虚拟专用网(英语:Virtual Private Network,缩写:VPN)将专用网络延伸到公共网络上,使用户能够在共享或公共网络上发送和接收数据,就像他们的计算装置直接连接到专用网络上一样[1]。VPN的好处包括增加专用网络的功能、安全性和管理,它提供了对公共网络上无法访问的资源访问通常用于远程办公人员。加密很常见但不是VPN连接的固有部分。[2]

VPN其中的例子,虚拟私人网络的讯息透过公用的网络架构(例如:互联网)来传送内部网的网络讯息。

VPN是通过使用专用线路或在现有网络上使用隧道协议建立一个虚拟的点对点连接而形成的。可从公共 Internet 获得的 VPN可以提供广域网(WAN)的一些好处。 从用户的角度来看,可以远程访问专用网络中可用的资源。[3]

类别

虚拟专用网络主要分为以下三个类别类别:

远程访问

主机到网络的配置类似于将一台电脑连接到一个局域网。此类型提供对企业网络(例如 Intranet)的访问。这可用于需要访问私人资源的远程办公人员,或移动工作者能够访问重要的工具而不暴露在公共互联网上。

站点-站点

站点对站点的配置连接两个网络。这种配置将一个网络扩展到地理位置上不同的办公室,或将一组办公室扩展到一个数据中心。互连链路可能运行在不同的中间网络上,例如通过 IPv4 网络连接的两个 IPv6 网络。[4]

基于外联网的站点对站点

在站点对站点配置的背景下,术语intranet和extranet被用来描述两种不同的使用情况。[5]intranet站点对站点VPN描述了一种配置,由VPN连接的站点属于同一个组织,而extranet站点对站点VPN则连接了属于多个组织的站点。

通常情况下,个人与远程访问VPN互动,而企业则倾向于利用站点与站点之间的连接来实现企业与企业、云计算和分支机构的场景。尽管如此,这些技术并不相互排斥,在一个非常复杂的商业网络中,可以结合起来,实现对位于任何特定站点的资源的远程访问,例如位于数据中心的订购系统。

VPN系统也可按以下方式分类:

  • 用于传输流量的隧道协议
  • 隧道的终止点位置,例如在客户边缘或网络供应商边缘
  • 连接的拓扑结构类型,如站点到站点或网络到网络
  • 提供的安全级别
  • 它们呈现给连接网络的OSI层,如第2层电路或第3层网络连接
  • 同时连接的数量

安全性

VPN不能使在线连接完全匿名,但它们通常可以增加隐私和安全。为了防止私人资讯的泄露,VPN通常只允许使用隧道协议和加密技术的认证远程访问。

VPN的安全模式提供:
  • 保密性,即使网络流量在数据包层面被嗅探到(网络嗅探器和深度数据包检查),攻击者也只能看到加密的数据。
  • 发件人认证,防止未经授权的用户访问VPN
  • 资讯完整性,以检测任何窜改传输资讯的情况。
安全VPN协议包括以下内容:
  • 互联网协议安全(IPsec)最初是由互联网工程任务组(IETF)为IPv6开发的,在RFC 6434将其作为建议之前,所有符合标准的IPv6实施中都要求使用该协议。[6]这个基于标准的安全协议也被广泛用于IPv4和第二层隧道协议。它的设计符合大多数安全目标:可用性、完整性和保密性。IPsec使用加密技术,将IP数据包封装在IPsec数据包内。解封发生在隧道的末端,原始的IP数据包被解密并转发到其预定的目的地。
    • IKEv2是一个缩写,代表互联网密钥交换第二卷。它是由微软和思科创建的,与IPSec一起用于加密和认证。它的主要用途是在移动设备上,无论是3G还是4G LTE网络,因为它能在连接丢失时有效地重新连接。
  • 传输层安全(SSL/TLS)可以对整个网络的流量进行隧道化处理(如OpenVPN项目和SoftEther VPN项目)或确保单个连接的安全。一些供应商通过SSL提供远程访问VPN功能。SSL VPN可以从IPsec遇到网络地址转换和防火墙规则问题的地方连接。
  • 数据报传输层安全(DTLS)在Cisco AnyConnect VPN和中使用[7],以解决SSL/TLS在TCP上进行隧道传输的问题(在TCP上进行隧道传输会导致巨大的延迟和连接中止[8])。
  • 微软点对点加密(MPPE)与点对点隧道协议以及其他平台上的一些兼容实现一起工作。
  • 微软安全套接字隧道协议(SSTP)通过SSL/TLS通道对点对点协议(PPP)或第2层隧道协议的流量进行加密(SSTP在Windows Server 2008和Windows Vista Service Pack 1中引入)。
  • 多路径虚拟专用网络(MPVPN)。Ragula系统开发公司拥有注册商标 "MPVPN"[9]
  • Secure Shell(SSH)VPN - OpenSSH提供VPN隧道(有别于端口转发),以确保远程连接到网络或网络间链接。OpenSSH伺服器提供有限数量的并发隧道。VPN功能本身不支持个人认证。[10][11]
  • WireGuard是一种协议。2020年,Linux[12]和安卓[13]内核都增加了对WireGuard的支持,使其被VPN供应商采用。默认情况下,WireGuard利用Curve25519进行密钥交换,利用ChaCha20进行加密,但也包括在客户端和伺服器之间预先共享对称密钥的能力。

