第七章-虚拟专用网.ppt

1、第七章 虚拟专用网,电子科技大学成都学院,2,2018/4/15,主要内容,7.1 虚拟专用网VPN基本概念7.2 VPN的组成及特点7.3 VPN主要安全技术7.4 漏洞处理7.5解决方案7.6 技术优点及作用7.7 基于IPSec协议的VPN体系结构7.8 SSL VPN概念及特点,电子科技大学成都学院,3,2018/4/15,7.1 虚拟专用网VPN基本概念,虚拟专用网(Virtual Private Network，简称VPN)公用电信网运营者利用公用电信网的资源向客户提供具有专用网特性和功能的网络。 是利用公共数据网或专用局域网构建的，以特殊设计的硬件和软件，直接通过共享的IP网络所

2、建立的隧道完成的虚拟专用网络。通过VPN可以实现远程网络之间安全、点对点的连接。,电子科技大学成都学院,4,2018/4/15,虚拟专用网指的是依靠ISP（Internet服务提供商）和其它NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。IETF草案理解基于IP的VPN为：“使用IP机制仿真出一个私有的广域网”是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟，是指用户不再需要拥有实际的长途数据线路，而是使用Internet公众数据网络的长途数

3、据线路。所谓专用网络，是指用户可以为自己制定一个最符合自己需求的网络。,电子科技大学成都学院,5,2018/4/15,VPN的提出(1)使用VPN可降低成本通过公用网来建立VPN，就可以节省大量的通信费用，而不必投入大量的人力和物力去安装和维护WAN(广域网)设备和远程访问设备。 (2)传输数据安全可靠虚拟专用网产品均采用加密及身份验证等安全技术，保证连接用户的可靠性及传输数据的安全和保密性。,电子科技大学成都学院,6,2018/4/15,(3)连接方便灵活用户如果想与合作伙伴联网，如果没有虚拟专用网，双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路，有了虚拟专用网之后，只需

4、双方配置安全连接信息即可。 (4)完全控制虚拟专用网使用户可以利用ISP的设施和服务，同时又完全掌握着自己网络的控制权。用户只利用ISP提供的网络资源，对于其它的安全设置、网络管理变化可由自己管理。在企业内部也可以自己建立虚拟专用网。,电子科技大学成都学院,7,2018/4/15,7.2 VPN的组成及特点,VPN的组成 VPN可以理解成虚拟的企业内部专用网络。VPN的核心就是在利用公共网络建立虚拟专用网。 一个VPN连接由客户机、隧道和服务器3部分组成。VPN的类型一般按照VPN的服务类型可分为：远程访问虚拟网Access VPN企业内部虚拟网Intranet VPN企业扩展虚拟网Extra

5、net VPN,电子科技大学成都学院,8,2018/4/15,VPN的结构 VPN可以通过特殊的加密通信协议为连接在Internet上位于不同地方的两个或多个企业内部网之间建立一条专有的通信线路，如同架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。,电子科技大学成都学院,9,2018/4/15,VPN的结构如下图所示,电子科技大学成都学院,10,2018/4/15,VPN的特点 在实际应用中，用户需要一个高效、成功的VPN具有4个特点：安全保障 在公用IP网络上建立一个逻辑的、点对点的连接，称为隧道。 可以利用加密技术对经过隧道传输的数据进行加密，以保证数据仅被指定的发送者和

6、接收者了解，从而保证数据的专业性和安全性。服务质量（QoS）保证 VPN应当为企业数据提供不同等级的服务质量保证。 QoS通过流量预测与流量控制策略，可以按照优先级分配带宽资源，实现带宽管理，使得各类数据能够被合理地先后发送，预防阻塞发生。,电子科技大学成都学院,11,2018/4/15,可扩充性和灵活性 VPN必须能够支持通过Intranet和Extranet的任何类型的数据流，方便增加新的结点，支持多种类型的传输媒介，可以满足同时传输语音、图像和数据等对高质量传输以及带宽增加的需求。可管理性 在VPN管理方面，要求企业将其网络管理功能从局域网无缝地延伸到公用网，甚至是客户和合作伙伴。 VP

