前言

虚拟私有网路(Virtual Private Network, VPN)，其意义是在公众网路中，开辟一条用户私人专属的保密通道，就如同在马路上开辟一条公车专用道般，这条通道会提供接入用户在认证及加密上的安全防护，避免用户资料外泄或遭受攻击。VPN技术不仅可应用于网路业，亦可应用于个人电脑及软体上，因为完善的电子商务机制势必要让每一部电脑在上网时都能得到安全保护，用户只需在电脑上加装VPN软体或VPN网路卡，就能确保在浏览网站或购物时的交易资料及私人讯息得到安全保障。

前阵子国内才破获一桩首见的假冒网路银行诈财事件，由此可知，随着网路交易的日渐频繁，消费者透过网路进行交易，应如何兼顾隐私权保障，避免自身利益的损失，已是网路安全的重要议题。而VPN安全机制除了解决以上疑虑外，其亦可解决跨国管理的一些问题。例如：传统的跨国企业在构筑企业之间的连线，为了安全因素多半会架设专线，但专线费用十分昂贵，利用VPN便能解决此一问题。又例如：分散在世界各地的员工，透过电脑或其他连线装置，每天一开机，便可自Internet和企业总部建立一条安全通道，将一天的工作计划及目前进度回报给总公司。相同的情形一样可以应用在企业的财务、配销、库存管理、出货时间，甚至生产管理等，VPN的方式使得以往被认为不太可能的全球管理模式变为可能，请参照(图一)所示。

《图一 VPN架构图》

IPSec与其他VPN协定的差异

近年来网际网路技术小组IETF(注一)制定了四项较为知名的VPN通讯协定，其中有三项是应用在OSI模型中的第二层(Data-Link layer, 资料连结层)，分别是L2F (Layer 2 Forwarding) Protocol、PPTP(Point-to-Point Tunneling Protocol)和L2TP( Layer 2 Tunneling Protocol)，唯一在第三层的VPN通讯协定就是Internet Protocol Security，简称IPSec。

不论是使用那一种VPN协定，都可以建立一个虚拟私有通道，例如PPTP使用GRE(Generic Routing Encapsulation)协定来打包加密其资料封包，同样的，IPSec和L2F及L2TP各自也有自己的资料加密方式。

在各项协定中，其所扮演保护的角色，不论是身份认证或资料加解密，事实上也是有差异的，就以PPTP和L2F来说，这两项协定提供有限的端点连结和较弱身份认证及加解密方法，相互比较之下，IPSec提供的功能，不但多样而且更为强大。举例而言：IPSec不局限于连线的方式(如前述之VPN通讯协定为拨接方式)，亦即不论拨接上网、ISDN上网，以致于时下最热门的宽频上网，只要可连线上网几乎都可采用VPN。其次，VPN在私密功能上更展现其多样特性，例如：用以确认身份的「电子签章认证」(Digital Certificates )和功能显著的加密技术Triple DES，都是前者所无法比拟的。至于L2TP，该协定根源自PPTP和L2F，虽然支援较多的连结功能，但所有的认证及加解密系统，在IPSec中全部涵括。请参照(图二)。

《图二 封包表现方式》

IPSec的原理与处理方式

比较过PPTP、L2F、L2TP之后，让我们进一步探讨IPSec。

由于网际网路缺乏网路层的安全机制标准，使用者被迫使用专属的通讯协定，但不同的厂商所提供的产品规格又都不同。为了解决这个问题，如前所述，IETF特别推动一套称为IPSec的标准，其目的就是要建立在网路层之下安全基制的标准化和共通性。

在IPSec的架构中，有两个主要的部份，分别是AH(Authenti- cation Header) RFC1825~1829与ESP(Encapsulating Security Payload) RFC1851~1852。先就认证标头(AH)来谈，AH提供传送者资料鉴别(Authentication)与资料完整(Integrity)的工作，接收端可以重复计算并推论是否使用了正确的金钥，以及确认资料是否完整等，请参照图二。

而资料安全封装(ESP)的形式,基本上有两种不同的模式:

1.传输模式(Transport-mode)

