你在互聯(lián)網(wǎng)上時(shí)想做到安全嗎--我是指真正的安全?如果是這樣,那你需要虛擬專(zhuān)用網(wǎng)(VPN)。
VPN可以在你與你的辦公室、VPN提供商或你家之間,跨互聯(lián)網(wǎng)建立一條安全的"隧道"。為什么你需要VPN?因?yàn)橄馞iresheep這些使用方便的程序很容易讓人窺視你在電子郵件中所寫(xiě)的內(nèi)容、發(fā)到Facebook頁(yè)面上的信息以及在網(wǎng)上購(gòu)買(mǎi)的商品。但是借助VPN,你可以通過(guò)那條虛擬隧道安全地上網(wǎng)瀏覽,防止被人窺視,而且你在網(wǎng)上傳送的信息經(jīng)過(guò)了加密。
無(wú)論你只是想在外出時(shí)訪問(wèn)無(wú)線網(wǎng)絡(luò),又不想讓陌生人知道你的活動(dòng),還是需要讓一批遠(yuǎn)程員工能夠在網(wǎng)上安全地處理工作,你都能到適合自己要求的VPN。本文為新手、高級(jí)用戶和IT部門(mén)介紹了VPN方面的基本知識(shí)。
新手篇
要獲得VPN服務(wù),最容易、最省錢(qián)的辦法就是從你所在的公司、學(xué)校或組織獲得一個(gè)VPN。不是經(jīng)常外出?那就聯(lián)系你的IT部門(mén),看看它是否為所有用戶提供VPN。如果提供,那很方便:只要安裝企業(yè)VPN軟件,設(shè)置好后,就可以使用了。下回你打開(kāi)個(gè)人電腦,運(yùn)行VPN應(yīng)用軟件,就可以開(kāi)始上網(wǎng)沖浪了。
如果你的IT部門(mén)沒(méi)有VPN怎么辦?或者你沒(méi)有IT部門(mén)怎么辦?照樣有辦法。最近,眾多VPN提供商開(kāi)始提供收費(fèi)服務(wù),通常是每月15美元至20美元,包括Banana VPN、Black Logic、LogMeIn Hamachi和StrongVPN。
你該如何著手挑選一種VPN?如果某服務(wù)有網(wǎng)上論壇,上去看看他們的用戶發(fā)布了什么內(nèi)容。可以打電話或發(fā)郵件給對(duì)方,看看有沒(méi)有人回復(fù)。一般來(lái)說(shuō),公司規(guī)模越大越好。如果對(duì)方是家小公司,那對(duì)于你個(gè)人用戶來(lái)說(shuō)也許可以,但恐怕無(wú)法為你提供小公司所需要的支持。
VPN不僅僅用來(lái)確保隱私性,VPN還具有其他優(yōu)點(diǎn)。比如說(shuō),如果你在加拿大,那么通常無(wú)法在Hulu網(wǎng)站上收看美國(guó)電視節(jié)目。但如果你使用VPN來(lái)獲得一個(gè)美國(guó)互聯(lián)網(wǎng)協(xié)議(IP)地址,就能收看美國(guó)電視節(jié)目了。
有些VPN提供商提供另一個(gè)好處:匿名上網(wǎng)瀏覽,這樣你在網(wǎng)上瀏覽時(shí)不會(huì)被跟蹤。如果你的互聯(lián)網(wǎng)服務(wù)提供商(IPS)阻止了某些應(yīng)用,比如Skype或其他IP語(yǔ)音傳輸(VoIP)應(yīng)用程序,就可以使用VPN來(lái)規(guī)避這些限制。
這些VPN服務(wù)可能聽(tīng)起來(lái)正是你所需要的。不過(guò)要小心:不是所有服務(wù)都是一樣的。如果某服務(wù)沒(méi)有足夠的VPN服務(wù)器(從技術(shù)上來(lái)講是VPN集中器)來(lái)支持所需數(shù)量的用戶,那么可能會(huì)遇到網(wǎng)速很慢的情況,或者根本連接不上。
所以訂購(gòu)某項(xiàng)VPN服務(wù)之前,了解一下用戶是怎么評(píng)價(jià)的。更妥當(dāng)?shù)氖牵绻麑?duì)方提供免費(fèi)試用一段時(shí)間的服務(wù),就要好好利用起來(lái),免得花錢(qián)買(mǎi)來(lái)可能不適合要求的服務(wù)。
