虛擬私人網路(Virtual Private Network, VPN)

目前，企業多採用虛擬私人網路來建構企業網路環境，虛擬私人網路對外部

網路使用了網際網路(Internet)架構來連結，大幅降低建構成本，同時又具有如同 專用網路般的安全性。企業在架構虛擬私人網路時，為了保護企業內部網路 (Intranet)的安全，防止內部機密資料的外流，或外部人員對企業內部網路資料的 竊取與破壞，通常會以架設防火牆(Firewall)的方式，隔絕外部網路對企業內部網 路的直接連結，所以在採用遠端管理的方式時，會遇到企業防火牆的問題。

2.2.1 以網路安全協定為基礎的虛擬私人網路(IP-Sec based VPN)

傳統上的作法，是以網路安全協定為基礎的虛擬私人網路(IP-Sec based VPN)，來達成內外部網路的連結[10]。若外部網路是使用行動裝置為連線裝置，

則可再結合行動網際網路協定(Mobile IP)。

2.2.2 IP-Sec 介紹

私人虛擬網路(VPN)在應用上可透過網際網路(Internet)來連結，而網際網路 是以 IP(Internet Protocol)為連線基礎，在 IP Layer 處理安全問題，在 IPv6 制定時，

獨立為網際網路層安全協定(IP Security Protocol, IP-Sec)。

圖 1：IP-Sec 關係圖

IP-Sec 的安全協定：

AH（Authentication Header）

利用 Hash function，提供封包來源的驗證、檢查封包內容的一致性，若 IP 封包在網路上傳輸時，遭篡改或是偽裝，可依此查驗出來。

ESP（Encapsulating Security Payload）

ESP 結合加密演算法和 Hash function，對封包內容加密，可防止封包遭到竊 取，亦具有類似 AH 的驗證能力。但 ESP 協定對於防止封包的篡改或偽裝的能 力相較於 AH 仍較弱，因此 ESP 雖具有類似 AH 的驗證功能，但還未完全可取 代 AH。

IP-sec 的封裝機制 Transport Mode

Host-to-Host 的封裝機制，由連線的兩端皆有 IP-Sec 實作的主機，對所交換 的 IP 封包，採用 AH 或 ESP 的安全協定來達成保護，

Tunnel Mode

Gateway-to-Gateway（or Host），一端的主機先將尚未作安全保護的 IP 封包 傳送至具有 IP-Sec 功能的 Security Gateway，Gateway 再將封包以 IP-Sec 保護後，

傳送至遠端的 Gateway，接收端再將 IP-Sec 的保護機制解除並還原後，把 IP 封 包發送至目的端的主機。

圖 2：IP-sec 的封裝機制

在實務上，當身處在公司外部網路的人員，不在公司的私人虛擬網路內時，

想要由移終端(Terminal)，如個人電腦或筆記型電腦等，進入公司網路內的系統 伺服器，做管理或資料存取，會產生如下的問題：由於這些資料是由企業網路內 部的伺服器所管理，從防火牆外部存取資料，需先建立對企業內部網路伺服器的 連結，才能夠互傳資料，而防火牆會限制外部網路的直接連結和資料存取。防火 牆的主要功能是在控管內部網路以及外部網路之間的資料交換，阻絕不安全的連 線，以避免未授權的網路連線，進入企業的網路安全協定的私人虛擬網路，而上 述的 IP-Sec VPN 的設備應置於何處，是建置在防火牆的內部網路、外部網路，

是另外開一個平行於防火牆的網路區域來放置，或是直接由防火牆來提供網路安 全協定的服務。企業該採哪一種方式，才能提供安全可靠的虛擬私人網路服務，

同時又不損害防火牆原有的保護機制？這個問題並沒有唯一的答案，也沒有絕對 正確的答案，各項設置模式都有其優缺點，需視企業實際情況與需求而定。[11, 12]