論IPSec VPN和SSL VPN的優(yōu)劣及適應(yīng)性

丁峰

摘要：主要介紹了VPN的各種發(fā)展技術(shù)。重點介紹了目前VPN應(yīng)用中使用比較廣泛的兩種方式：由站點到站點IPSec VPN和面向web及應(yīng)用的SSL VPN構(gòu)建的遠程網(wǎng)絡(luò)安全訪問方式。同時針對廣泛使用兩種VPN方式，就兩者之間的優(yōu)劣分五個方面進行詳細的剖析。適當穿插介紹了具體的IPsec VPN和SSL VPN在各種范圍內(nèi)的適用性。

關(guān)鍵詞：IPSec VPN；SSL VPN；VPN；虛擬專用網(wǎng)絡(luò)

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2012)21-5088-04

1虛擬專用網(wǎng)絡(luò)

1.1虛擬專用網(wǎng)絡(luò)(VPN：Virtual Private Network)

VPN是通過公用網(wǎng)絡(luò)（如Internet）建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴展。隨著網(wǎng)絡(luò)，尤其是網(wǎng)絡(luò)經(jīng)濟的發(fā)展，企業(yè)規(guī)模日益擴大，客戶分布日益廣泛，合作伙伴日益增多，傳統(tǒng)企業(yè)網(wǎng)基于固定地點的專線連接方式，已難以適應(yīng)現(xiàn)代企業(yè)的需求。于是企業(yè)在自身網(wǎng)絡(luò)的靈活性、安全性、經(jīng)濟性、擴展性等方面提出了更高的要求。虛擬專用網(wǎng)（VPN）以其獨具特色的優(yōu)勢，可以幫助遠程用戶、公司分支機構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。因此，虛擬專用網(wǎng)贏得了越來越多的企業(yè)的青睞，通過將數(shù)據(jù)流轉(zhuǎn)移到低成本的網(wǎng)絡(luò)上，一個企業(yè)的虛擬專用網(wǎng)解決方案將大幅度地減少用戶花費在城域網(wǎng)和遠程網(wǎng)絡(luò)連接上的費用。同時這也將簡化網(wǎng)絡(luò)的設(shè)計和管理。令企業(yè)可以較少地關(guān)注網(wǎng)絡(luò)的運行與維護，更多地致力于企業(yè)商業(yè)目標的實現(xiàn)。如下圖可以清楚的看到目前流行的，應(yīng)用比較廣泛兩種VPN的連接方式——IPsec VPN和SSL VPN。

圖1

1.2 VPN有多種，每種都能滿足特定的需求

下面是二種主要的VPN：

1）內(nèi)部網(wǎng)接入VPN：接入VPN讓移動辦公者和小型辦公室/家庭辦公室SOHO能通過基礎(chǔ)的共享設(shè)施遠程接入總部的內(nèi)部網(wǎng)和外聯(lián)網(wǎng)。該方式使用專用連接通過共享基礎(chǔ)設(shè)施將地區(qū)性辦事處和遠程辦公室與總部的內(nèi)部網(wǎng)絡(luò)連接起來。內(nèi)部網(wǎng)接入VPN與外聯(lián)網(wǎng)VPN區(qū)別在于，前者只允許企業(yè)的雇員訪問。

2）外聯(lián)網(wǎng)VPN：（“外聯(lián)網(wǎng)(Extranet)”是不同單位間為了頻繁交換業(yè)務(wù)信息，而基于互聯(lián)網(wǎng)或其他公網(wǎng)設(shè)施構(gòu)建的單位間專用網(wǎng)絡(luò)通道。因為外聯(lián)網(wǎng)涉及到不同單位的局域網(wǎng)，所以不僅要確保信息在傳輸過程中的安全性，更要確保對方單位不能超越權(quán)限，通過外聯(lián)網(wǎng)連入本單位的內(nèi)網(wǎng)。）外聯(lián)網(wǎng)VPN使用專用連接通過共享基礎(chǔ)設(shè)施將商業(yè)伙伴與總部網(wǎng)絡(luò)連接起來。外聯(lián)網(wǎng)VPN與內(nèi)部網(wǎng)VPN的區(qū)別在于，前者允許企業(yè)以外的用戶訪問。