认证

在建立安全的VPN隧道之前,必须对隧道端点进行认证。用户创建的远程访问VPN可以使用密码、生物识别技术、双因素认证或其他加密方法。网络到网络的隧道通常使用密码或数码证书。它们永久地存储密钥,使隧道自动建立,不需要管理员的干预。

受信任的网络

可信的VPN不使用加密隧道,而是依靠单一供应商的网络安全来保护流量。[14]

  • 多协议标签交换(MPLS)经常覆盖VPN,通常在可信传输网络上进行服务质量控制。
  • L2TP[15]是一种基于标准的替代方案,也是对两种专有VPN协议的折衷方案,吸取了每种协议的优良特性。思科的第二层转发(L2F)[16](2009年已经过时)和微软的点对点隧道协议(PPTP)[17]

从安全角度看,VPN要么信任底层传输网络,要么必须用VPN本身的机制来执行安全。除非受信任的传输网络只在物理上安全的站点之间运行,否则受信任的和安全的模式都需要一个认证机制,以使用户获得对VPN的访问。

移动环境中的 VPN

移动虚拟专用网络用于VPN的端点不固定在一个IP地址上,而是在各种网络中漫游,如手机运营商的数据网络或在多个Wi-Fi接入点之间漫游,而不会中断安全的VPN会话或丢失应用会话。[18] 移动VPN广泛用于公共安全领域,使执法人员能够访问电脑辅助调度和犯罪数据库等应用,并用于有类似要求的其他组织,如现场服务管理和医疗保健[19]

网络限制

传统VPN的局限性在于它们是点对点的连接,往往不支持广播域;因此,基于第二层和广播包的通信、软件和网络,如Windows网络中使用的NetBIOS,可能无法像局域网那样得到完全支持。VPN的变种,如虚拟专用局域网服务(VPLS)和第二层隧道协议是为了克服这一限制。[20]

使用

许多公司企业的员工等使用虚拟专用网(VPN)来访问其内部的网络,以达到远程办公的作用。

也有部分用户使用商业VPN服务来解决互联网隐私安全、绕开内容提供网站的地区限制等问题。[21]

在中国大陆,由于防火长城导致中国大陆境内对海外网络的限制及屏蔽,中国大陆兴起以采用虚拟专用网连接外国网络的突破网络审查方法,俗称翻墙。许多外资公司、学术单位因欲连回海外网站,也多自行架设VPN或采用付费的VPN服务。

2020年5月,中华人民共和国十三届全国人大三次会议表决通过《全国人民代表大会关于建立健全香港特别行政区维护国家安全的法律制度和执行机制的决定》,当局虽暂未对香港互联网进行明显网络审查,但己有网站被香港政府以《国安法》名义下要求香港电信商作出屏蔽,引发香港民众对互联网隐私的关注,导致“VPN”相关的内容在香港的搜索量大升。[需要第三方来源]

常见误解

  • 虚拟私人网络不会让互联网变得“私有”。即使IP地址被隐藏,通过跟踪cookie和装置指纹仍然可以找到用户。[22]
  • 虚拟私人网络不会使用户免于骇客袭击。[22]
  • 虚拟私人网络本身并不是一种良好的互联网隐私保护手段——信任负担直接从ISP转移到VPN服务提供商。[23]

参见

参考文献

外部链接

Wikiwand in your browser!

Seamless Wikipedia browsing. On steroids.

Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.

Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.