安全VPN分析及市場

定義
VPN（Virtual Private Network) 又稱爲虛擬專網服務，屬於程訪問技術，簡單地說就是利用公用網絡架設專用網絡；也可以簡單理解爲你和目標地建立了一個通道，你可以通過該通道進入目的地，以目的地的名義訪問各種網絡信息。
特點
1. 安全專用：VPN通過綜合應用隧道技術、加密技術與認證技術等，建立一條與傳統物理專用網相似的用戶專用安全通道。因採用了加密、認證等技術，該通道的數據爲密文數據，進入該隧道需要進行必要的認證，所以實現了安全、專用。
2.虛擬廉價:VPN是邏輯上的專網，與物理專網有本質區別，他是基於公網系統虛擬出一條專用網絡通道，,所以他既有專網的安全性的特點又有公網覆蓋範圍廣，靈活度好、自主性強的特點。
工作原理
通常情況下，VPN網關採取雙網卡結構，外網卡使用公網IP接入Internet。
網絡一(假定爲公網internet)的終端A訪問網絡二(假定爲公司內網)的終端B，其發出的訪問數據包的目標地址爲終端B的內部IP地址。
網絡一的VPN網關在接收到終端A發出的訪問數據包時對其目標地址進行檢查，如果目標地址屬於網絡二的地址，則將該數據包進行封裝，封裝的方式根據所採用的VPN技術不同而不同，同時VPN網關會構造一個新VPN數據包，並將封裝後的原數據包作爲VPN數據包的負載，VPN數據包的目標地址爲網絡二的VPN網關的外部地址。
網絡一的VPN網關將VPN數據包發送到Internet，由於VPN數據包的目標地址是網絡二的VPN網關的外部地址，所以該數據包將被Internet中的路由正確地發送到網絡二的VPN網關。
網絡二的VPN網關對接收到的數據包進行檢查，如果發現該數據包是從網絡一的VPN網關發出的，即可判定該數據包爲VPN數據包，並對該數據包進行解包處理。解包的過程主要是先將VPN數據包的包頭剝離，再將數據包反向處理還原成原始的數據包。
網絡二的VPN網關將還原後的原始數據包發送至目標終端B，由於原始數據包的目標地址是終端B的IP，所以該數據包能夠被正確地發送到終端B。在終端B看來，它收到的數據包就和從終端A直接發過來的一樣。
從終端B返回終端A的數據包處理過程和上述過程一樣，這樣兩個網絡內的終端就可以相互通訊了。
數據流程
①要保護主機發送明文信息到其他VPN設備。
②VPN設備根據網絡管理員設置的規則，確定是對數據進行加密還是直接傳輸。
③對需要加密的數據，VPN設備將其整個數據包（包括要傳輸的數據、源IP地址和目的lP地址）進行加密並附上數據簽名，加上新的數據報頭（包括目的地VPN設備需要的安全信息和一些初始化參數）重新封裝。
④將封裝後的數據包通過隧道在公共網絡上傳輸。
⑤數據包到達目的VPN設備後，將其解封，覈對數字簽名無誤後，對數據包解密。
分類
按VPN的協議
VPN的隧道協議主要有三種，PPTP、L2TP和IPSec，其中PPTP和L2TP協議工作在OSI模型的第二層，又稱爲二層隧道協議；IPSec是第三層隧道協議。
按VPN的應用
（1）Access VPN（遠程接入VPN）：客戶端到網關，使用公網作爲骨幹網在設備之間傳輸VPN數據流量；
（2）Intranet VPN（內聯網VPN）：網關到網關，通過公司的網絡架構連接來自同公司的資源；
（3）Extranet VPN（外聯網VPN）：與合作伙伴企業網構成Extranet，將一個公司與另一個公司的資源進行連接。
按所用的設備類型
網絡設備提供商針對不同客戶的需求，開發出不同的VPN網絡設備，主要爲交換機、路由器和防火牆：
（1）路由器式VPN：路由器式VPN部署較容易，只要在路由器上添加VPN服務即可；
（2）交換機式VPN：主要應用於連接用戶較少的VPN網絡；
按照實現原理
