VPN技術方案建議書

2019-11-04 21:14:54

字體：大中小

來源：轉載

供稿：網友

　　虛擬私有網絡VPN(Virtual PRivate Network)出現于Internet盛行的今天,它使企業網絡幾乎可以無限延伸到地球的每個角落,從而以安全、低廉的網絡互聯模式為包羅萬象的應用服務提供了發展的舞臺。
　　虛擬專用網（VPN）是利用公眾網資源為客戶構成專用網的一種業務。我們這里所提的VPN有兩層含義：
　　一、它是虛擬的網，即沒有固定的物理連接，網路只有用戶需要時才建立；
　　二、它是利用公眾網絡設施構成的專用網。
　　VPN實際上就是一種服務，用戶感覺好象直接和他們的個人網絡相連，但實際上是通過服務商來實現連接的。VPN可以為企業和服務提供商帶來以下益處：
　　
　　采用遠程訪問的公司提前支付了購買和支持整個企業遠程訪問基礎結構的全部費用；
　　公司能利用無處不在的Internet通過單一網絡結構為職員和商業伙伴提供無縫和安全的連接；
　　對于企業，基于撥號VPN的Extranet能加強與用戶、商業伙伴和供給商的聯系；
　　電話公司通過開展撥號VPN服務可以減輕終端阻塞；
　　通過為公司提供安全的外界遠程訪問服務，ISP能增加收入；通過Extranet分層和相關競爭服務，ISP也可以提供不同的撥號VPN。
　　VPN兼備了公眾網和專用網的許多特點，將公眾網可靠的性能、豐富的功能與專用網的靈活、高效結合在一起，是介于公眾網與專用網之間的一種網。
　　VPN能夠充分利用現有網路資源，提供經濟、靈活的連網方式，為客戶節省設備、人員和治理所需的投資，降低用戶的電信費用，在近幾年得到了迅速的應用。有專家認為，VPN將是本世紀末發展速度最快的業務之一。
　　
　　1.1 什么是VPN
　　通過對網絡數據的封包和加密傳輸，在公網上傳輸私有數據、達到私有網絡的安全級別，從而利用公網構筑Virtal Private Network（即VPN）。假如接入方式為撥號方式，則稱之為VPDN。
　　VPN通過公眾ip網絡建立了私有數據傳輸通道，將遠程的分支辦公室、商業伙伴、移動辦公人員等連接起來。減輕了企業的遠程訪問費用負擔，節省電話費用開支，并且提供了安全的端到端的數據通訊。
　　VPN的建立有三種方式：一種是企業自身建設，對ISP透明；第二種是ISP建設，對企業透明；第三種是ISP和企業共同建設。
　　
　　1.2 VPN的工作原理
　　用戶連接VPN的形式：
　　常規的直接撥號連接與虛擬專網連接的異同點在于在前一種情形中，PPP（點對點協議）數據包流是通過專用線路傳輸的。在VPN中，PPP數據包流是由一個LAN上的路由器發出，通過共享IP網絡上的隧道進行傳輸，再到達另一個LAN上的路由器。
　　這兩者的要害不同點是隧道代替了實實在在的專用線路。隧道好比是在WAN云海中拉出一根串行通信電纜。那么，如何形成VPN隧道呢？
　　建立隧道有兩種主要的方式：客戶啟動（Client－Initiated）或客戶透明（Client－Transparent）?？蛻魡右罂蛻艉退淼婪掌鳎ɑ蚓W關）都安裝隧道軟件。后者通常都安裝在公司中心站上。通過客戶軟件初始化隧道，隧道服務器中止隧道，ISP可以不必支持隧道?？蛻艉退淼婪掌髦恍杞⑺淼溃⑹褂糜脩鬒D和口令或用數字許可證鑒權。一旦隧道建立，就可以進行通信了，如同ISP沒有參與連接一樣。
