虛擬私人網路(英語:Virtual Private Network,縮寫:VPN)將專用網絡延伸到公共網絡上,使用戶能夠在共用或公共網絡上傳送和接收數據,就像他們的計算裝置直接連接到專用網絡上一樣[1]。VPN的好處包括增加專用網絡的功能、安全性和管理,它提供了對公共網絡上無法訪問的資源訪問通常用於遠端辦公人員。加密很常見但不是VPN連接的原生部分。[2]

VPN其中的例子,虛擬私人網絡的訊息透過公用的網絡架構(例如:互聯網)來傳送內部網的網絡訊息。

VPN是通過使用專用線路或在現有網絡上使用隧道協定建立一個虛擬的對等連接而形成的。可從公共 Internet 獲得的 VPN可以提供廣域網路(WAN)的一些好處。 從用戶的角度來看,可以遠端訪問專用網絡中可用的資源。[3]

類別

虛擬私人網路絡主要分為以下三個類別類別:

遠端訪問

主機到網絡的組態類似於將一台電腦連接到一個區域網絡。此類型提供對企業網絡(例如 Intranet)的訪問。這可用於需要訪問私人資源的遠端辦公人員,或移動工作者能夠訪問重要的工具而不暴露在公共互聯網上。

站點-站點

站點對站點的組態連接兩個網絡。這種組態將一個網絡擴充到地理位置上不同的辦公室,或將一組辦公室擴充到一個數據中心。互連鏈路可能執行在不同的中間網絡上,例如通過 IPv4 網絡連接的兩個 IPv6 網絡。[4]

基於外聯網的站點對站點

在站點對站點組態的背景下,術語intranet和extranet被用來描述兩種不同的使用情況。[5]intranet站點對站點VPN描述了一種組態,由VPN連接的站點屬於同一個組織,而extranet站點對站點VPN則連接了屬於多個組織的站點。

通常情況下,個人與遠端訪問VPN互動,而企業則傾向於利用站點與站點之間的連接來實現企業與企業、雲端運算和分支機構的場景。儘管如此,這些技術並不相互排斥,在一個非常複雜的商業網絡中,可以結合起來,實現對位於任何特定站點的資源的遠端訪問,例如位於數據中心的訂購系統。

VPN系統也可按以下方式分類:

  • 用於傳輸流量的隧道協定
  • 隧道的終止點位置,例如在客戶邊緣或網絡供應商邊緣
  • 連接的拓撲結構類型,如站點到站點或網絡到網絡
  • 提供的安全級別
  • 它們呈現給連接網絡的OSI層,如第2層電路或第3層網絡連接
  • 同時連接的數量

安全性

VPN不能使線上連接完全匿名,但它們通常可以增加私隱和安全。為了防止私人資訊的泄露,VPN通常只允許使用隧道協定和加密技術的認證遠端訪問。

VPN的安全模式提供:
  • 保密性,即使網絡流量在封包層面被嗅探到(網絡嗅探器和深度封包檢查),攻擊者也只能看到加密的數據。
  • 發件人認證,防止未經授權的用戶訪問VPN
  • 資訊完整性,以檢測任何竄改傳輸資訊的情況。
安全VPN協定包括以下內容:
  • 互聯網協定安全(IPsec)最初是由互聯網工程任務組(IETF)為IPv6開發的,在RFC 6434將其作為建議之前,所有符合標準的IPv6實施中都要求使用該協定。[6]這個基於標準的安全協定也被廣泛用於IPv4和第二層隧道協定。它的設計符合大多數安全目標:可用性、完整性和保密性。IPsec使用加密技術,將IP封包封裝在IPsec封包內。解封發生在隧道的末端,原始的IP封包被解密並轉發到其預定的目的地。
    • IKEv2是一個縮寫,代表互聯網金鑰交換第二卷。它是由微軟和思科建立的,與IPSec一起用於加密和認證。它的主要用途是在流動裝置上,無論是3G還是4G LTE網絡,因為它能在連接遺失時有效地重新連接。
  • 傳輸層安全(SSL/TLS)可以對整個網絡的流量進行隧道化處理(如OpenVPN專案和SoftEther VPN專案)或確保單個連接的安全。一些供應商通過SSL提供遠端訪問VPN功能。SSL VPN可以從IPsec遇到網絡地址轉換和防火牆規則問題的地方連接。
  • 數據報傳輸層安全(DTLS)在Cisco AnyConnect VPN和中使用[7],以解決SSL/TLS在TCP上進行隧道傳輸的問題(在TCP上進行隧道傳輸會導致巨大的延遲和連接中止[8])。
  • 微軟對等加密(MPPE)與對等隧道協定以及其他平台上的一些相容實現一起工作。
  • 微軟安全通訊端隧道協定(SSTP)通過SSL/TLS通道對對等協定(PPP)或第2層隧道協定的流量進行加密(SSTP在Windows Server 2008和Windows Vista Service Pack 1中引入)。
  • 多路徑虛擬私人網路絡(MPVPN)。Ragula系統開發公司擁有註冊商標 "MPVPN"[9]
  • Secure Shell(SSH)VPN - OpenSSH提供VPN隧道(有別於通訊埠轉發),以確保遠端連接到網絡或網絡間連結。OpenSSH伺服器提供有限數量的並行隧道。VPN功能本身不支援個人認證。[10][11]
  • WireGuard是一種協定。2020年,Linux[12]和安卓[13]內核都增加了對WireGuard的支援,使其被VPN供應商採用。預設情況下,WireGuard利用Curve25519進行金鑰交換,利用ChaCha20進行加密,但也包括在客戶端和伺服器之間預先共用對稱金鑰的能力。

