一种基于PowerPC和Linux的VPN网关设计

　　目前，国内大部分VPN 网关在硬件平台上使用基于x86 CPU的商用工控机主板。由于商用工控机是为一般的工业控制而设计的，作为VPN网关使用时，存在功能冗余、成本及可靠性难于控制等问题VPN网关为防火墙+VPN软硬件一体化的产品。VPN是虚拟专用隧道网络的意思，通过vpn技术可以实现不同的网络互联，构成一个网络，是总部与分支机构网络互通的最好形式。VPN网关支持adsl线路，免租专线、即插即用;支持pptp协议、ssl协议;可以实现点对点、点对网、网对网等多种互通形式。

　　VPN概念

　　什么是VPN

　　VPN英文全称是"Virtual Private Network",翻译过来就是"虚拟专用网络".vpn被定义为通过一个公用网络建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定隧道。使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。VPN主要采用隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。

　　VPN如何保护通信安全

　　不同类型的VPN所采用的协议不同，使用的安全机制也不同。它可使用CA 数字证书来实现通信双方的身份认证;使用对称加密算法来对数据进行加密，保证数据的安全性;使用单向散列函数对数据计算

　　当企业虚拟专网建立时，需要在各个子网的出口配置安全网关。安全网关负责对流出数据进行加密和计算校验和，对进入数据进行检验和解密，并实施访问控制。

　　VPN的使用

　　VPN安全网关与VPN Client软件配合使用，通过灵活配置隧道策略，不仅可以解决通信的安全问题，还可以解决用户对公司总部网络的访问授权问题。图1 是一个VPN安全系统的典型网络拓扑图。

　　当网关与网关相连时，通过VPN管理中心或终端方式为需要相互通信的两台网关间配置对应的隧道，位于两台私口后的主机就能通过加密隧道进行通信，防止数据被丢失、篡改并保证数据的完整。

　　VPN安全网关设计方案概述

　　VPN系统体系结构

　　VPN的主要作用是采用加密、认证和网络技术在公共互联网上构建相互信任方之间的安全加密信息传输通道，以期达到专用网络的效果。VPN网关在其中将发挥非常重要的核心作用。

　　由图1可知，VPN网关工作在本地局域网及与其通信的远程局域网的网关位置，具有加密和认证功能。相互信任的局域网间进行通信时，仍然使用互联网作为中间信道。但是，通过VPN网关的加密功能确保信息在不安全的互联网上流通时是密文形式。即便信息被截取，也无法偷窥或篡改其内容，保证通过互联网连接的局域网间通信的安全性、机密性、可认证性和完整性等安全性能。