eTrust VPN 构建安全可信网络

摘要：在当前的分布式计算环境中，仅用于在固定的公司站点传输数据的网络是不和时宜也不安全的，需要确保数据可安全来往于远程和本地用户，许多企业为此采用了在当前WAN中加装虚拟专用网(VPN)的方法。本文通过业界领先的冠群金辰成功的CA eTrust VPN 方案应用，虚拟拨号系统可使通过因特网、拨号接入网络或企业内部网安全可靠的运行各种网络应用程序。
关键词：虚拟专用网、标准、技术、方案、eTrust VPN

1、虚拟专用网 (VPN)
虚拟私有网（Virtual Private Network ,VPN）是指在公共网络中建立专用网络，数据通过安全的“加密管道”在公共网络中传播。企业只需要租用本地的数据专线，连接上本地的公众信息网，各地的机构就可以互相传递信息；同时，企业还可以利用公众信息网的拨号接入设备，让自己的用户拨号到公众信息网上，就可以连接进入企业网中。使用VPN有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等好处，是目前和今后企业网络发展的趋势。
ISP的利润大量来自于企业用户。通过向企业提供VPN服务，ISP可以与企业建立更加紧密的长期合作关系，同时充分利用现有网络资源，提高业务量。事实上，VPN用户的数据流量较普通用户要大得多，而且时间上也是相互错开的。VPN用户通常是上班时间形成流量的高峰，而普通用户的流量高峰期则在工作时间之外。ISP对外提供两种服务，资源利用率和业务量都会大大增加。
而对于VPN用户而言，利用Internet组建私有网，将大笔的专线费用缩减为少量的市话费用和Internet费用，无疑是非常有吸引力的。如果愿意，企业甚至可以不必建立自己的广域网维护系统，而将这一繁重的任务交由专业的ISP来完成。

2、虚拟专网标准
目前建造虚拟专网的国际标准有IPSEC（RFC 1825-1829）和L2TP（草案draft-ietf-pppext-l2tp-10）。其中L2TP是虚拟专用拨号网络协议，是IETF根据各厂家协议（包括微软公司的PPTP、Cisco的L2F）进行起草的，目前尚处于草案阶段。IPSEC是由IETF正式定制的开放性IP安全标准，是虚拟专网的基础，已经相当成熟可靠。L2TP协议草案中规定它（L2TP标准）必须以IPSEC为安全基础（见draft-ietf-pppext-l2tp-security-01）。同时IPSEC的厂家支持广泛，Microsoft 的NT5、Cisco PIX防火墙、Ascent Secure Access Control防火墙都支持IPSEC标准。因此我们在构造VPN基础设施时最好采用IPSEC标准，至少也必须采取以IPSEC为加密基础的L2TP协议。

3、eTrust VPN技术方案
3.1 eTrust VPN安全特性
业界领先的冠群金辰CA eTrust VPN具有众多的优点和特点来确保增强已有的网络安全策略，大致如下：
（1）提供端到端的网络安全
eTrust VPN在数据离开源系统前对其加密，只有当它到达目的系统时才解密。不管如何传送数据，是通过您的广域网还是在防火墙外通过因特网进行传输，数据总是被加密的。
（2）工作在防火墙内外
eTrust VPN客户端可非常容易的安装在多种操作系统(包括Windows 95，98，2000，NT和几种版本的UNIX)上。你可把eTrust VPN 客户端安装在防火墙外的远程计算机上，通过拨号或因特网来连接，或安装在防火墙后的局域网机器上。在你的应用服务器上安装eTrust VPN客户端，可以保证应用服务器和客户端间的连接是受保护的。此外，把eTrust VPN Administrator安装在一管理工作站上，用它来创建和维护组中的应用服务器及其安全策略 。
（3）保护已存在的应用
安装了eTrust VPN 的客户端和应用服务器间的通讯都是加密的。eTrust VPN 自动且透明地加密两个snared系统（即安装了eTrust VPN 客户端的系统）间的通讯，而对客户端和服务器增加的负担很少(大约增加百分之四)。
（4）易于实现和易于管理