　　另一方面，假如希望隧道對客戶透明，ISP的POPs就必須具有答應使用隧道的接入服務器以及可能需要的路由器?？蛻羰紫葥芴栠M入服務器，服務器必須能識別這一連接要與某一特定的遠程點建立隧道，然后服務器與隧道服務器建立隧道，通常使用用戶ID和口令進行鑒權。這樣客戶端就通過隧道與隧道服務器建立了直接對話。盡管這一方針不要求客戶有專門軟件，但客戶只能撥號進入正確配置的訪問服務器。
　　
　　1.3 VPN涉及的要害技術
　　VPN是一個虛擬的網，其重要的意義在于"虛擬"和"專用"。為了實現在公網之上傳輸私有數據，必須滿足其安全性。VPN技術主要體現在兩個技術要點上：Tunnel、相關隧道協議（包括PPTP，L2F，L2TP），數據安全協議（IPSEC）。下面針對這幾項技術做一介紹。加密和用戶授權為在公司網上進行個人通信提供了安全保證。
　　
　　1.3.1 隧道技術（Tunneling）
　　1.3.1.1 隧道技術介紹
　　VPN在表面上是一種聯網的方式，比起專線網絡來，它具有許多優點。在VPN中，通過采用一種所謂"隧道"的技術，可以通過公共路由網絡傳送數據分組，例如Internet網或其他商業性網絡。
　　這里，專有的"隧道"類似于點到點的連接。這種方式能夠使得來自許多源的網絡流量從同一個基礎設施中通過分開的隧道。這種隧道技術使用點對點通信協議代替了交換連接，通過路由網絡來連接數據地址。隧道技術答應授權移動用戶或已授權的用戶在任何時間任何地點訪問企業網絡。
　　通過TUNNEL的建立，可實現以下功能：
　　
　　將數據流量強制到特定的目的地
　　隱藏私有的網絡地址
　　在IP網上傳輸非IP協議數據包
　　提供數據安全支持
　　協助完成用戶基于AAA的治理。
　　在安全方面可提供數據包認證、數據加密以及密鑰治理等手段。
　　撥號VPNs使用隧道技術遠程訪問服務器把用戶數據打包進IP信息包中，這些信息包通過電信服務提供商網絡傳遞，在Internet里，則需要穿過不同的網絡，最后到達隧道終點，然后數據拆包，轉發成最初的形式。VPN答應網絡協議的轉換，還答應對來自許多源的流量進行區別，這樣可以指定特定的目的地，接受指定級別的服務。公司網進行遠程訪問通信，從電路交換的，長距離的本地電信服務提供商到ISPs和Internet需要采用隧道技術。隧道技術使用點對點通信協議，代替了交換連接，通過路由網絡來連接數據地址。這代替了電話交換網絡使用的電話號碼連接。隧道技術答應授權移動用戶或已授權的用戶再任何時間任何地點訪問企業網絡。應用授權技術，隧道技術也禁止未授權的訪問。

　　下面是一個隧道包典型設計：
　　要形成隧道，基本的要素有以下幾項：
　　
　　隧道開通器（TI）
　　有路由能力的公用網絡
　　一個或多個隧道終止器（TT）
　　必要時增加一個隧道交換機以增加靈活性
　　隧道開通器的任務是在公用網中開出一條隧道。有多種網絡設備和軟件可完成此項任務，例如：（1）配有模擬式調制解調器PC卡和VPN型撥號軟件的最終用戶膝上型計算機；（2）分支機構的LAN或家庭辦公室LAN中的有VPN功能的Extranet路由器；（3）網絡服務提供商站點中的有VPN能力的訪問集中器。
　　隧道終止器的任務是使隧道到此終止，不再繼續向前延伸。也有多種網絡設備和軟件可完成此項任務，例如：（1）專門的隧道終止器；（2）企業網絡中的隧道交換機；（3）NSP網絡的Extranet路由器上的VPN網關。
　　　　VPN網絡中通常還有一個或多個安全服務器。安全服務器除提供防火墻和地址轉換功能之外，還通過與隧道設備的通信來提供加密、身份查驗和授權功能。它們通常也提供各種信息，如帶寬、隧道端點、網絡策略和服務等級。
　　　　通過軟件或模塊升級，現有的網絡設備就可以增加VPN能力。一個有VPN能力的設備可以承擔多項VPN應用。
