VPN 如何工作？

关键问题解答

企业为何使用 VPN？

VPN 是一种经济高效的方式，可将远程用户安全连接到企业网络，同时提高连接速度。借助 VPN，企业可以使用第三方高带宽互联网接入，替代成本高昂的专用 WAN（广域网）链路或长途远程拨号链路。

安全远程访问是什么？

安全远程访问以安全可靠的方式将用户和设备远程连接到企业网络。它包括 VPN 技术，该技术可在用户或设备远程连接网络之前对其进行身份验证，确认其符合特定要求（也称为“安全状态”）。

VPN“隧道”是什么？

“隧道”是指 VPN 建立的加密连接，方便通过互联网安全传输虚拟网络上的流量。来自设备（例如计算机或智能手机）的 VPN 流量在通过 VPN 隧道时会被加密。

加密 VPN 类型

远程访问 VPN：计算机到网络

远程访问 VPN 几乎可以将任何数据、语音或视频应用扩展到远程设备（也称为“终端”或主机）。随着 VPN 技术的发展，我们可以对终端执行安全检查，确保其在连接网络前达到特定安全状态。

SSL VPN 和 IPsec

安全套接字层 (SSL) VPN 和 IP 安全 (IPsec) 都属于隧道和身份验证技术。根据部署要求，企业可以分别或同时使用 SSL VPN 和 IPsec 部署远程访问 VPN。SSL VPN 和 IPsec 可保护通过 VPN 的数据免受未经授权的访问。

如需详细了解如何使用此类 VPN 技术，请参阅此页的“SSL VPN 的重要优势”和“SSL VPN 的常见风险”部分。如需简要了解此类 VPN 技术，也请参阅此页的“VPN 拓扑类型”部分。

站点间 IPsec VPN：网络到网络

企业可通过站点间 IPsec VPN 将网络资源扩展到分支机构、家庭办公室和业务合作伙伴站点。如果组织由于距离原因难以在这些站点间建立直接网络连接，则可使用站点间 VPN。建立和维护站点间 VPN 连接需要专用设备。

SSL VPN 的重要优势

内置于现代 Web 浏览器中

现代 Web 浏览器中已经内置 SSL VPN 功能，无论用户身处何地，只要能够访问互联网，便可启动 Web 浏览器并建立远程访问 VPN 连接。SSL VPN 技术不仅有助于提高员工效率，还能降低 VPN 客户端软件与支持的成本。

大多数用户都无需安装客户端软件

SSL VPN 使用 SSL 协议及其后续的传输层安全 (TLS) 协议，在远程用户与内部网络资源之间建立安全连接。由于大多数 Web 浏览器都具备 SSL/TLS，用户通常无需安装客户端软件即可使用 SSL VPN。因此 SSL VPN 又称为“无客户端 VPN”或“Web VPN”。

方便最终用户灵活使用

SSL VPN 也简单易用。不同 IPsec VPN 供应商的实施和配置要求可能有所差异。但 SSL VPN 只要求用户具备现代 Web 浏览器即可。用户甚至还能选择自己喜欢的 Web 浏览器，不受操作系统限制。

SSL VPN 的常见风险

用户凭证相关风险

VPN 安全可靠，不亚于在 VPN 连接的远程端使用的用户和设备身份验证方法。简单身份验证方法容易受到密码“破解”攻击、窃听，甚至是社交工程攻击。对企业网络进行安全远程访问至少需要双因素身份验证。

传播来自远程计算机的威胁

远程访问是网络安全的主要威胁载体。不符合企业安全要求的远程计算机可能会将其本地网络环境中的感染（例如蠕虫或病毒）传播到内部网络。远程计算机上安装最新防病毒软件对于规避风险至关重要。

隧道分割

当 VPN 隧道远程端上的设备同时与公共网络和专用网络交换流量，而事先并未将所有网络流量放入 VPN 隧道内时，就会发生隧道分割。这可能导致共享网络中的攻击者入侵远程计算机，获得对专用网络的访问权限。

VPN 拓扑类型

3 种主要 VPN 拓扑

VPN 拓扑指定了属于 VPN 的对等体和网络，以及彼此之间的连接方式。以下简要介绍了三种主要拓扑类型：

• 中心辐射型拓扑
  在这种 VPN 拓扑中，多个远程设备（分支）通过中心设备（中心）安全通信。中心站点与每个分支站点之间形成单独、安全的隧道。
• 点对点拓扑
  建立这种拓扑需要指定两个终端，作为可相互直接通信的对等设备。任意一方设备都可启动连接。
• 全网状拓扑
  这种拓扑非常适合复杂网络，网络中的每个设备都能通过唯一的 IPsec 隧道与其他设备通信。

隐式支持拓扑

三种主要 VPN 拓扑也可结合形成更加复杂的拓扑，包括：

• 部分网状拓扑
  在这种网络结构中，部分设备按照全网状拓扑布置，而其他设备则形成中心辐射型结构，或形成与某些全网状设备的点对点连接。
• 分层中心辐射型拓扑
  一种中心辐射型拓扑网络结构，其中某一设备可在一种或多种拓扑中作为中心设备，而在其他拓扑中作为分支设备。允许流量从分支组传输到最直接中心。
• 混合中心辐射型拓扑
  两种连接起来形成点对点隧道的拓扑（中心辐射型、点对点或全网状拓扑）的组合。

注意 IPsec 策略限制

IPsec 策略可定义站点间 VPN 特性，例如将用于保护 IPsec 隧道中流量的安全协议和算法。组织创建 VPN 拓扑后，即可根据分配的 IPsec 技术配置适用于该拓扑的 IPsec 策略。

请注意，并非所有 IPsec 策略都可用于所有 VPN 拓扑。应用策略取决于为 VPN 拓扑分配的 IPsec 技术。而且，为 VPN 分配的 IPsec 技术取决于拓扑类型。