VPN的主要目标是建立一种灵活、低成本、可扩展的网络互连手段，以替代传统的长途专线连接和远程拨号连接，但同时VPN也是一种实现企业内部网安全隔离的有效方式。VPN技术需要解决的主要问题概括起来就是：实现低成本的互通和安全。

企业网络互联的基本安全要素 

企业通过公网实现跨地域的系统互联必然面临安全问题。使用公用网络会导致机构间的传输信息容易被窃取，同时攻击者有可能通过公网对机构的内部网络实施攻击，因此虚拟专用网的重点在于建立安全的数据通道，该通道应具备以下的基本安全要素 

保证数据的真实性，通信主机必须是经过授权的，要有抵抗地址假冒（IP Spoofing）的能力。 

保证数据的完整性，接收到的数据必须与发送时的一致，要有抵抗不法分子纂改数据的能力。 

保证通道的机密性，提供强有力的加密手段，必须使偷听者不能破解拦截到的通道数据。 

提供动态密钥交换功能和集中安全管理服务。 

提供安全防护措施和访问控制，具有抵抗黑客通过VPN通道攻击企业网络的能力，并且可以对VPN通道进行访问控制。 

需要强调指出的是：网络信息系统是由人参与的信息系统环境，建立良好的安全组织和管理是首要的安全需求，也是一切安全技术手段得以有效发挥的基础。企业需要的是集组织、管理和技术为一体的完整的安全解决方案。 

VPN技术基础 

实现一个完整的VPN的主要基础技术包括隧道技术、密码技术和网络访问控制技术。隧道技术使得各种内部数据包可以通过公网进行传输；密码技术用于加密隐蔽传输信息、认证用户身份、抗否认等，网络访问控制技术用于对系统进行安全保护，抵抗各种外来攻击。 

隧道技术 

由于受到Internet网络中IP地址资源短缺的影响，各企业内部网络使用的多为私有IP地址，从这些地址发出的数据包是不能直接通过Internet传输的， 而必须代之以合法的IP地址。有多种方法可以完成这种地址转换，如静态IP地址转换、动态IP地址转换、端口替换、数据包封装等，对于VPN而言，数据包封装（隧道）是最常用的技术。数据包封装发生在VPN的发送节点，此时需将原数据包打包，添加合法的外层IP包头，这个包可通过公网被传送到接收端的VPN节点，该节点接收后进行拆包处理，还原出原报文后传述给目标主机。几乎所有的VPN技术均采用了数据包封装技术。 

密码技术 

密码技术是实现网络安全的最有效的技术之一，实际上，数据加密作为一项基本技术已经成为所有通信数据安全的基石。在多数情况下，数据加密是保证信息机密性的唯一方法。一个加密网络，不但可以防止非授权用户的搭线窃听和 入网，而且也是对付恶意软件的有效方法，这使得它能以较小的代价提供很强的安全保护。 

数据加密过程是由各种加密算法来具体实施，按照收发双方密钥是否相同来分类，可以将这些加密算法分为对称密码算法和非对称密码算法（公钥算法）。 

对称密钥密码算法的收信方和发信方使用相同的密钥，即加密密钥和解密密钥是相同或等价的。最著名的对称密码算法为美国的DES算法及其各种变形。对称密码算法的优点是有很强的保密强度和较快的运算速度，但其密钥必须通过安全的途径传送。因此，其密钥管理成为系统安全的重要因素。 

非对称密钥（公钥）密码算法的收信方和发信方使用的密钥互不相同，而且几乎不可能从加密密钥推导出解密密钥，这些特性使其成为实现数字签名的最佳选择。由于非对称密码算法加密速度慢，不适宜直接对实时的和大量的数据加密。在IPSec实现中，非对称算法（证书）用于自动协商隧道密钥（对称密钥），从而可大大简化密钥的管理工作。在IP最著名也是应用最为广泛的公钥密码算法是RSA算法。

网络访问控制技术 

网络访问控制技术对出入广域网的数据包进行过滤，即传统的防火墙功能。由于防火墙和VPN均处于公网出口处，在网络中的位置基本相同，而其功能具有很强的互补性，因此一个完整的VPN产品应同时提供完善的网络访问控制功能，这可以在系统的安全性、性能及统一管理上带来一系列的好处。

原文链接：http://network.51cto.com/art/201105/263534.htm