已有帳號?

  •   個人化內容
  •   您的產品與支援

需要帳號?

建立帳號

VPN 如何運作?

虛擬私人網路 (VPN) 能夠擴展公司的網絡,可透過網際網絡上的加密連線來允許安全的遠端使用者存取。這樣一來,VPN 流量在裝置和網路間傳輸時,就能夠保持私密。VPN 使用者瀏覽網路時,其裝置會透過加密的 VPN 連線與網站聯繫。

關鍵問答集

企業為何要使用 VPN?

VPN 是具成本效益的方式,能夠讓遠端使用者安全地連線到公司網絡,同時提升連線速度。有了 VPN,企業就能夠使用高頻寬的第三方網際網絡存取,以取代昂貴的專屬 WAN(廣域網絡)鏈路,或是長距離的遠端撥號鏈路。

什麼是安全遠端存取?

安全遠端存取是讓遠端使用者和裝置安全地連線到公司網絡的方式。它含有 VPN 技術,會先驗證使用者或裝置以確認其符合特定要求(又稱為「安全狀態」),才能夠讓它們遠端連線到網絡。

什麼是 VPN「通道」?

「通道」是 VPN 建立的加密連線,以便虛擬網路上的流量能夠安全地在網際網絡間傳送。來自裝置(例如電腦或智慧型手機)的 VPN 流量在透過 VPN 通道傳輸時會加密。

免費試用 AMP for Endpoints

您可能也會喜歡:

加密 VPN 的類型

遠端存取 VPN:電腦到網絡

遠端存取 VPN 可將幾乎所有資料、語音或視訊應用程式延伸到遠端裝置,又稱為「端點」或主機。進階的 VPN 技術能夠在端點上執行安全檢查,確保端點連線到網絡路之前符合特定安全狀態。

SSL VPN 和 IPsec

安全通訊端層 (SSL) VPN 和 IP 安全 (IPsec) 是通道和驗證技術。視部署需求而定,企業可以使用 SSL VPN、IPsec 或兩者結合使用,以部署遠端存取 VPN。SSL VPN 和 IPsec 能夠防止透過 VPN 的資料遭到未經授權的存取。

如需更多有關使用此類 VPN 技術的資訊,請參閱本頁面的「SSL VPN 的主要優點」和「SSL VPN 的一般風險」區段。如需使用此類 VPN 技術的概覽,請參閱同樣位於本頁面的「VPN 技術類型」區段。

站點對站點 IPsec VPN:網路對網絡

站點對站點 IPsec VPN 可讓企業將網絡資源延伸到分公司、居家辦公室和企業合作夥伴站點。這些站點之間因為地理距離的關係而無法直接建立網絡連線時,組織就可以使用站點對站點 VPN。建立和維護站點對站點 VPN 連線需要專屬的設備。

SSL VPN 的主要優點

它內建於新型網頁瀏覽器中

SSL VPN 功能已經內建在新型網頁瀏覽器中,讓來自任何具備網際網絡功能之地點的使用者能夠啟動網頁瀏覽器,建立遠端存取 VPN 連線。SSL VPN 技術不僅有助於提升員工生產力,還能夠減少 VPN 用戶端軟體和支援的成本。

大多數使用者並不需要安裝用戶端軟體

SSL VPN 會使用 SSL 通訊協定以及其後續版本「傳輸層安全」(TLS),在遠端使用者和內部網絡資源間提供安全的連線。因為多數的網頁瀏覽器現在都具備 SSL/TLS,使用者通常不需要安裝用戶端軟體即可使用 SSL VPN。這就是為什麼 SSL VPN 又稱為「無用戶端 VPN」或「Web VPN」。

對一般使用者而言具彈性

SSL VPN 也易於使用。不同的 IPsec VPN 廠商可能會有不同的實作和設定要求。但是,SSL VPN 只要求使用者擁有新型網頁瀏覽器。使用者甚至可以選擇最愛的網頁瀏覽器,不受作業系統限制。

SSL VPN 的一般風險

使用者憑證相關風險

VPN 安全只和用來驗證 VPN 連線遠端使用者和裝置的方法一樣強。簡易的驗證方法很容易遭到密碼「破解」攻擊、竊聽或甚至是社交工程攻擊。雙因素驗證是為公司網路提供安全遠端存取的最低要求。

遠端電腦威脅擴散

遠端存取是網路資安的主要威脅媒介。不符合公司安全要求的遠端電腦可能會將其本機網路環境的感染源(例如蠕蟲或病毒)轉移到內部網絡。遠端電腦上需要最新的防毒軟體才能減輕此風險。

分割通道

VPN 通道遠端上的裝置同時與公用和私人網路交換網路流量,但並未先傳送 VPN 通道內的所有網絡流量時,就會發生分割通道。這樣可能會讓共用網路上的攻擊者得以入侵遠端電腦,並取得私人網絡的網絡存取權限。

VPN 拓撲的類型

3 種主要的 VPN 拓撲

VPN 拓撲會指定 VPN 中的對等節點和網絡,以及它們互相連線的方式。以下是三個主要拓撲類型的快速概覽:

  • 中樞和支點
    在這個 VPN 拓撲中,多個遠端裝置(支點)會安全地與中央裝置(中樞)通訊。中樞和每個支點之間會延伸出單獨且安全的通道。
  • 點對點
    若要建立此拓撲,必須將兩個端點指定為將直接與對方通訊的對等裝置。這兩個裝置都能夠建立連線。
  • 完整網狀
    完整網狀 此拓撲在複雜網絡中的效果很好,且網路中的所有裝置都能夠透過唯一的 IPsec 通道與所有其他裝置通訊。

VPN結構類型

這三個主要的 VPN 結構也能夠結合使用,以打造更複雜的結構,包括:

  • 部分網狀
    部分網狀 在這種網絡中,有些裝置會以完整網狀結構的方式組織,其他裝置則會與部分完整網狀裝置形成中樞和支點或點對點連線。
  • 分層的中樞和支點
    分層的中樞和支點 在這種中樞和支點結構的網絡中,裝置能夠在一或多個結構中擔任中樞的角色,並在其他結構中擔任支點。系統會允許流量從支點群組傳送到其直屬中樞。
  • 聯結的中樞和支點
    這是兩種拓撲(中樞和支點、點對點或完整網狀)的組合,能夠連線以形成點對點通道。

注意 IPsec 原則限制

IPsec 原則會定義站點對站點 VPN 的特徵,像是用來在 IPsec 通道中保護流量安全的安全通訊協定和演算法。組織建立 VPN 拓撲後,就可以視指派的 IPsec 技術來設定要對該結構套用的 IPsec 原則。

請記住,並非所有 IPsec 原則都能夠套用到所有 VPN 結構。所套用的原則取決於指派給 VPN 結構的 IPsec 技術。此外,指派給 VPN 的 IPsec 技術也取決於結構類型。

想要深入瞭解嗎?

資訊安全

我們在這裡提供資源來幫助您瞭解安全情勢,並選擇能夠協助保護您企業的技術。

 

協作

這些工具和文章將協助您做出重要的通訊決策,以協助您的企業擴展和保持連線。

網絡

瞭解如何做出正確的設計和維護網絡決策,以幫助您的業務成長。

資源中心

取得操作說明、檢查清單和其他提示,協助您滿足需求並協助您的企業擴展和蓬勃發展。