　　現在已經有許多Internet(IETF)的建議，都是關于隧道技術如何應用的。其中包括點對點隧道協議(PPTP)、第二層轉發（L2F）、第二層隧道協議（L2TP）、虛擬隧道協議（VTP）和移動IP。由于得到了不同網絡廠商的支持，建議的標準定義了遠程設備如何能以簡單安全的方式訪問公司網絡和Internet。
　　隧道技術非常有用：
　　
　　首先，一個IP隧道可以調整任何形式的有效負載，使用桌面或便攜式計算機的用戶能夠透明地撥號上網來訪問他們公司的IP、IPX或AppleTalk網絡。
　　第二，隧道能夠同時調整多個用戶或多個不同形式的有效負載。這可以利用封裝技術來實現。例如IETF RFC1701定義的一般路由封裝。
　　第三，使用隧道技術訪問公司網時，公司網不會向Internet報告它的IP網絡地址。
　　第四，隧道技術答應接受者濾掉或報告個人的隧道連接。
　　1.3.1.2 第二層隧道與第三層隧道
　　如下圖所示，按照隧道的起始和終止位置可分為第二層和第三層隧道。隧道終止在不同的位置取決于第二層隧道或第三層隧道是否使用。使用第三層隧道時，利用終端設備在服務提供商的網絡上進行隧道產生和終止。在遠程訪問服務器(RAS)上也能終止遠程用戶對點協議(PPP)對話。使用第二層隧道時，隧道的創建可以在RAS也可以在服務商提
　　供的網絡上或在RAS上，第三層隧道終止第二層隧道連接。在這個服務提供商網絡的企業內部網或路由駐留，它僅僅通過隧道傳送第三層有效負載到隧道終點。遠程訪問服務器上，另一方面，第二層隧道在服務提供商的骨干網上把這個PPP幀傳到預先確定的終點。遠程客戶端。隧道的終止則在路由器的用戶端或一般的服務器上。
　　下面是第二層隧道與第三層隧道比較：
　　
　　
　　第二層隧道
　　第三層隧道
　　
　　優
　　
　　點
　　簡單
　　
　　端到端壓縮/加密
　　
　　雙向隧道配置
　　可擴充性
　　
　　安全性
　　
　　可靠性
　　
　　缺
　　
　　點
　　標準仍在發展
　　
　　可擴充性存在問題
　　
　　可靠性存在問題
　　
　　有限PPP負載類型
　　
　　安全存在問題
　　有限廠商參加
　　
　　開發復雜
　　
　　
　　
　　針對IP隧道協議，通過PPTP和IPSec協議建立的隧道從客戶端起始，終止于企業端VPN接入設備。如下圖所示：
　　過L2F和L2TP協議建立的隧道從ISP接入設備端起始，終止于企業端VPN接入設備。如下圖所示：
　　
　　第三層隧道技術對于公司網絡還有一些其它優點，網絡治理者采用第三層隧道技術時，不必在他們的遠程節點或客戶原有設備(CPE)上安裝非凡軟件。因為PPP和隧道終點由服務提供商的設備生成，CPE不用負擔這些功能,而僅作為一臺路由器。第三層隧道技術可采用任意廠家的CPE予以實現。
　　使用第三層隧道技術的公司網絡不需要Internet地址。這種隧道技術的應用也具有安全性。服務提供商網絡能夠隱藏司網絡和遠端節點地址。
　　應用第三層隧道技術，服務提供商不需要參與公司網路由選擇。服務提供商控制其網絡的全部數據信息包的通信，當選擇把第三層隧道技術應用到第二層隧道通路上時服務商能夠更方便的估略服務。
　　
　　1.3.2 相關隧道協議
　　目前，標準的隧道協議如下：
　　
　　基于客戶，對ISP透明
　　PPTP
　　IPSec
　　由ISP提供，無須客戶端具備相關知識
　　L2F
　　L2TP（以后需要客戶端的支持）
　　下面對以上協議作一簡單介紹。
　　
　　1.3.2.1 PPTP－Point to Point Tunnel Protocal
