VPN安全技术在实际网络中的应用

网络地址转换(NAT)/端口地址转换(PAT)

　　网络地址转换通常在拥有私人IP地址空间的情况下使用。尽管比较大的企业可能请求直接向地区或本地的因特网注册机构直接注册上述地址，但全球唯一IP地址段通常是从网络服务提供商那里获得。NAT将把未注册IP地址转换成在外部公网可路由的合法的IP地址。

　　因特网地址指派机构(IANA)保留如下3个地址段供私有网络使用：

　　10.0.0.0～10.255.255.255

　　172.16.0.0～172.31.255.255

　　192.168.0.0～192.168.255.255

　　如果一个企业决定采用私有地址寻址，就应当使用这些地址段。

　　在一些网络中，未注册IP地址的数量可能超过可供转换使用的全球唯一地址的数量。为了解决这个问题，就设计了端口地址转换(PAT)。使用NAT/PAT时，发起连接用到的源TCP或UDP端口保持唯一，并与以转换的源IP地址一起放入一张表当中。接着将返回信息流与NAT/PAT表相比较，修改目的IP地址、目的TCP或UDP端口号，以与表项匹配。

　　使用NAT/PAT给很多协议带来了一系列挑战。在同一会话期间改变UDP或TCP源和目的端口号的应用程序可能破坏PAT映射。而且使用一个控制通道来交换端口号和IP地址映射信息的应用程序也会与NAT/PAT不匹配(例如FTP)。另外，如果在NAT/PAT设备后又大量用户，那么用户转换的IP地址和端口号就可能会被很快耗尽。

　　NAT与IPSec同时使用会引起很多问题。但是存在一个正在标准化的NAT穿越扩展，可以为很多NAT环境提供可互操作的解决方案。大规模的VPN主要要求采用IPSec协议或与L2TP/IPSec相结合来提供安全服务。一些组织选择了只使用PPTP或L2TP。但是因为IPSec提供了全面的安全服务，所以大多数安全VPN解决方案都应当采用IPSec。

　　总结：生活工作中的实际情况一设备的配置会有错误，新的攻击手段会出现，安全防护软件出现漏洞或缺陷。任何企业所能做的最好的就是对企业网的风险和脆弱性进行评估，作出应急所需要的决定，然后实施尽可能有效的决定其安全性的策略。安全策略的实施也很重要，这就需要对网络上的信息流进行积极的监控和执行常规的安全审计。网络安全性是一个复杂的问题，部分原因时今天有大量的安全技术，其中一些技术解决了类似的安全问题并朝着更加综合的安全策略方向前进，近年来，尽管底层的技术依然还分复杂，但实现企业网络安全的机制已经变得比较容易。