一套VPN產品通常由三個部分組成，即①VPN網關:用來實現LAN到LAN,②VPN客戶端:與VPN網關共同實現客戶到LAN的VPN方案。③VPN管理中心:配置與遠程管理VPN網關與VPN客戶端的安全策略。

在選擇VPN產品時,可從這些方面考慮。

1.產品定位

第一时间應考察產品定位問題。與其他網絡產品一致,不一樣的VPN產品有不一樣的定位,按從高端到低端依次為電信級、企業級、中小企業、辦公室或SOHO。當然,中小企業只可選取中小企業及以下的產品。

2.支持的應用類型

VPN有LAN到LAN、客戶到LAN、客戶到客戶三種的應用類型。這裏的客戶是VPN網絡中的移動用戶與遠程用戶。如今多數VPN產品都滿足LAN到LAN與客戶到LAN,而客戶到客戶的少。這點在有些環境非常重要,如企業的遠程辦公用戶間要溝通保密信息。客戶到客戶的VPN方案是特別不錯的解決手段。

3.支持的協議

自建VPN應根據要選擇隧道協議,现在PPTP、L2TP和IPSec是較常用的協議。通常遠程訪問VPN選擇L2TP協議居多。為了保障安全，還需選擇IPSec來加密。網絡互聯與端到端連接選擇IPSec協議較多。PPTP因其簡單易用且支持NAT路由,因此在有些環境下也用。總之,IPSec是最安全的隧道協議,很多VPN產品都支持。當然更多的VPN產品開始滿足PPTP與L2TP協議。

除隧道協議外,還要看VPN可承載協議、NAT及路由協議的支持情況。很多VPN產品的可承載協議除IP協議外,還滿足IPX、NetBIOS等網絡協議。支持NAT對一些網絡共享的應用很重要,IPSec並不支持NAT,但能在VPN產品中加入這個功能。與IPSec直接衝突的是網絡地址端口轉換和網絡地址轉換。

在寬帶網絡中NAT與NAPT應用普遍,很多網絡服務供應商都用。IPSec VPN方案若不支持NAPT,在這些環境就無意義。

4.是否集成防火牆功能

VPN加密封裝IP數據包,通常會影響防火牆的性能,甚至是安全策略的定義。一般情況下,獨立的VPN產品與防火牆很難協同工作,尤其是來自不同廠家的產品。選擇集成防火牆功能的VPN產品最好不過。

5.產品的基本配置

VPN的基本配置參數如下:①就算是小型網絡,最大連接數也不能低於100。高端產品可支持數萬個。②VPN實現機制。有純軟件、純硬件、軟硬結合及專用設備等方式。③可给予的網絡接口。常見的有以太網口及E1、T1等接口。④操作系統平台指VPN產品本身用的操作系統,很多產品都用專有的操作系統。

6.VPN的管理性

给予專用的VPN管理軟件或平台對複雜的VPN網絡很重要,可簡化管理,降低了系統管理員的壓力。

7.VPN的開放性和擴展性

VPN產品應有與第三方安全產品協同工作的能力,可適合多種平台。方便擴展來滿足VPN網絡的擴展與升級。

8.產品的其他功能

其他功能含硬件加速功能(純硬件處理、加密卡、加速卡)、流量均衡、安全策略(安全網關、防火牆、集中管理、日誌、加密)、安全機制(包過濾、加密認證、日誌、審核等)、認證機制(RADIUS、數字證書)和密鑰管理等。

另外,選擇VPN方案與產品時,不要只從組網與安全的技術考慮，還得考慮VPN的具體用途和成本。對中小型VPN網絡,實惠才是最重要的。