　　這是一個最流行的Internet協議，它提供PPTP客戶機與PPTP服務器之間的加密通信，它答應公司使用專用的"隧道"，通過公共Internet來擴展公司的網絡。通過Internet的數據通信，需要對數據流進行封裝和加密，PPTP就可以實現這兩個功能，從而可以通過Internet實現多功能通信。這就是說，通過PPTP的封裝或"隧道"服務，使非IP網絡可以獲得進行Internet通信的優點。但是PPTP會話不可通過代理器進行。PPTP是Microsoft和其它廠家支持的標準，它是PPTP協議的擴展，它可以通過Internet建立多協議VPN。PPTP使用 40 或128位的RC4加密算法。
　　PPTP的一個主要優勢在于微軟的支持。在Windows95、98以及NT中都進行了良好的集成（在Win98中已經集成了L2TP）。PPTP也很好地集成進了NT Domain。對于ISP來講無須任何非凡的支持。另外一個優點在于支持流量控制，可以防止客戶與服務器因業務而導致崩潰，并通過減少丟棄報文及由此而引起的重發提高了性能。
　　PPTP的工作方式

　　網絡協議的工作方式是交換被稱為包（packet）的數據塊。包是由協議特定的控制信息以及要發送的真正數據（通常稱為負載，payload）組成的。作為網絡用戶，我們只關心負載。只要數據能無差錯地盡快交換，我們不介意協議出于自己的目的選擇添加什么控制信息。但是，假如兩臺計算機要通信的話，無論它們使用何種連接媒介，控制信息都是至關重要的并且必須完整保留。
　　PPTP的工作方式是在TCP/IP包中封裝原生（native）包--例如IPX包。包括控制信息在內的整個IPX包都將成為TCP/IP包的負載，然后它通過Internet傳輸。另一端的軟件打開包并將其發送給原來的協議進行常規處理。該過程被稱為通道（tunneling）。
　　除了節省長途撥入費用，通道還增強了數據安全性。由于通道將兼容協議連接到Windows NT 網絡，該操作系統能執行在LAN本身執行的廣泛的安全性檢查。這樣，連接能通過PAP（Pass-Word Authentication Protocol）或CHAP（Challenge Handshake Authentication Protocol）使用Windows NT 的用戶身份驗證。另外，PPTP能傳送由RSA RC-4 或DES 加密的數據。假如撥入安全性對于VPN來說非常重要，那么服務器治理員能指定服務器僅接收來自遠程連接的PPTP包，但這會妨礙將服務器用作公共Web 或FTP 訪問。然而，假如有多臺服務器可用，并且需要最高的安全性，那么這就是可采納的方案。然而即使采取所有這些安全措施，客戶端唯一需要的非凡軟件也只是PPTP協議本身，以及能連接VPN的撥號程序。甚至連Internet服務提供者是否支持PPTP 也不是必要的，在這種情況下，一切都能通過標準的點對點協議（Point-to-Point Protocol，PPP）安全地進行。對于不支持PPTP的提供者，Windows NT通過雙重撥號系統提供安全保障。
　　PPTP 執行過程
　　既然遠程訪問的整個想法是答應客戶機撥號進入服務器，那么PPTP連接就始于客戶端，它使用Windows NT的遠程訪問服務（Remote access Service，RAS）來建立到ISP 的PPP連接。當激活PPP連接，而且服務器連接到Internet并作為RAS服務器后，客戶使用RAS進行第二次撥號。這次，在電話號碼域指定IP地址（名字或數字），并且客戶使用VPN端口代替COM端口進行連接（VPN端口是在安裝PPTP 的過程中同時添加到客戶端和服務器端的）。