認證

在建立安全的VPN隧道之前,必須對隧道端點進行認證。用戶建立的遠端訪問VPN可以使用密碼、生物辨識技術、雙因素認證或其他加密方法。網絡到網絡的隧道通常使用密碼或數碼證書。它們永久地儲存金鑰,使隧道自動建立,不需要管理員的干預。

受信任的網絡

可信的VPN不使用加密隧道,而是依靠單一供應商的網絡安全來保護流量。[14]

  • 多協定標籤交換(MPLS)經常覆蓋VPN,通常在可信傳輸網絡上進行服務質素控制。
  • L2TP[15]是一種基於標準的替代方案,也是對兩種專有VPN協定的折衷方案,吸取了每種協定的優良特性。思科的第二層轉發(L2F)[16](2009年已經過時)和微軟的對等隧道協定(PPTP)[17]

從安全角度看,VPN要麼信任底層傳輸網絡,要麼必須用VPN本身的機制來執行安全。除非受信任的傳輸網絡只在物理上安全的站點之間執行,否則受信任的和安全的模式都需要一個認證機制,以使用戶獲得對VPN的訪問。

移動環境中的 VPN

移動虛擬私人網路絡用於VPN的端點不固定在一個IP位址上,而是在各種網絡中漫遊,如手機運營商的數據網絡或在多個Wi-Fi存取點之間漫遊,而不會中斷安全的VPN對談或遺失應用對談。[18] 移動VPN廣泛用於公共安全領域,使執法人員能夠訪問電腦輔助排程和犯罪資料庫等應用,並用於有類似要求的其他組織,如現場服務管理和醫療保健[19]

網絡限制

傳統VPN的局限性在於它們是對等的連接,往往不支援廣播域;因此,基於第二層和廣播包的通訊、軟件和網絡,如Windows網絡中使用的NetBIOS,可能無法像區域網絡那樣得到完全支援。VPN的變種,如虛擬專用區域網絡服務(VPLS)和第二層隧道協定是為了克服這一限制。[20]

使用

許多公司企業的員工等使用虛擬私人網路(VPN)來訪問其內部的網絡,以達到遠程辦公的作用。

也有部分用戶使用商業VPN服務來解決互聯網私隱安全、繞開內容提供網站的地區限制等問題。[21]

在中國大陸,由於防火長城導致中國大陸境內對海外網絡的限制及封鎖,中國大陸興起以採用虛擬私人網路連接外國網絡的突破網絡審查方法,俗稱翻牆。許多外資公司、學術單位因欲連回海外網站,也多自行架設VPN或採用付費的VPN服務。

2020年5月,中華人民共和國十三屆全國人大三次會議表決通過《全國人民代表大會關於建立健全香港特別行政區維護國家安全的法律制度和執行機制的決定》,當局雖暫未對香港互聯網進行明顯網絡審查,但己有網站被香港政府以《國安法》名義下要求香港電訊商作出封鎖,引發香港民眾對互聯網私隱的關注,導致「VPN」相關的內容在香港的搜尋量大升。[需要第三方來源]

常見誤解

  • 虛擬私人網絡不會讓互聯網變得「私有」。即使IP位址被隱藏,通過跟蹤cookie和裝置指紋仍然可以找到用戶。[22]
  • 虛擬私人網絡不會使用戶免於黑客襲擊。[22]
  • 虛擬私人網絡本身並不是一種良好的互聯網私隱保護手段——信任負擔直接從ISP轉移到VPN服務提供商。[23]

參見

參考文獻

外部連結

Wikiwand in your browser!

Seamless Wikipedia browsing. On steroids.

Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.

Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.