7、N管理的目标是减小网络风险，具有高扩展性、经济性、高可靠性等优点。 VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。,电子科技大学成都学院,12,2018/4/15,7.3 VPN主要安全技术,由于VPN传输的是安全程度要求较高的专用信息，所以VPN用户对数据的安全性都很重视。隧道技术加解密技术密钥管理技术使用者与用户身份认证技术安全工具与客户端管理,电子科技大学成都学院,13,2018/4/15,隧道技术隧道技术是VPN的基本技术类似于点对点连接技术，它在公用网建立一条数据通道（隧道），让数据包通过这条隧道传输。隧道技术是将封装后的数据包通过专用的隧道从一

8、个网络传输到另一个网络的方法。VPN利用隧道技术进行数据传输。隧道是由隧道协议形成的，分为第二、三层隧道协议。,电子科技大学成都学院,14,2018/4/15,第二层隧道协议是先把各种网络协议封装到PPP中，再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议有L2F、PPTP、L2TP等。L2TP协议是目前IETF的标准，由IETF融合PPTP与L2F而形成。第三层隧道协议是把各种网络协议直接装入隧道协议中，形成的数据包依靠第三层协议进行传输。第三层隧道协议有VTP、IPSec等。IPSec（IP Security）是由一组RFC文档组成，定义了一个

9、系统来提供安全协议选择、安全算法，确定服务所使用密钥等服务，从而在IP层提供安全保障。,电子科技大学成都学院,15,2018/4/15,加解密技术加解密技术是数据通信中一项较成熟的技术，VPN可直接利用现有技术。 当一个客户端使用一个VPN隧道时，数据通信保持加密状态直到它到达VPN网关，此网关位于无线访问点之后，如图所示。,电子科技大学成都学院,16,2018/4/15,密钥管理技术主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。SKIP主要是利用Diffie-Hellman的演算法则，在网络上传输密钥；在ISAKMP中，

10、双方都有两把密钥，分别用于公用、私用。,电子科技大学成都学院,17,2018/4/15,使用者与用户身份认证技术使用者与设备身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。 认证技术可以区分真实数据与伪造、被篡改过的数据。认证协议一般都采用摘要技术。,电子科技大学成都学院,18,2018/4/15,安全工具与客户端管理安全工具虚拟化安全工具客户端管理虚拟机,电子科技大学成都学院,19,2018/4/15,7.4 漏洞处理,安全问题是VPN的核心问题。目前，VPN的安全保证主要是通过防火墙技术、路由器配以隧道技术、加密协议和安全密钥来实现的，可以保证企业员工安全地访问公司网络。 如果一

11、个企业的VPN需要扩展到远程访问时，就要注意，这些对公司网直接或始终在线的连接将会是黑客攻击的主要目标。因为，远程工作员工通过防火墙之外的个人计算机可以接触到公司预算、战略计划以及工程项目等核心内容，这就构成了公司安全防御系统中的弱点。虽然，员工可以双倍地提高工作效率，并减少在交通上所花费的时间，但同时也为黑客、竞争对手以及商业间谍提供了无数进入公司网络核心的机会。,电子科技大学成都学院,20,2018/4/15,企业并没有对远距离工作的安全性予以足够的重视。大多数公司认为，公司网络处于一道网络防火墙之后是安全的，员工可以拨号进入系统，而防火墙会将一切非法请求拒之其外；还有一些网络管理员认为，

12、为网络建立防火墙并为员工提供VPN，使他们可以通过一个加密的隧道拨号进入公司网络就是安全的。,电子科技大学成都学院,21,2018/4/15,在家办公是不错，但从安全的观点来看，它是一种极大的威胁。因为，公司使用的大多数安全软件并没有为家用计算机提供保护。一些员工所做的仅仅是进入一台家用计算机，跟随它通过一条授权的连接进入公司网络系统。虽然，公司的防火墙可以将侵入者隔离在外，并保证主要办公室和家庭办公室之间VPN的信息安全。但侵入者可以通过一个被信任的用户进入网络。因此，加密的隧道是安全的，连接也是正确的，但这并不意味着家庭计算机是安全的。,电子科技大学成都学院,22,2018/4/15,黑客