（1）重疊VPN：此VPN需要用戶自己建立端節點之間的VPN鏈路，主要包括：GRE、L2TP、IPSec等衆多技術。
（2）對等VPN：由網絡運營商在主幹網上完成VPN通道的建立，主要包括MPLS、VPN技術。
通用功能：
在公網上搭建一條安全的數據傳輸隧道。
政策：
2003年4月，信息產業部頒發了《電信業務分類目錄》，取消了國際電信業務的分類，同時將虛擬專用網業務自基礎電信業務中分離出來，成爲獨立的增值電信業務分類。但是此處的“虛擬專用網”概念與行業內的VPN業務是不一樣的。新的《電信業務分類目錄》中對該分類的解釋是：國內因特網虛擬專用網業務（IP-VPN）是指經營者利用自有的或租用公用因特網網絡資源，採用TCP/IP協議，爲國內用戶定製因特網閉合用戶羣網絡的服務。這種分類的解釋強調了兩個特點，一個是利用因特網網絡資源，一個是採用TCP/IP協議。這種解釋是與當時的市場狀況所對應的，當時關注的是基於互連網的IPSec VPN，雖然該解釋可以基本涵蓋後出現的SSL VPN模式，但並沒有關注MPLS VPN。
2006年1月，信息產業部發布《關於兩項增值電信業務及國內多方通信服務的通告》，正式開放“國內因特網虛擬專用網業務”和“在線數據處理與交易處理業務”兩項增值電信業務，上述兩項增值電信業務由商用試驗轉爲正式商用。
2013年，工業與信息化部公佈的《電信業務分類目錄（徵求意見稿）》中仍然沒有對此作出任何改變。
2015年1月27日，工信部迴應VPN被封事件，表示一些不良信息應該按照中國法律進行管理。工信部此前發佈規定，在中國提供VPN服務的公司必須登記註冊，否則將“不會受到中國法律的保護”。
2017年1月，工信部出臺了《關於清理規範互聯網網絡結構服務市場的通知》，《通知》主要是爲了更好地規範市場的行爲，規範的對象主要是未經電信主管部門批准，無國際通信業務經營資質的企業和個人，租用國際專線或者VPN，違規開展跨境電信業務經營活動。這些規定主要是對那些無證經營的、不符合規範的進行清理，對於依法依規的企業和個人不會帶來什麼影響。
關於VPN的問題，工信部信息通信發展司司長聞庫補充稱，在中國經營相關業務應該按照中國的法律法規來進行申請許可，這實際上在全世界很多國家都是這樣做的。在美國、在歐洲、在亞洲都是這樣做的，各個國家的管理方式也不盡相同。在中國三大運營商給老百姓提供服務方面做了大量工作，網速不斷提升，取得了很好的成效。
市場分析
隨着信息化的普及及人們對信息安全理解的加深，國內目前VPN的容量大於9000萬，並且還在高速的增加，VPN或同類功能的產品在不遠的未來將會成爲普及化的大衆產品，但是由於早期國家政策沒有及時接入，導致VPN行業亂象橫生，真假難辨，各廠家之間也是參差不齊，有很多魚目混珠的廠家趁機大發橫財而不注重真是產品的開發（用的爲網上公開的源碼實現，這類源碼本身存在很大的漏洞和安全隱患），由於他們沒有研發成本，所以這類廠家靠低價策略俘獲了大量的市場，這部分市場將成爲國家打擊的重點區域。
隨着國家對VPN的規範化及相關政策規定落地，VPN類產品將會出現先降後升的發展態勢。依據目前相關政策的規定來看，“資質”將成爲VPN行業廠家的招牌及敲門磚，這類一刀切的政策對市場的規範化肯定是積極向好的，但是因爲低端市場佔有的市場份額較大，有資質的正牌廠家有沒有能力承接清退出來的低端市場還有待驗證。
使用模型
目前正牌有資質的廠家的集成方案大都是針對企業用戶，常見的使用模型分爲兩種合法情形和一種不合法情形，合法模型：一是集團異地多點辦公，二是羣星多點辦公。非法模型：翻牆。
方案
目前給企業的方案比較單一，基本全爲軟+硬的形式，如果企業規模不大，基本採用在企業總部部署一臺VPN服務器，外地均採用軟客戶端的形式；如果企業規模較大，基本採用多點部署VPN服務器的形式。
市場發展數據
暫未統計。