VPN的出現(xiàn)已經(jīng)不是一朝一夕了，從IPSec到SSL，VPN經(jīng)歷了大量的技術演進。不過，任何一種安全技術的本質(zhì)都是應用，將VPN與企業(yè)業(yè)務相結合，促進企業(yè)的邊界安全。同時將業(yè)務拓展到邊緣，整合外在供應鏈，這將促進新一輪VPN技術的進化。

　　力量一：可信VPN

　　VPN的初衷是提供一個安全信道，以便遠程用戶可以訪問私有網(wǎng)絡。但在當前的計算環(huán)境中，對于試圖接入企業(yè)網(wǎng)絡的可管理或不可管理的設備，網(wǎng)絡管理員根本無法在其接入網(wǎng)絡前知曉它們的來源。

　　如果用戶可以從一臺主機通過VPN接入內(nèi)網(wǎng)，但主機本身不安全，如已被病毒感染或另有不安全的網(wǎng)絡連接等，將對內(nèi)網(wǎng)帶來極大威脅。

　　另外，絕大部分現(xiàn)有的內(nèi)網(wǎng)安全或者是內(nèi)網(wǎng)行為控制，僅僅考慮了內(nèi)部局域網(wǎng)的行為安全，即對局域網(wǎng)內(nèi)的主機訪問行為進行監(jiān)視和控制，還沒涉及到大規(guī)�？绲赜虻钠髽I(yè)全網(wǎng)的安全問題。

　　事實上，Juniper的安全專家表示：由于VPN可以在公共電腦上建立，所以可能會為公司網(wǎng)絡帶來新的風險，這一點SSL VPN表現(xiàn)的特別明顯。另外，公共電腦可能不支持兩種以上的認證方式，因為它們自身沒有智能卡閱讀器，或直接被禁用了USB端口。

　　在這種情況下，一種基于VPN的可信專用網(wǎng)絡TPN（Trusted Private Network）開始出現(xiàn)。安達通的安全專家康浩在接受采訪時表示，目前TPN技術綜合了網(wǎng)關安全和通信端點安全技術，同時利用全局的統(tǒng)一管理來部署，以求實現(xiàn)全方位、多層次的安全。

　　據(jù)悉，在TPN系統(tǒng)中，任何一個接入網(wǎng)絡的主機都必須通過用戶驗證和主機驗證的強制驗證機制。只有在某個主機歸類為受信任主機后才可以訪問相應的系統(tǒng)資源。基本上，受信任意味著主機的風險受到管理。這種受管狀態(tài)由負責配置主機的IT管理員和用戶負責。如果受信任主機管理不當，很可能成為整個解決方案的弱點。

　　當主機被視為受信任主機時，其他受信任主機可以合理地假定該主機不會發(fā)起惡意操作。例如，受信任主機應期望其他受信任主機不會執(zhí)行攻擊它們的病毒，因為所有受信任主機都要求使用一些用來緩解病毒威脅的機制（如防病毒軟件）。

　　康浩強調(diào)說，這種受信任狀態(tài)不是一成不變的，它僅僅是一個過渡狀態(tài)，會隨著企業(yè)安全標準的更改而更改，并且要不斷符合那些標準。由于新的威脅和新的防御措施會不斷出現(xiàn)，因此，組織的管理系統(tǒng)必須經(jīng)常檢查受信任主機，以保持與標準相符。此外，在需要時，這些系統(tǒng)必須能夠發(fā)布更新或配置更改，以幫助維持受信任狀態(tài)。

　　據(jù)介紹，可信專用網(wǎng)TPN系統(tǒng)對經(jīng)過強制驗證的主機和用戶，使用“用戶——角色——資源”的授權機制，實現(xiàn)“內(nèi)網(wǎng)威脅”、“邊界威脅”、“主機威脅”和“接入威脅”的統(tǒng)一管理。

　　當企業(yè)用戶接入TPN系統(tǒng)防護的網(wǎng)絡時，首先必須進行“強制身份認證”（可采用Web方式或客戶端方式登錄TPN系統(tǒng)進行身份認證），在身份認證通過后，TPN安全網(wǎng)關中根據(jù)該用戶的資源訪問權限和登錄認證時該用戶使用的PC機的特征（IP/端口），動態(tài)在TPN安全網(wǎng)關中形成“元組+時間”的動態(tài)訪問控制策略。該動態(tài)訪問控制策略有短期時效性，當一段時間用戶沒有活動后，該策略即行失效，需要重新進行強制身份認證，再次在TPN安全網(wǎng)關中建立針對該用戶的動態(tài)訪問控制策略。

　　不難看出，之所以說TPN系統(tǒng)可以實現(xiàn)更加安全的VPN，就是因為它對于通過VPN接入的移動用戶和遠地局域網(wǎng)進行類似本地用戶一樣的訪問控制。比如，當VPN用戶在和總部的TPN安全網(wǎng)關建立起加密隧道后，總部的TPN安全網(wǎng)關能夠對遠程接入的主機進行安全評估：如果發(fā)現(xiàn)主機上有威脅或不滿足接入總部的安全級別（如沒有打補丁等），則不允許該主機接入到總部。這就是所謂的“VPN準入控制”技術。

　　目前，企業(yè)通過應用這種技術，可以確保外網(wǎng)的威脅（如木馬、病毒、攻擊等）不會通過VPN用戶帶進內(nèi)網(wǎng)，避免了黑客進行“跳板”攻擊。并且網(wǎng)絡管理員能夠像管理本地局域網(wǎng)一樣，對整個VPN網(wǎng)絡進行統(tǒng)一的安全策略管理，實現(xiàn)面向全網(wǎng)而不僅僅是本地局域網(wǎng)的全網(wǎng)行為管理。

　　此外，針對企業(yè)內(nèi)網(wǎng)的威脅防護，TPN繼承了傳統(tǒng)的內(nèi)網(wǎng)行為管理、網(wǎng)關防病毒、反垃圾郵件技術。同時，TPN將這些技術運用到整個企業(yè)網(wǎng)絡，而不是僅僅局限在局域網(wǎng)內(nèi)。因此，不論是VPN接入用戶還是本地局域網(wǎng)的接入用戶，TPN系統(tǒng)都采用 “強制身份”認證機制，沒有通過認證的用戶無法訪問任何內(nèi)/外網(wǎng)資源。

　　針對這種新興技術，新華人壽集團的IT經(jīng)理表示，對于大型企業(yè)，可以通過借助TPN系統(tǒng)進行VPN控制，包括可以只允許合法的、值得信任的端點設備，如業(yè)務網(wǎng)點的PC、服務器、代理人的PDA接入網(wǎng)絡，而不允許其他設備接入。而新系統(tǒng)中的“TPN網(wǎng)關”和“TPN客戶端”形成聯(lián)動防御體系，避免了依靠單一網(wǎng)關防御體系或單一客戶端防御體系形成的功能瓶頸，給企業(yè)的IT部門減輕了壓力。

　　神州數(shù)碼網(wǎng)絡的高級產(chǎn)品經(jīng)理王景輝曾解釋說，集中安全與分布安全的邊界是模糊的，正如保險企業(yè)一樣，公司的信息安全與代理人的信息安全同樣重要，而這才是可控VPN的魅力所在。