13、为了侵入员工的家用计算机，需要探测IP地址。有统计表明，使用拨号连接的IP地址几乎每天都受到黑客的扫描。因此，如果在家办公人员具有一条诸如DSL的不间断连接链路（通常这种连接具有一个固定的IP地址），会使黑客的入侵更为容易。因为，拨号连接在每次接入时都被分配不同的IP地址，虽然它也能被侵入，但相对要困难一些。一旦黑客侵入了家庭计算机，他便能够远程运行员工的VPN客户端软件。因此，必须有相应的解决方案堵住远程访问VPN的安全漏洞，使员工与网络的连接既能充分体现VPN的优点，又不会成为安全的威胁。在个人计算机上安装个人防火墙是极为有效的解决方法，它可以使非法侵入者不能进入公司网络。,电子科技大学成

14、都学院,23,2018/4/15,提供给远程工作人员的实际解决方法： 所有远程工作人员必须被批准使用VPN； 所有远程工作人员需要有个人防火墙，它不仅防止计算机被侵入，还能记录连接被扫描了多少次； 所有的远程工作人员应具有入侵检测系统，提供对黑客攻击信息的记录； 监控安装在远端系统中的软件，并将其限制只能在工作中使用； IT人员需要对这些系统进行与办公室系统同样的定期性预定检查； 外出工作人员应对敏感文件进行加密； 安装要求输入密码的访问控制程序，如果输入密码错误，则通过Modem向系统管理员发出警报； 当选择DSL供应商时，应选择能够提供安全防护功能的供应商。,电子科技大学成都学院,24,2

15、018/4/15,7.5 解决方案,三种解决方案：远程访问虚拟网（AccessVPN）企业内部虚拟网（IntranetVPN）企业扩展虚拟网（ExtranetVPN）这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet相对应。,电子科技大学成都学院,25,2018/4/15,远程访问虚拟网（AccessVPN）如果企业的内部人员移动或有远程办公需要，或者商家要提供B2C的安全访问服务，就可以考虑使用AccessVPN。 AccessVPN通过一个拥有与专用网络相同策略的共享基础设施，提供对企业内部网或外部网的远程访问。A

16、ccessVPN能使用户随时、随地以其所需的方式访问企业资源。AccessVPN包括模拟、拨号、ISDN、数字用户线路(xDSL)、移动IP和电缆技术，能够安全地连接移动用户、远程工作者或分支机构。,电子科技大学成都学院,26,2018/4/15,AccessVPN最适用于公司内部经常有流动人员远程办公的情况。出差员工利用当地ISP提供的VPN服务，就可以和公司的VPN网关建立私有的隧道连接。RADIUS服务器可对员工进行验证和授权，保证连接的安全，同时负担的电话费用大大降低。 RADIUS远程验证拨号用户服务,电子科技大学成都学院,27,2018/4/15,主要优势减少用于相关的调制解调器和

17、终端服务设备的资金及费用，简化网络； 实现本地拨号接入的功能来取代远距离接入或800电话接入，这样能显著降低远距离通信的费用； 极大的可扩展性，简便地对加入网络的新用户进行调度； 远端验证拨入用户服务（RADIUS）基于标准，基于策略功能的安全服务； 将工作重心从管理和保留运作拨号网络的工作人员转到公司的核心业务上来。,电子科技大学成都学院,28,2018/4/15,企业内部虚拟网（IntranetVPN）进行企业内部各分支机构的互联。利用VPN特性可以在Internet上组建世界范围内的IntranetVPN。利用Internet的线路保证网络的互联性，而利用隧道、加密等VPN特性可以保证信

18、息在整个IntranetVPN上安全传输。IntranetVPN通过一个使用专用连接的共享基础设施，连接企业总部、远程办事处和分支机构。企业拥有与专用网络的相同政策，包括安全、服务质量(QoS)、可管理性和可靠性。,电子科技大学成都学院,29,2018/4/15,主要优势减少WAN带宽的费用； 能使用灵活的拓扑结构，包括全网络连接； 新的站点能更快、更容易地被连接； 通过设备供应商WAN的连接冗余，可以延长网络的可用时间。,电子科技大学成都学院,30,2018/4/15,企业扩展虚拟网（ExtranetVPN）提供B2B之间的安全访问服务 ，主要用于企业之间的互连，提供企业之间的安全访问服务。

