VPN的类型与协议

VPN，即虚拟私人网络，是一种最初为商业用途而开发的技术。它的主要作用就是……提供安全、经济且灵活的解决方案，以保护企业网络的安全。它使得员工能够方便地使用各种工作工具和数据，而其他人则被限制了访问权限。

与其依赖昂贵的硬件来建立封闭的网络，不如使用VPN连接。VPN连接利用开放的互联网，通过加密通道来安全地传输数据，从而建立起安全的连接。由于互联网本身就是公开的，所以这种连接方式也是可行的。加密是一种有效的威慑手段。对于那些潜伏在同一环境中的威胁行为者来说也是如此。

VPN技术并不复杂，不过还是有一些需要注意的地方。有许多虚拟专用网络设置以及隧道协议可供选择。所有这些内容都可能涉及很多技术细节，因此这里简单介绍一下哪些类型的VPN和隧道协议适合您的企业使用。

主要要点/核心内容

• 根据网络配置和用户需求，选择远程访问或站点到站点间的VPN方式。
• 远程访问适用于单个设备的连接需求，而站点到站点的连接则适用于整个网络的连接需求。
• 建议使用像WireGuard、L2TP/IPsec和OpenVPN这样的安全VPN协议，以获得更好的加密效果。

最常见的虚拟专用网络类型包括：

• 远程访问VPN
• 站点间VPN
• 个人VPN
• 移动VPN

VPN协议包括：

• IPSec
• L2TP
• PPTP
• SSL和TLS
• OpenVPN
• SSH
• WireGuard（NordLynx）

不同类型的VPN以及何时使用它们

主要的VPN类型包括远程访问型、站点到站点型、移动型以及个人型VPN。其他常见的类型还包括云型VPN，这类VPN是在云端运行的；还有针对特定服务的模型，比如双VPN，它提供了额外的加密功能。由于本文主要讨论商业解决方案，因此我们将重点介绍远程访问型和站点到站点型VPN。

远程访问VPN

远程访问VPN是一种技术，它允许用户通过互联网进行安全的网络连接。临时、加密的、安全的连接在企业的数据中心与用户设备之间，这些数据是通过VPN服务器来传输的。这种连接方式会处于活跃状态。只有当用户启用时才会如此否则的话，它就没有永久性的连接了。企业通常使用这种方式来通过VPN隧道，安全地访问应用程序和数据。可以将其视为一种虚拟专用网络连接，从而为设备与另一端的安全通信提供了一条通道，以便访问敏感的文档或公司资料。

这种方法的主要缺点在于，你现在所使用的应用程序，几乎不再由总部直接托管了。 大多数组织都采用软件即服务（SaaS）解决方案。这些解决方案通常由第三方在大型数据中心中托管。 因此，建立远程访问的VPN可能并非最实用的解决方案。因为在这种情况下，数据需要从用户的设备传输到中央节点，然后再传输到数据中心，最后再返回给用户。 这可能会导致严重的瓶颈现象，进而降低网络的性能。

这种解决方案在需要为特定自托管的应用程序或那些不想被存储在其他地方、属于高度机密的文件时非常有用。不过，需要注意的是，应该根据访问该服务的用户数量来规划相关配置。用户数量越多，所需的VPN服务器功能就越强大。

站点间VPN

站点到站点的VPN是一种在多个办公室之间建立的永久性连接，能够创建一个始终可用的统一网络。这种连接方式需要为各个网络分别进行配置，而且当涉及多个远程站点时，这种连接方式效果最佳。它可以部署在本地路由器或防火墙上。

如果用户的目的是在家中进行连接，那么这个解决方案其实并没有太大帮助。出于安全考虑，管理员通常不允许来自他们无法控制的网络的连接。本质上，他们是在为了安全性而牺牲了可访问性。

不过，从好处来看，这是一种将多个独立网络合并为单一内网的最经济实惠的方法。每台设备都可以像处于同一个局域网中一样运行，从而方便数据交换，同时还能防止外部人员窥探内部信息。

选择合适的VPN取决于你的网络环境以及用户访问资源的方式。远程访问VPN这种解决方案非常适合那些需要安全且临时访问中央网络上的VPN服务器的企业。它非常适合从任何地方访问内部工具、敏感文件或特定应用程序。不过，在连接云服务时，可能会遇到瓶颈问题。

