了解不同類型的 VPN:哪一種適合您? - Techshielder

我們從所評論的品牌收取廣告費,這會影響這些品牌的排名和評分。

我們的評級是基於專家研究和用戶回饋。透過檢查功能、可靠性、性價比以及產品/服務質量,我們確保公平評估每種產品或服務。我們的目標是提供透明、準確、可靠的訊息,幫助您做出明智的購買決定。

TechShielder

了解不同類型的 VPN:哪一種適合您?

Cuong Do DaiUpdated: Apr. 14, 2025
Types of VPNs Compared

VPN 類型簡介

虛擬私人網路(VPN)有多種形式,可滿足不同的需求。有些 VPN 是根據您的使用方式(連接單一使用者或整個網路)來定義的,而有些 VPN 則根據其內部使用的技術或協定來定義。本文探討了主要的 VPN 類型,解釋了每種類型的含義、工作原理、優缺點、最佳用例和範例。最後,您將清楚地了解哪種 VPN 類型適合哪種場景。

在深入了解細節之前,讓我們先來快速概覽一下我們將介紹的主要 VPN 類型:

  • 遠端存取 VPN:將個人使用者(客戶端)安全地連接到專用網路(例如公司的內部網路)。
  • 站點到站點 VPN:透過網際網路連接整個網路(例如兩個辦公室 LAN),通常用於將多個位置合併為一個專用網路。
  • 個人 VPN:供個人使用的商業 VPN 服務,可加密您的網路流量並封鎖您的 IP 位址(不能用於存取私人公司網路)。
  • 行動 VPN:一種旨在當用戶設備在不同網路之間移動或改變連接類型(Wi-Fi、蜂窩網路等)時保持穩定和連接的 VPN。
  • 雲端 VPN:透過雲端基礎架構提供的 VPN,可安全存取雲端資源或使用雲端作為遠端和站點連接的 VPN 主幹。
  • 硬體 VPN:獨立處理 VPN 功能的專用 VPN 設備(設備),通常由企業用於效能和安全性。
  • SSL VPN:使用安全通訊端層/傳輸層安全性 (SSL/TLS) 協定(通常透過 Web 瀏覽器或輕量級用戶端)來保護連線的 VPN。
  • MPLS VPN:透過營運商的 MPLS 網路(多重協定標籤交換)提供的 VPN,通常適用於需要可靠、可管理且服務品質高的專用連線的企業。
  • L2TP VPN:使用第 2 層隧道協定的 VPN,通常與 IPsec 結合進行加密,以形成安全隧道(通常在許多裝置上支援)。

每種類型都有其獨特的特點。讓我們逐一詳細檢查一下。

遠端存取VPN

它是什麼:遠端存取 VPN(也稱為客戶端到網站 VPN)允許個人用戶從遠端位置連接到專用網路。它通常由辦公室外工作的員工使用,以安全地存取公司的內部網路和資源。本質上,使用者的裝置建立了到組織的 VPN 伺服器或網關的加密隧道。

如何運作:使用者在其裝置上執行 VPN 用戶端軟體(或作業系統內建 VPN),透過網際網路連接到組織網路上的 VPN 閘道伺服器。網關驗證使用者的憑證,如果獲得授權,則授予對內部網路資源的存取權限。一旦連接,VPN 用戶端會加密所有資料並透過安全隧道將其傳送到網關。在企業方面,VPN 閘道解密資料並將其轉送到內部網路,就像使用者在本地網路上一樣。遠端存取 VPN 的常用協定是 IPsec(運行在網路層)或 SSL/TLS(運行在應用程式層),用於保護連線安全。多因素身份驗證通常用於加強安全性(例如,除了密碼之外,還需要一次性代碼或證書)。

優點:

  • 安全的遠端辦公:強大的加密功能可確保即使您使用公共 Wi-Fi,您與辦公室的連線仍然是私密的。這可以防止竊聽敏感的公司資料。
  • 隨時隨地存取:用戶可以在家中、旅行中或在咖啡館中存取文件伺服器、資料庫或內部應用程序,就像在本地一樣。
  • 粒度控制:網路管理員可以強制執行存取控制-例如,僅允許特定使用者角色通過某些網路區段或應用程式。還可以記錄和監控 VPN 會話以進行安全審計。
  • 無需專用連結:使用公共互聯網,而不需要為每個用戶租用昂貴的線路。

缺點:

  • 效能取決於使用者的網路:如果本地網路品質較差,遠端使用者可能會遇到延遲或速度緩慢的情況,因為所有流量都會經過 VPN。還有額外的加密/解密開銷。
  • 設定和管理:每個設備都需要 VPN 用戶端設定。支援各種用戶設備(筆記型電腦、手機等)並排除連接故障可能需要大量精力。
  • 安全注意事項:如果使用者的裝置受到惡意軟體的攻擊,遠端存取 VPN 可能成為進入公司網路的感染途徑。強大的端點安全性和身份驗證至關重要。

最佳用例:遠端存取 VPN 非常適合擁有遠端辦公人員、旅行員工的組織,或任何個人需要從辦公室外登入安全網路的場景。例如,在家工作的軟體開發人員使用遠端存取 VPN 來存取公司的原始碼儲存庫和內部工具。對於需要臨時存取公司網路的第三方承包商來說,它也很有用。在非公司環境中,精通技術的家庭用戶可能會設定遠端存取 VPN 來存取他們的家庭網路(例如,在旅途中安全地存取家庭媒體伺服器)。

範例:許多企業使用 Cisco AnyConnect、Palo Alto GlobalProtect 或 OpenVPN Access Server 等解決方案進行遠端存取 VPN。例如,安裝在員工筆記型電腦上的思科 VPN 用戶端連接到辦公室的思科防火牆/VPN 閘道。 OpenVPN 或 WireGuard 等開源選項也經常部署在公司 VPN 伺服器上以進行遠端存取。一個範例場景是 IT 管理員使用 VPN 在家中安全地透過「RDP」(遠端桌面)連接到辦公室 PC。在所有情況下,遠端存取 VPN 都是使用者到網路的連線。 (值得注意的是,NordLayer(NordVPN 的業務分支)及其類似服務也為公司提供雲端管理遠端存取 VPN。)

站對站 VPN

它是什麼:站點到站點 VPN 將整個網路相互連接,而不是連接單一客戶端。它通常被描述為路由器到路由器的 VPN。擁有多個辦事處的公司使用站點到站點 VPN 透過公共互聯網連接其 LAN(區域網路),以便所有位置都作為統一的網路運作。站點到站點 VPN 通常有兩種類型:內部網路 VPN(連接同一家公司的辦公室)和外部網路 VPN(將公司網路與合作夥伴、客戶或供應商的網路連接起來,同時限制雙方的存取)。

如何運作:在站點到站點 VPN 中,每個站點的 VPN 閘道設備(例如防火牆或路由器)處理 VPN 連線。與遠端存取不同,這些辦公室的最終用戶設備通常不會運行單獨的 VPN 用戶端——每個辦公室的網關都會對整個本地網路的流量進行加密和解密。一個網關啟動到另一個網站的網關的加密隧道,並使用共用金鑰或數位憑證進行身份驗證。隧道建立後,站點 A 中的任何電腦都可以透過 VPN 與站點 B 中的任何電腦進行通信,路由器確保只有授權的流量通過。站對站 VPN 通常使用隧道模式的 IPsec 在網路層對封包進行驗證和加密。有些組織也會使用專門的連結或 MPLS 進行站對站的連線(稍後會詳細介紹 MPLS)。本質上,它就像是辦公室之間的虛擬“專線”,但透過網路運作。

對於內部網路 VPN,所有參與站點都在一個組織的控制之下,形成擴展的私有 WAN(廣域網路)。不同組織之間設立外部網路VPN,以允許有限的聯網(例如,一家公司和一家外部物流供應商連接網路以共享應用程式)。在外部網路情況下,存取控制更為嚴格——每一方僅向另一方公開必要的資訊。

優點:

  • 連接分散的網路:一種無需租用專線即可連接全球辦事處的經濟有效的方式。每個站點只需要網路存取和 VPN 設備。
  • 始終在線的連接:站點到站點隧道通常“始終在線”,從而實現無縫通信。用戶無需發起任何事情;對他們來說這是透明的——網路只是連接而已。
  • 每個裝置無需用戶端軟體:由於 VPN 採用網關到網關的方式運行,因此個人電腦、印表機等不需要特殊設定。當設備較多時這可以簡化管理。
  • 安全共享內部網路:站點之間的所有資料都透過隧道加密傳輸,保護辦公室間通訊免於攔截。它有效地創建了一個大型的私人網路。
  • 內部網路和外部網路彈性:可根據需要在內部使用(合併分支)或外部使用(可信任的 B2B 連線)。

缺點:

  • 複雜的初始設定:網路管理員必須在雙方配置相容的設定(加密協定、金鑰交換、路由規則)。如果使用不同的硬體品牌,則需要測試互通性。
  • 需要靜態或可靠的 IP:通常,網站 VPN 端點需要靜態 IP 位址(或動態 DNS)才能在 Internet 上找到彼此。如果辦公室的 IP 意外發生變化,則 VPN 可能會中斷,除非進行動態管理。
  • 效能取決於網路連結:VPN 的速度/可靠性僅與底層網路連線一樣快/可靠。任一端的高延遲或擁塞都會影響整個連結。與私有 MPLS 電路不同,公共網際網路無法保證持續的效能。
  • 僅限於網絡範圍:由於站點到站點 VPN 連接網絡,因此它不適合漫遊用戶。它缺乏安全連接隨機單一裝置的靈活性(這就是遠端存取 VPN 的用途)。事實上,許多擁有站點到站點 VPN 的公司也為遠端辦公人員部署了遠端存取解決方案。
  • 安全性和信任:如果一個網站受到攻擊(例如被駭客或惡意軟體攻擊),VPN 可能成為攻擊另一個網站的管道。由於網路是橋接的,雙方必須保持嚴格的安全衛生。

最佳用例:網站到網站 VPN 最適合具有兩個或更多固定位置且需要持續共享資料和資源的組織。例如,一家擁有總部和多個分支機構的公司使用站點到站點的 VPN,以便所有位置都可以安全地存取內部文件伺服器或 ERP 系統。另一個案例是大學透過 VPN 將各個校園連接在一起,或者政府辦公室也這樣做。內部網路 VPN 用例:零售連鎖店將每個商店的網路連接回中央資料中心。外部網路 VPN 用例:製造商與零件供應商建立 VPN,以便他們的庫存系統可以安全地連接,但限制供應商僅存取特定資料庫。