　　用IP地址撥號會給服務器發送開始會話的請求?？蛻舳说却掌黩炞C用戶名和口令并返回連接完成的信息。此時PPTP通道啟動，客戶可以著手給服務器傳送包。由于它們可能是IPX 或NetBEUI包，因此服務器能對其執行常規的安全操作。
　　PPTP數據交換的核心是PPTP控制連接，它是建立和維護通道的一系列控制消息。整個PPTP 連接僅包含唯一的TCP/IP連接，它需要響應命令集合以便在發生事務處理時保持打開狀態。
　　PPTP的治理
　　在撥接VPN的用戶治理方面,VPN沿用NTS的用戶數據庫,可把其中的某些用戶組別設定為可接受VPN接入。VPN的安全性對用戶信息來說是十分重要的,其中用于加密的密匙根本不經線上傳送,因而普通人是無法將40bits RC-4加密的密匙推算出來的。如能采用128bit加密算法的話,則通過VPN傳輸信息是絕對有保障的。在對付網絡"黑客"攻擊方面,PPTP路由器可將非PPTP用戶名單上的人員自連線閘道上排除,這樣"黑客"便無法進行攻擊了。
　　
　　1.3.2.2 IPSec （IP Security）
　　作為隧道協議，IPSec屬于IPV6包協議族的內容之一。由于其主要用于IP網上面兩點之間的數據加密，所以被應用于VPN隧道協議。在IPV6數據包中，具有認證包頭AH（Authentication Header）和數據加密格式ESP （Encapsulating Security Payload）。接收端根據AH和ESP對數據包進行認證和解密。其運營模式有兩種，一種是隧道模式，另一種是傳輸模式。在下面數據安全章節中將進行描述。
　　IPSec用于客戶端之間建立VPN隧道，對ISP無非凡的要求。
　　
　　1.3.2.3 L2F （Layer 2 Forwarding）
　　L2F為CISCO公司制定的關于VPDN的二層轉發協議，它在第二層上建立一個隧道。目前，在幾大網絡廠家的ROUTERS設備中均支持此協議。L2F需要ISP支持，并且要求傳輸兩端設備都支持L2F。對客戶端無非凡要求。滿足VPN的路由器需以下條件：
　　目前，L2F沒有對數據的加密機制。
　　以CISCO路由器為例，簡單介紹L2F的運行機制。在CISCO路由器的設備中，對L2F的支持需要以下條件：
　　
　　Cisco IOS版本
　　Flash的容量
　　DRAM的容量
　　
　　2以上的Desktop或Enterprise版本 8M
　　6M
　　
　　
　　　
　　
　　NAS 和GATAWAY的L2F_TUNNEL協商過程為一個使用CHAP協議相互進行協商，驗證，建鏈的過程，在此過程中，雙方共享一個公用的密碼。首先， NAS向GATAWAY發出一個L2F_CONF包,攜帶有NAS的名字和一個隨機的challenge值A。當GATAWAY 收到來自NAS的L2F_TUNNEL包后,它也向NAS發回一個L2F_TUNNEL包，攜帶有自己的名字和一個隨機的challenge值B，并附帶有一個新的KEY A''，新的KEY A''是用md5的加密算法對A和GZHGW的密碼進行整體加密后形成的。在NAS 端一旦收到L2F_CONF包后，用MD5算法對KEY A''進行解密，然后用自己的A和解密后的A''''進行比較，假如它們匹配，NAS就向GATAWAY發回一個L2F_CONF的信息包，這次攜帶的是Key B''（用MD5算法對NAS的密碼和B進行整體加密后得到的）。在GATAWAY側，當收到L2F_OPEN信息包后，把解密后的B''''與B進行比較，若匹配，向NAS發回一個L2F_OPEN信息包，附帶Key值為A''。