站点间VPN这种解决方案更适合那些拥有多个办事处的企业，这些企业需要拥有一个统一的、永久性的网络。它使得位于不同地点的所有设备都能在同一个本地网络上相互协作。虽然这种方式可以确保数据在不同地点之间的安全传输，但对于远程用户来说，其灵活性方面则有所不足。

标准/准则

远程访问VPN

站点间VPN

主要应用场景

连接类型

理想的用户

可以根据您的基础设施以及用户的需求来选择合适的选项。

最常见的虚拟专用网络协议

VPN使用隧道协议来作为数据传输的规则。这些协议由不同类型的VPN所采用，它们为数据的打包方式以及数据到达目的地时需要执行的检查提供了详细的指导。这些不同的方法直接影响了处理速度和安全性。以下是其中一些最受欢迎的方法。

互联网协议安全（IPSec）

IPSec是一种VPN隧道协议，它通过实施会话认证和数据包加密来保障数据交换的安全性。该协议通过在网络层对会话进行认证以及对IP数据包进行加密来实现数据交换的安全保护。由于IPSec协议与其他协议能够很好地结合使用，因此它经常被用于Site-to-Site VPN设置中，以实现更高的安全性。

第二层隧道协议（L2TP）

L2TP在两个L2TP连接点之间创建了一个安全的隧道。一旦隧道建立起来后，它会使用额外的隧道协议——IPSec来加密传输的数据。L2TP复杂的架构确保了交换数据的高度安全性。因此，它仍然是实现站点到站点通信时的理想选择，尤其是在需要更高安全性的情况下。

点对点隧道协议（PPTP）

PPTP是另一种隧道协议。它通过创建隧道来实现数据传输，通常会使用微软的点对点加密技术（MPPE），以及RC4加密算法来保护所传输的数据。

SSL和TLS

Transport Layer Security (TLS)是一种现代的安全协议，它取代了现已过时的SSL协议。该协议用于加密HTTPS网页，从而建立安全连接。这样一来，网络浏览器就充当了客户端角色，用户的访问权限则被限制在特定应用程序上，而不是整个网络中。由于几乎所有浏览器都支持SSL和TLS连接，因此通常不需要额外的软件来使用这项技术。远程访问VPN通常也会使用SSL/TLS协议。

OpenVPN

OpenVPN是一种基于开源技术的SSL/TLS协议扩展版本，它包含了额外的加密算法，从而让加密通道更加安全。由于其极高的安全性和高效性，OpenVPN成为了最受欢迎的隧道传输协议。不过，其兼容性和设置过程可能会有一些问题，因为许多设备无法直接安装OpenVPN，因此无法形成路由器到路由器的VPN网络。所以，其性能也会有所波动。

该协议支持用户数据报协议（UDP）和传输控制协议（TCP）两种版本。其中，UDP的传输速度更快，因为它需要进行的校验次数较少；而TCP虽然传输速度较慢，但能更好地保护数据的完整性。总体而言，OpenVPN是一种功能完善且安全的隧道协议，适用于远程访问以及站点到站点之间的虚拟专用网络连接。

安全外壳协议（SSH）

与其他选项类似，SSH也会建立加密连接，并通过安全通道实现端口转发，从而让远程机器能够访问本地计算机。这种方式非常适合在家中通过笔记本电脑来访问办公室的桌面设备。不过，虽然这种方法提供了更多的灵活性，但SSH通道仍然需要受到严格的监控，因为这样的方式可能会成为黑客入侵的入口点。因此，这种连接方式更适合用于远程访问场景。

Wireguard

目前最流行的隧道协议虽然相对简单，但相比IPSec和OpenVPN来说，其性能要高出许多。该协议采用高度优化的代码来实现最佳性能，同时误差范围也极小。尽管该协议仍处于早期发展阶段，但许多机构已经开始使用基于WireGuard的站点到站点连接方式。此外，还有像NordLynx这样的专有WireGuard实现方案。

对于您的业务来说，哪种VPN协议最为合适呢？

比较标准/协议

IPSec

L2TP

PPTP

SSL/TLS

OpenVPN

SSH

WireGuard

安全性与性能

灵活性与兼容性