範例:許多企業網路設備支援站點到站點的 VPN。例如,思科和瞻博路由器可以在辦公室之間建立 IPsec 隧道。一個典型的例子是使用兩個 Cisco ASA 防火牆透過 IPsec VPN 將公司的紐約辦事處與倫敦辦事處連接起來。另一個例子是 AWS Site-to-Site VPN,它允許公司透過 IPsec 隧道將其內部部署網路與其 Amazon 雲端 VPC(虛擬私有雲)連接起來。這有效地將公司的內部網路擴展到其AWS雲端資源。同樣,Azure 和 Google Cloud 為混合雲端連線提供類似的 VPN 閘道服務。在設定方面,站點到站點 VPN 可能使用預共用金鑰或憑證進行身份驗證,並且可以設定為在斷開連線時自動重新建立。

站點到站點的 VPN 也可以變得更加先進:例如,思科的 DMVPN(動態多點 VPN)允許多個站點之間建立網狀連接,而無需所有流量都經過中央集線器,而站點到站點模式下的 OpenVPN 可以使用 SSL/TLS 而不是 IPsec 連接辦公室。但從本質上講,所有站點到站點的 VPN 都服務於同一個目的 – 透過互聯網安全地連接兩個網路。

個人 VPN(消費者 VPN)

它是什麼:個人 VPN(也稱為消費者 VPN 或商業 VPN 服務)是您經常看到的針對個人用戶宣傳的 VPN 類型。 ExpressVPN、NordVPN 或 ProtonVPN 等服務屬於此類別。與企業 VPN 不同,個人 VPN 不會將您連接到私人內部網路;相反,它將您的裝置連接到 VPN 提供者的伺服器,然後從那裡連接到公共互聯網。其目的通常是加密您的個人網路流量,並使用 VPN 伺服器作為中間人來掩蓋您的 IP 位址/位置。個人 VPN 的全部目的都是為最終用戶提供隱私、安全和線上自由。

如何運作:您訂閱 VPN 服務並安裝其 VPN 用戶端應用程式(在您的電腦、手機等)。當您連接時,該應用程式會從您的裝置到提供者的 VPN 伺服器之一建立加密隧道(您通常可以選擇您喜歡的國家/地區的伺服器)。然後,您的所有網路流量將首先透過此隧道路由到 VPN 伺服器。反過來,VPN 伺服器會解密您的流量並將其轉送到網際網路上的目標網站或服務。對於外界來說,流量似乎來自 VPN 伺服器,而不是來自您的真實設備/IP。例如,如果您連接到加拿大的 VPN 伺服器,即使您身在西班牙,網站也會認為您是從加拿大造訪的。個人 VPN 通常使用 OpenVPN、IKEv2 或 WireGuard 等協議,這些協議非常適合快速連接和強加密。 VPN 提供者通常在不同地區營運多台伺服器,您的用戶端應用程式可讓您根據速度選擇或自動選擇。

優點:

  • 隱私和匿名性:個人 VPN 可以向您造訪的網站甚至您的網路服務供應商 (ISP) 隱藏您的真實 IP 位址。您的所有資料在傳輸過程中都經過加密,因此網路上的窺探者(例如透過公共 Wi-Fi 或您的 ISP)無法看到您在線上的活動。對於注重隱私的用戶來說,這非常好。
  • 繞過地理限制和審查:由於您可能看起來身處其他國家/地區,因此個人 VPN 被廣泛用於存取受區域鎖定的內容。例如,您可以使用 VPN 觀看您所在國家/地區無法觀看的串流內容或使用當地受到審查的服務。這也是受限制政權統治的人們接觸開放網路的工具。
  • 不受信任網路上的安全性:在旅行時或使用咖啡店 Wi-Fi 時,您的個人 VPN 會加密您的網路流量(網站、電子郵件、聊天),這樣即使 Wi-Fi 受到威脅,攻擊者也只能看到加密資料。它為日常瀏覽增加了一層保護(但請注意,它不能保護您免受設備上的惡意軟體的侵害)。
  • 使用者友善:商業 VPN 應用程式往往是一鍵式解決方案——它們自動管理金鑰、協定和伺服器。不需要深厚的技術知識。它們通常具有額外的功能,例如終止開關(如果 VPN 斷開,則會切斷您的互聯網,以避免洩漏)和廣告攔截器。
  • 無需公司設定:任何人都可以註冊並使用個人 VPN;您不需要成為某個組織的一部分或擁有特殊的網路配置。

缺點:

  • 信任提供者:使用個人 VPN 時,您實際上是將所有流量都路由到 VPN 公司的伺服器。您需要相信提供者不會記錄或濫用您的資料。信譽不佳的 VPN 可能會在您離開其伺服器時看到您未加密的流量,或保留您的線上活動記錄。信譽良好的提供者均有無日誌政策並接受審計,但這種信任權衡是值得注意的。
  • 成本:雖然有免費的 VPN,但它們通常帶有很大的限製或隱私問題(有些據稱會出售用戶資料或註入廣告)。優質的個人 VPN 服務會收取訂閱費用(按月或按年)。這是用戶需要承擔的成本,不過通常約為每月幾美元。
  • 效能影響:使用 VPN 通常會導致您的連線速度降低。您的資料正在繞行(至 VPN 伺服器)並進行加密/解密。最好的 VPN 擁有快速的網絡,用戶只會看到速度輕微下降(可能 10-20%),但在較慢的服務上,速度下降可能會非常明顯。高延遲也會影響線上遊戲等活動。
  • 非內部網路存取:與遠端存取 VPN 不同,個人 VPN 不會允許您存取辦公室內部網路或家庭 NAS(除非您在家中設定自己的 VPN 伺服器)。它純粹是為了保護您的網路流量並改變您的明顯位置。換句話說,個人 VPN 將您連接到 VPN 提供者的網絡,而不是您自己的私人網路。
  • 潛在的服務封鎖:一些串流媒體服務或網站主動嘗試封鎖 VPN IP 位址。用戶可能會發現某些網站只有在斷開 VPN 連線後才能運作。這種貓捉老鼠的遊戲意味著有時必須切換伺服器或供應商才能繞過封鎖。

最佳用例:個人 VPN 最適合想要在線上隱私或需要繞過內容限制的個人。主要例子:

  • 在網路監控嚴密的國家,記者或活動家使用 VPN 進行安全的通訊和瀏覽。
  • 一位旅客在國外使用 VPN 觀看自己喜愛的本國 Netflix 節目。
  • 在咖啡館工作的人使用 VPN 加密他們的流量,以便使用公共 Wi-Fi 的其他人無法窺探他們的資料。
  • 任何不想讓 ISP 或政府輕易追蹤其網頁瀏覽情況的人都可以使用 VPN 作為基本的保護層。透過隱藏 IP,遊戲玩家還可以避免 DDoS 攻擊,並在瀏覽時感到安心。

例如:市場上充斥著個人 VPN 提供者。常見的例子包括 ExpressVPN、NordVPN、Surfshark、Cyber​​Ghost、Proton VPN 和 PIA(私人網路存取)等等。每家公司都為各種設備(Windows、Mac、iOS、Android 等)提供應用程序,並且通常在全球範圍內提供一系列伺服器位置。例如,NordVPN 在 50 多個國家/地區運營數千台伺服器,用戶可以在它們之間切換以找到最佳速度或所需的位置。另一個例子是 Proton VPN,它甚至提供了一個免費計劃,雖然速度有限,但隱私性很強(對於那些無法付費的人很有用)——它因不需要電子郵件即可使用免費套餐而獲得讚譽。個人 VPN 服務也經常討論其協定 – 例如支援最新的WireGuard協定以獲得更好的效能。

總而言之,個人 VPN 優先考慮個人的易用性和廣泛的網路安全。 VPN 已經成為主流,據估計,目前全球有數億人出於個人原因使用 VPN(尤其是在備受矚目的事件增強了人們的隱私意識之後)。它們與商業 VPN 不同:將它們視為隱私工具,而不是連接特定專用網路的工具。

行動 VPN

它是什麼:行動 VPN 是一種特殊類型的 VPN,面向可能在不同網路之間移動或間歇性失去連線的行動裝置使用者。行動 VPN 與傳統遠端存取 VPN 之間的主要區別在於,即使底層網路連線發生變更或暫時中斷,行動 VPN 會話仍能持續存在。這些對於現場工作人員、急救人員或任何在移動中需要「始終在線」連接的人來說都很重要。例如,假設一名警察在巡邏車中使用筆記型電腦:當他們開車時,他們的設備可能會從蜂窩網路切換到 Wi-Fi 熱點並轉回——移動 VPN 可在這些轉換過程中無縫保持安全會話。

如何運作:在行動 VPN 中,VPN 伺服器位於組織網路的邊緣,就像正常的遠端存取一樣,但用戶端是為處理漫遊而建置的。當您連接行動 VPN 用戶端時,VPN 伺服器會為其指派一個邏輯 IP 位址(有時稱為虛擬 IP)。無論如何連接,此 IP 都會保留在裝置上。行動 VPN 軟體會在網路變更時維護到伺服器的隧道:如果您從蜂窩網路切換到 Wi-Fi,隧道會透過新網路重新建立,但您在 VPN 伺服器上的會話(由邏輯 IP 或令牌標識)仍會繼續。伺服器不會將其視為新連接,因此會話(以及其中的任何應用程式會話)不必重新啟動。行動 VPN 通常依賴支援移動性的協定或擴展,例如具有 MOBIKE(移動和多宿主)的 IKEv2 或專有解決方案。他們還可以使用保持活動訊息來快速檢測網路變化並重新建立隧道。重要的是,當您的 IP 發生變化或您暫時丟失訊號時,行動 VPN 不會中斷您的會話——它就是為容忍這種情況而構建的。

優點:

  • 無縫連接:如上所述,最大的優點是保持持續的連接。真正的行動 VPN 會在您漫遊時「跟隨」您。即使您搭乘電梯(短暫遺失訊號)或從家庭 Wi-Fi 切換到行動數據,您也不必再次登入或遺失您的工作。 VPN 隧道自動重新連線並繼續。
  • 提高行動工作人員的可靠性:對於 EMS 工作人員、維修技術人員或車輛中的任何人員等工作,這意味著他們的應用程式(調度軟體、遠端資料庫等)保持連接。它減少了使用普通 VPN 時在移動中遇到的 VPN 不斷斷開/重新連接循環而帶來的煩惱。
  • 與裝置無關的行動性:行動 VPN 不僅適用於「手機」。這與使用者的移動性有關。您可以在筆記型電腦、平板電腦或手機上安裝行動 VPN 用戶端,任何可能經常更換網路的裝置都可以。好處是一樣的:會話持久。
  • 行動資料的安全性:與任何 VPN 一樣,它會對流量進行加密。特別是對於行動工作人員來說,這可以確保無論他們使用的是 4G、飯店 Wi-Fi 還是公共熱點,他們與總部的連線都是安全的。
  • 身份驗證的靈活性:行動 VPN 用戶端通常支援適合現場部署的各種身份驗證方法 – 例如證書、令牌、生物識別技術——使從任何地方輕鬆且安全地連接變得容易。

缺點:

