带有卫星办公室的机构为了高效率和保护所传输机密数据的安全性而经常使用专用线路来彼此连接。例如,许多公司使用帧中继或不对称传输模式(Asynchronous Transfer Mode,ATM)线路作为连接办公室的端点到端点的解决方案。这种方法比较昂贵,特别对于想要扩展而又想避免企业级别的专用数字线路带来的昂贵支出的中小型企业而言。
工程师们开发出一种解决这个问题的开支较少的方案 — 虚拟专用网(Virtual Private Networks,VPN)。VPN 使用和专用线路相同的原理,它允许在两个节点(或网络)间进行安全的数字通信,从现存的本地网(LAN)中创建一个广域网(WAN)。它和帧中继或 ATM 的不同之处在于所用的传输介质。VPN 使用数据报(UDP)作为传输层,但通过 IP 来传输,把它变成一个到目标点的安全通道。多数免费的软件 VPN 实现包括了开放标准、开源加密来进一步掩护传输中的数据。
某些组织使用硬件 VPN 来进行保安,而有些组织使用软件或基于协议的实现方法。Cisco、Nortel、IBM 和 Checkpoint 等几家厂商提供了硬件 VPN 解决方案。有一种叫做 FreeS/Wan 的用在 Linux 上的基于软件的免费 VPN 解决方案,它利用了被标准化的 IPsec(或互联网协议安全)实现。这些 VPN 解决方案充当位于办公室和办公室之间的 IP 连接的特殊路由器。
当分组从客户中被传输,它通过路由器或网关被发送,然后其中被添加叫做验证头(Authentication Header,AH)的关于选路和验证的头信息。该数据是被加密的,并且被包含在叫做封装安全载荷(ESP)的解密和处理说明中。接收 VPN 路由器会剥离头信息,把它选路发送到所要去的目的地(工作站或网络上的节点)。网络到网络间 VPN 连接的加密和解密进程对本地节点是透明的。
使用了这种被提高了的安全级别,怪客不但必须劫获分组,还需要能够解密分组(在多数 VPN 情况下,通常使用三次数据加密标准[3DES]的168位加密术)。利用客户和服务器间的中间人攻击方法的入侵者还必须获取用于验证会话的钥匙。VPN 是一种把多个远程节点连接成一个统一的内联网的安全而有效的方法。