现在有越来越多用户利用虚拟私有网路（VPNs）来传输一些重要、敏感的资料，因为VPN可以安全地连结一处以上的远端位置，而且成本低廉。 VPN目前有二大主要用途。第一，用VPN来替代昂贵的E1、T1专线，以连接二地办公室。第二，透过电脑终端与办公室连线的电子通勤者也利用VPN来连线工作，就好像是连接到区域网路（LAN）一样。

虚拟私有网路介绍

设置VPN即是设置VPN闸道和VPN用户端二处间的「通道」。二处共用一组加密和解密的代码或「密钥」。透过VPN传输的资料受到加密保护，只有握有正确密钥的人才能读取。而网路另一端的授权使用者则有权解密，可以存取该资料。

(图一)是基本的VPN架构图，VPN机盒位于企业网路的边缘，或是家用网路中（电子通勤者），一边连接WAN，另一边则是连接LAN。二边都是透过乙太网路连接，最高连线速度为全线速。介面和安全引擎之间的基本软体和路由器资料封包都是经由中央处理器（CPU）来运作。安全引擎负责VPN机盒中大部分的处理作业。

《图一 VPN架构图》

低阶VPN装置

低阶VPN市场的用户包括电子通勤者、远距办公室和SOHO族（个人工作室）。这类装置所需要的总吞吐量为1到10Mbps，可供应1到10位使用者使用。一般而言，这类系统包括二组乙太网路埠，一组通过介面连到WAN，一组连到LAN。低阶VPN装置的选购考量通常在于价格、使用是否容易，以及其可配置性。

中型VPN 装置

中型VPN办公室多为中小型企业的分支处所使用。这类装置需要10Mbps到数百Mbps的频宽，使用人数少至10位，多达数百位。企业CPN属于这类装置的高阶用户。中型VPN装置的选购考量主要是在特定成本限制下所能达到的效能。

整合机盒

虽然今日的VPN功能是设计在独立机盒中，相信再过不久，VPN的功能将可以和乙太交换机、家用和企业闸道器、无线存取器等其他机盒整合在一起。

另外，VPN/防火墙的硬体选择是以效能和连接性为主。

VPN效能需求

由于网路安全软体的发展日新月异，VPN设计人员每天都要面对日益提高的效能需求。防火墙和其他安全协定要不断进步才能跟得上骇客的脚步，因此VPN应用也得要把因应这些需求所必要的硬体包含在内。

举例而言，企业VPN需要效能更好的安全加速器，如此一来，该装置才能支援更多VPN通道，处理更高的资料存取量。此外，系统为了进行封包分类任务、防火墙和网路入侵检测，因而必须大幅提高CPU核心的效能。由于软体不断改变，设计人员也无法确切得知未来的需求走向，因此在选择硬体时，必须选择弹性空间大，以便处理目标用户可能面临的潜在功能。大部分科技产业的公司都在想办法降低硬体的成本，因此选购时必须同时考量到效能与成本二大因素。

另一个会影响到效能需求的要素是同时使用的用户人数。用户人数一增加，处理器的需求也跟着提高，才足以处理增加的VPN安装、拆卸连线，并维持较高的用户累积存取量。

设计人员可以采用双晶片解决方案，来支援因使用者人数增加或是应用程式需求而提高的效能等级，所谓「双晶片」，是包括一组一般用途的CPU和一组外部安全加速器。另一方面，有些应用程式的效能需求很低，使得系统可以执行软体中的任何程式，甚至加密运算也没问题。在这种情况下，整合处理器是比较实用的选择。稍后会进一步谈到双晶片方案和整合单晶片方案。

VPN连接需求

除了效能之外，设计人员在选择硬体时也要考虑到机盒的连接类型。连接方式包括广域网路（WAN）埠、LAN埠、隔离区（DMZ）埠、无线埠和周边埠，例如PCI汇流排和USB。设计人员必须决定要提供哪些连接选择，以及每​​种连接类型有几个埠位。到目前为止，VPN机盒的连接安装尚未有标准。然而，高速乙太网路（GbE）应该是VPN应用中的必备要件，因为GbE是标准的乙太网路连接，因此也可能会成为VPN连接的基本标准。

整合式vs.双晶片解决方案

双晶片解决方案

双晶片解决方案运用到二种主要装置，整合处理器和分开的安全协同处理器。一般而言，安全处理器会使用PCI介面来作为二种装置间的连线通道。双晶片解决方案的最大优点就是弹性空间很大。顾客可以设计一个平台来提供某种系统功能，例如使用者人数、乙太网路或是修改其中一项元件，来支援系统需求。

整合式单晶片解决方案

整合式单晶片解决方案是集安全协同处理器、I/O连接和管理CPU于一体的单一晶片。这种装置的成本较低，但是省钱的代价就是要牺牲系统的弹性。设计人员如果要选择单晶片，又想兼顾到系统弹性的话，可以选择效能较高的CPU核心和支援目前与未来安全演算规则的安全引擎。

至于要选择整合式单晶片解决方案或是双晶片解决方案的问题，则可以根据连结所需要的频宽以及同时要提供多少使用者使用来决定。如果频宽超过50Mbps的话，则建议使用具备一般用途处理器和外接安全协同处理器的双晶片解决方案；如果频宽低于50Mbps，而同时使用人数超过100人，还是建议使用双晶片解决方案。如果频宽低于50Mbps，且同时使用人数不到100人，则单晶片解决方式是较为实际且符合成本效益的选择。