只有资料数据上所承载的TCP或UDP封包会被加密及封装，当通讯中的主机，由安全闸道(Security Gateway)来分隔时，此种模式的意义就产生了。

2.隧道模式(Tunnel-mode)

传送的资料数据(Datagram)被加密及重新整理，并封装成一个新的资料数据。请参照(图三)。

《图三 传输模式与隧道模式》

就传输模式来说，一般都是利用在端点对端点(如PC对PC)或是端点对群组(如PC对安全闸道)。而隧道模式的构成，则是群组对群组，也就是在相对连结的两个安全闸道上(通常可比喻成VPN安全路由器)，每个安全闸道各承载一群在安全屏障之后的整组电脑。简而言之，传输模式就如同用户端的安全VPN软体，而隧道模式则是提供伺服端的整体VPN安全架构。

简单描述AH与ESP之后，还有一项非常重要的部份，就是金钥的管理(Key Management)。通常选择使用共同金钥(Shared Key)时，得先产生一个认证发行中心(Issuing Authority)，并于进行安全通讯时，资料发送者由发行中心取得私钥(Private key)，进行资料加密的动作。而接收资料的另一方，则向发行中心取得公钥(Pub- lic Key)进行资料的解密动作，如此即完成一般加解密之步骤。

企业真的需要VPN吗

资讯管理人员常被问到许多问题，好比宽频技术越来越成熟且迅速普及当中，企业主也许就会问：「换个方式会不会增加上网的速度？」或是：「为什么公司的网路老是这么慢？」甚至MIS人员自己也会有一堆的问号在脑海里浮现。

我们不得不承认，要追上Internet的发展实在很吃力，电信通讯技术花了七十年的时间才有今天的成就，而Internet的不到五年的时间就达到如今的地步。很多的专有名词才刚出现，多数人都还不是很清楚这到底是什么样的技术时，可能又出现其他取而代之的技术了。 Internet大部份的技术都是由一群专业人员及工程师，根据实际发展需求，制订出相关的规定，其目的就是希望全世界对于Internet产业的发展能有一个共通标准。VPN相关协定也是在这个前题下产生，这项标准的制定不只是建构安全的网路传输，更重要的是可以将此技术，以最经济的大众网路来进行传递。相对的，当经营者或资讯主管在考虑是否要采用VPN做为企业整体架构时，必须清楚的规划到底要实践这项机制的目的和实际需要为何。如同一个需要行销人员随时从不同时间和地点传回电子资料的企业，若照传统的方式，必须利用传统的公众电信网路─也就是电话系统─拨号进公司的RAS伺服器(Remote Access Server) ，这种情况如果发生在相邻区域倒还不会有费用上的考量，一旦工作人员必须从外县市或海外来进行登入伺服主机时，长途连线的电话费用可就相当可观了。

反观如果能利用VPN的方式，不论人员在那个国家或区域，只要登录连结上当地的ISP就可以和企业总部建立安全连结，如此兼顾安全与经济方式不正是企业经营者所关切的降低成本方式吗？事实上，网路效能更是集合所有软硬体系统和MIS规划所呈现出的总体表现值，绝不是向想像中换个更高速度的硬体或单纯的频宽提升就可解决问题。

相同的观念在应用VPN作为企业网路架构时，也必须体认，这只是整体网路的一个环节，网路应用的快速发展，让使用者对更高速频宽的需求亦相对提升，面对这样的供需体系(企业网路系统及网路服务提供者VS企业内高度使用网路的每一个人员)，如何兼顾经济与效率，正考验着您的智慧。

(作者任职于互联科技)

备注

注一：IETF(Internet Engineering Task Force)网际网路技术小组成立于1986年1月。主要的工作是针对网际网路的需求，提出实际解决的因应之道。业界将不同的需求建议传至IETF小组，而该小组再衡量是否需要制定相关标准，如果决定要制定协定标准，则相关资料将汇整至各个小组，所有小组则开始建立标准原形，并提出建议和操作样本成为草案，经厂商及客户实际验证测试后，再汇整修正，最后便成了网际网路的一项标准。