　　以后，所有從NAS發向GATAWAY的信息包都攜帶Key B''，所有從GATAWAY發向NAS的信息包都攜帶Key A''。
　　
　　1.3.2.4 L2TP－Layer2 Tunneling Protocol
　　除Microsft外，另有一些廠家也做了許多開發工作，PPTP能支持Macintosh和Unix，Cisco的L2F（Layer2 Forwarding）就是又一個隧道協議。L2TP集和了PPTP和L2F隧道協議，PPTP和L2TP十分相似，因為L2TP有一部分就是采用PPTP協議，兩個協議都答應客戶通過其間的網絡建立隧道，有帶客戶端軟件的擴展。L2TP還支持信道認證，但它沒有規定信道保護的方法。L2TP具有IPSec選項。在98年9月正式標準化。
　　L2TP沿襲了PPTP的握手信息模式和L2F的工作模式。L2TP由訪問服務器端發起，到企業網的GATAWAY端結束。
　　L2TP使一個遠程用戶通過撥號就近撥入一個ISP，并且能夠跨過INTERNET公網連接到私有網絡之上。它是以往撥號用戶與私有網絡PPP連接的一個擴展。L2TP是CISCO的L2F與Microsoft的PPTP協議的組合。PPTP是對PPP協議的一個擴展，L2TP被設計在OSI的第二層之上建立隧道而取代PPTP（三層隧道）。
　　
　　1.3.2.5 SOCKs
　　SOCKs是一個網絡連接的代理協議，它使SOCKs一端的主機完全訪問SOCKs；而另一端的主機不要求IP直接可達。SOCKs能將連接請求進行鑒別和授權，并建立代理連接和傳送數據。SOCKs通常用作網絡防火墻，它使SOCKs后面的主機能通過Internet取得完全的訪問權，而避免了通過Internet對內部主機進行未授權訪問。目前，有SOCKsV4和SOCKsV5二個版本，SOCKsV5可以處理UDP，而SOCKsV4則不能。
　　
　　1.3.3 安全性
　　VPN技術的最重要的環節是數據的安全性。目前，國際流行的數據安全策略有數據認證、數據加密、數據簽名等。針對隧道的安全數據傳輸，目前已制定了一些專用的安全協議。這些協議采用加密和數字簽名技術，以確保數據的機密性和完整性，并可對收方和發方進行身份查驗。
　　在大多數情況下，加密手段和隧道技術被捆綁使用，如PPTP包含了RC4加密技術（40或128位），IPSec能夠支持多種類型的加密手段，如DES，Triple DES等。用戶申請進入企業網之前，首先要進行訪問控制過濾，過濾的主要內容有Protocol ID、Direction、Source, Destination IP Addresses、Source, Destination Port、TCP Connection Establishment等。
　　
　　1.3.3.1 數據加密算法
　　目前，數據加密算法有：
　　- 國際數據加密算法（IDEA：International Data　Encryption Algorithm）：128 位長密鑰，把64位的明文塊加密成64位的密文塊。
　　- MS點對點加密算法（MPPE：Microsoft Point to Point Encryption）：可以選用相對較弱的40位密鑰或強度較大的128位密鑰。
　　Microsoft公司的Dial－Up Networking（撥號聯網）軟件已增加了MPPE加密能力。這個改進型軟件的40位版本已捆綁在Windows 95中，128位版本則與Windows NT捆綁在一起?！　?