  • 複雜的客戶端和伺服器設定:行動 VPN 解決方案的實施可能更加複雜。並非所有標準 VPN 伺服器都支援開箱即用的真正無縫漫遊。可能需要專門的軟體(或像用於 IPsec 的 MOBIKE 這樣的附加模組)。同樣,客戶端軟體也必須支援它——如果網路發生變化,手機上並不是每個 VPN 應用程式都會保留隧道。
  • 效能開銷:保持會話活動需要客戶端在背景處理重新連線。切換網路時,流量可能會短暫暫停,如果切換頻繁,這可能會對即時應用程式產生輕微影響。此外,即使在「良好」網路上,透過 VPN 伺服器維護邏輯 IP 的需求也可能會引入額外的路由跳數,與固定連線相比,這可能會略微降低吞吐量。
  • 電池和資料使用:在行動裝置上,持續開啟 VPN 並協商連線會消耗額外的電池。此外,行動 VPN 通常會發送保持活動 ping 來監視連線狀態,隨著時間的推移會消耗一些資料(儘管與正常使用相比通常可以忽略不計)。
  • 可用性:提供「行動 VPN」功能的提供者較少。例如,許多個人 VPN 服務並不真正透過網路跳躍維持會話 – 它們只是在新的網路上重新連接,這對大多數用戶來說沒問題。真正的行動VPN往往存在於企業解決方案中(NetMotion、某些模式下的Cisco AnyConnect 等)。這可能會限制選擇或增加成本。
  • 過渡處理限制:在連線頻繁故障的情況下,即使是行動 VPN 也可能會遇到困難。此外,如果 IP 位址發生劇烈變化(例如移動到封鎖 VPN 連接埠的網路),則可能無法維持相同的會話。

最佳用例:在用戶的網路連線預計會變更或出現間歇性中斷但又需要持續安全連線的任何情況下,行動 VPN 都大有用武之地。一些例子:

  • 公共安全和急救人員:警察、消防、救護車輛在移動時需要存取犯罪資料庫或病人記錄,這些車輛都配備了筆記型電腦。
  • 公共交通工作人員或送貨司機:任何使用平板電腦透過蜂窩數據記錄資訊的人,這些資訊可能會在隧道等處遺失。
  • 現場服務工程師:例如技術人員進出建築物,在辦公室 Wi-Fi 和行動數據之間切換,同時保持與系統的安全連接。
  • 軍事或戶外研究單位:在網路鏈路切換(衛星、蜂窩等)但操作不能因重新連接而停止的環境中。即使是每天出差的商務旅客也可以受益:想像一下,離開家裡的 Wi-Fi,坐上 4G 出租車,然後連接到機場 Wi-Fi——移動 VPN 可以讓您的企業 VPN 在整個過程中不間斷。

範例:行動 VPN 解決方案的一個著名範例是 NetMotion Mobility(現為 Absolute Software 的一部分),它明確專注於行動勞動力連線。它為設備分配一個虛擬 IP,並在設備在網路之間移動時保持會話處於活動狀態。另一個範例是使用啟用了 MOBIKE 的 IKEv2/IPsec 協定 – 許多現代 VPN 伺服器(Microsoft RRAS、strongSwan 等)和用戶端都支援此功能。在 Windows 上,如果網路發生變化,使用 IKEv2 的內建 VPN 用戶端實際上會嘗試重新建立隧道(感謝 MOBIKE,使用相同的 IKEv2 會話參數)。從消費者角度來看,Android 或 iOS 上的「始終在線 VPN」概念與之略有相關——它可確保您的 VPN 自動重新連接,但不一定像真正的行動 VPN 那樣保持會話持久。 OpenVPN 有一個「persist-tun」選項,可以在連線恢復時提供協助。 Speedify 等一些較新的解決方案將自己定位為結合多種連接(Wi-Fi + 蜂窩網路)以提高速度並實現無縫切換 – 實際上是一種針對綁定連接進行優化的行動 VPN。

值得注意的是,普通人在手機上使用 VPN(例如個人 VPN 應用程式)可能並不是嚴格意義上的行動 VPN——如果他們跳轉網絡,他們可能必須重新連接。但某些應用程式在無縫重新連接方面已經做得更好了。然而,在關鍵情況下,會採用專用的行動 VPN 技術來保證不會遺失會話。

雲端 VPN

它是什麼:雲端 VPN 是指透過雲端平台提供的 VPN 服務或基礎架構。雲端 VPN 不是傳統的 VPN 硬體或位於本地的伺服器,而是託管在雲端中,通常由供應商管理。它可以將用戶連接到基於雲端的資源,甚至透過雲端作為中介連接整個網路。隨著越來越多的公司在公有雲或混合雲中託管資料和服務,雲端 VPN 應運而生,可以安全地將這些雲端環境與使用者或其他網路連接起來。簡單來說,它是一種使用基於雲端的網路基礎設施提供安全連接的VPN。

工作原理:有以下幾種情況:

  • 站點到雲端:類似於站點到站點,但一個「站點」是一個雲端網路。例如,您從辦公室閘道到 AWS 或 Azure 中的 VPN 閘道建立 VPN。此安全隧道(通常是 IPsec)可讓您的本地網路與您的雲端 VPC 進行通信,就像它是另一個分支機構一樣。雲端供應商提供 VPN 端點(如 AWS VPN 閘道或 Google Cloud VPN)來終止其雲端中的 VPN。
  • 透過雲端進行遠端存取:您無需在辦公室資料中心設定 VPN 伺服器,而是使用雲端託管的 VPN 服務。遠端使用者連接到雲端中運行的 VPN 網關,然後可以存取您的公司網路或雲端資源。本質上,VPN 集中器外包給了雲端。這可以減輕內部硬體的負擔,並利用雲端的全球影響力來獲得更好的效能。
  • VPN 即服務:某些供應商(例如 Perimeter 81、Zscaler、Cisco Meraki)提供整個雲端管理 VPN 服務。使用者連接到供應商最近的雲端存取點;從那裡,它們要么被路由到互聯網(就像個人 VPN,但以業務為中心並由中央控制),要么被路由回到公司的環境。雲端處理擴充、使用者管理,甚至透過供應商的網路互連多個網站。

在所有情況下,其特點是加密和流量路由的繁重工作都是在雲端基礎設施中完成的。例如,Google Cloud VPN 可讓您在 GCP 專案中在本機路由器和 Google 的 VPN 閘道之間設定 VPN 隧道。它們之間的資料透過網路加密, Google 管理高可用性。雲端 VPN 通常仍使用標準協定(IPsec、SSL/TLS),但差異在於伺服器所在的位置以及管理方式。

優點:

  • 全球可訪問性和可擴展性:由於它位於雲端,因此用戶通常可以從任何地方透過優化的路由進行連接。許多雲端 VPN 服務在世界各地擁有多個網關,因此遠端使用者可以連接到附近的區域,然後透過雲端的主幹網路路由到資源。與每個人都存取單一內部 VPN 伺服器相比,這可以改善延遲。此外,增加容量(更多頻寬、更多用戶)更容易——您通常可以擴展雲端執行個體或根據需要添加網關。
  • 減少現場維護:無需安裝或維護實體設備。對於已經大量使用雲端的組織來說,部署雲端 VPN 適合其基礎架構即程式碼和外包模式。更新、補丁和正常運行時間可能由提供者處理。
  • 直接安全地存取雲端資源:如果您的資料庫或應用程式位於雲端中,則雲端 VPN 是一種無需透過中央辦公室回程即可實現安全存取的自然方式。使用者可以直接連接到雲端環境的 VPN 並存取該雲端中的資源。這對於存取 AWS 託管應用程式的分散式團隊來說非常有用。
  • 對分散式勞動力的支援:雲端 VPN 非常適合沒有固定「辦公室」的公司。例如,一家完全遠端的公司可以在雲端擁有一個虛擬網絡,所有員工都連接到該網絡,而不是擁有一個資料中心。只要有互聯網,他們就可以從任何位置安全地連接。
  • 高可用性和可靠性:大型雲端供應商提供強大的基礎設施。雲端 VPN 閘道可能具有跨資料中心的內建冗餘。與單一內部伺服器相比,這意味著更少的停機時間。此外,在雲端供應商網路內傳輸的流量(進入 VPN 後)可能會受益於其主幹網路的 QoS 和可靠性。
  • OPEX 定價:雲端 VPN 可能按月計費(固定服務費或按使用量計費),而不是前期硬體成本。這在經濟上是有利的,或至少可以將成本轉移到營運費用。

缺點:

  • 對第三方的依賴:您依賴雲端提供者或服務來提供關鍵的安全基礎架構。他們那邊的中斷或問題可能會影響您的 VPN。此外,信任第三方雲端的安全存取意味著您需要確保他們的安全實踐是一流的。
  • 需要網路存取:顯然,雲端 VPN 需要所有網站/使用者都具備網路連線。如果您的網路發生故障,您將無法依賴任何直接的點對點連結。對於完全雲端設定來說,這是可以的,但對於某些場景(例如同一城市的兩個辦公室),直接連結可能比往返雲端提供更低的延遲。
  • 整合的複雜性:設定站點到雲端的 VPN 可能涉及使用雲端提供者配置,這對於傳統網路工程師來說可能是新鮮事。每朵雲都有自己的工具和特點。此外,如果使用像 Perimeter 81 這樣的雲端管理服務,您必須將其與您的身分管理結合,定義到內部網路的路由規則等。這並不難,但它是一個不同的範例。
  • 資料傳輸成本:雲端供應商通常會對資料流出收費。如果您透過雲端 VPN 傳輸大量流量(尤其是從雲端傳輸到使用者的流量),則可能會產生頻寬費用。它可能仍然比 MPLS 線路便宜,但值得關注。
  • 潛在的效能瓶頸:雖然雲端可以擴展,但配置錯誤或大小過小的雲端 VPN 實例可能會成為瓶頸。此外,交通可能會採取更長的路徑:例如如果與公司辦公室位於同一城市的用戶被迫通過另一個地區的雲端 VPN 網關進行連接,然後返回辦公室,那麼這就是間接的(儘管通常你會設計它來避免這種髮夾彎)。

最佳用例:雲端 VPN 是現代雲端優先組織的理想選擇。主要例子:

  • 大部分基礎架構在 AWS 上且員工人數較少的公司可能不想在本地託管任何 VPN 伺服器。相反,他們使用 AWS Client VPN(AWS 管理的 OpenVPN 服務)讓員工安全地存取 AWS 資源甚至跨區域的 VPC。
  • 遷移到雲端的多站點企業可以在過渡期間使用站點到雲端 VPN – 透過網路安全地將內部部署資料中心與新的雲端環境連接起來。這會創建混合雲連接。
  • 根本沒有辦公室的新創公司或遠端優先公司:使用 Perimeter 81 的雲端 VPN 等服務,所有員工都可以連接到 Perimeter81 的網絡,並從那裡安全地訪問共享雲端服務和互聯網。這提供了集中的安全性(就像雲端中的虛擬辦公室)。
  • 尋求快速實現全球 VPN 存在的組織:例如在亞洲、歐洲和美洲都有用戶的企業可能會在每個地區部署雲端 VPN 網關,以便員工可以連接到最近的網關,與所有員工連接到單一位於美國的 VPN 伺服器相比,速度更快。然後,雲端提供者的主幹網路連結這些 VPN 中心。
  • 臨時或可擴展的需求:如果您需要 VPN 用於短期專案或季節性更高負載,那麼啟動雲端 VPN 裝置幾個月比採購硬體更容易。