1.3 IPSec VPN

IPSec是現(xiàn)在企業(yè)網(wǎng)絡(luò)通訊應(yīng)用中被廣泛使用的加密及隧道技術(shù)，同時也是在不犧牲安全性前提下，被選用來在網(wǎng)絡(luò)第三層建立IP-VPN的方法，特別是對于無法負擔Frame Relay或ATM高額費用的中小企業(yè)而言，IPSec的應(yīng)用是一項福音。而目前SSL VPN以其設(shè)置簡單無需安裝客戶端的優(yōu)勢，越來越受到企業(yè)的歡迎，可望成為未來企業(yè)確保信息安全的新寵。

IPSec VPN即指采用IPSec協(xié)議來實現(xiàn)遠程接入的一種VPN技術(shù),IPSec是IETF(Internet Engineer Task Force)正在完善的安全標準，相對于SSL VPN而言應(yīng)用較早的一種VPN技術(shù)。IPSec協(xié)議是一個范圍廣泛、開放的虛擬專用網(wǎng)安全協(xié)議,它提供所有在網(wǎng)絡(luò)層上的數(shù)據(jù)保護，提供透明的安全通信。IPSec是基于網(wǎng)絡(luò)層的，不能穿越通常的NAT、防火墻。

1）IPsec協(xié)議

IP_SECURITY協(xié)議(IPSec)，通過相應(yīng)的隧道技術(shù)，可實現(xiàn)VPN。IPSec有兩種模式：隧道模式和傳輸模式。IPSec協(xié)議不是一個單獨的協(xié)議，它給出了應(yīng)用于IP層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體系結(jié)構(gòu)，包括網(wǎng)絡(luò)認證協(xié)Authentication Header(AH)、封裝安全載荷協(xié)議Encapsulating Security Payload(ESP)、密鑰管理協(xié)議Internet Key Exchange(IKE)和用于網(wǎng)絡(luò)認證及加密的一些算法等。IPSec規(guī)定了如何在對等層之間選擇安全協(xié)議、確定安全算法和密鑰交換，向上提供了訪問控制、數(shù)據(jù)源認證、數(shù)據(jù)加密等網(wǎng)絡(luò)安全服務(wù)。

2）IPSec VPN接入

通過在兩站點間創(chuàng)建隧道提供直接（非代理方式）接入，實現(xiàn)對整個網(wǎng)絡(luò)的透明訪問；一旦隧道創(chuàng)建，用戶PC就如同物理地處于企業(yè)LAN中。就通常的企業(yè)高級用戶（Power User）和LAN-to-LAN連接所需要的直接訪問企業(yè)網(wǎng)絡(luò)功能而言，IPSec無可比擬。然而，典型的SSL VPN被認為最適合于普通遠程員工訪問基于Web的應(yīng)用。SSL VPN不需要在最終用戶的PC和便攜式電腦上裝入另外的客戶軟件。有些公司之所以選擇SSL而不是IPSec，這項不需要客戶軟件的功能正是一個重要因素。因為最終用戶避免了攜帶便攜式電腦，通過與因特網(wǎng)連接的任何設(shè)備就能獲得訪問，SSL更容易滿足大多數(shù)員工對移動連接的需求。但SSL VPN也有其缺點：業(yè)內(nèi)人士認為，這些缺點通常涉及客戶端安全和性能等問題。對E-mail和Intranet而言，SSL VPN是很好；但對需要較高安全級別（SSL VPN的加密級別通常不如IPSec VPN高）、較為復(fù)雜的應(yīng)用而言，就需要IPSec VPN。

3）IPSec VPN的應(yīng)用

是提供站點到站點連接的首要工具，通過這種連接，你可以在廣域網(wǎng)（WAN）上實現(xiàn)基礎(chǔ)設(shè)施到基礎(chǔ)設(shè)施的通信。而SSL VPN不需要客戶軟件的特性有助于降低成本、減緩遠程桌面維護方面的擔憂。但是，SSL的局限性在于，只能訪問通過網(wǎng)絡(luò)瀏覽器連接的資源。所以，這要求某些應(yīng)用要有小應(yīng)用程序，這樣才能夠有效地訪問。如果企業(yè)資產(chǎn)或應(yīng)用沒有小應(yīng)用程序，要想連接到它們就比較困難。因而，你無法在沒有客戶軟件的環(huán)境下運行，因為這需要某種客戶軟件豐富（Client-Rich）的交互系統(tǒng)。