VPN应用的软体选择

选择VPN应用的软体比选择硬体要复杂得多，因为市面上的软体种类多不胜数。以下是设计人员在为VPN应用选择软体时，一定要考量到的关键要素。

嵌入式即时作业系统

设计人员要作的第一个决定，就是决定采用哪种作业系统。您可以采用标准OS，例如VxWorks、Linux或是厂商独自开发的作业系统（proprietary OS）。耐用、可靠、符合成本效益也应该是考量的重点所在。

虚拟私人网路软体

IP安全协定（IPsec）是目前最受欢迎的安全应用协定，它是一种公开标准的架构，用来加密与认证资料。 IPsec采用全球通用的规格来建立公共网路上的VPN通道，以下认证、加密、杂凑标准皆符合IPsec。

IPsec利用IKE（网路密钥交换）来产生认证钥匙，这些认证钥匙让系统得以在VPN的任一端确认发送者的身分。

另外，加密是VPN安全的关键所在，是一种改变资料的方法，让未经授权的人无法读取资料。 VPN接受端的使用者有权解密，解密后便可读取资料内容。以往最受欢迎的加密协定是DES和3DES，这二种加密协定受到广泛采用达数十年之久，但到了最近十年，它们变得很容易破解。由于漏洞百出，因此新的设计已经不建议使用DES加密演算法。在2000年10月，美国国家标准测试研究所（NIST）选用Rijndael加密演算法来取代DES加密演算法。「先进加密标准」（AES）是现在最新的选择，未来也将成为企业网路的加密标准。

杂凑讯息身份验证代码（HMAC）透过加密或「杂凑」使用者的密钥和讯息资料来提供多一层的防护作用。 HMAC功能是用来认证与核对遭到变更的讯息。就像加密标准一样，密钥杂凑标准也在不断演进中。传统的杂凑演算和Message Digest version 5（MD5）已经被更安​​全的Secure Hashing Algorithm version 1（SHA1）演算法取代。 MD5可产生128-bit的「讯息摘要」，而运算更密集的SHA1则可产生更大、更安全的160-bit讯息摘要。

防火墙软体种类

防火墙的功能可以保护LAN、应用程式和服务，免受擅自或恶意之流量与使用者的侵扰。防火墙的功能可以设置为允许网页通过公司网路伺服器，但拒绝从网路档案伺服器来存取档案的请求。正常来说，只要开启或关闭对应协定的TCP埠，例如网路流量（HTTP）的埠80和档案流量（FTP）的埠21，即可做到这一点。

现在最主要的三种防火墙技术包括封包过滤、应用程式代理和动态检测。

封包过滤

封包过滤指的是，每一个资料封包的标头在网路层就要接受检验。系统先建立一套存取控制规则，符合这些规则的资料封包才能进入网路，不符合规则的则不能进入。封包过滤式防火墙的缺点式非常容易遭受骇客入侵，安装、维护都很困难，而且会造成系统性能降低。

应用程式代理与应用层闸道

应用程式代理或应用层闸道这类型的防火墙是内部网路与网际网路间的一道介面。防火墙管理员设定一套存取规则，然后应用程式代理则负责比对每一个封包和规则间的不同。核对过后，应用程式代理会产生一组新的要求封包与回应封包。虽然应用层闸道比封包过滤安全，但它在宽频网路连线使用时，会严重影响到系统效能。就像封包过滤式防火墙一样，应用程式代理也不容易安装、维护。

动态封包检测

动态封包检测防火墙是目前最安全的防火墙技术，很快就取代了封包过滤和应用层闸道式防火墙。动态封包检测防火墙先在网路层拦截封包，然后在应用程式层分析资料，借此以确保网路的安全。在封包的安全过滤与资料放行进入网路方面，动态封包检测防火墙也较其他二种防火墙严谨得多。相对于逐一分析各个封包资料的封包过滤防火墙来说，动态封包检测防火墙也会检验连接的封包资料。藉由储存与更新连接企图（connection attempt）的资料，动态封包检测防火墙更可准确评估接下来的连接企图。

网路位址转换(NAT)是第四种方法，虽然有些NAT应用程式也称为防火墙，但它无法提供足够的网路安全。 NAT让多位使用者可以利用同一个IP位址连接到网际网路上，但却未提供防火墙所必需的监督功能。

防火墙软体功能

VPN应用中的多数软体都具有防火墙的功能。由于骇客越来越高明，防火墙的技术也必须跟上他们的脚步，才能确保使用者的安全。以下是设计人员在选择防火墙应用程式时，必须要注意到的重要功能。

病毒防护功能可以保护网路，以免受到电脑病毒和其他恶意程式的侵袭。病毒是网路安全的头号敌人，它可以透过电子邮件附档、网路内容或受到感染的档案，来传染给上线的个人电脑。病毒会导致资料受损、电脑当机或是对系统造成其他不好的影响。

入侵侦测的主要功能是保护网路免受来自系统内部的攻击，而非防止外来的骇客。通常这类恶意侵犯活动是由附在电子邮件上的病毒，或是擅自进入网路的不肖员工所造成。

内容过滤是一种新功能，需要效能卓越的VPN，它使用者自行控制哪些内容可以进入网路电脑，并将不受欢迎的内容封锁在外。

第三方软体厂商

第三方软体厂商系供应VPN和防火墙应用程式套装软体的厂商，透过定期软体更新，来保障顾客的网路安全。安装VPN/防火墙应用程式的设计人员，可以考虑将这类第三方软体整合到他们的系统中。

结论

VPN技术是未来Home Gateway的主要功能之一，在软、硬体技术的整合之后将为使用者提供更方便的使用经验与网路安全，硬体的整合难度并不高，软体架构如何在兼顾完整的功能与使用便利性的考量下，得到最好的平衡点，是厂商最大的挑战。

（作者任职于IDT艾迪特科技）