範例:各大雲平台均提供 VPN 產品。 Google Cloud VPN 和 AWS Site-to-Site VPN 讓您可以在本機路由器和雲端之間建立 IPsec 隧道。 AWS 還提供用戶端 VPN,這是一種用於使用者遠端存取的完全託管的 OpenVPN 服務。 Azure VPN 閘道同樣提供點到站台(使用者到 Azure)和站台對站台功能。在 SaaS 方面,Perimeter 81(由 Check Point 提供支援)提供雲端管理 VPN 服務,您可以在其中在全球各個位置設定「虛擬網關」並集中管理使用者存取。 OpenVPN Cloud 是 OpenVPN Inc. 的另一項服務,它提供雲端託管 VPN,您無需親自執行伺服器。

反映雲端 VPN 興起的真實統計數據:截至 2022 年,「雲端 VPN」部分約佔 VPN 市場收入的 73%,這表明組織正在迅速採用基於雲端的 VPN 部署,而非傳統設定。這包括在 VPN 基礎設施中使用雲端以及採用 VPN 即服務以方便存取。

總之,雲端 VPN 將 VPN 帶入了雲端運算時代——提供靈活性、全球覆蓋範圍和潛在的更簡單的操作,特別是對於已經信任雲端提供其他服務的公司而言。

硬體VPN

它是什麼:硬體 VPN 是指處理 VPN 功能的專用實體設備。與在通用伺服器或 PC 上執行的 VPN 軟體不同,硬體 VPN 裝置是插入網路的專用盒子(通常是具有 VPN 功能的路由器或防火牆設備)。這些設備通常配有自己的處理器來執行加密任務、強化的作業系統和基於 Web 的管理介面。較大的組織通常將它們用於網站到網站的 VPN 或作為許多遠端存取用戶端的中央 VPN 集中器。

如何運作:硬體 VPN 設備通常位於網路邊緣(如網關)。例如,您可能有一個連接到 Internet 數據機的硬體 VPN 裝置;它將加密/解密流量,並且通常還充當防火牆/路由器。當遠端用戶連接時,他們實際上是終止於此設備,該設備對他們進行身份驗證並將他們加入網路。對於站點到站點,兩個這樣的設備在它們之間建立一個隧道。由於它是專用硬件,因此它通常可以比普通伺服器 CPU(有些具有用於 VPN 的內建 ASIC)更快地處理加密操作。許多硬體 VPN 還支援開箱即用的負載平衡和並發連接,這意味著它們可以同時處理大量 VPN 用戶端或多個隧道並具有穩定的效能。管理通常透過設備本身的網路介面或控制台進行。

優點:

  • 增強的安全性和隔離性:硬體 VPN 在自己的裝置上運行,獨立於一般伺服器。這種隔離可以減少攻擊面(裝置的作業系統通常很小型且專用於 VPN 任務)。它不像 Windows 伺服器那樣容易受到典型病毒或作業系統的攻擊。它還具有內建的防篡改功能。總的來說,它是一個專用的安全網關。
  • 高效能和可靠性:由於該設備的唯一任務是執行 VPN(通常與防火牆功能一起),因此它非常有效率。許多硬體 VPN 都包含用於加密的硬體加速,這意味著它們可以以更少的延遲實現更高的吞吐量。它們通常也針對穩定性進行了最佳化,可以長時間運行而不會出現問題。如果您有數百名 VPN 用戶或非常高頻寬的站點鏈接,硬體 VPN 通常可以比入門級軟體解決方案更好地處理負載。
  • 負載平衡和可擴充性:中高階設備可以將 VPN 連線分佈在多台機器或 CPU 核心上。一些設備以叢集形式出現以實現冗餘—如果一個設備發生故障,另一個設備將接管(高可用性)。它們還可能允許在多個設備之間平衡用戶。這對於大型企業來說非常好。
  • 基於 Web 的管理:幾乎所有硬體 VPN 都提供 Web 介面或雲端管理入口網站來設定 VPN 設定、使用者和監控連線。與管理 Linux 伺服器上的設定檔相比,這可以簡化管理。
  • 一體化網路功能:通常,硬體 VPN 設備兼作防火牆、路由器和入侵防禦系統。例如,許多 UTM(統一威脅管理)或新世代防火牆(來自 Fortinet、Palo Alto、SonicWall 等)都內建了 VPN 功能。因此,您將獲得一個整合的網路安全解決方案。

缺點:

  • 成本:硬體 VPN 設備可能很昂貴。您支付的是專業設備費用,而且通常會支付品牌溢價。其價格範圍從小型企業設備的幾百美元到企業級機箱的數萬美元不等。此外,供應商可能會收取每個使用者或支援合約的授權費用。由於成本原因,硬體 VPN 通常只適用於投資合理的大型企業或分公司。
  • 靈活性較差:如果您想要更改或升級,您將受到設備功能的限制。增加容量可能意味著購買新設備。與可以在任何伺服器上運行(例如在雲端上快速擴展)的軟體不同,硬體是固定的。此外,使用硬體設備會在某種程度上將你與該供應商的生態系統和更新計畫連結起來。
  • 部署工作:安裝實體設備意味著處理電源、機架空間和實體維護。如果您有多個站點,則每個站點(或一個叢集)需要一台設備。運送設備並將其安裝在不同地點可能是後勤挑戰,而軟體 VPN 伺服器可以遠端設定。
  • 單點故障:除非您部署冗餘單元,否則單一硬體 VPN 就是關鍵點 – 如果它崩潰,VPN 存取就會中斷(儘管許多人使用 HA 對來緩解這種情況)。
  • 功能差異:有時硬體設備在實施「最新和最好的」協定時會落後。例如,某個設備可能支援 IPsec 甚至 OpenVPN,但如果出現了像 WireGuard 這樣的新協議,您可能無法獲得它,直到供應商決定在韌體中提供它(如果有的話)。軟體解決方案可能會更快地採用新協定。

最佳用例:硬體 VPN 非常適合需要強大、始終在線的 VPN 服務且能負擔得起專用設備的成熟組織。典型用例:

  • 企業網關:公司總部可能有一個 VPN 設備來處理員工的所有遠端存取。例如,一家銀行可能會使用高階 Juniper 或 Palo Alto VPN 集中器來終止數千個員工 VPN 會話,並提供強加密和全天候可靠性。
  • 分公司連線:每個分公司都有一個較小的硬體 VPN 路由器,可透過站點到站點 VPN 自動連接回總部。思科 ISR 路由器或 Meraki MX 設備等設備通常用於此角色。它簡化了部署 – 插入盒子然後它透過 VPN 打電話回家。
  • 安全的合作夥伴存取:如果您授予業務合作夥伴存取您部分網路的權限,您可以讓他們安裝連接到您的網路的硬體 VPN 設備,而不是設定許多單獨的帳戶。這樣,連線就處於網路級別,更容易監控。
  • 資料中心到資料中心的連結:傳輸大量資料的兩個資料中心可能會使用一對硬體 VPN 閘道(具有高吞吐量)來加密網站之間的流量,尤其是在使用公共網際網路作為備份傳輸的情況下。硬體設備配合專門的晶片可以更好地實現多千兆加密鏈路。
  • 具有合規性需求的組織:有些產業偏好符合 FIPS 140-2 的加密模組等硬體解決方案。許多硬體 VPN 都經過認證,可供政府或醫療保健部門放心使用。它們還可以更直接地與實體安全模組(如智慧卡或硬體令牌)整合。

範例:硬體 VPN 產品比比皆是:

  • 思科 – 思科 ASA(自適應安全設備)和其後繼思科 Firepower 設備等設備是廣泛使用的 VPN/防火牆設備。 ASA 可能同時支援 IPsec 網站到網站隧道和透過 Cisco AnyConnect(SSL/IPsec)進行遠端存取。
  • Juniper – Juniper 的 SRX 系列以及舊款 Juniper Netscreen 設備具有類似的用途。
  • Fortinet FortiGate-一款受歡迎的防火牆,具有 IPsec 和 SSL VPN 功能;常用於分散式企業。
  • SonicWall——以提供易於管理的 VPN 和安全性的 SMB 設備而聞名。
  • WatchGuard、Palo Alto Networks、Check Point 皆具有可用作 VPN 集線器的裝置。
  • 即使是小型企業路由器(如某些華碩、Linksys 型號)也支援充當少數用戶的硬體 VPN 伺服器 – 雖然這些伺服器功能不那麼強大,但它們也算作硬體 VPN 實現(路由器而不是您的 PC 在工作)。

例如,分公司可能有一台 Meraki MX64 設備;中央儀表板配置為自動建立到 HQ 的 Meraki 設備的 VPN 隧道。管理員可以透過 Meraki 雲端監控這一點。另一個例子:一所大學可以部署 Pulse Secure 或 F5 VPN 設備,供學生和教職員工用於遠端登入 – 這些通常是帶有 Web 入口網站的專用 SSL VPN 網關(在通用軟體用戶端普及之前大量使用)。

總之,硬體 VPN 就是擁有專用的「VPN 盒」——這可以帶來出色的效能和整合的安全性,但代價是更高的價格和更低的靈活性。它們在傳統網路架構中仍然非常常見。

SSL VPN

它是什麼:SSL VPN 是一種使用 SSL/TLS 加密(與保護 HTTPS 網路瀏覽安全的技術相同)來建立安全隧道的 VPN。與在網路層運行的 IPsec VPN 不同,SSL VPN 通常使用 TLS(SSL 的現代版本)在傳輸層或應用程式層運行。 「SSL VPN」一詞通常專門指可透過標準網頁瀏覽器存取的VPN,利用瀏覽器的內建SSL / TLS功能。許多組織部署 SSL VPN 來允許無客戶端遠端存取:使用者只需轉到瀏覽器上的登入頁面,進行身份驗證,然後即可存取某些內部 Web 應用程式或透過該入口網站使用瘦客戶端。 SSL VPN 也可以指使用 TLS 的全隧道 VPN(如 OpenVPN)—這些 VPN 需要客戶端軟體,但仍在連接埠 443 上使用 TLS 協議,以便於穿過防火牆。

如何運作:SSL VPN 主要有兩種形式:

  • SSL 入口網站 VPN:使用者使用 Web 瀏覽器連線到 HTTPS 安全的網頁(VPN 入口網站)並登入。從此入口網頁,他們可以點擊透過入口網站代理程式的內部資源(Web 伺服器、透過 Web 介面進行的檔案共用等)的連結。本質上,VPN 是「基於瀏覽器的」。使用者到該入口網站的瀏覽器流量透過 SSL/TLS 加密,且 VPN 裝置代表使用者與內部服務進行通訊。它是一個與網站的連接,然後允許透過該頁面存取多項服務。
  • SSL 隧道 VPN:在這種模式下,VPN 可以透過瀏覽器啟動,但隨後載入某種活動元件(如 Java、ActiveX 或 HTML5 用戶端)或使用本機用戶端程式來建立更通用的隧道。此隧道透過 SSL/TLS(連接埠 443)運行,但可以承載多種協議,而不僅僅是 Web。例如,它允許用戶透過瀏覽器無法傳輸的加密隧道運行遠端桌面或其他應用程式。這通常需要在瀏覽器中安裝或執行一個小代理程式。一旦運行,它就像一個典型的 VPN,但使用 TLS 作為傳輸。
  • 在這兩種情況下,它被稱為 SSL VPN 的原因是它利用了每個 Web 瀏覽器都支援的廣泛 SSL/TLS 加密標準。這意味著使用者不一定需要特殊的 VPN 用戶端;網頁瀏覽器足以進行基本存取。通訊透過 TCP 連接埠 443(HTTPS)進行,該連接埠通常在防火牆上開啟(與某些可能被封鎖或需要複雜配置的 IPsec 連接埠不同)。

現代 SSL VPN 實際上使用 TLS(因為 SSL 3.0 已經過時),但這個術語仍然存在。它們依賴伺服器提供 SSL 憑證(通常來自受信任的 CA)並與客戶端建立安全性會話。使用者身份驗證可以透過 Web 介面使用密碼、雙重令牌等進行。

優點:

  • 無需特殊用戶端(對於入口網站模式):使用者可以使用標準 Web 瀏覽器從任何裝置存取。這對於第三方承包商或使用公共電腦時非常有用 – 無需安裝軟體。它降低了可訪問性的標準。
  • 輕鬆穿越防火牆和 NAT:由於使用 HTTPS,SSL VPN 通常可以毫無問題地穿越大多數代理伺服器、NAT 設備和防火牆。它看起來像常規的網路流量。許多封鎖不熟悉連接埠的企業網路仍然會允許 443,因此 SSL VPN 被阻止的可能性較小。這對於受限網路中的使用者來說非常方便。
  • 細粒度的存取控制:特別是在入口網站模式下,管理員可以透過 VPN 僅公開某些應用程式。例如,您可能允許透過 SSL VPN 傳輸電子郵件和內部 wiki,但不允許其他任何內容。這種應用層方法可以降低風險,因為使用者無法獲得完全的網路存取權限,而只能獲得特定的服務。
  • BYOD 友善性:如果員工使用個人裝置或電話,他們可能不想(或不被允許)安裝完整的 VPN 用戶端。透過 SSL VPN,他們可以透過瀏覽器登入並安全地使用內部 Web 應用程式。這種靈活性在不同的設備環境中非常有用。
  • 易於部署:從管理角度來看,設定 SSL VPN 設備通常意味著僅配置使用者和權限。沒有客戶端軟體分發(除非使用隧道模式,這可能需要一次性安裝助手)。它可以簡化面向大量受眾(如學生群體或客戶)的 VPN 部署。
  • 應用層加密:TLS 提供可靠、經過驗證的加密通道。它是一項經過驗證的技術,具有成熟的程式庫和支援。

缺點:

  • 在入口網站模式下的存取受限:如果使用無客戶端的 Web 入口網站方法,使用者通常只能存取基於 Web 的應用程式或某些可代理的服務。它可能不支援複雜的客戶端/伺服器應用程式或 LAN 協定。例如,透過純門戶 VPN 使用 SSH 用戶端或資料庫用戶端並不簡單,除非設備具有特定的代理。
  • 效能開銷:與可以使用 UDP 的 IPsec 相比,TCP 上的 TLS 對於某些類型的流量可能效率較低。此外,如果許多使用者透過轉碼或代理資料的 Web 入口網站進行交互,VPN 裝置的 CPU 可能會執行大量工作(例如重寫 URL、處理文件下載等)。在隧道模式下,效能通常很好(例如,OpenVPN 是 SSL VPN,效能良好,儘管在某些情況下比 WireGuard/IPsec 慢一點)。
  • 瀏覽器相容性與元件:依賴外掛程式(如使用 Java 或 ActiveX 的舊外掛程式)的隧道模式 SSL VPN 可能會遇到相容性問題。現代瀏覽器已經轉向 HTML5 或輕量級代理,但仍然存在問題,尤其是當瀏覽器對於允許他們認為「有風險」的插件變得更加嚴格時。
  • 客戶端機器的安全性:無客戶端存取的好處也可能是缺點:如果有人從非託管或公共電腦登入 SSL VPN 門戶,則存在留下痕跡的風險(快取資料、下載等)。許多 SSL VPN 嘗試使用快取清理器或逾時策略等來緩解這種情況,但使用較不安全的端點的風險仍然存在。
  • 不是完整的網路隧道(除非使用代理):如果需要完整的網路存取(例如,映射網路磁碟機、使用非 Web 應用程式),則需要瘦客戶端或代理,這會回到軟體用戶端領域。在這一點上,與 IPsec 相比的優勢主要在於防火牆穿越的簡易性和可能更簡單的使用者體驗,但您必須擁有用戶端軟體(即使是透過瀏覽器動態傳送)。

最佳用例:SSL VPN 非常適合為不同端點上的使用者提供對特定應用程式的遠端存取。使用案例:

  • 承包商或合作夥伴存取:您不必為承包商提供進入您網路的完整 VPN,而是為他們提供僅顯示他們需要的一個應用程式的 SSL VPN 網路入口網站登入。這限制了曝光,並且他們不必在其終端配置任何複雜的內容。
  • 員工從個人裝置存取:如果員工需要從家用電腦快速檢查某些內容,則 SSL VPN 入口網站可以讓他們安全地登入公司內部網路,而無需在個人機器上安裝公司 VPN 軟體。
  • 大規模部署:大學經常使用 SSL VPN 讓學生遠端存取圖書館資源或實驗室。學生只需訪問入口網站,使用校園憑證登錄,然後啟動基於 Java 的隧道用戶端即可存取實驗室機器或圖書館資料庫。
  • 高度限制的網路:如果使用者處於飯店、會議中心或封鎖 VPN 的外國等環境中,SSL VPN 通常可以通過,因為它看起來像正常的 HTTPS 流量。這對於商務旅客很有用,他們可能會發現他們的公司 IPsec VPN 被阻止,但備份 SSL VPN(透過連接埠 443)可以運行。
  • 應用層安全要求:一些組織更喜歡遠端使用者只使用一組應用程序,而不是擁有完全的網路存取權限。 SSL VPN 入口網站透過設計強制執行這一點。

範例:許多企業 VPN 解決方案都提供 SSL VPN 功能。舉幾個例子:

  • Pulse Connect Secure(以前由 Juniper 提供)—一種著名的 SSL VPN 設備,提供 Web 入口網站和完整隧道選項。使用者可以透過瀏覽器登入網頁應用程式或啟動 Java 小程式進行更廣泛的存取。
  • Cisco ASA/Firepower-提供用於入口網站存取的「無用戶端 SSL VPN」功能,以及可使用 SSL/TLS 進行隧道的 AnyConnect 用戶端(因此它是用戶端模式下的 SSL VPN)。
  • Palo Alto GlobalProtect-主要是基於代理的 VPN,可以使用 SSL/TLS(以及底層的 IPsec),但也有針對特定應用程式的入口網站功能。
  • OpenVPN – OpenVPN 本質上是一種 SSL VPN 協定(它使用 TLS)。它需要一個客戶端程序,但它在消費者和商業 VPN 中都非常受歡迎。許多個人 VPN 提供者的自訂協定(例如 NordVPN 的 NordLynx 實際上是 WireGuard,但其他協定有基於 TLS 的自訂協定)使用類似的 TLS 隧道。
  • Fortinet FortiGate – 具有 SSL VPN 的 Web 入口網站以及用於完整隧道的 FortiClient。例如,Fortinet 的入口網站可以透過啟動 Java 小程式透過瀏覽器允許 RDP 會話。
  • Check Point – 也提供 SSL VPN 刀片,通常專注於使用輕量級用戶端的行動用戶存取。

舉一個具體的場景:一名員工造訪其公司的網站並登入。他們會看到「內部網路」、「電子郵件」、「共用磁碟機」等選項。按一下「Intranet」可能會開啟入口網站內的內部 SharePoint 網站。如果他們需要更多信息,他們可以單擊“啟動完整 VPN”,這可能會觸發一個小型代理下載,建立一個完整的 VPN 隧道,允許他們像在辦公室局域網上一樣使用他們的 Outlook 應用程式或網絡驅動器映射。所有這些都透過 TLS 進行保護。從使用者的角度來看,這非常簡單;從管理員的角度來看,他們可以嚴格控制所公開的內容並在應用程式層級審核使用情況。

MPLS VPN

它是什麼:MPLS VPN 是一種完全不使用典型的基於互聯網的加密隧道模型的 VPN,而是使用服務提供商的 MPLS 網路來虛擬地隔離和優先處理流量。 MPLS(多協定標籤交換)是一種高效能路由技術,其中封包被分配標籤並沿著預定路徑轉送。在 MPLS VPN 中,電信公司或營運商使用 MPLS 跨供應商主幹網路為客戶劃分私有網路段。當涉及 IP 路由時,它通常被稱為第 3 層 VPN (L3VPN),或對於某些點對點電路,它被稱為第 2 層 VPN。 MPLS VPN 通常是為企業提供的訂閱服務,提供多個站點之間的連接,具有私有網路的可靠性——儘管流量實際上可能會穿越共享基礎設施,但它被 MPLS 標籤隔離,並且通常不是端對端加密(如果需要可以添加加密)。

簡單來說,MPLS VPN 就像電信公司為您提供的私人高速公路車道,與公共網路車道分開。您所有的分支機構都連接到提供者的網路(透過路由器連接),並且提供者確保這些連接可以相互存取但不能存取任何其他人,並且通常還提供效能保證。

工作原理:一家公司將與提供者(​​例如 AT&T、Verizon、BT 等)簽訂合同,以獲得 MPLS VPN 服務。提供者的網路邊緣路由器(PE 路由器)將連接到公司的站點(CE – 客戶邊緣路由器)。使用 MPLS,提供者可以標記公司的流量並將其與其他公司的流量分開。它還可以運行路由協議,以便提供者處理站點之間的路由。有兩種類型:

  • 第 3 層 MPLS VPN:提供者參與客戶網路的 IP 路由(使用 VRF(虛擬路由和轉送)等技術)。提供者實際上承載著您的 IP 前綴並確保它們在您的網站之間傳輸。您的資料包帶有 MPLS 標頭,因此它們僅傳送到您的其他站點,而不會傳送到其他任何人的站點。這是最常見的。
  • 第 2 層 MPLS VPN:提供者在第 2 層的位置之間提供點對點連線(如虛擬租用線路或 VPLS – 虛擬專用 LAN 服務)。這就像在站點之間擴展交換機,使用下面的 MPLS 隧道。