19、利用VPN技术可以组建安全的Extranet，既可以向客户、合作伙伴提供有效的信息服务，又可以保证自身的内部网络的安全。 ExtranetVPN通过一个使用专用连接的共享基础设施，将客户、供应商、合作伙伴或兴趣群体连接到企业内部网。企业拥有与专用网络的相同政策，包括安全、服务质量(QoS)、可管理性和可靠性。,电子科技大学成都学院,31,2018/4/15,主要优势能容易地对外部网进行部署和管理，外部网的连接可以使用与部署内部网和远端访问VPN相同的架构和协议进行部署。主要的不同是接入许可，外部网的用户被许可只有一次机会连接到其合作人的网络。,电子科技大学成都学院,32,2018/4/15,7

20、.6 技术优点及作用,ISP受益对于ISP来说，VPN提供了巨大商机。例：世纪互联的薛滔先生介绍说：世纪互联使用的是基于网通的全国网络，有很好的硬件条件。面对IDC在2001年更加激烈的竞争状况，世纪互联希望在IDC基础之上找到新的增长点。因为网站缩水，所以世纪互联将目光转向大中型传统企业，分析他们对电信资源有哪些需求，结果觉得VPN是一个机会。世纪互联现在正在探索，VPN的方案和技术已经准备就绪。,电子科技大学成都学院,33,2018/4/15,世纪互联的目标用户是全国有分支机构，信息化建设已经达到一定水平的单位，世纪互联将整合现有资源，包括网络、托管和技术力量来为用户提供服务。通过向企业提

21、供VPN增值服务，ISP可以与企业建立更加紧密的长期合作关系，同时充分利用现有网络资源，提高业务量。事实上，VPN用户的数据流量较普通用户要大得多，而且时间上也是相互错开的。VPN用户通常是上班时间形成流量的高峰，而普通用户的流量高峰期则在工作时间之外。ISP对外提供两种服务，资源利用率和业务量都会大大增加。同时，VPN使ISP能够经济地维持开发客户群、增加利润、提供增强服务，如视频会议、电子商务、IP电话、远程教学、多媒体商务应用等等。,电子科技大学成都学院,34,2018/4/15,用户受益比较适合采用VPN的用户： 位置众多，特别是单个用户和远程办公室站点多，例如企业用户、远程教育用户；

22、 用户/站点分布范围广，彼此之间的距离远，遍布全球各地，需通过长途电信，甚至国际长途手段联系的用户； 带宽和时延要求相对适中； 对线路保密性和可用性有一定要求的用户。,电子科技大学成都学院,35,2018/4/15,不适于采用VPN的情况： 非常重视传输数据的安全性； 不管价格多少，性能都被放在第一位的情况； 采用不常见的协议，不能在IP隧道中传送应用的情况； 大多数通信是实时通信的应用，如语音和视频。但这种情况可以使用公共交换电话网（PSTN）解决方案与VPN配合使用。,电子科技大学成都学院,36,2018/4/15,主要作用实现网络安全具有高度的安全性，对于现在的网络是极其重要的。新的服务

23、如在线银行、在线交易都需要绝对的安全，而VPN以多种方式增强了网络的智能和安全性。首先，它在隧道的起点，在现有的企业认证服务器上，提供对分布用户的认证。另外，VPN支持安全和加密协议，如SecureIP（IPsec）和Microsoft点对点加密（MPPE）。,电子科技大学成都学院,37,2018/4/15,简化网络设计网络管理者可以使用VPN替代租用线路来实现分支机构的连接。这样就可以将对远程链路进行安装、配置和管理的任务减少到最小，仅此一点就可以极大地简化企业广域网的设计。另外，VPN通过拨号访问来自于ISP或NSP的外部服务，减少了调制解调器池，简化了所需的接口，同时简化了与远程用户认证