1.4 SSL VPN

1）SSL VPN協(xié)議

SSL協(xié)議提供了數(shù)據(jù)私密性、端點驗證、信息完整性等特性。SSL協(xié)議由許多子協(xié)議組成，其中兩個主要的子協(xié)議是握手協(xié)議和記錄協(xié)議。握手協(xié)議允許服務(wù)器和客戶端在應(yīng)用協(xié)議傳輸?shù)谝粋€數(shù)據(jù)字節(jié)以前，彼此確認，協(xié)商一種加密算法和密碼鑰匙。在數(shù)據(jù)傳輸期間，記錄協(xié)議利用握手協(xié)議生成的密鑰加密和解密后來交換的數(shù)據(jù)。

2）SSL VPN的接入

SSL獨立于應(yīng)用，因此任何一個應(yīng)用程序都可以享受它的安全性而不必理會執(zhí)行細節(jié)。SSL置身于網(wǎng)絡(luò)結(jié)構(gòu)體系的傳輸層和應(yīng)用層之間。此外，SSL本身就被幾乎所有的Web瀏覽器支持。這意味著客戶端不需要為了支持SSL連接安裝額外的軟件。這兩個特征就是SSL能應(yīng)用于VPN不同于IPsec-vpn的關(guān)鍵點。

3）SSL VPN的應(yīng)用

典型的SSL VPN應(yīng)用如OpenVPN,是一個比較好的開源軟件。PPTP主要為那些經(jīng)常外出移動或家庭辦公的用戶考慮;而OpenVPN主要是針對企業(yè)異地或兩地總分公司之間的VPN不間斷按需連接，例如ERP在企業(yè)中的應(yīng)用。

OpenVPN允許參與建立VPN的單點使用預(yù)設(shè)的私鑰，第三方證書，或者用戶名/密碼來進行身份驗證。它大量使用了OpenSSL加密庫，以及SSLv3/TLSv1協(xié)議。OpenVPN能在Linux、xBSD、Mac OS X與Windows 2000/XP上運行。它并不是一個基于Web的VPN軟件，也不與IPsec及其他VPN軟件包兼容。

2 IPSec VPN和SSL VPN的優(yōu)劣

2.1部署方案

IPSEC VPN是設(shè)計來保護私有的數(shù)據(jù)流從各種不被信任的網(wǎng)絡(luò)傳送到信任的網(wǎng)絡(luò)。IPSec VPN在部署時一般放置在網(wǎng)絡(luò)網(wǎng)關(guān)處，因而要考慮網(wǎng)絡(luò)的拓撲結(jié)構(gòu)，如果增添新的設(shè)備，往往要改變網(wǎng)絡(luò)結(jié)構(gòu)，那么IPSec VPN就要重新部署，因此造成IPSec VPN的可擴展性比較差。由于工作在第三層，對上層的應(yīng)用是透明的，幾乎可以為所有的應(yīng)用提供服務(wù)，包括客戶端/服務(wù)器模式和某些傳統(tǒng)的應(yīng)用及網(wǎng)絡(luò)共享等。以IPSec VPN作為點對點連結(jié)方案，可以提供網(wǎng)與網(wǎng)之間的連接。

SSL VPN工作在網(wǎng)絡(luò)層和應(yīng)用層之間，它一般部署在內(nèi)網(wǎng)中任一節(jié)點處即可，可以隨時根據(jù)需要，添加需要VPN保護的服務(wù)器，因此無需影響原有網(wǎng)絡(luò)結(jié)構(gòu)。

大多數(shù)SSL的VPN都是基Web瀏覽器工作的，基于Web訪問的開放體系和一些特定的系統(tǒng)如郵件，ftp等，主要用于單機對服務(wù)器的訪問。

瀏覽器/服務(wù)器（Browser/Server）結(jié)構(gòu)，簡稱B/S結(jié)構(gòu)，與C/S結(jié)構(gòu)不同，其客戶端不需要安裝專門的軟件，只需要瀏覽器即可，瀏覽器通過Web服務(wù)器與數(shù)據(jù)庫進行交互，可以方便的在不同平臺下工作。

客戶機/服務(wù)器（Client/Server）結(jié)構(gòu)，簡稱C/S結(jié)構(gòu)。服務(wù)器通常采用高性能的PC、工作站或小型機，并采用大型數(shù)據(jù)庫系統(tǒng)，如ORACLE、SYBASE、SQL Server?？蛻舳诵枰惭b專用的客戶端軟件來實現(xiàn)與服務(wù)器端進行交互。