　　MPPE先在客戶端工作站上對PPP數據包進行加密，然后才把它們送入PPTP隧道。傳輸途中的隧道交換機無法對這些PPP數據包進行解密。這就提高了數據的保密性。MPPE還使用增強型的口令握手協議（MS－CHAP）來加強對用戶身份的查驗。
　　- DES和DES3加密算法 (The Data Encryption Standard)
　　
　　1.3.3.2 數據安全標準IPSec
　　IPSec是TETF制定的標準，其中包括一整套IP協議，用于在兩個IP站之間商定所用的加密和數字簽名方法。IPSec提供IP包級的安全驗證、數據完整性、通過加密提供數據安全，與應用無關。IPSec提供兩種操作模式：
　　
　　隧道模式，它對傳經不安全的鏈路或INTERNET的專用IP內部數據包進行加密和封裝（此種模式適合于有NAT的環境）。
　　傳輸模式，直接對IP負載內容（即TCP或UDP數據）加密（適合于無NAT的環境）。
　　任何加密算法在兩種模式中都可以使用。目前，IPSec有兩種版本，一種是IPV4，另一種是IPV6。
　　Ipsec內容主要有數據驗證和完整（Authentication&Integrity）、信任（Confidentiality）。所謂數據驗證（Authentication）主要確保接收的數據與發出的相同，并且確保發送數據者的真實性；所謂數據完整（Integrity）主要確保數據在傳輸過程中沒有被篡改；所謂信任（Confidentiality）主要確認通信雙方的相互信任關系，確保冒名者的通信，通常使用Encryption (加密）用來確立信任。IPSEC包含內容可分開使用也可合并使用，視具體方案而定。
　　IPsec比MPPE更可靠，它包括查驗、加密和數據完整性功能。它還可以越過隧道終止器而直達目的地的主工作站。IPsec的另一個優點是它的查驗和安全性功能與它的密鑰治理系統松散耦合。因此，假如未來的密鑰治理系統發生變化時，IPsec的安全機制不需要進行修改。
　　安裝和應用撥號VPN的第二個重要問題是網絡的安全性,例如既答應遠程撥號連接,又要防止未授權訪問和偷聽。
　　在一些網絡設計里,隧道終止在用戶的防火墻之后.某些類型的IP隧道技術需要客戶直接與Internet連接,這會對客戶到來危險.為了保護網絡不受未授權用戶的訪問,許多公司用戶在他們的Internet路由器上建立了防火墻.這限制了Internet對資源的訪問.例如對公司Web服務器的訪問.假如設備在防火墻之后,防火墻必須打開答應隧道信息包通過,傳輸到和它們無關的設備.在這方面有很多方法,然而它們都會使防火墻配置程序復雜.再有,不是所有的防火墻都能夠有效地控制那些并不終止在防火墻的通信。
　　基于第三層隧道技術的撥號VPN服務應用比起基于第二層隧道技術的撥號VPN服務應用更安全,這是因為使用第二層隧道技術,隧道不需要到達客戶網絡,而是終止在服務提供商標的網關。
　　
　　1.4 網絡治理和運行
　　VPN治理的目標是使VPN可以像專用網絡一樣對待。實現這個目標的第一步是推出的VPN治理工具能夠像治理專網那樣去治理VPN，比如監測網絡的容量利用率、服務質量、安全性違例如分析隧道利用率。第二步是推出統一的治理工具，這種工具必須能夠治理常規網絡和VPN。

　　最后也是不可缺的是網絡治理和維護。治理撥號VPN的兩個要害是網絡層地址治理(NLAM)和隧道治理.隧道治理指外部軟件應用,它用來建立隧道并維護用戶信息和執行客戶層帳戶治理.傳統的軟件治理功能,例如性能監測,需要用來治理撥號VPN 服務,這和它們在其它網絡和網絡治理上的功能是一樣的。
　　
　　1.4.1 用戶IP地址治理
　　對于用戶IP地址治理，主要體現在用戶網絡和公共網絡之間的IP地址分配辦法。根據隧道協議的不同，采用不同的用戶IP地址分配策略。
