常见VPN技术以及对比

一、常见VPN技术

1、MPLS VPN技术

MPLS VPN是一种基于MPLS技术的IP VPN，是在网络路由和交换设备上应用MPLS（Multiprotocol Label Switching，多协议标记交换）技术，简化核心路由器的路由选择方式，利用结合传统路由技术的标记交换实现的IP虚拟专用网络（IP VPN）。MPLS优势在于将二层交换和三层路由技术结合起来，在解决VPN、服务分类和流量工程这些IP网络的重大问题时具有很优异的表现。实现跨地域、安全、高速、可靠的数据、语音、图像多业务通信，并结合差别服务、流量工程等相关技术，将公众网可靠的性能、良好的扩展性、丰富的功能与专用网的安全 、灵活、高效结合在一起，为用户提供高质量的服务。因此，MPLS VPN在解决企业互连、提供各种新业务方面也越来越被运营商看好，成为在IP网络运营商提供增值业务的重要手段。广泛应用于跨国企业、银行、证券、教育、互联网服务等行业的互联，并与国内外知名电信运营商合作，将高可用性、高扩展性的网络服务延伸到世界各地。MPLS VPN又可分为二层MPLS VPN（即MPLS L2 VPN）和三层MPLS VPN（即MPLS L3 VPN）。

2、SSL VPN技术

SSL VPN是以HTTPS（Secure HTTP，安全的HTTP，即支持SSL的HTTP协议）为基础的VPN技术，工作在传输层和应用层之间。SSL VPN充分利用了SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制，可以为应用层之间的通信建立安全连接。SSL协议指定了一种在应用程序协议（如Http、Telenet、NMTP和FTP等）和TCP/IP协议之间提供数据安全性分层的机制，它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户认证。它的特点是无需客户端软件，使用方便，适用于用户安装配置不易或是特定应用情况。(安全套接层协议层)方案，它只允许通过安全的Web浏览器，访问某几种具有Web功能的应用。它只能访问使用标准Web创作工具如HTML和JavaScript的应用。这项技术可以分析每个网页，确保从该网页引出的程序化的导航路径通过安全连接，转发到SSL VPN服务器。为用户远程访问公司内部网络提供了安全保证。

3、IPSec VPN技术

IPSec VPN是基于IPSec协议的VPN技术，由IPSec协议提供隧道安全保障。IPSec是一种由IETF设计的端到端的确保基于IP通讯的数据安全性的机制。它依靠GRE（IPSec/GRE）以及另一种名为封装安全载荷（Encapsulating Security Payload，ESP）的协议，IP数据包进行封装和加密处理。不过，与PPTP和L2TP相比， IPSec方案更安全、更可靠，这归功于IPSec选择及支持的加密算法。通常采用IPSec的VPN方案来解决在多个分公司间构建稳定的VPN的需求。它为Internet上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证。

4、PPTP技术 

PPTP（Point to Point Tunneling Protocol）点对点隧道协议，是一种支持多协议虚拟专用网络的协议。这类方案采用了一项名为通用路由封装（Generic Routing Encapsulation，GRE）的技术。它是一种因特网协议，可以让发往某个网络的数据包经加密后，一个包接一个包地发送到可信服务器。然后，服务器拆开数据包，重新发送到专用网上。微软推出的PPTP/GRE方案就利用了GRE，并采用微软的算法对数据进行加密。通过该协议，远程用户能够跨越 Microsoft Windows NT工作站、 Windows2000 和 Windows XP 操作系统以及其它点对点激活系统安全访问共同网络，并通过拨号本地互联网服务提供商安全链接它们互联网上的共同网络。优点也是简单易配置，对于初阶应用安全性足以应用。

二、常见VPN技术优劣对比

1.     MPSL相较于传统VPN

MPLS-VPN为快速部署额外的增值IP服务提供了1个平台， 这些增值IP服务包括Intranet，Extranet、声音、多媒体和网上交易；

MPLS-VPN通过限定仅将1个虚拟专用网的路由分发到该虚拟专用网的成员路由器，以及使用MPLS技术进行转发提供了和第2层虚拟专用网同样的专用性和安全性；

MPLS-VPN为用户内部网（Intranet）提供了无缝的整合；

MPLS-VPN在扩展性上比现行的虚拟专用网机制有很大提高，允许每个虚拟专用网支持成千上万个站点，而每个供应商支持成千上万个虚拟专用网；

MPLS-VPN提供了IP服务类型（CoS），使得支持1个虚拟专用网内多类服务，以及选择特定类服务的方式更为灵活；

MPLS-VPN使虚拟专用网的成员关系易于管理，并且也使快速部署新的虚拟专用网变得简单。

2.     IPSec-VPN比较SSL-VPN

PPTP作为简单的VPN方案适合移动的用户(Mobile User)通过PPTP拨号连接到公司网络，比如经常出差的员工，通过VPN连接到公司的服务器上收发邮件，存取文档资料等；不适合作为点对点或者点对多点的VPN架构(当然一定用PPTP也是可以实现的)。

由于PPTP/L2TP和IPSec两种VPN解决方案因彼此相似而常常被归为一类，因为它们都使用客户软件，并依赖GRE，原理极为类似。我们可以把它们都视为IPsec VPN方案。到现在为止，安全远程接入方案归结为两种选择： IPSec VPN（第一代）和SSL VPN（第二代），两者各有其优缺点。

基于IPSec方式的VPN就是远程用户拨号接入的一套硬件设备。这与任何网络连接都被接受的一般方式不同。IPsec VPN设备只用来接受远程客户的连接。一个IPSec VPN的操作运行在协议栈的IP层。 IPsec VPN用户需要在客户端(无论是台式机或笔记本)上安装可以连接到VPN服务器的软件。SSL VPN用户只需要一个网络浏览器来访问的VPN连接。他们会进入到注册了的公司VPN网页。SSL VPN主要让远程设备可以访问基于浏览器的应用。不过，通常说来，应用种类越多，SSL VPN的吸引力也就越小。这涉及到IPSec客户软件安全和SSL VPN定制间的取舍。

SSL VPN加密性级别不如IPSec VPN，流量需要SSL传输。

SSL VPN只能通过网络浏览器连接，都是HTTP反向代理，适合具有web功能的应用，只适合TCP，不适合UDP通道。

SSL VPN比IPSec VPN方便，容易维护，更容易部署、管理成本低，更安全，更好的可扩展性，控制更精细。

SSL VPN对C/S结果的应用支持力度不够，对移动用户的安全访问仍存在较大风险，对应用性能影响较大，在设计上，IPSec VPN是一种基础设施性质的安全技术。

对于IPsec VPN和SSL VPN来说，尽管公司和用户之间的连接是安全的，但双方都有弱点。

如果连接到IPsec VPN网络的用户被植入了木马程序，他将影响整个网络。比如，如果一个公司的雇员通过她或他家的的没有安装防火墙或者防病毒软件的台式机进行连接，那么VPN网络就会变成从没有保护的家用计算机传播病毒、特洛伊程序、间谍软件和木马程序的安全渠道。

SSL VPN在安全方面有些不同。作为一个Web应用系统，如果没有正确配置，一个SSL VPN是容易受到各种网络攻击的，如SQL注入，跨站点脚本，弱认证和参数操纵的情况。