SSL這種方案可以解決OS客戶軟件問題、客戶軟件維護問題，但肯定不能完全替代IPSec VPN，因為他們各自所要解決的是幾乎沒多少重疊的兩種不同問題：

1）SSL優(yōu)勢其實主要集中在VPN客戶端的部署和管理上，我們知道SSL無需安裝客戶端，主要是由于瀏覽器內(nèi)嵌了SSL協(xié)議，也就是說是基于B/S結(jié)構(gòu)的業(yè)務(wù)時，可以直接使用瀏覽器完成SSL的VPN建立；但如果客戶的應(yīng)用系統(tǒng)采用的是C/S結(jié)構(gòu)的話，仍然需要安裝Client軟件；

2）目前進行VPN部署的用戶大部分都是要求對現(xiàn)有業(yè)務(wù)需要支持的用戶，而據(jù)統(tǒng)計這樣的用戶95%以上都有基于C/S架構(gòu)的重要應(yīng)用系統(tǒng)，也就是說其“Client軟件無需安裝”的優(yōu)勢是有很大局限性的；

3）基于B/S結(jié)構(gòu)的安全性劣于基于C/S結(jié)構(gòu)；

4）基于IPSEC的VPN雖然在業(yè)務(wù)應(yīng)用基于B/S上沒有基于SSL的方便，但在業(yè)務(wù)應(yīng)用基于C/S方面卻存在很大優(yōu)勢。

2.2安全性

1）安全測試－IPSec VPN已經(jīng)有多年的發(fā)展，有許多的學(xué)術(shù)和非營利實驗室，提供各種的測試準則和服務(wù)，其中以ICSA Labs是最常見的認證實驗室，大多數(shù)的防火墻，VPN廠商，都會以通過它的測試及認證為重要的基準。但SSL VPN在這方面，則尚未有一個公正的測試準則，但是ICSA Labs實驗室也開始著手SSL/TLC的認證計劃，預(yù)計在今年底可以完成第一階段的Crypto運算建置及基礎(chǔ)功能測試程序。

2）認證和權(quán)限控管－IPSec采取Internet Key Exchange(IKE)方式，使用數(shù)字憑證(Digital Certificate)或是一組Secret Key來做認證，而SSL僅能使用數(shù)字憑證，如果都是采取數(shù)字憑證來認證，兩者在認證的安全等級上就沒有太大的差別。SSL的認證，大多數(shù)的廠商都會建置硬件的token，來提升認證的安全性。對于使用權(quán)限的控管，IPSec可以支持「Selectors」，讓網(wǎng)絡(luò)封包過濾阻隔某些特定的主機應(yīng)用系統(tǒng)。但是實際作業(yè)上，大多數(shù)人都是開發(fā)整個網(wǎng)段(Subset)，以避免太多的設(shè)定所造成的麻煩。SSL可以設(shè)定不同的使用者，執(zhí)行不同的應(yīng)用系統(tǒng)，它在管理和設(shè)定上比IPSec簡單方便許多。在電子商務(wù)和電子政務(wù)日益發(fā)展的今天，各種應(yīng)用日益復(fù)雜，需要訪問內(nèi)部網(wǎng)絡(luò)人員的身份也多種多樣，比如可能有自己的員工、控股公司的工作人員、供貨商、分銷商、商業(yè)合作伙伴等等。與IPSec VPN只搭建虛擬傳輸網(wǎng)絡(luò)不同的是，SSL VPN重點在于保護具體的敏感數(shù)據(jù)，比如SSL VPN可以根據(jù)用戶的不同身份，給予不同的訪問權(quán)限。就是說，雖然都可以進入內(nèi)部網(wǎng)絡(luò)，但是不同人員可以訪問的數(shù)據(jù)是不同的。而且在配合一定的身份認證方式的基礎(chǔ)上，不僅可以控制訪問人員的權(quán)限，還可以對訪問人員的每個訪問，做的每筆交易、每個操作進行數(shù)字簽名，保證每筆數(shù)據(jù)的不可抵賴性和不可否認性，為事后追蹤提供了依據(jù)?？梢詫尤肟蛻暨M行各種限制，如可以訪問的地址、端口、URL等等，因此SSL VPN在訪問控制方面比IPSec VPN具有更細粒度