MPLS VPN 本身不具有加密功能——由於提供者的網路無法被外部人員訪問,因此它是「私有的」。然而,在實踐中它非常安全,因為侵入運營商的 MPLS 網路並非易事(而且他們通常會物理地分離流量或使用訪問控制列表來強制分離)。如果客戶不完全信任提供者,一些客戶仍然會在其上覆蓋 IPsec 以實現雙重安全性。

優點:

  • 保證效能 (QoS):MPLS VPN 通常附帶 SLA。由於提供者控制路徑,他們可以保證頻寬、低延遲、低抖動等。他們可以優先處理某些流量(如語音或視訊)。對於在開放互聯網上可能受到影響的即時應用程式來說,這種服務品質是一個很大的賣點。資料包透過具有控制路由的託管主幹網路傳輸,避免了公共網際網路的不可預測性。
  • 可靠且一致:MPLS 路由非常有效率——每個路由器只需查看標籤即可做出轉送決策,而無需進行複雜的 IP 查找。這可以減少延遲並提高吞吐量。此外,MPLS 網路通常具有冗餘和快速重路由功能,因此如果一條路徑發生故障,封包可以快速切換到另一條預先建立的路徑。對於擁有關鍵數據(金融交易、語音通話)的企業來說,MPLS VPN 就像一條高可靠性的私人租用線路。
  • 許多站點的可擴展性:提供者 MPLS VPN 可以在全網格中連接數十或數百個站點,而無需每個站點都彼此建立單獨的隧道(與傳統 VPN 不同,除非進行複雜的網格劃分,否則站點越多 = 需要管理的隧道越多)。您只需將每個網站連接到提供者雲,提供者的 MPLS 就會透過標籤處理任意到任意的連線。這降低了大型網路的複雜性——您將其卸載給運營商。
  • 卸載管理:公司不必管理加密金鑰、VPN 集中器等。提供者負責路由和分離。對於一些 IT 團隊來說,這更容易處理,只需專注於其網站的邊緣路由器。
  • 協定無關傳輸:MPLS 可以承載各種協議,而不僅僅是 IP。如果需要,它可以封裝傳統協議,並支援第 2 層電路。例如,如果一家公司仍在站點之間使用一些幀中繼或乙太網路橋接,則 MPLS L2 VPN 可以適應這種情況。
  • 安全性(實際意義上):雖然未加密,但 MPLS VPN 非常安全,因為它是一個封閉的生態系統。這就像電信公司營運的私人網路一樣。存在著強大的分離性——通常被描述為「幾乎私密,但有效安全」。

缺點:

  • 成本高:MPLS VPN 服務通常比使用常規網路連線 +VPN 昂貴得多。您需要支付額外費用才能讓營運商提供專用頻寬和管理。成本通常對距離和頻寬敏感。例如,從紐約到芝加哥的 10 Mbps MPLS 連結的成本可能遠高於相同速度的標準商業網路連結。這使得 MPLS 對於較小的公司或預算緊張的公司來說吸引力較小。
  • 對提供者的依賴性和不靈活性:您依賴電信公司的變更。想要新增網站或增加頻寬嗎?它可能涉及漫長的供應時間和合約變更。您不能像使用軟體 VPN 那樣只點擊一個按鈕。此外,您基本上被鎖定在該提供者的覆蓋範圍內——如果他們不為某個地區提供服務,您可能需要單獨的合約或提供者之間的網路到網路接口,這會使事情變得複雜。
  • 未進行端對端加密:如果有人真正設法侵入 MPLS 網路或鏈路,他們就有可能攔截資料(儘管很少見且很困難)。有些公司會對超敏感資料層進行加密,但您會失去一些好處(例如,提供者無法有效地壓縮或優化流量)。相比之下,互聯網上的 IPsec VPN 預設是加密的。
  • 公共互聯網整合減少:MPLS VPN 非常適合連接辦公室,但每個站點通常仍需要單獨的互聯網分流來傳輸一般互聯網流量,或者您需要將所有互聯網流量帶回中心站點然後再傳出(這可能效率低下)。因此,您最終可能需要為每個站點的 MPLS 和互聯網服務付費。使用純網路 VPN,您的網路連線可以發揮雙重作用——既可用於 VPN,也可用於常規瀏覽。
  • 過渡到更新的技術:最近,許多組織已經從 MPLS 轉向 SD-WAN(軟體定義 WAN),它使用多個更便宜的網際網路連結和智慧軟體以更低的成本實現接近 MPLS 等級的可靠性。相較之下,MPLS VPN 有時被認為是更加僵化和傳統。 MPLS 仍然被廣泛使用,但趨勢是用 SD-WAN 補充或取代其中的一些以節省成本。
  • 受提供者覆蓋範圍的限制:如果您的公司在全球設有辦事處,則並非所有業者都涵蓋所有地方。您可能需要多個 MPLS 供應商,然後將它們連結起來,這很複雜,如果在網路之間切換,可能會破壞某些 QoS。另一方面,公共互聯網是普遍可訪問的(儘管品質參差不齊)。

最佳用例:MPLS VPN 適用於:

  • 大型企業或銀行:需確保辦公室間通訊的正常運作時間和效能。例如,一家銀行將其資料中心與分行連接起來以進行交易處理,可能會使用 MPLS VPN 來確保快速、穩定的連接,以便 ATM 和分行系統不會失去連接或減速。
  • 即時服務:廣泛使用 VoIP 電話系統或辦公室間視訊會議的公司通常依賴 MPLS,以便語音/視訊資料包獲得優先權並避免抖動。這確保了通話品質保持較高。
  • 多站點一致性:假設一個擁有 50 家零售店和 5 個倉庫的組織可能會使用 MPLS 連接所有地點,以便他們的庫存和銷售系統能夠以最小的延遲實時複製,並且在所有地點都使用相同的網絡,從而簡化管理。
  • 受監管產業:政府或醫療保健部門可能需要對資料路徑進行更高層級的控制,他們可能更喜歡使用 MPLS,而不是透過野生網路發送加密資料。它給人一種更可控的網路的感覺(和現實)。
  • 當網路不可靠時:在某些地區或情況下,公共網路連結可能不可靠或延遲較高。私有 MPLS 電路可以提供穩定的替代方案。例如,跨國公司有時會使用 MPLS 進行跨洋連接,以避免不可預測的海底電纜擁塞——MPLS 具有延遲保證。

範例:大多數 MPLS VPN 範例不是品牌產品,而是來自營運商的服務:

  • 一個典型的例子:AT&T VPN服務連接一家跨國公司的所有站點。每個站點的路由器都連接到 AT&T 的網路。 AT&T 處理路由,以實現任意到任意的連接。該公司可能會要求分類服務——例如,30%的頻寬保留給語音(高優先級),20%用於關鍵應用,其餘則盡力而為。 AT&T 的 MPLS 強制執行這一點。最終形成一個覆蓋所有辦公室的私人網路。
  • Verizon Business IP VPN 是另一種此類產品,同樣允許 QoS 和全球連線。
  • 第 3 級(現為 Lumen)MPLS IP VPN – 這些提供者通常擁有門戶,您可以在其中查看您的網絡,但實施是在 MPLS 的後台進行的。
  • 一些供應商也提供混合服務:MPLS 連結加上整合網路故障轉移等。但純 MPLS VPN 意味著您主要依賴他們的私人網路。

技術範例:一家公司在巴黎、倫敦和東京設有辦公室。他們從 Orange Business Services(法國電信)獲得了用於巴黎和倫敦的 MPLS VPN,或許還從 NTT 獲得了用於東京的 MPLS VPN,並建立了互連。每個站點的路由器都有一個通往提供者的介面。提供者將這些路由器指派給公司的 VPN ID(VRF)。它們交換路線——巴黎知道如何通過 MPLS 雲到達倫敦和東京。當巴黎向東京發送資料包時,提供者的入口路由器會以與東京出口路由器的路徑相對應的 MPLS 標籤來標記該資料包。在提供者網路的每一跳中,路由器都會根據標籤快速切換資料包(無需 IP 查找)。它抵達東京的路由器,路由器彈出標籤並將 IP 封包傳送到東京辦公室網路。在此過程中,由於標籤不同,其他客戶的流量不會混合,且中間路由器會追蹤每個 VPN 的單獨標籤空間。該公司享有穩定、快速的連接,就好像這三個站點位於一個大型私人路由器上一樣。

MPLS VPN 強調「VPN」並不總是意味著「網路上的加密隧道」;它也可以表示營運商提供的「虛擬私人網路」。它們有點幕後,但對許多大型網路來說仍然至關重要。

L2TP(第 2 層隧道協定)VPN

它是什麼:L2TP 是一種 VPN 隧道協議,用於封裝資料以便在公共網路上傳輸。 L2TP 本身不提供加密或保密性 – 它通常與 IPsec 配對使用以確保安全。事實上,當人們說「L2TP VPN」時,他們通常指的是 L2TP/IPsec,即使用 L2TP 進行隧道傳輸和使用 IPsec 進行加密/認證的組合。 L2TP 在第 2 層運行(因此得名),這意味著它可以承載 PPP 幀,因此可以隧道傳輸各種協議,而不僅僅是 IP。它由思科設計為 PPTP(點對點隧道協定)的後繼者和 L2F(第 2 層轉送協定)的擴展,結合了兩者的功能。

在現今的實際使用中,L2TP/IPsec 是一種常見的 VPN 選項,許多作業系統都原生支援此選項(Windows、macOS、Linux、iOS、Android 內建了 L2TP/IPsec 用戶端)。這使得它成為無需第三方軟體設定 VPN 的熱門選擇。例如,小型辦公室可能會使用 L2TP/IPsec VPN,以便員工可以使用筆記型電腦或手機上的內建 VPN 用戶端進行連線。

如何運作:L2TP 在兩個「L2TP 對等體」(通常是客戶端和伺服器)之間建立隧道。它將封包(例如,您的 IP 封包)封裝在 L2TP 內部,然後透過 UDP 封包在網際網路上傳送(L2TP 使用 UDP 連接埠 1701)。但是,在發送任何 L2TP 資料之前,用戶端和伺服器之間都會建立 IPsec 安全性關聯(使用 IKE 協定)。然後,所有 L2TP 流量都會透過此 IPsec SA 傳送,通常使用 IPsec ESP 協定進行加密。本質上:

  1. 客戶端和伺服器執行IPsec握手並建立加密通道。
  2. 然後,用戶端在該加密通道內啟動 L2TP 會話。
  3. L2TP 會話進行身份驗證(通常透過使用者名稱/密碼或 Windows 網域憑證)。
  4. 一旦建立,客戶端的網路流量將被 L2TP 封裝(就像將其包裝在 PPP 訊框中一樣),然後由 IPsec 加密並傳送到伺服器。然後,伺服器解封裝(IPsec 解密,然後 L2TP 解包)並將內部資料包轉送到目標網路。