24、、授权和记账相关的设备和处理。,电子科技大学成都学院,38,2018/4/15,降低成本VPN可以立即且显著地降低成本。当使用Internet时，实际上只需付短途电话费，却收到了长途通信的效果。因此，借助ISP来建立VPN，就可以节省大量的通信费用。此外，VPN还使企业不必投入大量的人力和物力去安装和维护WAN设备和远程访问设备，这些工作都可以交给ISP。 可降低的成本：移动用户通信成本租用线路成本主要设备成本,电子科技大学成都学院,39,2018/4/15,移动用户通信成本。VPN可以通过减少长途费或800费用来节省移动用户的花费。 租用线路成本。VPN可以以每条连接的40%到60%的成本对

25、租用线路进行控制和管理。对于国际用户来说，这种节约是极为显著的。对于话音数据，节约金额会进一步增加。 主要设备成本。VPN通过支持拨号访问外部资源,使企业可以减少不断增长的调制解调器费用。另外，它还允许一个单一的WAN接口服务多种目的，从分支网络互连、商业伙伴的外连网终端、本地提供高带宽的线路连接到拨号访问服务提供者，因此，只需要极少的WAN接口和设备。由于VPN可以完全管理，并且能够从中央网站进行基于策略的控制，因此可以大幅度地减少在安装配置远端网络接口所需设备上的开销。另外，由于VPN独立于初始协议，这就使得远端的接入用户可以继续使用传统设备，保护了用户在现有硬件和软件系统上的投资。,电子

26、科技大学成都学院,40,2018/4/15,容易扩展如果企业想扩大VPN的容量和覆盖范围。企业需做的事情很少，而且能及时实现：企业只需与新的IPS签约，建立账户；或者与原有的ISP重签合约，扩大服务范围。在远程办公室增加VPN能力也很简单：几条命令就可以使Extranet路由器拥有Internet和VPN能力，路由器还能对工作站自动进行配置。 可随意与合作伙伴联网在过去，企业如果想与合作伙伴连网，双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路。有了VPN之后，这种协商也毫无必要，真正达到了要连就连，要断就断。,电子科技大学成都学院,41,2018/4/15,完全控制主动权借

27、助VPN，企业可以利用ISP的设施和服务，同时又完全掌握着自己网络的控制权。比方说，企业可以把拨号访问交给ISP去做，由自己负责用户的查验、访问权、网络地址、安全性和网络变化管理等重要工作。 支持新兴应用许多专用网对许多新兴应用准备不足，如那些要求高带宽的多媒体和协作交互式应用。VPN则可以支持各种高级的应用，如IP语音，IP传真，还有各种协议，如RSIP、IPv6、MPLS、SNMPv3等。,电子科技大学成都学院,42,2018/4/15,7.7 基于IPSec协议的VPN体系结构,IPSec主要应用于网络层。基于TCP/IP的素有应用都要通过IP层，将数据封装成一个IP包后再进行传送。要实

28、现对上层网络应用软件的全透明控制，只需在网络层采用VPN技术提供网络安全服务。为解决Internet面临的不安全因素的威胁，实现在不信任通道上的数据安全传输，在VPN的设计和实现中采用加密认证技术。,电子科技大学成都学院,43,2018/4/15,7.8 SSL VPN概念及特点,SSL VPN是解决远程用户访问敏感公司数据最简单最安全的解决技术。与复杂的IPSec VPN相比，SSL通过简单易用的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSL VPN， 这是因为SSL 内嵌在浏览器中，它不需要象传统IPSec VPN一样必须为每一台客户机安装客户端软件。,电子科技大学成都学院,4

29、4,2018/4/15,技术演变随着应用程序从C/S 结构向Web 的迁移，企业必须面对一个新的挑战，就是如何在不影响最终用户使用的前提下实现在任何地方灵活访问这些应用程序。在70 年代，人们对远程访问概念几乎等同于从远端的办公地点访问应用程序，这需要设置非常昂贵的WAN 网并租用连接线路。 80 年代，一小部分用户可以使用调制解调器直接拨号到modem banks 或他们自己的PC 上，但是使用费用相当高昂只能有非常有限的小部分人使用。而且在那时候，在家使用个人电脑才刚刚成为主流，远程访问需求还不是很大。,电子科技大学成都学院,45,2018/4/15,90 年代， 在家用PC 盛行的同时，

