虚拟专用网（VPN）是一种以公用网络，尤其是Internet为基础，综合运用隧道封装、认证、加密、访问控制等多种网络安全技术，为企业总部、分支机构、合作伙伴及远程和移动办公人员提供安全的网络互通和资源共享的技术，包括和该技术相关的多种安全管理机制。VPN包括如下几个特点：

（1）安全保障。虽然实现VPN的技术和方式很多，但所有的VPN均应通过公用网络平台传输数据的专用性和安全性。在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接，称之为建立一个隧道，可以利用加密技术对经过隧道传输的数据进行加密，以保证数据仅被指定的发送者和接收者了解，从而保证了数据的私有性和安全性。在安全性方面，由于VPN直接构建在公用网上，实现简单、方便、灵活，但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡改，并且要防止非法用户对网络资源或私有信息的访问。Extranet VPN将企业网扩展到合作伙伴和客户，对安全性提出了更高的要求。  

（2）服务质量保证（QoS）。VPN网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。如移动办公用户，提供广泛的连接和覆盖性是保证VPN服务的一个主要因素；而对于拥有众多分支机构的专线VPN网络，交互式的内部企业网应用则要求网络能提供良好的稳定性；对于其它应用（如视频等）则对网络提出了更明确的要求，如网络时延及误码率等。所有以上网络应用均要求网络根据需要提供不同等级的服务质量。在网络优化方面，构建VPN的另一重要需求是充分有效地利用有限的广域网资源，为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低，在流量高峰时引起网络阻塞，产生网络瓶颈，使实时性要求高的数据得不到及时发送；而在流量低谷时又造成大量的网络带宽空闲。QoS通过流量预测与流量控制策略，可以按照优先级分配带宽资源，实现带宽管理，使得各类数据能够被合理地先后发送，并预防阻塞的发生。  

（3）可扩充性和灵活性。VPN必须能够支持通过Intranet和Extranet的任何类型的数据流，方便增加新的节点，支持多种类型的传输媒介，可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。  

（4）可管理性。从用户角度和运营商的角度应可方便地进行管理、维护。在VPN管理方面，VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网，甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成，企业自己仍需要完成许多网络管理任务。所以，一个完善的VPN管理系统是必不可少的。VPN管理的目标为：减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上，VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。

随着网络技术的发展，VPN技术得到了广泛的应用，同时也得到了很大的发展，涌现

了许多VPN新技术。按照不同的角度，VPN可以分为多种类型。

根据服务类型，VPN业务大致分为三类：接入VPN（Access VPN）、内联网VPN(Intranet VPN)和外联网VPN（Extranet VPN）。通常情况下内联网VPN是专线VPN。   

（1）接入VPN：这是企业员工或企业的小分支机构通过公网远程访问企业内部网络的VPN方式。远程用户一般是一台计算机，而不是网络，因此组成的VPN是一种主机到网络的拓扑模型。需要指出的是接入VPN不同于前面的拨号VPN，这是一个容易发生混淆的地方，因为远程接入可以是专线方式接入的，也可以是拨号方式接入的。   

（2）内联网VPN：这是企业的总部与分支机构之间通过公网构筑的虚拟网，这是一种网络到网络以对等的方式连接起来所组成的VPN。

（3）外联网VPN：这是企业在发生收购、兼并或企业间建立战略联盟后，使不同企业间通过公网来构筑的虚拟网。这是一种网络到网络以不对等的方式连接起来所组成的VPN（主要在安全策略上有所不同）。

  这是VPN厂商和ISP最为关心的划分方式。根据分层模型，VPN可以在第二层建立，也可以在第三层建立（甚至有人把在更高层的一些安全协议也归入VPN协议。）

（1）第二层隧道协议：这包括点到点隧道协议（PPTP）、第二层转发协议（L2F），第二层隧道协议（L2TP）、多协议标记交换（MPLS）等。

（2）第三层隧道协议：这包括通用路由封装协议（GRE）、IP安全（IPSec），这是目前最流行的两种三层协议。 

第二层和第三层隧道协议的区别主要在于用户数据在网络协议栈的第几层被封装，其中GRE、IPSec和MPLS主要用于实现专线VPN业务，L2TP主要用于实现拨号VPN业务（但也可以用于实现专线VPN业务），当然这些协议之间本身不是冲突的，而是可以结合使用的。