L2TP 封裝實際上進行了雙重封裝:您的資料有兩層(L2TP/PPP + IPsec),這會稍微降低效率。但它也具有靈活性——如果需要,L2TP 可以承載非 IP 流量(儘管大多數情況下它只是 L2TP 內的 PPP 內的 IP)。

優點:

  • 廣泛支援:幾乎所有現代系統都預設提供 L2TP/IPsec。這種通用性使其成為首選,尤其是在 OpenVPN 和其他協定變得眾所周知之前。管理員不需要分發自訂客戶端——內建的 VPN 用戶端就可以了。這仍然是一些人今天使用 L2TP 的原因,因為並非每個環境都允許安裝新軟體。
  • 安全性(使用 IPsec):與 IPsec 配對使用時,它提供強加密(IPsec 的 AES、3DES 等)和驗證。只要配置正確,IKEv1 或 IKEv2 模式下的 IPsec 就經過充分測試且安全。本質上,L2TP/IPsec 的安全性來自於 IPsec,它具有強大的安全性。
  • 彈性的認證方式:L2TP可以使用PPP的認證方式(PAP、CHAP、MS-CHAPv2、EAP)。這意味著它可以與 RADIUS 伺服器等系統整合以進行使用者身份驗證,從而允許企業整合(例如使用 Active Directory 憑證登入)。 IPsec 本身也會對端點進行驗證(通常使用預共用金鑰或憑證)。因此,您可以獲得雙層:透過 IPsec 進行機器級身份驗證,透過 PPP/L2TP 進行使用者級身份驗證。這可以被看作是一個額外的安全層。
  • 防火牆友善(在某種程度上):L2TP/IPsec 使用 UDP 連接埠(IPsec 為 500 和 4500,L2TP 為 1701,使用 NAT-T 時實際上會封裝到 4500 中)。許多防火牆可以處理這個問題,並且 IPsec 的 NAT 穿越(NAT-T)是標準化的,因此它通常在 NAT 後面工作。不像 SSL VPN 那樣隱秘,但通常可在許多網路中使用。由於 IPsec 是基於 UDP 的,因此它不需要可能因長時間突發而受到限制的 TCP 連線。
  • 站點到站點的使用:儘管 L2TP 通常被認為用於遠端訪問,但它也可以用於站點到站點,特別是當由於某種原因您需要建立非 IP 隧道或想要使用現有的 L2TP 設備時。一些較舊的路由器支援它們之間的 L2TP 隧道。在網站到網站中,通常單獨使用 GRE 或 IPsec,但在某些情況下 L2TP 也是一個選擇。
  • 沒有固定的資料連接埠(使用 IPsec):與具有某些 NAT 討厭的 GRE 協定的 PPTP 不同,基於 IPsec 的 L2TP 隱藏在 UDP 封包內。這使得它比基於 GRE 的 VPN 更容易通過 NAT。

缺點:

  • 效能較低:L2TP 對您的資料進行兩次封裝(L2TP + IPsec)。這會增加開銷。具體來說,IPsec 上的 L2TP 將資料封裝在兩個標頭中,並且進行兩級校驗。這會使它比 WireGuard 等新協定甚至普通 IPsec 更慢。雙重封裝會降低吞吐量並且稍微增加延遲。此外,由於它通常在 UDP 上運行並且沒有像 TCP 的擁塞控制這樣的機制(儘管內部流量可能是 TCP),所以在不穩定的網路上它有時會比較慢。
  • 在某些情況下防火牆會造成障礙:雖然一般來說沒問題,但一些嚴格的防火牆可能會阻止 UDP 4500/500,破壞 L2TP/IPsec。此外,如果同一 NAT 後面的多個使用者嘗試使用 L2TP/IPsec 連接到相同 VPN 伺服器,則一些較舊的實作會出現問題(這更多的是 IPsec IKE 問題,許多人已經解決了它,但從歷史上看這是一個問題)。
  • 缺乏奇特的功能:L2TP 相當老舊(它於 1999 年標準化)。它不具備某些現代 VPN 協定的靈活性或功能。例如,它不能動態調整加密(超出 IPsec 協商的範圍),也沒有內建機制來遍歷 Web 代理程式或類似的東西(如 SSTP 或 OpenVPN 可以)。基本上,它要么有效,要么無效,沒有太多的後備方案。
  • 可能會被 VPN 過濾器封鎖:與可隱藏為正常網路流量的 TLS 不同,L2TP/IPsec 具有可識別的簽章(UDP 500/4500 等)。一些想要封鎖 VPN 的網路或國家會將目標對準 IPsec 和 L2TP。他們可能允許 HTTPS(因此 SSL VPN 可以通過)但阻止已知的 VPN 協定。因此在對抗場景中,L2TP 更容易被阻止。
  • 本身沒有加密:如果我們單獨考慮 L2TP(沒有 IPsec),它是不安全的。但除了某些特定場景(例如在已經安全的網路上)外,它幾乎從未單獨使用過。有人可能會說這不是一個缺點,因為沒有人會在沒有 IPsec 的情況下使用 L2TP 作為互聯網 VPN……但值得注意的是,它依賴與 IPsec 的配對。
  • 稍微過時:許多 VPN 供應商和企業正在逐步淘汰 L2TP/IPsec,轉而採用 IKEv2 或 OpenVPN/WireGuard。例如,微軟在現代 Windows 上推動使用 IKEv2 作為客戶端 VPN。 L2TP 仍然有效,但它並不被視為「尖端技術」——它現在更像是一種相容性或傳統選擇。例如,一些報告表明,如果配置不當,L2TP/IPsec 可能會被削弱(例如預設設定使用較弱的密碼或預共用金鑰,如果不夠強,可能會被暴力破解)。

最佳用例:當您需要基於標準、廣泛相容的 VPN 並且不想安裝額外的軟體時,L2TP/IPsec VPN 是不錯的選擇。用例包括:

  • 小型辦公室遠端存取:沒有預算購買精美 VPN 解決方案的小型公司可以使用基本的 L2TP/IPsec 伺服器(許多路由器和 NAS 設備都支援此功能)讓員工進行連線。員工可以使用其作業系統上內建的 VPN 用戶端。它為存取文件或內部系統等提供了良好的安全性。
  • 裝置相容性場景:假設您有一些僅支援 L2TP/IPsec 的裝置(一些較舊的裝置或某些 IoT 閘道)。使用 L2TP 可確保所有裝置都能連接到同一個 VPN 伺服器。例如,舊版 Android 版本支援 PPTP 和 L2TP/IPsec,但不支援開箱即用的 OpenVPN。
  • 作為備用 VPN 選項:組織可能主要使用較新的 VPN 技術,但保留 L2TP/IPsec 作為無法使用主 VPN(或主 VPN 發生故障)設備的後備。因為它內建於所有作業系統,所以它是一個方便的備份。
  • 需要加密彈性的網站到網站:如果公司想要連接分公司並可能運行非 IP 流量或使用雙重加密,他們可以使用帶有 IPsec 的 L2TP。然而,這只是小眾現象——通常他們會單獨使用 IPsec 或透過 IPsec 使用 GRE。但是 L2TP 可以並且已經用於需要額外層的場景(例如,IPsec 隧道內的 L2TP 連接兩個 LAN 並橋接它們)。
  • 教育或實驗室設置:有時在教科書或課程中使用 L2TP/IPsec 作為範例來教授 VPN 概念(由於其兩層性質,它很好地說明了隧道與加密)。所以它可能會出現在實驗室場景中。

例子:

  • Microsoft Windows Server 具有「路由和遠端存取服務 (RRAS)」角色,可以接受 L2TP/IPsec VPN 用戶端。許多企業在 2000 年代和 2010 年代都使用過這種技術,以便 Windows 筆記型電腦無需額外的軟體就可以使用 VPN(只需使用內建的 Windows VPN 用戶端)。這是典型的 L2TP/IPsec 部署的範例。
  • 思科路由器(如舊款思科 2800 系列或現在的 ISR)可以充當遠端存取的 L2TP/IPsec 伺服器。 Cisco 的 QuickVPN(舊用戶端)或內建的 Windows 用戶端將使用 L2TP/IPsec 連接到路由器。
  • SoftEther VPN(一個開源多協定VPN伺服器)可以接受來自裝置的L2TP/IPsec連接,並同時支援其他協定。這表明它經常被列為眾多選項之一。
  • 許多現代 VPN 服務(商業服務)實際上不再在其應用程式中提供 L2TP/IPsec 作為主要協定(更喜歡 OpenVPN 或 WireGuard),但它們有時允許手動設定 L2TP/IPsec 作為後備。例如,NordVPN 在其應用程式中不支援 L2TP,但歷來提供手動設定指南(儘管他們已經逐步淘汰它)。他們指出 L2TP 在許多系統上都可用,但如果配置不當,它就不是最安全的。
  • 一個有趣的用途:在智慧型手機配備 OpenVPN 應用程式之前,如果有人想將手機連接到家庭網絡,他們通常會在家庭路由器(如 pfSense 或小型 VPN 伺服器)上設定 L2TP/IPsec,以便 iPhone 可以使用內建 VPN 連接回家,例如從家庭媒體串流或存取私人內容。它非常方便,因為不需要額外的應用程式。

總之,L2TP 本身只是一種隧道方法(可以將其視為資料傳輸的管道),而 IPsec 是保護該管道的鎖定。多年來,L2TP/IPsec 一直是 VPN 的主力。它不是市場上速度最快或最花哨的產品,但它能完成工作並且幾乎在各個地方都受到支持。如果您在裝置上看到 VPN 配置螢幕,很有可能它會列出「L2TP/IPsec」作為選項,這說明它的普遍性。

選擇正確的VPN類型

VPN 種類如此繁多,如何選擇最符合您需求的 VPN?這最終取決於您的使用情況、環境和優先順序。以下是一份可幫助您做出決定的快速清單:

您是否需要從家中連接到辦公室網路(並且您是員工或學生)?
使用遠端存取 VPN – 這將讓您的裝置安全地加入專用網路。範例:在家工作的員工應使用公司的遠端存取 VPN 來存取檔案伺服器和內部網站。

您是否嘗試合併或連結不同地點的整個辦公室網路?
使用網站到網站 VPN – 非常適合在多個辦公室之間建立統一的網路。這是在路由器/防火牆上配置的,而不是在單一電腦上設定的。範例:將分公司與總部連接起來,以便每個人都共享內部網路。

您是主要關注線上隱私、串流媒體或繞過審查的個人嗎?
使用個人 VPN – 註冊信譽良好的消費者 VPN 服務。它將加密您的網路流量並掩蓋您的 IP,而不會允許您存取任何私人公司網路(您可能不需要)。範例:在您的筆記型電腦和手機上使用 ExpressVPN 等個人 VPN,以便在公共 Wi-Fi 上進行安全瀏覽並存取受地理封鎖的內容。