30、移动电脑开始显现，在家办公也开始兴起。公司管理者和销售员们开始在外出差时携带笔记本电脑，他们需要实时访问公司内部信息，设立IPSec VPN 可以保护用户远程访问。它可以提供足够的安全性，但是问题是安装和维护相当麻烦。任何在PC 上的改变对VPN 而言可能都是一场灾难，最终用户不得不硬着头皮忍受这些变化，因为他们别无选择。,电子科技大学成都学院,46,2018/4/15,从管理员的角度来讲，使用IPSec VPN 不仅仅意味着要对客户端进行安装和调试，而且还需要调整整个网络的结构。在数据包进行传输时NAT 不能完全工作正常，有时候会出现连接断开的现象，改变防火墙设置可以解决这一问题但是必须要做

31、大量的管理工作。如果IT 管理部门可以完全控制从后端到客户的网络结构，其管理复杂性可以忍受；当IT 管理部门不能完全控制时，管理复杂性就要成倍增加。这种情况同样发生在本地NAT 和防火墙对合作伙伴，在家里或在酒店。,电子科技大学成都学院,47,2018/4/15,因此， 公司开始把眼光放在他们是否选择了合适的安全远程访问系统上。使用IPSec VPN 和租用WAN 线路对于不经常更改网络结构的用户来说是非常好的选择。如果情况并非如此，用户就需要另做选择。有的公司考虑使用架构在因特网上的SSL 协议，在不破坏已有网络布局的前提下进行安全远程访问。SSL 是通过因特网进行加密传输保护一种常用方法，

32、许多公司对他们的内部网和外部网执行了SSL 设置，通过SSL VPN 进行访问控制。,电子科技大学成都学院,48,2018/4/15,特征从概念角度来说，SSL VPN即指采用SSL （Security Socket Layer）协议来实现远程接入的一种新型VPN技术。SSL协议是网景公司提出的基于WEB应用的安全协议，它包括：服务器认证、客户认证（可选）、SSL链路上的数据完整性和SSL链路上的数据保密性。对于内、外部应用来说，使用SSL可保证信息的真实性、完整性和保密性。目前SSL 协议被广泛应用于各种浏览器应用，也可以应用于Outlook等使用TCP协议传输数据的C/S应用。因为SSL

33、协议被内置于IE等浏览器中，使用SSL 协议进行认证和数据加密的SSL VPN就可以免于安装客户端。相对于传统的IPSEC VPN而言，SSL VPN具有部署简单，无客户端，维护成本低，网络适应强等特点，这两种类型的VPN之间的差别就类似C/S构架和B/S构架的区别。,电子科技大学成都学院,49,2018/4/15,一般而言，SSL VPN必须满足最基本的两个要求： 1. 使用SSL 协议进行认证和加密；没有采用SSL 协议的VPN产品自然不能称为SSL VPN，其安全性也需要进一步考证。 2. 直接使用浏览器完成操作，无需安装独立的客户端；即使使用了SSL 协议，但仍然需要分发和安装独立的V

34、PN客户端 (如Open VPN)不能称为SSL VPN，否则就失去了SSL VPN易于部署，免维护的优点了。,电子科技大学成都学院,50,2018/4/15,优点方便。实施ssl vpn之需要安装配置好中心网关即可。其余的客户端是免安装的，因此，实施工期很短，如果网络条件具备，连安装带调试，1-2天即可投入运营。 容易维护。ssl vpn 维护起来简单，出现问题，就维护网关就可以了。实在不行，换一台，如果有双机备份的话，备份机器启动就可以了。 安全。ssl vpn 是一个安全协议，数据全程加密传输的。另外，由于ssl网关隔离了内部服务器和客户端，只留下一个web浏览接口，客户端的大多数病毒木马感染不倒内部服务器。而ipsec vpn 就不一样，实现的是ip级别的访问，远程网络和本地网络几乎没有区别。局域网能够传播的病毒，通过vpn一样能够传播。,