高級(jí)用戶篇
你在外出時(shí),是不是想牢牢保護(hù)互聯(lián)網(wǎng)連接?如果是這樣,最好的辦法當(dāng)然是使用VPN。如果你所在的公司可以為你提供VPN,那最好不過(guò)了。但如果你自己開(kāi)有小公司或家庭辦公室,也有其他辦法。
你可以找到幾個(gè)成本低廉的方法來(lái)獲得自己的VPN。除了每月支付15美元至20美元訂購(gòu)費(fèi)的VPN服務(wù)外,還能夠使用另外的開(kāi)源路由器固件,如DD-WRT或OpenWRT,把VPN服務(wù)器安裝到你的路由器中。這種固件讓你可以把許多(但不是所有)Wi-Fi路由器和接入點(diǎn)用作VPN端點(diǎn)。
路由器上的VPN
用任何另外的固件來(lái)刷新Wi-Fi硬件之前,確保硬件得到支持。你最不希望看到的一幕是,僅僅為了建立一個(gè)小型VPN,結(jié)果"搞壞"了自己的無(wú)線設(shè)備,致使它無(wú)法使用。一定要查詢DD-WRT支持設(shè)備列表或OpenWRT支持設(shè)備列表。由于這些列表都在不斷更新,所以如果你購(gòu)買(mǎi)全新的路由器或接入點(diǎn),就要查看一下是否得到支持。
如果你不愿硬件搞砸在自己的手里,一些路由器隨帶已經(jīng)安裝的DD-WRT,比如巴比祿科技公司的WZR-HP- G300NH AirStation Nfiniti Wireless-N High Power Router。
VPN服務(wù)器軟件
一些桌面操作系統(tǒng)包括了VPN服務(wù)器軟件,包括Windows(從XP到Windows 7)和Mac OS X。誠(chéng)然,這些VPN是很簡(jiǎn)單的VPN,但它們可能正是你需要的。當(dāng)然,Windows Server系列隨帶比較復(fù)雜的VPN。如果你運(yùn)行的全是Windows 7客戶機(jī)和Windows Server 2008 R2,可能還想考慮使用DirectAccess,這種先進(jìn)的IPSec VPN在基于IPv4的普通局域網(wǎng)和以太網(wǎng)上通過(guò)IPv6來(lái)運(yùn)行。
如果你決定不用DirectAccess,而是選擇微軟比較舊的VPN技術(shù),Windows Server 2008 R2有一項(xiàng)有所幫助的新功能:VPN重新連接(VPN Reconnect)。顧名思義,如果受到了互聯(lián)網(wǎng)連接中斷的干擾,VPN Reconnect會(huì)自動(dòng)試圖連接VPN會(huì)話。這項(xiàng)功能對(duì)于Wi-Fi連接時(shí)好時(shí)壞的用戶來(lái)說(shuō)很方便,因?yàn)樗麄冊(cè)谥匦陆⒕W(wǎng)絡(luò)連接后,不需要手動(dòng)重新連接VPN。
Linksys的WRT160NL等大多數(shù)流行的路由器讓VPN連接很容易透過(guò)防火墻來(lái)工作。
為你的小型網(wǎng)絡(luò)添加VPN的另一個(gè)方法就是自行安裝VPN服務(wù)器軟件。其中最有名的是OpenVPN,這是開(kāi)源軟件。它有多種版本,適用于幾乎所有流行的桌面操作系統(tǒng),包括Linux、Mac OS X和Windows。
要是設(shè)置本地OpenVPN對(duì)你或你的員工來(lái)說(shuō)起來(lái)有點(diǎn)過(guò)于復(fù)雜,可以把它作為VMware或Windows虛擬磁盤(pán)OpenVPN虛擬設(shè)備來(lái)運(yùn)行。若采用這種方法,可以在幾分鐘內(nèi)讓一個(gè)基本的VPN運(yùn)行起來(lái)。
