你在互联网上时想做到安全吗--我是指真正的安全?如果是这样,那你需要虚拟专用网(VPN)。
VPN可以在你与你的办公室、VPN提供商或你家之间,跨互联网建立一条安全的"隧道"。为什么你需要VPN?因为像Firesheep这些使用方便的程序很容易让人窥视你在电子邮件中所写的内容、发到Facebook页面上的信息以及在网上购买的商品。但是借助VPN,你可以通过那条虚拟隧道安全地上网浏览,防止被人窥视,而且你在网上传送的信息经过了加密。
无论你只是想在外出时访问无线网络,又不想让陌生人知道你的活动,还是需要让一批远程员工能够在网上安全地处理工作,你都能到适合自己要求的VPN。本文为新手、高级用户和IT部门介绍了VPN方面的基本知识。
新手篇
要获得VPN服务,最容易、最省钱的办法就是从你所在的公司、学校或组织获得一个VPN。不是经常外出?那就联系你的IT部门,看看它是否为所有用户提供VPN。如果提供,那很方便:只要安装企业VPN软件,设置好后,就可以使用了。下回你打开个人电脑,运行VPN应用软件,就可以开始上网冲浪了。
如果你的IT部门没有VPN怎么办?或者你没有IT部门怎么办?照样有办法。最近,众多VPN提供商开始提供收费服务,通常是每月15美元至20美元,包括Banana VPN、Black Logic、LogMeIn Hamachi和StrongVPN。
你该如何着手挑选一种VPN?如果某服务有网上论坛,上去看看他们的用户发布了什么内容。可以打电话或发邮件给对方,看看有没有人回复。一般来说,公司规模越大越好。如果对方是家小公司,那对于你个人用户来说也许可以,但恐怕无法为你提供小公司所需要的支持。
VPN不仅仅用来确保隐私性,VPN还具有其他优点。比如说,如果你在加拿大,那么通常无法在Hulu网站上收看美国电视节目。但如果你使用VPN来获得一个美国互联网协议(IP)地址,就能收看美国电视节目了。
有些VPN提供商提供另一个好处:匿名上网浏览,这样你在网上浏览时不会被跟踪。如果你的互联网服务提供商(IPS)阻止了某些应用,比如Skype或其他IP语音传输(VoIP)应用程序,就可以使用VPN来规避这些限制。
这些VPN服务可能听起来正是你所需要的。不过要小心:不是所有服务都是一样的。如果某服务没有足够的VPN服务器(从技术上来讲是VPN集中器)来支持所需数量的用户,那么可能会遇到网速很慢的情况,或者根本连接不上。
所以订购某项VPN服务之前,了解一下用户是怎么评价的。更妥当的是,如果对方提供免费试用一段时间的服务,就要好好利用起来,免得花钱买来可能不适合要求的服务。
高级用户篇
你在外出时,是不是想牢牢保护互联网连接?如果是这样,最好的办法当然是使用VPN。如果你所在的公司可以为你提供VPN,那最好不过了。但如果你自己开有小公司或家庭办公室,也有其他办法。
你可以找到几个成本低廉的方法来获得自己的VPN。除了每月支付15美元至20美元订购费的VPN服务外,还能够使用另外的开源路由器固件,如DD-WRT或OpenWRT,把VPN服务器安装到你的路由器中。这种固件让你可以把许多(但不是所有)Wi-Fi路由器和接入点用作VPN端点。
路由器上的VPN
用任何另外的固件来刷新Wi-Fi硬件之前,确保硬件得到支持。你最不希望看到的一幕是,仅仅为了建立一个小型VPN,结果"搞坏"了自己的无线设备,致使它无法使用。一定要查询DD-WRT支持设备列表或OpenWRT支持设备列表。由于这些列表都在不断更新,所以如果你购买全新的路由器或接入点,就要查看一下是否得到支持。
如果你不愿硬件搞砸在自己的手里,一些路由器随带已经安装的DD-WRT,比如巴比禄科技公司的WZR-HP- G300NH AirStation Nfiniti Wireless-N High Power Router。
VPN服务器软件
一些桌面操作系统包括了VPN服务器软件,包括Windows(从XP到Windows 7)和Mac OS X。诚然,这些VPN是很简单的VPN,但它们可能正是你需要的。当然,Windows Server系列随带比较复杂的VPN。如果你运行的全是Windows 7客户机和Windows Server 2008 R2,可能还想考虑使用DirectAccess,这种先进的IPSec VPN在基于IPv4的普通局域网和以太网上通过IPv6来运行。
如果你决定不用DirectAccess,而是选择微软比较旧的VPN技术,Windows Server 2008 R2有一项有所帮助的新功能:VPN重新连接(VPN Reconnect)。顾名思义,如果受到了互联网连接中断的干扰,VPN Reconnect会自动试图连接VPN会话。这项功能对于Wi-Fi连接时好时坏的用户来说很方便,因为他们在重新建立网络连接后,不需要手动重新连接VPN。
Linksys的WRT160NL等大多数流行的路由器让VPN连接很容易透过防火墙来工作。
为你的小型网络添加VPN的另一个方法就是自行安装VPN服务器软件。其中最有名的是OpenVPN,这是开源软件。它有多种版本,适用于几乎所有流行的桌面操作系统,包括Linux、Mac OS X和Windows。
要是设置本地OpenVPN对你或你的员工来说起来有点过于复杂,可以把它作为VMware或Windows虚拟磁盘OpenVPN虚拟设备来运行。若采用这种方法,可以在几分钟内让一个基本的VPN运行起来。