3）應(yīng)用系統(tǒng)的攻擊－遠程用戶以IPSec VPN的方式與公司內(nèi)部網(wǎng)絡(luò)建立聯(lián)機之后，內(nèi)部網(wǎng)絡(luò)所連接的應(yīng)用系統(tǒng)，都是可以偵測得到，這就提供了黑客攻擊的機會。若是采取SSL-VPN來聯(lián)機，因為是直接開啟應(yīng)用系統(tǒng)，并沒在網(wǎng)絡(luò)層上連接，黑客不易偵測出應(yīng)用系統(tǒng)內(nèi)部網(wǎng)絡(luò)物制，所受到的威脅也僅是所聯(lián)機的這個應(yīng)用系統(tǒng)，攻擊機會相對就減少。

4）病毒入侵——一般企業(yè)在Internet聯(lián)機入口，都是采取適當?shù)姆蓝緜蓽y措施。IPSec VPN的安全性一直是一個弱點，由于IP Sec VPN而引起的病毒、木馬、Web攻擊一直是無法徹底解決的問題，目前好多廠家也正積極改進從而解決這個問題。若是采取SSL VPN來聯(lián)機，因為是直接開啟應(yīng)用系統(tǒng)，病毒傳播會局限于這臺主機，而且這個病毒必須是針對應(yīng)用系統(tǒng)的類型，不同類型的病毒是不會感染到這臺主機的。因此通過SSL VPN連接，受外界病毒感染的可能性大大減小。

5）防火墻上的通訊端口－在TCP/IP的網(wǎng)絡(luò)架構(gòu)上，各式各樣的應(yīng)用系統(tǒng)會采取不同的通訊協(xié)議，并且通過不同的通訊端口來作為服務(wù)器和客戶端之間的數(shù)據(jù)傳輸通道。以Internet Email系統(tǒng)來說，IPSec VPN聯(lián)機就會有這個困擾和安全顧慮。在防火墻上，每開啟一個通訊端口，就多一個黑客攻擊機會。而SSL VPN就沒有這方面的困擾。因為在遠程主機與SSLVPN之間，采用SSL通訊端口443來作為傳輸通道，這個通訊端口，一般是作為Web Server對外的數(shù)據(jù)傳輸通道，因此，不需在防火墻上做任何修改，也不會因為不同應(yīng)用系統(tǒng)的需求，而來修改防火墻上的設(shè)定，減少IT管理者的困擾。如果所有后臺系統(tǒng)都通過SSL VPN的保護，那么在日常辦公中防火墻只開啟一個443端口就可以，因此大大增強內(nèi)部網(wǎng)絡(luò)受外部黑客攻擊的可能性。同時可以對客戶端做各種掃描，如操作系統(tǒng)版本、補丁版本、防病毒軟件種類、病毒庫更新時間等等，從而堵住病毒、木馬入侵的途徑。

2.3可擴展性安全性

IPSec VPN在部署時，要考慮網(wǎng)絡(luò)的拓撲結(jié)構(gòu)，如果增添新的設(shè)備，往往要改變網(wǎng)絡(luò)結(jié)構(gòu)，那么IPSec VPN就要重新部署，因此造成IPSec VPN的可擴展性比較差。而SSL VPN就有所不同，可以隨時根據(jù)需要，添加需要VPN保護的服務(wù)器。

2.4經(jīng)濟效益

對于IPSec VPN來說，每增加一個需要訪問的分支，就需要添加一個硬件設(shè)備。所以，尤其是對于一個成長型的公司來說，隨著IT建設(shè)的擴大，要不斷購買新的設(shè)備來滿足需要。

另外，就使用成本而言，SSL VPN具有更大的優(yōu)勢，由于這是一個即插即用設(shè)備，在部署實施以后，一個具有一定IT知識的普通工作人員就可以完成日常的管理工作。

假設(shè)一個公司有1000個用戶需要進行遠程訪問，那么如果購買IPSec VPN，那么就需要購買1000個客戶端許可，而如果購買SSL VPN，因為這1000個用戶并不同時進行遠程訪問，按照統(tǒng)計學(xué)原理，假定只有100個用戶會同時進行遠程訪問，只需要購買100個客戶端許可即可。

因此以IPSec VPN作為點對點連結(jié)方案，而以SSL VPN作為遠程訪問方案，將是一種不錯的選擇。

3 SSL VPN和IPSEC VPN的適應(yīng)性

由于目前在VPN領(lǐng)域存在著IPSec VPN和SSL VPN之爭。廠商也劃分了兩大陣營。年初，Gartner就出臺了一份報告，稱未來全球SSL VPN的市場增長速度將達到170%以上，但是直到8月，才有諾基亞的SSL VPN，以及彩虹天地基于SSL的VPN ---IPW（In? stant Private Web，快速專用網(wǎng)）出臺。但是現(xiàn)在就給IPSec、SSL下結(jié)論分出誰優(yōu)誰劣有點為時過早，Gartner調(diào)查的SSL VPN170%的年增長，也與其標準出臺晚，市場基數(shù)不大有關(guān)。