　　對于用戶內部企業網的治理，可采用合法或保留IP地址策略。企業內部的IP地址對于公網來說是透明的。VPN將企業內部的數據進行重新封包之后在公網之上傳輸。對于遠程用戶來講，其分配的IP地址策略根據VPN連接所采用的隧道協議而變化。
　　假如采用L2F或L2TP隧道協議，用戶只須一次撥號，并且只分配企業網內部IP地址；假如采用PPTP或IPSEC隧道協議，用戶需要二次撥號，即在擁有公網IP的基礎之上，需要對企業網VPN GATAWAY進行撥號，然后分配企業網內部IP。
　　
　　1.4.2 網絡層地址治理
　　網絡層地址治理(NLAM)是指撥號VPN建立遠端節點的網絡層有關協議配置(濾波器,路由協議,子網屏蔽等)和域名登記的能力.具有適當容量的VPN結構能夠支持以下服務:遠端授權撥號上網用戶服務(RADIUS,要有廠商的正確配置)、動態主機控制協議（DHCP或功能相同的協議）和域名服務（DNS）。RADIUS不僅用于用戶授權，還用來執行一部分或全部的網絡層配置信息。DHCP能與RADIUS相連并從地址池中選擇地址然后分配給遠程用戶。顯然，這種方法比起在RADIUS數據庫用手工構造地址應用范圍更廣。有一點很重要，即治理第三層地址系統必須很有權威，這意味著一旦對話終止，地址必須返回與用戶域名有關的地址池。
　　網絡層地址治理和IP地址治理恰恰相反。許多公司網依然使用IPX和AppleTalk協議，所以支持這些協議和IP協議的地址治理服務依然存在。不幸的是，還沒有更多標準編址的非IP地址池，因此支持遠端節點的IPX或AppleTalk地址治理的產品很少。
　　
　　1.4.3 對VPN成員的治理
　　對VPN成員的治理，主要包括用戶連接的認證、授權、計費治理以及內部IP地址分配，VPN"隧道"建立，數據加密，用戶訪問權限治理等多個重要功能。
　　一、成員認證（Authentication）
　　在遠程成員接入企業內部之前必須對其進行用戶身份認證。用戶數據（如用戶名稱、口令等）集中存儲于外部的數據庫之中。對用戶數據庫的訪問需要一個中間協議來完成，如LDAP 或者RADIUS等認證協議。該用戶數據庫對用戶透明。VPN接入服務器針對相應的成員組進行定義（如數據加密格式、過濾定義、服務屬性定義等）。
　　
　　LDAP（Lightweight Directory Access Protocol）體現在X.500目錄治理服務內容之中，LDAP就象INTERENET的目錄模式一樣被迅速接受，Microsoft, Netscape, 以及 Novell 均在其目錄服務策略中支持。LDAP是基于條目進行治理的，它可對INTERNET上的個人進行標準的和擴展的Attributes定義。用戶目錄服務器（directory service）是用戶信息中心。
　　RADIUS（Remote Authentication Dial-In User Service）分布式安全系統，通過認證服務器來驗證撥號連接屬性和認證連接權限。在遠程接入認證中，RADIUS有廣泛應用。
　　二、訪問控制過濾和用戶優先級定義
　　在用戶接入之后，要對用戶進行訪問控制過濾，主要過濾內容為用戶源、目的IP、目的端口號、TCP連接定制等。在對用戶進行訪問控制之后，要根據用戶認證數據庫內容對用戶進行呼叫優先級定義，主要是解決大量用戶接入帶來的網絡擁塞問題，在網絡擁塞到一定程度之后，將只答應優先級較高的連接建立。但一旦連接建立之后將不再中斷。
　　三、計費結算
　　VPN接入服務器將對用戶訪問企業網將進行日志記錄，根據用戶日志記錄可對用戶訪問企業網進行計費結算。其記錄內容包括：用戶訪問時長和數據通信量；安全因素拒絕記錄、以及系統配置修改記錄等。
　　
　　目前，針對各廠家VPN設備的不同，對成員的治理也有很大的區別。
　　　