為了解決上述問題，以往企業是通過拉專線的方式，将總公司和分公司組成一個局域網從而實現内部資源共享。雖然這種傳輸方式安全性高，但是它的價格非常昂貴，可不是一般小型企業所能負擔的。同時它有一個非常大的缺陷，如果你是一個經常出差不在單位的員工，但你卻經常需要訪問公司的内部資源，那該如何是好?對于傳統拉專線的方式顯然是無法解決的。

那有什麼方案既能較經濟，又能很随着網絡的發展，越來越多的企業内部組建了自己的局域網，并且在企業内部組建了各種各樣的服務器為大家提供服務，實現資源共享。如員工訪問文件服務器可以查看企業内部的各種重要文件等等。但是出于安全考慮，訪問這樣的資源共享信息要求你的電腦位于企業内部并且要求連入企業内部的網絡上。

好的滿足經常出差員工對公司内部資源的訪問呢?目前多數企業大多采用VPN連線模式，來提供企業員工進行遠端檔案存取行為，VPN連線大緻上分為兩類，固定式VPN與移動式VPN。那何謂固定式VPN、移動式VPN呢?

固定式VPN

固定式VPN即網關之間的VPN，IPSEC VPN就屬于固定式VPN。這種形式的VPN，主要用于比較大的網絡，例如總公司與分公司之間、連鎖超市等等，這樣的應用方式下，因為VPN通訊時，所有的數據都需要加密，很好的保證數據的安全。

為了滿足這些要求，不同地理位置上當然需要分别有一個【VPN網關設備】，而每個VPN網關設備後面，就會有當地的【内部子網】，這個内部子網就是一個網絡，比如(192.168.1.0/24)，當VPN網關之間的隧道建立完成後，二個網關之後的子網之間，就可以互相通訊了，一個最簡單的VPN網關之間的網絡拓撲結構如下圖1：

圖一：固定式IPSEC VPN

另外衆至為了簡化IPSEC VPN設置的複雜程度和提高VPN連接的穩定性，衆至目前開發了Auto VPN;

Auto VPN 分為Server端和Client端：

用戶隻需要配置Server端，如下圖

Client端隻要指向Server的固定IP即可自動建立IPSEC VPN，如下圖

移動式VPN

網關之間的VPN，解決了固定地點之間的安全通訊要求，但是如果某個公司有在外面出差的移動人員呢?甚至根本整個公司的工作方式就屬于移動型的，比如公司所有職員都在家辦公?(哇……好羨慕……)對于這種情況，不可能讓每個移動人員跑到哪裡身上都背着一個VPN網關設備吧，而且VPN網關設備真的好貴!因此移動VPN應運而生(包括SSL VPN 、PPTP/L2TP VPN就屬于此類)：在公司總部放上一個VPN網關設備，其他移動人員則使用一種【軟件VPN】的方式，與公司總部VPN網關建立單獨的隧道進行通訊，這樣一來，即可以保證通訊的安全，同時也無限制的擴大了公司内部網絡的規模，我們再來看一個最簡單的移動VPN網絡是什麼樣子的：

圖2：移動式VPN

通過上面介紹，我們了解到固定式VPN、移動式VPN，那如何結合這兩種VPN實現企業網絡架構呢?衆至為您提供如下拓撲解決方案：

圖3：VPN 拓撲圖

從上面架設的網絡拓撲圖，我們可以了解到隻需在公司總部與分支機構間，各架設一台帶VPN多功能的衆至防火牆設備。通過IPSEC VPN的方式将總公司與分支機構彼此之間的内部網絡實現互通;而對于移動辦公和手機用戶則采用PPTP/L2TP撥号和SSL VPN到總公司内部網絡，從而實現對總公司共享資源的訪問。

或許你會覺得，在外面訪問企業内部資源，用PPTP撥号就好了，簡單方便而且windows系統本身就自帶PPTP撥号終端，為什麼這麼麻煩還要學習SSL VPN。話雖沒錯，但是随着企業對于網絡安全看的越來越重，那麼SSL VPN必然成為企業最佳選擇(衆至現已經針對Adroid 4.0以上版本開發出SSL VPN客戶軟件，安卓智能手機用戶可以到Google商店下載哦)。實際上，PPTP的安全性是所有VPN中最差的。而作為近年來迅速崛起的SSL VPN，它的資料加密能力比PPTP高出許多。況且如果使用者所在的網絡的網關不支持PPTP通透的話，那麼使用者是不能成功建立PPTP VPN的。

因此鑒于上訴原因，考慮使用SSL VPN作為終端撥号連入企業内部網絡是不錯的選擇。同時衆至防火牆設備考慮安全性的同時，為方便終端用戶操作的簡易性，衆至防火牆設備為用戶提供綠色免安裝的SSL VPN撥号終端軟件。終端撥号用戶隻需輸入管理員為您創建的賬号密碼即可撥入企業内部網絡，如圖4：

圖4：SSL VPN撥号終端界面

當用戶通過IPSEC VPN或是PPTP ，L2TP，SSL VPN等方式進入企業内部網絡，是不是他就可以“無法無天”的使用内部所有主機的共享資源呢?為了進一步加強安全管理，實現管理員更加彈性的管控，衆至防火牆加入”VPN 管制”功能。管理員可以利用”VPN 管制”(什麼人、什麼時候、去哪裡、使用什麼服務……)輕松達到控管兩個不同子網絡之間的傳輸，甚至提供對網絡封包追蹤、流量分析等功能。如圖5：

圖5：VPN 管制界面

從上圖VPN管制界面我們可以看到，管理員可以根據來源網絡(IPSEC VPN、PPTP/L2TP/SSL VPN)、目的網絡(内部特定主機)選擇動作為拒絕或是允許，當動作為允許時，管理可以根據通訊協議、通訊端口或群組等信息進一步限制來源網絡隻能使用内部網絡什麼服務。

衆至UTM 各VPN比較

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!