但OpenVPN絕不是可供使用的唯一VPN軟件。值得考慮的其他軟件還有NeoRouter和Tinc。如果你需要的不僅僅是VPN服務(wù),還需要功能全面的網(wǎng)絡(luò)服務(wù)軟件包,強(qiáng)烈推薦開(kāi)源Vyatta Core 6.1。Vyatta包括了 OpenVPN。
VPN設(shè)備
不過(guò),如果你打算讓不止十幾個(gè)的用戶同時(shí)使用VPN,就需要使用價(jià)格低廉的VPN硬件設(shè)備,如瞻博網(wǎng)絡(luò)SA700 SSL VPN Appliance、SonicWall Secure Remote Access Series或Vyatta 514。
不管你使用哪種VPN,都要設(shè)置防火墻,以便允許VPN流量。在許多路由器和防火墻上,這項(xiàng)工作就如同設(shè)置VPN穿透功能(VPN passthrough)、允許VPN流量一樣簡(jiǎn)單。你的選擇通常有PPTP(點(diǎn)對(duì)點(diǎn)隧道協(xié)議)、L2TP(第二層隧道協(xié)議)或SSL(安全套接字層)。只允許你要使用的那些VPN協(xié)議--畢竟,防火墻方面有問(wèn)題時(shí),禁止協(xié)議比允許協(xié)議來(lái)得安全。
查閱VPN的說(shuō)明文檔,看看要開(kāi)啟哪些端口。至于SSL VPN,它們通常使用端口443,這是受SSL保護(hù)的Web服務(wù)器通常使用的端口,所以該端口應(yīng)該已經(jīng)開(kāi)啟。
當(dāng)然,不管你在運(yùn)行什么VPN,也不管你的網(wǎng)絡(luò)架構(gòu)如何,小企業(yè)中的VPN可能會(huì)限制用戶的速度。比如在我自己的家庭辦公室,我的Charter線纜互聯(lián)網(wǎng)連接提供25 mbps的下行速度和3 mbps的上行速度。這意味著,不管我的遠(yuǎn)程網(wǎng)絡(luò)連接速度有多快,當(dāng)我連接到OpenVPN服務(wù)器時(shí),最高速度只有3 mbps。
我常常看到小企業(yè)受慢速VPN連接的困擾。那通常是由于,用戶和內(nèi)部的IT員工(常常是同一個(gè)人)都沒(méi)有認(rèn)識(shí)到,涉及互聯(lián)網(wǎng)連接時(shí),VPN路線上速度最慢的鏈接將取決VPN的最大速度。如果你想要真正快速的VPN,就要咬咬牙,向ISP購(gòu)買(mǎi)高端互聯(lián)網(wǎng)連接。
IT部門(mén)篇
如果你在運(yùn)行一個(gè)專(zhuān)業(yè)的企業(yè)VPN,你已經(jīng)知道最終用戶的VPN服務(wù)或基于軟件的VPN服務(wù)都勝任不了。當(dāng)然,你可以安裝幾十個(gè)OpenVPN或Windows Server 2008 R2設(shè)備來(lái)解決這個(gè)問(wèn)題,但是除了速度不夠快外,它們管理起來(lái)也很棘手。當(dāng)貴公司需要同時(shí)使用幾百條乃至1萬(wàn)多條活躍的VPN隧道時(shí),只能借助于最先進(jìn)的VPN硬件或全國(guó)性的VPN服務(wù)商。這通常意味著思科、F5 Networks、瞻博網(wǎng)絡(luò)以及另外幾家頂級(jí)網(wǎng)絡(luò)公司。
這時(shí)候,你可能要考慮第二種VPN;這種情況下,你使用VPN把不同的辦事處和分支機(jī)構(gòu)通過(guò)互聯(lián)網(wǎng)安全地連起來(lái)。這方面可以使用MPLS(多協(xié)議標(biāo)簽交換)、VPLS(虛擬專(zhuān)用局域網(wǎng)服務(wù))和L2VPN(第二層虛擬專(zhuān)用網(wǎng))等技術(shù),把數(shù)據(jù)中心、集中辦事處和分支辦事處連接成一個(gè)虛擬整體。
在正常情況下,你會(huì)希望把防火墻放在VPN服務(wù)器與互聯(lián)網(wǎng)之間。
