VPN

　　每家公司都有自己的内部网络，而这个网络是封闭的、有边界的。VPN技术就是将物理上分离的公司网络在逻辑上进行连接。我们可以把VPN理解为是建立在实际网络（或物理网络）基础上的一种功能性网络。它利用低成本的公共网络作为企业骨干网，同时又克服了公共网络缺乏保密性的弱点，信息在传输过程中都是经过安全处理的，可以保证数据的完整性、真实性和私有性。

　　Power V-220UTM提供了对主流VPN技术的支持，包括IPSec、PPTP/L2TP和GRE三种形式的隧道。虽然不同厂商的产品所提供的VPN解决方案不尽相同，但每种技术均基于相关的标准协议，所以在配置部署上并不会有太大的不同。

IPSec VPN配置界面

　　IPSec VPN是指采用IPSec协议来实现远程接入的一种VPN技术，IPSec是由Internet Engineering Task Force (IETF) 定义的安全标准框架，用以提供公用和专用网络的端对端加密和验证服务。IPsec协议不是一个单独的协议，它给出了应用于IP层上网络数据安全的一整套体系结构，包括网络认证协议AH、ESP、IKE和用于网络认证及加密的一些算法等。

　　在IPSec VPN方案中，AH协议和ESP协议用于提供安全服务，IKE协议用于密钥交换。想了解更多关于IPSec VPN，请点击这里。另外，Power V-220UTM提供了Radius认证，可以提供除IPSec的预共享密钥或证书认证外的Radius加强认证（只有客户端类型，而且是主模式的网关才能启用扩展认证）。

　　在进行隧道配置时，隧道的“缺省策略”用于控制隧道内的数据包是否需要进行深度过滤控制。在隧道的缺省策略为“允许”时，安全网关系统将不对隧道内的数据包进行过滤，这时隧道保护的两个子网之间是可以相互间任意访问的。当缺省规则为深度过滤时，需要添加合适的深度过滤策略，来控制隧道内数据包的流动。

PPTP/L2TP配置界面

　　PPTP/L2TP是把二层协议PPP的报文封装在IP 报文中进行传输。这种技术使得企业员工出差时也能够通过INTERNET直接访问企业内部网络。PPTP/L2TP客户端可以使用Windows XP和Windows 2000系列操作系统自带的系统程序来配置。具体配置方法请参考Windows的使用说明。

　　GRE隧道是基于RFC1701和RFC1702的标准IP-VPN方案。它的做法是将IP数据包加上GRE头，封装在IP数据包内。在网关看来，GRE隧道是一个点到点端口。GRE隧道主要用于两个边缘网关或者终端系统与边缘网关之间的安全通信链接。