VPN主要采用隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。

由于受到Internet网络中IP地址资源短缺的影响，各企业内部网络使用的多为私有IP地址，从这些地址发出的数据包是不能直接通过Internet传输的，而必须代之以合法的IP地址。有多种方法可以完成这种地址转换，如静态IP地址转换、动态IP地址转换、端口替换、数据包封装等，对于VPN而言，数据包封装（隧道）是最常用的技术。数据包封装发生在VPN的发送节点，此时需将原数据包打包，添加合法的外层IP包头，这个包可通过公网被传送到接收端的VPN节点，该节点接收后进行拆包处理，还原出原报文后传述给目标主机。目前几乎所有的VPN技术均采用了数据包封装技术。

密码技术是实现网络安全的最有效的技术之一，实际上，数据加密作为一项基本技术已经成为所有通信数据安全的基石。在多数情况下，数据加密是保证信息机密性的唯一方法。一个加密网络，不但可以防止非授权用户的搭线窃听和入网，而且也是对付恶意软件的有效方法，这使得它能以较小的代价提供很强的安全保护。

数据加密过程是由各种加密算法来具体实施，按照收发双方密钥是否相同来分类，可以将这些加密算法分为对称密码算法和非对称密码算法（公钥算法）。  对称密钥密码算法的收信方和发信方使用相同的密钥，即加密密钥和解密密钥是相同或等价的。最著名的对称密码算法为美国的DES算法及其各种变形。对称密码算法的优点是有很强的保密强度和较快的运算速度，但其密钥必须通过安全的途径传送。因此，其密钥管理成为系统安全的重要因素。 

非对称密钥（公钥）密码算法的收信方和发信方使用的密钥互不相同，而且几乎不可能从加密密钥推导出解密密钥，这些特性使其成为实现数字签名的最佳选择。由于非对称密码算法加密速度慢，不适宜直接对实时的和大量的数据加密。在IPSec实现中，非对称算法（证书）用于自动协商隧道密钥（对称密钥），从而可大大简化密钥的管理工作。在IP最著名也是应用最为广泛的公钥密码算法是RSA算法。

既然VPN是加密通信，这就要求通信双方事先要产生、交换加、解密密钥，因此在密钥管理中依赖秘密信道对密钥进行分发一直是个令人头疼的问题，一旦密钥被第三方窃取，就如同丢失钥匙的保险锁，加密就没有任何意义了，而密钥管理技术的主要任务就是解决如何在公用数据网上安全地分发密钥不被窃取。目前基于VPN的密钥管理协议主要有SKIP、ISAKMP/Oakley、IKE等。这几种密钥管理体制都不需要通信双方进行密钥分发的额外信道。在VPN应用系统中，SAKMP/Oakley和IKE协议都将使用专门的密钥管理信息包来传送双方所需要的密钥，然后才能进行安全通信。而且还需要建立起双方之间的安全关联。它们的优点是都能提供较高的安全性，但由于需要专门的密钥管理信息包，在频繁的密钥更新过程中往往会带来较大的通信开销，因此它们都不适合在高速网络环境下进行理想的密钥管理。而SKIP协议是服务于面向无会话的数据报协议，如IPv4和IPv6的密钥管理机制，它是基于内嵌密钥的密钥管理协议，采用Diffie-Hellman算法。每个数据报都被一个密钥加密，这个密钥包含在数据报中，但同时又被另一个事先已被通信双方共享的公开密钥加密。SKIP协议使用经过认证对方的公钥值和自己的私钥来生成双方可共享的密钥，在每个VPN通信包中都含有该密钥信息，这样，可以实现一包一密钥，并能随时实现密钥的更新，而不需要专门的密钥管理信息包，不会带来较大的通信延迟，特别适合密钥更新非常快的高速VPN环境下的应用。

最常见的是对使用者用户名与密码或身份认证卡等方式进行认证，当然也可根据信息系统的密级，采用企业网络的用户验证系统如：PKI、RADIUS服务器进行高级身份认证。