但OpenVPN绝不是可供使用的唯一VPN软件。值得考虑的其他软件还有NeoRouter和Tinc。如果你需要的不仅仅是VPN服务,还需要功能全面的网络服务软件包,强烈推荐开源Vyatta Core 6.1。Vyatta包括了 OpenVPN。
VPN设备
不过,如果你打算让不止十几个的用户同时使用VPN,就需要使用价格低廉的VPN硬件设备,如瞻博网络SA700 SSL VPN Appliance、SonicWall Secure Remote Access Series或Vyatta 514。
不管你使用哪种VPN,都要设置防火墙,以便允许VPN流量。在许多路由器和防火墙上,这项工作就如同设置VPN穿透功能(VPN passthrough)、允许VPN流量一样简单。你的选择通常有PPTP(点对点隧道协议)、L2TP(第二层隧道协议)或SSL(安全套接字层)。只允许你要使用的那些VPN协议--毕竟,防火墙方面有问题时,禁止协议比允许协议来得安全。
查阅VPN的说明文档,看看要开启哪些端口。至于SSL VPN,它们通常使用端口443,这是受SSL保护的Web服务器通常使用的端口,所以该端口应该已经开启。
当然,不管你在运行什么VPN,也不管你的网络架构如何,小企业中的VPN可能会限制用户的速度。比如在我自己的家庭办公室,我的Charter线缆互联网连接提供25 mbps的下行速度和3 mbps的上行速度。这意味着,不管我的远程网络连接速度有多快,当我连接到OpenVPN服务器时,最高速度只有3 mbps。
我常常看到小企业受慢速VPN连接的困扰。那通常是由于,用户和内部的IT员工(常常是同一个人)都没有认识到,涉及互联网连接时,VPN路线上速度最慢的链接将取决VPN的最大速度。如果你想要真正快速的VPN,就要咬咬牙,向ISP购买高端互联网连接。
IT部门篇
如果你在运行一个专业的企业VPN,你已经知道最终用户的VPN服务或基于软件的VPN服务都胜任不了。当然,你可以安装几十个OpenVPN或Windows Server 2008 R2设备来解决这个问题,但是除了速度不够快外,它们管理起来也很棘手。当贵公司需要同时使用几百条乃至1万多条活跃的VPN隧道时,只能借助于最先进的VPN硬件或全国性的VPN服务商。这通常意味着思科、F5 Networks、瞻博网络以及另外几家顶级网络公司。
这时候,你可能要考虑第二种VPN;这种情况下,你使用VPN把不同的办事处和分支机构通过互联网安全地连起来。这方面可以使用MPLS(多协议标签交换)、VPLS(虚拟专用局域网服务)和L2VPN(第二层虚拟专用网)等技术,把数据中心、集中办事处和分支办事处连接成一个虚拟整体。
在正常情况下,你会希望把防火墙放在VPN服务器与互联网之间。
如果你要开始考虑使用那种VPN,别信我这种水平的人。你要找个顶级的网络工程师--更妥当的是,找个合格的网络架构师来正确设置你的虚拟广域网。这里要是犯错误,不是贵公司会蒙受巨额损失,就是当你最不希望广域网出故障时,偏偏出问题。我想你可能不想向首席执行官解释为什么全公司的视频广播消失得无影无踪了。
即便是大规模的企业远程访问VPN所用的技术也与小规模的VPN一样。区别完全在于规模上。
如果你想管理自己的企业级VPN,就要用思科或瞻博等公司价格不菲(至少是五位数)的VPN设备和服务器来搭建VPN。
传统观念认为,你只能使用价格高昂的知名品牌的VPN集中器,但其他厂商(尤其是Vyatta)不这么认为。Vyatta拥有入门级Vyatta 3500系列路由器和防火墙(2009年底推出),提供万兆路由功能,而价格只是同类思科产品的零头而已。
比如说到VPN,Vyatta 3500能够以高达900 mbps的速度,同时处理多达8000条IPSec VPN隧道,费用只需要约6000美元,而同类的思科ASR 1006设备价格超过10万美元。Vyatta产品真的一样好?我本人还没有试用过,但知道有些公司在用它,而且很满意。既然价格这么便宜,何不至少试用一下?虽然目前出现了经济好转的势头,但还没有好到首席财务官和首席信息官欣然批准购买价格高达六位数的硬件这个光景。
当然,你可能想要考虑通过外包来满足自己的VPN要求。过去这么做往往要冒一定的险;但近些年来,AT&T和Verizon等几家知名电信公司已开始提供国内和国际VPN服务。这类服务的费用不便宜,但是你自行维护企业级VPN也不便宜。处处精打细算的网络设计人员会认真考虑VPN外包这种选择。
VPN协议指南
VPN使用众多协议,建立起透过互联网的一条安全"隧道"。
PPTP(点对点隧道协议):这种协议最初用在Windows中,但它不随带任何内置的安全性。它通常与MPPE(微软点对点加密)协议一起建立安全的VPN。我说的"安全"其实不安全,因为PPTP(即PP2P)长期以来安全性欠佳。幸好,PPTP慢慢告别了历史舞台,被更安全的协议所取代。
L2TP(第二层隧道协议):微软联合思科,第二回做得更好了。L2TP结合IPSec安全性,要安全得多,它用在所有现代版本的Windows中。L2TP在Mac OS X和Linux上还得到支持,可结合Openswan等程序使用。
SSL VPN(安全套接层VPN):在过去的几年间,主要是由于OpenVPN越来越受欢迎,SSL VPN才变得越来越普遍。你可以找到适用于各大操作系统的SSL VPN客户端软件。