VPN 使用者是否會頻繁切換網路或四處移動(車輛、現場工作)?
考慮行動 VPN – 確保解決方案支援無縫漫遊(例如基於 IKEv2 的 VPN 或專門的行動 VPN 用戶端)。例如:對於配備筆記型電腦的巡邏車,警察部門部署行動 VPN 解決方案,以便警員在駕駛時保持連線。

您的基礎設施主要在雲端嗎?還是您喜歡外包 VPN 基礎架構?
選擇雲端 VPN – 使用雲端提供者的 VPN 服務或雲端 VPN 供應商。這減少了內部硬體並可以改善分散式勞動力的存取。範例:所有伺服器都在 AWS 上的新創公司可能會使用 AWS Client VPN 讓團隊成員從任何地方安全地存取雲端資源。

您是否需要專用設備來實現高效能或大量的 VPN 連線?
部署硬體 VPN 設備 – 最適合需要強大、始終在線的連接並能夠投資專用硬體的中型到大型企業。例如:公司辦公室可以安裝 Cisco 或 Palo Alto VPN 設備,以可靠地處理數千名員工和站點的 VPN 連線。

您是否透過 VPN 向合作夥伴或承包商提供有限的存取權限,或者需要輕鬆穿越防火牆?
考慮使用 SSL VPN – 這允許基於 Web 的存取並避免複雜的客戶端設定。當用戶使用各種設備或網路時,它是完美的選擇。範例:讓供應商登入 SSL VPN 入口網站來查看內部系統上的庫存數據,而不是使用完整的網路 VPN。

確保站點之間的網路效能是否為首要任務,是否有預算?
使用 MPLS VPN(提供者 VPN)—如果您需要穩定、低延遲的連結(用於語音、視訊或關鍵數據)並且願意為此付費,請選擇電信業者提供的 MPLS VPN 服務。範例:醫院系統透過 MPLS VPN 連接其醫院和診所,以確保醫療應用資料和 VoIP 通話始終受到服務品質保護。

您是否需要一個無需安裝應用程式即可在大多數裝置上預設支援的VPN?
使用 L2TP/IPsec(或 IKEv2 IPsec)– 這些協定內建於主要的作業系統平台中。雖然有點舊,但它們的相容性很方便。範例:一家小型企業設定了 L2TP/IPsec 伺服器,以便員工可以使用其 iPhone 和 Windows 筆記型電腦上的內建 VPN 設定進行連接,從而無需安裝新應用程式。

現代安全性和效能是否是遠端存取的優先事項(並且您可以使用自訂應用程式)?
使用現代協議,如 OpenVPN 或 WireGuard(不在原始列表中,但值得在上下文中提及)——從使用意義上講,這些不是 VPN 的“類型”,但協議選擇對於遠端存取和個人 VPN 很重要。例如,許多個人 VPN 服務現在都提供 WireGuard,以提升其速度。如果您正在為員工推出新的 VPN,並且所有裝置都可以支援它,那麼 WireGuard(快速、輕量級的協定)可能是傳統 L2TP 遠端存取 VPN 解決方案的絕佳選擇。

在許多情況下,您可能會組合使用 VPN 類型。例如,大型企業可以使用 MPLS VPN 實現核心站點連接,同時也為行動員工提供遠端存取 SSL VPN,甚至在每個站點都配備硬體 VPN 設備,以便根據需要處理站點 VPN 和遠端 VPN。關鍵是將 VPN 類型與您要解決的問題相符:

  • 連線範圍:單一使用者 vs. 整個網路。
  • 環境:本地、雲端、混合。
  • 移動性:靜止用戶與行動用戶。
  • 效能與成本:如果效能至關重要且有預算,則採用 MPLS;如果節省成本更重要,則基於互聯網的 VPN。
  • 客戶端考慮:您是否可以安裝軟體(如果不安裝,則傾向於內建或 SSL 入口網站解決方案)。
  • 安全等級:列出的所有 VPN 都提供安全性,但如果您需要額外的保證或合規性,您可以分層技術(例如,使用具有強身份驗證的 IPsec,或 MPLS 加上您自己的加密等)。

最後,一定要記得考慮管理和維護。 VPN 需要維護:管理使用者帳戶或金鑰、更新設備或軟體、監控問題。像雲端 VPN 或支援良好的硬體設備這樣的解決方案可能會減少手動工作量,而 DIY 解決方案(例如運行您自己的 OpenVPN 伺服器)可以提供更多控制,但需要更多的實際管理。

VPN 類型的一覽比較

VPN 類型目的最佳使用情境加密協議
遠端存取 VPN安全地將單一使用者(客戶端)連接至私人網路。遠程工作員、出差員工、遠端工作IPsec, SSL/TLSIPsec, SSL/TLS
站點對站點 VPN通過互聯網連接整個網絡(例如兩個辦公室 LAN),常用於將多個地點合併成一個私人網絡。安全地連接多個辦公室網絡。通常是 IPsecIPsec, GRE, MPLS
個人 VPN加密你的互聯網流量並隱藏你的 IP 地址的商業 VPN 服務(不適用於訪問企業的私人網絡)。在線隱私、繞過地理限制、公共 Wi-FiIPsec, WireGuardOpenVPN, IKEv2, WireGuard
移動 VPN設計來保持穩定並連接,當使用者的設備在不同網絡之間切換或更改連接類型(Wi-Fi、行動數據等)時。現場工作者、具有間歇性連接的設備IPsec, IKEv2, 專有協議IKEv2, IPsec, 專有
雲端 VPN通過雲端基礎設施提供安全的訪問雲端資源,或使用雲端作為遠端及站點連接的 VPN 基礎架構。安全連接雲端基礎設施。IPsec, SSL/TLSIPsec, SSL/TLS
硬體 VPN一個專用的 VPN 設備(裝置),獨立處理 VPN 功能,通常由企業用於性能和安全性。需要專用 VPN 硬體的企業視設備而定,通常使用 IPsec專有 (Cisco, Palo Alto, Fortinet)
SSL VPN使用 SSL/TLS 加密來進行安全的網頁訪問。通過網頁瀏覽器提供遠端訪問,無需客戶端SSL/TLSSSL/TLS
MPLS VPN通過運營商的 MPLS 網路(多協議標籤交換)提供的 VPN,通常用於需要可靠、管理的私人連接並提供服務質量的企業。需要高性能站點對站點連接的企業不自帶加密,但由提供者確保安全MPLS
L2TP VPN通過網路傳送數據並與 IPsec 一起使用進行加密,形成安全的隧道(通常支援多個設備)。不同設備間的相容性、基本安全性通常是 IPsecL2TP/IPsec

透過了解這些類型的 VPN 及其優勢,您可以選擇最適合您需求的 VPN——無論是保護公共 Wi-Fi 上單一用戶的連線還是將整個全球企業網路連接在一起。每種類型在 VPN 領域中都扮演著不同的角色,了解它們之間的差異有助於確保您部署正確的工具來完成工作。

常見問題:了解 VPN 類型

遠端存取 VPN 和站點到站點 VPN 之間有什麼區別?

遠端存取 VPN 允許個人用戶從遠端位置安全地連接到專用網路。它通常被遠端辦公人員或出差員工使用。
站點到站點 VPN 透過網路安全地連接整個網路(例如,兩個辦公室 LAN),允許不同的辦公地點作為相同專用網路的一部分運作。對於擁有多個辦事處或分支機構的企業來說,它是理想的選擇。


我可以將個人 VPN 用於商業目的嗎?

雖然個人 VPN 主要用於個人使用(例如保護您的瀏覽安全或繞過地理限制),但它們也可以用於在訪問公共 Wi-Fi 時需要隱私和安全的小型企業或自由工作者。但是,對於較大的企業或企業級安全性而言,遠端存取 VPN 或站點到站點 VPN 是更好的選擇,因為它們具有更強大的功能和對網路的控制。


雲端 VPN 如何運作?

雲端 VPN 將使用者或整個網路安全地連接到基於雲端的資源。雲端 VPN 不依賴傳統的內部部署 VPN 伺服器,而是使用第三方供應商(例如 AWS、Azure 或 Google Cloud)託管的基礎架構來安全地路由資料。對於擁有基於雲端的基礎架構的企業或需要從任何位置安全地存取雲端資源的分散式員工來說,它特別有用。


行動 VPN 與常規 VPN 有何不同?

是的,行動 VPN 專門用於在用戶在不同網路之間移動時(例如從 Wi-Fi 切換到蜂窩數據)維持穩定、安全的連接。它對於行動工作者或在不斷變化的網路環境中使用設備的任何人而言都是理想的選擇。常規 VPN(例如遠​​端存取 VPN)在切換網路時可能無法無縫地保持連線。


哪種 VPN 類型最適合串流內容?

對於串流媒體目的,個人 VPN 通常是最佳選擇,因為它允許用戶透過封鎖他們的 IP 位址並顯示他們處於不同位置來存取區域鎖定的內容。許多 VPN 服務提供針對串流媒體最佳化的伺服器。但是,請務必選擇速度快的提供者以避免緩衝。


L2TP/IPsec 安全嗎?

是的,L2TP/IPsec 與 IPsec 結合進行加密時被認為是安全的。 L2TP 本身不提供加密,但通常與 IPsec 配對以保護連線。這種組合提供了強大的安全性,但較新的 VPN 協定(例如 OpenVPN 或 WireGuard)可能提供更好的效能和更高級的功能。


MPLS VPN 與傳統 VPN 有何不同?

MPLS VPN 是由營運商提供的專用網路服務,它使用多協定標籤交換 (MPLS) 技術以高度安全可靠的方式在不同站點之間路由流量。與傳統的基於互聯網的 VPN 不同,MPLS VPN 不依賴公共互聯網,而是在電信公司提供的專用託管網路上運作。它通常被大型企業用於實現安全、高效能的站點到站點連接。


我不需要任何技術知識就可以設定 VPN 嗎?

是的,許多商業 VPN 服務都提供不需要技術設定的使用者友善應用程式。這些應用程式通常具有一鍵連接和自動伺服器選擇功能,任何人都可以輕鬆使用。對於更高級的設定(如網站到網站 VPN 或雲端 VPN),可能需要技術知識,但許多 VPN 提供者提供教學課程或客戶支援來引導您完成整個過程。


SSL VPN 可以繞過防火牆嗎?

是的,SSL VPN 通常用於繞過防火牆,因為它們使用 HTTPS(連接埠 443),而大多數防火牆通常會對常規網路流量開放該連接埠。這使得用戶即使在限制性防火牆或代理商後面也能更輕鬆地連接到他們的網路。但是,某些防火牆在識別出 SSL VPN 流量後仍可能會阻止該流量,因此選擇能夠與您的特定網路設定有效配合的 VPN 非常重要。


哪種 VPN 類型最適合小型企業?

對於小型企業來說,遠端存取 VPN 通常是最合適的選擇,尤其是當員工需要從各個位置安全存取公司資源時。這些 VPN 易於設定、經濟高效,並提供強大的加密功能來保護商業資料。如果您的企業在多個實體位置運營,則可能需要站點到站點 VPN 來安全地連接不同辦公室之間的網路。