廠商也開始研究怎樣讓IPSec VPN兼容SSL VPN，增強易用性。如果真能做到這點，IPSec VPN的擴展性將大大加強，市場生命力也將更長久。

雖然SSL VPN有許多相對IPSec VPN的優(yōu)點，但對于應(yīng)用VPN的大、中型企業(yè)來說這些優(yōu)點顯得不是很重要。一個企業(yè)往往有很多種應(yīng)用（OA、財務(wù)、銷售管理、ERP，很多并不基于Web），單純只有Web應(yīng)用的極少。一般企業(yè)希望VPN能達到局域網(wǎng)的效果（比如網(wǎng)上鄰居，而SSL VPN只能保護應(yīng)用層協(xié)議，如WEB、FTP等），保護更多的應(yīng)用這點，SSL VPN根本做不到。所以目前的SSL VPN應(yīng)用還僅適用于基于Web的應(yīng)用，范圍有限。只能說未來基于Web的便捷性會吸引很多用戶轉(zhuǎn)向SSL VPN

在VPN的領(lǐng)域里面，一直以來都是軟件和硬件的爭奪戰(zhàn)。硬件防火墻的支持者批評軟件產(chǎn)品在安全性方面存在問題；而軟件防火墻的支持者認為硬件產(chǎn)品在使用上和升級上都很不方便。

實施軟件VPN方案的優(yōu)勢和特點：純軟件VPN產(chǎn)品，保護原有投資，無需增加任何硬件設(shè)施；無需改動原有應(yīng)用系統(tǒng)和網(wǎng)絡(luò)結(jié)構(gòu)，保證企業(yè)正常的運作方式不受影響；支持各種上網(wǎng)方式（采用ADSL、寬帶上網(wǎng)方式效果更佳）,不需要再拉DDN專線或申請固定IP、支持兩端動態(tài)IP尋址，為企業(yè)節(jié)省大量的通訊費用；網(wǎng)絡(luò)平臺的適應(yīng)性強，擴展性好，支持任何C/S、B/S結(jié)構(gòu)軟件；經(jīng)濟實效、使用簡單方便，無須專業(yè)人員維護；采用先進加密算法防止數(shù)據(jù)被竊聽和篡改。采用密碼接入鑒權(quán)認證和硬件捆綁接入認證，除了密碼正確外，還必須是總部授權(quán)的硬件設(shè)備才能接入。防止非法用戶或知道密碼的辭職員工接入公司網(wǎng)絡(luò)。

實施硬件VPN方案的優(yōu)勢和特點：由于VPN的加密傳輸機制需要消耗系統(tǒng)資源，影響網(wǎng)絡(luò)性能，而硬件VPN將加密和解密功能交由專門的高速硬件處理，提供了較好的性能，并且可以提供強大的物理和邏輯安全，更好地防止非法入侵，同時配置和操作也更為簡單。一般情況下，硬件方案的性價比較高。但是，如果網(wǎng)絡(luò)規(guī)模不大，選擇面向中小企業(yè)或小型辦公室的VPN產(chǎn)品還是非常劃算的。此類VPN產(chǎn)品多為集成防火墻、VPN路由器，性價比非常高，且支持多種寬帶接入方式，還提供方便的管理工具，支持主流的VPN協(xié)議，如NETGEAR FVL328、NetScreen-50、Vigor 2300等。許多VPN產(chǎn)品還支持動態(tài)IP地址接入方式，對于采用ADSL連接的許多中小型企業(yè)來說，非常有用。

參考文獻：

[1]倪波,黃柯佳.采用MPLS VPN和IP Sec VPN混合組網(wǎng)模式構(gòu)建某集團財務(wù)系統(tǒng)[J].通信與信息技術(shù),2011(5).

[2]孫丹東.基于SSL VPN的遠程網(wǎng)絡(luò)互聯(lián)實驗室的應(yīng)用研究[J].無線互聯(lián)科技,2011(12).

[3]王春海.VPN網(wǎng)絡(luò)組建案例實錄[M].2版.北京:科學(xué)出版社,2011.

[4] Carlton R Davis.IPSec：VPN的安全實施[M].周永彬,譯.北京:清華大學(xué)出版社,2002.