拟专用网络和无线网络安全技术可以共存

在网络拓扑图上，我们可以看到一个混合了虚拟专用网络和无线网络安全技术的企业网络解决方案。虚拟专用网络的网关为用户登陆因特网提供加密连接，而接入点（一个以上的代表），为本地设备提供了无线局域网的连接。无线网络在这里是一个封闭的网络，可以在第二层及以上进行加密操作，达到访问控制和认证的目的。这个拓扑结构采用了集中的远程用户拨号认证系统RADIUS身份验证模式，可以共享所有的接入点和虚拟专用网络网关。接入点和虚拟专用网络网关将网络接入设备提出的远程用户拨号认证系统RADIUS身份验证的请求给远程用户拨号认证系统RADIUS的服务器，服务器对用户目录（轻量级目录访问协议LDAP、活动目录、Novell等类）进行检查以便核实。这样就保证了无论是虚拟专用网络还是无线网络都是真正安全的单一登录，而不会造成硬件设备的浪费。

虚拟专用网络的安全解决方案

在网络拓扑以上层面，虚拟专用网络是采用无线网络和虚拟专用网络混合环境的唯一解决方案。如果笔记本电脑、Windows Mobile、Windows CE以及便携式Linux设备等限制终端通过虚拟专用网络通过一个互联网热点连接到局域网上的话，它们将可以进行工作。但对于采用无线网络技术的VoIP 电话、标签打印机、条码扫描器等类的嵌入式设备来说，就没有这么幸运了。它们不支持这种架构。性能的瓶颈是出现在虚拟专用网络网关上，这可能需要升级到千兆网关。当地的无线网络用户不得不经过两个阶段的连接，第一步连接到无线网络上，然后启动虚拟专用网络的软件。

接入点和无线网络卡中支持高级加密标准的加密设备，虚拟专用网络客户端软件将会占用大量的内存，最大传输单位的数据包会让处理器处于满负荷的状态。无缝的快速漫游从接入点接入会变得更加困难。黑客可以跳转到无线接入点和进行肮脏的欺骗，象发送给动态主机配置协议的服务器大量假要求，或者可能进行其它类型的第二层攻击。黑客可能利用大家位于同一子网这样的情况，对其它合法用户进行扫描，对此来说，最好的办法是采用基于主机的防火墙。

单独虚拟专用网络的拓扑结构意味着：

昂贵的千兆虚拟专用网络网关

无线网络的相关基础设施没有节约

性能下降得很快

对嵌入式设备的兼容性很差

管理功能的选择很少不能自动登陆

让黑客获得进入开放的无线网络的机会并且可以对网络和用户进行扫描

很显然，最好的办法是使用正确的工具进行正确的工作。虚拟专用网络安全就像一个锤子而无线网络安全是像螺丝起子。你不能使用螺丝起子钉钉子，也不会使用锤子，旋转一个螺丝钉。如果强行使用锤子旋转螺丝钉，你是不会得到所期望的结果。