如果你要開(kāi)始考慮使用那種VPN,別信我這種水平的人。你要找個(gè)頂級(jí)的網(wǎng)絡(luò)工程師--更妥當(dāng)?shù)氖牵覀€(gè)合格的網(wǎng)絡(luò)架構(gòu)師來(lái)正確設(shè)置你的虛擬廣域網(wǎng)。這里要是犯錯(cuò)誤,不是貴公司會(huì)蒙受巨額損失,就是當(dāng)你最不希望廣域網(wǎng)出故障時(shí),偏偏出問(wèn)題。我想你可能不想向首席執(zhí)行官解釋為什么全公司的視頻廣播消失得無(wú)影無(wú)蹤了。
即便是大規(guī)模的企業(yè)遠(yuǎn)程訪問(wèn)VPN所用的技術(shù)也與小規(guī)模的VPN一樣。區(qū)別完全在于規(guī)模上。
如果你想管理自己的企業(yè)級(jí)VPN,就要用思科或瞻博等公司價(jià)格不菲(至少是五位數(shù))的VPN設(shè)備和服務(wù)器來(lái)搭建VPN。
傳統(tǒng)觀念認(rèn)為,你只能使用價(jià)格高昂的知名品牌的VPN集中器,但其他廠商(尤其是Vyatta)不這么認(rèn)為。Vyatta擁有入門(mén)級(jí)Vyatta 3500系列路由器和防火墻(2009年底推出),提供萬(wàn)兆路由功能,而價(jià)格只是同類(lèi)思科產(chǎn)品的零頭而已。
比如說(shuō)到VPN,Vyatta 3500能夠以高達(dá)900 mbps的速度,同時(shí)處理多達(dá)8000條IPSec VPN隧道,費(fèi)用只需要約6000美元,而同類(lèi)的思科ASR 1006設(shè)備價(jià)格超過(guò)10萬(wàn)美元。Vyatta產(chǎn)品真的一樣好?我本人還沒(méi)有試用過(guò),但知道有些公司在用它,而且很滿意。既然價(jià)格這么便宜,何不至少試用一下?雖然目前出現(xiàn)了經(jīng)濟(jì)好轉(zhuǎn)的勢(shì)頭,但還沒(méi)有好到首席財(cái)務(wù)官和首席信息官欣然批準(zhǔn)購(gòu)買(mǎi)價(jià)格高達(dá)六位數(shù)的硬件這個(gè)光景。
當(dāng)然,你可能想要考慮通過(guò)外包來(lái)滿足自己的VPN要求。過(guò)去這么做往往要冒一定的險(xiǎn);但近些年來(lái),AT&T和Verizon等幾家知名電信公司已開(kāi)始提供國(guó)內(nèi)和國(guó)際VPN服務(wù)。這類(lèi)服務(wù)的費(fèi)用不便宜,但是你自行維護(hù)企業(yè)級(jí)VPN也不便宜。處處精打細(xì)算的網(wǎng)絡(luò)設(shè)計(jì)人員會(huì)認(rèn)真考慮VPN外包這種選擇。
VPN協(xié)議指南
VPN使用眾多協(xié)議,建立起透過(guò)互聯(lián)網(wǎng)的一條安全"隧道"。
PPTP(點(diǎn)對(duì)點(diǎn)隧道協(xié)議):這種協(xié)議最初用在Windows中,但它不隨帶任何內(nèi)置的安全性。它通常與MPPE(微軟點(diǎn)對(duì)點(diǎn)加密)協(xié)議一起建立安全的VPN。我說(shuō)的"安全"其實(shí)不安全,因?yàn)镻PTP(即PP2P)長(zhǎng)期以來(lái)安全性欠佳。幸好,PPTP慢慢告別了歷史舞臺(tái),被更安全的協(xié)議所取代。
L2TP(第二層隧道協(xié)議):微軟聯(lián)合思科,第二回做得更好了。L2TP結(jié)合IPSec安全性,要安全得多,它用在所有現(xiàn)代版本的Windows中。L2TP在Mac OS X和Linux上還得到支持,可結(jié)合Openswan等程序使用。
SSL VPN(安全套接層VPN):在過(guò)去的幾年間,主要是由于OpenVPN越來(lái)越受歡迎,SSL VPN才變得越來(lái)越普遍。你可以找到適用于各大操作系統(tǒng)的SSL VPN客戶端軟件。
